Asia – Page 4 – IoT OT Security News

Western Digital／Synology NAS デバイスの脆弱性：数百万ユーザーのファイルが流出

Western Digital, Synology NAS Vulnerabilities Exposed Millions of Users’ Files

2023/08/09 SecurityWeek — IoT／OT サイバー・セキュリティ企業 Claroty の調査により、Western Digital (WD) と Synology の NAS (Network Attached Storage) 製品に深刻な脆弱性が発見された。同社によると、数百万人のユーザーの、ファイルが流出した可能性があるという。これらの脆弱性と、その悪用の検証は、2022年12月に Zero Day Initiative がトロントで開催した、ハッカー・コンテスト Pwn2Own で実演されている。参加者たちはスマートフォン／プリンター／ルーター／NAS デバイス／スマート・スピーカーなどをハッキングして、総額 $1M 近くの報奨金を獲得した。

16shop という Phishing-as-a-Service がテイクダウン：インドネシアと日本で犯人が逮捕される

Interpol takes down 16shop phishing-as-a-service platform

2023/08/08 BleepingComputer −−− 16shop いう名の PhaaS (phishing-as-a-service) プラットフォームが、インターポールとサイバー・セキュリティ企業の共同作戦により閉鎖され、その関係者が逮捕された。PhaaS プラットフォームとは、フィッシング攻撃を行うサイバー犯罪者たちに、ワンストップ・ショップを提供するものだ。これらのプラットフォームには、メール配信／有名ブランド偽装キット／ホスティング／データプロキシ／被害者概要ダッシュボードなどの、オペレーションを成功へと導く、すべての必要なものが含まれている。

Facebook のビジネス・アカウントが標的：新種の情報スティーラー NodeStealer 2.0 とは？

New Infostealer Uncovered in Phishing Scam Targeting Facebook Business Accounts

2023/08/01 InfoSecurity — Facebook のビジネス・アカウントを乗っ取るために、新種の情報スティーラーを用いるフィッシング・キャンペーンが、Unit 42 の研究者たちにより発見された。この、ベトナムの脅威アクターによると思われる、過去１年間にわたるキャンペーンは、広告詐欺などを目的として Facebook ビジネス・アカウントを標的とする、攻撃者が増加しているトレンドの一部とされている。ベトナムとの関連性については、Python スクリプトの文字列の多くがベトナム語で書かれているなどの、いくつかの要因に基づいて判断されている。

Patchwork はインドの APT：EyeShell バックドアを使って中国の研究機関を攻撃

Patchwork Hackers Target Chinese Research Organizations Using EyeShell Backdoor

2023/07/31 TheHackerNews — Patchwork と命名されたハッキング・グループが、最近に確認されたキャンペーンの一環として、中国の大学および研究機関を攻撃していることが判明した。KnownSec 404 Team によると、このキャンペーンでは、コードネーム EyeShell と呼ばれるバックドアが使用されていたという。Patchwork は、別名 Operation Hangover／Zinc Emerson でも知られており、インドが支援する脅威グループであると見られている。遅くとも 2015年12月から活動している同グループは、スピア・フィッシングやウォータリング・ホール攻撃を通じて、パキスタンや中国の組織に対して、BADNEWS などのカスタムイン・プラントを仕掛けてきた。

Barracuda ESG 攻撃に新たなマルウェア：Submarine と呼ばれるバックドア – CISA

CISA: New Submarine Backdoor Used in Barracuda Campaign

2023/07/31 InfoSecurity — Barracuda セキュリティ・アプライアンスを標的として連邦政府ネットワークに侵入した中国の脅威アクターが、Submarine と呼ばれる新たなバックドアを、攻撃の一部で利用していたことが明らかにされた。この攻撃に関する Mandiant のオリジナル・レポートでは、このグループが使用した３種類のバックドア Seaside／Saltwater／Seaspy に焦点が当てられている。しかし、7月28日に CISA が、”永続性を確立し維持する” ためにの、新たなバックドア型マルウェアが配備されたことを明らかにした。

