セキュリティ情報‥


このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年
2014年
2015年
2016年

    セキュリティ・メーカー関連
  • ・ Emsisoft : Blog
  • ・ ESET WeLiveSecurity
  • ・ Kaspersky SecureList
  • ・ Websense Security Labs
  • ・ McAfee Blog Central
  • ・ Sophos Naked Secuirty
  • ・ Bitdefender : HOTforSecuirty
  • マスメディア
  • ・ BBC
  • ・ The Washington Post
  • ・ The Gurdian
  • ・ The Register
  • 情報サイト等
  • ・ Graham Cluley
  • ・ Krebs on Security
  • ・ The PC Informant
  • ・ BleepingComputer

【訳者より】 諸般の事情から長らくお休みしていましたが、少しづつになると思いますが始めていきます(2020/10/20)


毒性化されたCCleanerの検索結果は情報窃取マルウェアを拡散する
BleepingComputer : News>Security(2022/06/08)
 パスワード、クレジットカード、仮想通貨ウォレットを盗むマルウェアは、検索結果をWindows最適化プログラムCCleaner Proの海賊版コピーに振り向けることで促進されている。
 この新しいマルウェア拡散キャンペーンは、“FakeCrack”と称され、Avastのアナリストによって発見された。彼らは、顧客の遠隔測定データから平均10,000感染/日の企てを検出しているとレポートしている。この犠牲者の殆どは、フランス、ブラジル、インドネシア、インドである。
 このキャンペーンで拡散されているマルウェアは、個人データ、仮想通貨資産を取得する強力な情報窃取マルウェアであり、インターネット トラフィックをデータ窃取用のプロクシに送る。

Black Hat SEOキャンペーン

 この脅威のアクターは、Googleの検索結果で彼らのマルウェア配布サイトが上位にランクされるようにするためにBlack Hat SEOテクニックに従っている。そのため、多くの人々が毒物が混入された実行ファイルをダウンロードするように欺かれている。
 Avastによって発見されたこの誘惑は、Windowsのシステムクリーナであり、依然として多くのユーザが「持っておくべき」ユーティリティとして考えられているパフォーマンス最適化ツールであるCCleaner Professionalのクラックされたバージョンで発見された。


悪意あるサイトを指し示すGoogle検索結果(画像をクリックすると拡大表示されます)

 このキャンペーンで悪用されている他のソフトウェアとしては、"cracked", "serial key", "product activator", "free download"のキーワードで宣伝されているMicrosoft OfficeとMovavi Video Editorがある。
 この毒性化された検索結果は、ZIPファイルのダウンロードを提供しているランディングページ(【訳注】検索結果や広告などを経由して訪問者が最初にアクセスするページ(DS Magazineより))を表示する幾つかのWebサイトに犠牲者を導く。このランディングページは一般的にfilesend.jp や mediafire.comのような正当なファイル ホスティング プラットフォーム上にホストされている。


マルウェア配布ポータル(画像をクリックすると拡大表示されます)


 このZIPは、“1234”のような脆弱なPINを使用してパスワード保護をしている。これは単に、アンチウィルス検出からペイロードを保護するために存在している。
 このアーカイブ中のファイルは、通常“setup.exe”あるいは“cracksetup.exe”と名付けられているが、Avastは、8つの異なる実行ファイルがこのキャンペーンで使用されていることを確認している。

危険な情報窃取マルウェア

 このマルウェアは、Webブラウザに格納されている情報(アカウント パスワード、保存されているクレジットカード、仮想通貨ウォレット認証のような)を窃取するために犠牲者を欺きインストールさせようとする。
 更に、ウォレット アドレスがコピーされていないかクリップボードを監視し、それらをマルウェア オペレーターの制御下にあるアドレスに置き換えて支払いを迂回させる。 このクリップボードハイジャック機能は、Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, Bitcoin Cashアドレスなど、様々な仮想通貨アドレスで機能する。


クリップボード監視スクリプト(画像をクリックすると拡大表示されます)


 このマルウェアはまた、犠牲者が検出したり認識したりすることがほぼ出来ない中間者攻撃(【訳注】通信者同士の間に第三者が勝手に割り込むタイプの攻撃(日経クロステックより))を使用して仮想通貨マーケットアカウント認証を盗むためにプロクシを使用している。
 「攻撃者は、IPアドレスを設定し悪意あるProxy Auto-Configurationスクリプト(PAC)をダウンロードすることができる」と、「このIPアドレスをシステムに設定することによって、犠牲者がリストされているドメインの何れかにアクセスするたびに、このトラフィックは攻撃者の制御下にあるプロクシサーバにリダイレクトされる」と、Avastはそのレポートで説明している。
 このプロクシのメカニズムは、新しいレジストリキー “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”を追加する。
 犠牲者は、Windows Settings(Windows設定)のNetwork & internet(ネットワークとインターネット)に移動し、“Use a proxy server”(プロクシサーバを使用)オプションをOFFにすることで、これを無効化することができる。
 このキャンペーンは既に広範に拡散しており、感染レートは「高」なので、あらゆる場所からクラックされたソフトウェアをダウンロードしないようにしなさい。たとえGoogle検索で上位にランクされているダウンロードサイトであろうとも。


Windows MSDT 0-Dayの脆弱性用のフリーで非公式のパッチがリリースされた
BleepingComputer : News>Security(2022/06/01)
 'Follina'として知られる緊急の0-Dayの脆弱性を標的にWindowsシステムへの攻撃をブロックするフリーで非公式のパッチが利用可能になっている。
 CVE-2022-30190として追跡され、Microsoft Windows Support Diagnostic Tool (MSDT)リモートコード実行のフローとしてMicrosoftによって説明されるこのバグは、セキュリティアップデートを受け取るまで全てのWindowsのバージョン(Windows 7+、Server 2008+)に影響を与える。
 この0-Dayを成功裏に攻撃できた攻撃者は、呼び出し元アプリケーションの権限で任意のコードを実行することができ、プログラムをインストール、閲覧、変更、データの削除や、ユーザ権限で可能な新しいWindowsアカウントを作成することができる。
 Microsoftは、この激しく悪用されている0-Dayを解決するためのセキュリティアップデートをリリースしていないが、悪意ある攻撃者が脆弱性のあるシステムでコードを実行するために使用するMSDT URLプロトコルを無効化することで攻撃をブロックする緩和策をMicrosoftは公開している。
 悪意あるドキュメントを表示しているときに悪用可能な追加の攻撃ベクトルを削除するためにWindows ExplorerのプレビューペインをOFFに切り替えることが推奨される。

公式の修正が利用可能になるまでシステムを安全にするには

 Follinaセキュリティバグの影響を受ける以下に示す一部のWindowsバージョン用のフリー(非公式)マイクロパッチが、0patchマイクロパッチサービスに出現した。

  • ・ Windows 11 v21H2
    ・ Windows 10 (v1803 ~ v21H2)
    ・ Windows 7
    ・ Windows Server 2008 R2
  •  MSDT URLプロトコル ハンドラを無効にする(Microsoftの推奨方法)代わりに、0patchは、ユーザー提供のパス(現在Windowsスクリプト中に見つからない)のサニタイゼーション(【訳注】Webアプリケーションにおけるセキュリティ対策の1つ。SNSや掲示板から投稿された文字列に含まれる有害な文字・文字列を検知して無害化すること(ITトレンドより))することで、全てのアプリケーションに関してOS全体でWindows診断ウィザードを操作不能にすることを回避している。
     「インストールされているOfficeのバージョンは重要なことではない、また、Officeがインストールされている場合には、他の攻撃ベクトルを介して、この脆弱性は悪用される可能性がある」と、「それ故、我々はms-msdt: URLハンドラが全く登録されていないWindows 7もパッチした」と、0patchの共同創設者Mitja Kolsekは発言している。
     このマイクロパッチをWindowsシステムに配備するには(Microsoftの公式のパッチがリリースされるまで)、0patchにアカウントを登録し、0patchエージェントをインストールしなければならない。
     このエージェントを起動すると、ローカルセキュリティポリシーが、このエージェントを妨げない限り、このパッチは自動的にダウンロードされ適用される。

    進行中の攻撃で悪用されている

     月曜日、企業向けセキュリティ企業Proofpointは、中国に関連しているTA413ハッキンググループが、彼らのお気に入りのターゲット(チベット人ディアスポラ反対派、【訳注】チベット人ディアスポラとは. 難民は故郷たる常居所から国境を越え、他国へと流入した者のことを指すが、亡命チベット人の場合、一九五九年以降帰るべき「チベット」はもはや存在せず、現在そこは中国領になっている。父祖の地を離れ、世界に離散している状態をディアスポラという(「北米のチベット人ディアスポラ」名古屋市立大学大学院人間文化研究科 榎木美樹より))への攻撃に現在この脆弱性を悪用している。
     セキュリティ研究者MalwareHunterTeamもまた、http://coolrat[.]xyzを介してパスワード窃取トロイを配備するために広く使用されている中国語のファイル名のドキュメントにスポットを当てている
     しかしながら、一月以上前、最初のCVE-2022-30190攻撃は、セクストーション脅威(【訳注】性的脅迫、インターネット上で「出会った」異性に対して性的行為の写真や動画を撮らせ、その公開を材料に脅迫を行う手口(Trend Microより))とSputnik Radioインタビューへの招待を餌として使用していた。これは、このフローが他の脅威のアクターによって悪用されていることを示している。
     CISAはまた、Microsoftがオンライン上でこの脆弱性が積極的に悪用されていることを報告した後、Windows管理者とユーザーにMSDTプロトコルを無効にするように促した
     4月に、この0-Dayを通知したセキュリティ研究者Shadow Chaser GroupのCrazymanArmyは、Microsoftは「セキュリティに関連する問題」ではないとして、彼の具申を拒否したと発言している。しかしながら、Microsoftは後で、リモートコード実行の影響があるとして、この脆弱性具申レポートに応じている。


    パスワードマネージャが思われているほど安全とは言えない8つの理由
    MUO : Security(2022/05/25)
     パスワードマネージャを使用すれば安全なのか? パスワードマネージャには多くの利点があるが、それらは、それらの問題を依然として持っている。以下が、認識する必要のあることである。
     パスワードマネージャは、パスワードを保持するために推奨されるオプションである。パスワードマネージャは、使用しているあらゆるサービス用の強固で一意のパスワードを格納することを可能にしている。パスワードマネージャはまた、毎回パスワードをタイプすることなくログインすることが可能なので、キーロガーからあなたを保護する。
     しかしながら、パスワードマネージャは完全ではない。また、全ての人が単一の場所に彼らのパスワードの全てを格納するという考えを好んでいるわけではない。パスワードマネージャを使用しセキュリティ侵害された場合、ハッカーは、あなたの全てのアカウントへのアクセスを取得する可能性がある。
     では、パスワードマネージャは、どれほど安全なのか? どれかのパスワードマネージャを使用する必要はあるのだろうか?

    パスワードマネージャを安全とする4つの理由

     パスワードマネージャは広く推奨されている。以下にパスワードマネージャを使用する幾つかの利点を示す。
    1. 256-bit AES
     全てのパスワードマネージャは256-bit Advanced Encryption Standards(【訳注】高度暗号化標準、アメリカが2001年に標準暗号として定めた共通鍵暗号アルゴリズム(Wikipediaより))を使用している。これは、あなたが提供したあらゆる情報を暗号化するために使用され、クラックできないと考えられている。これは、あなたのパスワードマネージャがハッキングされたとしても、あなたのパスワードの全ては依然として入手され難い。

    2. ゼロトラスト(Zero Trust)
     全てのパスワードマネージャはゼロトラストを使用する。これは、あなたのマスターパスワードがあなたのデバイスを離れる前に暗号化されることを意味している(【訳注】PCやスマホ上で暗号化された後に送信される)。このため、パスワードマネージャを運営している企業のスタッフでさえアクセスすることはできない。

    3. 二要素認証
     殆どのパスワードマネージャは、二要素認証を使用することを可能にしている。これは追加の防御ラインの提供である。これは、二要素認証デバイスにアクセスできない限り、いかなる者もあなたのパスワードマネージャにアクセスできないようにする。これは、ハッカーがどうにかしてあなたのパスワードを解析した場合でも、依然としてそれを使用して、あなたのアカウントにアクセスできないことを意味している。

    4. 優れた代替案
     パスワードマネージャは、あなたがパスワードを覚えておく必要がないので強固なパスワードを使用することを可能にしている。また、全てのアカウントに対して異なるパスワードを使用するように奨励している。全てのパスワードを一つの場所に保持することは理想的ではない。しかし、脆弱なパスワードの使用をしなくて済むのであれば、実行する価値のある妥協である。

    パスワードマネージャが思われているほど安全ではない8つの理由

       パスワードマネージャは人気があるが、欠陥がないわけではない。適切に使用されていない場合は、あなたのアカウントは安全性が実際に悪くなる。パスワードマネージャの使用に関連する幾つかのリスクについて述べる。

    1. 全ての物が一つの場所に
     パスワードマネージャは、情報の全てを一つの場所に格納するよう促す。これはしばしば、パスワードだけでなく支払い情報の詳細も含んでいる。パスワードマネージャは、非認証アクセスを防御するように設計されているが、理想的ではない。パスワードマネージャは、ハッキングされる可能性を減少するが、あなたがハッキングされたなら、ダメージの可能性は増大する。

    2. キーロガーはより危険な存在になる
     パスワードマネージャは、多くの場合あなたをキーロガーから保護する。パスワードマネージャは、自動入力を使用してアカウントにログインすることを可能にしているので、キーロガーは役に立たない。しかし、あなたがパスワードマネージャにパスワードを入力している時はどうだろうか?
     このシナリオではキーロガーは有用であり、あなたのアカウントへの一つへのアクセスを取得するというより、ハッカーは全てのパスワードへのアクセスを取得することが可能になるだろう。パスワードマネージャの一つを使用するのであれば、マルウェアに汚染されているコンピュータの使用を回避する必要がある。

    3. 簡単なアカウントへのアクセス
     個人のデバイスでパスワードマネージャにログインしたままにしている人々がよく見られる。これは便利であるが、誰かがそのデバイスにアクセスすると、その人達はパスワードと支払い情報の詳細の全てにアクセスできることを意味している。これは、あなたがパスワードマネージャを使用したい時だけパスワードマネージャにログインすることによって軽減される。しかし、これは間違いなくソフトウェアの有用性を低下させる。

    4. 一部の機能は有料バージョンだけ
     パスワードマネージャは、大抵有用な追加機能を持っている。例えば、ある追加機能は、あなたのパスワードがダークWeb上にリークされているか否かを告げてくれる。他には、あなたのパスワードを評価し、それが如何に安全かを告げてくれるものもある。これらの機能の問題点は、あなたが特別料金を支払った場合にのみ利用可能になっていることである。無料のパスワードマネージャを使用しているのであれば、あなたは可能な限りの最高の防御を得ることができていない。

    5. バックアップは常時利用されているわけではない
     殆どのパスワードマネージャは、あなたのパスワード金庫をバックアップすることを可能にしている。しかし、誰もがこの機能を使用しているわけではない。パスワードマネージャがあなたのパスワードの唯一のコピーであるのなら、あなたがそのパスワードを忘れたり、サーバーがダウンしたりすると、あなたは全アカウントへのアクセスを失う。これは定期的にパスワードをバックアップし、そのバックアップを何処か安全な場所に保持することによって回避することができる。

    6. パスワードマネージャはハッキングされる
     パスワードマネージャは安全な製品であるが、それはパスワードマネージャを所有する企業がハッキングされないということを意味してはいない。実際、パスワードマネージャにはハッキングされた歴史がある。LastPassは2015年にハッキングされ、OneLoginは2017年にハッキングされている。いずれの場合も、顧客のパスワードが晒されることはなかったが、これは、パスワードマネージャを所有する企業がハッカーをシャットアウトできないことを示している。

    7. 二要素認証はオプションになっている
     二要素認証はパスワードマネージャのオプショナル機能である。二要素認証を使用していないのであれば、あなたのパスワードは安全ではない。ハッカーが、あなたのマスターパスワードをなんとか解析した場合、あなたのパスワード金庫へのアクセスを停止する手段はない。これは、過去に様々な場所で同じパスワードを使用していた場合、あなたがフィッシング詐欺に引っかかった場合、あるいはコンピュータにキーロガーが存在していた場合に発生していたことである。

    8. パスワードを忘れる可能性
     全てのパスワードマネージャは同じ弱点を持っている。マスターパスワードを失うと、あなたは全てのパスワードへのアクセスができなくなる。この問題は、バックアップを保持し、マスターパスワードを安全な場所に格納することによって軽減することができるが、一つの場所にパスワードの全てを格納する危険性を浮き立たせることになる。

    パスワードマネージャは安全なのか?

     パスワードマネージャには固有の欠陥があるものの、ほとんどの人々はパスワードマネージャを使用することで便益を得るだろう。パスワードマネージャは、覚え難い複雑で一意のパスワードを設定することを可能にする。
     これらの製品を避けるのではなく、欠陥を理解した上で、それに応じて使用する必要がある。
     パスワードマネージャーは、キーロガーに対する完全な保護を提供していない。また、パスワードマネージャをパスワードの唯一のコピーとして使用してはならない。パスワードリストは定期的にバックアップし、マスターパスワードのコピーは安全な場所に格納する必要がある。


    Windows 11 KB5014019はTrend Microの身代金要求型マルウェア防御を破壊する
    BleepingComputer : News>Security(2022/05/26)
     今週のWindowsオプションの累積アップデートプレビューは、Trend Microのセキュリティ製品の一部で互換性の問題(身代金要求型マルウェア防御機能を含む一部の互換性を破壊)を発生させている。
     「Trend Microの幾つかの末端機器及びサーバ保護製品によって使用されているUMHコンポーネントは、身代金要求型マルウェア防御のような幾つかの高度な機能を担っている」と、このアンチウィルス企業は明らかにしている
     「Trend Microは、Microsoft Windows 11及びWindows 2022のオプショナル プレビューパッチ(KB5014019)を適用し再起動するとTrend Micro UMHドライバが停止する潜在的な問題を認識している。 」
     この既知の問題は、Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0, Worry-Free Business Security Services 6.7を含む幾つかのTrend Micro末端機器用に使用されているUser Mode Hooking (UMH) コンポーネントに影響を与える。
     この日本のサイバーセキュリティ企業は、2022年6月の定例パッチの一部として、このアップデートプレビューが全てのWindowsユーザに押し付けられる前に、現在この問題の解決に取り組んでいる。

    Trend Microの末端機器用ソフトの機能を復元する方法

     幸いにも、通常の定例Windowsアップデートと異なり、今週のプレビューアップデートはオプションである。プレビューアップデートは、一般にリリースする前にバグの修正とパフォーマンスの改善をテストするために発行される。
     Windowsユーザは、設定 > Windows Updateからオプショナル アップデートを手動に変更する必要がある。これで、「今すぐダウンロード」ボタンをクリックするまでオプショナルアップデートはインストールされないので、影響を受ける可能性のあるユーザの数が制限される。
     影響を受けるWindowsプラットフォームは、Windows 11, Windows 10 version 1809, Windows Server 2022を稼働しているシステムであり、クライアントとサーバの両方を含んでいる。
     このWindowsのオプショナル パッチをインストールしてしまったTrend Microの顧客は、このパッチを一時的にアンインストールするか、Trend Microのサポートに連絡し、彼らのセキュリティソフトの機能を回復するUMHデバッグモジュールを取得しなさい。
     Windowsユーザは、管理者権限のコマンドプロンプトから以下のコマンドを使用して、このプレビューアップデートを削除することができる。

    Windows 10 1809: wusa /uninstall /kb:5014022
    Windows 11: wusa /uninstall /kb:5014019
    Windows Server 2022: wusa /uninstall /kb:5014021


    フィッシングWebサイトは今、あなたの認証を盗むためにチャットボットを使用している
    BleepingComputer : News>Security(2022/05/19)
     フィッシング攻撃は今、自動化されたチャットボットを使用して訪問者のログイン情報を脅威のアクターに手渡すようにガイドしている。
     このアプローチは攻撃者のためにプロセスを自動化しており、チャットボットが一般的に正当なブランドのWebサイトに見られることから、悪意あるサイトを訪問した者に正当なサイトであるという感覚を与えている。
     この新しいフィッシング攻撃の開発は、Trustwaveの研究陣によって発見され、このレポートの公開前にBleeping Computerと共有された。

    これはE-Mailで始まる

     このフィッシングプロセスは、DHL(【訳注】航空機を主体とした国際宅配便、運輸、ロジスティクスサービスを扱うドイツの国際輸送物流会社(DHLより))配送ブランドを装い小包の配達に関する情報を含んでいると主張するE-Mailで始まる。


    フィッシング E-Mailのサンプル(画像をクリックすると拡大表示されます)

     E-Mail中の'Please follow our instructions'をクリックすると、フィッシングサイトへのリンクを含むPDFファイルがロードされる。脅威のアクターがPDFドキュメント中にフィッシングリンクを表示させるのは、E-Mailセキュリティソフトウェアをバイパスするためである。


    悪意あるリンクを含むダウンロード可能なPDF(画像をクリックすると拡大表示されます)               

     しかしながら、このPDF中のURLボタン(URLリンク)は、未配達の小包に発生している問題を解決すると装うフィッシングサイト(dhiparcel-management[.]support-livechat[.]24mhd[.]com)に犠牲者を連れて行く。
     ここでチャットボットに引き継がれる。

    チャットボットは、あなたの認証情報を盗む

     フィッシングページがロードされると、訪問者は一般的に認証情報を盗むために使用されるインチキのログインフォームの代わりに、その小包が配達されない理由を説明するWebチャットに出迎えられる。
     このWebチャットは、配達できないのは小包のラベルが破損しているからであると説明する。このWebチャットは、このスカムの正当性を更に追加するために、申したてられている小包の写真も表示する。


    フィッシングサイトのチャットボット(画像をクリックすると拡大表示されます)               

     このバーチャル アシスタントは、訪問者に予め定められた対応を行うので、会話は固定されており、常に申し立てられている小包の破損したラベルの写真を表示するようになっている。
     この問題のために、このチャットボットは、犠牲者に住所や勤務先の住所、姓名、電話番号等のような詳細な個人情報を与えるように要求してくる。
     その後、この配達はスケジュールされたことになり、このフィッシングページがより正当なものであるかのように振る舞うために、偽のCAPTCHAステップが表示される。
     次に、犠牲者は、DHLアカウント認証情報の入力を要求するフィッシングページにリダイレクトされる。最後に、おそらく配送コストを贖うための支払いのステップに導かれる。
     最後の"Secure Pay"ページは、カード所有者名、カード番号、有効期限、セキュリティコードを含む典型的なクレジットカード決済フィールドを含んでいる。


    クレッジットカード支払いフィールド(画像をクリックすると拡大表示されます)               

     個人情報の詳細が入力され、"Pay Now"ボタンがクリックされると、犠牲者は提供したスマートフォンにワンタイム パスワード(OTP)をSMSを介して受け取る。これは正当性の感覚を追加する。


    ワンタイム パスワード検証画面(画像をクリックすると拡大表示されます)               

     Trustwaveのアナリストはランダムな文字列を入力してテストした。このシステムは不正なセキュリティコードとするエラーを戻してきた。OTP検証の実装は本物である。
     正しいコードが入力されると、このインチキのページは"Thank you!"メッセージを表示し、提出が受け付けられたことを確認する。

    キャンペーンは「本物」になりつつある

    脅威のアクターは、CAPTCHA、OTPs、チャットボットのような一般的に本物のWebサイトで発見されるメカニズムの使用を増加させているので、犠牲者は情報窃取の企てに気がつくことが困難になってきている。
     これは、即座のアクションを要求する一方的な通信を受信したとき、特にメッセージ中にボタンやURLリンクが埋め込まれている場合には、警戒を強化する必要がある。
     DHLや他の配送サービスが、あなたに何らかの対応を要求している場合、提供されているリンクをクリックするのではなく、必ずブラウザの新しいタブで実際のWebサイトを開きなさい。
     次に、その間違いのないプラットフォームであなたのアカウントにログインしなさい。そして、全ての保留中のアイテムや警告をチェックしなさい。あるいは、顧客サポートに自分自身でコンタクトしなさい。
     いつもどおり、フィッシングページを発見する最高の方法は、そのWebサイトのURLを検証することである。それが疑わしく見えたり、あるいは正当なドメインに一致しない場合は、そのページにいかなる個人情報も入力してはならない。
     この場合、成り済ましているDHLのURLは、"24mhd.com"ドメインで終わっている。これは明らかにDHLのWebサイトではない。そして、フィッシングの企ての明らかな兆候である。


    Windows 11のKB5013943アップデートは0xc0000135アプリケーションエラーを発生させる
    BleepingComputer : News>Security(2022/05/11)
     Windows 11のユーザは、最近のWindows 11 KB5013943累積アップデートをインストールした後にアプリケーションの起動を試みた時、0xc0000135エラーを表示されている。
     昨日、Microsoftは、新しいWindows 11累積アップデートをリリースした。これは、セキュリティの脆弱性と2022年05月の定例パッチの一部のバグを修正するものである。
     これらのアップデートには、Windows 11 KB5013943アップデートが含まれている。このアップデートは、.NET Framework 3.5アプリケーションが、Windows Communication Foundation (WCF)とWindows Workflow (WWF)コンポーネントを使用している場合には、それらのアプリケーションが起動しない問題を発生させるバグの修正を含んでいた。

    KB5013943アップデートは .NET アプリケーションを破壊する

     しかしながら、Microsoftの修正は、さらなる問題を発生させたかのようである。現在、Windows 11のユーザは、KB5013943アップデートをインストールした後、もはや起動しなくなった広範な種類のアプリケーションを報告している[1, 2, 3, 4, 5]。
     影響を受けるアプリケーションはユーザにより様々であるが、報告されている問題あるアプリケーションの一部には、ProtonVPN, PowerShell, Event Viewer, Sound Blaster Command, KeePass, Visual Studio, Discord, ShareX等が含まれる。
     このアプリケーションを開こうとすると、Windows 11は、以下に示す「"The application was unable to start correctly (0xc0000135、【訳注】アプリケーションを正しく初期化できませんでした). Click OK to close the application."というエラーを表示する。」


    アプリケーション起動時に表示されるWindows 11 0xc0000135エラー(画像をクリックすると拡大表示されます)

     「私のラップトップを最新のWindows 11のバージョンにアップデートしただけなのに、多くのアプリケーションエラーと複数のアプリケーションの自動起動エラーが表示されるようになった。エラー0xc0000135を修正する方法はありますか?」これはMicrosoft Answer Forumへのユーザの投稿である。
     「KB5013628 / KB5013943の後にエラーが発生している人はいますか ー このアプリケーションは正しく初期化できなかった(0xc0000135)、あらゆる.NET 4.8プログラムは初期化できない ー bing/visual studio等」と、他のユーザがTwitterで説明している
     0xc0000135エラーは、プログラムが正しく操作するために要求するDLLファイルの発見に失敗したことを示しているので、このプログラムは起動しない。この特定の問題では、アプリケーションが.NET DLLsを探し、それを発見できなかったようである。
     Windows 11 KB5013943アップデートをアンインストールすると、この問題は解決するが、そのデバイスは新しくパッチされた脆弱性に対して無防備なまま放置される。
     Windows 11のユーザは、NET 3.5を有効にするか再インストールすることで、この問題が修正されることを発見した。
     これを実行するには、コントロールパネル > プログラム > Windows機能の有効化または無効化 に進み、必ず、.NET Framework 3.5 (includes .NET 2.0 and 3.0) 及び Net Framework 4.8 Advanced Servicesをチェックしなさい。以下の画像参照。


    コントロールパネルのWindows機能の有効化または無効化(画像をクリックすると拡大表示されます)

     代替方法としては、Windows 11の管理者権限でのコマンドプロンプト(管理者としてcmd.exeを実行)を起動し、以下のコマンドを実行して、この機能を有効にする。

    dism /online /enable-feature /featurename:netfx3 /all
    dism /online /enable-feature /featurename:WCF-HTTP-Activation
    dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

     これが動作しない場合は、コントロールパネルから .NET 機能をアンインストールし、次に、それらを再インストールして、修復プロセスを実行しなさい。
     最後に、他の全てのことも失敗したなら、KB5013943アップデートをアンインストールしなさい。しかしながら、この操作は、最新のセキュリティの驚異からデバイスを無防備にしたままにするので強く反対する。


    インチキのWindows 10アップデートはMagniber身代金要求型マルウェアに感染させる
    BleepingComputer : News>Security(2022/04/30)
     今月始めに始まった巨大なキャンペーンであるインチキのWindows 10アップデートは、Magniber身代金要求型マルウェアを拡散するために使用されていた。
     ここ数日に渡り、BleepingComputerは、世界中のユーザをターゲットにした身代金要求型マルウェア感染に関する多くの支援要請を受け取った。
     このキャンペーンを解析中に、我々はWindows 10累積アップデートもしくはセキュリティアップデートであると信じてインストールした後、Magniber身代金要求型マルウェアに感染したとする読者の報告を我々のフォーラム トピックに発見した。
     これらのアップデートは、最も一般的であるWin10.0_System_Upgrade_Software.msi [VirusTotal] 、 Security_Upgrade_Software_Win10.0.msiのような名前で配布されている。
     以下に見られるように、他のダウンロードはインチキのknowledge baseを使用してWindows 10累積アップデートを装っている。

    ・ System.Upgrade.Win10.0-KB47287134.msi
    ・ System.Upgrade.Win10.0-KB82260712.msi
    ・ System.Upgrade.Win10.0-KB18062410.msi
    ・ System.Upgrade.Win10.0-KB66846525.msi

     VirusTotalへの提出によると、このキャンペーンは、2022年04月08日に開始されたようであり、それ以来、世界中に大拡散しているようである。
     インチキのWindows 10アップデートが促進されている方法は100%明らかになっているわけではないが、このダウンロードは、偽のWarez and Crack(【訳注】インターネットなどを用いて非合法的に配布・販売されている商用ソフトウェアとクラックツールを配布しているサイト)サイトから配布されている。


    Magniberを押し付けてくる偽のWarez and Crackサイト(画像をクリックすると拡大表示されます)

     一旦インストールされると、この身代金要求型マルウェアは、シャドーボリュームコピーを削除し、次にファイルを暗号化する。ファイルを暗号化している時、この身代金要求型マルウェアは、以下に示したように、.gtearevfのようなランダムな8文字の拡張子を追加する。


    Magniberで暗号化されたファイル(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアはまた、各フォルダ内に身代金支払い用のMagniber Tor支払いサイトへのアクセス方法への指示を含むREADME.htmlと名付けられた脅迫文を作成する。


    Magniber脅迫文(画像をクリックすると拡大表示されます)

     Magniber支払いサイトは'My Decryptor'と題されており、犠牲者に無料で一つのファイルを復号することや、サポートへのコンタクトを可能にしており、犠牲者が支払いを実行するための身代金額とBitcoinアドレスを定めている。


    Magniber支払いサイト(画像をクリックすると拡大表示されます)

     BleepingComputerが支払いページを確認したところによると、ほとんどの身代金の要求金額は、およそ2,500 USD(324,858円、1$=129.94円換算)もしくは0.068 Bitcoinであった。
     Magniberは安全であると見なされる。つまり、ファイルを無料で回復するために悪用される可能性のある弱点は含まれていないことを意味している。
     残念ながら、このキャンペーンは、企業ではなく主に学生と消費者をターゲットにしているため、身代金の要求額は多くの被害者にとってあまりに高額である。


    注意: Onyx身代金要求型マルウェアはファイルを暗号化する代わりに破壊している
    BleepingComputer : News>Security(2022/04/27)
     新しいOnyx身代金要求型マルウェアは、2MBより大きなファイルは暗号化するのではなく破壊しているので、身代金を支払ったとしても、これらのファイルが復号されることはない。
     先週、セキュリティ研究者MalwareHunterTeamは、Onyxと呼ばれる新しい身代金要求型マルウェアが稼働していたことを発見した
     今日の殆どの身代金要求型マルウェアのように、Onyxの脅威のアクターは、デバイスを暗号化する前にネットワークからデータを盗む。このデータは、身代金が支払われなければ、このデータを公開すると脅す二重の脅迫(Double-Extortion)に使用される。


    Onyx身代金要求型マルウェアのデータリーク サイト(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアのギャングは、今までかなり成功しており、彼らのデータリークのページには6人の犠牲者がリストされている。

    Onyx身代金要求型マルウェアは殆どのデータを破壊する

     Onyx身代金要求型マルウェアの技術的機能面に関しては、MalwareHunterTeamが暗号化ツールのサンプルを発見した今日時点で分かっていない。
     判明していることで懸念されるのは、この身代金要求型マルウェアがファイルを暗号化する代わりにランダムなジャンク データで多くのファイルを上書きすることである。
     以下のソースコードから分かるように、Onyxは2MBより小さなファイルは暗号化する。しかしながら、MalwareHunterTeamによれば、Onyxは、2MBより大きなファイルは全てジャンク データで上書きする。


    Onyx身代金要求型マルウェアのソースコード(画像をクリックすると拡大表示されます)

     これはランダムに作成されたデータであり暗号化ではないので、2MBを超えるファイルに関しては復号する方法はない。
     犠牲者が身代金を支払ったとしても、復号ツールは2MBより小さな暗号化されたファイルだけしか復号しない。
     チェコCERTのフォレンジック(【訳注】デジタル機器から 法的証拠に関わる情報を抽出しハッキングやマルウェアなどのセキュリティを脅かす脅威の特定に活用される技術(デジタルデータ フォレンジックより))アナリストJiri Vinopalによると、この身代金要求型マルウェアは、Chaos身代金要求型マルウェアに基づいている。同じダメージを与える暗号化ルーチンを含んでいることによる。
     暗号化ルーチンにおける破壊の本質は、バグではなく作為なので、身代金を支払わないように犠牲者に強く忠告する。

    2022/04/28 Update 破壊されるのは2MBより大きなファイルであり、このマルウェアはChaos身代金要求型マルウェアの亜種である。


    アニメーションQRコード: 動作方法と作り方
    BleepingComputer : News>Security(2022/04/23)
     QRコードでより目立つものと認識されている二次元バーコード(2D)は、最近すべてのものに関して「非接触」が要求されていることもあって再流行している。
     Coinbase(米国の暗号資産取引所)も、この機会を掴むために時間を無駄にしなかった。Superbowl 2022 TV広告は、全体的にあなたの注意を惹きつける目的で真っ黒な背景にミステリアスなQRコードがあることを除いて何もなかった。
     これらの奇妙な正方形がどのように機能するのかを正しく理解できていない人々でさえ、いずれかの段階で頻繁に使用している。
     しかし、QRコードに動いたり、アニメーションしたりしているものがあるだろうか? どのように動作しているのか?

    スキャンしてみよう

     今週、科学技術者であり、"cyborg hardware hacker"であり、YouTuberであるZack Freedmanは、Repeated Failureによって作成され、バズっているGIFをツイートした。
     以下に示すこのGIFは、一部の人が認識できるかもしれない移動フレームを備えたアニメーションQRコードを含んでいる。これは、Rick Astleyの有名なNever Gonna Give You Up(ギヴ・ユー・アップ)ミュージックビデオのシーケンスである
     曲の歌詞とミュージックビデオは、netizens(【訳注】ネチズン。ネット市民)にもハッキングされた企業をトローリングしている悪意のアクターにも、長い間人気のあるミーム(【訳注】模倣によって伝えられる情報)であった。
     しかし、このGIFは、芸術化したバーコードではなく、実際にQRコードとして動作する。自分自身でスキャンしてみよう!


    動作しているアニメーションQRコード            

     あなたのQRコード スキャナが機能しているのなら、上のGIFはYouTube上の公式のNever Gonna Give You Upに導くだろう。
     この予期せぬ変化は多くの人々を驚かせた。ある人はこれを"weird wizardry(奇妙な魔法)" だの"LEGEND(伝説)"だのと言い、また、多大なトラフィックのためにYouTubeがこのビデオの「レート制限」を開始したと不満を言う者もいた。
     実際に、QR4とソフトウェアエンジニアJeroen Steemanによって作成されたもののようなオンライン ツールが存在しているので、あなた独自のアニメーションQRコードを作成することが可能である。


    中央に豹のいるアニメーションQRコード            

    バーコードを掘り下げる

       バーコードの起源は1950年台に遡る。Drexel University(ドレクセル大学)の二人の大学院生が電子製品情報のカタログ化と検索のためのシステムの特許を取得したことに始まる。
     しかしながら、本来在庫追跡コンセプトとして始まったこのシステムは、2Dバーコードの誕生により複雑性、利用可能なフォーマット、縦横比の点で徐々に進化した。
     一般的にQR(クイック レスポンス)として知られるこれらのマトリックスは、2Dバーコードの一種であり日本の自動車関連企業Denso Wave(デンソーウェーブ)によって発明されたものである。この企業は、依然として'QR Code'という用語の商標と技術特許を保持している。
     書籍の表紙や商品に見られるUPC(【訳注】アメリカ、カナダで使用されている統一商品コード(バーコード講座より))のような一次元バーコードは、SKU(【訳注】ストックキーピングユニット(Stock keeping Unit)の略。在庫管理上の最小の品目数を数える単位を表す。噛み砕いていうと、全く同じ商品としてお客様にお渡しできるものをSKUと言う(物流現場通信より))、商品番号、特定の文字数まで(約85文字)の他のセットのような単純な一行文字列を保持する能力を持ったものである。対して、2Dバーコードは、データ保持能力、様々なタイプのデータ保持能力、その中に組み込まれている様々なエラーチェックと修正メカニズムで遥かに広範な用途がある。


    一次元バーコードの例            

     名前が現しているように、2Dバーコードは複数の次元を持ち、一行(一次元)だけでなく、マトリックス全体に渡ってデータを格納できる。QRコード マトリックスの各部分は、特別な意味と役割があり、コンテンツを保持するセクションはマトリックス全体の一部に過ぎない。
     2Dバーコードのエラーチェックと修正の側面は、QRコードの一部が切り取られたり破損している場合でさえ、そのQRコードは正しくスキャンされ、その内部に格納されているコンテンツを保持している可能性があるという意味において重要である。試してみよう。


    破損しているが機能するQRコード            

     これは一次元バーコードには当て嵌まらない。一次元バーコードは、スキャナが隣り合った直線バーの幅の比率を計算することによって機能する。そこで、一次元バーコードの一部を隠したり破壊したりすると、正しくスキャンすることができない場合がある。
     しかし、まさしくQRコードに組み込まれているエラー修正メカニズムは、バーコード作成者が創造性を発揮することを可能にしている。マトリックスの小さな部分に機能的なコンテンツ(URLやもう一つのデータのような)をパックしたり、それ以外のマトリックスの部分は芸術的な画像を提供できる空白のキャンバスとして機能させることができる。


    正しくスキャンされるアートで装飾されたQRコード            

     これは、上に示したような芸術的バーコードや最初に示した豹のQRコードGIFが、正しくスキャンできる可能性を説明している。つまり、機能データ(URL)を含んでいるQRコードの領域はマトリックス全体のごく一部である。
     上の豹のQRコードGIFの場合、豹が動いている周囲のピクセル(QRコードの領域)は、相対的に静的である。これは、(アニメーションが再生されている中央ではなく)コンテンツが存在している可能性のある場所である。
     しかし、Freedmanによって共有されたGIFで発生していることは多少複雑に見える。GIFの各フレームは、ピクセルを再配置することでQRコードをほぼ完全に変更している。
     画像認識に精通した人のために、Twitterユーザであり技術ブロガーであるBenBEが、あなたに代わって答えを持っているかもしれない。

    BenBEのTweet

       バズった”Never Gonna Give You Up” QRコード中の全ての小さな正方形に関して、スキャナは、その正方形(全体で3✕3、もしくは、9ピクセルで構成される)の中央だけを確認する。即ち、バーコードのコンテンツ部分(YouTubeのURL)はこれらのピクセル中に格納されている。残りのピクセルは空白のキャンバスとして提供されアニメーションに使用されている。
     「ディザリング」とそれが提供する多くの可能性についての詳細を読みたい人々は、2年前のYCombinatorHackerNewsスレッドへの再訪に心が動くかもしれない。


    ピクチャQRコード            

     ここでは、QRPictureジェネレータについて説明する。ソースコードはGitHubで入手できる。
     このジェネレータを使用すると、可能な限り実際の写真のように見え、完全に機能するQRコードを作成し、好みに合わせてアニメーション化することもできる。

    訳者より、アニメーションQRコードについて学問的知見を求めたいのであれば、こちら(「最適化アルゴリズムを用いたアニメーションQRコードの作成」鹿児島大学 工学部 情報工学科、小野 智司、森永 健介、中山 茂、芸術科学会論文誌 Vol. 8, No. 1, pp. 25 – 34)を参照してください。


    Spring4Shell(CVE-2022-22965): 詳細と緩和策
    Kaspersky : SecureList(2022/04/04)
     先週、研究者はSpring(オープンソースJavaフレームワーク)中に緊急の脆弱性 CVE-2022-22965 を発見した。この脆弱性を使用して、攻撃者はリモートWebサーバ上で任意のコードを実行できる。これは、Springフレームワークの人気を考えると、 CVE-2022-22965を緊急の脅威にした。悪名高いLog4Shellの脅威と類似していることから、この脆弱性は Spring4Shellと名付けられた。

    CVE-2022-22965とCVE-2022-22963: 技術的詳細

     CVE-2022-22965 (Spring4Shell, SpringShell)は、HTTPリクエスト中に格納されているデータをアプリケーションによって使用される特定のオブジェクトにバインディングするためのデータバインディング機能を使用するSpring Framework中の脆弱性である。このバグは getCachedIntrospectionResultsメソッド中に存在している。これは、HTTPリクエストを介してクラス名を渡すことで、そのようなオブジェクトに対する不正アクセスを取得するために使用される。これは、特別なオブジェクト クラスが使用されると、データリークやリモートコード実行のリスクを生成する。この脆弱性は、ずっと前に終わった CVE-2010-1622に類似している。そこで、その名前が classLoaderやprotectionDomainに一致しないようにクラス名チェックが修正として追加された。しかしながら、JDKの新しいバージョンでは、例えば、 Java 9 Platform Module System機能を介して、このような脆弱性攻撃が行える代替方法が存在している。
     攻撃者は、Tomcat(【訳注】Webサーバー上で実行されるJavaのプログラムであるJavaサーブレットを動かすときに必要なソフト(A-Starより))ログ出力設定を上書きし、次に、このフレームワークの脆弱性バージョンを稼働しているサーバ上で任意のコマンドを実行するためにJSP Web Shellをアップロードすることができる。

    脆弱な設定は以下で構成されている

    • • JDK version 9+
      • アプリケーションをサーブするためのApache Tomcat
      • Spring Framework versions 5.3.0 to 5.3.17、5.2.0 to 5.2.19、及び、それ以下
      • WARファイル(【訳注】Java EEで開発されたWebアプリケーションを一つのファイルにパッケージする標準形式の一つ(e-Wordより))としてビルドされたアプリケーション

       CVE-2022-22963は、特別なpring.cloud.function.routing-expressionヘッダをHTTPリクエストに追加することによてSpring Expression Language (SpEL)を介してコードの挿入を可能にする Spring Cloud Functionのルート制御機能中の脆弱性である。SpELは、実行時にクエリとオブジェクトグラフ管理をサポートするSpring Framework用に作成された特別な式言語(【訳注】式の文脈の中で代入を行うことができるプログラム言語(Weblioより))である。この脆弱性はまた、リモートコード実行にも使用することができる。

      • Spring Cloud Function 3.1.6, 3.2.2とそれ以前のバージョン

    Spring脆弱性攻撃に対する緩和策

     CVE-2022-22965は、2.6.6で修正された。詳細は the Spring blog for details参照。
     CVE-2022-22963を修正するには、新しい Spring Cloud Functionのバージョンをインストールする必要がある。VMware website for details参照
     脆弱性攻撃を検出するには、 必ずAdvanced Exploit PreventionとNetwork Attack Blocker機能を有効にする。脆弱性攻撃中に使用されるテクニックの一部は、我々が検出した他の脆弱性攻撃中に見ることができる。これがVerdict名が異なる理由である。

    改竄の兆候

    Verdicts
    PDM:Exploit.Win32.Generic
    UMIDS:Intrusion.Generic.Agent.gen
    Intrusion.Generic.CVE-*.*

    脆弱性攻撃のMD5ハッシュ
    7e46801dd171bb5bf1771df1239d760c – shell.jsp (CVE-2022-22965)
    3de4e174c2c8612aebb3adef10027679 – exploit.py (CVE-2022-22965)


    Kaspersky EDR Expertでの脆弱性攻撃プロセスの検出(画像をクリックすると拡大表示されます)


    新しいBoratリモートアクセス マルウェアが大変なことに
    BleepingComputer : News>Security(2022/04/03)
     Boratと名付けられた新たなリモートアクセス トロイがダークネット マーケット(【訳注】暗号マーケットとも呼ばれる。TorやI2Pなどのダークネットを介して運営されるダークウェブ上の商業ウェブサイト。主に合法商品の販売に加えて、ドラッグ、サイバー兵器、武器、偽造通貨、盗難クレジットカード情報、偽造文書、無許可の医薬品、ステロイドなどの違法商品の販売または仲介取引を行うブラックマーケットとして機能する(Wikipediaより))に現れた。Boratは、簡単で使い易いDDoS攻撃の実行、UAC(【訳注】User Account Control、Windowsのセキュリティ機能の一つで、管理者権限を持つユーザーに普段は一般ユーザーと同じ権限しか与えず、管理者権限の必要な処理を実行しようとした際に画面に警告ダイアログを表示して本当に実行してよいか確認する機能(e-Wordより))のバイパス、身代金要求型マルウェアの配備を提供している。
     RATとして、Boratはリモートの脅威のアクターが犠牲者のマウスやキーボードを制御し、ファイル、ネットワークポイントにアクセスし、彼らの存在のあらゆる兆候を隠蔽することを可能にしている。
     このマルウェアは、そのオペレータが彼らのコンパイル オプションを選択することを可能にしているので、高度で注文仕立てされた攻撃に必要で正確に機能する小さなペイロードを作成することを可能にしている。
     Boratは、オンライン上のBoratに焦点を当て、その機能を明らかにする技術研究用のマルウェアを採取したCybleの研究者によって解析された。


    Boratの機能の一部(画像をクリックすると拡大表示されます)

    多くの機能

     Borat RATがサイバー犯罪者の間で販売されているのか、無料で共有されているのかは定かでないが、Cybleは、ビルダー、そのマルウェア モジュール、サーバー証明書を含んだパッケージの形式で提供されていると発言している。


    Boratアーカイブ中のファイル(画像をクリックすると拡大表示されます)

    このトロイの機能は、夫々、専用のモジュールを持っており以下を含んでいる。

    • ・ Keylogging ー 押したキーを監視し記録し、それらをテキストファイルに保存する
      ・ Ransomware ー 犠牲者のマシンに身代金要求型マルウェアを配備し、Broatを介して自動的に脅迫文を生成する
      ・ DDoS ー セキュリティ侵害したマシンのリソースを使用してターゲットのサーバにガーベッジ トラフィックを送信する
      ・ Audio recording ー 利用可能であれば、マイクロフォンを通して音声を記録し、wabファイルに保存する。
      ・ Webcam recording ー 利用可能であれば、Webカメラからビデオをレコーディングする
      ・ Remote desktop ー 非表示でリモートデスクトップを起動し、ファイル操作、インプット デバイスの使用、コードの実行、アプリケーションの起動等を実行する
      ・ Reverse proxy ー (【訳注】リバースプロキシとは、特定のサーバの代理として、そのサーバへの外部からのすべての接続を中継するプロキシサーバ。当該サーバへアクセスしようとするクライアントはすべてリバースプロキシを経由するよう誘導される(e-Wordより))リモートオペレータが身元の漏洩を防御するためにリバースプロキシをセットアップする
      ・ Device info ー 基本的なシステム情報を入手する
      ・ Process hollowing ー 正当なプロセス中にマルウェアコードを挿入して検出を回避する
      ・ Credential stealing ー ChromiumベースのWebブラウザに格納されているアカウント認証を盗む
      ・ Discord token stealing ー 犠牲者からDiscord(【訳注】アメリカ発のボイスチャット サービス)のトークンを盗む
      ・ 他の機能 ー 音声の再生、マウスボタンの交換、デスクトップの非表示、タスクバーの非表示、マウスが動かなくなる、モニターのオフ、空白画面の表示、システムのハングアップによって、犠牲者を混乱させる


    Boratが宣伝している多くの機能(画像をクリックすると拡大表示されます)

     Cybleの分析で指摘されているように、上述の機能によりBoratは本質的にRAT、スパイウェア、身代金要求型マルウェアになるため、デバイス上で様々な悪意ある行動を実行する可能性のある強力な脅威である。
     全体として、RATの開発者は、Sacha Baron Cohenによって具現化されたコメディ映画Boratの主人公に因んで名前を付けていたとしても、このマルウェアは冗談では済まされない。
     Bleeping Computerは、このマルウェアの素性を発見しようとして深く掘り下げ、実行されるペイロードが最近同定されたAsyncRATであったことを発見した。この作成者はAsyncRATに基づいて作業を行った可能性がある。
     一般的に、脅威のアクターは、実行可能ファイルやゲームやアプリケーションのクラックを装ったファイルを介してこれらのツールを拡散させている。トレント(torrent)や胡散臭いサイトのような信頼できないソースから如何なるものもダウンロードしないよう注意しなさい。


    10の悪名高い身代金要求型マルウェアの暗号化スピードテストが実施された
    BleepingComputer : News>Security(2022/03/23)
     研究者たちは、10の身代金要求型マルウェアの変種がファイルを暗号化する速度をテストし、それらの攻撃に対してタイムリーに対応することがどのように実行できるのかを評価する技術的な実験を行った。
     身代金要求型マルウェアは、セキュリティ侵害したマシン上のファイルやディレクトリを列挙し、効果的な暗号化のターゲットを選択し、そのデータを暗号化するマルウェアである。そこで、対応する復号キーなしでは、これらのファイルは利用できなくなる。
     これで、データの所有者はファイルにアクセスできなくなる。そこで身代金要求型マルウェア攻撃は、データの破壊や運用の中断、あるいは、復号キーと引き換えに身代金の支払いを要求する金銭的な恐喝のどちらかを実行する。
     デバイスを如何に早く暗号化するかは重要なことである。検出が早ければ早いほどダメージはより少なく、復元に必要なデータ量は最小となる。

    身代金要求型マルウェアをテストする

     Splunkの研究者達は、400の暗号化テストを実行した。このテストは、10の異なるマルウェアファミリーから、ファミリーあたり10サンプルを採用し、パフォーマンス仕様の異なる4つの異なるホストプロファイルで構成されている。
     「我々は、Windows 10とWindows Server 2019からなる4つの異なる『生贄』プロファイルを作成した。夫々のプロファイルは、顧客の環境からベンチマークされた2つの異なるパフォーマンス仕様が付属している」と、「次に、10の異なる身代金要求型マルウェアファミリーとこれらのファミリー毎にテスト用の10のサンプルを選択した」と、Splunkは彼らのレポートの中で説明している。
     これらのテストの間、研究者達は、様々なツール(Windows logging, Windows Perfmon statistics, Microsoft Sysmon, Zeek, stoQのような)を使用して98,561ファイル(トータル 53GB)に対する暗号化速度を評価した。
     ホストシステムは、実際の企業ネットワーク設定を反映するように変更された。解析者は、全ての暗号化時間を計測し、各変種が暗号化するための中央値を導いた。
     テスト装置上にある10の異なる身代金要求型マルウェア株の全100種のサンプルの中央値は42分52秒であった。
     しかしながら、以下の表に見られるように、身代金要求型マルウェアのサンプルの一部は、明らかにこの中央値から乖離している。


    各株の平均暗号化時間(画像をクリックすると拡大表示されます)

     「勝者」、応答タイムマージンにおいて致死的な株はLockBitであり、平均5分50秒で達成している。最も高速なLockBitの変種は、1分間に25,000ファイル暗号化した。
     LockBitは、アフィリエイト プロモーションのページで、30を超える様々な身代金要求型マルウェア株に対する独自のベンチマークをリリースし、ファイルを暗号化する最速の身代金要求型マルウェアであると長い間自慢してきた。
     かつて多くの変種を生み出したAvaddonは、平均13分余りで達成し、REvilは、約24分でファイルを暗号化し、BlackMatterとDarksideは、45分で暗号化を完了した。
     遅い方では、Contiが54GBのテストデータの暗号化にほぼ1時間を要し、MazeとPYSAはほぼ2時間を要している。

    時間要素

     時間は重要なファクターであるが、身代金要求型マルウェア攻撃における唯一の検出機会ではない。一般的には、偵察期間、横展開、認証の窃取、特権の昇格、データ漏洩、シャドーコピーの無効化などが含まれる。


    身代金要求型マルウェア攻撃における可能な全検出機会(画像をクリックすると拡大表示されます)

     暗号化が終了した後、攻撃がどれくらい長持ちするのかや、管理の容易さを決定するのは暗号化スキーム自体の強度なので、強度はスピードより重要である。
     身代金要求型マルウェアが最終的に配備された時の応答時間の短さは、特定の検出と緩和の機会に焦点を当てることが非現実的であり、最終的には誤りであることを強調している。
     Splunkのレポートに記されているように、この研究は、組織が重大事案の対応から身代金要求型マルウェア感染の防止に焦点をシフトする必要があることを示している。
     セキュリティ侵害の検出に平均3日かかるとする今までの研究を考慮すると、全体の中央値である43分は、ネットワーク防御側が身代金要求型マルウェアの活動を検出するためのチッポケな手段にすぎない。
     殆どの身代金要求型マルウェア グループは、ITチームが人員不足になっている週末に攻撃してくる。殆どの暗号化の企ては、成功裏に完了する。暗号化の時間は防衛側にとって重要な考慮のファクターではない。
     最終的に、最善の防衛は、身代金要求型マルウェアが配備される前の偵察段階で通常ではない活動を検出することである。
     これには、疑わしいネットワーク活動、通常ではないアカウント活動を探し、攻撃の前に一般的に使用されるツール(Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit, Rclone)の検出を含んでいる。


    新しいフィッシング ツールキットは誰もがインチキのChromeブラウザ ウィンドウの作成を可能にしている
    BleepingComputer : News>Security(2022/03/19)
     レッドチーム(【訳注】 ある組織の効率性を改善するように挑む独立したグループで、対象組織に敵対した役割あるいは視点を持つことを前提とする(Wikipedia))のメンバーやインチキのChromeブラウザ ウィンドウを使用して効果的なシングル サイン オンのフィッシィング ログイン フォームを作成したい野心的なサイバー犯罪者に作成することを可能にするフィッシングキットがリリースされた。
     Webサイトにサインインするとき、Google, Microsoft, Apple, Twitter, あるいはSteamでさえ、認証オプションが表示されることが一般的である。
     例えば、DropBoxのログイン フォームは、以下に示すようにAppleやGoogleアカウントを使用してログインすることが可能になっている。


    DropBoxログイン フォーム(画像をクリックすると拡大表示されます)

     GoogleやAppleのボタンでログインをクリックすると、シングル サイン オン(SSO)ブラウザ ウィンドウが表示され、あなたの認証情報を入力してアカウントでログインするように促される。
     これらのウィンドウは、ログインフォームと、ログインフォームのURLを表示するアドレスバーだけを表示するようになっている。


    Googleの正当なサインイン ウィンドウ(画像をクリックすると拡大表示されます)

     このアドレスバーは、これらのSSOウィンドウで無効にされているが、表示されたURLを使用して正当なgoogle.comドメインが、サイトへのサインインに使用されていることを確認することができる。このURLは更に、フォームの信頼性を追加し、あなたに快くログイン認証を入力させるようにしている。
     驚異のアクターは、過去にもHTML, CSS, JavaScriptを使用してインチキのSSOウィンドウを作成することを企てているが、通常そのウィンドウには少し疑いをもたせるものが存在している。

    ブラウザ攻撃へのブラウザの導入

     これは、新しい"Browser in the Browser Attack"(【訳注】GoogleやMicrosoftのようなサイトの小さなブラウザウィンドウを真似ることでログイン認証を盗む方法(The Registerより))が、フィッシング攻撃に使用することのできるカスタム アドレスURL、タイトルを含むインチキではあるがリアルなChromeポップアップ ウィンドウを作成するために予め作られているテンプレートの使用が役に立つ場所である。
     基本的に、この攻撃は説得力のあるフィッシング攻撃を作成するために、実際のブラウザウィンドウにインチキのブラウザウィンドウを作成する(Browser in the Browser)。
     このBrowser in the Browser攻撃テンプレートは、セキュリティ研究者mr.d0xによって作成された。そして、彼はGitHub上にこのテンプレートをリリースした。これらのテンプレートは、Windows用のGoogle ChromeとMac用があり、ダークモードとライトモードのバリエーションを含んでいる。


    Facebook用のBitB Chromeフィッシングウィンドウの例(画像をクリックすると拡大表示されます)

     mr.d0xは、このテンプレートは大変簡単なので、あらゆるオンライン プラットフォーム用のシングル サインオンのログインフォームを表示するための説得力のあるChromeウィンドウの作成に使用することができるとBleepingComputerに告げている。
     この研究者は、レッドチームのメンバーが、このテンプレートを単純にダウンロードし、それらを希望するURLとWindowsタイトルを含めるように編集し、iframeを使用してログインフォームを表示することができていると発言している。
     また、直接ログインフォーム用のHTMLをこのテンプレートに追加することも可能であるが、mr.d0xは、使用しているCSSとHTMLを適切にこのフォームと提携させる必要があるとBleepingComputerに告げている。
     Evilginxフィッシィングツールキットの作成者であるKuba Gretzkyは、この新しい方法をテストし、Evilginxプラットフォームで完璧に動作する方法を示している。これは、フィッシング攻撃中に二要素認証キーを盗むように改造することができることを意味している。

    この件に関するKuba GretzkyのTweetは、こちら。

     mr.d0xは、これは新しいテクニックではなく、Steam認証を盗むために2020年にインチキのゲームサイトによって使用されたもので、Zscalerによって報告されていると、BleepingComputerに告げている。

    この件に関するTheAppleFreakのTweetは、こちら。

     しかしながら、現在インチキのChromeウィンドウ用の予め作成されたテンプレートは利用可能であり、レッドチームのメンバーは、彼らの顧客や彼らの所有する企業の従業員の防衛力をテストするために説得力のあるフィッシング サインイン フォームを作成するために、このテンプレートを使用することができる。
     この新しいBrowser in the Browserフィッシング攻撃を試したい人々のために、 GitHubからこのテンプレートを入手することができる。


    TargetCompany身代金要求型マルウェアの犠牲者用の無料の復号ツールがリリースされた
    BleepingComputer : News>Security(2022/02/07)
     チェコのサイバーセキュリティ ソフトウェア企業Avastが、TargetCompany身代金要求型マルウェアの犠牲者のファイルを無料で復号する復号ユーティリティをリリースした。
     しかしながら、Avastは、この復号ツールは「特定の環境の下」で暗号化されたファイルを復元するためにのみ使用することができると警告している。
     この復号ツールを使用してファイルを復元したい犠牲者は、このツールがリソースを消費し時間のかかるプロセスになる可能性があることに注意する必要がある。
     「パスワードをクラッキングしている間、利用可能な全てのプロセッサのコアは、殆どの演算能力を復号パスワードを発見するために消費する。このクラッキング プロセスは10時間以上の膨大な時間がかかるかもしれない」と「この復号ツールは、定期的に進捗を保存する。これを中断させ、後でこの復号ツールを再起動させた場合は、以前開始されたクラッキング プロセスを復活させるオプションを提供してくる」とAvastは発言している。
     TargetCompany身代金要求型マルウェア復号ツールは、暗号化されたファイルとオリジナルの暗号化されていないファイルとを比較した後、パスパードをクラックすることによって機能する。
     Avastによると、これはTargetCompany身代金要求型マルウェアによって暗号化されたデバイス毎に一回実行する必要があり、この復号ウィザードは"I know the password for decrypting files"を選択することによって今までにクラックされた暗号化パスワードの入力を可能にする。


    TargetCompany復号ツール(画像をクリックすると拡大表示されます)

     TargetCompany身代金要求型マルウェアの犠牲者は、Avastサーバからこの復号ツール(64-bitもしくは、32-bit)をダウンロードし、この復号ツールのユーザインターフェイス中に表示されている指示を使用してディスクパーティション全体を復号することができる。
     「このウィザードの最後のページで、暗号化されたファイルをバックアップするか否かを決定することができる。これらのバックアップは、復号プロセス中に何らかの不都合が発生した場合に役に立つ可能性がある」と「このオプションはDefaultでONになっている。これは我々も推奨していることである。'Decrypt'をクリックすると、復号プロセスが開始される。復号ツールが作業しているので、終了するまで待ちなさい」と、Avastは追加している。
     AvastのTargetcompany身代金要求型マルウェア復号ツールの使用方法に関する更なる指示は、こちらで見つけることができる。
     Targetcompanyは、比較的新しく発見された身代金要求型マルウェア株であり、2021年06月中旬以来活動している。このマルウェアは、暗号化されたファイルに .mallox, .exploit, .architek, .brg拡張子を追加する。


    TargetCompany身代金要求型マルウェア サブミッション(画像をクリックすると拡大表示されます)

     また、このマルウェアは暗号化したファイルのある全てのフォルダに"HOW TO RECOVER !!.TXT"と名付けた脅迫文を投下する。
     これは、ボリューム シャドウ コピーを削除し、ブート オプションを再構成し、機密情報のデータベース(例えば、MySQL, Oracle, SQL Server)をロックする可能性のあるプロセスをKillした後に発生する。
    Avastは、2021年10月に、Babuk, AtomSilo, LockFile身代金要求型マルウェアに関して、犠牲者が身代金を支払うことなくファイルの復元を可能にする無料の復号ツールをリリースしている。


    注目される新しいSugar身代金要求型マルウェアの低い身代金要求額
    BleepingComputer : News>Security(2022/02/04)
     新たなSugar身代金要求型マルウェア作戦は、企業ネットワークよりはむしろ積極的に個人のコンピュータを低い身代金額で攻撃している。
     Walmart Security Teamによって最初に発見された'Sugar'は、新しいRansomware-as-a-Service (RaaS)であり、2021年11月に始まり、徐々にスピードアップしてきている。
     この身代金要求型マルウェアの名前は、Walmartによって発見されたこの作戦のアフィリエイト サイト 'sugarpanel[.]space'に由来する。
     このニュースに関して、貴方方が読んできた殆どの身代金要求型マルウェアと異なり、Sugarは企業ネットワークをターゲットにしておらず個人のデバイス、おそらくコンシューマ(【訳注】在宅ビジネスを含む、自宅で使用するために製品を購入する顧客(Microsoft用語集より))や中小企業をターゲットにしているようである。
     この身代金要求型マルウェアが、どのように拡散し、あるいは犠牲者に感染しているのか明らかではない。

    Sugar身代金要求型マルウェア

     起動すると、Sugar身代金要求型マルウェアは、そのデバイスのIPアドレスと地理的場所を取得するために whatismyipaddress.com と ip2location.com に接続する。
     次に、http://cdn2546713.cdnmegafiles[.]com/data23072021_1.datから76MBのファイルをダウンロードして続行するが、このファイルがどのように使用されるのかは不明である。
     最後に、この身代金要求型マルウェア作戦のコマンドアンドコントロールサーバに、この攻撃に関連するデータを送受信する場所である179.43.160.195に接続する。この身代金要求型マルウェアは、実行時にコマンドアンドコントロールサーバにコールバックし続ける、おそらく攻撃の状況からRaaSをアップデートするために。


    Sugar身代金要求型マルウェアによって生成されたネットワーク トラフィック(画像をクリックすると拡大表示されます)

     ファイルを暗号化する時、この身代金要求型マルウェアは、以下のフォルダ中にリストされているファイルや以下のファイル名を持つものを除く全てのファイルを暗号化する。

      除外されるフォルダ:

       \windows\
       \DRIVERS\
       \PerfLogs\
       \temp\
       \boot\

      除外されるファイル:

       BOOTNXT
       bootmgr
       pagefile
       .exe
       .dll
       .sys
       .lnk
       .bat
       .cmd
       .ttf
       .manifest
       .ttc
       .cat
       .msi;

     Walmartの研究者は、この身代金要求型マルウェアはSCOP暗号化アルゴリズムを使用してファイルを暗号化していると発言している。この暗号化されたファイルは、そのファイル名に .encoded01 拡張子を持っている。


    Sugarに暗号化されたファイルは .encode01拡張子が付く(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは、そのコンピュータ上でスキャンされたファイルの各フォルダにBackFiles_encoded01.txtと名付けた脅迫文もまた作成する。
     この脅迫文は、犠牲者のファイルに発生したことに関する情報、一意のID、身代金の支払い方法に関する情報のあるTorサイトへのリンクを含んでいる。このTorサイトは、chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onionである。


    Sugarの脅迫文(画像をクリックすると拡大表示されます)

     Torサイトに訪問すると、犠牲者は身代金を送信するためのビットコインのアドレス、チャットセクション、無料で5ファイルを復号するための機能を含む犠牲者独自のページが表示される。


    SugarのTor支払いサイト(画像をクリックすると拡大表示されます)

     この作戦の身代金額は非常に低い。BleepingComputerによって確認された攻撃でのキーを受け取るための要求額は、数百ドルであった。不思議なことに、我々のテストボックスでの結果として得られた要求額は、僅か0.00009921ビットコイン($4.01=462.05円、本日15:22時点の換算)
     BleepingComputerは少数のファイルを持つ仮想マシンでこの身代金要求型マルウェアをテストしたので、この身代金要求型マルウェアは暗号化したファイルの数に基づいて身代金額を生成していることを示している可能性がある。


    Sugar身代金要求型マルウェアのテストで要求された身代金(画像をクリックすると拡大表示されます)

     殆どの身代金要求型マルウェア感染とは異なり、このマルウェア実行ファイルは、暗号化を終了した後でさえ起動する。しかしながら、自動起動設定は作成されていない。そして、新しいドキュメントの暗号化の継続はしないようである。
     この時点で、この身代金要求型マルウェアが無料で復号を可能にする何らかの弱点を持っているか否かは不明である。さらなる情報が利用可能になれば、この記事はアップデートされる。
     更に、この身代金要求型マルウェアに感染した場合は、どのように感染したのかを我々に知らされたい。


    Microsoft: Windowsは確実なアップデートをするには少なくとも8時間を必要とする
    BleepingComputer : News>Security(2022/01/29)
     Windowsアップデートを介してアップデートがリリースされた後、Windowsデバイスが最新のアップデートを取得し、間違いなくインストールするには少なくとも8時間オンライン上に存在していることが必要であると、Microsoftは発言している。
     Windowsを実行しているデバイスに電源が入り、Windowsアップデートに接続されている総時間は'Update Connectivity'としてMicrosfotによって追跡されている。
     この測定値は、システムの接続時間の不足と、システムがアップデートされていない理由を相互に関連付けているので、一部のデバイスが、最近リリースされたアップデートを正常に取得できない理由であることの解りやすい説明となっている。
     David Guyer(MEM(【訳注】Microsoft Endpoint Manager、すべてのエンドポイントを管理するための単一の統合エンドポイント管理プラットフォーム(Microsoftより))のWindows Updatesに関するMicrosoft Program Manager)によると、Windows Deviceが最新のアップデートを取得し、成功裏にインストールするには少なくともオンライン上に8時間を必要とする。
     「我々の調査で最も影響力のあることの一つは、QualityとFeatureのアップデートが正常にインストールできるようになるにはデバイスの電源をONにし、そして、Windows Updateに接続している必要時間であった」と「我々が発見したことは、接続時間が必要時間に満たないデバイスは、正常にアップデートされそうもない。具体的には、データは、デバイスが確実に更新されるためには、最低2時間の継続的な接続とアップデートがリリースされた後、合計6時間の接続を必要としていることを示している」と、更に「これは、正常なダウンロードとバックグラウンド インストレーションを可能にするので、デバイスがアクティブであり、接続されている限り、再起動もしくはレジューム(【訳注】コンピュータの実行状態を保存して停止させ、次に使用するとき即座に停止直前の状態に復帰する機能(e-Wordより))することができる」とGuyerは発言している。
     Guyerはまた、アップデートをダウンロードし適切にインストールするには、デバイスは電源ONのまま一晩中Internetに接続していたほうがいいと発言している。


    更新プログラム用のIntuneコンプライアンス警告(画像をクリックすると拡大表示されます)

     デバイス > モニター に移動して、Featureアップデートの失敗もしくは、Windows Expeditedアップデート失敗レポートの何れかを選択することによってMicrosoft Intuneを介してUpdate Connectivityが十分でないデバイスを追跡することができる。
     Update Connectivity不十分警告は、Reports > Windows updates > Reports > Windows Expedited update report に進みIntune中のSummaryレポートを介して発見することもできる。
     完全にアップデートされず、最小接続要求未満のWindows 10デバイスを検証した時、Microsoftは以下のように理解していた:

      ・ Windows 10のビルドをサービスされないデバイスの凡そ50%は、最小Update Connectivity計測値を満たしていない。
      ・ ビルドがサービスされたWindows 10デバイスの凡そ25%は60日の期限を越えたセキュリティアップデートを持っており、これは、最小Update Connectivityを超えている。

     「アップデートの問題をトラブルシューティングするとき、十分なUpdate Connectivityを持つデバイスを選択することが最善であることが分かった」と「デバイスのUpdate Connectivityが不十分な場合、他の更新の問題の調査は複雑になる。これは、不十分なUpdate Connectivityが、新しい問題を作成することが理由である。この新しい問題は十分な接続が確立されると解消される」と、Guyerは付け加えている
     関連するニュースに於いて、Microsoftは、'Update Stack Package'と呼ばれる、Windows Update改善のためのよりスマートな配信方法のテストを開始した。これは、Windowsの月例もしくはFeatureのアップデートに先立ち、メジャーなOSアップデートを除くアップデート エクスペリエンスを改善するだろう。
     Microsoftはまた、Windows 11の累積アップデートをWindows 10コンピュータより凡そ40%小さくすることで、セキュリティとQualityアップデートをより高速にアップデートすることができるように再設計している。
     昨年、MicrosoftはWindows Updateを管理するための新しいAPIをリリースした。これは、開発者やITプロフェッショナルが、エンタープライズ環境で迅速なWindows10 セキュリティ アップデートを有効にするものである。


    Windows Defenderの弱点はハッカーにマルウェアの検出をバイパスさせることを可能にしている
    BleepingComputer : News>Security(2022/01/13)
     脅威のアクターは、Windows上のMicrosoft Defenderアンチウィルスの欠点(このアンチウィルスがスキャンしていないロケーションがあることを学習)を悪用し、そこにマルウェアを植え付けている。
     一部のユーザによると、この問題は少なくとも8年間続いており、Windows 10 21H1とWindows 10 21H2に影響を与える。

    緩いパーミッシヨン

     他のあらゆるアンチウィルス同様に、Microsoft Defenderは、マルウェアのスキャンから除外されるシステム上の場所(ローカルやネットワーク)を追加することをユーザに許可している。
     人々は一般的に、正当なアプリケーションの機能がマルウェアとして誤検出され、その機能に影響が及ぶことを防ぐために除外設定を実行している。
     スキャン除外リストはユーザによって異なるが、システム上の攻撃者にとって有用な情報である。このスキャン除外リストは、検出される恐れなしに悪意あるファイルを格納できる場所を攻撃者に与えている。
     セキュリティ研究者は、Microsoft Defenderのスキャンから除外される場所のリストが保護されておらず、あらゆるローカルユーザが、このファイルにアクセスできることを発見した。
     無頓着なパーミッションで、ローカルユーザはレジストリを検索したり、Microsoft Defenderがマルウェアもしくは危険なファイルのチェックを許されていないパスを認識することができる。


    (画像をクリックすると拡大表示されます)

     Antonio Cocomazzi(RemotePotato0脆弱性に関するレポートで有名なSentinelOneの脅威研究者)は、この情報が保護されていないと指摘し、機密として考慮されるべきものであり、“reg query”コマンドを実行すると、Microsoft Defenderがスキャンしないように命令されている全てのもの(ファイル、フォルダ、拡張子、プロセス)が明らかになると指摘している。


    (画像をクリックすると拡大表示されます)

     他のセキュリティエキスパートNathan McNultyは、この問題はWindows 10のバージョン21H1と21H2に存在するが、Windows 11には影響を与えないことを確認している。
     McNultyはまた、誰もがGroup Policy設定を格納しているエントリのあるレジストリツリーから、除外リストを入手できることも確認している。この情報は、複数のコンピュータに関して除外を提供しているときには、より機密性が高くなる。
     Microsoftスタックの保護に精通したセキュリティアーキテクトであるMcNultyは、サーバー上のMicrosoft Defenderには「特定の役割または機能がインストールされたときに有効になる自動除外」があり、これらはカスタム ロケーションをカバーしていないと警告している。
     脅威のアクターは、Microsoft Defenderの除外リストを取得するためにローカルアクセスを必要とするが、これはハードルと言うには程遠い。多くの攻撃者は既にセキュリティ侵害したた企業ネットワークに存在しており、可能な限りステルスに横方向に移動する方法を探している。
     Microsoft Defenderの除外リストを知ることによって、Windowsマシンを既にセキュリティ侵害している脅威のアクターは、検知される恐れなしに除外されているフォルダにマルウェアを格納し実行することができる。
     Bleeping Computerが実行したテストでは、除外フォルダから実行されたマルウェアは、Windowsシステムですいすいと稼働し、Microsoft Defenderからの警告を発生させなかった。
     我々がConti身代金要求型マルウェアのサンプルを使用し、これを通常のロケーションから実行すると、Microsoft Defenderは、効力を生じこのマルウェアをブロックした。
     Conti身代金要求型マルウェアを除外フォルダに配置した後、このマルウェアを実行すると、Microsoft Defenderは如何なる警告も表示せず、如何なるアクションも取らず、このマルウェアがマシンを暗号化することを許した。
     このMicrosoft Defenderの欠点は新しいものではなく、過去にPaul Boltonによって公にされている。


    (画像をクリックすると拡大表示されます)

    或る上級セキュリティコンサルタントは、彼らは、およそ8年前にこの問題に気づき、マルウェア開発者にこれを提供する利点を認識していたと発言している。

     「もしも私がマルウェア開発者だったなら、Windows Defenderの除外を検索し、間違いなく私のペイロードを除外フォルダにドロップするか、ドロップするペイロードに除外されているファイル名と同じ、もしくは拡張子と同じ名前を付けるように常に自分自身に言い聞かせる - Aura」

     この長きに渡り、Microsoftがこの問題を未だに解決していないので、ネットワーク管理者は、グループポリシーを介してサーバーローカルマシンでMicrosoft Defenderの除外を適切に構成するためのドキュメントを参照する必要がある。


    Windowsの新しいKB5009543, KB5009566アップデートはL2TP VPN接続を破壊する
    BleepingComputer : News>Security(2022/01/12)
     Windows 10のユーザと管理者が、最近のWinodows 10用のKB5009543とWindows 11用のKB5009566累積アップデートをインストールした後に、L2TP VPN(【訳注】「L2TP」と「IPsec」の2つのプロトコルを併用したVPN接続方式。モバイル端末(スマートフォン、PCなど)から、インターネット経由で企業などのプライベートネットワークへ安全に通信(リモートアクセス)できる仕組み(YAMAHAより))接続に問題が発生したと報告している。
     昨日、Microsoftは、2022年1月の定例パッチの一部としてセキュリティ上の脆弱性とバグを修正するWindows Updateをリリースした。
     これらのアップデートは、Windows 11用のKB5009566と、Windows 10 2004/20H1/21H1用のKB5009543を含んでいる。

    アップデートはL2TP接続を破壊する

     昨日のアップデートをインストールした後、Windowsユーザは、Windows VPNクライアントを使用して接続しようとした時、L2TP VPNが破壊されていることを発見した。
     VPNデバイスに接続しようとした時、彼らは、以下に示す"Can't connect to VPN. The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer(VPNに接続できません。リモートコンピュータとの最初の交渉中にセキュリティ層が処理エラーに遭遇したため、L2TP接続の試行に失敗しました(和訳はソフトアンテナより引用) )"というエラーメッセージを表示された。


    L2TP VPN接続時のWindowsエラー(画像をクリックすると拡大表示されます)

     このイベントログは、エラーコード789(VPN接続に失敗した)と述べるエントリをログしている。


    L2TP VPN接続の失敗に関するWindowsイベントログ(画像をクリックすると拡大表示されます)

     このバグは全てのVPNデバイスに影響を与えるのではなく、接続を確立するために組み込みのWindows VPNクライアントを使用したユーザにのみ影響するようである。
     Twitter上でRonnyとして知られるセキュリティ研究者は、このバグはWindows VPNクライアント使用している人々のUbiquiti(【訳注】米国に本拠を置くテクノロジ企業)のClient-to-Site VPN接続に影響を与えているとBleepingComputerに話した。
     多くのWindows管理者もまたRedditに、このバグはSonicWall, Cisco Meraki, WatchGuard Firewallへの接続に影響を与えており、後者のクライアントもこのバグの影響を受けていると報告している。
     多くのユーザは未だリモートで作業しているので、管理者はKB5009566とKB5009543アップデートを削除せざるをえない。これで再起動すると直ちにL2TP VPN接続は修復される。
     Windowsユーザは、管理者に特権を昇格させたコマンドプロンプトで以下のコマンドを使用することでKB5009566とKB5009543を削除することができる。

    Windows 10: wusa /uninstall /kb:5009543
    Windows 11: wusa /uninstall /kb:5009566

     しかしながら、Microsoftは単一のWindows累積アップデートに全てのセキュリティアップデートを同梱しているので、このアップデートを削除すると、1月の定例アップデートでパッチした脆弱性に関する全ての修正が削除される。
     それ故、Windows管理者は、パッチが適用されていない脆弱性のリスクと、VPN接続に接続できないことによって引き起こされる混乱のリスクを比較検討する必要がある。
     どれがこのバグを引き起こしているのかは明らかではないが、Microsoftの1月の定例パッチはWindows Internet Key Exchange (IKE)プロトコル中の多くの脆弱性(CVE-2022-21843, CVE-2022-21890, CVE-2022-21883, CVE-2022-21889, CVE-2022-21848, CVE-2022-21849)を修正している。また、この問題を発生させる可能性があるWindows Remote Access Connection Manager中の脆弱性(CVE-2022-21914CVE-2022-21885) を修正している。
     残念ながら、現時点でL2TP VPN接続の修正もしくは解決策は分かっていない。
     BleepingComputerは、このバグに関してMicrosoftに尋ねたが、未だに返答はない。


    新しいSysJokerバックドアはWindows, macOS, Linuxをターゲットにしている
    BleepingComputer : News>Security(2022/01/11)
     'SysJoker'と名付けられた新しいマルチプラットフォーム バックドアが、オンライン上に出現した。このバックドアはWindows, Linux, macOSをターゲットにしており、三つのオペレーティングシステム全てで検出を回避する能力を持っている。
     この新しいマルウェアの発見は、LinuxベースのWebサーバへの攻撃を調査していた2021年12月、この行動の兆候を最初に発見したIntezerの研究者からである。
     VirusTotalへのこのマルウェアサンプルの最初のアップロードは、2021年下半期に発生している。これはまた、C2ドメイン登録時間と一致している
     このセキュリティ アナリストは、SysJokerに関する詳細な技術情報を公開している。研究者達は、公開前にBleepingComputerとこの情報を共有していた。

    Jokerは注目を集めるのが嫌い

     このマルウェアはC++で書かれており、各変種はターゲットのオペレーティングシステム用に適合されているが、それら全てがVirusTotal(57の異なるアンチウィルス検出エンジンを使用するオンライン スキャンサイト)で未検出である。  Windowsで、SysJokerは第一段階でDLLの形式でドロッパーを使用する。これは、以下に示すことを実行するためにPowerShellコマンドを使用する。

      ・ GitHubレポジトリからSysJoker ZIPを掴む
      ・ "C:\ProgramData\RecoverySystem\”に、これを解凍する
      ・ このペイロードを実行する
     次に、このマルウェアは最大2分間ほど活動しない。その後、新しいディレクトリを作成し、Intel Graphics Common User Interface Service ("igfxCUIService.exe”)としてそれ自身をコピーする。


