2021年11月11日~17日までの期間のセキュリティインシデントの概要

2021/11/22 セキュリティーニュース
logo

「パキスタンのハッカーは、アフガニスタンの新しい体制の敵を攻撃するためにAndroidアプリストア全体をセットアップしました」、「Cloudflareはほぼ2Tbpsに達したマルチベクターDDoS攻撃を撃退しました」、「Emotetボットネットは再稼働の兆候を示しました」。
「ダム醸造所へのハッカーの攻撃により、スペイン人はお気に入りのビールをほとんど失いました」。 
情報セキュリティの世界で発生したインシデントについて、ご一読ください。


サイバー攻撃事例①
◆被害者:スペインで2番目に大きい醸造所であるDamm
◆攻撃者:不明
◆被害内容:El Prat deLlobregatプラントは数時間完全に麻痺し、サイバー攻撃によりバルセロナ郊外の主要な醸造所での生産を停止せざるを得ず、醸造中のビールはほとんど廃棄せざるを得なくなりました。
スペインの醸造所Dammは、世界的に有名なEstrellaDammブランドに加えて、他のいくつかのビールブランド(Voll-Damm、Xibeca、Estrella Levante)を製造しています。


サイバーランサムウェアグループのPysaについて
◆被害者:50の企業、大学、組織
◆被害内容:現在、Pysaの情報漏洩公開サイトには50の企業、大学、組織の情報が掲載されています。
米国政府がサイバーランサムウェアグループに対する一連の対策を発表した直後に、情報漏洩公開サイトに数十件の犠牲者についての情報を同時に投稿しました。
Pysaは通常、攻撃後しばらくしてサイトに被害者についての情報を公開する。


サイバー攻撃事例②
◆被害者:米国連邦捜査局(FBI)
◆攻撃者:不明
◆被害内容:サイバー攻撃の可能性を警告した数万通の電子メールの送信。
ハッキングされたものは公開されたもので、 FBIのエージェントや従業員が市民との間で使用しているものです。専門家は、エージェントが機密情報を転送するのは、別の電子メールシステムを使用していることを指摘しました。


サイバー攻撃事例③
◆被害者:クイーンズランド州(オーストラリア)のSunWaterにある大規模な国営水道会社
◆攻撃者:未知のハッカー
◆被害内容:2020年8月から2021年5月までSunWaterの顧客データへのアクセス。
彼らはオンラインビデオプラットフォームのトラフィックを増やすためにサーバーにカスタムマルウェアをインストールしただけで、個人情報には興味がなかったようです。


サイバー犯罪グループのVoidBalaurについて
◆被害者:ロシアの電気通信会社の責任者を含む、世界中のさまざまな活動分野(電気通信、貿易、金融、ヘルスケア、バイオテクノロジー)の3.5千人以上と組織
◆被害内容:5年以上にわたり、電子メールや機密性の高い情報を盗み、金銭的に利益のある犯罪者とスパイの両者への販売。 
このグループは、ロシア語のサイバー犯罪フォーラムでサービスを宣伝しています。


サイバー攻撃事例④
◆被害者:旧アフガニスタン政府に関係のある個人
◆攻撃者:パキスタンのハッカーグループ(SideCopyグループ)
◆被害内容:個人のデバイスに感染させることを目的として、偽のAndroidアプリストアを設立して運営していました。
攻撃者はFacebookに偽のプロファイルを登録し、若い女の子を装って、悪意のあるリンクをクリックするように説得するために、標的にされた被害者に連絡しました。


サイバー攻撃事例⑤
◆被害者:イスラエルの組織
◆攻撃者:モーセの杖と呼ばれる新しい政治的動機のハッカーグループ
◆被害内容:ハッカーは攻撃されたネットワークから機密情報を盗み、その後、アクセスを回復したり身代金を交渉したりすることなく、被害者のファイルを暗号化しました。
このグループは、盗んだ機密データを漏洩させ、身代金を要求することなく、被害者のネットワークを暗号化することによって、損害を与える。


サイバー攻撃事例⑥
◆被害者:情報セキュリティ会社SophosLabsの従業員
◆攻撃者:新しい「BazarBackdoor」フィッシングキャンペーン
◆被害内容:ソーシャルエンジニアリングを使用したスパムの被害者になっています。 
「ソフォスのアシスタントゼネラルマネージャー」から送られたメールの1つで、亡くなったアダムウィリアムズは、研究者がクライアントの苦情に応じなかった理由を突き止めようとしていました。 
メールにはPDFメッセージへのリンクも含まれていました。 リンクは実際には罠であり、BazarBackdoorマルウェアの展開に使用される「新しい」方法を専門家に明示しました。


サイバー攻撃事例⑦
◆被害者:イタリア、英国、米国の銀行および暗号通貨サービスのユーザー
◆攻撃者:SharkBotと呼ばれるマルウェア(Androidトロイの木馬)
◆被害内容:イタリアと英国の22の名前のない国際銀行と、米国の5つの暗号通貨アプリケーションを含む合計27のサービスを標的にするように設計されています。 
SharkBotの主な目標は、多要素認証メカニズムをバイパスして、自動転送システムを使用して、侵害されたデバイスからの送金を開始することです。