北朝鮮のハッカー Lazarus：Microsoft IIS Server を乗っ取ってマルウェアを配布

Lazarus hackers hijack Microsoft IIS servers to spread malware

2023/07/24 BleepingComputer — 北朝鮮の国家支援のハッカー・グループである Lazarus が、Windows IIS (Internet Information Service) Web サーバを乗っ取り、マルウェアを配布していることが明らかになった。Microsoft の Web Server ソリューションである IIS は、Web サイトや Microsoft Exchange Outlook Web などのアプリケーション・サービスをホストするために使用されるものだ。

Azure AD 署名キーが盗まれた方法：依然として不明だと Microsoft が公表

Microsoft still unsure how hackers stole Azure AD signing key

2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。

2022 年の詐欺調査：フィッシング・サイトは 62% 増で、ページ数は 304% 増 – Group-IB

Scam Page Volumes Surge 304% Annually

2023/07/12 InfoSecurity — 2022年にはフィッシング・サイトが前年比で 62％増加し、詐欺ページが 304％も急増したことが、セキュリティ研究者たちの研究により明らかになった。Group-IB が 7月12日に発表したレポート Digital Risk Trends 2023 では、フィッシングについては個人情報の窃取につながる脅威として、詐欺については被害者を騙して金銭や機密情報を自発的に引き出す試みとして、それぞれを分類している。同レポートによると、ブランドのイメージやロゴが、詐欺キャンペーンに使用された平均件数は前年比で 162％も増加しており、APAC に至っては 211％も増加していたという。

Microsoft Account コンシューマ署名キーの悪用：中国由来のハッカーが米政府の Eメールを侵害

Chinese hackers forged authentication tokens to breach government emails

2023/07/11 HelpNetSecurity — Microsoft Account (MSA) のコンシューマ署名キーを取得した高度なハッカーが、偽造した認証トークンを介して、政府の組織や機関の電子メール・アカウントにアクセスしていたことが、Microsoft により公表された。このインシデントに関連付けられる脅威アクターは、Microsoft が Storm-0558 と呼ぶ、中国を拠点とする敵対者である。この脅威アクターは、情報収集のために電子メール・システムにアクセスする、スパイ行為に重点を置いているとされる。

名古屋港に最大規模のランサムウェア攻撃：操業停止に追い込まれる

Japan’s largest port stops operations after ransomware attack

2023/07/05 BleepingComputer — 日本最大の港湾である名古屋港がランサムウェア攻撃の標的となり、現在コンテナ・ターミナルの運営に影響が出ている。日本の総貿易量のおよそ 10％を占めている名古屋港は、21の埠頭と 290のバースを運営しており、毎年 200万個以上のコンテナと 1億6500万トンの貨物を取り扱っている。また、世界最大の自動車メーカーのひとつであるトヨタ自動車は、この港を利用して大半の自動車を輸出している。

TSMC への LockBit 攻撃：身代金として $70 million が要求されているが・・・

TSMC denies LockBit hack as ransomware gang demands $70 million

2023/06/30 BleepingComputer — 台湾のチップ製造大手の TSMC (Taiwan Semiconductor Manufacturing Company) に対して、LockBit ランサムウェアが $70 million を要求しているが、同社はハッキングされたことを否定している。TSMC は世界最大級の半導体メーカーであり、その製品は、スマートフォン／高性能コンピューティング／IoT デバイス／自動車／デジタル家電などの、さまざまなデバイスで使用されている。

日本の官民における脆弱なサイバー・セキュリティ：数多くの APT に狙われている – Rapid7

Japan in the Crosshairs of Many State-Sponsored Threat Actors New Report Finds

2023/06/29 InfoSecurity — Rapid7 の最新レポートによると、日本は数多くのサイバー脅威にさらされ、スパイ活動や金銭的な動機によるキャンペーンなどの標的になっているという。Rapid7 は、2023年6月28日に発表したレポート ”Japan and Its Global Business Footprint: The Cyberthreat Landscape Report” で、典型的な国家的脅威の発生源である３カ国 (中国／北朝鮮／ロシア) から、この東アジアの国が標的にされていることを明らかにした。また、2022年上半期におけるランサムウェア攻撃の 32.5％が、製造業に対するものであることも判明した。これに対して、同期間中にヘルスケア業界から報告されたものは、わずか 7.9％だった。