    Windows上でのSysJokerの全実行プロセス(画像をクリックすると拡大表示されます)

     「次に、SysJokerはLiving off the Land (LOtL、【訳注】自給自足/環境寄生と訳され、マルウェアが既存のリソースを利用して溶け込み、AV やサンドボックスの解析による検出を回避するための手法(Deep Instinctより))コマンドを使用してマシンに関する情報を収集する。SysJokerは、このコマンドの結果をログするために様々な一時テキストファイルを使用している」と、「これらのテキストファイルは即座に削除され、JSONオブジェクトに格納される。次にエンコードされ、"microsoft_Windows.dll”と名付けられたファイルに書き込まれる」とIntezerのレポートは説明している。
     システムとネットワークデータを収集した後、このマルウェアは、新しいレジストリキー(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)を追加することで永続性を作成する。全ての機能がこの段階に到達する間は、ランダムな活動しない時間が挿入される。
     このマルウェアの次のステップは、そのアクターが制御しているC2サーバと心を通わせることである。これはハードコードされたGoogle Driveリンクを使用している。


    ハードコードされたGoogle Driveリンクの解明(画像をクリックすると拡大表示されます)

     このリンクは、アクターが利用可能なサーバをライブビーコンに提供するために恒常的にアップデートしている"domain.txt”ファイルをホストしている。このリストは検出とブロックを回避するために、しょっちゅう変更されている。
     感染の初期段階で収集されたシステム情報は、最初のハンドシェイク(【訳注】通信する前に制御情報を交換すること)としてC2に送信される。このC2は感染した末端の同定子として一意のトークンで応答する。
     そこから、このC2は、追加のマルウェアをインストールしたり、感染したデバイス上でコマンドを実行したり、あるいは、バックドアがそれ自体をこのデバイスから削除するようにこのバックドアに命令する。けれども、この最後の二つの指示は未だ実装されていない。


    SysJoker C2通信ダイアグラム(画像をクリックすると拡大表示されます)

     LinuxとmacOS用の変種は初期段階でDLL形式のドロッパーを持っていないが、最終的には感染したデバイス上で同じ悪意ある挙動を実行する。

    検出と防御

     Intezerは、彼らのレポート中にあらゆるIndicators Of Compromise(IOCs、【訳注】侵害の痕跡 (IOC) により、差し迫った攻撃、ネットワーク侵害、マルウェア感染を把握できる(Intsightsより))を提供しているので、管理者は感染したデバイスにSysJokerの存在を検出するために使用することができる。
     以下に、各オペレーティングシステムに関するIOCの一部を概要する。

     Windows、このマルウェアのファイルは"C:\ProgramData\RecoverySystem"フォルダの下、C:\ProgramData\SystemData\igfxCUIService.exe,とC:\ProgramData\SystemData\microsoft_Windows.dllに配置される。
     永続性のために、このマルウェアは、igfxCUIService.exeマルウェア実行ファイルを起動する"igfxCUIService"のAutorun "Rnu"値を作成する。

     Linux、このファイルとディレクトリは"/.Library/”の下に作成され、永続性は以下のcronジョブ: @reboot (/.Library/SystemServices/updateSystem)を作成することで確立される。

     macOS、このファイルは"/Library/”に作成され、永続性は、パス: /Library/LaunchAgents/com.apple.update.plistの下のLaunchAgentを介して達成される。

     Intezerレポートで公開されたC2ドメインは以下である:

      ・ https[://]bookitlab[.]tech
      ・ https[://]winaudio-tools[.]com
      ・ https[://]graphic-updater[.]com
      ・ https[://]github[.]url-mini[.]com
      ・ https[://]office360-update[.]com
      ・ https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
      ・ https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

     SysJokerにセキュリティ侵害されたことを発見した場合には、以下の三つのステップに従いなさい:

      1 このマルウェアに関連する全てのプロセスをKILLしなさい。そして、手動でファイルと関連する永続性メカニズムを削除しなさい
      2 メモリ スキャナを実行し、悪意ある全てのファイルが感染したシステムから根こそぎ削除されていることを確実にしなさい
      3 潜在的なエントリポイントを調査する、ファイアーウォールの設定をチェックする、全てのソフトウェアツールを利用可能な最新バージョンにアップデートする


    Microsoft: KB5008212 Windowsセキュリティ アップデートはOutlookの検索を破壊する
    BleepingComputer : News>Security(2022/01/06)
     Microsoftは、12月の定例パッチでリリースされたWindows 10 バージョン21H2セキュリティアップデートによって発生する問題(Microsoft 365用のOutlookに検索トラブルを導く)を認識していた。
    KB5008212アップデートをインストールすると、その後のeMailは検索結果に表示されない可能性がある」と、Microsoftは最近公開したOfficeサポートドキュメントで説明している。
     Microsoftは、現在調査中であり可能な限り早急に詳細な情報とアップデートを提供すると発言している。
     この新たに知られた問題は、Windows 11にアップグレードしたシステム上で発生する別の問題と大変類似しており、同様に検索トラブルを引き起こしている。
     この新しいバグと同じではないが、これらの問題は、Windows 11 プレビュービルドをユーザがインストールし始めた2020年6月に表面化し始めた。この時は、アップグレードプロセス中にWindows検索インデックスを削除していた。
     顧客は現時点で、Windows Desktop Searchを無効にしOutlookの検索エンジンに切り替えるようにレジストリキーを設定することで、Outlookの検索が結果を返してこない問題は修正できるとアドバイスされている。
     組み込みの検索が開始されると、Outlookは、"search performance will be impacted because a group policy has turned off the Windows Search service."を表示し、パフォーマンスに影響がでると警告してくる。

    Outlookの検索が機能しない問題に関する一時的な解決策

     MicrosoftはWindows 10 KB5008212セキュリティアップデートによって発生した検索トラブルの修正が利用可能になるまでの解決策として同じアプローチを推奨している。
     Outlook用のWindows Desktop Searchを無効にするには以下の手順に従う必要がある:

      1.ログイン後、Startボタンを右クリックし、Runを選択する。開いたダイアログボックスでregeditとタイプしOKをクリックする。これでレジストリエディタが起動する。
      2.以下に記すレジストリ中のサブキーを発見し、クリックする。
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
    • 3.Edit > New > Key をクリックし、この新しいキーをWindows Searchと名付ける。
      4.新しいWindows Searchキーを選択する。
      5.Edit > New > DWORD Value をクリックする。
      6.このDWORDの名前にPreventIndexingOutlookとタイプし、Enterをクリックする。
      7.PreventIndexingOutlookを右クリックし、次にModifyをクリックする。
      8.Valueデータボックスで、このレジストリ エントリを有効にするために 1 をタイプし、OKをクリックする。
      9.レジストリエディタを終了する。次にOutlookを再起動する

     Windows Desktop Searchを復活させたい場合は、0をタイプし、OKをクリックすることでPreventIndexingOutlookを無効化する必要がある。
     Microsoftはまた、以下の問題を含む他の既知のOutlook問題に関する解決策を公開している:


    米国の警察はフィッシング用QRコードの付いたパーキングメータを警告している
    Bitdefender : Industry News(2022/01/05)
     急いで車を駐車したい? パーキングメータ用の現金を探すためにポケットを探し回りたくない? あるいは、電話に正しい支払いアプリケーションをインストールしていない?
     ところで、メータの側面に貼り付けてある支払いQRコードを慌ててスキャンする前に注意深く考えよう。それは、あなたの金融情報を釣り上げるために詐欺師によって企てられたものかもしれないと。
     警察は、パーキングメータにQRコードが貼り付けられておらず、コイン、カード、スマートフォンアプリでのみ支払うことができるテキサス州オースティンで、公共のパーキングメータに貼り付けられたインチキのQRコードを発見したと警告している。


    2022/01/03 オースティン警察Twitter(画像をクリックすると拡大表示されます)

     この都市の訪問者や疑うことを知らない急いでいる人々が、考えもなしにこのインチキのQRコードを単純にスキャンしたら何が起こるのだろうか?
     オースティン警察が発見したこのQRコードは、疑うことを知らないユーザを詐欺のためのWebサイトに連れて行く、そして、希望の駐車時間の料金が支払われるという偽の契約で支払い情報の詳細を訪ねてくる。
     オースティン市役所は、サン アントニオの職員によって類似のQRコードスカムを通知された後、そのパーキングメータをチェックした。彼らは、12月下旬同様に貼られた100を超えるパーキングメータを発見した。
     サン アントニオ警察のMarcus Booth警部補は、このWebページは希望する駐車時間用の支払いを受け入れるように装っており、金銭は市の財源になるのではなくスカマーの手に落ちるとレポータに告げている。
     簡単に言えば、窃取の犠牲者は車の運転手だけでなく、市もまた犠牲者である。
     二つの市でパーキングメータに貼り付けた攻撃が関連しているのか、模倣なのかは不明である。しかし、明らかに、他のグループが他のアメリカの都市や世界の他の場所で実際に複製することが難しいスカムではない。
     結果として、パーキングメーターの代金は現金もしくは適切なスマートフォンアプリを介して支払う方が賢明であるかもしれない。
     当局は、詐欺用のパーキングメーターのQRコードにだまされた可能性があると思われる人は誰でも、警察に報告し、直ぐに支払いカードの発行者に通知するように勧めている。
     他方、バッジを付けた市職員以外の者がパーキングメーターを弄っているのを発見したなら、やるべきことをして、警察に電話しなさい。


    RedLineマルウェアはパスワードをブラウザ中に保存してはならないことを示している
    BleepingComputer : News>Security(2021/12/28)
     RedLine情報窃取マルウェアは、Chrome, Edge, Operaのような人気のWebブラウザをターゲットにしており、ブラウザ中にパスワードを格納することが悪い考えであることを証明している。
     しかしながら、AhnLab ASECからの新しいレポートは、Webブラウザの自動ログイン機能を使用する便利さが、組織と個人の両方に影響を与える重大なセキュリティ問題になりつつあると警告している。
     アナリストが提示した例では、リモートの従業員は、VPNアカウント認証情報を失い、これを窃取したRedLine Stealerのアクターが、この情報を使用して三ヶ月後にこの企業のネットワークをハッキングしていた。
     感染したコンピュータにアンチマルウェア ソリューションがインストールされている場合でも、RedLine Stealerの検出と削除に失敗している。
     このマルウェアは、ChromiumベースのWebブラウザ中に見出される「ログインデータ」をターゲットにしている。そして、このデータはユーザ名とパスワードを保存しているSQLiteデータベースである。


    データベース ファイルに格納されている認証情報(画像をクリックすると拡大表示されます)

     Chromiumベースのブラウザに使用されているようなブラウザ パスワードストアは暗号化されているが、情報窃取マルウェアは、同一のユーザとしてログインしている限りプログラムを使用してストアを復号することができる。RedLineは感染したユーザとして実行されているので、感染したユーザのブラウザ プロファイルからパスワードを抽出することができる。
     「Google ChromeはWindows組み込みのCryptProtectData関数でパスワードを暗号化する。現在、この関数はtriple-DESアルゴリズム(【訳注】共通鍵ブロック暗号であるDESを3回施す暗号アルゴリズム(Wikipediaより))を使用し、データを暗号化するためにユーザ特定のキーを作成する非常に安全な関数であるが、パスワードを暗号化したユーザと同じアカウントでログインした場合にはパスワードを復号することができる」と、「このCryptProtectData関数は、その逆を実行するCryptUnprotectDataとの双子である。想像しているように、この関数はデータを復号する。これは明らかに、格納されているパスワードを復号するために大変有用である」と、'chrome_password_grabber'プロジェクトの著者は説明している。
     ユーザがブラウザ中にこの認証情報の格納を拒否した場合でさえ、このパスワード管理システムは、特定のWebサイトが「ブラックリストに登録されている」ことを示唆するために依然としてエントリを追加する。
     この脅威のアクターは、この「ブラックリストに登録されている」アカウント用のパスワードを持っていない可能性があるが、それは、そのアカウントが存在していることを彼らに告げているので、認証情報要素や、ソーシャルエンジニアリングやフィッシング攻撃を実行することを可能にしている。


    RedLine Stealerの機能(画像をクリックすると拡大表示されます)

     盗んだ認証情報を収集した後、脅威のアクターはそれらを将来の攻撃に使用するか、あるいはダークWeb市場でそれらを販売することによって現金化しようとする。
     RedLineがハッカーに広汎に普及している例は、'2easy'ダークWeb市場の台頭である。此処で販売されていたデータの半分がこのマルウェアを使用して盗まれたものである。
     RedLine拡散の最近の他のケースは、パスワード窃取マルウェアをダウンロードしインストールさせるExcel XLLファイルを使用するWebサイト コンタクト スパムキャンペーンである。
     RedLineは今、何処にでもいるかのようである。この主たる理由は、最先端のWebブラウザが解決することを拒否している広汎に利用可能なセキュリティギャップのセキュリティ侵害に効果的なことにある。

    代わりに実行すること

     ログイン認証情報を格納するためにWebブラウザを使用することは、魅力的であり便利であるが、これを十個刷ることはマルウェア感染していなくても危険である。
     これを実行することによって、あなたのマシンにアクセスを持っているローカルもしくはリモートアクターは数分のうちにあなたの全てのパスワードを盗むことができる。
     代わりに、専用のパスワードマネージャを使用することが最善である。専用のパスワードマネージャは暗号化された金庫室にすべてのものを格納し、金庫室を解錠するにはマスターパスワードが要求される。
     更に、e-バンキング ポータルや企業資産のWebページのような重要なWebサイト用に特別なルールを設定する必要があり、手動で認証情報をインプットすることが要求される。
     最後に、これが利用可能な場合は常に多要素認証をアクティブにしなさい。この追加のステップで認証情報がセキュリティ侵害された場合でもアカウント乗っ取り事案からあなたは保護される。


    ステルス性BLISTERマルウェアはWindowsシステムに気づかれずに潜り込む
    BleepingComputer : News>Security(2021/12/23)
     セキュリティ研究者は、悪意あるコードを正当な実行ファイルのように装うために有効なコードサイニング証明書(【訳注】コンピュータプログラムを配布・販売する際に、利用者が発行元の確認や改竄検知ができるように付与されるデジタル署名の証明書(e-Wordsより))に依存する悪意あるキャンペーンを発見した。
     この研究者達がBlisterと呼んだペイロードの一つは、他のマルウェア用のローダーとして挙動し、低い検出率を楽しむ新しい脅威のようである。
     Blisterの背後にいる脅威のアクターは、彼らの攻撃を探知されないようにする複数のテクニックに依存しており、コードサイニング証明書は彼らのトリックの一つに過ぎない。

    署名、シール化、拡散

     Blisterマルウェアの背後にいる者は、検索会社Elasticの研究者達が発見した、遅くとも9月15日以降少なくとも三ヶ月間キャンペーンを実行してきている。
     この脅威のアクターは8月23日から正当なコードサイニング証明書を使用している。この証明書はロシアのプロバイダーMail.RuのeMailアドレス付きでBlist LLCと呼ばれる企業のためにデジタルアイデンティティ プロバイダSectigoによって発行されていた。

     正当な証明書をマルウェアにサインして使用することは、脅威のアクターが数年前に学習した古いトリックである。その時点に戻る。彼らは正当な企業から証明書を盗んで使用していた。今日、脅威のアクターは彼らがセキュリティ侵害した企業もしくは、隠れ蓑の企業の詳細を使用して正当な証明書を要求している。
     今週のブログへの投稿に於いて、Elasticは、証明書の悪用をSectigoに対して責任を持って通知したので、この証明書は取り消される可能性があると発言している
     この研究者達は、この脅威のアクターが複数のテクニックに依存して攻撃を検出されないようにしていると発言している。その一つの方法が、Blisterマルウェアを正当なライブラリ(例えば、colorui.dll)に埋め込むことであった。
     このマルウェアは、次にrundll32コマンドを介して特権の昇格を実行する。正当な証明書付きでサインされ管理者特権で配備されると、Blisterはセキュリティソリューションをすり抜ける。
     次のステップで、Blisterは、リソースセクションから「高度に難読化」されたブートストラッピング コードを平文化すると、Elasticの研究者達は発言している。10分間、このコードは、おそらくSandobox解析を回避するために睡眠状態のままになっている。
     次に、行動を起こし、リモートアクセスを提供するために埋め込まれているペイロードを復号し、水平方向への移動(過去、複数の脅威のアクターによって使用されたCobalt StrikeやBitRAT同様に)を可能にする。
     このマルウェアは、rundll32.exeのように装いProgramDataフォルダや他のフォルダにコピーすることで永続性を達成している。これは、スタートアップの場所に追加されるのでブートの度にexplorer.exeのチャイルドとして起動される。
     Elasticの研究者達は、Blisterローダの署名されたバージョンと未署名のバージョンを発見している。そして、共にVirusTotalスキャンニングサービスのアンチウィルスエンジンで低い検出率を誇っている。


    未署名Blisterマルウェアのサンプルの検出率(画像をクリックすると拡大表示されます)

     初期感染ベクトルのこれらの攻撃の目的は不明なままであるが、正当なコードサイニング証明書、正当なライブラリへのマルウェアの埋め込み、メモリ中でのペイロードの実行を組み合わせることによって、この脅威のアクターは攻撃の成功率を高めている。
     Elasticは、Blisterの挙動を同定するためにYara(【訳注】マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(SIOS SECURITY BLOGより))ルールを作成し、組織がこの脅威を防衛するための支援となる改竄の兆候を提供している。


    新しいステルス性DarkWatchmanマルウェアはWindows Registryに隠れいている
    BleepingComputer : News>Security(2021/12/19)
     'DarkWatchman'と名付けられた新しいマルウェアが、サイバー犯罪地下組織に出現した。このマルウェアは、C#キーロガーと組み合わされており軽量で高い能力を持つJavaScript RAT (Remote Access Trojan)である。
     Prevailionの研究者による技術レポートによると、この著名なRATは、主にロシアの組織をターゲットにしているロシア語で意思の疎通ができる攻撃者によって使用されている。
     DarkWatchmanの存在の最初の兆候は、脅威のアクターが悪意あるZIP添付ファイル付きのフィッシングeMailを介して、このマルウェアを拡散し始めた11月初めであった。


    DarkWatchman拡散に使用されているフィッシングeMailのサンプル(画像をクリックすると拡大表示されます)

     これらの添付されているZIPファイルには、アイコンを使用してテキストドキュメントに偽装した実行ファイルが含まれている。これらの実行ファイルは、RATとキーロガーをインストールする自己インストール型WinRARアーカイブである。


    ダウンロードされた添付ファイルのコンテンツ(画像をクリックすると拡大表示されます)

     このZIPファイルを開くと、ユーザは"Unknown Format"と記された囮のポップアップメッセージを表示される。しかし、実際にはペイロードがバックグラウンドでインストールされている。

    ステルス性「ファイルレス」RAT

     DarkWatchmanは大変軽量のマルウェアである、このJavaScript RATは32Kbのサイズであり、使用スペースは8.5Kbに過ぎないようにコンパイルされている。
     これは、"living off the land"(【訳注】マルウェアが既存のリソース(Microsoft Windowsに組み込まれた機能や信頼できるツール)を利用して溶け込み、AV やサンドボックスの解析による検出を回避するためのもの(DeepInstinctより))バイナリ、スクリプト、ライブラリの大きなセットを悪用し、モジュール間でのデータ転送のためにステルス性の手法を組み込んでいる。
     DarkWatchmanの魅力的な側面は、キーロガー用にWindows Registryファイル-レス(【訳注】ユーザに何らかの方法でソフトウェアをインストールさせて攻撃行動を実行するが、ディスクには痕跡を残さず、メモリ内だけに常駐して、攻撃を実行する手法(NECソリューションイノベータより))ストレージ メカニズムを使用していることである。
     ディスク上にキーロガーを格納する代わりに、ユーザがWindowsにログインする度にDarkWatchman RATを稼働するスケジュール タスクが作成されている。


    永続化のために追加されたスケジュール タスク(画像をクリックすると拡大表示されます)

     一旦起動すると、DarkWatchmanは、.NET CSC.exeコマンドを使用してキーロガーをコンパイルするPowerShellスクリプトを実行し、このキーロガーをメモリ中にロードする。
     「このキーロガーは、難読化されたC#ソースコードとして拡散し、Base64でエンコードされたPowerShellコマンドとして処理されレジストリに格納される。このRATが起動すると、このPowerShellスクリプトを実行し、次に、キーロガーをコンパイルし実行する」続いて「このキーロガー自体はC2(コマンドアンドコントロール サーバ)と相互通信はしないし、ディスク上への書き込みもしない。代わりに、このキーロガーがバッファとして使用しているレジストリキーにキーログを書き込む。この操作の間、このRATはログしたキーストロークをC2サーバに送信する前に、このバッファをスクレイピング(【訳注】必要なデータをWeb等から取得する行為)しクリアする」と、Prevailionの研究者Matt StaffordとSherman Smithは彼らのレポートの中で説明している。


    キーロガーをコンパイルするBase64でエンコードされたPowerShell(画像をクリックすると拡大表示されます)

     このように、レジストリはエンコードされた実行コードを隠すための場所としてだけではなく、C2に抽出した機密情報をコッソリ渡すまで、盗んだデータを保持するための一時領域でもある。
     C2コミュニケーションとインフラストラクチャに関して、DarkWatchmanのアクターは、10項目のシードリストと共にDGA(ドメイン生成アルゴリズム)を使用して、毎日最大500個のドメインを生成している。
     これにより、優れた作戦回復力が得られると同時に、通信のモニタリングと分析が非常に困難になる。
     DarkWatchmanの機能は以下である。
       ・ EXEファイルを実行します(出力が戻されるか否かに関係なく)
       ・ DLLファイルをロードする
       ・ コマンドラインでコマンドを実行する
       ・ WSHコマンドを実行する
       ・ WMIを介して多方面のコマンドを実行する
       ・ PowerShellコマンドを実行する
       ・ JavaScriptを評価する
       ・ 犠牲者のマシンからC2サーバーにファイルをアップロードする
       ・ RATとキーロガーをリモートから停止したりアンインストールする
       ・ C2サーバーアドレスまたはcall-home(【訳注】マルウェアがコンピュータや各種デバイスへの侵入に成功した後、追加的なファイルや情報などをダウンロードするためにC2サーバーに接続すること(@kkoichi1のTwitterより))タイムアウトをリモートからアップデートする
       ・ RATとキーロガーをリモートからアップデートする
       ・ 自動起動JavaScriptをRAT起動時に実行するように設定する
       ・ C2を切り替えるためのドメイン生成アルゴリズム(DGA)
       ・ ユーザーが管理者権限を持っている場合、vssadmin.exeを使用してシャドウコピーを削除する。

    この身代金要求型マルウェアの仮説

     Prevailionは、DarkWatchmanが、強力でステルスなツールで能力の低いアフィリエイトに権限を与える必要がある身代金要求型マルウェア グループによって(もしくは、身代金要求型マルウェア グループのために)テーラーメイドされた可能性があると理論付けしている。
     このマルウェアは、追加のペイロードをリモートでロードできるので、後続の身代金要求型マルウェアの配備のためのステルス性第1段階感染として使用される可能性がある。
     DarkWatchmanは、最初の足掛かりを作った後、このアクターが制御するドメインとコミュニケーションできるため、この身代金要求型マルウェアのオペレータは、ランサムウェアを接収したり配備したり、あるいは、ファイルの抽出を直接処理したりできる。
     このアプローチは、アフィリエイトの役割をネットワーク侵入者の役割にまで低下させ、同時にRaaSのオペレーションをより臨床的かつ効率的にしている。


    クレジットカード スティーラでハックされたサイトは数カ月間未検出だった
    BleepingComputer : News>Security(2021/12/15)
     脅威のアクターは顧客から盗んだ支払い情報が数カ月間未検出だったことから、この休日期間にクレジットカード スキミング攻撃を準備しているだろう。
     Megacartスキミングは、ターゲットのWebサイトに悪意あるJavaScriptコードを挿入することに関連する攻撃である。このJavaScriptは、訪問者がチェックアウトのページに存在している時に実行される。
     このコードは、クレジットカード番号、所有者名、住所、CVV(セキュリティコード)のような支払い情報の詳細を窃取する。そして、それらの情報をこのアクターに送信する。
     脅威のアクターは次に、この情報をオンラインでのグッズの購入に使用したり、地下フォーラムや"carding"サイトとして知られる暗黒Web市場で他のアクターに販売するために使用する。

    SCUFコネクション

     2021年10月、カスタムPCとコンソールコントローラのリーディング企業であるSCUF Gaming InternationalはMegacartで攻撃され、結果として32,000人の財務情報の詳細がセキュリティ侵害されていたことがAkamaiの研究者によって発見された。
     詳細な調査によって、このアナリスト達は、複数のサイトからクレジットカードの詳細を盗んだスキマーの広範なネットワークを運用している者が、SCUFに対する攻撃の責任者と同じ人物であることを発見した。
     被害を受けたサイトは以下である。
      ・ whitemountainshoes.com - 靴、履物類 (Alexa rank: 425k)
      ・ goldboutique.com - 宝石 (Alexa rank: 1.4 M)
      ・ nafnaf.com - ファッション性衣類 (Alexa rank: 85k)
      ・ schlafstaette.de - 睡眠製品
      ・ proaudiostar.com - プロ向けオーディオ機器 (Alexa rank: 150k)
      ・ truebrands.com - プロ向け飲料関連付属品 (Alexa rank: 113k)
      ・ loudmouth.com - 衣料品および特別なアパレル (Alexa rank: 1.2 M)
     Alexa rank番号が小さいほど、Webサイトが受け取るトラフィックが多いので、スキマーが未検出のまま存在する時間が長くなる、そこでMegacartのアクターが盗むクレジットカードの詳細が多くなる。
     このように、アクターは、スキマーが感染したサイト上で隠れるためにスクリプトの行動を価値のあるページに制限しているため、Akamaiの調査を困難にしている。
     「スキマーのコマンドアンドコントロール(C2)サーバーは、機密性の低いページで実行するとクリーンなコードで応答していることを発見した...」と、「...そして(スキマーは)クレジットカード情報が見つけられることのできるチェックアウトのページで実行された場合にのみ、悪意のあるコードを送信する」とAkamaiのレポートは説明している。
     Magecartのアクターが実行しているもう一つの検出防止手段は、ターゲットにしているWebサイト毎に新しいスキミング ドメインを登録していることである。
     スキミング操作が露見/発見された場合、そのドメインを非アクティブ化し他のサイトで悪意のある行動を続行している。
     この特定のケースでは、アクターは4つのWebサイトに同じC2ドメインを使用したため、小さなクラスターがほぼ同時に明らかになった。

    クリスマスの期間は警戒するようにアドバイスされている

     オンラインショッピングに耽っている消費者は、Magecartのアクターが積極的に活動するであろうクリスマスの間、特に注意するようアドバイスされている。
     スキマーの検出は、Eコマースサイト所有者の責任であり、訪問者の責任ではない。訪問者は代わりに次のことを行うことができる。
       最新(【訳者補注】もしくは、アップデートして)のインターネット セキュリティ ソリューションを使用する
      カードの代わりに電子的方法で支払う
      一回限りのバーチャル カードを使用する
       可能であれば代金引換で支払う
     今年、上記7つのWebサイトからクレジットカードを使用して何かを購入した場合は、支払いの詳細が危険にさらされていると考え、銀行に電話し、カードの交換を依頼しなさい。


    現在、新しい身代金要求型マルウェアがLog4Shell攻撃で配備されている
    BleepingComputer : News>Security(2021/12/14)
     身代金要求型マルウェアをダウンロードしインストールするために使用されているLog4j Log4Shell脆弱性の最初に公開されたケースは研究者たちによって発見された。
     先週の金曜日、公開された脆弱性攻撃は、Apache Log4j Javaベース ログイン プラットフォームで'Log4Shell'と名付けられた緊急の0-Day脆弱性に関するものであった。Log4jは、開発者のJavaアプリケーションにエラーやイベントログを追加することを可能にする開発フレームワークである。
     この脆弱性は、Log4jによって読み込まれた時、このプラットフォームが含まれているURLに接続しコードを実行するための特別なJNDI(【訳注】Java Naming and Directory Interfaceの頭文字)文字列を脅威のアクターが作成することを可能にしている。これは攻撃者が、簡単に脆弱性のあるデバイス検出したり、リモートサイトやBase64でエンコードされた文字列を介して供給されるコードを実行することを可能にするものである。
     この脆弱性は、Log4j 2.15.0で修正されLog4j 2.16.0で更に強化されたが、様々なマルウェア(coin miners, botnets, Cobalt Strike beaconsを含む)インストールするために脅威のアクターによって広範な脆弱性攻撃に使用されている。

    身代金要求型マルウェアをインストールする最初のLog4j脆弱性攻撃

     昨日、Bitdefenderは、Log4Shell脆弱性攻撃を介して直接身代金要求型マルウェアファミリーをインストールする最初のケースを発見したとレポートした。
     この脆弱性攻撃は、Log4jアプリケーションによってロードされ実行されるhxxp://3.145.115[.]94/Main.classからJavaクラスをダウンロードする。
     一旦ロードされると、'Khonsari'と名付けられた新しい身代金要求型マルウェア[VirusTotal]をインストールするために同じサーバから .NETバイナリをダウンロードする。
     この同じ名前はまた、以下に示すように暗号化されたファイルの拡張子や脅迫文としても使用されている。


    Khonsariの脅迫文(画像をクリックすると拡大表示されます)

     その後の攻撃に於いて、BitDefenderは、この脅威のアクターがOrcus Remote Access Trojanを拡散させるために同じサーバを使用していたことに気づいた。

    ワイパーの可能性が高い

     身代金要求型マルウェアのエキスパートMichael GillespieがBleepingComputerに告げたところによると、Khonsariは確固たる暗号化を使用しており、安全である。これはファイルを無料で復号することが不可能であることを意味している。
     しかしながら、この脅迫文には一つ奇妙な点がある。身代金を支払うために脅威のアクターに接触する情報が含まれていないようである。
     EmsisoftのアナリストBrett CallowがBleepingComputerに指摘したところによると、この身代金要求型マルウェアは、脅威のアクターではなくLouisianaアンティークショップのオーナーへの接触情報に因んで名付けられているとしている。
     それ故、この人が、この身代金要求型マルウェア攻撃の実際の犠牲者なのか、囮としてリストされているのかは不明である。
     理由の如何を問わず、これは脅威のアクターへの正当な接触情報を含んでいないので、我々は、これは身代金要求型マルウェアではなくワイパーであると確信している。
     これは、身代金要求型マルウェア(ワイパー?)を直接インストールするLog4j脆弱性攻撃の最初に知られたインスタンスである可能性がある。Microsoftは既に、この脆弱性攻撃がCobalt Strike beaconを配備するために使用されていることを確認している。
     従って、より高度な身代金要求型マルウェア オペレーションが彼らの攻撃の一部としてこの脆弱性攻撃に既に使用されている可能性がある。


    STOP身代金要求型マルウェアのワクチンが暗号化をブロックするためにリリースされた
    BleepingComputer : News>Security(2021/12/07)
     ドイツのセキュリティソフトウェア企業G DATAは、STOP身代金要求型マルウェアが感染後犠牲者のファイルを暗号化することをブロックするワクチンをリリースした。
     「このツールは感染自体を防ぐものではない。STOP身代金要求型マルウェアは、依然として脅迫文を配置し、システムの設定を変更するかもしれない」と、続けて「しかし、STOP身代金要求型マルウェアは、そのシステムがこのワクチンを持っていたなら、最早ファイルを暗号化することはない。この脅迫文は、個人IDの代わって、ファイルはワクチンによって保護されたとする文字列を含んでいる」と、G DATAのマルウェア解析者Karsten HahnとJohn Parolは説明している。
     あなたは、ここからSTOP身代金要求型マルウェアのワクチンをダウンロード(コンパイルされた .EXE もしくは Pythonスクリプトとして)することができる。
     このワクチンは、あなたのセキュリティソフトにシステムが感染されたと思わせる可能性がある。これは、そのデバイスが既にセキュリティ侵害されていると、STOP身代金要求型マルウェアを欺くために、通常感染させられたシステムにこのマルウェアが配備するファイルを追加することによって動作する。
     148の変種によって暗号化されていたファイルを無料で復号するためにEmsisoftとMichael Gillespieによって2019年10月にStop身代金要求型マルウェア用の復号プログラムもリリースされたが、新しい変種に対しては最早機能しない。他方、この身代金要求型マルウェア株に対する防御をのぞむのであれば、G DATAのワクチンは確実な方法である。

    STOP Ransomewareワクチン(画像をクリックすると拡大表示されます)

     しかしながら、脅威のアクターはワクチンがリリースされた後、一般的にはワクチンをバイパスするため、このワクチンは、この身代金要求型マルウェアの将来のバージョンでは機能しなくなる可能性がある。
     したがって、ワクチンを適用した後は、重要なファイルがバックアップされていることを確認する必要がある!

    STOP Ransomware ― 誰も語っていない最もアクティブなランサムウェア

     他の身代金要求型マルウェア株がメディアの注目を浴びているが、STOP身代金要求型マルウェアは、近年ID Ransomeware(【訳注】身代金要求文、及び/又は、暗号化されたファイルのサンプルをアップロードすることでランサムウェアを特定するためのサイト、このサイトは言語を選択することで日本語化できます)への登録とBleepingComputerのフォーラムでのサポートリクエストの最も重要な一部である。
     積極的に活動している身代金要求型マルウェアの中で、一日あたりのID Ransomewareへの数千の送信のうちの60~70%がSTOP身代金要求型マルウェアに関するものである。

    STOP身代金要求型マルウェアの活動(画像をクリックすると拡大表示されます)

     これは、この身代金要求型マルウェアが、怪しげなサイト、悪意あるソフトウェアクラックもしくは、アドウェアに同梱されたフリープログラムを装うものを押し付けることを通じて、主にホーム ユーザをターゲットにしているためである。
     後者は通常、ユーザーのコンピューターに様々な望みもしないソフトウェアをインストールする。多くの場合、インストールされるプログラムの1つは、STO身代金要求型マルウェア等のマルウェアである。
     STOP身代金要求型マルウェアの拡散に使用されているものとして報告されているクラックは、KMSPico, Cubase, Photoshop, アンチウィルスソフトが含まれている。
     この展開手法を使用することの他に、STOPは、一般的な身代金要求型マルウェア同様にファイルを暗号化し、拡張子を追加し、500USDから1000USDの範囲で身代金を要求する文書をドロップする。
     そこで、これを成功させるために、大量の変種を絶えずリリースし検出を回避している。


    悪意あるExcel XLLアドインが、パスワード窃盗マルウェアRedLineを押し付けている
    BleepingComputer : News>Security(2021/12/05)
     サイバー犯罪者は、Webサイトのコンタクト フォームやディスカッション フォーラムをスパミングし、パスワードと情報を盗むマルウェアであるRedLineをダウンロードさせインストールさせるためにExcell XLLファイルを配布している。
     RedLineは、クッキー、ユーザ名とパスワード、Webブラウザ中に保存されているクレジットカード並びに感染したデバイスからFTP認証とファイルを盗む情報窃盗トロイの木馬である。
     データの窃取に加えて、RedLineは、コマンドを実行し更なるマルウェアをダウンロードし稼働し、アクティブWindowsスクリーンのスクリーンショットを作成することができる。
     この全てのデータは集められ、犯罪者マーケットで販売するためにこの攻撃者に送り返されたり、他の悪意ある行為や詐欺行為に使用される。

    コンタクト フォームやディスカッション フォーラムをスパミングする

     ここ2週間に渡り、BleepingComputerのコンタクト フォームは様々なフィッシングの疑似餌で多大な回数スパムされた(インチキの広告リクエスト、クリスマスプレゼントの案内、Webサイト プロモーションを含む)。
     この疑似餌を研究したところ、BleepingComputerは、パブリックフォーラムや記事コメントシステムを使用している多くのWebサイトをターゲットにした広範なキャンペーンの存在を発見した。
     BleepingComputerが発見したフィッシングの疑似餌の中には、脅威のアクターがインチキのWebサイトを作成し、マルウェアをインストールするために使用される悪意あるExcel XLLファイルをホストしていた。
     例えば、或るキャンペーンは、以下のスパムメッセージと正当なPlutio(【訳注】フリーランサーや中小企業向けに設計されたオールインワンのビジネス管理プラットフォーム(Capterraより))のサイトを真似たインチキのWebサイトを使用していた。

     Everything you need to run your business. Manage projects, create dazzling proposals and get paid faster. Black Friday! All plans are FREE, no credit card required.

    悪意あるXLLファイルを押し付けるために開発されたインチキのPlutio(画像をクリックすると拡大表示されます)

     他のスパムメッセージは、支払い報告、広告の要求、以下に示したように、Google Drive上にホストされた悪意あるXLLファイルへのリンクが付属するギフトガイドであることを装っている。

    Google Driveにホストされた悪意あるXLLファイル(画像をクリックすると拡大表示されます)

     特段の興味を惹いたのは、サイトの所有者をターゲットにした疑似餌である。これはサイトの所有者に広告の掲載を要請し、オファーの条件を確認するよう依頼している。これはマルウェアをインストールする悪意ある'terms.xll'ファイルを導入することになる。

     Sell us advertising space on your site from $ 500
    You can read our terms on the link below
    https://drive.google[.]com/file/d/xxx/view?usp=sharing

     今週BleepingComputerが発見した別の疑似餌は、

     Thanks for using our app. Your payment has been approved. You can see your payment report on the link below https://xxx[.]link/report.xll

     Google just revealed the 100 hottest gifts of 2021

    I won $10.000. Want it too? Read and accept the terms
    https://drive.google[.]com/file/d/xxx/view?usp=sharing

    Excel XLLファイルの悪用

     これらのスパムキャンペーンは、犠牲者のWindowsデバイスにRedLineマルウェアをダウンロードしインストールする悪意あるExcel XLLファイルを押し付けるように設計されている。
     XLLファイルは、開発者がデータの読み込み・書き込み、他のソースからのデータのインポート、様々なタスクを実行するためのカスタム機能を作成することでExcelの機能の拡張を可能にするアドインである。
     XLLファイルは単純なDLLファイルであり、そのアドインが起動された時に、Microsoft Excelによって実行される'xlAutoOpen'関数を含んでいる。

    Excelで悪意あるアドインを開いている(画像をクリックすると拡大表示されます)

     BleepingComputerとTheAnalyst(一緒にこの攻撃に関して論議しているセキュリティ研究者)とで実行したテストでは、このXLLファイルは正しくロードされなかったが、Microsoft Excelの他のバージョンでは動作するかもしれない。
     regsvr32.exeコマンドもしくは、'rundll32 name.xll, xlAutoOpen'コマンドを手動で実行すると、 %UserProfile%フォルダにwget.exeプログラムを抽出する。このファイルは、リモートサイトからRedLineバイナリをダウンロードするために使用される。


    wgetを使用してRedLineマルウェアをダウンロードしているXLL DLL(画像をクリックすると拡大表示されます)

     この悪意あるバイナリは、%UserProfile%\JavaBridge32.exe [VirusTotal] として保存され、実行される。
     レジストリのautorunエントリにも、犠牲者がWindowsにログインする度にRedLine情報窃盗マルウェアが自動的に起動するように作成される。

    Windowsレジストリに追加されたRedLineのautorun(画像をクリックすると拡大表示されます)

     このマルウェアが実行されると、盗む価値のあるデータ(Chrome, Edge, Firefox, Brave, Operaブラウザに格納されている認証とクレジットカードを含む)が検索される。
     あなたがこのキャンペーンの犠牲者になったのであれば、あなたが格納しているパスワードはセキュリティ侵害されていると思わなければならない、直ちにそれらを変更しなさい。更に、あなたがブラウザ中にクレジットカードを格納していたのであれば、あなたのクレジット会社にコンタクトし、この重大事案を注意喚起すべきである。
     XLLファイルは実行可能ファイルなので、脅威のアクターは、デバイス上で様々な悪意ある挙動を実行するためにXLLファイルを使用することができる。それ故、信頼されるソースからのものを除いて、XLLファイルを決して開いてはならない。
     これらのファイルは一般的に添付ファイルとして送信されることはないが、代わりに、他のプログラムやあなたのWindows管理者を介してインストールされる。
     それ故、この種のファイルを配布するeMailやメッセージを受け取った場合には、単純にそのメッセージを削除し、スパムとして報告しなさい。


    Emotetは現在、インチキのAdobe Windows App Installerパッケージを介して拡散している
    BleepingComputer : News>Security(2021/12/01)
     Emotetマルウェアは現在、Adobe PDFを装う悪意あるWindows App Installer(アプリ インストーラ)を介して拡散している。
     Emotetは、フィッシングeMailや悪意ある添付ファイルを介して拡散している悪名高きマルウェア感染である。一旦インストールされると、このマルウェアは他のスパム キャンペーンのために犠牲者のeMailを盗み、一般的に身代金要求型攻撃を導くTrickBotやQbotのようなマルウェアを配備する。
     Emotetの背後にいる脅威のアクターは、Windows 10やWindows 11の組み込み機能であるApp Installerを使用して悪意あるパッケージをインストールすることでシステムに感染している。
     研究者達は今までに、Microsoft Azureでホストされている悪意のあるパッケージをインストールするBazarLoaderマルウェアを配布するために、これと同じ方法が使用されていたことを確認している。

    Windows App Installerの悪用

     EmotetトラッキンググループのCryptolaemusによって提供されたURLとeMailを使用して、BleepingComputerは、以下に示すように、この新しいeMailキャンペーンの攻撃フローをデモした。
     この新しいEmotetキャンペーンは、既存の通信に対する返信のように見せかける盗まれたリプライチェーンeMailで始まる。
     これらの返信は、単純に "Please see attached"(添付ファイルを確認してください)と受信者に告げている。そして、このeMail通信に関連付けられて述べられているPDFへのリンクを含んでいる。

    EmotetのフィッシングeMail(画像をクリックすると拡大表示されます)

     このリンクがクリックされると、ユーザはインチキのGoogle Driveページに連れて行かれ、PDFドキュメントを表示するためのボタンをクリックするように促される。

    PDFをプレビューするように促しているフィッシングページ(画像をクリックすると拡大表示されます)

     この'Preview PDF'ボタンは、ms-appinstaller URLである。これは、*.web.core.windows.netのURLを使用しているMicrosoft Azureにホストされているappinstallerファイルを開こうとする。
     例えば、Adobeのリンクは、この例の URL: ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller でappinstallerパッケージを開くだろう。
     appinstallerファイルは、単純なXMLファイルであり、署名した発行者に関する情報とインストールされるバンドルされているアプリケーションへのURLを含んでいる。

    Emotetのappinstaller XMLファイル(画像をクリックすると拡大表示されます)

     .appinstallerファイルを開こうとすると、WindowsブラウザはWindows App Installerプログラムを開いて進行することを希望するか否かを確認してくる。
     同意すると、App Installerウィンドウは'Adobe PDF Component'をインストールすることを促してくる。

    インチキのAdobe PDFコンポーネントのインストールを促してくるApp Installer(画像をクリックすると拡大表示されます)

     この悪意あるパッケージは、正当なAdobe PDFアイコン、'Trusted App'としてマークされている有効な証明書、インチキの発行者情報が付いているので正当なAdobeアプリケーションのように見える。このWindowsからのこの種類の確認は、多くのユーザがそのアプリケーションを信頼しインストールするのに十分過ぎるものである。
     ユーザが'Install'ボタンをクリックすると、App Installerがダウンロードされ、Microsoft Azureにホストされている悪意あるappxbundleがインストールされる。このappxbundleは、%Temp%フォルダにDLLをインストールし、以下に示す rundll32.exe で、それを実行する。

    Emotet感染のインストール(画像をクリックすると拡大表示されます)

     このプロセスは、ランダムに名前付けされたファイルとしてこのDLLをコピーし、以下に示すように、%LocalAppData%の下のフォルダにコピーされる。

    ランダムなファイル名で保存されたEmotet(画像をクリックすると拡大表示されます)

     最後に、autrunは、ユーザがWindowsにログインした時に自動的にこのDLLが起動するようにHKCU\Software\Microsoft\Windows\CurrentVersion\Runを作成する。

    Windowsが起動した時にEmotetが起動するためのRegistry autrun(画像をクリックすると拡大表示されます)

     Emotetは、法執行機関がシャットダウンし、ボットネットのインフラを奪うまで、最も激しく拡散したマルウェアであった。10ヶ月後、Emotetは、TrickBotトロイの木馬の助けを得て再構築を開始し復活した。
     1日後、Emotetスパムキャンペーンは、様々な誘惑とマルウェアをインストールする悪意あるドキュメントでユーザのメールボックスを攻撃するeMailで始まった。
     これらのキャンペーンにより、Emotetはその存在感を迅速に構築し、TrickBotとQbotをインストールする大規模なフィッシングキャンペーンを再度実行できるようになった。
     Emotetキャンペーンは通常、身代金要求型マルウェア攻撃につながる。 Windows管理者は、マルウェアが配布される方法を常に把握し、Emotetキャンペーンを見つけるように従業員をトレーニングする必要がある。


    脆弱性攻撃が公開されている新しいWindowsの0-Dayは管理者になることを可能にしている
    BleepingComputer : News>Security(2021/11/22)
     セキュリティ研究者は、Windows 10, Windows 11, Windows Serverにおいてローカル特権を管理者特権に昇格させる新しいWindowsの0-Dayを公開した。
     BleepingComputerは、この脆弱性攻撃をテストし、ローレベルの「標準」特権しか持たないアカウントからシステム特権付きのコマンドプロンプトを開くために使用した。
     この脆弱性を使用すると、セキュリティ侵害したデバイスに対して限定的なアクセスしか持たない脅威のアクターが、彼らの特権を簡単に昇格させることができ、ネットワーク中で水平方向に拡散する助けとなる。
     この脆弱性は、サポートされているWindowsの全てのバージョン(Windows 10, Windows 11, Windows Server 2022)に影響を与える。

    研究者はパッチされた脆弱性に対するバイパスをリリース

     2021年11月の定例パッチの一部として、Microsoftは、CVE-2021-41379として追跡される'Windows Installer Elevation of Privilege Vulnerability'(Windows インストーラーの特権の昇格の脆弱性)に関する脆弱性を修正した。
     この脆弱性は、セキュリティ研究者Abdelhamid Naceriによって発見された。彼は、Microsoftの修正を検証した後、このパッチはバイパスでき、より強力な新しい0-Dayの特権昇格の脆弱性を発見した。
     昨日、Naceriは、GitHub上にこの新しい0-Dayに関するproof-of-concept(概念の実証)を公開し、これがサポートされているWindowsの全てのバージョンで動作することを説明している。
     「この別形は、CVE-2021-41379パッチを解析している間に発見された。このバグは正しく修正されておらず、代わりにバイパスを投下している」と「私は、これがオリジナルの脆弱性よりももっと強力であるために、この別形を実際に投下することを選択した」と、彼の記事でNaceriは説明している。
     更に、Naceriは、「標準」ユーザをMSIインストーラの実行から妨げるためにグループポリシーを設定することは可能だが、彼の0-Dayは、このポリシーをバイパスし、ともかく機能すると説明している。
     BleepingComputerは、彼の'InstallerFileTakeOver'をテストした。結果、「標準」特権のテストアカウントからシステム特権を取得するまで僅か数秒であった。以下のビデオがデモンストレーションである。

     このテストは完全にアップデートされたWindows 10 21H1 build 19043.1348で実行された。
     BleepingComputerがNaceriに、この0-Dayを公開した理由を尋ねた時、彼は、MicrosoftのBug Bounty(脆弱性報奨金制度)の報奨金の減額に不満を持っていたためであると告げられた。
     「Microsoft報奨金は、2020年4月以来廃棄されている、Microsoftが、報奨金をダウングレードするような決定をしなかったなら、私はこのようなことをしなかっただろう」と、Naceriは説明している。
     研究者が報奨金の減額に感じている懸念はNaceri一人ではない。

    Microsoftは、この脆弱性が一般公開されたことを認識しているとBleepingComputerに告げている。

     「我々は、公開されたことに関して認識しており、顧客の安全と保護を維持するために必要なことを実行するだろう。説明されている方法を使用している攻撃者は、既にターゲットにした犠牲者のマシンに関するアクセスとコード実行の能力を既に取得しているに違いない」

     しかしながら、Naceriは、サードパーティのパッチ適用企業がバイナリにパッチを適用して、この脆弱性を修正しようとすることは、インストーラを壊す可能性があるため、推奨できないと警告している。
     「この記事を記述している時点で利用可能な最善の回避策は、この脆弱性が複雑であるために、Microsoftによるセキュリティパッチのリリースを待つことである」とNaceriは説明している。
     「バイナリに直接パッチを適用しようとする如何なる企ても、Windowsインストーラを破損させるだろう。そこで、待つことがより適切であり、Microsoftがパッチをどのように再度適用するのかを確認することである」


    新しいEmotetスパム キャンペーンは世界中のメールボックスを攻撃している
    BleepingComputer : News>Security(2021/11/16)

    (画像をクリックすると拡大表示されます)

     Emotetマルウェアは昨日、10ヶ月に及ぶ複数のスパムキャンペーンの活動休止後、世界中のメールボックスに悪意あるドキュメントの配布を開始した。
     Emotetは、悪意ある添付ファイルによるスパムキャンペーンを介して拡散するスパム感染である。ユーザがこの添付ファイルを開くと、悪意あるマクロやJavaScriptが、Emotet DLLをダウンロードし、PowerShellを使用して、それをメモリにロードする。
     一旦ロードされると、このマルウェアは、将来のスパムキャンペーンに使用するためにeMailを探して盗み、一般的に身代金要求型マルウェアを導くTrickBotやQbotのような追加のペイロードを投下する。

    再び開始されたEmotetスパム

     昨夜、サイバーセキュリティ研究者Brad Duncanは、EmotetボットネットがEmotetマルウェアでデバイスに感染するために複数のeMailをスパミングするキャンペーンをどのように始めたかに関するSANS Handler Diaryを公開した。
     Duncanによると、このスパムキャンペーンは、受信者を誘惑し添付された悪意あるWord, Excel, パスワードで保護されたZIPファイルを開かせるためにリプレイチェーンeMailを使用している。
     リプレイチェーン フィッシングeMailは、今までに盗まれたeMailスレッドが、成り済ましの返信で使用され、他のユーザにマルウェアを拡散するものある。
     Duncanによって公開されたサンプルで、我々は「失くした財布」、CyberMondayセール(【訳注】 米国で感謝祭の次の月曜日から始まる大規模なオンラインショッピング上でのセール(Wikipediaより))、キャンセルされた会合、政治献金の推進、歯科保険の終了に関連するリプライチェーンが使用されていることを確認できる。
     これらのeMail添付ファイルは、以下に示すように、悪意あるマクロの付属したExcelやWordドキュメント、あるいは、悪意あるWordドキュメントを含むパスワードで保護されたZIPファイルである。

    Excel添付ファイルのEmotet eMail(画像をクリックすると拡大表示されます)

    Wordドキュメントが添付されたEmotet eMail(【訳注】文末に 失くした財布 の記載)(画像をクリックすると拡大表示されます)

    パスワードで保護されたZIP添付ファイルのEmotet eMail(画像をクリックすると拡大表示されます)

     現在、新しいEmotetスパムキャンペーンで拡散されている二つの異なる悪意あるドキュメントがある。
     一つ目は、このドキュメントはデスクトップもしくはラップトップのみで動作し、そのユーザがコンテンツを適切に閲覧するには「コンテンツの有効化」をクリックする必要があると述べているExcelドキュメント テンプレートである。

    悪意あるMicrosoft Excel添付ファイル(画像をクリックすると拡大表示されます)

     悪意あるWord添付ファイルは、'Red Dawn'テンプレートを使用しており、このドキュメントは"プロテクト"モードなので、正しく閲覧するには「コンテンツの有効化」と「編集を有効にする」を実行しなければならないと述べている。

    Microsoft WordのRed Down添付ファイル(画像をクリックすると拡大表示されます)

    Emotet添付ファイルはどのようにしてデバイスに感染するのか

     Emotet添付ファイルを開くと、このドキュメント テンプレートは、プレビューが可能ではなく、コンテンツを適切に閲覧するには「編集を有効にする」と「コンテンツの有効化」をクリックする必要があると言ってくる。
     しかしながら、これらのボタンをクリックすると、悪意あるマクロが有効になり、PowerShellコマンドが起動し、セキュリティ侵害されたWordPressサイトからEmotetローダーDLLがダウンロードされ C:\ProgramData フォルダに保存される。

    Emotet DLLをダウンロードし実行するPowerShellコマンド(画像をクリックすると拡大表示されます)

     ダウンロードされると、このDLLは、C:\Windows\SysWo64\rundll32.exe を使用して起動する。これは、%LocalAppData%にあるランダムなフォルダにこのDLLをコピーし、次に、そのフォルダからこのDLLを再起動する。

    リネームされたEmotet DLLを含むフォルダ(画像をクリックすると拡大表示されます)

     その後、Emotetは、Windowsが起動した時にこのマルウェアが起動するようにHKCU\Software\Microsoft\Windows\CurrentVersion\Runの下にスタートアップ値を構築する。

    起動時にEmotetをロードするためのRegistryのRunエントリ(画像をクリックすると拡大表示されます)

     そのコマンドとコントロール サーバからコマンドが実行されるのを待っている間、Emotetマルウェアは、バックグラウンドで密かに稼働し続けている。
     これらのコマンドは、eMailを検索して盗んだり、他のコンピュータに拡散したり、あるいは、TrickBotやQbotトロイの木馬のような追加のペイロードをインストールしたりするためのものである。

    Emotetの攻撃フロー(画像をクリックすると拡大表示されます)

     この時点で、BleepingComputerはEmotetによって投下される如何なる追加のペイロードも確認していない。これはDuncanのテストでも確認されている。
     「私は、私の最近のEmotet感染ホストからのスパムボットの挙動を確認しただけである」と「私は、今週Emotetが再構築されるものと考えている」と、DuncanはBleepingComputerに告げている。
     「おそらく、今後数週間幾つかの追加のマルウェア ペイロードを確認することになるだろう」と、この研究者は追加している。

    Emotetに対する防御

     マルウェアとボットネットモニタリング組織であるAbuse.chは、コマンド&コントロールサーバとの相互通信を防ぐために境界ファイアーウォール(perimeter firewall)がブロックできる245のコマンド&コントロールサーバのリストをリリースした。
     C2との相互通信をブロックすることは、セキュリティ侵害されたデバイス上にEmotetが更なるペイロードを投下することを防ぐことでもある。
     国際法執行機関の作戦は、2021年1月にEmotetボットネットを取り潰した。その後10ヶ月間、このマルウェアは活動していなかった。
     しかしながら、日曜日の夜に開始された、アクティブなTrickBot感染が既に感染しているデバイスにEmotetローダーを投下することを開始し、スパム活動のためにボットネットが再構築された。
     Emotetの復活は全てのネットワーク管理者、セキュリティ専門家、Windows管理者が新たな開発を監視しなければならない重要なイベントである。
     過去、Emotetは最も広く拡散しているマルウェアと考えられていた、そして、以前のランキングを取り戻す可能性が高い。


    悪意あるChrome拡張は悪。それなら、ハイジャックされる可能性のある無害なものはどうだろうか? それらの拡張にスポットを当てた新しいツールがある
    The Register : Security(2021/11/11)
     ドイツのCISPA Helmholtz Center for Information Securityのセキュリティ研究者は、悪意あるWebページや他の拡張によってセキュリティ侵害される脆弱性を持つChrome拡張の同定を支援するソフトウェアを開発した。
     2018年に戻る。Googleは彼らのブラウザ拡張プラットフォームをより安全にするために再設計する計画をアナウンスした。彼らの古いルール(Manifest v2として知られる)の下で、Chrome拡張は、簡単に誤用される可能性のある幅広い機能があった。
     そして、多くの悪漢共はこれらの機能を乱用した。例えば2020年2月、Googleは500を超える悪意ある拡張を削除した。これは、支払い詐欺と戦う新しい拡張のために、GoogleがChrome Web Storeを閉じた一ヶ月後であった。2020年の4月と5月には、更に多くの削除があった。この時は、暗号通貨ウォレット認証を盗むように設計された拡張関連であった。2020年6月と12月にもこのような事案があった。そして、この種のことは何年も続いている。
     Chrome Web Storeを綺麗にする努力に加えて、この3年の間に、GoogleはManifest v3を開発してきた。これはより制限した能力を提供する拡張APIセットの改訂版であり、コンテンツのブロックとプライバシーツールの犠牲の上に、セキュリティの危険性とプライバシーの潜在的危険性を向上させたものである。
     Googleは、2021年1月、再調査するためにManifest v3拡張の受け入れを開始した。それであるにも拘わらず、このより先進的な拡張にも脆弱性がないわけではなく、以前のManifest v2拡張は依然として出回っている。
     CISPA Helmholtz boffins Aurore FassのDoliere Francis Some, Michael Backes, Ben Stock(前二人の名前は、ウムラウトを省略しています)は、この状況に対処するための支援としてDoubleXと呼ばれるツールの開発に応じた。
     彼らは、その取り組みを"DoubleX: Statically Detecting Vulnerable Data Flows in Browser Extensions at Scale"と題した論文(PDF)で説明している。これは、the Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security(来週、韓国で開催されるバーチャルイベント)に掲載された。
     悪意のある拡張は、セキュリティとプライバシーの懸念を示す拡張のほんの一部にすぎないと彼らは発言している。
     一方、無害な拡張機能には、ユーザーがインストールした他の拡張や、ユーザーによって訪問された悪意のあるWebページによって、実行すべきでない悪意あるスクリプトを実行したり、データを抽出したり、ダウンロードをトリガーする等に悪用される危険なコードを含んでいる可能性がある。DoubleXが探しているのは、これら無害ではあるが悪用可能な拡張である。
     DoubleXは、データフローの脆弱性にフラグを立てるように設計されたオープンソースの静的アナライザである。言い換えれば、悪意ある拡張を発見するためだけのものでなく、善意や無害のアドオンに存在する悪用可能なデータパスを探すものである。
     これらの欠陥はどのように悪用されるのか? この研究者達の説明によると、eval関数が含まれていることは、攻撃者が脆弱性のある拡張のパーミッションを潜在的に乗っ取ることができることを意味している。また、JavaScriptを挿入するtabs.executeScriptを含む拡張は、そのページ自体に脆弱性を与えることなく全てのWebページに任意のコードを実行する可能性を提供する。

    ・ Googleが以前の拡張の終了日を設定すると、Ad-Blockerの拡大が起こるのではないかということが懸念される。
    ・ 広告ブロックブラウザ拡張は実際には広告を追加すると、Impervaの研究者達は発言している。
    ・ マズいことに、Chromeサミットで、開発者は、何故誰もがGoogleを使用する必要があるのか? と質問している。
    ・ ChromeがWebの機能を侵害し、Googleが誰かに伝えることを忘れた場合はどうなるのか? 待って、それは当に実際に発生していることである。

     DoubleXに多数のChromeアプリケーションを食わせた時、実際に幾つかの問題が発見された。もっとも、Chrome Web Storeの栄光の歴史に期待する人は、おそらく一人未満であろうが。
     「我々は、154,484のChrome拡張を解析した。そのうちの278は外部からのデータ制御可能なデータフローを持っている、もしくは、重要なユーザ情報を抽出するものとしてフラグされた」と「このデータフローの89%が攻撃者によって影響を受けることが確認されている。これはDobuleXの正確性を際立たせている」と、この論文は述べている。
     「更に、我々の脅威モデルのもとで悪用可能(例えば、あらゆるWebサイトで任意のコード実行を導く)な184の拡張(209の脆弱性と共に)を検出した。」
     これら184の拡張(172の拡張は攻撃者の影響を受けやすく、12の拡張は特権を必要としない拡張を介して悪用可能)は、240万から290万ユーザに影響を与える。
     2020年10月から2021年5月まで、この科学者達は責任感から、連絡先情報が分かった場合には、彼らが発見したことを開発者に、それ以外の場合はGoogleに公開した。2021年7月、報告された脆弱性のある48の拡張のうち45が依然としてChrome Web Storeに存在していると主張している。
     「それらの中13は、公開されてからアップデートされたが、修正されたのは5つ(ユーザ数30万以上、ユーザ数3000以上、ユーザ数2000以上、ユーザ数35)に過ぎない」と、この論文は述べている。


    注意: Google Play中のAndroidアプリケーションSmart TV remote'はマルウェアである
    BleepingComputer : News>Security(2021/11/11)
     Google Playストアで利用可能になっている二つのAndroidアプリケーションが今週、マルウェアを含んでいることが発見された。
     これらのアプリケーションは'Smart TV remote'と'Halloween Coloring'と呼ばれれいるアプリケーションであり、前者は少なくとも1000ダウンロードされている。

    'Smart TV remote'アプリケーションは'Joker'マルウェアを同梱している

     今週、KasperskyのAndroidマルウェア アナリストTatyana Shishkovaは、Jokerマルウェアを織り交ぜている二つのGoogle Playアプリケーションの名前を公開した。
     少なくともこれらのアプリケーションの一つである'Smart TV remote'は、10月29日の公開以来これまでに1000回以上インストールされている。
     Shishkovaによると、これらのアプリケーションはJokerマルウェアでトロイの木馬化されている。

     Tatyana ShishkovaのTwitter

     BleepingComputerによって以前報道されたように、Jokerマルウェアの背後にいる脅威のアクターは、無害のアプリケーションと見せかけるために悪意のあるコードを隠し、公式のアプリケーションストアでこれらを公開している。今年始め、500,000を超えるHuawei AndroidデバイスがJokerに感染していることが発見された。
     このマルウェアは、ユーザの同意や認識なしにユーザをプレミアム モバイルサービスに申し込みすることで知られている。

    難読化されたコードはELFを同梱しAPKをダウンロードする

     悪意あるコードをより適切に解析するために、BleepingComputerはAndroidアプリケーションを入手し、これらのAPK(【訳注】Android Application Packageの略称。圧縮ファイルの一種でありその内部にはアプリがデバイスで正しくインストールされ起動するのに必要となるすべてのコンポーネントが保存されている(Malavidaより))を逆コンパイルした。
     また、Shishkovaによっても確認されたこととして、この悪意あるコードはSmart TV remoteアプリケーション中の"resources/assets/kup3x4nowz"ファイルに存在している。Halloween Coloringアプリケーションに関しては、同じファイルが、同じロケーションに存在し"q7y4prmugi"と名付けられている。
     このファイルはBase64コードを含み、以下に示すようにLinux ELF(【訳注】 Linux/UNIX プラットフォームにおいて、実行可能プログラムのために文書化されたファイル形式(Trendmicroより))バイナリを同梱している。

    悪意あるアプリケーション内部にELFをパックしたBase64(画像をクリックすると拡大表示されます)

     このELFバイナリは更に、Amazon AWS(【訳注】 アマゾン ウェブ サービス、Amazonのクラウドコンピューティングサービスのこと(Amazonより))インスタンス上にホストされている第二段階のペイロードをダウンロードする。これらのURLは、以下に示す第二段階のペイロードをELF中に含んでいる。

    Smart TV remote app: https://50egvllxk3.s3.eu-west-3.amazonaws[.]com/yr41ajkdp5
    Halloween Coloring app: https://nwki8auofv.s3.sa-east-1.amazonaws[.]com/vl39sbv02d

    AWSサーバからダウンロードされる第二段階のペイロード(画像をクリックすると拡大表示されます)

     BleepingComputerによって確認されたこととして、それら自身を排他的論理和暗号化(XOR-encrypted)したこれらのファイル yr41ajkdp5vl39sbv02d は、これまで主要なアンチウィルスエンジンをもってしても検出されていない。
     但し、XORキー'0x40'でこれらのファイルをデコードすると、APKアーカイブが生成される。本質的に擬似良性である 'Smart TV remote'と'Halloween Coloring'アプリケーションは、Androidデバイスに悪意あるコードをダウンロードするアプリケーションの代表である。
     先月、悪意ある"photo editor"アプリケーションがGoogle Playストア上に存在していることが、 ShishkovaとMaxime Ingrao(モバイル決済サイバーセキュリティ企業Evinaのセキュリティ研究者)によって発見された。
     BleepingComputerは、公開に先立ってGoogle Playに対して'Smart TV remote'と'Halloween Coloring'がマルウェアであると報告している。
     Google Play Protectは、Playストアへのアプリケーションの公開で最初に失敗しているにも拘わらず、まことしやかに、Google Play Protectは、最終的にこれらのアプリケーションを捕獲し、影響を受けるユーザに対して自動的な保護を提供する可能性があるらしい。
     「Google Play Protectはアプリケーションをインストールする時、それらをチェックする。また、定期的にあなたのデバイスをスキャンする。潜在的に有害なアプリケーションが発見された場合には、あなたに通知を送信する... あなたがそのアプリケーションをアンインストールするまで、そのアプリケーションは無効にされる、もしくは、自動的に削除される」とGoogleの公式ドキュメントは述べている。
     それまでの間、これらのアプリケーションの何れかをインストールしたユーザは、直ちにこのアプリケーションをアンインストールし、スマートフォンをクリーンアップし、あらゆる不正な申込み、もしくは、それらのアカウントから発生している請求行為を確認する必要がある。


    日本でAndroidスパイウェアがアンチウィルスソフトとして拡散している
    BleepingComputer : News>Security(2021/10/28)
     FakeCopと呼ばれるAndroid用の情報を盗み取るマルウェアの新しい変種が日本のセキュリティ研究者によって明らかにされた。この研究者は、悪意あるAPKの拡散が加速していると警告している。
     先週、日本のセキュリティ研究者Yusuke Osumiによって最初に発見されたこのマルウェアは、KDDIを装うフィッシング キャンペーンで拡散している。
     更に、このマルウェアはVirusTotalの62のアンチウィルスエンジンの内22でしか検出されていない。これは隠されたままにする脅威のアクターによる一致協力の努力を示している。

     このマルウェアを発見したセキュリティ研究者のTwitterへのリンク

    人気のあるセキュリティツールの仮面を被っている

     サイバーセキュリティ企業Cybleによる新しいレポートに於いて、研究者達は、このマルウェアを'FakeCop'と名付けていた。このマルウェアが日本において人気のあるアンチウィルス'Anshin Security'(あんしんセキュリティ)を装っている。
     このマルウェアを解析した後、この研究者達は、この新しいスパイウェアの変種は以下の能力を持っていると述べている。

      ・ SMS(ショートメッセージサービス)、コンタクト、アカウント情報、アプリケーションリストを収集する
      ・ デバイス データベース中のSMSを改竄もしくは削除する
      ・ デバイス ハードウェア情報(IME)を収集する
      ・ ユーザの認識なしにSMSを送信する

     このスパイウェアは、以下に示したように、この機能を実行するために多数の重要なパーミッションを承認するようにユーザに要求する。

    FakeCopによって要求されるパーミッション(画像をクリックすると拡大表示されます)

     ユーザがアンチウィルスソフトによってこのような要求に遭遇した時、彼らは、セキュリティソフトは一般的にスキャンし検出された脅威を削除するためにより高い権限を必要とするために、ほぼ間違いなくこのような要求を承認する。

    検出の回避を企てている

     このマルウェアの製作者は、静的検出を阻止しながら、彼らのアプリケーションの実際の挙動を隠蔽するために専用パッカーを使用している。
     この悪意あるコードは、暗号化されたビット排他的論理和であり、assetsフォルダ中のファイル内に格納されていて、特定のアプリケーション サブクラスによってコールされた場合にのみ解凍される。
     更に、FakeCopは積極的にデバイスアプリケーションリストをスキャンし、何らかのアンチウィルスを発見したなら、それらをアンインストールするようにユーザに通知する。
     このマルウェアがユーザに削除を促すためにハードコードされているアンチウィルス ソリューションは、Anshin Security、McAfee Security、Docomo Anshin Scanが含まれる。

    アンチウィルスツールの存在をチェックするコード(画像をクリックすると拡大表示されます)

     FakeCopが犠牲者に到達する方法に関して、CybleのOSINT(【訳注】オープン・ソース・インテリジェンス(open source intelligence)の略称。諜報活動の一種で、一般に公開され利用可能な情報を情報源に、機密情報等を収集する手法を指す(ニュートン・コンサルティングより))リサーチは、拡散の二つのチャンネルを明らかにした。一つは悪意あるリンクの付いたSMSであり、もう一つは、フィッシング メールに依存するものである。
     拡散メカニズムとして使用される'duckdns.org'フリー ダイナミックDNSは、MedusaやFlubotを拡散させるために今まで使用されていたので、現在のキャンペーンは同じオペレータの可能性がある。
     一般的なルールとして、求めていないSMSやeMailを介して届くURLリンクをクリックしないようにしなさい。また、Google Playストアの外部からAPK(Android application packageの略)ファイルをインストールすることは控えなさい。
    さらに、あなたのデバイス上でGoogle Playプロテクトがアクティブになっていることを定期的にチェックし確認し、新しいアプリをインストールするときには、常にパーミッション リクエストを精査しなさい。


    大規模なマルウェアキャンペーンがYouTubeを使用してパスワードを盗むマルウェアを押し付けようとしている
    BleepingComputer : News>Security(2021/10/21)
     広範なマルウェアキャンペーンがYouTubeビデオに作成され、疑うことを知らない閲覧者にパスワードを盗むトロイの木馬を配布している。
     パスワードを盗むトロイの木馬は、パスワード、アクティブウィンドウのスクリーンショット、クッキー、ブラウザに格納されているクレジットカード、FTP認証、脅威のアクターによって決定された任意のファイルを盗むために、コンピュータ上で静かに実行されるマルウェアである。
     インストールされると、このマルウェアはコマンド&コントロールサーバと双方向に通信する。コマンド&コントロールサーバとは、攻撃者によって、追加のマルウェアの実行を伴うコマンドが実行されることを待っている場所である。

    悪意あるYouTubeビデオの狂乱

     脅威のアクターは、ビデオ デスクリプションに埋め込んだリンクを介してマルウェアを拡散するための方法として長きに渡りYouTubeビデオを使用している。
     しかしながら今週、Cluster25のセキュリティ研究者Frostは、YouTubeでパスワードを盗むトロイの木馬を押し付ける悪意あるキャンペーンが顕著な上昇を示しているとBleepingComputerに告げた。
     Frostは、これはおそらく、二つのマルウェアのクラスター(RedLineマルウェアと、もう一つはRacoon Stealerを押し付ける)が一斉に実行されたことによるとBleepingComputerに告げた。
     この研究者は、数千のビデオとチャンネルが、この大規模なマルウェアキャンペーンの一部(20分間に100の新しいビデオと81のチャンネルが作成されている)として実行されていると話している。
     Frostは、脅威のアクターは、エンドレスでずっと成長し続けるサイクルを作成するために、彼らが盗んだGoogleアカウントを使用して、マルウェアを拡散するために新しいYouTubeチャンネルを稼働していると説明している。
     「脅威のアクターは毎日新しいクライアントに感染しているので、数千の新しい利用可能なチャンネルを所有している。彼らは攻撃の一部として犠牲者のGoogle認証を盗む。そしてこれは次に、マルウェアを拡散するための新しいYouTubeビデオを作成するために使用される」と、FrostはBleepingComputerに説明している。
     この攻撃は、脅威のアクターが、ソフトウェアクラック、ライセンス、ハウツーガイド、暗号通貨、マイニング、ゲームチート(【訳注】ゲーム著作権の侵害行為)、VPNソフトウェア、他の多くの人気あるカテゴリに関するビデオで満たされた多数のYouTubeチャンネルを作成することで始まる。

    悪意あるYouTubeチャンネルの例(画像をクリックすると拡大表示されます)

     これらのビデオは特定のプログラムやユーティリティを使用してタスクを実行する方法の説明を含んでいる。更に、これらのYouTubeビデオのデスクリプションは、マルウェアを拡散するために使用される関連ツールへのリンクと主張されるものを含んでいる。

    RedLineスティーラを押し付けてくる悪意あるYouTubeビデオ(画像をクリックすると拡大表示されます)

     ビデオにbit.ly(上図参照)リンクが含まれている場合には、パスワードを盗むRedLineマルウェア感染をホストしている別のファイル共有サイトに誘導する。しかしながら、それが短縮されていないドメインを含んでいる場合には、以下に示すように、Racoon Stealerを押し付けてくるtaplink[.]ccのページにリダイレクトされるだろう。

    Racoon Stealer用のランディング ページ(画像をクリックすると拡大表示されます)

     一旦、ユーザが感染させられると、このマルウェアはインストールされている全てのブラウザと暗号通貨のウォレット、クレジットカード、パスワード、他のデータをスキャンすることを続行し、攻撃者にこのようなデータを返送する。
     Googleは、このキャンペーンを認識しており、この行為を粉砕するためのアクションをとっているとBleepingComputerに告げている。

     Googleは、このキャンペーンを認識しており、現在この脅威のアクターによる行為をブロックするアクションをとっており、Safe Browsing(【訳注】安全ではないウェブサイトを特定し、ユーザーやウェブサイトの所有者にその有害性を知らせる機能(Googleより))のために全てのリンクにフラグを立てている最中である。いつもどおり、我々は検出方法を改善し、このような脅威のリンクを自動的に同定し停止する新しいツールや機能に投資している。また、ユーザーが、このようなタイプの脅威を認識し、自分自身をさらに保護するために適切なアクションを実行することもまた重要である。-Google

     Googleはまた今週、YouTubeクリエイターの盗難アカウントを使用したパスワードを盗むトロイの木馬を拡散させるフィッシングキャンペーンを公開している。これらのアカウントは次に、ダークWebマーケットで販売されたり、暗号通貨スカムを実行するために使用されている。

    ソフトウェアのダウンロードは危険である

     これらのキャンペーンは、YouTubeのようなサイトがビデオ発行者によって追加された全てのリンクを精査できるわけではないので、インターネットから手当たりしだいにプログラムをダウンロードしないことがいかに重要であるかを示している。
     それ故、ユーザは、そのサイトから何かをダウンロードしインストールする前にそのサイトを検証し、評判が良く信頼できるか否かを決定する必要がある。それでも、そのプログラムを実行しても安全か否かを確認するために、最初にVirusTotalのようなサイトに、そのプログラムをアップロードすることが常に提案されている。
     偶、この攻撃の餌食になり、類似のリンクからプログラムをインストールさせられた場合には、アンチウィルス プログラムでコンピュータをスキャンすることが強く推奨される。
     ウィルススキャンで検出されたあらゆるマルウェアを削除した後、直ちにブラウザに保存してある全てのパスワードを変更する必要がある。


    研究者は身代金要求型マルウェアのコード中の欠陥を発見したと発言した後、BlackByteの復号プログラム(無料)をリリースした
    Graham Cluley : News(2021/10/19)
     見出しは毎日身代金要求型マルウェアに関する悪いニュースがほとんどだが、偶には良いニュースがある。
     Trustwaveのセキュリティ エキスパートはBlackByte身代金要求型マルウェアの犠牲者が、彼らのファイルを復号し復元するために使用することのできる無料の復号ツールをリリースした。そう、身代金を支払う必要はない。
     彼らのSpiderLabsブログへの一連の投稿に於いて、TrustwaveのRodel MendrezとLloyd Macrohonは、BlackByte身代金要求型マルウェアの暗号化アルゴリズム中に存在する「奇妙」な設計決定を明らかにしたと説明している。

     各セッションに一意のキーをもたせる他の身代金要求型マルウェアと異なり、BlackByteはファイルを暗号化するために同じRaw Keyを使用しており、対照鍵アルゴリズム(AES)を使用している。ファイルを復号するには、ただ、そのホストからRaw Keyをダウンロードする必要があるだけである。ダウンロードした .PNGファイルが同じである限り、我々は、この同じキーを使用して暗号化されたファイルを復号することができる。

     身代金要求型マルウェアのギャングが企業犠牲者のデータを暗号化する前に、そのデータを盗み、身代金が支払われない場合には他のオンライン犯罪者に販売すると主張することは珍しいことではない。
     BlackByteもこの点では違いはない、そして犠牲者はダークWeb上のサイトにリダイレクトされる。そこは、彼らのデータがオンラインオークションに掛けられるために準備されているように思われる。

    (画像をクリックすると拡大表示されます)

     しかし、このセキュリティ研究者によると、この身代金要求型マルウェアは、データを盗み出すための如何なる機能も含んでいない。そして、この主張は、犠牲者を脅して支払わせるためだけの可能性がある。
     Trustwaveの無料復号ツールは、この身代金要求型マルウェアの設計上の弱点を利用したと主張し、GitHubからダウンロードすることができる。
     予想通り、BlackByte身代金要求型マルウェアのギャングは、Trustwaveの復号化ツールのリリースに対応し、被害者に使用しないよう警告するメッセージをWebサイトに公開した。

    (画像をクリックすると拡大表示されます)

     我々の身代金要求型マルウェアの復号を幾つかの場所で発見した。我々は、あなた方がそれを使用することを推奨しない。それは、我々は一つのキーだけを使用しているわけではないからである。あなた方のシステムで間違ったキーを使用した場合には、全てのものが破壊されるだろう。そして、あなた方はシステムを二度と復元することは出来ない。あなた方に警告する。この復号プログラムを使用することを決定したなら、あなた方自身がリスクを背負わなければならない。

     ありがとうSpiderLabs”(別名ClownLabs)、あなた方の所為で、多くのシステムが破壊され、あらゆる復元のチャンスを失うだろう。

     あなたのコンピュータに感染し、次に、あなたのデータの健全性を大いに気遣いながら金銭を強要するこの犯罪者はなんて優しいのだろう。言うまでもなく、如何なる復号ツールも、それを実行する前に重要なデータをバックアップする必要がある。


    新しいWindows 10 KB5006670アップデートはネットワーク印刷をできなくする
    BleepingComputer : News>Security(2021/10/15)
     今週リリースされたKB5006670累積アップデートとたのアップデートをインストールした後、Windows 10ユーザとアドミニストレータは、世界規模でネットワーク印刷問題を報告している。
     火曜日、Microsoftは、2021年10月の定例アップデートの一部としてバグとセキュリティ上の脆弱性を修正するWindowsアップデートをリリースした。
     これらのアップデートは、Windows 11用の KB5006674、Windows 10 2004, 20H1, 21H1用の KB5006670、Windows 10 1909用の KB5006667、Windows 8用の KB5006714 を含んでいる。
     KB5006670アップデートをインストールした後、ユーザはネットワーク印刷サービスで印刷することができないと報告している。また、一部のユーザは印刷しようとした時に 0x00000709 もしくは 'Element not found' エラーを受け取っている。
     BleepingComputerのフォーラムトピックの8ページに於いて、Windowsアドミニストレータ達は印刷バグでのフラストレーションを詳しく話し、この問題を解決するには今週のアップデートをアンインストールすることという同じ結論に至っている。
     7月以来、MicrosoftはWindows Print SpoolerのPrintNightmare脆弱性を修正するセキュリティアップデートを定期的にリリースしてきた。
     身代金要求型マルウェアのギャングを含む脅威のアクターは、これらの脆弱性を積極的に悪用しているので、Microsoftは、Point and Print印刷機能を徹底的に変更した。残念ながら、これらの変更は幾つかの脆弱性を修正したが、ネットワーク印刷サーバに対する印刷問題を導いた。
     今週、Microsoftは、CVE-2021-41332CVE-2021-36970 として追跡されるWindows印刷脆弱性に関する更なるセキュリティアップデートをリリースした。
     報告されている問題の殆どは、Windows 10の KB5006670 アップデートに関連しているが、おそらくこれは、Windows 10が、現時点で最も広汎に使用されているWindowsのバージョンだからと思われる。
     同じセキュリティ フィックスが、Windows 10 1909 と Windows 11用にリリースされている。そして、これらのWindowsバージョンでも類似の問題が多分発生するだろう。

    KB5006670ネットワーク印刷問題を修正する方法

     9月の累積アップデートが印刷問題を発生させた時、非アドミニストレータがプリンタドライバをインストールすることを可能にするか、'RpcAuthnLevelPrivacyEnabled'レジストリ値を無効にすることによって問題を修正することは可能だった。
     しかしながら、このレジストリキーは10月のアップデートによって発生した問題には最早動作しない。そこで、ユーザは、他の方法を使用してこの問題を修正することが要求されている。
     このBleepingComputerフォーラムトピックは、Windows 10 KB5006670アップデートによって発生したネットワーク印刷問題を解決するための方法に関するWindowsアドミニストレータからの沢山の提案を含んでいる。残念ながら、これらの提案は、このセキュリティアップデートを削除するか、常に上手く行くとは限らないものなので、これらの提案は、この問題を解決する理想的なものではない。
     これらの印刷問題を引き起こしフラストレーションを起こさせているものは、Microsoftの明瞭なガイダンスの欠乏と、Windows印刷機能に対して毎月発生させている沢山の変更にある。
     これらの変更は全てWindows Print Spoolerの様々な脆弱性の側面を解決すると同時に、Windowsアドミニストレータが、印刷問題を修正するか否かを判断する必要のある個々の修正を台無しにしている。
     BleepingComputerは、これら全ての問題を解決するための公式ガイダンスをMicrosoftに問い合わせたが、現時点で回答はない。

