📰

【セキュリティニュースメモ】2024/08/12-08/18

2024/08/18に公開

2024/08/12-08/18のセキュリティニュースのメモです。

EastWind: ロシアの国家組織に対する新たなサイバー攻撃

https://securelist.ru/eastwind-apt-campaign/110020/

概要

  • 2024年7月末、ロシアの国家機関やIT企業のコンピュータ数十台に対する一連の標的型サイバー攻撃が活発に行われていることが確認された
  • 攻撃者は悪意のあるラベルファイルを含む添付ファイル付きのフィッシングメールでデバイスを感染させ、ラベルをクリックすると、マルウェアのインストールが行われる
  • インストールされるマルウェアには、APT31によって使用されるツールだけでなく、CloudSorcererも含まれる
  • この新たなキャンペーンがEastWindと呼ばれている

攻撃チェーン

  • Windowsショートカット(LNK)ファイルを含むRARアーカイブの添付ファイルを使用する
  • 添付ファイルを開くと感染シーケンスが起動し、PlugYと呼ばれる文書化されていないインプラントなどのマルウェア(GrewApachaCloudSorcererバックドアの更新版)が展開される

PlugY

  • CloudSorcererバックドアを通じてダウンロードされる
  • コマンドのセットを持っている
  • C2サーバと通信するために3つの異なるプロトコルをサポートしている

DLL side-loadingの使用

https://attack.mitre.org/techniques/T1574/002/

  • DLL side-loadingを使用して悪意のあるDLLファイルを起動する
  • Dropboxを通信メカニズムとして使用して偵察コマンドを実行し追加のペイロードをダウンロードする

GrewApacha

  • DLLを使用して展開されるバックドア
  • APT31(中国に関連するグループ)にリンクしている
  • 攻撃者が管理するGitHubプロファイルをDead Drop Resolverとして使用し実際のC2サーバのBase64エンコード文字列を保存する

CloudSorcerer

  • Microsoft GraphYandex CloudDropboxを介したステルス監視、データ収集、流出に使用される
  • 最初のC2サーバとしてLiveJournalQuoraのようなプラットフォームを活用する
  • プロファイルの経歴にはクラウドサービスとやり取りするための暗号化された認証トークンが含まれている
  • 実行時にWindowsのGetTickCount()から導きだされる一意のキーを使用することで被害者のコンピュータ上でのみマルウェアが動作する
     - マルウェアは、TCP, UDP または名前付きパイプを使用して管理サーバに接続し、シェルコマンドの実行、デバイス画面の監視、キー入力のログ記録、クリップボード内容のキャプチャなどを行う

まとめ

  • EastWindキャンペーンの背後にいる攻撃者は、GitHubDropboxQuora、ロシアのLiveJournalYandex Diskなど、人気のあるサービスをC2サーバとして使用していた
  • 既知のバックドアとの関連性などから、攻撃者は中国に関連すると見られている

国際捜査によるランサムウェアグループの閉鎖

https://www.fbi.gov/contact-us/field-offices/cleveland/news/international-investigation-leads-to-shutdown-of-ransomware-group

概要

  • FBIが8月12日にRadar/Dispossessorの破壊と、3つの米国サーバー/3つの英国サーバー/18のドイツサーバー、8つの米国ベースの犯罪ドメイン/1つのドイツベースの犯罪ドメインの解体を発表した

Radar/Dispossessor

  • 2023年8月から観測されていたランサムウエアグループ
  • 生産、開発、教育、ヘルスケア、金融サービス、輸送の中小企業や組織を標的にし攻撃を行っていた
  • 当初はアメリカ国内を標的にしてきたが、最終的な被害は43国にも上った
  • 被害者のシステムを暗号化するたけでなく、身代金を要求するために被害者のデータを流出させる二重脅迫モデルとなっている

まとめ

  • FBIは更なる被害を防止するために、企業や組織が標的となった場合は、Internet Crime Complaint Center(ic3.gov or 1-800-CALL-FBI)への連絡を呼びかけている

ソーラーシステムにおける脆弱性

https://www.bitdefender.com/blog/labs/60-hurts-per-second-how-we-got-access-to-enough-solar-power-to-run-the-united-states/

概要

  • 中国企業のSolarmanとDeyeが運営している太陽光発電システム管理プラットフォームにおいて複数の脆弱性が発見された
  • 脆弱性が悪用された場合、攻撃者が送電網の一部を停止させ、停電を引き起こす可能性のあるインバータの設定を制御できる可能性がある
  • 脆弱性は、2024年5月22日に公開された後、2024年7月には対処されている

