リリース時は無害だったAndroidアプリ、アップデートを通してスパイウェアに変貌 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > リリース時は無害だったAndroidアプリ、アップデートを通してスパイウェアに変貌

Threat Report

Silobreaker-CyberAlert

リリース時は無害だったAndroidアプリ、アップデートを通してスパイウェアに変貌

Yoshida

Yoshida

2023.05.25

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年5月25日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

Google Play経由で5万回ダウンロードされたAndroidアプリが、アップデートを通してスパイウェアに変わる

SecurityWeek – May 24 2023 12:06

Google Play内で50,000回以上ダウンロードされていたスクリーン録画アプリ「iRecorder – Screen Recorder」が昨年のアップデートによってトロイの木馬化されていたことを、サイバーセキュリティ企業ESETが報告した。

iRecorder – Screen Recorderは当初2021年9月にGoogle Playでリリースされたが、この時には悪意ある機能は備わっていなかった。しかし昨年8月にバージョン1.3.8へアップデートされた際、AhMythベースのリモートアクセス型トロイの木馬「AhRat」が注入されてしまったのだという。なおAhMythとは、過去にパキスタン関連の国家支援型アクターAPT36(Transparent Tribe)によって使用されていたクロスプラットフォーム型RATで、通話記録、連絡先情報、メッセージの抜き取りや、メッセージの送信、デバイスの位置情報の追跡、デバイス上のファイル一覧の取得、音声の録音、写真撮影などを行うことができる。

一方、AhRatにはマイクを使って音声を録音する性能や、録音したものおよび感染したデバイス上のその他のファイルを抽出する性能が備わっていることから、スパイキャンペーンの一環として使用されている可能性が示唆されている。

マルウェアがアップデート時にアプリに注入された背景についてESETは、「アプリ開発者がまずは無害なアプリをリリースしてある程度ユーザーベースを構築してからアップデートによってAndroid端末の侵害を開始する」という意図を持っていた可能性や、「開発者とは無関係の悪意あるアクターによってマルウェアが注入された」という可能性について触れている。ただし、いずれの仮説についても裏付けとなる証拠はないとのこと。

マルウェアPowerExchangeがMicrosoft Exchangeサーバーにバックドアを設置

Bleeping Computer – May 24 2023 19:17

イランの国家支援型ハッカーAPT34によるものとされるオンプレミスのMicrosoft Exchangeサーバーを狙ってバックドアを仕掛けようとする攻撃で、新たなPowerShellベースのマルウェア「PowerExchange」が使用されているのを、FortiGuard Labs Threat Researchが発見した。同研究チームは、アラブ首長国連邦(UAE)の政府組織の侵害されたシステム上で、PowerExchangeバックドアを観測したのだという。

APT34は、フィッシングメールによってPowerExchangeを標的に配布する。注目すべきことに、PowerExchangeはExchange Web Services(EWS)のAPIを使ってメールを送信することにより、C2サーバーと通信する。具体的には、「Update Microsoft Edge」という件名のEメールへのテキスト添付ファイルとして盗んだ情報を送信し、base64エンコードされたコマンドを受信するという。FortiGuard Labsによれば、被害者のExchangeサーバーをC2チャネルに使用することで、バックドアを無害なトラフィックに紛れ込ませることが可能となり、それによって攻撃者はターゲット組織のインフラ内外のほぼすべてのネットワークベースの検出を容易に回避できるようになるとのこと。

また、PowerExchangeにより、攻撃者はハッキングされたサーバー上で追加の悪意あるペイロードを配布するコマンドを実行し、採取されたファイルを抽出できるようにもなる。PowerExchange以外にAPT34が用いるインプランドの中の1つがWebシェル「ExchangeLeech」で、同マルウェアは侵害されたExchangeサーバーにログインする人のユーザー名とパスワードを収集することができる。

FortiGuard Labsのブログ記事には、さらなる詳細やIoCが記載されている:Operation “Total Exchange”: New PowerExchange Backdoor Discovered in the UAE

ゼロデイ欠陥の利用によりBarracuda Email Security Gateway(ESG)がハッキングされる(CVE-2023-2868)

