top of page

JPCERT、新たな「MalDoc in PDF」攻撃手法を警告

1. マイクロソフト ステルスFlax TyphoonハッカーはLOLBinsを使って検知を逃れる


マイクロソフトは、新たにFlax Typhoonとして追跡しているハッキンググループを発見しました。このグループは、教育、重要な製造業、情報技術分野の企業を標的にしており、おそらくスパイ活動を意図しています。Flax Typhoonは、一般の人々にアクセス可能なサーバーの既知のセキュリティの脆弱性、VPN、Web、Java、SQLアプリケーションなどを利用して初めてアクセスを得ました。ハッカーたちは、4KBの小さながらリモートでコードを実行する能力を持つWebシェルであるChina Chopperを使用しました。


ネットワーク内に侵入した後、Flax Typhoonの運用者は、リモートデスクトッププロトコルを介して持続的なアクセスを確立し、悪意のある者が制御するネットワークインフラストラクチャにVPN接続を展開して、侵害されたシステムから資格情報を収集します。ハッカーたちは、横断的な移動にWindows Remote Management(WinRM)、WMIC、および他のLOLBinsを使用します。保護するためには、インターネットに公開されているエンドポイントと公開サーバーに最新のセキュリティ更新を適用し、すべてのアカウントで多要素認証(MFA)を有効にすることをお勧めします。さらに、Windowsシステムが最新のセキュリティパッチで更新されていることを確認してください。



2. Lazarus GroupがZoho ManageEngineの欠陥を悪用し、マルウェアQuiteRATを展開


ラザルス・グループは、Zoho ManageEngine ServiceDesk Plusの致命的なセキュリティ脆弱性を利用しました。具体的には、CVE-2022-47966として特定されています。この脆弱性の悪用は、その概念証明がオンラインで公開されてからわずか5日後に発生しました。悪意のあるアクターたちは、この脆弱性を使用して、悪意のあるURLから直接QuiteRATバイナリを展開しました。QuiteRATはQtフレームワークで開発された高度なマルウェアで、そのコードの複雑性が分析をかなり難しくしています。


研究者は、ラザルス・グループのアプローチに重要な変化があると指摘しました。以前は、主に侵害後に独自のツールを使用していたのに対し、今では彼らのオペレーションの初期アクセス段階でもオープンソースのツールとフレームワークにますます依存しています。歴史的に、ラザルス・グループはMagicRAT、VSingle、Dtrack、YamaBotなどのカスタムビルドのインプラントを好んで使用し、侵害されたシステムへの初期アクセスを確立していました。組織は警戒を続け、システムをパッチ適用し、このような高度な持続的な脅威に対抗するために積極的な検出と防御メカニズムを採用する必要があります。



3. KrollがSIMスワッピング攻撃の後にデータ侵害を受ける


大手のリスクおよび金融アドバイザリー会社であるKrollは、その従業員の1人に対するSIMスワッピング攻撃に続いて、BlockFi、FTX、およびGenesis Global Holdcoの破産債権者の一部に属する個人データを含む特定のファイルが侵害されたことを確認しました。通常は無害な行為ですが、SIMスワッピング(SIM分割またはsimjackingとも呼ばれます)は、悪意あるものが犠牲者の電話番号でSIMカードを詐欺的に有効にするために使用できます。これにより、音声通話、SMSメッセージ、オンラインアカウントへのアクセスを管理するMFA関連のメッセージが傍受される可能性があります。


この事件は、2023年8月19日に発生し、その従業員のT-Mobileアカウントを標的にしました。Krollまたはその従業員からの権限も連絡もないまま、T-Mobileは悪意ある者の要求に応じてその従業員の電話番号を悪意ある者の電話に転送しました。米国国土安全保障省のサイバーセーフティレビューボード(CSRB)は、通信プロバイダーに対して、顧客がアカウントをロックできるオプションを提供し、厳格な身元確認チェックを実施することでSIMスワッピングを防ぐための強化されたセキュリティプロトコルを導入するよう促しています。このような攻撃の被害者にならないために、モバイル番号を保護するためにポートフリーズまたはナンバーロックを使用し、2要素生体認証をサポートするモバイルアプリとサービスを使用してください。