Volt Typhoon という中国ハッカー：重要インフラを攻撃する手口が明らかになってきた

Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks

2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。

日本の暗号通貨取引所でサイバー攻撃？JokerSpy という macOS バックドアが展開されたらしい

Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack

2023/06/26 TheHackerNews — 6月の初めに、日本のある暗号通貨取引所が、JokerSpy と呼ばれる Apple macOS バックドアを展開する新たな攻撃の標的になった。Elastic Security Labs は、JokerSpy に関連する侵害行為を、REF9134 という名前で監視している。同社は、この攻撃により、SeatBelt というオープンソースのユーティリティにインスパイアされた、Swift ベースの列挙ツール Swiftbelt がインストールされたと述べている。先週に JokerSky は、Bitdefender により初めて文書化され、macOS マシンに侵入するために設計された、洗練されたツールキットであると報告されている。

RDStealer という強力なマルウェアが登場：RDP 侵害に特化した機能で東アジアを狙っている

New RDStealer malware steals from drives shared over Remote Desktop

2023/06/20 BleepingComputer — RedClouds として追跡されているサイバースパイ／ハッキングのキャンペーンは、カスタム・マルウェア RDStealer を使用し、Remote Desktop 接続を介して共有されたドライブから、データを自動的に盗み出すものだ。この、Bitdefender Labs が発見した悪質なキャンペーンは、2022年以降において東アジアのシステムを標的にしていることが確認されている。このキャンペーンを、特定の脅威アクターによるものと断定はできないが、国家に支援される洗練された APT レベルの技術を持ち、関心の対象は中国と一致しているという。

Google Play にインド APT 由来のスパイウェア：VPN／Chat アプリを装っていた

Android spyware camouflaged as VPN, chat apps on Google Play

2023/06/19 BleepingComputer — Google Play 上の３件の Android アプリが、標的のデバイスから位置情報や連絡先リストなどを収集するに、国家に支援された脅威アクターにより運用されていたことが判明した。それらの悪意の Android アプリを発見した Cyfirma は、「遅くとも 2018年以降において、東南アジアの著名な組織を標的としている、インドのハッキング・グループ APT-C-35 (DoNot) が操作していたと、中程度の信頼性で判断している」と述べている。

ホンダの機器類を販売する e コマース・サイトに脆弱性：甚大な被害が発生する可能性があった

Vulnerabilities in Honda eCommerce Platform Exposed Customer, Dealer Data

2023/06/08 SecurityWeek — 各種の機器や美品などの販売に利用されている、ホンダの eコマース・プラットフォームで発見された深刻な脆弱性の詳細が、ある研究者により公開された。この欠陥の悪用に成功した攻撃者は、顧客やディーラーの情報にアクセスできる可能性があったという。このセキュリティ・ホールとデータ流出の可能性は、米国在住の研究者 Eaton Zveare により、今年の初めに発見された後に、３月中旬にはホンダに通知された。同社は直ちに問題に対処するための措置を講じ、このホワイトハット・ハッカーに感謝の意を表したが、バグバウンティ・プログラムを設けていないため、報酬は与えなられなかった。なお、ホンダは、悪用の証拠は見つからなかったと述べている。

日本の製薬会社エーザイにランサムウェア攻撃：サーバの一部が暗号化された

Pharmaceutical Giant Eisai Hit By Ransomware Incident

2023/06/08 InfoSecurity — 日本の製薬会社であるエーザイは、6月3日 (土) に発生したランサムウェアの被害に遭い、同グループにおける一部サーバが暗号化されたことを発表した。このサイバー攻撃の結果として、物流システムを含む複数のシステムが、一時的にオフラインになった。なお、エーザイの Web サイトやメールシステムは稼働しており、現時点ではデータ流出の可能性を調査中とのことだ。

