セキュリティインテリジェンス【2022年3月28日】

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今週もセキュリティインテリジェンスを共有していきたいと思います。

概要

今週はGoogleのChromeブラウザ、Okta認証サービスの侵害によるマイクロソフトサービスなどが身近な脅威として報告されています。

GoogleはCVE2022-1096のゼロデイ攻撃の報告を受け、2日後に新しいChrome Browserの更新情報を配信しました。それ以外のインテリジェンスは提供させていません。しかし、Google TAG(Threat Analysis Group)はCVE-2022-0609に関する2がつのChromeのゼロデイに関する戦略、技術、対応手順に関するインテリジェンスも提供しています。

GoogleのTAGによると北朝鮮のAPT犯罪組織はGoogleが新しいバージョンをリリースする6週間前にDrive by Download用のエクスプロイットキットのインストールを実施していたと報告しています。

ESETは、現在ヨーロッパで実施している中国APT犯罪グループMustang Pandaによるバックドア型トロイの木馬を拡散する手法を報告しています。

脅威犯罪組織Lapsus$がOktaとMicrosoftを侵害したという報告がありますが、詳細なインテリジェンス情報はまだ確認できていません

それでは具体的に紹介していきたいと思います。

注意すべき攻撃

1.北朝鮮からの攻撃に対する対処
引用:https://blog.google/threat-analysis-group/countering-threats-north-korea/

北朝鮮の2つのAPT犯罪組織がパッチが利用可能になる1か月前にGoogle Chromeの脆弱性を利用し、リモートコードを実行するゼロデイ攻撃を実施しました。この2つの犯罪組織はGoogle TAGにおりLzarus Group(G0032)として確認されています。
この脆弱性はCVE-2022-0609として報告され、正当な組織のWebサイト、ハッキングされたWebサイトにかかわらず、訪問者に攻撃コードを提供するエクスプロイットキット攻撃を実施するものとなっています。

Google TAGは2月10日に本攻撃を特定していましたが、エクスプロイットキットは1月4日より前に展開されていたと報告しています。
1つのAPTグループはニューメディア、ドメイン登録会社、Webホスティング、ソフトウェア会社を含む複数の業種において10企業250以上の人々を標的としていることがわかっています。
もう1つのAPTグループは暗号資産、フィンテック業界の85ユーザを標的としていることもわかっています。

2.Musang Panda Houdar:新しいKorplugの変異株
引用:https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/

ESETは中国のAPT犯罪組織Mustang Panda(G0129)がHoudarを再構築した、PlugX RATを使用してサイバースパイ攻撃を実行していると報告しています
被害者には東南アジア、ヨーロッパ、アフリカの調査会社、ISP、ヨーロッパの外交使節団が含まれています。
Mustang Pandaの最近の攻撃は2021年8月にさかのぼり、ヨーロッパとウクライナの現在発生している事象に関する文書をおとりに使用しています。
おとりのドキュメント、正当な実行ファイル、悪意あるモジュール、暗号化されたKorplugファイルをHTTPS経由でダウンロードさせてHoudurバックドアとして展開しています。1度すべてのファイルをダウンロードし、被害者がおとりの文書を開くと、ダウンローダーが実行ファイルを起動する仕組みになっています。

3.Oktaによる1月の侵害調査報告
引用:https://www.okta.com/blog/2022/03/oktas-investigation-of-the-january-2022-compromise/

Oktaの最高セキュリティ責任者(CSO)であるDavidBradburyは、Lapsus $の脅威犯罪組織により、SitelでSitelで働いている契約社員であるカスタマーサポートエンジニアのPCが侵害されたことを明らかにしました。
この犯罪者はOktaにログインしている最中にリモートデスクトッププロトコルを介して、エンジニアのPCに侵入したとされています。
2022年1月16日から5日間Sitel環境にアクセスできていたことがわかっています。
Oktaはインシデントとその調査の詳細なタイムラインを共有しています。
CSO Braduryは366の顧客がこの侵害に影響を及ぼしていると報告しています。
また、”Oktaサービスは侵害されておらず、お客様が実施すべきアクションは必要ない”と報じています。
それでも、Oktaは影響を受けた顧客にレポートを送信し、違反期間中にSitelがOktaテナントに対して実行したアクションを公表しています。

