今週の総括

• Office365の偽サイト経由でTrickbotに感染させる攻撃の観測

• Telegramの偽アプリ(マルウェア)の観測

• 2019年はじめ、Turlaの攻撃

---

今週の記事まとめです。

早速ですが、皆さん、選挙には行きましたか？

僕は期日前投票でちょうど昨日行ってきたのですが、投票用紙に名前を書くときの鉛筆の質感がなんともいいですよね(笑)

それはそうと、いつになったらオンライン投票できるようになるのでしょうか。

いくらでもやり方はある気がしますが、まぁ「セキュリティが…」みたいな感じでごねてるんでしょうね。

若者の投票率をあげるのもそうですが、投票所に肩を支えられながら投票に向かうお年寄りの姿を見ていると、なんだか可愛そうな気がします。

「テクノロジーで社会を豊かにする」こんなことをよく耳にしますが、なんとも。

とりあえず、始めることが大事だと、個人的には思います。

そんな中、総務省から実証実験のニュースがリリースされていきました。

www.sankei.com

遅いようにも感じますが、まずは一歩目。

早め早めの施行を期待したいですね。

冒頭から暑苦しくてすみませんが、今週のまとめです(笑)

今回は特段、日本特有であったり、ユーザの影響範囲が広いような記事はなかったためボリュームは少な目です。

---

感想

Office365の偽サイト経由でTrickbotに感染させる攻撃の観測

Office365の偽サイトのリンクをクリックするとChromeやFirefoxのアップデートを誘導され、アップデートリンクにアクセスすると、upd365_58v01.exeがダウンロードされます。

これがマルウェアTrickbotです。

www.bleepingcomputer.com

Trickbotは金銭の窃取を目的として使われることで知られており、これまでも膨大な数のメールアカウントが乗っ取られているとされています。

forbesjapan.com

マルウェアの拡散方法として、Wannacry騒ぎで有名になったSMBを悪用しているケースも確認されています。

ただし、Wannacryの時に使われたエクスプロイトキットEternalBlueを用いたものではないとPaloAltoの記事では述べられています。

www.paloaltonetworks.jp

日本国内においても、Invoiceなどのメールタイトルでマルウェア付きメールが送信されていることが確認されています。

以下のLAC社のレポートやセキュリティリサーチャーのブログやTwitterで多数報告されているので、ご確認いただくとよいと思います。

www.lac.co.jp

---

Telegramの非公式アプリ(マルウェア)の観測

MobonoGramという名のTelegramの非公式アプリから、バックグラウンドで悪性サイトにアクセスしていることが確認されました。

www.symantec.com

なぜ非公式アプリを？と思うところかと思います。

実はTelegramの利用が禁止されているロシアやイランなどの地域では、今回の件のように非公式アプリが存在することがあります。

今回の件は、非公式アプリに存在するセキュリティ上のリスクを改めて認識せざるを得ない、よい例だったと感じています。

---

トランプ大統領や金委員長を揶揄するTurlaの攻撃

国際的なサイバースパイグループTurlaによる2019年の攻撃観測記事が公開されました。

securelist.com

Turlaは別名Venomous Bear と言われているくらいなので、ロシアの攻撃グループだと思われています。

ただし、あくまで攻撃グループがロシア語を使っているというだけなので、断言はできません。

現に、本記事も、ロシア発のセキュリティベンダーKasperskyから出ています。

少なくともAPT28、通称Sofacyのような、ロシア政府の支援を受けているとされている攻撃グループとは一線を画すものだと個人的には推測しています。

https://www.fireeye.jp/current-threats/apt-groups/rpt-apt28.html

筆者の知る限りでは、これまでにTurlaによる日本への攻撃は観測されていない認識です。

今回の観測では、通信の暗号鍵にTrumpTowerという言葉を使用したり、 RocketMan!という言葉をC2サーバの疎通確認用に使っていることが確認されています。

これは明らかにトランプ大統領や金委員長をおちょくったメッセージだと思われます。

当該攻撃キャンペーンは2019年の始めに観測されたとのことなので、この時期だと初の会談を行った2018年6月からは離れています。

個人的には、攻撃者の遊び心やテスト程度にみていますが、こういった断片情報も標的型攻撃では重要になってくるので、今後も要注意ですね。

---

ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン

• Hard Pass: Declining APT34’s Invite to Join Their Professional Network https://t.co/WYa8E8tRWG

• Threat Spotlight: Sodinokibi ransomware attempts to fill GandCrab void https://t.co/biU7YaASJc

• Nation-Backed Hackers Targeted 10,000 Microsoft Customers https://t.co/9jSq0ubDuI

• Okrum: Ke3chang group targets diplomatic missions https://t.co/4dnMY0uS2A

• EvilGnome: Rare Malware Spying on Linux Desktop Users https://t.co/ciMgKq5WHF

• Newly identified StrongPity operations https://t.co/hE6ZcSMgT1

• Meet Extenbro, a new DNS-changer Trojan protecting adware https://t.co/VxYls6ozAM @Malwarebytesから

• SLUB Gets Rid of GitHub, Intensifies Slack Use https://t.co/VFhNjsQyRu

• FBI Releases Master Decryption Keys for GandCrab Ransomware https://t.co/pHwO4Fsy8a

• Unofficial Telegram App Secretly Loads Infinite Malicious Sites https://t.co/Zcc2rxLxiQ

• Turla renews its arsenal with Topinambour: https://t.co/1SU5Rxkmi9 @Securelistより

