Lazarus、Log4Shell悪用し新たなRATマルウェアを投下 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Lazarus、Log4Shell悪用し新たなRATマルウェアを投下

Threat Report

Silobreaker-CyberAlert

Lazarus、Log4Shell悪用し新たなRATマルウェアを投下

佐々山 Tacos

佐々山 Tacos

2023.12.12

12月12日:サイバーセキュリティ関連ニュース

Lazarus、Log4Shell悪用し新たなRATマルウェアを投下

BleepingComputer – December 11, 2023

北朝鮮のハッキンググループLazarusは、2021年12月10日に発見された重大な脆弱性「Log4Shell」(CVE-2021-44228)を引き続き悪用し続けており、新たなキャンペーンではこれまで知られていなかった3種のD言語マルウェアを使用するようになっているという。Cisco Talosがこのキャンペーンを「Operation Blacksmith」と名付け、詳細を報告した。

関連記事:Log4Jアプリの30%超が脆弱なライブラリを使用(CVE-2021-44228ほか)

Operation Blacksmithは2023年3月頃に開始されており、世界中の製造業、農業、物理セキュリティ企業が標的になっている。観測された攻撃では、Log4Shellに脆弱なバージョンの Log4jライブラリを使用している公開VMWare Horizonサーバーが狙われていたという。

 

このキャンペーンで新たにLazarusが採用したマルウェアは以下の3つ。

・NineRAT:ドロッパーを備えるRATで、C2通信にTelegram APIを用いる。Telegram経由でコマンドを受信し、侵害したコンピューターからファイルを抜き取る性能を持つ。ドロッパーは、永続性の確立およびメインのバイナリの起動も担うという。

 

・ DLRAT:トロイの木馬兼ダウンローダーで、感染済みシステムへ追加のペイロードを展開するために用いられる。侵害したデバイスでOS情報やMACアドレスなどのシステム情報を集めてC2サーバーに送り、C2から返されたコマンドに従ってファイルダウンロードなどを行う。

 

・BottomLoader:ハードコードされたURLからペイロードをフェッチし実行するマルウェアダウンローダー。永続性の確立や、C2サーバーへのファイル抽出といった用途でも用いられる。

 

Operation Blacksmithの分析結果からは、Lazarusが戦術や使用ツールを明白に切り替えたことが伺えると、Cisco Talosの研究者は指摘。同グループが絶えず戦術を変化させ続けていることが、改めて浮き彫りになったとも言える。なお同社のレポートでは、さらなる詳細やIoC情報などが提供されている。

トヨタファイナンシャルサービスがデータ侵害公表

Security Affairs – December 11, 2023

先月Medusaランサムウェアのリークサイトに被害者として掲載されていたトヨタファイナンシャルサービス(TFS)が、データ侵害を公表。ドイツの顧客に対し、権限のない第三者が機微な個人データや金融関連データへアクセスしていたことを伝えた。同社はトヨタ自動車の子会社であり、世界中のトヨタの顧客やディーラーにさまざまな金融サービスを提供している。

TFSは11月17日にMedusaランサムウェアグループのリークサイトに掲載され、身代金800万ドルを11月26日までに支払わなければ盗んだデータをリークする、と脅迫されていた。その際Medusaが証拠として提供したサンプルデータには財務書類、インボイス、ハッシュ化されたアカウントパスワード、パスポートのスキャンデータなどが含まれていたとされる。

関連記事:Medusaランサムウェアグループが勢いを増す 世界各地の企業が標的に

上記のサンプルデータに含まれる文書はドイツ語で記されていたことから、ドイツの顧客が影響を受けていると考えられている。同国向けのトヨタ公式サイトに侵害の通知が掲載されているほか、ドイツのニュースサイトHeiseは同社から顧客へ送られた侵害通知を入手しており、これによれば、氏名、住所、連絡先情報、リースの詳細、IBANが不正なアクセスを受けたとされる。影響を受ける顧客は、身元乗っ取りや金融詐欺などの脅威に晒される恐れがある。

なおMedusaは現在までに、盗んだとされるすべてのデータをTorのリークサイト上で公開済みとのこと。

アップルの緊急アップデートにより、旧型iPhoneでも最近見つかったゼロデイが修正される(CVE-2023-42916、CVE-2023-42917)

BleepingComputer – December 11, 2023

アップルが旧型デバイス向けに緊急のセキュリティアップデートをリリース。これにより、古いiPhoneとApple WatchおよびApple TVの一部モデルにおいても、盛んに悪用されている2つのゼロデイ(CVE-2023-42916およびCVE-2023-42917)に対するパッチが利用可能となった。これらの脆弱性は同社が開発し、同社のプラットフォーム(macOS、iOS、iPadOSなど)のSafariで使用されているWebkit内で発見された。攻撃者はこれらの脆弱性を悪用するために細工したWebページを使用して、機微データにアクセスしたり、任意のコードを実行したりする可能性がある。

iPhone XSなどの最新モデルやOS向けのパッチは先月既にリリース済みだが、アップルは今回新たにiOS 16.7.3、iPadOS 16.7.3、tvOS 17.2、watchOS 10.2でこれらのゼロデイに対処し、以下のデバイスでもパッチが適用可能となった。

 

・iPhone 8以降、iPad Pro(全モデル)、iPad Air第3世代以降、iPad第5世代以降、iPad mini第5世代以降

・Apple TV HDおよびApple TV 4Kの全モデル

・Apple Watch Series 4以降

Sandman APTと中国拠点のバックドアKEYPLUGとの隠れた関連性を研究者らが暴く

The Hacker News – December 11, 2023

謎の多いAPTグループSandmanと、バックドアKEYPLUGを使用することが知られている中国拠点の脅威グループStorm-0866(別名Red Dev 40)との間に、オペレーション用インフラやTTP、標的の設定の点で重複が見られることが判明した。この評価はSentinelOne、PwC、Microsoft Threat Intelligenceチームが共同で行ったもので、Sandmanが使用するマルウェアLuaDreamとKEYPLUGが、同じ被害者のネットワークに併存していたことに基づいている。

Sandmanは2023年9月にSentinelOneによって初めて明らかにされたグループで、LuaDreamを使用した中東、西ヨーロッパ、南アジアの通信プロバイダーへの攻撃の詳細が説明されていた。Storm-0866は、主に中東と南アジアのインド亜大陸の通信プロバイダーや政府機関などの組織を狙う新興のAPT。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