今週の総括

• ランサムウェア各地で猛威を振るう
• 北朝鮮のハッキンググループ Lazarus (Hidden Cobra)の活動

今週の記事まとめです。 総括としては、ランサムウェアと Lazarus のトピックを持ってきましたが、一週間全体として、フィッシングの手法の公開なども含め、情報が漏洩したという話が多かったように思います。 メールに添付されるマルウェアの拡張子をまとめたF-Secure のブログなんかも、面白かったかと。

https://labsblog.f-secure.com/2019/05/08/spam-trends-top-attachments-and-campaigns/

感想

ランサムウェア各地で猛威を振るう

世界各地でランサムウェアの感染報道がされています。 去年の今頃は、「ランサムウェアが減って今はコインマイナーの感染が！」みたいな感じだったのに(笑) そもそも仮想通貨の流行が落ち着き始めているのもあって、攻撃者側もやっぱりランサムウェアの利用に戻っているのでしょうか。

最近のランサムウェア関連の攻撃の特徴は主に２つだと考えています。

• 使われるランサムウェアの多様化
• 感染経路の多様化

最近の感染報告を軽くおさらいすると、以下の通りです。 あいまいな表現はすみません。。情報ソースが公開情報しかないもので。

Recorded Furture が今週公表した記事によると、ランサムウェアに感染したとされる169件の報告のうち、種類が特定されたのは40件だとのことでした。 https://www.recordedfuture.com/state-local-government-ransomware-attacks/

今年一年間はランサムウェアがまた流行る感じですかね。 手軽なお金稼ぎとして、しばらくは使われるような気がしています。

北朝鮮のハッキンググループ Lazarus (Hidden Cobra)の活動

今回公表された US-CERT の記事では、Lazarus が使う新たなトンネリングツール ELECTRICFISH が紹介されています。 https://www.us-cert.gov/ncas/analysis-reports/AR19-129A

少々どうでもいいことですが、Hidden Cobra と Lazarus は同じ攻撃グループを差しており、なぜ、US-CERT が Hidden Cobra というかは不明です。 完全に個人の感想ですが、このあたりの、言葉の揺れが引き金で、よく IT 技術者間の会話でぶつかるんですよね(笑) ベストと呼ぶかチョッキと呼ぶかの差みたいなもんで、「なぜここでプライドがぶつかる！？」と日々感じでおります(笑)

US-CERT の記事では、ELECTRICFISH はプロキシサーバに居座って、通信を盗聴するようなツールだと解説されています。

なんとなくですが、現在、北朝鮮の情勢がピリついているのに合わせて、記事を出したような気がしてならないのですが、あまり言及すると、何かが怖いので、この辺でやめておきます(笑)

ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多いと思うので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン

• Fake Pirate Chick VPN Pushed AZORult Info Stealing Trojan https://t.co/zIrATDDIys

• Site Promoting KeePass Password Manager Pushes Malware https://t.co/8HJfRWKE2b

• Jokeroo Ransomware as a Service Pulls an Exit Scam https://t.co/Vs2tZ9mnFm

• North Korean Malicious Cyber Activity https://t.co/YS4cMVH9jW

• Spam Trends: Top attachments and campaigns https://t.co/oJcQQ1jl7W

• Early Findings: Review of State and Local Government Ransomware Attacks https://t.co/QQJvmS4lhC

• Dharma Ransomware Uses AV Tool to Distract from Malicious Activities https://t.co/4uyHE5kAX7

• FIN7.5: the infamous cybercrime rig “FIN7” continues its activities https://t.co/5VhcpO4yNj

• Evil Clippy Makes Malicious Office Docs that Dodge Detection https://t.co/fpkx2Ut0A4

• CVE-2019-3396 Redux: Confluence Vulnerability Exploited to Deliver Cryptocurrency Miner With Rootkit - https://t.co/rhmtwMncJ0

• Turla LightNeuron: An email too far https://t.co/EWSYRTehEN

• SystemdMiner,when a botnet borrows another botnet’s infrastructure https://t.co/AnMMWbBwxH

• Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak https://t.co/RiiA7OV3pE

脆弱性・アップデート関連

• New Intel firmware boot verification bypass enables low-level backdoors https://t.co/h9PmVQzze3

• Security Bulletin: NVIDIA GPU Display Driver - May 2019 https://t.co/2Eu4d4MTxL

• Unpatched Flaw in UC Browser Apps Could Let Hackers Launch Phishing Attacks https://t.co/kX61JMde1G

• Bug in Alpine Linux Docker Image Leaves Root Account Unlocked https://t.co/VMsGfLVVuA

• [Advisory] Unpatched URL Address Bar Spoofing Vulnerability in UC Browser 12.11.2.1184 and UC Browser Mini 12.10.1… https://t.co/ozDz0KUmXV

• TALOS-2019-0777 || Sqlite3 Window Function Remote Code Execution Vulnerability https://t.co/6k8eXq16Wd

• Vulnerable Apache Jenkins exploited in the wild https://t.co/ExY7NKbXlp @SANS_ISCから

• Microsoft Pulls Office Update KB4462238 Due to Freezing Bug https://t.co/bP948kvLeI

• 「PHP」v7がセキュリティに関する問題を修正、「KeePass」v2.42、「Fedora」v30 ほか【ダイジェストニュース】 https://t.co/DZUE6rFnzY

• Androidの2019年5月パッチが公開 ～最高深刻度は“Critical”／ファイルを開くだけで任意コードが実行できるメディアフレームワークの欠陥などを修正 https://t.co/dE1rJvk6oH

• Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007 https://t.co/0hQEBbT3uf

• Cisco Elastic Services Controller REST API Authentication Bypass Vulnerability https://t.co/OUV6g8mXak

