北米人の銀行アクセス情報をダークウェブで販売した容疑者が逮捕 ウクライナ | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北米人の銀行アクセス情報をダークウェブで販売した容疑者が逮捕 ウクライナ

Threat Report

Silobreaker-CyberAlert

北米人の銀行アクセス情報をダークウェブで販売した容疑者が逮捕 ウクライナ

山口 Tacos

山口 Tacos

2024.02.19

2月16~18日: サイバーセキュリティ関連ニュース

北米ユーザーの銀行口座アクセス情報をダークウェブで販売した容疑者が逮捕 ウクライナ

BleepingComputer – February 18, 2024

ウクライナのサイバー警察は14日、米国およびカナダの銀行利用者の口座へ不正にアクセスし、そのアクセス情報をダークウェブ上で売りに出すというサイバー犯罪オペレーションを実施していた31歳の容疑者を逮捕した。この容疑者はウイルスを拡散するため、「さまざまなソフトウェアを無料でダウンロード可能」と謳う複数のWebサイトを作成・運営し、そこでトロイの木馬が仕込まれたソフトウェアを配布していたという。

標的ユーザーのデバイスがこのマルウェアに感染すると、デバイスから機微なデータが抜き取られて容疑者の元へ送られてしまう。容疑者はこのデータを利用して被害者のGoogleアカウントおよびオンラインバンキングをハッキングし、アカウントへのアクセス情報をダークウェブ上で販売していたそう。

容疑者は2017年から活動を始め、2021年にはフィッシングをメインで実施するようになったとされる。この間のサイバー犯罪活動により92,000ドル相当が稼ぎ出されたとされているが、この数字はもっと大きくなる可能性が高いとのこと。

米政府機関へのハッキングで元職員の管理者権限が使われる

SecurityWeek – February 16, 2024

米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の発表によると、米国のある政府機関が元職員の管理者アカウント権限を使ったハッキングに遭った。CISAは被害組織の名称を公表していないものの、当該職員の退職後もアカウントを削除していなかったためにネットワークへの侵入を許したという。

悪用された認証情報は、仮想サーバー2台(SharePointと職員用ワークステーション)へのアクセスを提供するもの。CISAの見解では、別のデータ侵害によって流出し、「漏洩したアカウント情報などを取り扱う、公的に利用可能な経路」を通じて攻撃者の手に渡った可能性が高い。またSharePointサーバーからは別の職員の認証情報が盗み取られ、オンプレミスのActive DirectoryおよびAzure ADでの認証・権限昇格に使われたという。両職員のアカウントについてCISAは、「どちらの管理者アカウントでも多要素認証(MFA)が有効になっていなかった」と明かした。

攻撃者は内部VPNにアクセスし、オンプレミス環境で偵察活動を行ってからドメインコントローラーでLDAPクエリを実行。ホストとユーザーの情報やメタデータを含む文書など、この政府機関から盗んだ情報をダークウェブ上のフォーラムに投稿したことが調査のきっかけになった。

米CISA、ランサムウェア攻撃で悪用されたCisco ASAの欠陥についてパッチの適用促す(CVE-2020-3259)

SecurityWeek – February 16, 2024

米CISAは、シスコの古い欠陥CVE-2020-3259を「悪用が確認済みの脆弱性カタログ」に追加。組織に対し早急にパッチを適用するよう要請している。

この脆弱性はAdaptive Security Appliance(ASA)とFirepower Threat Defense(FTD)製品に影響するもので、AnyconnectのSSL-VPN機能が有効になっているデバイスに対して悪用される可能性がある。認証されていないリモートの攻撃者はこれを悪用して、影響を受けたデバイスのメモリからアクセスの認証情報など機微な情報を取得する恐れがある。

この欠陥には2020年にパッチがリリースされていたが、Akiraランサムウェアグループがこの脆弱性を悪用してきたことを示唆する証拠をサイバーセキュリティ企業Truesecが発見し、最近話題になり始めていた。

CISAは各政府機関に対して3月7日までにこの脆弱性に対処するよう指示しているが、すべての組織がこの脆弱性を介したシステムへの侵入を許さないようにすることが強く求められている。なおシスコのアドバイザリは2020年以降更新されておらず、実際に悪用された事例への言及はないままになっている。

関連記事

Threat Report

Threat Report

Silobreaker-CyberAlert

Cisco ASAのゼロデイをAkiraランサムウェアが攻撃で悪用:CVE-2023-20269

山口 Tacos

山口 Tacos

2024.02.19

FBI最重要指名手配者リストに名を連ねたZeus/IcedIDマルウェアのリーダーが有罪認める

The Hacker News – Feb 18, 2024

2009年5月から2021年2月の間にZeusおよびIcedIDという2件のマルウェアスキームに関与したとして、米国で裁判を受けていた37歳のウクライナ人が有罪を認めた。

2012年からFBIの最重要指名手配者リストに名を連ねていたVyacheslav Igorevich Penchukov被告は、2022年10月にスイス当局に身柄を確保され、昨年米国へ引き渡されていた。調査ジャーナリストのBrian Krebs氏が2022年に報じていたように、それ以前はウクライナのヴィクトル・ヤヌコーヴィチ元大統領との政治的つながりにより、同国のサイバー犯罪捜査当局による訴追を長年にわたって逃れることに成功していた。

米司法省(DoJ)は同被告について、数千台のコンピューターにマルウェアを感染させた「2組のマルウェアグループのリーダーだ」と述べている。IcedIDへの感染はランサムウェア攻撃につながったケースがあるほか、バンキング型トロイの木馬であるZeusへの感染は、数千万ドル規模の窃盗につながった事例がある。

CVE-2023-32484(CVSS 9.8):Dell EMCネットワークにおける遠隔操作のリスク

Securityonline.info – FEBRUARY 17, 2024

最近公開されたDell EMC Enterprise SONiCの脆弱性は、データセンターのネットワークセキュリティに深刻な影響を及ぼす可能性があるという。デルによると、この脆弱性CVE-2023-32484(CVSS 9.8)は、リモートの攻撃者が最高レベルの管理者権限まで特権を昇格させる恐れのあるもので、特定のプロトコルに影響を及ぼす重大な脆弱性だという。ほかにもこれを悪用して認証のバイパスやコマンドの注入、ネットワークの遮断、データの抜き取り、ラテラルムーブメントが行われる可能性がある。影響を受けるのは、Enterprise SONiCを運用するネットワークスイッチの古いバージョンとのこと。

デルは以下の修正バージョンをリリースしている。

  • 3.5.5
  • 4.0.6
  • 4.1.1

同社はDell EMC Enterprise SONiCを使用している顧客に対し、パッチが適用されたバージョンへ速やかにアップデートすることを推奨している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