Rhysidaランサムウェアグループがヘルスケア組織を攻撃
SISAウィークリー脅威ウォッチ - ウィークリー脅威ウォッチでは、世界中の組織に脅威をもたらした主要なセキュリティ脆弱性の簡単なスナップショットを提供いたします。これらの定期的な実行可能な脅威アドバイザリは、セキュリティチームが最新および重要な脅威に対抗するための適切な対策を講じるのに役立つ情報と推奨事項も提供します。
1. ヘルスケアセクターがRhysidaランサムウェア攻撃の標的となる
Rhysidaは、まだ開発初期のランサムウェア・アズ・ア・サービス(RaaS)グループであり、2023年5月に初めて現れました。Rhysidaは、6月にチリ陸軍(Ejército de Chile)から盗まれた文書をデータ漏洩サイトで公開したことにより、初めて注目されました。この脅威グループは、以前は教育、政府、製造、テクノロジー業界などを標的にしてきましたが、現在は北米と南米、西ヨーロッパ、オーストラリアの医療および公共衛生機関に攻撃を開始しています。
Rhysidaは、まずフィッシングメールを介してアクセスを取得した後、PowerShellやCobalt Strikeのスクリプト、およびロッカーを展開します。Rhysidaが使用するPowerShellスクリプトは、AVプロセスを停止し、シャドウコピーを削除し、RDP(リモートデスクトッププロトコル)の設定を変更するためのものであり、これはセキュリティ調査員による興味深い発見です。これにより、このロッカーの活発な進化が示されています。一方で、RhysidaはVice Societyランサムウェアギャングとの類似性から、両グループの身代金要求サイトの公開時刻や標的パターンが一致していると研究者によって関連付けられています。このようなランサムウェア攻撃から重要な資産とデータを保護するためには、電子メールセキュリティソリューションを展開し、振る舞いベースの検出メカニズムを利用し、ポピュラーな脆弱性を積極的に監視してセキュリティパッチを適用することが推奨されています。
2. 最近のBarracuda ESG侵害の一環として、Whirlpoolマルウェアが報告されました
悪意のあるサイバーグループが最近のBarracuda Email Security Gateway(ESG)デバイスを標的とした侵害で展開した新しいバックドアマルウェアである『Whirlpool』の存在がサイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)の新しいレポートにより明らかにされました。Barracuda ESGバージョン5.1.3.001から9.2.0.06は、重大度(CVSS v3:9.8)の遠隔コマンドインジェクション脆弱性CVE-2023-2868に影響を受けています。これらの攻撃は2022年10月に始まり、その後、『SeaSide』、『Saltwater』といった悪意のあるソフトウェアのインストールに関与していることが判明し、それまで特定されていなかった他の脅威も発見されました。その後、CISAは攻撃で使用されたもう一つのマルウェアである『Submariner』に関する詳細情報を公開しました。
最近、CISAはBarracuda ESGデバイスへの攻撃で使用されていた別のバックドアマルウェアである『Whirlpool』の発見を公表しました。このマルウェアは、モジュールから2つの引数(C2 IPおよびポート番号)を受け取り、トランスポートレイヤーセキュリティ(TLS)リバースシェルを確立します。組織は、最新のアンチウイルスシグネチャとエンジンを維持し、ファイルおよびプリンタ共有サービスを無効にし、強力なパスワードポリシーを実施し、ユーザーのウェブ閲覧習慣をモニタリングすることを推奨されています。これによって、このような攻撃の被害者になることを避けることができます。
3. Montiランサムウェアが新しいLinuxロッカーを使用してVMware ESXiサーバーを標的に
一時の中断の後、Montiランサムウェアグループが活動を再開し、VMware ESXiサーバーを標的とする攻撃に新しいLinuxロッカーを使用しています。研究者によれば、新しいLinuxロッカーであるRansom.Linux.MONTI.THGOCBCは、以前のバリエーションとは明らかに異なります。つまり、以前のバリエーションは主に盗まれたContiのソースコードをベースとしていましたが、現在のバージョンには別個の暗号化ツールが組み込まれています。