CloudflareによるDDoS攻撃の無効化
最大容量がほぼ2Tbit/sのマルチベクトル分散型サービス拒否(DDoS)攻撃を無効化にしました。 
攻撃は1分間続き、DNS増幅とUDPフラッドを伴い、約15,000のボットを使用して実行されました。 
ボットは、CVE-2021-22205の脆弱性を含む侵害されたIoTデバイスとGitLabインスタンスでMiraiの悪意のあるコードの亜種を実行しました。


Emotetボットネットの再稼働の兆候
Cryptolaemus、GData、およびAdvanced Intelのサイバーセキュリティ研究者は、TrickBotマルウェアがEmotetマルウェアのブートローダーをインストールしているケースを特定しました。
Emotetマルウェアは2021年初頭に法執行機関によって排除されました。
以前、EmotetはTrickBotをインストールしていましたが、現在、攻撃者はOperation Reacharoundと呼ばれる方法を使用して、既存のTrickBotインフラストラクチャを使用してEmotetボットネットを復元しています。
専門家は、Emotetボットネットがスパムを送信している兆候を記録しておらず、マルウェアをダウンロードする悪意のある文書も発見していません。
スパムと認識されていないないのは、Emotetのインフラストラクチャをゼロから再構築したことが原因である可能性があります。


BotenaGoと呼ばれる新しいボットネット
BotenaGoと呼ばれる新しいボットネットのオペレーターは、ルーターやIoTデバイスを標的とした悪意のあるキャンペーンで30を超えるエクスプロイトを使用しています。 
BotenaGoは、近年サイバー犯罪者の間で人気が高まっているGolang(Go)言語で書かれています。 
VirusTotalの62のウイルス対策エンジンのうち6つだけが、BotenaGoサンプルを悪意のあるものとしてフラグを立て、一部はそれをMiraiとして識別します。


PhoneSpyスパイウェアを使用した韓国人の追跡
Zimperiumのセキュリティ専門家は、サイバー犯罪者がPhoneSpyスパイウェアを使用して韓国人を追跡する進行中のマルウェアキャンペーンを発見しました。 
PhoneSpyは、機密情報を盗み、スパイし、デバイスへのリモートアクセスを取得するたの、Androidアプリです。
不正なアプリケーションは、ヨガを学び、写真を表示するための無害なユーティリティになりすましています。
さらに、このマルウェアはGoogle Playストアや非公式のアプリストアから独立しており、ハッカーがソーシャルエンジニアリングやWebトラフィックのリダイレクトを使用していることを示しています。


サイバー攻撃事例⑧
◆被害者:macOSコンピューター
◆攻撃者:不明
◆被害内容:macOSコンピューターをバックドアに感染
政府から資金提供を受けているハッカーは、香港の政治ニュースサイトを使用して、これまで知られていなかった1つを含む、2つの脆弱性のバンドルを悪用してmacOSコンピューターをバックドアに感染させました。
攻撃者は脆弱性を悪用し、攻撃されたmacOSのスーパーユーザー権限を取得し、MACMAまたはOSX.CDDSマルウェアをダウンロードしてインストールしました。
これまでにないこのマルウェアには、バックドア機能とスパイウェア機能の両方が実装されています。


サイバー攻撃事例⑨
◆被害者:サイバーセキュリティ研究者
◆攻撃者:北朝鮮のサイバー犯罪グループLazarusGroup
◆被害内容:ハッカーは人気のあるリバースエンジニアリングアプリケーションIDAProのトロイの木馬バージョンを使用しています。
このアプリケーションは、実行可能ファイルをアセンブリ言語に変換し、研究者やプログラマーがプログラムのパフォーマンスを分析して潜在的なエラーを検出できるようにしています。
セキュリティ研究者は通常、IDAを使用して、正当なソフトウェアの脆弱性とマルウェアを分析し、悪意のある動作を特定します。
ただし、IDA Proは高価なアプリケーションであり、一部の研究者は海賊版のハッキングされたバージョンをダウンロードしています。
他の海賊版ソフトウェアと同様に、悪意のある実行可能ファイルが起動されるリスクが常にあります。


サイバー攻撃事例⑩
◆被害者:Aruba Centralネットワーク監視プラットフォーム
◆攻撃者:不明
◆被害内容:Aruba Centralネットワーク監視プラットフォームのデータリポジトリが侵害され、攻撃者がユーザーデバイスに関して収集されたデータにアクセスできるようになりました。 
Aruba Centralは、管理者が単一のペインから大規模なネットワークとコンポーネントを管理できるようにするクラウドベースのネットワーキングソリューションです。 
攻撃者はArubaCentral環境に保存されているすべてのユーザーデータを表示するために使用できる「パスキー」を入手しました。
キーは18日間(2021年10月9日から10月27日まで)ハッカーが所有していたため、HPEはそれを取り消しました。


TeamTNTサイバー犯罪グループについて
トレンドマイクロのスペシャリストが、TeamTNTサイバー犯罪グループが誤って構成されたDockerサーバーを攻撃する新しい悪意のあるキャンペーンについて次のように述べています。 
犯罪者には3つの異なる目標があります-Monero暗号通貨マイナーをインストールすること、利用可能な他の脆弱なDockerインストールをWebでスキャンすること、そしてコンテナーをエスケープしてメインネットワークにアクセスすることです。


◆まとめ
本当に毎週世界ではいろいろなサイバーセキュリティのインシデントが発生しています。あるグループが閉鎖したとしても、攻撃者が利益が得られる以上、なくなることはありませんね。2020年にEmotetは閉鎖されたのですが、復活の兆しがあるとのことです。メールにはしばらく注意を払う必要がありますね。