北朝鮮とサイバー攻撃：外貨収入の 50% を暗号通貨ハイジャックなどから得ている

North Korea Makes 50% of Income from Cyber-Attacks: Report

2023/06/05 InfoSecurity — 北朝鮮の政権における外貨収入の約半分は、暗号通貨などを狙ったサイバー攻撃から得られていると、米国の外交官が主張している。核兵器／ミサイルの計画と歩調を合わせるように、2018年以降において、同国からのサイバー攻撃が急増していると、バイデン政権の高官が日本経済新聞に語っている。

PostalFurious フィッシング・ギャングは中国由来：洗練された手法で UAE を狙っている

Chinese Phishing Gang “PostalFurious” Expands Campaign

2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール／フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。

Dark Pink がツールを拡充しターゲットを拡大：ベルギーへの攻撃も成功させている

Dark Pink APT Group Expands Tooling and Targets

2023/05/31 InfoSecurity — 著名な APT グループ Dark Pink によるキャンペーンの範囲は、当初に考えられていたよりも広く、その新たな被害者は、ベルギーにおける１件を含む、全体で５件に達していることを、研究者たちは確認している。中国との関連が指摘されている Dark Pink は、主に東南アジア諸国をターゲットに活動していると、これまでは考えられてきた。しかし、Group-IB が確認したところによると、被害者はタイやブルネイだけではなく、ベルギーにも広がっているとのことだ。

GobRAT という Golang ベースの RAT：日本国内の Linux ルーターを侵害 – JPCERT/CC

New GobRAT Remote Access Trojan Targeting Linux Routers in Japan

2023/05/29 TheHackerNews — 日本国内において、Linux ルーターが、新たな Golang RAT である GobRAT の標的になっている。今日の JPCERT Coordination Center (JPCERT/CC) の報告によると、「この攻撃者は、最初に WebUI が公開されているルーターを狙い、脆弱性を悪用するスクリプトを実行し、最終的に GobRAT に感染させている」と述べている。

米海軍グアムの IT インフラにハッカーが侵入：China 対 Five Eyes の情報戦が始まる？

US Navy hit by Chinese hacking campaign, report says

2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府／通信／製造／IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。

Volt Typhoon という中国の APT：グアムの重要インフラへの攻撃を Microsoft が検知

Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs

2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。

北朝鮮の Lazarus Group：Microsoft IIS を侵害してスパイウェアを配布している

N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware

2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱なバージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。

中国 – 台湾の緊張関係とサイバー戦争：PlugX マルウェアを仕込んだフィッシング攻撃が激化

Cyber Warfare Escalates Amid China-Taiwan Tensions

2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。

NATO サイバー防衛ハブ：ウクライナ／アイスランド／アイルランド／日本が加入

4 Countries Join NATO Cyber Defense Center

2023/05/17 SecurityWeek — CCDCOE (Cooperative Cyber Defence Centre of Excellence) サイバー・セキュリティ・センターの 15周年記念日に、この発表があった。この、エストニアのタリンに本部を置く組織は、現時点において 39カ国のメンバーで構成されていつが、そこには非 NATO 国である、ウクライナ／アイスランド／アイルランド／日本も含まれる。

MerDoor という高スティルス性のマルウェア：５年前からのバックドア展開を確認 – Symantec

Stealthy MerDoor malware uncovered after five years of attacks

2023/05/15 BleepingComputer — 南アシア／東南アジアの政府機関／航空機関／通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立／コマンドの実行／キーロギングを行ってきたことだ。

RA Group という新たなランサムウェア：Babuk クローンで３社を侵害している

New Ransomware Gang RA Group Hits U.S. and South Korean Organizations

2023/05/15 TheHackerNews — RA Group という名の新たなランサムウェア・グループが、流出した Babuk ランサムウェアのソースコードを活用して、独自のロッカー・バリアントを派生させている。サイバーセキュリティ企業 Cisco Talos によると、このサイバー犯罪集団は、遅くとも 2023年4月22日から活動しているとされ、急速に活動を拡大しているとのことだ。

