セキュリティインテリジェンス【5月16日】

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

複数のセキュリティ当局がEmoteマルウェアの脅威が再燃していると報告しています。

またMicrosoft、 F5、Zyxelなどが脅威レベルの非常に高い脆弱性に関するパッチをリリースしています。

概要

Microsoftは、4月下旬にパッチを適用したMicrosoft Edge(Chromiumベース)36件のCVEに加え、74件の脆弱性に対するパッチをリリースしました。
そのうち7件を”重要(Critical)”としています。
また、1件の脆弱性”CVE-2022-26925”が、活発に悪用されていることが判明したと報告しています。
CISAは、”Known Exploited Vulnerabilities Catalog”に追加しましたが、早急なパッチ適用による認証失敗を避けるため、金曜日に削除した。

Adobeは、18のCVEに対応する5つのセキュリティアドバイザリを発表しました。

5月のSAPセキュリティパッチデーでは、8つの新しいセキュリティノート(3つの深刻なもの)と4つの既に公開されているセキュリティノート(1つの深刻なもの)の更新が公開されました。

Zyxelファイアウォールには、新たに重大な脆弱性”CVE-2022-30525”が存在し、簡単に悪用することができるMetasploitモジュールが既に公開されています。

注目すべき攻撃

1.北朝鮮 Lazarus:ソーシャルメディアやソーシャルエンジニアを利用した初期アクセス侵害
引用:https://research.nccgroup.com/2022/05/05/north-koreas-lazarus-and-their-initial-access-trade-craft-using-social-media-and-social-engineering/

NCCグループのRIFTは、Lazarus(G0032)に関連する攻撃の初期アクセス戦術を観察し、その段階で使用されたマルウェアの分析結果を報告しました。
被害者のネットワークにアクセスするために使用される手法は、これまでにも広く報告されています。しかし、NCCグループは、LazarusグループのTTP(戦略、戦術、手順)について、侵入後のニュアンスの違いや、攻撃経路、脅威ハンティングの材料となる情報を豊富に発見しました。
LazarusはLinkedInのプロフィールを使って、他の合法的な企業の従業員になりすましますことがわかりました。
マルウェアの実行につながる悪意のあるドキュメントを含む求人広告(ZIPファイル)をダウンロードするよう被害者を誘導します。
確認された悪意のあるダウンローダーは、LCPDOT(2021年1月にJPCERT/CCが報告)の亜種であると思われます。
スケジュールされたタスクが永続化に利用されていることが観測されました。(スケジュールされたタスクからのrundll32の実行)(T1053.005)。

Emotetの感染が再拡大していることが複数のセキュリティ当局から報告がありました。

悪意あるコードの進化

1.Emotetの感染再拡大に関して
引用:Checkpoint:https://blog.checkpoint.com/2022/05/11/april-2022s-most-wanted-malware-a-shake-up-in-the-index-but-emotet-is-still-on-top/
引用:BleepingComputer:https://www.bleepingcomputer.com/news/security/emocheck-now-detects-new-64-bit-versions-of-emotet-malware/
引用:JPCERT/CC:https://github.com/JPCERTCC/EmoCheck
引用:Netskope:https://www.netskope.com/blog/emotet-new-delivery-mechanism-to-bypass-vba-protection

Checkpointの2022年4月のグローバル脅威インデックスでは、Emotet (S0367) が依然として最も流行しているマルウェアであると報告されています。
さらに、TofseeとNanocore(S0336)は、FormbookとLokibot(S0447)に取って代わられ、それぞれ2番目と6番目に流行しているマルウェアになりました。
Spring4Shellは、脆弱性のトップ10リストには含まれていませんが、最初の1カ月間で世界の35%以上の組織に影響を与えたため、Checkpointは、この欠陥が今後数カ月でリストアップされると予想しています。
教育・研究分野は、依然として世界的に最も狙われやすい業種となっています。
CVEを持たない設定エラー”Web Server Git Repository Information Disclosure”が、最も悪用された脆弱性でした。
HP Wolf Securityの脅威調査チームは、Emotetが初めて再登場した2021年第4四半期と比較して、第1四半期にEmotetの悪質スパム攻撃に起因する検出数が27倍増加したと報告しています。
日本の組織を標的としたあるEmotetキャンペーンは、上四半期と比較して、捕捉されたMicrosoft Excelマルウェアサンプルが879%増加したと報告されています。

2.2022年の新しいランサムウェアトレンド
引用:https://securelist.com/new-ransomware-trends-in-2022/106457/

Trend1:ランサムウェア脅威グループが、Windows 以外の OS を実行するシステムにマルウェアを拡散できるよう、Rust や Golang などのクロスプラットフォームのプログラミング言語にコードを適合させる傾向が強まっていると報告しています。
この手法に移行しているグループには、Conti (S0575)、BlackCat、DeadBoltなどがあります。
Trend2:ランサムウェアのエコシステムは進化し、さらに”産業化”しています。
例えば、ランサムウェアの脅威の担い手(脅威犯罪者)は、Filezillaなどのデータ流出用の一般に入手可能なツールから、独自のカスタムで高速なツールにシフトしています。
Lockbit社は、StealBITと呼ばれるツールを作成しました。
Trend3: ランサムウェア脅威グループは、地政学的な紛争に味方するようになりました。

