APT28がWindowsアップデートに関する偽の指示メールを使ってウクライナの政府機関を標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > APT28がWindowsアップデートに関する偽の指示メールを使ってウクライナの政府機関を標的に 

Threat Report

Silobreaker-CyberAlert

APT28がWindowsアップデートに関する偽の指示メールを使ってウクライナの政府機関を標的に 

Yoshida

Yoshida

2023.05.01

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年5月1日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

ロシアに関連するAPT28がウクライナの政府機関を標的にするため、偽のWindowsアップデートの指示を利用

Security Affairs – Apr 30 2023 17:52

ウクライナのコンピューター緊急対応チームCERT-UAが、ウクライナの政府機関を狙うAPT28のスピアフィッシングキャンペーンについて注意喚起している。このキャンペーンでは、「Windowsアップデート」に関する偽の指示メールが利用されているという。

APT28は遅くとも2007年から活動しているグループで、Fancy Bear、Pawn Storm、STRONTIUMといった名称でも知られ、これまでにも世界各地の政府や軍、セキュリティ組織などを標的にしてきた。また最近では、APT28によるシスコ製ルーターの脆弱性CVE-2017-6742を悪用した攻撃(※)について、英NCSCや米CISAなどが共同勧告を公開していた。なお同グループの運営は、ロシア軍参謀本部情報総局(GRU)に属する第85特殊技術総センター(GTsSS)軍事部隊26165によって行われていると考えられている。

※関連記事:APT28による脆弱性CVE-2017-6742を悪用したシスコ製ルーターへの攻撃について、米CISAなどが注意喚起

CERT-UAが2023年4月に新たに観測したキャンペーンでは、「Windows Update」という件名の悪意あるEメールが使用されていた。このメールは、政府機関のシステム管理者から送信されたかのように見える作りになっており、送信元メールアドレスにはパブリックサービスである「@outlook.com」を使って作成されたものが使用されている。またこのアドレスには、過去の偵察活動で入手された実在する職員の氏名が含まれているという。

メール本文には、「ハッカーの攻撃から身を守るためのアップデート」に関するウクライナ語の「指示」が記載されており、受信者を騙してコマンドラインを起動させ、PowerShellコマンドを実行させるための設計になっている。そして最終的に投下されるペイロードは、コマンド「tasklist」および「systeminfo」を悪用して標的コンピューターに関する基本的な情報を収集するという。

なおこのキャンペーンのIoCが、CERT-UAによって提供されている。

Excelでアカウント認証情報を漏らす:Office365における脆弱性をハントする(CVE-2023–23397)

Medium Cybersecurity – Apr 30 2023 22:52

2023年3月に修正されたMicrosoft Outlookにおける脆弱性CVE-2023–23397(※)は、過去数週間に大きな話題を呼んだ。セキュリティ研究者のTom PHILIPPE氏はこの脆弱性を自分の目で確かめたいと考え、検証した結果、Excelで同様の脆弱性を発見したという。

※関連記事:マイクロソフト月例パッチ:盛んに悪用されるOutlookのゼロデイなどが修正される(CVE-2023-23397、CVE-2023-24880ほか)

PHILIPPE氏は、Excelがワークブックを開いたときに外部リンクを計算するかもしれない旨を記したマイクロソフトの記事からヒントを得て、指定されたリンクを計算するのであれば、悪意あるSMBサーバーでホストされているファイルへのリンクを貼ることにより、CVE-2023-23397と同じような結果がもたらされてNTLMハッシュが漏洩するのではないか、との仮説を立てた。そしてPythonとxlsxwriterモジュールを使ってExcelファイル(excel_ntlm_leaker.xlsx)を生成し、仮説を検証したところ、ハッシュを取得することに成功したという。PHILIPPE氏によると、取得されたハッシュはリレー攻撃に使用したり、クラッキングしてユーザーのパスワードを入手するのに使用したりできるという。

なお、PHILIPPE氏がこの脆弱性をマイクロソフトに報告したところ、同社は直ちに対処する必要はないとの考えを示したという。しかし、この脆弱性にはマクロや特別なスクリプトが不要で、代わりにファイルを開くだけでNTLMハッシュを漏洩させることができることから、PHILIPPE氏は、マクロの危険性を認識して積極的に回避しているユーザーであってもこの脆弱性の被害に遭う可能性があることを指摘している。

2023年5月1日

ハイライト

 

Petya:ランサムウェアが自身の成熟期を迎えた年

Medium Cybersecurity – Apr 30 2023 07:39

 

Pythonボットネット | Ares

Medium Cybersecurity – Apr 30 2023 13:25

 

VMware ESXiサーバーが、ランサムウェアRTM LockerのLinux亜種の標的に

SC Magazine US – Apr 30 2023 16:37

 

コムスコープの従業員、LockBitによる攻撃で暗闇に取り残される

Medium Cybersecurity – Apr 30 2023 18:00

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (1 May 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