CrowdStrike – IoT OT Security News

Linux の BPFDoor マルウェアの高スティルス亜種：Berkley Packet Filter を巧妙に悪用

Stealthier version of Linux BPFDoor malware spotted in the wild

2023/05/11 BleepingComputer — Linux マルウェアである BPFDoor で、高ステルス性の新たな亜種が発見された。このマルウェアの特徴は、より強固な暗号化とリバース・シェル通信を備えている点にある。BPFDoor はステルス性の高いバックドア・マルウェアであり、遅くとも 2017年から活動していたと見られているが、セキュリティ研究者により発見されたのは、１年ほど前のことである。このマルウェアの名前は、Berkley Packet Filter (BPF) を悪用して、受信トラフィックのファイアウォール制限を回避することに由来している。BPFDoor は、侵入した Linux システム上で、脅威アクターが長時間の持続性を維持し、長期間にわたって検出を回避するように設計されている。

3CX VoIP サプライチェーン攻撃：北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用

North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack

2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows／macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。

WinRAR／7-Zip アーカイブに仕込まれたトリック：検出を回避して PowerShell などを実行

WinRAR SFX archives can run PowerShell without being detected

2023/04/03 BleepingComputer — 脅威アクターたちは、WinRAR 自己解凍アーカイブを無害なファイルで偽装した上で、悪意の機能を追加することで、ターゲットシステムのセキュリティ・エージェントを起動させることなく、バックドアを仕掛けるようになってきた。WinRAR や 7-Zip などの圧縮ソフトウェアで作成される、自己解凍型アーカイブ (SFX：Self-extracting archives) は、基本的に、アーカイブされたデータと内蔵の解凍スタブ (データを解凍するためのコード) で構成される実行型のファイルである。そして、SFX ファイルには、不正なアクセスを防止するためのパスワードが設定されている。

CISA KEV 警告 23/02/21：Mitel MiVoice と IBM Aspera Faspex の脆弱性を追加

CISA Warns of Two Mitel Vulnerabilities Exploited in Wild

2023/02/22 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Mitel MiVoice Connect ビジネス・コミュニケーション・プラットフォームに存在する２つの脆弱性が、野放し状態で悪用されていることを連邦政府組織に警告している。CISA は、この欠陥を KEV (Known Exploited Vulnerabilities) カタログに追加し、3月14日まで対処するよう関係機関に指示した。

コンテナ・イメージのセキュリティ調査：全体の 87% に深刻な脆弱性が存在する

Researchers Claim High-Risk Vulnerabilities Found in 87% of All Container Images

2023/02/01 InfoSecurity — コンテナ・イメージの圧倒的多数である 87％において、深刻な脆弱性が存在していること、また、90% において、コンテナに関連するパーミッションが使用されていないことが判明した。この指摘は、クラウド／コンテナ統合セキュリティ企業である Sysdig の最新レポートによるものであり、InfoSecurity と共有されたものだ。また、この新しいデータによると、修正プログラムが提供されている深刻な脆弱性のうち、ランタイムにロードされるパッケージに含まれるものは、わずか 15% に過ぎないことが示されている。したがって、使用時に脆弱なパッケージをフィルタリングすることで、本質的なリスクを示す脆弱性が、より少ないものに対して集中していける。

Microsoft と Rackspace：Exchange の ProxyNotShell 緩和策回避を巡って衝突？

Rackspace: Ransomware Attack Bypassed ProxyNotShell Mitigations

2023/01/05 DarkReading — マネージド・クラウド・ホスティングを提供する Rackspace Technology は、12月2日に発生した大規模なランサムウェア攻撃により、中小企業の顧客数千社のメール・サービスに障害が発生したことを発表した。その要因は、Microsoft Exchange Server におけるサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2022-41080 を悪用するゼロデイ攻撃にあるという。

GuLoader という VBScript ダウンローダ：セキュリティを回避してシェルコードを注入

GuLoader Malware Utilizing New Techniques to Evade Security Software

2022/12/26 TheHackerNews — サイバー・セキュリティ研究者たちは、GuLoader と呼ばれる高度なマルウェア・ダウンローダと、そこで採用されるセキュリティ・ソフトウェア回避のための、各種のテクニックを公開した。CrowdStrike の研究者である Sarang Sonawane と Donato Onofri は、先週に公開された技術レポートで、「新しいシェルコード分析防止技術は、プロセス・メモリ全体をスキャンして、仮想マシン (VM) 関連の文字列を探すことで、研究者や敵対者の環境を妨害しようと試みる」と述べている。

