11月4~6日:サイバーセキュリティ関連ニュース
プロキシサービス「Socks5Systemz」:世界中のマシン1万台がボットネット感染
BleepingComputer – November 5, 2023
マルウェアローダー「PrivateLoader」や「Amadey」を使って現在までに10,000台ものデバイスを感染させているプロキシボットネット「Socks5Systemz」について、BitSightが報告。
存在自体は2016年から確認されていたものの最近まであまり注目されていなかった同ボットネットは、マルウェアに感染させたコンピューターを、悪意あるトラフィックや不法トラフィックの転送プロキシとして利用するもの。このサービスは1日あたり1ドル〜140ドルという料金で販売されている。Socks5Systemzボットのペイロードの配布にはローダーマルウェアのPrivateLoaderやAmadeyが利用されているが、これらのマルウェアはフィッシングやエクスプロイトキット、マルバタイジング、P2Pネットワークからダウンロードされるトロイの木馬化された実行ファイルなどによって拡散することが多いという。
ペイロードはC2との接続を確立し、感染したマシンのプロファイリング情報を送る。するとその応答として、C2からは以下のようなコマンドが送り返されるという。
・idle: 何も実行しない。
・connect: バックコネクトサーバーに接続する。
・disconnect: バックコネクトサーバーとの接続を切断する。
・updips:トラフィックの送信が許可されているIPアドレスのリストを更新する。
・upduris:未実装。
connectコマンドにより脅威アクターのインフラとの接続が確立されると、感染マシンはプロキシサーバーとして利用できるようになり、他のアクターたちに販売可能な商品になる。感染マシンは世界中に存在するとされるが、特に感染数が多いのはインド、米国、ブラジル、コロンビア、南アフリカ、アルゼンチン、ナイジェリアだという。
こうしたレジデンシャルプロキシボットネットサービスは儲かるビジネスだとされ、ショッピングボットや地域制限バイパスのためによく利用されているとのこと。
ZDIが、Microsoft Exchangeにおけるゼロデイ欠陥4件を公表
Security Affairs – November 03, 2023
Microsoft Exchangeにおける脆弱性が4件公表された。これらは認証済みの攻撃者が悪用して遠隔で任意のコードを実行したり、機微な情報を開示したりする恐れのあるもの。トレンドマイクロのZDIは2023年9月7日および8日、マイクロソフトにこれらの脆弱性を報告していたが、マイクロソフトはまだこれらを修正していなかった。今回ZDIは情報開示のポリシーにしたがって、脆弱性の公表を行うことにしたという。
ZDIが公表した脆弱性は以下の通り。なお、いずれの脆弱性も悪用には認証が必要。
・ZDI-23-1578:ChainedSerializationBinderクラスに存在するRCEの欠陥。ユーザーデータの適切な認証が行われないことに起因する問題で、攻撃者はこれを利用してSYSTEM権限で遠隔から任意のコードを実行する可能性がある。
・ZDI-23-1579:DownloadDataFromUriメソッド内に存在する情報開示の欠陥。リソースにアクセスする前にURIが適切に認証されないことで生じる。攻撃者は、これを利用して権限なしで機微情報を開示する可能性がある。
・ZDI-23-1580:DownloadDataFromOfficeMarketPlaceメソッドに存在する情報開示の欠陥。リソースにアクセスする前にURIが適切に検証されないことで生じる。攻撃者は、これを利用して権限なしで情報を開示する可能性がある。
・ZDI-23-1581:CreateAttachmentFromUriメソッドに存在する情報開示の欠陥。リソースにアクセスする前にURIが適切に検証されないことで生じる。攻撃者は、これを利用して機微情報を開示する可能性がある。
北朝鮮のハッカーら、攻撃で新たなmacOS向けマルウェア「KandyKorn」を使用
SecurityWeek – November 3, 2023
北朝鮮との関連が指摘されるLazarusグループが、最近の攻撃でmacOS用の新たなマルウェア「KandyKorn」を使用しているという。KandyKornは偵察、C2とのやり取り、検出回避のためのさまざまな機能を備えた高度なインプラント。複数の段階のプロセスを経て標的のマシン上でKandyKornが実行されることで、攻撃者はシステムにアクセスしてデータを抽出できるようになる。攻撃の1つでは、暗号通貨取引所のプラットフォームのブロックチェーンエンジニアが標的にされたという。Lazarusはこの攻撃の一環として、公開のDiscordチャンネルでブロックチェーンコミュニティのメンバーになりすまし、有害なコードを含むアーカイブをダウンロードするよう標的を誘導したとのこと。LazarusはIT環境を深く理解しており、有名なソフトウェアを悪用するなどの戦術を発達させているため、マシンが感染すると効果的にマルウェアが拡散されるようになると、カスペルスキーは述べている。