AnyDesk – IoT OT Security News

QBot／Lokibot／AgentTesla が Top-3 という調査結果：2023年1月のマルウェア・レポート

Lokibot, AgentTesla Grow in January 2023’s Most Wanted Malware List

2023/02/14 InfoSecurity — Check Point が、2023年1月の Global Threat Index レポートを発表しが、2023年1月の Most Wanted Malware リストにおいて、AgentTesla が 2022年12月の９位から３位に返り咲いたことが明らかになった。また、インフォ・スティーラー Lokibot は、Top-10 圏外から２位へと大きく伸びている。さらに、ブランド・ジャッキングの増加により Top-10 リストに復帰した、インフォ・スティーラー Vidar は、RDP ソフトウェア AnyDesk に関連する偽ドメイン拡散が確認されている。

CISA が連邦政府組織に警告：正規の RMM ソフトウェアを介した攻撃が蔓延

CISA: Federal agencies hacked using legitimate remote desktop tools

2023/01/25 BleepingComputer — 今日の共同アドバイザリで CISA／NSA／MS-ISAC は、正規の RMM (Remote Monitoring and Management) ソフトウェアを悪意の目的で、攻撃者たちが使用する傾向が強まっていることを警告した。さらに心配なことに、2022年10月中旬の Silent Push レポートの発表後に、複数の連邦民間行政機関 (FCEB) ネットワーク内において、CISA が EINSTEIN 侵入検知システムで管理しているにも関わらず、悪意のアクティビティが発見されている点だ。

Raccoon／Vidar 情報スティーラーが蔓延：AnyDesk／Notepad++／Zoom などをルアーに使う

Raccoon and Vidar Stealers Spreading via Massive Network of Fake Cracked Software

2023/01/16 TheHackerNews — Raccoon や Vidar などの情報窃取型マルウェアの配布において、250以上のドメインで構成される大規模で弾力性のあるインフラが、2020年初頭から利用されている。サイバー・セキュリティ企業である SEKOIA は、今月の初めに発表した分析で、「偽のソフトウェア・カタログを使用すると、約 100 の Web サイトへとリダイレクトされた後に、GitHub などのファイル共有プラットフォームでホストされている、ペイロードをダウンロードすることになる」と述べている。

AnyDesk に大量の偽サイト：Vidar マルウェアを配布する 1,300 以上のドメイン

Over 1,300 fake AnyDesk sites push Vidar info-stealing malware

2023/01/10 BleepingComputer — AnyDesk の公式サイトを装う 1,300以上のドメインを用いて、情報スティーラー・マルウェア Vidar を仕込んだ Dropbox フォルダーへと、すべてのターゲットをリダイレクトさせる、大規模なキャンペーンが進行中だ。AnyDesk は、Windows／Linux／mac OS向けの、リモート・デスクトップ・アプリであり、セキュアなリモート接続／システム管理のために、世界中で数百万人が使用している。この人気から、AnyDesk は、マルウェア配布キャンペーンで頻繁に悪用されている。たとえば、2022年10月に、AnyDesk のフィッシング・サイトを利用する Mitsu Stealer のオペレーターが、新しいマルウェアをプッシュしていることを Cyble が報告している。

Google 検索の広告を悪用：マルウェアを正規のソフトウェアに仕込んで配布

Hackers abuse Google Ads to spread malware in legit software

2022/12/28 BleepingComputer — Google Ads のプラットフォームを悪用するマルウェアのオペレーターが、人気のソフトウェア製品を検索している無防備なユーザーに対して、マルウェアをばらまくというケースが増加している。これらのキャンペーンにおいて、なりすましに利用されているのは、Grammarly／MSI Afterburner／Slack／Dashlane／Malwarebytes／Audacity／μTorrent／OBS／Ring／AnyDesk／Libre Office／Teamviewer／Thunderbird／Brave などの製品である。

ウクライナ CERT 対ロシア IAB：新たなデータワイパー・キャンペーンの発見と追跡

Ukrainian CERT Discloses New Data-Wiping Campaign

2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。

Cloudflare の従業員に SMS フィッシング攻撃：Twilio の二の舞にならなかった理由は？

Cloudflare employees also hit by hackers behind Twilio breach

2022/08/09 BleepingComputer — 先週の Twilio のネットワークが侵害されたのと同様に、Cloudflare にも SMS フィッシング攻撃が発生し、同社の従業員の一部が認証情報を盗まれたとのことだ。この攻撃者は Cloudflare 従業員のアカウントを手に入れたが、同社の FIDO2 準拠のセキュリティキーによりログインでブロックされ、システムへの侵入には至らなかったという。

Conti ランサムウェアが Exchange ProxyShell 脆弱性を狡猾な手口で狙っている

Conti ransomware now hacking Exchange servers with ProxyShell exploits

2021/09/03 BleepingComputer — Conti ランサムウェアは、最近に公開された ProxyShell の脆弱性を悪用して、Microsoft Exchange サーバーに侵入し、企業ネットワークを侵害していくだろう。ProxyShell とは、Microsoft Exchange の脆弱性 (CVE-2021-34473 CVE-2021-34523 CVE-2021-31207) を連鎖させるエクスプロイトの名称であり、パッチが適用されていない脆弱のあるサーバーで、認証を回避したリモート・コード実行を許すことになる。

Conti PlayBook 英訳版：ランサムウェアの手口が明らかに

Translated Conti ransomware playbook gives insight into attacks

2021/09/02 BleepingComputer — Conti グループの攻撃 PlayBook が流出してから１ヶ月ほどが経ったが、(ロシア語からの) 自動翻訳による誤訳を解消するために、セキュリティ研究者たちが翻訳版を公開してくれた。この PlayBook は、Conti におけるランサムウェア攻撃の方法や、徹底した指示に関する情報を提供するだけではなく、スキルの低いアクターであっても、Conti ランサムウェアのアフィリエイトになれば、貴重なターゲットを攻撃できるようになっている。

Conti ランサムウェアが内部分裂：怒りのアフィリエイトが Play Book を暴露した

Angry Conti ransomware affiliate leaks gang’s attack playbook

2021/08/05 BleepingComputer — 不満を抱いた Conti のアフィリエイトが、ランサムウェア運用者の情報を含む、攻撃を行うためのトレーニング資料を流出させた。Conti ランサムウェアは、RaaS (ransomware-as-a-service) として運営されており、コア・チームがマルウェアと Tor サイトを管理し、リクルートされたアフィリエイトがネットワーク侵入やデバイスの暗号化を行う仕組みになっている。そして、コア・チームが身代金の 20％～30％を受け取り、残りをアフィリエイトが受け取ることになる。