セキュリティインテリジェンス【5月30日】

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今週はCisco Trend Micro製品に関して緊急度の高い脆弱性に関するパッチがリリースされています。

また、VMWare製品にて認証をバイパスする脆弱性がリリース数日で悪用されるという状態が続き、話題になっています。

概要

特定のCisco、TrenMicroの製品に関して緊急度の高い脆弱性があり使用している組織では、対策が必要です。
5月6日、VMwareは4月のセキュリティアドバイザリを公開しましたが、公開後数日で悪用されました。
エクスプロイトコードは野放し状態(In the wild)であり、CISAは米国連邦組織に脆弱性を持つシステムのパッチ適用または切断を義務付けています。
APT脅威犯罪者に関する複数のレポートが発行されました。
この脅威犯罪者のTTP(戦略、戦術、手順)から学ぶことが重要になります。

注目すべき攻撃

1.脅威犯罪者”DecisiveArchitectをどのように見つけるか、そして、”JustForFun”と命名されたカスタムマルウェアを特定するか
引用:https://www.crowdstrike.com/blog/how-to-hunt-for-decisivearchitect-and-justforfun-implant/

CrowdStrikeは、グローバル企業、特に通信会社を標的とし、例えば通話明細記録(CDR)や特定の電話番号に関する情報など、標的となる個人ユーザー情報を取得する脅威犯罪者(TA)の情報収集を2019年から行っています。
”DecisiveArchitect”と名付けられたこの脅威犯罪者は、”JustForFun”(OSINTではBPFDoor)と名付けたカスタムメイドのインプラント(埋め込み型マルウェア)を使用して、主にLinuxとSolarisシステムに標的としています。
主に侵入の初期段階においてWindowsシステムに関連されますが、Windows用のカスタムンプラントの存在は確認されていません。
脅威犯罪者はは、ldapdomaindumpや、Post Exploit Framework Impacketなど、一般に公開されているツールを使用して、前に侵入したLinuxシステムからWindowsシステムをターゲットにしています。
DecisiveArchitectは、中国に拠点を置く脅威犯罪者 Red MenshenとしてOSINTにも登場しています。DecisiveArchitectは検知、特定、分析、調査対応を避けるために、高度な運用セキュリティ TTP(戦略、戦術、手順) を示していると判断しています。

2. Sandwormは新しいバージョンのArguePatchを使用して、ウクライナを攻撃
引用:https://www.welivesecurity.com/2022/05/20/sandworm-ukraine-new-version-arguepatch-malware-loader/

ESETはウクライナのエネルギー供給会社に対し”Industroyer2”や、データ消去マルウェア”CaddyWiper”を含む複数の攻撃で使用されたArguePatchマルウェアローダーの更新版を発見しました。
ウクライナのCERT-UAがそう名付け、Win32/Agent.AEGYとして検出したArguePatchの新しい亜種は、指定した時間に攻撃を次のステージに実行する機能を備えています。
これは、WindowsでスケジュールされたタスクAを設定する必要を回避し、攻撃者の目を潜り抜けることを目的としていると思われます。

3.Twisted Panda:中国の脅威犯罪者によるロシア国営防衛機関へのスパイ活動
引用:https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/

Checkpointは、制裁関連のベイトを使用して、Rostec Corporationの一部であるロシアの防衛機関を攻撃してきた標的型攻撃に関して詳細報告を実施しました。
調査によると、この攻撃は、少なくとも数カ月前からロシア関連企業に対して行われている、より大規模な中国のスパイ活動の一部であることが判明しています。
報告書の中で、脅威犯罪者が使用したTTP(戦略、戦術、手順)を明らかにし、これまで知られていなかったローダーや複数の高度な回避・反解析技術を持つバックドアなど、マルウェアのステージとペイロードの技術的な分析を行っています。
この活動は、高い信頼性をもって中国の脅威犯罪者によるものだと書いていますが、同じ文中MenuPanda(G0045(Stone Panda/APT10))およびMustag Panda(G0129)にも接続する可能性があると報告しています。
2021年6月に攻撃が開始されてからのツールや手法の進化は、この脅威犯罪者がステルス性を優先していることを示しています。
この攻撃は、世界の出来事に適応し、最も適切で最新のルアーを使って成功のチャンスを最大化する中国のスパイ活動家の俊敏性を確証しています。

4.”Space Pirates”:新しいハッカーグループのツールとコネクションの分析
引用:https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/space-pirates-tools-and-connections/

