Threat Report

Silobreaker-CyberAlert

「BazarLoader」マルウェアがSlackやBaseCampのクラウドを悪用

Tamura

2021.04.20

サイバーアラートについて

マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する、サイバーセキュリティ関連記事のダイジェストを翻訳し、ほぼ毎日更新しています。データ漏えいインシデントの実例や、マルウェア・脆弱性・ハッカーグループの動向、現在進行中のサイバー攻撃などを取り上げています。

各記事の末尾に情報源のサイトへのリンク（赤字）が貼られています。

（リンク先のほとんどが英語のニュースサイト、ブログ、ツイッター投稿ですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。）

以下、翻訳です。

2021年4月19日

マルウェア・脅威アクタートレンド

表の見方（訳者注）

「Name」：マルウェアおよび脅威アクターの名称

「Heat 1」：過去24時間のニュースにおける注目度（*）を４段階で示します。

「Heat 7」：過去１週間のニュースにおける注目度（*）を４段階で示します。

*過去30日間の平均と比較して高ければ赤が増え、低ければ青が増えます。

「Vol 1」：過去24時間に出された記事の中で、言及された回数を示します。

「Vol 7」：過去１週間に出された記事の中で、言及された回数を示します。

データ流出

ハッカー集団

「FIN7」グループのメンバーに懲役10年の判決

Security Affairs – Apr 18 2021 13:30

ウクライナ国籍のFedir Hladyr (35)は、金銭的な動機を持つグループ「FIN7」（別名「Carbanak」）での行動について、本日、懲役10年の判決を受けた。

「ロシアGRUの29155部隊が2014年のチェコ爆発に関与」との報道に関するツイート

a_greenberg – Twitter – Apr 18 2021 10:02

@a_greenbergがツイート。「もしこれが今でもあまり明白ではないのなら（私には毎年少しづつ明白になってきている）、29155部隊のようなGRUの人殺しの全く反社会的な無謀さは、74455部隊（別名「Sandworm」）のようなGRUのハッカーにおける同じ考え方を説明するのにとても役立つ。」

「FIN7」のダミー企業「Combi Security」に関するツイート

thegrugq – Twitter – Apr 19 2021 01:10

「FIN7」のダミー企業「Combi Security」が犯罪組織ということに、正社員が本当に気づいていなかったとは考えにくいと、@ItsReallyNickがツイート。

これに対し、@thegrugqが次のように返信。

「連中は明らかに気づいていました。『FIN7』について記事を書いた際、このことについて詳しく書きました。」

マルウェア

「BazarLoader」マルウェアと「Trickbot」運用担当者に関連性？

Security Affairs – Apr 18 2021 08:54

securityaffairs – Twitter – Apr 18 2021 19:21

Slack や BaseCamp などの人気コラボレーションツールを悪用して「BazarLoader」マルウェアを配信するマルウェアキャンペーンについて、専門家が警告している。1月以降、コラボレーションツールを悪用してマルウェア「BazarLoader」を配信するマルウェアキャンペーンが観測されている。

「Saint Bot」ダウンローダー – 新たなサイバー脅威の出現

Cyware – Apr 18 2021 20:28

サイバー犯罪領域における急速な技術の進歩に伴い、攻撃者は高度なマルウェアを迅速に開発・展開する新しい方法を考え出している。最近、セキュリティ研究者は、「Saint Bot」と呼ばれる新たなマルウェアを確認し…

「BazarLoader」マルウェアがSlackやBaseCampのクラウドを悪用

Securityblog – Twitter – Apr 18 2021 09:53

脆弱性

「ProxyLogon」の欠陥が、暗号通貨Moneroを狙うキャンペーンで悪用される

Security Affairs – Apr 18 2021 17:51

securityaffairs – Twitter – Apr 18 2021 17:53

標的を絞った脅威アクターたちが、暗号通貨Moneroのマイナーを展開するため、Microsoft Exchange サーバーの脆弱性「ProxyLogon」を悪用している。Sophos の研究者の報告によると…

ロシア関連APTの「SVR」が盛んに狙う5つの欠陥

securityaffairs – Twitter – Apr 18 2021 09:00

「SVR」は「APT29」「Cozy Bear」「The Dukes」とも呼ばれる。

記事で挙げられている5つの欠陥と製品は次の通り。

CVE-2018-13379 Fortinet

CVE-2019-9670 Zimbra

CVE-2019-11510 Pulse Secure

CVE-2019-19781 Citrix

CVE-2020-4006 VMware

「高度」なハッカーたちが、おそらく政府ネットワークへの侵入を試みるため Fortinet の欠陥を使用　FBIが警告

CyberScoopNews – Twitter – Apr 18 2021 12:02

@CyberScoopNewsは次のようにツイート。

「FBIから残念なニュース：『高度な（Advanced）』ハッカーたちが人気セキュリティ製品の欠陥を利用し、政府ネットワークに侵入を試みている。」

進行中のキャンペーン

「Ryuk」ランサムウェアを2021年の攻撃から詳細分析

DataBreaches.net – Apr 18 2021 19:05

Vitali Kremez氏, Al Calleo氏, Yelisey Boguslavskiy氏がレポート。

本レポートでは、「Ryuk」ランサムウェア亜種における新旧の戦術・技術・手順（TTPs）のいくつかを説明する。…

クレデンシャル・スタッフィング攻撃と戦う行動的生体認証（Behavioral Biometrics）

InfosecurityMag – Twitter – Apr 18 2021 10:30

バックドアを仕掛けられたdsniff、 fragroute、 fragrouter

dinodaizovi – Twitter – Apr 18 2021 16:39

“HelpNetSecurity”の2002年の記事「バックドアを仕掛けられたdsniff、 fragroute、 fragrouter」 (*)に関連して、@dinodaizoviがツイート。

「上流のアーティファクトから独立した暗号チェックサムの流通チャンネルに関する、現実的なセキュリティには、ある大きな教訓がある。それは全てを予防するとは限らないが、サプライチェーン攻撃から防衛するための良いツールだ。」

「Babuk」ランサムウェアが Phone House Spain を直撃　ユーザー300万人に影響

DataBreaches.net – Apr 18 2021 19:05

ニュースが明るみに出る前、 SuspectFile はすでに金曜朝に Phone House Spain に連絡し、攻撃を知らせようとしたが駄目だった。600万ドルの身代金を払わない場合、…

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

翻訳元 : Cyber Alert
https://www.silobreaker.com/silobreaker-cyber-alert-19-april-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/