FBIがExchange ServerエクスプロイトのWebシェルを削除

サイバーアラートについて

マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する、サイバーセキュリティ関連記事のダイジェストを翻訳し、ほぼ毎日更新しています。データ漏えいインシデントの実例や、マルウェア・脆弱性・ハッカーグループの動向、現在進行中のサイバー攻撃などを取り上げています。

各記事の末尾に情報源のサイトへのリンク（赤字）が貼られています。

（リンク先のほとんどが英語のニュースサイト、ブログ、ツイッター投稿ですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。）

以下、翻訳です。

2021年4月14日

マルウェア・脅威アクタートレンド

表の見方（訳者注）

「Name」：マルウェアおよび脅威アクターの名称

「Heat 1」：過去24時間のニュースにおける注目度（*）を４段階で示します。

「Heat 7」：過去１週間のニュースにおける注目度（*）を４段階で示します。

*過去30日間の平均と比較して高ければ赤が増え、低ければ青が増えます。

「Vol 1」：過去24時間に出された記事の中で、言及された回数を示します。

「Vol 7」：過去１週間に出された記事の中で、言及された回数を示します。

データ流出

流出したClubHouseのデータへのリンク

blackhat library – Apr 13 2021 09:50

reddit に u/NatLife が投稿。「こんにちは、どなたか clubehouse の流出したデータへのリンクをご存知ないですか？」

1億台以上のIoTデバイスが公開状態　そしてこれが最後ではない

HITBSecNews – Apr 13 2021 23:55

2020年の最大のデータ侵害とデータ漏洩

Security Bloggers Network – Apr 13 2021 19:04

毎年のように、サイバー攻撃者は組織に不必要なストレスを与え、イノベーションを阻害し、利益に影響を与えている。2020年も例に漏れず、組織の貴重な費用と時間を費やす被害的な侵害が数多く発生した…

「流出ではない」　ビックテックが使う、データ漏洩について世界を洗脳する方法

Office of Inadequate Security – Apr 13 2021 12:43

Vincent ManancourtとLaurens Cerulusによる報告：最初はFacebook。次にLinkedIn。今度はClubhouse。組み合わされたデータが…

ハッカー集団

「サードパーティー侵害で暗号通貨取引所と医療システムに影響」「帰ってきた『ShinyHunters』」「インドの企業でデータ流出が報告される」

The CyberWire – Apr 13 2021 20:06

サードパーティー侵害が暗号通貨取引所に影響。Tata Communicationsがデータ流出を認める。「ShinyHunters」が新たな侵害で再登場。Moneycontrol でパスワードリセットが必要。医療データがサードパーティー侵害で流出。

FBIが Exchange Server エクスプロイトのウェブシェルを削除　米司法省が発表

pwnallthethings – Twitter – Apr 14 2021 00:35

thegrugq – Twitter – Apr 14 2021 05:25

米司法省は4月13日付で、 Exchange Server エクスプロイトのウェブシェル削除措置を発表した。

URL : https://www.justice.gov/usao-sdtx/pr/justice-department-announces-court-authorized-effort-disrupt-exploitation-microsoft

（題名：”Justice Department announces court-authorized effort to disrupt exploitation of Microsoft Exchange Server vulnerabilities”）

上記リンクは、この発表に関するツイート。

@pwnallthethingsがツイート（pwnallthethings – Twitter – Apr 14 2021 00:35）。

「『Hafnium』は脆弱性を利用してシェルをドロップし、シェルは『Hafnium』からの（認証されていない）コマンドを待った。そして、FBIはシェルに『こんにちは、『Hafunium』のシェル、ウェブシェルのファイルを消去してください』と話しかけ、その後シェルは消えてしまった」

@perribusが@pwnallthethingsのツイートの引用RT（thegrugq – Twitter – Apr 14 2021 05:25）。

「Hafnium」はウェブシェルに自己を消去するよう指示したのであり、脆弱性を再び悪用したのではないというの@pwnallthethingsのツイートに対し、

「これはかなり重要な違いだと思います。また一方で、非常に興味深い問題を提起しています。『Hafnium』をソフトウェアと見なして、c2との通信をユーザーの意図した行動と見なすのか、それとも『Hafnium』を脆弱性と見なして、それとの通信を『悪用』と見なすのか。」