Security Affairs – May 24 2023 18:13

Barracuda(バラクーダ)は顧客に対し、同社のEmail Security Gateway(ESG)アプライアンスがゼロデイ脆弱性CVE-2023-2868の悪用によって侵害されていると警告した。

CVE-2023-2868はEメールの添付ファイルスクリーニング用のモジュールに存在する脆弱性。5月19日に発見され、20日と21日の2つのセキュリティパッチのリリースによって修正されている。

Barracudaによると、現在までの調査により、この脆弱性を利用してメールゲートウェイアプライアンスのサブセットへの不正アクセスが行われていたことが確認されたという。同社は影響を受けたと思われるアプライアンスのユーザーに連絡を取り、取るべき対応について伝えている。

同脆弱性の影響を受けたESGアプライアンスは世界中の数十万もの組織で使用されているため、この問題により大きな影響が生じた可能性があるとのこと。

2023年5月25日

ハイライト

 

Google Play内のアプリiRecorderにAndroid向けRATのAhRatが隠されていた

Security Affairs – May 24 2023 07:20

 

ランサムウェアグループCubaのデータリークに関する主張はフェイクニュースだ、とザ・フィラデルフィア・インクワイアラー

The Register – Security – May 24 2023 20:26

 

トロイの木馬を追跡する:企業ネットワークにおける脅威ハンティングの内側

Malwarebytes Unpacked – May 24 2023 10:00

 

ラインメタル、BlackBastaランサムウェアによる攻撃を受ける

Malwarebytes Unpacked – May 24 2023 14:45

関連記事:ドイツの兵器メーカー「ラインメタル」をBlackBastaランサムウェアが攻撃

 

BlackCatランサムウェアが新たなカーネルドライバーを用いて保護されたコンピューターを制御

News ≈ Packet Storm – May 24 2023 14:09

 

マルウェアLegionがアップグレードされ、SSHサーバーやAWSの認証情報を狙えるように

The Hacker News – May 24 2023 10:00

 

ウクライナのCERT-UAがUAC-0063によるスパイ活動について警告

Security Affairs – May 24 2023 11:00

 

Apria Healthcare、利用者180万人に影響与える大規模なデータ侵害について公表

HackRead – May 24 2023 20:42

 

Apria Healthcare、約200万人の患者へ2021年のデータ侵害について通知

SC Magazine US – May 24 2023 16:34

 

Equifaxでのデータ侵害:得られた教訓と、データセキュリティを高めるためになすべき急務

Medium Cybersecurity – May 24 2023 15:02

 

Apria Healthcare、システムがハッカーによるアクセスを受ける中、数年間にわたり顧客には通知せず

Bitdefender – May 24 2023 11:51

 

アップルデバイスを、iOS、iPadOS、macOSにおけるWebKitのゼロデイ3件から守ろう(CVE-2023–32409、CVE-2023–28204、CVE-2023–32373)

Medium Cybersecurity – May 24 2023 10:31

 

ハネウェル製の新たなOTサイバーセキュリティソリューションは脆弱性や脅威の特定に有用

Security Week – May 24 2023 10:07

 

イランのハッカーAgriusがランサムウェアMoneybirdを用いてイスラエル組織を標的に

The Hacker News – May 25 2023 06:03

 

Agrius、イスラエル組織への標的型攻撃でMoneybirdを展開

Check Point Research – May 24 2023 10:55

 

BreachForumsの内幕:PomPomPurinへの独占インタビュー

Medium Cybersecurity – May 24 2023 09:02

 

「Inferno Drainer」、4か月間で600万ドルを騙し取る

Cyware – May 24 2023 12:26

 

イランのハッカーTortoiseshellがイスラエルのロジスティクス業界を標的に

The Hacker News – May 24 2023 13:49

 

GoldenJackal APTが南アジアの政府機関を標的に

BankInfoSecurity – May 24 2023 23:09

 

BlackCatの攻撃でWindowsカーネルドライバーが使用される

Cyware – May 24 2023 22:49

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (25 May 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