セキュリティインテリジェンス【5月23日】

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今週はSonicWall Secure Mobile Accessシリーズアプライアンスの深刻な脆弱性が初期アクセスに利用されることが話題になっています。

企業のWebサイトに利用されているWordPressのプラグイン Tatsuを標的として攻撃が増加しています。

また、Emotet、BlackByteランサムウェアの被害が増加していますので、お気を付けください。

概要

SonicWall Secure Mobile Access (SMA) 1000シリーズアプライアンスは、いくつかの深刻な脆弱性の初期アクセス侵入方法になっています。
また、この脆弱性を利用したITW(In the wild)攻撃を示すインテリジェンスはまだありません。
一方、比較的無名のWordPressプラグインであるTatsu Builderのリモートコードの実行が可能な脆弱性は、4月7日のパッチリリース以降、攻撃を受けるようになりました。
複数の大企業が、インターネット上で公開するコンテンツの少なくとも一部にWordPressを使用しています。
北朝鮮が支援するLazarus GroupがLog4jを悪用して、2014年のSony Picture Entertainmentのディスクワイパー攻撃で初めて見られたバックドアマルウェアNukeSpedを利用するという攻撃を観測しました。
EmotetとBlackByteランサムウェアは、ほぼすべての地域と業種で被害者の報告が多く発生し続けています。

注目すべき攻撃

1.ロシア国家が支援するWizard Spiderの深層分析を公開
引用:https://www.prodaft.com/m/reports/WizardSpider_TLPWHITE_v.1.4.pdf

Prodaftのアナリストが、ロシア国家が支援するサイバー犯罪者グループ”WIZARD PIDER”(G0102)の内部事情を報告しました。
このグループは、TrickBot、BazarLoader、KEGTAP/BuerLoader、Conti ランサムウェア、SocGholish、Anchor DNS フレームワークなど、複数のマルウェア・ファミリーの開発・運営していることでも知られています。
このグループが関与する典型的な攻撃チェーンは、Qbot、IcedID、TrickBot、SystemBCなどのマルウェアを配布するスパムキャンペーンから始まり、それらを発射台として、横移動用のCobalt Strikeなどの追加ツールを投下し、感染後の活動として、暗号化ランサムウェアを使用することが多くなっています。
WIZARD SPIDERは、認証情報の盗難や偵察のために豊富なユーティリティを活用することに加え、被害者のネットワークへの最初の足がかりを得るために、Log4Shellなど最近公開された脆弱性をターゲットとする悪用ツールキットを使用することが知られています。
WIZARD SPIDERの能力と、ソフトウェア固有の複雑なサブチームの集合を含むその指揮系統に関する技術的な分析が含まれています。

2.WordPress Tatsuプラグインを標的とした数百万の攻撃を観測
引用:https://www.wordfence.com/blog/2022/05/millions-of-attacks-target-tatsu-builder-plugin/

Wordfence Threat Intelligence は、Tatsu Builder のリモートコードを実行可能な脆弱性を悪用した大規模な攻撃を観測しました。
CVE-2021-25094 として観測されているこの脆弱性は、無料およびプレミアム Tatsu Builder プラグインの両方の脆弱なバージョンに存在するもので、WordPress.org のリポジトリに記載されていない独自のプラグインです。
Wordfenceによると、このプラグインは2万から5万件インストールされているとのことです。
Tatsuは7日、全顧客にアップデートを促す緊急メールを送信したが、Wordfenceは、残りのインストールの少なくとも4分の1がまだ脆弱であると推定しています。

3.北朝鮮国家が支援するLazarusグループによるLog4Shell脆弱性を利用した攻撃
引用:https://asec.ahnlab.com/en/34461/

ASEC の研究者は、Lazarus Group (G0032) が Log4j (CVE-2021-44228) を悪用して、韓国の組織でパッチが適用されていない VMware Horizon 製品への攻撃が継続していることを観測しました。
Lazarus Groupは、Log4jを使用して、C2サーバーからコマンドを受信して実行できるNukeSpedバックドアと、InfoStealerという別のマルウェアユーティリティを配信しています。
この最新の攻撃は、4月に観測されました。
このマルウェアの特徴や機能に関するハイレベルな技術的概要を説明しました。
NukeSpedに関する最初の情報は、ソニー・ピクチャーズエンタテインメントに対するディスクワイパー攻撃の後に発見されました。

悪意あるコードの進化

1.Emotet攻撃の概要:2021年11月~2022年1月にかけて
引用:Trend Micro:https://www.trendmicro.com/en_us/research/22/e/bruised-but-not-broken–the-resurgence-of-the-emotet-botnet-malw.html

