BazarLoader – IoT OT Security News

BazarCall フィッシング攻撃：コールバック型で進化するソーシャル・エンジニアリング

Callback phishing attacks evolve their social engineering tactics

2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬／スパイウェア／ランサムウェアなどの、追加のペイロードがドロップされる。

Bumblebee マルウェアはディスクに触れない：高度なスティルス性で侵害し続ける

Bumblebee malware adds post-exploitation tool for stealthy infections

2022/09/08 BleepingComputer — 新たに発見されたマルウェア・ローダー Bumblebee は、PowerSploit フレームワークを用いて、DLL ペイロードをメモリにステルス的に注入するものであり、野放し状態で感染を広げている。Bumblebee は４月に発見され、BazarLoader や TrickBot の背後にいると推測される、Conti シンジケートが組織するフィッシング・キャンペーンに関与している。

Sliver Tookit という最新／最強の攻撃ツール：Cobalt Strike は過去の遺物に？

Hackers adopt Sliver toolkit as a Cobalt Strike alternative

2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット／動作／コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。

Active Directory と Bumblebee：侵害後に BazarLoader／TrickBot／IcedID などをロード

Hackers Using Bumblebee Loader to Compromise Active Directory Services

2022/08/18 TheHackerNews — BazarLoader／TrickBot／IcedID といった脅威アクターたちが、ターゲットのネットワークを侵害する際に、マルウェアローダーとして Bumblebee を利用するケースが増大している。Cybereason の研究者である Meroujan Antonyan と Alon Laufer は、技術文書で、「Bumblebee のオペレーターたちは、集中的な偵察活動を行い、実行されたコマンドの出力をファイルへリダイレクトして抽出する」と述べている。

LockBit の最近の戦術：著作権違反を主張する偽のメールに御用心

Fake copyright infringement emails install LockBit ransomware

2022/06/26 BleepingComputer — LockBit ランサムウェアのアフィリエイトは、標的に対して著作権違反を主張することで、そのデバイスにマルウェアを感染させるという、興味深いトリックを使用している。これらのマルウェアを送りつけられる電子メールの受信者は、クリエイターのライセンス承諾なしにメディアファイルを使用したと主張され、著作権侵害について警告される。一連のメールの文面には、受信者の Web サイトから侵害コンテンツを削除するか、法的措置に対処することを要求している。

ランサムウェア 2021年の調査：勝ち続ける帝国のパワーを数々の指標が証明

Ransomware still winning: Average ransom demand jumped by 45%

2022/05/23 HelpNetSecurity — Group-IB は、ナンバーワン脅威の進化を示すガイド Ransomware Uncovered 2021/2022 を発表した。このレポート第２版における調査結果によると、ランサムウェア帝国は連勝を重ね、2021年の身代金の返金要求額は、45% 増の $247,000 に達したとされる。2020年以降のランサムウェア・ギャングは、ずっと貪欲になっている。Hive がMediaMarkt に対して要求した身代金は、$240 million (2020年は $30 million) という記録的なものだった。Hive だけではなく、2021年のもう１人の新参者 Grief は、専用リークサイト (DLS) に投稿された被害者の数で、Top-10 ギャングの仲間入りを果たした。

Conti ランサムウェアの解体と分散化：リブランドの状況と背景を探ってみた

Conti ransomware shuts down operation, rebrands into smaller units

2022/05/19 BleepingComputer — 猛威を奮った Conti ランサムウェア・ギャングだが、チームリーダーからブランドが存在しないことが伝えられ、インフラはオフラインにされ、正式に活動を停止した。今日の午後に、Conti の内部インフラが停止されたことが、Advanced Intel の Yelisey Boguslavskiy によりツイートされた。公開されている Conti News の、データ漏洩サイトと身代金交渉サイトはオンラインだが、Boguslavskiy は BleepingComputer に対して、メンバーが交渉に使っていたデータ漏洩サイトで、ニュースを公開するために使用されていた、Tor 管理パネルはオフラインになっていると語った。

米国務省 $15 million の報奨金：Conti ランサムウェアに関する情報を求める

US offers $15 million reward for info on Conti ransomware gang

2022/05/07 BleepingComputer — 米国国務省 (Department of State) は、Conti ランサムウェア・ギャング幹部などの特定と所在確認に有効な情報に対して、最大で $15 million の報奨金を提供している。この報奨金のうち、$10 million はリーダーなどの身元や居場所に関する情報に対して、さらに $5 million はランサムウェア攻撃に関連する、逮捕や有罪につながる情報に対して提供されるという。

