2023年、IoTデバイスに対するDDoSアタックが急増
1. BlackCatのSphynxランサムウェアは、高度な攻撃のためにImpacketとRemComを統合
マイクロソフトは、Sphynxとして知られるBlackCatランサムウェアの新しい亜種を特定しました。このランサムウェアは、ImpacketネットワーキングフレームワークとRemComハッキングツールを統合しています。Impacketは資格情報のダンプに使用され、ハッカーが侵害されたデバイス上のプロセスからユーザー名とパスワードを抽出できるようにします。RemComはハッカーに、侵害されたネットワーク内のリモートデバイスでコマンドを実行できる能力を提供する小さなリモートシェルです。この進化により、ランサムウェアは侵害されたネットワーク内で横方向に伝播することが可能になります。
通常のランサムウェアが主に身代金の支払いのためにファイルを暗号化するのとは異なり、Sphynxはツールキットを表します。つまり、ImpacketとRemComを含むさまざまなツールと機能を組み合わせて、より幅広い範囲の攻撃を実行します。この高度なランサムウェアの亜種は、パッチ管理、ネットワークセグメンテーション、堅牢なセキュリティツールなど、積極的なサイバーセキュリティ対策の重要性を示しています。
組織は従業員のトレーニングとインシデント対応計画も優先し、このような脅威に対する効果的な防御を実現する必要があります。
2. IoTが新たなDDoSを警報:DDoS 2.0の登場
インターネット・オブ・シングス(IoT)は、医療や物流などさまざまなセクターでの運用効率を革新しています。しかし、これには新しいセキュリティの脆弱性ももたらしています。特にIoTデバイスから発生するDDoS攻撃の形で顕著です。2023年上半期には、IoT DDoS攻撃が300%急増し、世界中で25億ドルの経済損失を引き起こしました。2023年の複雑なDDoS攻撃の90%はボットネットに基づいていました。
IoTデバイスの分散性は、そのような攻撃にとって理想的なプラットフォームとなり、悪意のあるトラフィックを識別し、阻止する難しさをもたらし、DDoS防御に関連する課題を複雑にしています。ボットネットを拡大するために、攻撃者は新しいIoTデバイスを標的にし、ボットネットとローダーサーバーを介入させます。ボットネットはデバイスに浸透し、ローダーサーバーはマルウェアを展開し、持続的なアクセスを付与し、それをボットネットのネットワークに組み込みます。
ユーザーには、安全なIoTのプラクティスを実施し、IoTデバイスを定期的に更新し、ファイアウォールから侵入検出システムまでの多層セキュリティプロトコルを実装し、デバイスが侵害されるのを防ぐために専門のDDoS保護ソリューションに投資することが勧められています。
3. 新たなAMBERSQUID暗号ハッキング作戦は、一般的でないAWSサービスを標的にする
最近出現したクラウドネイティブなクリプトジャッキング(暗号ハッキング)キャンペーンは、暗号通貨を秘密裏に採掘する目的で、AWS Amplify、AWS Fargate、Amazon SageMakerなど、あまり一般的に利用されていないAmazon Web Services(AWS)を標的にしています。AMBERSQUIDの作戦は、EC2インスタンスをスパムするようなAWSリソースの承認要件を引き起こすことなく、クラウドサービスを効果的に悪用しました。 セキュリティ研究者は、Docker Hub上の170万件のイメージを分析することでこのキャンペーンを特定し、スクリプトやユーザー名にインドネシア語が使用されていることから、インドネシアの攻撃者であると推定しました。イメージの中には、攻撃者が管理するGitHubリポジトリから暗号通貨マイナーを実行するものもあれば、AWSを標的としたシェルスクリプトを実行するものもあります。
注目すべき手口は、プライベートなGitリポジトリをホストするために使用されるAWS CodeCommitを悪用して、様々なサービスでソースとして利用されるプライベートリポジトリを作成することです。このリポジトリにはAWS Amplifyアプリのソースコードが含まれており、シェルスクリプトがこれを利用してAmplifyウェブアプリを構築し、暗号通貨のマイニングプロセスを開始します。
このような攻撃を防ぐには、AWSサービスの包括的な監視とアラートを設定し、リアルタイムの推奨のためにAWS Trusted Advisorを有効にし、最小権限のIAM(アイデンティティとアクセス管理)ポリシーを実装することが推奨されます。
4. ネットワーク監視ソフトウェアNagios XIに重大なセキュリティ脆弱性が発覚
ネットワーク監視ソフトウェア「Nagios XI」に、権限の昇格や機密情報の漏洩につながる可能性のあるセキュリティ脆弱性が複数存在することが明らかになりました。研究者によると、3つの特定の脆弱性(CVE-2023-40931、CVE-2023-40933、CVE-2023-40934)の悪用に成功した場合、認証された攻撃者は任意のSQLコマンドを実行できる可能性があるといいます。これにより、様々なレベルのアクセス権限を持つユーザがデータベースにアクセスし、データを取得できるようになります。
これらの脆弱性によって取得された情報は、システム内でさらに特権を昇格させ、パスワード・ハッシュやAPIトークンのような機密性の高いユーザー・データを取得するために使用される可能性があります。対照的に、CVE-2023-40932 は別の問題で、具体的にはカスタムロゴコンポーネントで見つかったクロスサイトスクリプティング(XSS)の脆弱性に関するものです。この不具合を悪用すると、攻撃者が任意のJavaScriptをシステムに注入し、ページデータを読み取ったり変更したりできるようになります。
脆弱性の悪用を避けるため、Nagios XI バージョン 5.11.2 またはそれ以降のバージョンにアップグレードすることを強く推奨します。
5. サイレント・スキマー・キャンペーン、APAC(アジア太平洋)およびNALA(北米ラテンアメリカ)地域の決済会社をターゲットに
サイレント・スキマー(Silent Skimmer)は、金銭的な動機に基づくハッカーであり、当初はアジア太平洋地域に焦点を当てていましたが、北米にも拡大し、1年以上にわたって洗練されたWebスキミング・キャンペーンを実施しています。彼らはインターネットに面したアプリケーションを悪用し、Progress Telerik UI for ASP.NET AJAXのCVE-2019-18935のような.NETのデシリアライゼーションの脆弱性を利用して、リモートコードの実行を可能にします。悪用に成功すると、悪意のあるDLLペイロードを侵害されたサーバーに展開し、攻撃者が制御するHTTPファイルサーバーに格納されたさまざまな悪意のあるツールを導入する一連のアクションを開始します。
最終段階では、機密性の高い財務データを流出させ、活動の難読化を図ります。攻撃者の身元は明らかにされていませんが、PowerShellリモート・アクセス・トロイの木馬に中国語のコードが含まれていることや、コマンド・アンド・コントロール・サーバーの所在地がアジアにあることなどから、中国の関与が疑われています。彼らの戦略的標的には、ASP.NETとIISウェブ・サーバーを実行するオンライン・ビジネスとPOSプロバイダーが含まれます。
組織は警戒を怠らず、パッチを適用し、インフラを監視し、サイバーセキュリティ・コミュニティと協力して、この継続的な脅威から身を守る必要があります。