2023Q2 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2023.04.12

2023Q1 マルウェア・ランサムウェア情報はこちら

2022Q4 マルウェア・ランサムウェア情報はこちら

2023/05/08

新しいAKIRAランサムウェアグループの出現

  • bleepingcomputerより
  • 2023年3月頃から、新しい「AKIRAランサムウェアグループ」が出現しているようです。
  • 2017年にも「Akiraランサムウェア」があったそうですが、それとは別のグループによるものと思われるそうです。
  • また、Akira は Windows Restart Manager API を使用して、ファイルを開いたままにして暗号化を妨げている可能性があるプロセスを閉じたり、Windows サービスをシャットダウンしたりします。
  • TTP/IoC等はbleepingcomputerの記事に載っています。

Cactusというランサムウェアグループが自身を暗号化して検知を逃れる

  • bleepingcomputerより
  • Krollの研究者は、3月から活動を始めた新しいランサムウェアグループである”Cactus”が Fortinet VPN アプライアンスの既知の脆弱性を悪用して、被害者のネットワークへの初期アクセスを取得していると考えています。
  • Cactus が他のグループと一線を画しているのは、暗号化を使用してランサムウェアバイナリを検知から守っていることです。 攻撃者はバッチ スクリプトを使用して、7-Zip を使用して暗号化バイナリを取得します。
  • TTP/IoC等はbleepingcomputerの記事に載っています。

2023/05/05

LOBSHOTマルウェアがWindowsデバイスに対して隠されたVNCアクセスを作成する

  • bleepingcomputerよr
  • Google 広告を使用して配布された「LOBSHOT」と呼ばれる新しいマルウェアにより、攻撃者は hVNC を使用して感染した Windows デバイスを密かに乗っ取ることができます。
  • Elastic Security Labs による新しいレポートで、研究者は、LOBSHOT という名前の新しいリモート アクセス トロイの木馬が Google 広告を通じて配布されていることを明らかにしています。

2023/05/01

ViperSoftXマルウェアがパスワードマネージャを標的にする

  • TrendMicroのブログより
  • TrendMicroの調査によると、ViperSoftX は暗号通貨だけでなく、いくつかのパスワード マネージャーもチェックできることがわかりました。
  • ViperSoftX の更新バージョンには、KeePassと1Password という 2 つのパスワード マネージャーのチェック メカニズムが含まれています。
  • 日本の消費者でもKeePassや1Passwordを使う機会が増えていると思います。パスワードマネージャがやられると被害が大きくなりますので、まずはマルウェア対策を行いましょう。TrendMicroのサイトにIoC等が載っています。

Magecart脅威アクターが本物そっくりのクレジットカード決済入力画面を作成する

  • MalwareBytes Labの記事より
  • Magecart脅威アクターが、非常に説得力のある、本物そっくりのモーダル フォームを公開しています。
  • Malwarebytesの記事によると、かなり騙される可能性がある作りになっているようです。詳細は元の記事をご確認ください。

2023/04/25

VirusTotalが「VirusTotal Code Insight」を発表。AI(Sec-PaLM)による脅威解析機能を搭載。Mandiantでは「Mandiant Breach Analytics for Chronicle」をリリースする模様

  • Googleのブログより
  • VirusTotalのブログより
  • RSA Conference 2023で、VirusTotalが「VirusTotal Code Insight」を発表したようです。セキュリティに特化した大規模言語モデル(LLM)である「Sec-PaLM」を用いて企業のセキュリティ課題を解決するとの事です。
  • 同様に、Mandiantの方でもGoogle CloudとMandiant Threat Intelligenceに「Sec-PaLM」を利用した「Mandiant Breach Analytics for Chronicle」をリリースするとのことです。
  • 詳しい情報はGoogleのブログをご確認ください。

2023/04/18

元ContiメンバーとFIN7開発者がDominoマルウェアをプッシュ

  • bleepingcomputerより
  • 元Contiメンバーは、FIN7脅威アクターと協力して、企業ネットワークへの攻撃で「Domino」という名前の新しいマルウェアファミリーを配布しました。 Domino は比較的新しいマルウェアファミリーで、「Domino バックドア」という名前の 2 つのコンポーネントで構成されるバックドアです。バックドアは、情報を盗むマルウェア DLL を別のプロセスのメモリに挿入する「Domino Loader」をドロップします。
  • 詳しい情報はbleepingcomputerの記事を参考にしてください。

新たなQbot email攻撃はPDFとWSFの混合でマルウェアをインストールさせる

  • bleepingcomputerより
  • Qbot (別名 QakBot) は元々トロイの木馬型のものでしたが、他の攻撃者に企業ネットワークへの初期アクセスを提供するマルウェアに進化しました。
  • QBot マルウェアは現在、PDF と Windows スクリプト ファイル (WSF) を利用して Windows デバイスに感染するフィッシングキャンペーンで使用されていますが、IoC等の情報がbleepingcomputerの記事で見ることが出来ます。参考にしましょう。

2023/04/12

ALPHVランサムウェアがVeritas Backup Execの脆弱性を初期アクセスに使用

  • Mandiantのブログより
  • ALPHVランサムウェア(BlackCat, UNC4466)が下記のVeritas Backup Execの脆弱性を初期アクセスに使用していることがMandiantの研究者により判明しました。
  • 悪用されている脆弱性は下記になります。
    • CVE-2021-27876
    • CVE-2021-27877
    • CVE-2021-27878
  • 詳しいIoC等はMandiantのブログを確認してください。

新しいRorschach ランサムウェア

  • CheckPointのブログから
  • サイバーセキュリティ企業 Check Pointの研究者が、米国に拠点を置く企業へのサイバー攻撃のを行った新しいランサムウェアを発見し、”Rorschach” と名付けました。 観測された機能の中には、暗号化速度が含まれており、研究者のテストによると、Rorschach は現在最速のランサムウェア脅威となっています。
  • IoCなど詳しい情報はCheckPointのブログを確認してくださ。
タイトルとURLをコピーしました