    方法 1: KB5006670アップデートをアンインストールする  殆どの一般的な提案は、単純にKB5006670アップデートをアンインストールすることである。そしてこれは、管理者特権でのコマンドプロンプトで以下のコマンドを使用することで実行できる。

    wusa /uninstall /kb:5006670

     しかしながら、このアップデートをアンインストールすることは、74の脆弱性(積極的に悪用されているものを含む)用のセキュリティフィックスを削除するので、これは危険な方法である。

    方法 2: C:\Windows\System32\Win32spl.dllを置き換える  別の方法は、ネットワーク印刷問題を修正する2021年9月のアップデート バージョンにあるWin32spl.dll ファイルを置き換えることが発見されている。

    「KB5006670は、印刷を停止するC:\Windows\System32\Win32spl.dllのバージョン10.0.19041.1288に置き換える。
     このDLLを9月の累積アップデートでインストールされたバージョン10.0.19041.1237に置き換える。
     この添付されたバッチスクリプトは、これを実行した各コンピュータにサーバ ロケーションから適切なDLLファイルをコピーし、印刷問題を発生するDLLをリネームする。私は簡単に起動スクリプトとして実行した」

     このDLLは、おそらくセキュリティアップデートの一部を変更するので、これもまた将来可能な脆弱性の悪用に対する防御の減退が、あなたのコンピュータに発生するだろう。

    方法 3: プリントサーバにプリンタキューを再作成する  一部のユーザは、プリントサーバに彼らのプリンタを削除し、再インストールすることで問題が解決されたと報告している。
     アドミニストレータとして、プリンタを削除し再インストールすると、このキューは再構築される。もしかすると、再び印刷が動作する可能性がある。
     しかしながら、ワークステーションは、新しいプリンタキューを使用するために再設定を必要とする可能性がある。これは、一部の組織にとっては多くの時間を消費する業務になる可能性がある。

    方法 4: CopyFiles機能を再び有効にする  最後に、ヒューレットパッカードの一部のプリンタドライバはCopyFiles機能を要求する。これは、Microsoftが9月にDefaultで無効にしている。
     この機能を依然として必要としているユーザのために、この機能を再び有効にすることができるようにMicrosoftは非表示のGroup Policyを導入している。
     Copy Files機能を有効にするにはHKLM\Software\Policies\Microsoft\Windows NT\Printersの下に、CopyFilesPolicyと名付けたキーを作成し、Windowsレジストリの値を作成する。この値を"1"に設定すると、Copy Filesは再び有効になる。


    Google Play上に存在しているAndroidアプリケーションPhoto editorはマルウェアである
    BleepingComputer : News>Security(2021/10/12)
     注意: このアプリケーションは、BleepingComputerがPlayストアを介してGoogleに通知した後、直ちに削除された。

     Google Playストアで客引きしているAndoroidアプリケーションは、それ自体は画像編集ソフト(以下、Photo Editor)である。しかし、このアプリケーションはFacebook認証情報とユーザの支払い情報を盗み、ユーザの代わりに広告キャンペーンを実行する可能性のあるコードと含んでいる。
     このアプリケーションは"Blender Photo Editor-Easy Photo Background Editor"と名付けられており、これまでに5,000回以上インストールされている。
     先週、500,000回以上インストールされている類似の悪意あるアプリケーションもまた、Play Storeで発見されている。

    Facebookでのログインは、ログインだけではない

     多くのAndroidアプリケーションの様に、"Blender Photo Editor-Easy Photo Background Editor"アプリケーションもFacebook機能付きのサインインを備えている。ただし、Fecebook認証情報を利用して何らかの悪事を働く。
     KasperskyのAndoroidマルウェアのアナリストTatyana Shishkovaは、今週(記述している時点で)Google Playストア上で利用可能なままになっている「トロイの木馬」アプリケーションを発見した。

    AndroidアプリケーションでGoogle Play上に居座るPhoto Editor(画像をクリックすると拡大表示されます)

     このアプリケーションには、Evina(モバイル決済サイバーセキュリティ企業)のセキュリティ研究者であるMaxime Ingraoが、先週類似の"photo editor"アプリで発見したものと同じ悪意のあるコードが含まれていた。
     これらのAndroidアプリケーションは、AndroidユーザにFacebookアカウントを介してサインインし、これらのアプリケーションにアクセスするように要求している。しかし次に、暗黙のうちに、このアプリケーション中に隠されている暗号化されたJavaScriptコマンドを介して認証情報が収集される。
     次に、このアプリケーションは、ユーザのFacebookアカウントを覗き見し、あらゆる広告キャンペーンを探すためにFacebook Graph APIへのリクエストを実行し、そして格納されている支払い情報を盗む。
     Ingraoによると、このマルウェアは「あなたが行った可能性のある広告キャンペーンと、登録済みのクレジットカードを持っているか否かに非常な関心を示している」。 これは、これらのアプリケーションの背後にいる攻撃者が、ユーザーのFacebook認証情報、および関連する支払い情報を介して独自の広告キャンペーンの作成が可能である。

    同様のアプリケーションは500,000回以上インストールされている

    Ingraoは以前、 "Magic Photo Lab - Photo Editor"と"Pix Photo Motion Edit 2021"と呼ばれる類似の悪意あるアプリケーションを発見しており、後者は500,000インストールされている。
     この二つのアプリケーションは、既にGoogle Playストアから削除されている。

    Google Playストアで50万回以上ダウンロードされた悪意あるAndroidアプリケーション(画像をクリックすると拡大表示されます)

     この研究者は、これらのアプリケーションが不正であることを発見した方法に関してBleepingComputerと見識の一部を共有した。
     Ingrao(フランスのセキュリティ研究者)は、eMailインタビューに於いてBleepingComputerに対して「私は最初に、動的解析を実行することによって疑わしいコードに気がついた」と、続けて「私はWebViewが認証情報を取得するためにJavaScriptを実行することに気がついた。次に、コードをダウンロードしコード内部のテキストを復号する関数をコーディングし直した。これが実行されたJavaScriptとFacebook Graph APIコールを発見した方法である」と述べている。
     BleepingComputerはまた、依然としてGoogle Playに存在している"Blender Photo Editor-Easy Photo Background Editor"用のAPK(Android Programing Package)を解析した。そして、このアプリケーション中に同じ悪意あるコードを確認した。
     我々が解析している間に、我々はコンパイルされたAPK(Java仮想マシンの命令セット)からAndroidアプリケーションのJavaソースコードをザッと再構築することを企てた。
     この疑わしいクラス"sources/com/easyblender/blendphoto/Blends/ext/AnaActivity.java"は、Ingraoによって言及されたWebViewを含んでいる。更に、我々は、m.facebook.comやm.fb.comドメインを参照する "m.face" や "m.f" のような部分文字列に気がついた
     様々な場所に於いて難読化されたコードは、このアプリケーションが実行されている最中にのみ復号されるJavaScriptコードと共に暗号化された文字列を含んでいる。Facebook APIに対して本物であることを証明するためにユーザのFacebookの"access_token"を入手し、"c_user"のようなFacebookセッションクッキーにアクセスするようにコード中で指示している。そして、これらの全ては、通常の"Sign-in with Facebook"ワークフローの一部として表示される可能性がある。

    このアプリケーション内部で発見された難読化の様々なインスタンスと暗号化されたコード(画像をクリックすると拡大表示されます)

     しかし、実行時に、Ingraoによって発見された以下のJavaScriptコードは、追加のスパイを実行する。このアプリケーションによって起動されたWebViewは、このJavaScriptコードを実行し、ユーザーが入力したFacebookの認証情報を取得する。
     そしてこれは、FacebookのGraph APIに対する前述のリクエストが実行されたときであり、ユーザーのアカウント中に存在するFacebook広告キャンペーンと関連する支払い情報を覗き込む。

    実行時に復号される悪意あるJSコード(画像をクリックすると拡大表示されます)

     Androidユーザーは、最近GooglePlayストアで見られるこのような"Photo Editor"アプリケーションに注意する必要がある。このようなアプリを既にインストールしている人達は、即座にこのアプリケーションをアンインストールし、スマートフォンをクリーンアップし、Facebookの認証情報をリセットする必要がある。


    Brother製USB接続プリンタ、Windows11で稼働しない可能性(2021/10/14)
     タイトルの通り、Brother製USB接続プリンタが、Windows11で稼働しない可能性が発表されています。以下のサイトを確認してください。
     Brotherホームページ(和文): https://support.brother.co.jp/j/b/oscontents.aspx?ossid=14
     Brotherホームページ(英文): https://help.brother-usa.com/app/answers/detail/a_id/175628


    Windows 0x0000011b ネットワーク プリント エラーの修正方法
    BleepingComputer : News>Security(2021/09/20)
     1月にリリースされ、今月完全に施行されたWindowsセキュリティアップデートは、Windowsユーザがネットワーク プリンタで印刷している時に 0x0000011b エラーを発生させている。
     2021年01月に、MicrosoftはCVE-2021-1678として追跡される'Windows Print Spooler Spoofing Vulnerability'を修正するためのセキュリティ アップデートをリリースした。
     「セキュリティがバイパスされる脆弱性は、Printer Remote Procedure Call (RPC)バインドがリモート Winspoolインターフェイスの認証を処理する方法中に存在している」と、この脆弱性に関するサポート ブレティンは説明している。
     セキュリティ アップデートがリリースされた時、このアップデートは、デバイスをこの脆弱性から自動的に保護しなかった。しかしながら、管理者が、ネットワーク プリンティングが使用するRPC認証レベルを増大するために新たなレジストリキーを追加することで、この脆弱性を軽減できた。
     言い換えれば、このセキュリティ アップデートは、Windows管理者が、以下のレジストリキーを作成した場合を除き、脆弱性を修正していなかった。

    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]"RpcAuthnLevelPrivacyEnabled"=dword:00000001

     しかし、今月9月14日の定例のセキュリティアップデートで、Microsoftは、このレジストリ設定が作成されていない場合も含め、全てのWindowsデバイスにこの設定をDefaultで有効にした。
     この軽減策をDefaultで有効にしたことで、ネットワークプリンタで印刷している時に、Windowsユーザは、 0x0000011b エラーを受け取ることが始まった
     この印刷エラーは、WindowsドメインのKerberos(【訳注】ネットワークを通じてコンピュータ間で利用者の認証を行う方式の一つ。複数のサーバで共通に認証情報を利用することができ、通信経路を暗号化して認証情報を安全に送受信することができる(IT用語辞典より))セットアップを利用できない中小企業やホームネットワークで主に見られる。
     9月のWindowsセキュリティアップデートをアンインストールするとこの問題は修正されるが、それに伴い、そのデバイスは、脅威のアクターが積極的に脆弱性攻撃している二つの脆弱性(PrintNightmareMSHTML)を開くことになる。
     より良い方法は、Microsoftが新しいガイダンスを公表するまで、CVE-2021-1678用の軽減策を無効にすることである(この脆弱性は、積極的に攻撃されていないので)。

    0x0000011b 印刷エラーの修正方法

     現在のWindowsアップデート(KB5005565)を削除せずに 0x0000011b 印刷エラーを修正するには、今月Defaultで有効にされたCVE-2021-1678軽減策を無効にすることである。
     これを実行するには、Windowsレジストリ エディタを開き、 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print keyに移動する。次に、新しくRpcAuthnLevelPrivacyEnabledという名前でDWORD-32bit値を作成し、0に設定する。レジストリファイルは以下のようになる。

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]"RpcAuthnLevelPrivacyEnabled"=dword:00000000

     より簡単にこの変更を追加するには、あなたに代わって追加してくれる fix-0x0000011b.reg レジストリ ファイルを使用することができる。
     あなたのプリント サーバと、それに接続しているあなたのWindowsデバイスの両方にこのファイルをダウンロードし、このファイル上をダブルクリック、そして、このデータを統合することを許可しなさい。

    無効化されたRpcAuthnLevelPrivacyEnabled軽減策(画像をクリックすると拡大表示されます)

     この軽減策を無効化すると、もはやこの脆弱性は保護されない。しかし、再び印刷は可能になる。
     これが、あなたの問題を解決しない場合には、enable-RpcAuthnLevel.reg を使用してWindowsのDefaltに戻しなさい。


    新しいZloader攻撃は検出を回避するためにWindows Defenderを無効にしている
    BleepingComputer : News>Security(2021/09/14)
     現在進行中のZloader作戦は、検出を回避するために犠牲者のコンピュータ上のMicrosoft Defender Antivirus(以前のWindows Defender)を無効にする新しい感染チェーンを使用している。
     Microsoftの統計によれば、Microsoft Defender Antivirusは、実行されている10億を超えるシステムにプレインストールされているアンチマルウェア ソフトである。
     攻撃者達は、このマルウェアの拡散方法をスパムやeMailから、ターゲットをインチキのダウンロードサイトにリダイレクトするために、Google Adwordsを介して公開されるTeamViewer Google広告に変更している。
     そこから、ターゲットにされた人たちは、彼らのコンピュータにZloaderマルウェア ペイロードをインストールするように署名され設計された悪意あるMSIインストーラをダウンロードするように欺かれる。
     「この調査で解析されたこの攻撃チェーンは、ステルス性のより高いレベルに到達し、この攻撃の複雑さがどのように成長したかを示している」と、SentinelLabsのセキュリティ研究者Antonio PirozziとAntonio Cocomazziは本日公開されたレポートで述べている。
     「第一段階のドロッパーは、古典的な悪意あるドキュメントからステルスで署名付きのMSIペイロードに変更された。これは、防御を損ないペイロードの実行を代行させるためにバックドア化されたバイナリと一連のLOLBASを使用する。」

    Zloader攻撃チェーン(画像をクリックすると拡大表示されます)

    この攻撃はオーストラリアとドイツの銀行顧客に焦点を当てている

     Zloader(TerdotやDELoaderとしても知られる)は、本来はバンキング トロイであり、幾つかの英国金融機関の顧客をターゲットにした攻撃に使用された2015年08月に発見された。
     Zeus PandaFloki Botのように、このマルウェアは10年ほど前にソースコードがオンラインにリークされた Zeus v2 Trojanにほぼ完全に基づいている。
     オーストラリア、ブラジルから北アメリカに至るまで世界中の銀行をターゲットにしているこのマルウェアは、Webインジェクション(【訳注】正規サイトを表示した際に、偽表示を付け加えて情報を詐取する手法(Trend Micro is702より))を介して金融データを収穫しようとし、認証コードと資格情報を手渡すように感染した顧客を説得するためにソーシャルエンジニアリングを使用する。
     最近では、RyukEgregorのような身代金要求型マルウェアのペイロードを拡散するために使用している。Zloaderはまた、バックドアとリモートアクセス機能と共に出現した。また、感染したデバイス上に更なるペイロードをドロップするためにマルウェエア ローダとして使用することもできる。
     SentinelLabsの調査によると、この最新のキャンペーンは、ドイツとオーストラリアの金融機関の顧客を基本的にターゲットにしている。
     「ZLoaderキャンペーンで、この攻撃チェーンを観察したのはこれが初回である」と、SentinelLabsの研究者は結論付け、「記述している時点で、我々は、拡散チェーンが特定のアフィリエイトによって実装されているのか、あるいは、メインのオペレータによって提供されているのか否かの証拠を持っていない」と述べている。
     2020年の初めから、彼らがMalsmokeと名付けたこの悪意ある広告キャンペーンを追跡しているMalwaerBytesは、脅威のアクターがアダルトをテーマにしている悪意あるサイトを介してFallout脆弱性攻撃キットを使用してSmoke Loaderマルウェア ドロッパーで彼らのターゲットに感染しているのを見つけた。
     セキュリティ研究者nao_secによると、彼らは2021年8月末から、Discord、TeamViewer、Zoom、QuickBooksを模倣したサイトに切り替えており、個人ではなく企業をターゲットにしていると思われる。


    ボットネットはRealtek SDKを使用している数十万のデバイスをターゲットにしている
    BleepingComputer : News>Security(2021/08/23)
     MiraiをベースとするボットネットはRealtekベースの数十万のデバイスに使用されているソフトウェアSDK中の緊急の脆弱性を、今ターゲットにしている。これはAsus, Belkin, D-Link, Netgear, Tenda, ZTE, Zyxelを含む少なくとも65のベンダからの200モデルを含んでいる。
     IoT Inspectorセキュリティ研究者が発見したこのセキュリティフローは、現在CVE-2021-35395として追跡され、緊急度10段階のうち9.8が割り当てられている。
     レジデンシャル ゲートウェイ、トラベルルータから、Wi-Fiリピータ、IPカメラ、スマート照明ゲートウェイ、ネットに接続可能なおもちゃに至るまでインターネットに晒されている多くのワイアレスデバイスに影響を与える

    攻撃は一般公開後、僅か2日で始まった

     このバグは管理Webインターフェースに影響を与えるので、リモート攻撃者は、スキャンし、ハッキングを試み、パッチが適用されていないデバイスに対して任意のコードをリモードで実行し、影響を受けるデバイスを乗っ取ることが可能になる。
     Realtekは、この脆弱性のあるSDKのパッチしたバージョンを08月13日にリリースしたが、IoT Inspectorセキュリティ研究者が、彼らのアドバイザリを公開する前の3日間に脆弱なデバイスの所有者が、このパッチを適用するにはあまりにも時間がなかった。
     「08月18日現在、我々は、オンライン上でCVE-2021-35395を脆弱性攻撃する目論見を同定している」と先週レポートを公開したSAMは述べている。
     このボットネットによってターゲットにされているバグだらけのRealtek SDKを使用している大多数の汎用デバイスは、Netis E1 +エクステンダー、EdimaxN150とN300Wi-Fiルーター、および、主にWi-Fi受信を強化するために使用されるRepotecRP-WR5444ルーターであると、SAMは述べている。

    ボットネットはアップデートされており新しいデバイスをターゲットにしている

     このMiraiベースのボットネットの背後にいる脅威のアクターは、2週間前以前に、緊急の認証バイパス脆弱性(CVE-2021-20090)を攻撃するために彼らのスキャナをアップデートし、Arcadyanファームウェアを使用している数百万のホームルータに影響を与えられるようにしている。
     現時点でJuniper Threat Labsの研究者が明らかにしているように、この脅威のアクターは、少なくとも2月以来ネットワークとIoTデバイスをターゲットにしている。
     「このイベントのチェーンは、ハッカーがコマンド挿入脆弱性を積極的に探し、広汎に使用されているマルウェアを素早く拡散しようとしていることを示している」とSAM Seamless NetworkのOmri Mallis(chief product architect)は発言している。
     「これらの種類の脆弱性は、悪用することが容易であり、デバイスにパッチが適用され、セキュリティベンダが対応できるかなり前に、攻撃者が採用している既存のハッキングフレームワーク中に簡単に統合することができる。」
     影響を受けるデバイスの完全なリストは、ここに記載するにはあまりにも膨大なので、IoT Inspectorレポートの末尾を参照されたい。


    カード市場を宣伝するために盗まれた100万のクレジットカードがリークされた
    BleepingComputer : News>Security(2021/08/09)
     脅威のアクターは、2018年から2019年に盗んだ100万のクレジットカードをハッキングフォーラムにリリースすることによって、新しい犯罪Carding(不正取引)市場を宣伝している。
     Cardingとは、盗んだクレジットカードを不正取引し使用することである。これらのクレジットカードは、point-of-sale malware, magecart attacks on websites, 情報窃取トロイの木馬を介して盗んだものである。
     これらの盗まれたクレジットカードは、次に犯罪不正取引市場で販売される。この市場は、脅威のアクターがオンライン購入を、より一般的には、追跡困難なプリペイド ギフトカードを購入するためにそれらを購入する場所である。
     All World Cardsと名付けられた新しいカード犯罪不正取引市場は、多数のハッキングフォーラムに投稿され、そこで、彼らは100万のクレジットカードを無料でリークした。
     フォーラムの投稿によると、これらのクレジットカードは、2018年から2019年に盗まれたものである。

    All World Cardsを宣伝するハッキングフォーラムへの投稿(画像をクリックすると拡大表示されます)

     ランダムに選んだ98のカード(盗んだカードのおよそ27%)は、依然として使用可能であると、この脅威のアクターは述べている。
     しかしながら、イタリアのセキュリティ企業D3Labsは、50%が依然として使用可能であり、当初示されていた値より遥かに大きいとレポートしている。
     「現時点で、我々解析チームへのフィードバックは依然として限定的であるが、カードのおよそ50%が未だ使用可能であり、未だセキュリティ侵害されたと特定されていない」と、D3Labは、このリークに関してブログに投稿している。
     サイバーセキュリティ企業Cybleはクレジットカードのダンプを解析し、このリークは、クレジットカード番号、有効期限、セキュリティコード、名前、国名、州、市、住所、各クレジットカードの郵便番号、eMailと電話番号を含んでいるとBleepingComputerに告げている。
     Cybleは今までに、40万のカードを解析しただけであるが、関連する銀行のトップ5は以下である。
      ・ STATE BANK OF INDIA (44,654 cards、インドステイト銀行、インド)
      ・ JPMORGAN CHASE BANK N.A. (27,440 cards、JPモルガン・チェース銀行、米国)
      ・ BBVA BANCOMER S.A. (21,624 cards、BBVAバンコメル、メキシコ )
      ・ THE TORONTO-DOMINION BANK (14,647 cards、トロント・ドミニオン銀行、カナダ)
      ・ POSTE ITALIANE S.P.A. (BANCO POSTA) (14,066 cards、ポステ・イタリアーネ、イタリア)
     あなたのカードが、この漏洩の一部であるか否かをチェックするするために、Cybleは彼らのAmIBreachedサービスにそのデータをインポートしている。
     あなたの情報が、この漏洩中に見つかった場合には、クレジットカード会社に連絡を取り新しいクレジットカードと番号を再発行してもらうように強くアドバイスする。
     また、クレジットカードの明細書を徹底的に確認して過去の不正請求と今後の請求を確認する必要がある。

    All World Cards市場

     All World Cardsのサイトは、カード不正取引市場では比較的に新参者である。そして、この宣伝は、このダンプをダウンロードした脅威のアクターの賞賛を受けている。
     この不正取引サイトは2021年05月に始まり、クレジットカードの在庫数は2,634,615である。カード最大の国は米国であり、1,167,616カードが販売されている。

    All World Cards市場(画像をクリックすると拡大表示されます)

     カードの販売価格は、$0.30から$14.40(33.20円から1594円)であり、その70%は$3.00から$5.00(332.02円から553.37円)である。
     All World Cardsは、サイバー犯罪企業やThreat Intelligence(【訳注】スレットインテリジェンスとは、「脅威情報」とも呼ばれるもので、サイバーセキュリティ関連の多くの情報を収集、蓄積し、それらを分析することで、脅威に対抗するための方法に生かしていくもの(Cyber Security.comより))企業が注目する新しい市場である。
     彼らは大物になることを目指しており、この100万の無料ダンプにより、他の多くの脅威アクターを彼らの市場に引き付ける可能性がある。


    コンピュータハードウェア大手GIGABYTEがRansomEXX身代金要求型マルウェアに攻撃された
    BleepingComputer : News>Security(2021/08/06)
     台湾のマザーボードメーカGigabyteが、RansomEXX身代金要求型マルウェアのギャングによって攻撃された。このギャング共は身代金が支払われない場合には、盗んだ112GBのデータを公開すると脅している。
     Gigabyteはマザーボードで著名であるが、グラフィックスカード、データセンターサーバ、ラップトップ、モニターのような他のコンピュータ コンポーネントやハードウェアも生産している。
     この攻撃は先週の火曜日の夜から水曜日にかけて発生し、この企業に台湾にあるシステムをシャットダウンさせた。この事件はまた、この企業のサポートサイトや台湾のWebサイトの一部を含む複数のWebサイトに影響与えた。

    身代金要求型マルウェア攻撃によるGigabyteサポートのダウン(画像をクリックすると拡大表示されます)

     顧客はまた、サポートドキュメントへのアクセスやRMA(【訳注】Return Merchandise Authorization、返品保証)に関するアップデート情報の入手に関する問題も報告している。
     中国語のニュースサイトUnited Daily News(【訳注】聯合報、台湾の新聞)によると、Gigabyteは、サイバー攻撃で影響を受け幾つかのサーバが影響を受けたことを認めている。
     彼らのネットワークの異常な挙動を検出した後、GigabyteはITシステムをシャットダウンし、法執行機関に通知した。

     当該サイバー攻撃または、他の報告されていないサイバー攻撃に関する直接情報がある場合は、Signal +16469613731、または、Wire @lawrenceabrams-bc で内密に連絡することができる。

    GigabyteはRansomEXX身代金要求型マルウェア攻撃で損害を被っている

     Gigabyteは、どの身代金要求型マルウェア作戦が攻撃を実行したのかは、公式には発表していないが、BleepingComputerはRansomEXXギャングによるものと認識している。
     RansomEXXオペレータはネットワークを暗号化する時、暗号化された各デバイス上に脅迫文を作成する。
     これら脅迫文には、犠牲者が一つのファイルを復号するテストをするためにアクセス可能な非公開のページへのリンクが含まれている。
     本日、ある情報筋がBleepingComputerにGigabytes Technologies用の非公開のRansomEXXリークページへのリンクを送信してきた。このページには、この脅威のアクターが攻撃を通して112GBのデータを盗んだと主張している。

    非公開のGigabyteデータリークページ(画像をクリックすると拡大表示されます)

     このプライベートのリークページで、この脅威のアクターは、Gigabyteネットワークの内部、並びにAmerican Megatrends Git Repositoryから112GBのデータを盗んだと主張している。

     我々は、112GB(120,971,743,713 bytes)のファイルをダウンロードした。そして、これを公開する準備ができている。
     それらの殆どはNDA(Intel, AMD, American Megatrends)下にある。
     リークソース: newautobom.gigabyte.intra, git.ami.com.tw等

     この脅威のアクターは、攻撃中に盗み出しNDA下にある四つのドキュメントのスクリーンショットを公開している。
     我々はリークされた画像を投稿しないが、この機密のドキュメントはAmerican Megatrendsデバッグ ドキュメント、Intelの「潜在的な問題」ドキュメント、"Ice Lake D SKU stack update schedule"、AMD改訂ガイド、を含んでいる。
     BleepingComputerは、この攻撃に関してGigabyteにコンタクトしたが、現時点で回答はない。

    RansomEXXについて知る必要のあること

     RansomEXX身代金要求型マルウェア作戦は本来、2018年にDefrayという名前で開始されたが、彼らがより積極的になった2020年6月、RansomEXXに名称変更されている。
     他の身代金要求型マルウェア作戦同様に、RansomEXXは、リモートデスクトップ プロトコルを介してネットワークに侵入し、攻撃し、機密データを盗む。
     彼らがネットワークへのアクセスを取得すると、彼らはゆっくりとWindowsドメイン コントローラの制御を奪うので、多くの機密ファイルを収穫するだろう。ネットワークを介しての、この水平拡散の間に、この身代金要求型マルウェア ギャングは身代金恐喝の効果を持たせるために暗号化されていないデバイスからデータを盗み出す。
     RansomEXXはWindowsデバイスだけをターゲットにしているわけではなく、VMware ESXiサーバを稼働しているバーチャルマシンを暗号化するためにLinux暗号器も作成している。
     過去一ヶ月に渡り、RansomEXXギャングは、イタリアのラツィオ州エクアドルの国家電気通信会社(Corporacion Nacional de Telecomunicaciones:CNT)への最近の攻撃に見られるように、より積極的になっている。
     身代金要求型マルウェアのギャングによる他の注目を集める攻撃には、ブラジル政府のネットワークTexas Department of Transportation(TxDOT、テキサス運輸省)、コニカミノルタIPGフォトニクスTyler Technologies(タイラー テクノロジーズ)が含まれる。


    WindowsへのPetitPotam攻撃は新しい方法でブロックすることができる
    BleepingComputer : News>Security(2021/08/02)
     セキュリティ研究者たちは、最近公開されたPetitPotam攻撃ベクトル(ハッカーがWindowsドメインコントローラの制御を簡単に取得することを可能にする)をブロックする方法を考案した。
     先月、セキュリティ研究者GILLES Lionelは、PetitPottamと名付けられた新しい方法を公開した。PetitPottamは、Microsoft Encrypting File System Remote Protocol (EFSRPC)を使用して、脅威のアクターの悪意あるNTMLリレーサーバに対してWindowsドメインコントローラを含むWindowsマシンに認証を強制するものである。
     脅威のアクターは次に、この認証要求をHTTPを介して標的にしているドメインのActive Directory Certificate Servicesにリレーする。ここで、攻撃者はKerberos ticket-granting ticket (TGT)を与えられる。これで、彼らはそのドメインコントローラのIDを引き継ぐことが可能になる。
     このベクトルが公開された後、研究者は直ちに、この方法のテストを開始し、認証をダンプしWindowsドメインを乗っ取ることがいかに簡単であるかを説明した。

    PetitPotam NTLM relay attack demonstration from BleepingComputer.com on Vimeo.

    上の動画が表示されない場合はこちら

     この攻撃を使用して、脅威のアクターは、Windowsドメインを完全に制御することができる(新しいグループポリシー、スクリプトを押し付けたり、身代金要求型マルウェアのようなマルウェアを全てのデバイスに配備することを含む)。
     先週、MicrosoftはNTMLリレー攻撃を緩和する方法を説明した 'Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)'と題されたアドバイザリをリリースした。
     「NTLMが有効にされたネットワーク上でNTLM Relay Attacksを防ぐには、ドメイン管理者は、NTLM認証を許可するサービスがExtended Protection for Authentication (EPA)のような防御を使用するか、SMB署名のような署名機能を使用する必要がある」と「PetitPotamは、Active Directory Certificate Services (AD CS)がNTLMリレー攻撃用の防御に設定されていないサーバを悪用している。KB5005413で概要されている緩和策は、顧客にこのような攻撃から彼らのAD CSサーバを防御する方法に関して説明している」と、Microsoftのアドバイザリは説明している。
    Microsoftの提案は、NTLMリレー攻撃を妨げるかもしれないが、彼らはPetitPotamのブロックに関しては何のガイダンスも提供していない。
     「NTLMv1のダウングレードや、このマシンアカウントがローカル管理者であるコンピューターのマシンアカウントにリレーするような様々な攻撃に使用できる」と、この攻撃ベクトルを彼が最初に公開した時、LionelはBleepingComputerに告げている。
     PetitPotam, SeriousSAM, PrintNightmareのような最近の脆弱性に対するMicrosoftの対応は、Microsoftの顧客保護は不十分であると感じているセキュリティ研究者を大変心配させている。

    Florian RothのTweetはこちら

    NETSHフィルタを使用してPetitPotam攻撃をブロックするには

     グッドニュースは、研究者が、ローカルEFS機能に影響を与えることなくNETSHフィルターを使用することでリモート非認証PetitPotam攻撃をブロックする方法を発見したことである。
     NETSHは、管理者がネットワーク インターフェースを設定する、フィルターを追加する、Windowsファイアーウォール設定を変更することができるWindowsのコマンドライン ユーティリティである。
     この週末、Craig Kirbyは、MS-EFSRPC APIに対するリモートアクセスをブロックするNETSH RPCを公開した。これは、非認証のPetitPotam攻撃を効果的にブロックする。
     セキュリティ研究者Benjamin Delpyによると、あなたは、以下の内容を'block_efsr.txt'と名付けたファイルにコピーし、それをデスクトップに保存することで、このフィルターを使用することができる。

    rpc
    filter
    add rule layer=um actiontype=block
    add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e add filter
    add rule layer=um actiontype=block
    add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
    add filter
    quit

     特権が昇格されたコマンドプロンプトが開くのでNETSHを使用して、このフィルターをインポートするために以下のコマンドをタイプする。

    netsh -f %userprofile%\desktop\block_efsr.txt

     以下のコマンドを実行することで、このフィルタが追加されたか否かを検証することができる。

    netsh rpc filter show filter

     このコマンドを実行すると、netshは、二つのフィルタ(c681d488-d850-11d0-8c52-00c04fd90f7e と df1941c5-fe89-4e79-bf10-463657acf44d)を以下の画像のように表示するはずである。

    設定されたPetitPotamをブロックするNETSH RPCフィルタ(画像をクリックすると拡大表示されます)

     このフィルタが適切であれば、PetitPotamはもはや動作しないが、EFSは、そのデバイス上で通常通り操作を継続する。
     何時かMicrosoftが、この攻撃を防御するためにこのAPIを修正したなら、以下のコマンドを使用してこのフィルタを削除することができる。

    netsh rpc filter delete filter filterkey=[key]

     フィルタキー(filterKey)は、上述したように、設定されたフィルタのリストが表示された時に見つけることができる。


    Registry Explorerは全てのWindowsユーザ必須のレジストリエディタである
    BleepingComputer : News>Security(2021/08/01)
     先週、新しいオープンソースのRegistry Editorがリリースされた。これは、WindowsのRegeditソフトウェアを凌ぐものであり、高度な機能を提供しており、今までより簡単にレジストリを編集することができる。
     Windowsのレジストリは、中央集権化されており、システム設定、ハードウェア設定、ユーザ設定を格納するためにオペレーティングシステムによって使用される階層化されたデータベースである。
     あなたがシステム管理者あるいは、パワーユーザであるのなら、ある時にWindows組み込みのレジストリエディタ(Regedit.exe)を使用してバグや設定を修正するためにレジストリを変更したことがあるだろう。
     しかしながら、Microsoftは、数年間彼らのレジストリエディタに対して、このアプリケーションを最新にするための多くの変更を実行していない、そして、人々が望む多くの有用な機能は無いままである。

    Registry Explorerを論じる

     先週、Windows InternalsのエキスパートPavel YosifovichはRegistry Explorerと名付けたプログラムをリリースした。このプログラムは、新しい豊富な機能を搭載しレジストリエディタの最新化を目的としている。
     Registry ExplorerはオープンソースプロジェクトとしてGitHub上にリリースされた。依然として、コンパイルすることを望まない人々のために、Yosifovichは、ダウンロードして即座に稼働できるプレコンパイルされたベータバージョンもリリースしている。
     Registry Explorerを起動した後、全てのレジストリハイブが表示されるので、ユーザーはこれを展開して、標準のWindowsレジストリエディタ同様にサブキーと値を表示できる。

    Windows Explorer(画像をクリックすると拡大表示されます)

     しかしながら、このプログラムが優れているところは、含まれているダークモード、キーと値を様々な場所にコピー&ペーストする能力、Undoチェンジボタン、高度な検索機能にある。
     Registry Explorerの検索機能は、Regeditの検索機能より遥かに高度であり、以下に示すように検索した結果を単一のダイアログボックスで全ての検索結果を表示する。次に、検索結果を確認し、エントリをダブルクリックすることで、そのレジストリのキーまたは値を自動的に開くことができる。

    一つのウィンドウにレジストリ検索結果の全てを示しているRegistry Explorer(画像をクリックすると拡大表示されます)

     レジストリで誤った変更をすると、Windowsは正しく操作できなくなる。Registry Explorerは、Read Only Mode(読み込み専用モード)で起動する。このモードをOFFにするまで変更の実行は妨げられる。
     Registry Explorerの全機能のリストを以下に示す。
      ・ 実際のレジストリを表示する(標準のレジストリだけでなく)
      ・ リストビューを任意の列で並べ替える
      ・ ハイブ、アクセスできないキー、およびリンクのキーアイコン
      ・ キーの詳細:最終書き込み時間とキー/値の数
      ・ MUIおよびREG_EXPAND_SZの拡張された値を表示
      ・ 全検索(全てを検索する / Ctrl+Shift+F)
      ・ バイナリ用の拡張された16進エディタ
      ・ Undo/Redo
      ・ キーや値のコピー&ペースト
     更に良いのは、あなたがRegistry Explorerを本当に好むのであれば、WindowsのRegistry Editor(Regedit.exe)を、このプログラムに自動的に置き換え、.regファイル用のDefaultのファイルハンドラにするるための設定をすることができる。
     あなたが、しばしばWindows Registryを編集したり、値を検索したり、.regファイルの設定をエクスポートしているのであれば、Registry Explorerを試すことを強く推奨する。あなたは多くの機能が非常に有用であることを多分発見するだろう。
     Registry Explorerを試すには、このプロジェクトのGitHubのページを訪ねなさい。


    Kaseyaは、REvil身代金要求型マルウェア犠牲者向けのユニバーサル復号プログラムを入手した
    BleepingComputer : News>Security(2021/07/22)
     Kaseyaは、7月2日のREvil身代金要求型マルウェア攻撃の犠牲者がファイルを無料で復号できるユニバーサル復号プログラムを受け取った。
     7月2日、Revil身代金要求型マルウェア作戦は、およそ60の管理サービスプロバイダと1500と見積もられる企業を暗号化するKaseya VSAリモートマネージメント アプリケーション中の0-Dayの脆弱性を攻撃する巨大な攻撃を起動した
     この攻撃の後、この脅威のアクターは、ユニバーサル復号プログラムに関して7000万$、MSP(マネージド・サービスプロバイダ)に関して500万$、犠牲者のネットワーク上の暗号化された拡張毎に4万$を要求した。

    Revilの7000万$身代金要求(画像をクリックすると拡大表示されます)

     その後直ぐ、REvil身代金要求型マルウェアのギャングは不思議なことに姿を消し、脅威のアクターは彼らの支払いサイトとインフラをシャットダウンした。
     殆どの犠牲者は支払いをしていないが、このギャングが姿を消したことは、復号プログラムを購入する必要があったかもしれない企業が、そうすることを不可能にした。
     本日、Kaseyaは「信頼できるサードパーティー」からこの身代金要求型マルウェア攻撃のユニバーサル復号プログラムを受け取っり、現在影響を受けた顧客に、この復号プログラムを配布していると述べている。
     「我々は信頼できるサードパーティーから復号プログラムを入手したが、そのソースについては一切公開することはできない」と「別のサードパーティーによってこのツールの確認が行われ、影響を受けている我々の顧客にこの復号プログラムの配布を開始した」と、Kaseyaの企業マーケティング上席副社長Dana LiedholmはBleepingComputerに告げた。
     Kaseyaは、このキーのソースに関する情報を公開しないだろうが、BleepingComputerと共に確認したところによると、これは、この攻撃全体のユニバーサル復号キーであったので、全てのMSPと彼らの顧客がファイルを無料で復号することが可能になる。
     彼らが復号プログラムを入手するために身代金を支払ったのか否か尋ねたところ、Kaseyaは「肯定も否定もできない」とBleepingComputerに告げた。
     EmsisoftのCTOであるFabian WosarがBleepingComputerに告げたことによると、Emisisoftが、このキーを検証したサードパーティーであり、Kaseyaの復旧作業の支援を継続している。
     「我々はKaseyaの顧客の契約上の取り組みをサポートするためにKaseyaと協働している。我々はこのキーが犠牲者のロックを外すことに効果的であることを確認した、我々はKaseyaとその顧客に対するサポートを引き続き提供する」と、WosarはBleepingComputerに告げている。
     REvil身代金要求型マルウェア作戦に何が起きてシャットダウンし姿を消したかは不明である。そして、複数の国際的法執行機関がBleepingComputerに告げたところによると、彼らは、この脅威のアクターが姿を消したことに関与していないということであった。
     JBS(【訳注】ブラジルに本拠を置く世界最大級の食肉会社)とKaseyaが攻撃された後、ホワイトハウスは、この身代金要求型マルウェアのギャングがロシア国内に存在すると確信し、何かを実行するようにロシア政府に圧力をかけた
     ロシア政府は米国と共同歩調をとっていることを示すために、REvil身代金要求型マルウェアのギャングにシャットダウンし姿を消すように告げたと信じられている。
     この復号プログラムがREvil身代金要求型マルウェアのギャングが姿を消した後に入手されたので、ロシアが直接この身代金要求型マルウェアのギャングから受け取り、誠意の仕草として米国の法執行機関と共有した可能性がある。
     我々が、復号キーの長短に関係しているか否かをFBIに尋ねた時に告げられたことは、捜査中のことはコメントできないであった。
     「米国司法省(DOJ)とFBIは、REvil/Sodinokibi身代金要求型マルウェアの亜種の背後にいる犯罪企業と、取り分けKaseya身代金要求型マルウェア攻撃に関する責任あるアクターの犯罪調査を実行中である」と「DOJの方針に従い、この捜査中の案件についてこれ以上コメントすることはできない」と、FBIはBleepingComputerに告げている。
     REvilが姿を消したのは、このギャングのオンライン活動が終わったのではない可能性がある。
     過去に、GandCrabランサムウェア作戦がシャットダウンされ、REvilとしてブランド名が変更されている。また、REvilが新しいランサムウェア作戦として再び登場することは予想されることである。


    脆弱性攻撃されているPrintNightmareの0-Dayに非公式のパッチがリリースされた
    BleepingComputer : News>Security(2021/07/02)
     積極的な脆弱性攻撃の下にあるWindows Print Spoolerサービス中のPrintNightmare 0-Day脆弱性を解決するフリーのマイクロパッチが、0patchプラットフォーム上で利用可能になっている。
     このリモートコード実行のバグ(CVE-2021-34527として追跡される)の背後にあるバグだらけのコードは、Windowsの全てのバージョンに存在しているが、Microsoftは、この脆弱性が、彼らの全てのプラットフォームで脆弱性攻撃可能か否かなのかを依然として調査中である。
     CVE-2021-34527は、攻撃者がSYSTEM権限でRCEを介して影響を受けるサーバを乗っ取り、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成を行うことが可能である。
     現時点でPrintNightmareセキュリティフローを解決できるセキュリティアップデートは存在していないが、Microsoftは脆弱性のあるシステムがセキュリティ侵害されることから攻撃者をブロックするための緩和策を公開し、修正作業に取り組んでいる。
     そこで、0patchマイクロパッチ サービスがフリーのマイクロパッチ提供している。このマイクロパッチは、Windows Serverのバージョン2019, 2016, 2012(2021年6月にアップデートされた),2008 R2(2020年1月のアップデートでインストールされたが、拡張セキュリティアップデートではない)用である。

     0patchのTweeterはこちら

     0patchによると、「上述のパッチの一部は、記述している時点では発行されていないかもしれないが、数時間後には発行されているだろう」としている。
     関連するニュースで、CISAは印刷に使用していないサーバ上のWindows Print Spoolerサービスを無効にするように管理者に促すPrintNightmare通知を発行した。
     Microsoftもまた、Print Spoolerサービスを有効にしているDomain Contorollerのリスクの緩和に関するサポートドキュメントにおいて、この印刷サービスを全てのDomain ControllersとActive Directory管理システムで無効にするように推奨している。
     この企業のアドバイスは、殆どのWindowsクライアントとサーバープラットフォームでデフォルトで有効になっているという事実(このサービスが、脆弱なシステムを標的とする将来の攻撃のリスクを大幅に高める)を考慮に入れている。
     公式のセキュリティアップデートが利用可能になるまで、0patchのマイクロパッチ、もしくはMicrosoftが提供する緩和策を適用し、PrintNightmare脆弱性攻撃を使用してネットワークに侵入されることから攻撃者をブロックすべきである。


    ハッカーは0-Dayの脆弱性を使用してMy Book Liveデバイスのデータを消失させている
    BleepingComputer : News>Security(2021/06/29)
     Western DigitalのMy Book Live NASデバイス中の0-Dayの脆弱性は、先週、攻撃者がデバイスの大規模な工場出荷状態へのリセットを実行することを可能にしていたため、データの損失に繋がった。
     先週、我々はWestern DigitalのMy Book Live NASの所有者が、奇妙なことに保存していたファイルの消滅が突然発生したという話を公開した。残念なことに、この工場出荷状態へのリセットは管理者パスワードもリセットするので、ユーザはWebダッシュボードやSSHを介してデバイスにログインすることができなくなる。
     一部のユーザがデバイスのログを解析した後、彼らは、6月24日にデバイスのファイルを消去するfactoryRestore.shと呼ばれるスクリプトが彼らのデバイス上で実行されていたことを発見した。

     Jun 24 00:26:53 MyBookLive factoryRestore.sh: begin script:
     Jun 24 00:26:53 MyBookLive shutdown[5033]: shutting down for system reboot
     Jun 24 00:26:53 MyBookLive logger: exit standby after 9674 (since 2021-06-23 21:45:39.926803414 +0100)

     Western Digitalは、BleepingComputerに、この攻撃はCVE-2018-18472として追跡される2018年の脆弱性を介して実行されていると当初告げていたが、2015年以降サポートされていなかったため、この脆弱性は修正されていなかった。
     攻撃者がMy Book Liveデバイスに対する攻撃に、この脆弱性を使用したことは判明したが、実際には、工場出荷状態にリセットする原因となる別の0-Dayの脆弱性が存在していた。

    工場出荷状態にリセットするために使用された0-Day

     Censysの最高技術責任者(CTO) Derek Abdineは、My Book Liveデバイスの最新のファームウェアが、リモート攻撃者がインターネットに接続されているデバイスを工場出荷状態にリセットすることを可能にする0-Dayの脆弱性を含んでいることを明らかにした。
     工場出荷状態へのリセットは、一般的にリモート管理コンソールを介して可能であるが、それらは最初に管理者自体をデバイスに認証させることを常に要求する。
     My Book Liveのファームウェア中の適切に名付けられたsystem_factory_restoreスクリプトでは、この認証チェックはコメントアウトされていたので、誰もがそのデバイスにアクセスし工場出荷状態にリセットすることが可能になっていた。
     この0-Dayを自主的に通知したArs TechnicaのDan Goodinが公開したスクリプトにおいて、get()とpost()関数で、何らかの理由からWestern Digitalの開発者によって認証チェックがコメントアウトされていることを確認することができる。

    工場出荷状態へのリセットを発生させるコメントアウトされた認証チェック(画像をクリックすると拡大表示されます)

     攻撃者がエンドポイントに対する正しいパラメータを見つけ出すことができれば、彼らは世界中のデバイスを工場出荷状態にリセットする大規模な引き金を弾くことができる。

    NASの制御のための戦い

     ハッカーはデバイスを工場集荷状態にリセットするために、この0-Dayの脆弱性を使用したが、その前のかなり長い間、悪意ある活動があったと思われる。
     Abdineによって行われた研究から、攻撃者は、2018年のCVE-2018-18472リモードコード実行脆弱性を大規模に悪用し、大っぴらに露出しているMy Book Liveデバイスに感染し、それらにボットネットを追加していた。
     以下に示すように、この脆弱性を使用して攻撃者はNASデバイス上でコマンドを実行し、リモートサイトからスクリプトをダウンロードし実行していた。

    CVE-2018-18472を使用した大規模脆弱性攻撃のデモ(画像をクリックすると拡大表示されます)

     影響を受けたユーザによってVirus Totalにアップロードされ確認されたペイロードの一つは、DrWebによってLinux.Ngioweb.27(IoTデバイスをターゲットにする既知のLinuxボットネット)の変種として検出された。他のペイロードもこの攻撃で確認されているが、どのマルウェアファミリーに属するのか明らかになっていない。
     一旦、ボットネットにリスト化されると、攻撃者は遠隔からMy Book Live NASデバイスを使用して、DDoS攻撃、他のデバイスへの攻撃、コマンドの実行、ファイルを盗むことさえ実行できる可能性がある。
     この攻撃はまた、様々なスクリプトをパスワードで保護し、ライバルのボットネットや他の攻撃者によって、このデバイスが乗っ取られることを防いでいる。
     我々は今、My Book Liveデバイスを標的にした様々な攻撃に対する何らかの洞察は持っているが、攻撃者がNASデバイスのデータを大規模に消去する動機に関しては分かっていない。
     Abdineは、この0-Dayを使用した大規模なデータ削除は、他の攻撃者、あるいはライバルのボットネットがデバイスをリセットすることで、このデバイスを乗っ取ろうとした可能性があると考えている。
     「大規模にこのエンドポイントにPOSTする動機に関しては不明であるが、これらのデバイスを乗っ取ったり、使用できないようにしようとしている(おそらく、ユーザー名とパスワードをDefaultのadmin/adminにリセットすることで、別の攻撃者が制御を奪うことが可能になるので)ライバルのボットネット オペレーターや、これらの問題が2015年以降存在しているため、しばらくの間存在していたであろうボットネットを他の方法で粉砕したい者が企てている可能性がある」と、Abdine氏は説明している。
     消費者向けIoTデバイスは、攻撃者が気付かれずに攻撃を実行できるためサイバー犯罪の世界で価値のある商品である。
     IoTデバイスには、セキュリティ侵害されたことを示す外部信号が殆ど無いので、攻撃者は検出されることなく悪意あるキャンペーンの一部としてそれらを長期間使用することができる。
     現時点では、ユーザーはMy Book Liveデバイスを大ぴらなアクセスから防御すべきであり(【訳注】インターネット接続を切断するということ)、ローカルネットワークやVPNの下でのみ使用すべきである。
     BleepingComputerはWesternDigitalに連絡を取り、この脆弱性のパッチをリリースするかどうかを確認したが、このデバイスは6年間サポートされていないため、パッチのリリースはないと思われる。


    フィッシング攻撃の一般的ではない添付ファイルは諸刃の剣である
    BleepingComputer : News>Security(2021/06/24)
     脅威のアクターはセキュリティソフトウェアをバイパスするために一般的ではない添付ファイルを使用しているが、これは、彼らに対しても作用する可能性のある諸刃の剣である。
     安全なeMailゲートウェイとセキュリティソフトウェアが、より高度になり絶えず変化するフィッシングキャンペーンに対応するようになるにつれ、脅威のアクターは検出をバイパスするために、より一般的ではないファイルフォーマットに頼っている。
     従来より、フィッシングスカムは、ISOやTARファイルのようなeMailの添付ファイルとしては一般的ではない添付ファイルに切り替えてきていた。
     しかしながら、脅威のアクターが新しく一般的ではない添付ファイルを採用したので、サイバーセキュリティ企業は、それらをブロックするために更なる機能を追加している。

    セキュリティをバイパスするために使用されているWIM

     Trustwaveの新しいレポートによると、研究者は、脅威のアクターがAgent Teslaリモートアクセス トロイを拡散させるためにWIM(Windows Imaging Format)を添付ファイルとして悪用し始めていると説明している。
     「我々がサンプルから収集した全てのWIMファイルはAgent Teslaを含んでいた。この脅威は.NETで書かれたRemote Access Trojan(RAT)であり、セキュリティ侵害したシステムを完全に制御し、HTTP, SMTP, FTP, Telegramを介してデータを密かに抽出することができるものである」と、Trustwaveのセキュリティ研究者Diana Loperaはこのレポートの中で説明している。
     これらのキャンペーンは、以下に示すようにDHL(【訳注】航空機を主体とした国際宅配便、運輸、ロジスティクスサービスを扱うドイツの国際輸送物流会社)やAlpha Trans(【訳注】米国を本拠とする輸送会社)からのシッピング情報を装うフィッシングeMailで開始される。

    WIMファイルを拡散するフィッシングeMail(画像をクリックすると拡大表示されます)

     このeMailに含まれているのは .wim添付ファイル(末尾は時々、.wimや.wim.001になっている)でありセキュリティソフトをバイパスするように設計されている。
     Windows Imaging Format(WIM)ファイルは、Windows Vistaとその後のオペレーティングシステムに採用することを目的にMicrosoftが開発したファイルベースのディスクイメージフォーマット(【訳注】殆どのディスクメージ形式はセクターベースイメージフォーマット)である。
     WIMファイルは、配布を簡単にするために、その全てのファイルやフォルダを単一ファイルにパックするために使用される。
     以下の画像に見られるように、Hex Editor(16進エディタ)でこれらWIM添付ファイルの一つを開くと、その中に実行ファイルが包含されていることが明らかに示されている。

    Hex Editorで表示したWIM添付ファイル(画像をクリックすると拡大表示されます)

     しかしながら、WIMファイルが検出される可能性は低いかもしれないが、WIMファイルを使用したフィッシングキャンペーンは、WindowsがWIMファイルを開くための組み込みメカニズムを持っていないので、より大きな問題を抱えることになる。
     それ故、ユーザがWindowsでこの添付ファイルを開こうとした時、ユーザは、以下に示すようなWIMファイルを開くためのプログラムを選択するように要求するメッセージが表示される。

    Windowsでのプログラム選択の要請(画像をクリックすると拡大表示されます)

     このファイルフォーマットは次ぎに、横道にそれて7-zipのようなプログラムを使用してこのファイルを解凍し、次に、その中にあるファイルをダブルクリックすることを受信者に要求するだろう。これはまず発生しない。

    7-zipを使用して解凍したWIMファイル(画像をクリックすると拡大表示されます)

    一般的ではない添付ファイルは諸刃の剣

     一般的ではないファイルを使用することは、一部のセキュリティフィルタをバイパスするかもしれないが、これはまた脅威のアクターにとっても、おそらく諸刃の剣である。
     これは、このファイルが、7-zipのような特定のプログラムを持っていない殆どのデバイスで開かれることがなく、このファイルを解凍するために特別な努力を受信者に強いることが理由である。
     「一般的ではないアーカイブ ファイル フォーマットでカプセル化されたマルウェアは、ゲートウェイとスキャナをバイパスする一般的な方法の一つである。しかしながら、この戦略はまたハードルもある。ターゲットシステムはファイルタイプを認識するか、少なくともファイルを解凍して処理できるツールを備えている必要がある」と、続けて「.IMG や .ISOディスクイメージファイルとは対照的に、WIMファイルは、ディスクイメージファイルをマウントするための組み込み機能がWindowsに用意されていない。更に、他の一般的なアーカイブユーティリティWinRARとWinZipは、WIMディスクイメージを認識しない。WIMファイルは広汎に使用されている7Zipで処理することができる」と、Loperaは発言している。
     安全なeMailゲートウェイが、未だ実行されていないのであれば、直ちにこれらの添付ファイルをブロックするだろう。しかしながら、あなたがWIM添付ファイル付きのeMailに遭遇した場合には、正当な電子メールは、このファイルフォーマットを使用しないので単純に削除しなさい。


    Windows 10 PCでMicrosoft Storeが世界中でクラッシュしている
    BleepingComputer : News>Security(2021/06/23)
     Windows 10ユーザは現在Microsoft Storeで、アプリケーションのダウンロードとインストールができず、繰り返し試みるとクラッシュする問題に遭遇している。
     Microsoft Storeからアプリケーションをダウンロードしようとすると、ユーザはロード中、あるいは、フリーズしたページを表示される。具体的には、ユーザがアプリケーションやゲームをダウンロードするために"Get"ボタンをクリックしても何も発生しない。
     様々なMicrosoft Store機能にアクセスしても、ダウンロードセクション同様に、このプログラムは回転するローディングシンボルを画面に居座らせるだけである。

    永久に続くMicrosoft Storeのローディング(画像をクリックすると拡大表示されます)

     やがては、Microsoft Storeは完全にハングし、Windowsがアクティブであれば、Task ManagerもしくはAlt+F4を使用することによってのみ閉じることができる。
     クラッシュすると、エラーメッセージがEvent Viewerに記録される。今回の場合は、Windows Storeがオペレーティングシステムと相互対話できなかったと述べている。

    Windows Storeのハングを示すEvent Viewer(画像をクリックすると拡大表示されます)

     BleepingComputerによって確認されたレポートによると、この動作不能状態は、ここ4時間以内(本記事の配信は、日本時間 2021年06月23日 14:40)に始まっている。
     この問題に関して、Windows 10累積アップデーに起因する問題でのメンテナンス作業が計画されていたのか否か、あるいは、Microsoft Azureネットワークの問題なのかは分かっていない。


    Windows 10のオプショナルアップデート機能が壊れていた、その理由
    BleepingComputer : News>Security(2021/06/13)
     Windows 10は毎度厄介な問題を抱える。今回の問題は、Windows Updateは一回に一つのオプショナルアップデートしか提供していない。
     一般的にMicrosoftは、Windows Updateによって自動的にインストールされない任意の新しいアップデートをリリースする。
     オプショナルアップデートは、新しいWindows 10の機能更新プログラム、Windows 10プレビュー累積アップデート、機能エクスペリエンスパック、オペレーティングシステムの特定のバグに向けた幾つかの定例外の修正が含まれる。
     しかしながら一年以上に渡り、Windows 10は、あなたのWindows 10用に利用できる複数のオプショナルアップデートがある場合でさえ、一回に一つのオプショナルアップデートしか提供していない。
     例えば、最近リリースされたWindows 10 21H1アップデートは、Windows Updateで優先的に扱われ、他の利用可能なオプションの更新プログラムに関係なく提供される。

    オプショナルアップデートとして提供されているWindows 10 21H1機能更新プログラム(画像をクリックすると拡大表示されます)

     今週、Microsoftは、インストールしている、あるいは、起動しているゲームからユーザを妨げるXbox Game Passバグを修正する定例外のKB5004476 Windows 10アップデートをリリースした。
     苛立たしかったことは、このアップデートをWindows 10 20H2に適用しようとした場合、私がWindows 10 21H1アップデートを最初にインストールするまで、Windows Updateが私のデバイスにこのアップデートの提供を拒否したことであった。
     Microsoftは2019年、Windows 10に新しい"Optional Update Experience"を導入した。これは、この問題を解決し、あなたがインストールしたいオプショナルアップデートの選択を可能にすると思われていた。
     この機能は、我々がWindows 10 21H1機能更新プログラムをインストールする前でさえ見事なまでに動作しなかった。以下に示すように、我々は依然としてOptional Update画面にKB5004476オプショナルアップデートを提供されていない。

    Windows 10オプショナルアップデート画面(画像をクリックすると拡大表示されます)

     オプショナルのWindows 10 21H1機能更新プログラムをインストールすると、Windows Updateは、オプショナルの新しいKB5004476定例外アップデートを我々に提供した。

    Windows 10 21H1インストール後に表示されるWindows 10 KB5004476定例外アップデート(画像をクリックすると拡大表示されます)

     BleepingComputerは、複数のデバイスでこの同じステップを試みた、結果、Windows 10は全て同じ挙動を呈した。
     これらのオプショナルアップデートの一部は、Microsoft Catalogで利用可能であるが、多くの人々はWindows Updateの手動インストールに不慣れである。
     MicrosoftがOptional Update機能で全てのオプショナルアップデート提供していない理由は定かでない。しかしながら、現在の形式では、ユーザーは実際に希望するアップデートにアクセスする前に、機能更新プログラムをインストールする必要がある。


    Microsoft OfficeのMSGraphにコード実行を導く脆弱性
    BleepingComputer : News>Security(2021/06/08)
     Microsoftは本日、Microsoft OfficeのMSGraphコンポーネント(グラフとチャートの表示を担当する)に影響する脆弱性に対するパッチをリリースするだろう。この脆弱性はターゲットにされたマシン上でコードを実行される可能性があった。
     このコンポーネントは殆どのOfficeドキュメント中に組み込まれているため、攻撃者は、特別な機能を必要とすることなく、これを使用して悪意あるペイロードを配布することができる

    レガシーコード

      CVE-2021-31939として追跡されるこのセキュリティフローは、Check Pointの研究者がMSGraph中に発見しMicrosoftに通知したセキュリティ脆弱性の大きなセットの部分である。
    この研究者がMSGraphのセキュリティフローのテストに注目した理由は、少なくとも17年前のコードが含まれていたことにあり、Microsoft Equation Editorに似たアタックサーフェス(【訳注】攻撃領域、つまり何らかの攻撃の対象となり得る領域のこと(三和コムテックより))を持っていたことにある。そして、2017年に修正されたバグは今日まで大量に悪用され続けている。

    Microsoft Ecelドキュメントに組み込まれているMSGraphエディタ(画像をクリックすると拡大表示されます)

    このバグがアイデンティファイアを最近取得したばかりなので、この脆弱性に関する詳細は現時点では不足している。しかしながら、Check Pointは本日のレポートで、CVE-2021-31939は、UseーAfter-Free(【訳注】解放後のメモリ領域を参照するダングリングポインタを悪用し任意のコードを実行する攻撃(CiNiiより))と記している。
     このタイプのフローは、プログラム オペレーション中にダイナミックメモリの不正使用で構築され、そのシステム上で任意のコード実行を導くことができるものである。
     研究者によると、この問題はMSGraphファイル構文解析機能中に存在しており、「一般的に、Excel(EXCEL.EXE), Office Online Server(EXCELCNV.EXE), Excel for OSXのような様々なMicrosoft Office製品で使用されている。」
     Check Pointの本日の公開には、Microsoft OfficeのMSGraph中に発見された他の三つのセキュリティフローが含まれている。これらの全ては先月パッチされている。
      ・ CVE-2021-31174: Microsoft Excelでの情報漏洩につながる範囲外読み取り(OOBR)の脆弱性 (重大度中)。 MSGraph、Office Online、Microsoft Excel に影響を与える
      ・ CVE-2021-31178: 情報漏洩につながる範囲外読み取り (OOBR)脆弱性(重大度中)による整数アンダーフロー(【訳注】Integer Underflowとは、結果が最小許容整数値未満になり、正しい値とは異なる値が生成されること)
      ・ CVE-2021-31179: リモートでコードが実行されるメモリ破損の脆弱性(重大度高)
    全てのフローは、ファジングによって発見された。ファジングとは、コードに様々な入力を加えてエラーやセキュリティの脆弱性を発見するテスト手法である。この方法で生成される例外には、脆弱性攻撃を導くことが可能なクラッシュやメモリリークが含まれる。
     研究者は、4つの脆弱性の全てが、ほとんどのOfficeドキュメントに埋め込まれる可能性があり、被害者が悪意のあるOfficeファイルを開くと、脆弱性がトリガーされる複数の攻撃シナリオの余地があると述べている。
     「この脆弱性が悪用された場合、攻撃者は特別に細工されたOfficeドキュメントを介して、ターゲット上で悪意あるコードを実行することができる」と、Check PointはBleepingComputerに語った。

     「全てのOfficeスイートはExcelオブジェクトを埋め込める(これは攻撃ベクトルを広げる)ので、Word, Outlook等を含む殆ど全てのOfficeソフトウェアに対して、このような攻撃を実行することを可能にしている」- Check Point

     Check Pointは2月28日に、この脆弱性をMicrosoftに通知し、そのうちの3件は先月パッチが適用された。 CVE-2021-31939は後日、追跡アイデンティファイア(ID)を受け取った。本日パッチを受け取ることが予定されている。

    注意: これらのオンラインカジノのeMailは、決して彼らの約束通りにはならない
    BleepingComputer : News>Security(2021/06/05)
     スパマーは誤解しやすいeMailで、 Raging Bull Casino, Sports and Casino, Ducky Luck, Royal Ace Casinoのようなオンラインカジノを奨励するためにアフィリエイト・プログラムを乱用している。
     大手のオンラインカジノの多くは、他のWebサイトやインフルエンサが、彼らの製品を宣伝したり、アカウントをサインアップした人々から手数料を稼ぐことを可能にするためにアフィリエイト・プログラムを活用している。
     ユーザを紹介するために、このアフィリエイトは、アフィリエイトIDを含む特別に細工されたURLを作成したり、紹介者が新しいアカウントを登録した時に、このカジノが彼らにクレジットを与えることを可能にするクッキーをドロップする。
     今週、BleepingComputerは、オンラインカジノのアフィリエイトによって実施されているオンラインキャンペーンについて告げられた。その内容は、大金の支払いが準備されている「大賞」を勝ち取ったと述べたり、あるいは、受信者がアカウントを確認する必要があるとする、誤解させるようなeMailでユーザを爆撃しているとするものであった。
     このキャンペーンについて告げられた後、我々のeMailアカウントの一つのスパムフォルダを検証することで、我々もこのスパムキャンペーンのかなりのターゲットになっていることを確認した。

    オンラインカジノスパムの定常的な流れ(画像をクリックすると拡大表示されます)

     Gmailは、eMailのこのようなタイプをスパムとしてマークする優れた仕事を実行しているが、他のフリーeMailサービスは、あなり役に立たないかもしれないので、このスパムは一般メールボックスに入る可能性がある。
     例えば、以下にRaging Bull CasinoとRoyal Ace CasinokaranoアフィリエイトスパムeMailを示す。彼らが$3,500(383,268円)の支払いを約束したり、オンラインアカウントを確認した後、ベッティングストラテジ(【訳注】ベッティングシステムとも呼ばれ、カジノなどの賭博で、どのような賭け方(ベット)をするかの戦略(Qiitaより))が共有されることを確認できる。

    Raging Bull CasinoアフィリエイトからのスパムeMail(画像をクリックすると拡大表示されます)

    Royal Ace CasinoアフィリエイトからのスパムeMail(画像をクリックすると拡大表示されます)

     このリンクをクリックすると、ユーザはアフィリエイトクッキーをドロップする別のサイトにリダイレクトされた後、このカジノにリダイレクトされる。
     以下の画像に見られるように、Raging Bull Casinoへのリダイレクトは、アフィリエイトがサインアップのクレジットを取得できるようにURLにアフィリエイトID(affid)を含んでいる。

    URLにアフィリエイトIDが付属するRaging Bull Casinoサイト(画像をクリックすると拡大表示されます)

     想像されているように、あなたが素敵な支払いを期待しているこのアカウントにサインアップしても、期待している支払いはない。代わりに、金銭を稼いでいるのは、あなたにeMailを送信したアフィリエイトだけである。
     BleepingComputerは、この記事にリストされているオンラインカジノとそれらのアフィリエイトマネージャに接触したが、回答をを受け取れなかった。
     これらの種類のeMailを受信した場合は、それらをスパムとしてマークすることでeMailプロバイダーのスパムフィルターが将来それらを認識するようにトレーニングされる。


    身代金要求型マルウェアのギャングの復号プログラムの遅さは、犠牲者に代替方法を探させている
    BleepingComputer : News>Security(2021/05/28)
     最近大きく報道された二つの身代金要求型マルウェアの犠牲者が受け取った復号プログラムは、あまりにも遅く犠牲者のネットワークを素早く復帰させるには程遠いものだった。
     最初の犠牲者はColonial Pipelineである。DarkSide身代金要求型マルウェア オペレーションによって攻撃された後、彼らは復号プログラムを得るために440万$(約 4億8300万円)の身代金を支払った。
     しかしながら、この復号プログラムは大変遅いので、この企業はバックアップからの復元に頼るほどであった。
     「ハッカーは支払いを受け取ると、無効になったコンピュータ ネットワークを復元するための復号ツールをオペレーターに提供した。このツールはあまりにも遅かったため、この企業はシステムの復元に独自のバックアップを使用し続けることになったと、この企業の取り組みに精通する関係者の一人は語った」と、Bloombergは報道している。  つい最近の犠牲者はHSE(アイルランドの保健サービス委員会)である。HSEは、Conti身代金要求型マルウェアによって攻撃されたが、身代金の支払いは拒否している。
     おそらく、攻撃者は間違えて政府機関をターゲットにしたことを認識し、この攻撃に関する復号プログラムをリリースした。
     しかしながら、この復号プログラムをテストしたところ、あまりにも遅いことが分かったので、HSEは、独自の復号プログラムを使用するために、ニュージーランドのセキュリティ企業Emsisoftと協働した。このプログラムはギャングが提供した復号プログラムに比べ2倍高速であったと主張している。

    EmsisoftのUniversal Decryptor

     Emsisoftの復号プログラムを知った後、BleepingComputerは、HSEがこの復号プログラムを使用した方法について詳細に知るためにEmsisoftのCTO Fabian Wosarに接触した。
     Wosarは、HSEとの協働に関する情報の共有は拒否したが、この身代金要求型マルウェア オペレーションがファイルを復号するにあたり酷い仕事を実行するので、Emsisoftが、Universal Decryptorを作成したと説明した。
     例えば、Ryuk身代金要求型マルウェアの復号プログラムは、大きなファイルを復号する時にデータ損壊に導く問題が知られている。同様に、Babuk Lockerの復号プログラム中のバグは、ESXiサーバを復号する時にデータロスが発生する。
     Emsisoftの復号プログラムは、データセーフティーに設計されており、ギャングの復号プログラムよりとても高速でもある。このツールは著名で評判の高いサイバーセキュリティ企業によって提供されているものなので、脅威のアクターからの復号プログラムに悪意ある挙動が有るか無いかをチェックする必要もない。

    Emsisoft復号プログラム 対 脅威のアクターの復号プログラム(画像をクリックすると拡大表示されます)

     「我々は通常日数を短縮する。その理由は、安全か否か確認するためにリバーシングする必要がない、最初にバックアップする必要もない、配備が簡単、より良いログが取れ、最終的には大変高速になる」と、WosarはBleepingComputerに話た。
     Wosarはまた、犠牲者が複数の身代金要求型マルウェアで一斉攻撃されることは前例のないことではないと述べ、そして、このことは、Emsisoftが、彼らの復号プログラムを様々な身代金要求型マルウェアファミリーからの複数の復号キーを読み込み、一度にファイルを復号できるようすることを決定した。
     「50を超える身代金要求型マルウェアファミリーとメジャーな変種が、このプログラムによってサポートされている」と、Wosarは説明している。

    Emsisoftの復号プログラムをテストする

     Wosarは、ContiとDarkSideの公に利用可能なサンプルと、今までマルウェア解析サイトで共有されてきた彼らの復号プログラムを、BleepingComputerが、彼らの復号プログラムをテストすることに同意した。
     我々のテストの一部として、使用したのはWindows 7 2CPU仮想マシン、小さな44.8GBドライブで使用済み領域35.1GBである。
     このスペックは現実に使用されるものとは大きく異なっているが、Emsisoftの復号ツールと身代金要求型マルウェアのギャングが提供する復号プログラムとの速度を比較することは可能である。
     最初のテストでは、Conti身代金要求型マルウェアで仮想マシンを暗号化した、これにはおよそ9分かかった。
     Contiが提供する復号プログラムでは、ファイルの復号に22分を要したが、Emsisoftの復号プログラムでは、脅威のアクターの復号プログラムより41%速い13分(9分速い)で、この仕事を終了させた。

    Emsisoft復号プログラムを使用してContiで暗号化されたファイルを復号中(画像をクリックすると拡大表示されます)

     次に、DarkSide身代金要求型マルウェアのサンプルで類似のテストを行った。これは、我々のデバイスを僅か6分で暗号化した。
     DarkSideの復号プログラムは、我々のテストファイルを復号するのに29分を要したが、Emsisoftの復号プログラムでは僅か18分で復号した。我々のテストにおいて、Emsisoftの復号プログラムが37%速かったが、Wosarは、もっと多くのCPUを搭載したマシンでは、もっと優れたパフォーマンスになるだろうと述べている。

    DarkSideが提供する復号プログラム(画像をクリックすると拡大表示されます)

     犠牲者は一般的に数千のデバイスと復号するための数テラバイトのデータを持っている。37%と41%速い復号速度は重要であり、リストアのプロセスを数週間とはならなくとも数日は短縮することができる。
     Emsisoftは、特定のランサムウェアを解析し、カスタマイズされた復号プログラムを作成する復元サービスには料金を請求するが、医療機関には無料でサポートを提供している。


    世界中でWindows 10のPCでGoogle Chromeがクラッシュしている。その修正方法
    BleepingComputer : News>Security(2021/05/21)
     Google Chromeが昨日、突然クラッシュし始め、世界中の多くのWindowsユーザが、このブラウザを利用できなくなっている。
     Googleは、5月10日にChrome 90.0.4430.212をリリースした。大部分に関しては、このリリースに関して昨日まで、何の問題も報告されていなかった。
     昨日の朝からWindows Leastによって最初に報告された後、ユーザは、このブラウザを使用中に、Google Chromeの拡張とタブが突然クラッシュしたことを報告し始めた。
     このクラッシュに起因して、Google subreddit(【訳注】Redditのウェブサイトで特定のトピックの議論を目的とするサブフォーラム(Weblioより))とGoogleの製品フォーラムは、この問題に遭遇した人々からの投稿で満たされ始めた。
     「15分前に突然に、Googleは動作を停止した。拡張機能はクラッシュし、全てのページ(設定などのChromeのページを含む)は読み込みを拒否した。画面はブランクになり、タブには「無題」というラベルが付けられ、その横にしかめっ面のフォルダがある」と、ユーザはRedditに昨日投稿している。

    拡張機能がクラッシュしたと述べるGoogle Chromeアラート(画像をクリックすると拡大表示されます)

     BleepingComputer自体は、このような経験はしていないが、ユーザは、Chromeがグレー画面を表示しブラウザの設定や拡張のページを開くことができないと報告している。
     更に、ユーザは、これらのクラッシュが通常モードとシークレットモードの両方で発生すると報告している。
     これは、このクラッシュがGoogle Chromeの %UserProfile%\AppData\Local\Google\Chrome\User Dataフォルダ(このブラウザのあなたのデータ、拡張、設定を格納するために使用される)の問題によって発生していると信じられている。
     Google Product Expertは、ユーザが 'User Data'フォルダのバックアップを作成し、次に、このクラッシュを修正するために以下のステップの一つを実行するように推奨している
       この問題はWindowsでのみ発生しているようなので、以下の指示を提供するが、これはオペレーティングシステム依存である。
      1. Sync(同期)データが、間違いなく https://chrome.google.com/sync に存在し、パスワードが https://passwords.google.com で表示されることを確認する(パスフレーズがある場合は表示されないが、Sync(同期)データリンクに反映されている必要がある)
      2. 開いているChromeを全て閉じる
      3. ファイル エクスプローラーを開き、%LOCALAPPDATA%\Google\Chrome\User Data に移動する
      4. ディレクトリから'Local State'ファイルを削除する(バックアップをとっていることが前提条件)
      5. Chromeを再起動する

      ただし、上記の手順で問題を解決できない場合は、以下の手順を試しなさい。
      1. ファイル エクスプローラーを開き、%LOCALAPPDATA%\Google\Chrome\User Data に移動する
      2. このディレクトリにあるすべてのもののコピーを取り、デスクトップのような場所に保存する
      3. "User Data"フォルダの名前を、User Data以外の名前に変更する
      4. Chromeを再起動する

     一部のユーザは、これらのステップを実行した後、Google Chromeがクラッシュしなくなったと報告している。
     他のユーザでは、Google Chromeを再起動したら、この問題が再び発生したと述べている。
     このクラッシュの原因は明らかになっていないが、最新のブラウザのリリース以来、Googleによって一部のユーザに対して変更が排除されたようである。
     Googleが限定的なテストだけで設定変更や新しい機能からGoogle Chromeユーザを排除するのはいつものことである。これらのテストや設定変更の一つが、大変多くのユーザによって確認されている問題を引き起こしている可能性がある。
     BleepingComputerは、このクラッシュに関する質問をするためにGoogleに接触したが、現時点で回答は得られていない。


    大規模なマルウェア キャンペーンは偽の身代金要求型マルウェアを配布している
    BleepingComputer : News>Security(2021/05/20)
     大規模なマルウェアキャンペーンは、JavaベースのSTRRATリモートアクセス トロイの木馬(RAT)を押し付けていた。このトロイの木馬は、データを盗む能力と偽の身代金要求型マルウェア攻撃の能力を持つことで知られている。
     一連のTweetで、Microsoft Security Intelligenceチームは、この「巨大なeMailキャンペーン」がセキュリティ侵害したeMailアカウントを使用して偽の身代金要求型マルウェア ペイロードを拡散した方法を概要している。
     このスパムメールは、PDF添付ファイルに見えるものを開くように受信者を誘惑している。しかし、この添付ファイルをクリックすると、代わりにRATマルウェアをダウンロードする画像である。
     「このeMailは、PDF添付ファイルを装う画像を含んでいるが、開くと、STRRATマルウェアをダウンロードする悪意あるドメインに接続する」と「このRATは、実際にファイルを暗号化することなしに、身代金要求型マルウェアのように挙動し、ファイルに .crimson 拡張子を追加する悪名高いものである」と、Microsoftは発言している。

    Microsoft提供の画像(画像をクリックすると拡大表示されます)

     Microsoft Security Intelligenceチームは、Tweetで言及しているように、STRRATマルウェアはバックグラウンドで犠牲者のデータを盗んでいる間、偽の身代金要求型マルウェア攻撃しているように設計されている。
     G DATAのマルウェア アナリストKarsten Hahnは、2020年06月に、このマルウェアはeMailキャンペーンでWindowsデバイスに感染し、VBScriptスクリプトの二つのステージを介した後に、最終的にRATペイロードを配布する悪意あるJAR(Java ARchive)パッケージを押し付けると発言している。
     STRRATはキーストロークをログし、そのオペレータが遠隔からコマンドを実行することを可能にし、eMailクライアントとブラウザ(Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbirdを含む)から認証を含む機密情報を収穫することを可能にしている。
     これはまた、リモートアクセスを持つ攻撃者が、侵害されたWindowsシステムでRemote Desktop Hostのサポートを有効にするために、オープンソースRDP Wrapper Library(RDPWrap)をインストールすることで感染したマシンへのアクセスすることを提供している。

    STRRAT感染チェーン(画像をクリックすると拡大表示されます)

     しかしながら、他のRATから目立たせたことは、この身代金要求型マルウェアモジュールが、ファイルに ".crimson" 拡張子を追加するだけで、如何なるファイルも暗号化していないことである。
     これはファイルのコンテンツへのアクセスをブロックすることはないが、一部の犠牲者は、ペテンに引っ掛り、攻撃者の身代金要求に応えている可能性がある。
     「このようなファイルはダブルクリックではもはや開かないので、この恐喝が成功する恐れがある」と「Windowsはファイルの拡張子でファイルを開くための正しいプログラムを関連付けているので、もしも拡張子が削除されていると、ファイルは通常のように開かない」と、Hahnは発言している。
     Microsoftは、先週の大規模なSTRRATキャンペーンを分析しているときに発見したように、このマルウェアの開発者は、それを改善し、難読化を追加し、モジュラーアーキテクチャを拡張し続けている。
     それでも、ブラウザや電子メール クライアントの認証情報を盗んだり、リモートコマンドやPowerShellスクリプトを実行したり、被害者のキーストロークを記録したりする、このRATの主な機能は殆ど変更されていない


    最近のWindows 10アップデートはMicrosoft Teams, Outlookのログインをブロックする
    BleepingComputer : News>Security(2021/05/19)
     最近のWindows 10 1909累積アップデートは、Microsoft 365デスクトップユーザがMicrosoft Teams, Microsoft Outlook, Microsoft OneDrive for Businessへのログインを妨げている。
     ログインを試みた時、ユーザは、 "We ran into a problem. Reconnecting…"とするメッセージが表示され、このプログラムを再起動するようユーザに要請される。
     この画面はまた、下図に示すようにエラーコード80080300を画面の左下隅に表示している。

    Microsoft Teams 80080300エラー(画像をクリックすると拡大表示されます)

     この問題は、先週リリースされた2021年05月の定例アップデートの一部であるWindows 10 1909 KB5003169累積アップデートによって発生する。
     この問題を修正するために、Microsoftは、このアップデートのインストールが終了した後、もう一度Windows 10を再起動する必要があると述べている。
     「我々は、Windows Update KB5003169を適用した一部のユーザが、Microsoft Teams, Outlook, OneDrive for Businessを含む様々なMicrosoft 365デスクトップ クライアントに接続できないとするレポートを受け取っている」と、「我々の調査によると、最近配備されたWindows Updateによって明らかになったコードの問題(KB5003169で詳細に説明している)が、この問題の原因であることが判明した」と、Microoftは最近のMicrosoftアドバイザリで説明している。
     Microsoftは、彼らのテレメトリ(遠隔測定法)は、ごく僅かなパーセンテージのユーザが、Windows 10を再起動するまで、このバグによる影響を受けていることを示していると、述べている。
     Windows 10を再起動しても、この問題が解決されない場合、Microsoftが、この問題を調査している間は、 Microsoft Teams, OneDrive for Business, OutlookのWebバージョンを使用するように推奨している。


