Mint Sandstorm、カスタムバックドアMediaPIで研究者を狙う | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Mint Sandstorm、カスタムバックドアMediaPIで研究者を狙う

Threat Report

Silobreaker-WeeklyCyberDigest

Mint Sandstorm、カスタムバックドアMediaPIで研究者を狙う

山口 Tacos

山口 Tacos

2024.01.19

ウィークリー・サイバーラウンド・アップ

Mint Sandstorm、カスタムバックドアMediaPIで研究者を狙う

Microsoft – January 17, 2024

2023年11月上旬、マイクロソフトの研究者らはイランが支援する脅威アクターMint Sandstormの下位グループによって、ベルギー、フランス、ガザ、イスラエル、英国、米国での中東問題に携わる著名な研究者らが標的にされていることを確認した。Mint Sandstormは、侵害または偽装されたメールアカウントから送信されるフィッシング用のルアー(イスラエル・ハマス戦争に関する記事について意見を要求する内容のもの)を用いてマルウェアを配布。curlコマンドを使って自らのC2サーバーからカスタムバックドアのMediaPlやMischiefTutといった悪意のあるペイロードを送り込む。

Ivanti製品のゼロデイ、複数のマルウェアファミリー配布に悪用される(CVE-2023-46805、CVE-2024-21887)

Mandiant – January 12, 2024

Mandiantの研究者らが、Ivanti Connect Secure(VPN)の2件のゼロデイ脆弱性を悪用した現在進行中のキャンペーンについて追加の詳細を公開した。このキャンペーンは遅くとも2023年12月から確認されており、UNC5221として追跡されるサイバースパイアクターによるものと考えられている。2件の脆弱性CVE-2023-46805、CVE-2024-21887は、異なる5つのマルウェアファミリーを配布するために悪用されていて、その中のTHINSPOOLは永続性の確立や検知回避に用いられる一方で、WebシェルLIGHTWIRE用のドロッパーとしての機能も果たす。他に観測されたマルウェアにはWebシェルのWIREFIRE、バックドアのZIPLINE、クレデンシャルハーベスターのWARPWIREがある。

ハッカーBigPanzi、スマートTVやセットトップボックスをボット化しDDoS攻撃実施

QiAnXin XLab – January 15, 2024

QiAnXin XLabの研究者らは、遅くとも2015年から稼働しているサイバー犯罪組織BigPanziの活動詳細を明らかにした。このグループは少なくとも17万台のAndroid TVとeCos OSセットトップボックスをPandoraspearなどのマルウェアに感染させ、分散型サービス拒否(DDoS)攻撃に使用されるボットネットを形成している。ターゲットの多くはブラジルで特定された。BigPanziは脆弱性を悪用するのではなく、バックドアコンポーネントを含む無料または安価なAVアプリやファームウェアアップデートをインストールさせるようユーザーに仕向ける。

Volt Typhoon、展開中のキャンペーンでCisco製廃番ルーターを侵害

SecurityScorecard – January 11, 2024

SecurityScorecardの研究者らは、中国の国家支援型脅威アクターVolt Typhoonが使用したとみられる、侵害されたルーターとネットワークエッジデバイスを発見した。Cisco RV320およびRV325デバイスにはこれまで特定されていなかったWebシェルが展開されており、これらのデバイスがデータ転送や標的組織のネットワークへの接続に使用されていた可能性がある。

複数のオーストラリア企業が組織的なクレデンシャルスタッフィング攻撃に見舞われる

The Cyber Express – January 17, 2024

2023年11月、複数のサイバー犯罪者がオーストラリアのさまざまな企業のログイン情報を入手した後、同国で組織的なクレデンシャルスタッフィング攻撃を行った。この攻撃により、15,000件以上の顧客アカウントが侵害され、不正な取引に悪用されている。影響を受けた企業は、Dan Murphy’s、ストリーミングサービスのBinge、THE ICONIC、Event Cinemas、Guzman Y Gomezなど。

ランサムウェアグループ別の記事数

2024年1月12日〜18日までの期間における、ランサムウェアグループ別の記事数分布を示したグラフです。

ランサムウェアグループ別の記事数

脆弱性

過去1週間の間にトレンドとなった脆弱性には、以下のようなものがありました。

CVEソフトウェアCVSS基本値CVSS現状値
CVE-2024-21887Ivanti Connect Secure9.1
関連記事: Ivanti Connect Secure VPN Exploitation Goes Global
CVE-2023-36025Microsoft Windows8.88.2
関連記事: CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign
CVE-2023-6548NetScaler Gateway6.36.0
関連記事: NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-6548 and CVE-2023-6549
CVE-2023-0656SonicOS7.57.5
関連記事: Over 178,000 SonicWall firewalls vulnerable to denial-of-service attacks
CVE-2021-41773Apache HTTP Server7.5
関連記事: Androxgh0st malware targets old vulnerabilities to form botnet

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up(18 January 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