今週のIT・サイバーニュースまとめ(20190714-20190720)
今週の総括
Office365の偽サイト経由でTrickbotに感染させる攻撃の観測
Telegramの偽アプリ(マルウェア)の観測
2019年はじめ、Turlaの攻撃
今週の記事まとめです。
早速ですが、皆さん、選挙には行きましたか?
僕は期日前投票でちょうど昨日行ってきたのですが、投票用紙に名前を書くときの鉛筆の質感がなんともいいですよね(笑)
それはそうと、いつになったらオンライン投票できるようになるのでしょうか。
いくらでもやり方はある気がしますが、まぁ「セキュリティが…」みたいな感じでごねてるんでしょうね。
若者の投票率をあげるのもそうですが、投票所に肩を支えられながら投票に向かうお年寄りの姿を見ていると、なんだか可愛そうな気がします。
「テクノロジーで社会を豊かにする」こんなことをよく耳にしますが、なんとも。
とりあえず、始めることが大事だと、個人的には思います。
そんな中、総務省から実証実験のニュースがリリースされていきました。
遅いようにも感じますが、まずは一歩目。
早め早めの施行を期待したいですね。
冒頭から暑苦しくてすみませんが、今週のまとめです(笑)
今回は特段、日本特有であったり、ユーザの影響範囲が広いような記事はなかったためボリュームは少な目です。
感想
Office365の偽サイト経由でTrickbotに感染させる攻撃の観測
Office365の偽サイトのリンクをクリックするとChromeやFirefoxのアップデートを誘導され、アップデートリンクにアクセスすると、upd365_58v01.exeがダウンロードされます。
これがマルウェアTrickbotです。
Trickbotは金銭の窃取を目的として使われることで知られており、これまでも膨大な数のメールアカウントが乗っ取られているとされています。
マルウェアの拡散方法として、Wannacry騒ぎで有名になったSMBを悪用しているケースも確認されています。
ただし、Wannacryの時に使われたエクスプロイトキットEternalBlueを用いたものではないとPaloAltoの記事では述べられています。
日本国内においても、Invoiceなどのメールタイトルでマルウェア付きメールが送信されていることが確認されています。
以下のLAC社のレポートやセキュリティリサーチャーのブログやTwitterで多数報告されているので、ご確認いただくとよいと思います。
Telegramの非公式アプリ(マルウェア)の観測
MobonoGramという名のTelegramの非公式アプリから、バックグラウンドで悪性サイトにアクセスしていることが確認されました。
なぜ非公式アプリを?と思うところかと思います。
実はTelegramの利用が禁止されているロシアやイランなどの地域では、今回の件のように非公式アプリが存在することがあります。
今回の件は、非公式アプリに存在するセキュリティ上のリスクを改めて認識せざるを得ない、よい例だったと感じています。
トランプ大統領や金委員長を揶揄するTurlaの攻撃
国際的なサイバースパイグループTurlaによる2019年の攻撃観測記事が公開されました。
Turlaは別名Venomous Bear と言われているくらいなので、ロシアの攻撃グループだと思われています。
ただし、あくまで攻撃グループがロシア語を使っているというだけなので、断言はできません。
現に、本記事も、ロシア発のセキュリティベンダーKasperskyから出ています。
少なくともAPT28、通称Sofacyのような、ロシア政府の支援を受けているとされている攻撃グループとは一線を画すものだと個人的には推測しています。
https://www.fireeye.jp/current-threats/apt-groups/rpt-apt28.html
筆者の知る限りでは、これまでにTurlaによる日本への攻撃は観測されていない認識です。
今回の観測では、通信の暗号鍵にTrumpTowerという言葉を使用したり、 RocketMan!という言葉をC2サーバの疎通確認用に使っていることが確認されています。
これは明らかにトランプ大統領や金委員長をおちょくったメッセージだと思われます。
当該攻撃キャンペーンは2019年の始めに観測されたとのことなので、この時期だと初の会談を行った2018年6月からは離れています。
個人的には、攻撃者の遊び心やテスト程度にみていますが、こういった断片情報も標的型攻撃では重要になってくるので、今後も要注意ですね。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
Hard Pass: Declining APT34’s Invite to Join Their Professional Network https://t.co/WYa8E8tRWG
Threat Spotlight: Sodinokibi ransomware attempts to fill GandCrab void https://t.co/biU7YaASJc
Nation-Backed Hackers Targeted 10,000 Microsoft Customers https://t.co/9jSq0ubDuI
Okrum: Ke3chang group targets diplomatic missions https://t.co/4dnMY0uS2A
EvilGnome: Rare Malware Spying on Linux Desktop Users https://t.co/ciMgKq5WHF
Newly identified StrongPity operations https://t.co/hE6ZcSMgT1
Meet Extenbro, a new DNS-changer Trojan protecting adware https://t.co/VxYls6ozAM @Malwarebytesから
SLUB Gets Rid of GitHub, Intensifies Slack Use https://t.co/VFhNjsQyRu
FBI Releases Master Decryption Keys for GandCrab Ransomware https://t.co/pHwO4Fsy8a
Unofficial Telegram App Secretly Loads Infinite Malicious Sites https://t.co/Zcc2rxLxiQ
Turla renews its arsenal with Topinambour: https://t.co/1SU5Rxkmi9 @Securelistより
SWEED: Exposing years of Agent Tesla campaigns https://t.co/aEIDjTDXfR
BitPaymer Source Code Fork: Meet DoppelPaymer Ransomware and Dridex 2.0 https://t.co/Ftu315dGIw
脆弱性・アップデート関連
Drupal core - Critical - Access bypass - SA-CORE-2019-008 https://t.co/Sw0ymKKat7
