2023Q1 国家が関係している攻撃等

2023Q1 国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2022Q4 国家が関係している攻撃等へのリンクはこちら

2023/02/06

北朝鮮が背後にいるLazarusグループによる様々な研究データの侵害

• bleepingcomputerより
• WithSecureのPDF
• 「No Pineapple!」と名付けられた新しいサイバー スパイキャンペーン(Lazarusグループと思われる)が2022 年 8 月から 11 月まで続き、医療研究、ヘルスケア、化学工学、エネルギー、防衛、および主要な研究大学の組織をターゲットにしていました。Lazarusグループは、2022 年 8 月 22 日に、Zimbra の脆弱性 CVE-2022-27925 (リモート コード実行) および CVE-2022-37042 (認証バイパス) を利用して、標的のメール サーバーに Webshel​​l をドロップすることにより、被害者のネットワークを侵害していた様です。
• TTP等、詳しい情報はBleepingcomputerの元記事か、WithSecureのPDFを確認して下さい。

2023/01/28

ロシアが背後にいるSandwormハッカーが5つのデータワイパーでウクライナを攻撃

• bleepingcomputerより
• ウクライナのCERT-UAがウクライナ国営通信社 (Ukrinform)を攻撃した際のデータワイパーが5 つあった事がわかりました。
• Ukrinform に対する攻撃で展開された破壊的なマルウェアには、CaddyWiper (Windows)、ZeroWipe (Windows)、SDelete (Windows)、AwfulShred (Linux)、BidSwipe (FreeBSD) が含まれます。
• CERT-UAによる詳しいレポートはこちらになります。

米国がHiveランサムウェアグループの背後関係の情報に1,000万ドルの賞金をかける

• bleepingcomputerより
• 米国が、Hiveランサムウェアグループの背後の情報（外国政府との関連付けに役立つ情報）に最大1,000万ドルの賞金を提供しました。

英国のNCSCが、ロシアとイランの国家支援を受けた脅威グループ（SEABORGIUM／TA453 ）の攻撃増加に関して警告

• NCSCの警告
• NCSCのアドバイザリーはこちら
• 英国の国家サイバー セキュリティ センター (NCSC) は、ロシアとイランの国家支援を受けたハッカーの動きが活発化しているという警告を発しました。
• 具体的には、SEABORGIUM および TA453 として追跡されている攻撃者によるスピア フィッシング攻撃の急増を特定しました。 キャンペーンの目的は、被害者から情報を収集することです。
• 「TA446」としても知られる SEABORGIUM はロシア政府が支援をしており、昨年の夏に NATO 諸国を標的とした攻撃を行っています。

AkamaiがCryptoAPIの脆弱性(CVE-2022-34689)を利用した攻撃のPoCを公開

• AkamaiのPoCはこちら
• Akamaiのブログはこちら
• Akamai Security Research は、Windows CryptoAPI の脆弱性（CVE-2022-34689：CVSS 7.5）を利用した攻撃のPoCを公開しました。Microsoft によると、この脆弱性により、攻撃者は正当なエンティティになりすますことができます。これは2022年10月のパッチで修正されています。
• Windows Updateをこまめにかけるのを忘れない様にしましょう。

2023/01/22

ウクライナのCERT-UAが、ウクライナ国営通信社 (Ukrinform) へのデータワイプ攻撃をロシアのSandwormグループに結びつける

• bleepingcomputerより
• CERT-UAの発表はこちら。
• SandWormとの関係性を指摘した発表はこちら
• CERT-UAの調査によるとUkrinform に対する最近の攻撃は、その特徴からUAC-0082 (Sandworm) グループによって行われたと推測されています。 Sandwormは、ロシア連邦軍総参謀本部（GRU）に関連しています。 さらに、このグループは、2022 年にウクライナを最も頻繁に攻撃したグループの 1 つです。
• ロシアのテレグラム チャンネル「Cyber​​ArmyofRussia_Reborn」では、ハッカーの「成果」が報告されていましたが、DDoS 攻撃や改ざんに関する典型的なメッセージとともにSandworm グループ自体の活動が強調されていたそうです。
• CERT-UA の専門家によると、攻撃は機関の情報インフラストラクチャに限定的な影響を与えましたが、脅威は迅速に局所化されたとの事です。
• ウクライナ支援国家に攻撃が来ることも大いに予想されます。日本でもSandwormグループに対する警戒が必要となると思われます。