    Windows 10 KB5003173アップデートはエラー0x800f0922で失敗する。修正する方法
    BleepingComputer : News>Security(2021/05/14)
     Windows 10 KB5003173累積アップデートは、Microsoft Edgeをこれまでにアンインストールしていた場合には、0x800f0922エラーを表示してインストールに失敗する可能性がある。
     Microsoftが今週、2021年05月の定例アップデートの一部としてWindows 10 KB5003173累積アップデートをリリースした後、一部のユーザは、このアップデートをインストールできないことを発見した。
     代わりに、このアップデートをインストールした後に、0x800f0922エラーが発生し、このアップデートのインストールが妨げられたとするメッセージがWindows Updateに表示される。

    0x800f0922エラーでの失敗を表示しているWindows Update(画像をクリックすると拡大表示されます)

     BleepingComputerの読者は、Windows 10から提供されている新しいMicrosoft Edgeをこれまでにアンインストールしたユーザに関して、このアップデートに失敗するとレポートしている。
     9月以来、Microsoftは、Windows 10にこの新しいMicrosoft Edgeを強制的にインストールしてきたが、ユーザは依然として、望むのであればEdgeブラウザを手動削除することができた。
     この新しいMicrosoft Edgeをアンインストールすると、Edgeのアンインストーラは、関連する全てのファイルを削除するが、幾つかの空のフォルダを残したままにする。

    空のEdgeフォルダ(画像をクリックすると拡大表示されます)

     Windows 10 KB5003173アップデートは新しいMicrosoft Edgeを含んでおり、Edgeを再インストールするはずであるが、これらの空のフォルダが、0x800f0922アップデートを吐いてこのアップデートを失敗させる。
     このバグの修正には、Windows 10のユーザは二通りの選択肢がある。
      1.Microsoft Edgeを手動でダウンロードしインストールする。次に、Windows 10 KB5003173累積アップデートをもう一度インストールする。
      2. "C:\Program Files (x86)\Microsoft\Edge"フォルダを削除する。次に、Windows 10 KB5003173累積アップデートをもう一度インストールする。
     この二つのオプションの何方かが機能し、最新の累積アップデートは成功裏にインストールできる。


    新たなMoriyaルートキットは、Windowsシステムにバックドアを開けるためにオンライン上で使用されている
    BleepingComputer : News>Security(2021/05/06)
     未知の脅威のアクターはターゲットのWindowsシステムにバックドアを空けるためにステルス性のルートキットを使用している。これは、少なくとも2018年以降のTunnelSnakeと名付けられた進行中のスパイ キャンペーンのように見える。
     ルートキットは、オペレーティングシステムの深層に隠れることによって検出を回避するように設計された悪意あるツールである。ルートキットは、攻撃者が検出が回避されている間は、攻撃者が感染したシステムを完全に乗っ取るために使用することができる。
     以前の未知のマルウェア(オンライン上で発見されKaspersky研究者によってMoriyaと名付けられた)は、攻撃者が犠牲者のネットワークトラフィックを秘密裏にスパイし、セキュリティ侵害されたホストにコマンドを送信することを可能にする受動的バックドアである。

    異常な程こ狡いスパイ バックドア

     Moriyaは、TunnelSnakeオペレータが「Windowsカーネルのアドレス空間、オペレーティングシステムのカーネルに存在し、一般的に特権コードと信頼コードを実行するメモリ領域から」のインカミング ネットワークトラフィックを捕獲し解析することを可能にした。
     このバックドアが、コマンドアンドコントロールサーバに到達する必要なしに、犠牲者のネットワークトラフィック中に隠されているカスタムクラフトされたパケットの形式でコマンドを受け取っていた方法に、更にオペレーションのステルス性が追加された。これは、脅威のアクターの重点が検出回避にあることを示している。
     「我々は、TunnelSnakeのような大変秘密裏に行なわれているキャンペーンを確認している。このキャンペーンでは、攻撃者は可能な限りレーダーに見つからずに存在するために、ツールセットに投資し、より調整し、複雑にし、検出を困難にするための追加のステップとをとっている」と、KasperskyのGlobal Research and Analysis Teamの上級セキュリティ研究者Mark Lechtikは述べている

    Moriyaルートキット アーキテクチャ(画像をクリックすると拡大表示されます)

     Kasperskyのテレメトリ(遠隔測定装置)によると、このマルウェアは、標的を絞った攻撃で10未満のエンティティのネットワーク上に配備されていた。
     この脅威のアクターは、アジアとアフリカの外交組織やその他の著名な組織に属するバックドア化されたシステムを使用して、ネットワークを制御し検出されることなく数か月間持続した。
     この攻撃者はまた、改竄されたシステム(カスタムメイドで以前は中国語圏の攻撃者によって使用された)の攻撃後のステージの間に、追加のツール(China Chopper, BOUNCER, Termite, Earthwormを含む)を配備した。
     これは、犠牲者のネットワーク上をスキャンし新しく脆弱性のあるホストを発見した後、文字通り彼らはネットワークを移動することが可能になる。

    攻撃者が中国語圏であることを示す全ての証拠

     Kasperskyの研究者は、キャンペーンを特定の脅威アクターに帰することはできなかったが、攻撃で使用された戦術、技術、手順(TTP)と、標的となるエンティティが、攻撃者が中国語圏である可能性が高いことを示唆している。
     KasperskyのGlobal Research and Analysis Teamの上級セキュリティ研究者であるGiampaoloDedolaは、「2018年のスタンドアロン攻撃で使用された古いバージョンのMoriyaも発見した。これは、少なくとも2018年以降、この攻撃者が活動していたことを示している」と、「ターゲットのプロファイルと悪用されたツールセットは、このキャンペーンにおける攻撃者の目的が、スパイであることを示唆してるが、実際に吸い上げたデータの認知度の欠如により、この件に関しては部分的にしか証明できない」と、付け加えている
     Moriyaルートキットに関する技術的な詳細とTunnelSnakeキャンペーンに関連するセキュリティ侵害の痕跡は、Kasperskyのレポートに見出すことができる。
     10月、Kasperskyは、2つの非政府組織(NGO)に対しての2019年からの攻撃を調査しているときに、オンラインで使用された過去2番目のUEFIルートキット(MosaicRegressorとして知られる)も発見している。
     オンラインで使用されていたこれまでのUEFI Bootkitは、LoJaxとして知られており、ロシア政府系のAPT28ハッキンググループによって、合法的なLoJack盗難防止ソフトウェアに注入されていた2018年にESETによって発見されている。


    Windows DefenderのバグがWindows 10ブートドライブを数千のファイルで満たしている
    BleepingComputer : News>Security(2021/05/05)
     Windows Defenderのバグは、数千の小さなファイルを作成し、Windows 10ハードドライブで数Gバイトの保存スペースを浪費している。
     このバグは、Windows Defenderアンチウィルス エンジン1.1.18100.5に始まり、MD5ハッシュであるかのような名前の数千のファイルで、C:\ProgramData\Microsoft\Windows Defender\Scans\History\Storeフォルダを満たそうとする。

    小さなファイルで満たされたWindows Defenderフォルダ(画像をクリックすると拡大表示されます)

     BleepingComputerによって確認されたシステムでは、作成されたファイルのサイズは、600バイトから1KBを少し超える程度の範囲である。

    これらのファイルの一つのプロパティ(画像をクリックすると拡大表示されます)

     我々が検証したシステムでは、およそ1MBのファイル群で満たされていただけだったが、他のWindows 10ユーザは、彼らのシステムが数千のファイルで満たされ、或る場合では、30GBのストレージ容量が使用されていたと報告している。
     容量の少ないSSDシステムドライブ(C:)では、ストレージのかなりのスペースが不要なファイルで浪費されることが懸念される。
     この問題を最初にレポートしたDeskmodderによると、このバグは現在、最新のWindows Defender, version 1.1.18100.6で修正されている。
     Windows 10ユーザは、画面左下隅にある設定用の歯車アイコン(Settings cog icon)をクリックしAboutを選択することで、Windows Securityに移動し、Windows Defenderのバージョンをチェックすることができる。

    Windows Defenderのバージョンチェック(画像をクリックすると拡大表示されます)

     エンジンのバージョンが1.1.18100.6未満で示された場合は、Windows Updateに移動し、アップデートの確認(Check for Update)をクリックし、最新のセキュリティ インテリジェンス更新プログラム(Security Intelligence Update for Microsoft Defender Antivirus)アップデートをダウンロードしなさい。
     このアップデートが有効であれば、Windows Updateは自動的にアップデートをインストールし、Windows 10の再起動を要求することはない。


    脆弱性のあるDellドライバが数億のシステムを危険にさらしている
    BleepingComputer : News>Security(2021/05/04)
     過去12年に渡り、一般消費者用と企業用のDellコンピュータデバイスに搭載されていたドライバは、そのシステム上で特権の昇格に導く可能性のある複数の脆弱性を含んでいる。
     デスクトップ、ラップトップからタブレットに至る数億のDellコンピュータが、BIOSアップデートを介して脆弱性あるドライバを受け取ったと見積もられている。

    1つの中に5つのフロー

     まとめてCVE-2021-21551として追跡される5つのフローのコレクションは、DellマシンがBIOSアップデートプロセス中にインストールされロードされ、次の再起動時にはロードされないドライバであるDBUtil中に発見された。
     サイバーセキュリティ企業SentinelOneのセキュリティ研究者Kasif DekelよるDBUtilドライバの詳細な検証の結果、「非管理者ユーザからカーネルモード特権(【訳注】マイクロプロセッサ(CPU/MPU)の実行モードの一つで、すべての命令を制限なく実行できるモード(e-Wordより))に特権を昇格させる」悪用が可能であることが発見された。
     このレベルのパーミッションで行動している攻撃者のコードは、あらゆるメモリアドレス参照を含むそのシステム上で利用可能な全てのハードウエアに無制限にアクセスできる。
     この種の脆弱性は、攻撃者が悪用するには事前にそのコンピュータを改竄する必要があるために緊急とは考えられていない。しかしながら、脅威のアクターとマルウェアは感染したシステムに永続性を獲得することが可能である。
     追跡番号は1つであるが、そこには5つの個別のフローがあるとDekelは発言している。脆弱性の殆どは、特権の昇格を導くものであり、1つのコードロジック問題は、Denial of Service(DoS)を導くものである。

    CVE-2021-21551 ローカルの特権昇格 メモリ損壊
    CVE-2021-21551 ローカルの特権昇格 メモリ損壊
    CVE-2021-21551 ローカルの特権昇格 入力検証の欠如
    CVE-2021-21551 ローカルの特権昇格 入力検証の欠如
    CVE-2021-21551 Denial of Service コードロジック問題

     この研究者は、本日のブログへの投稿で技術情報を提供しているが、ユーザにパッチを適用する時間を与えるために、このフローをトリガーしたり悪用したりするための詳細は控えている。彼は6月1日に概念の実証エクスプロイト コードを共有する計画である。
     DekelはDellがこの脆弱性用のセキュリティアドバイザリを準備していると発言している。この救済策は、修正されたドライバであるが、この研究者は、このレポートを記述している時点で、Dellは脆弱性のあるドライバに関する証明書を無効にしていなかったと、つまり、ネットワーク上の攻撃者は依然として攻撃にこの脆弱性を使用することができることを意味していると発言している。

     「組織のネットワークにアクセスできる攻撃者は、未パッチのDellのシステムで、コードを実行するためのアクセス権を取得し、この脆弱性を利用してローカルの特権昇格を取得する可能性がある。次に、攻撃者は他のテクニックを活用して、横断的により広範なネットワークに方向転換することができる」- SentinelOne

     脆弱なDBUtilドライバーが長寿命であり、潜在的な被害者が多数いるにもかかわらず、SentinelOneは、すぐに変更される可能性があものの、これらの脆弱性が実際に悪用されていることを示す指標は見られないと述べている。
     SentinelOneは、脆弱なDBUtilドライバーを悪用して、ターゲットシステムでローカルの特権の昇格を達成できることを示すビデオを公開した。


    Windows 10 DefenderがMicrosoftへのファイル アップロードを停止する方法
    BleepingComputer : News>Security(2021/05/02)
     他のアンチウィルス プログラムのように、Microsoft Defenderも、それらが悪意あるものか否かを決定するためにMicrosoftにファイルをアップロードする。しかしながら、これをプライバシーリスクと見做し、サードパーティーにアップロードするより、自身のコンピュータ上に置いたままにしておきたいとする人々がいる。
     Microsoft Defenderはデバイスをスキャンすると、Defaultで、ファイルが悪意あるものであると疑われる時、そのファイルをMicrosoftサーバにアップロードするために「自動サンプル送信」機能を使用する。
     Microsoftのクラウドベースの保護は、ファイルを解析し悪意あるものであれば、Microsoft Defenderは、そのデバイス上にそのファイルを隔離する。
     ファイルを送信する時、Microsoft Defenderは実行ファイルとスクリプトは自動的にアップロードするが、ドキュメントのような個人情報を含む恐れのあるファイルをアップロードするときには最初にユーザに警告している。

    Microsoft Defender自動サンプル送信プロンプト(画像をクリックすると拡大表示されます)

     「Windows Defender ウイルス対策がオンの場合は、デバイスのセキュリティ状態を監視します。Windows Defenderによって、マルウェアの疑いがあるソフトウェアやその他の望ましくないソフトウェアについて Microsoft に送信するレポートが自動的に作成されます。このレポートには、マルウェアが存在する可能性があるファイルが含まれる場合もあります」と、「ユーザ データが含まれる可能性が低いファイルは自動的に送信されます。ただし、Windows Defenderウイルス対策がドキュメント、スプレッドシート、またはその他の種類の個人用コンテンツが含まれる可能性があるファイルを送信しようとする場合には、許可を求められます(【訳注】共にMicrosoft日本語ホームページより引用)」と、MicrosoftのWindows 10とオンラインサービスでMicrosoftは説明している。

    プライバシーリスクの可能性?

     私は、解析のために疑わしいファイルをアップロードすることは大変役に立つ機能だと考えるが、一部のアンチウィルスユーザは、これをプライバシーリスクと捉え無効化したいかもしれない。
     「おそらく、最も重要なのはプライバシーである。これらは私のコンピュータ上の私のファイルなので、人が読もうが読むまいが、私の許諾なく送信されたくない」と、この機能を無効化したいWindows 10ユーザは説明している。  自動ファイル送信はまた、米国政府とロシアのアンチウィルス企業Kasperskyとの間での仲違いを発生させる可能性もある。
     2015年、Kasperskyは、ミステリアスな"Equation Group"に関連する一連のNSA(米国家安全保障局)の監視とハッキングツールを検出したと公開した。
     これらのツールは、これらのツールを持ち帰り、Kasperskyアンチウィルスを稼働させている自身のPCにそれらを格納したNSAの協力者のPCから繰り返しアップロードされた。このアンチウィルスは、これらのファイルを疑わしいものとして検出し、当時ロシアにあったKasperskyのサーバにアップロードした。

    Microsoft Defenderの自動ファイルアップロードを無効にする方法

     我々は、依然としてユーザのコンピュータのセキュリティを向上させるために自動サンプル送信を可能にするように提案するが、あなたがMicrosoft Defenderの機能を無効にしたいのであれば、以下のステップを使用する。
      1. スタートメニューをクリックし、"Windows Security”で検索する。検索結果にこれが表示されたら、これを開く。
      2. Windows Securityが開いたら、'Virus & threat protection'(ウイルスと脅威の防止)をクリックする。
      3. Virus & threat protection(ウイルスと脅威の防止)が開いたら、Virus & threat protection(ウイルスと脅威の防止)カテゴリの下にある'Manage Settings'(設定の管理)をクリックする。

      設定の管理オプション(画像をクリックすると拡大表示されます)

      4. Virus & threat protection(ウイルスと脅威の防止)で、スクロールダウンし、以下の図に示したように 'Automatic sample submission'(自動サンプル送信)を無効にする。

      自動サンプル送信の無効化(画像をクリックすると拡大表示されます)

      5. 無効に設定したら、User Account Control(UAC、ユーザアカウント制御)が表示されるのでYesボタンをクリックする。
     自動サンプル送信は、これで無効化された。上記ステップを逆にすることで再び有効にすることができる。


    MicrosoftがIoT、OTデバイス中に緊急のコード実行のバグを発見
    BleepingComputer : News>Security(2021/04/29)
     Microsoftの研究者は、Internet of Things (IoT)デバイスとOperational Technology (OT) 産業システム中に、2ダースに及ぶ緊急のリモードコード実行の脆弱性を発見した。
     これら25のセキュリティフローは、まとめてBadAllocとして知られており、メモリアロケーションのInteger OverflowやWraparoundバグを原因として発生する。
     脅威のアクターは、脆弱性のあるIoTとOTシステム上でシステムクラッシュのトリガーにし、リモートから悪意あるコードを実行するために、これらの脆弱性を悪用することができる。
     この脆弱性は、Microsoftの研究者が、複数のリアルタイム オペレーティングシステム(RTOS), C標準ライブラリ(libc)実装, 組み込みソフトウェア開発キット(SDKs)で広汎に使用されている標準メモリアロケーション関数中に発見したものである。
     「我々の調査によると、IoTデバイスと組み込みソフトウェアの一部として長年にわたって記述されていたメモリアロケーションの実装には、適切な入力検証が組み込まれていない」と、「これらの入力検証がないので、攻撃者は、メモリアロケーション関数を悪用し、ヒープオーバーフローを発生させ。結果として、ターゲットののデバイス上で悪意あるコードを実行することができる」と、Microsoftセキュリティ レスポンスセンターのチームは発言している。

    BadAlloc攻撃に対して脆弱なデバイス

     BadAlloc脆弱性によって影響を受ける脆弱性のあるIoTとOTデバイスは、消費者、医療、産業用ネットワークに見つけることができる。
     BadAllocによって影響を受けるデバイスの完全なリストは、以下を含んでいる(パッチへのリンクはCISAのアドバイザリ中で利用できる)。
      ・ Amazon FreeRTOS, Version 10.4.1
      ・ Apache Nuttx OS, Version 9.1.0
      ・ ARM CMSIS-RTOS2, versions prior to 2.1.3
      ・ ARM Mbed OS, Version 6.3.0
      ・ ARM mbed-uallaoc, Version 1.3.0
      ・ Cesanta Software Mongoose OS, v2.17.0
      ・ eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
      ・ Google Cloud IoT Device SDK, Version 1.0.2
      ・ Linux Zephyr RTOS, versions prior to 2.4.0
      ・ Media Tek LinkIt SDK, versions prior to 4.6.1
      ・ Micrium OS, Versions 5.10.1 and prior
      ・ Micrium uCOS II/uCOS III Versions 1.39.0 and prior
      ・ NXP MCUXpresso SDK, versions prior to 2.8.2
      ・ NXP MQX, Versions 5.1 and prior
      ・ Redhat newlib, versions prior to 4.0.0
      ・ RIOT OS, Version 2020.01.1
      ・ Samsung Tizen RT RTOS, versions prior 3.0.GBB
      ・ TencentOS-tiny, Version 3.1.0
      ・ Texas Instruments CC32XX, versions prior to 4.40.00.07
      ・ Texas Instruments SimpleLink MSP432E4XX
      ・ Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
      ・ Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
      ・ Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
      ・ Uclibc-NG, versions prior to 1.0.36
      ・ Windriver VxWorks, prior to 7.0

    BadAlloc緩和策

     この脆弱性は、発見されCISAに通報された、IoT研究グループのMicrosoftの'Section 52' Azure Defenderのセキュリティ研究者David Atch, Omri Ben Bassat, Tamir Arielによってベンダに強い衝撃が与えられた。
     このセキュリティ侵害のリスクを軽減するために、CISAは、BadAlloc攻撃に対して脆弱性のあるデバイスを使用している組織に以下を実行するよう推奨している。
      ・ 利用可能なベンダのアップデートを適用する
      ・ 全ての制御システムデバイスやシステムのネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにする
      ・ 制御システムネットワークとリモートデバイスをファイアウォールの背後に配置し、ビジネスネットワークから分離する
      ・ リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)等の安全な方法を使用する。VPNは脆弱性が存在する可能性があるため、利用可能な最新バージョンに更新する必要がある。また、VPNは接続されたデバイスと同等の安全性しかないことに注意する

     脆弱性のあるデバイスが即座にパッチできないのであれば、Microsoftは以下のことをアドバイスしている。

      ・ 脆弱性のあるデバイスがインターネットへの露出を最小化したり排除したりすることによって、攻撃される対象領域を減少する
      ・ 重要な資産を保護するためにネットワーク セグメンテーション(【訳注】大規模なネットワークを小規模なネットワークに分割して管理すること(IT用語辞典より))を強化する。
      ・ 
     CISAはまた、実行が推奨される制御システムセキュリティ標的型サイバー侵入検知と緩和戦略に関する技術情報論文も提供している。
     これまでのところ、Microsoftは、BadAllocの積極的な悪用を検出していないが、CISAは、追跡を容易にするために、組織を標的とした悪意のある活動を報告するよう組織に求めている。
     米国国家安全保障局(NSA)は本日早く、ITおよびOTコネクションのリスクを評価し、悪意のある活動の防御と検出に関するセキュリティ アドバイザリを公開した。


    Twitter誤ってアカウント確認を依頼する疑わしいメールを送信
    BleepingComputer : News>Security(2021/04/21)
     Twitterは、彼らがユーザにアカウントの確認を要請するeMailを誤って送信したことで、木曜日の夜、完全なパニックに陥った。このメールはフィッシング攻撃のように見えるものである。
     これらのeMailは、多数のTwitterアカウントを持つBleepingComputerで、そのライターが受け取ったは米国東部時間の10時頃のことである。
     これらのeMailは、 件名に"Confirm your Twitter account" (日本では、「Twitterアカウントを確認してください」)が使用されており、'Confirm Now'とラベルされたボタンが含まれている。eMail中のリンクは全て正当なもののように見えるが、我々にとって予期しないeMailであったので、即座にフィッシング攻撃ではないかと疑った。

    木曜日の夜に送信された疑わしいTwitterのアカウント確認メール(画像をクリックすると拡大表示されます)

     ユーザがこのメールに対する懸念をTwitterに照会したので、このeMailに疑いを持ったのは我々だけではなかったことが判明した。  この確認メールは、Twitterによる単純な誤りであることがTwitter Supportアカウントによって確認されたので、フィッシング攻撃ではないことが判明した。
     受信トレイにTwitter確認eMailの存在を見つけた人は、このメッセージを確実に無視し削除しなさい。

    【訳者補注】この件に関する日本語情報としては、こちらのサイトもあります.


    大規模なQlocker身代金要求型マルウェア攻撃は7zipを使用してQNAPデバイスを暗号化している
    BleepingComputer : News>Security(2021/04/21)
     世界中のQNAPデバイスをターゲットにした大規模な身代金要求型マルウェアキャンペーンが進行中であり、ユーザは、パスワードで保護された7zipアーカイブ中に彼らのファイルが格納されていることを発見している。
     この身代金要求型マルウェアは、Qlockerと呼ばれており、2021年04月19日にQNAPデバイスを標的にし始めた。それ以来、我々のサポートフォーラムは大変な活況を呈し、ID-Ransomware(【訳注】被害者がファイルを暗号化したランサムウェアを特定できる、BleepingComputerのWebサイト)では被害者からの投稿が急増している。

    Qlocker犠牲者からのID-R投稿(画像をクリックすると拡大表示されます)

     BleepingComputer Qlockerサポートトピックへの犠牲者からのレポートによると、攻撃者は7zipを使用してQNAPデバイス上のファイルをパスワードで保護されたアーカイブに移動する。ファイルがロックされている間に、QNAP Resource Monitorは、7zipコマンドライン実行である多数の'7z'プロセスを表示する。

    QNAP Resource Monitorに見られる稼働中の7zip(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアが終了すると、QNAPデバイスのファイルは、.7z拡張子で終了するパスワードで保護された複数の7-zipアーカイブに格納される。この複数のアーカイブを解凍するには、犠牲者は、攻撃者のみが知っているパスワードを入力する必要がある。

    パスワードで保護された7zipアーカイブ(画像をクリックすると拡大表示されます)

     QNAPデバイスが暗号化されると、ユーザは!!!READ_ME.txt脅迫文を残される。この脅迫文は、犠牲者がTor支払いサイトにログインするために入力する必要のある一意のクライアントキーを含んでいる。

    Qlocker脅迫文(画像をクリックすると拡大表示されます)

     BleepingComputerが確認したQlocker脅迫文から、犠牲者は、アーカイブファイル用のパスワードを得るために0.01 Bitcoin(およそ、$557.74。60,289円)の支払いを告げられている。

    QlockerのTor支払いサイト(画像をクリックすると拡大表示されます)

    Update 4/22/21 12:44 AM(米国東部時間): 弱点が発見された可能性がある。犠牲者は無料でファイルを復元できる可能性がある。依然として調査中なので、10 AM(米国東部時間)くらいにアップデートを投稿する。

    Update 4/22/21 09:15 AM(米国東部時間): 今朝早く、BleepingComputerは、Jack CableからQlockerのTorサイトで、ユーザーが7zipパスワードを無料で復元できるバグを発見したと連絡を受けた。

    QNAPは最近の脆弱性を使用されている

     最近QNAPは、リモート攻撃者がデバイスへのフルアクセスを取得し、身代金要求型マルウェアを実行することが可能な緊急の脆弱性を解決した。
     QNAPは、以下の説明と共に二つの脆弱性を4月16日に修正した。  これらの脆弱性に関する詳細な情報は、QNAPに対してバグを公開したSAM Seamless Network研究チームによるブログの投稿中に見出される。
     QNAPがBleepingComputerに告げたところによると、彼らは、脆弱性のあるデバイスに身代金要求型マルウェアを実行できるCVE-2020-36195脆弱性をQlockerに攻撃されたと確信している。
     これにより、QTS, Multimedia Console, Media Streamingアドオンを最新バージョンにアップデートすることが強く推奨されている。
     これはファイルを復元することはないが、この脆弱性を使用する将来の攻撃からあなたを守ることになるだろう。

    Qlocker IOCs:

    関連するファイル !!!READ_ME.txt

    脅迫文 !!! All your files have been encrypted !!!
    All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
    To purchase your key and decrypt your files, please follow these steps:
    1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
    2. Visit the following pages with the Tor Browser:
    gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
    3. Enter your Client Key:
    [client_key]


    偽のMicrosoft Store, Spotifyサイトが情報を盗むマルウェアを拡散している
    BleepingComputer : News>Security(2021/04/18)
     攻撃者は、Webブラウザに保存されているクレジットカードやパスワードを盗むためのマルウェアを配布するためにMicrosoft Store, Spotify, オンライン ドキュメント コンバータを装うサイトを宣伝している。
     この攻撃は、サイバーセキュリティ企業ESETによって発見され、昨日Twitterで悪意あるキャンペーンに注意せよとする警告が発せられた
     ESETの脅威検出研究所の所長Jiri Kropacとの会話で、BleepingComputerは、この攻撃が正当なアプリケーションであるかのように宣伝する悪意ある広告を介して運営されていることを認識した。
     例えば、この攻撃に使用されている広告の一つは、オンラインChessアプリケーションを宣伝している。
     しかしながら、ユーザがこの広告をクリックすると、ユーザはインチキの'xChess 3'オンライン チェス アプリケーション用の偽のMicrosoft Storeのページに連れて行かれ、Amazon AWSサーバから自動的にダウンロードされる。
     ダウンロードされたZIPファイルは、'xChess_v.709.zip' [VirusTotal]と名付けられている。これは実際には'Ficker'もしくは'FickerStealer'である。このソフトはBleepingComputerによって作成された Any.Run reportに示されているように、偽装した情報を盗むマルウェアである。

    Fickerマルウェアを配布している偽のMicrosoft Storeページ(画像をクリックすると拡大表示されます)

     このマルウェア キャンペーンの他の広告は、Spotify(下図参照)やオンライン ドキュメント コンバータを装っている。訪問すると、ユーザが到着したページもFickerマルウェアを含むZIPファイルを自動的にダウンロードする。

    到着した偽のSpotifyページ(画像をクリックすると拡大表示されます)

    Fickerマルウェアはどのようなものか

     Fickerは、開発者が別の脅威のアクターにこのマルウェアを有料で貸出を始めた1月にロシア語で意思の疎通をするハッカーフォーラムにリリースされた情報を盗むためのトロイの木馬である。
     フォーラムへの投稿で、この開発者は、このマルウェアの能力を説明し、他の脅威のアクターが1週間から6ヶ月、誰かからこのソフトウェアを借りることを可能にしている。

    FickerStealerマルウェアをマーケティングしているフォーラムへの投稿(画像をクリックすると拡大表示されます)

     このマルウェアを使用して、脅威のアクターは、Webブラウザ、デスクトップ メッセージング クライアント(Pidgin, Steam, Discord)、FTPクライアントに保存されている証明書を盗むことができる。
     パスワードを盗むことに加えて、この開発者は、このマルウェアが15以上の暗号通貨ウォレットを盗むことができ、ドキュメントを盗むことができ、犠牲者のコンピュータで稼働中のアクティブなアプリケーションのスクリーンショットを撮ることができると主張している。
     この情報はZIPファイルにコンパイルされ攻撃者に送り返される。そこで彼らはデータを解凍し、他の悪意ある行動に使用することができる。
     Fickerマルウェアの拡張された機能により、このキャンペーンの犠牲者は、即座にオンラインパスワードを変更し、ファイアーウォールで疑わしいポート フォワーディング ルールをチェックし、更なるマルウェアをチェックするためにアンチウィルススキャンを実行すべきである。


    WordPressはそのWebサイトでGoogle FLoCを自動的に無効化する
    BleepingComputer : News>Security(2021/04/18)
     WordPressは、Googleの新しいFLoCトラッキング テクノロジをセキュリティ上の懸念事項として取扱、WordPressサイトでDefaultでブロックする可能性があることを本日アナウンスした。
     かなりの期間、各ブラウザは、関心に基づく広告のために広告主によって使用されるサードパーティのブラウザクッキー[123]のブロックが増加していた。
     これに応えて、GoogleはFederated Learning of Cohorts(FLoC)と呼ばれる新しい広告追跡テクノロジーを導入した。このテクノロジは、Webブラウザを使用して、ユーザがWebをブラウズする方法に基づいて、ユーザを匿名で関心や挙動のグループに分けるものである。
     Googleが、今月Google ChromeでFLoCをテストし始めた後、GoogleのFLoCの実装は、或るプライバシーリスクを別のリスクに置き換えるだけであるとするプライバシー擁護派のコンセンサスがあった。
     「FLoCは、サード-パーティー トラッカーが、それ自体で行っていたプロファイリングを、個々人のブラウザに実行させる新しい方法であり、このケースでは、最近のブラウジング行為を挙動別にラベル付し、これをWebサイトや広告主と共有することを意味している。」
     「このテクノロジは、サードパーティークッキーのリスクは回避するだろうが、このプロセス中で新しいリスクを作成するだろう。これは、差別や略奪をターゲットにすることを含む挙動広告で多くの最も酷い非プライバシー問題を悪化させる可能性がある」と、Electronic Frontier Foundation (EFF、電子フロンティア財団)は最近のブログへの投稿で説明している。
     それ以来、Brave Browser, DuckDuckGo, Vivaldiのような他のプライバシーブラウザと検索エンジンの開発者は、彼らのソフトウェアや、それをブロックするために作成したソフトからFLoCを完全に削除した

    WordPressはFLoCをブロックすることを計画している

     本日の新しいアナウンスで、WordPressは、GoogleのFLoCテクノロジにセキュリティ上の懸念があり、このブログ用ソフトウェアの来るバージョンで、このテクノロジをブロックするつもりであると述べている。
     「WordPressはWebの約41%を支えている。このコミュニティは、4行のコードで人種差別、性差別、反LGBTQ+差別、精神障害者に対する差別と闘うことを支援している」と、WordPressは発言している。
     WordPressは、以下の4行のコードを使用してFLoCを無効化することを計画している。これにより、FLoCをそのサイトで無効化するように告げるHTTPリクエストヘッダーを発行することを、このブログ プラットフォームに発生させる。

    function disable_floc($headers) {
    $headers['Permissions-Policy'] = 'interest-cohort=()';
    return $headers;
    }

    add_filter('wp_headers', 'disable_floc');

     WordPressは、一部の管理者が、このテクノロジを有効にしたいだろうと、これらの管理者は多分上述のコードをオーバーライドする技術的なノウハウを持っているだろうと説明している。WordPressはまた、管理者がFLoCを許可するか否かを制御することを可能にする設定を追加する可能性があると指摘している。
     しかしながら、WordPressの懸念は、この新しいトラッキング テクノロジを認識していない人々が、このテクノロジが何を伴うのかを完全に理解することなく自動的にこれを選択することである。それ故、WordPressに関するこれらユーザの最大の関心事は、このテクノロジを自動的に無効化することである。
     「関係者の利害や、これが緩和のための対応が必要な問題であることに、そもそも気がづいていないウェブサイト管理者のニーズ、これらのサイトのユーザーや訪問者の利害のバランスを考慮すると、そのような対応を取る方が適切である」とWordPressは説明している。
     WordPressは、このブロックは、2021年7月にリリースがスケジュールされているWordPress5.8で計画されているが、提案された変更を実装する前にフィードバックを要求している。
     FLoCは、もう直ロールアウトすると思われているので、WordPressは、このブログ プラットフォームの現在のバージョンへの「影響を増幅」するために、このコードを以前のバージョンにバックポート(【訳注】ソフトウェアの新しいバージョンの機能や、そのバージョン向けに開発されたプログラムなどを、古いバージョンで利用できるように移植すること(e-Wordsより))することを検討している。


    Microsoft Edgeのアップデート サーバーがダウン
    BleepingComputer : News>Security(2021/04/16)
     Microsoft Edgeのアップデートサーバは、世界的な停止に見舞われており、ユーザーは新しくリリースされた、このWebブラウザのバージョン90に更新できないでいる。
     昨日、Microsoftは、Kids Mode、新しいダウンロード ポップアップ、より良いフォント レンダリング、改善されたPDF印刷のような新しい機能の付属するEdge 90をリリースした。
     このアップデートはまた、今週Twitterでリリースされた0-Dayのリモートコード実行の脆弱性を修正しているので、早急にアップデートすることが多分適切な考えである。
     残念ながら、今朝から、ユーザはバージョン90にMicrosoft Edgeを自動アップデートすることが不可能になっており、代わりに、アップデートを実行した時に、以下の0x800421F7エラーが表示される。

    「更新プログラムの確認中にエラーが発生しました: インターネットに接続できません。ファイアウォールを使用している場合は、MicrosoftEdgeUpdate.exe を許可リストに登録してください。 (エラー コード 7: 0x800421F7 -- system level)」

     今当に、BleepingComputerのテストで、このアップデートサーバは、以下に示すように依然として問題を持っている。

    機能していないMicrosoft Edgeアップデートサーバ(画像をクリックすると拡大表示されます)

     この停止が長く続くとは思えないので、今日の後半には、ブラウザのヘルプ -> バージョン情報 に移動してMicrosoftEdgeの自動更新を試みることができるだろう。
     アップデート: Microsoftはこの問題を認識しており、この問題の解決に向けて作業中である。一部の人達は、数回アップデートを実行することで、アップデートに成功している。

    Edit: 我々は本日のカナリアアップデートでも、この問題が発生しているとする報告を確認しています。安定版のエラーに加えて、この問題を調査していることを全ての方々が認識していること確認したかった。以下の潜在的な回避策を引き続き試してください。しばらく待ってから再度更新を試みるようにしてみてください。

     Edit: 一部のユーザーは、数回再試行することでこれが解決したことを発見しています。 引き続きアップデートをチェックして、機能するかどうかを確認してください。ただし、すべての人が機能するとは限りません。 詳細がわかり次第、この投稿を更新し続けます。


    Adobe: PhotoshopとDigital Editionの緊急の脆弱性を修正
    BleepingComputer : News>Security(2021/04/13)
     Adobeは、Adobe Photoshop, Adobe Digital Editions, Adobe Bridge, RoboHelp中のセキュリティ上の脆弱性を解決するセキュリティアップデートをリリースした。
     全体で、Adobeは、4つの製品に影響する10のセキュリティ上の脆弱性を解決した。それらのうちの7つは、任意のコード実行や任意のファイルを書き込むことを可能にする緊急と評価されるものである。
     本日セキュリティアップデートを受け取った全製品中、Adobe Bridgeが最も多く、4つの「緊急」のコード実行のバグと、「重要」と評価される2つの脆弱性が修正されている。
     コード実行のバグは、攻撃者がWindows中の殆ど全てのコマンド(マルウェアのインストールやコンピュータの乗っ取りを含む)を実行することが可能なので、最も深刻なものである。
     Adobe Bridgeのバグに追加して、Adobeはまた、以下を含む彼らの製品群の他の脆弱性も修正した。
     Adobeは、脆弱性のある製品を使用している顧客に、未パッチのインストレーションの脆弱性攻撃を成功に導くことが可能なこのバグを修正するために、可能な限り早急に、この最新バージョンにアップデートするようアドバイスしている。
     殆どの場合、ユーザは、その製品の自動アップデート機能を使用することによって、そのソフトウェアをアップデートすることができる。そのためには以下を使用する。
      ・ ヘルプ > アップデートの有無をチェック を実行する
      ・ 完全なアップデート インストーラは、Adobeのダウンロードセンターからダウンロードすることができる
      ・ 製品の自動アップデートを有効にする。この機能は、ユーザの介在を要求することなく、アップデートが検出されると自動アップデートされる。
     この新しいアップデートが自動アップデートを介して利用できない場合は、上述の最新のダウンロード リンクに関連付けられているセキュリティ ブレチンをチェックしなさい。


    Google ChromeはNATスリップストリーミング攻撃を防止するためにポート10080を封鎖
    BleepingComputer : News>Security(2021/04/09)
     Google Chromeは現在、NATスリップストリーミング2.0攻撃において悪用されているポートを防衛するために、HTTP, HTTPS, FTPのTCPポート10080へのアクセスをブロックしている。
     昨年、セキュリティ研究者Samy Kamkarは、NATスリップストリーミング脆弱性の新しいバージョンを公開した。これは、悪意あるWebサイト上のスクリプトが、訪問者のNATファイアーウォールをバイパスすることができ、訪問者の内部ネットワーク上のあらゆるTCP/UDPポートへのアクセスの取得を可能にするものである。
     これらの脆弱性を使用すると、脅威のアクターは、ルータ設定の改竄、プライベート ネットワーク サービスへのアクセスの取得を含む幅広い攻撃を実行することができる。

    NATスリップストリーミング2.0攻撃のデモンストレーション(画像をクリックすると拡大表示されます)

     この脆弱性は、ルータのApplication Level Gateway (ALG)によってモニターされている特定のポート上でのみ機能するので、ブラウザ開発者は、多くのトラフィックを受け取らない脆弱なポートをブロックしてきた。
     現在、Coogle Chromeは、ポート69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566へのFTP, HTTP, HTTPSアクセスをブロックしている。
     本日、Googleは、ChromeのTCPポート10080をブロックするつもりであると述べた。このポートに関しては、Firefoxが2020年11月に既にブロックしている。
     このポートをブロックすべきか否かの議論において、ブラウザ開発者は、AmandaバックアップソフトウェアとVMWare vCenterが、このポートを活用しているが、このポートのブロックによって影響を受けないと結論した。
     ポート10080をブロックした場合に最も懸念される点は、一部の開発者がポート80の代わりに、このポートを使用している可能性であったことである。
     「このポートは、末尾が"80"であり、UNIXシステムとの結びつけにルート権限を必要としないので魅力的なポートであった」と、Google Chromeの開発者Adam Riceは説明している。
     開発者が、このポートの継続使用を可能にするために、Riceは、開発者が、このブロックをオーバーライドするために使用できるエンタープライズ ポリシーを追加するだろう。
     ポートがブロックされると、ユーザは、このポートにアクセスを試みた時に、以下に示す 'ERR_UNSAFE_PORT'というエラーメッセージを表示される。

    危険なポートへのアクセスをブロックしているGoogle Chrome(画像をクリックすると拡大表示されます)

     あなたが現在、ポート10080上のWebサイトをホストしているのであれば、別のポートを使用して、Google Chromeが、そのサイトに継続してアクセスできるようにすることを検討しなさい。


    Facebookのデータリークであなたの情報が晒されたか否かを確認する方法
    BleepingComputer : News>Security(2021/04/04)
     データ漏洩通知サービスHave I Been Pwnedは、昨日の5億を超えるユーザの電話番号と情報を含むFacebookのデータリークで、あなたのデータが晒されているか否かをチェックすることを可能にした。
     昨日、脅威のアクターは、533,313,128のFacebookユーザの個人情報(【訳注】 4/5日付毎日新聞朝刊は、日本人のデータ漏洩は42万人と報道しています)をハッキングフォーラムにリリースした。このデータには、携帯電話番号、名前、性別、場所、既婚や未婚の状況、職業、生年月日、eMailアドレスを含んでいる。
     このデータは、Facebookの'Add Friend'機能のバグを使用して2019年に収集された後、当初は、個人随意契約で販売された。これが発見された後、Facebookは直ちにこの脆弱性を閉じたが、脅威のアクターは、昨日最終的に実質無料($2.19)になるまで、このデータを流し続けた。
     それ以来、Troy Huntは、Faceookメンバーのデータがこのリーク中で晒されているか否かをユーザが決定する支援として、彼が所有するHave I Been Pwnedデータ漏洩通知サービスにリークされたデータを追加した。
     Have I Been Pwnedに精通していない人々のために、このサイトは、データ漏洩で晒されたデータをインデックス化しているので、ユーザはメールアドレスをインプットしデータが晒されているデータ漏洩を一覧表示できる優秀なリソースである。
     Faceookリークが、あなたのメールアドレスを含んでいるか否かチェックするには、Have I Been Pwnedにアクセスし、検索フィールドにeMailアドレスを入力する、'pwned?'ボタンをクリックすると、eMailが晒されているデータ漏洩の全てのリストが表示される。
     例えば、以下の画像は、私が昨日のFacebookリークで晒されたことが判明しているeMailアドレスを使用した検索結果である。見ての通り、、Have I Been Pwnedは、このeMailアドレスが昨日リリースされたFacebookのデータ中に発見されたと通知してきている。

    晒されたFacebookユーザを表示しているHave I Been Pwned(画像をクリックすると拡大表示されます)

     残念ながら、昨日のFacebookリークで最も一般的なユーザー識別が可能なフィールドは電話番号である。 ただし、5億3300万のFacebookメンバーのレコードのうち、eMailアドレスが含まれているものは250万にすぎない。
     このことから、あなたのeMailアドレスを検索し、Have I Been Pwnedが一致しないとする結果を戻してきたにしても、あなたは依然として、昨日のリークの一部である可能性は存在している。
     Troyは、ユーザーが電話番号を入力して、Facebookのリークで晒されているか否かを確認する方法を検討しているとツイートしている。
     Huntは昨日「それがロードされたメールアドレスだ」と、そして「私はまだ電話番号をどうするか考えている」とツイートしている。


    5億3300万Facebookユーザの電話番号がハッカーフォーラムにリークされた
    BleepingComputer : News>Security(2021/04/03)
     世界中のおよそ5億3300万Facebookユーザの携帯電話番号と他の個人情報が、人気のあるハッカーフォーラムに無料でリークされた。
     この盗まれたデータは、2020年6月にハッキングコミュニティに現れたのが最初であり、この時はFacebookデータを他のメンバーに販売していた。このリークを目立たせているものは、各アカウントに関連付けられている公開されているプロファイルと個人の携帯電話番号から取得することのできるメンバー情報を含んでいることにある。

    2020/06のFacebookデータの当初のセール(画像をクリックすると拡大表示されます)

     この販売されたデータは、533,313,128 Facebookユーザの情報(メンバーの携帯番号、Facebook ID、名前、性別、場所、既婚や未婚の状況、職業、生年月日、eMailアドレス)を含んでいた。
     BleepingComputerによって確認されたFacebookデータのサンプルから、殆ど全てのユーザのレコードは、携帯電話番号、Facebook ID、名前、性別を含んでいる。
     以下は、米国のレコードの小さなサンプルであり、ニューヨークの917モバイル市外局番で始まる訂正済みの携帯電話番号を示している。

    携帯電話番号付きでリークされた米国Facebookユーザのサンプル(画像をクリックすると拡大表示されます)

     Alon Gal(サイバー犯罪インテリジェンス企業のCTO、Hudson Rock)によると、脅威のアクターは、2019年に現在はパッチされてているが、脅威のアクターがメンバーの電話番号にアクセスすることを可能にしていたFacebookの"Add Friend"機能を脆弱性攻撃したと信じられている。
     この主張されている脆弱性が、脅威のアクターにリークされたデータ中の全ての情報を取得することを可能にしたのか、あるいは、電話番号だけなのかは分かっていない。そして、これらの情報は公開されているプロファイルから収集された情報と結合された。
     当初のデータの販売($30,000と信じられている)の後、他の脅威のアクターは、プライベートTelegramボットを作成した。これは、他の脅威のアクターが金銭を支払うことでFacebookデータを介した検索を可能にするものである。

    Facebookデータ リークは無料でリリースされた

     本日、このFacebookデータ リークは、ハッカーフォーラムの貨幣形式である 8 site 'credits'(およそ$2.19)で同じハッカーフォーラムに実質無料でリリースされた(この部分は和訳を変更しています)。
     データ漏洩は、当初高価格で随意契約売買されていたが、これは、ハッカーコミュニティ内で評判を得るための方法として、それらが最終的に無料になるまで低価格化されて販売されることが通常である。
     「毎度のことであるが、それが無料でリークされるまで、より安価で販売し始める」と、GalはBleepingComputerとの会話の中で述べている。

    ハッカーフォーラムに無料で共有されたデータリーク(画像をクリックすると拡大表示されます)

     このデータリーク中には、Facebookの三人の共同設立者Mark Zuckerberg, Chris Hughes, Dustin Moskovitzの電話番号も含まれていた。このデータは、Facebookに最初に登録された4番目、5番目。6番目のメンバーである。

    データリーク中のFacebook設立者(画像をクリックすると拡大表示されます)

     このデータリークに関連する我々の質問に対応して、Facebookは、このデータは2019年に収穫されたものと同じデータであるとBleepingComputerに告げた。
     「これは以前、2019年に報道された古いデータである。我々は発見し、2019年8月にこの問題を修正した」とFacebookのスポークスマンはBleepingComputerに告げている。
     このデータは2019年のものかもしれないが、電話番号やeMailアドレスは長年に渡り同じままであるのが一般的であるので、これは脅威のアクターにとって価値のあるものである。
     脅威のアクターによって説明されているように、漏洩されたメンバーの地勢学上のTop20のリストは以下である。

    国名・地域 ユーザ数
    エジプト 44,823,547
    チュニジア 39,526,412
    イタリア 35,677,323
    アメリカ 32,315,282
    サウジアラビア 28,804,686
    フランス 19,848,559
    トルコ 19,638,821
    モロッコ 18,939,198
    コロンビア 17,957,908
    イラク 17,116,398
    アフリカ 14,323,766
    メキシコ 13,330,561
    マレーシア 11,675,894
    イギリス 11,522,328
    アルジェリア 11,505,898
    スペイン 10,894,206
    ロシア 9,996,405
    スーダン 9,464,772
    ナイジェリア 9,000,131
    ペルー 8,075,317

    データは攻撃を指揮するために使用される

     このリリースは、ハッカーフォーラムの他の脅威アクターに熱狂的に受け入れられている。これは、彼らがデータリークにリストされている人々に攻撃を仕掛けるために使用できるからである。
     例えば、脅威のアクターは、フィッシング攻撃に電子メールアドレスを、スミッシング(モバイルテキスト フィッシング)攻撃に携帯電話番号を使用することができる。
     脅威のアクターは、SIMスワップ攻撃(【訳注】SIMスワップ攻撃に関する詳細な情報は、Sophosのサイトを参照)を実行するために携帯電話番号と漏洩した情報を使用することで、SMSを介して送信される多段階認証コードを盗むことができる。
     全てのFacebookユーザーは、詳細情報を要求したり、メール内のリンクをクリックするように指示したりする奇妙な電子メールやテキストに注意することを勧める。
     BleepingComputerはデータリークついてFacebookに連絡したが、現時点では回答を受け取っていない。


    REvil身代金要求型マルウェア、「Windowsセーフモード」暗号化モードを搭載
    BleepingComputer : News>Security(2021/03/21)
     REvil身代金要求型マルウェアは、おそらくセキュリティソフトの検出を回避し、ファイルの暗号化の大きな成功をもたらすために、Windowsセーフモードでファイルを暗号化する機能を追加した。
     Windowsセーフモードは、ユーザが管理者特権で実行でき、オペレーティングシステム上のタスクを調査することを可能にする特別な起動モードである。このモードは、オペレーティングシステムが動作するために要求される最小のソフトウェアとドライバでロードされる。
     更に、Windowsにインストールされ自動的に起動するように設定されているあらゆるプログラムは、それらプログラムのautoun(自動起動)が、特定の方法で設定されている場合を除いて、セーフモードでは起動することはない。
     Windowsでautorunを作成する方法の一つは、レジストリで以下のようなエントリを作成することである。
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

     'RunOnce'キーは一度だけプログラムを起動し、次にレジストリからこのエントリを削除するが、'Run'キーは、ユーザがログインする度にプログラムを起動する。
     例えば、以下のレジストリキーは、ユーザがログインするとC:\Users\test\test.exeプログラムを自動的に起動する。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Startup"="C:\Users\test\test.exe"

     しかしながら、このオートランは、以下のようにバリュー名の冒頭にアスタリスク(*)を追加した場合を除き、セーフモードでは起動しない。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "*Startup"="C:\Users\test\test.exe"

    REvilは現在「セーフモード」モードを搭載している

     MalwareHunterTeamによって発見されたREvilの新しいサンプルで、新しく追加された -smode コマンドライン引数は、デバイスを暗号化する前にセーフモードで再起動することをコンピュータに強制する。
     これを実行するために、REvilは、Windowsが再起動した時にSafe Mode with Networkingで強制的にコンピュータをブートするために以下のコマンドを実行する。

    bootcfg /raw /a /safeboot:network /id 1
    bcdedit /set {current} safeboot network

     次に、ユーザーがセーフモードでログインした後、'bcdedit / deletevalue {current} safeboot'を実行する'* franceisshit'と呼ばれる'RunOnce'オートランを作成する。

    削除されるRunOnceエントリ(画像をクリックすると拡大表示されます)

     最後に、この身代金要求型マルウェアは、ユーザが中断できないWindows再起動を強制的に実行する。
     このプロセスが終了する直前に、考えようによってはワクチン使用に関するフランスの最近の審議に関する可能性のある'AstraZeneca'(アストラゼネカ)と名付けられた追加のRunOnceを作成する。
     このautorunは、デバイスが再起動された後、次にユーザがログインした時に -smode 引数なしにREvil身代金要求型マルウェアを再起動する。

    AstraZenecaオートラン エントリ(画像をクリックすると拡大表示されます)

     これら二つの'RunOnce'エントリが、セーフモードでログインした後に実行され、次に自動的にWindowsによって削除されることを憶えておくことは重要である。
     再起動で、このデバイスはSafe Mode With Networkingで起動する。そして、ユーザはWindowsにログインすることを促される。一旦ログインすると、REvil身代金要求型マルウェアは、-smode 引数なしに実行され、そのデバイス上のファイルの暗号化を開始する。
     Windowsはまた、この身代金要求型マルウェアが終了した時に、通常モードでこのマシンを再起動するように'*AstraZeneca'レジストリキーによって設定された 'bcdedit /deletevalue {current} safeboot'を実行する。
     REvilがファイルを暗号化している間、セーフモード画面はブランクになるが、Windowsタスクマネージャを起動するためのCtrl+Alt+Deleteを使用することは依然として可能である。そこから、ユーザは、実行中の実行ファイルを確認できる。我々のテストにおいて、以下に示すように、これは'smode.exe,'と名付けられていた。

    セーフモードで実行中のREvil身代金要求型マルウェア(画像をクリックすると拡大表示されます)

     起動している間、この身代金要求型マルウェアは、このデバイスの暗号化を終了するまで、タスクマネージャからあらゆるプログラムを起動することを妨げる。
     このデバイスが暗号化されると、残りのブートアップシーケンスを実行できるようになり、このデスクトップには、脅迫文が表示され、ファイルは暗号化されている。

    セーフモードで暗号化されたデバイス(画像をクリックすると拡大表示されます)

    異常なアプローチ

     REvilの新しいセーフモード オペレーションは、セーフモードで再起動した後、ユーザがこのデバイスにログインすることを要求するので多少奇妙である。
     更に、ユーザがセーフモードにログインすると、ブランク画面が表示される。そして、この身代金要求型マルウェアがこのデバイスを暗号化する時、デバイスに大きなスラッシング(【訳注】 コンピュータが搭載するメインメモリの容量に対して実行中のプログラムが使おうとするメモリ容量が過大なため、メモリとストレージとの間で内容の入れ替え( ページング /スワッピング)が頻繁に起き、処理がなかなか進まない状態のこと(IT用語辞典より))が発生する。
     この挙動は、即座にユーザに疑念を発生させ、彼らのコンピュータを安全にするためにハイバーネートやシャットダウンを行うことになる。
     この理由から、攻撃者は、問題を発生させることなく暗号化したい特定のコンピュータ(仮想マシンやサーバのような)に対して新しいセーフモードコマンドを手動で実行することを可能にしている。
     この理由にも拘わらず、これは、身代金要求型マルウェアのギャングが、常に彼らの戦略を発展させていることなので、セキュリティ専門家やWindowsの管理者が監視しておく必要のある攻撃の新手法である。
     REvilはデバイスを暗号化するためにセーフモードを悪用する唯一のオペレーションではない。
     2019年に、'Snatch'として知られる別の身代金要求型マルウェアが、Windowsサービスを使用してセーフモードでデバイスを暗号化する機能を追加している。


    Microsoft: 3月のアップデートで発生する更なる印刷問題を警告
    BleepingComputer : News>Security(2021/03/18)
     Microsoftは、今月初旬にリリースしたWindows 10のアップデートをインストールした後、顧客は死のブルースクリーンの他に、更なる印刷問題が発生するかもしれないと発言している。
     Microsoftによると、これら最近のWindows 10アップデートは、幾つかのアプリケーションからの印刷時に、あるいは一部のプリンタへの印刷時に問題を発生する。これらの問題は、グラフィックの欠落や単色化、位置ズレや書式設定問題、ページやラベル印刷で空白印刷されるなどの問題が含まれる。
     「2021年03月09日もしくは03月15日にリリースされたアップデートをインストールした後、一部のアプリケーションから印刷した時、ユーザは予期しない結果を得るかもしれない」と、このアップデートに関してWindows 10 Health Dashboardで発言している。
     Microsoftによって強調された印刷問題は、
      ・ バーコード、QRコード、ロゴのようなグラフィックスを含むドキュメントの要素が、白黒やカラーボックスで印刷される、あるいは欠落する可能性がある。
      ・ 表の枠線が欠落する。位置ズレや書式設定不良が発生する可能性がある。
      ・ 一部のアプリケーションからの印刷や一部のプリンタでの印刷は結果として空白のページやラベルとなる可能性がある

    影響を受けるプラットフォームと問題となっているアップデート

     影響を受けるプラットフォームは、Windows 7以降のWindowsバージョンの広汎な範囲のクライアント版とサーバ版が含まれる。
      ・ クライアント版: Windows 10, version 20H2; Windows 10, version 2004; Windows 10, version 1909; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10, version 1803; Windows 10 Enterprise LTSC 2016; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
      ・ サーバ版: Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1809; Windows Server 2019; Windows Server, version 1803; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
     印刷時に問題を発生させる累積アップデートは、
      ・ Windows 10 2004/20H2 と Windows Server 2004/20H2用のKB5000802
      ・ Windows 10 1909 と Windows Server 1909用のKB5000808
      ・ Windows 10 1809 と Windows Server 2019用のKB5000822
      ・ Windows 10 1803 と Windows Server 1803用のKB5000809
     Microsoftは、これらの問題に関する修正を作業中であり、近日中に解決策が提供されるだろう。

    進行中のWindows印刷問題

     Windowsデバイス上で印刷に影響を与えるこれらの新しい問題は、印刷時に死のブルースクリーンを発生させるバグを修正した複数の定例外Windows 10累積アップデートのリリースと続いた。
     クラッシュ問題の修正を主張したにも関わらず、複数のBleepingComputerの読者は、依然としてMicrosoftが本日の更新で発言したブルースクリーン クラッシュと一部の問題を経験しているとレポートしていた
     Microsoftは、BleepingComputerが印刷中のシステムクラッシュに関する一連のユーザーからの苦情を報告した後、Windows 10のBSODクラッシュを引き起こす既知の問題を確認した
     OOB(定例外)更新プログラムを発行する前に、Microsoftは、一部の顧客があまりにも複雑とした手順を改良したこのクラッシュの一時的な修正も提供している。  


    BlenderのWebサイトはハックングを企てられた後メンテナンスモードに
    BleepingComputer : News>Security(2021/03/15)
     Blender.org(人気のある3Dコンピュータ グラフィックソフトウェアBlenderの公式Webサイト)は、サイトに表示されているメッセージによると現在メンテナンスモードになっている。
     「 http://blender.org Webサイトは、ハッキングを企てられたことによりメンテナンス下にある」と、本日早朝Twitter上のBlender公式アカウントは表明しており、更に「このWebサイトは可能な限り早急に復活するだろう」と追加している。
     「 Wiki, 開発者ポータル, git(【訳注】 分散型バージョン管理システム)リポジトリ, http://blender.chat等を含む殆どの基本的な機能は、通常通り利用可能である」とBlenderは追加している。
     Blenderによると、blender.orgのWebサイトの一部とブログの一部が依然としてダウンしたままであり、数時間オフラインのままになっている。
     このサイトのホームページは、通常通り稼働し続けているが、このサイトの他の部分では、"This page is not available"エラーを表示し、訪問者には"a copy on the Internet Archive."(インターネット・アーカイブのコピー)をチェックするよう訪問者に促している。

    Blender.orgのメンテナンスモード メッセージ(画像をクリックすると拡大表示されます)

     Blenderは、ダウンロードできる全てのファイルに関してchecksum(チェックサム)が検証され、ダウンロードしても安全であると考えていると発言している。
     また、download.blender.org/release/公式のダウンロードページ(再び利用可能になった後)に、Linux, Windows, macOS用の全てのリリースで利用可能なMD5やSHA256ハッシュを使用して、Blenderのサーバや他の全てのミラーからダウンロードできる全てのファイルのチェックサムをチェックすることができる。
     「http://blender.org Webサイト(そして、他のブログ)は、もう数時間オフラインのままだろう」と、「チェックサムは検証された、Blenderのダウンロードは安全であると考えられる」と、Blenderは追加している。
     cloud.blender.orgにホストされているBlenderトレーニングビデオにアクセスするためのBlender Cloud Webベースサービスは、この攻撃の影響を受けていない。このハッキングの試みは、このWebサイトの www サブドメインに影響を与えただけである。

     BlenderのTwitterへのリンク

     BleepingComputerは詳細に関してBlenderのスポークスマンに問い合わせているが、回答は戻ってきていない。
     これは現在進行中の問題である。


    Windows 10はMicrosoftの3月の定例パッチにより印刷している時にクラッシュする
    BleepingComputer : News>Security(2021/03/10)
     昨日リリースされたWindows 10の KB5000802とKB5000808累積アップデートは、ネットワークプリンタに印刷している時にBlue Screen of Death(死のブルースクリーン)を発生している。
     昨日、2021年3月の定例アップデートの一部として、Microsoftは、Windows 10 KB5000802とKB5000808累積アップデートをリリースした。
     それ以来、印刷している時、Windows 10で"APC_INDEX_MISMATCH for win32kfull.sys"死のブルースクリーンクラッシュが発生するという定常的な不平不満の流れがある。

    APC_INDEX_MISMATCH for win32kfull.sysの例(画像をクリックすると拡大表示されます)

     Reditでのシステム管理者の投稿[1,2]によると、昨日KB5000802とKB5000808のアップデートをインストールし、印刷しようとすると、Windows 10のクラッシュは即座に始まった。
     「ハイ、Jen。私自身を含めr/sysadminにいる何人かは、京セラKXドライバ タイプ3を使用してWindows Serverプリンタシェアに印刷ジョブを送信している時に、アップデート後(少なくともWin10 20H2以降)BSODを見ている(即ち、KXドライバ タイプ4や他の一般的なタイプ3/4ドライバは、この問題を提示しない)」と、あるRedditのユーザは投稿している。  「KB5000802は、私の或るクライアントのところの全ての京セラの印刷を切断した。昨年6月の印刷の問題と同じ形でのBSODである」と、他のユーザは確認している。通常の修正方法は何れも機能しないようだと述べている。
     影響を受けることが認識されているプリンタメーカーの一部には、京セラ、リコー、ダイモが含まれている。
     昨日これらのアップデートを受信した仮想マシンを使用して、BleepingComputerは、3月のプレビュー版のアップデートに戻したところ、最早昨日のようにKB5000802累積アップデートは提供されなかった。
     これは、Microsoftが問題を調査している間に、このアップデートをWindows Updateから引き抜いたことを示している。しかしながら、このアップデートは依然として、Microsoft Update カタログから入手可能である。
     更に、我々の一部のマシンは、2月24日にリリースされたKB4601382プレビュー版の累積アップデートを提供されているが、昨日のKB5000802は存在していない。これは、おそらくセキュリティアップデートがクラッシュを発生させている可能性を示している。

    新しいWindows 10 KB5000802 updateは提供されていない(画像をクリックすると拡大表示されます)

     昨日、Microsoftは、Windowsプリントスプーラの特権の昇格の脆弱性を修正する二つのセキュリティアップデート(CVE-2021-1640CVE-2021-26878として追跡される)をリリースした。
     Microsoftは、先月に提供したプレビュー版の累積アップデートにはセキュリティアップデートを含めていなかった。これが、おそらくプレビュー版のユーザが印刷時に同じクラッシュを経験をしなかった理由である。
     2020年6月の定例アップデートで、ユーザが印刷できないようにするバグもまた導入された。この印刷問題を解決するために、MicrosoftはWindowsユーザのために定例外アップデートをリリースした

    印刷時にwin32kfull.sysクラッシュを修正する方法

     残念ながら、プリンタドライバをアップデートすることでこの問題の修正を試したが、大概は不成功であった。
     代わりに、Windows 10ユーザは、KB5000802もしくはKB5000808アップデートを強制的にアンインストールすることで、印刷は再び正しく動作するようになる。
     印刷バグで影響を受けているのであれば、アプリケーションを終了させ、コマンドプロンプトを起動することでWindows 10 KB5000802累積アップデートをアンインストールすることができる。コマンドプロンプトで、以下のコマンドを入力しなさい。

    wusa /uninstall /kb:5000802

     Windows 10 KB5000808累積アップデートをアンインストールするには、以下のコマンドを代わりに使用する

    wusa /uninstall /kb:5000808

     アップデートをアンインストールする詳細なヘルプに関しては、このガイドを使用しなさい
     BleepingComputerはさらなる情報を求めてMicrosoftにコンタクトしたが、未だ回答はない。


    TikTocを使用しているか? 6つのセキュリティチップをチェックしよう
    Sophos : Naked Security(2021/03/04)
     TikTokは、中国企業ByteDanceが所有し、ユーザが3秒~1分の長さの範囲の短いビデオを作成・共有するビデオ-シェアリング サービスである。
     TikTokは、2005年のMySpace、2008年のFacebook、最近では2014年頃のInstagramとSnapchatに続いてソーシャルメディアの王座にある最新のアプリケーションである。
     否が応でも、TikTokの最近の人気を否定することはできない。TikTokの成功の大部分は、他の人気あるアプリケーションが今まで実行したことのない相互通信のより新しく、より一意の方法を提供しているためである。
     このアプリケーションは、2016年に稼働したが、2020年はTikTokが支配した年であった。これは、おそらく新型コロナウィルスのパンデミックに起因して、多くの人々が突然、馬鹿げたビデオを視聴し、それらを友人に送る、あるいは、馬鹿げたビデオの作成に参加したりするための多くの時間を持ったことを意味している。

    味方か敵か?

     世界的な人気にも関わらず、多くの人々と政府は、2020年6月にインド政府が、他の58の中国系電話アプリケーションと共にソーシャルメディアプラットフォームを締め出したこともあり、TikTokに関するサイバーセキュリティ上の懸念を持っている。
     セキュリティ上の懸念の大部分は、TikTokが中国企業であることに集中している。インド政府によると、中国の法律が、その国の企業は政府と情報を共有する必要があるとしているために、TikTokは安全保障上の脅威となった。
     このアプリケーションの人気は継続し、米国の10代の間で成長しているので、米国は、中国政府にこれまで以上に及ぶ範囲の巨大化の可能性を懸念して、2019年にTikTokの調査を発動した
     Wells Fargoを含む幾つかの米国企業は、企業所有のデバイスからTikTokアプリケーションを削除するように従業員に求めた。既に米軍は官給の電話からTikTokを締め出している。
     これらの懸念にも関わらず、TikTokが誰かから情報を「盗んだ」とする確たる証拠を共有した者はいない。
     そうは言っても、あなたが使用しているプラットフォームが何であれ(TikTok, Facebook, Twitter等)、常に、あなたが共有している全てのデータは、いつか公開されたり他の人々の手に渡る可能性があるということを疑うことから始めるのがベストである。
     TikTokを使用することを決めたのであれば(全てのソーシャルメディア プラットフォームで同じことがあてはまる)、あなたが何を共有しているのかに注意しなさい、そして、如何なる(【訳者補注】モバイル・アプリケーションの)固有セキュリティやプライバシーを想定しないようにしなさい。

    TikTokを安全にする6つのヒント

     TikTok上であなた自身の安全を守りたい、あるいは、子供や若い人々を保護したいかに拘わらず、TikTokを使用している時に、あなたのセキュリティとプライバシーを最大にするための支援となる幾つかのヒントを以下に示す。

    1. 必ずTikTokアカウントをPrivate(非公開)にする
     本質的にあなたのアカウントをPrivate(非公開)にすることは、誰かがフォローする前に、その人が承認される必要があることを意味している。これは、あなたのビデオや「いいね」に友人だけがアクセスできることを保証することになる。
     Settings > Privacy and Safety(設定 > プライバシー設定)に進み、見出しのDiscoverability(見つけやすさ)を探しなさい。
     この機能をアクティベートするには、Private Account(非公開アカウント)オプションをONにしなさい。

    2. 他の人があなたを見つけることを許可しない
     Defaultで、TikTokは、あなたが知らない人々の"For you"ページに、それを掲載することによってあなたのコンテンツを共有する。あなたが見知らぬ人にビデオを見られたくないのであれば、上図に示したSuggest your account to others(あなたのアカウントを他のユーザにおすすめ表示する)オプションをOFFにしなさい。
     この設定をOFFにすることで、あなたのアカウントは他のユーザに推奨されなくなり、他の人々が検索エンジンを介してあなたのアカウントを発見することができなくなる。

    3. 双方向通信を許可しない
     TikTokユーザは、複数の方法であなたのアカウントとコンテンツと双方向に通信することができる(それを閲覧したり、ダウンロードしたり、あなたに直接メッセージしたり、ビデオでデュエットしたり)。
     これら双方向通信のDefault設定はONである。しかし、あなたは、Friend(即ち、あなたのアカウントをフォローすることを許可した人々のみ、あなたのコンテンツと双方向通信することができる)やOFFに変更するオプションを持っている。
     他のユーザがあなたのビデオと相互通信することができる方法を制限するには、Privacy(プライバシー設定)ページのSafety(安全フィルター)セクションに進む。

     双方向通信をブロックすると、コメント、デュエット、リアクションを停止し、他の人があなたのメッセージや「いいね」したビデオの閲覧を妨げることになる。
     メッセージをブロックすることは、TikTokユーザがプライベートにチャットする方法(悪意ある誰かによって簡単に悪用される機能)なので特に重要である。

    4. 利用時間を管理する
     TikTokは中毒性の高いものであり、平均的ユーザは短いビデオのスクロールに1日52分費やしている。
     このアプリケーションの時間を制限したいのであれば、Settings & Privacy(プライバシー設定)のページのDigital Wellbeing(デジタルウェルビーイング)セクションに進む。時間制限するには Screen Time Management(使用時間制限モード)を使用する

     この制限を1日30分に設定したなら、この制限に到達すると1日の残りの時間はカットオフされる。
     設定している間に、将来子供がこの設定を変更することを妨げるパスコードを選択することが可能である。

    5. 子供達のアカウントにはRestricted Mode(制限モード)を使用する
     これは、TikTokを使用する子供を持つ親にとって最も重要な設定の一つである。
     制限モードは、子供に見せるにはふさわしくないコンテンツをストップする。100%正確ではないが、かなり良い仕事をする。
     子供が後にこの設定を変更することを防ぐためにパスコードを設定することも可能である。
     この設定はまた「利用時間を管理」セクションでも発見される。

    6. ファミリーセーフティーモードの利用
     これは、あなたが少年のアカウントを‘Parent’もしくは‘Teen’に割り当て、そのTikTokアカウントにアクセスできるようにすることを可能にする重要な設定である。
     そのアカウントに接続すると、あなたは以下のことを制御できる:

      ・ 利用時間管理: 子供が毎日どのくらいの時間TikTokに費やせるのかを設定する。
      ・ ダイレクトメッセージ: 子供に誰がメッセージできるのかを決定する。もしくは、ダイレクトメッセージを完全にOFFにする。
      ・ 制限モード: 子供に不適切と思うコンテンツのタイプを制限する。

     これら全てを自分のデバイスから管理できので、子供を常に保護することができる。
     この設定は、デジタルウェルビーイングのファミリーセーフモード セクションにある。


    ハッカーはペイメントカードの3Dセキュアをバイパスする方法を共有
    BleepingComputer : News>Security(2021/03/03)
     サイバー犯罪者は、オンラインカード取引認証に使用される3Dセキュア(3DS)プロトコルを回避する方法を常に模索し文書化している。
     地下フォーラムでの論議は、ソーシャル・エンジニアリングとフィッシング攻撃を結びつけることによって、最新のセキュリティ機能をバイパスする方法に関するアドバイスを提供している。
     複数のダークWebフォーラムの個人が、顧客の取引を保護するために実装されたショップで不正な購入を実行することに関する彼らの知識を共有している。
     3DSは、クレジットカードやデビットカードを使用するオンライン購入のためのセキュリティレイヤーを追加する。これは支払いを認証するためにカード所有者に直接確認を要求する。
     この機能は、銀行が取引を承認するためにコードや静的パスワードをユーザに要求した最初のバージョンから進歩している。スマホ向けに設計された二度目のバージョン(3DS 2)では、ユーザは、彼らの生体データ(指紋、顔認証)を使用するバンキング・アプリケーションで認証することによって購入を確認することができる。
     3DS 2が提供する高度なセキュリティ機能にも関わらず、最初のバージョンは、依然として広く採用されたままであり。彼らのソーシャル・エンジニアリングのスキルを使用するチャンスや、取引を承認するためのコードやパスワードを与えるようにユーザを欺くチャンスをサイバー犯罪者に与えている。

    ソーシャル・エンジニアリングは3DSコードを取得する

     本日のブログへの投稿で、脅威インテリジェンス企業Gemini Advisoryは、サイバー犯罪者が3DSを実装されたオンラインストアで偽の購入を実行することに関してダークWebフォーラムで議論している方法の一部を共有した。
     これは全て、少なくとも名前、電話番号、eMailアドレス、住所、母親の旧姓、ID番号、運転免許証番号を含むカード所有者の完全な情報で始まる。  同じ戦術は、最新の3DSで機能し、リアルタイムで購入することができる可能性がある。ハッカーは一流の地下フォーラムへの投稿でこの方法を説明している。

    (画像をクリックすると拡大表示されます)

     カード所有者の完全な詳細、ボイスチェンジャー、電話番号なりすましアプリを使用して、詐欺師はサイトで購入を開始し、次に犠牲者に電話して必要な情報を引き出す。

    「最終段階で、ハッカーは、最終的な本人確認用の確認コードを受け取るように犠牲者にアドバイスする。その時点で、サイバー犯罪者はその店に注文する必要がある。犠牲者の電話に送信された確認コードの入力を促されたなら、詐欺師は犠牲者からそのコードを取得する必要がある」Gemini Advisory。

     3DSコードを入手することは、フィッシングやインジェクションのような他の方法で可能である。犠牲者がフィッシングサイトで購入を実行すると、犯罪者は正当な店にその詳細全てを渡してその製品を取得する。
     Gemini Advisoryの発見によると、サイバー犯罪者の一部が、盗んだクレジットカードデータをPayPalアカウントに追加し、それを支払い方法として使用している。
     他の方法は古典的であり、セキュリティコードを傍受し、詐欺師にそれを渡すマルウェアで犠牲者の電話番号を侵害することを伴っている。
     あるいは多くの店舗では、取引が特定の制限を下回っている場合には3DSコードを要求しないため、詐欺師は複数の小規模な購入を持ち逃げすることができる。
     これらの手法の殆どは、以前のバージョンの3DSが存在している場合に機能する。3DS 2が広く採用されるまでには未だ長い道のりがある。ヨーロッパはより安全な標準(PSD2規制-3DS 2で満たされる強力な顧客認証)への移行を主導している一方、米国では3DS 1を使用する加盟店の不正責任保護は、2021年10月17日に期限切れになる。
     しかしながら、Gemini Advisoryは、サイバー犯罪者もソーシャルエンジニアリングを通じてより安全な3DS 2を攻撃するだろうと確信している。


    Microsoftは積極的に脆弱性攻撃されているExchangeの0-Dayのバグを今パッチした
    BleepingComputer : News>Security(2021/03/02)
     Microsoftは、標的型攻撃において積極的に脆弱性攻撃されている4つの0-Dayを修正したMicrosoft Exchangeの全てのバージョンをサポートする定例外のセキュリティ アップデートをリリースした。
     これら4つの0-Dayの脆弱性は、Microsoft Exchangeサーバへのアクセスを取得し、eMailを盗み、ネットワークへのアクセスを増加させるためのさらなるマルウェアを植え付けるものと結び付けられている。
     この攻撃が動作するには、リモート攻撃者は、オンプレミスのEicrosoft Exchangeサーバのポート443へのアクセスを必要とする。このアクセスが可能なら、脅威のアクターは、リモートアクセスを取得するために以下の脆弱性を活用する。
      CVE-2021-26855は、攻撃者が任意のHTTPリクエストを送信し、Exchangeサーバとして認証されることを可能にするExchange中のserver-side request forgery (SSRF、【訳注】SSRFの詳細に関してはCyber Security.comのこちらのページを参照してください)である。

      CVE-2021-26857は、Unified Messagingサービス(【訳注】電話、 FAX 、電子メールなど異なる通信手段のメッセージをデータ化して、 サーバー 上で 一元 管理すること(コトバンクより))中の逆デジタル化の危険な脆弱性である。危険な逆デジタル化は、信頼できないユーザ制御可能なデータがプログラムによって逆デジタル化されることである。この脆弱性を悪用することで、ExchangeサーバのSYSTEMとしてコードを実行する能力をHAFNIUM(【訳注】中国政府系ハッカーグループの名前)に与える。これは、管理者パーミッションもしくは、悪用可能な他の脆弱性を要求する。

      CVE-2021-26858は、Exchangeにおける認証後の任意のファイル書き込みの脆弱性である。HAFNIUMが、Exchangeサーバに認証されると、次に彼らは、サーバ上の任意のパスにファイルを書き込むためにこの脆弱性を使用する。彼らは、CVE-2021-26855 SSRF脆弱性を悪用することによって、あるいは、正当な管理者証明書を改竄することで認証されることができる。

      CVE-2021-27065は、Exchangeにおける認証後の任意のファイル書き込みの脆弱性である。HAFNIUMが、Exchangeサーバに認証されると、次に彼らは、サーバ上の任意のパスにファイルを書き込むためにこの脆弱性を使用する。彼らは、CVE-2021-26855 SSRF脆弱性を悪用することによって、あるいは、正当な管理者証明書を改竄することで認証されることができる。

     Microsoftは、データを盗むために米国組織に対してこれらの攻撃を悪用しているHAFNIUMとして知られる中国政府系ハッカーグループを検出した。
     「歴史的にHAFNIUMは、主に米国企業体を攻撃しており、感染症研究者、法律事務所、高等教育機関、防衛関連契約業者、政策シンクタンク、NGO法人を含む数多くの産業から情報を盗み出すことを目的にしている」と「HAFNIUMは中国に拠点を置いているが、主に米国でリースされた仮想プライベートサーバ(VPS)から作戦は指揮されている」と、Microsoft は本日のブログへの投稿で明らかにしている
     脆弱性のあるMicrosoft Exchangeサーバへのアクセスを取得すると、HAFNIUMは、Webシェルをインストールし、データ、アップロードファイル、セキュリティ侵害されたシステム上でほぼ全てのコマンドを実行することが可能になる。
     HAFNIUMは、Webシェルを使用してキャッシュされている証明書を収穫するためにLSASS.exe実行ファイルのメモリダンプを実行する。
     彼らは、Exchangeサーバからメールボックスと盗んだデータをエクスポートし、彼らが後に取得することのできるMEGAのようなファイルシェアリングサービスに、そのデータをアップロードする。
     最後にHAFNIUMは、そのマシンと内部ネットワークにアクセスするために彼らのサーバに戻るリモートシェルを作成する。
     この攻撃の申告性に起因して、Microsoftは、これらの攻撃からExchangeサーバを保護するために、管理者は「直ちにこれらのアップデートをインストールする」ように推奨している。
     Microsoftの上級脅威情報分析官Kevin Beaumontは、Nmap Scriptを作成した。このスクリプトは潜在的な脆弱性のあるMicrosoft Exchangeサーバのネットワークをスキャンする。
     このスクリプトを使用するには、彼のGitHubのページからNmap Scriptをダウンロードする。このファイルを/usr/share/nmap/scriptsに格納し、nmap --script http-vuln-exchange コマンドを使用する。

    Microsoft Exchangeサーバの潜在的な脆弱性を示すNmapスクリプト(画像をクリックすると拡大表示されます)

     Exchangeサーバが更新される必要があると決定したなら、サーバに現在サポートされている累積アップデートと更新プログラム・ロールアップがインストールされていることを確認する必要がある。
     管理者は、サポートされているアップデートに関する詳細情報と、パッチをインストールする方法に関しては本日公開されたMicrosfot Exchangeチームの記事中に見出すことができる。
     これらの脆弱性を使用してMicrosoft Exchangeサーバーがセキュリティ侵害されたか否かを検出するために、Microsoftは、攻撃の痕跡を確認するためにイベントログ/Exchange ServerのログをスキャンするPowerShellおよびコンソールコマンドを提供している


    MicrosoftはWindows 10ドライブ損壊のバグを修正 - 知る必要のあること
    BleepingComputer : News>Security(2021/02/27)
     Microsoftは、単に特定のパス、もしくは特別に細工されたファイルを閲覧することでNTFSボリュームが損壊することになるWindows 10のバグを修正した。
     先月、BleepingComputerは、低い特権のユーザを含むあらゆるユーザが、NTFSボリュームをダーティーとしてマークできる新たなWindowsのバグをレポートした。
     全てのWindowsユーザが、このバグの引き金を引くために実行する必要のあることは、以下の画像に示したように、特定のパスにアクセスすることである。

    パスにアクセスするとドライブは損壊としてマークされる(画像をクリックすると拡大表示されます)

     一旦、Windowsがこのパスにアクセスしようとすると、"The file of directory is corrupted and unreadable."と宣言される。次に、このドライブは損壊しているので修復の必要があるとしてマークされる。
     Windowsは次に、コンピュータを再起動し損壊を修復するためにchkdskするように促してくる。
     Microsoftは、そのドライブは実際には損壊していない、そして、chkdskはこの問題を修正するだろうと発言していた。残念ながら、我々と他のテストにおいて、chkdskは、この問題を修正することはなく、Windows 10は再起動することを拒否した。

    【訳者より】動画に関しては、こちらのサイト中程にあります

    MicrosoftはNTFS損壊のバグを修正

     このバグが公開されて以来、Microsoftが2月の定例パッチの一部として修正をリリースするのではないかという期待があった。
     この期待が裏切られたので、Mozilla Firefox 85.0.1は、このパスへのアクセスを妨げるためのチェックを追加したし、OSRは、Windows中にこのパスをブロックするための非公式のパッチをリリースした。
     今週のWindows 10 Insider build 21322のリリースで、Microsoftは、このパスへのアクセスを妨げるundocumentedの修正を含めている。
     これで、あなたが、c:\:Si30:$bitmapにアクセスしようとすると、Windows 10は以下に示すように"The directory name is invalid,"を戻してくるので、最早NTFSボリュームを損壊としてマークすることはない。