4.犯罪組織DEV-0537によるデータ漏洩と破壊のための特定組織を標的とした攻撃の実施
引用:https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/

マイクロソフトは制限されたインテリジェンスをブログに投稿しました。
この投稿は”Lapsus$”として個別識別される脅威犯罪者のTTP(戦略、技術、攻撃手順)プロファイルになります。
また、この投稿には対応策と脅威ハンティングの推奨事項の記載があります。

3,4の攻撃に関して、Oktaの侵害に注目することで、マイクロソフトは透明性への圧力から解放されました。マイクロソフトは、さーいすの攻撃チェーンにOktaが含まれていることを確認も除外もしていませでした。
Microsoftは、Cortanaのソースコードだけでなく、BingおよびBingMapsに関連する37Gbのソースコードやその他のデータを盗んだというLapsus$の主張にも対応できていませんでした。

ロンドン市警察は、ハッキンググループLapsus$に関連している10代の7人を逮捕しました
引用:https://www.theverge.com/2022/3/24/22994563/lapsus-hacking-group-london-police-arrest-microsoft-nvidia

進化する悪意あるコード

1.Peacenotwareモジュールはnode-ipcパッケージ内のnpmの開発を妨害することでウクライナへの侵害に抗議を実施
引用:https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/

クラウドセキュリティ会社のSnykは、ロシアとベラルーシを攻撃するハクティビストのによるnpmオープンソースエコシステムで悪意のあるコードを発見しました。
Snykは「2022年3月15日、Vue.jsフロントエンドJavaScriptフレームワークを利用しているユーザーが、npmエコシステムに影響を与えるサプライチェーン攻撃を受けていると報告しました。
これは、node-ipcとpeacenotwarがネスト(プログラムの構築手法)関係にあるため、node-ipcパッケージが保守を実施しているため、抗議行為として妨害されるという結果をもたらしました。
node-ipcは、Linux、macOS、Windowsをサポートするローカル・リモートのプロセス間通信(IPC)に使用される主要なノードモジュールです。これは毎週110万回以上ダウンロードされ利用されています。

2.Azure開発者を標的とした大規模なnpm攻撃
引用:https://jfrog.com/blog/large-scale-npm-attack-targets-azure-developers-with-malicious-packages/

JFrog 調査機関は悪意のあるnpmパッケージを利用し、MicrosoftAzure開発者を標的とした「大規模な」攻撃が発生したと報告しました。
攻撃の目的は、開発者からの貴重な個人情報(PII)を標的にしているようです。
タイプミスを利用するように開発者をだまして、情報を盗むマルウェアを含むファイルをダウンロードさせる手法をとっているようです。
本調査期間はMicrosoftAzure開発者を対象とした何百もの悪意のあるnpmパッケージを特定しました。
パッケージは開発者から個人を特定できる貴重な情報を盗むために作成され、3月21日に始まったnpmパッケージ攻撃は数日で50から200に増加しています。
攻撃において、スクリプトは自動化され、アカウントの作成とnpmセットが自動的にアップロードされます。

リスクに関連する脆弱性

1.デスクトップ向けStable Channelの更新
引用:https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html

GoogleはChromeブラウザーに関する非常に重要度の高いゼロデイ脆弱性に対応するパッチをリリースしました。CVE2022-1096脆弱性が悪用されるということを認識しています。この脆弱性が何をするのか、リスクがどうなのか?については詳しく説明していません。

おわりに

Qちゃん
Qちゃん

Google Chromeを利用割ている方、狙われています。まずは最新のパッチを亭起用することと、継続的なパッチの更新をお勧めします。

コメント

タイトルとURLをコピーしました