4. ポリグロットの欺瞞: PDFファイルに隠された悪質なWord文書


日本のコンピュータ緊急対応チーム(JPCERT)は、「MalDoc in PDF」と呼ばれる新しいサイバーアタック手法を発見しました。この手法では、悪意のあるWord文書がPDFファイル内に埋め込まれ、『ポリグロット』が作成されます。通常、ファイルをPDFとして認識し処理するスキャンツールやアプリケーションは、PDF内に隠された悪意のあるWord文書を無視するように仕向けられます。


ただし、ユーザーがファイルをMicrosoft Officeアプリケーションで開くと、Word文書がアクセス可能になります。この文書には、開いたときにMSIマルウェアファイルのダウンロードとインストールを誘導するために設計されたVisual Basic Script(VBS)マクロが含まれています。この手法の主要な利点の1つは、通常、ファイルの外部層のみを調べる従来のPDF解析ツールをバイパスする能力です。これにより、Word文書に埋め込まれた悪意のあるコードは、通常のスキャンプロセスに対してほぼ見えなくなります。システムを侵害から保護するためには、複数のセキュリティツールのレイヤーを使用し、Microsoft Officeの設定がマクロの自動実行を無効になっていることを確認し、信頼できないファイルを開くリスクについてユーザーに教育することがお勧めされています。



5. JuniperのJunos OSの欠陥がデバイスをリモート攻撃にさらす


ネットワーキングハードウェア企業のJuniper Networksは、最近、「臨時の」セキュリティアップデートをリリースし、Junos OSのJ-Web部分に存在する複数のバグを修正しました。これらのバグが組み合わさると、脆弱なインストールに対してリモートコード実行を可能にするものでした。複数の報告によれば、これらのJuniperファイアウォールセキュリティの脆弱性が現在野外で積極的に悪用されているとされています。これらの4つの脆弱性の合計CVSS評価は9.8で、重大度は「Critical」です。


これらの脆弱性を連鎖的に悪用することで、認証されていないネットワークベースの攻撃者がデバイス上でリモートでコードを実行する可能性があります。問題を成功裏に攻撃するために、脅威のアクターは特別に構築されたリクエストを送信して特定のPHP環境変数を変更したり、認証なしでJ-Webを介して任意のファイルをアップロードしたりできる可能性があります。ユーザーには、潜在的なリモートコード実行の脅威を緩和するために必要な修正を適用することが推奨されています。対処策として、Juniper Networksは、ユーザーに対してJ-Webを無効にするか、信頼できるホストのみにアクセスを制限することを提案しています。



閲覧数:3回0件のコメント

最新記事

すべて表示

2023年、GitHubユーザーから1280万件の認証秘密が流出

1. WogRATマルウェア、aNotepadを悪用してWindowsおよびLinuxシステムを秘密裏に攻撃 最近発見されたマルウェア「WogRAT」は、悪意のあるコードを保存・取得するための秘密のチャネルとしてオンライン・メモ帳プラットフォーム「aNotepad」を利用し、WindowsとLinuxの両方のシステムに重大な脅威をもたらします。このマルウェアは2022年後半から活動しており、主に日

LockBitランサムウェア、高度な暗号化ツールで進化

1. ムスタング・パンダのサイバー兵器庫 アジアを標的とする高度なDOPLUGS亜種 中国に関連する脅威行為者である、Mustang Pandaは、DOPLUGSとして知られるPlugXバックドアのカスタマイズバージョンを使用して、複数のアジア諸国への攻撃を強化しています。この亜種は主にPlugXコマンドモジュールのダウンローダーとして機能し、主に台湾とベトナムを標的としています。攻撃の連鎖は通常

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

コメント


bottom of page