米政府請負業者のABB、ランサムウェア攻撃を受けデータが盗まれたこと認める

Yoshida

2023.05.29

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年5月27日と28日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

米政府請負業者のABB、ランサムウェア攻撃を受けデータが盗まれたこと認める

Bleeping Computer – May 26 2023 16:33

スイスの多国籍テクノロジー企業であり、米国政府の請負業者でもあるABBが、ランサムウェア攻撃によりシステムの一部に影響が生じたことを認めた。同社は5月7日にサイバー攻撃を受け、これが業務の混乱やプロジェクトの遅延を招いていたほか、工場への重大な影響が生じていた。

同社によると、権限を持たない第三者がABBのシステムにアクセスし、自己伝播しないタイプのランサムウェアを展開して特定のデータを抜き取ったとのこと。また、顧客のシステムが直接影響を受けた形跡は特定されていないとされている。

ABBは攻撃者の名称を明かさなかったものの、BleepingComputerはこのインシデントについて知る匿名の情報源の助力を得て、今回の攻撃がBlack Bastaランサムウェアグループによって実施されたものであることを特定したそう。BleepingComputerはまた、攻撃が同社のWindows Active Directoryを狙ったものであり、これにより数百のWindowsシステムに影響が出たことも従業員から伝え聞いたとしている。

現在も調査は続いているものの、インシデントはすでに抑え込み済みであり、障害が生じていた重要サービスやシステムは現時点で想定通りに動いているとのこと。

QBotマルウェア、デバイスを感染させるためWindows ワードパッドの実行ファイルを悪用

Bleeping Computer – May 27 2023 15:12

QBotマルウェアのオペレーションが、コンピューターを感染させるためにWindows 10のワードパッドプログラムにおけるDLLハイジャッキングの欠陥を悪用し始めたとの報道。

QBot（別名「Qakbot」）は元々はバンキング型トロイの木馬だったものがマルウェアドロッパーへと進化したWindowsマルウェア。Black Basta、Egregor、Prolockといったランサムウェアグループが同マルウェアのオペレーションと手を組んで企業ネットワークへの初期アクセス獲得を試みてきたことが知られている。

セキュリティ研究者のProxyLifeによると、QBotの新たなフィッシングキャンペーンではWindows 10のワードパッド実行ファイル（write.exe）におけるDLLハイジャッキングの脆弱性が悪用されていたという。フィッシングメールにはリンクが1つ含まれており、クリックするとリモートのホストからZIPアーカイブがダウンロードされる。このZIPには、document.exe（ワードパッドの実行可能ファイル）とDLLファイル「edputil.dll」が含まれている。

通常、document.exeが起動すると、正規のDLLファイルであるedputil.dllのロードが自動で試行されるようになっている。しかしこの際特定のフォルダー内のファイルがチェックされるわけではなく、document.exeと同じフォルダー内にある同名のDLLはすべてロードされてしまう。攻撃者はこの欠陥を利用し、悪意あるバージョンのedputil.dllを作成してdocument.exeと同じフォルダーへ保存しておくことで、DLLハイジャッキングを達成するという。

QBotは上記の手法によってコンピューターに感染すると、バックグラウンドで静かに動いて将来のフィッシング攻撃で使うためのEメールを盗んだり、Cobalt Strikeなど他のペイロードのダウンロードを行うとされる。感染したデバイスはその後、最終的にデータ窃取やランサムウェア攻撃につながるようなラテラルムーブメントのための足場として使われることになる。

最近ではQBotのオペレーションはすでに別の感染手法を用いるようになっているものの、次のキャンペーンで過去の戦術が再度使われるようになることも珍しくはないことから、今回報じられたDLLハイジャッキングの手法が今後も使用される可能性は捨てきれない。

2023年5月27日

ハイライト

2023年5月28日

ハイライト

新たなランサムウェアオペレーションBuhtiはLockBitとBabukのリブランドされたペイロードを使用

Security Affairs – May 27 2023 10:56

産業大手ABB、ランサムウェアによる攻撃とデータ盗難を認める

Security Week – May 27 2023 11:06

NHSにおけるデータ侵害：トラストが同意なしに患者の詳細情報をFacebookと共有

DataBreaches.net – May 27 2023 21:41

バブコック大学で発生したデータ侵害に関するレポート— 2023年5月11日木曜日

Medium Cybersecurity – May 27 2023 17:55

レポート：Leverage EDUで発生したデータ流出に関する分析

Medium Cybersecurity – May 27 2023 17:59

米CISA、Barracuda製品における最近修正されたゼロデイを「悪用が確認済みの脆弱性カタログ」に追加（CVE-2023-2868）

Security Affairs – May 28 2023 04:17

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。