    NTFS損壊のバグはWindows 10 'Dev'チャンネルでは修正された(画像をクリックすると拡大表示されます)

     残念ながら、この修正はWindows 10 Insider 'Dev'チャンネルにのみ存在しており、Windows 10 21H1 'Beta'プレビュー(この春にリリースされる次の機能アップデート)には存在していない。
     Microsoftが、より早くリリースされるWindowsバージョンにこの修正を引き上げた場合を除き、しばらくの間、このバグで立ち往生することになるだろう。


    大手認証企業Underwriters Laboratoriesが身代金要求型マルウェアによって攻撃された
    BleepingComputer : News>Security(2021/02/21)
     Underwriters Laboratoriesとして知られる UL LLCは、身代金要求型マルウェアの攻撃を受けサーバーが暗号化された。そして、修復期間中システムのシャットダウンが発生していた。
     ULは、米国最大で最古の安全性承認企業であり、14,000人の従業員と40を超える国々に事務所を持っている。
     今までに電気機器(ラップトップ、TVのリモコン、白熱電球、AppleのUSB充電器)の背面に注目したことがあるのなら、そのデバイスに印刷されたULのロゴを即座に認識できたはずである。

    FiosルータのUL証明(画像をクリックすると拡大表示されます)

     企業が新しい製品をリリースする時、その企業は一般的に、全国的に認証される安全性と持続性の基準に基づいてテストされ認証されるためにULに製品を提出する。テストがどのように実施されたのかと、その結果に基づいて、その製品は、多様なUL証明書を受け取る。
     製品の安全性証明書に加えて、ULは、大変人気のある 3DMark, PCMark, VRMarkや、PCとグラフィックス ベンチマーク ユーティリティもまた開発している。

    ULは先週末、身代金要求型マルウェアに攻撃された

     BleepingComputerは、先週末身代金要求型マルウェア攻撃を受け、彼らのデータセンター中のデバイスを暗号化されたことを認識した。
     攻撃のさらなる拡大を防ぐために、この企業はシステムをシャットダウンしたので、従業員の一部は仕事をすることができなくなった。
     ULは、この脅威のアクターに接触しないように、この身代金要求型マルウェア オペレーションに関連する如何なるサイトも訪問しないように従業員に命じた。
     この攻撃に精通している情報筋によると、ULは身代金を支払わずに、バックアップから復元することを決定した。
     デバイスの復元には時間がかかるので、この攻撃は、ULが復元している間myULクライアントポータルをオフラインのままにせしめた。

    myULクライアントポータルの停止メッセージ(画像をクリックすると拡大表示されます)

     BleepingComputerへの声明において、ULは、この攻撃が2月13日に発生したことと、現在攻撃を調査中であることを認めている。

    「ULは、2021年2月13日にシステム上に異常な挙動を検出した。即座にこの状況を解決するための予防策を取った。これには、システムのシャットダウン、大手サイバーセキュリティ企業との協力、所轄官庁への通報が含まれる。我々の当面の優先事項は、顧客への影響を最小限に抑えるために、システムを復元することである。」

     「我々は調査から詳細を認識するまで、影響を受けた可能性のある情報の種類を推測できない。影響を受けたデータが判明次第、適切なアクションを取る。」 - UL LCC

     どの身代金要求型マルウェア オペレーションがこの攻撃を指揮したのか、攻撃者は暗号化されていないファイルを盗んだのか否かは判明していない。
     大部分の企業をターゲットにした身代金要求型マルウェア オペレーションは、二重強請作戦を使用するために暗号化されていないファイルを盗むので、ギャングは、おそらくこの攻撃の間にデータを盗んでいるだろう。


    ハッカーはCSPをバイパスしクレジットカードを盗むためにGoogleのApps Scriptを悪用している
    BleepingComputer : News>Security(2021/02/18)
     攻撃者は、オンラインショッピングをしている間に、eコマースWebサイトの顧客によって提出されたクレジットカード情報を盗むために、GoogleのApps Script商用アプリケーション開発プラットフォームを悪用している。
     彼らは、script.google.comドメインを使用することで、マルウェアスキャンエンジンから彼らの悪意ある行為を上手く隠蔽し、Content Security Policy (CSP、【訳注】コンテンツセキュリティポリシーとは、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーのこと(MDN Web Docsより)) をバイパスしている。
     犯罪者は、オンラインストアがGoogleのApps ScriptドメインをTrustとして考えており、オンラインストア サイトのCSP設定(Webアプリでの信頼できないコードの実行をブロックするためのセキュリティ標準)が、Googleの全てのサブドメインをホワイトリストに登録している可能性があるという事実を悪用している。
     クレジットカードスキマーは(Magecartスクリプトやペイメントカードスキマー)は、サイバー犯罪者のグループ(Magecartグループとして知られる)によって挿入されるJavaScriptベースのスクリプトであり、Webスキミング(eスキミングとしても知られている)攻撃の一部としてハッキングされたオンラインストアに挿入される。  一旦配備されると、このスクリプトは攻撃者が支払いとハッキングされているショップの顧客によって提出された個人情報を収穫し、彼らの制御下にあるサーバにそれを収集することを可能にする。

    Google Apps Scriptドメインは、抽出エンドポイントとして使用された

     この新しい支払い情報を盗む戦略は、デジタルスキミングとの戦いに重点的に取り組んでいるセキュリティ企業Sansecによって提供されたEarly Breach Detectionデータを解析している間に、セキュリティ研究者Eric Brandelによって発見された。
     彼が発見した時、悪意のある難読化されたスキマースクリプトは、攻撃者によってユーザが提出した支払い情報を横取りするためのeコマースサイトに挿入されていた。
     セキュリティ侵害されたオンラインショップから盗まれた全ての支払い情報は、base64でエンコードされたJSONデータとしてGoogle Apps Scriptカスタム アプリケーションに送信される(抽出エンドポイントとしてscript[.]google[.]comを使用して)。
     Google Apps Scriptのエンドポイントに到達した後、このデータは攻撃者によって制御されている他のサーバ(イスラエルに本拠を置くanalit[.]tech)に転送される。
     「このマルウェアドメインanalit[.]techは、以前発見されたマルウェアドメインhotjar[.]hostとpixelm[.]techと同日に登録されており、同じネットワー上にもホストされている」と、Sansecは発言している。

    攻撃者のカスタムGoogle Apps Scriptアプリケーションにアクセスした時に表示されたエラー(画像をクリックすると拡大表示されます)

     これは、このGoogleサービスが悪用された初回ではない。過去にFIN7サイバー犯罪者グループによって、 マルウェアのコマンドアンドコントロールサーバ用にGoogle SheetsとGoogle Formsサービスとが一緒に使用されている。
     2015年の半ば以降、FIN7 (別名Carbanak あるいは Cobalt) は、Carbanakバックドアを使用して銀行とEUと米国企業のPoint of Sale(【訳注】 店舗販売時点情報管理)端末をターゲットにした。
     「この新しい脅威は、信頼できないドメインとの通信からWebストアを単に保護するだけでは不十分であることを示している」と、「eコマースのマネージャは、そもそも攻撃者が認証されていないコードを挿入できないことを保証する必要がある。サーバーサイドマルウェアと脆弱性をモニタリングすることは、あらゆる現代のセキュリティポリシーで必須のものである」と、Sensecは付け加えている。

    Google Analyticsもまた、クレジットカードを盗むために悪用されていた

     他のGoogleサービスもまた、Magecart攻撃に悪用されていた。Google Analyticsプラットフォームも攻撃者によって使用され、数十ダースのオンラインストアから支払い情報が盗まれていた。
     これらの攻撃を更に悪化させているのは、Google Analytics APIを悪用することによって、Webストアが、訪問者を追跡するために、CSP設定でGoogleのWeb Analyticsサービスがホワイトリストに登録されていることを確認し、脅威のアクターがCSPを回避する可能性があることである。
     当時、SansecとPerimeterXが発見したように、インジェクションベースの攻撃をブロックする代わりに、Google Analyticsスクリプトを許可することは、攻撃者がそれらを活用しデータを盗み抽出することを可能にした。
     これは、盗んだデータをエンコードし、暗号化された形式で攻撃者のGoogle Analyticsダッシュボードに、それを送信するように特別に設計されたWebスキマースクリプトを使用して実行される。
     BuiltWithによって提供された統計に基づくと、現在2800万を超えるサイトがGoogleのGA(Google Analyticsの略) Web Analyticsサービスを使用している。PerimeterXの統計によると、2020年3月にHTTPArchiveスキャンを介して到達可能な17,000のWebサイトが、google-analytics.comドメインをホワイトリストに登録している。
     「一般的に、デジタルスキマー(別名Magecart)は、タックス・ヘイブンにある危険なサーバーで実行され、その場所は、極悪な意図を顕にしている」と、当時Sansecは説明していた。
     「しかし、スキミングキャンペーンが全体的に信頼されているGoogleサーバで実行されると、殆どのセキュリティシステムは『不審なドメイン』('suspicious')とするフラグをたてることはない。より重要なのは、サイトの管理者がGoogleを信頼すると、Content-Security-Policy (CSP) のような人気のある対抗策が機能しなくなることにある」
     「CSPは信頼できないコードの実行を制限するために発明された。しかし、殆ど全ての人がGoogleを信頼しているので、このモデルは欠陥がある」と、SansecのCEOで設立者であるWillem de GrootはBleepingComputerに話した。


    Microsoft、Windows 10のWiFiクラッシュを修正する緊急の定例外アップデートをリリース
    BleepingComputer : News>Security(2021/02/11)
     Microsoftは、WPA3 WiFiネットワークに接続する時、Windows 10がクラッシュを発生するバグに関する緊急の定例外アップデート(KB5001028)をリリースした。
     MicrosoftのWindows Message Centerに投稿された新しいサポートによると、このバグは、最近のWindows 10 1909累積アップデート(特に、2021年01月21日にリリースされたKB4598298と、先週の火曜日(2021年02月09日)にリリースされたKB4601315)で導入された。
     このバグは、WPA3 WiFiネットワークに接続しようとした時に、デバイスにBlue Screen of Death (BSOD、死のブルースクリーン)を発生させる。WPA3は、現時点で強力なセキュリティを持っているので推奨されているワイアレス暗号化プロトコルである。
     Microsoftが本日公開したことによると、「あなたが、Wi-Fi Protected Access 3 (WPA3)に接続しようとした時、ブルースクリーンと共にnwifi.sysに0x7Eストップ エラーを受け取っている場合がある」と、「切断したり、スリープやハイバーネーションから復帰しWiFiネットワークに再接続しようとした時この問題に遭遇するだろう。殆どのWiFiネットワークは現在WPA2を使用している、そして、WPA2はこの問題の影響を受けないことに注意しなさい」とある。
     定例外アップデートに加えて、Microsoftは、以下の軽減するためのステップも提供している。これは特定のユーザにとっては望ましいものではない可能性がある。
      ・ デバイスをWindows 10, version 2004または、Windows 10, version 20H2にアップデートする
      ・ WPA2を使用してWiFiに接続する。これを実行するには、アクセスポイントとルータ設定を再設定する必要があるかもしれない
      ・ 有線イーサネット接続を使用して接続する
     定例外アップデートKB5001028は現在、Windows Update, WSUS, Microsoft Updateカタログを介して利用可能になっている。


    ダークサイドに結びついているAndroidアプリケーションは数百万ユーザに対してマルウェアアップデートを送信していた
    BleepingComputer : News>Security(2021/02/08)
     Googleは、Play Storeから1000万を超えてインストールされている人気あるAndroid barcode scanner(バーコードスキャナ)を削除した。これに先立って、研究者は、2020年12月のアップデートで悪意あるものに変換されたことを発見していた。
     数年間の休眠の後、LAVABIRD LTDによって開発され以前は正当なものであったBarcode Scannerアプリケーションは、セルフアップデートされ、現在セキュリティベンダによってトロイの木馬とタグ付けされている悪意あるコードを使用してユーザのデバイスを乗っ取っている。
     数百万のユーザによって経験された悪意ある挙動は、ユーザと何ら対話することなくDefaultブラウザを起動したり、他の潜在的に悪意のあるAndroidアプリケーションを宣伝する広告を表示したりすることが含まれている。
     「所有者の多くは、長期間彼らのモバイルデバイスにこのアプリケーションをインストールしていた(あるユーザは数年間インストールしていた)」と、「前触れもなく、12月のアップデートの後、Barcode Scannerは、無害なスキャナから完全に悪意ある物に変わった」と、Malwarebytesのマルウェア研究者Nathan Collierは発言している。

    (画像をクリックすると拡大表示されます)

     これは、悪意あるコードがAndroidアプリケーション中で発見された初めてのことではないが、このような事案は通常、収益を上げるために広告を表示するフリーのアプリケーションによって使用されるサードパーティのソフトウェア開発キット(SDK)の使用に関係している。
     しかし、今回の場合、難読化と署名された悪意あるコードはアプリケーションに同梱され、1000万ユーザを超えるデバイスに一挙にインストールされている。
     「これが同じアプリケーションの開発者からのものであるか否かを検証すると、以前のクリーンなバージョンと同じデジタル証明書でサインされていることが確認された」、更に、「Android/Trojan.HiddenAds.AdQRを検出したので、その悪意の目的のために、我々はアドウェアのオリジナルの検出カテゴリを越えてトロイの木馬に直接ジャンプした」と、Collierは追加している。  Googleは、12月のMalwarebytesの発表を受け取った後、Play StoreからLAVABIRDのBarcode Scannerアプリケーションを削除した。
     それであるにも拘わらず、依然として影響を受けたまま、知らないうちにユーザベースに不要な広告を表示されている数百万のデバイスが存在している可能性がある。
     LAVABIRDのスポークスマンは、BleepingComputerは本日早朝コメントを求めて接触したが即座の回答は得られていない。


    新しいフィッシング攻撃は悪意あるURLを非表示にするためにモールスコードを使用している
    BleepingComputer : News>Security(2021/02/07)
     新しいターゲット フィッシングキャンペーンは、eMail添付ファイル中の悪意あるURLを非表示にするために、新奇な難読化テクニックであるモールスコードを使用している。
     Samuel MorseとAlfred Vailは、電信でメッセージを送信する方法としてモールスコードを発明した。モールスコードを使用すると、各文字と数字は、一連のドット(短点)とダッシュ(長点)で暗号化される。
     先週始め、脅威のアクターは、モールスコードを悪用し、電子メールセキュリティとメールフィルタをバイパスするために、フィッシング フォーム中の悪意あるURLを非表示にすることを始めた。
     BleepingComputerは、過去のフィッシング攻撃中に、この新奇な難読化テクニックであるモールスコードへの参照を見つけることができなかった。

    新奇なモールスコード フィッシング攻撃

     Redditの投稿でこの攻撃を最初に認識した後、BleepingComputerは、2021年02月02日以降VirusTotalにアップロードされたこのターゲット攻撃に関する多くのサンブルを発見することができた。
     このフィッシング攻撃は、'Revenue_payment_invoice February_Wednesday 02/03/2021'のような件名で企業の請求書を装うeMailで開始される。

    フィッシング メール(画像をクリックすると拡大表示されます)

     このeMailは、企業のExcel請求書であるかのように名付けられたHTML添付ファイルを含んでいる。これらの添付ファイルは、'[company_name]_invoice_[number]._xlsx.hTML'の形式で名付けられている。
     例えば、BleepingComputerが騙られている場合であれば、添付ファイルは、'bleepingcomputer_invoice_1308._xlsx.hTML'と名付けられるだろう。
     この添付ファイルをテキストエディタで表示すると、このメールには文字と数字をモールスコードにマップするJavaScriptを含んでいることが分かる。例えば、以下に示すように、文字'a'は'.-'にマップされ、文字'b'は'-...'にマップされる。

    HTMLフィッシング添付ファイルのソースコード(画像をクリックすると拡大表示されます)

     このスクリプトは次に、モールスコード文字列を16進数文字列に復号するためにdecodeMorse()関数をコールする。この16進数文字列は更にHTMLページに挿入されるJavaScriptタグに復号される。

    復号されたJavaScriptタグ(画像をクリックすると拡大表示されます)

     HTML添付ファイルとこの挿入されるスクリプトの組み合わせは、インチキのExcelスプレッドシートを表示し、サインインがタイムアウトしたと主張してパスワードの再入力を促すために必要な様々なリソースを含んでいる。

    フィッシング ログインフォームを表示するHTML添付ファイル(画像をクリックすると拡大表示されます)

     ユーザがパスワードを入力すると、このフォームは攻撃者がログイン認証を収集しているリモートサイトに、このパスワードを送信する。
     このキャンペーンは大変標的型である。脅威のアクターは説得力を高めるためにlogo.clearbit.com(【訳注】簡単にプロジェクトに企業のロゴを埋め込むことができるツール(Clearbitより))サービスを使用して、騙られている企業のロゴを挿入している。企業のロゴを使用できない場合は、上の画像に示したように一般的なOffice365のロゴを使用している。
     BleepingComputerは、このフィッシング攻撃のターゲットにされた11の企業(SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, Capital Four)を確認した。
     メールゲートウェイが悪意あるeMailをより良く検出するようになっているので、フィッシング詐欺は、日々より複雑化してきている。
     これに起因して、全ての人々は、いかなる情報も送信する前にURLと添付ファイルの名前に細心の注意を払う必要がある。何か疑わしいのであれば、受信者は更に調査するためにネットワーク管理者にコンタクトする必要がある。
     今回のフィッシングeMailは、添付ファイルに二重拡張子(xlxsとHTML)を使用しているので、Windowsファイル拡張子が有効になっていることの確認は、疑わしい添付ファイルを見つけやすくするので重要なことである。


    Fonix身代金要求型マルウェアがオペレーションを終了。マスター復号キーをリリース(概要)
    BleepingComputer : News>Security(2021/01/29)
     Fonix身代金要求型マルウェアのギャングが、本日の午後(米国時間)オペレーションの終了をTwitter上で表明した。但し、メンバーの一部にオペレーションの終了に反対した者がいたことも明らかにしている。
     別のTweetで、'Fonix_decrypter.rar'と名付けられたRARアーカイブへのリンクが共有されている。このアーカイブは復号ツールとマスター秘密復号鍵の両方を含んでいる。
     今夜リリースされた復号ツールは、犠牲者の幾つかのファイルを無料で復号してみせるためのツールであり、犠牲者がコンピューター全体を復号することはできない。
     マスターキーの方は、Fonix身代金要求型マルウェアの一部のバージョンでだけ動作する。
     Emsisoftの復号プログラムは、.Fonix, .FONIX, .repter, .XINOF拡張子を含む全てのバージョンを復号する。
     現在、暗号化トラフィック分析(ETA)がなされていない。あなたが犠牲者であれば、解決策はもう直リリースされるだろう。


    Windowsインストーラの0-Dayの脆弱性にフリーのマイクロパッチがリリースされた
    BleepingComputer : News>Security(2021/01/29)
     Windowsインストーラ コンポーネント中の脆弱性は、Microsoftが数回修正を企てたものの役に立たなかったが、本日、セキュリティ侵害されたシステム上で最高の特権を取得するオプションをハッカーに取得させないようにするマイクロパッチを受け取った。
     この問題はWindows 7から10に影響する。この問題を解決しようとするMicrosoftの最も最近の努力は10月だった。2020年12月下旬に、概念の実証(PoC)エクスプロイト コードを備えたバイパスが登場した。

    パッチ、バイパス、繰り返し

     MSIパッケージのインストール中、Windowsインストーラは、その過程で上手く行かなかった場合、あらゆる変更を元に戻すために‘msiexec.exe’を介してロールバックスクリプトを作成する。
     ローカル特権のハッカーは、ロールバックスクリプトを彼らのペイロードに差し向けるようにレジストリ値を変更したものに置き換えることができたなら、SYSTEMパーミッションで実行可能ファイルを稼働することができる。
     この脆弱性は、Microsoftの探査網に現れ、2019年4月(CVE-2019-0841)に修正がなされた。脆弱性研究者Sandbox Escaperは、5月末にバイパスできることを発見し、技術的詳細の一部を公開した。
     このストーリは4回も繰り返された(CVE-2019-1415, CVE-2020-1302, CVE-2020-0814, CVE-2020-16902)。そして、依然としてWindowsインストーラは、セキュリティ侵害されたマシンで最高のパーミッションを取得できる特権の昇格のための攻撃が可能である。
     最新のバイパスは、セキュリティ研究者Abdelhamid Naceriによって、複数のセキュリティソフトに影響を与える脆弱性と共に彼のブログで公開された。

    一時的な修正が利用可能に

     Mitja Kolsek(ACROS SecurityのCEで、マイクロパッチサービス0patchの共同設立者)は、Naceri’s PoCがこの脆弱性に関してどのような作業をしたのか説明している。

    「この概念の実証は、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath を c:\Windows\temp\asmae.exe に値を変更したロールバックスクリプトを使用している。このサービスが起動すると、攻撃者のasmae.exeを使用したFax Service(【訳注】 Outlook、Word、Excel、PowerPoint のファイルをインターネットFAXとして送信できるMicrosoft Officeの機能(Microsoftサポートより))という結果になる。このサービスは、あらゆるユーザが、それを起動することを可能にするために使用される。そして、これはローカルシステムで実行される」- Mitja Kolsek

    Microsoftの永続的なパッチが出現するまで、この一時的な修正が、0Patchプラットフォームから利用可能である。この一時的な修正は、システム再起動を伴わない単一命令の修正である。  このビデオ(リンク)は、ローカルの非管理者ユーザによるFaxService実行ファイルに差し向け、攻撃者のコードを実行するレジストリ値の改竄を、このマイクロパッチが妨げていることを示している。
     0Patchからのフリーで一時的な修正は、以下のシステムで動作する。
      ・ Windows 10 v20H2, 32/64bit, updated with January 2021 updates
      ・ Windows 10 v2004, 32/64bit, updated with January 2021 updates
      ・ Windows 10 v1909, 32/64bit, updated with January 2021 updates
      ・ Windows 7, 32/64bit, with ESU, updated with January 2021 updates
      ・ Windows 7, 32/64bit, without ESU, updated with January 2020 updates


    Perlドメインが盗まれ、現在マルウェアに結び付けられたIPアドレスが使用されている
    BleepingComputer : News>Security(2021/01/29)
     ドメイン名Perl.comが今週盗まれ、現在マルウェアキャンペーンに関連付けられたIPアドレスに振り向けられれている
     Perl.comは、Perl Foundationによって所有されているサイトであり、1997年以来、Perlプログラミング言語に関するニュースと記事を投稿するために使用されてきた。
     1月27日、Perl NOC(the perl.org infrastructure weblog!)サイトに、perl.comドメインがハイジャックされ、現在ユーザは別のIPアドレスに振り向けられていると投稿された。
     「perl.comドメインは、今朝ハイジャックされ、現在ユーザは構築中のサイトに振り向けられている。修復に向けて作業中」と、Perl.orgはポストしている。
     本来のperl.comサイトのIPアドレスは、151.101.2.132であったが、ハイジャックされて以来、現在Google Cloud IPアドレス 35.186.238[.]101 にホストされている。
     サイトを訪問した時、ユーザはブランク ページで迎えられる。このページのHTMLは、このドメインがレジストラkey-systems(.)netに登録されている場合でさえ、GoDaddy(【訳注】 米国 スコッツデールに本社を置くドメイン レジストラ・レンタルサーバ サービス(Wikipediaより))パークドメイン(【訳注】 機能していないサイトを指し示すドメイン。多くの場合、訪問者にドメインが構築中であるか、広告でいっぱいのページであることを知らせるページが表示される(EsDifferent.comより))スクリプトを含んでいる。
     Perl言語の開発者brian d foyは、ドメインが修復されるまで、このサイトにアクセスしたいユーザのために、彼らが一時的にperl.comをhttp://perldotcom.perl.orgにセットアップしていたとTweetしている。
     ハイジャックされたドメインが修復されるまで、Perl Foundationは、CPAN(【訳注】 Perlのライブラリ・モジュールやその他のPerlで書かれたソフトウェアを集めた巨大なアーカイブ(Wikipediaより))ミラーとして、以下のコマンドを使用して、それをアップデートするためにperl.comを使用ないようにユーザに、要請している。

    # perl -MCPAN -eshell
    cpan shell -- CPAN exploration and modules installation (v2.20)
    Enter 'h' for help.

    cpan[1]> o conf urllist http://www.cpan.org/
    Please use 'o conf commit' to make the config permanent!
    cpan[2]> o conf commit
    commit: wrote '/root/.cpan/CPAN/MyConfig.pm'

     現時点で、ドメインが盗まれた方法は未知である。BleepingComputerは、Perl Foundationにこの件に関する質問状を送付したが、回答は受け取っていない。

    マルウェアに結び付けられた新しいperl.comのIP

     perl.comが現在ホストしているIPアドレスは、古いマルウェアキャンペーンとより新しいマルウェアキャンペーンとで使用されてきた長い歴史を持っている。
     2019年、IPアドレス 35.186.238[.]101 は、現在は消滅しているLocky身代金要求型マルウェアの実行ファイル(VirusTotal)を配布するためのドメインに結び付けられていた。
     より最近では、ad clickerのように見えるマルウェア(VirusTotal)が、コマンドアンドコントロールサーバとして以下のドメインを使用していた。

    www.supernetforme[.]com
    www.superwebbysearch[.]com

     これらのドメイン名は共に、以下に示すように、35.186.238[.]101 に解決される。

    35.186.238[.]101をホストしているコマンドアンドコントロールサーバ(画像をクリックすると拡大表示されます)

     マルウェアが、これらのドメインでURLに接続しようとすると、現在perl.comを訪問するために使用されているものと同じパーク ドメイン スクリプトを受け取るだろう。
     これらHTMLレスポンスは、C2(コマンドアンドコントロールサーバ)の指示ではなく、このIPアドレスが、異なる脅威のアクターの制御下にあることを示している可能性がある。
     現在に関しては、このドメインをPerl Foundationが取り戻すまで、perl.comを訪問しないよう強くアドバイスする。攻撃者は、このドメインを多くの悪意ある目的のためのサイトに簡単に切り替えることができるのだから。


    新しいLinuxのSUDOフローは、ローカルユーザがルート権限を取得することを可能にしていた
    BleepingComputer : News>Security(2021/01/26)
     既に修正されているSudoの脆弱性は、全てのローカルユーザが認証を要求されることなく、Unix-likeなオペレーティングシステムでルート権限を取得することを可能にしていた。
     Sudoは、sudoersファイルにリストされた通常ユーザに対して限定的にルート権限を提供してシステム管理者にするUnixプログラムである。
     これは、このプログラムがローカルユーザに対してシステム全体のセキュリティを改竄することなく作業を実行するために必要なパーミッションだけを付与するとする最小権限の原則(Principle of Least Privilege)で動作する。
     Unix-likeなOS上でコマンドを実行すると、非特権ユーザが、パーミッションを持っているか、ルートユーザパスワードを知っている場合には、sudo(superuser do)コマンドを使用してルートとしてコマンドを実行することができる。ルートはシステムのスーパーユーザであり、特別なシステム管理アカウントである。
    Sudoはまた、sudoers設定ファイルに特別な命令を含ませることによって、通常ユーザが他のユーザとしてコマンドを実行できるように設定することができる。

    ローカルユーザ用のルート特権

     CVE-2021-3156(別名、Baron Samedit) として追跡されるSudoの特権昇格の脆弱性は、Qualysのセキュリティ研究者によって発見された。彼らは、1月13日に明らかにし、パッチが利用可能になったことを確認した後に、彼らの調査結果を公開した。
     Qualysの研究者によると、この問題は、攻撃者がこのフローを成功裏に攻撃するためにユーザのパスワードを知る必要はないので、任意のローカルユーザ(通常ユーザ、システムユーザ、sudoersファイルにリストされているか否かに関わらず)によって悪用できるヒープベースのバッファオーバーフローである。
     任意のローカルユーザにルート特権の取得を可能にするこのバッファオーバーフローは、引数中のバックスラッシュを不正にエスケープされない形に戻したSudoによってトリガーされる。
     「通常、Sudoはシェル(sudo -s もしくは sudo -i)を介してコマンドを実行している時、特別な文字をエスケープする」と、1.9.5p2チェンジログにある。
     「しかしながら、Sudoは、-s もしくは -iフラグ付きでsudoeditを実行することも可能である。この場合に、実際にはエスケープが実行されないので、バッファオーバーフローが可能になる。」
     Qualysは、潜在的な攻撃者によって、この脆弱性が成功裏に悪用される方法を示すために、三つのCVE-2021-3156に対するエクスプロイトを作成した。
     これらのエクスプロイトを使用することで、この研究者は複数のLinuxディストリビューションで完全なルート権限を取得することができた。この中には、Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31), Fedora 33 (Sudo 1.9.2)が含まれる。
     Qualysによると、Sudoをサポートする他のオペレーティングシステムとディストリビューションも、おそらくCVE-2021-3156に対するエクスプロイトを使用して脆弱性攻撃することが可能である。
     CVE-2021-3156を脆弱性攻撃する方法の技術的な詳細は、火曜日に公開されたQualysのCVE-2021-3156セキュリティ アドバイザリを参照されたい。
     緊急のCVE-2021-3156を脆弱性攻撃する方法のデモンストレーション ビデオは、こちらのリンク参照。

    Baron Sameditフローは公開される前に修正された

     この脆弱性は、9年前(2011年7月)にSudoプログラムに導入された(付託8255ed69)、そして、1.9.0から1.9.5p1までの全ての安定版と1.8.2から1.8.31p2までの全てのレガシーバージョン(【訳注】 ベンダーのサポートが終了したバージョン(Wikipediaより))の設定に影響を与える。
     Sudo貢献者は、先程この脆弱性を修正したバージョンsudo 1.9.5p2をリリースした。同時にQualysは、彼らの調査結果を公開した。
     あなたのシステムに脆弱性が存在するか否かをテストするには、非ルートユーザとしてログインし、"sudoedit -s /"コマンドを実行する。脆弱性のあるシステムは、"sudoedit:"で始まるエラーを投げてくる。また、パッチされているシステムは、"usage:"で始まるエラーを表示する。
     ユーザにルート権限を渡すためにSudoを使用しているシステム管理者は、即座にSudo 1.9.5p2もしくは、それ以降のバージョンにアップグレードしなさい。
     2019年、別のSudo脆弱性(CVE-2019-14287として追跡された)は、非特権ユーザにルートとしてコマンドを実行することを可能にしていた。
     幸いなことに、このフローは非標準設定でのみ脆弱性攻撃される。このことは脆弱性のあるSudoを稼働している殆どのシステムでは影響を受けないことを意味している。


    Windows 10のNTFS破損のバグに非公式の一時的な修正がリリースされた
    BleepingComputer : News>Security(2021/01/25)
     開発者は、特別に細工されたファイルを単に閲覧するだけでNTFSボリュームを破損に導くWindowsのバグに関する非公式の修正をリリースした。
     今月始め、BleepingComputerは、Windows 10のバグがセキュリティ研究者Jonas Lykkegaardによって発見されたことをレポートした。このバグは、特権のないユーザーがNTFSボリュームを破損としてマークすることを可能にするものである。
     このボリュームが破損としてマークされると、Windowsは、そのドライブが損壊しているのでコンピュータを再起動してchkdskを実行し、この破損を修正するように促すエラーを表示する。
     殆どの人々に関しては、Windowsがchkdskを実行するとオペレーティングシステムは直ぐに通常通りにブートするだろう。残念ながら、BleepingComputerのテストでは、chkdskを実行した後でさえ、オペレーティングシステムは適切に動作しなかった。

    BleepingComputerが後に学んだことだが、このバグはまたWindows XPを含むWindowsの過去のバージョンにも影響を与える。

    サードパーティーがNTFSバグの修正をリリースした

     Windows内部に特化したソフトウェア開発企業OSRは、Microsofstからの公式の修正を待っている間に、このNTFSバグが悪用されることを妨げるために、オープンソース フィルタードライバをリリースした。
     'i30Flt'と呼ばれるこのフィルタードライバは、“:$i30:"で始まるストリームへのアクセスを監視する。検出された場合には、このバグの引き金を引かれる前に、それらをブロックする。
     「OSRDrivers/i30Flt: これは“:$i30:"で始まるストリームへの如何なるアクセスもブロックする単なるフィルターである。これは、特定のWindows10のバージョンでトリガーされる偽の破損警告を停止する(github.com)」と、OSRはこのバグに関するブログへの投稿で述べている。
     BleepingComputer同様に、OSRはこのバグをひねくり回していた時に、chkdskを実行した後にも最早ブートしなくなったシステムに遭遇した。

    「また、OSRには、このバグをひねくり回している間に2回chkdskを行ってもブートしないシステムがある。酷い警告と破損したシステムの間で、我々は本物の修正がリリースされるまで緩和策を取ることは有益であると考えた。」- OSR

     このドライバをインストールするには、このプロジェクトのGitHubページから、このドライバをダウンロードし、管理者特権でコマンドプロンプトを起動する。次に、このファイルを解凍したフォルダに移動する。
     このファイルの存在するフォルダに入ったら、このドライバをインストールするために以下のコマンドを実行する。

    RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .\i30flt.inf
    wevtutil im i30flt.man
    fltmc load i30flt

     ドライバをインストールした後に、Windowsを再起動する必要はない。
     OSRのドライバがインストールされ、"$i30:"を含むパスへアクセスしようとする行為が検出されると、この企てはブロックされ、以下に示すイベントログが生成される。

    このフィルタードライバによって作成されたイベント(画像をクリックすると拡大表示されます)

     Microsoftがこのバグを修正する用意があるとBleepingComputerに告げてきているので、パッチされたなら以下のコマンドを使用して、このフィルタドライバーを削除しなさい。

    RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultUninstall 132 .\i30flt.inf

     以下に示したように、このバグが修正される前に、このドライバをアンインストールすると、このバグは直ちにドライバを破損としてマークするために使用される。

    このフィルタードライバをアンインストールすると(画像をクリックすると拡大表示されます)

     Microsoftが、このバグをいつ修正する計画なのか不明である。あなたのコンピュータで脅威のアクターが、このバグを悪用する可能性が懸念されるのなら、このドライバは、待っている間の適切な代替である。


    別の身代金要求型マルウェアのギャングは、犠牲者に支払いを強制するために現在DDoS攻撃を使用している
    BleepingComputer : News>Security(2021/01/20)
     別の身代金要求型マルウェアのギャングは、犠牲者に彼らと接触することを矯正し、身代金交渉を行うためにDDoS攻撃を現在使用している。
     2020年10月、我々は身代金要求型マルウェアのギャングが、犠牲者に身代金を支払わせるための追加のツールとして、犠牲者のネットワーク、もしくはWebサイトに対してDDoS攻撃を悪用し始めたとレポートした。この時点で、この二つの戦術を使用していたオペレーションはSunCryptとRagnarLockerであった。
     distributed denial of service (DDoS、分散型DoS攻撃)は、脅威のアクターが、サービスを不可能にするためにWebサイトが取り扱えない過剰なリクエストでWebサイトやネットワーク接続を機能不全に追い込むものである。
     企業が身代金要求型マルウェアの被害を受けた時、多くの犠牲者はバックアップからリストアし、攻撃者との接触を行わない。
     Avaddon身代金要求型マルウェアのギャングは、犠牲者がこのギャングと接触し交渉を開始するまで、犠牲者のサイトやネットワークを引きずり倒すために現在DDoS攻撃を使用している。
     「また、彼らのサイトは現在DDoS攻撃下にある、我々は、彼らが接触してくるまで攻撃する」と、Avaddonは彼らの身代金要求型マルウェアのデータリークサイトで述べている。

    Avaddonデータリークサイト(画像をクリックすると拡大表示されます)

     Avaddonに現在DDoS攻撃を実行されている犠牲者の方々に、貴方方は、このWebサイトを最早見ることはできない。

    DDoS攻撃を実行しているAvaddon(画像をクリックすると拡大表示されます)

     BleepingComputerとこの展開を共有しているEmsisoftの脅威のアナリストBrett Callowは、「脅威のアクターが、身代金要求型マルウェアとDDoS攻撃を組み合わせていることを見るのは全く驚くようなことではない。DDoSは安価で簡単であり、場合によっては、迅速な支払いが最も苦痛の少ないオプションであると、一部の企業に納得させる役に立つ可能性がある。犯罪者が企業に圧力をかければかけるほど、 支払わせる可能性がより高くなる」と、CallowはBleepingComputerへのメールで述べている。
     Mazeが二重脅迫戦略を導入したとき、他の身代金要求型マルウェアのギャングは、直ちにこの方法を採用した。脅威のアクターが、同じ様にDDoS攻撃を採用するか否かを判断することは時期尚早である。


    ハッカーは、Nitro PDFの7700万ユーザレコードを含む全データベースをリークした
    BleepingComputer : News>Security(2021/01/20)
     Nitro PDFサービスユーザの7700万レコードを超えるeMailアドレス、名前、パスワードを含むデータベースが、本日無料でリークされた。
     リークされた14GBのデータベースは、ユーザのeMailアドレス、フルネーム、bcryptでハッシュされたパスワード、職名、企業名、IPアドレス、他のシステム関連情報を含む77,159,696レコードで構成されている。
     このデータベースは、ユーザーが、このセキュリティ侵害で自分の情報が危険にさらされ、インターネット上に漏洩されたか否かを確認できるHave I been Pwnedサービスにも追加されている。
     Nitroは、PDFとデジタルドキュメントを作成、編集、署名の手助けをするアプリケーションであり、Nitro Softwareが、10,000を超えるビジネスカスタマー(事業者顧客)と、凡そ180万のライセンスユーザ(使用権が認められているユーザ)を持つと主張するアプリケーションである。
     Nitroはまた、顧客がドキュメント作成のプロセスで、関連する共同作業者やあらゆる他の組織とドキュメントを共有するために使用できるクラウドサービスも提供している。

    Nitro PDFユーザレコードの内容(画像をクリックすると拡大表示されます)

    Nitroのデータ漏洩

     BleepingComputerが昨年報道した巨大なNitro PDF情報漏洩は、Google, Apple, Microsoft, Chase, Citibankを含む多くの著名な組織に衝撃を与えた。
     Nitro Softwareは、2020/10/21にオーストラリア株式取引所へのアドバイザリにおいて"low impact security incident"(低位影響セキュリティ事案)であり、影響を受けた顧客データはないと述べていた。
     しかしながら、BleepingComputerが後で発見したことだが、7000万のNitro PDFユーザレコード情報を含むデータベースと見做されているものが、1TBのドキュメントと共にオークションにかけられ、初値は$80,000(8,286,400円)であった。
     BleepingComputerは、Nitroアカウントの既知のeMailアドレスがオークションにかけられたデータベース中に存在していることを確認した後、盗まれたデータベースが本物であると断定した。

    盗まれたユーザレコードは無料でリークされた

     現在、ShinyHuntersの一員であると主張する脅威のアクターは、ハッカーフォーラムに無料で全データベースをリークした(この脅威のアクターは、ダウンロードリンクへのアクセス料を$3に設定している)。
     ShinyHuntersは、オンラインサービスをハッキングし、情報漏洩ブローカーや個人での販売を介して盗んだ情報を販売することで知られる悪名高い脅威のアクターである。
     以前、ShinyHuntersは、Homechef, Wattpad, Minted, Tokopedia, Dave, Promo, Chatbooks, Mathway,その他多くを晒した背後に自分たちが存在していると発言していた。この情報は真実であることが証明されている。

    無料でリークされたNitro PDFデータベース(画像をクリックすると拡大表示されます)

     悪意ある攻撃者は、漏洩されたユーザーの詳細を使用して、より信頼性の高いフィッシング攻撃、あるいはクレデンシャルスタッフィング攻撃(【訳注】 別名パスワードリスト型攻撃と呼ばれ、ユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃(飛天ジャパンより))、を開始するので、影響を受けるNitro PDFユーザーは、パスワードを強力で一意のものに変更することを強く勧める。
     ユーザーは、パスワードを他の如何なるWebサイトやオンラインサービスでは使用していない一意で強力なものに変更する必要がある。
     パスワードマネージャーを使用することも推奨される。これは夫々のサイトで一意のパスワードを管理・生成する手助けとなる。


    VLCメディアプレイヤー 3.0.12: 複数のリモートコード実行のフローを修正
    BleepingComputer : News>Security(2021/01/20)
     先週、VideoLanは、多くの改善、機能、セキュリティフィックスを実行したWindows,Mac、Linux用のVLCメディアプレーヤー3.0.21をリリースした。
     このリリースは、Apple Siliconのネイティブサポートを改善し、macOSでのオーディオ音声歪を修正しているので、Macユーザにとっては重要なアップグレードである。
     バグの修正と改善に加えて、このリリースは、NSFOCUS Security TeamのZhen Zhouによってレポートされた多くのセキュリティ上の脆弱性を修正している。
     これらのバッファオーバーフローもしくは無効な間接参照の脆弱性は、「VLCのクラッシュか、ターゲットユーザの特権で任意のコード実行かのいずれかを実行することができた。」
     VideoLanのセキュリティブレチンによると、リモートユーザは、特別に細工されたメディアファイルを作成し、ユーザを欺いてVLCでそれを開かせることによって、この脆弱性を攻撃することができる。
     VideoLanは、この脆弱性が、VLCメディアプレーヤーをクラッシュさせるだろうと述べ、攻撃者は情報をリークしたり、リモードからそのデバイス上でコマンドを実行するために、この脆弱性を使用できると、彼らは警告している。

    成功した場合、悪意あるサードパーティは、VLCのクラッシュを引き起こすか、ターゲットユーザーの特権で任意のコードを実行する可能性があります。
    これらの問題自体が、このプレーヤーをクラッシュさせる可能性が最も高いのですが、ユーザー情報の漏洩とリモートコード実行を組み合わす可能性を排除することはできません。ASLRとDEPは、コード実行の可能性を減らすのに役立ちますが、バイパスされる可能性があります。

     VideoLanは、オンライン上でこれらの脆弱性が悪用した攻撃を確認していないと述べている。
     この脆弱性の緊急性とVLC 3.0.12の改善により、全てのユーザはバージョン3.0.21をダウンロードしインストールするよう強くアドバイスする。
     以下で、バージョン3.0.21の全てのチェンジログを読むことができる

    Access:
    * Add new RIST access module compliant with simple profile (VSF_TR-06-1)

    Access Output:
    * Add new RIST access output module compliant with simple profile (VSF_TR-06-1)

    Demux:
    * Fixed adaptive's handling of resolution settings
    * Improve Bluray tracks support
    * Improve WMV seeking and DASH support
    * Fix crashes in AVI, MKV modules

    Audio output:
    * Fix audio distortion on macOS during start of playback

    Video Output:
    * Direct3D11: Fix some potential crashes when using video filters

    macOS:
    * Add native support for Apple Silicon / ARM-64
    * Visual UI adaptations for macOS Big Sur
    * Fix displaying EQ bands in the UI depending on which frequency presets are set for the EQ in advanced preferences
    * Fix UI issues in bookmarks window

    Misc:
    * Several fixes in the web interface, including privacy and security improvements
    * Update YouTube and Vocaroo scripts
    * Fix rotation filter mouse handling
    * Update translations


    IObitフォーラムがハックされ身代金要求型マルウェアがメンバーに拡散している
    BleepingComputer : News>Security(2021/01/18)
     Windowsユーティリティ・デベロッパIObitが週末に渡ってハックされ、そのフォーラムのメンバーに奇妙なDeroHE身代金要求型マルウェアを配布する広汎な攻撃が実行されている。
     IObitは、Advanced SystemCareのようなWindowsシステムの最適化とアンチマルウェア プログラムで知られるソフトウェア・デベロッパである。
     週末に渡り、IObitフォーラムのメンバーは、フォーラムメンバーの特別な特典として、ソフトウェアの1年間の無料ライセンスを取得できると題されたIObitからと主張するeMailを受け取り始めた。

    IObit「販促」eMail(画像をクリックすると拡大表示されます)

     このeMailに含まれている'GET IT NOW'リンクは、hxxps://forums.iobit.com/promo.htmlにリダイレクトする。このページは最早存在していないが、攻撃の時点では、hxxps://forums.iobit.com/free-iobit-license-promo.zipファイルを配布していた。
     このzipファイル[VirusTotal]は、正規のIObit License Managerプログラムからのデジタル署名されたファイルを含んでいたが、下図に示したように、IObitUnlocker.dllは、未署名の悪意あるバージョンに置き換えられていた。

    悪意あるIObitUnlocker.dll(画像をクリックすると拡大表示されます)

    IObit License Manager.exeが実行されると、悪意あるIObitUnlocker.dllが実行され、C:\Program Files (x86)\IObit\iobit.dll[VirusTotal]にDeroHE身代金要求型マルウェアがインストールされ、実行される。
     殆どの実行ファイルは、IOBitの認証で署名され、このZipファイルがIObitのサイトにホストされていたので、ユーザは、これが正規の販促であると考えて、この身代金要求型マルウェアをインストールした
     IObitと他のフォーラム[1,2]のレポートに基づくと、これは、全てのフォーラムメンバーをターゲットにした広汎な攻撃である。

    DeroHE身代金要求型マルウェアの詳細な検証

     BleepingComputerは、この身代金要求型マルウェアが犠牲者のコンピュータで実行された時に何が発生するのかを説明するために、この身代金要求型マルウェアを解析した。
     最初に起動した時、この身代金要求型マルウェアは、Windowsにログインしたときに"rundll32 "C:\Program Files (x86)\IObit\iobit.dll",DllEntry"コマンドを実行する"IObit License Manager"と名付けられたWindows autorunを追加する。
     この身代金要求型マルウェアを解析したEmsisoftのアナリストElise van Dorpは、この身代金要求型マルウェアが、このDLLの実行を可能にするためにWindows Defenderの排除を追加すると述べている。

    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
    @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"

     ここで、この身代金要求型マルウェアは、"Please wait. It may take a little longer than expected. Keep your computer running or screen on!'と述べるIObit License Managerからとするメッセージボックスを表示する。この警告は、この身代金要求型マルウェアが終了する前に、犠牲者が彼らのデバイスをシャットダウンすることを妨げるために、このマルウェアが表示するものである。

    コンピュータをシャットダウンさせないためのインチキ警告

     犠牲者のファイルを暗号化すると、この身代金要求型マルウェアは、暗号化したファイルに .DeroHE拡張子を追加する。

    DeroHE身代金要求型マルウェアによって暗号化されたファイル(画像をクリックすると拡大表示されます)

     以下に示したように、暗号化されたファイルは夫々、情報文字列をファイルの末尾に追加されている。この身代金要求型マルウェアは、身代金が支払われた場合に、ファイルの復号にこの情報を使用する可能性がある。

    {"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqav
    VVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,
    "offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}

    暗号化されたファイルのバイナリ表示(画像をクリックすると拡大表示されます)

     Windowsデスクトップに、この身代金要求型マルウェアは、暗号化されたファイルのリストを含むFILES_ENCRYPTED.htmlと、脅迫文READ_TO_DECRYPT.htmlの二つのファイルを作成する。
     この脅迫文は、'Dero Homomorphic Encryption'というタイトルであり、DEROという暗号通貨を推奨している。この脅迫文は、犠牲者に対して復号プログラムを得るにはリストされているアドレスに200コイン(およそ100$)送信するように告げている。

    DeroHE身代金要求型マルウェアによって暗号化されたファイル(画像をクリックすると拡大表示されます)

     この脅迫文に含まれているのは、この身代金要求型マルウェアのTorサイトhttp://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onionである。これは支払いを実行するために使用される。
     特に興味を惹くのは、IObitがDEROで$100,000支払えば、全ての犠牲者を復号できると、このTorサイトで述べていることである。
     「このアドレスへ100000DEROコイン我々に送信するようにiobit.comに告げる。dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULt
    CRPxzRwRCKZ2j2ugCg26hRtLziwu」
     「支払いが到着次第、暗号化された全てのコンピュータは復号される。これは、貴方方のコンピュータが感染したのはIOBITの失敗によるものである」と、DeroHEのTor支払いサイトは述べている。

    Dero身代金要求型マルウェアのTor支払いサイト(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは弱点が解析されており、無料で復号できるか否かは不明である。
     更に、脅威のアクターが約束をまもり、支払いが実行された場合に復号プログラムを提供するか否かは不明である。

    Iobitフォーラムはセキュリティ侵害されたようである

     インチキの販促ページを作成し、悪意あるダウンロードをホストするために、攻撃者はIObitフォーラムをハックし、管理者アカウントへのアクセスを取得したと思われる。
     この時点で、このフォーラムは依然として改竄されたままのようである。恰も、削除されたページを訪問したような404エラーコードを戻してくる。このWebページはブラウザ通知に同意するためのダイアログを表示する。あなたのブラウザが同意すると、アダルトサイト、悪意あるソフトウェア、他の好ましからざるコンテンツを奨励するデスクトップ通知を受け取ることになる。

    セキュリティ侵害されたIObitフォーラムのページ(画像をクリックすると拡大表示されます)

     更に、このページの何処かをクリックすると、アダルトサイトの広告を表示する新しいタブが開く。他のサイト セクションも、フォーラムリンクをクリックすると、似たようなアダルトページにリダイレクトされるようにセキュリティ侵害されているようである。
     以下に示したように、全てのページに発見されていない悪意あるスクリプトを挿入することで、このフォーラムをセキュリティ侵害した。

    セキュリティ侵害されたIObitフォーラムのページ(画像をクリックすると拡大表示されます)

     BleepingComputerは、この攻撃に関連する質問をIObitに送ったが、回答は未だない。

    2021/1/19 アップデート: Ronnyとして知られるセキュリティ研究者は、IObitはフォーラムのソフトウェアとしてvBullentin 5.6.1を使用中であると、BleepingComputerに告げてきた。
     vBullentinのこのバージョンは、リモートアタッカーがこのフォーラムの制御を取得することが可能な既知の脆弱性を持っている。


    サイバー犯罪者は多要素認証をバイパスし、組織のクラウドサービスにアクセスしている
    Tripwire : The State of Security(2021/01/14)
     米国の国土安全保障省国家保護・プログラム総局(Cybersecurity and Infrastructure Security Agency、CISA)は、最近幾つかの攻撃の成功を受けて、企業が、彼らのクラウドベース アカウントをより適切に防御するための警告を発行した。
     公開されたCISAのアドバイザリによると、COVID-19(【訳注】 新型コロナウィルス感染症の病名)パンデミックの間に、多くの従業員が様々なラップトップや個人のデバイスでリモートワークを始めた時に攻撃数は増加している。
     CISAは、攻撃者達が、人間の弱点を攻撃するフィッシングや、企業のクラウドアカウントのセキュリティ設定への攻撃を企てるブルートフォース ログインを含む様々なテクニックを使用していたことに気づいた。
     このアドバイザリにおいて説明されている或る場合において、組織は、そのネットワークにアクセスする時にVPNの使用を要求しておらず、意図的にリモートワーカーがシステムにアクセスし易いように設計された緩い設定が、組織のネットワーク脆弱性を残したままにしていたために、誰もがブルートフォース ログイン攻撃を介してアクセスできた。
     他の攻撃では、悪意あるハッカーは、ユーザがログイン時に要求される正当なサイトにホストされている「安全なメッセージ」へのリンクであると主張するeMailフィッシング攻撃を介して、ユーザのクラウドサービスアカウント ログイン認証をフィッシングしていることが確認されている。
    「標的となる受信者が、彼らの認証情報を提供した後、脅威のアクターは、盗んだ認証情報を使用して、ユーザーのクラウドサービスアカウントへの最初のアクセスを取得している。」 「CISAは、海外の場所から発信された、この脅威のアクターのログインに気づいた(ただし、この脅威のアクターはプロキシ、または、オニオンルーター(Tor)を使用して彼らの位置を分かり難くしていた可能性がある)。 次に、この脅威のアクターは、ユーザーのアカウントからその組織の内部の別のアカウントにメールを送信している。幾つかの場合では、これらのeMailは、組織のファイル ホスティングサービスであるかのようなドキュメントへのリンクを含んでいた。」
     CISAの警告で最も興味を惹くことは、強く推奨されているセキュリティ基準である多要素認証をバイパスし、クラウドサービス アカウントをセキュリティ侵害した証拠が確認されていることである。

     先述のケースでは、悪意あるハッカーは他要素認証を回避するために“pass-the-cookie”攻撃を使用していたと確信していると、CISAは発言している。
    【訳注】“pass-the-cookie”について: 基本的に、Webアプリケーションの上にMFA(多要素認証)を配置すると、ログインしているユーザーは、モバイルデバイスでプッシュ通知を受け入れるなど、本人であるという追加の証拠を提供するように求められます。これらのテストをすべて通過すると、アプリへのアクセスが許可されます。その時点で、そのユーザーのセッション用にブラウザCookieが作成され、保存されます。
     誰かが適切なブラウザCookieを抽出できた場合、途中ですべてのMFAチェックポイントをバイパスして、別のシステムのまったく別のブラウザセッションで別のユーザーとして認証できます。(上記リンク先の一部分をGoogle翻訳)

     多要素認証はセキュリティを強固にし、犯罪者がアカウントに侵入することをより困難にする優れた方法であるが、成功への強い意欲があるハッカーにとってセキュリティ侵害を不可能にしていることを意味していない。このことを心に留めおくことは価値あることである。
     例えば、2018年3月、暗号通貨取引所Binanceは、緊急システムが2分間の異常な取引を確認した後、全ての引き出しを停止した。
     その後、このフィッシング攻撃は、Binanceを装うサイトにユーザを連れ込み、彼らのパスワードと多要素認証のコードを入力するように求めることが判明した。多要素認証コードは30秒間有効であったため、攻撃者は本物のサイト用の取引APIキーを生成し使用することができた。
     攻撃者がソーシャルエンジニアリングや技術的な攻撃を介して他要素認証を回避できることは明らかであるが、このことは、貴方方が他要素認証を使用しても仕方がないということを意味していない。Microsoftの言葉を借りれば、「多要素認証を使用すると、アカウントがセキュリティ侵害される可能性は、99.9%以上低くなる。」
     明らかに、ユーザは、攻撃者が作成したインチキのサイトに多要素認証のコードを入力しているのではなく、本物のサイトにのみ多要素認証のコードを入力しているという注意が必要である。
     攻撃者が、企業のクラウドベースのサービスへのアクセスを獲得すると、組織に関する情報の収集、データの盗用、他の従業員やパートナーのシステムを攻撃、今後のアクセスがブロックされるようにログイン認証が変更された場合でさえ、機密情報に継続してアクセスできるようにメール転送ルールを設定するなど、多くの奥の手を所有することができる。
     CISAは、そのWebサイトに、組織が彼らのクラウドセキュリティ慣行を強固にすることに役に立つ長大な勧告リストを公開した。このリストには、多要素認証の実施、eMail転送に関する制限、仕事に個人のデバイスを使用しないことの推奨、従業員へのセキュリティ意識向上のためのトレーニングが含まれている。


    Microsoft: 現在脆弱性攻撃されているDefenderの0-Dayをパッチ
    BleepingComputer : News>Security(2021/01/12)
     Microsoftは、Microsoft Defender中の0-Dayの脆弱性を解決した。ただ、このパッチをリリースする前に脅威のアクターによる攻撃は行われていた。
     0-Dayとは、そのベンダーが公式のパッチをリリースする前にオンライン上で積極的な脆弱性攻撃が行われている脆弱性、あるいは、公開されている概念の実証の脆弱性攻撃があるバグのことである。
     Microsoftが本日パッチした0-Dayは、CVE-2021-1647として追跡されている。この脆弱性は、Malware Protection Engineコンポーネント(mpengine.dll)中に発見されたリモートコード実行(RCE)の脆弱性である。

    利用できる概念の実証

       この0-Dayに関する概念の実証(PoC)の脆弱性攻撃は可能だが、脆弱性攻撃は、殆どのシステムで不可能であったり、幾つかのシチュエーションでは、このPoCは失敗する可能性があると、Microsoftは発言している。
     この脆弱性によって影響を受ける最新のMicrosoft Malware Protection Engineは、バージョン1.1.17600.5である。この0-Dayは、バージョン1.1.17700.4では解決されている。
     Microsoft Malware Protection Engineのバージョン番号を調べる方法の詳細に関しては、こちらを参照されたい。この脆弱性の影響を受けないシステムは、Microsoft Malware Protection Engineのバージョン1.1.17700.4以降を実行しているはずである。
     「お客様は、Microsoft Malware Protection Engineの最新バージョンと定義の更新が、Microsoftマルウェア対策製品用にアクティブにダウンロードおよびインストールされていることを確認する必要があります」と、Microsoftは発言している。

    Defenderのセキュリティアップデートは自動的にインストールされる

       このMicrosoftのアドバイザリは、脆弱性のあるMicrosoft Defenderのバージョンを実行しているシステムには、自動的にインストールされるので、顧客はCVE-2021-1647セキュリティアップデートをインストールするために、如何なるアクションも必要としないと追加している。
     「絶えず変化する脅威の状況に対応して、Microsoftは頻繁にマルウェア定義とMicrosoft Malware Protection Engineをアップデートしている」と、Microsoftは発言している。
     Microsoft Defenderは、Microsoft Malware Protection Engine(スキャン、検出、クリーニングに使用されるコンポーネント)とマルウェア定義の2つを、企業とエンドユーザの両方に対し自動的にアップデートし続けている。
     通常、Microsoft Malware Protection Engineアップデートは、一月に一度、もしくは、マルウェア定義が一日に3回アップデートされる間に、新たに発見された脅威に対して保護する必要がある時にリリースされる。
     Microsoft Defenderはエンジンと定義の更新を一日に数回チェックできるが、ユーザが、セキュリティアップデートを即時にインストールしたいのなら、あらゆる時に手動チェックすることもできる。
     Microsoftは、Microsoft PSExecユーティリティ中にある0-Dayの特権の昇格に関する脆弱性の公式パッチを未だリリースしていない。このバグは先週、0patchプラットフォームを介して無料のマイクロパッチを受け取っている。


    それはトランプのセックスビデオではない、RATである
    Threat Post : News(2021/01/06)
     退任するドナルド・トランプ大統領が引き続き見出しの大半を占めているため、サイバー犯罪者はマルウェアを配布するための疑似餌としてトランプのセックスビデオに着目した。
     Trustwaveの研究者の新しいレポートによると、このキャンペーンは、マルウェアダウンローダーにファイル名“TRUMP_SEX_SCANDAL_Video”とラベリングしていることが明らかにされた。これはeMail中の悪意あるリンクを介して拡散するものである。
     クリックすると、ユーザに猥褻なビデオをもたらすのではなく、犯罪者に、感染したシステムに総合的なリモートアクセスを提供するためのQRATをインストールする。

    QRAT

       Quaverse Remote Access Trojan (QRAT)は、2015年に発見されたJavaベースのリモートアクセス トロイ(RAT)でありQuaverseのプラグインによって強化されていると、Trustwaveは説明している。
     昨年の8月の始め、Trustwaveの研究者は、QRATを押し付けようとするフィッシングスカムが増加しているとレポートしていた。Trustwaveの研究者Diana Loperaによると、この最新のフィッシングの企てで興味深いのは、件名とファイル名が無関係なことだとしている。

    eMail(画像をクリックすると拡大表示されます)

     件名が“GOOD LOAN OFFER!!”になっているこのeMailは、一瞥して通常の出資スカムである。「このeMailの件名も本文もありきたりのものである。興味あることは、このeMailに添付されているアーカイブが“TRUMP_SEX_SCANDAL_VIDEO.jar”と名付けられたJava Archive(JAR)ファイルを含んでいることにある」と、Loperaは、この発見をレポート中で発言している。
     Loperaは、選挙を取り巻く最近の見出しが、悪意のある攻撃者が詐欺を行うために十分な隠れ蓑を提供したと付け加えている。
     「添付ファイルに使用されているファイル名は、メールのテーマとは全く無関係であるため、悪漢共は、最近終了した大統領選挙によって齎された狂乱に乗じようとしているのではないかと疑っている」と、Loperaは発言している。

    QRATの変種

     このQRATは、前身のマルウェアから幾つかの変種が発生しているため悪名高いものであると。Loperaは説明している。
     「この脅威は、我々が最初に調査して以来ここ数カ月間で顕著に拡大している」と、更に「 QNode RATでシステムに感染するという同じ最終目標を達成するために、JARファイルダウンローダーの特性と挙動は改良されている」とLoperaは発言している。
     このコードのバージョンは、base64で暗号化されている。このモジュールは、Allatori Obfuscator(【訳注】 第2世代の難読化ツールのファミリーに属するJava難読化ツール(Updatestarより))で隠されている。犠牲者のネットワーク情報は、ここで“hxxps://wtfismyip[.]com”から取得される。最後に、パスワード リカバリもまたChrome, Firefox, Thunderbird, Outlookでサポートされていると、このレポートは説明している。
     「このダウンローダーの悪意あるコードは、追加されたジャンクデータと共に番号付けされたファイルに分割されている」と、Loperaは記述している。
     最新の.JAR変種も詐欺用のMicrosoft ISCライセンスを含んでいる。これは、ユーザに、この.JARファイルがリモート侵入テスト(【訳注】 通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法の一つ(IT用語辞典より))のために実行されると告げるメッセージを提供していると、このレポートは発言している。
     “TRUMP_SEX_SCANDAL_VIDEO.jar”ファイルの実行時に、そのコピーが作成され次に、%temp%(【訳注】 C:\Windows\TEMP(システム)、C:\Users\ユーザー名\AppData\Local\Temp(ユーザ))フォルダから実行される」更に、「次に、侵入テスト用に使用されるリモートアクセスソフトウェアであるこの悪意あるJARファイルが実行される。このサンプルの悪意ある挙動は、‘Ok, I know what I am doing’ボタンをクリックすると現れ始める」と、Loperaは発言している。
     この変種と今までの既知の.JARファイルとのもう一つの相違は、コードの文字列が欠如していることである。
     彼女の観察では、「第三、この脅威に関連するファイルを以前同定した文字列“qnodejs”は、この変種中には存在していない。」
     この.JARファイルの早期のバージョンは、C2サーバ(コマンドアンドコントロール サーバ)とコミュニケーションするために必須のQHubサブスクリプションに関する情報を含んでいたと、このレポートは発言している。
     「我々が早期の変種中に観察したQHubサブスクリプション ユーザに関する情報は、このJARファイルには最早含まれていない」と、Loperaは発言している。

    「アマチュア」の試み

     この最新のQRAT変種からシステムを保護するために、Loperaは、電子メール管理者がセキュリティ ゲートウェイで.JARファイルをブロックすることを推奨している。
     「添付ファイルのペイロードは、今までの変種に比べ幾つかの改悪が見られるが、このeMailキャンペーン自体は、むしろアマチュアっぽいものであり、もしも、このeMailがより洗練されたものであったなら、この脅威が成功裏に拡散するチャンスは高いと確信している」と、「悪意あるJARファイルからのスパムは、非常に一般的なものであり、このようなRATにしばしばつながっている」と、Loperaは記述している。


    クロスプラットフォームのElectroRATマルウェアは暗号通貨のウォレットを空にする
    BleepingComputer : News>Security(2021/01/05)
     セキュリティ研究者は、数千人のWindows, Linux, macOSユーザの暗号通貨ウォレットを空にするために使用されている新しいリモートアクセス トロイ(RAT)を発見した。
     12月に発見されElectroRATと名付けられたこのクロスプラットフォームRATマルウェアは、Go言語で書かれており、2020年初頭以来、暗号通貨ユーザをターゲットにした作戦の一部として使用されている。

    一年に数千人が感染している

       ElectroRAT作戦の背後にいる攻撃者は、このRATを作成し、カスタムElectron(【訳注】 旧称: Atom-Shell。Atomエディタを開発するために生まれたクロスプラットフォームデスクトップアプリケーションエンジン(Qiitaより))アプリケーション中に挿入した。このRATは、暗号通貨取引管理ツール(JammやeTrade)のように表示及び動作する、また、暗号通貨ポーカーアプリケーション(DaoPoker)のように動作するものもある。
     犠牲者のコンピュータ上で起動すると、これらのアプリケーションは、悪意あるElectroRATバックグラウンドプロセスから、犠牲者の注意をそらすために設計されたユーザインターフェイスを前面に表示する。

    (画像をクリックすると拡大表示されます)

     今週はじめBleepingComputerとシェアしたIntezerのレポートによると、潜在的な犠牲者を誘惑するために、この脅威のアクターはソーシャルメディア(Twitter、Telegram)や専用のオンラインフォーラム(bitcointalk、SteemCoinPan)でトロイの木馬化したアプリケーションを宣伝している。
     この悪意あるアプリケーションは、2020年1月から12月の間に数千の犠牲者によってダウンロードされ、コマンドアンドコントロールサーバ(C2)アドレスを取得するために、このマルウェアによって使用されたPatebin(【訳注】 ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション(Wikipediaより))ページの一つでのアクセス回数は、年間におよそ6500回になっている。
     「このトロイ化されたアプリケーションとElectroRATバイナリは、記述の時点で、VirusTotalでは、検出率は低いか、完全に未検出かのいずれかである」とIntezerは発言している。
     感染すると、このマルウェアのオペレータによって、犠牲者のウォレットは空にされる。一部の犠牲者は、この危険なアプリケーションを他の人に警告している。

    (画像をクリックすると拡大表示されます)

    既製品からカスタムマルウェアに

     ElectroRAT C2情報をアップロードした同じユーザによって公開されたC2 Pastebinページは、この攻撃者が既成のAmedeyKPOT情報を盗むトロイも利用していることも示している。
     どちらのスティーラーもWindowsプラットフォームのみを標的にしており、感染後も殆ど検出されないようにしている著名なトロイである。
     この新しいGo言語ベースで未検出のElectronRATマルウェアは、同様の能力を持ち複数のプラットフォームををターゲットにすることが可能なので、ステルス作戦には大変効果的である。  ElectroRATは、Windows, Linux, macOSの亜種に共通する多くの機能を詰め合わせている(「キーロガー、スクリーンショットの取得、ディスクのファイルのアップロード、ファイルのダウンロード、犠牲者のコンソール上でコマンドを実行することを含む」)ので大変侵略的なマルウェアである。
     「スクラッチから書かれたRATを見ることは、そして、暗号通貨ユーザの個人情報を盗むために使用されたのは大変珍しい」とIntezerは結論している。
     「偽のアプリケーションやWebサイトのような様々なコンポーネントを含み、関連するフォーラムとソーシャルメディアを介してマーケティング/宣伝を行うこのような広汎な標的型キャンペーンを見るのは大変稀である。」

    (画像をクリックすると拡大表示されます)

    あなたのコンピュータ上でトロイ化されたJamm, eTrade, DaoPokerアプリケーションをダウンロードし起動したのであれば、即座にこれらのプロセスを終了させ(Kill)し、システムから全ての関連するファイルを完全に削除しなさい。
    あなたの暗号通貨ウォレットが未だ空っぽになっていないのであれば、即座に全ての財産を新しいウォレットに移動させ、可能な限り早く全てのパスワードを変更しなさい。
     Intezerはまた、インメモリアーティファクトであらゆるElectornRATの検出を支援するYARAルール(【訳注】 マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(SIOSセキュリティブログより))も提供している。
     12月、Intezerはまた、自己拡散能力を持つGo言語ベースの別のマルウェアを発見している。このマルウェアは、WindowsとLinuxサーバでXMRig暗号通貨採掘者(マイナー)を配備するために使用されている。


    注意: PayPalフィッシング テキストは、あなたのアカウントは'limited'(制限されている)と述べている
    BleepingComputer : News>Security(2020/12/31)
     PayPalテキストメッセージ フィッシングキャンペーンが進行中であり、あなたのアカウント認証や、なりすまし犯罪に使用することのできる他の重要な情報を盗もうとしている。
     Paypalが、疑わしい、もしくは、不正な行動をアカウント上で検出したとき、そのアカウントのステータスは、一時的に金銭の引き出し、送金、受取が制限される'limited'に設定されていた。
     新しいSMSテキストフィッシング(Smishing、【訳注】 スミッシングとはSMSを用いたフィッシング詐欺(Wikipediaより))キャンペーンは、PayPalからであると装っており、リンクをクリックしてアカウントを確認した場合を除き、あなたのアカウントは永久に制限されると述べている。
     "PayPal: We've permanently limited your account, please click link below to verify,"(PayPal: 我々は永久的にあなたのアカウントを制限した。確認するには、以下のリンクをクリックしなさい)と、スミッシング テキストは表示している。
     以下に示したように、囲みの中にあるリンクをクリックすると、フィッシングページに飛ばされアカウントにログインするよう促される。

    PayPalスミッシング テキストと飛ばされるページ(画像をクリックすると拡大表示されます)

     フィッシングページにログインすると、入力されたPayPal認証は脅威のアクターに送信される。このフィッシングページは、更に次のステップに進み、あなたの名前、誕生日、住所、口座情報などを含む詳細を収集しようとする。

    犠牲者から個人情報を収集(画像をクリックすると拡大表示されます)

     収集された情報は、あなたの他の口座へのアクセスを獲得したり、標的型スピアフィッシング攻撃を実行するための、なりすまし攻撃を実行するために使用される。
     昨日、私の知り合いの二人が、このようなフィッシングテキストを受け取った。これは大変活動的なキャンペーンなので、誰もがこれらのメッセージに注意する必要がある。
     スミッシング詐欺は、人気あるものとして増加中なので、リンクを含むあらゆるテキストメッセージを疑わしいものとして処理することは常に重要である。全てのフィッシングeMail同様に、疑わしいリンクをクリックするのではなく、必ず、そのメインサイトのドメインを訪問し、あなたのアカウントに問題があるか否か確認しなさい。

    このリンクに情報を入力した場合、何をすべきか

     このテキストメッセージを受取、誤ってPayPalアカウントにログインしたり、他の情報を提供した場合は、直ちにPaypal.comに行きパスワードを変更しなさい。
     他のサイトでも同じパスワードを使用している場合には、そこも同様にパスワードを変更しなさい。
     最後に、提出したデータを使用した別の標的型スピアフィッシングに注意しなさい。BleepingComputerは、クレジットレポートを監視し、不正な口座があなたの名前で作成されていないことを確認するように提案する。
     なりすまし詐欺を防ぐには、クレジットレポートを一時的に凍結して、銀行や他の会社があなたの名前でクレジットを発行するのを防ぐこともできる。


    SolarWindsハッカーは、Microsoftのソースコードにアクセスしていた
    BleepingComputer : News>Security(2020/12/31)
     SolarWinds攻撃の背後にいる脅威のアクターは、Microsoft製品のソースコードを閲覧できる内部Microsofstアカウントをセキュリティ侵害していた可能性がある。
     今月始め、Microsoftは、彼らの環境中でSolarWinds Orionプラットフォーム サプライチェーン攻撃の間にダウンロードされた悪意ある実行可能ファイルを検出したことを確認した

    SolarWindsサプライチェーン サイバー攻撃(画像をクリックすると拡大表示されます)

     本日公開されたブログへの投稿で、Microsoftは、プロダクションサービスや顧客データが漏洩していた(偽造されたSAMLトークン(【訳注】 Security Assertion Markup Language)はService ProviderとIdentity Provider の 2 つの企業間の行われる認証と許可のための XML ベースのフレームワーク(Auth0より))が彼らのドメインに対して使用されていた、あるいは、彼らのシステムが顧客を攻撃するために使用されていた)という証拠は発見されなかったと述べていた。
     しかしながら、Microsoftの調査は、この攻撃が内部Microsoftアカウントをセキュリティ侵害でき,  そのアカウントでMicrosoftのソフトウェアのソースコードを閲覧するために使用できる可能性を発見した。しかし、この攻撃者は、あらゆるソースコードやエンジニアリングシステムを改竄するために要求されるパーミッションを所有していない。
     「我々は、少数の内部アカウントで尋常でない行動を検出した、検証したところ、あるアカウントが、幾つかのソースコード リポジトリ中のソースコードを閲覧するために使用されていたことを発見した。このアカウントは、いかなるコードもエンジニアリングシステムも改竄するためのパーミッションを所有していなかった。我々のさらなる調査は、いかなる変更も実行されていないことを確認した。これらのアカウントは調査され、正しく設定された」と、Microsoftはブログポストで述べている
     Microsoftは更に、セキュリティ上からの難読化は実行しないと、ソースコードの閲覧をセキュリティリスクと考えていないと述べている。


    Adobeは、Windows 10でFlash Playerをアンインストールするように警告を開始
    BleepingComputer : News>Security(2020/12/30)
     Flash Playerは明日(12/31)公式に終焉を迎える。Adobeは、ユーザがFlash PlayerをアンインストールするようWindowsコンピュータで警告を表示することを開始した。
     Flash Playerがインストールされるとき、以下のコマンドを実行する'Adobe Flash Player PPAPI Notifier'と名付けられたスケジュールタスクが作成される。
    "C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe" -update pepperplugin

     このコマンドが実行されると、このコマンドは、Adobe Flash Playerへの謝辞を述べ、次に、終焉が迫っているのでこのプログラムをアンインストールするように推奨する警告を現在表示している。

    Windows10に表示されたAdobe Flash Playerの警告(画像をクリックすると拡大表示されます)

     あなたがコンピュータ上で積極的にFlashコンテンツを使用している場合を除き、Flash Playerを、動作しなくなるまで待つのではなく、直ちに削除するように強く推奨する。
     Flash Playerは常時セキュリティリスクがあったが、Adobeが2017年にAdobe Flashの終焉をアナウンスして以来、殆どのサイトと内部アプリケーションはAdobe Flashから立ち去っている。

    Flash Playerの設定によって制御されているAdobe Alert

     今年Adobeは、アンインストール推奨アラートを表示しないようにすることを可能にする'EOLUninstallDisable'と呼ばれる新しいFlash Player設定オプションを導入した
    "EOLUninstallDisable = [ 0, 1] (0 = false, 1 = true)

    EOLUninstallDisableのDefault値は 0 である。これはアンインストール推奨アラートを表示する。この値を 1 に設定すると、Flash Playerのアンインストールを求めるAdobeのおせっかいなプロンプトは表示されなくなる。
    Adobe Flash Playerは明日(12/31)終焉を迎える。Flashコンテンツは、この設定の如何を問わず2021年01月12日に動作しなくなる。
    今まで述べてきたように、マシン上でFlashコンテンツを使用しないのであれば、避けられないことをわざわざ遅らせる必要はない、直ちにFlash PLayerをアンインストールしなさい。

    【訳者補足】Flash Player と Shockwave Player のアンインストール方法に関してはこちら


    SolarWinds: 新しいSUPERNOVAマルウェアに関するアドバイザリをアップデート
    BleepingComputer : News>Security(2020/12/26)
     SolarWindsは、この企業のネットワーク マネージメント プラットフォームを介して拡散する更に追加されたSuperNovaマルウェアに関するアドバイザリのアップデート版をリリースした。
     今月始め、SolarWindsは、脅威のアクターが、正当なSolarWinds Orion SolarWinds.Orion.Core.BusinessLayer.dll DLLファイルを、悪意あるSUNBURSTバックドアを含むように改竄したサイバー攻撃で被害を受けたことを明らかにした。次に、このファイルは、サプライチェーン攻撃中で自動アップデート機能を介してSolarWindsの顧客に拡散した。
     SolarWindsセキュリティ侵害を解析した後、Palo Alto Unit 42Microsoftは、App_Web_logoimagehandler.ashx.b6031896.dllDLLファイルを使用して拡散するSuperNovaと名付けられた更に追加されたマルウェアをレポートした。このマルウェアは、ハッカーが、このマルウェアによってコンパイルされたC#コードを遠隔から送信し、犠牲者のマシン上で実行することを可能にする。

    実行ファイルにコンパイルされたSuperNovaコード(画像をクリックすると拡大表示されます)

    MicrosoftとPalo Alto Unit 42は、この更に追加されたマルウェアは、最初のSolarWindsサプライチェーン攻撃の一部であったSUNBURSTトロイを拡散させたグループとの関係性はないと確信している。

    SolarWindsはアップデート版のアドバイザリをリリースした

     火曜日、SolarWindsは、SUPERNOVAマルウェアに関する情報と、SolarWinds Orionネットワーク マネージメント プラットフォームがこれを拡散した方法に関する情報を含むアップデートされたアドバイザリをリリースした。
     「SUPERNOVAマルウェアは、2つのコンポーネントで構成されていた。一つは悪意あるもので、SolarWinds Orion Platform上で使用できるように特別に記述された未署名のWebシェル .dll(“app_web_logoimagehandler.ashx.b6031896.dll”)であった。2つめは、悪意あるコードの拡散を可能にするためにOrion Platform中の脆弱性を悪用するものである。Orion Platform中のこの脆弱性は、最新のアップデートで修正された」と、SolarWindsのアップデート版アドバイザリは説明している。
     SolarWindsは、SUNBURST脆弱性だけでなくSUPERNOVAマルウェアからも防御するために、全てのOrion Platformの顧客に対し最新のバージョンへのアップグレードを勧告している。
     このアップデートは現在、以下のバージョンとパッチを含むOrion Platform用に提供されている。
      ・ 2019.4 HF 6 (2020/12/14にリリース)
      ・ 2020.2.1 HF 2 (2020/12/15にリリース)
      ・ 2019.2 SUPERNOVA Patch (2020/12/23にリリース)
      ・ 2018.4 SUPERNOVA Patch (2020/12/23にリリース)
      ・ 2018.2 SUPERNOVA Patch (2020/12/23にリリース)
     既に2020.2.1 HF 2や2019.4 HF 6バージョンにアップグレードしている顧客は、SUNBURSTとSUPERNOVA脆弱性は解決されているので、更なるアクションは要求されない。


    コーエイテクモ(Koei Tecmo)は、ハッカーが盗み出したデータをリークした後に、データ漏洩を公開した
    BleepingComputer : News>Security(2020/12/26)
     日本のゲーム開発会社コーエイテクモは、盗まれたデータがハッカーフォーラムに投稿された後に、データの漏洩を公開し、ヨーロッパとアメリカのWebサイトをオフラインにした。
     コーエイテクモは、仁王2、ゼルダ無双・厄災の目次録、ライザのアトリエ、Dead or Aliveなどを含む人気あるPCとコンソール ゲームで知られている。
     12月20日、脅威のアクターは、従業員に送信したスピアフィッシングを介して、12月18日にkoeitecmoeurope.com Webサイトをハッキングしたと主張した。この攻撃の一部として、65,000のユーザがいるフォーラムデータベースを盗み、アクセスを継続させるためにこのサイト上にWebシェル(【訳注】Web経由でのコマンド実行を可能にするバックドアの一種(トレンドマイクロ・セキュリティプログより) )を植え付けたと、この攻撃者は主張している。
    「私が発見したこのシェルにはFTP証明書が存在している、そして、このシェル並びに、彼らが所有するTwitterアカウント用の複数のTwitterシークレットを購入するのであれば、これらを喜んで共有するだろう」と、この脅威のアクターは、セールストークの中で述べている。
     ハッカーフォーラムでの投稿で、この脅威のアクターは、フォーラムデータを0.05Bitcoin(約1,300$)、Webシェルアクセスを0.25Bitcoin(約6,500$)で販売しようとしていた。
     12月23日、同じ脅威のアクターは、同じハッカーフォーラムにおいてデータベースを無料でリークした。

    無料でリークされたコーエイテクモのデータベース(画像をクリックすると拡大表示されます)

     BleepingComputerが確認したこのデータベースのサンプルは、フォーラムメンバーのeMailアドレス、IPアドレス、ハッシュされたパスワードとソルト、ユーザ名、誕生日、国名を含んでいる。

    コーエイテクモはWebサイトをオフラインにした

     データがリークの通報を受けた後、コーエイテクモはアメリカ(https://www.koeitecmoamerica.com/)とヨーロッパ(koeitecmoeurope.com)のWebサイトをオフラインにし、以下のメッセージを表示している。
     
    当Webサイトへの外部攻撃の可能性に伴い、この問題を調査している間、当該Webサイトを一時的に閉鎖いたします。

    オフラインになったコーエイテクモ アメリカのWebサイト(画像をクリックすると拡大表示されます)

