標的型フィッシング攻撃に新たなトロイの木馬「SuperBear」が出現
1. Microsoft SQLデータベースの露出がFreeWorldランサムウェアの展開のターゲットに
セキュリティが脆弱なMicrosoft SQL(MSSQL)サーバーは、攻撃者グループ、特にランサムウェアグループにとって、好ましいターゲットとして広まりました。最近の攻撃キャンペーンの典型的な手法は、露出したMSSQLデータベースへの強制的なアクセスをブルートフォース攻撃で試み、それを使用してデータベースを列挙し、xp_cmdshell構成オプションを使用してシェルコマンドを実行し、偵察を行うことから始まります。
初期の潜入後、攻撃者は対象システム内での足場を拡張し、MSSQLを基点としてリモートアクセストロイアン(RAT)や「FreeWorld」と呼ばれる新しいMimicランサムウェア亜種を含むさまざまなペイロードを展開します。攻撃者はまた、ツールを含むディレクトリをマウントするためのリモートSMB共有を設定し、これにはCobalt Strikeコマンドアンドコントロールエージェント(srv.exe)やAnyDeskが含まれます。彼らはまた、Mimikatzとネットワークポートスキャナを使用してネットワーク内で横断的に移動し、資格情報をダンプします。
インターネットに露出したMSSQLデータベースに対しては、ユニークで複雑なパスワードを使用することが重要です。また、可能な限りMSSQLサーバーへのアクセスにVPNトンネルを使用し、直接インターネットに露出させないようにすることが推奨されています。
2. スーパー管理者権限を狙ったソーシャルエンジニアリング攻撃: Oktaが警告
最近の数週間で、複数のアメリカのOkta顧客から、ITサービスデスクのスタッフに対する社会工学攻撃の一貫したパターンが報告されています。攻撃者の戦略は、サービスデスクのスタッフを説得して、特権の高いユーザーによって登録されたすべての多要素認証(MFA)要因をリセットさせることでした。その後、ハッカーは、高度な特権を持つOktaスーパーアドミニストレーターアカウントを乗っ取り、侵害された組織内のユーザーになりすまします。商用のフィッシングキット「0ktapus」は、説得力のある偽のログインポータルを生成し、最終的に資格情報や多要素認証(MFA)コードを盗むための事前作成のテンプレートを提供し、攻撃の中心にあります。
最新の一連の攻撃では、脅威実行者は特権ユーザーアカウントに属するパスワードをすでに持っているか、「Active Directory(AD)を介した委任認証フローを操作できる」と言われています。それから、対象の会社のITヘルプデスクに電話をかけて、そのアカウントに関連付けられたすべてのMFA要因をリセットするように要求します。
エンドユーザー、特に管理者権限を持つユーザーは、ログイン資格情報を共有するウェブサイトのURLを常に二重確認し、最大のセキュリティを確保する必要があります。また、フィッシングに対抗する認証を強化し、ヘルプデスクの身元確認プロセスを強化することを推奨します。
3. Earth Estriesは、複数の国で政府およびテクノロジーセクターを標的としています
Earth Estriesハッキンググループは、政府機関およびIT組織を標的としたアクティブなサイバー諜報キャンペーンの背後にいます。このキャンペーンでは、バックドア、情報盗み出しツール、ポートスキャナなど、さまざまな悪意のあるツールが使用されています。使用される手法は、別のハッカーグループであるFamousSparrowが使用する手法と重なっています。グループは最初にDLLサイドローディング攻撃を使用してアクセスを得て、内部サーバーを感染させるために管理特権を持つアカウントを侵害します。
初期の侵害の後、Earth Estriesは商用の侵入テストツールであるCobalt Strikeビーコンを展開し、これを悪意のある活動に転用します。このビーコンにより、ハッカーは追加のマルウェアを配布し、被害者のネットワーク内で横断的に移動できます。
このような攻撃から保護するためには、管理特権を制限し、強力なパスワードポリシーを実施し、重要なサーバーとリソースを広域ネットワークから隔離することが推奨されています。さらに、Earth Estriesが使用する戦術、技術、手順(TTP)を理解し、適切な防御策を用意するためにMITRE ATT&CKフレームワークを活用することが重要です。
4. 韓国の活動家を狙った標的型フィッシング攻撃に新たなトロイの木馬「SuperBear」が出現
韓国の市民社会団体および活動家を対象とした標的型フィッシング攻撃で、新たなリモートアクセストロイアン(RAT)であるSuperBearが発見されました。この攻撃は、標的に送信されたフィッシングメールから始まり、そのメールは活動家の組織内で知られた連絡先からのものと偽装されています。メールを開いた後、被害者はそれに添付された悪意のあるLNKファイルを実行するよう誘導されます。このLNKファイルの実行により、PowerShellコマンドがトリガーされ、さらにVisual Basicスクリプトが実行されます。このスクリプトは、侵害されたWordPressウェブサイトから追加のペイロードを取得するために設計されています。
攻撃の次の段階では、AutoItスクリプトが使用され、Autoit3.exeバイナリファイルで「solmir.pdb」という名前で起動されます。このスクリプトは、プロセスホローイングとして知られる技術を使用し、一時的に中断された実行中のプロセスに悪意のあるコードを注入します。具体的には、Explorer.exeのインスタンスが生成され、一時停止され、その中にSuperBear RATが注入されます。一度活性化されると、RATは被害システムから機密データを外部に送信し、追加のDLLをダウンロードして実行するためにコマンドアンドコントロール(C2)サーバーとの安全な接続を確立します。
組織は、すぐにセキュリティ体制を強化するための措置を取る必要があります。これにはスタッフの教育、強力なセキュリティメカニズムの実装、インシデント対応の準備が含まれます。
5. 新たなバックドア「SideTwist」と「Agent Tesla」の亜種がフィッシングキャンペーンで解き放たれる
イランの脅威実行者であるAPT34は、さまざまな別名で知られており、SideTwistバックドアの亜種を展開する新たなフィッシングキャンペーンに関連付けられています。このキャンペーンでは、悪意のあるマクロを含む誘導用のMicrosoft Word文書が使用され、SideTwistペイロードを提供し、リモートサーバーとの通信を確立します。さらに、別のフィッシングキャンペーンで、古いMicrosoft Officeの脆弱性(CVE-2017-11882)を悪用する新たなAgent Tesla亜種が発見され、被害者から機密情報を収集しています。
APT34は、主に中東の通信、政府、防衛、石油、金融サービスなどのセクターを標的とした高度なサイバースパイ活動で知られています。Agent Teslaは、保存された資格情報、キーロギング情報、スクリーンショットなどの被害者デバイスから機密データを収集する悪名高い情報収集型マルウェアです。APT34およびAgent Teslaキャンペーン以外にも、ISOイメージファイルの誘惑を使用して、Agent Tesla、LimeRAT、Remcos RATなどのマルウェアストレインを感染したホストに展開するフィッシング攻撃の報告があります。
組織は、これら進化する脅威に対抗するために、セキュリティ対策として意識向上、ソフトウェアの更新、メールフィルタリング、エンドポイント保護などを優先することをお勧めします。