ウィークリー・サイバーラウンド・アップ
ScreenConnectの欠陥、さまざまなマルウェアの配布に悪用される(CVE-2024-1709、CVE-2024-1708)
Sophosの研究者は、ConnectWise ScreenConnectの最近修正された2件の脆弱性(CVE-2024-1709、CVE-2024-1708)が、流出したLockBitのビルダーで生成されたランサムウェア株の配布に悪用されていることを確認した。観測されたペイロードが投下した身代金要求メモにより、1つ目のランサムウェア株はbuhtiRansomだとわかったが、2つ目には名前が書かれていなかった。これらの脆弱性はAsyncRAT、VidarやRedlineのようなパスワードスティーラー、Cobalt Strike、Xwormなどほかのタイプのマルウェアを配布する目的でも悪用されている。いずれも23.9.8以降のバージョンで修正されており、オンプレミスのインスタンスを持つユーザーは、最新バージョンにアップグレードするまでインスタンスをオフラインにすることが推奨されている。
関連記事:ConnectWise、リモートアクセスツール「ScreenConnect」の重大な欠陥を修正:CVE-2024-1709、CVE-2024-1708
ロシア関与の影響力行使キャンペーン「ドッペルゲンガー」がドイツ狙う
SentinelLabs – February 22, 2024
SentinelLabsの研究者はClearSkyと共同で、ロシアが関与する影響工作ネットワークとみられるものに関連する新たな活動とインフラを特定した。このネットワークは、2023年11月下旬から活動しているAPT28と結びついている可能性がある。「ドッペルゲンガー(Doppelgänger)」と名付けられたこのキャンペーンは、主にドイツの人々をターゲットにしているが、最近では米国、フランス、イスラエル、ウクライナに関連するニュースフィードにまで対象が広がっている。ドッペルゲンガーは、人々にとって重要な最新の社会経済や地政学にまつわるトピックに焦点を当てたニュース記事を通じてプロパガンダや偽情報を広めている。研究者たちの予想によると、ドッペルゲンガーによる活動は今後も続くものとみられ、これから行われるヨーロッパや米国での選挙期間中には、ドイツ以外にもほかの西側諸国が標的になりうるとのこと。
UNC1549、中東狙うキャンペーンでバックドアのMINIBUSとMINIBIKEを配布
Mandiantの研究者は、イランに関連するスパイ行為とみられる活動について分析した。この活動は航空宇宙、航空、防衛産業を対象としており、イスラエルやアラブ首長国連邦などの中東諸国を標的にしているほか、トルコ、インド、アルバニアも狙われている可能性がある。遅くとも2022年6月から行われているこのキャンペーンでは、ソーシャルエンジニアリングのスキームを経てカスタムバックドアのMINIBIKEとMINIBUSが拡散される。また、MINIBIKEやMINIBUSと同じコードベースとC2インフラを共有するカスタムトンネラー「LIGHTRAIL」も確認された。同キャンペーンはイランの脅威アクター「UNC1549」によるものだろうと評価されている。UNC1549は、イスラム革命防衛隊(Islamic Revolutionary Guard Corps)に関連しているアクター「Tortoiseshell」との重複がみられるグループ。なお、この評価は中程度の確度で行われている。
LockBitランサムウェア、サーバーを復旧して活動を再開
Bleeping Computer – February 25, 2024
2024年2月24日、ランサムウェアLockBitのオペレーターが、法執行機関の「Operation Cronos」によるテイクダウンを経て、活動を再開することを発表した。同ランサムウェアグループはデータリークサイトを新規の.onionアドレスに移行した上で、新たな被害者である5組織とともに、盗まれた情報を公開するまでのカウントダウンタイマーを掲載している。また、政府部門への攻撃をさらに増やすとの脅しもかけた。LockBitのオペレーターはさらに、インフラのセキュリティをアップグレードし、復号ツールのリリースと試用ファイルの復号を手動で行うように変更する予定であることを発表。加えて、LockBitのアフィリエイト用パネルを複数のサーバーでホストし、各自の信頼レベルに基づいてパートナーに異なるコピーへのアクセスを提供する意向についても大まかに説明した。
大規模なスパムキャンペーンで人気ブランドのサブドメインが乗っ取られる
Guardio Labsの研究者は、ある大規模な広告詐欺キャンペーンを発見した。SubdoMailingと名付けられたこのキャンペーンでは、8,000以上の正規ドメインと13,000以上のサブドメインを悪用し、1日に最大500万通のスパムメールが送信される。これらのメールには、複数のリダイレクトを引き起こすボタンが埋め込まれており、不正広告の閲覧数を通じて脅威アクターが収入を得られるようになっている。このキャンペーンは遅くとも2022年から行われているもので、複雑なDNSの改ざんを行って人気ブランドや有名組織の使われていないドメインを乗っ取り、メールのセキュリティ対策を簡単に回避できるようにしている。
ランサムウェアグループ別の記事数
2024年2月23日〜2月29日までの期間における、ランサムウェアグループ別の記事数分布を示したグラフです。
脆弱性
過去1週間の間にトレンドとなった脆弱性には、以下のようなものがありました。
CVE | ソフトウェア | CVSS基本値 | CVSS現状値 | |
---|---|---|---|---|
CVE-2024-1709 | ScreenConnect | 10.0 | – | |
関連記事:Widespread Exploitation of ConnectWise ScreenConnect Server Vulnerabilities | ||||
CVE-2024-1071 | Ultimate Member Plugin | 6.3 | 6.1 | |
関連記事:Critical SQL injection flaw patched in WordPress Ultimate Member plugin | ||||
CVE-2024-25065 | Apache OFBiz | 6.3 | 6.0 | |
関連記事:Critical flaws fixed in Apache OFBiz | ||||
CVE-2024-21388 | Microsoft Edge | 6.5 | – | |
関連記事:Lazarus Group exploits Windows AppLocker vulnerability as a zero-day | ||||
CVE-2024-21893 | Ivanti Connect … | 8.2 | 8.2 | |
関連記事: UNC5325 exploit Ivanti SSRF vulnerability to deploy novel malware |
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。