KnightランサムウェアがTripadvisor装う偽の苦情メールによって配布される
最近、TripAdvisor(トリップアドバイザー)が送信元であるかのように見せかけた、飲食店への苦情に関する偽のEメールによって「Knight」ランサムウェアが配布されているという。なお、Knightとはランサムウェア・アズ・ア・サービス(RaaS)「Cyclop」のリブランド後の名称。
Knight(Cyclops)ランサムウェアとは?
前述の通り、KnightはRaaS「Cyclops」が2023年7月末にリブランド(名称変更)を行って生まれたランサムウェア。Cyclops自体は、2023年5月からアフィリエイトの募集を開始した比較的新しいランサムウェアオペレーション。Cyclops/Knightはアフィリエイトに対してWindows、macOS、Linux/ESXi向けの暗号化ツール(通常版と「ライト」版)のほか、RaaSとしては珍しく、WindowsとLinux向けの情報スティーラーも提供している。Knightへのリブランド時に、ライト版暗号化ツールのアップデートと新たなリークサイトの始動も発表されたが、Knightのリークサイトにはまだ被害者や盗難データは掲載されていない。
Knightを配布する偽の苦情メール
Sophosの研究者Felix氏は8月10日、TripAdvisorの苦情メッセージを装うスパムメールが、実際にはKnightランサムウェアを配布していると報告。このメールには「TripAdvisorComplaint.zip」という名称のZIPファイルが添付されており、これに含まれる実行ファイル「TripAdvisor Complaint – Possible Suspension.exe」によってKnightが投下されるのだという。
また、BleepingComputerもこれよりさらに新しいバージョンのスパムメールを発見・分析。この新たなメールには「TripAdvisor-Complaint-[random].PDF.htm」という名称のHTMLファイルが添付されており、これを開くとTripAdvisorのブラウザウインドウに見せかけた画面が表示されるようになっていたという。この偽ウインドウは、あるレストランに寄せられた苦情とされるものをユーザーに見せようと試みるが、ユーザーが「苦情を読む」というボタンをクリックすると、最終的にKnightのロードにつながるExcel XLLファイル「TripAdvisor_Complaint-Possible-Suspension.xll」がダウンロードされてしまう。
Knight Lightによる暗号化
このスパムキャンペーンにより投下されるのは、Knightのライト版である「Knight Light」。ライト版は、多数のユーザーを狙ったスパムキャンペーンや大量配布キャンペーンでの配布を意図したバージョンとされる。
Knight Lightは感染チェーンの中で新たなexplorer.exeプロセスに注入されると、被害者のPC上のファイルを暗号化し始める。そして暗号化されたファイルのファイル名には、「.knight_l」という拡張子が追加される。
Knight Lightのランサムノート
Knight Lightは、PC上の各フォルダに「How To Restore Your Files.txt」という名称のランサムノートを作成する。これには、5,000ドルの身代金を指定のビットコインアドレス宛に送るよう指示する内容と、KnightのTorサイトへのリンクとが記載されている。ただし、BleepingComputerによれば、今回のキャンペーンで配布されるすべてのランサムノートには同一のビットコインアドレス(14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z)が記載されているため、たとえ身代金が支払われたとしても、どの被害者によって払われたのかを判別するのは不可能な状態になっているという。
Knight Lightに感染しても身代金を支払うのはNG
現時点では、身代金を支払うことにより復号鍵を受け取れるかどうかが定かではない。また、今回のキャンペーンではあらゆる標的に対して同一のビットコインアドレスが使われており、身代金を支払ったとしてもそれを証明する手立てがない状態。これを踏まえると、Knight Lightに感染してファイルを暗号化されたとしても、身代金を支払うのは得策でないものと思われる。
(情報源:BleepingComputer “Knight ransomware distributed in fake Tripadvisor complaint emails”)
8月12,13日:その他の注目ニュース
PythonのURL解析における欠陥により、コマンド実行攻撃が行われる可能性(CVE-2023-24329)
The Hacker News – Aug 12, 2023
PythonのURL解析関数(urllib.parse)に見つかっていた深刻度の高いセキュリティ上の欠陥について、CERT Coordination Center(CERT/CC)が新たに勧告を発表。これによると、urlparseにはURL全体が空白文字で始まる場合に生じる問題があり、それがホスト名とスキームの解析の両方に影響を及ぼして最終的にブロックリストの作成が失敗するのだという。なおurllib.parseは広く使われている構文解析関数で、URLを構成要素に分解したり、構成要素をURL文字列に結合したりするのに使用できる。この問題は、ブロックリストで実装されたドメインやプロトコルのフィルタリング手法を回避するために悪用され、最終的に任意のファイルの読み込みやコマンド実行に繋がる可能性がある。この欠陥CVE-2023-24329(CVSSスコアは7.5)は2022年8月に発見・報告されており、以下のバージョンで対処されている。
