2023Q1 マルウェア・ランサムウェア情報はこちら
2022Q4 マルウェア・ランサムウェア情報はこちら
2023/06/27
CondiマルウェアがTP-Link AX21ルータの脆弱性(CVE-2023-1389)を悪用してボットネットを形成
2023/06/21
「Mystic Stealer」という名前の新しい情報窃取マルウェア
- bleepingcomputerより
- 「Mystic Stealer」という名前の新しい情報窃取マルウェアは、2023 年 4 月からハッキング フォーラムやダークネット市場で宣伝され、サイバー犯罪コミュニティで急速に注目を集めています。
- 月額 150 ドルでレンタルされるこのマルウェアは、40 の Web ブラウザ、70 のブラウザ拡張機能、21 の暗号通貨アプリケーション、9 の MFA およびパスワード管理アプリケーション、55 の暗号通貨ブラウザ拡張機能、Steam および Telegram の認証情報などをターゲットにしています。
- 細かいIoC/TTPはbleepingcomputerの記事で見ることが出来ます。
LockBitのアフィリエイトが逮捕・米国で起訴された模様
- bleepingcomputerより
- ロシア国籍のルスラン・マゴメドビッチ・アスタミロフ氏がアリゾナ州で逮捕され、米国内外の被害者のネットワークにLockBitランサムウェアを展開した疑いで米司法省に起訴されたとの事です。
- 今後の動向が注目されます。
ClopランサムウェアグループがMoveITの脆弱性を標的に
Wannacryがゲーム「ENLISTED」のロシア人プレイヤーを標的に
- bleepingcomputerより
- 懐かしの「WannaCry」の亜種がENLISTEDのロシア人プレイヤーを標的に送り込まれているようです。
- 詳しい情報は元記事を参考にしてください。
2023/06/15
中国の攻撃者(ChamelGang)がマルウェアの通信にDNS over HTTPを使用
- bleepingcomputerより
- 中国の攻撃者ChamelGangがマルウェアの通信にDNS over HTTPを使用しているとのことです。
- 詳しいTTP等はbleepingcomputerの記事に記載されていますので参考にしてください。
2023/06/08
新たな「PowerDrop」マルウェアが米国の航空宇宙産業を標的に
- bleepingcomputerより
- 「PowerDrop」という名前の新しいPowerShellマルウェアスクリプトが、米国の航空宇宙防衛産業を標的とした攻撃に使用されていることがAdluminの調査により判明しました。
- 同社の報告によると、PowerDrop は PowerShell と WMI (Windows Management Instrumentation) を使用して、侵害されたネットワーク上に永続的な RAT (リモート アクセス トロイの木馬) を作成します。
- IoTなどの情報はBleepingComputerの記事に載っていますので参考にしてください。
2023/05/31
新たな「Buhti」ランサムウェアグループ
- bleepingcomputerより
- 「Buhti」という名前の新しいランサムウェアグループが、LockBitと Babukランサムウェアの漏洩コードを使用して、それぞれ Windows システムと Linux システムをターゲットにしているようです。
- Buhti は、2023 年 2 月にパロアルトネットワークスの Unit 42 チーム によって実際に存在していることが最初に発見され、Go ベースの Linux をターゲットとしたランサムウェアであると特定されました。
NPMパッケージにTurkoRatマルウェアが仕組まれていた
- ReversingLabsより
- ReversingLabs の研究者は、TurkoRat を含む 2 つの悪意のあるnpmパッケージを発見しました。TurkoRat は、検出されるまで 2 か月間 npm 上に潜んでいたオープンソースの情報窃盗ツールです。
- パッケージ名は以下になります
- nodejs-encrypt-agent
- nodejs-cookie-proxy-agent
MalasLockerランサムウェアがZimbraサーバを標的に
- bleepingcomputerより
- MalasLockerとbleepingcomputerにより名付けられたランサムウェアグループがZimbra サーバーをハッキングして電子メールを盗み、ファイルを暗号化しているようです。