2023/01/12

新しい APT グループ “Dark Pink”

• GroupIBのブログより
• GroupIBのプレスリリースはこちら
• 新しいAPTグループ”Dark Pink”がAPAC/Europe（カンボジア、インドネシア、マレーシア、フィリピン、ベトナム 、 ボスニア・ヘルツェゴビナ）を標的に攻撃を行っている様です。
• 最初のアクセスベクターはスピアフィッシングの様です。
• 政府および軍事組織のネットワークで保持されている機密ファイル、マイクの音声 、 メッセンジャー データ等を盗むスパイ行為を目的としているとのことです。
• Dark PinkのTTP等に関してはGroupIBのブログが参考になりますので御確認下さい。

2023/01/04

ロシアのルディエンコ外相がタス通信(TASS)のインタビューで日本の防衛力強化に懸念を表明

• ロシアのタス通信(TASS)の記事より
• ロシアのタス通信によるインタビューで、ロシアのルディエンコ外相が昨今の日本の動き（防衛力強化等）に対して「ロシアとアジア太平洋地域の安全保障にとって重大な挑戦である」と述べています。
• タス通信による記事なので、かなり割り引いて考える必要が有ることに気をつけましょう。
• 単なる釘刺しにとどまるかもしれませんが、2023年はロシアの目が日本に向いてくる可能性も十分ありえます。その際には、先日のKillnetの件でもわかる通り、ロシアが背後にいる攻撃者によるサイバー攻撃が増えてくる可能性があります。
• 2023年は、その様な意味からも、セキュリティ技術者は各国の動向にも目を向けておく必要が多分にあると思います。

ポーランド政府が、ロシアが関係しているGhostWriterハッキンググループに対して注意喚起

• ポーランド政府の発表はこちら
• ロシア・ウクライナ戦争に伴い、ポーランドのでも、ロシアのハッカーによる攻撃・インシデントが増えているそうです。
• たとえば、昨年はポーランド議会 (Sejm) の Web サイト（sejm.gov.pl）に対しても攻撃が行われました。 Internal Security Agency (ABW) で活動する CSIRT GOV チームによる分析の結果、この Web サイト攻撃が、親ロシア派グループ NoName057 により行われたと結論づけています。テレグラムで、このグループは議会のウェブサイトを目標の 1 つとして設定しています。 この攻撃は、ポーランド共和国の下院がロシアをテロ支援国家として認める決議を採択したことから引き起こされたと思われます。
• ロシアが関係しているハッカー グループは、ランサムウェア、DDos、フィッシング攻撃を主に使用しています。これにより相手国の政権の不安定化や国家レベルの混乱を起こしたり、脅迫を行う等を目的としています。
• また、ロシアが関係している「GhostWriter」ハッカーグループによる攻撃が2021年から増加しているようです。これは、ロシアの偽情報の拡散・データの不正入手・脆弱な部分の収集等を行っており、中東欧諸国の著名人を標的にして電子メールやSNSアカウントを攻撃している様です。
• GhostWriterに関しては昨年3月頃にも活動の情報が流れてきており、ウクライナの政府機関に対してスピアフィッシング攻撃をかけていたとの情報がウクライナCERTから出されています。
• 昨年のkillnetの件からも見て取れる通り、現状の世界情勢では、日本もこの種の攻撃にさらされる可能性が十分あります。出来ればこの手の情報は早めに入手し、早急な対応を取るべきだと思われます。