QR コードで $20,000 を盗まれる：偽のアンケートで Android マルアプリに感染

QR codes used in fake parking tickets, surveys to steal your money

2023/05/08 BleepingComputer — QR コードは便利なものであるため、スーパーボウルの広告や駐車料金の徴収といった、合法的な組織で多く利用されている一方で、この技術を悪用する詐欺師も出現している。シンガポールではタピオカの専門店で QR コード・アンケートに答えた女性が $20,000 を騙し取られ、米国や英国では QR コード付きの偽駐車違反キップの事例が確認されている。

Kimsuky APT は北朝鮮由来：ReconShark という偵察ツールで標的を狙い続ける

N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks

2023/05/05 TheHackerNews — Kimsuky という名の、北朝鮮の国家に支援される脅威アクターは、進行中のグローバル・キャンペーンの一環として、ReconShark という新たな偵察ツールを使用していることが判明した。 SentinelOne の研究者である Tom Hegel と Aleksandar Milenkoski は、「ReconShark は、スピアフィッシング・メールおよび、文書のダウンロードにつながる OneDrive リンク、そして、悪意のマクロの実行を介して、標的とする個人に対して配信されている」と述べている。

BlackBerry 脅威レポート：１位米国／２位ブラジル／３位日本という攻撃頻度が判明

BlackBerry Report Surfaces Increasing Rate of Cyberattacks

2023/05/05 SecurityBoulevard — BlackBerry が発表した脅威インテリジェンス・レポートによると、同社のサイバー・セキュリティ・ソフトウェア／サービスを利用している組織に対して、2022年12月〜2023年2月には１分あたり12件のサイバー攻撃が行われ、そのうち 1.5件は新しいマルウェア・サンプルに基づく攻撃であることが判明した。BlackBerry のレポートでは、これらの攻撃が行われているロケーションの変化についても指摘されている。１位の米国に次いで、２位はブラジル、３位は日本、４位はカナダとなり、シンガポールが初めて Top-10 にランクインしたとのことだ。

Earth Longzhi という中国ハッカー・グループ：DLL 悪用マルウェアでアジアを狙う

Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics

2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾／タイ／フィリピン／フィジーなどの、政府／医療／テクノロジー／製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO／Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku／SparklingGoblin／GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア／東南アジア／ウクライナなどの組織への攻撃が分析されている。

ScarCruft という北朝鮮の APT：感染チェーンに大容量 LNK ファイルを使用 – Check Point

North Korea-linked ScarCruft APT uses large LNK files in infection chains

2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名：APT37／Reaper／Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。

TBK DVR カメラの脆弱性 CVE-2018-9995 の悪用：攻撃試行が５万回に達した – Fortinet

Hackers Exploit High Severity Flaw in TBK DVR Camera System

2023/05/02 InfoSecurity — TBK の DVR カメラ・システムに存在する５年前の脆弱性 CVE-2018-9995 が、2023年4月の時点で、野放し状態で悪用されていることが、Fortinet のセキュリティ研究者たちの調査により判明した。この深刻な脆弱性は、悪意を持って細工された HTTP クッキーを処理する際に、カメラで生じるエラーに起因する。この脆弱性の悪用に成功したリモートの攻撃者は、認証を回避して管理者権限を取得し、最終的にはカメラからビデオ・フィードへとアクセスする可能性を引き起こす。

北朝鮮の Lazarus／ScarCruft：戦術の拡大と標的のグローバル化 – Kaspersky 調査

Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive

2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト／カナダ／マレーシアといった、遠方の国々へと広がっている。

Tencent QQ ユーザーをハッキング：中国 APT の Evasive Panda が関与 – ESET

Tencent QQ users hacked in mysterious malware attack, says ESET

2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土／香港／マカオ／ナイジェリア／東南アジア／東アジアなどの国々で、さまざまな組織や個人を標的としてきた。

3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec

North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec

2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織２社と、金融取引に関わる他の企業２社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある２つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。

