偽Telegramアプリが1000万人のユーザーをスパイウェアに感染させる
1. 国家レベルのハッカーが、FortinetおよびZohoの脆弱性を悪用
サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)は、FBIおよびサイバーナショナルミッションフォース(CNMF)と協力して、Fortinet FortiOS SSL-VPNおよびZoho ManageEngine ServiceDesk Plusのセキュリティ脆弱性を悪用する複数の国家主導のハッカーに警告を発表しました。CVE-2022-47966およびCVE-2022-42475を含むこれらの脆弱性は、不正なアクセスを取得し、持続性を確立し、ネットワーク内で横断移動するために悪用されました。
CVE-2022-47966では、認証されていない攻撃者がリモートコード実行を達成し、ルートレベルのアクセスを付与し、追加のマルウェアをダウンロードし、管理者のユーザー資格情報を収集し、追加のシステムを潜在的に侵害することが可能でした。CVE-2022-42475は、初期アクセスベクトルとして使用され、攻撃者が組織のファイアウォールデバイスを侵犯し、Webシェルを展開し、暗号化されたデータ転送セッションを開始し、重要なサーバー上の管理資格情報を無効にしてログを削除し、検出を回避しました。
組織はシステムにパッチを適用し、セキュリティを強化し、モニタリングおよび検出能力を向上させ、高度な持続的な脅威に対抗するためのベストプラクティスに従うために即座の対策を講じる必要があります。
2. 偽Telegramアプリのスパイウェア、1000万人以上のユーザーを感染させる
Google Play StoreでTelegramの偽物が見つかり、正規のアプリに偽装されていましたが、実際にはAndroidデバイスが侵害され、機密情報を秘密裏に収集していました。これらの詐欺アプリは、Googleによって削除される前に、数百万のダウンロードを集め、名前、ユーザーID、連絡先、電話番号、チャットメッセージなどの情報を収集し、それを悪意のある行為者が制御するサーバーに送信していました。
特筆すべきは、悪質なパッケージ名がタイポスクワッティングの戦術を使用し、ユーザーが正規のTelegramアプリであると思わせるために「wab」、「wcb」、「wob」などのバリエーションを取り入れていたことです。この発見は、BadBazaarマルウェアキャンペーンの公開に続きます。これは、チャットのバックアップを収集するために偽のTelegramバージョンを利用し、デバイスの位置を追跡し、通話ログを盗み、通話を録音するなどの機能を持っていました。
人気のあるメッセージングアプリの代替クライアントや変更バージョンを検討する際には非常に注意が必要です。さらに、インストール時にアプリが要求する権限に注意し、Androidデバイス全体に信頼性のあるウイルス対策および対マルウェアソフトウェアをインストールして、機密の個人データを保護することをお勧めします。
3. 悪意のあるAMOS Stealerが新しいマルウェア広告キャンペーンでmacOSユーザーを標的に
新しいAtomic macOS Stealer(AMOS)のバージョンであるOSX.AtomStealerが、GoogleでTradingViewソフトウェアを探しているmacOSユーザーを標的にした悪意のある広告(マルウェア広告)キャンペーンで浮上しました。悪意のあるハッカーはGoogleの検索結果を操作し、トップに悪意のある広告を表示させ、ユーザーをフィッシングサイトに誘導し、ユーザーが気づかずにマルウェアをダウンロードさせます。Googleの広告品質チェックからの検出を回避するため、これらの広告の一部はUnicode文字を使用して実際のドメイン名を模倣し、ユーザーが本物の広告と区別するのが難しくなっています。
実行されると、このマルウェアは機密ユーザーデータを外部に送信し、重大な脅威となります。Appleがアクセスを取り消すのが難しいアドホック署名を利用し、ウォレットアドレス、パスワード、クッキーなどを含むデータの外部送信を開始します。このマルウェアはまた、「強固な」サーバーをデータ転送に使用し、その洗練度を強調しています。盗まれた資格情報と個人情報は、ハッカーのサーバーに送信され、被害者のプライバシーとセキュリティが危険にさらされます。
このような脅威から保護するために、ユーザーはソフトウェアをダウンロードする際に注意を払い、ソースの正当性を検証し、リアルタイムのスキャンを備えた堅牢なウイルス対策を維持することが勧められています。
4. BlueShellマルウェアがWindows、Mac、およびLinux OSに対する影響を拡大
セキュリティ研究者による最近の報告で、韓国とタイのWindows、Mac、Linuxシステムを標的とするハッカーによるBlueShellマルウェアの利用が増加していることが明らかになりました。この洗練されたバックドア型マルウェアは、2020年以降Goでコーディングされ、検出を回避するためにTLS(Transport Layer Security)暗号化などの高度な手法を採用しており、中国を拠点とするハッカーであるDalbit Groupに関連しています。BlueShellのクロスプラットフォーム機能とCommand-and-Controlサーバーとの暗号化された通信により、BlueShellは非常に捕捉されにくくなっています。
このマルウェアの設定パラメータにより、攻撃者は制御を維持することができます。一方、Dalbit Groupとの関連は、その多用途性と、脆弱なサーバーの悪用、身代金の要求、および中国語を話す開発者やハッカーとのつながりの可能性があり、地域のターゲット向けにマルウェアをカスタマイズすることに同グループが重点を置いていることを強調しています。
定期的なアップデートを優先し、効果的な侵入検知システムを導入し、サーバーのセキュリティを強化し、ユーザーを教育することで、組織はこのようなマルウェア攻撃に対する脆弱性を大幅に減らすことができます。
5. 暗号通貨マイニングのためにサイバー犯罪者に悪用されるAdvanced Installer Tool
2021年11月以降、サイバー犯罪者はWindowsの正規ツール「Advanced Installer」を悪用し、暗号通貨をマイニングするマルウェアを配布しています。彼らはAdobe IllustratorやAutodesk 3ds Maxのような有名なソフトウェアインストーラに悪意のあるスクリプトを隠しパッケージ化し、Advanced Installerのカスタムアクション機能を使って目立たないように実行します。主に3Dモデリングやグラフィックデザインなど、高いGPUパワーを必要とする業界のフランス語圏のユーザーを標的としており、攻撃はフランスとスイスで確認されていますが、時折世界的なインシデントも報告されています。
マルウェアのペイロードには、リモート管理用のM3_Mini_Rat、イーサリアム採掘用のPhoenixMiner、複数の仮想通貨を同時に採掘するlolMinerなどがあり、被害者のシステムをまとめて暗号通貨採掘のハブに変えてしまいます。検索エンジン最適化の手口は、攻撃者が検索結果を操作して悪意のあるダウンロードを配信し、キャンペーンの範囲を広げることを示唆しています。
このような攻撃を阻止するためには、強固なアンチウイルスおよびアンチマルウェア・ソリューションの採用、フィッシングの試みを認識するための従業員の訓練、異常なトラフィック・パターンを検出するためのネットワーク監視ツールの導入が推奨されます。