top of page

FBI、米国企業への二重ランサムウェア攻撃の急増を警告

1. 新たな重大なセキュリティ欠陥がEximメールサーバーをリモート攻撃にさらす


Exim メール転送エージェント (MTA) ソフトウェアの全バージョンに深刻なゼロデイ脆弱性が発見され、インターネットに公開されたサーバーに重大なリスクをもたらしています。未認証の攻撃者は、CVE-2023-42115 として特定されたこの欠陥を悪用して、リモートでコードを実行することができます。この脆弱性は、リモートの攻撃者が、影響を受ける Exim インストール上で任意のコードを実行することを可能にします。この脆弱性を悪用するためには、認証は必須ではなく、通常TCPポート25でリッスンしているSMTPサービス内に存在します。


この問題の根本的な原因は、ユーザーが提供するデータを適切に検証しないことにあり、バッファ・オーバーフローにつながる可能性があります。攻撃者はこの脆弱性を利用して、サービス・アカウントのコンテキスト内でコードを実行できます。


潜在的な攻撃から脆弱なEximサーバーを保護するパッチはまだ提供されていませんが、管理者は、潜在的な悪用の試みを軽減するために、インターネットからのリモート・アクセスを制限することが推奨されます。



2. FBI、米国企業への二重ランサムウェア攻撃の増加について注意を喚起


FBIは、二重のランサムウェア攻撃が近接して発生するパターンを確認しています。このような攻撃では、ハッカーは、AvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum、Royalなど、2つの異なるランサムウェア亜種を展開します。これらの二重の攻撃は、データの暗号化、データの流出、身代金の支払いによる金銭的損失をもたらします。サイバー犯罪者はまた、カスタムデータ盗難ツール、ワイパー、マルウェアを使用して、被害者に身代金の支払いを迫るケースも増えています。このような攻撃の規模は完全には把握されていませんが、48時間から10日間という比較的短期間で発生しているようです。


このような手口の変化には、ゼロデイ脆弱性の悪用や、ランサムウェアへの初期アクセス・ブローカーや関連会社の関与など、いくつかの要因があります。これらのエンティティは、被害者システムへのアクセスを販売し、複数のランサムウェア株を迅速に展開することができます。


組織は暗号化されたオフライン・バックアップを維持し、サードパーティ・ベンダーと外部ソフトウェアまたはハードウェア間のすべての接続を監視して不審な動きがないか確認し、確立されたセキュリティ・ポリシーに基づいて既知の承認されたプログラムのみを許可するアプリケーションおよびリモート・アクセス・リスト・ポリシーを導入することで、防御を強化することが推奨さ れます。



3. 新たな脅威:BunnyLoader - マルウェア・アズ・ア・サービス(MaaS)の進化形


セキュリティ研究者がいくつかのハッカーフォーラムで見つけた新しいマルウェア・サービス(MaaS)である「BunnyLoader」が発見されました。これは、ファイルレスローダーとして宣伝されており、システムクリップボードの内容を盗み出し、置き換える能力を持っています。研究者は、BunnyLoaderが手頃な価格と多機能性のためにサイバー犯罪者の間で急速に人気が高まっていることを観察しています。このマルウェアのコマンドと制御パネルは、ハッキングスキルが限られた個人でも第2段階のペイロードを設定し、キーロギングを有効にし、資格情報を盗み出し、クリップボードを操作(暗号通貨の盗難用)、および侵害されたデバイスでリモートコマンドを実行できるようにします。


この多目的なマルウェアは、Windowsレジストリを介して永続性を実現し、存在を隠し、複数のインスタンスを防ぎます。また、サンドボックス環境を回避し、主に情報を盗むツールとして機能し、ブラウザ、暗号通貨ウォレット、VPN、メッセージングアプリを標的としています。盗まれたデータは圧縮形式で攻撃者のサーバーに送信され、ディスクからおよびファイルレスの方法でプレイロードを実行できます(プロセスホローイング技術を使用)。


組織には、BunnyLoaderおよび類似のマルウェアに巻き込まれるリスクを減らすために、セキュリティ対策を強化し、従業員を教育し、ネットワークモニタリングを実施することをお勧めします。



