5月22日:サイバーセキュリティ関連ニュース
クラウドサービス経由のマルウェア配信、Unicodeの制御文字を悪用してユーザーを欺く
The Hacker News – May 21, 2024
Securonixの研究者らは、新たな攻撃キャンペーン「CLOUD#REVERSER」が、正規のクラウドストレージサービスを利用して有害なペイロードを仕掛けていることを確認した。
この攻撃チェーンの起点は、Microsoft Excelファイルに扮した実行ファイルを含むZIPアーカイブファイルが添付されたフィッシングメール。この実行ファイルの名前にはUnicodeに定義される制御文字のRLO(U+202E)が密かに使われており、末尾の「xslx.exe」という本来の文字列が「exe.xlsx」へと入れ替わっているため、ユーザーにはExcel文書を開いているかのように見える。
このファイルから8つのペイロードが投下され、各種スクリプトが実行されていく。このうちPowerShellスクリプトの「Tmp912.tmp」および「Tmp703.tmp」は、アクターが制御するDropboxやGoogle Driveアカウントへの接続と、さらなるスクリプトのダウンロードのために使われる。そしてGoogle DriveやDropboxをファイルのアップロードやダウンロードを管理するステージングプラットフォームとして使うことで、コマンド&コントロールのような活動が行われているという。
SecuronixはThe Hacker Newsの取材に対し、調査がまだ進行中であるため、キャンペーンの規模や標的に関する情報はまだ提供できないと述べている。
今回の件により、脅威アクターが合法的なサービスを悪用して検知を回避するケースが増えていることが改めて示唆されている。
Zoom、ポスト量子エンドツーエンド暗号化を自社製品に追加
Zoomは21日、Zoom Workplaceにポスト量子エンドツーエンド暗号化(E2EE)を追加したことを発表した。この機能は、耐量子暗号アルゴリズムのKyber-768を活用したもので、現在Zoom Meetingsにおいて世界中で利用できる。
同社は2020年にZoom Meetings、2022年にZoom Phoneのエンドツーエンドの暗号化を開始して以来、この機能を利用するユーザーが増えていることから、ユーザー独自のニーズに合った安全なプラットフォームを提供することの重要性を認識していると述べている。同社はまた、今回の発表に伴ってセキュリティをさらに強化し、ユーザーのデータ保護に役立つ最先端の機能を提供していくとともに、セキュリティ脅威ランドスケープの進化に合わせて継続的に適応するとも述べた。
現在多くの企業が「Harvest Now, Decrypt Later/HNDL(現時点では暗号化された情報を収集・保存だけしておき、将来量子コンピューターが利用できるようになった時に解読を試みる、の意)」攻撃に関する懸念を抱いている。実際に量子コンピューターを用いた攻撃が行われるようになるのは数年ほど先のことかもしれないとはいえ、大手企業は油断することなく、すでに自社製品にポスト量子暗号の実装を開始している。