     攻撃を認識して以来、コーエイテクモは、英国子会社(以下、KTE)Webサイト上のフォーラムがセキュリティ侵害され、盗まれたデータがオンライン上にリークされたとするデータ漏洩アドバイザリをリリースした。
     「KTEの運営するホームページ中のコンテンツである「Forum」に登録されたユーザー情報、約65,000 件が流出している可能性があると判断しております。詳細には、ユーザー情報のうち、「任意のアカウント名」と、「パスワード(暗号化された状態)」、「メールアドレス」が、ハッキングにより流出した可能性があると認識しております」とコーエイテクモはデータ漏洩アドバイザリ(英国子会社における情報流出に関するお知らせ(第2報))で表明している。
     コーエイテクモは、影響を受けたのはフォーラムだけであり、このサイトの他の部分は影響を受けていないと述べている。コーエイテクモはまた、金融情報はこのデータベース中に格納されていないとも発言している。
     このゲーム企業は、「身代金要求型マルウェアの可能性は低い」と判断しており、当社並びにKTEへの要求行為、脅迫行為などは確認できていないとしている。
     このゲーム企業は、「身代金要求型マルウェアの可能性は低い」と判断しており、当社並びにKTEへの要求行為、脅迫行為などは確認できていないとしている。
     コーエーテクモは、十分な注意を払い、この攻撃の調査中に英国子会社KTEを内部ネットワークから切り離した。
     コーエーテクモは、今年サイバー攻撃を受けた最初のゲーム開発者ではない。
     今年の初め、CrytekとUbisoftはEgregorランサムウェアに見舞われCapcomは、RagnarLockerランサムウェア攻撃を受けて1TBのデータが盗まれている。


    不完全な修正であったためWindows 0-Dayは依然として残っている
    ThreatPost: Security News(2020/12/24)
     Microsoftの不適切なパッチのために、デスクトップを完全に乗っ取ることのできる深刻度-重要に分類されるWindowsの0-Dayの危険性は、依然として残っている。
     Windows 8.1とWindows 10(CVE-2020-0986)中のローカル特権昇格のバグはPrint Spooler API中に存在している。6月に発行されたMicrosoftのアドバイザリによると、この問題は、ローカル(【訳者補注】権限でログオンした)攻撃者が特権を昇格し、現在のユーザ コンテキストでコードを実行することを可能にするものである。攻撃者は最初にシステムにログオンする必要があり、次に、影響を受けたシステムの制御を取得するために特別に細工されたアプリケーションを実行することができる。
     「Windows カーネルがメモリ内のオブジェクトの適切な処理に失敗した場合に発生する」と「攻撃者によりこの脆弱性が悪用された場合、カーネル モードで任意のコードが実行される可能性がある。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性がある」と、Microsoftは発言している。
     このバグは、CVSS脆弱性深刻度分類で8.3(最大値10)と評価されている。
     より技術的な観点からは、「この特定のフローは、ユーザモード プリンタドライバー ホストプロセスsplwow64.exe中に存在している」と、「この問題は、ユーザーが指定した値をポインターとして逆参照する前に、それが適切に検証されていないことが原因である」と、昨年12月にMicrosoftにバグを報告したTrend MicroのZero Day Initiative (ZDI)のアドバイザリは述べている。
     この問題は、6ヶ月間未パッチのままであった。その間にも、Kasperskyは、5月にオンライン上でこの脆弱性がInternet Explorer中のリモートコード実行の0-Dayのバグを使用したエクスプロイト チェーンの一部として韓国の企業に対して悪用されていたことを観察している。Operation Powerfallと呼ばれるこの作戦は、Darkhotelとして知られるadvanced persistent threat (APT、持続的標的型攻撃)として開始されたと思われていた。
     Microsoftの6月のアップデートは、「Windows カーネルがメモリ内のオブジェクトを処理する方法を修正することによって、この脆弱性を解決する」とするパッチを含んでいた。しかしながら、Google Project Zeroの研究者Maddie Stoneは、この修正は不完全であったことを現在公開している(この問題の警告後、90日の猶予期間中に再パッチが失敗したので)。
     「Microsoftは6月にパッチをリリースしたが、このパッチは、この脆弱性を修正していない」と、「9月(90日の猶予期間内)に、酷い修正であることをレポートしたが、この問題は依然として修正されていない」と、水曜日に彼女はツイートしている。
     更に、「この問題の源は、攻撃者が、memcpy関数(【訳注】 指定バイト数分のメモリをコピーする関数)へのsrc(コピー元のメモリブロックのポインタ)とdest(コピー先のメモリブロックのポインタ)のポインタを制御することを可能にする任意のポインタ逆参照であった。この’修正’は、単純にこのポインターにオフセットを付けるように変更しただけだったので、memcpy関数の引数を制御することは依然として可能である」と、彼女は追加している。
     Microsoftは新しいCVE(CVE-2020-17008)を発行した。そして、研究者達は1月のパッチに期待している。その一方で、Project Zeroは、この問題に関する概念の実証コード(proof-of-concept code)を公開した。


    NetGalley(ネットギャリー)は、Webサイトがハッキングされデータが漏洩したことを発表した
    BleepingComputer : News>Security(2020/12/24)
     NetGalley書籍宣伝サイトは、脅威のアクターがメンバーの情報の存在するデータベースにアクセす可能なデータ漏洩を被っていた。
     NetGalleyは、著者と出版社が彼らの書籍(ゲラ)の電子批評コピーを書籍の支持者、影響力のある読者、業界の専門家にプロモートし、読者にその書籍を推奨することを期待するWebサイトである。
     12月21日(月)、NetGalleyのWebサイトは、ハッキングされ汚損された。さらなる調査の後、脅威のアクターが、メンバーのデータを含むこのサイトのデータベースのバックアップにアクセスしていたことも判明した。
     「我々は、12月21日(月)、NetGalleyがデータセキュリティ重大事案の犠牲者になったことを皆様に通知することを大変残念に思う。当初、我々のホームページは単純な汚損であると思われたが、更なる調査で、NetGalleyデータベースのバックアップファイルへの非認証・非合法アクセスと結論付けられた」と、NetGalleyはデータ漏洩アドバイザリで公開した。
     このバックアップデータベースは、NetGalleyメンバーの個人情報(ログイン名、パスワード、名前、eMailアドレス)を含んでいる。このデータベースに存在している可能性のある他のオプショナル情報には、ユーザのメールアドレス、誕生日、企業名、Kindle eMailアドレスが含まれる。
     NetGalleyは、このデータベース中には金融情報は存在していないと述べている。データ漏洩の対応において、NetGalleyは、全てのユーザに、次回ログインしたときにパスワードを変更するよう要求している。
     BleepingComputerは、NetGalleyにパスワードがデータベース中でハッシュされていたか否か問い合わせたが、回答はなかった。

    NetGAlleyユーザが実行すべきこと

     NetGalleyのメンバーであるのなら、直ぐにサイトにログインしパスワードを変更しなさい。  他のサイトでもNetGalleyのパスワードを使い回しているのであれば、そのパスワードをそのサイト用の一意で強力なパスワードに変更しなさい。  全てのサイトで一意のパスワードを使用することは、あるサイトでデータ漏洩があっても、あなたが使用している他のサイトが影響を受けることを妨げることになる。
     全てのサイトでの一意で堅牢なパスワードを記録する手助けとして、パスワードマネージャを使用することを推奨する。


    SolarWindsハッカーは、米国財務省当局者のeMailアカウントを晒した
    BleepingComputer : News>Security(2020/12/22)
     米国上院議員Ron Wydenは、多くの米国財務省eMailアカウントがSolarWindsハックの背後にいる脅威のアクターによって晒されたと発言した。
     この声明は、米国財務省並びに米国内国歳入庁(IRS)がSolarWindsサプライチェーン攻撃に関して委員会のスタッフにブリーフィングした後に発表された。
     IRS自体や納税者のデータが、現在進行しているハッキングキャンペーンの一部としてセキュリティ侵害されたという証拠は存在していないが、この上院議員は「財務省へのハッキングは重大であるように思われる」と発言している。

    多くのの財務省eMailアカウントが晒された

     「財務省のスタッフによると、財務省は7月以降、深刻なセキュリティ侵害に見舞われたが、その詳細は不明である」と「Microsoftは、多数のeMailアカウントが漏洩したと財務省に通知した」と、上院財政委員会のメンバーであるWydenは発言している。
     この上院議員はまた、SolarWindsのハッカーが、米国財務省の部門別オフィース(「その省の最高位にランクされる」部門)のシステムもセキュリティ侵害していたと追加している。
     「財務省は依然として、ハッカーが実行したアクションのすべてを、厳密には、どのような情報が盗まれたのかを認識していない」とWydenは付け加えている。

    (画像をクリックするとRon WydenのTwitterにジャンプします)

    財務省秘書官Steven Mnuchinもまた、財務省がハッキングされたことに関して質問されたとき、機密システムがセキュリティ侵害された証拠は未だ発見されていないと、CNBC(【訳注】 ニュース通信社ダウ・ジョーンズとアメリカの大手テレビネットワークのひとつNBCが共同設立したニュース専門放送局(Wikipediaより))に告げていた。  「幸いなことにダメージはなく、多大な情報が移動されたことも確認されなかったと告げるだろう」と、Mnuchinは発言していた。
     
    最後に、数年に渡り、政府関係者が暗号バックドアを主張し、暗号化キーはハッカーにとって魅力的なターゲットであると発言したサイバーセキュリティのエキスパートの警告を無視し続けた後、連邦政府は現在、練達のハッカーに連邦政府サーバから暗号化キーを盗まれたと思われるセキュリティ侵害を被った 。 上院議員Ron Wyden

    SolarWindsの犠牲者の数は徐々に増えている

     SolarWindsサプライチェーンセキュリティ侵害が発見された後、FireEye, Microsoft, VMwareを含む複数の組織は、ハッカーによって侵害されたことを公開した。
     Microsoftは、40を超える彼らの顧客のネットワークが、現在進行中のこの一連の攻撃で侵害されたことを発見している。その80%は米国であり、44%はIT部門である。
     しかし、FireEyeだけは、この攻撃の第二段階のターゲットにされ、この攻撃(UNC2452としてFireEyeに、Dark HaloとしてVolexityに追跡されている)を指揮している脅威のアクターによってシステムから情報を盗まれた。
     フォーレンシック(【訳注】 セキュリティ事故発生時に原因究明などのためにコンピュータに残された証拠を調査すること(NRI Secureより))エビデンスの調査に従い、新しい情報が明らかになるたびに、SolarWindsハックで攻撃された組織の既知のリストは、徐々に増加している。
     現時点で、ネットワークが侵害されたことを確認した米国の州および政府機関は以下を含んでいる。

     セキュリティ研究者とサイバーセキュリティは、このマルウェアのドメイン生成アルゴリズムをクラックした後、週末に渡って幾つかのSolarWinds犠牲者リストを共有した。


    ハッカーは、27万Ledger暗号通貨Walletユーザから盗んだeMailとメールアドレスを公開した
    Threatpost : News(2020/12/22)
      ・ Ladgerハードウェアウォレットの詳細は、スカマーにとって絶好の機会を提供する。
      ・ スカムは、身代金が支払われない場合には、顧客のhomeにセキュリティ侵害する脅威を含んでいる。
     Ladger仮想通貨ハードウェアウォレットの27万を超える顧客の電話番号、eMail、郵便宛先は、ハッキングフォーラムから無料でダウンロード可能になっていた。
     Ladgerニュースレターを購読している100万を超える人々のeMailアドレスが付属しているこの情報は、元々は2020年6月に、この企業がセキュリティ侵害されたことにより犯罪者の手に落ちたと信じられている。
     当初は、犯罪者によって人気のある地下ハッキングフォーラムで販売されていたが、現在、このデータは無料で利用可能である。
     そして必然的に、多くの悪意あるパーティーが、不注意な人々を欺き、Ladger顧客から脅し取ることを企てるために、この情報を悪用しようとする可能性があることを意味している。
     このような攻撃は、既に定期的に発生している。
     例えば、今月始め、Bleeping Computerは、Ledgerの顧客がLedger Liveソフトウェアの新しいバージョンをインストールし、彼らのPINをリセットする必要があるとする漏洩情報eMailを受け取っているとレポートしている。
     しかし、見た目と違い、このeMailは実際にLedgerから来たものではなく、疑うことを知らないユーザをウォレットユーザのリカバリフレーズとシークレットパスフレーズ(セキュリティ レイヤーを有効にしている場合には)を盗むためのWindows用のLedger Liveのインチキ バージョンに差し向けるためにサイバー犯罪者によって送信されたものである。
     このような情報で、攻撃者は、ユーザの暗号通貨ファンドへの完全なアクセスを取得することができる。
     本日、Ledgerは、この企業のサーバーから漏洩した情報を使用して受信者のhomeに侵入しない条件として、攻撃者が身代金500$を要求していることを確認したとする他のスカムに関する警告を顧客に行った

    (画像をクリックすると拡大表示されます)

       記述している時点で、Ledgerは、ここ2ヶ月で171のフィッシングサイトをシャットダウンしたと発言している。Ledger顧客ベースに関連するデータが自由に利用可能になっていることから、ユーザをターゲットにしているフィッシングサイトの数は増えるばかりである。
     Ledgerは、この企業を装うインチキの通信を受け取ったユーザは、それを彼らにレポートするように依頼している。
     Ledgerは、ユーザのデバイスを決して非アクティブにすることはない(疑いを持たないユーザーに不適切な決定を下すように欺くような脅威を実行するフィッシング攻撃は珍しいものではない)と、この企業が、テキストメッセージや電話で顧客に接触することは決してないと強調している。
     しかし、おそらく最も重要なことは、ユーザーはリカバリフレーズの24語を「いかなる状況でも誰とでも」共有してはならないとLedgerが述べていることである。 シークレットリカバリフレーズは、Ledgerのデバイス自体でのみ入力する必要がある。さもなければ、あなたが保持している暗号通貨は、あなたの指をすり抜ける可能性がある。


    500万WordPressサイトが、攻撃にオープンになっているContact Form 7プラグインを実行している
    Threatpost : News(2020/12/18)
     Contact Form 7と呼ばれる人気のあるWordPressのプラグインのパッチが火曜日にリリースされた。このパッチは、認証されていない敵が、このプラグインを実行しているWebサイトを乗っ取る、もしくは、そのサイトをホストしているサーバ全体をハイジャックすることを可能にする緊急のバグを修正している。このパッチは、Contact Form 7プラグインのアップデート バージョン5.3.2の形式で出現している。
     このWordPressユーティリティは、500万Webサイトでアクティブであり、それらのサイトの大部分(70%)は、バージョン5.3.1及び、それ以前のContact Form7プラグインを実行している。
     この緊急の脆弱性(CVE-2020-35489)は、この脆弱性を水曜日に発見したAstra Security Reserchによると、unrestricted file upload bug(無制限ファイルアップロードのバグ)に分類されている。

    素早い修正

     Astraによると、「このプラグインの開発者(Takayuki Miyoshi)は、その重大な性質を理解し、この脆弱性を素早く修正した。我々は、あらゆる脆弱性攻撃を防ぐために可能な限り早急にアップデートをリリースることを試みるために相互にコミュニケーションを取り合った。この問題を修正するアップデートは、バージョン5.3.2として既にリリースされている。」
     このフローを特定したとされるバグハンターJinson Vargheseは、この脆弱性は認証されていないユーザがContact Form 7の全てのフォーム ファイルタイプ制限をバイパスすることを可能にしており、バージョン5.3.1及び、それ以前のプラグインを実行しているサイトに対して実行可能形式のバイナリをアップロードすることができると記述している。
     次に、この敵は、多くの悪意ある行為(Webサイトを書き換えたり、訪問者をサードパーティのWebサイトにリダイレクトし、訪問者に個人情報や財務情報を渡すように企てる)を実行することができる。
     研究者によると、ターゲットにされたWebサイトを乗っ取ることに加えて、WordPressのインスタンスをホストしているサーバーでコンテナ化が行なわれておらずWebサイトを分離していない場合には、攻撃者はまた、そのサイトをホストしているサーバーをハイジャックすることもできる。

    悪用のしやすさ

     「これは、簡単に悪用できる。そして、攻撃者は認証される必要はなく、攻撃はリモートで実行することができる」と、Astraのディジタル マーケティング担当者でありグロースハッカー(【訳注】 ユーザーから得た製品やサービスについてのデータを分析し、改善してマーケティングの課題を解決していく職種(ferretより))Naman RastogiはThreatpostのe-Mailインタビューで発言している。
     彼は、Contact Form 7のアップデートは、現在リリースされていると発言している。「WordPressプラグインを自動アップデートにしているユーザは、自動的にアップデートされる。それ以外の人々は、積極的に手動アップデートすることが要求される」と、彼はThreatpostに告げている。
     このバグ関する展望に関して、Webアナリスト企業Netcraftは、今WordPressプラットフォームを使用しているWebサイトは4億5500万存在していると見積もっている。これは、WordPressサイトの1.09%が、このフローを介しての攻撃に対して脆弱性があることを示唆している。


    Windows 10 Updateが、CorsairVBusDriver BSODクラッシュループを発生
    BleepingComputer : News>Security(2020/12/18)
     Microsoftの2020年12月のWindows 10アップデートは、Corsair Utility Engineソフトウェアとコンフリクトし、オペレーティングシステムをBSOD(Blue Screen of Deth、死のブルースクリーン)クラッシュループを発生させている。
     2020年12月のパッチの水曜日にアップデートがリリースされた後、Windows 10のユーザは、オペレーティングシステムがクラッシュループ(Windowsが再起動、自動的にクラッシュ、再び再起動)するとする報告を開始した。
     Windows 10がクラッシュすると、以下の画像に見られるように"Stop code - SYSTEM THREAD EXCEPTION NOT HANDLED"エラーとCorsairVBusDriver.sys drive failedと記したブルースクリーンを表示する。

    CorsairVBusDriver.sys Blue Screen of Deathクラッシュ(画像をクリックすると拡大表示されます)

     Microsoftは、最新のWindows 10アップデートに関する、如何なるサポート速報でもこのコンフリクトを認識していないが、まもなくWindows 10アップデートのセーフガードを発動することを、我々は期待している。
     人々は、12月8日以来CorsairVBusDriver.sysクラッシュに関して不平を言い続けているが、本日、BleepingComputerは影響を受ける人が急増していることを確認した。MicrosoftがCorsairドライバに関するオプショナル アップデートを提供しているが、これは、我々が確認している急増の説明をつける可能性があるので、このドライバはインストールするな。 BleepingComputerは、これらクラッシュに関するいくつかの質問をMicrosoftにしている。

    Windows 10 CorsairVBusDriver.sys BSODクラッシュの修正方法

     このクラッシュの影響を受けたのであれば、Windowsをブートすることはできなくなる。それ故、我々はWindows 10回復環境(Recovery Environment)を使用してコンフリクトしているCorsairVBusDriver.sysをリネームもしくは削除する必要がある。
    方法1、 回復環境(Recovery Environment)でCorsairVBusDriver.sysドライバをリネームする

     CorsairVBusDriver.sysクラッシュを修正する最も簡単な方法はWindows 10を回復環境(Recovery Environment)でブートし、このドライバをリネームすることである。
     CorsairVBusDriver.sysドライバをリネームするには、以下のステップに従いなさい。

    、 Windows 10をリカバリ スクリーンで起動する(ブート方法はこちら(リンクはMicrosoftの日本語サイトに変更)を参照、但し、「スタートアップ設定」ではなく「コマンドプロンプト」を選択する)。【訳注】 ブート情報や詳細な画像が必要な方は、こちらこちらを参照してください。
    、 「その他の修復オプション」をクリック
    、 「トラブルシュート」をクリック
    、 「詳細オプション」をクリック
    、 「コマンドプロンプト」をクリック
    、 コマンドプロンプトで、diskpartとタイプし、Enterを押す
    、 list volとタイプし、Enterを押す。これで、ドライブレターのリストと各ドライブのパーティション サイズを確認できるはずである。通常のC:\ドライブとサイズが一致するドライブレターを探し、そのドライブレターを書き留める。

    (画像をクリックすると拡大表示されます)

    、 exitと入力し、Enterを押し、Diskpartユーティリティを終了する
    、 C:ドライブに関連付けられているドライブに変更する。例えば、上図に示したdiskpartでは、そのドライブレターは、D である。コマンドプロンプトで、D を入力し、Enterを押す。【訳注】 上図のVolume 1 C System Reseは、system-reserved (システムで予約済み領域)なので、ここで選択するドライブではありません。
    10、 新しいドライブに切り替わったら、dirとタイプし、Enterを押す。Windowsフォルダがあったら、あなたは正しいドライブ中に存在している
    11、 ここで、cd \windows\system32\driversとタイプし、Enterを押す。注意: コマンドラインの、cdと\windowsの間には半角スペースを入力する。
    12、 現在、[drive-letter]:\Windows\system32\driverプロンプトになっているはずである。このプロンプトで、ren corsairvbusdriver.sys corsairvbusdriver.sys.bak とタイプし、Enterを押す。下図のようになる。

    CorsairVBusDriver.sysドライバをリネーム(画像をクリックすると拡大表示されます)

    13、 ドライバをリネームした時にエラーが発生しなかった場合には、exitと入力し、Enterを押す。これで、コマンドプロンプトが終了する。
    14、 コンピュータを再起動するために続行(Continue)オプションをクリックし、Windows 10をブートする。
    15、 Windows 10にログインしたら、Corsair Utilityソフトウェアをアンインストールしなさい。

    方法2、 回復環境(Recovery Environment)を使用してこのドライバをアンインストールする

     BleepingComputerのメンバーは、これらのクラッシュを解決する方法に関する詳細なステップを親切にも作成し、それを我々のフォーラムに投稿している。私は、コマンドプロンプトに精通していない人々がより理解しやすいように、このステップを多少修正した。
     Windows 10 CorsairVBusDriver.sys BSODを解決するには、以下のステップに従いなさい。

    、 これらのステップを実行するためにWindowsインストールディスクを必要としない。代わりに、Windows 10組み込みのリカバリ コマンドプロンプトを使用して実行することができる。  1-1、 Windows 10リカバリ スクリーンでブートする(ブート方法はこちら(リンクはMicrosoftの日本語サイトに変更)を参照、但し、「スタートアップ設定」ではなく「コマンドプロンプト」を選択する)。【訳注】 ブート情報や詳細な画像が必要な方は、こちらこちらを参照してください。
       1-2、 「その他の修復オプション」をクリック
       1-3、 「トラブルシュート」をクリック
       1-4、 「詳細オプション」をクリック
       1-5、 「コマンドプロンプト」をクリック

    、 コマンドプロンプトに入ったなら、Windows System Partitionをマウントする必要がある(これは自動的にマウントされない)
       2-1、 コマンドプロンプトで、diskpartとタイプし、Enterを押す
       2-2、 list diskとタイプし、Enterを押す。これで、サイズと共に幾つかのディスクの出力結果を見るだろう。通常、システムドライブは、Drive 0 である。あなたはドライブのサイズで大体推測がつくだろう。  2-3、 select disk xと入力し、Enterを押す。x は、ステップ2-2の結果で判別されるシステムドライブの値で置き換えなさい。
       2-4、 list partとタイプし、Enterを押しパーティションのリストを確認する。通常のWin 10インストールは、4つのパーティションを持っている。パーティション: 1 - Recovery, 2 - System, 3 - Reserved, 4 - Primaryである。あなたがPrimaryパーティションを発見できないのであれば、ステップ2-3に戻り、diskを変更しなさい。あなたがPrimaryパーティションを発見するまで、この操作を繰り返しなさい。
       2-5、 Select part x とタイプする。x は、あなたのPrimary Partitionの値(ステップ2-4で最大のパーティションのはずである)で置き換えなさい。
       2-6、 assign letter=Zとタイプし、Enterを押す。これで、Primary Partitionにドライブレター(Z)が割り当てられる。
       2-7、 exitとタイプし、Enterを押す。これで、diskpartが終了する。

    、 ここで、dismコマンドを使用して、この危なっかしいドライバを削除する必要がある。
      3-1、 dism /Image:Z: /Get-Drivers | moreを実行しインストールされているドライバのリストを表示する。これを実行すると、メモ帳が開きドライバリストが表示される。Ctrl+Fを使用して(検索ボックスが開く)探しているドライバを発見し、Published Name(oemxx.infのはずである)をメモする。
       3-2、 dism /Image:Z: /Remove-Driver /Driver:oemxxx.infを実行する。コマンドラインのoemxxx.infは、ステップ3-1でのPublished Nameである。
    、 exitとタイプし、Enterを押す。これでコマンドプロンプトが終了する。コンピュータを再起動し願いを込めなさい。
     他のユーザは、こと特別な情報を指摘している。
      ・ 「CorsairVBusDriver.sysドライバのインスタンスが複数あるかもしれないことを追加しておく。一つだけに気を配らないように(理解するのに時間がかかった)。」
      ・ 「上記ステップに従ったときの決定的な相違は、corsairvbusドライバーは見つかったが、ステップに示されているようなDriver.oemxxx.infとは呼ばれていなかったことである。正確なドライバー名は覚えていないが、あなたがドライバリストにアクセスできるのであれば corsairvbusドライバーが見つかるまで調べ続け、上記ステップのoemxxx.infの部分を自分のものに置き換えなさい。」

     問題が発生した場合や更なる支援を必要とするのであれば、このフォーラムトピックで様々な提案を読んだり、支援の要請を行うことができる。

    MicrosoftはSolarWindsハックでセキュリティ侵害されたことを確認した、他の感染は否定
    BleepingComputer : News>Security(2020/12/17)
     Microsoftは、最近SolarWinds攻撃ででハッキングされたことを認めたが、彼らのソフトウェアが、顧客に感染するためのサプライチェーン攻撃でセキュリティ侵害されたことは否定した。
     先週末、ロシアの国家支援ハッカーがトロイ化させたSolarWindsでセキュリティ侵害し、クライアントにバックドアを配布するために、Microsoftの自動アップデートを使用していたことが発見された。
     この悪意あるソフトウェアは、Solarigate (Microsoft)あるいはSunburst (FireEye)として追跡されているバックドアであり、およそ18,000の顧客(U.S. Treasury(米国財務省), US NTIA(米国国家電気通信情報管理庁), the U.S. Department of Homeland Security(米国国土安全保障省)を含む)のインフラストラクチャに到達している。
     今夜、ロイターは、そのレポートで、情報筋によると、MicrosoftがSolarWindsサプライチェーン攻撃でセキュリティ侵害されただけでなく、彼らのソフトウェアもまた、その顧客に悪意あるファイルを配布するために改竄されたことを示していると述べている。
     Frank Shaw(Microsoftの広報担当副社長)のTweetで、Microsoftは、現在発見されていることに基づいて、このレポートを否定した。Shawは、Microsoftが彼らの環境中に悪意あるSolarWindsバイナリを検出したことを認めたが、彼らのシステムは顧客をセキュリティ侵害するために使用されてはいないと述べている。
    BleepingComputerは、Microsoftにコンタクトし更なる質問をしたが、現時点で、その回答を受け取っていない。


    クレジットカード情報を盗み取るスクリプトはハッキングされたオンラインストアのCSSファイル中に隠されていた
    BleepingComputer : News>Security(2020/12/09)
     クレジットカード情報を盗み取るスクリプト(以降、クレジットカードスティーラ)は、進化しており、新しい隠蔽戦略に起因して検出することの困難さが増大している。最新の例は、セキュリティ侵害された店舗のページ中に紛れ込ませ、顧客の個人情報や支払い情報を盗むためにCSSコードを使用するWebスキマーである。
     CSSコード中に、彼らの支払い情報スティーラを隠すことによって、このスキマーの作成者達は、自動化されたセキュリティスキャナーによる検出をバイパスし、手動セキュリティコード検査で検証される時でさえ、あらゆるフラグを立てることを成功裏に回避している。
     これは、(セキュリティ)スキャナが一般的に、悪意あるコードに関してCSSファイルをスキャンしないことと、スキマーのトリガースクリプトがCSSページのカスタムプロパティ(変数)を読み込んでいることに、誰も見向きもしていなかったために発生している。
     CSS(Cascading Style Sheets)ファイルは、ルールのコレクションを使用しているWebドキュメントに対して、スタイル(例、フォント、色、スペース)を追加するための能力をWebサイトに提供するファイルである。

    CSSコード中に格納されているMagecartスクリプト リンク

     クレジットカードスキマー(Magecartスクリプトとしても知られる)は、オランダのサイバーセキュリティ企業Sansecの研究者によって、火曜日に3つの異なるオンラインストアで発見された。
     このWebスキマーは、SanSecがBleepingComputerに告げた今朝、少なくともひとつのストアで依然としてアクティブであったが、この企業は、このデータの重要な本質に起因する追加情報を共有していない。
     このマルウェアは明るみに出されたが、CSSベースのWebスキマーは、悪意あるスクリプトを挿入し、顧客の支払いカード情報を密かに抽出するために、徐々により高度なテクニックを「実験」することを開始したMagecartグループによって使用されてきた。

    Magecart CSSコード(画像をクリックすると拡大表示されます)

     このMagecartスクリプトは、セキュリティ侵害されたEコマースの顧客が支払い情報や個人情報の入力を開始した場合にのみ実行される。
     この買い物客達が注文フォームの確認ボタンを押した時、彼らは攻撃者の悪意あるCSSコードをロードされ解析される新しいページにリダイレクトされる。
     ハッキングされたオンラインストアの確認ページ上のJavaScriptパーサーもしくはトリガー スクリプトは、次に、ハッカーによって制御されている cloud-iq[.]net サーバ上のMagecartスクリプトを指し示す --script変数中のCSSコードに格納されているURLからスキマーをロードし実行する(【訳注】 上図参照)。
     この作戦は、これまでの方法では発見されないので、Magecartグループがセキュリティ侵害されたEコマースWebサイト上で丸見えにならないように彼らのクレジットカードスティーラを隠すことを可能にする。
     今週初めSansecが、これを発見したのは偶の偶然によって警告フラグをあげたのだろう。

    Magecart トリガースクリプト(画像をクリックすると拡大表示されます)

    コードの全てのビットは悪意ある目的のために使用される

     オンラインストアは、「実行資産だけでなく、彼らのデータの全てをモニターする必要がある」と、SansecはBleepingComputerに述べている。
     「これは、Eコマースマネージャにとっては、とても頭が痛いものである。今日はCSSだが、明日は、何処か他所の静的なデータであるだろう」
     クレジットカードスキマーとして知られるJavaScriptベースのスクリプトが、セキュリティ侵害されたEコマース サイトのページ中に挿入されて、顧客の支払い情報と個人情報を抽出するMagecart攻撃に対する防御のオプションを、オンライン買い物客は殆ど持っていない。
     「消費者は、夫々の取引に二要素認証を強制する銀行を選択すべきである」と、更に「これは、ヨーロッパにおいては大変一般的であるが、米国ではそうではない」と、Sansecは述べている。
     あなたが米国にいるのであれば、http://privacy.com(【訳注】 使い捨てバーチャルカード決済に関しては、こちら参照)や類似のプラットフォームで一時的なカード番号を取得するか、各取引にバーチャルカード(【訳注】 バーチャルカードのメリット・デメリットはこちら)を使用することができる。
     Sansecの研究者達は最近、SVGソーシャルメディアボタンとして非表示にできるWebスキミングマルウェアと、永続的なバックドアを同梱しているクレジットカード スティール マルウェアを削除することは、殆ど不可能であることを発見した。

    総合人材サービス会社Randstadが身代金要求型マルウェアに攻撃され重要なデータを盗まれた
    Graham Cluley : News(2020/12/07)
     世界最大級の総合人材サービス会社の一つが、それ自身で身代金要求型マルウェアの犠牲者になっていることを発見した。
     先週の木曜日に公開されたステートメントにおいて、Randstad(ランドスタッド)は、そのネットワーク上に「悪意ある挙動を最近確認した」と発言している。
     その悪意ある挙動は、Egregor身代金要求型マルウェアであった。そして、Randstadは、このセキュリティ侵害によって、操作は損なわれていないと発言しているが、ハッカーが重要なデータにアクセスし、その後、公開したことは認めている。
    「これまでの調査で、Egregorグループが、我々のグローバルIT環境および特定のデータ(取り分け、米国、ポーランド、イタリア、フランス)に対して非認証で不法なアクセスを取得していたことは明らかである。彼らは現在、そのデータのサブセットであると主張するものを公開している。」
     Randstadは、38カ国に38,000人を超える従業員を雇用しており、2019年では、2百万を超える求人者を支援し、28万のクライアント企業と仕事していることを誇りとしている。
     この企業は、「この悲しむべき重大事案を処理するために重要なリソースを捧げている」と発言しているが、より多くのデータを公にリークされることを妨げるために、攻撃の背後にいるサイバー犯罪者によって要求される身代金を支払うのか否かについては共有されていない。
     今年初め、悪名高いMaze身代金要求型マルウェアの悪漢共が引退した後、Egregor身代金要求型マルウェアが組織に感染しているとするレポートが急増している。
     Egregor身代金要求型マルウェアの他の最近の犠牲者は、メトロバンクーバー(【訳注】 カナダのブリティッシュコロンビア州南西部にある地方行政区の一つ(Wikipediaより))交通システム、ゲームメーカーUbisoft、南アメリカの小売大手Cencosudが含まれている。


    TrickBotの新しいモジュールは、UEFIファームウェアに感染することを目的にしている
    BleepingComputer : News>Security(2020/12/03)
     TrickBotマルウェアの開発者達は、UEFI(Unified Extensible Firmware Interface。【訳注】 オペレーティングシステムとプラットフォームファームウェアとの間のソフトウェアインタフェースを定義する仕様(Wikipediaより))の脆弱性を探る新しいモジュールを作成し、感染したマシンを究極にコントロールできるレベルで攻撃を仕掛けようとする攻撃者の取り組みを実演している。
     UEFIファームウェアへのアクセスで、脅威のアクター(【訳注】 ブラックハットハッカーのような脅威となる行為主体のこと)は、セキュリティ侵害されたマシンに、オペレーティングシステムの再インストールやストレージドライブの置き換えに影響されない持続的有効性を設立することができる。
     このファームウェアに植え付けられた悪意あるモジュール(bootkits、【訳注】 rootkitsの改良版(中小企業情報セキュリティ.comより))は、コンピュータのブートシーケンスの初期段階で、他の物に先立ってロードされるため、オペレーティングシステム上で動作するセキュリティソフトからは不可視になる。
     Bootkitsは、システムのブートプロセス操作を制御することが可能であり、より高いレベルで防御を妨害することができる。このコードは最も早い段階で実行されるため、Secure Bootメカニズム(【訳注】 コンピュータ起動時の安全性を確保するため、デジタル署名で起動するソフトウェアを検証する機能。UEFI(BIOS)の機能として提供され、OSに関係なく利用できる(IT用語辞典より))は、このファームウェアが無傷であることが前提であるため、助けにならない。
     脅威のアクターにマシン上にこの種の永久的な存在を取得されることに関連する影響は、膨大であり、TrickBotの場合は尚更である。TrickBotの一日平均の感染数は数千に上る。

    Intelプラットフォームをターゲットにしている

     本日の共同報告書において、サイバーセキュリティ企業Advanced Intelligence (AdvIntel、【訳注】 米国の詐欺対策を専門とする企業(WatchGuardより)) とハードウェアとセキュリティ企業Eclypsiumの研究者達は、TrickBotの新しいコンポーネントの技術的詳細を提供した。
     TrickBotは、この段階で偵察衛星のように振る舞い、感染したマシンのUEFIファームウェア中の脆弱性をチェックする。現時点では、この確認はIntelプラットフォーム(Skylake, Kaby Lake, Coffee Lake, Comet Lake)だけを標的にしている。更に、このモジュールはまた、読み込み、書き込み、ファームウェアを削除するコードを含んでいるので、重要なダメージを与えるために使用される。
     このモジュールは、RWEverything(システムのBIOS/UEFIファームウェアを格納しているSPIフラッシュメモリのようなハードウェアコンポーネントにアクセスができるフリーのユーティリティ)のRwDrv.sysドライバを使用して、UEFI/BIOS書き込み保護がアクティブであるか否かをチェックする。
     このツールの名前に心当たりがあるのは、APT28(Fancy Bear, Sednit, Strontium, Sofacy)として知られるロシアのハッカーの攻撃において、オンライン上で最初に発見されたUEFIルートキットであり、LoJaxによって使用されたからである。

    「SPIフラッシュチップに格納されているUEFIファームウェアに対する全てのリクエストは、IntelプラットフォームのPlatform Controller Hub (PCH)の一部であるSPIコントローラを経由する。このSPIコントローラは、アクセス コントロール メカニズムを含んでいる。これは、SPIフラッシュメモリチップ中に格納されているUEFIファームウェアの非認証セキュリティ侵害を防ぐためにブートプロセスの間ロックされる。」 共同レポート(Eclypsium, AdvIntel)より。

    BIOS/UEFI書き込み保護は、最新システム上で利用可能であるが、この機能はしばしば、アクティブでなかったり、間違って設定されているために、攻撃者がこのファームウェアをセキュリティ侵害したり、あるいは、デバイスを操作不能にすることが可能である。
     この研究者達は、10月19日に、このモジュールを発見し、配備されるこのボットネットの機能と名前をもじって、TrickBotと名付けた。
     Advanced Intelligenceが解析したサンプルで、この研究者達は、新しいTrickBotのサンプルに“user_platform_check.Dll”ファイルに関連付けられた名前“PermaDll”を発見した。
     Eclypsiumでのこのファイルの調査は、この脅威のアクターが、セキュリティ侵害したシステムにシングルチップ チップセット(【訳注】 一つの集積回路上に演算・記憶などのすべての機能をまとめたチップセット(コトバンクより))をチェックするメカニズムを実装していたことを明らかにした。

    (画像をクリックすると拡大表示されます)

     研究者達は、このモジュールの役割がPCHクエリを実行し、システム上でPCHを実行する特定のモジュールを決定し、従って、プラットフォームを同定することであること発見した。この情報はまた、攻撃者がそのプラットフォームに脆弱性があるか否かをチェックすることを可能にする。

    (画像をクリックすると拡大表示されます)

     この研究者達はまた、このアクターが既知のファームウェア脆弱性攻撃の関数と、以下の目的のためにfwexplと呼ばれるライブラリに依存していることを発見した。
    ・ ハードウェアのIOポートからデータを読む
    ・ rwdrv.sysドライバをコールし、ハードウェアのIOポートにデータを書き込む
    ・ rwdrv.sysドライバをコールし、物理メモリアドレスからデータを読み込む
    ・ rwdrv.sysドライバをコールし、、物理メモリアドレスにデータを書き込む
     この研究者達は、TrickBotがLook UPテーブルに存在していないプラットフォーム上で実行されている場合、ハードウェアアクセスを要求する操作のDefault値のpre-Skylakeセットで関数をアクティベートしていると記している。
     プラットフォームを同定した後、TrickBotは、フラッシュメモリ(SPIBAR, PRO-PR4)とBIOSコントロール(BC - ハードウェアレベルでのBIOSアクセスするための書き込み保護ロック ビットを含む)のためのレジスタを読み込むための関連するパスにアクセスする。

    (画像をクリックすると拡大表示されます)

    BIOS書き込み保護を無効にしようとする関数中の興味ある発見は、BIOS Write Protection Disableビットが設定されているか否かをチェックするためのBIOS Controlレジスタ中で、間違ったオフセットから読み込むバグを含んでいることであった。
     このコードの結果は、書き込み保護がアクティブであると判断し、それを無効化しようとする。

    コメントはEclypsium(画像をクリックすると拡大表示されます)

    主たる影響

     このようなモジュールを開発しているTrickBotは、このアクターがセキュリティ侵害したシステムの支配を拡張するための努力をしていることを明瞭に示している。このボットネットは既に、このアクターが多くの脆弱性のあるターゲットから選択した数千のマシンを感染させている。
     AdvIntelのテレメトリ(遠隔情報収集)は、10月3日から11月21日までのTrickBotによる一日の感染数の最大値は40,000であり、一日の平均感染数は200から4000であることを示している。これらの数値は、ゲートウェイのIPアドレスを使用して外部と通信しているプライベートネットワーク上のコンピュータを計算していないため控えめな数値である。
     最も利益をあげられる犠牲者の選択は、犠牲者のネットワーク、ハードウェア、ソフトウェアから情報を抽出する偵察スクリプトを介して引き出されるデータに基づいて手動で実行されている。

    (画像をクリックすると拡大表示されます)

     このオペレータ達は経済的な動機を持っており、ボットネットを使用してRyukやConti身代金要求型マルウェアを高い利益をあげられるマシンに配布している。2018年以来、彼らは少なくとも1億5000万ドルを得ている。最近1人の犠牲者だけから、彼らは2,200BTC(現時点で3400万ドルの価値)を奪っている
     TrickBotは、銀行詐欺や金融/個人情報の盗難を含む、複数の金儲け計画に関与している、当にサイバー犯罪企業である。

    (画像をクリックすると拡大表示されます)

    高価値のマシン上にUEFIレベルの持続的有効性を獲得すると、彼らは幾つかの方法でこの有利の地歩を使用することができるので、アクターの利益を最大化することができる。
     身代金の引き上げ交渉における影響力として、UEFIインプラントの使用とは別に、サイバー犯罪者は、犠牲者がシステムをTorickBotのコントロールから切り離すために身代金を支払った後でさえ、マシンにアクセスすることができる。
     後に、犠牲者がクリーニングとリカバリプロセスを完了したあとでも、この攻撃者はUEFI中に継続して存在している有利の地歩を利用して、新しい攻撃を実行することができる。攻撃者達はまた、アクセス認証情報のセットを収集し、他の悪漢共に販売することもできる。
     これは、大規模運用環境と重要なインフラストラクチャに影響を与えるので、純粋に破壊を目的とする作戦に使用することができるだろう。デバイスを操作不能にする他の効果は、法医学的調査を大変困難にし、リカバリプロセスを大幅に遅くし、セキュリティの他のレイヤーを破壊することである。

    厳しい防衛行動

     Eclypsiumの主任研究員Jesse Michaelは、システムがUEFIファームウェア レベルでセキュリティ侵害されているか否かを決定することは、大変困難な仕事であるとBleepingComputerに告げている。
     より徹底的な方法として、SPIフラッシュ プログラミング デバイスを物理的に接続することによって、システムをパワーダウンした時に、SPIメモリチップ上のコンテンツを読み込むことである。しかしながら、この解決策は、専門知識だけでなく、チップがマザーボードに半田付けされている場合には、その企業のダウンタイムが長くなるし、読み込み問題のリスクがある。
     他の方法は、オープンソースツール(CHIPSEC)もしくは、ハードウェアやファームウェアでローレベルの弱点を調査し、BIOS書き込み保護がアクティブか否かを決定することもできるEclypsiumのプラットフォームを使用することである。
     ファームウェアのハッシュをチェックすることは、このコードが改竄されているか否かを決定する助けになる。更に、ファームウェアをアップデートすることは、必ず既知の脆弱性の影響を受けなくなるので適切な方法である。
     UEFIレベルのセキュリティ侵害は、Hacking TeamのVectorEDK UEFIインプラント コードがリークされ、公に利用されるようになって以来5年以上経つ今日でさえ稀である。
     現時点で、この種の公に確認された攻撃は、VectorEDKコードを使用する非常に高度なもの(ロシアのハッカー集団Lojaxや中国のハッカーMosaicRegressorのような国家をバックに持つ脅威のアクター)から出現している。
     しかしながら、可能な限り多くのシステムに感染し、そのプール(【訳注】 ある目的のためにデータを格納するために確保される記憶装置の部分(コンピュータ用語辞典より))から利益をあげられるターゲット(あらゆる分野の大企業)を選択することを目的とするTrickBotとは異なり、これらの敵からの攻撃は、大変標的化されている。
     TrickBootのサンプルの解析から、このモジュールは、ハードウェアを同定し、BIOS領域が書き込み可能か否かをチェックするだけである。しかし、これは、SPIフラッシュメモリへの書き込みや、システムファームウェアの改竄を可能にするために簡単に変更することができる。
     AdvIntelEclypsiumからの技術レポートは、この新しいモジュール用にVitali Kremezによって作成されたYaraルール(【訳注】 オープンソースのマルウェアの検知・解析ツール「YARA」で使用される記述形式で、マルウェアの特徴を記述するもの(ZDNetより))と共に、TrickBootに関するセキュリティ侵害の痕跡を提供している。


    悪意あるNPMパッケージがnjRATリモートアクセス・トロイをインストールするために使用されている
    BleepingComputer : News>Security(2020/12/01)
     新しい悪意あるNPMパッケージが発見された。これは、ハッカーがコンピュータのコントロールを奪うために、njRATリモートアクセス・トロイをインストールするものである。
     NPMは、開発者やユーザがパッケージをダウンロードし、それらをプロジェクトに統合することを可能にするJavaScriptパッケージマネージャである。
     NPMはオープンエコシステムなので、誰もが、マルウェアに関する検証やスキャンを実行されることなく新しいパッケージをアップロードすることができる。この環境は、100万の豊富で多様なパッケージのリポジトリをきたしたが、この環境はまた、脅威のアクターが悪意あるパッケージを簡単にアップロードすることもできる。

    njRATをインストールする悪意あるNPM

     本日、オープンソース・セキュリティ企業Sonatypeは、悪意あるNPMパッケージがJSONファイルから作成された合法なツールであるかのように装っていることを発見した
     これらのパッケージは、'jdb.js'とか'db-json.js'と呼ばれていた。このファイルは、NPMによって削除されている。しかし、以下のスクリーンショットから確認できるように、それらは、プロジェクトに新しい機能を追加するために使用することのできる無害のパッケージのように見える。

    NPM上のJsonDB(db-json.js)パッケージ(画像をクリックすると拡大表示されます)

     db-json.js用のpackage.jsonファイルから確認できるように、依存関係として、'jdb.js'と呼ばれる他のパッケージを含んでいる。このpackage.jsonファイルは、db-json.jsパッケージをインストールする時に、NPMに自動的にそのパッケージ(jdb.js)をインストールさせる。

    db-json用のpackage.json(画像をクリックすると拡大表示されます)

     jdb.jsパッケージは、以下に示したようにmodule.js, package.json, patch.exe実行ファイルを含んでいる。インストールされると、インストール時に自動的に起動するように設定されているため、NPMは自動的にmodule.jsを自動的に実行する。

    jdbパッケージのコンテンツ(画像をクリックすると拡大表示されます)

     以下に見られるように、このJSスクリプトは、強く難読化されているが、pach.exe実行ファイルを起動する。これは、njRATマルウェアである。

    難読化されたJavaScriptファイル(画像をクリックすると拡大表示されます)

     インストールされると、njRATは、脅威のアクターに犠牲者のコンピュータに対する完全なリモートアクセスを与える。そこで、以下の悪意ある挙動を実行することができる。
    ・ Windowsレジストリを改竄する
    ・ ファイルの作成と削除
    ・ ファイルをアップロードする
    ・ コマンドを実行する
    ・ そのコンピュータの情報を取得する
    ・ コンピュータを乗っ取る
    ・ キーストロークをログする
    ・ パスワードを盗む
    ・ プロセスを終了する
    ・ スクリーンショットを取る
     以下の画像で、あなたは、njRATを介して脅威のアクターが送信できるコマンドの一部を示しているソースコードの断片を見ることができる。

    逆コンパイルされたnjRATソースコード(画像をクリックすると拡大表示されます)

     各パッケージは夫々、凡そ100回ダウンロードされているが、SonatypeのAx Sharmaは、悪意のあるNPMが十分に活用される前に捕まえたと信じていると、BleepingComputerに語った。
     この一年間、マルウェアをインストールする、あるいは、悪意ある挙動を実行するNPMパッケージを発見することは一般的に増加傾向にある。
     最近、NPMは、Discord(【訳注】 ビデオ通話・音声通話・VoIPフリーウェア(Wikipediaより))トークンを盗んだり、Google Chrome, Brave Browser, Opera, Yandex Browserからブラウザ情報を盗むために使用されていることを発見した後、'fallguy'や'discord.dll' という悪意あるパッケージを削除した。
     悪意あるNPMプロジェクトは、合法なプロジェクトに似た名前を付けるのが一般的になっているので、開発者は、彼らのプロジェクトに統合するパッケージに詳細な注意を払わなければならない。


    バグだらけのWindows 10機能更新プログラムを元に戻すための時間を拡張する方法
    BleepingComputer : News>Security(2020/11/29)
     Defaultで、Microsoftは、ユーザに新たなWindows 10機能更新プログラムをアンインストールし、オペレーティングシステムを直前の状態に戻す期間を10日に設定している。
     この記事では、OSのアンインストール・ウィンドウを使用して、新しいWindows 10機能更新プログラムのテスト期間を増やす方法を示す。
     新しいWindows 10機能更新プログラムをインストールした後に、バグ、パフォーマンス問題、クラッシュが発生し、このバグ群が修正されるまで、機能更新プログラムをアンインストールすることが要求されるのは毎度のことである。
     Windows 10を直前のバージョンに戻すには、スタート > 設定 > 更新とセキュリティ の下に発見されるリカバリ(回復)画面に進む。そこで、「前のバージョンの Windows 10 に戻す」の下にある「開始する」ボタンをクリックすることで、直前のバージョンに戻すことができる。

    Windows 10リカバリ設定画面(画像をクリックすると拡大表示されます)

     Windows 10機能更新プログラムをインストール後、10日以上経過しているのであれば、「開始する」ボタンは以下に示すようにグレーアウトしているだろう。そして、この機能更新プログラムを削除することはできない。

    直前の設定に戻すことはできない(画像をクリックすると拡大表示されます)

     Windows 10の新しいバージョンをアンインストールする時間を増やしたい人は、コマンドラインツールであるDeployment Image Servicing and Managementツール(DISM.exe、展開イメージのサービスと管理) を使用することができる。

    Windowsの機能更新プログラムのアンインストール期間を増やす方法

     先述したように、あなたが新しい機能更新プログラムをインストールした後、OSを直前のバージョンに戻すための時間を、Microsoftは10日に設定している。
     管理者権限でのコマンドプロンプトから、以下のDISMコマンドを使用して、アンインストール設定の値を検索することができる。

    DISM /Online /Get-OSUninstallWindow

    以下に示したように、BleepingComputerが、この新しい機能更新プログラムをインストールした後、アンインストール期間は、Defaultの10日に設定されていた。

    DISM /Online /Get-OSUninstallWindowコマンド(画像をクリックすると拡大表示されます)

     Windows 10機能更新プログラムをアンインストールする日数を増やすには、DISMを /Set-OSUninstallWindow 引数付きで以下の書式で実行する。

    DISM /Online /Set-OSUninstallWindow /Value:[days]

     OSをアンインストールする日数は、2から60日である。2より少なく、60より大きな値を指定した場合は、アンインストールの日数はDefaultの10日に設定される。
     例えば、OSをアンインストールする日数を59日に設定したいのであれば、以下に示したように、DISM /Online /Set-OSUninstallWindow /Value:59 コマンドを実行しなさい。

    OSのアンインストール期間を59日に設定(画像をクリックすると拡大表示されます)

     大多数の人々は、この設定を変更する必要はないし、10日間は、Windows 10の新しいバージョンを使用するか否かを決定するには十分な時間である。
     クリティカルタスク(【訳注】 プロジェクトの全工程を線で結んだ時に最長となる経路上に存在している作業)を実行しているコンピュータや、近い将来にハードウェアのアップグレードを計画している場合には、アンインストールの期間を増やすことは、新しい機能更新プログラムやハードウェアの変更をテストする時間が十分に取れるので、賢明なことかも知れない。
     このように、何らかの問題が発生した場合、簡単にこの機能更新プログラムをアンインストールし、バグの修正がリリースされるのを待って、再びアップグレードすることができる。


    IIoTチップメーカーAdvantechが身代金要求型マルウェア攻撃され、身代金1250万ドルを要求されている
    BleepingComputer : News>Security(2020/11/28)
     Conti身代金要求型マルウェアの悪漢共は、産業オートメーションと産業IoT(IIoT)のチップメーカAdvantech(【訳注】 台湾のマザーボードおよび産業用向けコンピューターメーカー(Wikipediaより))を攻撃し、影響を受けたシステムを復号するために1400万ドルの身代金を支払えば、盗んだ企業データのリークを停止するとしている。
     Advantechは、世界中の92の大都市に8000人を超える従業員を抱える、IT製品とソリューション(組込コンピュータ、ネットワークデバイス、IoT、サーバー、ヘルスケア・ソリューションを含む)産業の世界的企業である。
     この企業は2018年には世界の市場占有率34%を占める世界の産業用コンピュータのリーダーであり、2019年では、年間売上高17億ドルと報告されている。

    身代金は750Bitcoinに設定されている

     BleepingComputerが確認したチャットのログによると、Advantechネットワーク攻撃の背後にいるContiのオペレータは、全データを復号し、Advantechのサーバから盗んだデータを削除するための身代金を750BTC(本日の換算レートで約$12,600,000)に設定している。
     Contiはまた、彼らの復号操作がキチンど動作することの証明として、身代金を支払う前に二つの暗号化されたファイルを復号する意思があると発言している。
     この身代金要求型マルウェアのオペレータは、2020年11月21日に、翌日までにAdvantechから対応がない場合には、盗んだデータの一部をリークすると追加している。

    (画像をクリックすると拡大表示されます)

    11月26日、このグループは、ransomware data leakサイトでAdvantechのデータを3.03GBのアーカイブとして公開することを開始した。このZIPアーカイブには、盗まれたデータの2%と、ファイルのリストが付属するテキストドキュメントが含まれている。
     この身代金要求型マルウェアの悪漢共はまた、身代金が支払われた場合には、即座にこの企業のネットワークに配備した全てのバックドアを削除し、更なるセキュリティ侵害を防止するためのネットワークを安全にする方法に関するセキュリティ上のヒントを提供すると宣言している。
     彼らはまた、支払いが実行されたなら、盗んだ全てのデータは削除されると発言しているが、身代金要求型マルウェア攻撃との交渉企業Covewareの研究者は、身代金を支払ったところで、一部の身代金要求型マルウェア攻撃作戦は、実際にはファイルを削除していないと述べている。
     この企業は、彼らのシステムに対する身代金要求型マルウェア攻撃の有無に関して何ら声明を公に発行していないが、BleepingComputerは、ContiのオペレータがAdvantechの暗号化されたシステム上に残した脅迫文のコピーを入手した。
     Advantechの広報担当者は、本日までBleepingComputerによる問い合わせに対して、即座にコメントできていない。

    (画像をクリックすると拡大表示されます)

    Conti身代金要求型マルウェア

     Conti身代金要求型マルウェアは、2019年末に分離攻撃で最初に発見され、2020年6月この攻撃は増加した。
     この身代金要求型マルウェアは、悪名高きRyuk身代金要求型マルウェアとコードを共有し、2020年7月にRyukの活動が減少した後、トロイの木馬TrickBotによって開かれたリバースシェル(【訳注】 ターゲット端末から攻撃端末に対して接続する方法(Qiitaより))を介して配布され始めた。
     Contiオペレータは、企業ネットワークをセキュリティ侵害し、彼らがデバイスの暗号化に使用する身代金要求型マルウェアのペイロードを配備することが可能なドメイン管理者の認証情報にアクセスできるまで、横方向に拡散する。
     Contiは、経験豊富なハッカーを募集している。これは巨額の身代金の分け前と引き換えに身代金要求型マルウェアを配備するプライベートRansomware-as-a-Service(RaaS、【訳注】 身代金要求型の不正プログラムであるランサムウェアをサービスとして取引するビジネスモデルのこと(Tokio Cyber Portより))作戦のためである。2020年8月mContiは、26人の犠牲者で独自のデータ漏洩サイトを開設した。


    米国Canonは身代金要求型マルウェア攻撃を受け、データが盗まれたことを認めた
    BleepingComputer : News>Security(2020/11/26)
     Canonは、8月初めの身代金要求型マルウェアによるサイバー攻撃で、ハッカーに、この企業のサーバからデータを盗まれたことを最終的に公に認めた。
     BleepingComputerは、クラウドの写真とビデオのストレージサーバ(image.canon)に、ユーザのファイルが失われる疑わしい休止状態を追跡した後、この攻撃に関して最初にレポートした。

    盗まれた従業員データ

     8月5日、Canon USAは、広範なシステムの問題を従業員に通知した。これは、複数のアプリケーション(Teamsとその中での電子メール)が利用できなくなったとするものであった。
     BleepingComputerによる脅迫文の部分的なスクリーンショットは、この休止状態が、Maze身代金要求型マルウェア(一般的に改竄されたネットワークから盗まれたデータを利用して、犠牲者に支払い圧力をかけるグループ)によって発生させられたことを示している。

    (画像をクリックすると拡大表示されます)

     Canonは、この重大事案の調査を開始し、7月20日から8月6日の間に、彼らのネットワーク上に未認証の活動があった証拠を発見した。
     この脅威のアクターは、2005年から2020年の間の現在と過去の従業員と、彼らの受益者と扶養家族に関する情報をホストしていたファイルサーバにアクセスしている。
     水曜日の公式アナウンスでは、Canonは、この攻撃者によってアクセスされたデータは、従業員名、社会保障番号、誕生日、運転免許証番号、政府発行ID(【訳注】 パスポート等)、Canonから直接振り込まれる銀行口座番号、従業員の電子署名が含まれると発言している。
     この攻撃直後、Maze身代金要求型マルウェアの悪漢共は、8月5日にファイル暗号化マルウェアを実行する前にデータと個人データベースの10TBをCanonから盗んだと、彼らはBleepingComputerに告げている。
     驚いたことに、この攻撃によって発生したimage.canonの問題とCanon USAの一般的な休止状態は無関係であった。Mazeは、彼らの行動がストレージサーバにまで及んでいないと認めている。
     身代金要求型マルウェア攻撃を公に確認するのに3か月かかったが、Canonは、8月6日の内部セキュリティ通知において、このセキュリティ上の重大事案の性質について従業員に対して認めた。

    (画像をクリックすると拡大表示されます)

    Mazeは、もうこの世にいない

     Mazeサイバー犯罪グループは、身代金要求型マルウェア・ビジネスの大立者の一つであった。11月1日、この悪漢共は凡そ1年半前(2019年5月)に開始した彼らの作戦を終了した。
     彼らは、今日殆どの身代金要求型マルウェア攻撃作戦が採用している二重恐喝(暗号化する前にデータを盗み、被害者が身代金を支払わない限りファイルを漏洩させると恐喝する)の原因となる行動をしたものである。
     Mazeの犠牲者の中には、Allied Universal(米国を拠点とする米国のセキュリティ施設サービス会社)、Southwire(米国のワイヤー、ケーブル、ツール、コンポーネント、および組み立てソリューションのメーカー)、City of Pensacola(フロリダ州ペンサコーラ市)、Canon(米国キャノン)、LG Electronics(LGエレクトロニクス)、Xerox(ゼロックス)などの重要な企業が含まれている。


    韓国の小売大手E-Landは、身代金要求型マルウェアでの攻撃により店舗の臨時休業を余儀なくされている
    BleepingComputer : News>Security(2020/11/22)
     韓国の複合企業であり小売大手のE-Landは、身代金要求型マルウェアによる攻撃を受け、この攻撃を処理する間、23の小売店舗の臨時休業を余儀なくされている。
     E-Landは、主としてアパレルを中心とする60の小売ブランドを所有し、5000のフランチャイズ店舗で販売している。更に、E-Landは、韓国内でホテルやレストランも所有し運営している。
     韓国メディアの聯合ニュースによると、E-Landは、週末に身代金要求型マルウェア攻撃を受け、ノースカロライナ州の50のデパートの内の23とNewCore Outlet(韓国のアウトレットモール)小売店舗の臨時休業に追い込まれた。
     本日、Chang-Hyun Seok(E-Land RetailのCEO)は、サイバー攻撃を認め、この身代金要求型マルウェアが、11月22日の朝にE-Landの本社に配備されたと述べている。
     この身代金要求型マルウェアの拡散を防ぐために、E-LandはITシステムの一部をシャットダウンしたので、一部小売店舗に影響を与えることになった。
     この際、被害の拡大を防ぐためにサーバのシャットダウンを集中的に行ったので、一部の小売店舗の営業が中断された」と、Seokはステートメントで謝罪している。
     Seokは、顧客と他の重要なデータは、別のサーバ上で暗号化されているので安全であると発言している。  この攻撃を指揮する身代金要求型マルウェアの作戦によっては、暗号化されていないファイルとデータが盗すまれた可能性がある。
     2019年11月以降、殆どの身代金要求型マルウェアの作戦は、暗号化されていないファイルを盗み、支払いを拒否すれば、それらを公開するという脅しが増加している。
     この二重恐喝戦術は、政府の罰金、データ漏洩の通知、訴訟の可能性、および被害者の評判の低下というリスクに基づく被害者への圧力を目的としている。
     残念なことに、この企業が、データが盗まれたことを明白に開示した場合を除いて、従業員や顧客は、身代金が支払われたか否かを決して知ることはできない。身代金が支払われなかった場合は、盗まれたデータは、犠牲者の面目を潰すために、一般的には身代金要求型マルウェアのデータリークサイトに公開される。
     現時点で、どの身代金要求型マルウェア作戦も、E-Landを攻撃したとする声明を発表していない。


    クレデンシャル・スタッフィング攻撃で30万を超えるSpotifyアカウントがハックされていた
    BleepingComputer : News>Security(2020/11/22)
     ハッカーは、様々なソースから収集したログイン資格情報と個人情報の3億8000万レコードのデータベースを使用してSpotifyアカウントへのアクセスを獲得しようとしている。
     数年間、ユーザはパスワードを変更した後に、彼らのSpotifyアカウントがハックされているのではないか、新しいプレイリスト中に彼らのプロファイルが表示された、あるいは、家族のアカウントが他国からの奇妙な追加があったと苦情を言っていた。

    アカウントがハックされたと訴えているSpotifyユーザ(画像をクリックすると拡大表示されます)

     3億8000万レコードを超えるデータベース(ログイン資格情報を含む)が、Spotifyアカウントをハッキングするために積極的に使用されている方法の詳細に関する新しいレポートは、これらのアカウント・ブリーチ(【訳注】 ブリーチとは攻撃者が脆弱性を通じてサーバーにアクセスすること)に何らかの光を当てるかもしれない。

    Spotifyアカウントをハッキングするためのユーザ情報を含む3億レコード

     アカウントをハッキングするために使用される一般的な攻撃は、クレデンシャル・スタッフィング攻撃と呼ばれる。これは、脅威のアクターが、以前のセキュリティ・ブリーチで漏洩した多大なユーザ名とパスワードの組み合わせのコレクションを使用して、他のオンラインプラットフォームのユーザアカウントへのアクセスを獲得しようとするものである。
     本日、VPNMentorがSpotifyに対する資格情報クレデンシャル・スタッフィング攻撃に使用される3億のユーザ名とパスワードの組み合わせを含むデータベースが、インターネット上に晒されたことに関するレポートをリリースした。
     このデータベース中の各レコードは、以下に示すように、ログイン名、パスワード、この資格情報がSpotifyアカウントのログインに成功するか否かの情報を含んでいる。

    晒されたデータベース中のレコード(画像をクリックすると拡大表示されます)

     3億ものレコードが収集された方法は分かっていないが、おそらく、データ漏洩や一般的に無料で脅威のアクターがリリースした資格情報の多大な「コレクション」を介してではないかと思われる。
     この研究者達は、データベース中にリストされる3億ものレコードで、攻撃者が30万から35万Spotifyアカウントをセキュリティ侵害したと考えている。
     VPNMentorは、2020年7月9日に、データベースの漏洩とアカウントへの脅威についてSpotifyにコンタクトをとっている、そして同日、応答を受け取っている。
     「我々の問い合わせに対する応答で、Spotifyは影響を受ける全てのユーザのパスワードの"ローリング・リセット"(【訳注】 仮想マシンを含む複数のコンピューターで構成されるシステムにおいて、システム全体を停止させず、一部のコンピューターから順次パスワードをリセットする操作(goo辞書より))を開始した。その結果、このデータベースの情報は無効になり役に立たなくなった」と、この研究者達は述べている
     改竄されたアカウントのユーザのために、Spotifyは7月にパスワードのリセットを実行した。
     Spotifyは、ユーザがアカウントを要求している間でさえ、アカウントのセキュリティを大きく増加させるマルチファクタ認証(【訳注】 別名、二段階認証)をサポートしていない。


    ハッカーは49000を超えるFortinet VPNの脆弱性攻撃プログラムを投稿した
    BleepingComputer : News>Security(2020/11/22)
     ハッカーは、約50,000のFortinet VPNデバイスからVPN証明を盗むための脆弱性攻撃プログラムをポストした。
     ターゲットになっている脆弱性のリストには、世界中の重要市中銀行と政府組織に属しているドメインが存在している。

    研究者は数千のターゲットを発見している

     ここで参照されている脆弱性はCVE-2018-13379である。この脆弱性は、多大な数の未パッチのFortinet FortiOS SSL VPNデバイスに影響を与えるパス・トラバーサル(【訳注】 利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法(Wikipediaより)) フローである。
     この脆弱性を攻撃するプログラムによって、認証されていないリモート攻撃者が、特別に細工されたHTTPリクエストを介してファイルシステムにアクセスすることができる。
     ハッカーによって投稿された脆弱性プログラムは、攻撃者が、sslvpn_websessionファイルにアクセスし、Fortinet VPNからログイン認証情報を盗むことを可能にするものである。盗まれた認証情報は次に、ネットワークを改竄し、身代金要求型マルウェアを配備するために使用することができる。
     2018年のバグは、一年以上前に公開されたが、この研究者は、未だに攻撃者によってターゲットにされることのできる約50,000のターゲットに注目している。
     今週、脅威情報アナリストBank_Securityは、脅威のアクターが、49,577にも及ぶ脆弱性攻撃可能なターゲットのデバイス リストを共有するスレッドをハッカーフォーラムで発見した。

    研究者が発見した脆弱性をホストするスレッド(画像をクリックすると拡大表示されます)

     リスト解析後、この脆弱性のターゲットにされているのが、世界中の政府ドメイン、著名な銀行および金融企業に属しているドメインであることが発見された。

    銀行、金融、政府組織が脆弱

     BleepingComputerによる観測では、50,000ドメインの内、四ダースを超えるドメインが著名な銀行、金融、政府組織に属しているものであった。

    CVE-2018-13379の脆弱性を残したままにしている政府ドメインと大手銀行のWebサイト(画像をクリックすると拡大表示されます)

     Bank SecurityがBleepingComputerに告げたところによると、フォーラムの投稿を確認した後、全ての組織が影響を受けるか否かを同定するためにIPのリストの解析を開始している。
     「どの企業が影響を受けるのかをより正確に発見するために、リスト上の全てのIPでnslookupを実行し、それらの多くに関して、関連するドメインを発見した。」
     次に、このアナリストは、興味深い組織と著名な銀行に関連するドメイン名を同定するために、取得した結果を精査した。
     このアナリストが更にBleepingComputerに告げたところによると、これは、脆弱性攻撃するには取るに足らない古いバグであるが、組織のパッチプロセスは「非常に緩慢」なので、攻撃者が、良く知られているバグへの脆弱性攻撃を継続することを可能にしている。
     「これは、古く、よく知られ、簡単に攻撃できる脆弱性である。攻撃者は既に、長期間それを使用している。残念ながら、企業のパッチプロセスは非常に緩慢であったり、あるいはインターネット上の露出境界が制御されていないため、攻撃者は、比較的簡単に全てのセクターの企業にセキュリティ侵害するために、これらのフローを脆弱性攻撃することができる。」
     先月のBleepingComputerのレポートのように、同じフローが、US government elections support systemsに侵入するために攻撃者によって悪用された。
     それ故、ネットワーク管理者とセキュリティの専門家は、この深刻な脆弱性を即時にパッチするように促されている。


    WordPress Webサイト中のRCEバグは広範なスキャンの対象になっている
    ThreatPost : Blog (2020/11/18)
     研究者によると、数百万の悪意あるスキャンがインターネット上を徘徊し、WordPressのテーマを構築するためのEpsilon Framework中に存在する既知の脆弱性を探している。
     Wordfence Threat Intelligenceチームによると、150万を超えるWordPressサイトに対して、これらの脆弱性をターゲットにする750万を超える探査が、火曜日以来観察されている。
     Epsilonは、複数のサードパーティのWordPressテーマのための基盤を提供するものである。最近、このフレームワークにパッチされた複数のセキュリティバグは、リモートコード実行(RCE)とサイトの乗っ取りを可能にするために繋げることができたと、研究者は発言している。
     コードの再使用により、複数のテーマ(Shapely, NewsMag, Activello, 他の12のテーマ)に、脆弱性のあるバージョンが出回ることになったと、この企業は火曜日のブログで詳細に述べている。
     「Epsilon Frameworkを使用しているWordPress Webサイトのセキュリティフローは、このコンテント マネージメント システムがセキュリティリスクを継承している別の例でもある」と、PerimeterXのセキュリティ エバンジェリスト(【訳注】 新しいテクノロジーや、そのトレンドをユーザーや市場にわかりやすく説明し啓蒙を図り、その普及に向けて努めることが任務の仕事をする人(東洋経済オンラインより))Ameet Naikは、続けて「サードパーティのプラグインとフレームワークを介して導入されたShadow Codeは、Webサイトに対する攻撃領域を甚だしく拡大している。Webサイトの所有者は、サードパーティのプラグインとフレームワークに注意し、セキュリティアップデートの最先端に存在している必要がある」と、E-Mail中で述べている。
     当該の問題は、WordPressの見積では、全体で約15万サイトに影響を与えるfunction-injectionバグである。
     この投稿によれば、「今日までに、我々は18,000を超えるIPアドレスからの攻撃の波を確認している」と、続けて、「我々は偶に、巨大な数のサイトをターゲットにした攻撃を確認するが、それらの殆どは、古い脆弱性をターゲットにしている。攻撃のこの波は、ここ数ヶ月にパッチされただけの脆弱性をターゲットにしている。」
     Wordfenceによると、この攻撃は本質的にプロービング攻撃である。そして、adminajax.phpに対してPOSTリクエストを使用し、明確なログ エントリを残さないようにしている(これらは、Wordfence Live Traffic中で表示されているが)。幸いなことに、いままででは、RCEチェーンは未だ現れていないが、これは、この攻撃が出現しないという意味ではない。
     「さしあたり、これらの攻撃の大多数は、そのサイトが攻撃チェーンを実行するための脆弱性ではなく、インストールされているテーマが脆弱性を持っているか否かを決定するように設計されているプロービング攻撃であることは明らかである」と、続けて、「この攻撃が未だ成熟した状態にはないように見え、多数のIPアドレスが使用されていることから、我々は、この時点でこの攻撃に関する更なる詳細を提供しない」と、研究者は発言している。
     Webサイトのオーナーは、全てのテーマを最新バージョンにアップデートしなさい。
     「WordPressは、最もトラフィックの多いサイトの一部であると共に、電子商取引サイトの大部分でもあり、インターネット上の全てのWebサイトの3分の1を占めている。そこで、WordPressのセキュリティは、組織にとって最大の関心事である」と、 「この最新の攻撃は、Epsilon Frameworkテーマを使用しているWordPressサイトで最近パッチが適用されたインジェクション脆弱性に対するものであり、最新のアップデートのインストールを怠ったサイトを探している。 過去の調査から知られているように、成功した攻撃の60%は、脆弱性に対するものであり、脆弱性攻撃を防ぐためのパッチが既に存在している。 組織は、WordPressサイトのセキュリティをより真剣に受け止める必要がある。そのためには、プラグインとソフトウェアを最新の状態に保ち、パッチを適用することから始めることである」と、CTOでありK2 CyberSecurityの共同創設者であるJayant Shuklaは、E-Mailで述べている。


    Egregor身代金要求型マルウェア攻撃は、脅迫文を犠牲者のプリンタで印刷する
    BleepingComputer : News>Security(2020/11/18)
     Egretor身代金要求型マルウェアは、攻撃後に犠牲者の注意を惹くために、全ての利用可能なプリンタから脅迫文を吐き出させるという目新しいアプローチを使用している。
     身代金要求型マルウェアの背後にいる悪漢共は、多くの企業(従業員を含む)が、株価や評判への新たな影響を恐れて、身代金要求型マルウェアによる攻撃を公開するよりむしろ隠していることを認識している。
     攻撃の社会的認識と犠牲者への支払い圧力をを大きくするために、Egregorオペレーションは、攻撃後、全ての利用可能なネットワーク プリンタとローカル プリンタから脅迫文を繰り返し印刷することで知られている。
     BleepingComputerは、この戦術を認識しているが、Egregorが小売大手のCencosudを攻撃した先週末に初めて動作した。

     脅迫文を印刷しているビデオへのリンク

     拡大された印刷物に見られるように、これはレシート プリンターに印刷されているものであり、コンピューターで作成されたものと同じ脅迫文である。

    レシート プリンターに印刷されているEgregor脅迫文(画像をクリックすると拡大表示されます)

     BleepingComputerは、この身代金要求型マルウェアの実行ファイルが、脅迫文の印刷を実行しているわけではないことを確認している。
     代わりに、この身代金要求型マルウェアの攻撃者が、攻撃の終了時に全ての利用可能なプリンタで脅迫文を印刷するためのスクリプトを悪用していると確信している。
     このスクリプトは、今までの所、発見されていない。


    新しいJupyterマルウェアがブラウザデータを盗み、バックドアを開いている
    BleepingComputer : News>Security(2020/11/13)
     ロシア語を話すハッカー達は、新しいマルウェアを使用し犠牲者から情報を盗んでいる。Jupyterと名付けられたこの脅威は、目立たぬように、速い開発サイクルからの恩恵を受けている。
     Jupyterの目的は、様々なソフトウェアからデータを収集することにあるが、その拡散をサポートする悪意あるコードはまた、感染したシステム上にバックドアを作成するためにも使用されている。

    インストーラは6ヶ月間検出を回避していた

     このマルウェアの亜種は、米国の大学における10月の重大事案対応の取り組みの間に出現した。しかし、犯罪科学データは、5月以降には、以前のバージョンが開発されていたことを示唆していた。
     サイバーセキュリティ企業Morphisecの研究者達は、この攻撃の開発者達が大変積極的であり、一部のコンポーネントは一月に9回以上アップデートが行われていたことを発見した。
     最新のバージョンは11月初めに作成されているが、重要な変更は含まれていない。だが、コードを絶えず変更することは、検出の回避を可能にし、Jupyterが改竄されたシステムから多くのデータを収集することを可能にするものである。
     Jupyterは、.NETベースであり、Chromium, Mozilla Firefox, Google Chromeからデータ(クッキー、信用情報、証明書、オートコンプリート(【訳注】 自動補完機能))を盗むことに重点をおいている。
     Stealerの拡散は、正当なソフトウェアを装うZIPアーカイブ中のインストーラ(Inno Setup executable)をダウンロードすることで始まる。Morphisecによると、これらのインストーラの一部は、この6ヶ月間VirusTotalスキャンニング プラットフォームで全く検出されていなかった。

    Jupyterに関するVirusTotalでの検出結果(画像をクリックすると拡大表示されます)

     このインストーラは、コマンド&コントロールサーバのクライアントとして振る舞う.NETローダのプロセスをメモリ中に挿入するためにプロセスの空洞化(【訳注】 explorer.exe や svchost.exe などの信頼できるアプリケーションを、悪意のあるコードのコンテナとして機能させる目的のためだけにシステムに読み込む手法(Sophosエクスプロイト解説より))テクニックを利用している。
     「次に、このクライアントは次のステージ、即ち、このインメモリ(【訳注】 データベースに格納されたデータやプログラムコードなどを全てメインメモリ上に保持して扱う方式のこと(Weblioより))Jupyter .NETモジュールを実行するPowerShellコマンドをダウンロードする」と、Morphisecは説明している
     このインストーラの後継版で、開発者達はプロセスの空洞化に変えて、PowerShellをメモリ中で実行するようにしている。
     これら戦闘能力の全て(C&Cクライアント、マルウェアのダウンロードと実行、PowerShellスクリプト、コマンド、プロセスの空洞化テクニック)により、拡張されたバックドア機能が有効になる。
     Morphisecの観察から、攻撃チェーンを開始するイニシャル インストーラは、Microsoft Wordドキュメントを装い、以下の名前を使用している。 

    ・ The-Electoral-Process-Worksheet-Key.exe
    ・ Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe
    ・ Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe
    ・ Sample-Letter-For-Emergency-Travel-Document

    本物の囮、侵入テストツールキット

     このインストーラは、二つのPowerShellスクリプト(一方で暗号化、もう一方で復号)をバックグラウンドにドロップする間に、迂回路を作成するためにDocx2Rtf、Magix Photo Managerのような正当なツールを実行する。
     イニシャル インストーラの最新バージョンはまた、侵入テストで使用されるPoshC2フレームワークに依存し、ショートカットLINKファイル作成し、それをスタートアップフォルダに配置することで、そのマシン上に永続性を確立する。

    (画像をクリックすると拡大表示されます)

     Morphisecのレポートは、コンポーネントの進化の追跡、それらの内部動作を明らかにするためにJupyter攻撃で使用されるツールとスクリプトに関する技術的詳細を記している。改竄の痕跡も記されている。

    ロシア語のリンク

     この研究者達は、C&C Jupyterサーバの多くがロシアに置かれていると発言している。それらの大多数は現在稼働していない。
     けれども、Morphisecが、Jupyter名がロシア語からの変換と一致するミスタイプであることに気がついたので、ロシア語を話す開発者達へのリンクは、これより強化されている。
     この理論をさらにサポートする証拠が、Jupyterの管理パネルの類似画像検索の後に得られた。そして、これはロシア語フォーラムから得られたものである。

    (画像をクリックすると拡大表示されます)

    このInfostealerの絶え間ない開発は、このマルウェアがノーマークで在り続けるために、新しい要素を追加して変化している。この開発者達は、標的にする情報範囲を拡大している。


    新しいCPUセキュリティバグを修正するWindows 10 Intelマイクロコードがリリースされた
    BleepingComputer : News>Security(2020/11/09)
     Microsoftは、Windows 10 20H2, 2004, 1909, および、それ以前のバージョン用の、新しい一連のIntelマイクロコード アップデートをリリースした。このアップデートは、Intel CPU中に発見された新しいハードウェアの脆弱性を修正するものである。
     Intelが、彼らのCPU中にバグを発見したとき、Intelは、オペレーティングシステムがバグを修正しCPUの挙動をパッチすることを、あるいは、少なくとも軽減することを可能にするマイクロコード アップデートをリリースしている。
     本日、グラーツ工科大学、CISPA Helmholtz Center for Information Security、バーミンガム大学の国際研究者グループは、Platypusと呼ばれるCPUサイドチャンネル(装置の物理的な特性の変化を外部から観測・解析することにより、本来読み取ることができない情報を盗み取る手法(e-Wordより))脆弱性を公開した。
     これらの脆弱性は、ユーザにサポートされているCPUとDRAMメモリの消費電力を監視し管理することを可能にするIntelのRunning Average Power Limit (RAPL)インターフェース中に存在している。
     この研究者達は、RAPLインターフェースを使用して消費電力を監視し、CPUによって実行されている命令を推測し、メモリから重要なデータを盗むことが可能であることを示した。
     デモンストレーションとして、この研究者達は、保護されているIntel SGX Enclave(【訳注】 メモリ上にEnclave(飛び地)と呼ばれる暗号的に厳重に保護された領域を生成することで、センシティブデータを保護しつつプログラムを実行する為のCPUの拡張機能(Qiitaより))からAES-NI(【訳注】 旧来のアルゴリズムを強化し、データ暗号化を高速化する新しい暗号化命令セット(Intelより))キーを盗むためにPlatypus攻撃を使用する方法を示したビデオをリリースしている。

    PLATYPUS - Attacking AES-NI with RAPLのビデオ

    リリースされたWindows 10 Intelマイクロコード アップデート

     本日、Microsoftは、新しいIntelマイクロコード アップデートをリリースした。これはIntel CPU中のPlatypusを含む最新の脆弱性を修正するものである。
     このリリースの一部として修正される追加の脆弱性は以下である。

    CVE-2020-8695 IntelのRunning Average Power Limit (RAPL) Interface
    CVE-2020-8696 Vector Register Sampling active
    CVE-2020-8698 Fast store forward predictor

     このIntelマイクロコードでは、Intelから最新の修正を受け取る四つのCPUファミリーを追加している。

    ・ Avoton
    ・ Sandy Bridge E, EN, EP, EP4S
    ・ Sandy Bridge E, EP
    ・ Valley View / Baytrail

