DarkGateマルウェアが侵害されたSkypeアカウントによって拡散 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Threat Report > DarkGateマルウェアが侵害されたSkypeアカウントによって拡散

DarkGateマルウェアが侵害されたSkypeアカウントによって拡散

10月14~16日:サイバーセキュリティ関連ニュース

DarkGateマルウェアが侵害されたSkypeアカウントによって拡散

BleepingComputer – October 14, 2023

SkypeやMicrosoft Teamsを悪用してマルウェア「DarkGate」を配布しようとするキャンペーンについて、Trend Microが報告。今年7月から9月にかけて観測されたこのキャンペーンでは、侵害されたアカウントを利用し、VBAローダースクリプトの添付されたメッセージによって標的をDarkGateに感染させようとする手法が取られていたという。このスクリプトによって第2段階のAutoITスクリプトがダウンロードされ、これにより最終的にDarkGateが投下・実行される。Skypeの悪用されたケースでは、何らかの方法で被害者のアカウントへのアクセスに成功した脅威アクターが、既存のメッセージスレッドを乗っ取ってその会話履歴の文脈に関連するような名称になるようファイルの命名規則に細工を施していたという。一方、Teamsを悪用し、VBScriptを利用してDarkGateを展開しようとするフィッシングキャンペーンは以前にもTruesecやMalwareBytesによって観測されており、この攻撃ではフィッシングツール「TeamsPhisher」が使われていたとされる。このツールは、外部テナントからの受信ファイルに対する制限措置をバイパスし、Teamsユーザーへのフィッシングファイルの送信を可能にするもの。

関連記事:Microsoft Teamsのバグにより、外部アカウントからのマルウェア配布が可能に

DarkGateが企業ネットワークへの初期アクセス手段としてサイバー犯罪者に採用されるケースは、今年8月の法執行機関によるQakbotボットネットの解体以来増加しているという。DarkGateはハッキングフォーラム上において年間利用料10万ドルという価格でサブスクリプション形式で売りに出されたことがあり、その際の宣伝文句として、隠しVNC機能、Windows Defenderのバイパス機能、ブラウザ履歴の窃取機能など、多様な機能を備えることが謳われていた。DarkGateの最近のアクティビティ量の急増からは、サイバー犯罪界におけるこのマルウェア・アズ・ア・サービス(MaaS)のオペレーションの影響力が増大していることが浮き彫りになっているとのこと。

Ransomed.vc、コロニアル・パイプラインが侵害されたと虚偽の主張か

The Record – October 16th, 2023

2021年に大規模なランサムウェア攻撃の被害に遭ったことで知られるコロニアル・パイプラインが、同社のシステムが侵害され、データが盗まれたとするRansomed.vcランサムウェアグループの主張に反論。同社の広報担当者によれば、調査の結果パイプラインの運営に支障はなく、システムは現時点で安全であることが確認できたそう。また、Ransomed.vcが掲載したファイルは、コロニアル・パイプラインとは無関係の第三者組織でデータ侵害に関するものだと思われるという。Ransomed.vcの投稿には、インシデント対応会社DragosのCEOで、コロニアル・パイプラインに対する2021年のランサムウェア攻撃への対応に深く関わっていたRob Lee氏の写真も掲載されている。同氏もX(旧Twitter)で、データを窃取したとの主張は架空のものだと述べている。Ransomed.vcといえば、GDPRの制裁金をちらつかせて盗まれたデータに対する身代金を支払うよう恐喝する戦術が話題になったグループ。つい最近には、日本のSonyやNTTドコモなどを恐喝していたことも報じられている。同グループは企業を恐喝するにあたって攻撃の犯行声明を出したり「データを盗んだ」などと主張したりする一方で、その主張の信憑性については疑問が呈されている。

関連記事:日本の大企業を相次ぎ恐喝:「Ransomed[.]vc」とは?

米CISAがランサムウェアに悪用される脆弱性、設定ミスの注意喚起を強化

SecurityWeek – October 13, 2023

米CISAは、ランサムウェアの攻撃で悪用される脆弱性や設定ミスについて組織が簡単に把握できるようにして、ランサムウェアによる攻撃を防止する取り組みを強化している。同庁は、3月に開始されたRansomware Vulnerability Warning Pilot(RVWP)プログラムの一環として、ランサムウェアグループによって悪用されることが知られているセキュリティ上の欠陥や弱点を組織が特定し、取り除くのに役立つ新しいリソースを2つリリースした。

1つ目は「悪用が確認済みの脆弱性カタログ」の新しい列に反映されたもので、CISAがランサムウェアキャンペーンに関連していると認識している欠陥について注意喚起するもの。このカタログには、CISAが実際に悪用されているという確かな証拠を掴んでいる1,000件以上の脆弱性がリストアップされており、その多くがランサムウェア攻撃の標的になっている。

2つ目はStopRansomwareプロジェクトのWebサイト上の新しい表であり、これはランサムウェアの運営者が攻撃で標的にしていることが確認されている設定ミスや、脆弱性に関する情報を掲載している。この表では、組織が対処または補償の取り組みの一環として実施できるCyber Performance Goal(CPG)アクションに関する情報も提供されている。

CISAはランサムウェアが世界中で重要なサービス、ビジネス、コミュニティを侵害しており、これらのインシデントの多くは既知の脆弱性や流出を利用したものだとしている。また、多くの組織は悪用される脆弱性が自身のネットワーク上に存在することに気づいていない可能性があると指摘している。同庁はすべての組織に対し、利用可能なリソースを確認することで、ランサムウェアのリスクを低下させるための対策を講じることを推奨している。また重要インフラ事業者は、CISAの脆弱性スキャンサービスに登録し、標的となった際の通知を受け取ることを推奨されている。