Bumblebee という新たなマルウェア：TrickBot／BazaLoader 系で最凶か？

Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild

2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。

風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている

Wind turbine firm Nordex hit by Conti ransomware attack

2022/04/14 BleepingComputer — 今月の初旬に風力発電機大手の Nordex がサイバー攻撃を受け、IT システムの停止とマネージド・タービンへのリモート・アクセスを余儀なくされた件について、ランサムウェア Conti が犯行を主張している。Nordex は、風力タービンの開発／製造において世界最大級の企業であり、全世界で 8,500人以上の従業員を擁している。Nordex は、4月2日にサイバー攻撃を受けたが、その検知が早期であったことで、攻撃の拡大を防ぐために IT システムを停止させたと明らかにした。

インドネシアの中央銀行 Bank Indonesia が Conti に攻撃されデータ・リーク？

Indonesia’s central bank confirms ransomware attack, Conti leaks data

2022/01/20 BleepingComputer — インドネシア共和国の中央銀行である Bank Indonesia (BI) が、先月にランサムウェア攻撃を受け、同社のネットワークが襲われたことを、今日になって認めた。このインシデントでは、BI の従業員が所有する「非重要データ」を攻撃者が盗み出した後に、同行ネットワーク上の 10数台のシステムにランサムウェアのペイロードを展開したと、CNN Indonesia が報じている。しかし、BI の広報担当者によると、Reuter が最初に報じたように、この事件は BI の公共サービスに影響を与える前に軽減されたとのことだ。

Microsoft 2021-12 月例アップデートは６件のゼロデイと 67件の脆弱性に対応

Microsoft December 2021 Patch Tuesday fixes 6 zero-days, 67 flaws

2021/12/14 BleepingComputer — 今日は、Microsoft の December 2021 Patch Tuesday であり、それに伴い、６つのゼロデイ脆弱性と合計で67件の欠陥が修正された。これらのアップデートには、マルウェアの配布キャンペーンで積極的に悪用されている、Windows Installer の脆弱性の修正も含まれている。Microsoft は、今日のアップデートで 55件の脆弱性 (Microsoft Edge を除く) を修正し、７件を Critical に、60件を Important に分類した。

Emotet が偽の Adobe インストーラーを介して広まり始めている

Emotet now spreads via fake Adobe Windows App Installer packages

2021/12/01 BleepingComputer — 現在、マルウェア Emotet は、Adobe PDF ソフトウェアを装う、悪意の Windows App Installer パッケージを介して配布されている。Emotet は、フィッシング・メールや悪意の添付ファイルを介して拡散する、悪名高いマルウェアである。インストールされると、他のスパム・キャンペーンのために被害者のメールを盗み、TrickBot や Qbot などのマルウェアを展開して、ランサムウェア攻撃などへつなげる。

FIN12 ランサムウェアは医療機関を狙う：時間をかけない素早い侵害が特徴

FIN12 hits healthcare with quick and focused ransomware attacks

2021/10/07 BleepingComputer — ランサムウェアの多くは、被害者のネットワーク上で時間をかけて、重要なデータを盗み出そうとする。しかし、あるグループは、機密性の高い、価値の高いターゲットに対して、マルウェアを素早く展開することを好む。FIN12 グループは、ファイルを暗号化するペイロードを、ターゲット・ネットワーク上で実行するのに２日もかけず、その大半で Ryuk ランサムウェアを用いている。

企業ネットワークに侵入した犯罪者：30分以内に 36% が横移動を開始

Attackers Moving Faster Inside Target Networks

2021/09/09 DarkReading — セキュリティ研究者たちの報告によると、金銭的な動機を持った攻撃者や国家に支援されたグループは、標的となるネットワークに侵入し、足場を確保した後に、横方向へと移動する能力を高めている。CrowdStrike の Falcon OverWatch チームは、「2021 Threat Hunting Report」の中で、平均ブレイクアウト・タイム (攻撃者が最初のアクセスポイントからターゲット・ネットワーク内の他システムへ横方向に移動し始めるまでの時間) を、大幅にスピードアップしたと指摘している。

Trickbot ボットネットと Diavol ランサムウェアの関係性は？

Trickbot cybercrime group linked to new Diavol ransomware

2021/07/01 BleepingComputer — FortiGuard Labs のセキュリティ研究者は、Diavol という名の新しいランサムウェアの系統を、Trickbot ボットネットを開発した Wizard Spider という、サイバー犯罪グループに結びつけた。Diavol と Conti ランサムウェア・ペイロードは、2021年6月初旬に Fortinet の EDR ソリューションがブロックしたランサムウェア攻撃において、異なるシステム上に展開されていた。