     あなたのデバイスが上記のプロセッサのどれかを使用しているのであれば、関連するIntelマイクロコード アップデートがWindows Updateを介して提供されるだろう。
     これらのアップデートは以下のリンクを使用して、Microsoft Catalogから直接ダウンロードすることもできる。

    ・ KB4589212: Windows 10 2004と20H2、Windows Server 2004と20H2用のIntelマイクロコード アップデート
    ・ KB4589211: Windows 10 1903と1909、Windows Server 1903と1909用のIntelマイクロコード アップデート
    ・ KB4589208: Windows 10 1809、Windows Server 2019用のIntelマイクロコード アップデート
    ・ KB4589206: Windows 10 1803用のIntelマイクロコード アップデート
    ・ KB4589210: Windows 10 1607、Windows Server 2016用のIntelマイクロコード アップデート
    ・ KB4589198: Windows 10 1507用のIntelマイクロコード アップデート

     我々は、ユーザが新しいマイクロコード アップデートをインストールすることを推奨するが、今までのアップデートが最新ではないCPUでパフォーマンス問題を発生させたことや、過去にバグと脆弱性を緩和する方法に起因してシステムをハングさせたことには留意しなければならない。
     Intelマイクロコード アップデートをリリースした後、Windows 10は、パッチを適用するためにコンピュータを再起動するように要求するだろう。
     これを実行する前に、必ず、これらのアップデートをインストールする前に開いていたあらゆるドキュメントを保存しなさい。

    サポートされるCPUか否かをチェックするには

     あなたのコンピュータにどのCPUが実装されているのかをチェックするには、Windows 10デバイスマ ネージャを使用する。
     これを実行するには、Windowsスタートメニューを開き、'Device Manager'(デバイスマネージャ)で検索し、表示されたDevice Manager(デバイスマネージャ)をクリックして開く。次に、以下に示すように、カテゴリのリストをスクロールし'Processors'(プロセッサ)を発見し展開する。

    Windows 10デバイス マネージャ(画像をクリックすると拡大表示されます)

     プロセッサ ファミリ、ステッピング情報(【訳注】 CPUの仕様変更のこと(富士通FMVサポートより))、リビジョン、型番を含むコンピュータのCPUに関してより学習したいのであれば、CPU-Zをダウンロードしなさい。


    CPU-Zを使用してCPUを同定する

     例えば、デバイス マネージャとCPU-Z中に表示される情報から、あなたはインストールされているプロセッサが、Intel i7-8700k Coffee Lakeであることを確認することができる。


    悪意あるNPMプロジェクトはDiscordアカウントとブラウザ情報を盗んでいる
    BleepingComputer : News>Security(2020/11/09)
     強く難読化された悪意に満ちたNPMプロジェクトが、疑うことを知らないユーザからDiscord(【訳注】 Windows・macOS・Linux・Android・iOS・Webブラウザで動作する、ビデオ通話・音声通話・VoIPフリーソフトウェア(Wikipediaより))ユーザ トークンとブラウザ情報を盗むために使用されている。
     NPMは、JavaScriptパッケージマネージャであり、開発者が、100万を超えるパッケージを含むパブリック レジストリから様々なJSモジュールをダウンロードし統合することを可能にするものである。
     NPMは、他の開発者が使用できるように、誰でもが送信することができるオープンシステムである。
     これがオープンシステムであることに起因して、悪意ある攻撃者が、データを盗むための悪意あるモジュールをアップロードし、プログラムをダウンロードし実行する、もしくは、他のプロジェクトに使用された時、悪意ある挙動を実行することが一般的になってきている。

    悪意あるNPMはブラウザデータ、Discordトークンを盗んでいる

     2020年10月25日、NPMはDiscordトークンと、Google Chrome, Brave Browser, Opera, Yandex Browserからブラウザ情報を盗むために設計されていた"fallguys"と呼ばれる悪意あるパッケージを削除した
     本日、オープンソースセキュリティ企業Sonatypeは、ブラウザ情報とDiscordトークンを盗む'discord.dll'と名付けられた別の悪意あるモジュールを発見した。これは、fallguysモジュールの後継と考えられている。
     Sonatypeの研究者Ax Sharmaは、悪意あるNPMプロジェクトは、開発者を欺き、それらを使用させるために正当なプロジェクトとに似た名前を利用することが一般的であると、BleepingComputerに告げている。  「タイポスクワッティングやブランドジャッキングのパッケージは、既存のプランドの価値を利用し、ユーザによる悪意のない間違いを利用しようとするものである」と、Sharmaは述べている。
     これはdiscord.dllと名付けられているが、そのpackage.jsonファイルは、このモジュールが以前GitHubに存在していた'JSTokenGrabber'と呼ばれる別のプロジェクトに基づいていることを示している。

    Discord.dll package.jsonファイル(画像をクリックすると拡大表示されます)

     プロジェクトに使用されると、このモジュールは以下のフォルダ中のLevelDBデータベースからDiscordユーザ トークンとブラウザ情報を盗もうとする。
      ・ %LocalAppData%\Google\Chrome\User Data\Default
      ・ %LocalAppData%\BraveSoftware\Brave-Browser\User Data\Default
      ・ %LocalAppData%\Yandex\YandexBrowser\User Data\Default
      ・ %AppData%\Opera Software\Opera Stable
      ・ %AppData%\discordptb
      ・ %AppData%\discordcanary
      ・ %AppData%\discord
     このパッケージで使用されているファイル名から、情報を盗むために使用される様々なコンポーネントを見ることができる。

    Discord.dllファイルツリー(画像をクリックすると拡大表示されます)

     収集される情報は以下を含む。
      ・ Discord, Discord Public Test Build (PTB), Discord Canaryのユーザトークン
      ・ https://api.ipify.org/?format=json を介しての犠牲者のパブリックIPアドレス
      ・ PCのユーザ名とDiscordのユーザ名
      ・ LevelDBデータベースからのブラウザ情報
     ユーザ情報の収集が終了すると、これらの情報は、DiscordのWebhookを介して攻撃者の制御下にあるDiscordチャンネルに送信される。
     discord.dllパッケージに加えて、Sonatypeは、同じ作者の他の疑わしい3つのパッケージ'discord.app' 'wsbd.js', 'ac-addon'を発見した。
     これらのパッケージが起動すると、'bd.exe', 'dropper.exe', 'lib.exe'と名付けられた実行可能ファイルを自動的に起動する。
     例えば、discord.appは、それが起動した時、dropper.exeプログラムを起動するだろうと、Sonatypeは述べている。
    “require('child_process').exec('dropper.exe');”
     残念ながら、これらのプログラムは発見されていないので、それらが何を実行するのかは未知である。
     discord.dllプロジェクトは、5ヶ月間NPM上で利用可能であり、ダウンロードは100回を数えている。


    Ryuk身代金要求型マルウェアは、どのようにして一企業から3400万ドルを奪ったのか?
    BleepingComputer : News>Security(2020/11/06)
     Ryuk身代金要求型マルウェアで高収益企業を標的にしている或るハッカーグループは、一企業のコンピュータをアンロックする復号キーとの交換で、この企業から3400万ドルを受け取った。
     脅威のアクターは、Ryuk身代金要求型マルウェアを爆発させる前に、改竄されたネットワークを横方向に移動(【訳注】 同一レベル上を移動)し、可能な限りの痕跡を消すことに大変熟達している。

    現金化

    Ryukファイル暗号化マルウェアのネットワークへの進入を容易にするTrickbotボットネットから受け取るIDによるとグループ"One"として参照されるこの脅威のアクターは、ターゲットに到達すると悪辣になる。
     Advanced IntelligenceのVitali Kremezによると、Ryukグループ"one"の最近の犠牲者には、テクノロジ、ヘルスケア、エネルギ、金融サービス、政府部門が含まれている。
     ヘルスケア団体とソーシャルサービス部門は、この脅威のアクターによって攻撃された犠牲者の13%強にすぎない。
     攻撃を再開して以来、Ryuk身代金要求型マルウェアは、犠牲者の大きな痕跡を残してきた。10月に記述されたCheck Pointのレポートでは、この悪漢共は、2020年の第三四半期において毎週平均20社を攻撃している。
     Ryuk身代金要求型マルウェアの最近のニュースでは、Universal Health Services (UHS)、一流のIT企業Sopra SteriaSeyfarth Shaw法律事務所、オフィース家具のトップSteelcase、並びにブルックリンとヴァーモントの病院に属するネットワークが暗号化されたとレポートしている。
     この研究者は、この特定のグループが受け取った平均支払い額が48 Bitcoin(凡そ、$750,000、7750万円)であり、彼らが2018年以来、1億5000万ドル(約155億円)稼いだと、発言している。
     本日のレポートで、Kremezは、このロシア語を話す脅威のアクターは、交渉中は無情であり、寛容を示すことは、まずないと発言している。確認された最大の支払額は、2,200 Bitcoinであり、これは現在、凡そ3400万ドルになる。

    15ステップの攻撃チェーン

     重大事案対応エンゲージメント(Incident Respose Engagement)からの攻撃のフローの解析で、Kremezは、Ryukグループ"one"が、ネットワーク上で利用可能なホスト名を発見し、管理者レベルの証明書を盗み、Ryuk身代金要求型マルウェアを配備するまで15ステップあまりがあると記している。
     彼らは最初に、ネットワーク・セキュリティをテストするレッドチーム(Red team)にも使用される利用可能なソフトウェア(殆どオープンソース)を入手する。
      ・ Mimikatz - メモリから証明書をダンプするためのポストエクスプロイト(【訳注】 攻撃者の侵入後の活動用) ツール
      ・ PowerShell PowerSploit - ポストエクスプロイト用に使用されるPowerShellスクリプトのコレクション
      ・ LaZagne - Mimikatz類似、ローカルコンピュータに保存されているソフトウェアからパスワードを収集するために使用される
      ・ AdFind - アクティブ ディレクトリ検索ツール
      ・ Bloodhound - そのドメイン アクティブ ディレクトリを列挙し可視化するためのポストエクスプロイト ツールであり、デバイス、ユーザログイン、リソース、パーミッションが備えられている
      ・ PsExec - リモートシステム上のプロセスの実行を可能にする
     この攻撃チェーンは、現在のユーザが、Domain Admin(【訳注】 Domain Adminsはドメイン内の全てのコンピュータのAdministrators権限を持っている、言い換えるとドメイン内の全てのコンピュータの管理をする事ができる非常に強力な権限。通常はシステム管理者だけが、持っている権限(ITtripより))グループに属しているか否かのチェック用の"DACheck.ps1"スクリプトを実行するためにCobalt Strike(【訳注】 標的型攻撃を模倣することができる商用製品(JPCERTよ/CCり)) "invoke"コマンドを稼働することによって始まる。  そこから、Mimikatzでパスワードが取得され、ネットワークがマップされ、ホストがFTP, SSH, SMB, RDP, VNCプロトコルに関するポートスキャンによって同定される。
     Kremezは、編集されたCobalt Strikeコマンドを追加した攻撃の完全なステップを説明している。
      1. "Invoke-DACheck"スクリプトでDomain Adminを検査する
      2. Mimikatz "mimikatz's sekurlsa::logonpasswords"でホストパスワードを収集する
      3. トークンを元に戻し、Mimikatzコマンドの出力から管理コメント用のトークンを作成する
      4. "net view"でホストのネットワークを検証する
      5. FTP, SSH, SMB, RDP, VNCプロトコルに関するポートスキャン
      6. 利用可能なホストに関するアクセスをリストする
      7. "net view"とポストスキャンされたホストからバッチスクリプト"adf.bat"を使用してアクティブディレクトリ ファインダー"AdFind"をアップロードする
      8. "WMIC"コマンドを介して、そのホスト上のアンチウィルス名を表示する
      9. このホストをスキャンするために、多目的パスワード リカバリツール"LaZagne"をアップロードする
      10. このパスワード リカバリツールを削除する
      11. ADFindを実行し、出力を保存する
      12. AdFindツール アーティファクトを削除し、出力をダウンロードする
      13. Ryuk身代金要求型マルウェアの全てに対するフルアクセスをネットシェアに付与する
      14. リモート実行ソフトウェア"PSExec"と準備済みのネットワークホストをアップロードし、アンチウィルス製品をアンインストールする
      15. 実行バッチスクリプトと解析されたネットワークホストをアップロードし、改竄された様々なユーザの下でPsExecを介してRyuk身代金要求型マルウェアを実行する
     Trickbotギャングは、少なくとも2020年4月から、スピアフィッシングキャンペーンを通じてBazarLoaderバックドアの拡散を開始している。多く検出されるTrickbotマルウェアとは異なり、このマルウェアは当初、このオペレータにリモートアクセスを提供するCobalt Strikeビーコンを配備するために、金銭的な価値の高い犠牲者用に取り置かれていたようである。
     しかし最近、このマルウェアを使ったフィッシングの試みは、攻撃の時期(休日、イベント)に合わせた疑似餌や、一年中いかなる時でも役に立つテーマ(苦情、給与、サービス、雇用通知)を使用して、より一般的になってきている


    Windows 10 20H2は、LSASSクラッシュで強制再起動を発生させている
    BleepingComputer : News>Security(2020/11/06)
     Microsoftは、Local Security Authority Subsystem Service (LSASS)システムプロセスのクラッシュに起因して、強制再起動を発生させる新しい問題を認識していた。
     LSASSは、Windowsシステムでセキュリティポリシーの実施を担当するシステムプロセスであり、セキュリティログにエントリを追加したり、ユーザログイン、パスワードの変更、アクセストークンの作成を取り扱うためにOSによって使用される。
     LSASSが失敗すると常に、ユーザは即座に、そのマシンで利用可能なアカウントへのアクセスを失い、エラーが自動的に表示され、そのデバイスは強制再起動される。

    クライアント、サーバー両方のプラットフォームに影響を与える

     「Windows 10 20H2にアップグレードした後、ユーザをリストするあらゆるダイアログ(例えば、サインインオプション設定アプリケーションページ、あるいはローカルユーザとグループMMC(Microsoft Management Console)スナップイン中のユーザフォルダへのアクセス)で操作している時に、"Your PC will automatically restart in one minute(PCは1分後に自動的に再起動されます)"のテキストと共にLSASS.exeのエラーを受け取る可能性がある」とMicrosoftは発言している。
     この既知の問題は、アドミニストレータやゲストのようなローカル組み込みアカウントの名前が変更されたデバイスにのみ影響を与えると、Microsoftは追加説明している。
     ユーザはまた、Windowsアプリケーション イベントログにEvent ID 1015が追加され"LSASS.EXE failed with status code C0000374."というエラーを見るだろう。
    Microsoftは、影響を受けるデバイスが、Windows 10バージョン2004やWindows 10バージョン20H2をオファーされたり、インストールされることを妨げるために、新しいアップデート ブロックを適用した。
     Microsoftは、LSASSの既知の問題の解決策が利用可能になり次第、来る数週間以内にアップデート バンドルや更新されたインストレーションメディアを提供するだろうと発言している。
     この問題の修正が提供されるまで、Microsoftは、「この問題が解決されるまで、直にアップデートボタンやMedia Creation Toolを使用して手動アップデートをしないように」ユーザに推奨している

    Windows 10再起動メッセージ(画像をクリックすると拡大表示されます)

    利用可能な解決策

     「この問題を防止し、セーフガードホールド(【訳注】 アップグレードするとトラブルになることが確認されているハードウェアやソフトウェアがインストールされている環境に対し、不具合の修正が完了するまでの間、アップデートの提供を一時的に停止(ブロック)する措置のこと(窓の杜より))を受け取らないようにするには、Windows 10バージョン2004やWindows 10バージョン20H2にアップデートする前に、全ての組み込みユーザの名前をDefault名に戻す必要がある」と、Microsoftは発言している。
    この問題の完全修正版は、Microsfotが調査を開始した直後なので当分利用できるようにならない、そこで、ここで利用できる指示を使用して以前のWindows 10に戻すことで、この問題を解決することができる。
     「既にあなたのデバイス上でこの問題に遭遇しているのであれば、アンインストール ウィンドウは、環境設定とアップデートのバージョンに応じて10日もしくは30日になっているかもしれない」と、Microsoftは発言している。
    続けて、「あなたは、この問題を解決した後、Windows 10の最新バージョンにアップデートする必要がある」と、Microsoftは発言している。
     あなたは、以下のDISMコマンド(必ず、Defaultのアンインストール ウィンドウが消滅する前に、これを実行しなさい)を使用してWindows 10を以前のバージョンに戻せる期間を数日増やすこともできる。

    DISM /Online /Set-OSUninstallWindow /Value:[days]

     あなたは、このコマンドの引数として2から60の間を選択できる。2より小さく、60より大きな値を指定した場合は、アップグレード後、アンインストールを開始できる日数は、自動的に10日にセットされる。
     本日、Microsoftは、Windows 10 2004または、20H2を実行しているデバイスに影響を及ぼし、ユーザーがThunderbolt NVMe(Non-Volatile Memory Express)ソリッドステートドライブ(SSD)を接続すると、Blue Screen of Dethでクラッシュするという、2つ目の問題に関する追加の互換性保持を適用している。


    カプコン(Capcom)がLocker身代金要求型マルウェアによって攻撃されている
    Threatpost : Blog (2020/11/05)
     伝えられるところによると、ビデオゲームの巨人Capcomが、身代金要求型マルウェア攻撃で特定のシステム(E-Mailとファイルサーバーを含む)に影響がでており、1TBもの重要なデータが暗号化されている。
     日本のビデオゲーム開発販売企業は、Resident Evil(ハイパーバイザー), Street Fighter(ストリートファイター)、 Darkstalkers(アジア圏: ヴァンパイア、アジア圏以外: ダークストーカーズ)を含む数百万を売り上げたゲームを開発している。最初に、この企業は月曜日の朝にサイバー攻撃を検出した。そして、このハッキングがサードパーティによって実行された非認証アクセスに起因することを確認した。そして、その日遅く、内部ネットワークの一部の操作を停止した。
     「関係各位には、多大なるご迷惑をおかけすることになり、深くお詫び申しあげます。」と、Capcomは水曜日のアドバイザリで発言している。続けて「また、現時点では顧客情報等の漏洩は確認されておりません。なお、本障害は当社ゲームをプレイするためのインターネット接続や、当社ホームページ等へのアクセスに悪影響をおよぼすものではございません。」と続けている。
     現在、Capcomは、警察をはじめとする関係各所に相談しており、システムの復旧に向け対応中である。現時点で、攻撃が開始された方法に関する詳細は記されていない。
     BleepingComputerによると、身代金要求型マルウェアRagnar Lockerが、このサイバー攻撃に使用された。身代金要求型マルウェアRagnar Lockerは、仮想マシンを介して身代金要求型マルウェアのペイロードを拡散することでよく知られているマルウェア株である。特にRagnar Lockerの背後にいる攻撃者は、4月のEnergias de Portugal (EDP)(【訳注】 ポルトガルを拠点とする電力事業者の通称)の北米ネットワーク攻撃のように、ネットワークを暗号化する前にデータを盗むことで知られている。サイバー攻撃者は、10TBの重要な企業データを盗んだと主張しており、1,580 Bitcoin(約1100万ドル)の支払いを要求している。
     BleepingComputerは、攻撃下にあるCapcomのコンピュータ上に存在していた脅迫文にアクセスしている。この脅迫文は、この身代金要求型マルウェアのギャングが、銀行の明細書、財務ファイル、知的財産、企業の契約や協定、秘密保持契約、および民間企業の文書(E-Mail、マーケティング プレゼンテーション、監査レポートのような)1TBを超える企業データをダウンロードしたと主張している。BleepingComputerによると、この脅迫文はまた、この身代金要求型マルウェアWebサイト上のプライベート データ リークページへのリンク、並びに、Ragnar Locker Tor交渉サイトへのリンクを含んでいる。
     「レポートによると、Ragnar Locker身代金要求型マルウェアを活用しているオペレータは、この攻撃の責任を負うが、Capcomは、これを直接確認していない」と、Digital ShadowsのCyber Threat Intelligence AnalystであるJamie Hartは、Threatpostに告げている。「脅威のアクターは、高額を支払う可能性があるビデオゲーム産業の企業をターゲットにしているかもしれない」とも告げている。
     この攻撃は、脅威のアクターが、ビデオゲーム開発組織をターゲットにしていることを観察された初めてのことではないと、Hartは発言している。例えば、Egregor身代金要求型マルウェアのオペレータは、10月にゲーム開発企業UbisoftとCrytekをターゲットにした。更に、Sodinokibi (REvil)身代金要求型マルウェアのオペレータは、伝えられているところによると、将来ビデオゲームの大企業をターゲットにした攻撃をすると約束したと報告されている。
     2020年では、これまでの流行としては、身代金要求型マルウェア攻撃が全体として増加している。サイバー犯罪者は、病院から米国大統領選挙の間の地方自治体大学まで、あらゆるものを標的にしている。


    VMwareは緊急のESXiフローの修正アップデートをリリースした
    Security Week : Vulnerabilities(2020/11/04)
     VMwareは水曜日、緊急の脆弱性に関して先月リリースした修正を検証した後、ESXiに関する新しいパッチをリリースしたと顧客に通知した。
     CVE-2020-3992として追跡されるこの脆弱性は、ESXi中のOpenSLPサービスに影響を与えるUse-After-Free(【訳注】 開放したメモリに対して(脆弱性により)再びアクセス、実行することが可能となることを悪用した攻撃を可能にするフロー(サイバー攻撃大辞典より))のバグとして説明されている。認証されていないリモートの攻撃者は、任意のコードを実行するために、このフローを攻撃している。
     しかしながら、攻撃者が、このフローを攻撃するには管理ネットワークに存在する必要があり、ESXiマシンのポート427にアクセスする必要があると、VMwareは発言していた。
     VMwareは、Trend MicroのZero Day Initiative (ZDI)のLucas Leongから、6月にこのセキュリティホールについて学習した。アドバイザリはまた、ZDIによって10月に公開された。
     「この特定のフローは、SLPメッセージのプロセス中に存在している。この問題は、オブジェクトの操作を実行する前に、そのオブジェクトの存在の検証が不足していた結果である。攻撃者は、SLPデーモンのコンテキスト中でコードを実行するために、この脆弱性を利用することができる」と、ZDIは発言している。
     VMwareは水曜日、当初のパッチが不完全であったと顧客に通知し、当初のアドバイザリを更新した。新しい修正は、ESXi 6.5, 6.7, 7.0としてリリースされたが、仮想マシンの管理とコンテナのオーケストレーションを行うためのハイブリッド クラウド プラットフォームであるVMware Cloud Foundation用のパッチは保留されたままである。
     VMwareが一回目で脆弱性のパッチに失敗したのはこれが初めてではない。今年初め、FusionのmacOSバージョンに影響する特権の昇格のフローに関するパッチを数回実行している。


    デスクトップとAndroidの両方にリスクのあるChromeの0-Dayが攻撃されている
    The Register : Security(2020/11/04)
     最新のアップデートでGoogle Chromeをパッチしなさい。パッチしていないのであれば、あなたには攻撃されている0-Dayの脆弱性があると、米国の国土安全保障省国家保護・プログラム総局(Cybersecurity and Infrastructure Security Agency、CISA)が警告している。
     サイバー犯罪者は、期限切れバージョンのChromeのユーザをターゲットにしていると、CISAは、そのアドバイザリにおいて、即座にブラウザをアップデートするよう人々を促している。
     「Googleは、この複数の脆弱性(CVE-2020-16009を含む)を解決するChromeのバージョン86.0.4240.183(Windows, Mac, Linux用)をリリースした。この脆弱性の攻撃コードはオンライン上に存在している。」と、CISAはその声明中で発言している。
     この脆弱性は、Chromeのデスクトップ版に影響を及ぼし、GoogleのProoject Zero情報セキュリティチームによって公開されているリモートコード実行のバグである。このバグは、GoogleのオープンソースJSとWebAssemblyエンジンであるV8中に存在している。この脆弱性の詳細は、この記事を記述している時点では、CVE-2020-16009のMITREエントリ(【訳注】 脆弱性の識別番号であるCVE-IDを管理している企業(McAfee Blogより))を介した公開ドメイン中には未だ存在していない。この脆弱性は、「リモード攻撃者が、巧みに細工されたHTMLページを介して、ヒープ損壊攻撃を可能にするものである。」
     悪者共は、利用可能な情報の欠乏にもかかわらず、既にこの脆弱性を明らかに解明している。
     「Googleは、CVE-2020-16009に対する脆弱性攻撃が実際に存在するとするレポートを認識している」と、いつも通りおしゃべりなChocolate Factory(【訳注】 Googleの別称)は発言している。
     ChromeのAndroidバージョン用のパッチは、積極的な攻撃下にあるCVE-2020-16010として追跡される脆弱性(AndroidのUIで「ヒープ バッファオーバーフロー」としてのみ説明されている)を修正している。
     Googleの簡単な説明、完全な責任、更新が遅い人々に勝利する方法に関するインターネット情報を、あらゆるScript Kiddie(【訳注】 他人の製作したプログラムまたはスクリプトを悪用し、興味本位で第三者に被害を与えるクラッカーの俗称(Wikipediaより))に渡したくないことから情報は僅かであるが、AndroidのChromeユーザは、実行しているバージョンが86.0.4240.185であることを確認する必要がある。


    何者かが10億BitCoinあったWalletをスッカラカンにした
    BleepingComputer : News>Security(2020/11/04)
     パスワードで保護されており粗10億BitCoinあったWalletが、スッカラカンにされた。
     謎は、この疑わしい取引と、最終的に巨大な額を現金化した団体に取り巻かれている。
     それは、所有者自身なのか、何者かがこのWalletをクラックしたのか?

    一日でBitCoinはWalletから引き出された

     以下に示すように、このBitCoinのWallet(アドレス1HQ3Go3ggs8pFnXuHVHRytPCq5fGG8Hbhxで同定される)は、この投票日に巨大な取引をした。
     2020年11月03日には、このWalletは、69369.16628020 BitCoin存在していた。これは、凡そ9億5700万 US$(約998億6300万円)になる。

    Blockchain取引履歴は、このBitCoin Walletに69369 BTCを超える額があったことを示している(画像をクリックすると拡大表示されます)

     一晩で、このWalletの額は、不思議なことに、巨大な額が現金化された後、僅か1.38US$になった。
     Blockchain取引の匿名性を考えると、この金額を受け取ったのが誰なのかを知ることは困難である。

    一晩で1.38US$になったWallet(画像をクリックすると拡大表示されます)

     この重大事案は、Hudson Rockの共同設立者でCTO(【訳注】 最高技術責任者)であるAlon Galによって報告された。
     この驚くべき取引を確認し、Galは以下のようにTweetしている。
     「信じられない、私が少し前に報告したように、何者かが、BitCoin Walletのパスワードをクラックし、その中にあった$1,000,000,000を使うことができたなんて!」

    2015年以降Walletはハッカーの間で流通している

     このWalletはハッカーとの関連付けにおいて取り分け興味を引いた。
     Galは、少なくとも今年の9月以降、このBitCoinアドレスを監視してきた。クラックに成功した者はいない。
     「聞いてくれ、このパスワードをクラックするために過去2年間ハッカー/クラッカーの間で回されている69,000BitCoin($693,207,618)の入ったWalletがある。今まで成功していない」と、更に「私は財布を持っている、@Googleは、どうか私を量子コンピュータに接続して下さい」と、Galは以前に発言している。
     Galは、出金取引は、このWalletによって生成された最近の風評への対応として、そのWalletの本来の所有者が実行したか、あるいは、そのパスワードをクラックした者によって実行されたと疑っている。
     Galによると、このWalletは、デビット取引に関しては2015年以来「休眠状態」であった。
     休眠状態のアカウントから10億ドルのデビット取引は疑わしく見えるので危険信号が発せられる。
     2020年6月、評価額10億ドルの他のBitCoin Walletが不思議にも空にされた
     BitCoin台帳で実行される取引は公開されるが、暗号通貨ユーザに保証される匿名性の付与は、この金銭の追跡を困難にしている。
     しかしながら、この金銭の流れを追跡することは、暗号通貨であっても可能である。そして、発生する恐れのあるマネー・ロンダリングのような不法行為は、金融および規制当局に対して明らかにされるだろう。


    新しいRegretLocker身代金要求型マルウェアはWindows仮想マシンをターゲットにしている
    BleepingComputer : News>Security(2020/11/03)
     RegretLockerと呼ばれる新しい身代金要求型マルウェアは、仮想ハードドライブを暗号化し、暗号化のためにオープン-ファイルを閉じることを可能にする様々な高度な機能を使用している。
     RegretLockerは、10月に発見された。この身代金要求型マルウェアは、長い脅迫文を持っておらず、Tor支払いサイトではなくE-Mailを使用してコミニケーションするところの見かけは単純な身代金要求型マルウェア(ランサムウェア)である。

    RegretLockerの脅迫文(画像をクリックすると拡大表示されます)

     RegretLockerは、ファイルを暗号化している時、暗号化されたファイル名に無害に見えそうな .mouse 拡張子を追加する。

    RegretLockerで暗号化されたファイル(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアは見かけに欠けているものの、以下に説明するように、通常、身代金要求型マルウェア感染には見られない高度な機能で補われている。

    RegretLockerは仮想ハードディスクをマウントする

     Windows Hyper-V仮想マシンを作成する時、仮想ハードディスクが作成され、VHDもしくはVHDXファイル中に格納される。
     これらの仮想ハードディスクファイルは、ナマのディスクイメージ(ドライブのパーティションテーブルとパーティションを含む)を含んでいる。そして、通常のディスクドライブのように、幾つかのギガバイトからテラバイトにサイズを変更することができる。
     身代金要求型マルウェアがコンピュータ上でファイルを暗号化する時、大きなファイルを暗号化することは、全体の暗号化プロセスをスローダウンするので効果的ではない。
     MalwareHunterTeamによって発見され、Advanced IntelのVitali Kremezによるこの身代金要求型マルウェアのサンプルの解析で、RegretLockerは、仮想ディスクファイルをマウントし、そのファイルを個別に暗号化できる高度なテクニックを使用していた。
     これを実行するために、RegretLockerは、Windows Virtual Storage APIのOpenVirtualDisk, AttachVirtualDisk, GetVirtualDiskPhysicalPath関数を使用して仮想ディスクをマウントしている。

    VHDファイルのマウント(画像をクリックすると拡大表示されます)

     この身代金要求型マルウェアのデバッグ メッセージに表示されているように、VHDを具体的に検索し、検出されると、それらをマウントしている。

    parse_files() | Found virtual drive: %ws in path: %s

    Windowsの物理ディスクのように仮想ドライブがマウントされると、この身代金要求型マルウェアは、夫々を個々に暗号化することができるので、暗号化のスピードを上げることができる。
     VHDをマウントするために使用されているコードは、セキュリティ研究者smelly__vxによって最近発表された研究から取得されている。
     更に、Virtual Storage APIを使用しているために、RegretLockerはまた、プロセスもしくは暗号化している間ファイルを開いたままにするWindowsサービスを終了させるためにWindows Restart Manager APIを利用している。
     Kremezは、このAPIを使用している時、プロセスの名前に'vnc', 'ssh', 'mstsc', 'System', 'svchost.exe'を含まれていると、この身代金要求型マルウェアは、そのプロセスを終了しないだろうとBleepingComputerに告げた。この例外リストは、多分重要なプログラムや、脅威の攻撃者によって改竄されたシステムにアクセスするために使用される。

    Windows Restart Manager例外リスト(画像をクリックすると拡大表示されます)

     Windows Restart Manager機能は、REvil (Sodinokibi), Ryuk, Conti, ThunderX/Ako, Medusa Locker, SamSam, LockerGogaのような幾つかの身代金要求型マルウェアによって使用されているだけである。
     RegretLockerは、この時点で大変アクティブであるとは言い難いが、注目し続けることが必要な新しいファミリーである。


    Windowsカーネルの0-Dayの脆弱性が標的型攻撃に使用されていた
    BleepingComputer : News>Security(2020/10/30)
     GoogleのバグハントチームであるProject Zeroは、本日、Windowsカーネル中に発見され、積極的な標的型攻撃を受けていた0-Dayの権限の昇格に関する脆弱性を公開した。
     このフローは、WindowsカーネルのCryptography Driver (cng.sys)に存在しているプールベースのバッファオーバーフローであり、現在、CVE-2020-17087として追跡されている。

    利用可能な脆弱性攻撃の脆弱性の証明

     Project Zeroのセキュリティ研究者Mateusz JurczykとSergei Glazunovによると、Windowsカーネルの0-Dayのバグは、権限の昇格(サンドボックス保護メカニズムの回避を含む)に関して特定の攻撃者によって悪用されていた。
     「このバグは、cng!CfgAdtpFormatPropertyBlock関数中に存在し、16bit Integer切り捨て問題が原因である」と、この研究者達は説明している。
     Project Zeroはまた、システム設定がDefaultであっても、脆弱性のあるWindowsデバイスをクラッシュするために使用することができる脆弱性の証明を提供している。
     この脆弱性の証明は、「最新のWindows 10 1903(64bit)でテストされたが、この脆弱性は少なくともWindows 7以降に存在していると考えられている。」

    この問題に関連するBen HawkesのTwitterへのリンク

    この攻撃はアメリカの選挙に関連していない

     Ben Hawkes(GoogleのProject Zeroセキュリティチームの技術チームのリーダー)によると、オンライン上でCVE-2020-17087を悪用する現在実行されている攻撃は、アメリカの選挙を標的として関連付けられていない。
     「現在、我々はこの問題のパッチが11月10日に利用可能になることを期待している」と、GoogleのProject Zeroセキュリティチームの技術チームのリーダーBen Hawkesは発言している
     「我々は、Googleの脅威解析グループのディレクターShane Huntleyと共に、この攻撃が標的型攻撃であり、アメリカの選挙を標的にしていないということを確認した」
     このバグは、僅か8日前にProject Zero issue trackerに追加されたが、オンライン上で既に攻撃者によって使用されているために7日後に公開された。
     先週、Googleはまた、Project Zero研究者によってGoogle Chromeブラウザ中に発見された積極的に攻撃されている0-Dayの脆弱性を修正した。
     「ProjectZeroは、Chromeを標的にして使用されていたfreetypeで積極的に悪用された0-dayを発見し、報告した」とHawkesは当時述べている。

    トランプの公式キャンペーンサイトが「この大統領の十分な数のフェイクニュースを持っている」とするハッカーによって破壊された
    The Register : Security(2020/10/28)
     ドナルド・トランプ大統領のキャンペーンWebサイトが、今夜簡単にハックされ破壊された。
     このサイト(donaldjtrump.com)は、詐欺師やテロリストに対して米国当局がアナウンスするドメイン名押収をパロディーにしたメッセージで置き換えられた。そこには、米国政府の印章と並べて、「世界には毎日、大統領Donald J Trumpによって拡散されるフェイクニュースが沢山あるため、このサイトを押収した」とする主張がある。
     このサイトは、太平洋時16:30(世界標準時23:30)頃、この破壊に人々が気付いてから30分後に通常に戻された。これは、トランプが、197のIQを持ち、あなたのパスワードの凡そ15%を必要とする者でない限り、「誰もハックできない」と発表した後に実行された。これは、政府と企業ネットワークに侵入するために悪党によって攻撃される脆弱性に関するHomeland Security(米国国土安全保障省)とNSA(米国国家安全保障局)による、より緊急度の高い勧告に従うことでもある。
    トランプのハイジャックされたWebサイトがどのようであったかを以下に示す。

    (画像をクリックすると拡大表示されます)

     この汚されたドットコムは、人々から暗号通貨を収穫する策略として、大統領を信用しない証拠のリークに賛成なのか反対なのかで用意された二つの財布へMoneroデジタル通貨を寄付するようにネット市民に依頼していた。このページはまた、他の野蛮な主張の中に「複数のデバイスが、トランプと関係者へのフルアクセスを与えるように改竄された」とも主張している。
     トランプ キャンペーンのスポークスマンは、NBC Newsに「Webサイトは汚された、そして、我々は、攻撃の源泉を調査するために法執行機関と共に作業した」更に続けて「このサイトに実際に重要なデータは格納されていないので、重要なデータの漏洩はない」と告げている
     米国では、11月03日、次の四年間を誰が担うのか(共和党の現職Donald Trumpか、民主党の候補者Joe Bidenか)を決定する投票が行われる。


    Microsoft: WindowsからAdobe Flashを削除するアップデートをリリース
    BleepingComputer : News>Security(2020/10/27)
     Microsoftは、WindowsからAdobe Flashを削除し再インストールを妨げるKB4577586アップデートをリリースした。
     2020年9月に、Microsoftは、Adobe Flash Playerをアンインストールし、同じデバイスに再インストールすることを妨げるオプションの更新プログラムが、秋にはリリースされるだろうとアナウンスしていた。
     本日、Microsoftは、"Update for the removal of Adobe Flash Player: October 27, 2020" KB4577586アップデートをリリースした。このアップデートは、Windows 10とWindows Serverの全てのバージョンからAdobe Flashを削除する。

    Windows 10 KB4577586アップデート

     このオプションの更新プログラムは、Microsoft Catalogを介してのみ利用可能であり、一旦インストールすると、後で削除することはできない。
     このアップデートが存在するデバイス上にAdobe Flash Playerをインストールしたい人は、そのデバイスを以前のリストアポイントに戻すか、Windows 10を最初から入れなおさなければならない。
     インストールすると、Adobe Flash Playerは自動的に削除されると、Microsoftは述べている。けれども、我々のテストでは、このアップデートをインストールした後も、Adobe Flash Playerは、以下に示すように存在していた。

    インストールされたままのAdobe Flash(画像をクリックすると拡大表示されます)

     Microsoft Edge上でAdobe Flashをチェックすると、このアップデートをインストールした後も、Adobe Flashはインストールされたままだった。このテストは、EdgeでFlashを有効にし、https://helpx.adobe.com/jp/flash-player.html(リンクを日本語サイトに変更)をチェックして行われた。

    Microsoft Edge中のAdobe Flashコンポーネント(画像をクリックすると拡大表示されます)

     BleepingComputerはMicrosoftに接触し、このアップデートが我々のテストでFlash Playerを削除しなかった理由を特定した。
     このアップデートは、Flashが提供終了(【訳注】 Adobe Flash Playerの提供終了は、2020年12月31日)された後の、2021年の早い時期に、Flash Playerの大規模な削除を実行するためにWSUS(Windows Server Update Services)とWindowsアップデートを介して利用されると、Microsoftは述べている。


    現在Windows 10が非表示にしているSYSTEMコントロールパネルへのアクセス方法
    BleepingComputer : News>Security(2020/10/25)
     Windows 10 20H2のリリースに伴い、Microsoftは現在、由緒あるSYSTEMコントロールパネルへのアクセスを妨げ、代わりに、新たにアップデートされた’About'設定ページにユーザをリダイレクトしている。
     SYSTEMコントロールパネルは、Windows NT 3.51とWindows 95で最初に導入され、インストールされているWindowsのバージョン、オペレーティングシステムのビットタイプ、コンピュータ名、ワーキンググループ、CPU、メモリに関する情報を提供している。
     コントロールパネルは、そのコンピュータに関する多くの情報を提供しているので、Windows PCのトラブルシューティングやコンピュータの基本情報を確認するときに広く使用されてきた。

    SYSTEMコントロールパネル(画像をクリックすると拡大します)

     7月にBleepingComputerは、Microsoftが全てではないもののSYSTEMページで発見される殆どの情報を含むように'About'設定ページをアップデートしたとレポートした。その時点で、MicrosoftはSYSTEMコントロールパネルを開こうとするとAboutページにユーザーをリダイレクトする機能をコッソリ試していた。

    アップデートされたAbout設定ページ(画像をクリックすると拡大します)

    Windows 10 20H2で、Microsoftはコントロールパネルを破滅に導き、現在、ユーザがSYSTEMコントロールパネルにアクセスすることを妨げている。現在、ユーザがSYSTEMコントロールパネルを開こうとすると、Aboutページが表示される。
     最新のディスクマネージメント ツールリフレッシュレート オプションのテストと、'Program and Features'(プログラムと機能)コントロールパネルを'Apps & Features'(アプリケーションと機能)にリダイレクトするテストで、我々は、Microsoftが徐々にコントロールパネルを削除していることを確認した。
     最終的には、Windows 10では、設定が様々な場所に配置されていて紛らわしいので、これは適切なことである。設定機能に組織化することで、特定の設定を見つけやすくなる。
     日常的に、SYSTEMコントロールパネルを使用している人々への良いニュースは、依然としてSYSTEMコントロールパネルにアクセス可能であるということである。以下にアクセス方法を示す。

    Windows 10 20H2でSYSTEMにアクセスする方法

     MicrosoftはSYSTEMコントロールパネルをリダイレクトしているが、特別に細工されたWindowsショートカットでアクセスする方法がある。
     SYSTEMコントロールパネルを開くショートカットを作成するには、以下のステップに従う。
    1/ 開いている全てのアプリケーションとフォルダを最小化して、Windowsデスクトップだけが表示されている状態にする。
    2/ デスクトップを右クリックし、新規作成 > ショートカット を選択する

    新しいショートカットを作成する

    3/ ショートカット ダイアログが開いたら、ショートカットのフィールドにexplorer shell:::{BB06C0E4-D293-4f75-8A90-CB05B6477EEE} をコピー・アンド・ペーストする。次にNextボタンを押す。

    SYSTEMショートカットの作成

    4/ これで、このショートカットに名前を付けるページが表示される。名前を付ける欄にSYSTEMと入力し、Finishボタンを押す。

    SYSTEMショートカットの作成

    5/ SYSTEMと名付けられたショートカットが、デスクトップに作成されている。SYSTEMコントロールパネルを開くときには使用することができる。

    新しいSYSTEMショートカット

     このSYSTEMショートカットは、スタートメニューで'SYSTEM'を検索し、アプリケーションセクションに表示されたアイコンを選択することで、直接起動することも可能である。
     ある時点で、MicrosoftはSYSTEMコントロールパネルを完全に削除してしまう可能性がある。これに伴い、このショートカットは機能しなくなる。


    EmotetマルウェアはMicrosoft Wordをアップグレードするよう呼びかけている
    BleepingComputer : News>Security(2020/10/24)

    画像をクリックすると拡大します

     Emotetは、今週Microsoft Officeからのメッセージを装う新しいテンプレートに変更した。これには、新しい機能を追加するためにMicrosoft Wordをアップグレードする必要があると述べられている。
     Emotetは、悪意あるマクロを添付したWordドキュメントを含むE-Mailを介して拡散するマルウェアである。これらのドキュメントを開くと、それらのコンテンツはユーザを欺きマクロを有効にする。そこで、Emotetマルウェアが、そのコンピュータ上にダウンロードされインストールされることになる。
     このマルウェアがインストールされると、Emotetは、スパムメールを送信するために、そのコンピュータを使用し、果ては、犠牲者のネットワーク上に身代金要求型マルウェア(ランサムウェア)攻撃を導くことができる。

    新しい悪意あるドキュメントテンプレート

    Emotetは、受信者を欺き添付ファイルを開かせるために様々な誘惑(以下に示すように、請求書、出荷通知、履歴書、注文書、さらにはCOVID-19(【訳注】 新型コロナウィルス)情報を装う)を使用している。

    Emotetのスパムメールの例(画像をクリックすると拡大します)

     これらのスパムメールに添付されているファイルは、悪意あるWord(.doc)、もしくは、そのファイルをダウンロードさせるためのリンクである。
     これらの添付ファイルが開かれると、ユーザに"Enable Content(コンテンツの有効化)"するように促し、犠牲者のコンピュータ上にEmotetマルウェアをインストールする。
     ユーザを欺きマクロを有効にさせるために、Emotetは、様々なデザイン、あるいはドキュメントテンプレートを使用してユーザに警告を表示する。
     Emotetは今週、新しい機能を追加するためにMicrosoft Wordをアップグレードする必要があるというMicrosoft Officeを装う新しいテンプレートに変更した。

    ・ Upgrade your edition of Microsoft Word(Microsoft Wordをアップグレードしなさい)
    ・ Upgrading your edition will add new feature to Microsoft Word.(アップグレード版はMicrosoft Wordの新しい機能が追加されている)
    ・ Please click Enable Editing and then click Enable Content.(文書内の編集を有効にするをクリックし、次に、コンテンツの有効化をクリックして下さい)

     このドキュメントは、Microsoft Wordをアップグレードするために、Enable Editing(文書内の編集を有効にする)とEnable Content(コンテンツの有効化)ボタンをクリックするように、ユーザに告げている。これは、悪意あるマクロを実行させることになる。

    新しくアップグレードされたMicrosoft WordのEmotet添付ファイル(画像をクリックすると拡大します)

     これらの悪意あるマクロは、以下に示すように、Emotetマルウェアを犠牲者の%LocalAppData%フォルダ(【訳注】 この環境変数は、C:\Users\ユーザー名\AppData\Local を指しています)にダウンロードする

    WindowsにインストールされたEmotetマルウェア(画像をクリックすると拡大します)

    何故Emotetの添付ファイルを認識する必要があるのか?

     Emotetは今日、ユーザを標的にしている最も広範に拡散しているマルウェアであると認識されている。このマルウェアは、犠牲者のコンピュータ上にTrickbotやQBotのような他の感染体をインストールするのでとりわけ危険である。
     TrickbotやQBotがインストールされると、格納されているパスワード、銀行情報、格納されている他の情報を盗もうとするだけでなく、Conti(TrickBot)ProLock(QBot)身代金要求型マルウェアの攻撃を導く。
     このため、全てのE-Mailユーザは、Emotetによって使用されている悪意あるドキュメントテンプレートを認識することが重要である。そうすることで偶発的感染を回避することができる。


    ハッカーによると、ドナルド・トランプのTwitterパスワードは”maga2020!”であり、二要素認証は使われていなかった
    Graham Cluley : News (2020/10/23)
     先月、ハッカー達は2016年にドナルド・トランプのパスワードをクラックしていたという驚くべき主張をした。
     その時に、米国大統領候補が使用していたパスワードは、”yourfired”であった。
     これはまるでなってないことであるが、大統領職の多くをTwitterに費やしてきたドナルド・トランプは、このことから、何らかの教訓を学んだのだろうか?
     オランダの善良なハッカーであるVictor Geversによると、先週、米国大統領@realDonaldTrumpアカウントが、恐ろしいほど馬鹿げたパスワード”maga2020!”で保護されており、二要素認証は無効になっていた。
    Geversは、悲しく哀れな”maga2020!”に到達する前に、以下の幾つかのパスワードを試したと発言している。

      ・ !IWillAmericaGreatAgain!
      ・ MakeAmericaGreatAgain
      ・ MakeAmericaGreatAgain!
      ・ Maga2020
      ・ Maga2020!
      ・ maga2020!

     Geversは、彼がドナルド・トランプのプロファイルに対して完全なアクセスを持ったことを示すために、そのスクリーンショットを共有した。
     Geversは、トランプ、彼のチーム、ホワイトハウス、Twitter、そして、CISA(Cybersecurity & Infrastructure Security Agency、国土安全保障省国家保護・プログラム総局)に対してさえ、このセキュリティ問題を通知した。しかし、何の応答もなかった。
     記述している時点(現地時間、10月22日 16:04)で、このパスワードは変更され、二要素認証は有効にされていた。
     正直、唖然としている。この重大事案に関する詳細は、Vrij Nederlandからのレポートを読みなさい。


    Chrome、0-Dayの脆弱性を修正。直ちにアップデートを
    Sophos : NakedSecurity (2020/10/22)
     あなたのブラウザがGoogle Chromeや、Chromiumのような関連製品であるのなら、自動アップデートが動作していることを確認し、最新バージョンであるか否かをチェックしなさい。
     Chromeについて、もしくは、Chromiumについてダイアログに移動し、最新のバージョン 86.0.4240.111 になっていることを確認しなさい。
     昨日(現地時間 10月20日)、リリースされたこのバージョンは、全てのユーザが利用すべき「安定版」である。
     このダイアログで、バージョンが86.0.4240.75であれば、このダイアログを閉じなさい。しかし、未だ以前のバージョンであるのなら、あなたのシステムは未だアップデートされていない。
     Googleの説明では、アドレスバーの右端に円の中に上向きの矢印のアイコンがあれば、保留中の更新があることを示している。
     この時点で、Chromeを一度終了し、もう一度Chromeを起動すると、修正が適用されるはずである。
     あなたが、コンピュータをめったにシャットダウンしない、あるいは、めったにブラウザを終了しない習慣があるのなら、これはChromeがアップデートを取得する「極めて稀な瞬間」になるだろう。
     Chromium(プロプライエタリ部分が付属していないChromeのオープンソースバージョン)ユーザは、通常のアップデート手順に従いなさい。アップデートの手順は、あなたが使用しているオペレーティングシステムと、最初にChromiumを取得した場所に依存する。
     あなたが、この特定のアップデートを取得しなければならない理由は、5つのセキュリティバグ(1つのバッファオーバーフローと3つのUse-After-Free脆弱性(【訳注】 Use-After-Freeとは開放したメモリに対して(脆弱性により)再びアクセス、実行することが可能となることを悪用した攻撃のこと(サイバー攻撃大辞典より)))が修正されたことだけではなく、これらのバグの1つ(CVE-2020-15999)が既にアタッカーによって知られていることにある。
     更新通知で述べられているように、「Googleは、CVE-2020-15999が実際に存在するという報告を認識している。」
     このバグはFreetype中のヒープ バッファオーバーフローとして説明されている。Freetypeは、プログラマが、彼らのアプリケーション中で、あらゆる種類のモダン フォントファイルとフォーマットの使用をサポートすることを可能にするオープンソースのフォント レンダリング ソフトウェア ツールキットである。
     今日、多くのWebページは、必要とされる特定のフォントを含んでいる。例えば、企業のタイプフェースとWOFFs(Web Open Font Formatの頭文字)として知られるそれらのファイルは、必要に応じて使用されるためにブラウザ中にダウンロードされる。
     WOFFファイルは、ユーザーがすでにインストールしている可能性が低いフォントにWebサイトが依存できるようにするだけでなく、失われたり正しく表示されない特定の文字または文字セットをサポートする特定のバージョンのフォントへのアクセスに依存できるようにするためにも使用される。
     それ故、我々は、このバグが、フォントがロードされたり、特定のテキストが表示されたときに、故意にこのバグをトリガーとし、虫も殺さぬように見えているがブービートラップされたフォントファイルを含むWebページに誘導されることで攻撃される可能性があると推測している。

    何をすべきか?

     アップデートしよう!
     この攻撃は、実際に知られているにもかかわらず、Googleは、このアップデートが「今後数日/数週間でロールアウトされる」だろうという、いつも通りのメッセージを含めている。これは、おそらく一部のChromeユーザーがベンダに依存して修正を押しのけている可能性があるからである。
     疑わしい場合は、デバイスメーカーにアドバイスを求めなさい。


    Windows 10 KB4579311アップデートは、インストールされず、Explorerのクラッシュを引き起こす
    BleepingComputer : News>Security(2020/10/20)
     Windows 10ユーザは、最新のKB4579311累積アップデートで多くの問題に直面している。インストールできた人々は、パフォーマンス問題を含む様々なバグを報告している。
    Microsoftは、KB4579311累積アップデートを、2020年10月13日にリリースした。それ以来、ユーザは、このアップデートでインストール、クラッシュ、パフォーマンスに関する問題とブート問題が起きていると報告し続けている。
     Windows 10で稼働しているハードウェアとドライバーは様々であるため、新しい累積アップデートがリリースされると常に問題が発生するが、今回の問題では、明らかに通報が増加している。
     そういうことで、私は多くのコンピュータにKB4579311累積アップデートをインストールしてみた。そして、唯一、以下に説明するExplorerのクラッシュを経験した。

    ユーザが報告していること

     KB4579311累積アップデートのリリースで、ユーザが経験した問題の数に顕著な増加がある。
    人々が、このアップデートをインストールした後に経験している幾つかの問題の概要を以下に示す。

    KB4579311累積アップデートをインストールできない

     ユーザがWindows 10 KB4579311累積アップデートで遭遇する最も一般的な問題は、そもそも、このアップデートをインストールすることができないということである。
     Feedback Hubの簡単なレビューとMicrosoftのフォーラムへの投稿は、ユーザが、このアップデートをインストールしようとした時、0x800f081f, 0x8007000d, 0x800f0988他のようなエラーコードを受け取ったと多くのユーザは通知している。

    Feedback Hubのレポート(画像をクリックすると拡大します)

     Redditの他のユーザもまた、インストレーションルーチンがあるパーセンテージに達すると、動かなくなると通知している。結局長い間待たされた後に、このアップデートは続行される。
     残念ながら、影響を受けた多くのユーザは、sfc /scannow, アンチウィルススキャン, ドライバアップデートなどのような標準的なWindows Updateトラブルシューティング タスクは役に立たないと述べている。
     Bleeping Computerが発見した、このアップデート問題を上手くバイパスする一つの方法は、Windows 10 Media Creation Toolを使用するインプレース アップグレードを実行することである。(【訳注】 過去、Media Creation Toolを使用してのインプレースアップグレードは多大な時間がかかることが報告されています。ただ、累積アップデートがリリースされる度にMedia Creation Toolもアップデートされますので、この累積アップデートでトラブルに遭遇した方は、一度お試し下さい)

    ブート問題、Explorerのクラッシュ、パフォーマンスの問題

    最後に、一部のユーザは、ブート問題、パフォーマンス問題、奇妙なデスクトップ問題を経験している。
    残念ながら、ブート問題とクラッシュは、Windows Updateで体験する当たり前のことである。一部のユーザは、ログインした後、デスクトップが表示される前に、Explorerが何度も起動と終了を繰り返したと述べている。
     「私は、Windows Update KB4579311で問題に遭遇した。インストールすると、最終的にログインするまで、Explorerが繰り返しクラッシュする。ログインすると、通常通り使用することができる、しかし、クラッシュすると、ログインと全てをロードするのに要する時間が増加する。大変迷惑である」と、あるユーザはレポートしている。
     一部のユーザでは、これらのExplorerのクラッシュは、自動的に解決されず、代わりに、Windowsが応答しなくなる。
     最後に、一部のユーザは、パフォーマンス問題(Windowsの動作が緩慢になる、応答しなくなる、あるいは、ゲームはもはや動作しない)をレポートしている。
     この問題を解決するには、以下の手順を実行することをユーザに推奨する:

      1. KB4579311アップデートをアンインストールする。ここでアップデートのアンインストールについて詳細に学習することができる。
      2. このアップデートをアンインストールしたら、グラフィック、オーディオ ドライバ、Intelドライバ、可能ならストレージドライバをアップデートする。Intel GPUを使用している場合は、グラフィックス ドライバを試すことができる。グラフィックス ドライバは、OEMデバイスに関しては現在、例外なくインストールすることができる。
      3. 全てのドライバーが最新バージョンにアップデートされたら、KB4579311アップデートを再インストールする。
      4. うまくいけば、デバイスドライバを更新することで問題は解決するだろう。


    気をつけろ! このAndroidマルウェアは工場出荷状態に戻しても削除することができない
    Fossbytes : News(2019/10/30)
     Malwarebytesは、今までに45,000のAndroidデバイスに感染した新しいマルウェア株を特定した。xHelperと名付けられたこのマルウェアは、未だ7ヶ月しか経っていないが、8月の1ヶ月で既にMalwarebytesのマルウェアのTop 10リストの仲間入りを果たしている。セキュリティ研究者によると、このマルウェアは、自分自身を偽装し、あらゆる種類のアンチウィルスを回避するための最も効果的な方法の一つを身に付けている。

    アプリケーションのサイドローディングを可能にしているWebサイトによって拡散している

     Symantecは、このAndroidマルウェアが、ユーザのデバイス上のアプリケーションをサイドロード(【訳注】 新しいデバイスでサポートされなくなってしまったアプリをインストールしたい場合、Google Play経由ではなくPCからマニュアル操作でアプリをデバイスにインストールする方法(lifehackerより))することを可能にしているWebサイトによって押し付けられると明らかにしている。ユーザがサードパーティのWebサイトからアプリケーションをインストールすると、xHelperトロイは、ターゲットのスマートフォンにインストールされる。
     インストールされると、このトロイは、頻繁にポップアップと通知を表示するようの動作する。SymantecとMalwarebytesの双方が実施した調査によると、xHelperマルウェアは、感染者の個人情報を損失させる可能性のある悪意ある挙動は行なわない。
     このマルウェアは、感染者にゲームをしたり、他のアプリケーションをダウンロードしたりするように促してくる。このマルウェアの背後にいるグループは、広告をクリックさせたり、他のアプリケーションをインストールさせたりすることで金銭を得ようとしている。

    工場出荷状態に戻しても削除できない

     このマルウェアの最も興味をそそることの一つは、その背後にいる悪の行動主体が、スマートフォンからこのマルウェアを削除することが不可能に近いことを保証していることである。このマルウェアは、暗号化を使用して自分自身を難読化している。Malwarebytesによると、xHelperアプリケーションには、セミステルスとフルステルスの二つの変種がある。両方の変種共、アプリケーションアイコンを作成しない。これは通常のユーザが発見することをより困難にしている。アイコンやショートカットがないことは、あなたが、この頻繁に通知を発生させるアプリケーションをアンインストールできないことを意味している。
     このマルウェアに気がつく唯一の方法は、このマルウェアがセミステルス・モードで稼働している時に表示される通知アイコンである。フルステルス・モードでは、感染者のデバイスで、このマルウェアを検出する唯一の手段であるこの通知を表示することさえしない。

    xHelperは、デバイスの起動。ネットワーク接続のような特定のアクションが呼び出された時に自動的に稼働するようにコーディングされている。一旦、フォアグラウンドサービス(【訳注】 通常のサービスと違い、通知を表示し、バックグラウンドで実行している事をユーザに認識させた状態で実行するもの(Qiitaより))として処理が開始されると、このマルウェアは、xHelperトロイを抱き合わせていたアプリケーションを削除しても、このマルウェアを削除することはできない。
     Symantecの研究者は、工場出荷状態に戻しても、あるいは、ユーザがこのサービスを手動で停止することを決定した後でさえ、このマルウェアがどのようにしてデバイス上に残るのかを未だ発見できていない。

    サイドローディング・アプリケーションを回避せよ

     このマルウェアがデバイスに感染すると削除する方法が存在していないので、アプリケーションのサイドローディングを許可しているWebサイトを回避することが適切である。また、インターネットの閲覧中にリダイレクトされるリンクに注意しなさい。デバイスを安全に保つために、怪しいポップアップをクリックしないようにしなさい。


    Yatron, WannaCryFake, FortuneCrypt身代金要求型マルウェア用の復号プログラムがリリースされた
    BleepingComputer : News>Security(2019/09/25)
     セキュリティ企業が、3つの身代金要求型マルウェア感染用の復号プログラムをリリースした。これらの身代金要求型マルウェアの犠牲者は、無料で感染者のファイルを復号することができる。これらの復号プログラムは、WannaCryFake, Yatron, FortuneCrypt身代金要求型マルウェア感染用である。
     これらの身代金要求型マルウェアの亜種のオンライン上での活動は殆ど見られていないが、たとえ一人のユーザであろうともファイルを無料で取り戻すことができたら、それは勝利である。

    EmsisoftがWannaCryFakeの復号プログラムをリリースした

     Emsisoftは、WannaCry Fake身代金要求型マルウェア用の復号プログラムをリリースした。この身代金要求型マルウェアは、暗号化したファイルに .wannacry 拡張子を付けることによって悪名高いWannaCryに便乗しようとした。

     「WannaCryFakeは、犠牲者のファイルの暗号化にAES-256を使用する身代金要求型マルウェア株である。WannaCryFakeによって暗号化されたファイルは、ファイル拡張子 “.[][recoverydata54@protonmail.com].WannaCry” を付けられる」

     感染させられたユーザは、以下のような脅迫文を見ることになる。

    WannaCryFakeの脅迫文(画像をクリックすると拡大します)

     あなたが、この身代金要求型マルウェアによって暗号化されたのであれば、この復号プログラムをダウンロードし、ファイルを無料で復号することができる。

    KasperskyがYatronとFortuneCrypt用の復号プログラムをリリースした

     Kasperskyは本日、YatronとFortuneCrypt身代金要求型マルウェアの復号プログラム(暗号化アルゴリズムの弱点を利用)をリリースした。
     我々は、Yatronに関しては、彼らがRansomware-as-a-Service(RaaS、【訳注】 不正プログラムのランサムウェアを「サービス」として提供するもので、この「サービスの利用者」は、この RaaS を使って、新たなランサムウェアを簡単に作成することができる(Trendmicroセキュリティブログより))の宣伝を始めた時に取り上げている。この身代金要求型マルウェアに感染した者は、暗号化ファイルに .Yatron拡張子を付けられている。

    Yatronで暗号化されたファイル(画像をクリックすると拡大します)

     この身代金要求型マルウェアはHiddenTear(暗号化に弱点があることが知られている)を元にしているので、Kasperskyは、それ用の復号プログラムを作成できると宣言していた。Kasperskyによると、この身代金要求型マルウェアの殆どの犠牲者は、ドイツ、中国、ロシア連邦、インド、ミャンマーである。

     「この身代金要求型マルウェアの作者は、上述した最初のシナリオを選択し、オープンソースの身代金要求型マルウェアのサンプルとして著名なHiddenTearで使用されているコードの『創作物』に基づいている。我々の統計によると、昨年だけでも、ドイツ、中国、ロシア連邦、インド、ミャンマーで記録された、Trojan-Ransom.MSIL.Tearの様々な変種による600を超える感染を防御した。」

     Kasperskyはまた、大部分がロシア連邦、ブラジル、ドイツ、韓国、イランを標的にしたFortuneCrypt身代金要求型マルウェア用の復号プログラムをリリースした。

     「昨年の間、我々の製品は、悪意あるTrojan-Ransom.Win32.Cryprenファミリー(FortuneCryptは、このファミリーの一つである)の多くの変種によって実行された6000を超える攻撃を記録した。このマルウェアによって攻撃されたトップ5の国々は、ロシア連邦、ブラジル、ドイツ、韓国、イランである。」

     この身代金要求型マルウェアは、暗号化されたファイル名に拡張子を付けないので、犠牲者が最初に警告されるのは、以下に示す脅迫文を見た時である。

    FortuneCrypt(画像をクリックすると拡大します)

     あなたが、YatronもしくはFortuneCrypt身代金要求型マルウェアに感染させられているのであれば、Kasperskyの復号プログラムを彼らのサイトから直接もしくは、No More Ransomダウンロードすることができる


    4億の医用放射線画像がインターネット上に晒されている
    BleepingComputer : News>Security(2019/09/18)

     パブリックWebに晒されていた医用画像保管システムの解析は、52カ国のおよそ600のサーバが、不正アクセスに対し全く保護されていなかったことを明らかにした。
     監査されたシステムは、数千の脆弱性に対してパッチが当てられていなかった。これらの脆弱性の内500を超えるものは、最高ランクの緊急度スコアだった。

    多大で気にかかる数字

     ドイツに本拠を置く脆弱性解析とマネージメント企業であるGreenbone Networksは、パブリック インターネットに接続されている2300のPicture Archiving and Communication System (PACS、【訳注】 正確に定義された日本語はないが「医用画像保管電送システム」と呼ばれる(東海大学大磯病院・医学豆知識より)) システムを検証し、極秘情報の公開という重大な問題を発見した。
     PACSは、医療分野で使用され、X-Ray, CT, MRIのような画像診断デバイスから取得された医用情報を保管し提供するものである。医用画像データは、送信、保管、取得、印刷、処理、表示するためにDICOM(ダイコム、Digital Imaging and Communications in Medicine)標準規格が使用される。
     7月中旬から9月初旬の間パブリックデバイス検出エンジンを使用して、Greenbone Networksは、インターネットを介して接続可能な590のPACSサーバを特定し、2430万の患者の記録を取得することが可能であった。
     殆どの記録は、以下の個人情報と医用情報の詳細を含んでいた:

    ・ 姓名
    ・ 誕生日
    ・ 検査日
    ・ 検査範囲
    ・ 画像検査法の種類
    ・ 主治医
    ・ 研究所/クリニック
    ・ 生成された画像の数

     攻撃者は、最終目標としての金銭の見返りのある、より効果的なソーシャルエンジニアリングとフィッシング攻撃を配備するために、この情報を使用することができる。
     この研究者達は、世界中のオープンPACSサーバからデータを引き出すためにRadiAnt DICOM Viewerをセットアップした。7億3350万画像の中から、3億9950万画像がダウンロードでき閲覧できた。
     ヨーロッパでは、イタリアが影響を受けるシステム 10 の最高数を記録していると共に、リークされている医療情報の最高数も記録している。

     北米で最も懸念される保護されていないPACSは米国である。
     米国はまた、晒されているデータセットの最高数(1370万)、それに付随する医用画像の最高数(3億を超える)と晒されているマシンの最高数(187)を記録している。

     南アメリカでは、ブラジルが突出しており、64万データセット、3110万画像、34のリークサーバが検出されている。

     アジアでは、オープンマシンの最高数はインドだが、トルコはデータレコードの数(490万)と、それに付随する医用画像数(1億7900万)での突出が懸念される。
     インドは、保護されていないPACSが凡そ100あり、1億500万の画像の付随する62万7000レコードが晒されている。

    1万超の同定された脆弱性

     このレポートは、監査対象のシステムが、1万を超えるセキュリティ問題(20%が緊急度 高 とラベルされている)に直面していることを明らかにしている。
     それらのうちの500は、Common Vulnerability Scoring System (CVSS、共通脆弱性評価システム)で最高ランク(10段階評価の10)に必要な条件を全て満たしている。
     研究者達は、同定された脆弱性の一部が、数年前のものであると指摘しているが、公開されたレポートでは更なる詳細は提供されていない。承認された組織にあっては、300MBの大きなバージョンが利用できる。

     このような問題の他に、この監視システムは、45のPACSが、DICOMの代わりにHTTPやFTPのような危険なプロトコルを介してデータを提供していたことを発見している。即ち、それらに保管されているデータは、認証なしにアクセスすることができる。
     これらの一つは、ディレクトリ一覧で利用できるDICOMアーカイブ ファイルを持っていたので、Webブラウザ経由で誰もがアクセスすることが可能であった。
     この種のデータが晒されていたことに伴うリスクは明らかである。 最も明白なのは、標的型攻撃、恐喝の企て、さらには医療や健康保険の詐欺のために医療情報を盗むことである。
     米国保健福祉省(HHS)の4月のレポートでは、ダークWeb上の健康記録の平均的な金額は、250USDであるが、1,000USDになる可能性もあるので、サイバー犯罪者はこの種の情報に間違いなく関心を持っているとしている。


    InnfiRATマルウェアはLitecoinとBitcoinのウォレット情報を盗める
    BleepingComputer : News>Security(2019/09/14)
     InnfiRATと名付けられたリモートアクセス・トロイの木馬(RAT)は、暗号化通貨のウォレットデータを含む機密情報を盗む幅広い能力が備わっている。ZscalerのThreatLabZチームは、その内部動作を詳細に調査したが、このマルウェアは暫く前からオンライン上に存在している。
     初期のこのRATは、セキュリティ研究者James_inthe_boxによると、2017年11月に見つけられたが、真面目に解析されたのは、これが最初である。
     InnfiRATは、ThreatLabZチームが発見した .NETマルウェアであり、anti-VMとプロセスチェック(通常はマルウェア解析に使用され、マルウェアがSandbox化された環境で実行されている時にマルウェアの検出を支援するように設計されている)を搭載している。
     ターゲットのコンピュータに感染すると、InnfiRATは、それ自身を%AppData%/NvidiaDriver.exeにコピーし、メモリ中のBase64でエンコードされたPEファイルに書き込む。このファイルは、このマルウェアの実際の機能を備えた他の .NETバイナリに復号される。

    永続性と分析防止手段

     このRATは、Sandbox中で稼働していることを発見されると、それ自体を自動的に終了する。そうでなければ、セキュリティ侵害したマシンのHWID(【訳注】 ハードウェアID、Windowsを使用して、INFファイルをデバイスに一致するベンダ定義の識別文字列(Microsoft Docsより))と、国名を収集する。
     InnfiRATはまた、Process Hacker, Process Explorer, Process Monitorのようなプロセスを監視するために使用されるツールのプロセスを発見すると、それ自体を終了する。
     幾つかのWebブラウザのプロセス(即ち、Chrome, Yandex, Kometa, Amigo, Torch, Orbitum, Opera, Mozilla)も数え上げられる。これらのプロセスは、発見されると直ちにKillされ、収穫を容易にするためにユーザプロファイルをアンロックする可能性がある。
     このマルウェアはまた、このRATが発見されKillされた場合に備えて、悪意ある %AppData%/NvidiaDriver.exe 実行ファイルを毎日実行するスケジュールタスクを作成している。

    特定のプロセスをチェックしている(画像をクリックすると拡大します)

    暗号化通貨とクッキーを盗む

     InnfiRATのコマンド・アンド・コントロール(C2)サーバーは、11種類のコマンドを送信することができるが、最も興味を惹くものは、BitcoinとLitecoinのウォレットデータ並びに、偵察段階でKillしたWebブラウザからクッキー情報を検索し盗むものである。
     このRATは、%AppData%\Litecoin\ と %AppData%\Bitcoin\ フォルダ中でwallet.datファイルを検索する。発見されると直ちに収集され、このマルウェアのC2サーバに伝えられる。
     「InnfiRATは、格納されているユーザ名とパスワードを盗むためにブラウザのクッキー並びに、機密データを取り込む。更に、このRATは、スクリーンショットの機能を持っているので、開いているウィンドウから情報を取得できる」ことを、Zscaler ThreatLabZチームは発見している。
     「InnfiRATは、収集したデータを、そのC2サーバーに送信し、さらなる指示を要求する。C&Cはまた、感染したシステムに追加のペイロードをダウンロードするようにマルウェアに指示する。」

    Bitcoinウォレットデータを検索している(画像をクリックすると拡大します)

     2,097,152バイト未満のテキストドキュメントもまた、それらが犠牲者のデスクトップに保存されていた場合には、このマルウェアによって収集され、そのC2サーバに格納されている同じ山のような流出データに対して送信される。
     InnfiRATのオペレータは、既に上述したコマンドに加え、以下のコマンドを送信することもできる。

    ・ SendUrlAndExecute(string URL) - 指定されたURLからファイルをダウンロードし、それを実行する
    ・ ProfileInfo() - ネットワーク、ロケーション、ハードウェア情報を収集し漏洩する
    ・ LoadLogs() - ファイルを指定のファイルに記述する
    ・ LoadProcesses() - 実行されているプロセスのリストを取得し、それをC2サーバに送信する
    ・ Kill(int process) - 犠牲者のマシン上の特定のプロセスをKillするためのコマンド
    ・ RunCommand(string command) - 犠牲者のマシン上でコマンドを実行する
    ・ ClearCooks() - 特定のブラウザのブラウザクッキーを消去する

     このRATをドロップするために使用されたマルウェアサンプルハッシュとドメインとC2サーバを含む痕跡情報(Indicators of compromise、IOC)は、ThreatLabZチームのInnfiRATの書き込みの末尾で得られる。
     先月、二つの新しいRATがセキュリティ研究者によって発見された。一つは、このRATを発見したESETの研究者によってBalkanRATと名付けられ、RATペイロードを使用した金融に関心を持つ脅威の主体によって実行された作戦の一部として幾つかの国々をターゲットにしたものである。
     他のLookBackと呼ばれるドキュメント化されていないRATは、Proofpoint Threat Insight Teamによって発見され、公益事業部門の3つの米国の組織をターゲットにしたスピア-フィッシング(【訳注】 詐欺行為をけしかける対象に合わせて手口をカスタマイズする詐欺(Weblioより))キャンペーンを介し拡散している。


    新しいNetCAT攻撃は、IntelのCPUから極秘データをリークすることができる
    BleepingComputer : News>Security(2019/09/11)
     NetCAT(Network Cache ATtack)と名付けられた脆弱性は、2012年以降のIntelの全てのサーバーグレード プロセッサに影響を与え、このネットワークを介してサイドチャンネル攻撃を仕掛けることで極秘データをスニッフィング(【訳注】 ネットワーク上のデータを傍受すること)することができる。
     アムステルダム自由大学のVUSecグループの研究者は、その情報がIntelのData Direct I/O (DDIO、【訳注】 処理速度向上と消費電力削減を実現する技術)が有効になっているシステムのCPUキャッシュに存在していることを発見した。

    DDIOは、Intelのサーバーグレード プロセッサ特有のものであり、2012年以降のIntel Xeon E5, E7, SPファミリーではDefaultでONになっている。
     この目的は、ネットワークデバイスや周辺機器とCPUキャッシュを共有し、高速ネットワーク中のサーバアプリケーションのパフォーマンスを向上させるためである。
     NetCATは、リモートマシンのCPUのLast-Level Cache(【訳注】 CPUから見て一番遠いキャッシュメモリのこと(Wikipediaより))中のデータを推測するために配備される。VUSecの研究者は、ネットワーク上のマシンを制御している攻撃者が、ターゲット上で悪意あるソフトウェアを実行することなく、SSHセッションから機密データを推測するためにこの方法を使用できることを示した。

    攻撃のトポロジー

     「より正確には、NetCATで、我々は、リモートキャッシュ サイドチャンネルを使用してSSHセッションから個別のネットワークパケットの到着時刻をリークすることができる。」 DDIO中のキー プロパティをリバースエンジニアリングすることで、この研究者は、このキャッシュが共有されている方法を学習した。この知識と、ネットワークカードや他のサーバーサイド周辺機器をスパイすることで、ネットワーク上のクライアントがサーバに接続するために SSHを使用した時、彼らがCPUキャッシュ中のアクセス時刻を監視することが可能になる。
     本日の投稿で、VUSecは、対話型のSSHキーでは、ネットワークパケットはキーを押す度に送信されると説明している。NetCATで、攻撃者は暗号化されたSSHセッションの内部でタイプされた文字を推測することができる。
    これは、文字に対応するネットワークパケットの到着時刻を監視することによって可能である。研究者は、人々が特定のタイピング パターンを持っていることと、これが解析の役に立つという事実も活用している。

     「例えば、'a'の直後に's'をタイプすることは、's'をタイプした後に'g'をタイプするより高速である。NetCATは、あなたがプライベートSSHセッション中でタイプしたことをリークするために、キーストローク タイミング攻撃として知られるパケットの到着時間間隔の統計分析を実行することができる。」

     データのタイプを決定するために、研究者は時間をキーストロークにマップするために機械学習(【訳注】 データから反復的に学習を行い、パターンや特徴を見つけ出して未知のデータに対して予測を行う技術(Classmethodより))を始めた。
     研究の詳細は、論文"NetCAT: Practical Cache Attacks from the Network"で利用できる。
     これらの攻撃のデモンストレーションは、SSHセッションからのキーストロークが遠隔でリークできる方法を示している。

     Intelはこの問題を認識しており、この問題は、CVE-2019-11184として追跡される。公開と技術的詳細に関する報奨金が授与された。
     Intelは、Intel DDIOとRDMA(Remote Direct Memory Access)が有効になっているセキュリティで保護されたネットワークでは、強力なセキュリティコントロールを推奨している。この警告にも拘わらず、この脆弱性のCVSS基本値は2.6/10と低い値になっている。
    追加の推奨事項は、信頼できないネットワークからの直接アクセスを制限することと、「一定時間型コードを使用するような、時間間隔攻撃に抵抗力のあるソフトウェアモジュール」を使用することである。
     そうは言うものの、NetCATは、最初のネットワークベースのCPUサイドチャンネル攻撃として歴史に刻まれるだろう。


    数億のFacebookユーザの電話番号がインターネット上に放置されていたことが発見された
    Tripwier : The State of Security(2019/09/05)
     TechChurchは、セキュリティ研究者がFacebookユーザに関連する総数4億1900万を超えるレコードが付属するデータベースを含むサーバが晒されていることを偶然に発見したとレポートしている。
     TechChurchのレポートによると、各データベースのレコードは、ユーザの一意のFacebookアカウントID(ユーザ名を特定することが可能)と、其のアカウントに付随する電話番号を含んでいる。このデータの宝庫には、米国が拠点のFacebookユーザの1億3300万レコード、英国Facebookユーザから1800万レコード、ベトナムFacebookユーザからの5000万レコードが含まれている。
     最悪なのは、サーバー上にパスワードプロテクションが存在していないので、文字通りインターネット接続できる誰もが極秘情報にアクセスすることができたことである。

    晒されていたデータベースの一部(画像をクリックすると拡大します)

     ハッカーがデータを収集するためにFacebookをセキュリティ侵害したとするものは誰もいない。更に、晒されていたデータベースはFacebook自体によって使用されているサーバ上には発見されていない。しかし、おそらく、このデータは、おそらくFacebookアカウントに接続するアプリケーションを作成したサードパーティーが、数百万のFacebookユーザプロファイルから抽出したものである。このデータスクレイピングは、間違いなく何が発生しているのか認識していないユーザや、許可されていることの意味を理解していないユーザの役に立っていた。  Facebookのスポークスマンによると、晒されていたデータは、Facebookがユーザの電話番号へのアクセスを制限する前に収集されたものである。

     このデータセットは古いものであり、昨年、我々が、電話番号を使用して誰かが他人を特定する機能を削除するように変更する前に取得された情報のようである。このデータセットは削除された。そして、我々はFacebookアカウントがセキュリティ侵害されたという証拠を何ら確認していない。

     しかしながら、データが初めに数年前に収集されとする発言は的はずれである。人々が数年間同じ電話番号を持ち続けることは珍しいことではない。そして、Facebookのようなオンライン企業が、過去にデータの予防手段が不十分であったのなら、現在及び今後数年、依然として潜在的な問題が存在する。
     犯罪者が電話番号を知ると、彼らはあらゆる種類の損害を与えることができる:
      ・ 犯罪者は、あなたがにフィッシングサイトに導いたり、マルウェアにさえ導く不要なメッセージをスパムできる。
      ・ 犯罪者は、あなたが顧客である企業(例えば、携帯電話事業者のような)であることを装って電話することができる。
      ・ あなたが取り分け価値のあるターゲットであるのなら、そうと決めたハッカーは、あなたのスマートフォンをスパイウェアで感染させたり、あるいはデータを盗むために未パッチの脆弱性をセキュリティ侵害しようとするかもしれない。
      ・ 犯罪者は、一般にSIMスワップ攻撃と呼ばれるものを介して、携帯電話事業者を欺き、番号の所有権を付与するように試みることができる。 番号がハイジャックされると、犯罪者は携帯電話番号に関連付けられた被害者のオンラインアカウントのパスワードをリセットすることができる。
      ・ 他にも沢山...
     特定の個人の携帯電話番号の決定が可能なことは、詐欺師やハッカーにとっては情報の貴重な部分である。そして、数百万の携帯番号のデータベースは、明らかに犯罪者の一部にとっては関心事である。
     これはトラブル続きのFacebookに関連するセキュリティとプライバシーへの懸念に関する一つの新事実である。この企業は否定的な見出しから自分自身を守ることができないようである。
     Cambridge Analyticaの大失敗のような幾つかの事実は、メディア、規制当局、政府中に同様に懸念を引き起こす。これは、最早忘れられているかのような、5億を超えるFacebookのレコードがサードパーティーの開発者のずさんなセキュリティに起因して、インターネット上に晒されたまま(パスワード無し)だった今年初めのインシデントと同じである。
     Mark Zuckerbergは、今年初め「未来はプライベートなものになるはずです」と発言し、Facebookは、よりプライバシーに重点を置くことに全力を捧げると主張した。この声明は、ネットワークの大雑把な歴史を考慮し、私自身(GRAHAM CLULEY)を含むオブザーバによって懐疑的に扱われた。
     答えられていない質問が残っている: 「未来はプライベートなものになるはずです」というFacebookの主張が、信じられるか否かにかかわらず、Facebookが既に行われた損害を修復するのは、実際にはあまりに遅すぎるのだろうか?