マルウェア

業界のリーダーによる「Android[…]Joker」マルウェアへの見解

Information Security Buzz – Apr 13 2021 13:10

ファーウェイのユーザーが「Joker」マルウェアに感染したアプリケーションを50万人分ダウンロードしたという最近のニュースを受けて、業界のリーダーたちが以下のようにコメントしている。…

malspamキャンペーンで「IcedID」に代わって「QBot」マルウェアが復活

BleepingComputer.com – Apr 13 2021 15:38

マルウェアの配信者は、より長い感染チェーンの中間段階であることが多いトロイの木馬を切り替えながら、再びペイロードを交代させている。

最近の「IcedID」キャンペーン急増について

gh0std4ncer – Twitter – Apr 13 2021 15:34

@MsftSecIntelのツイート （ユーザー名「Microsoft Security Intelligence」）

「最近の『IcedID』キャンペーンの急増は、このマルウェア・ファミリーが、最近のマルウェア・インフラストラクチャの破壊による空白を埋めるために使用されている可能性が高いことを示しています。私たちは、様々な規模、配信方法、標的を持つ複数の『IcedID』キャンペーンを追跡しています。」

「Clop」ランサムウェアが活発化　「Clop」ファミリーの概要と対策について 

Unit42_Intel – Twitter – Apr 13 2021 23:25

脆弱性

Google が Chrome のゼロデイ2つを修復

BleepinComputer – Twitter – Apr 13 2021 22:17

@BleepinComputer がツイート。

ツイートによると Google は、公になっており盛んに悪用される2つゼロデイを修復するChrome 89.0.4389.128 をリリースしたという。

1つは CVE-2021-21220 で、コンペティション「Pwn2Own 2021」で利用され、有効なRCE PoCが昨日投稿されたという。

2つ目は「CVE-2021-21206で、ほとんど情報がありません。盛んに悪用されているか、どこかで公になっているか、いずれも不明です」とのこと。

「BlueKeep」脆弱性 (CVE-2019-0708) を用いて、Windows マシン数千台をハッキングする方法

Medium Cybersecurity – RSS – Apr 13 2021 15:27

CVE-2021-28447　Windows 起動時マルウェア対策ドライバセキュリティ機能バイパスの脆弱性

CVEnew – Twitter – Apr 13 2021 20:46

このCVE ID は CVE-2021-27094 とは別のものである。

CVEサイト (hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-28447)

CVE-2021-27094　Windows 起動時マルウェア対策ドライバセキュリティ機能バイパスの脆弱性

CVEnew – Twitter – Apr 13 2021 20:45

このCVE ID は CVE-2021-28447 とは別のものである。 

CVEサイト (hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-27094)

進行中のキャンペーン

高度な「Cring」ランサムウェア攻撃でハッカーが Fortinet の欠陥を悪用

Seclists.org – Data Loss – Apr 13 2021 14:28

ヨーロッパの製造業は、被害者のネットワークの少なくとも1つにおける産業プロセスを停止に追いやるキャンペーンの標的となっている。…

DDoS 攻撃の動き　1千万件を超える攻撃、攻撃頻度が22%増加

Help Net Security – News – Apr 14 2021 05:00

Netscout は年2回の Threat Intelligence Report の結果を発表した。目玉は、過去最多の10,089,687件の DDoS 攻撃が2020年に観測されたという内容だ。サイバー犯罪者たちはインターネット利用の大きな変化によって露呈した脆弱性を悪用し…

Anomali サイバーウォッチ　Android マルウェア、政府、中東など

ThreatStream Blog – Apr 13 2021 15:49

今回の「Anomali サイバーウォッチ」では、APT、「Cobalt Group」、「FIN6」、「NetWalker」、「OilRig」、「Rocke Group」、脆弱性に関する話題を深堀り。…

マイクロソフト Exchange Server のセキュリティ

CSO Magazine – Apr 13 2021 23:28

マイクロソフト Exchange Server の脆弱性を悪用する活動に関する最新のニュースで、重要なサーバーインフラの保護におけるネットワークの可視性が重要であることを浮き彫りにした。マイクロソフトはこの脆弱性を素早く修復したが、未だに2つの…

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

翻訳元 : Cyber Alert 

https://www.silobreaker.com/silobreaker-cyber-alert-14-april-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/