想定される攻撃

  • /oauth2-s/oauth/tokenAPIエンドポイントを使用した、認証トークン操作によるアカウントの完全乗っ取り

  • Deye Cloudトークンの再利用

  • group-s/acc/orgsAPIエンドポイントを介した情報漏洩

  • user-s/acc/orgsAPIエンドポイントを介した情報漏えい

  • 不正な認証トークン生成の可能性

  • 脆弱性の悪用に成功すると、攻撃者は任意のSolarmanアカウントを制御できるようになる

    • Dye CloudのJSON Webトークン(JWT)を再利用してSolarmanアカウントに不正アクセスしたり、登録されているすべての組織の個人情報を収集することが可能となる

まとめ

  • 太陽光発電のIoT化はメリットをもたらす一方で、機器メーカーが考慮しなければならない事項も増加する
  • DeyeとSolarmanのプラットフォームで見つかったセキュリティ上の欠陥は、太陽光発電システムの管理だけでなく、一般的なIoTセットアップにおけるセキュリティ強化の必要性を浮き彫りにしている
  • サイバー脅威から送電網を守ることは、すべての人に信頼できる安全な電力を確保するために極めて重要
  • 再生可能エネルギーを受け入れ、進化する脅威からエネルギーインフラを守るためには、警戒を怠らないことが重要

2024年上半期のランサムウェアグループの特徴

https://www.theregister.com/2024/08/13/lockbit_ransomware_stats/

概要

  • Palo Alto Networksのインシデントレスポンスチームが監視した53ランサムウェアグループのうち、被害者の名前や盗まれたデータを流出させるグループはわずか6つだった

https://unit42.paloaltonetworks.com/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/

2023→2024の変化と2024年上期被害者数ランキング

被害者数はリークサイトに掲載されたもの

1位: LockBit 3.0

2023年通年: 928人
2024年上期: 352人

2位: the Play

2024年上期: 155人

  • 2023年のランキング4位から上昇

3位: 8base

2023年通年: 188人(6位)
2024年上期: 119人

  • 8baseはPhobosのブランド名と思われている
  • 2023年間から観測し始められた

4位: Akira

2023年通年: 192人(5位)
2024年上期: 119人

5位: BlackBasta

2023年通年: ランキング外
2024年上期: 114人

6位: Medusa

2023年通年: ランキング外
2024年上期: 103人

ランキングから外れたグループ

  • ALPHV/BlackCat: 2023年のランキングでは2位だった(被害者数: 388人)
  • CLOP: 2023年のランキングでは3位だった(被害者数: 364人)

まとめ

  • 犯罪組織の解体が続いているが、未だに被害は増加し続けている
  • 犯罪サイトの多くは新しい名前と新しい管理者の元で運用が続けられ、もぐらたたきゲームのようになっている
  • 犯罪エコシステムが確立されていることで、新加入を目指す組織も多い
     - 観測された新組織: Spoiled Scorpius, Slippery Scorpius, Burning Scorpius, Alpha/MyData ransomware, Trisec ransomware, DoNex ransomware, Quilong ransomware, Blackout ransomware
  • 法執行機関が最も多発するランサムウェアの脅威行為者を解体し、駆逐するために最善の努力を尽くしても、高度に熟練したグループが大勢待ち構えており、その空白を埋めようとしている

Pixelの重大な脆弱性

https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world

概要

  • 2017年9月以降に出荷されたGoogle Pixelにおいて、ファームウェアの一部であり脆弱性を含むShowcase.apkというAndroidアプリケーションパッケージが発見された
  • Showcase.apkを有効にすると、攻撃者がOSにアクセス可能になり、中間者攻撃、コードインジェクションなど、様々な攻撃へとつながる可能性がある
  • Googleは「今後数週間以内に」ソフトウェアアップデートを実施してPixelの対応デバイス全てからShowcase.apkを削除すると説明している
  • 新しいPixel9シリーズには組み込まれていない

Showcase.apk

  • 主にリモートアクセス、ペアコントロールなどのソフトウェアパッケージを提供するSmith Microによって開発された
  • Verizon storeでPixelの販売を強化するために、パッケージを設計したと予想されている
  • システムレベルでインストールされ、ファームウェアイメージの一部であるため、ユーザがアンインストールすることはできない

危険性

Showcase.apkが引き起こす可能性のある問題

  • アプリケーションの構成ファイルを取得する際に、静的に定義されたドメインの認証/検証に失敗する
    • アプリケーションが既に設定ファイルを保持している場合、設定パラメータが最新であることを保証するための追加チェックが行われるか不明
  • アプリケーションは、公開鍵/署名/証明書がリソースにまとめられていない状態を処理できない
    • 非必須ファイルを除外するとパッケージやファイルのダウンロード中に検証プロセスが完全にバイパスされる可能性がある
  • HTTP経由で設定ファイルを取得するように設計されており、URLは予想可能な構築となっている

まとめ

  • Showcase.apkが必要となる端末は少数であるにも関わらず、Googleは全てのPixel端末にインストールしており、その理由は不明となっている
  • Showcase.apkは標準ではオフになっているため、オンにしないことが重要

詳細な解析レポート

https://iverify.io/resources/showcase

Discussion