セキュリティインテリジェンス【2022年5月9日】

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今週はFortinet、F5の脆弱性を利用した攻撃が重要視されています。

それでは早速紹介していきたいと思います。

概要

今週は、FortinetとF5のセキュリティアーキテクチャコンポーネントの脆弱性が、InfoSecのリスクインテリジェンスが重要となっています。
ロシア、ベラルーシ、中国の広範なAPT犯罪者が使用するTTP(戦略、戦術、手順)を網羅した最新の情報を提供しています。
新たなダウンローダーマルウェアに関する情報を収集し、ドライブバイダウンロードやウォータリングホール攻撃に使用される最新の技術に関する情報を提供します。

注目すべき攻撃

1.東ヨーロッパにおけるサイバー活動状況
引用:Google:https://blog.google/threat-analysis-group/update-on-cyber-activity-in-eastern-europe/
引用:MS:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd

Googleは、5つのAPT犯罪者のインテリジェンスを更新しました。
APT28(ロシア)(G0007)、Turla(ロシア)(G0010)、COLDRIVER(ロシア)、Ghostwriter(ベラルーシ)、Curious Gorge(中国)です。
マイクロソフトは、2月23日以降、6つのロシアの脅威犯罪者がウクライナに対して237以上のサイバー攻撃を行い、そのうち38のワイパー攻撃がウクライナの数十の組織にわたる数100のシステムに対して実行されたと報告しています。

2.APT犯罪者NOBLIUM社によるSOLARDEFLECTION C2 インフラへのブランドを悪用した侵害
引用:https://go.recordedfuture.com/hubfs/reports/cta-2022-0503.pdf

SOLARDEFLECTIONのインフラへの攻撃を特定し、これらの攻撃が複数のサイバーインテリジェンス情報源によって以前、NOBELIUM脅威犯罪者(APT29 / G0016)によって実行された共通TTP(戦略、戦術、手順)と重複していることからこのAPT犯罪グループの犯行であると特定しました。
その他の重複は、同グループが伝統的に使用してきたCobalt Strikeの独自のバリエーションを利用しています。
SOLARDEFLECTION C2は、複数の業界、特にニュースやメディア業界において、ブランドを悪用するタイポスクワット(URLハイジャッキング)を使用しています。
APT29は、以前、SSL証明書においてタイポスクワットドメインを広範囲に使用しています。

3.UNC3524:サイバースパイ活動を実施する新たな脅威犯罪者グループ
引用:https://www.mandiant.com/resources/unc3524-eye-spy-email

Mandiantは、”UNC3524 “と名付けたスパイ活動の疑いのある新たな脅威犯罪者グループを特定しました。
このグループは、非常に高い技術力を持ち、一度獲得した環境へのアクセスを持続的に維持していると考えられています。
彼らは、ストレージエリアネットワークサーバー、無線アクセスポイント、ロードバランサーなど、一般的なセキュリティツールがインストールされていないデバイスにバックドアマルウェアを配備することで知られています。
UNC3524は、日常的にネイティブな”living-off-the-land”ツールを使用しているため、検知や分析が困難になっています。
最初のアクセス経路は特定できていません。
UNC3524は、企業開発、M&A、大規模な企業取引を行う従業員の電子メールを標的としています。
この脅威犯罪者グループの動機はおそらく金銭的な利益であるとみています。
UNC3524が使用するTTP(戦略、戦術、手順)は、ロシアの2つの脅威犯罪者グループAPT28(G0007)およびAPT29(G0016)と重複していますが、このグループと特定するに情報が不十分となっています。

4.Mustang Panda:欧州を標的とした新型マルウェアを展開
引用:https://blog.talosintelligence.com/2022/05/mustang-panda-targets-europe.html

Cisco Talosは、Mustang Panda(G0129)が実施する新たなサイバー攻撃を報告しました。
この中国のAPT犯罪者グループは、主にヨーロッパを中心にスパイ活動を展開しています。
この攻撃に関連する、これまで報告されていなかったファイルサンプル、Webサイトのドメイン、IPアドレスを発見しました。
これまで公表されていなかった例の中には、ウクライナをテーマにしたフィッシング・ルアーがあり、そのタイトルは、ウクライナ国家安全保障・防衛評議会の公式声明であるかのように見せかけることを意図していました。

5.LOTUS PANDAによるスパイ攻撃
引用:https://cluster25.io/2022/04/29/lotus-panda-awake-last-strike/

