今週の総括

・ MS-SQL および PHPMyAdmin を狙ったコインマイニング
・Docker の脆弱性を狙った攻撃の観測

今週は標的型攻撃の情報等が多く、特に APT10 のブログ記事が出ていたので深掘りしたかったんですが、仕事で時間がとれず。。

blog.ensilo.com

from フィリピンってなってるのは、検体の submitter がフィリピンだから？
27.102.**.** の IP って APT10 のインフラなんだっけ？
PlugX とか Quasar RAT が最近はまた使われるようになったの？

みたいな辺りが気になってます(笑)

ではでは、本題の方へ進みます。

感想

MS-SQL および PHPMyAdmin を狙ったコインマイニング

50,000 以上の MS-SQL および PHPMyAdmin が中華系のハッカーに侵害されており、TurtleCoin をマイニングする攻撃キャンペーン Nansh0u に利用されているとのことです。

https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/www.guardicore.com

脆弱性を悪用したツールを用いたもの
被害企業は医療、通信、メディア、ITなど
偽造証明書の使用や権限昇格を利用する手法が APT で使われるようなての混んだもので、単なるマイニング攻撃ではないと筆者は言っている
感染数はここ1ヶ月で急増している

記事の中では、攻撃者が利用するインフラと落ちてくるモジュール、保有する機能なども述べられているので興味ある方は読んでみると面白いと思います。

マイニングマルウェアの感染は気づきにくい一方で、感染者もリソースが使われる程度の影響。
といった印象を受けますが、その感染の過程はがっつりシステムが侵害されている場合が多々あります。

攻撃者からしてみればマイニングマルウェアに感染させてその採掘量から逆算すれば攻撃の有効性のいいベンチマークになると思いますが。

真の狙いは別にあったり。

みたいに考えたりしてます(笑)

Docker の脆弱性を狙った攻撃の観測

Docker の脆弱性は昨年からちょこちょこ出ており、2月には runc の脆弱性が少し話題になりましたね。

www.jpcert.or.jp

今回の未修整の脆弱性が公開されたとのことで、記事によると、既に攻撃の実証コードが公開されているとのことでした。

www.bleepingcomputer.com

今回の脆弱性は、time-to-check-time-to-use (TOCTOU) という手法を用いたものの様です。
具体的には、FollowSymlinkInScope という関数を呼び出す際、リソースの競合状態を引き起こして、悪性なリソースパスを攻撃者が埋め込めてしまうとのことです。
これにより、最終的に root 権限の奪取が可能になるとのことです。

SUSE Linux のエンジニアによると、AppArmor にて、Docker デーモンを制御していないと影響を受けると言われています。

ってことは逆を言えば、AppArmor 有効にしていたら影響受けないのかな？なんてことも思いつつ。

これだけ docker の脆弱性が話題になり始めたのも流行ってきた証拠ですかね。
今後の情報に注目です。

ここからは、一週間のまとめなので、ざっと流し読みしていただければと。量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン

Maze Ransomware Says Computer Type Determines Ransom Amount https://t.co/OJHzY8E8qB
Unpatched Flaw Affects All Docker Versions, Exploits Ready https://t.co/bs0FAAew71
A dive into Turla PowerShell usage https://t.co/pajUKpponb
マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 https://t.co/m4Rccq5RxV
Shade Ransomware is very active outside of Russia and targets more English-speaking victims https://t.co/z4v0rOY43n
「データを暗号化する標的型攻撃」が表面化、2019年第1四半期の脅威動向を分析 https://t.co/MHLthRHao6
UNCOVERING NEW ACTIVITY BY APT10 https://t.co/lqzbu7md46
Chinese APT10 Hackers Attack Government and Private organizations https://t.co/Dr40khBf3P via @GbhackerOn
マルウエアTSCookieの設定情報を正常に読み込めないバグ（続報） https://t.co/IovvVg2mkM

