セキュリティインテリジェンス【2022年4月25日)

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今日は1月に侵害されたOktaの報告、Google、Mandiantによるゼロデイ攻撃の分析などのレポートが上がっています。

早速紹介していきたいと思います。

概要

グーグル とマンディアントがパッチがリリースされる前に、実際に悪用された脆弱性の数が増加したというレポートを発行しています。
スペインのカタルーニャの市民社会の複数のメンバーや政治家が使用するモバイルデバイスにマルウェアをインストールするために使用されたCitizenLabのインテリジェンスからゼロデイ攻撃のTTP(戦術、戦略、手順)に関して学ぶことができます。
JavaおよびCiscoアーキテクチャコンポーネントの新たな脆弱性にパッチを適用することで、攻撃による潜在的なリスクを軽減することができます。
トレンドマイクロは、BlackCat/ALPHVランサムウェアの感染に関するインシデントレスポンスの調査結果を発表しました。

注目すべき攻撃

1.Shuckworm:EspionageGroupのウクライナに対する激しい攻撃
引用:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-gamaredon-espionage-ukraine

シマンテックは、バックドアマルウェア”Pterodo”の複数の亜種(Pteranodon(S0147))が出回っていることを報告しました。
Pteranodonは、Gamaredon Group(G0047)として知られるロシアの脅威犯罪者(TA)”Shuckworm”によって使用されています。
Gamaredonは2014年からウクライナを標的としており、ロシアの侵攻が始まってからはより高い攻撃レベルになっています。
GamaredonのTTP(攻撃の戦術、戦略、手順)には、侵害されたデバイスに同じマルウェアの複数のバージョンを展開するようになっています。
1つの亜種が検出された場合に備えて、単純に永続化を図ったものであろうと評価しています。
Visual Basicスクリプト(T1059.003)がマルウェアを落とし、スケジュールされたタスク(T1053.005)によって永続的に実行されます。
Pteranodonは、サンドボックスの検知と難読化を避けるために、ジャンクデータでサンドボックス分析に負荷をかけ、実行を遅らせることを目的とした”APIハンミング”を使用しています。

2.風力発電機メーカーNordexに対するContiランサムウェア攻撃
引用:https://www.bleepingcomputer.com/news/security/wind-turbine-firm-nordex-hit-by-conti-ransomware-attack/

4月2日、Nordexは、サイバー攻撃を受けたことを早期に発見し、攻撃の拡大を防ぐためにITシステムを停止したことを明らかにしました。
Contiランサムウェア脅威犯罪者がランサムウェア攻撃を実施したと犯行声明を出しています。
今週のNordexのアップデートでは、調査の結果、攻撃は社内システムに限定され、顧客には広がっていないことが判明しました。

3. Oktaは2022年1月の侵害に関する調査を終了と報告
引用:https://www.okta.com/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/

Okta は”世界的に有名なサイバーセキュリティ会社”を起用し、1月の侵害を調査を実施し、今週、要約を発表しました。
この報告はインシデントレスポンス(IR)と内部調査からの報告書を統合したものです。
脅威犯罪者が制御したのは2022年1月21日に25分間、サポートエンジニアのワークステーションを操作したことが判明しました。
その間に、脅威犯罪者は、SuperUnit内の2つのアクティブな顧客テナントにアクセスしました。
そして、SlackやJiraなど他の特定のアプリケーションで限定的な追加情報を閲覧しました。
また、SlackやJiraなど、Oktaの顧客テナントで攻撃を実行するために使用することができないアプリケーション上で、限定的な追加情報を閲覧しました。
脅威犯罪者は、設定変更、MFA(多要素認証)やパスワードのリセット、カスタマーサポートへの「なりすまし」イベントを成功させることができませんでした。
Oktaはこの2社のお客様には、最終的なフォレンジックレポートと、Oktaの短期、長期の改善策を記載した”Oktaセキュリティアクションプラン”を提供しました。
OktaはSykes/Sitelとの関係を打ち切りました。
Oktaは、Sykesの2021年のSitel買収との関連についての追加洞察を提供せず、Mandiantからと称する3月のリークは、Sykesが最初のアクセス戦術「Exploit Public-Facing Application(T1190)」、特にCVE-2021-34484 (8月のパッチ)によってバイパスすることでWindows User Profile Serviceのローカル権限昇格される脆弱性はと CVE-2022-21919(1月のパッチ)とCVE-2022-26904 (4月のパッチ) によって回避/修正されたと報告しています。
OktaはIR会社を明言しておらず、報告書の文言からOktaとSitelが同じ会社(Mandiant)を使っている可能性があります。

4. CatalanGate ~PegasusとCandiruを使用したカタロニア人に対する広範な金銭目的のスパイウェア攻撃
引用:https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/

