2023Q1 国家が関係している攻撃等

2023Q1 国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2022Q4 国家が関係している攻撃等へのリンクはこちら

2023/03/23

北朝鮮が背後にいる脅威アクター（Kimsuky）が悪意のChrome extensionを用いてgmailからメールを盗み出す

• bleepingcomputerより
• ドイツの共同セキュリティアドバイザリー
• ドイツの Bundesamt für Verfassungsschutz (BfV) と大韓民国国家情報院 (NIS) は、Google のブラウザーとアプリに対する KIMSUKY (別名 Thallium、Velvet Chollima など) のサイバー キャンペーンに対する勧告を発表しています。
• 日本も標的になる可能性は多分にありますので、一度目を通しておいたほうが良さそうです。

Kasperskyがウクライナにおけるサイバー活動と脅威動向を公表

• Kasperskyのブログより
• こちらは少しボリュームがあるので、別記事で起こそうかと思います。

2023/03/18

第13回インターネットエコノミーに関する日米政策協力の共同声明

• 米国国務省の発表より
• 米国と日本は、インターネット経済に関する日米政策協力対話の第 13 回会合で、デジタル経済の成長を支援するために、オープンで相互運用性があり、信頼性が高く、安全なデジタル接続と情報通信技術に対する共通のコミットメントを新たにしました。
  • 安全な5GとしてOpenRANやvRANプロジェクトの促進
  • GDCPへの取り組み
  • DFFTのサポート
  • グローバルCBPRフォーラムの開始
  • ICTサプライチェーン
• 等が発表されています。詳しくはリンクの米国国務省のサイトを確認してください。

2023/03/16

モルドバ共和国と米国との対談

• mordpressより
• モルドバ共和国と米国の間の戦略対話のハイレベルな会合がキシナウで開催されました。 会談の冒頭で、ニク・ポペスク外務・欧州統合大臣とデレク・ホーガン国務副次官補が記者会見を行ったということです。
• モルドバ共和国と米国の間の戦略的対話は、5 年間の中断の後、2022 年に再開されました。 前回の会議は、昨年 4 月にワシントンで開催されました。

米国がエチオピアに$331-millionの人道的支援

• 米国国務省の発表から
• 米国のブリンケン国務長官がアフリカを訪問しています。その中で、エチオピアに$330-millionの人道的援助を決めた模様です。ロシアや中国によるアフリカへの影響拡大を見据えての動きの可能性もあります。

ロシア・中国・イランが共同軍事演習

• 中華人民共和国国防部リリースノートより
• 中国・ロシア・イランは、3月15日から19日までオマーン湾で海軍共同軍事演習を行う模様です。

2023/03/12

Georgiaで抗議デモ。「外国代理人」法をめぐりジョージア州の警察と抗議者が衝突

• bbcニュースより
• Georgiaで「外国代理人法」をめぐり抗議デモが行われている様です。
• 「外国代理人法」が可決された場合、資金の 20% 以上を海外から受け取っているすべての NGO とメディアが特別登録簿への登録と年次財務申告書の提出を義務付けられます。申告書を提出しなかった場合、9,500 ドル（凡そ128万円）の罰金が科せられます。
• この法律に反対する人々は、「これは言論の自由に対するロシアの取り締まりを模倣しており、ロシアの影響力が拡大している兆候である」と非難しています。
• 国の現在の与党であるジョージア・ドリームは、10 年以上にわたって過半数を占めており、EU志向を示していますがロシアにも友好的です。
• Georgiaがウクライナと同じく新たな対ロシアの火種となるのかが心配されています。

北朝鮮が背後にいる攻撃者（UNC2970）がLinkedInでセキュリティ技術者を標的に偽求人で攻撃を行う

• Mandiantのブログより
• MandiantによりUNC2970と名付けられた攻撃者（北朝鮮のスパイ活動グループと疑われる）がセキュリティ研究者を標的にしたスピアフィッシング攻撃を行っているそうです。
• 攻撃はLinkedIn経由で行われているとのこと。
• MandiantのブログにIoC等が載っていますので参考にしてください。