・3.12以降
・3.11.4以降
・3.10.12以降
・3.9.17以降
・3.8.17以降
・3.7.17以降
また、この問題は入力検証の欠如が原因で起こることも分かっている。この脆弱性は、スキームとホストに対して開発者が設定した保護を攻撃者がバイパスするのを助け、幅広いシナリオにおけるSSRFやRCEを助長すると考えられるという。
キーボードに残った熱からパスワードを割り出すサーマル攻撃に注意を:専門家が警告
PCのキーボードやスマートフォンのスクリーン、ATMの暗証番号入力用パッドなどの表面に残された指の熱を体表温度測定カメラで分析し、パスワードなどの重要な情報を割り出す「サーマル攻撃」。過去の研究では、入力操作後から20〜30秒以内に撮影されたサーマル画像をAIを使ったシステムで分析したところ、パスワードの76%〜86%を割り出すことができたとの結果が報告されていた。
そして今回新たに、英国とドイツの大学の研究者らがサーマル攻撃から身を守るために推奨される15の対策についてまとめ、報告した。これには、以下のような対策が含まれる。
<ユーザーへ推奨される対策>
・手袋やゴム製の指ぬきをはめて、指から伝達される熱の量を減らす。
・タイピングを始める前に冷たいものを触り、指の温度を下げる。
・タイピング後に息を吹きかけたり、手のひら全体を押し当てたりして表面温度を変える。
<メーカーへ推奨される対策>
・キーボードやパッド表面の裏側に指の熱を除去できるような発熱体を配置したり、より素早く熱を放散する素材を使用したりする。
マイクロソフト、発電所の操業停止目的で利用され得るとされる脆弱性を発見(CVE-2022-47379ほか)
Ars Technica Risk Assessment – Aug 11 202
マイクロソフト社は金曜日(11日)、発電所、工場オートメーション、エネルギーオートメーション、プロセスオートメーションなどの産業施設内の操作デバイスをプログラムするために広く使用されている複数のツールに、深刻度の高い脆弱性が15件存在することを開示した。これらの脆弱性はソフトウェア開発キット「CODESYS V3」に影響を与えるという。
マイクロソフトによると、これらの脆弱性を悪用することは、CODESYS V3の独自のプロトコルに関する深い知識とユーザー認証が必要であるため難しいものとなっているが、これらを悪用することで脅威アクターはDoS攻撃やRCEを引き起こし、発電所を操業停止させたり、オペレーションを操ったり、PLCの異常な動作を引き起こしたり、情報を窃取したりできるようになる恐れがあるという。
今回明らかになった脆弱性は以下の通り。
(表記項目:CVE、CODESYSコンポーネント、CVSSスコア、影響)
・CVE-2022-47379、CMPapp、8.8、DoSおよびRCE
・CVE-2022-47380、CMPapp、8.8、DoSおよびRCE
・CVE-2022-47381、CMPapp、8.8、DoSおよびRCE
・CVE-2022-47382、CmpTraceMgr、8.8、DoSおよびRCE
・CVE-2022-47383、CmpTraceMgr、8.8、DoSおよびRCE
・CVE-2022-47384、CmpTraceMgr、8.8、DoSおよびRCE
・CVE-2022-47385、CmpAppForce、8.8、DoSおよびRCE
・CVE-2022-47386、CmpTraceMgr、8.8、DoSおよびRCE
・CVE-2022-47387、CmpTraceMgr、8.8、DoSおよびRCE
・CVE-2022-47388、CmpTraceMgr、8.8、DoSおよびRCE
・CVE-2022-47389、CMPTraceMgr 8.8、DoSおよびRCE
・CVE-2022-47390、CMPTraceMgr 8.8、DoSおよびRCE
・CVE-2022-47391、CMPDevice、7.5、DoS
・CVE-2022-47392、CmpApp/ CmpAppBP/ CmpAppForce、8.8、DoS
・CVE-2022-47393、CmpFiletransfer、8.8、DoS
プラットフォームに依存しないツール群であるCODESYS V3は、シュナイダーエレクトリック社やWAGO社などの開発会社によって、プログラマブルロジックコントローラ(PLC)の開発のために利用されている。なおPLCとは、バルブを開閉したり、ローターを回転させたり、世界中の産業施設でさまざまな物理デバイスを制御したりしているトースターサイズのデバイス。 CODESYS V3を用いることで、開発会社は産業環境で安全に使用できるプログラミング言語を定義する国際規格であるIEC 611131-3と互換性のあるPLCを作ることができる。CODESYS V3を使用するデバイスには、シュナイダーエレクトリック社のModicon TM251やWAGO PFC200などがある。
なお、マイクロソフトは9月にCodesysにこれらの脆弱性を非公開で通知した。Codesysはその後、脆弱性を修正するパッチをリリースした。今までに、このSDKを使用している多くのベンダーがアップデートをインストールしていると思われる。まだインストールしていないベンダーは、優先的にインストールする必要がある。