トロント大学のMunk School of Global Affairs & Public Policyに属するCitizen Labの脅威研究者が、カタルーニャの政治家、ジャーナリスト、活動家が所有するiPhoneにNSOグループのスパイウェアをインストールするために使用される新しいゼロクリックのiMessageエクスプロイトを発見しました。
”HOMAGE”と名付けられたこの未知のiOSのゼロクリック・セキュリティの欠陥は、iOS 13.2以前の一部のバージョンに影響を及ぼします。
これは、2017年から2020年にかけて、NSOのスパイウェア”Pegasus”で少なくとも65人を標的とした攻撃で、Kismet iMessage exploitとWhatsAppの欠陥とともに使用されていました。
これらの攻撃の犠牲者のうち、2010年以降のカタルーニャの大統領をはじめ、カタルーニャの議員、法学者、ジャーナリスト、市民団体のメンバーやその家族など、あらゆる人を対象としていました。
Citizen Labは、特定の政府によるものであると断定しているわけではありません。
しかし、さまざまな状況証拠から、スペイン政府内の複数の組織が自国民を標的にしていることが強く示唆されています。
スペインでは、iOSよりもAndroidの普及率が高い(~80%/20%)ことが分かっています。
Citizen LabのフォレンジックツールはiOS向けに開発されており、CatalanGateによるとPegasusに感染したAndroidデバイスはiOSに比べ大幅に少なくなっていると考えられています。

悪意あるコードの進化

1.BlackCat/ALPHVランサムウェアの侵入痕跡(IOC)
引用:FBI:https://www.ic3.gov/Media/News/2022/220420.pdf
引用:TrendMicro:https://www.trendmicro.com/en_us/research/22/d/an-investigation-of-the-blackcat-ransomware.html

BlackCat(別名AlphaVMまたはAlphaV)は、Rustプログラミング言語で作成されたランサムウェアファミリーで、Ransomeware as a Service(RaaS)で運用されています。
TrendMicroの調査によると、BlackCatは主にサードパーティのフレームワークとツールセット(例: CertaVMまたはAlphaV)を介して配信されます。
BlackCatは、主にサードパーティのフレームワークやツールセット(例:Cobalt Strike)を介して配信され、インターネットに露出した脆弱なアプリケーション(例:Microsoft Exchange Server)を侵入口として利用します。
悪意のある犯罪者は、今後もCobalt Strike、LOLBin(living-off-the-landバイナリ)、およびレッドチームや侵入テストツールを使用してを攻撃を実施してくると想定しています。

2.HiveハッカーがMicrosoft Exchange Serversを悪用したランサムウェアを乱発
引用:https://www.varonis.com/blog/hive-ransomware-analysis

Varonisの研究者は、脅威犯罪者のTTP(戦術、戦略、手順)の観察に基づく最新のレポートを提供しました。
このインシデントでは、脅威犯罪者は無名の顧客のネットワークに侵入し、72時間以内に攻撃を完了しました。
最初のアクセス要因は、Exploit Public-Facing Application (T1190)でした。
2021年8月21日(土)CISAは緊急:”ProxyShell 脆弱性の能動的な悪用から保護” を発表しました。
マイクロソフトは4月にCVE-2021-34473CVE-2021-34523、5月にCVE-2021-31207の3つの脆弱性に対するセキュリティアドバイザリとパッチをリリースしました。
2021年6月に初めて発見されたHiveは、Ransomware-as-a-Service(RaaS)モデルを使用しています。
Hive犯罪者は二重の恐喝を行い、被害者を”名指しで辱める”リークサイトを運営しています。
Hiveの被害者には、非営利団体、エネルギー部門、金融会社、医療機関などが含まれていました。

リスクに関連する脆弱性

1. Cisco Adaptive Security Appliance および Cisco Firepower Threat Defense Software AnyConnect SSL VPN のDoSの脆弱性
引用:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vpndtls-dos-TunzLEV

Cisco ASA および Cisco FTD の Datagram TLS (DTLS) プロトコル実装の脆弱性(CVE-2022-20795)により、認証されていないリモートの攻撃者が DoS(Denial of Service) 状態を引き起こす可能性があります。

2.Cisco Umbrella Secure Web Gatewayのファイル復号化バイパスに関する脆弱性(CVE-2022-20773
引用:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uswg-fdbps-xtTRKpp6

Cisco Umbrella Virtual Appliance (VA) の中程度の深刻度の脆弱性に対処するため、セキュリティアップデートをリリースしました。
Appliance (VA)で、未認証の攻撃者がリモートで管理者認証情報を盗むことができるようになります。Umbrella のオンプレミス仮想マシンでは、鍵ベースの SSH 認証メカニズムがデフォルトで有効になっていません。

その他の重要なリスク

1.2021年 ITW(In-the-Wild)を使用したゼロデイ攻撃の振り返り
引用:Google:https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.html
引用:Mandiant:https://www.mandiant.com/resources/zero-days-exploited-2021

Mandiantは、2021年に合計80のゼロデイ攻撃を検出しました。これは2019年に確認されたものの2倍になりました。
Googleは、2015年に記録した2倍の58回のゼロデイ攻撃を検出しました。

おわりに

Qちゃん
Qちゃん

新しいところではBlackCat/ALPHVのIOCが公開されたことでしょうか?

それ以外もGoogle/Mandiantが2021年のゼロデイ攻撃の振り返りを実施してきました。

皆様もお気をつけください。

コメント

タイトルとURLをコピーしました