3.Revil ランサムウェアの再活動について
引用:Securewokrs:https://www.secureworks.com/blog/revil-development-adds-confidence-about-gold-southfield-reemergence
引用:BleepingComputer:https://www.bleepingcomputer.com/news/security/revil-ransomware-returns-new-malware-sample-confirms-gang-is-back/

BleepingComputerは、REvilランサムウェアに関連する脅威犯罪者の復活を結論づけるに至らず、REvil関連する複数のマルウェアサンプルがTwitterに投稿されたと報告しました。
Secureworksは、Gold Southfieldグループ(G0115)が先月活動を再開してから入手したREvil(S0496)の新しいサンプルについて、ランサムウェアのソースコードへのアクセスを強く示唆するものだと評価しています。
彼らは、このマルウェアが活発に開発されていると評価しています。
”REvil”は、このランサムウェアを操作する脅威犯罪者が対して最も頻繁に使用しているものです。

4.IceApple Frameワークの観測
引用:https://www.crowdstrike.com/blog/falcon-overwatch-detects-iceapple-framework/

CrowdStrikeの調査チームは、新しい、洗練されたpost-explotiationフレームワークを明らかにしました。
このフレームワークは、IISの詳細な知識を持つ脅威犯罪者によって開発されたもので、”IceApple”と名付けられています。
IceAppleは現在18のモジュールを含んでおり、学術、政府、技術分野の組織を標的に攻撃しています。
観測された標的型侵入は、中国に関連する、国家が支援する収集要件と一致していますが、CrowdStrike Intelligenceは、2022年4月現在、IceAppleを特定の脅威者に帰属させることはしていません。

リスクに関連する脆弱性

1.F5:アプライアンスモードで認証されたF5 BIG-IP Guided Configurationのサードパーティ製lodashおよびjQueryの脆弱性(CVE-2021-23337, CVE-2020-28500, CVE-2016-7103
引用:https://support.f5.com/csp/article/K12492858?utm_source=f5support&utm_medium=RSS

F5は、サードパーティのCVE:2xLodashおよび1xjQueryを通じて脆弱性があるアプライアンスモードに関してBIG-IPのセキュリティアドバイザリをリリースしました。
2022年5月10日火曜日CISAは、in-the-wild(ITW)攻撃を確認する”Known Exploited Vulnerabilities Catalog”(KEVC)にこれを追加しました。
SANS Internet Storm Centerは、先週の日曜日にCVE-2022-1388の評価を発表しています。

2.Microsoft:2022年5月セキュリティアップデート
引用:https://msrc.microsoft.com/update-guide/releaseNote/2022-May

Microsoftは、7つの”Critical”な脆弱性と、サポートされているすべてのバージョンのWindowsに影響を与える1つの脆弱性(ゼロデイ)(CVE-2022-26925)の修正を含む74のセキュリティ問題に対するパッチをリリースしました。
Microsoftのセキュリティ更新ガイドには、”エクスプロイトが検出されました”と記載されています。
2022年5月10日のマイクロソフトのロールアップ更新をドメインコントローラーに適用した場合、認証に失敗する危険性があります。
また、ドメインコントローラーに2022年5月10日のロールアップ更新をインストールした後で、サーバーまたはクライアントで認証に失敗する可能性があります。
” このゼロデイ脆弱性は、Windows LSA スプーフィング脆弱性で、CVSS= 8.1 ですが、マイクロソフトは、Active Directory 証明書サービス (AD CS) に対する NTLM リレー攻撃と連鎖する場合、重要 (CVSS 9.8) に引き上げられるべきであると指摘しています。
この攻撃ベクトルは、昨年発生したPetitPotam攻撃と密接に関連しています。そのためドメインコントローラへのパッチ適用に優先的に取り組むことを推奨しています。
今月のリリースでは、17件の情報漏えい脆弱性のうち4件がPrint Spoolerに影響し、CVSSスコアは5.5~7.8となっています。

3.ZyxelファイアウォールのOSコマンドインジェクション脆弱性に関するセキュリティアドバイザリ
引用:https://www.zyxel.com/us/en/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

Zyxel は、ハッカーが 16,000 台以上のファイアウォール機器をリモートで制御できる重要な脆弱性 (CVE-2022-30525) を修正したアップデートを発表しました。
この脆弱性を発見し、Zyxel社に報告したRapid7社は、アドバイザリとMetasploitモジュールを公開しました。
この脆弱性は、認証を必要としないリモートコマンドインジェクションを可能にし、深刻度は10段階中9.8と評価されています。
この欠陥は、影響を受けるデバイスに単純な HTTP または HTTPS リクエストを送信することで容易に悪用される可能性があります。

おわりに

Qちゃん
Qちゃん

いかがでしたでしょうか、Emotetの脅威が再び再燃しています。Word、Excelといったファイルを媒介としたマルウェアで攻撃手法はメールへの添付送付による攻撃となります。

皆様も、外部から受信した添付ファイルメールの取り扱いには十分な中を払ってください。

コメント

タイトルとURLをコピーしました