米国際開発庁になりすます、Nobeliumのフィッシングキャンペーン | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 米国際開発庁になりすます、Nobeliumのフィッシングキャンペーン

Threat Report

Nobelium

Silobreaker-CyberAlert

SolarWinds

米国際開発庁になりすます、Nobeliumのフィッシングキャンペーン

Tamura

Tamura

2021.05.31

サイバーアラートについて

マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する、サイバーセキュリティ関連記事のダイジェストを翻訳し、ほぼ毎日更新しています。データ漏えいインシデントの実例や、マルウェア・脆弱性・ハッカーグループの動向、現在進行中のサイバー攻撃などを取り上げています。

 

各記事の末尾に情報源のサイトへのリンク(赤字)が貼られています。

(リンク先のほとんどが英語のニュースサイト、ブログ、ツイッター投稿ですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。)

 

以下、翻訳です。

 

2021年5月30日

マルウェア・脅威アクタートレンド

 

表の見方(訳者注)

「Name」:マルウェアおよび脅威アクターの名称

「Heat 1」:過去24時間のニュースにおける注目度(*)を4段階で示します。

「Heat 7」:過去1週間のニュースにおける注目度(*)を4段階で示します。

*過去30日間の平均と比較して高ければ赤が増え、低ければ青が増えます。

「Vol 1」:過去24時間に出された記事の中で、言及された回数を示します。

「Vol 7」:過去1週間に出された記事の中で、言及された回数を示します。

 

 

データ流出

米国際開発庁になりすますフィッシングキャンペーンに関するツイート

dinodaizovi – Twitter – May 29 2021 19:01

@dinodaizovi が @ErrataRob による次のようなツイートを引用。

「パスワードの再利用は慢性的な問題だ。もし ” http://ashainfo.gov “が ” http://canva.com” で使用するパスワードと同一のものを Constant Contact で利用していたとしたら、今回の『ハッキング』がどのようにして起こったかが分かる。これは非常によくある、簡単な攻撃であり、『エスカレート』の象徴ではない。」

@ErrataRob は、have i been pwned の検索ボックスに「http://ashainfo.gov」が入力された様子を写した画像を、このツイートに添付。

 

Bose のシステムをランサムウェアが強制的にオフラインに 元従業員6人の個人データに不正アクセス被害

CyberScoopNews – Twitter – May 29 2021 22:02

Bose のシステムをランサムウェアが強制的にオフラインに 元従業員6人の個人データに不正アクセス被害

hxxps://www[.]cyberscoop[.]com/bose-ransomware-hack-letter/ hxxps://twitter[.]com/CyberScoopNews/status/1398761582885232641/photo/1

 

データ流出とは何か 発生を予防する方法と、導入すべきプロテクションツール

Imperva – Twitter – May 29 2021 21:35

サイバーセキュリティ企業の imperva がデータ流出とその対策について説明。

 

メリーランド大学ボルチモア校が Accellion のデータ流出に関する通知を更新 PIIとPHIが巻き込まれたと判明したこと受け

Office of Inadequate Security – May 29 2021 11:51

DataBreaches[.]net は4月1日、メリーランド大学ボルチモア校が「CLOP」のハッキングと Accellion のクライエントデータの流出による影響を受けた教育機関の1つだと報じた…

 

 

ハッカー集団

アノニマス・インドネシアのデイリーニュース

anon_indonesia – Twitter – May 30 2021 03:16

アノニマス・インドネシアのデイリーニュース

hxxps://paper[.]li/anon_indonesia/1435572762?edition_id=74293430-c0f5-11eb-ae66-fa163e6ccaff

 

「NOBELIUM」の初期ステージの最新ツールセットを解剖 – マイクロソフト・セキュリティー

Reddit – BlueTeamSec – RSS – May 29 2021 07:56

bartblaze – Twitter – May 29 2021 10:47

@MsftSecIntel (Microsoft Security Intelligence)が次のようにツイート。

「『NOBELIUM』による活発なEメールベースの攻撃をマイクロソフトは監視し続けます。新たなブログ記事で、私たちは『NOBELIUM』が使用する独特の感染チェーンを象徴する4つのツール(『EnvyScout』、『BoomBox』、『NativeZone』、『VaporRag』)を特集します。」

https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/

 

米国際開発庁になりすます、「Nobelium」による進行中のフィッシングキャンペーンについてマイクロソフトが注意喚起

ZDNet – Twitter – May 29 2021 08:30

 

 