Google レッドチーム・ツールの悪用：中国の APT41 による攻撃で発見される

Hackers abuse Google Command and Control red team tool in attacks

2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国／欧州／アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。

台湾の PC メーカー MSI にランサムウェア攻撃：Money Message が二重脅迫

Taiwanese PC Company MSI Falls Victim to Ransomware Attack

2023/04/08 TheHackerNews — 台湾の PC 会社である MSI (Micro-Star International) は、同社のシステムが侵害されるという、サイバー攻撃の被害者であることを公式に認めた。同社は、ネットワークの異常を検出した後に、速やかにインシデント・レスポンスとリカバリーの措置を開始したと述べている。また、このインシデントについて、法執行機関に報告したとも述べている。しかし MSI は、この攻撃の発生時期と、ソースコードなどのプロプライエタリ情報の流出の有無については、具体的な情報を開示していない。

3CX VoIP にサプライチェーン攻撃：Win／Mac アプリがトロイの木馬化され暗号通貨が狙われる

Cryptocurrency companies backdoored in 3CX supply chain attack

2023/04/03 BleepingComputer — 3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられた。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているという。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows／macOS のデスクトップ・アプリを、トロイの木馬化させてしまった。

LockBit が韓国の国税庁をハッキング：盗んだデータを公表すると脅迫している

LockBit leaks data stolen from the South Korean National Tax Service

2023.04/01 SecurityAffairs — 2023年3月29日に、LockBit ランサムウェア・ギャングは、韓国の国税庁をハッキングしたことを公表した。同グループは、この韓国の機関を Tor リーク・サイトに追加し、身代金が支払われない場合には、2023年4月1日までに盗み出したデータを公開すると脅している。主として、内税の査定と徴収を担当する国税庁は、1966年3月3日に大蔵省の外郭団体として設立されている。

中国の原子力エネルギー部門が標的：APT アクター Bitter は南アジアから攻撃する

China’s Nuclear Energy Sector Targeted in Cyberespionage Campaign

2023/03/28 SecurityWeek — サイバースパイ・キャンペーンを展開する南アジアの APT アクターが、中国の原子力エネルギー部門を標的にしていると、Intezer が最新情報として報告している。2021年ころから活動している Bitter という名のグループは、中国／バングラデシュ／パキスタン／サウジアラビアのエネルギーおよび政府組織を標的とすることで知られており、その戦術として、Excel／Microsoft Compiled HTML Help (CHM)／Windows Installer (MSI) ファイルの悪用を特徴としている。

CatB ランサムウェアの検出回避テクニック：DLL 検索順序ハイジャックとは？

Researchers Shed Light on CatB Ransomware’s Evasion Techniques

2023/03/20 TheHackerNews — CatB ランサムウェアのオペレーターは、検出を回避してペイロードを起動するために、DLL 検索順序ハイジャックと呼ばれる攻撃手法を使用していると確認されている。2022年末に出現した CatB99／Baxtoy とも呼ばれる CatB だが、Pandora という別のランサムウェア株の “進化形または直接的なリブランド” だと言われるのは、コード・レベルの類似性に関する分析が進んだ結果である。Pandora を使用してきたのは、Bronze Starlight (別名 DEV-0401／Emperor Dragonfly) だとされている。中国に拠点を置く、この脅威アクターは、真の目的を隠すために、短命のランサムウェア・ファミリーを採用することで知られている。

Fortinet のゼロデイ悪用：ハッキングの背景に存在する中国系ハッカー集団とは？

Fortinet zero-day attacks linked to suspected Chinese hackers

2023/03/16 BleepingComputer — Fortinet のゼロデイ脆弱性 CVE-2022-41328 を悪用してマルウェアを展開するという、政府機関に対する一連の攻撃の背景には、中国のハッカー集団の存在があるようだ。先週に Fortinet が開示したように、この脆弱性の悪用に成功した脅威アクターは、パッチ未適用の FortiGate ファイアウォール・デバイス上で、不正なコード／コマンドを実行することで、マルウェア・ペイロードを展開できるとされる。さらに、このマルウェアの分析を進めることで、データの流出／侵害デバイス上でのファイルのダウンロードと書き込み／細工された ICMP パケット受信によるリモートシェルのオープンといった、サイバースパイ活動にも利用可能なことが判明した。

