セキュリティインテリジェンス【2022年2月14日】

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今週のセキュリティインテリジェンス情報について共有していきたいと思います。

大きくは3つのトピックが気になりますね。

  • マイクロソフト(Mcicrosoft)は火曜日に70の脆弱性を軽減するパッチをリリースしました。これには公開されているが、悪用されていない1つの脆弱性が含まれていますので、パッチアップデートを推奨しています。
  • アップル(Apple)はWebkitでの解放後メモリ破損する問題があるCVE-2022-22620を利用した攻撃への対処を実施したパッチをリリースしましたので、こちらもアップデートを推奨しています。
  • アドビ(Adobe)は5製品に関するセキュリティの速報をリリースしました。
  • SAPは14の新しいセキュリティのリリースノートと以前のノートに対する更新をリリースしました。

注目すべき攻撃

1.KimsukyグループのxRAT*(Qasar RAT)の配布が確認されました。
引用:https://asec.ahnlab.com/en/31089/

韓国のAnhlabリサーチが2017年以降の北朝鮮の利益のために実行されるサイバースパイキャンペーンと関係するKimsukyグループの新しい活動を確認しました。こちらはオープンソースのリモートアクセスツールにファイルレスバックドアを仕掛ける手法になっています。2022年1月24日よりxRATを使用し、韓国に対する標的型攻撃を実施しています。*RAT=Remote Access Trojan

2.”LolZarus”北朝鮮のLazarusグループがLolbinsを組み込んだキャンペーンを実施
引用:https://blog.qualys.com/vulnerabilities-threat-research/2022/02/08/lolzarus-lazarus-group-incorporating-lolbins-into-campaigns

Qualysが北朝鮮のLazarusグループによる主要な国防および航空宇宙企業向けに求人広告を提供するフィッシング攻撃を特定しました。識別された亜種は雨以下の航空宇宙、武器、防衛、情報セキュリティおよびテクノロジー企業であるロッキードマーティン社への求職者をたいしょうとしています。取得したサンプルで様々なLolbins*が使用されているため、このキャンペーンを「LolZarus」と命名しています。
Lazarusは、あまり知られていないシェルコード実行技術を利用し、キャンペーンの一部としてさまざまなlolbinを組み込むことにより、その機能を進化させ続けています。

*Lolbins=living off the land(環境寄生型バイナリコード)

3.”NaturalFreshMall” 多くのEコマースが侵害された
引用:https://sansec.io/research/naturalfreshmall-mass-hack

SansecリサーチがMagnet 1 platformを利用している500以上のEコマース店舗で大規模な侵害があったことを確認しました。また、それらのすべてが同一のクレジットカードスキマーを利用していることも確認しました。犯行者の目的は攻撃対象のオンラインストアーを利用する顧客のクレジットカード情報を盗むことでした。Sansecの調査により攻撃者がQuickviewプラグインに既知の脆弱性を利用して、不正なMangeto管理者ユーザにて特権に昇格後、不正なコードを実行していることが確認できました。2020年6月よりAdobeはeコマースで利用されているManageto 1 ブランチのサポートを停止していますが、数千のeコマースサイトはこれらの古いソフトウェアを利用したままでいます。

4.”ModifiedElepant APT と10年にわたる証拠の作成”
引用:https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/

Sentinel Oneリサーチは”ModifiedElepant”という名でラベル付けされたAPT(Advanced Persisitent Threat)グループに関する情報を公開しました。”ModifiedElepant”はデジタル証拠を有罪として確証づける材料として活動するインドの人権活動家、人権擁護家、学者、弁護士に対して標的型攻撃を実施しています。少なくとも2012年から運営されており、特定の個人を繰り返し標的として攻撃しています。このグループは市販のRATsを利用しており、民間の攻撃的な監査会社とつながっているとされています。攻撃者はNetwWire, DarkComet, 簡単なキーロガーのような長期間潜伏可能なマルウェアを含むドキュメントをスピアフィッシングを用いてターゲットに送付しています。調査会社はModifiedElepantの活動はインド国内の知財にかかわっているということとModifielElepantの攻撃と政治的に逮捕された個人が関係しているということです.