マルウェア

前進を続ける「Qakbot」

curtw – Twitter – May 29 2021 16:28

「『Qbot』は Defender のエミュレーションを検出するため GetFileAttributesW “C:\INTERNAL\__empty” を使用しているものと思われる」と@Hexacorn がツイート。

 

「REvil」ランサムウェアグループに今年支払われた身代金の最小額は ~500ドル相当のXMR

malwrhunterteam – Twitter – May 29 2021 17:27

 

「Prometheus – group of REvil」について

JAMESWT_MHT – Twitter – May 29 2021 10:36

@malwrhunterteam が「Prometheus – group of REvil」のランサムノートやリークサイトの特徴についてツイート。

 

脅威スポットライト:アイルランドHSE攻撃で使われた「Conti」ランサムウェア | Malwarebytes Labs 

Securityblog – Twitter – May 29 2021 17:38

脅威スポットライト:アイルランドHSE攻撃で使われた「Conti」ランサムウェア | Malwarebytes Labs

hxxps://blog[.]malwarebytes[.]com/threat-spotlight/2021/05/threat-spotlight-conti-the-ransomware-used-in-the-hse-healthcare-attack/

 

 

脆弱性

CVE-2021-33564 Ruby gemの Dragonfly(1.4.0 より前)に引数インジェクションの脆弱性 

CVEnew – Twitter – May 29 2021 14:45

Ruby gemの Dragonfly(1.4.0 より前)にある引数インジェクションの脆弱性により、 verify_url オプションが無効の場合に、細工した URL を介してリモートの攻撃者が任意のファイルを読み書きすることが可能になる。これにより、コードが実行される可能性がある。…

hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-33564 

 

 Siemens、「サンドボックス」保護を回避するPLCの重大な欠陥にパッチ

Securityblog – Twitter – May 29 2021 17:35

Siemens、「サンドボックス」保護を回避するPLCの重大な欠陥にパッチ

hxxps://www[.]darkreading[.]com/physical-security/siemens-patches-major-plc-flaw-that-bypasses-its-sandbox-protection/d/d-id/1341161

 

CVE-2021-31703 Frontier ichrisの 5.18で、ユーザーが悪意のある実行ファイルをアップロード可能 

CVEnew – Twitter – May 29 2021 14:45

Frontier ichrisの 5.18では、ユーザーが悪意のある実行ファイルをアップロードすることができる。これがのちにクライアントユーザーによってダウンロードされ、実行される恐れがある。

hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-31703

 

CVE-2021-30461 24.61 より前の VoIPmonitor のウェブ UI にリモート・コード実行の問題 

CVEnew – Twitter – May 29 2021 13:45

24.61 より前の VoIPmonitor のウェブ UI にリモート・コード実行の問題が発見された。recheck オプションが使用されると、ユーザーが提供した SPOOLDIR 値(PHP コードが含まれている可能性がある)が config/configuration.php に注入される。

hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-30461

 

 

進行中のキャンペーン

「Avaddon」ランサムウェアの攻撃を受け、メキシコの宝くじ機関が海外のIPへのアクセスを遮断

TechNadu – May 29 2021 09:03

「Avaddon」がメキシコの国営宝くじ機関を攻撃し、すでにサイト上の機密文書が流出している。政府は、その後のDDoS攻撃からの防御を期待して、すべての海外のIPアドレスへのアクセスをブロックすることで対応した…

 

バックドア攻撃のトリガーと周波数領域

Securityblog – Twitter – May 29 2021 17:43

GitHub – YiZeng623が投稿 / バックドアの周波数領域に関する分析:

私たちは、深層学習におけるバックドア攻撃の既存のトリガーのほとんどが、周波数領域において深刻なアーティファクトを含んでいることを発見した。このレポでは、これらのアーティファクトを利用して、より強力なバックドア防御と攻撃を開発する方法を探る。

hxxps://github[.]com/YiZeng623/frequency-backdoor

 

ご注意を:ウォルマートのフィッシング攻撃では、「あなたの荷物を配達することができませんでした」というメッセージが使われる

BleepingComputer.com – May 29 2021 18:41

あなたの個人情報を盗もうとし、さらなるフィッシング攻撃のためにあなたのEメールを認証する、ウォルマートに対するフィッシングキャンペーンが発生しています[…]

 

「SolarWinds」の攻撃に関与した脅威グループが新たなフィッシングキャンペーンを開始

Security Bloggers Network – May 29 2021 13:35

 

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

 

翻訳元 : Cyber Alert 

https://www.silobreaker.com/silobreaker-cyber-alert-30-may-2021/

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/

 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