Exchange Server を攻撃する Play ランサムウェア：ProxyNotShell の緩和策をバイパス

Play ransomware attacks use a new exploit to bypass ProxyNotShell mitigations on Exchange servers

2022/12/21 SecurityAffairs — Crowdstrike によると、Play ランサムウェアの運営者は OWASSRF と呼ばれる新しいエクスプロイト・チェーンを用いて、ProxyNotShell 脆弱性に対する緩和策をバイパスすることで、Microsoft Exchange サーバをターゲットにしているようだ。この脆弱性の悪用に成功した認証済の攻撃者は、Exchange Server 2013／2016／2019 で権限を昇格を行い、そのシステムのコンテキストで PowerShell を実行し、脆弱なサーバ上で任意コード実行またはリモートコード実行の可能性を生じるという。

Docker／Kubernetes の脆弱なインスタンスを狙う：Kiss-a-dog クリプトジャッキング

New Cryptojacking Campaign Targeting Vulnerable Docker and Kubernetes Instances

2022/10/27 TheHackerNews — 脆弱な Docker／Kubernetes インフラを標的とし、暗号通貨の不正マイニングを行う、新たなクリプトジャッキング・キャンペーンが発覚した。このアクティビティを Kiss-a-dog と名付けた CrowdStrike は、その Command and Control インフラについて、ミスコンフィグレーションのある Docker／Kubernetes インスタンスへの攻撃で知られる、TeamTNT などのグループとの重複があることを明らかにした。この、kiss.a-dog[.]top というドメインに由来する侵入は、2022年9月に発見されており、Base64 エンコードされた Python コマンドを用いて、侵入したコンテナでシェル・スクリプト・ペイロードを起動するものである。

VMware vCenter Server の脆弱性 CVE-2021-22048：2021年に公開され今もパッチ未適用

VMware vCenter Server bug disclosed last year still not patched

2022/10/11 BleepingComputer — 今日になって VMware は、vCenter Server の最新バージョン 8.0 が、2021年11月に公開された深刻な権限昇格の脆弱性に未対応であることを顧客に通知した。このセキュリティ脆弱性 CVE-2021-22048 は、CrowdStrike の Yaron Zinar と Sagi Sheinfeld が、vCenter Server の IWA (Integrated Windows Authentication) 機構の中で発見したものであり、VMware の Cloud Foundation hybrid cloud platform にも影響を与える。この脆弱性の悪用に成功した、管理者以外のアクセス権を持つ攻撃者は、パッチ未適用のサーバ上でより高い特権グループへと権限を昇格させることが可能になる。

Microsoft 2022-09 月例アップデートは２件のゼロデイと 63件の脆弱性に対応

Microsoft September 2022 Patch Tuesday fixes zero-day used in attacks, 63 flaws

2022/09/13 BleepingComputer — 今日は Microsoft の September 2022 Patch Tuesday であり、活発に悪用されている Windows の脆弱性を含めて、合計で 63件の不具合が修正された。本日のアップデートで修正された 63件の脆弱性のうち 5件は、最も深刻なタイプの脆弱性である、リモートコード実行を許すものであり、Critical に分類されている。

OCFS でセキュリティ・アラートを正規化：AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

VMware vCenter Server の脆弱性 CVE-2021-22048：公開から8ヶ月で FIX

VMware patches vCenter Server flaw disclosed in November

2022/07/12 BleepingComputer — VMware は、8ヶ月前に公開された、vCenter Server の IWA (Integrated Windows Authentication) 認証メカニズムに存在する、深刻な権限昇格の脆弱性 CVE-2021-22048 に対して、ついにパッチをリリースした。CrowdStrike の Yaron Zinar と Sagi Sheinfeld により報告された、この脆弱性 CVE-2021-22048 は、VMware Cloud Foundation にも影響をおよぼすものだ。

BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う

BPFDoor malware uses Solaris vulnerability to get root privileges

2022/05/25 BleepingComputer — Linux および Solaris 向けのステルス型マルウェア BPFdoor の、内部構造に関する新たな研究により、このマルウェアの背後にいる脅威アクターは、標的システム上で持続性を得るために、古い脆弱性を利用していることが明らかになった。BPFDoor はカスタム・バックドアであり、少なくとも５年間において、通信／政府／教育／物流などの組織への攻撃で、ほとんど検出されずに使用されてきた。

Anonymous と Ukraine IT Army の継続的な攻撃：ロシアの政府機関などのデータをリーク

Anonymous and Ukraine IT Army continue to target Russian entities

2022/05/06 SecurityAffairs — Anonymous の集団は、ロシアの企業や政府組織に対するサイバー戦争を継続している。以下は、同集団に標的とされた組織の最新リストであり、盗まれたデータは DDoSecrets プラットフォームを介して流出している。

CISA が編纂するリスト：サイバー・セキュリティのための無償ツール／サービス

CISA compiles list of free cybersecurity tools and services

2022/02/19 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃からの防御を強化し、組織のセキュリティ能力を高めるための、無料のサイバー・セキュリティ・サービス／ツールのリストを公開した。このリストは、包括的なものではなく、また、変化にも対応できるものだが、サイバー・セキュリティ・プログラムのための、基本的なセキュリティ対策と組み合わせることで、企業のサイバー・セキュリティ・リスク管理を成熟させることを目的としている。

SolarWinds 攻撃と新たなマルウェア：長期間の潜伏を可能にする手法とは？

New Malware Used by SolarWinds Attackers Went Undetected for Years

2022/02/02 TheHackerNews — SolarWinds サプライチェーン侵害の背後にいる脅威アクターは、この攻撃に新しいツールやテクニックを投入し、2019年からマルウェアを強化し続けることで、とらえどころのない性質を持つキャンペーンに成長し、何年もアクセスを維持する敵対者の能力を示してきた。

Nobelium ハッキング・グループの斬新な戦術を解説する、サイバー・セキュリティ企業である CrowdStrike によると、攻撃の規模が拡大する以前から、２つの洗練されたマルウェア・ファミリーが被害者のシステムに潜入していたという。それらは、GoldMax の Linux 版と、TrailBlazer という新たなインプラントである。

ロシアによるウクライナ攻撃：国家支援 APT などのアクティビティが明るみに

More Russian Attacks Against Ukraine Come to Light

2022/01/31 SecurityWeek — ここ数カ月の間に、ロシアに関連する脅威アクターが、ウクライナに対して行ったと考えられる作戦は、WhisperGate 攻撃だけではない。月曜日に Symantec は、既知のグループと関連づけたスパイ活動の詳細を公開した。数年前から、ロシアの APT アクターがウクライナの標的に対して、様々なサイバー攻撃を仕掛けていることが確認されている。これらのグループの中には、モスクワのシークレット・サービスの一部と考えられるもの、また、直接の監督下にあると考えられるものもある。

VMware Horizon への Log4Shell 攻撃：悪名高いアクセス・ブローカーが参戦

Initial Access Broker Involved in Log4Shell Attacks Against VMware Horizon Servers

2022/01/26 TheHackerNews — Prophet Spider として追跡されているイニシャル・アクセスブローカー・グループが、パッチが適用されていない VMware Horizon Server の Log4Shell 脆弱性を利用するための、一連の悪意のアクティビティに関与している。今日、BlackBerry Research & Intelligence & Incident Response (IR) チームが発表した新たな調査結果によると、このサイバー犯罪者は、侵入したシステムに第２段階のペイロードをダウンロードするために、この脆弱性の好機を利用している。このペイロードには、暗号通貨マイナー／Cobalt Strike Beacon／Web シェルなどが含まれている。

SonicWall の RCE 脆弱性 CVE-2021-20038：標的型攻撃が進行中

Attackers now actively targeting critical SonicWall RCE bug

2022/01/24 BleepingComputer — SonicWall の Secure Mobile Access (SMA) ゲートウェイに影響をおよぼす深刻な脆弱性だが、先月に対処されていながら、現在でも悪用されようとしている。この脆弱性 CVE-2021-20038 は、スタックバッファ・オーバーフローを引き起こす可能性があり、WAF が有効な場合であっても、SMA 100 シリーズのアプライアンス (SMA 200／210／400／410／500v を含む) に影響をおよぼす。