• Vulnerability Spotlight: Multiple bugs in several Jenkins plugins https://t.co/hElBEef55u

• Firefox 66.0.4 Released With Fix for Disabled Addons https://t.co/sKq89JQJKO

• PrinterLogic Print Management Software Vulnerabilities https://t.co/NSV3wnCMJ7

インシデント関連

• ウイルス対策企業が3社まとめてハッキングされ30TBのデータが流出、ハッカーは30万ドルで買い手を募集中 - GIGAZINE https://t.co/BHnp8RMb3G

• Freedom Mobile leaked millions of card data with CVV codes in plain text https://t.co/JmOZ9ZcZuV

• Baltimore city government computer network hit by ransomware attack https://t.co/ycNw46WRNO

• Burger King's Online Store for Kids Exposes Customers’ Info https://t.co/U6xjMP7LIu

• Baltimore City Shuts Down Most of Its Servers After Ransomware Attack https://t.co/GjcvZPVN6A

• Scammers Try to Trick YouTubers Into Giving Up Password https://t.co/TLjkNZliV1

• Over 275 Million Records Exposed by Unsecured MongoDB Database https://t.co/d0f8HKU8vT

• Binance Security Breach Update https://t.co/Qyi9vP9vzW

• U.S Indicts Chinese Hackers for Anthem Data Breach https://t.co/hIUE6tV9sN

• Nine Individuals Connected to a Hacking Group Charged With Online Identity Theft and Other Related Charges | USAO-E… https://t.co/TwH9W0b4WF

• Executive hacked competitor’s website to steal students meal preferences https://t.co/RcvvmbV0F0

• Amazon was hit by an "extensive" fraud and unidentified hackers siphoned funds from merchant accounts over 6 months… https://t.co/ncK03mqkQ8

• U.S. Charges Chinese Hacker For 2015 Anthem Data Breach https://t.co/v4lECOBANF

• SilverTerrier – 2018 Nigerian Business Email Compromise https://t.co/FVTiAibWtn

• 偽ＳＭＳ　日本郵便も…不正サイトに誘導 : 国内 : 読売新聞オンライン https://t.co/kYqjR4YPxZ

• Ongoing Credit Card Data Leak https://t.co/wH3d16p6Kg

• 2019 Data Breach Investigations Report https://t.co/V27vVcwaby

• Baltimore's Government Held Hostage by Ransomware Attack https://t.co/FCspe6vN64 @gizmodoから

• Two Israelis arrested in global 'dark' Internet probe https://t.co/d1JAWi1d95

• Ransomware Hits Local Texas and Maryland Authorities https://t.co/jrEdJwlaty

• Popular Online Tutoring Marketplace 'Wyzant' Suffers Data Breach https://t.co/8B3nqrWk99 @TheHackersNewsから

• ［Ｄｉｇｉ　Ｌｉｆｅ］フィッシング詐欺が巧妙化　偽サイトに誘導　手口様々 : ライフ : 読売新聞オンライン https://t.co/bfmFvV53GF

• New Extortion Email Scam Threatens to Release Your Sex Tape https://t.co/pR2pPLBhKK

ビジネス・政治

• 東京オリンピックの観戦チケット申込開始、現在10万人待ち待ち時間約50分【ニュース ―MdN Design Interactive edition―】 https://t.co/HEnPB6pQ4h

• シスコと日立が共同開発したコンバージド インフラストラクチャ、Cisco and Hitachi Adaptive Solutions で、データセンターの近代化を加速 https://t.co/p0R3zNbKDh

• ソフトバンクG「2号ファンドの設立準備」 孫会長表明: 日本経済新聞 https://t.co/6JN5kj09Nr

• トヨタとパナソニック、住宅事業を統合: 日本経済新聞 https://t.co/roxVyIItnR

• 日立「マル情」が初の利益率10％超え、快挙は奇跡か必然か https://t.co/Y0FZiLE2dQ

• 外資規制の業種にＩＴ関連追加 https://t.co/obUo80euCj @kobeshinbunから

• 三菱商事、千代田化工に1800億円支援　三菱UFJ銀と: 日本経済新聞 https://t.co/DQc8TQUWeC

• ＪＡＬ一時システム障害、３２便欠航など影響 : 経済 : 読売新聞オンライン https://t.co/msQLWPOmir

• スマホ部品　中国減速波及…需要先行きに悲観論も : 経済 : 読売新聞オンライン https://t.co/DtnZccKetC

• ソフトバンクがヤフー子会社化　スマホ決済で連携強化: 日本経済新聞 https://t.co/5r6pNRyLlF

• シャープ、5Gスマホのプロトタイプを公開　約3Gbpsの通信に成功 - ITmedia Mobile https://t.co/XcbhaCySpn

• ＡＩでコンテナ作業…港湾に導入へ　荷待ち渋滞解消狙う : 経済 : 読売新聞オンライン https://t.co/E3TDSdtNay

• セブン&アイ、プラ製レジ袋ゼロへ　2030年めど: 日本経済新聞 https://t.co/UH3Glf9f0r

• Amazon to Disable S3 Path-Style Access Used to Bypass Censorship https://t.co/ikWhhsbvKY

• Removing More Coordinated Inauthentic Behavior From Russia | Facebook Newsroom https://t.co/CpzOsTaQ18

最後に

GW が明け、見事に社会復帰を果たしたのかなーなんて思っていますが、やっぱり夜更かしが残っちゃってる今日この頃です。 時差ボケだと思って、徐々に解消していきたいなと思っています。 あー海外行きたいな～ １ヶ月以上もオフィスから外にでない仕事をするのはしんどいですね(笑) では、また来週。