VU#790507: Oracle Solaris vulnerable to arbitrary code execution via /proc/self https://t.co/QTIpBBrQjJ
Microsoft Patches PowerShell Core Security Bug to Fix WDAC Bypass https://t.co/FZ11TtJhLb
Oracle Releases July 2019 Security Bulletin https://t.co/RavSCUG956
Zoom RCE Flaw Also Affects Its Rebranded Versions RingCentral and Zhumu https://t.co/joEgSjqKio @TheHackersNewsより
Critical Vulnerability Patched in Ad Inserter Plugin https://t.co/zwUUjVF8pA
How I Could Have Hacked Any Instagram Account https://t.co/wEas0Kvlxh @The Zero Hackより
VU#129209: LLVMs Arm stack protection feature can be rendered ineffective https://t.co/r89MoHr1bz
Stable Channel Update for Desktop https://t.co/Y6v8UJjLl7
インシデント関連
Hackers breach 62 US colleges by exploiting ERP vulnerability | ZDNet https://t.co/PVNMOqS7ZG
d払いの不正使用投稿についてまとめてみた https://t.co/Vs0XbZITnC
iNSYNQ Cloud Hosting Provider Hit by Ransomware Attack https://t.co/Y7P5NAUUPc
Old Tools for New Money: URL Spreading Shellbot and XMRig Using 17-year old XHide https://t.co/uIjlgrinC7
With FaceApp in the spotlight, new scams emerge https://t.co/0ZNbVfhXeX
Slack data breach: Company resets thousands of passwords https://t.co/WAx076sxPT @hackreadから
Fake Office 365 Site Pushes Trickbot Trojan as Browser Update https://t.co/ory5HDgc4C
Spam Campaign Targets Colombian Entities with Custom-made ‘Proyecto RAT,’ Uses Email Service YOPmail for C&C https://t.co/Fx5b4M9LMb
Breach at Bulgaria's Tax Agency Exposed Data of Over 70% Citizens https://t.co/StHRO4dV4n
Real-Time Location of Millions Exposed by Mobile Loan Apps https://t.co/mP2hwiVnCe
Stalkerware Apps on Google Play Installed Over 130,000 Times https://t.co/XoPYWsfihq
How Fitbits, Other Bluetooth Devices Make Us Vulnerable to Tracking https://t.co/arF5wkSNa6
Russian FSB Intel Agency Contractor Hacked, Secret Projects Exposed https://t.co/OkSJKpGRPU
Hackers steal millions of Bulgarians' financial data https://t.co/wD46EJAkl9
Hackers used Samsung website to access Sprint’s customer data https://t.co/4BElqCqwUb @hackreadから
This Phishing Attacker Takes American Express—and Victims’ Credentials https://t.co/hUoZDJqQNS @cofenseから
Evite Invites Over 100 Million People to Their Data Breach https://t.co/cFqUMeZYIf
La Porte County Pays $130,000 Ransom To Ryuk Ransomware https://t.co/AV33g8lQxQ
ビジネス・政治・レポート
スマホで投票、参院選後に実証実験 https://t.co/ajec7TA0Pb @Sankei_newsから
欧州委、アマゾンを調査 販売業者のデータ利用巡り: 日本経済新聞 https://t.co/hXZ7wHIPRH
Cracked Tesla 3 Windshield Leads to $10,000 Bug Bounty https://t.co/NNPZvrevY4
国内で1574人、総額3240万円の被害 拡大も セブンペイ不正利用 - 毎日新聞 https://t.co/cdnmi8j8To
ビットポイント仮想通貨流出、被害5万人に https://t.co/52uOMDWtum @sanspocomから
スマホでファストパス、23日から導入 ランドもシーも:朝日新聞デジタル https://t.co/5pR8D7KipH
日産自動車:スカイラインに自動走行機能 高速道で - 毎日新聞 https://t.co/QsjIs0M8xK
ファーウェイ、伊に13億ドル投資へ 5G構築で公正対応も要請 | Article [AMP] | Reuters https://t.co/qslyvXWAy3
米財務長官「リブラ、悪用される恐れ」 FB側は「承認まで発行せず」 - 毎日新聞 https://t.co/5pfv2pwOkS
お知らせ:Jpcert/Cc インターネット定点観測レポート [2019年4月1日~2019年6月30日] https://t.co/ulTrjyLbBO
暗号資産の急速な普及に警鐘…IMFが報告書 : 経済 : 読売新聞オンライン https://t.co/4xLMrnBZEd
最後に
今週は、京都アニメーションの放火事件がとても衝撃的でした。
業界は違いますが、何人もの優秀なクリエイターの命が一瞬にして奪われてしまったことに対して、とても心が痛みます。
同社の作品を見たことはないのですが、自分自身、芸術にはとても憧れがあり、映像や音楽などを通して世界中の人々を感動させている方々を尊敬しています。
そんな稀有な才能を持った方々への敬意を示しつつ、心からご冥福をお祈りします。