- TPPやIoCがbleepingcomputerのサイトにありますので参考にしてください。
悪意のあるVSCode-Extensionによりパスワードが盗まれる
- CheckPointより
- 悪意のある Microsoft VSCode 拡張機能が、パスワードを盗んだりリモート シェルを実行したりするようです。
- CheckPointによると、下記のExtensionが汚染されており、攻撃者がパスワードを盗んだりリモートシェルを実行するのに使用していたそうです。
- 「Theme Darcula dark」
- 「python-vscode」
- 「Prettiest Java」
- 詳しくはCheckPointのサイトを確認してください。
BianLian ランサムウェアが恐喝のみの攻撃に切り替わったことをFBIが確認
- bleepingcomputerより
- CISA(#StopRansomware)によるTTP等の情報はこちら
- 米国とオーストラリアの政府機関が共同でサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、BianLian ランサムウェア グループが使用する最新の戦術、技術、手順 (TTP) について警告を出しています。
- 2023 年 1 月以降、 このグループはシステムを暗号化せずにデータ窃盗に基づいた恐喝に切り替えました。
- 詳しいTTP等の情報は、CISAのPDFを確認しましょう。すでにランサムウェアは「バックアップ取っとけばいい」という話からはずれています。
中国が背後に居る「Camaro Dragon」が、「Horse Shell」マルウェアを用いて住宅用 TP-Link ルーターを攻撃。ヨーロッパの外交機関を攻撃させる。
- bleepingcomputerより
- 「Camaro Dragon」という名前の中国国家支援のハッキンググループが、ヨーロッパの外交機関を攻撃するために「Horse Shell」マルウェアを用いて住宅用 TP-Link ルーターを感染させます。
- 「この種の攻撃は特に機密性の高いネットワークを狙っているわけではなく、むしろ通常の住宅やホームネットワークを狙っていることは注目に値する」とCheck Pointのレポートでは説明されています。
- CheckPointのレポートはこちらになります。
2023/05/08
新しいAKIRAランサムウェアグループの出現
- bleepingcomputerより
- 2023年3月頃から、新しい「AKIRAランサムウェアグループ」が出現しているようです。
- 2017年にも「Akiraランサムウェア」があったそうですが、それとは別のグループによるものと思われるそうです。
- また、Akira は Windows Restart Manager API を使用して、ファイルを開いたままにして暗号化を妨げている可能性があるプロセスを閉じたり、Windows サービスをシャットダウンしたりします。
- TTP/IoC等はbleepingcomputerの記事に載っています。
Cactusというランサムウェアグループが自身を暗号化して検知を逃れる
- bleepingcomputerより
- Krollの研究者は、3月から活動を始めた新しいランサムウェアグループである”Cactus”が Fortinet VPN アプライアンスの既知の脆弱性を悪用して、被害者のネットワークへの初期アクセスを取得していると考えています。
- Cactus が他のグループと一線を画しているのは、暗号化を使用してランサムウェアバイナリを検知から守っていることです。 攻撃者はバッチ スクリプトを使用して、7-Zip を使用して暗号化バイナリを取得します。
- TTP/IoC等はbleepingcomputerの記事に載っています。
2023/05/05
LOBSHOTマルウェアがWindowsデバイスに対して隠されたVNCアクセスを作成する
- bleepingcomputerよr
- Google 広告を使用して配布された「LOBSHOT」と呼ばれる新しいマルウェアにより、攻撃者は hVNC を使用して感染した Windows デバイスを密かに乗っ取ることができます。
- Elastic Security Labs による新しいレポートで、研究者は、LOBSHOT という名前の新しいリモート アクセス トロイの木馬が Google 広告を通じて配布されていることを明らかにしています。
2023/05/01
ViperSoftXマルウェアがパスワードマネージャを標的にする
- TrendMicroのブログより