2023/03/06

ロシア政府が海外製のメッセージングアプリの使用禁止へ

• bleepingcomputerより
• ロシアのインターネット監視機関 Roskomnadzor が、ロシア政府および国家機関での海外製メッセージング アプリケーションの使用を禁止する法律が発効されたと警告しています。
• これによるとDiscordやTelegram, WeChatやWhatsApp等が禁止された様です。
• 詳しくはbleepingcomputerのサイトを確認してください。

ホワイトハウスが新たなサイバーセキュリティ戦略を発表

• SecureWorldより
• ホワイトハウスのファクトシートはこちら
• ホワイトハウスが新たなサイバーセキュリティ戦略を発表しました。この戦略は、以下の５つの柱を中心に協力関係を強化していくとのことです。
  • 重要なインフラの保護
  • 脅威アクターの妨害と解体
  • セキュリティとレジリエント（回復力）を推進する市場の形成
  • レジリエントな未来への投資
  • 共通の目標を追求するための国際的なパートナーシップ
• ランサムウェア攻撃を国家安全保障上の脅威レベルに引き上げるとの決定が盛り込まれており、以降の米国の動きや諸外国との動向も絡めて注目が集まりそうです。
• 日本にも少なからず影響してきますので、ホワイトハウスのファクトシートはチェックしておきましょう。

2023/02/26

ウクライナ政府の多数の情報リソースに対するサイバー攻撃が検出される

• CERT-UAより
• 2023/02/23に、ウクライナ政府の中央・地方の多数のWebサイトで攻撃が検出され、一部の Webページのコンテンツが改ざんされたそうです。
• これまでのところ、この事件によって重要なシステム障害や公的機関の運営の中断は発生していないとの事です。
• ウクライナ当局では、ロシアによる侵攻からちょうど一年の2023/02/24の前夜に合わせた攻撃だと推測しているとの模様です。

2023/02/25

米国がロシアに新たな追加制裁

• 米国国務省のサイトより
• 日経のサイト
• ロシアのウクライナ侵攻から1年になりましたが、米国が新たな制裁を発表しました。
• 金融制裁・ビザの制限等がメインのようです。米国国務省のサイトを確認してください。
• これに伴い、ロシアが背後にいる脅威アクターによる攻撃が活発化する可能性もありますので気をつけましょう。

ウクライナ侵攻に関係するワイパーマルウェアのタイムライン

• ESET RESEARCHのブログから
• ESET RESEARCHがロシアのウクライナ侵攻に関連したワイパーマルウェアの一年の変遷をタイムラインにして纏めています。
• 興味深い内容ですので、是非御一読ください。

2023/02/24

ロシアのウクライナ侵攻から1年。CISAがサイバー攻撃を警戒するように注意喚起

• CISAの記事より
• 2023/02/24でロシアのウクライナ侵攻から１年になります。
• CISAが、ロシア・ウクライナ間での紛争が長期化する中、サイバー攻撃に警戒するように呼びかけています。
• 米国政府・組織向けの対DDoS攻撃ガイダンスはこちらになります。米国向けではありますが、日本でも参考になると思います。
• 日本では9月にKillnetが（5月時点で警戒するように呼びかけられていたにもかかわらず）被害をもたらしたという前例があります。今回はきちんとガイダンスを見ながら攻撃に備えましょう。

2023/02/14

ロシア国境付近へのミサイル配備への対応について、ロシア外務省が日本に警告

• モルニアニュースより
• アンドレイ・ルデンコ外務副大臣は、RIA Novosti とのインタビューで、ロシアは極東へのいかなる脅威にも即座に対応すると述べたそうです。
• 日本が軍事能力を急激に強化し、ロシア国境近くで「危険な活動」をしているとした上で、「日本は米国などと共同で大規模な演習を行い、新型ミサイル（極超音速滑空装置を備えた弾道ミサイル）などの兵器の試験を行っている。」とも言っている様です。
• ロシアからこの様な牽制球が投げられてきた時に、ロシアが背後にいる脅威アクターの活動も活発になる傾向がありますので、セキュリティ管理者は注意をしたほうが良いかと思います。

2023/02/10

CISAが北朝鮮(DPRK)が背後にいる脅威アクターのアドバイザリを公開(#StopRansomware)

• CISAのサイトより
• CISAがNSA/FBI等と協力して、北朝鮮(DPRK)が背後にいる脅威アクターのアドバイザリを公開しています。
• TTP/IoC情報が辿れますが、利用されている脆弱性で確認できたものは以下のようです
• CVE 2021-44228 (log4shell)
• CVE-2021-20038 (SonicWallのリモートコード実行脆弱性)
• CVE-2022-24990 (TerraMaster NASの脆弱性)