PT Security のアナリストは、これまで知られていなかった中国のスパイ組織が、ロシアの航空宇宙企業に対してフィッシングメールを送信し、システムに新しいマルウェアをインストールしようとしていることを確認し、”Space Pirates”と名付けました。
アナリストは、この新しい攻撃は、APT41(G0096)、Mustang Panda(G0129)、TA-3390(G0027)(APT27)とTTP(戦略、戦術、手順)が重なると評価しています。
脅威犯罪者の名前は、マルウェア開発者が使用するPDBパスから引用されています。
この攻撃者の主な目的は、ロシア、グルジア、モンゴルの政府機関やIT部門、航空宇宙企業や電力企業からの専有情報/機密情報の窃取であると評価しています。

悪意あるコードの進化

1.新しいマルウェア”pymafka”によるサプライチェーン攻撃
引用:Sonatype:https://blog.sonatype.com/new-pymafka-malicious-package-drops-cobalt-strike-on-macos-windows-linux
引用:Sentinel:https://www.sentinelone.com/labs/use-of-obfuscated-beacons-in-pymafka-supply-chain-attack-signals-a-new-trend-in-macos-attack-ttps/

SonatypeとSentinelLabsは、悪意のあるPythonパッケージ”pymafka”を報告し、正規の人気ライブラリ”PyKafka”のタイポスクワットである可能性が高いとしました。
正規のパッケージは、Python Package Index (PyPI)にあるプログラマー向けのPython用Apache Kafkaクライアントです。
悪意のあるpymafka pythonパッケージは、Windows、Linux、およびmacOSシステム上でCobalt Strikeビーコンとバックドアを落とすサプライチェーン攻撃を実行します。
悪意のあるpymafkaパッケージは、PyPIから削除されるまでに約325回ダウンロードされました。

リスクに関連する脆弱性

1.Trend MicroがMoshen Dragonに対応するセキュリティアドバイザリを公開
引用:https://success.trendmicro.com/dcx/s/solution/000291042?language=en_US

Trend Microは、中国の脅威犯罪者が積極的にTrend Micro SecurityのDLLハイジャック欠陥を悪用したマルウェアに対応したアドバイザリを公開しました。
SentinelOneは、彼らが”Moshen Dragon”と名付けた脅威犯罪者が、Symantec、TrendMicro、BitDefender、McAfee、Kasperskyのセキュリティプログラムをハイジャックしていると報告した。

2.Cisco IOS XRソフトウェアのHealth Check Open Portの脆弱性に関して
引用:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK?vs_f=Cisco%20Security%20Advisory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Cisco%20IOS%20XR%20Software%20Health%20Check%20Open%20Port%20Vulnerability&vs_k=1

先週金曜日に公開されたアドバイザリで、Ciscoは、”2022年5月、Cisco PSIRTは、この脆弱性の悪用が試みられたことを認識した。”と述べています。
月曜日、CISAはCVE-2022-20821をKEVカタログに追加しました。
Ciscoのアドバイザリには、2つの回避策の記載があります

3.VMwareの認証をバイパスする脆弱性に関して
引用:VMware:https://www.vmware.com/security/advisories/VMSA-2022-0014.html
引用:Horizon3.ai:https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/
引用:PaloAlto:https://unit42.paloaltonetworks.com/cve-2022-22954-vmware-vulnerabilities/
引用:CISA:https://www.cisa.gov/uscert/ncas/alerts/aa22-138b

VMwareは、回避策を記載したナレッジベースを公開した後、最後のセキュリティアドバイザリを改訂し、CVE-2022-22972に対して悪意のあるエクスプロイトコードが野放しになっていることを確認しました(In the Wild)。
VMwareは、4月にCVE-2022-22954について同様の通知を出しています。
PaloAltoの脅威概要は、4月のCVE-2022-22954とCVE-2022-22960のITW悪用が主な内容です。
4月の脆弱性はいずれもCISAの既知の悪用される脆弱性(KEVs)のカタログに掲載されています。
今週、CISAは、VMwareに対する”可能性が高い”脅威犯罪者による標的型攻撃に関するアドバイザリを改訂しました。
CISAは、CVE-2022-22972とCVE-2022-22973(VMSA-2022-0014.1)にパッチを当てるか、それらのシステムを切り離すよう緊急指示をするような勧告をだしました。
Horizon3 が CVE-2022-22972 の概念実証のためのエクスプロイトをリリースしました。
4月の脆弱性は48時間以内に悪用され始め、1週間以内に広範な攻撃報告があった。
Keksecや他の脅威犯罪者も1週間以内にCVE-2022-22972/3をエクスプロイトする可能性があります。

おわりに

Qちゃん
Qちゃん

VMWare製品にて認証をバイパスする脆弱性に関しては緊急度が高く、CISAもパッチの適用ができない場合はネットワークを遮断することを強く推奨しています。

皆様も利用している製品を確認し、対応を実施ください。

コメント

タイトルとURLをコピーしました