サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年5月17日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
Babukランサムウェアのハッカー「Wazawaka」とされる人物が米国で起訴される
BankInfoSecurity – May 17 2023 01:40
ランサムウェア・アズ・ア・サービスグループBabukの中心的メンバーだったとされるロシア人ハッカーMikhail Matveev(別名「Wazawaka」)が米国で起訴され、経済制裁措置を受けた。
Babukは2021年にワシントンDC警察をハッキングして400万ドルの身代金を要求し、250GB分の法執行関連データとされるものをダンプして、その直後に活動を停止していた。Matveev被告はこのインシデントに関連する2つの重罪でワシントン大陪審に起訴されている。
また、ニュージャージー州の連邦検察官によれば、同被告はLockBitおよびHiveランサムウェアの展開も行っていたという。起訴状には、2020年6月にパサイック郡の法執行機関に対してLockBitを使用した容疑と、2022年5月にHiveランサムウェアを使ってマーサー郡の非営利の行動療法関連組織を攻撃した容疑が記されている。
米財務省は、Matveev被告を制裁ブラックリストに追加して米国民に同被告との取引を禁じ、同被告の資産を差し押さえの対象とした。また国務省は、Matveev被告の逮捕につながる情報に対して最大1,000万ドルの報奨金を支払うと発表している。
中国のハッカーグループMustang Panda、持続的な攻撃に向けTP-Link製ルーターを悪用
The Hacker News – May 16 2023 14:45
中国の国家型アクター「Mustang Panda」と、2023年1月から続くヨーロッパの外務関連組織を狙う新しい高度な標的型攻撃群との関連が指摘されている。この攻撃では、TP-Link製ルーター専用に作られたカスタムファームウェアインプラントが使用されているという。
Check Pointは、このインプラントにはC++で書かれたカスタムバックドア「Horse Shell」をはじめとする複数の悪意あるコンポーネントが備わっていると述べている。攻撃者はHorse Shellを使用することで、アクセスの持続性を維持したり、匿名のインフラを構築したり、侵害したネットワークでのラテラルムーブメントを行ったりできるようになるとされる。また、Horse Shellは任意のシェルコマンド実行やルーターでのファイルのアップロード/ダウンロード、および2つの異なるクライアント間での通信のリレーなども可能にするという。
興味深いことに、Horse Shellは住宅や家庭用ネットワーク上の任意のデバイスを標的にしていると考えられている。これは、感染したルーターを使ってメインの標的とC2サーバーとの間に複数のノードから成るチェーンを作り出してTorのように匿名性を高め、攻撃の範囲を特定したり攻撃を妨害したりするのを困難にさせるための取り組みであるものとみられる。
Qilinランサムウェアの内幕:アフィリエイトは支払われた身代金の85%を手に入れる
The Hacker News – May 16 2023 12:20
Qilinランサムウェア・アズ・ア・サービス(RaaS)グループに関連するアフィリエイトたちは、支払われた身代金の80%〜85%を得ていることが、Group-IBによって明かされている。
Group-IBは、2023年3月にQilinへの侵入に成功し、同グループのリクルーター「Haise」とプライベートなやり取りを行ったのち、アフィリエイトの報酬体系や同RaaSプログラムの内部構造の詳細を知ることができたのだという。
Group-IBによると、同グループはアフィリエイトに対し、複数のセクションから成る管理用パネルを提供している。これには、身代金要求メモの設定などを行うためのセクション「Targets」や、被害企業に関するブログ記事を作成するためのセクション「Blogs」などが含まれ、アフィリエイトの管理や連携が行いやすくなっている。
なお、Qilin(別名Agenda)とは2022年8月に初めてトレンドマイクロによって報告されたグループで、フィッシングメールなどを使って初期アクセスを獲得したのち、二重恐喝戦術のためにデータの抜き取りを行ってからデータの暗号化を実施する。
2022年7月から2023年5月までに、同グループのデータリークサイトには12の異なる被害者企業が掲載されており、これには、オーストラリア、ブラジル、カナダ、コロンビア、フランス、日本、オランダ、セルビア、英国、米国の重要インフラ組織や教育関連組織、ヘルスケア組織が含まれるという。
Qilinに関するGroup-IBのフルレポートはこちら:You’ve been kept in the dark (web): exposing Qilin’s RaaS program
2023年5月17日
ハイライト
脅威アクターがバックドアMerdoorを使ってアジアの組織を攻撃
BankInfoSecurity – May 16 2023 21:09
BianLianランサムウェアに関するサイバーセキュリティ勧告を、CISAとパートナーらがリリース
CISA Alerts – May 16 2023 12:00
Water Orthrus APT、新たな2つのマルウェアファミリーとともに再登場
RaaS「MichaelKors」により、VMware ESXiを狙うランサムウェアのファッショナブルなトレンドが示される
Dark Reading – May 16 2023 13:47
Wemoはリモートオペレーションを可能にするSmart Plugの脆弱性を修正する予定なし
ArsTechnica – May 16 2023 20:35
Teltonika製品の脆弱性が重要インフラにリスクをもたらす可能性
Medium Cybersecurity – May 16 2023 13:52
隠された危険を暴く:WordPressの脆弱性について探る
Medium Cybersecurity – May 17 2023 00:32
Lancefly APT、数年間にわたりアジアの政府組織を狙う
SecurityWeek – May 16 2023 13:34
Camaro Dragonのカスタムルーターインプラントを分析
Check Point Research – May 16 2023 10:54
キャンペーン「DangerousPassword」:暗号資産取引所を悪用する多面的アプローチ
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。