クラウドを利用したマルウェア配布:GuLoaderの進化 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > クラウドを利用したマルウェア配布:GuLoaderの進化

Threat Report

Silobreaker-CyberAlert

クラウドを利用したマルウェア配布:GuLoaderの進化

Yoshida

Yoshida

2023.05.23

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年5月23日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

クラウドを利用したマルウェア配布:GuLoaderの進化

Check Point Research – May 22 2023 10:54

多様な種類のマルウェアの配布に使われることで有名なシェルコードベースのダウンローダー、「GuLoader」。同ローダーの最新バージョンにおけるクラウドサービスを利用した検出回避技術やアンチ解析技術などについて、Check Point Researchが報告した。

GuLoaderは3年以上前に始動したマルウェアローダーで、現在もさらなる開発が続けられている。Check Point Researchによれば、現在同ローダーは以下のようなマルウェアの配布に使用されているとみられるという:Formbook、XLoader、Remcos、404Keylogger、Lokibot、AgentTesla、NanoCore、NetWire。

GuLoaderは、さまざまなサンドボックス回避技術、コード難読化、多層暗号化を用いてアンチウイルス製品に対抗する。今年新たに発見された戦術は、ペイロードをPEヘッダーを含めて丸ごと暗号化し、それをGoogle Driveなどのよく知られたパブリッククラウドサービスに移動させ、VBScriptを使ってこれをダウンロードするというものだった。また一部のケースでは、悪意あるペイロードへのダウンロードリンクは、長期間にわたって有効な状態を維持できるという。Google Drive以外にも、少数ではあるがOneDriveやDiscord、Google Cloudなども使われている。

このほか、Check Point Researchのレポートには技術的な詳細情報やIoCなどが記載されている:CLOUD-BASED MALWARE DELIVERY: THE EVOLUTION OF GULOADER

Zyxel製ファイアウォールの脆弱性がまもなく広範に悪用され始める恐れ(CVE-2023-28771)

Help Net Security – News – May 22 2023 10:28

Zyxel製ファイアウォールに影響を与えるコマンドインジェクションの脆弱性CVE-2023-28771は、まもなく攻撃で悪用され始める恐れがあるという。同脆弱性に関する技術的分析結果とPoCスクリプトを公開したRapid7の研究者らが警告した。

CVE-2023-28771は不適切なエラーメッセージの処理による問題で、特別に細工したUDPパケットを脆弱なデバイスのWANインターフェースの500番ポートに送信することで悪用可能。この結果、認証されていない攻撃者によるrootユーザーとしてのOSコマンドの実行が可能になる恐れがある。同脆弱性は簡単に武器化できるとされる。

Rapid7の研究者らは、2023年5月19日時点でCVE-2023-28771が攻撃で悪用された事例は知られていないとしながらも、この状況は変化するだろうと見込んでいる。脆弱性の影響を受けるデバイスは以下の通り:

・ZLDのバージョンv4.60〜v5.35を使用するZyxel APT、USG FLEX、VPNファイアウォール。

・ZLDのバージョンv4.60〜v4.73を使用するZyxel ZyWALL/USGゲートウェイ。

なお、同脆弱性は2023年4月にZyxelによって修正されている。影響を受けるデバイスの利用者には、可及的速やかに最新のファームウェアへのアップグレードを行うことが推奨されている。

2023年5月23日

ハイライト

 

脅威アクタープロファイル:ALPHVランサムウェアグループ

Medium Cybersecurity – May 22 2023 15:42

 

Cl0pランサムウェアを展開する攻撃とともにFIN7が復活

Cyware – May 22 2023 15:59

関連記事:ハッカーグループFIN7が復活し、Clopランサムウェアを展開する攻撃に関与:マイクロソフトが報告

Golden Chickensマルウェアの開発者、正体を暴かれる

SC Magazine US – May 22 2023 23:08

 

Fortra製品の悪用による医療データ侵害に関する訴訟案が連邦裁判所へ大量に提出される

BankInfoSecurity – May 22 2023 20:40

 

食品流通のシスコ、サイバー攻撃で126,000人の個人に影響が出たと発表

Security Week – May 22 2023 11:52

 

ルックスオティカにおける2021年の侵害:顧客300万人分のレコードがネット上で容易に手に入る状態になっていた

Bitdefender – May 22 2023 11:54

 

2022年のICS/OT脆弱性説明会の要約

Dragos Blog – May 22 2023 16:55

 

W3 EdenがWordPressのプラグインDownload Managerにおける、認証済みの攻撃者による格納型XSS攻撃を可能にする脆弱性に対処(CVE-2023-2305)

Wordfence – May 22 2023 14:49

 

Guerrillaキャンペーン:Lemon Groupによる事前に感染させた端末を利用したビジネス

Cyware – May 22 2023 21:32

関連記事:マルウェア「Guerrilla」に感染済みの状態で出荷されたスマートフォンが世界に数百万台存在か

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (23 May 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