2022Q4 マルウェア・ランサムウェア情報

2022/12/21

開発者を標的にしたW4SP Stealerの情報更新

• Phylumのブログより
• 情報を盗むW4SPマルウェアを混入させた悪意のあるパッケージがPyPIプラットフォームに多数混入していた話は既に11/18にニュースになっていますが（Gigazineのニュース）、更に47個のパッケージがマルウェア混入リストに追加されたそうです。つまり攻撃は未だ続いているという事です。
• マルウェア混入パッケージリスト等の情報はPhylumのブログに記載されていますので参考にして下さい。

Raspberry Robin マルウェアが通信会社と政府を標的に。サンドボックスを検出すると偽のペイロードを用いて回避

• TrendMicroのブログより
• TrendMicroでRaspberry Robinマルウェアのサンプルを発見したそうです。分析によると、メインのマルウェアルーチンに本物と偽のペイロードの両方が含まれており、サンドボックス ツールを検出すると偽のペイロードをロードして、セキュリティおよび分析ツールを回避するとのこと。実際のペイロードは難読化されたままで、その後 Tor ネットワークに接続されるそうです。
• Raspberry Robin (Trend Micro によって Backdoor.Win32.RASPBERRYROBIN.A として検出)マルウェアは、感染した USBを介して (.lnk ファイルの使用により)拡散していく様です。
• ユーザーが感染した USB をシステムに接続すると、Raspberry Robin がショートカットまたは LNK ファイルとして見える様です。LNK ファイルには、正規の実行可能ファイルを実行して マルウェアであるMSIパッケージをダウンロードする様です。
• IoC等詳しい情報はTrendMicroのブログを確認して下さい。

2022/12/17

MCCrash（MineCraftサーバへのDDoSボットネット）に注意

• Microsoftのブログより
• Windows/Linuxを標的とした、MCCrashというクロスプラットホームのボットネットが見つかったとのことです。
• ボットネットは、インターネットに公開されたSSH経由で入ってくるとのこと。
• MicrosoftではDEV-1028としてこの脅威アクターを追跡しています。
• Microsoftセキュリティブログによると、標的となったデバイスはほぼロシアに分布している様です。
• 詳細な情報はMicrosoftセキュリティブログに載っていますので参考にして下さい。また、クラウド上でインスタンスを作成する際や、IoT機器などはIPアドレス制限を掛けるなどSSHの設定に気をつけましょう。

2022/12/14

CISAがFBIと共同で出したCubaランサムウェアに関するアドバイザリを更新

• CISA情報より
• CISAが12/01にFBIと共同でリリースしたCubaランサムウェアに関するアドバイザリを更新しました。
• Cubaランサムウェアグループに関しては、2021年/2022年でもかなりの被害額が出ていることが知られています。
• CISA・FBIではCubaランサムウェアに関するTTP/IoCをアドバイザリとして出しています。是非組織の防衛に役立てて下さい。

2022/12/10

Royal Ransomwareについて米国保険省が注意喚起

• bleepingcomputer記事より
• 一次情報（米国保険省からの注意喚起PDF）はこちら
• Royal ランサムウェアは、 2022 年 9 月に初めて観測されました。 感染すると25 万米ドル (USD) から 200 万米ドルを超える範囲で恐喝を行います。Royal は、 他のランサムウェアの要素と共通する点が幾つかあり、経験豊富な脅威アクターで構成されていると思われます。
• Royal（他のランサムウェアと同じく二重恐喝型ランサムウェア） は他のランサムウェアと違い、アフィリエイトを持たないという点が特徴となっています。
• Microsoftによると、DEV-0569がRoyalランサムウェアによる攻撃も行っている様です。
• RoyalランサムウェアのIoCに関しては、Fortinetのサイトに詳しく載っていますので参考にしましょう。

2022/12/09

ワイパーマルウェア「Fantasy」と実行ツール「Sandals」

• ESETブログより
• ESETはイスラエルのソフトウェア開発者に対するサプライチェーン攻撃を分析している際に、新たにAgrius APT group（イラン政府が背後にいる可能性がある）が使用するワイパーマルウェア「Fantasy」と実行ツール「Sandals」を発見したとのこと。
• IoCなどの詳しい情報はESETブログを確認してください。

2022/12/08

複数の脆弱性を用いた「Zerobot」

• Fortinetブログより
• Fortinet Labsが複数の脆弱性を用いたGoベースのBot「Zerobot」を発見したそうです。
• 影響を受けるプラットフォームはLinuxベースのもの。重大度はCritical。
• 既にFortinet製品はIPSシグネチャ等対応しているとのことです。
• Zerobotが利用する脆弱性は下記のものとのことです。
  • CVE-2014-08361: miniigd SOAP service in Realtek SDK
  • CVE-2017-17106: Zivif PR115-204-P-RS webcams
  • CVE-2017-17215: Huawei HG523 router
  • CVE-2018-12613: phpMyAdmin
  • CVE-2020-10987: Tenda AC15 AC1900 router
  • CVE-2020-25506: D-Link DNS-320 NAS
  • CVE-2021-35395: Realtek Jungle SDK
  • CVE-2021-36260: Hikvision product
  • CVE-2021-46422: Telesquare SDT-CW3B1 router
  • CVE-2022-01388: F5 BIG-IP
  • CVE-2022-22965:Spring4Shell
  • CVE-2022-25075: TOTOLink A3000RU router
  • CVE-2022-26186: TOTOLink N600R router
  • CVE-2022-26210: TOTOLink A830R router
  • CVE-2022-30525: Zyxel USG Flex 100(W) firewall
  • CVE-2022-34538: MEGApix IP cameras
  • CVE-2022-37061: FLIX AX8 thermal sensor cameras
• マルウェアの詳しい分析やIoCはFortinetのブログを確認してください。

2022/12/03

CryWiper(偽のランサムウェア)

• Kasperskyのブログより。
• CryWiperという偽のランサムウェアが見つかった様です。これは「ランサムウェア」の様に装っていますが、実は「ワイパー型マルウェア」になります（リンクはFortinetの説明）。ロシアのウクライナ侵攻でも、AcidRain（衛星サービスプロバイダーを攻撃）の様なワイパー型マルウェアが侵攻前に使用されていました。
• このマルウェアは一般的なランサムウェアと同じ様に、ファイルを変更して .CRYという拡張子を追加します。また、身代金メモが入っているREADME.txt ファイルも保存します。しかし実際にはファイルは復元が不可能であり、「ワイパー型マルウェア」となっているとの事です。
• このマルウェアの対象はWindowsになります。マルウェアに感染すると、MySQL／MS SQL／MS Exchange／Active Directory Web サービス等のサービスが停止され、5分ごとにワイパーが起動する様にタスクスケジューラにスケジュールされる様です。
• IoCはKasperskyのサイト（ロシア語のみの提供）で見ることが出来ます。
• BleepingComputerの情報によると、このランサムウェアがロシアの市長オフィスや裁判所のシステムを攻撃している様です。（BleepingComputer記事）（ロシアのメディア記事）