脆弱性・アップデート関連

Apple Releases Security Updates for AirPort Extreme, AirPort Time Capsule https://t.co/Bolqb9KPv0
Critical Vulnerability Patched in Popular Convert Plus Plugin https://t.co/ku3040wwQT
Wordpress Slick Popup Plugin Contains Vulnerable Support Backdoor https://t.co/wtEoyenZm4
Privilege Escalation Flaw Present In Slick Popup Plugin https://t.co/x2SWy2JNfM @wordfenceから
CVE-2019-0725: An Analysis of Its Exploitability https://t.co/2bLq5iAK5H
.htaccess Injector on Joomla and WordPress Websites https://t.co/3p6e3Fz2ac @sucurisecurityから
Errata Security: Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708) https://t.co/FWRQCzMYxN

インシデント関連

Sodinokibi Ransomware Pushed via Foreclosure Warning Spam https://t.co/ddAQRzU1zI
85.4GB Database Exposes Hotels' Internal Security Information https://t.co/gYLnezB5rR
佐世保共済病院のマルウェア感染についてまとめてみた https://t.co/dCMG78CLit
Over 2.3 billion files exposed online https://t.co/YHb3HjYOkG
A lawsuit has been filed over the First American Financial data breach that was revealed on Friday https://t.co/KVQsHoJw8Y @technologyから
Aussie fashion e-tailer Princess Polly suffers data breach https://t.co/mW8aigwDpO
Realtek SDK Exploits on the Rise from Egypt | NETSCOUT https://t.co/HBVlDJYCkz @NETSCOUTから
Phishing Email States Your Office 365 Account Will Be Deleted https://t.co/zbSClHbD89
POS Malware Steals Payment Info From 103 Checkers Restaurants https://t.co/ME0Ymdcq7N
10 years of virtual dynamite: A high-level retrospective of ATM malware https://t.co/0Lf2WTE9pu
Infected Cryptocurrency-Mining Containers Target Docker Hosts With Exposed APIs, Use Shodan to Find Additional Vict… https://t.co/fdyGEVAq0X
Cops say NZ Treasury site wasn't actually hacked after Budget leaked https://t.co/R2KRkert7z
YouTube Cryptocurrency Videos Pushing Info-Stealing Trojan https://t.co/cBfnfKgh5b
ヤマダ電機通販サイトの不正アクセスについてまとめてみた https://t.co/NT7NzpdFXv
ヤマダ電機、個人情報流出か　最大3万7千件: 日本経済新聞 https://t.co/1WeDBQWW7i
The Nansh0u Campaign: Hackers Arsenal Grows Stronger | Guardicore Labs https://t.co/IMwzRHhhzF
News aggregator app Flipboard hacked; user data stolen https://t.co/Gc8aQyrMlP
Notice of Security Incident https://t.co/r26dwsW8n9
MS-ISAC Highlights Verizon Data Breach Report Release https://t.co/aw4vz0R9RK
Vic public health 'highly vulnerable' to Singapore-like data breach https://t.co/v908mH41MA
Australian tech unicorn Canva suffers security breach https://t.co/VUCiULPFsD @ZDNet & @campuscodiから
Office 365 phishing https://t.co/FVZzRqMzjk @ciscosecurityから
DuckDuckGo Android Browser Vulnerable to URL Spoofing Attacks https://t.co/NgWIMtFz5B
Tech-Support Scammers Cheat Elder of $136,000, Risk Decades in Jail https://t.co/dseKWFDKFR
YouTuber hacks fingerprint scanner of OnePlus 7 Pro using hot glue https://t.co/safxJWKVUJ
New Bitcoin Scam Leads to Ransomware and Info-Stealing Trojans https://t.co/A8a1xwuOPr
Sectigo Responds to Chronicle's Report About Malware Signed by Their Certs https://t.co/gYeq5lY5XP
New unpatched macOS Gatekeeper Bypass Published Online https://t.co/LwtLVtIEwO
全国で発生した電子マネーやギフトカードのシステム障害についてまとめてみた https://t.co/US4F6qp97g
Directed attacks against MySQL servers deliver ransomware https://t.co/5Mf326fKL4