Tick APT Group：東アジアの政府機関や軍事機関をサプライチェーンから狙っている

Tick APT Group Hacked East Asian DLP Software Firm

2023/03/15 InfoSecurity — 政府機関や軍事機関向けの DLP (data-loss prevention) ソフトウェアを開発する、東アジアの企業を標的とした新たなマルウェアキャン・ペーンは、Tick という名の APT グループに起因することが判明した。2023年3月14日 (火) に ESET が発表したアドバイザリによると、この脅威アクターは DLP 企業の内部アップデート・サーバに侵入し、ネットワーク内にマルウェアを配信したという。その後に、同社が使用する正規のツール・インストーラをトロイの木馬化し、同社の顧客２社のコンピュータでマルウェアが実行される状況に至ったという。

Dark Pink は中国の APT グループ：ASEAN 諸国の政府機関に KamiKakaBot を配布

Dark Pink APT Group Deploys KamiKakaBot Against South Asian Entities

2023/03/13 InfoSecurity — Dark Pink として知られる脅威アクターが、ASEAN (東南アジア諸国連合) 諸国の複数の政府機関に対する KamiKakaBot マルウェアの配布に関与していたことが判明した。先週に EclecticIQ の研究者たちは、2023年2月に行われた攻撃に関するレポートを公開した。このレポートでは、「この新しいキャンペーンでは、東南アジア諸国の軍事／政府機関に対するソーシャル・エンジニアリングのルアーとして、ヨーロッパと ASEAN 諸国の交流関係が悪用されている可能性が非常に高い。EclecticIQ の研究者たちは、このグループの国籍を特定するだけの決定的な証拠を得ていないが、攻撃者の目的や行動パターンから、Dark Pink は中国の APT グループであろうと考えている」と説明されている。

Akamai が DDoS 攻撃を緩和：アジアでは最大級の 900Gbps という規模だった

Akamai mitigates record-breaking 900Gbps DDoS attack in Asia

2023/03/09 BleepingComputer — Akamai が発表したのは、APAC 地域の顧客に仕掛けられた、過去最大の DDoS 攻撃を緩和したというものである。DDoS (Distributed Denial of Service) 攻撃とは、標的となるサーバに大量のリクエストを送信してキャパシティを枯渇させることで、そのサーバがホストする Web サイト／アプリケーションなどのオンライン・サービスを、正規のユーザーからアクセスできない状態にするものだ。

Mustang Panda は中国由来：新たな MQsTTang バックドアで欧州／台湾を狙っている

Chinese Hackers Targeting European Entities with New MQsTTang Backdoor

2023/03/03 TheHackerNews — 中国に拠点を置く Mustang Panda が、2023年1月に開始したソーシャルエンジニアリング・キャンペーンの一環として、MQsTTang と呼ばれる新たなカスタム・バックドアを使用していることが確認された。ESET の研究者である Alexandre Côté Cyr は、新しいレポートの中で「MQsTTang は、このグループにおける大半のマルウェアとは異なり、既存のファミリーや一般に公開されているプロジェクトをベースにしていないようだ」と述べている。

Redis データベース・サーバが標的：３つ目のクリプトジャッキング・キャンペーンが登場

New Cryptojacking Campaign Leverages Misconfigured Redis Database Servers

2023/03/02 TheHackerNews — Redis データベース・サーバのミスコンフィグレーションが、新しいクリプトジャッキング・キャンペーンのターゲットとなっているが、そこで悪用されているのは、正規のオープンソース・コマンドライン・ファイル転送サービスである。Cado Security は、「このキャンペーンを支えていたのは、transfer[.]sh である。つまり、数多くのサービスなどで普通に使われる、pastebin[.]com などのコード・ホスティング・ドメインをベースにした、検出を回避する試みの可能性がある」と、The Hacker News と共有したレポートで述べている。