Cluster25調査チームによると、中国のスパイ組織 Naikon(G0019)がここ数週間、機密情報を盗むことを目的とした新たなフィッシング攻撃で再浮上していることがわかりました。
“Lotus Panda “は、CrowdStrikeによるこの脅威犯罪者の別名です。
知名度の低い脅威犯罪者に焦点を当てたOSINTレポートは、2015年と2020年に公開されています。APT脅威犯罪者が武器化されたOffice文書を含むスピアフィッシングメールを使用して、Viperレッドチームフレームワークからのビーコンを配信していることを発見しました。
Cobalt Strikeと同様に、Viperではペイロードの生成、リバースシェル、カスタムビーコンが可能です。
攻撃対象を把握していませんが、脅威犯罪者の履歴から、「高い確率で」「南アジアの国の政府機関である可能性がある」とみています。

6.CuckooBees攻撃: Winnti Malware Arsenalの分析
引用:https://www.cybereason.com/blog/operation-cuckoobees-a-winnti-malware-arsenal-deep-dive

Cybereasonは、アジア、ヨーロッパ、北米のテクノロジー企業や製造業を標的としたスパイ活動に関して12ヶ月間の調査を実施しレポートを発行しました。
中国の脅威犯罪者 Winnti (G0044)/APT41 (G0096)が原因であると結論付けました。
APT41犯罪者は、”Winnti Umbrella “に該当する複数の中国脅威犯罪者のうちの1つです。
複数のサイバーインテリジェンスアナリストは、Winntiは中国の国家的なスパイ犯罪者であり、サイバー犯罪の分野でもフリーランスとして活躍しているとみています。
他の脅威犯罪者は、過去の報告を受けてWinntiのTTPを採用し、利用しています。

7.Moshen Dragonのによるトライアンドエラーアプローチ
引用:https://www.sentinelone.com/labs/moshen-dragons-triad-and-error-approach-abusing-security-software-to-sideload-plugx-and-shadowpad/

中国に拠点を置くサイバースパイ活動グループが、”ShadowPad”、”PlugX”といったマルウェアを使用して、中央アジアの通信セクターを攻撃していることが確認されています。
PlugXとShadowPadは、中国語を話す脅威犯罪者の間で、主に諜報活動のために使用されてきたという歴史があります。
SentinelOneの調査結果は、Trellixが3月下旬に発表した、南アジアの通信および防衛分野を標的としたRedFoxtrot攻撃が、PlugXの新しい亜種”Talisman”を使用していたことを報告しています。

進化した悪意あるコード

1.BumbleBee:新しいマルウェアダウンローダー
引用:NCC:https://research.nccgroup.com/2022/04/29/adventures-in-the-land-of-bumblebee-a-new-malicious-loader/
引用:Proofpoint:https://www.proofpoint.com/us/blog/threat-insight/bumblebee-is-still-transforming

BUMBLEBEEは、複数の脅威者によって使用されている悪意のあるダウンローダーであり、様々な悪意のあるサンプルコードをダウンロードすることが確認されています。
BUMBLEBEEは、Cobalt Strikeビーコンなど、さまざまな悪意のあるペイロードをダウンロードし、実行することが確認されています。
3月、Google TAGは、初期アクセスブローカー”Exotic Lily”がBUMBLEBEEを使用していると報告し、Exotic LilyをWizard Spider/FIN12 (G0102) およびConti ransomware-as-a-service (S0575) にが関与していると報告しました。

2.SocGholishの情報更新
引用:https://threadreaderapp.com/thread/1522690116979855360.html

Microsoftは、SocGholishの開発者が2021年末に向けて、ほぼ毎月新しいコマンド&コントロール(C2)インフラ、Cobalt Strikeの展開方法の追加、発見とクレデンシャルダンプのための一般公開ツールの使用などのトレードクラフトを更新していることを報告しました。
ビーコンIPとC2ドメインの情報を提供しています。

リスクに関連する脆弱性

1.2022年5月:Fortigate製品に関する脆弱性アドバイザリー情報
引用:https://fortiguard.fortinet.com/psirt-monthly-advisory/may-2022-vulnerability-advisories

FortiGuardは、CVSSスコアが”Critical”1件、Severityスコアが”High”3件を含む9件のセキュリティアドバイザリを公開しました。

2.2022年5月:F5 脆弱性情報
引用:https://support.f5.com/csp/article/K55879220

F5は、BIG-IP製品の重大な脆弱性1件と深刻度の高い脆弱性17件に対応したパッチをリリースしました。
F5のDistributed CloudおよびManaged Servicesのインスタンスは本脆弱性の影響を受けません。
致命的な脆弱性は、CVE-2022-1388 [CWE-306]として管理されており、未認証の攻撃者がセキュリティをバイパスするし、組織に接続できる可能性があります。

おわりに

Qちゃん
Qちゃん

今週は、FortinetやF5など、一般企業が利用する製品の脆弱性に関する情報が公開されています。

内容を確認の上、パッチの適用をお勧めします。

コメント

タイトルとURLをコピーしました