2023Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2023.01.01

2023/03/23

新たなPowerMagic / CommonMagicマルウェアがウクライナを襲う

  • Kasperskyのブログはこちら
  • Kasperskyの調査によると、ウクライナ側の行政機関が PowerMagic バックドアと CommonMagic フレームワークで攻撃されているとのことです。
  • Kasperskyが2022 年 10 月に、ドネツク、ルガンスク、クリミア地域にある政府、農業、運輸組織での活発なマルウェア感染を特定したそうです。
  • IoC等の詳細な説明はKasperskyのブログにありますので目を通しておいたほうがいいかと思われます。

ClopランサムウェアグループがSaks Fifth Avenueへの攻撃を主張

  • bleepingcomputerより
  • ClopランサムウェアグループがGoAnywhere MFTの脆弱性(CVE-2023-0669)を悪用し、Saks Fifth Avenueへの攻撃を行ったと主張しています。
  • 一方、Saks Fifth Avenueによると盗まれたデータはフェイクのデータであり、実際の顧客のデータが盗まれたわけではないと述べています。

2023/03/17

CISA+FBIが#StopRansomware: LockBit 3.0 をリリース

  • CISAのサイトより
  • CISAとFBIが共同で行っている#StopRansomwareですが、LockBit 3.0の情報が載っています。TTP等も載っていますので、是非参考にしてください。

2023/03/15

CISAがRansomware Vulnerability Warning Pilot(RVWP)の作成を発表

  • CISAのプレスより
  • 2023/03/13にCISAがランサムウェア脆弱性警告のパイロット(RVWP)作成を発表しました。
  • CISA はRVWPを通じて、重要インフラに対してランサムウェアが侵入の際に関連する脆弱性を特定し、影響を受ける重要インフラの所有者に通知します。
  • この活動はCIRCIAの一貫です。
  • RVWPのサイトはこちらになります

2023/03/12

GoBruteforcer: Golang ベースのボットネットが Web サーバーを標的に

  • PaloAlto Unit42より
  • Unit42がGolang ベースのマルウェアの新しいサンプルを発見し、GoBruteforcerと命名しました。
  • これはGo言語で出来ており、phpMyAdmin、MySQL、FTP、Postgres サービスを実行している Web サーバーをターゲットにしています。
  • GoBruteforcer マルウェアのサンプルは、 UPX Packer で圧縮されているそうです。
  • IoC等細かい情報はPaloAlto Unit42のブログに載っていますので参考にしてください。

2023/03/09

Emotetが3ヶ月ぶりに活動を再開

  • bleepingcomputerより
  • Emotet オペレーションが3 か月ぶりに、3/7(火)の朝から再び悪意のある電子メールをスパム送信し、ネットワークを再構築して世界中のデバイスに感染させている様です。
  • 今回の攻撃では、以前のように返信メールを使用する代わりに、請求書を装ったメールを利用している様です。
  • 再びEmotet関連が騒がしくなる可能性がありますので、今の間にAntiVirusソフトの更新や、ユーザへの教育を行っておいたほうが良いでしょう。

2023/03/07

先週は作業に忙殺されていて更新が出来なかったため、一週間分を纏めて更新します。

新たなExfiltrator-22ツールがLockBitランサムウェアにリンク

  • bleepingcomputerより
  • Post-Exploitフェーズで使用される、企業内にランサムウェアをばらまく際に使われる「Exfiltrator-22」ツールがLockBit 3.0ランサムウェアに紐付けられたそうです。
  • Exfiltratorには以下のようなものが含まれるそうです(抜粋)
    • 昇格された特権でのリバース シェルの確立
    • 侵害されたシステムにファイルをアップロード
    • ホストから C2 にファイルをダウンロード
    • キーロガーを有効にして、キーボード入力をキャプチャ
  • より詳しい情報に関しては、bleepingcomputerの記事を参考にしてください。

2023/02/26

未知の攻撃者がPureCrypterダウンローダとDiscordを使って政府機関を攻撃

  • Melon Securityのサイトより
  • Menlo Labsが、PureCrypterダウンローダーとDiscordを介して未知の攻撃者が政府機関を標的とする攻撃キャンペーンを行っていることを発見しました。
  • IoC及び詳細な分析結果はMelon Securityのサイトから確認できます。

2023/02/21

Microsoft IIS の機能を悪用してバックドアを作るFrebniisマルウェア

  • Symantecブログより
  • SymantecがMicrosoft IISを悪用して、標的にバックドアを展開する新しいマルウェアを確認しました。SymantecはこのマルウェアをFrebniis (Backdoor.Frebniis)と呼んでいます。
  • Frebniis は、Failed Request Tracing が有効になっていることを確認し、w3wp.exe (IIS) プロセス のメモリにアクセスして、Failed Request Event Buffering コード (iisfreb.dll) がロードされているアドレスを取得します。 このアドレスを使用して、Frebniis は関数ポインタ テーブルを検索し、コードをハイジャックします。
  • Frebniisの詳しい動き等はSymantecのブログを参照してください。