2023/02/09

新しいロシアのマルウェアがNodariaグループによりウクライナに対して展開

• Symantecブログより
• ロシアが背後にいるNodaria スパイ グループ (別名 UAC-0056)が、ウクライナに対して新しい情報盗用マルウェア (Infostealer.Graphiron) を展開しているようです。このマルウェアはGo言語で記述されており、システム情報、資格情報、スクリーンショット、ファイルなど、感染したコンピューターから幅広い情報を収集するように設計されているとの事です。
• Nodaria は、ロシアによるウクライナ侵攻以前はあまり知られていませんでしたが、直近1年間で活発に活動しているとの事です。
• SymantecのサイトにはIoCも載っていますので、参考にしましょう。

2023/02/06

北朝鮮が背後にいるLazarusグループによる様々な研究データの侵害

• bleepingcomputerより
• WithSecureのPDF
• 「No Pineapple!」と名付けられた新しいサイバー スパイキャンペーン(Lazarusグループと思われる)が2022 年 8 月から 11 月まで続き、医療研究、ヘルスケア、化学工学、エネルギー、防衛、および主要な研究大学の組織をターゲットにしていました。Lazarusグループは、2022 年 8 月 22 日に、Zimbra の脆弱性 CVE-2022-27925 (リモート コード実行) および CVE-2022-37042 (認証バイパス) を利用して、標的のメール サーバーに Webshel​​l をドロップすることにより、被害者のネットワークを侵害していた様です。
• TTP等、詳しい情報はBleepingcomputerの元記事か、WithSecureのPDFを確認して下さい。

2023/01/28

ロシアが背後にいるSandwormハッカーが5つのデータワイパーでウクライナを攻撃

• bleepingcomputerより
• ウクライナのCERT-UAがウクライナ国営通信社 (Ukrinform)を攻撃した際のデータワイパーが5 つあった事がわかりました。
• Ukrinform に対する攻撃で展開された破壊的なマルウェアには、CaddyWiper (Windows)、ZeroWipe (Windows)、SDelete (Windows)、AwfulShred (Linux)、BidSwipe (FreeBSD) が含まれます。
• CERT-UAによる詳しいレポートはこちらになります。

米国がHiveランサムウェアグループの背後関係の情報に1,000万ドルの賞金をかける

• bleepingcomputerより
• 米国が、Hiveランサムウェアグループの背後の情報（外国政府との関連付けに役立つ情報）に最大1,000万ドルの賞金を提供しました。

英国のNCSCが、ロシアとイランの国家支援を受けた脅威グループ（SEABORGIUM／TA453 ）の攻撃増加に関して警告

• NCSCの警告
• NCSCのアドバイザリーはこちら
• 英国の国家サイバー セキュリティ センター (NCSC) は、ロシアとイランの国家支援を受けたハッカーの動きが活発化しているという警告を発しました。
• 具体的には、SEABORGIUM および TA453 として追跡されている攻撃者によるスピア フィッシング攻撃の急増を特定しました。 キャンペーンの目的は、被害者から情報を収集することです。
• 「TA446」としても知られる SEABORGIUM はロシア政府が支援をしており、昨年の夏に NATO 諸国を標的とした攻撃を行っています。

AkamaiがCryptoAPIの脆弱性(CVE-2022-34689)を利用した攻撃のPoCを公開

• AkamaiのPoCはこちら
• Akamaiのブログはこちら
• Akamai Security Research は、Windows CryptoAPI の脆弱性（CVE-2022-34689：CVSS 7.5）を利用した攻撃のPoCを公開しました。Microsoft によると、この脆弱性により、攻撃者は正当なエンティティになりすますことができます。これは2022年10月のパッチで修正されています。
• Windows Updateをこまめにかけるのを忘れない様にしましょう。

