4月3日:サイバーセキュリティ関連ニュース
新たなXZバックドアスキャナーが登場、あらゆるLinuxバイナリでインプラントを検出
BleepingComputer – April 2, 2024
XZ Utilsにバックドアが仕込まれていることが発覚したサプライチェーン侵害の問題(CVE-2024-3094)をめぐり、影響を受けるLinuxの実行ファイルを検出するための無料オンラインスキャナーがリリースされた。
3月29日にこの問題が明らかになって以降、バイト文字列のマッチング、ファイルハッシュのブロックリスト作成、YARAルールといったシンプルなチェック手法ばかりが脅威緩和の手段として使われている。しかしこうした手法では偽陽性が出る可能性があるほか、アラート頻発による疲弊が引き起こされる恐れがある、その他のプロジェクト上の同様のバックドアは検出できない、といった懸念がある。こうした問題を解決するため、ファームウェアセキュリティ企業のBinarlyは今回このスキャナーの開発に取り組んだのだという。
同社のスキャナーは、XZ Utilsプロジェクトのみならず、さまざまなサプライチェーンポイントに対してスキャンを実行できるもの。検出手法は振る舞い分析に基づくもので、同バックドアの亜種、つまり似たようなバックドアが別の場所に投下されていた場合も、それを自動で検出するとされる。また、スキャン結果の確度も、これまでのチェック手法のものより遥かに高くなっているという。
このバックドアスキャナーはWebページ「xz.fail」で利用でき、ユーザーは自らのバイナリファイルをアップロードすると無料かつ無制限でチェックを行うことができる。
中国関連ハッカーグループ、新マルウェア「UNAPIMON」でステルス性を向上
The Hacker News – Apr 02, 2024
サイバー脅威集団Earth Freybugが新たなマルウェア「UNAPIMON」を使用しているのが観測されたと、トレンドマイクロが報告。同グループは多様なツールやテクニックを使用するが、同社の新たなレポートは、UNAPIMONの利用を介したDLLハイジャッキングとAPIのアンフックについて主に取り上げている。
同社が観測したキャンペーンでは、VMware Tools(vmtoolsd.exe)に関連する正規の実行ファイルを使ってスケジュールタスクを作成するところから攻撃チェーンが開始される。これにより投下されるバッチスクリプト(cc.bat)がシステム情報を大量に収集し、感染したホスト上で第2のスケジュールタスクを実行すると、このタスクによりまた別のバッチファイルが実行され、最終的にUNAPIMONマルウェアが実行されるという。
UNAPIMONはC++で書かれたシンプルなマルウェアで、オープンソースのMicrosoftライブラリDetoursを利用して重大なAPI関数をアンフックすることによって子プロセスがモニタリングされるのを防ぐ。これにより、フッキングを介したAPIモニタリングを実装しているサンドボックス環境で検出を回避できるようになっているという。
トレンドマイクロが中国関連サイバースパイグループAPT41(別称Axiom、Brass Typhoon、Wicked Panda、Winnti等)のサブグループだと説明するEarth Freybugは、主にスパイ行為や金銭的動機に基づく活動を遅くとも2012年から行ってきたグループ。LOLBinsやカスタムマルウェアなどを使い、さまざまな国々の多様なセクターの組織を標的にしてきたとされる。