GuptiMinerマルウェアがeScanの更新メカニズムを乗っ取りマルウェアを配布 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > GuptiMinerマルウェアがeScanの更新メカニズムを乗っ取りマルウェアを配布

Threat Report

Silobreaker-WeeklyCyberDigest

GuptiMinerマルウェアがeScanの更新メカニズムを乗っ取りマルウェアを配布

Yoshida

Yoshida

2024.04.26

ウィークリー・サイバーラウンド・アップ

GuptiMinerマルウェアがアンチウイルスeScanの更新メカニズムを乗っ取り、クリプトマイナーとバックドアを配布

Avast – April 23, 2024

GuptiMinerの背後に潜む脅威アクターをAvastの研究者が特定した。アンチウイルスソフトeScanのアップデートメカニズムの脆弱性を悪用し、中間者攻撃でマルウェアを配布するGuptiMinerは、マイナーのXMRig、モジュラー型バックドア、およびバックドアPuTTY Linkの強化バージョンを拡散するために使用された。GuptiMinerは遅くとも2018年から出回っており、北朝鮮のハッカーグループKimsukyが関与している可能性が高いとみられる。eScanはその後、この脆弱性が修正されたことを確認したものの、AvastではGuptiMinerによる新たな感染を引き続き観測しており、eScanクライアント側で対応が追いついていない可能性が浮き彫りになっている。

CoralRaiderと思われるキャンペーンがCDNキャッシュを利用し、情報窃取型マルウェアを配布

Cicso Taros – April 23, 2024

コンテンツ配信ネットワーク(CDN)のキャッシュを利用し、情報窃取型マルウェアを配布する進行中のキャンペーンをCisco Talosの研究者が分析した。遅くとも2024年2月に始まったこのキャンペーンは、LummaC2およびRhadamanthysの新しい亜種と、2024年1月に初めて発見されたCryptbotの亜種を使用。米国や英国、ドイツ、日本など複数国で被害が確認されている。このマルウェアは多段階の感染チェーンを通じて配信されるが、その第一段階となるのが、不正なリンクを用いたドライブバイダウンロード技術により配布されるLNKファイル。これをユーザーが開くことで、感染チェーンが開始する。なお不正なリンクは、フィッシングメールを介して送られている可能性が高い。研究者は中程度の確度で、このキャンペーンの背後に脅威アクターCoralRaiderの存在があると評価している。

GitHubのコメント、マルウェア拡散目的で悪用される

Bleeping Computer – April 20, 2024

BleepingComputerは脅威アクターがGitHubのコメント機能を悪用し、正規のGitHubリポジトリを装ってマルウェアを拡散していることを発見した。脅威アクターはプロジェクトのコミットやイシューに残されたコメントの一部に有害なファイルをアップロードすることが可能で、そうするとコメントが保存されていなくてもGitHubでダウンロードリンクが生成される。つまり脅威アクターはオーナーに気づかれることなく、あらゆるリポジトリにマルウェアを添付できることになる。このような事例を最初に確認したのはMcAfeeで、マイクロソフトのGitHubアカウントを通じてRedlineスティーラーが拡散されていた。BleepingComputerは、GitHub上のどの公開リポジトリも悪用される可能性があること、またGitLabも同じ問題の影響を受けていることが判明したと指摘している。

関連記事

Threat Report

Threat Report

Silobreaker-WeeklyCyberDigest

GitHubのコメント悪用したハッカーにより、マイクロソフトリポジトリに紐づくURLでマルウェアが配布される

Yoshida

Yoshida

2024.04.26

韓国のポータルログインページに偽装したフィッシングファイル

ASEC – April 22, 2024

ASECの研究者は、Naverを含む多数の韓国ブランドを装ったポータルサイトのログインページに扮するフィッシングファイルを複数確認した。脅威アクターは正規のWebサイトのソースコードを利用し、本物とほとんど変わらない偽ページを作成。フィッシングメール受信者のIDがすでに入力されているため、ユーザーはこれに騙されてアカウントのパスワードを入力してしまう。アカウントの認証情報はNoCodeFormを使って抜き取られ、HTML形式で攻撃者のメールまたはSlackアカウントに送信される。

バックドアCR4T、中東の複数政府組織を狙うDuneQuixoteキャンペーンで使われる

SECURELIST – April 18, 2024

カスペルスキーの研究者は2024年2月、中東の複数の政府機関を標的とした新たなキャンペーン「DuneQuixote」を確認した。遅くとも2023年2月から続いているこのキャンペーンは、通常のドロッパーとTotal Commanderツールのトロイの木馬化されたインストーラーファイルの両方を通じて、新たに発見されたメモリ専用のバックドアCR4Tを配布する。こCR4Tインプラントは、C言語で書かれたものとGo言語で書かれたものの2つのバージョンが確認されている。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up(25 April 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