Threat Report

Silobreaker-CyberAlert

ハッカーグループFIN7が復活し、Clopランサムウェアを展開する攻撃に関与：マイクロソフトが報告

Yoshida

2023.05.22

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年5月20日と21日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

悪名高いハッカーグループFIN7が復活し、Clopランサムウェアを展開する攻撃に関与：マイクロソフトが報告

Bleeping Computer – May 19 2023 17:06

マイクロソフトによると、長期間にわたって活動を休止していたと見られるサイバー犯罪グループFIN7が先月再浮上し、Clopランサムウェアのペイロードの展開を目的とした攻撃を行っていたという。

FIN7は2013年に活動を開始した金銭的動機を持つグループで、Sangria Tempest、ELBRUSなどの呼称でも知られる。今回マイクロソフトが観測した攻撃キャンペーンは、FIN7による2021年後半ぶりのランサムウェアキャンペーンなのだという。

最近のキャンペーンでFIN7は、PowerShellベースのインメモリ・マルウェアローダー「POWERTRASH」を利用してポストエクスプロイトツール「Lizar」を展開し、これを利用して標的ネットワーク内に足場を築き、ラテラルムーブメントを行っている。その後、OpenSSHとImpacketを使ってClopランサムウェアを展開する。

また、BleepingComputerが観測したマイクロソフトのアナリストによる非公開のレポートによれば、FIN7はClop、Bl00dy、LockBitの各ランサムウェアを使ってPaperCutサーバーを狙う攻撃にも関与していたとのこと。

関連記事：Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用（CVE-2023-27350、CVE-2023–27351）、Bl00dyランサムウェアグループがPaperCutの重大な脆弱性を利用して教育部門を襲う（CVE-2023-27350）

米CISA、盛んに悪用されるサムスン製品やシスコ製品の脆弱性について注意喚起：CVE-2023-21492ほか

Security Affairs – May 20 2023 09:59

米CISAは、サムスン製デバイスに影響を与える脆弱性CVE-2023-21492と、シスコ製品に影響を与える脆弱性CVE-2004-1464およびCVE-2016-6415を「悪用が確認済みの脆弱性カタログ」に追加した。

・CVE-2023-21492：Android11、12、13を搭載するサムスン製モバイルデバイスに影響を与える、ログファイルへの機微情報出力の脆弱性。特権を持つローカルの攻撃者がこれを悪用すると、アドレス空間配置のランダム化（ASLR）のバイパスが可能になる恐れがある。サムスンは同脆弱性を悪用する攻撃の詳細を明かしていないが、他の脆弱性と連鎖させることにより脆弱なサムスンデバイスの侵害が試みられている可能性がある。

・CVE-2004-1464：Cisco IOSにおけるサービス運用妨害（DoS）の脆弱性。IOSにおける詳細不明の脆弱性により、telnet、reverse telnet、RSH、SSHのほか、一部のケースではHTTPのシスコデバイスへのアクセスが妨害される可能性がある。

・CVE-2016-6415：Cisco IOS、IOS XR、IOS XEのサーバーのIKEv1の実装におけるデバイスメモリから重要な情報を取得される脆弱性。攻撃者がこれを悪用すると、メモリコンテンツの取得が可能になって情報の漏洩につながる恐れがある。

CISAは米連邦政府機関に対し、2023年6月9日までにこれらの脆弱性を修正するよう指示している。また民間の組織にも対処が推奨されている。

マルウェアGolden Chickensのもう1人の首謀者：ルーマニア在住の「Jack」とは

The Hacker News – May 20 2023 10:48

サイバーセキュリティ企業eSentireが、マルウェア「Golden Chickens」の第2の首謀者（コードネームは「Jack」）の身元を突き止めたのだという。eSentireは以前、もう一人の首謀者「Chuck from Montreal」の詳細などを伝えるレポートを公開していた。

Golden Chickens（別名「More_eggs」）は、Cobalt GroupやFIN6といった金銭的動機を持つサイバー犯罪グループによって用いられるマルウェアスイート。金銭関連情報の採取、ラテラルムーブメントの実施、ランサムウェアプラグインTerraCryptの展開などを目的とする複数のコンポーネントを備えている。

Jackは、ロシア語ハッキングフォーラムExploitにおいて、Chuck from Montrealとともに「badbullzvenom」（Venom Spider）というアカウントを使ってマルウェア・アズ・ア・サービスを運営していたとされる。eSentireによると、Jackは2008年、弱冠15歳の頃からさまざまなサイバー犯罪フォーラムに登録して活動し始めたルーマニア在住の人物で、Golden Chickensマルウェアの難読化に全精力を注いできたのだという。

eSentireはJackの身元を突き止めたのに加え、彼の妻、母、姉妹まで発見することに成功している。Jackが悪意あるプログラムに興味を持つティーンエイジャーから、パスワードスティーラーやクリプター、およびGolden Chickensを開発するベテランハッカーになるまでの経緯などが記された同社のレポートはこちら：The Hunt for VENOM SPIDER PART 2

2023年5月20日

ハイライト

2023年5月21日

ハイライト

NodeJSを模したTrukoRATバイナリを実行するnpmパッケージが見つかる

Bleeping Computer – May 20 2023 13:06

脅威グループUNC3944、Azure VMを悪用するためAzureの内蔵ツールを使用

Cyware – May 20 2023 09:17

新たなグループMalasLocker、チャリティーのための寄付として身代金を要求

Cyware – May 20 2023 10:47

CommonMagicインプラントがCloudWizardに結び付けられる

Cyware – May 20 2023 15:49

サイバー犯罪組織FIN7が復活、ランサムウェア「Clop」を配布しているのが目撃される

Security Affairs – May 20 2023 14:13

2021年に発生したデータ侵害により、ルックスオティカの顧客7,000万人分のデータが流出

Security Affairs – May 20 2023 17:16

「15歳の少年が面白半分でNASAをハッキング」

Medium Cybersecurity – May 20 2023 12:39

Peachtree Orthopedicsがサイバー攻撃について患者に注意喚起、患者に影響を与えるデータ侵害は7年間で3度目

DataBreaches.net – May 20 2023 16:40

オランダの裁判所、ハッカー「DataBox」とされる被告の審理を行う

DataBreaches.net – May 20 2023 21:10

Mustang Panda、ヨーロッパの外交機関のTP-Linkルーターを乗っ取る

Cyware – May 20 2023 09:17

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。