4. 中国のハッキング・グループBlackTechによるシスコ製ルーターの悪用

米国と日本のサイバーセキュリティ機関と法執行機関は、「BlackTech」として知られる中国のハッカーについて警告を発しました。これらの国家に支援されたハッカーは、継続的に更新されるカスタマイズされたマルウェアを利用して、ネットワーク機器内にバックドアを埋め込みます。これらのバックドアは、アクセスの維持、最初のネットワーク侵害の開始、攻撃者の制御下にあるサーバーにトラフィックをリダイレクトすることによる機密データの流出など、複数の目的を果たします。


BlackTechの手法では、盗んだ管理者認証情報を悪用して、さまざまなルーターのブランド、モデル、バージョンを侵害します。Ciscoルーターの場合、ハッカーは、特別に細工されたTCPまたはUDPパケットを通じてSSHバックドアを有効化したり無効化したりするなどの狡猾なテクニックを用い、バックドアが必要なときだけアクティブになるようにしています。侵入されたCiscoルーターのケースでは、攻撃者はさらに、タスクの自動化に使用されるEmbedded Event Manager(EEM)ポリシーを操作します。正規のコマンドから特定の文字列を削除することで、コマンドの実行を妨害し、フォレンジック分析を妨げます。


このような脅威を効果的に防御するために、組織は、特にファームウェアや SSH トラフィックに関 して、不正ダウンロードやデバイスの異常な動作を注意深く監視するなど、多面的なアプローチを採用する 必要があります。



5. マイクロソフトユーザーを狙ったIndeed.comの脆弱性を悪用したEvilProxyフィッシングキット


サイバーセキュリティの専門家が高度なフィッシング・キャンペーンを検知しました。サイバー犯罪者は、よく知られたEvilProxyフィッシング・キットを利用し、求人検索プラットフォームIndeed.comに見つかったオープンリダイレクトの脆弱性を悪用してセッション・クッキーを取得し、多要素認証(MFA)システムをバイパスする可能性があります。この攻撃キャンペーンは、特に銀行・金融サービス、保険会社、不動産管理・不動産、製造業など、さまざまな分野の上級管理職を標的としています。


EvilProxyは、フィッシング・アズ・ア・サービス・プラットフォームとして動作し、ターゲットと本物のオンラインサービス(この場合はマイクロソフト)の間の通信を促進するためにリバースプロキシを使っています。ユーザーがこのフィッシング・ウェブサイトを経由してアカウントにアクセスすると、認証クッキーを取得することができます。ユーザーはログイン時に必要なMFAステップをすでに完了しているため、取得したクッキーはサイバー犯罪者に被害者のアカウントへの完全なアクセスを提供します。


このような攻撃の被害に遭わないためには、フィッシングに強いMFAソリューションを導入し、意識向上セッションやトレーニングを通じてユーザーを教育し、フィッシングの試みを検出してブロックする高度な電子メール・フィルタリング・ソリューションを導入することが推奨さ れます。

閲覧数:4回0件のコメント

最新記事

すべて表示

2023年、GitHubユーザーから1280万件の認証秘密が流出

1. WogRATマルウェア、aNotepadを悪用してWindowsおよびLinuxシステムを秘密裏に攻撃 最近発見されたマルウェア「WogRAT」は、悪意のあるコードを保存・取得するための秘密のチャネルとしてオンライン・メモ帳プラットフォーム「aNotepad」を利用し、WindowsとLinuxの両方のシステムに重大な脅威をもたらします。このマルウェアは2022年後半から活動しており、主に日

LockBitランサムウェア、高度な暗号化ツールで進化

1. ムスタング・パンダのサイバー兵器庫 アジアを標的とする高度なDOPLUGS亜種 中国に関連する脅威行為者である、Mustang Pandaは、DOPLUGSとして知られるPlugXバックドアのカスタマイズバージョンを使用して、複数のアジア諸国への攻撃を強化しています。この亜種は主にPlugXコマンドモジュールのダウンローダーとして機能し、主に台湾とベトナムを標的としています。攻撃の連鎖は通常

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

Comments


bottom of page