Linux と IoT とマルウェア：2021年の調査結果は前年比で 35% 増

Linux malware sees 35% growth during 2021

2022/01/15 BleepingComputer — Linux デバイスを標的としたマルウェアの感染件数は、2021年に 35%増加しており、その多くは DDoS 攻撃のための IoT デバイスの取り込みが目標となっている。IoT デバイスは多様な Linux ディストリビューションを実行するが、一般的にパワー不足のスマート・デバイスであり、その機能も特定の範囲に制限されている。しかし、それらのリソースが、大規模なグループにまとめられると、十分に保護されたインフラに対して大規模な DDoS 攻撃を仕掛ける能力を持つことになる。

TellYouThePass ランサムウェアが復活：Golang によるクロス・プラットフォームと Log4Shell

TellYouThePass ransomware returns as a cross-platform Golang threat

2022/01/12 BleepingComputer — TellYouThePass ランサムウェアは、Golang でコンパイルされたマルウェアとして再登場し、多様なオペレーティング・システムにおいて、特に macOS と Linux を標的にすることが容易になった。このマルウェアは、先月に Log4Shell エクスプロイトと組み合わせることで、脆弱なマシンを狙うために使用されたことで注目されている。今回、Crowdstrike が発表したレポートは、Windows 以外のプラットフォーム向けのコンパイルを容易にする、コードレベルの変更による復活に注目している。

中国の APT ハッカーたちが Log4Shell を使って大規模な学術機関を攻撃

Chinese APT Hackers Used Log4Shell Exploit to Target Academic Institution

2021/12/30 The Hacker News — 中国を拠点とする新たな標的型侵入攻撃者である Aquatic Panda は、Apache Log4j ロギング・ライブラリの深刻な欠陥をアクセス・ベクターとして利用し、ターゲット・システム内での偵察や資格情報の収集などの、持続性のある攻撃のための準備を行っていることが観察されている。

SonicWall の深刻な懸念と警告：SMA 100 シリーズのバグに迅速なパッチを

SonicWall ‘strongly urges’ customers to patch critical SMA 100 bugs

2021/12/08 BleepingComputer — SonicWall は、SMA 100 シリーズ・アプライアンスを使用している企業に対して、CVSS スコアで Critical から Medium と評価されている、複数のセキュリティ上の欠陥に対して、直ちにパッチを適用することを強く求めている。これらのバグ (Rapid7 の Jake Baines と NCC Group の Richard Warren が報告) は、Web Application Firewall (WAF) が有効になっているケースでも、SMA 200／210／400／410／500v アプライアンスに影響をおよぼす。

VMware の vCenter Server の特権昇格の脆弱性：パッチに先行して回避策を提供

VMware discloses a severe flaw in vCenter Server that has yet to fix

2021/11/10 SecurityAffairs — VMware の発表によると、同社の vCenter Server に存在する重要な深刻な特権昇格の脆弱性 (CVE-2021-22048) に対処するための、セキュリティ・パッチの開発に取り組んでいるとのことだ。vCenter Server は、VMware の集中管理ユーティリティであり、仮想マシン／複数の ESXi ホスト／各種のコンポーネントを、シングル・ビューで管理するためのものだ。

中国由来のサイバースパイ：世界のテレコム・ネットワークから個人情報を窃取？

A China-aligned espionage group is targeting global telecoms, sweeping up call data dating back years

2021/10/19 CyberScoop — 火曜日に CrowdStrike が発表した調査結果によると、中国と関係のある高度なデジタルスパイ・ネットワークが、世界の通信ネットワークへの侵入に成功し、場合によっては加入者情報／通話メタデータ／テキストメッセージなどの、一部のデータへのアクセスが可能になっていることが判明した。

Jupyter マルウェアの最新版：MSI インストーラーに隠れて広がり続ける

A New Jupyter Malware Version is Being Distributed via MSI Installers

2021/09/26 TheHackerNews — Jupyter は、医療機関や教育機関を狙うことで知られる .NET マルウェアであり、ほとんどのエンドポイント・スキャンを無効にすることで知られている。イスラエルの Morphisec は、「9月8日にが発見された新たな配信チェーンは、このマルウェアが継続的に活動していることを示すだけではなく、脅威アクターが効率的で回避可能な攻撃を開発し続けていることも示している。現在、攻撃の規模と範囲を調査している」と述べている。

