Week in review - 2024/04 week04

Week in reviewは、毎週の振り返りです。
ニュース情報などから今週気になったことなどに対し、その内容と所感を書いていきます。

対象期間

以下期間における週の振り返りです。

• 2024年04月20日 ～ 2024年04月27日
  Note: ずれてたので1日多くしてます

---

レポート内容

3 Topics

今週のニュースの中で、3つ特に注目したトピックを選びました。

1. CoralRaider、CDNキャッシュを利用して情報窃取マルウェアを拡散

2. 北朝鮮のLazarusグループが新しいKaolin RATを偽の求人情報で展開

3. ハッカーは発展途上国でランサムウェアの練習をしている

それぞれ、以下に個別に書いていきます。

CoralRaider、CDNキャッシュを利用して情報窃取マルウェアを拡散

https://www.bleepingcomputer.com/news/security/coralraider-attacks-use-cdn-cache-to-push-info-stealer-malware/

• dailynewsの情報

  • CoralRaiderがCDNキャッシュドメインを利用しマルウェアを配布。

  • CoralRaiderが3種の情報窃取マルウェアを使用。TalosはCoralRaiderによるものと中程度のconfidenceで判断。

    • Cryptbot、LummaC2、Rhadamanthysの3種

  • CoralRaiderは、金銭目的のアクターであり、ベトナム出身であると考えらえる。

  • 米国、英国、ドイツ、日本など、複数国で被害。攻撃は継続中。

  • PowerShellスクリプトとFoDHelper.exeを活用。Powershellスクリプトで防御機構を回避。

  • Windows Defenderの監視を回避。

  • インフェクションチェーン

    • .zip > .lnk > powershell(fileless) --- download html app > .hta > powershell(fileless) --- download payload > .exe

所管

マルウェアは全てコモディティのマルウェアを利用、金銭目的のアクターであると考えるとサイバークライム系なのかな？という気がしますね。(かなり雑な感想ですが)
最初の分析情報で、攻撃に使ったTelegram Botからかなりの分析をされてしまっていることからも、そのように感じます。

攻撃については結構一般的には思いますが、CDNエッジにマルウェアをホスティングするという点は、あまり聞いたことがなかったです。
ほとんどが「b-cdn[.]net」で、Bunny CDNというサービスのようです。
ログクラウドなど、情報窃取型マルウェアによって金銭を得る市場はかなり広がっていますので、こういう攻撃キャンペーンは増加するのではないか、とは感じています。

北朝鮮のLazarusグループが新しいKaolin RATを偽の求人情報で展開

https://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.html

• dailynewsの情報

  • LazarusグループがKaolin RATを使用

  • 被害者と何らかのプラットフォームで接触し、偽の求人情報を掲示。面接等を通して各種ツールやマルウェアを配布

  • Kaolin RATはメモリ内で動く。

  • RATは複数段階の攻撃プロセスを実行し、主にファイル操作とプロセス管理機能を有する

  • Kaolin RATはFudModule rootkitの展開も行っていた

  • 偽の求人広告がOperation Dream Jobが使用されている

  • henraux[.]comを侵害し、マルウェアをホストしていた

所管

いわゆるOperation Dream Jobの1つですね。最近、セキュリティの求人が減少しているという記事も出ていました。
景気の問題でしょうが、こういう不景気になると、さらに効果が上がるのではないか、という懸念もしています。
また、この期間では同じように求職者を狙った攻撃キャンペーン「Dev Popper」という攻撃が観測されています。この攻撃、Lazarus以外もできるソーシャルエンジニアリング攻撃ですからね。これからさらに広がるのでは、という懸念を感じています。

• 参考

  • 米国におけるサイバーセキュリティ職の求人急減

  • 偽の面接を通じた開発者への新しいPythonバックドアの配布

ハッカーは発展途上国でランサムウェアの練習をしている

https://arstechnica.com/security/2024/04/hackers-are-carrying-out-ransomware-experiments-in-developing-countries/

• dailynewsの情報

  • アフリカ、アジア、南アメリカの企業が最初の標的

  • 攻撃者はこれらの国で試行錯誤し、成功した攻撃手法を使って、より価値の高い北米やヨーロッパの国を攻撃する

  • 最近のランサムウェアの標的として、セネガル、チリ、コロンビア、アルゼンチンが被害にあったが、これは予行演習の一環だったと指摘

  • 攻撃はデジタル化の速度がセキュリティ対策の整備を上回る国々で特に顕著

  • サイバー攻撃は新型コロナウイルス感染症のパンデミック以前と比べてほぼ2倍に増加しており、IMFは発展途上国での急速なデジタル化がサイバー攻撃リスクを増加させたと一因として報告

所管

言われてみればそうだろうな、と思わせる話ですね。セキュリティ上で弱い組織を狙う、という点では従来通りとも思います。
ただ、この件で1つ思うのは、先進国でランサムウェアへの身代金支払い率が減少していることも関係しているかもしれない、と感じます。そのため、ガバナンスがまだ緩いであろう対象を狙っている可能性があるのでは、と考えています。

• 参考

  • ランサムウェアの支払いが2024年第1四半期に記録的な低水準、28％に減少

---

other topics

• 2024年1Qのセキュ相談、「サポート詐欺」「不正ログイン」が過去最多

• GitHubのコメントが悪用され、MicrosoftのリポジトリURLを介してマルウェアが拡散

• ArcaneDoorハッカー、政府ネットワーク侵入にCiscoのゼロデイを利用

その他

今週はその他で書くことはありません。
休みの間はAWSをもうちょっと勉強してしっかりAWSマスターになっておきたいと思います。

最後に

よいGWを。私は最初っからかなり腹を壊してきつい日常です。