top of page

Outlookの欠陥、APT28に悪用されExchangeアカウントに侵入される

1. Agent Racoonのバックドアは、中東、アフリカ、米国の組織を標的としている


非公開のハッカーグループ(おそらく国家的ハッカー)が、Agent Raccoonとして知られる洗練された.NETバックドアを使用して、中東、アフリカ、および米国のさまざまなセクターを積極的に標的としている。このマルウェアは、Google UpdateやMicrosoft OneDrive Updateを巧みに装い、Punycodeでエンコードされたサブドメインを経由して、コマンド&コントロール(C2)インフラストラクチャとの隠れた通信にDNSを使用 している。


リモートコマンド実行、ファイル操作、システムアクセスが可能なこのマルウェアは、コードに複数のバリエーションがあり、カスタマイズされた操作のために開発が続けられていることを示唆している。さらに、攻撃者は、クレデンシャル窃取のために「Mimilite」やクレデンシャル傍受のために「Ntospy」のようなカスタムツールを活用し、電子メールの流出やデータ採取のためにPowerShellスナップインを使用している。このような進化する脅威に立ち向かう一方で、組織は脅威インテリジェンスの統合を優先し、高度なサイバー敵対者に対する耐性を強化するために協力的な取り組みを行う必要がある。



2. Qilin ランサムウェアの Linux 亜種が VMware ESXi を狙う


ランサムウェア集団「Qilin」は、先進的なVMware ESXi暗号化ツールを導入し、Linux暗号化ツールにおける顕著なカスタマイズ性と洗練性を実証した。元々は「Agenda」として知られ、「Qilin」として再ブランド化されたこのグループは、ネットワークに侵入し、データ窃盗を行い、すべてのネットワークデバイスを暗号化するランサムウェアを展開することで、企業を標的としている。Qilinは、Babukのソースコードを使用する他の活動とは一線を画し、Linuxサーバ用にカスタマイズされた暗号化ツールを作成し、コマンドライン引数を通じて広範なカスタマイズオプションを提供している。


このランサムウェアは、実行時にサーバーの種類を特定し、特にVMware ESXiを標的とし、esxcliおよびesxcfg-advcfgコマンドを使用し、高い適応性を示している。暗号化されたファイルは、設定された拡張子を特徴とし、身代金の支払のために被害者をギャングのTorネゴシエーションサイトに誘導する身代金メモが添付されている。組織は、暗号化されたオフライン・バックアップを維持し、ネットワーク・セグメンテーションを実施し、ESXiホストへの直接アクセスを避けることによって、防御を強化することが推奨される。



3. APT28のハッカー、Outlookの脆弱性を悪用しExchangeアカウントを侵害


マイクロソフトの脅威インテリジェンスチームは、ロシアの国家的支援を受けている APT28 が、Outlook の脆弱性 CVE-2023-23397 を悪用して Microsoft Exchange アカウントを侵害し、機密情報にアクセスしているとして、注意喚起を行った。Windows上のOutlookにおけるこの重大な特権昇格(EoP)の欠陥は、2023年3月にマイクロソフトによってゼロデイとして対処されたが、2022年4月以降、APT28によって積極的に悪用されている。


特別に細工されたOutlookメッセージを悪用し、NTLMハッシュを盗み出し、攻撃者が管理するSMB共有での認証をユーザーの操作なしで可能にした。APT28は、標的の電子メール窃取のためにOutlookのメールボックスのアクセス許可を変更し、システム内の特権を簡単に昇格させるという横の動きを行った。5月にCVE-2023-29324のようなセキュリティ更新とその後の修正にもかかわらず、エクスプロイトによって残された最小限のフォレンジック痕跡のために、ハッカーの活動を検出することに課題が残っている。ユーザーは、マイクロソフトによるCVE-2023-23397およびそのバイパスCVE-2023-29324のセキュリティ更新プログラムを実施することをお勧めします。



4. ルーターやIoTベースの攻撃で新たなP2Pinfectマルウェアに狙われるMIPSチップ


MIPSアーキテクチャ向けに設計されたP2Pinfectマルウェアの新しい亜種は、ルーター、IoT、および組み込みデバイスを標的とし、SSHブルートフォース戦術を利用して不正アクセスを行う。Rustで作成されたこのマルウェアは、ボットネットエージェントとして動作し、感染したホスト間でピアツーピア接続を確立する。当初2023年7月に発見されたこの亜種は、SSHの脆弱な認証情報をスキャンし、Redisサーバの脆弱性(CVE-2022-0543)を利用してRedisの複製を介して感染させるなど、進化した伝播戦術を採用している。


このマルウェアは、SFTPおよびSCPを介してMIPSバイナリをアップロードしようとし、「redis-server」OpenWRTパッケージを介して伝播を拡張し、Redisシェルコマンド実行用の64ビットWindows DLLを備えた32ビットELFバイナリを含んでいる。このような攻撃を防ぐには、Redisサーバーの設定を見直し構成すること、ルーターやIoTデバイスの不要なサービスを無効にすること、不審な活動を検知・防止するIDS/IPSソリューションを導入すること、異常なパターンがないかネットワーク・トラフィックを継続的に監視することが推奨される。



5. アトラシアン製品の重大な RCE 脆弱性に対するパッチをリリース


アトラシアンは、データセンターおよびサーバー製品全体で RCE のリスクを含む複数の脆弱性を対象とした重要なセキュリティアップデートをリリースした。これらのアップデートは、SnakeYAML ライブラリのデシリアライゼーションの欠陥に関わる CVE-2022-1471 のような高度で重要な脆弱性に対処しており、複数のアトラシアン製品で RCE を可能にする可能性がある。Confluence データセンターとサーバーに影響する CVE-2023-22522 や、Jira Service Management の Assets Discovery に影響する CVE-2023-22523 のような他の重大な脆弱性は、リモートコード実行のリスクをもたらすものである。


さらに、Atlassian Companion for macOS の欠陥(CVE-2023-22524)により、ブロックリストと Gatekeeper の保護をバイパスしてコードを実行される可能性があり、重大なセキュリティ上の懸念がある。特に懸念されるのは、CVE-2022-1471 の Proof-of-Concept エクスプロイトコードが利用可能であることで、さまざまなアトラシアンプラットフォームで RCE のリスクを増幅させる可能性がある。





閲覧数:0回0件のコメント

最新記事

すべて表示

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる 新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であ

エージェント・テスラ、MSエクセルの欠陥を悪用したフィッシング攻撃を継続中

1. Nimベースのマルウェアを配信するためのおとりMicrosoft Word文書 最近のフィッシング・キャンペーンでは、Microsoft Wordの添付ファイルをおとりとして使用し、Nimでプログラムされたバックドアを配信している。セキュリティアナリストは、NimzaLoader、Nimbda、Dark Powerランサムウェアなどの事例を挙げ、攻撃者がNimに移行していることを示しながら、

bottom of page