新たなランサムウェアグループRA Group、Babukの流出ソースコードを使って米韓の企業を侵害

Yoshida

2023.05.16

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年5月16日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

新たに特定されたランサムウェアアクターRA Group、Babukの流出ソースコードを使って米国と韓国の企業を侵害

Talos Intelligence Blog – May 15 2023 12:00

最近新たに発見されたランサムウェアアクター「RA Group」についてのレポートを、Cisco Talosが公開した。今年4月に登場したものとみられる同アクターは、急速にその活動を拡大させているという。レポートでは、主に以下のような点が報告されている。

・RA Groupは遅くとも2023年4月22日以降に活動を開始した。また、攻撃では流出したBabukランサムウェアのコードを使用しているものとみられる。なお2021年9月にBabukグループのメンバーとされる人物が同ランサムウェアのソースコードをリークして以来、Babukのコードはさまざまなランサムウェアファミリーに利用されている。

関連記事：Babukの流出コードを利用して9種のESXi対応ランサムウェアが作成される

・RA Groupは他の多くのランサムウェアアクターと同様にリークサイトを運営しており、そこで盗んだデータの公開されたくなければ被害者に身代金を支払うよう要求するという二重恐喝攻撃を行っている。

・RA Groupは現時点までに米国の3つの組織と韓国の1組織を侵害しているが、その活動の幅は急速に拡大している。

・Cisco Talosが分析したRA GroupのランサムウェアサンプルはC++で書かれており、2023年4月23日にコンパイルされていた。このバイナリの持つデバッグパス「C:\Users\attack\Desktop\Ransomware.Multi.Babuk.c\windows\x64\Release\e.pdb」には、Babukと同じMutex名が含まれる。

このほか、Cisco Talosのレポートではランサムノートや暗号化手法の詳細などが画像付きで紹介されている。

Lancefly APT、アジアの組織への攻撃に強力なバックドア「Merdoor」を使用

Security Affairs – May 16 2023 05:16

Lancefly APTグループが、カスタムバックドア「Merdoor」を使って韓国や東南アジアにある政府、航空、教育、電気通信といった分野の組織を攻撃しようとしていることについて、Symantecの研究者らが報告した。これは2022年中旬に始まり、現在も続いていると思われるインテリジェンス収集キャンペーンの一部とされる。

Merdoorは2018年から存在しているものとみられる強力なバックドアで、自らをサービスとしてインストールする機能、キーロギング機能、C2サーバーと通信するためのさまざまな手段、ローカルポートからコマンドを受け取る性能など、あらゆる機能を備えている。

Lancefly APTはMerdoorに加えてツールキットZXShellの最新バージョンも利用するほか、マルウェア以外の技術（PowerShellやAvast製の正規ツールなど）も複数駆使して被害者マシンから認証情報を盗もうとするという。

さらにLanceflyは、バックドアPlugXやShadowPadを使用している様子も観測されている。これらのバックドアは一般的に、中国関連のAPTグループが実行するオペレーションと紐づけられてきた。

このほか、Symantecのレポートには、同グループによる攻撃キャンペーンの詳細やIoCなどが記載されている：Lancefly: Group Uses Custom Backdoor to Target Orgs in Government, Aviation, Other Sectors

米CISA：Linuxにおける複数の古い脆弱性が攻撃で悪用される（CVE-2023-25717、CVE-2021-3560ほか）

Security Week – May 15 2023 08:52

米CISAは先週金曜、複数のLinuxにおける脆弱性やLinux関連の脆弱性を、「悪用が確認済みの脆弱性カタログ」に追加した。

新たに追加された脆弱性は以下の7件：

・CVE-2023-25717：RuckusのAP におけるリモートコード実行の脆弱性

・CVE-2021-3560：Red HatのPolkitにおける特権昇格の脆弱性

・CVE-2014-0196、CVE-2010-3904：Linuxカーネルにおける特権昇格の脆弱性

・CVE-2015-5317：JenkinsのUIにおける情報開示の脆弱性

・CVE-2016-8735：Apache Tomcatにおけるリモートコード実行の脆弱性

・CVE-2016-3427：オラクルのJava SEおよびJRockitにおける問題

Ruckus製品の脆弱性CVE-2023-25717がDDoSボットネット「AndoryuBot」に悪用されていることは既に報じられていたが、その他6件に関しては悪用に関するレポートはまだ公開されていないものとみられる。ただ、CISAは信頼できる悪用の証拠が存在する場合に限ってカタログへの脆弱性の追加を行うことから、悪用に関する非公開の情報を入手している可能性がある。

いずれにせよ、これらの脆弱性については技術的詳細やPoCエクスプロイトが公開されており、対処が重要な点は変わらない。

2023年5月16日

ハイライト

米CISA、Linuxにおける新たな脆弱性をカタログに追加、それらが盛んに悪用されていることを警告（CVE-2023-25717、CVE-2021-3560ほか）

SiliconANGLE – May 15 2023 23:12

WordPressのプラグインにおける重大な脆弱性が公表される、すでにエクスプロイトも公開済み（CVE-2023-30777）

Bitdefender – May 15 2023 09:40

CVE-2021–45232：Apache APISIX Dashboardにおける不正アクセスと認証なしでのRCEを可能にする脆弱性について、vsocietyが解説

Medium Cybersecurity – May 15 2023 10:34

ESXiに対する攻撃の増加：Babukのソースコードにより、ランサムウェア株9種類が誕生

Cyware – May 15 2023 21:05

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。