1月21日:サイバーセキュリティ関連ニュース
HPEがデータ侵害の有無を調査、同社データを販売するとのハッカーの主張受け
SecurityWeek – January 20, 2025
1月16日、悪名高いハッカーIntelBrokerがHPE(ヒューレット・パッカード・エンタープライズ)社から盗み出したデータを販売するとアナウンス。これを受け、同社はIntelBrokerの主張の真偽を確かめるための調査を開始したという。
IntelBrokerは16日、ハッキングフォーラムBreachForumsへ投稿し、HPEのデータを売りに出すと宣伝。このデータには、ZertoやiLO(Integrated Lights-Out)などの同社製品のソースコード、非公開のGitHubリポジトリ情報、デジタル証明書、Dockerビルドのほか、いくつかの個人情報も含まれていると主張した。加えて、HPEの利用するAPI、WePay、GitHub、GitLabへのアクセス権も販売するという。
この件に関してSecurityWeek紙がHPEに問い合わせたところ、同社はIntelBrokerの主張について認識していると回答。16日に同アクターの投稿を認識後、直ちにサイバーレスポンスプロトコルを発動させて関連する認証情報を無効化し、IntelBrokerの主張の真偽を評価するための調査を開始したと明かした。なお、現時点で同社の事業運営に支障は生じておらず、顧客の情報が影響を受けている形跡はないという。
IntelBrokerはこれまでにも、シスコやAMDなどを含む複数の大企業を標的にしてきた。同アクターの主張は部分的には真実である場合が多いものの、シスコやその他の被害者の事例のように、被害内容が大袈裟に宣伝されることも少なくない。
MintsLoader使った新たなキャンペーン、重要セクターの標的にStealCなどのペイロードを配布
Securityonline[.]info – January 20, 2025
PowerShellベースのマルウェアローダー「MintsLoader」を使ってStealCやBOINCクライアントを含む第2段階のペイロードを配布する新たなマルウェアキャンペーンを、eSentireの研究者らが発見。このキャンペーンでは、米国とヨーロッパにおける電気、石油・ガス、法律・リーガルサービス業界などの重要セクターが標的になっているという。
MintsLoaderは、Kongtuke/ClickFixなどのページへの有害なリンクを含むスパムメールや、JScriptファイルによって配布される。このローダーが特徴とするのはDGA(ドメイン生成アルゴリズム)を用いる点で、現在の月日と定数を組み合わせて利用し、それを基に動的にドメインを生成することができる。加えてアンチ仮想マシン(アンチVM)チェック機能も併せ持つことから、研究者にとっても追跡や分析は容易ではないという。
MintsLoaderによって配布されるペイロードの1つが、インフォスティーラーマルウェアであるStealC。このスティーラーは、以下を含む機微な情報を収集する性能を持つ。
- Webブラウザのクレデンシャル
- 暗号資産ウォレットの情報
- Eメールクライアントのトークン
- 金銭関連のデータ
同ローダーが投下するもう1つのペイロードは、BOINC(Berkeley Open Infrastructure for Network Computing)クライアント。BOINCは元々ボランティアコンピューティングのために設計されたオープンソースのミドルウェアシステムだが、今回のマルウェアキャンペーンにおいては、有害な活動を正規のトラフィックに見せかけるための隠れ蓑として使われている可能性が高いという。
eSentireのブログ記事では、各マルウェアおよび感染チェーンのさらなる詳細が提供されているほか、同社のGitHubページではIoCが共有されている。
【無料配布中!】脅威アクターレポート
脅威アクターレポート:『Actor Profile : CyberVolk. group』
2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。
<レポートの主なトピック>
- 要点
- グループ概要
✔️攻撃声明
⚪︎DDoS攻撃声明
⚪︎サイバー恐喝
⚪︎その他日本の組織への攻撃声明
✔️他グループへの協力呼びかけ
⚪︎他の不法コミュニティでの悪評
✔️ランサムウェア等の宣伝 - 評価