新しいLinuxロッカーからは、'--size'、'--log'、および'--vmlist'パラメータが削除されましたが、代わりに新たに'--type=soft'パラメータが追加されました。これにより、VMware ESXiサーバーが発見される可能性を回避するためのより微妙なアプローチが採用されています。また、ホスト上の特定のVMware ESXiサーバーをスキップするようにロッカーに指示する'--whitelist'パラメータも追加されています。攻撃者がネットワーク内で水平に進行し、機密データにアクセスするのを阻止するために、多要素認証(MFA)を実装することが推奨されます。さらに、重要なファイルのバックアップを生成する際には、3-2-1のガイドラインに従うことが重要です。このガイドラインは、2つの異なるファイル形式で3つのバックアップコピーを作成し、1つのコピーを別の場所に保存するというものです。このアプローチによって冗長性が確保され、データの損失の可能性が最小限に抑えられます。
4. 攻撃者がフィッシングページをホストするためにCloudflare R2を使用
Cloudflare R2は、Amazon Web Services S3、Google Cloud Storage、およびAzure Blob Storageと同様のクラウド向けのデータストレージサービスです。攻撃者によるCloudflare R2の使用によるフィッシングページのホスティングは、過去6ヶ月間で61倍の大幅な増加が見られています。セキュリティ研究者によると、フィッシングキャンペーンの大部分はMicrosoftのログイン資格情報を標的としていますが、Adobe、Dropbox、および他のクラウドアプリを標的とするページもあります。
Cloudflare R2を悪用して静的なフィッシングサイトを拡散するだけでなく、発見されたフィッシング活動は、同社のTurnstileサービス(CAPTCHAの代替)を利用して、これらのページをアンチボットバリアの背後に隠し、検出を回避しようとしています。CAPTCHAテストに失敗することで、urlscan.ioなどのインターネットスキャナーが本物のフィッシングサイトにアクセスできなくなります。ユーザーは、銀行のポータルやWebメールなど重要なページにアクセスする際には、検索エンジンを使用せずに直接ウェブブラウザにURLを入力するようにすることが推奨されています。また、新たに観察されたドメインや新たに登録されたドメインなど、リスクが高いカテゴリに属するウェブサイトを訪れる必要がある場合には、リモートブラウザアイソレーション(RBI)技術を使用して追加の保護を提供することも推奨されています。
5. 隠れたマルウェアが拡大する40万ノードのプロキシネットワークを形成
セキュリティ研究者は、約40万のWindowsシステムに秘密裏にプロキシサーバーアプリをインストールする巨大な組織的な活動を発見しました。最近の調査で、WindowsおよびmacOSシステムの両方を標的とする大規模なキャンペーンが明らかになりました。Windowsシステムを標的とするプロキシウェアと、macOSデバイスを狙ったAdLoadマルウェアとの間には明確な関連が見られました。感染の起源は、クラックされたソフトウェアやゲームが、トロイの木馬としての役割を果たすことがよくあります。
ユーザーがこれらのアプリケーションに隠されたローダーを疑わずに実行すると、感染プロセスが開始されます。このローダーは、自律的にバックグラウンドでプロキシアプリケーションをダウンロードしてインストールし、ユーザーが気づかないよう細心の注意を払います。プロキシアプリケーションがシステムに入り込むと、単独で動作するわけではありません。コマンドアンドコントロール(C2)サーバーと通信を開始し、特定のパラメータを送信して自身を登録し、それにより大規模なボットネットの一部となります。'%AppData%'ディレクトリ内の「Digital Pulse」という実行可能ファイルや、「HKCUSoftwareMicrosoftWindowsCurrentVersionRun」のような同様の名前のレジストリキーの存在を確認することをおすすめします。もし見つかった場合、削除する必要があります。さらに、信頼性の低いソースからの海賊版ソフトウェアやプログラムをダウンロードして実行しないようにすることで、このような攻撃から保護されます。
脅威アクターによって悪用されている重大な脆弱性に関する毎日の更新情報を受けるには、当社の毎日の実行可能な脅威アドバイザリである「SISA Daily Threat Watch」に登録してください。」