• SWEED: Exposing years of Agent Tesla campaigns https://t.co/aEIDjTDXfR

• BitPaymer Source Code Fork: Meet DoppelPaymer Ransomware and Dridex 2.0 https://t.co/Ftu315dGIw

---

脆弱性・アップデート関連

• Drupal core - Critical - Access bypass - SA-CORE-2019-008 https://t.co/Sw0ymKKat7

• VU#790507: Oracle Solaris vulnerable to arbitrary code execution via /proc/self https://t.co/QTIpBBrQjJ

• Microsoft Patches PowerShell Core Security Bug to Fix WDAC Bypass https://t.co/FZ11TtJhLb

• Oracle Releases July 2019 Security Bulletin https://t.co/RavSCUG956

• Zoom RCE Flaw Also Affects Its Rebranded Versions RingCentral and Zhumu https://t.co/joEgSjqKio @TheHackersNewsより

• Critical Vulnerability Patched in Ad Inserter Plugin https://t.co/zwUUjVF8pA

• How I Could Have Hacked Any Instagram Account https://t.co/wEas0Kvlxh @The Zero Hackより

• VU#129209: LLVMs Arm stack protection feature can be rendered ineffective https://t.co/r89MoHr1bz

• Stable Channel Update for Desktop https://t.co/Y6v8UJjLl7

---

インシデント関連

• Hackers breach 62 US colleges by exploiting ERP vulnerability | ZDNet https://t.co/PVNMOqS7ZG

• d払いの不正使用投稿についてまとめてみた https://t.co/Vs0XbZITnC

• iNSYNQ Cloud Hosting Provider Hit by Ransomware Attack https://t.co/Y7P5NAUUPc

• Old Tools for New Money: URL Spreading Shellbot and XMRig Using 17-year old XHide https://t.co/uIjlgrinC7

• With FaceApp in the spotlight, new scams emerge https://t.co/0ZNbVfhXeX

• Slack data breach: Company resets thousands of passwords https://t.co/WAx076sxPT @hackreadから

• Fake Office 365 Site Pushes Trickbot Trojan as Browser Update https://t.co/ory5HDgc4C

• Spam Campaign Targets Colombian Entities with Custom-made ‘Proyecto RAT,’ Uses Email Service YOPmail for C&C https://t.co/Fx5b4M9LMb

• Breach at Bulgaria's Tax Agency Exposed Data of Over 70% Citizens https://t.co/StHRO4dV4n

• Real-Time Location of Millions Exposed by Mobile Loan Apps https://t.co/mP2hwiVnCe

• Stalkerware Apps on Google Play Installed Over 130,000 Times https://t.co/XoPYWsfihq

• How Fitbits, Other Bluetooth Devices Make Us Vulnerable to Tracking https://t.co/arF5wkSNa6

• Russian FSB Intel Agency Contractor Hacked, Secret Projects Exposed https://t.co/OkSJKpGRPU

• Hackers steal millions of Bulgarians' financial data https://t.co/wD46EJAkl9

• Hackers used Samsung website to access Sprint’s customer data https://t.co/4BElqCqwUb @hackreadから

• This Phishing Attacker Takes American Express—and Victims’ Credentials https://t.co/hUoZDJqQNS @cofenseから

• Evite Invites Over 100 Million People to Their Data Breach https://t.co/cFqUMeZYIf

• La Porte County Pays $130,000 Ransom To Ryuk Ransomware https://t.co/AV33g8lQxQ

---

ビジネス・政治・レポート

• スマホで投票、参院選後に実証実験 https://t.co/ajec7TA0Pb @Sankei_newsから

• 欧州委、アマゾンを調査　販売業者のデータ利用巡り: 日本経済新聞 https://t.co/hXZ7wHIPRH

• Cracked Tesla 3 Windshield Leads to $10,000 Bug Bounty https://t.co/NNPZvrevY4

• 国内で1574人、総額3240万円の被害　拡大も　セブンペイ不正利用 - 毎日新聞 https://t.co/cdnmi8j8To

• ビットポイント仮想通貨流出、被害５万人に https://t.co/52uOMDWtum @sanspocomから

• スマホでファストパス、23日から導入　ランドもシーも：朝日新聞デジタル https://t.co/5pR8D7KipH

• 日産自動車：スカイラインに自動走行機能　高速道で - 毎日新聞 https://t.co/QsjIs0M8xK

• ファーウェイ、伊に13億ドル投資へ　５Ｇ構築で公正対応も要請 | Article [AMP] | Reuters https://t.co/qslyvXWAy3

• 米財務長官「リブラ、悪用される恐れ」　FB側は「承認まで発行せず」 - 毎日新聞 https://t.co/5pfv2pwOkS

• お知らせ：Jpcert/Cc インターネット定点観測レポート [2019年4月1日～2019年6月30日] https://t.co/ulTrjyLbBO

• 暗号資産の急速な普及に警鐘…ＩＭＦが報告書 : 経済 : 読売新聞オンライン https://t.co/4xLMrnBZEd

---

最後に

今週は、京都アニメーションの放火事件がとても衝撃的でした。

業界は違いますが、何人もの優秀なクリエイターの命が一瞬にして奪われてしまったことに対して、とても心が痛みます。

同社の作品を見たことはないのですが、自分自身、芸術にはとても憧れがあり、映像や音楽などを通して世界中の人々を感動させている方々を尊敬しています。

そんな稀有な才能を持った方々への敬意を示しつつ、心からご冥福をお祈りします。