2022Q4 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。
2022/12/20
FateGrab/StealDeal マルウェアを使用した DELTA システム ユーザーへのサイバー攻撃 (CERT-UA#5709)
- bleepingcomputerより
- CERT-UAのレポートはこちら
- 2022 年 12 月 17 日、ウクライナ CERT-UA の政府コンピューター緊急対応チームは、ウクライナ国防省の防衛技術開発センターが「DELTAシステムのユーザをターゲットにしたマルウェア(電子メール媒介)を受け取った」という情報を受け調査を行っています。
- PDF形式の添付ファイルですが、ザポリージャ警察の ISTAR 部隊の正当なダイジェストを模倣しており、悪意のある ZIP アーカイブへのリンクが含まれているとの事です。
- DELTAシステムは、同盟国の助けを借りてウクライナが作成した情報収集および管理システムで、敵軍の動きを手助けするものです。
- IoC等はウクライナのCERT-UAレポートに記載されていますので参考にして下さい。
2022/12/17
トロイの木馬化されたWindows10インストーラがウクライナ政府を標的に
- Mandiantのブログより
- Mandiantは、トロイの木馬化されたWindows 10 の インストーラーによるウクライナ政府への攻撃を特定しました。
- これはサプライ チェーン攻撃で torrent サイト経由で配布されたとの事です。
- 脅威アクターはUNC4166 とされています。UNC4166は他とのつながりが確定していませんが、UNC4166の標的がGRU(ロシア軍参謀本部)の標的と被っているため、関連が有ると見られています。
- トロイの木馬化された ISOはウクライナ言語パックを使用しており、ウクライナが標的となっています。
- ISOには.onion TORドメインにビーコンを送信する、悪意の有るスケジュールタスクが含まれていました。
- ISOでは、WindowsマシンがMSに送信するセキュリティ情報を無効にし、自動更新とライセンス検証がブロックされていたとのことです。
2022/12/08
IEの脆弱性(CVE-2022-41128)を用いてAPT37(北朝鮮が背後にいる)が韓国を攻撃(Google TAG調査)
- Google TAGブログより
- 2022/10/31に韓国から複数の被害者がVirusTotalにマルウェアサンプルをアップロードしたとのこと。
- 「221031 ソウル龍山梨泰院事故対応状況 (06:00).docx」という文書(ハロウィーンで起こった例の事故の状況を知らせる様に見せかけたファイル)だったが、Google TAGの調査によりIEのゼロデイ脆弱性(CVE-2022-41128)を用いていたと言うことが判明したそうです。
- そもそも「未だIE使ってたんだ」と思ってしまいますが、古いブラウザなんかでも脆弱性が発見されることはよくあります。EOLになった様なソフトウェアはメンテナンスもされにくいのでかなり危険です。くれぐれもメンテナンスされなくなったソフトウェアは使わない様にしましょう。
2022/12/07
ロシア第2位の銀行「VTB」が親ウクライナハクティビストのDDoS攻撃により停止状態に
- bleepingcomputerより
- ロシア第2位の銀行「VTB」が、「ウクライナIT軍(IT Army of Ukraine)」を名乗る親ウクライナハクティビストのDDoS攻撃で停止状態になっている様です。「ウクライナIT軍」はテレグラムで犯行声明を出しています(bleepingcomputerに犯行声明の画像があります)。
- ロシア・ウクライナ紛争でお互いにITを用いた攻撃が激化しています。筆者自身としては、報復とは言えインフラに対する攻撃は良くないと思っています。いずれにしても、年末年始にかけて日本も巻き込まれる可能性は充分あるので、DDoS攻撃などの対策はしておきましょう。
2022/12/06
Microsoftが「この冬のウクライナへのロシアからのサイバー攻撃に備える」を出す
- Microsoftのブログから
- この秋のロシア・ウクライナ紛争でロシアが押されている状況から、この冬にロシアがウクライナに対してサイバー攻撃を活発化させる可能性があると、Microsoft社のブログでは注意喚起をしています。
- 特に11月に入ってからは、ミサイル攻撃で民間施設を破壊していることから、民間施設もサイバー攻撃のターゲットになる可能性が高まっている様です。ミサイル攻撃のターゲットは脅威アクターSandwormが攻撃を行ったところと重なっているとの事です。
- IoCや時系列データに関しては、Microsoft社のブログにあります。
- 日本もウクライナ寄りということから、ロシアの攻撃を受ける可能性は充分にありますので(killnetの事を思い出しましょう)、情報を早めに掴んで充分に気をつけましょう。特に年末年始は色々ありそうですし。
2022/12/04
Lazarus Group(北朝鮮が背後にいる)による暗号通貨ユーザをターゲットにした攻撃(AppleJeusマルウェア)
- VOLEXITYの記事より
- AppleJeusマルウェア(kasperskyのブログ参照)は、Lazarus Group(北朝鮮が背後にいると言われている脅威アクター)による攻撃活動で使用されています。2020年に活動が見られ、主に仮想通貨(暗号通貨)を標的にした攻撃で使用されていました。このマルウェアに変化が見られています。
- VOLEXITYの調査によると、AppleJeusマルウェアの亜種が悪意のあるMS Officeドキュメントを介して広まっているようです。
- VOLEXITYの調査によると、2022年6月、Lazarus Groupはbloxholder[.]comを登録し、暗号通貨取引のWebサイトを立ち上げました。実際にはこのWebサイトの大部分が正規のWebサイトをコピーしたものであることがわかっています。
- IoC等はVOLEXITYの記事に載っていますので、攻撃から身を守るための参考にしましょう。