トレンドマイクロは、複数の新しいEmotetの亜種を使用した、複数の地域、複数の業界における感染件数を取り上げています。
Emotet は、著名な脅威としての地位を取り戻しています。
その主な配布方法は、電子メールを介して行われます。
感染したコンピュータは、Emotetボットネットを拡大するために、しばしばスパムボットとして動作します。
遠隔での観測によると、最も標的とされた地域は日本で、アジア太平洋地域の他の国々、ヨーロッパ、中東、アフリカがそれに続いています。
新しい攻撃では、新旧両方のTTP(戦略、戦術、手順)が使用されています。
最近のEmotetのサンプルは、通常のVBAの代わりに、Excel 4.0のマクロを使用しています。
EmotetのC2サーバーは頻繁に更新され、IPアドレスやTCPポートが変更されています。
Emotetは、Gootkit、IcedID、Qakbot、TrickBotなどの他のマルウェアを配布しています。
2019年9月までに、Emotetのインフラストラクチャは、3つの別々のボットネットで稼働していました。
これらのボットネットは、セキュリティ研究チームCryptolaemusによって、epoch 1、epoch 2、epoch 3と指定されました。

2.Swiftで書かれた新しいmacOSマルウェアの復活
引用:https://www.jamf.com/blog/updateagent-adapts-again/

UpdateAgentとして観測されているmacOSマルウェアの新しい亜種がITW(In the Wild)で発見されました、そしてJamfは作成者により継続的に機能性をアップグレードされています。
UpdateAgentは、マルウェア・ドロッパーとして進化し、アドウェアなどのセカンドステージのペイロードの配布を容易にするとともに、macOS Gatekeeperの保護機能を回避することができるようになりました。
新たに発見されたSwiftベースのドロッパーは、”PDFCreator”および”ActiveDirectory”という名前のMach-Oバイナリを装い、実行時にリモートサーバへの接続を確立して、実行するbashスクリプトを取得するようになっています。

3.BlackByteランサムウェアの脅威情報解析
引用:PaloAlto:https://unit42.paloaltonetworks.com/blackbyte-ransomware/
引用:Zscaler:https://www.zscaler.com/blogs/security-research/analysis-blackbyte-ransomwares-go-based-variants
引用:https://blog.talosintelligence.com/2022/05/the-blackbyte-ransomware-group-is.html

複数のセキュリティベンダーがGoとDotNETで書かれた新しい亜種、およびGoとC言語を混合して書かれた亜種について説明したBlackByteランサムウェアに関するレポートを発表しました。
このランサムウェアの実行者は、特権を昇格させるためにレジストリを変更することが確認されています。
Cisco Talosによると、BlackByteは、北米からコロンビア、オランダ、中国、メキシコ、ベトナムまで、世界中の被害者に感染していることが観測されました。
FBIによると、このグループは、米国内の少なくとも3つの重要インフラ部門も標的にしています。
研究者は、BlackByteをより大きなランサムウェアグループの一部と考えています。
このグループは、大規模で知名度の高い標的を狙い、内部データの流出を狙って、それを公に発表すると脅すという攻撃を実施しています。
同様のグループと同様に、彼らはダークネット上に独自のリークサイトを持っています。

4.HUI ローダーの解析
引用:https://blogs.jpcert.or.jp/ja/

2015年以降、HUI Loaderは複数の脅威アクターグループによって使用されています。
HUI Loaderに関連するマルウェアの機能を隠すため、一部の攻撃者はマルウェアを暗号化し、実行するときだけ復号化するようにしています。
このような場合、エンコードされたマルウェアは、ローダーと呼ばれるプログラムによって読み込まれ、実行されます。
この方法を用いると、攻撃者はマルウェアをローダーとエンコードされたマルウェアに分割することができます。
そのため、ローダーの機能を最小限に抑え、マルウェアの重要な機能を隠すことで、感染したホスト上での検出をより困難にしている。

リスクに関連する脆弱性

1.SonicWall SMA1000シリーズの認証されていないアクセス制御のバイパス
引用:SnicWall:https://www.sonicwall.com/support/knowledge-base/security-notice-sma-1000-series-unauthenticated-access-control-bypass/220510172939820/
引用:MS-ISAC:https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-sonicwall-sslvpn-sma1000-series-could-allow-for-authentication-bypass_2022-069

SonicWallは、Secure Mobile Access(SMA)1000シリーズアプライアンスに存在する複数の脆弱性(不正アクセスにつながる可能性のある深刻度の高い問題を含む)に対するパッチを公開しました。CVE-2022-22282 (CVSS3 =8.2) として観測されているこの脆弱性は、認証されていないアクセス制御のバイパスと説明されており、特定のリソースへのアクセスが不正に制限されます。
SonicWallは、顧客にパッチを適用することを”強く推奨する”と述べています。また、”一時的な緩和策はない”とし、”これらの脆弱性が悪用されているという証拠はない”とも述べています。

おわりに

Qちゃん
Qちゃん

Emotetによる攻撃は日本が一番報告されているそうです。また、Wordpressも多くの企業が利用していると思いますので、十分に注意し、対策を実施ください。

コメント

タイトルとURLをコピーしました