2023/02/13

ClopランサムウェアがGoAnywhereの脆弱性(CVE-2023-0669)を利用して複数の組織に侵入

  • bleepingcomputerより
  • Clop ランサムウェアグループが、GoAnywhere の脆弱性(CVE-2023-0669)を悪用し、130 を超える組織からデータを盗んだと述べています。
  • Clopランサムウェアに関してはPaloAltoのサイトが詳しいので確認してください。

2023/02/10

TA886という脅威アクターに関する情報が公開

  • Proofpointのブログより
  • Proofpointが、新しい脅威アクターである TA866 の追跡を開始して情報を共有しています。
  • この活動は金銭目的の様で、Proofpointでは2022年10 月に初めてキャンペーンを観測しています。活動は2023 年まで続いています。
  • TA866 は、WasabiSeed や Screenshotter などのカスタム ツールセットを使用して、ボットやスティーラーをインストールする前に、スクリーンショットを介して被害者の活動を分析します。
  • IoCがProofpointのブログにありますので参考にして下さい。

2023/02/09

「QakNote」と呼ばれる新しい QBot マルウェアキャンペーン

  • Sophosのブログより
  • 「QakNote」と呼ばれる新しい QBot マルウェア キャンペーンが先週から観測されており、悪意のある Microsoft OneNote の「.one」添付ファイルを使用してシステムにトロイの木馬を感染させている様です。
  • SophosのサイトにメールのスクリーンショットやIoCなど細かい情報が載っていますので、参考にして下さい。

2023/02/06

Lockbit Ransomwareの亜種「Lockbit Green」。Contiソースコードベース

  • bleepingcomputerより
  • 新しい LockBit の亜種として、「LockBit Green」が出てきているようです。こちらの「LockBit Green」は以前に流出し現在はギャングが解散した(とされている)Contiランサムウェアのソースコードが流用されているようです。
  • 昨年に引き続き、今年もLockBitに悩まされそうです。気をつけましょう。

2023/01/28

Windows 検索ツールの「Everything」を悪用するMimic ランサムウェア

  • トレンドマイクロのブログより
  • Trend Micro の研究者は、Voidtools が開発した Windows ファイル名検索エンジンである Everything と呼ばれるAPI を悪用する、新しいランサムウェアを発見しました。
  • Mimic は、複数のバイナリとパスワードで保護されたアーカイブ (Everything64.dll に偽装) をドロップする実行可能ファイルとして届きます。このアーカイブにはランサムウェアのペイロードが含まれます。 また、Windows Defenderをオフにするツールも含まれています。
  • 詳しい情報は、TrendMicroのページをご確認ください。

2023/01/10

Kinsingマルウェアが使用するKubernetes環境の初期アクセスベクター

  • Microsoftのブログより
  • Microsoftの観測により、Kubernetes環境でのKinsingマルウェア(Linuxが標的)の初期アクセスベクターとして下記のものが見つかっています。詳細はMicrosoftのサイトを確認して下さい。
    • 脆弱性の有るイメージを使用する
    • 脆弱な設定になっているPostgreSQLコンテナを使用する

2023/01/03

2022のランサムウェア攻撃傾向と「ランサムウェア」概念の変更

  • EMISOFTのブログより
  • 2022で米国では以下のセクターがランサムウェア攻撃を受けたようです。
    • 105の自治体
    • 44の大学/専門学校
    • 1,981 校を運営する 45 の学区
    • 290 の病院を運営する 25 の医療提供会社
  • 最後のセンテンスで「(意訳)今日の攻撃は複雑で、人間主導のデータ盗難であることが多く、暗号化が発生したとしても、攻撃チェーンの最後のステップです。 別の言い方をすれば、通常データを暗号化するグループによって攻撃が実行された場合でも、攻撃は流出のみである可能性があります。つまり、ランサムウェア グループによるランサムウェアレス攻撃があるということです。」という箇所は響きますね。実際、筆者が2022年に攻撃の記事を追いかけている間でも、暗号化よりも情報の盗難、という箇所に重点が置かれているケースが多かったと思います。
  • お年玉で公開した資料でも書いていますが、今後は、「”ランサムウェアによる攻撃”だったから、暗号化対策でバックアップが〜」も「攻撃を受けて”暗号化されているシステム”がこのマシンだけだったから被害はコレだけ〜」も意味をなさなくなるのではないかと思います。

2023/01/01

お年玉企画。2022Q2のランサムウェア情報(PPTX プレゼン資料)を公開。改変・二次使用等お好きに。

  • 2022年7月頃にSIOS/STI社内向けに行ったランサムウェアセミナー「2022Q2 ランサムウェア情報」の資料を公開しました。資料はこちらのサイトで公開します(18Mbyteありますので大きいかも)。(SlideShareはログインが必要だったりするので止めましたが、一応残してあります)。
  • 敢えてPPXで公開しています(Google Slideからの変換なので、フォーマットは微妙かも)。改変や二次使用等、全てOKです。引用元等で「SIOS Technology 面 和毅」を記載頂ければ嬉しいです。
  • RansomOpsの話やLockBitの変遷/Contiの変遷、Contiの感染のStepbyStep(Sophosのブログより)等を書いています。
  • 最終的に現在のランサムウェアにはバックアップ・メール対策だけでは足りず、他のソリューションと組み合わせる必要が有るという話を書いています。興味がありましたら是非御確認下さい。
タイトルとURLをコピーしました