-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月27日:サイバーセキュリティ関連ニュース
サイバースパイRedCurl、Hyper-Vサーバーを暗号化するランサムウェアを作成
BleepingComputer – March 26, 2025
2018年以降、密かに企業データを盗み取るスパイ活動に従事してきた脅威アクター「RedCurl」が最近、Hyper-Vの仮想マシンを標的としたランサムウェア暗号化ツールを使用するようになったという。Bitdefender Labsが報告した。
Bitdefenderによれば、RedCurlは大半のケースにおいて世界各地の企業を標的にデータ窃取を行うというこれまで通りの活動を行ってきたものの、1件の事例ではこのルーティンを破り、初めてランサムウェアを展開したという。攻撃はまず、履歴書に見せかけた「.IMG」ファイルが添付されたフィッシングメールでスタート。このファイルに含まれるスクリーンセーバーファイルが、正規のAdobe実行ファイルを用いたDLLサイドローディングによってペイロードをダウンロードし、スケジュールされたタスクを介して永続性が確立される。その後RedCurlは「living-off-the-land」ツールを用いてWindows上でのステルス性を維持し、wmiexecのカスタム版亜種を利用してセキュリティツールをトリガーすることなくラテラルムーブメントを実施。またトンネリング/RDPアクセスにはツール「Chisel」が使われ、ランサムウェアの展開前の段階では、暗号化された7zのアーカイブと多段階のPowerShellプロセスによって防御ツールの無効化が試みられる。
仮想プラットフォーム対応のランサムウェアの多くがVMware ESXiを標的にしているのに対し、「QWCrypt」と名付けられたRedCurlのランサムウェアが狙うのはHyper-V上でホストされる仮想マシン。また多数のコマンドライン引数に対応している点も、その他多くのWindows向けランサムウェアとは異なる。この性能により攻撃の内容をカスタマイズできるようになっており、Bitdefenderが観測した攻撃においては、「–excludeVM」引数が使われ、ネットワークゲートウェイとしての役割を担っていた仮想マシンの暗号化が意図的に回避されていた。これは、ネットワークゲートウェイの稼働を妨げず、エンドポイントの暗号化を避けることによって、障害が広範に及ぶことやユーザーに気付かれることを防ぐための試みだったのではないかと考えられている。
QWCryptはXChaCha20-Poly1305暗号化アルゴリズムを用いてファイルを暗号化後、当該ファイルに「.locked$」または「.randombits$ 」という拡張子を追加し、「!!!how_to_unlock_randombits_files.txt$」という名称のランサムノートを作成。これには、LockBitやHardBit、Mimicのランサムノートから抜き出されたテキストが含まれているという。ただし、二重恐喝のための専用のリークサイトは存在しない。
RedCurlがランサムウェアを取り入れ始めた理由について、Bitdefenderは以下2通りの仮説を立てているとのこと。
- ①RedCurlは第三者へサービスを提供する「傭兵」グループとして活動しており、顧客の要望に応じてスパイオペレーションや金銭目当てのサイバー攻撃が行われる。
- ②RedCurl自身が金銭獲得を目的にランサムウェア活動に従事している。この場合、前述のように公のデータリークサイトは持たないことから、非公開で身代金交渉を行っているものと考えられる。
GitLab、深刻度の高いXSSや特権昇格の脆弱性にパッチ(CVE-2025-2255、CVE-2025-0811他)
Securityonline[.]info – March 26, 2025
GitLabは26日、セキュリティアドバイザリをリリースして複数の脆弱性について注意喚起。セルフマネージドのコミュニティ版およびエンタープライズ版ユーザーに対し、最新のバージョン17.10.1、17.9.3、または17.8.6への早急なアップグレードを呼びかけた。
今回修正された中で特に深刻度が高いのがクロスサイトスクリプティング(XSS)の脆弱性であるCVE-2025-2255とCVE-2025-0811で、いずれもCVSSスコアは8.7。前者はmerge-requestのエラーメッセージを通じたXSSに起因する問題で、悪用された場合、細工されたエラーメッセージを介した悪性スクリプトの注入が可能になる。影響を受けるのは13.5.0以降、17.8.6より前のバージョンと、17.9以降で17.9.3より前、および17.10以降17.10.1前のバージョン。
2つ目のCVE-2025-0811は、特定のファイルタイプの不適切なレンダリングによるXSSに関する脆弱性。攻撃者はこれを悪用することで、ユーザーのブラウザ内で悪意あるコードを実行できるようになる可能性がある。影響を受けるのは17.7以降17.8.6より前のバージョン、17.9以降17.9.3より前、および17.10以降17.10.1前のバージョン。
GitLabは上記以外にも、特権昇格の脆弱性CVE-2025-2242(CVSSスコア 7.5)や、外部ユーザーによる内部プロジェクトへのアクセスを許す脆弱性CVE-2024-12619(CVSスコア 5.2)など数件の脆弱性に対処している。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