悪意のあるコード

1.Linuxベースのマルチクラウド環境におけるマルウェア情報に関して
引用:https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/docs/vmw-exposing-malware-in-linux-based-multi-cloud-environments.pdf

みなさん、最も人気のあるWebサイトの78%はLinuxベースのOSで運営されていることをご存じでしょうか?このような状況でVMwareはLinixベースのマルチクラウド環境の脅威情報を報告しました。Linuxベースの仮想環境のワークロードに使用されるホストイメージに対し、ランサムウェア攻撃が仕掛けられていることがわかりました。今日において、セキュリティ対策のほとんどはWindowsベースの環境に実施されているのに対し、Linuxベースの環境に関しては上記にも記載した通り、78%以上の人気のあるWebサイトが利用し、サイバー犯罪者に対して価値の高いターゲットとなっています。

2.JavaScriptパッケージのレジストリーは悪意ある犯罪者の遊び場となっています。
引用:https://www.whitesourcesoftware.com/wp-content/media/2022/01/npm-Threat-Report.pdf

WhiteSourceはnpmで見つかった悪意ある行動が急増していることを報告しています。最も人気のあるJavaScriptパッケージマネージャは世界中の開発者に利用されており、サプライチェーン攻撃、クリプトジャッキング、データ盗難などで使用するための1,300以上の悪意あるnpmパッケージが発見されました。
最も一般的な悪意あるパッケージは偵察を実行するもので、標的の情報を能動的、受動的に収集するような技術から構成されています。本レポートでは膨大な数のnpmパッケージが新しいパッケージがリリースされる頻度がエコシステムの監視を困難にし、攻撃者にとって有利な遊び場を提供していることを強調しています。

3.2021年ランサムウェアが国際的に増加している傾向にあると報告
引用:https://www.cisa.gov/uscert/ncas/alerts/aa22-040a

2021年 米国、オーストラリア、英国のサイバーセキュリティ当局は重要インフラに対するランサムウェア攻撃によるインシデントが国際的に増加していることを報告しました。FBI、CISA、NSAは米国の16の重要インフラのうち14に対して、ランサムウェアに関連するインシデントを発見しました。同様にオーストラリアサイバーセキュリティセンターは重要インフラをターゲットにしているランサムウェアを発見、そして英国 National Cyber Security CentreもランサムウェアによりUKが大きなサイバー脅威に直面していると報告しています。アメリカ、オーストラリア、英国が発表した共同サイバーセキュリティアドバイザリーは発見した脅威の振る舞いと傾向を報告し、ランサムウェアによる侵害リスクを低減させるための推奨事項を提供しています。

脆弱性に関するRisk

1.iOS 15.3.1およびiPadOS 15.3.1のセキュリティコンテンツについて
引用:https://support.apple.com/en-us/HT213093

アップルはアイクをもって作成されたWebコンテンツに対し攻撃者が任意のコードを実行するための新しいゼロデイ脆弱性エクスプロイットのためのセキュリティアップデートを実施しました。

2.マイクロソフトが2月のセキュリティアップデートを実施
引用:https://msrc.microsoft.com/update-guide/releaseNote/2022-Feb

マイクロソフトは1つのゼロデイ脆弱性を含む70のCVEsに対応したパッチアップデートを2月のリリースで実施しました。


3.Citrix Hypervisorのためのセキュリティア勧告を実施
引用:https://support.citrix.com/article/CTX337526

CitrixはCitrix Hypervisor内の複数の脆弱性に関するセキュリティ勧告を実施しました。2つの脆弱性はゲストユーザが特権コードを取得しホストを破壊する要因となっています。

おわりに

Qちゃん
Qちゃん

皆様も、セキュリティの脅威にお気をつけください。

マイクロソフトが2月のパッチアップデートを実施していますので皆さんのPCも早めのパッチ更新を推奨します。

コメント

タイトルとURLをコピーしました