- TrendMicroの調査によると、ViperSoftX は暗号通貨だけでなく、いくつかのパスワード マネージャーもチェックできることがわかりました。
- ViperSoftX の更新バージョンには、KeePassと1Password という 2 つのパスワード マネージャーのチェック メカニズムが含まれています。
- 日本の消費者でもKeePassや1Passwordを使う機会が増えていると思います。パスワードマネージャがやられると被害が大きくなりますので、まずはマルウェア対策を行いましょう。TrendMicroのサイトにIoC等が載っています。
Magecart脅威アクターが本物そっくりのクレジットカード決済入力画面を作成する
- MalwareBytes Labの記事より
- Magecart脅威アクターが、非常に説得力のある、本物そっくりのモーダル フォームを公開しています。
- Malwarebytesの記事によると、かなり騙される可能性がある作りになっているようです。詳細は元の記事をご確認ください。
2023/04/25
VirusTotalが「VirusTotal Code Insight」を発表。AI(Sec-PaLM)による脅威解析機能を搭載。Mandiantでは「Mandiant Breach Analytics for Chronicle」をリリースする模様
- Googleのブログより
- VirusTotalのブログより
- RSA Conference 2023で、VirusTotalが「VirusTotal Code Insight」を発表したようです。セキュリティに特化した大規模言語モデル(LLM)である「Sec-PaLM」を用いて企業のセキュリティ課題を解決するとの事です。
- 同様に、Mandiantの方でもGoogle CloudとMandiant Threat Intelligenceに「Sec-PaLM」を利用した「Mandiant Breach Analytics for Chronicle」をリリースするとのことです。
- 詳しい情報はGoogleのブログをご確認ください。
2023/04/18
元ContiメンバーとFIN7開発者がDominoマルウェアをプッシュ
- bleepingcomputerより
- 元Contiメンバーは、FIN7脅威アクターと協力して、企業ネットワークへの攻撃で「Domino」という名前の新しいマルウェアファミリーを配布しました。 Domino は比較的新しいマルウェアファミリーで、「Domino バックドア」という名前の 2 つのコンポーネントで構成されるバックドアです。バックドアは、情報を盗むマルウェア DLL を別のプロセスのメモリに挿入する「Domino Loader」をドロップします。
- 詳しい情報はbleepingcomputerの記事を参考にしてください。
新たなQbot email攻撃はPDFとWSFの混合でマルウェアをインストールさせる
- bleepingcomputerより
- Qbot (別名 QakBot) は元々トロイの木馬型のものでしたが、他の攻撃者に企業ネットワークへの初期アクセスを提供するマルウェアに進化しました。
- QBot マルウェアは現在、PDF と Windows スクリプト ファイル (WSF) を利用して Windows デバイスに感染するフィッシングキャンペーンで使用されていますが、IoC等の情報がbleepingcomputerの記事で見ることが出来ます。参考にしましょう。
2023/04/12
ALPHVランサムウェアがVeritas Backup Execの脆弱性を初期アクセスに使用
- Mandiantのブログより
- ALPHVランサムウェア(BlackCat, UNC4466)が下記のVeritas Backup Execの脆弱性を初期アクセスに使用していることがMandiantの研究者により判明しました。
- 悪用されている脆弱性は下記になります。
- CVE-2021-27876
- CVE-2021-27877
- CVE-2021-27878
- 詳しいIoC等はMandiantのブログを確認してください。
新しいRorschach ランサムウェア
- CheckPointのブログから
- サイバーセキュリティ企業 Check Pointの研究者が、米国に拠点を置く企業へのサイバー攻撃のを行った新しいランサムウェアを発見し、”Rorschach” と名付けました。 観測された機能の中には、暗号化速度が含まれており、研究者のテストによると、Rorschach は現在最速のランサムウェア脅威となっています。
- IoCなど詳しい情報はCheckPointのブログを確認してくださ。