SonicWall SMA 100 の脆弱性：デバイスの乗っ取りを脅威アクターが狙っている

SonicWall fixes critical bug allowing SMA 100 device takeover

2021/09/24 BleepingComputer — SonicWall は、Secure Mobile Access (SMA) 100シリーズ製品群に存在する、認証されていない攻撃者による、管理者権限のリモートで取得という、深刻なセキュリティ上の欠陥に対処した。CVE-2021-20034 は、不適切なアクセス制御の脆弱性であり、攻撃を受けやすい SMA 100 シリーズのアプライアンスには、SMA 200／210／400／410／500v が含まれる。

企業ネットワークに侵入した犯罪者：30分以内に 36% が横移動を開始

Attackers Moving Faster Inside Target Networks

2021/09/09 DarkReading — セキュリティ研究者たちの報告によると、金銭的な動機を持った攻撃者や国家に支援されたグループは、標的となるネットワークに侵入し、足場を確保した後に、横方向へと移動する能力を高めている。CrowdStrike の Falcon OverWatch チームは、「2021 Threat Hunting Report」の中で、平均ブレイクアウト・タイム (攻撃者が最初のアクセスポイントからターゲット・ネットワーク内の他システムへ横方向に移動し始めるまでの時間) を、大幅にスピードアップしたと指摘している。

CISA と Microsoft / Google / Amazon が連携してランサムウェアと戦う

CISA teams up with Microsoft, Google, Amazon to fight ransomware

2021/08/05 BleepingComputer — CISA が発表した官民連携の JCDC (Joint Cyber Defense Collaborative) は、ランサムウェアなどのサイバー脅威から、米国の重要インフラを守ることを目的とするものだ。この新しい取り組みは、重要インフラを標的とする悪意のサイバー活動に対する、国家としての耐性を高めるために、CISA が連邦機関および、SRTT (state / local / tribal / territorial) パートナー、民間企業と協力し、サイバー防衛計画を策定することを目的とする。CISA の Director である Jen Easterly は、「CISA と省庁間で協力して活動することに同意してくれた産業界のパートナーは、サイバー侵入から国の重要な機能を守るという共通のコミットメントと、新しいソリューションを生み出す想像力を持っている。

WellMess マルウェアと関連する C2 サーバークラスタが発見された

Experts Uncover Several C&C Servers Linked to WellMess Malware

2021/07/30 TheHackerNews — サイバー・セキュリティ研究者たちが、APT29 として追跡されているロシアの脅威アクター Cozy Bear が所有する、新たな C2 (command-and-control) インフラストラクチャの正体を明らかにした。Microsoft のサイバーセキュリティ子会社である RiskIQ は、The Hacker News に寄せられたレポートの中で、ロシアの SVR (対外情報機関) が運営する、30台以上の C2 サーバーの発見を発表した。

中国の国家支援グループが台湾の電気通信組織を標的にしている？

Suspected Chinese hackers target telecoms, research in Taiwan, Recorded Future says

2021/07/08 CyberScoop — この木曜日に、Recorded Future の Insikt Group が発表したレポートによると、中国の国家支援グループが、台湾／ネパール／フィリピンの電気通信組織を標的にしている疑いがあるらしい。６月に研究者たちは、TAG-22 と呼ばれるグループからの侵入に気づいたが、台湾の Industrial Technology Research Institute や、ネパールの Nepal Telecom、フィリピンの Department of Information and Communications Technology などの通信組織が標的にされているという。これらの活動の一部は、報道された時点でも継続して行われているようだ。

攻撃者が悪用する SonicWall VPN の脆弱性とは？

Attackers Leverage SonicWall VPN Flaw to Compromise SRA Appliances

2021/06/11 SecurityWeek — セキュリティ・ベンダーの CrowdStrike の警告によると、古い VPN セキュリティの欠陥を悪用する悪意のハッカーが、SonicWall SRA (secure remote access) デバイスを侵害しているようだ。この脆弱性 CVE-2019-7481 に関しては、2019年に SonicWall がパッチを提供しているが、このレガシー SRA デバイスの問題が、ファームウェア・アップデートでは適切に緩和されなかったと、CrowdStrike は警告している。