2023/01/22

ウクライナのCERT-UAが、ウクライナ国営通信社 (Ukrinform) へのデータワイプ攻撃をロシアのSandwormグループに結びつける

• bleepingcomputerより
• CERT-UAの発表はこちら。
• SandWormとの関係性を指摘した発表はこちら
• CERT-UAの調査によるとUkrinform に対する最近の攻撃は、その特徴からUAC-0082 (Sandworm) グループによって行われたと推測されています。 Sandwormは、ロシア連邦軍総参謀本部（GRU）に関連しています。 さらに、このグループは、2022 年にウクライナを最も頻繁に攻撃したグループの 1 つです。
• ロシアのテレグラム チャンネル「Cyber​​ArmyofRussia_Reborn」では、ハッカーの「成果」が報告されていましたが、DDoS 攻撃や改ざんに関する典型的なメッセージとともにSandworm グループ自体の活動が強調されていたそうです。
• CERT-UA の専門家によると、攻撃は機関の情報インフラストラクチャに限定的な影響を与えましたが、脅威は迅速に局所化されたとの事です。
• ウクライナ支援国家に攻撃が来ることも大いに予想されます。日本でもSandwormグループに対する警戒が必要となると思われます。

2023/01/12

新しい APT グループ “Dark Pink”

• GroupIBのブログより
• GroupIBのプレスリリースはこちら
• 新しいAPTグループ”Dark Pink”がAPAC/Europe（カンボジア、インドネシア、マレーシア、フィリピン、ベトナム 、 ボスニア・ヘルツェゴビナ）を標的に攻撃を行っている様です。
• 最初のアクセスベクターはスピアフィッシングの様です。
• 政府および軍事組織のネットワークで保持されている機密ファイル、マイクの音声 、 メッセンジャー データ等を盗むスパイ行為を目的としているとのことです。
• Dark PinkのTTP等に関してはGroupIBのブログが参考になりますので御確認下さい。

2023/01/04

ロシアのルディエンコ外相がタス通信(TASS)のインタビューで日本の防衛力強化に懸念を表明

• ロシアのタス通信(TASS)の記事より
• ロシアのタス通信によるインタビューで、ロシアのルディエンコ外相が昨今の日本の動き（防衛力強化等）に対して「ロシアとアジア太平洋地域の安全保障にとって重大な挑戦である」と述べています。
• タス通信による記事なので、かなり割り引いて考える必要が有ることに気をつけましょう。
• 単なる釘刺しにとどまるかもしれませんが、2023年はロシアの目が日本に向いてくる可能性も十分ありえます。その際には、先日のKillnetの件でもわかる通り、ロシアが背後にいる攻撃者によるサイバー攻撃が増えてくる可能性があります。
• 2023年は、その様な意味からも、セキュリティ技術者は各国の動向にも目を向けておく必要が多分にあると思います。

ポーランド政府が、ロシアが関係しているGhostWriterハッキンググループに対して注意喚起

• ポーランド政府の発表はこちら
• ロシア・ウクライナ戦争に伴い、ポーランドのでも、ロシアのハッカーによる攻撃・インシデントが増えているそうです。
• たとえば、昨年はポーランド議会 (Sejm) の Web サイト（sejm.gov.pl）に対しても攻撃が行われました。 Internal Security Agency (ABW) で活動する CSIRT GOV チームによる分析の結果、この Web サイト攻撃が、親ロシア派グループ NoName057 により行われたと結論づけています。テレグラムで、このグループは議会のウェブサイトを目標の 1 つとして設定しています。 この攻撃は、ポーランド共和国の下院がロシアをテロ支援国家として認める決議を採択したことから引き起こされたと思われます。
• ロシアが関係しているハッカー グループは、ランサムウェア、DDos、フィッシング攻撃を主に使用しています。これにより相手国の政権の不安定化や国家レベルの混乱を起こしたり、脅迫を行う等を目的としています。
• また、ロシアが関係している「GhostWriter」ハッカーグループによる攻撃が2021年から増加しているようです。これは、ロシアの偽情報の拡散・データの不正入手・脆弱な部分の収集等を行っており、中東欧諸国の著名人を標的にして電子メールやSNSアカウントを攻撃している様です。
• GhostWriterに関しては昨年3月頃にも活動の情報が流れてきており、ウクライナの政府機関に対してスピアフィッシング攻撃をかけていたとの情報がウクライナCERTから出されています。
• 昨年のkillnetの件からも見て取れる通り、現状の世界情勢では、日本もこの種の攻撃にさらされる可能性が十分あります。出来ればこの手の情報は早めに入手し、早急な対応を取るべきだと思われます。