top of page

LockBitランサムウェア、高度な暗号化ツールで進化

1. ムスタング・パンダのサイバー兵器庫 アジアを標的とする高度なDOPLUGS亜種


中国に関連する脅威行為者である、Mustang Pandaは、DOPLUGSとして知られるPlugXバックドアのカスタマイズバージョンを使用して、複数のアジア諸国への攻撃を強化しています。この亜種は主にPlugXコマンドモジュールのダウンローダーとして機能し、主に台湾とベトナムを標的としています。攻撃の連鎖は通常、スピアフィッシング・キャンペーンから始まり、DLLのサイドローディングの影響を受けやすい正規の実行ファイルをサイドローディングするペイロードを配信します。


その後、PlugXはリモートアクセス型トロイの木馬「Poison Ivy」や「Cobalt Strike Beacon」を取得し、Mustang Pandaのコントロール下にあるサーバーとの接続を確立します。最近の調査では、Mustang Pandaのキャンペーンに、Nimプログラミング言語で書かれた悪意のあるDLLを使用した新しい要素があることが判明しており、このグループの戦術が進化し、活発な活動が続いていることを示しています。対策としては、電子メールセキュリティの強化、最新のシステムの維持、エンドポイント検知・対応ソリューションの導入などが挙げられます。



2. LockBit ランサムウェア、テイクダウン前に高度な暗号化ツールを開発中


英国の国家犯罪捜査局(National Crime Agency)と共同で行われた、LockBitランサムウェアの最新版であるLockBit-NG-Devの最近の分析により、開発言語とパッキング技術が大幅に更新されていることが明らかになりました。以前のものとは異なり、この亜種は.NETで書かれ、CoreRTでコンパイルされ、難読化のためにMPRESSを採用した進行中のランサムウェアです。LockBit-NG-Devには、実行パラメータを含むJSON形式の設定ファイルが含まれており、以前のバージョンの機能はいくつか欠けているが、期待される機能は完成に近づいています。


3つの暗号化モードとカスタムファイル除外機能をサポートするこのマルウェアには、自己削除メカニズムも組み込まれています。LockBitランサムウェアから身を守るためには、システムとソフトウェアの定期的なアップデートの実施、従業員に対するフィッシングに関する意識向上トレーニングの徹底、厳格なユーザー権限制限の実施、重要データのオフライン・バックアップの維持、ネットワーク・セグメンテーションの確立、効果的なアンチウイルス・ソフトウェアの導入などが推奨さ れます。



3. ステガノグラフィーを使用して Remcos RAT を展開する新しい IDAT ローダー攻撃


サイバー脅威グループ UAC-0184 は、フィンランドで活動するウクライナの組織のコンピュータ・システムに Remcos リモート・アクセス・トロイの木馬(RAT)を展開するために、ステガノグラフィ画像ファイルを利用していることを検出しましウクライナ以外にも拡大していることを確認しました。2024年1月初旬から確認されているこの手口は、シグネチャベースの検出ルールを回避するために、画像ピクセルデータ内に悪意のあるコードを隠すというものです。アナリストの報告によると、受信者がフィッシングメールの添付ファイルを開いたことをきっかけに、エンコードされたペイロードに目に見える歪みが生じ、実行ファイ(DockerSystem_Gzv3.exe)が実行され、その後「IDAT」と名付けられたモジュール型マルウェアローダーが起動します。


IDATは、コードインジェクションや回避技術などの高度な機能を採用しており、最終的にRemcos RATを実行し、DanabotやRedLine Stealerなどの他のマルウェア株を配信する可能性があります。このような脅威を軽減するため、組織には多要素認証(MFA)の導入、システムの定期的な更新とパッチ適用、リアルタイムの異常検知と対応のための高度な脅威検知ソリューションの導入が推奨さ れます。



4. Ubiquiti EdgeRouters、ロシアがスポンサーとなった APT28 による攻撃を受ける:FBI が警告


サイバーセキュリティおよび諜報機関による共同勧告は、ロシアに関連するAPT28グループによって運営されているMooBotボットネットが、Ubiquiti EdgeRouterデバイスのユーザーにもたらす脅威を強調しています。2022年以来、APT28は、OpenSSHトロイの木馬を展開したり、CVE-2023-23397を悪用してNT LAN Managerのハッシュを盗んだりするなど、さまざまな分野や国にわたって秘密裏にサイバー活動を行うために、これらのルーターのデフォルトまたは脆弱な認証情報を悪用しています。


このグループは、侵害されたルーターを、Pythonベースのバックドア「MASEPIE」のコマンド・アンド・コントロール・インフラとして活用し、任意のコマンドの実行とLinuxベースのシステムへの無制限のアクセスを可能にしています。対策としては、ルーターを工場出荷時の設定にリセットすること、ファームウェアを更新すること、デフォルトの認証情報を変更すること、リモート管理アクセスを制限するファイアウォールルールを設定することなどが挙げられます。



5. TimbreStealerマルウェア、税金をテーマにしたフィッシングキャンペーンに便乗


メキシコのユーザーが、新たに発見されたマルウェア「TimbreStealer」を配布する、税金をテーマにした標的型フィッシング攻撃に直面しています。TimbreStealerは、カスタムローダーと直接システムコールを利用して検知を回避し、Heaven's Gateを使用して32ビットプロセス内で64ビットコードを実行するという高度な回避戦術を採用しています。


このマルウェアは、ジオフェンシングを通じて地理的な正確さを示し、メキシコ以外のユーザーを良性のPDFファイルにリダイレクトします。このマルウェアは、徹底的なシステムチェックを行い、Mispaduのような以前のキャンペーンで見られた戦術を反映した、認証情報やシステムデータを採取するための多面的なアプローチを採用しています。このような脅威を軽減するために、組織はエンドポイントセキュリティを強化し、フィッシングリスクについてユーザーを教育し、ジオフェンシングコントロールを導入し、異常検知機能を備えたネットワーク監視を導入すべきである。

閲覧数:1回0件のコメント

最新記事

すべて表示

2023年、GitHubユーザーから1280万件の認証秘密が流出

1. WogRATマルウェア、aNotepadを悪用してWindowsおよびLinuxシステムを秘密裏に攻撃 最近発見されたマルウェア「WogRAT」は、悪意のあるコードを保存・取得するための秘密のチャネルとしてオンライン・メモ帳プラットフォーム「aNotepad」を利用し、WindowsとLinuxの両方のシステムに重大な脅威をもたらします。このマルウェアは2022年後半から活動しており、主に日

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる 新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であ

Kommentare


bottom of page