top of page

Lazarusハッカー、KandyKornマルウェアで暗号専門家を標的に

1. StripedFlyマルウェアは5年間気づかれずに運用され、100万台のデバイスが感染


セキュリティ研究者は最近、複雑なStripedFlyマルウェアのエコシステムを発見しました。このマルウェアは5年間発見されず、100万以上のWindowsとLinuxシステムに侵入していました。当初はMoneroマイナーと勘違いされていましたが、このフレームワークははるかに複雑で、高度なTORベースのトラフィック難読化、EternalBlue SMBv1エクスプロイト、ワームのような拡散機能を備えています。StripedFlyは、wininit.exeプロセスにシェルコードを注入し、モジュラーアーキテクチャを組み込み、通信のためにTORを展開し、アップデートのためにGitLabとBitbucketを悪用し、データ窃盗、スクリーンショット、マイクアクセスのためにスパイモジュールを採用します。


SMBv1を無効にし、SMBやSSHを通じて拡散し、WindowsレジストリやLinuxの設定を変更することで持続します。その活動を隠すために、DNS over HTTPSを使用してMoneroマイナーを展開し、Bitbucket、GitHub、GitLabなどのリポジトリ上のバイナリを暗号化することで、プライマリC2サーバーが利用できなくなった場合でも継続的な動作を保証します。


保護を維持するためには、ファイアウォールや侵入検知システム(IDS)を使用してネットワーク・トラフィックを監視し、最小特権の原則を実行し、従業員に対して定期的にサイバーセキュリティに関する意識向上トレーニングを実施することが推奨さ れます。



2. 北朝鮮のハッカー、macOSマルウェア「KandyKorn」で暗号専門家を標的に


LazarusハッキンググループによるmacOSマルウェア「KandyKorn」が出現し、暗号通貨取引所に関連するブロックチェーンエンジニアを標的にしています。攻撃者はDiscordチャンネルを通じて、アービトラージ・ボットを装った偽のZIPアーカイブを配布し、多段階の感染プロセスを隠しています。セキュリティ研究者は、手口、ネットワーク・インフラ、コード・シグネチャが類似していることから、これらの攻撃とLazarusを結びつけています。この攻撃では、PythonスクリプトとHLoaderと名付けられたローダーを実行し、Discordを装って、新しい実行フローハイジャック技術を活用してバックドアKandyKornをインストールします。


この洗練されたバックドアにより、データ検索、ファイル操作、プロセス終了、コマンド実行が可能になります。Lazarusが暗号通貨分野に注力していること、そして複雑なmacOSマルウェアを巧妙に作り上げていることが強調されています。このインシデントは、このような脅威を効果的に阻止するために、暗号通貨業界における継続的な警戒と強固なサイバーセキュリティ対策が必要であることを示している。



3. Veeam ONE ITモニタリング・ソフトウェアで確認された重大な脆弱性


Veeamは最近、同社のONE ITモニタリングおよびアナリティクス・プラットフォームの4つの脆弱性を解決するためのセキュリティ・アップデートを発表しました。これらの脆弱性のうち、2つは重大性の観点からクリティカルに分類されています。CVE-2023-38547は、認証されていないユーザがVeeam ONEで使用されるSQLサーバの接続情報を収集することを可能にし、SQLサーバ上でリモート・コードが実行される可能性があります。CVE-2023-38548は権限のないユーザがVeeam ONE Reporting ServiceアカウントのNTLMハッシュを取得することを許可します。


CVE-2023-38549はクロスサイトスクリプティングで、Veeam ONEパワーユーザがVeeam ONE管理者のトークンにアクセスすることを可能にします。最後に、CVE-2023-41723はRead-Only Userロールを持つユーザがDashboard Scheduleの機密情報を閲覧することを可能にします。


影響を受ける製品はVeeam ONEバージョン11、11a、12です。Veeam ONE MonitoringとReportingサービスを停止し、既存のファイルをHotfixで提供されるファイルに置き換え、Veeam ONE MonitoringとReportingサービスの両方を再起動することで、アップデートが有効になります。



4. CVE-2023-47246: Lace Tempest に悪用される SysAid のゼロデイ脆弱性


ハッキング・グループ「Lace Tempest」は、最近発見されたITサポート・ソフトウェア「SysAid」のゼロデイ脆弱性を悪用し、パス・トラバーサルの欠陥を利用して、オンプレミスのインストールでコード実行を可能にした。調査の結果、Lace Tempestはこの脆弱性を悪用した後、SysAidのコマンドを使用してGracewireマルウェアローダーを配信し、横移動、データ窃盗、ランサムウェアの展開などの手動操作を開始したことが明らかになりました。


攻撃者は、Webシェルと追加のペイロードを含むWARアーカイブをSysAidのTomcat Webサービスにアップロードし、バックドアアクセスを提供し、PowerShellスクリプトを実行してGracewireをインストールしました。また、痕跡を消すために、別のPowerShellスクリプトを利用し、MeshCentralエージェントとCobalt Strikeのポストエクスプロイトフレームワークを展開しました。


シスエイドを保護するためには、シスエイドのシステムを最新バージョンにアップデートし、潜在的な侵害を検出するために包括的な評価を実施し、不審な動作の兆候がないか関連するアクティビティログを調査することをお勧めします。



5. Atlassian Confluence の欠陥を悪用して Cerber ランサムウェアを展開


攻撃者は現在、Atlassian の Confluence Data Center および Confluence Server に最近パッチが適用された深刻な脆弱性、CVE-2023-22518 を狙っています。この欠陥を悪用することで、攻撃者は認証メカニズムをバイパスし、Confluence をリセットして管理者アカウントを確立することが可能になります。この不正アクセスにより完全な管理制御が許可され、データの完全性とシステムの可用性が損なわれる可能性があります。


攻撃者は、より古い特権昇格の脆弱性(CVE-2023-22515)と共にこの欠陥を活用し、侵害された Confluence サーバー上に Cerber ランサムウェアを展開することを目的とした攻撃を仕掛けており、重大なデータとセキュリティのリスクを示しています。これらの攻撃の犠牲者にならないためには、脆弱性のある Confluence サーバーにパッチを適用し、パッチの適用されていないサーバーへのインターネットアクセスをブロックし、"/temp" フォルダーに不審なファイルやディレクトリが作成されていないかシステムを監視することが推奨される。



閲覧数:0回0件のコメント

最新記事

すべて表示

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる 新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であ

エージェント・テスラ、MSエクセルの欠陥を悪用したフィッシング攻撃を継続中

1. Nimベースのマルウェアを配信するためのおとりMicrosoft Word文書 最近のフィッシング・キャンペーンでは、Microsoft Wordの添付ファイルをおとりとして使用し、Nimでプログラムされたバックドアを配信している。セキュリティアナリストは、NimzaLoader、Nimbda、Dark Powerランサムウェアなどの事例を挙げ、攻撃者がNimに移行していることを示しながら、

bottom of page