    身代金要求型マルウェアSodinokibiは、ハッキングしたサイトのインチキフォーラムを介して拡散している
    BleepingComputer : News>Security(2019/09/02)
     Sodinokibi身代金要求型マルウェアの拡散者は、WordPressサイトをハッキングし、オリジナルのサイトのコンテンツの上に、インチキのQ&Aフォーラムへの投稿を表示するJavaScriptを挿入している。このインチキの投稿は、サイトの"admin"からの"Answer"を含んでいる。そして、この"Answer"には、身代金要求型マルウェアのインストーラへのリンクを含んでいる。
     セキュリティソフトウェアと人々が、身代金要求型マルウェアとマルウェアを拡散するために使用される方法を認識するようになると、この攻撃で利益を上げている者共は、犠牲者に感染するための巧妙な方法を考案する必要がでてくる。
     このことは、ハックしたサイトのコンテンツの上にインチキのQuestions and Answersフォーラムを被せる新しい拡散方法にも当てはまる。このインチキのフォーラムの投稿は、ユーザが訪問するであろうページのコンテンツに関連する情報を含んでいるので、admin(管理者)によって提供される答えとリンクは正当なものであるかのように見える。
     しかしながら、実際には、このダウンロードされたファイルは、Sodinokibiもしくは、REvil身代金要求型マルウェアでユーザに感染する。

    インチキのQ&Aを被せる攻撃の動作方法

     BleepingComputerは、複数の犠牲者がこの方法で感染させられたことを確認したAuraによって、この新しい攻撃方法を最初に警告された。以下に、我々は、この攻撃の動作方法と、Sodinokibiもしくは、REvil身代金要求型マルウェアをインストールするプロセスの全般的な概要を提供する。
     以前のEITest Chrome HoeflerText Font Update攻撃に似て、この攻撃で利益を上げている者共は、サイトをハッキングし、以下に示すようにJavaScriptをそのHTML中に挿入する。挿入されたURLは、全ての訪問者でアクティベートされるが、初めての訪問者や、そのサイトに一定時間行っていないユーザは、そのデータが含まれるだけである。

    被せて挿入されたJavaScript(画像をクリックすると拡大します)

     初めてこのサイトを訪問した時、このスクリプトは、下に示すようにコンテンツの上に被せてインチキのQuestions and Answersフォーラムへの投稿をフランス語で発生させる。

    インチキのQuestions and Answers Forumへの投稿(画像をクリックすると拡大します)

     ユーザにとって、このフォーラム投稿の内容は、インチキではあるものの通常のサイトのように見える(上図)が、ハッキングされたページの内容に関連しているものであり、実際にはスクリプトによって作成され被されたものである。
     ユーザがもう一度そのページをリフレッシュしても、このスクリプトは発動せず、通常のページが表示される(この記事の末尾にあるデモビデオ参照)。
     ユーザがこのページをリフレッシュしない場合は、他の訪問者がコピー機の「契約の終了」の雛形について、このサイトにフランス語で質問を投稿したかのように見える。

     "Hello, I am looking to download letter of termination contract photocopier model. A friend told me he was on your forum. Can you help me?"

     こんにちは、コピー機契約の終了に関する通知書の雛形をダウンロードしたいと思っている。友人は、あなたのフォーラムにあったと私に告げた。手伝ってもらえますか?

     質問に対する回答で、インチキの回答が、Adminによって提供され、要求されている契約への直リンクが提供される。

     "Here is a direct download link, model letter of termination contract photocopier."

     こちらが、コピー機契約終了の通知書の雛形へのダウンロード直リンクです。

     ユーザが、このリンクをクリックすると、攻撃者の支配下にある任意のハッキングされたサイトから、ZIPファイルがダウンロードされる。この特定の例においては、このファイルは、"modele_de_lettre_de_resiliation_contrat_photocopieur.zip"と名付けられており、解凍すると同じ名前のJScriptファイルが含まれている。

    JScriptインストーラ(画像をクリックすると拡大します)

     このJScriptは、リモートサーバに接続する難読化されたコードを含んでいる。そして、このサーバは大量のデータで答えてくるだろう。

    キャプション(画像をクリックすると拡大します)

     このデータは、かなり時間がかかるが復号され、%UserProfile%フォルダにGIFファイルとして保存される。このファイルは、多少難読化されたPowerShellコマンドが含まれている。そしてこれは、ReadAllText.Replace関数を使用して、そのファイルから、あらゆる ~ 文字を削除することでクリーンにされる。

    PowerShellコマンドから ~ 文字を削除

     これは、結果としてクリーンなPowerShellコマンドになるが、次に、コンピュータを暗号化するためのSodinokibi DLLを実行するために使用される。

    難読化を解除されたGIFファイル(画像をクリックすると拡大します)

     暗号化プロセスの間に、この攻撃者は、以下のPowerShellコマンドを使用してシャドーボリュームコピーを除去する。

    Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

     終了すると、この犠牲者のファイルは暗号化され、脅迫文が、復号プログラムを購入する方法に関する情報を含むTor支払いサイトに犠牲者を導く。

    Sodinokibi Tor支払いサイト(画像をクリックすると拡大します)

     このような攻撃から自分自身を保護するには、必ずリアルタイムプロテクション付きの何らかのセキュリティソフトウェアをインストールすることと、末尾に .js 拡張子のある実行ファイルを決して実行しないことである。
     このような被せられたインチキフォーラムの動作方法を確認したい人々のために、BleepingComputerは、デモンストレーションビデオを作成した。


    Foxitユーザパスワードの漏洩を含むデータ侵害を公開
    BleepingComputer : News>Security(2019/08/30)
     PDFソフトウェアを提供しているFoxit Softwareは、顧客名や企業名、e-Mail、電話番号、パスワードを含む'My Account'サービスユーザの個人情報特定データに、サードパーティーがアクセス可能な最近のセキュリティ侵害について本日公開した。
     Foxitは2001年に創立以来200を超える国々から10万を超える顧客に、このソフトウェアを販売してきたが、この会社が今月公開したプレスリリースによると、現在は世界中に5億2500万ユーザを抱えている。
     「Foxitは、最近彼らのデータシステムに不正アクセスが実行されたと判断した。サードパーティーは、Foxitの'My Account'ユーザデータへのアクセスを獲得した。このユーザデータは、e-Mailアドレス、パスワード、ユーザ名、電話番号、企業名、IPアドレスを含んでいる」と、本日この企業によって公開されたアドバイザリは述べている。

    支払い情報は漏洩されていいない

     Foxitによると、無料のメンバーシップ'My Account'サービスは、その顧客に「使用版ソフトウェアのダウンロード、注文履歴、製品登録情報、トラブルシューティングとサポート情報」を提供している。
     しかしながら、セキュリティ侵害されたシステムは、支払いあるいはクレジットカードデータを格納していないので、影響を受けるユーザ全てに関して、支払い情報は、このデータ漏洩インシデントでは漏洩していない。

     このシステムは、ユーザ名、e-Mailアドレス、企業名、IPアドレス、電話番号は保持しているが、他の個人特定データや支払いカードの情報は保持していない。Foxitは、そのシステムに顧客のクレジットカード情報を保持していない。

     この会社はまた、影響を受ける'My Account'ユーザは、e-Mailを介して、このインシデントに関して警告されたと発言している。このe-Mailは、現在漏洩しているリスクの全てに関して彼らに通知するものであり、パスワード再設定フォームへのリンクを含んでいる。

    Foxitデータ漏洩通知メール

     Foxitはデータ保護当局と法執行機関にこの漏洩を通知した。そして、当局の調査に協力する予定である。
     この企業は、今回のセキュリティインシデントを詳細な解析を主導し、この企業全体のセキュリティ体制を強化し、将来のセキュリティインシデントに対する適切な安全対策を実施するために、セキュリティ管理企業を雇用した。
     Foxitは、今回のデータ漏洩のリスクを低く見積もらず、警戒しておくように顧客に助言している。他のWebサイトやサービスで彼らのFoxit'My Account'認証を使用している顧客は、不正アクセスを防ぐためにパスワードを変更するように促されている。Foxitはまた、口座情報を確認し、個人情報の盗難を回避するために信用情報を監視するなど警戒を怠らないように助言している。更に、顧客は、詐欺師が詐欺(フィッシング)によって更に情報を収集するために彼らのデータを使用する可能性があることに注意する必要がある。
     Bleeping Computerは、このデータ漏洩によって影響を受けたユーザの数、違反の原因、発見された日付(ユーザデータが公開された期間を含む)に関する詳細をFoxitに問い合わせたが、この記事の公開時点で回答を得ていない。この記事は、Foxitからの回答があり次第アップデートされる。


    「協調型の身代金要求型マルウェア攻撃」が、テキサス州の23自治体を襲撃
    BleepingComputer : News>Security(2019/08/18)
     テキサス州は現在、州内の地方自治体を標的にした前例のない身代金要求型マルウェア攻撃に晒されている。この攻撃の影響を受ける自治体は少なくとも23にのぼる。
     テキサス州情報資源管理局(Department of Information Resources (DIR))が、この攻撃の対応と調査を主導しているため、現時点で詳細は殆ど分かっていない。テキサス州は、影響を受けている地方管轄区域が、緊急管理部(The Division of Emergency Management)に支援を要請するよう指導する簡単な通知をリリースした。

    23は最終的な数字ではない可能性

     この攻撃は、8月16日の朝に始まった。収集された証拠に基づくと、この攻撃は単一の攻撃者によって実行されているようである。
     確認された犠牲者の数は23であり、これは「実際に、あるいは、潜在的に影響を受けた」実数であると、この部署は考えている。
     この攻撃の源は、現在判明していないが、DIR、Texas Division of Emergency Management、Texas Military Departmentのような地元のテキサス州当局が調査中である。
     この調査には、Department of Homeland Security(国土安全保障省)、FBIサイバー部門、Federal Emergency Management Agency(連邦緊急事態管理局(FEMA))のような連邦政府機関も関与している。
     先週の金曜日にリリースされた最初のステートメントで、DIRは、攻撃の源の調査は進行中であるが、優先されることは、影響を受けた自治体への対応と復旧を支援することであると発言している。

     「現在、DIR(テキサス州情報資源管理局)とテキサスA&M大学システムのCyberresponse and Security Operations Centerチームは、最も重大な影響を受けている管理区域に要員等を配備している」

     DIRの追加として、テキサス緊急管理部(TDEM)が、州のオペレーションセンターを介して州の機関と連携して、その努力を支援すると通知しているので、影響を受けている自治体からの要求があれば追加の要員等が提供される。
     DIRは、"coordinated ransomware attack"(協調型身代金要求型マルウェア攻撃)と呼ばれる件に対する対応を主導しているが、どの組織が影響を受けているのかを公開していない。これはセキュリティ上の懸念からである。
     Elliot Sprehe(当該部署の報道官)は、DIRが影響を受けている自治体の総数を確認しようとしていると、KUT(テキサス大学オースティン校), Austin's NPR Station(【訳注】 NPRはNational Public Radioの略。アメリカ公共ラジオ局と訳される)に告げている。
     「これは、我々が本日これまでに発見したように見えるが、セキュリティ上の懸念から影響を受けた自治体を現在リリースしていない」と、Spreheは、このアメリカ公共ラジオ局に告げている。
     土曜日の更新情報で、DIRは、テキサス州のシステムとネットワークは、この攻撃によって影響を受けていないと発言している。
     詳細が明らかになるまで、この攻撃の張本人であるファイル暗号化マルウェアの株と加害者が要求している身代金額は不明なままである。
     望むべくは、適切なバックアップシステムが実装されており、現在の努力が安全なコピーからデータを復元し、通常に戻すための復元活動であることを。

    身代金要求型マルウェアは米国において強大である

     米国において最近、身代金要求型マルウェア事案は増大している。そして、政府の部門がしばしば標的になっている。そして、大変多くの行政機関が身代金の支払いに応じる時、身代金が50万ドル(約5億3000万円)以上なのは常識である。
     セキュリティ企業Malwarebytesの遠隔測定法によるデータは、世界中の他のどの国よりも米国が身代金要求型マルウェア攻撃の対象(世界中のこの事案の53%に及ぶ)になっていることを明らかにしている。
     6月、サイバー犯罪者は、フロリダでの2つの攻撃で、その時点で100万ドルを少し超える価値のBitcoinでの支払いを要求し勝ち取っている。
     他の州の組織(テネシー州コリアーヴィル、ニューヨーク州オノンダガ郡立図書館、ジョージア州ヘンリー郡、ルイジアナ州とアラバマ州学区)も最近、身代金要求型マルウェアによって攻撃されている。
     リンクの地図は、米国の医療、教育、政府組織に影響を与えたファイル暗号化事案を示している。
     これら全ての攻撃で共通することは、バックアップの復元手順であり、サイバー犯罪者に支払いをしないことある。


    Windows 10 1903ユーザが、KB4512508をインストールするとエラーが発生するとレポートしている
    BleepingComputer : News>Security(2019/08/15)
     膨大な数のユーザが、最新のWindows 10 1903(【訳注】 日本時間2019年5月22日に配信されたバージョン)用KB4512508累積アップデートをインストールすることができない、0x800f0982や0x800f081fのような様々なエラーコードでインストールに失敗すると報告している。

    Windows Update KB4512508

     このアップデートをインストールしている時、ユーザは、インストール100%のマークを得るが、次に、エラーコードが表示されると報告(, )している。
     この報告中に見られる最も一般的なエラーコードは、0x800f0982, 0x800f081f, 0x80073701, 0x800f0845, 0x8024200Dである。
     残念ながら、これらエラーコードが意味していることを理解しようとしても、Microsoftが限定的な情報しか提供していないので、いつもながら簡単なことではない。以下は、この件とは直接関連していないMicrosoftサポート記事に基づいた一部のエラーコードに関する出来る限りの説明である。

      ・ 0x800f0982 - このエラーコードは、「デバイスにアジア系言語パックがインストールされている」時に、今までのWindows 10のアップデートで表示される(,
      ・ 0x800f081f - このエラーは、インストレーションメディアが破損、使用不可能、あるいは、ユーザがそのファイルに対する適切なパーミッションを持っていない場合に発生する可能性がある。
      ・ 0x8024200D - このエラーは一般的に完全なインストールをするために複数のダウンロードステップを要求し、それらのステップの一つが失敗した時に表示される。 あなたは、アップデートが中断したところから、このアップデートを継続できるか否か確認するために再起動するか、もう一度やり直すこともできる。

     現時点で、Microsoftはこの問題を認識していない。ユーザに残されている道は、自分自身でこの問題を解決するか、公式の対応が与えられるまでアップデートのインストールを遅らせるかの何れかである。
     ユーザはまた、最新のServicing Stack Update(SSU: サービススタックの更新プログラム)KB4508433が、インストールされているか否かチェックしたいかもしれない。このSSUアップデートは、Windows Updateがインストールに失敗することを防ぐために既知のバグを解決するように設計されている。


    Windows 10セキュリティ警告: 40を超えるドライバ中に脆弱性が発見された
    BleepingComputer : News>Security(2019/08/10)
     正当なデバイスドライバのセキュリティを解析している研究者達は、少なくとも20のハードウェアベンダからの40を超えるドライバに、特権の昇格を達成するために悪用することのできる脆弱性が含まれていることを発見した。
     ハードウェアはソフトウェアが存在するコンピュータの構成要素を意味する。ドライバは、オペレーティングシステムがハードウェアコンポーネントを識別し、それらと相互作用することを可能にするものである。
     ドライバコードは、OSカーネルとハードウェア間のコミニケーションが可能になり、システムの通常ユーザや管理者よりも高いパーミッションレベルを享受できる。
     それ故、ドライバ中の脆弱性は、悪意ある行動主体がカーネルへのアクセスを獲得し、オペレーティングシステムのより高い権限を獲得することによって脆弱性攻撃をすることができるので緊急の問題である。
     ドライバはまた、ハードウェアファームウェアをアップデートするためにも使用されるが、ドライバはOSの範囲外であるより深いレベルで動作するコンポーネントに到達し、機能を変更したり、それらをブロックしたりすることさえできる。
     例えば、BIOSとUEFIファームウェアは、あなたがコンピュータを起動した時に、オペレーティングシステムの前に起動するローレベルソフトウェアである。このコンピュータに植え付けられたマルウェアは、殆どのセキュリティ ソリューションにとって不可視であり、OSを再インストールしても削除することはできない。

    ドライバは信頼されている

     ファームウェアとハードウェアのセキュリティ企業Eclypsiumの研究者達は、ユーザ空間からカーネルパーミッションに特権を昇格するために悪用される可能性のある40を超えるドライバを発見した。
     影響を受ける企業(リストは、この記事の末尾)は、全てのメジャーなBIOS企業と、ASUS, Toshiba, Intel, Gigabyte, Nvidia, Huaweiのようなコンピュータハードウェア業界のビッグネームを含んでいる。
     「これら全ての脆弱性は、プロセッサとチップセットI/O空間、モデル固有レジスタ(MSR)、制御レジスタ(CR)、デバッグレジスタ(DR)、物理メモリとカーネル仮想メモリへの読み込みと書き込みアクセスのような、ハードウェアリソースへの高い特権でのアクセスを実行するためのプロクシとして挙動することを可能にする。」(Eclypsiumより)  カーネルから、攻撃者はファームウェアとハードウェア インターフェースに移動し、OSレベルで動作する通常の脅威防御製品の検出能力を超えてターゲットホストをセキュリティ侵害することができる。


    ソース: Linagora Engineering

     Windowsにドライバをインストールするには、管理者権限が要求され、Microsoftによって認証された信頼される企業からである必要がある。このコードはまた、信頼性を証明するために正当な認証機関によって署名されたものでもある。署名が欠けていると、Windowsはユーザに警告を発生する。
     しかしながら、Eclypsiumの研究は、Windowsによって受け入れられた有効な署名の付いた正当なドライバに言及している。これらのドライバは、悪意があるように設計されてはいないが、悪意あるプログラムと行動主体によって悪用されることができる脆弱性を含んでいる。
     さらに悪いことに、これらのドライバは、Windows 10を含むWindowsの全ての最先端のバージョンに影響を与える。

     「この問題は、Microsoft Windowsの全ての最先端のバージョンに適用され、Windowsマシンを、これら既知の不良ドライバの一つをロードしないようにするための普遍的なメカニズムは現在存在していない。」

     この研究者達は、脆弱性のあるドライバの中に、グラフィックカード、ネットワークアダプタ、ハードドライブ、その他のデバイスと相互作用するドライバを発見したと発言している。

    リスクは仮説ではない

     これらのコンポーネントに植え付けられたマルウェアは、「格納されたり、表示されたデータを読み込み、書き込み、リダイレクトすることや、ネットワーク越しに送信することが可能である。」 更に、このコンポーネントは、システムでサービスの拒否状態(denial-of-service)を引き起こすために無効化することができる。
     脆弱性のあるドライバを悪用する攻撃は、理論上でしか存在しないものではない。これらは資金の豊富なハッカーによるサイバースパイ活動中で特定されている。
     Slingshot APTグループ(【訳注】 非常に高度なサイバースパイ活動グループ)は、感染したコンピュータ上で特権を昇格するために古い脆弱性のあるドライバを使用した。APT28(別名: Sednit, Fancy Bear, Strontium Sofacy)のLojaxルートキットは、署名されたドライバを介してUEFIファームウェア中に格納されたため、より狡猾なものであった。
     Windowsの全ての最先端のバージョンは、この問題の影響を受ける。そして、脆弱性のあるドライバのロードを防ぐためのより広範な規模でのメカニズムは存在していない。
     攻撃のシナリオは、既に脆弱性のあるドライバをインストールしているシステムに限定されるわけではない。脅威の行動主体は、特権の昇格と永続目的のために、それらを追加することができる。
     この脅威を軽減する解決策には、期限切れのシステムおよびコンポーネントファームウェアに関する定期的なスキャンと、脆弱性を解決するためにデバイスメーカーからの最新のドライバー修正プログラムを適用することが含まれる。
     以下は、影響を受ける企業のリストの一部である。他の企業の一部は、依然として記事差し止めの下にある。

    American Megatrends International (AMI)
    ASRock
    ASUSTeK Computer
    ATI Technologies (AMD)
    Biostar
    EVGA
    Getac
    GIGABYTE
    Huawei
    Insyde
    Intel
    Micro-Star International (MSI)
    NVIDIA
    Phoenix Technologies
    Realtek Semiconductor
    SuperMicro
    Toshiba


    韓国の100万を超えるペイメント・カードの詳細がダークWebで売られていた
    BleepingComputer : News>Security(2019/08/03)
     韓国から収集された盗まれたペイメントカード(【訳注】 クレジットカードやデビットカード等支払い機能のついたカードの総称)の詳細の数は、過去二ヶ月で急増し、100万を超える記録がダークWebで販売用に供されていた。

    韓国のカード記録の猛烈な増加

     6月、研究者達は、5月に確認されていた42,000から尋常でない増加をし、230,000レコードが売られていることに気づいた。そして、これは通常観測された量と一致していた。次の月には、レコード数は890,000以上にまで増加していた。
     このセキュリティ侵害の源は、現時点で未知のままであるが、このデータは、韓国における多くの事業者でのカード提示取引からのものである。
     これらのサービスは複数の販売業者の支払いデバイスと連動しているので、これは、point-of-sale(PoS、【訳注】 販売情報を即時に管理するシステム)統合装置が晒されたという理論を補強している。


    100万を超えるカード提示取引レコード(画像をクリックすると拡大します)

    需要は価格を粗2倍にしている

     韓国の支払い記録は、犯罪者達が利用できる多大な供給を持っていたため、昨年度の需要は低調であったと、サイバー犯罪フォーラムでカード関連行動を監視しているGemini Advisoryの研究者達は発言している。2019年、これは、供給は同じで、需要は増加に変化した。
     現在の状況はまた、カードの平均価格を上昇させた。昨年、韓国のカード提示取引の記録は、平均24$で売られていた。
     今年の需要の増加で現金化しようとした場合、一つの支払いカードの記録は、平均40$と大変高価になっていた。

    米国のカード所有者も影響を受けている

     この研究者達からの別の観測として、セキュリティ侵害された韓国の記録の3.7%は、アメリカで発行されたカードであった。

     「最も影響を受けている米国の金融機関の一つは、アメリカ空軍に奉仕している信用組合である。空軍は韓国に複数の空軍基地を維持している」と、Gemini Advisoryは発言している。

     セキュリティ侵害されたデータを注視してみると、カードの多くは韓国を訪問したことのある米国の所有者に属していることが明らかになった。


    セキュリティ侵害されたカードの国別TOP 5(注:日本も存在しています)

     カード提示取引から支払いデータの詳細を盗むことは、一般にPoSデバイスに接続しているシステム上にマルウェアを植え付けることで実行される。多くの重大事案において、攻撃ベクトルは、Defaultもしくは推測が容易なパスワードで保護されているリモートデスクトップ接続であった。
     この方法でインストールされたマルウェアは、顧客が購入するためにカードを使用している時に、支払いデータはRAMに格納されるので、支払いデータをコピーすることができる。これが可能なのは、カード情報がRAM中で暗号化されていないからである。


    WeTransferにセキュリティ上の重大事案: 別人にファイルを送信
    BleepingComputer : News>Security(2019/06/21)
     不愉快なセキュリティ上の重大事案、WeTransferファイル共有サービスは、2日に渡り、ユーザ共有ファイルを別人に送信していたとアナウンスした。このサービスは、プライベート、機密ファイルと考慮されているものを転送するために使用されるので、この問題は、影響を受けるユーザにとっては大変なプライバシー問題になる可能性がある。
     今日から、ユーザは、6月16,17日の両日、WeTransferサービスを使用して送信されたファイルは、送信者が意図していない人々にも配信されたと述べるWeTransferからのメール[1, 2, 3]を受け取り始めた。
     このe-Mailによると、このチームは何が発生しているか分からず、この状況を封じ込めるために作業していると発言している。


    WeTransferユーザに送信されたe-Mail(画像をクリックすると拡大します)

     このe-Mailの完全版は以下である。

    WeTransferユーザー諸氏
     セキュリティ上の問題に関して、WeTransferサービスのe-Mailが別人に送信されていたことをお知らせします。 これは6月16日と17日に発生しました。 我々のチームは、この状況を修正して封じ込め、それがどのように起こったのかを発見するために精力的に作業してきました。
     送信または受信した転送が一部の人にも配信されていることがわかりました。 我々の記録では、これらのファイルが、アクセスされたことが示されていますが、その殆どは意図されている受信者によってアクセスされています。 それにもかかわらず、予防措置として、これ以上のダウンロードを防ぐためにリンクをブロックしました。
     あなたのe-Mailアドレスは転送されたe-Mailにも含まれているので、あなたが受け取る疑わしい、もしくは、通常ではないe-Mailに注意してください。
    私達は、あなたのデータがいかに重要であるかを理解しています。当然のことですが、私たちのサービスに対するあなた方の信頼を決して無駄にしません。 質問や懸念がある場合は、このe-Mailに返信し、サポートチームに連絡してください。

    WeTransfer Team

     WebTransferは、彼らのWebサイトで、アカウントの一部はログアウトされ、パスワードはアカウントを保護するためにリセットされた。そして、この重大事案に巻き込まれたTransferリンクへのアクセスはブロックされているとするセキュリティ通知をポストしている。
     「この重大事案は、6月16,17日に発生した。発見されるやいなや、我々はユーザを保護するための予防的なセキュリティ対策を講じた」 続けて、「これは、ユーザが、彼らのアカウントをログアウトされ、彼らのアカウントを防御するためにパスワードのリセットが要求されることを意味している。更に、我々のユーザのTransferのセキュリティを確保するためにTransferリンクをブロックした」と、Wetransferはセキュリティ通知で述べている。
     これが単純なWebTransferのプログラミングのミスであるというのなら、彼らがユーザのパスワードをリセットしたり、ユーザを保護する必要性を感じていることは奇妙である。これは、彼らのネットワークが侵害されたような、もっと深刻な問題である。
     BleepingComputerは、この重大事案に関してWebTransferに接触したが、この記事を公開した時点で、回答を耳にしていない。


    同梱されているシステム健全性ソフトウェアのフローにより、数百万のDell PCに攻撃に対する脆弱性
    Bitdefender : Hot For Security(2019/06/22)
     Windowsを稼働している数百万のDell PCとラップトップに大変深刻なセキュリティホールを介して攻撃される脆弱性が存在している。この脆弱性は、悪意あるハッカーによって攻撃されるとデバイスをハイジャックされ制御される可能性がある。
     DellのWebサイト上で公開されたサポート アドバイザリによると、Dellは、この問題がサードパーティーのコンポーネントであるSupportAssist(DellのホームユーザとビジネスPCに同梱されているトラブルシューティング ソフトウェア)中にあると明らかにしている。このソフトウェアは、Dellが「業界初の自動化された予防的および予測的サポート技術」と説明しているソフトウェアである。
     その宣伝資料で、DellはSupportAssistが「あなたのシステムのハードウェアとソフトウェアの健全性を予防的にチェックする」と主張している。問題が検出されると、必須のシステム状態情報が、トラブルシューティングを開始するためにDellに送られる。Dellは、コストのかかる問題にならないように対話で解決するために、あなたに接触してくる。」
     しかしながら、セキュリティ研究者Peleg Hadarは、SupportAssistのPC Doctorコンポーネントに、DLLがハイジャックされる脆弱性が含まれていることを発見した。このDLLハイジャックの脆弱性は、攻撃の間に、システムレベル権限を取得される可能性がある
     このメカニズムを介して、ハッカーは簡単にターゲットのコンピュータの制御を獲得することができる。
     SupportAssistソフトウェアは数百万のDellのPCとラップトップにプレインストールされているので、オンライン犯罪者が、このフローを悪用しようとする多くの刺激が存在している。
     もっと悪いことに、Dellは、この脆弱性を含むこのソフトっウェアを実際には作成していない。このソフトウェアは、ネバダ州を本拠とする診断ソフトウェアのスペシャリストPC Doctorによって書かれている。PC Doctorは、彼らの技術を他のPCメーカーにライセンスし、そのメーカーのPCやラップトップに同梱してもらっている(リブランド、商標変更)。
     Hadarによると、他に影響を受ける製品には以下が含まれる。

    PC-Doctor Toolbox for Windows
    CORSAIR ONE Diagnostics
    CORSAIR Diagnostics
    Staples EasyTech Diagnostics
    Tobii I-Series Diagnostic Tool
    Tobii Dynavox Diagnostic Tool

     この問題の大きさは、Dellの顧客以上に広がるだろう。PC Doctorは、そのWebサイトで以下のように述べている。「大手コンピュータメーカーは、世界中のコンピュータシステムに一億を超えるWindows用PC Doctorをプレインストールしている。」
     Hadarは4月29日にDellに対してこの脆弱性を通知している。彼は5月21日に、この問題を確認し詳細をPC Doctorに転送している。パッチは5月28日にDellによって発行された。これは、自動アップデートを受け取る設定にしている全てのDellコンピュータは、既にパッチされていることを意味している。
     彼らのコンピュータが脆弱性があるかもしれないと懸念しているDellユーザは、PCやラップトップにインストールされているSupportAssistのバージョンをチェックする必要がある。Business PC用のDell SupportAssistバージョン 2.0.1と、Home PC用のDell SupportAssistバージョン 3.2.2は、このセキュリティホールに対する脆弱性は存在しないと言われている。
     しかしながら、あなたのDellコンピュータが自動アップデートをONにしていないのであれば、あるいは、あなたが、この脆弱性のあるコードを実行している他のブランドのコンピュータを所有しているのであれば、まさに今、行動しアップデートを適用しなさい。


    GandCrab 5.2復号ツールのリリースは、邪悪な身代金要求型マルウェア物語を終わらせる
    BleepingComputer : News>Security(2019/06/17)
     世界中の法執行機関の協力のもとでBitdefenderは、GandCrab身代金要求型マルウェアのバージョン1,4, 5から5.2で暗号化されたファイルを復号する復号ツールのアップデート版をリリースした。
     Bitdefenderと欧州刑事警察機構のアナウンスによると、GandCrab身代金要求型マルウェア用の復号ツールは、この身代金要求型マルウェアの最新版を復号する。

     「このツールは、オーストリア (Bundeskriminalambt-BMI), ベルギー (Federal Computer Crime Unit), ブルガリア (Bulgarian Cybercrime Unit), フランス (Police Judiciaire de Paris-Befti), ドイツ (LKA Baden-Wurttemberg), オランダ (High Tech Crime Unit), ルーマニア (DIICOT), イギリス (NCA and Metropolitan Police), 米国 (FBI), 欧州刑事警察機構の法執行機関と民間のBitdefenderとの協働でリリースされた。」

    Bitdefenderによる今迄のGandCrab身代金要求型マルウェア用の復号ツールと類似して、このツールは暗号化アルゴリズム中の欠陥に起因して可能にするものではない。代わりに、法執行機関と協働したこのセキュリティ企業は、犠牲者のファイルを復号するために必要な復号キーをダウンロードするためにGandCrabのコマンド&コントロールサーバーへのアクセスを取得する。
     GandCrab復号ツールの使用方法に関する説明は、この記事の末尾にある。あなたが何らかの支援を必要としているのであれば、気兼ねせず、この記事、もしくは、我々のGandCrab Support and Helpフォーラムのトピックにコメントを残しなさい。

    GrandCrabの盛衰

     BleepingComputerは、GandCrabがExploit.inのようなハッカーフォーラムでアフィリエイトとしての身代金要求型マルウェア(Ransomware-as-an-Affiliate)システムを介して拡散し始めた2018年1月28日の最初のリリース以来、ずっとGrandCrabを追い続けてきた。
     最初のリリース時、GandCrab身代金要求型マルウェアは、RIG脆弱性攻撃キットを介して拡散し、犠牲者のファイルを暗号化し、それらファイルの名前に .GDBC 拡張子を追加していた。


    当初のGandCrab脅迫文(画像をクリックすると拡大します)

     GandCrabの開発者達は、身代金要求型マルウェアを監視している研究者や組織を愚弄する傾向を持っていた、そして、最初のリリースも違いはなかった。
     最初のリリース時、GandCrab開発者達は、彼らの実行ファイル内に、身代金要求型マルウェアを追跡しているBleepingComputerや他の組織に因んだ名前を彼らのコマンド&コントロールサーバの一つに名付けることで、愚弄するメッセージをBleepingComputerに送ってきた。
     これらのオリジナルコマンド&コントロールサーバは以下である。

    bleepingcomputer.bit
    nomoreransom.bit
    esetnod32.bit
    emsisoft.bit
    gandcrab.bit

     それ以来、我々は、彼らの最終リリースバージョン5.2まで、GandCrabチームがリリースする複数のバージョンを追跡してきた。


    GandCrab 5.2脅迫文(画像をクリックすると拡大します)

     GandCrabチームは、コマンド&コントロールサーバがハッキングされたり、研究者が復号ツール[1, 2, 3]をリリースしたりと幾つかの障害にぶつかったが、彼らが今月撤退をアナウンスした時、巨大な収益を上げたと主張している。
     ハッカーフォーラムExploit.inへの撤退投稿において、この身代金要求型マルウェア開発者達は、身代金の支払いで20億ドル(約2155億円)稼ぎ、個人あたりの収益は1億5000万ドル(約162億円)だと主張している。


    GandCrab撤退報告(画像をクリックすると拡大します)

     この復号プログラムのアップデート版のリリースで、GandCrab身代金要求型マルウェアの寿命は、公式に終焉し、ユーザは現在、無料で彼らのファイルを取り戻すことができる。

    GrandCrabで暗号化されたファイルを復号する方法

     GandCrab身代金要求型マルウェアの v1, v2, 5-5,2に感染しているのであれば、あなたは、Bitdefenderによってアップデートされた復号プログラムを使用して無料でファイルを取り戻すことができる。
     最初に、以下のダウンロードリンクからBDGandCrabDecryptTool.exeファイルをダウンロードする。

    BDGandCrabDecryptTool.exeファイルのダウンロード

     ダウンロードしたら、このプログラムをダブルクリックすると、使用許諾書が表示されるので、これを受け入れる。
     この復号プログラムが起動すると、マシンがインターネットに接続されている必要があるとする注意が表示される。これは、この復号プログラムが、あなたの復号キーをチェックし、それをダウンロードするためにBitdefenderのサーバに接続する必要があるためである。


    インターネット接続を必要とするメッセージ

     これで、メインのGandCrab復号プログラムの画面が表示される。この時点で、あなたはコンピュータ全体を復号するのか、それとも特定のフォルダを復号するのかのオプションを持つことになる。


    BitdefenderのGandCrab復号プログラム(画像をクリックすると拡大します)

     私は、このプログラムが間違いなく動作することを確認するために、最初にこの復号プログラムでファイルを復号テストするように提案する。きちんと動作したら、コンピュータ全体を復号するために"Scan entire system"を選択しなさい。
     あなたが望むオプションを選択したら、復号を開始するために、Start Toolボタンをクリックしなさい。
     復号プロセスが開始されると、この復号プログラムは、特定の情報を取得するために脅迫文を探す。この情報はBitdefenderのサーバにアップロードされる。キーが発見されると、この復号プログラムに送り返される。


    復号キーを取得中(画像をクリックすると拡大します)

     復号キーが取得されロードされると、この復号プログラムは、あなたのコンピュータ上のファイルの復号を開始する。あなたは、この復号プログラムのスクロールバーを使用して進捗状況を追跡することができる。


    GandCrabで暗号化されたファイルを復号中(画像をクリックすると拡大します)

     終了すると、この復号プログラムは、終了を宣言し、何らかの問題があることをあなたに警告する。
     問題がある場合には、ログファイルへのリンクをクリックすると、%Temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt ログファイルが自動的に開く。このファイルは、復号されたファイルと復号できなかったファイルの概要を含んでいる。


    終了した復号プログラム(画像をクリックすると拡大します)

     例えば、我々の例では、この復号プログラムは、10ファイルを除く全てのファイルを復号した。幸いなことに、これらのファイルは、アプリケーションを再インストールすることで再作成されたアプリケーション特定のファイルであった。
     この復号プログラムの動作に何らかのトラブルがあった場合には、此処、もしくは、我々のGandCrab Support and Helpフォーラムトピックの60ページに、気兼ねせずコメントを残しなさい。


    新しいWSH RATマルウェアは銀行の顧客をキーロガーで狙っている
    BleepingComputer : News>Security(2019/06/14)
     セキュリティ研究者は、リモートアクセス・トロイ(RAT)を拡散させ、市中銀行の顧客をキーロガーと情報探索型マルウェア(information stealer)で積極的に狙っているフィッシングキャンペーンが進行中であることを発見している。
     この新しいマルウェア(その作成者によってWSH Remote Access Tool (RAT)と名付けられている)は、2013年に最初に作成され拡散したVBS(Visual Basic Script)を基にしたHoudini Worm (H-Worm)の亜種である。
     そのうえ、JavaScriptに移植され、そのコマンド&コントロールサーバ(C2)サーバと通信する時、様々なユーザエージェント文字列と区切り文字を使用しているが、WSH RATは、基本的にH-Wormと同一である。

    「機能」が満載されたWHS RAT

     この新しいRATを発見した一つであるCofenseの研究チームは「WSHは、おそらくWindowsマシンでスクリプトを実行するために使用されるアプリケーションである正当なWindows Script Hostを参照している」と発言している。
     更に、WSH RATは、その開発チームによって大々的に売り出されており、6月2日にリリースされただけで、悪意あるURL、並びに、MHT、ZIPの形式でのフィッシングキャンペーンを介して積極的に拡散している。


    フィッシングe-Mailのサンプル

     このRATは、バイヤーが、彼らの標的のコンピュータを遠隔からコントロールする、ファイルをアップロード・ダウンロード・実行する、並びに、リモートスクリプトとコマンドを実行するために、犠牲者のWebブラウザやe-Mailクライアントからパスワードを盗む攻撃能力を発動することを可能にしている。
     このRATはまた、キーログする能力も特徴としている。これは、アンチマルウェア・ソリューションを殺し、Windows UACを無効にすることを可能にする。また、全ての侵害された犠牲者に対して一括してコマンドを発行するオプションも付いている。
     今まさに、その作成者はサブスクリプションベース・モデル(【訳註】提供する商品やサービスの数ではなく、利用期間に対して対価を支払う方式のことで、多くの場合「定額制」と同じ意味で用いられる。(IT用語辞典バイナリより))で販売中である。全ての機能は、一月50$支払う顧客のために開放されている。


    WSH RATサブスクリプション情報

    WHS RATフィッシングキャンペーン

     最初に説明したように、WHS RATの悪意あるe-Mail添付ファイル(URL、ZIP、MHTフォーマット)を配布するフィッシング攻撃は、RATペイロード(【訳註】悪意の総量の意味)を含むZIPaアーカイブをダウンロードさせるために市中銀行の顧客をリダイレクトすることによって積極的に彼らを狙っている。
     ターゲットが引き金を引くと、悪意あるペイロードが、H-Wormと同じ設定構造とコマンド&コントロールサーバ通信基盤を使用してターゲットのコンピュータにダウンロードされる。
    コマンド&コントロールサーバーに接触すると、WHS RATは、第二段階の部分として、更に三つの悪意あるペイロードをPE32実行ファイルの形式(camouflaged as .tar.gzアーカイブ)で犠牲者の侵害したマシン上にダウンロードし投下する。


    第二ステージの悪意あるペイロードのダウンロード(画像をクリックすると拡大します)

     三つの悪意あるツールは、キーロガー、メール認証情報ビューアー、ブラウザ認証情報ビューアーであり、何れも、サードパーティーによって開発され、認証情報と他の重要な情報を収集するために、このキャンペーンのオペレータが使用している。
     Cofenseの研究者達が発見したように、「Hwormの焼き直しは、脅威のオペレータが、今日のIT環境で未だ機能するテクニックを再使用する意思があることを証明している。」
     また、「MHTファイルを含む .ZIP を配布するフィッシングキャンペーンは、Symantec Messaging Gatewayのウィルスとスパムチェックをバイパスすることが可能であり」、成功裏にそのターゲットに感染していた。
     URL、IPアドレス、およびMD5マルウェアサンプルのハッシュを含む侵害の兆候(IOC)のリストは、CofenseのWSH RATレポートの末尾に提供されている。 


    Evernoteアドオンの緊急のフローは数百万の重要なデータを漏洩させる
    BleepingComputer : News>Security(2019/06/12)
     Evernote Web Clipper Chrome拡張中の緊急のフローは、潜在的に攻撃者がサードパーティのオンラインサービスからユーザの重要な情報にアクセスする可能性があった。
     「Evernoteの人気の高さに起因して、この問題は、この拡張を使用している利用者と企業(発見した時点で、約460万ユーザ)に影響を与える可能性があった」と、この財弱性を発見したセキュリティ企業Guardioは発言している。

    ユニバーサル・クロスサイトスクリプティング・フロー

     このセキュリティ問題は、CVE-2019-12592として追跡されるユニバーサル・クロスサイトスクリプティング(UXXS、別名 Universal XSS)であり、「Webブラウザの同一生成元ポリシーをバイパスし、攻撃者にEvernoteドメイン外からIframe中でのコード実行権限を承認する」Evernote Web Clipperのロジカル・コーディング・エラーから発生しているものである。
     Chromeのサイト分離セキュリティ機能が無効にされると、他のWebサイトのアカウントからのユーザデータは最早保護されず、悪意ある行動主体はサードバーティーのサイトから「認証、金融、ソーシャルメディアでの個人的な会話、個人のe-Mail等を含む」重要なユーザ情報にアクセスすることを可能にする。


    このフローへの攻撃

     これは、ターゲットを、標的にされているサードパーティのWebサイト付きの非表示のiframeをロードし、ロードする全てのiframeに悪意あるペイロード(「クッキー、証明書、個人情報を盗み、ユーザとしての行動を実行する」)を挿入することをEvernoteに強いるように設計された攻撃の引き金になるハッカーがコントロールしているWebサイトにリダイレクトすることによって実行される。
     Guardioは、脆弱性のあるEvernote Web Clipper Chrome拡張を使用して、あらゆる人のソーシャルメディア、財務情報、ショッピングデータ、プライベートなメッセージ、認証データ、e-Mailへのアクセスを取得する方法をデモするCVE-2019-12592フロー用の実用的な概念の照明(PoC)を設計している

    Evernote Web Clipper UXSS脆弱性は既に修正されている

     Evernoteは、5月27日のGuardioの責任ある公開報告を受けた週にこの脆弱性を完全にパッチし、5月31日全てのユーザに対してこの修正を公開した。6月4日、このパッチは完全に機能することが確認されている。EvernoteのWeb Clipper Chrome拡張のパッチされたバージョンを使用しているか否か確認するには、Evernote Chrome拡張のページ(chrome://extensions/?id=pioclpoplcdbaefihamjohnefbikjilc)に進み、バージョン7.11.1以降がインストールされていることをチェックしなさい。
     Guardio CTOのMichael Vainshteinは、「我々が発見した脆弱性は、ブラウザの拡張機能を細心の注意を払って精査することの重要性を証明するものである」と発言している
     更に、「必要なのは、あなたが実行したりオンラインに格納したりしているものを侵害するための危険な拡張一つだけである。波及効果は即時であり激しいものである。」
     2017年、Evernoteは、多大なユーザの反発から、彼らのスタッフがユーザの暗号化されていないメモを読むことを可能にしていたプライバシーポリシーに対して提案していた「改善」を撤回しなければならなかった
     より最近の出来事としては、4月中旬、Evernoteは、攻撃者がローカルに格納されたアプリケーションや標的にしているMac上のファイルを遠隔から実行することを可能にするパストラバーサル脆弱性(【訳註】WebアプリケーションのURLやそのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセスできてしまう脆弱性(security.c-inf.comより))を修正している。


    Windows 10アプリケーションが、Adブロッカーが絶対に止めることができない悪意ある広告に襲われている
    BleepingComputer : News>Security(2019/06/03)
     ドイツのWidnows 10ユーザ達は、コンピュータを使用している間に、彼らのDefaultブラウザが突然悪意ある広告とスカムを開くとレポートしている。これらの広告は、広告をサポートするアプリケーション中に表示されるMicrosoft Advertisingネットワーク上での悪意あるキャンペーンによって表示される。
     無料のアプリケーションを収益化するための方法として、Microsoftは、Windows 10アプリケーション開発者に、彼らのアプリケーション中に広告を表示するためにMicrosoft Advertising SDKを使用する能力を提供している。例えば、Microsoft NewsとMicrosoft Jigsawは、広告を表示するためにMicrosoft Advertisingを活用している。


    Microsoft NewsとMicrosoft Jigsawのドイツ語広告(画像をクリックすると拡大されます)

     週末に渡り、突然技術サポートスカム、富くじ、アンケート調査詐欺、商品ルーレットでの当選を押し付けてくるサイトを開いたとするドイツのWindows 10ユーザからの多くのレポート[1, 2, 3]があった。このような広告は、彼らがMicrosoft News, Microsoft Jigsaw, 他のMicrosoft Advertisingをサポートしているアプリケーションのようなアプリケーションを使用している間に突然開いている。
     例えば、以下の広告は、あるユーザに対して示されたものであり、コンピュータが感染していると述べるシステムスキャンを装っている。ユーザが、このスクリーンを経由すると、スカムページは、最終的に不要なシステムクリーナープログラムをダウンロードするように促してくる。


    悪意ある広告キャンペーンで表示される技術サポートスカム(画像をクリックすると拡大されます)

     これらの広告は、新しいウィンドウで自動的にスカムサイトを起動するためのJavaScriptを使用するMicrosoft Advertisingネットワークで広告キャンペーンを購入したスカマーによって発生させられている。これらの広告は広告サポートアプリケーション中に表示される時に、Windows 10は、代わりにDefaultブラウザに新しいページを起動する。
     4月に、Microsoftアプリケーションのフランスのユーザをターゲットにした類似の悪意ある広告キャンペーン同様に、このドイツでのキャンペーンは、レジデンシャルIPアドレス上のユーザのみをターゲットにしているようである。例えば、ドイツのIPアドレスへのアクセスを取得するためにVPNを使用しているなら、この悪意ある広告は表示されない。

    Adブロッカーは役に立たない

     これらの広告は広告サポートアプリケーションのために表示されているので、あなたのブラウザにインストールされている如何なるAdブロッカーも、このページの読み込みを防ぐことはない。
     これは、Adブロッカーによって通常ブロックされるスクリプトが、このアプリケーションによって使用されているため、Windows 10は、ブラウザにWebページを読み込むことになる。
     代わりにユーザは、既知の悪意あるWebサイトをブロックするために、セキュリティソフトやSmartScreenやSafe Browsingのようなブラウザ組み込みのフィルタリングサービスを信頼する必要があるだろう。


    悪意あるWebサイトをブロックしているESET

     他のオプションは、既知の広告ネットワークと悪意あるサイトへの接続を全てブロックするHOSTSファイルをインストールすることである。


    Windows 10タスクスケジューラ中の0-Dayフロー用のマイクロパッチがリリースされた
    BleepingComputer : News>Security(2019/05/31)
     Windows 10中で未パッチのローカル特権昇格の0-Dayの脆弱性用の一時的なパッチが本日リリースされた。この修正は、0patchプラットフォームを介して配布され、再起動することなくシステムに適用することができる。
     この0-Day用のエクスプロイトコードは、研究者SandboxEscaper(彼女が10日前に公開した時BearLPEと名付けていた)から入手でき、Windows 10のタスクスケジューラ コンポーネントをターゲットにしている。
     攻撃者は、SYSTEMやTrustedInstallerのような高い特権を有するユーザに対して提供されるファイルを乗っ取るためにターゲットのホストを改竄した後、このバグを使用することができる。
     Will Dormann(CERT/CCの脆弱性アナリスト)によると、この脆弱性攻撃は、X86システムでは100%の信頼性があるので、X64マシンに再コンパイルする必要がある。
     0patchの共同設立者Mitja Kolsekは、古いシステムから最新のシステムに追加することが可能な、タスクファイルのレガシー(【訳註】新しいものにとって代わられたものを指す言葉)サポートから生じていると説明している。  以下のビデオは、脆弱性のあるシステムで、このマイクロパッチが動作する方法をデモしている。

     「Windows XP schtasks.exeをWindows 10で実行すると、レガシーRPC関数(Remote Procedure Call。「関数呼び出し」をローカルではなく別の環境に接続して代わりに実行しようというもの(Quiitaより))がコールされる。これは順番に、SchRpcSetSecurityのような現在の関数をコールすることになる」とKolsekは発言している。

     この欠陥は何か? 既にSandboxEscaperや他の研究者によって疑われているように、これは不正な成り済ましのケースであるが、ひねりが加えられている。最初に問題の原因と考えられていたSchRpcSetSecurityメソッドは、正確に呼び出し元を偽装して、正確に実行している。 。

     彼は続けて、「taskcomp.dllスレッド中のコードは、Local Systemとして実行され、呼び出し元は攻撃者である。しかし、このコードがSchRpcSetSecurityを呼び出す前では、呼び出し元は偽装されていない。SeRestorePrivilege特権を有効にする(ファイルパーミッションを変更する必要がある)ために『自身』を偽装している。」
     その結果、この要求は限定的ユーザではなくLocal Systemから発生する。これはそのマシン上での特権の昇格なので、重要なフィアルをコントロールすることができる。
     このマイクロパッチは、メモリ内で修正命令を実行し、通常ユーザがシステムファイルに持っているパーミッションのセットの変更を妨げる。


    画像をクリックすると拡大されます

     既存の0patchユーザーは全員、既に修正プログラムを持っており、自分のマシン上で実行している。マイクロパッチを取得するには、アカウントを作成し、0patchエージェントをインストールする必要がある。
     現時点では、Windows 10 v1809 32bit、Windows 10 v1809 64bit、およびWindows Server 2019で利用可能であるが、他のバージョンでも利用可能になると思われる。有料顧客は、0patchサポートアドレスをe-Mailし、他のプラットフォームにこのパッチを移植することを要求することができる。


    Flipboadユーザのe-Mailアドレスとハッシュ化パスワードが盗まれた
    Graham Cluley : News(2019/05/29)
    Flipboard(【訳註】AndroidとiOS、WindowsPhone に対応する雑誌形式のソーシャルネットワークアグリゲーションアプリケーションソフトウェア)は、「セキュリティ上の重大事案」(単にハッキングされたと言うことに代わる企業用語)について、そのWebサイト上で通知を発表した。
     世界中で数百万人の人々によって使用されている新しいアグリゲーションサイトは、最近ハッカーがFlipboardユーザのアカウントの詳細(ユーザ名、e-Mailアドレス、ハッシュ化パスワード、サードパーティーのソーシャルメディアアカウント用のアカウントトークン)を含むデータベースにアクセスしていたことを発見した。
     Flipboardによると、ハッカーがアクセスした期間は2回(2018年6月2日から2019年3月23日の凡そ10ヶ月間と、2019年4月21-22日)ある。
     ユーザはFlipboardから、ユーザのパスワードはリセットされたと伝えるe-Mailを受け取っている。次回のログイン時に、ユーザは新しいパスワードを作成するよう要請されるだろう。


     明らかに、インターネット上の他の場所で侵害されたパスワードを使用していないことを確認することはユーザにとって理にかなったことである。このサイト上で始終論議しているように、異なる場所で同じパスワードを決して使用してはならない。あなたの貧弱な人間の脳が、異なる場所での多くの一意で複雑なパスワードを思い出すことができないのであれば、あなたは私と同じ状況にある。代わりに適切なパスワードマネージャを使用しなさい。
     e-Mailアドレスが現在ハッカーの手に落ちている可能性を考慮しなさい。ユーザはFlipboardから送信されたかのようなフィッシングe-Mailに気をつけるのは賢明なことだろう。
     伝えられるところによると、Flipboardはパスワード保管用のSHA-1ハッシュ化アルゴリズムをbcryptに切り替えている。これは、2012年に重視された。

     ユーザが、2012年3月14日以降パスワードを作成もしくは変更している場合、bcryptと呼ばれる関数でハッシュ化されている。ユーザがその時点以降パスワードを変更していない場合は、SHA-1でソルト付きハッシュ化されている。

     率直に言って、Flipboardが、2012年により強力なハッシュアルゴリズムを導入した時点で、ユーザーにパスワードの再設定を強制することが適切な考えだったかもしれない。
     Flipboardは、セキュリティ侵害に関して法執行機関に通知したと発言している。


    フィッシングe-Mailは、Office365の「ファイル削除」警告を装っている
    BleepingComputer : News>Security(2019/05/28)
     新たなフィッシングキャンペーンは、"Office 365 Team"の受信者への警告(異常な数のファイル削除がアカウント上で発生している)を装って進行中である。
     以下に示すフィッシングスカムは、重大度-中が発生しているとするOffice 365サービスからの警告を装っている。次に、ユーザのOffice 365アカウントで多量のファイル削除が発生しており、ユーザはこの警告を検証する必要があるとしている。


    Office 365フィッシングメール(画像をクリックすると拡大されます)

     このフィッシングスカムの本文は以下である。

    A medium-severity alert has been triggered
    Unusual volume of file deletion
    Severity: Medium
    Time: 05/26/2019 07:36:39 pm (UTC)
    Activity: FileDeleted
    Details: 15 matched activities in 5 minutes.
    View alert details

    Thank you,
    The Office 365 Team

     "View alert details"リンク(【訳註】この記事の最初の画像の下部)をクリックすると、インチキのMicrosoftアカウントログインページに連れ込まれログインを促される。


    フィッシングスカムが連れ込むページ(画像をクリックすると拡大されます)

     このページはAzure(【訳註】オープンで柔軟な、エンタープライズ レベルのクラウド コンピューティング プラットフォーム(Microsoftのページより))をホストしているので、このサイトはMicrosoftによって署名された証明書で保護されている。これにより、Microsoftが認可したURLとして表示されるようになり、スキームに正当性が追加される。 Azureはこの目的のために詐欺師による使用が増大している。


    Microsoftの証明書

     パスワードを入力すると、e-Mailアドレスとパスワードが https://moxxesd.azurewebsites.net/handler.php Webページに送信される。このWebページは攻撃者の制御下にある。詐欺師は、入力された認証を保存し、後にこれらの情報を取得する。


    認証を盗むための送信(画像をクリックすると拡大されます)

     連れ込まれたページは、次に犠牲者を正当な https://portal.office.com にリダイレクトするので、再びログインを要請されることになる。


    正当なMicrosoftのログインページ(画像をクリックすると拡大されます)

     今まで、我々は常に疑わしいドメインに関してはフィッシング連れ込みぺージか否かを詳細に検討するようにユーザにアドバイスしてきた。フィッシングページをAzure上にホストすることで、連れ込まれるページは、windows.net や azurewebsites.net のようなドメインに配置されているので、多少扱いにくくなっている。
     MicrosoftアカウントとOutlook.comログインに関しては、ログインフォームはmicrosoft.com, live.com, outlook.comドメインだけであることを覚えていることが重要である。Microsoftログインフォームを他のURLで表示された場合には、近づいてはならない。


    Microsoftからの警告: SIDを削除するとWindows 10は破壊される
    Sophos : NakedSecurity (2019/05/22)
     Microsoftは、管理者やユーザが万一偶然にアプリケーションを破壊した場合でもWindows account security identifier (SID) の’capability’(ケーパビリティ)と呼ばれるものを削除しないように注意を促している。
     Windows 8とWindows Server2012以降のOSの一部であるある種のSIDにMicrosoftが警告を発生させた理由は明らかではないが、認識の欠如がサポートの問題を発生させていることを意味している。
     UNIXのUIDに少しにているが、SIDSは、ユーザ、アカウント、グループを同定し、その他の人々にアクセスを許可しているのか否かを決定するためのWindowsシステムの基本部分である。
     Windowsユーザ(例えば、Aliceとしよう)が彼女の名前で彼女のコンピュータにアカウントを設定すると、Windowsは、一意のSIDを使用してそのアカウントを同定する。Aliceは希望すれば彼女のアカウント名を変更することができる(AliceBやJeffにさえ)が、Windowsに識別させる基になるSIDは常に同じ名前のままである。
     2012年の全面的な見直しで、SIDSはファイル アクセス、ドライブ ロケーション、証明書へのアクセス、カメラ、リムーバルストレージ等を含むように拡張された
     Microsoftによると、Windows 10 1809は、これらの300以上を使用することができ、そのうち最も一般的なものは、以下のようなものである。

    S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681

     これが、読み取り専用で「不明なアカウント」として表示されている場所をレジストリ・エディタ(スタート > ファイル名を指定して実行 > regedt32.exe)を使用して徹底的に掘り下げている全ての人々を混乱させている理由を確認するのは簡単である。
     到達した後、これは再起動後に再稼働するためにWindows自体が必要とするもの(ある種のグローバルSID)であるかもしれないと思わせる。
     これは、SIDの目的を理解せずにSIDを削除したあらゆる人々が、Windows自体を破壊する可能性があることを意味している。Microsoftの警告では、

     レジストリもしくはファイルシステムパーミッションからケーパビリティSIDSを削除するな。ファイルシステムパーミッションやレジストリパーミッションからケーパビリティSIDSを削除すると、機能やアプリケーションが不正に動作する可能性がある。ケーパビリティSIDSを削除すると、それを戻すためにUIを使用できない。

     更に検索すると、このSIDに関してサポートフォーラムでアドバイスを求めるユーザがいた。正当なものであることに気づかずに、管理者がSIDを削除し、そのことを後悔している例である。

    分かり難い名前

     どれが正当なSIDSで何れが疑わしいSIDSなのかを管理者が解決する方法は?
     Microsoftは、ケーパビリティIDは「分りやすい」(つまり理解しやすい)ものではないと認めているため、これらを単独で使用しても役に立たないと、指摘している。

     設計上、ケーパビリティSIDを分りやすい名前にはしない。

     この答えは、全てのケーパビリティSIDSは、レジストリエントリ(スタート > ファイル名を指定して実行 > regedt32.exe)中に表示されているので、以下のレジストリエントリを見て回るべきであるということである。

    HKEY_LOCAL_MACHINE \ ソフトウェア \ Microsoft \ SecurityManager \ CapabilityClasses \ AllCachedCapabilities

    そのSIDが、このリストに載っていない場合は、それが未だ合法的なサードパーティのケーパビリティであるかもしれないということを念頭に置いて、更なる調査を必要としている。


    Windows 10 のKB4494441アップデートはインストールを2回表示する可能性がある
    BleepingComputer : News>Security (2019/05/14)
     Microsoftとユーザのレポートによると、2019年5月のWindows 10 KB4494441累積アップデートは、一部のコンピュータでインストールを2回表示するバグが発生中である。ユーザが、このアップデートを2回確認しても、何も心配することはないし、Microsoftはこの問題を認識している。
     この問題は、このアップデートが二つの異なるインストレーションのステージを要求することで発生する。最初のステップは、アップデートと再起動の部分、インストールの二回目のステップは、このアップデートが再度提供され再起動させられる。ステージが正常に完了すると、このアップデートはインストレーションエントリを作成する、これが二度の表示に導くことになる。
     このバグが発生すると、以下の画像に示したように、"2019-05 Cumulative Update for Windows 10 Version 1809 for x64-based Systems (KB4494441)" が2回アップデートの履歴にリストされているのを確認するだろう。


    KB4494441が2回インストールされている(画像をクリックすると拡大されます)

     このアップデートをインストールし、一度だけしかリストされていない場合を含め、これは全てのWindows 10ユーザに影響を与えないことに注目すべきである。
     KB4494441サポート記事は、このバグに関連した既知の問題と共にアップデートされている。これを以下に示す。

     一部の顧客は、彼らのデバイスにKB4494441が2回インストールされるとレポートしている。
     特定のシチュエーションで、アップデートをインストールすると、複数のダウンロードと再起動のステップが要求される。このインストレーションの二つの中間ステップが問題なく完了すると、あなたのアップデートの履歴ページの表示は、このインストレーションが2回問題なく完了したことをレポートする。

     あなたに要求されるアクションは何もない。このアップデートのインストレーションは時間が掛かり数回の再起動を要求するかもしれないが、全ての中間インストレーション・ステップが完了した後、無事にインストールされるだろう。

     アップデートの履歴が最新の累積アップデート(LCU)のインストレーションを反映するように、このアップデートを改善するための作業を行っている。

     Microsoftは、この種の問題が発生しないように修正を作業中であると述べている。この修正は、このアップデートのアップデート版か、サービススタック更新プログラムとして提供されるだろう。

    KB4494441は重要なアップデートである

     ユーザは、たとえリストに2回あろうともKB4494441をアンインストールしようとしてはならない。このアップデートは多くのバグフィックスとセキュリティアップデート(最近アナウンスされたMicroarchitectural Data Sampling (MDS)脆弱性(【訳註】 数日前に報道されたIntel製CPUの脆弱性)を含む)を含んでいる。
     ZombieLoad, RIDL, Falloutとも呼ばれるこの新しいMDS投機的実行の脆弱性は、悪意あるプロセスがCPUのメモリバッファから情報を盗むことを可能にするものである。これは、暗号化キー、パスワード、他の重要な情報を盗むことも可能にする。
     それ故、 これらの攻撃を妨げる役に立つ緩和策を含んでいるので、KB4494441がインストールされたままにしておくことが重要である。
     我々はまた、セキュリティアップデート用の既知のMDSの脆弱性アップデートとアドバイザリ、緩和策、およびハードウェアデバイスや他の企業のソフトウェア用のアドバイザリのリストも作成している。


    Microsoft: 緊急のリモートデスクトップフローを修正、ワームマルウェアをブロック
    BleepingComputer : News>Security (2019/05/14)
     Microsoftは本日、リモートデスクトップサービス(RDS)中に発見されたリモードコード実行(RCE)の緊急の脆弱性をパッチした。これは、悪意ある行動主体が脆弱性のあるRDSインストレーションを実行しているコンピュータ間を伝搬するように設計したマルウェアの作成を可能にするものである。
     MicrosoftのWindows IT Pro Centerによると、「リモートデスクトップサービス(RDS)は、個々の仮想化アプリケーションの提供、安全なモバイルおよびリモートデスクトップアクセスの提供、エンドユーザにクラウドからのアプリケーションおよびデスクトップを実行する能力の提供など、あらゆる最終顧客に必要な仮想化ソリューションの構築に最適なプラットフォームである。」
     Microsoftのセキュリティアドバイザリでは詳細として、

     認証されていない攻撃者が RDP を使用して標的のシステムに接続し、特別に細工された要求を送信する場合、リモート デスクトップ サービス (旧称ターミナル サービス) にリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、標的のシステムで任意のコードを実行する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。
     この更新プログラムは、リモート デスクトップ サービスが接続要求を処理する方法を修正することにより、この脆弱性を解決します(【訳註】Microsoftの日本語サイトより引用)

    Windowsの旧バージョンが影響を受ける

     CVE-2019-0708として追跡される緊急のRDS脆弱性は、サポート中のWindowsの旧バージョン(即ち、Windows 7, Windows Server 2008 R2, and Windows Server 2008)にのみ影響を与える。影響を受けるバージョンのセキュリティアップデートは、Microsfot Security Update Guideから利用可能であると、Microsoftは発言している。
     「Windowsのサポート中のバージョンを使用し、自動アップデートを有効にしているユーザは、自動的に保護される」とMicrosoftは発言している。
     Windows XPやWindows 2003のようなサポート対象外のオペレーティングシステムもまた、この緊急のCVE-2019-0708フローの影響をうける。これらのWindowsバージョンのユーザは、新しいOSにアップグレードするか、KB4500705から利用可能なセキュリティアップデートを適用するかの何れかを実行しなさい。
     Windows 8とWindows 10ユーザは、最新のWindowsのリリースでMicrosftによって提供された、強化されたセキュリティのために、この脆弱性による影響は受けない。

    このセキュリティフローは'wormable'(ワームの侵入を許す)ものであり、緩和可能

     この脆弱性のあるシステムでRemote Desktop Services Connectionsに関してNetwork Level Authentication (NLA) を有効にすると、「リモートデスクトップ接続を確立してログオン画面が表示される前にユーザー認証を完了することができるため、この脆弱性は部分的に緩和される。これは、悪意あるユーザと悪意あるソフトウェアからリモートコンピュータの保護に役立つ、より安全な認証である。」
     それにも拘わらず、潜在的な攻撃者が、RDSが有効になっているシステムの認証を受けるために必要な証明書を持っている場合には、依然としてRCE脆弱性を悪用することができる。
     更に悪いことに、Microsoft Security Response Center (MSRC)のインシデント・レスポンス ディレクタSimon Popeは、以下のように発言している

     この脆弱性は事前認証であり、ユーザの操作を要求しない。換言すれば、この脆弱性は'wormable'(ワームの侵入を許す)である。これは、この脆弱性を攻撃する将来のあらゆるマルウェアが、2017年に世界中に拡散したWannaCryマルウェアに類似した方法で、脆弱性のあるコンピュータから脆弱性のあるコンピュータに拡散できることを意味している。

     これは、身代金要求攻撃、ハッカー、このような'wormable'(ワームの侵入を許す)リモートデスクトップサービスのセキュリティフローのような脅威に晒されるため大変危険であるにも拘わらず、多くのサーバーが遠隔作業者のインターネット接続のためにリモートデスクトップサービスを公にアクセス可能にしているので、とりわけ危険である。
     「我々は、この脆弱性に対する攻撃を未だ確認していないが、悪意ある脅威の主体が、この脆弱性用の攻撃を記述し、それを彼らのマルウェアに組み込む可能性は高い」とMicrosftは発言している。
     Microsoftは、「NLAが有効か否かに拘わらず、影響を受ける全てのシステムは、可能な限り早急にアップデートすべきである」とアドバイスしている。
     Microsoftのスポークスマンのステートメントによると:

     我々は2019年5月14日に、この脆弱性を解決するためのアップデートをリリースした。旧オペレーティングシステムを使用している顧客は、Windowsの最新バージョンにアップデートするか、あるいは、早急にこのアップデートを適用することを推奨する。詳細な情報は、我々のブログとセキュリティアップデートガイドを参照されたい。」


    ユニクロが侵害され46,100アカウントを超えるデータを漏洩
    BleepingComputer : News>Security (2019/05/13)
     この件の詳細に関しましては、以下のリンクのサイトを参照して下さい。

    Internet Watch > ニュース > ユニクロ・GU公式サイトで不正ログイン、身体サイズや氏名・住所など含む46万件の個人情報が閲覧された可能性

    Fast Retailing公式サイト > 「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて


    Firefoxアドオンは証明書の有効期限切れにより無効化された
    BleepingComputer : News>Security (2019/05/03)
    アップデート: Mozillaは、この問題に関する臨時の修正をリリースした。詳細情報は、この記事の末尾を参照。
     Mozilla Firefoxユーザは、彼らのアドオンの全てが突然無効化されていることを発見している。これは。Mozillaアドオンの署名に使用されている中間証明書の期限切れによって発生している。
     Reddit、Twitter、Bugzillaのバグレポートでの多くのレポートによると、ユーザは、彼らのアドオンが突然「これらの拡張機能は、現在のFirefox標準に適さないため無効化されています」のメッセージと共に無効化されたと主張している。


    無効化された拡張(画像をクリックすると拡大されます)

     彼らが無効化されたアドオンをFirefoxのアドオンサイトから再インストールした場合、彼らは「ダウンロードに失敗しました。接続を確認して下さい」のエラーメッセージが表示される。


    アドオンインストール時のエラー(画像をクリックすると拡大されます)

     テストしたところ、私は幾つかのアドオンをインストールできなかったが、全てではなかった。これは、有効期限が切れていない別の証明書によってアドオンが署名されていることが原因と考えられる。
     Bugzillaのバグレポートによると、Mozillaアドオンの署名に使用された中間署名証明書は、協定世界時2019年5月4日の深夜(日本時間5月5日、09:00)に期限切れになった。MozillaアドオンはFirefoxに使用された順番に署名される。コンピュータがその時刻に到達すると、Firefoxは自動的にアドオンを無効化する。


    Mozillaバグレポート(画像をクリックすると拡大されます)

     このバグレポートの最新の投稿はKevin Brosnan(Mozillaの上級品質保証技術者)によるものであり、彼らは、この問題を認識しており、問題を調査中であると述べている。


    Mozillaは問題を調査中(画像をクリックすると拡大されます)

    アドオンを再稼働させるには

     あなたにとって重要ではないアドオンに関しては、Mozillaが問題を解決し、あなたのアドオンが再稼働するまで待ちなさい。
     待てない人や、インストールしている拡張を即座に有効にしたい人には幾つかのオプションがある。

    方法1: コンピュータの時計を数日前に戻す。
     最も簡単な方法は、証明書を期限切れにしないようにするために、コンピュータの時計を数日前に戻すことである。これは上手くいくが、今日期限切れになった証明書でアクセスしたあらゆるサイトでも同様に上手くいくことを意味している。あなたのローカルメールクライアントからのEmailは、誤った日付になる。そして、一部のサイトは、間違った日付を表示するだろう。

    方法2: FirefoxのNightlyビルドかDeveloperビルドをインストールする。
     もう一つのオプションは、FirefoxのNightlyビルドかDeveloperビルドをインストールすることである。これらのバージョンでは、拡張へのシグネチャ要求を無効化することができる。  FirefoxのNightlyビルドやDeveloperビルドからこれを実行するには、about:configに進み、xpinstall.signatures.requiredを検索する。その設定をダブルクリックしFalseに切り替える。


    xpinstall.signatures.required設定(画像をクリックすると拡大されます)

     この設定をFalseにすると、無効化されたアドオンを再使用することができる。

    方法3: アドオンのデバッグを有効にする。
     ある読者が、デバッグモードを有効にし、それらのXPIファイルからローカルに拡張機能をインストールするという追加の提案を提示してくれた

     about:debuggingに移動して、addon debuggingチェックボックスをオンにする。その後、必要なアドオンのxpiファイルをロードする。すべての人に有効ではあるが、上記の回避策より遥かに複雑である。
     以下に示すように、「Firefoxに追加」ボタンを右クリックして「名前を付けてリンク先を保存」を選択することで、Firefoxアドオンサイトから直接アドオンをダウンロードすることができる。


    アドオン用のXPIファイルをダウンロード(画像をクリックすると拡大されます)

    アップデート 米国東部標準時 2019/05/04 午前10:25(日本時間 5月5日 00:25): MozillaはStudiesシステムを介してこの問題に関する臨時の修正をリリースしたと述べている。このシステムは、完全なアップグレードを実行せずにFirefoxに変更の適用を可能にする


    Mozillaからの解決策(画像をクリックすると拡大されます)

     Studyシステムを使用するには、以下に示すように、Firefoxのメニューから、編集 > 設定 > プライバシーとセキュリティ > Firefox に調査のインストールと実行を許可する(Firefoxのデータ収集と利用についてセクション)を有効にしておく必要がある(【訳註】Defaultで有効)。

     このアドオンの修正がFirefoxにインストールされている否かを確認するには、about:studiesに進み、実施中の調査リスト、もしくは、完了した調査リスト中に"hotfix-reset-xpi-verification-timestamp-1548973"呼ばれる調査を探す。あなたは、実施中の調査リスト中に、もしくは、完了した調査リスト中にも同様に"hotfix-reset-xpi-verification-timestamp-1548973"と呼ばれる調査を確認するかもしれない。


    Studies(調査)中に表示されるホットフィックス

     このホットフィックスがインストールされている場合は、あなたが最早Studies(調査)を受け取ることを希望せず、アドオンが再び動作しているのであれば、Studiesを再び無効化することができる。


    MegaLockerとNamPoHyu Virus身代金要求型マルウェア用の復号プログラムがリリースされた
    BleepingComputer : News>Security (2019/05/02)
     Emsisoftは、SambaサーバをターゲットにしていたMegaLockerとNamPoHyu Virus身代金要求型マルウェア用の復号プログラムをリリースした。現在、犠牲者は彼らのファイルを復号するために無料でこの復号プログラムを使用することができる。
     先月我々は、MegaLocker(NamPoHyu VirusはMegaLockerの新しいバージョン)身代金要求型マルウェア感染は、Sambaサーバをターゲットにし、遠隔からそのデータを暗号化していることをレポートした。その時点で、ファイルを復号化する方法が見つかるかもしれないので、犠牲者は身代金を支払わないようにと述べた。
     我々はMegaLockerとNamPoHyu Virusの犠牲者に無料の復号プログラムがEmsisoftから利用可能になったことを、喜びのうちにアナウンスする。

    MEGALOCKER DECRYPTOR(ダウンロードはこちらから)

     ダウンロードしたら、復号を開始する前に必ずインターネットに接続しておくことが必須である。起動し、脅迫文へ移動し、それを選択する。この復号プログラムは犠牲者の復号キーを復元しようとする。


    MegaLocker & NamPoHyu復号プログラム

     キーが発見されると、ファイルを復号するためにこの復号プログラムを無料で使用することができる。


    復号されたファイル

     この復号プログラムに関する質問があるのなら、我々のフォーラム中のMegaLocker NamPoHyu Virus Support & Helpトピックで自由に質問しなさい。

    身代金要求型マルウェアの開発者は不満である

     我々が身代金を支払わないように犠牲者に告げた時、この開発者は明らかに不満であった。
     このフォーラムでの我々のMegaLockerトピックへの一連の投稿で、この身代金要求型マルウェアの開発者は、復号プログラムが一週間以内にリリースされなければ、身代金を二倍にすると脅してきた。


    NamPoHyu開発者による投稿(画像をクリックすると拡大表示されます)

     この開発者は、イライラを募らせ、我々の支援者を「悪魔」と呼ぶまでに至った。その後、彼らはこの身代金要求型マルウェアに使用されている暗号化アルゴリズムを変更すると脅してきた。


    身代金要求型マルウェア開発者によるもう一つの投稿(画像をクリックすると拡大表示されます)

     この開発者が、彼の約束を守るか否か定かでないが、将来のバージョンがリリースされたなら、我々は間違いなく説明する。けれども現在、犠牲者は無料のEmsisoftの復号プログラムを使用してファイルを取り戻すことができる。


    Office 365アカウントがBECスカム中に使用されたATO攻撃を介して侵害されていた
    BleepingComputer : News>Security (2019/05/02)
     Office 365アカウントがアカウント乗っ取り(ATO)攻撃のターゲットにされ侵害されていた。これは、サイバー犯罪者が後に、スピアフィッシングやBEC(ビジネスメール詐欺)攻撃から悪意あるキャンペーンに至るまでの様々な不正な目的のために使用される。  Barracuda Networksの研究者が本日公開したレポートによると、脅威の行動主体によって2019年4月の一月の間に、ATOを介して侵害した凡そ4000アカウントを使用して、150万を超える悪意とスパムE-mailが配信されていた。
     また、Barracudaの顧客をターゲットにしたATO攻撃を解析したところ、この研究者は、モニターした組織の29%が、Office 365アカウントに侵入されていたことを発見した。
     Office 365アカウントを成功裏にハッキングすると、スカマーは、彼らの挙動を隠蔽するために悪意あるメールボックス規則を追加し、「侵害された凡そ4000アカウントの34%」のアカウントから送信された悪意ある広告メール、フィッシングメール、スパムメールを削除する。
     Barracudaの研究チームは、中国のIPアドレスから発信された疑わしいログインが、Office 365 ATO攻撃を調査している間、試行回数全体のほぼ4分の1を占めていることを発見した。この攻撃者はまた、ブラジル(9%)、ロシア(7%)、オランダ(5%)、ベトナム(5%)にあるサーバーも使用している。

    Office 365攻撃方法

     ATO攻撃を介して彼らのターゲットのアカウントに潜入するために、サイバー犯罪者は「ブランドの偽装、ソーシャルエンジニアリング、フィッシング」を組み合わせて使用している。以前に設定したフィッシング・ランディングページ(【訳註】外部からWebサイトにアクセスした時最初に開くフィッシング用のページ)を訪問させ、彼らのアカウントの資格情報を送信させることを、犠牲者になる可能性のある者に確信させるためにMicrosoftのような有名企業になりすましている。
     悪意ある行動主体はまた「今迄のデータ漏洩で取得したユーザ名とパスワードを悪用していた。人々がしばしば同じパスワードを異なるアカウントでも使い回しているという事実に基づき、ハッカーは盗んだ認証情報を再使用し、他のアカウントへのアクセスを取得することが可能だった」とBarracudaは発言している。
     個人用E-mailの盗まれた認証情報は後に、BEC (Business Email Compromise、ビジネスメール詐欺)あるいはEAC (Email Account Compromise)としても知られるキャンペーンの一部として、「ビジネスE-mailへのアクセスを取得しようとして」侵害されたOffice 365アカウントへのアクセスを取得するために使用されていた。
     ブルートフォース攻撃(ユーザが極めて簡単に推測できるパスワードを設定しているという事実を悪用する攻撃方法)もまた、この研究者によって観測されている。「攻撃はまた、Webと商用アプリケーションを介して行われている (SMS(【訳註】ショートメッセージサービス)を含む)」とも、このレポートは述べている。

    侵害されたOffice 365アカウントは犯罪者によって乱用されている

     サイバー犯罪者は、「攻撃を成功させるために、会社の業務方法、使用しているE-mailシグネチャ、金融取引の処理方法を知るために活動を監視し追跡している(他のアカウントへのログイン認証情報の取得を含む)。」
     攻撃の次の段階で、犯罪者は、ソーシャルエンジニアリングとスピアフィッシングの両方を使用し、侵害されたOffice 365アカウントを使用して財務部の役員や従業員の一部をターゲットにしている。
     FBIのInternet Crime Complaint Center (略称IC3、米国インターネット犯罪苦情センター)が4月に公開した2018年度インターネット犯罪レポートで説明されているように、この種のスカムは、背後に凡そ12億ドルの金融損失が存在しており、犯罪者は電信送金をターゲットにし、彼らの制御下にある銀行のアカウントにそれらをリダイレクトさせることに成功している。
     個人と企業の両方を対象にしたBEC/EAC攻撃は、IC3によると、信用/ロマンス詐欺、不動産詐欺、投資詐欺と共に、サイバー犯罪者にとっては最も利益をもたらすものであった。これは、2018年の犯罪タイプで、犠牲者に合計7億6300万ドルの損失をもたらしたものである。

    IC3の調査結果は、Proofpointの電子メールセキュリティのRob Holmes副社長によっても確認されている。彼は、「企業が電子メールの成り済まし攻撃の標的とされた頻度は、2018年では2017年との比較で3倍になっており、性能は高度になってきている。世界的な経済的影響に加えて、毎年この種の事件の多くが様々な理由で過少報告または未報告になっていることは注目に値する」と発言している。
     Barracudaのレポートによれば、ハッカーはまた、「個人情報、財務情報、機密データを盗み取り、個人情報の盗難、詐欺、その他の犯罪にそれを使用することによって攻撃を収益化するために、侵害したアカウントを使用する。

    軽減策

     Barracudaは、電子メールゲートウェイやスパムフィルタをバイパスするように設計された攻撃を検出しブロックすることができる機械学習ベースの防御ソリューションを使用し、「ビジネスメール詐欺とブランド成り済ましを含むスピアフィッシング攻撃に対して」彼らのユーザを保護することを組織にアドバイスしている。
     マルチファクタ認証、2ファクタ認証、二段階認証の使用もまた異なることを実行することができる。攻撃者は特別な保護レイヤーのために彼らが盗んだアカウント情報を悪用することができない。
     Barracudaはまた、アカウントが危険に晒され不正目的で使用されたりした場合に、監視と警告のために設計されたATO検出および保護ソリューションを配備したり、悪意あるルール作りをされないようにメールボックスを監視したり、スピアフィッシング攻撃を認識するように従業員を訓練したりすることは、ハッキング対策の実行可能な解決策であると提案している。


    サイバー犯罪者は、仮想通貨を盗むためにハッキングされたMicrosoft E-mailアカウントを使用している
    Sophos : Naked Security (2019/05/01)
     先月ハイジャックされたMicrosoft E-mailアカウントが仮想通貨を盗むために使用されていた。
     4月初めにMicrosoft E-mailへの攻撃により、ハッカーはユーザのコンテンツを読むことが可能になっていたと、Motherboardは報道している。今週、攻撃者が彼らの仮想通貨交換口座を改竄し資産を空にするために、彼らのE-mailを使用していたと発言している数人の犠牲者が発見された。
     そのような犠牲者の一人Jevon Ritmeesterは、侵入者に仮想通貨取引所Krakenの彼の口座を侵害された後、このハッキングの結果として1ビットコイン(【訳註】 2019/05/02時点で、約60万円)以上を失ったと主張している。
     先週のTweakers technologyフォーラムでの投稿で、Ritmeasterは以下のように発言している:

    4月8日、私は仮想通貨の状態を確認したかった。私は毎日Kraken.comを見てはいない、数カ月見ないこともある。

     彼が口座をチェックした時、彼はKrakenパスワードが最早機能しないことを発見した。そして、彼のOutlookの受信箱にメールが一通も存在していないことを見つけた。彼がゴミ箱の中を見た時、パスワードリセットE-mailだけを発見した
     この犯罪者は、パスワードのリセットを要求し、E-mail処理ルールを作成することによって、彼から確認E-mailを隠蔽した。このルールは、受信E-mail中に特定のテキストが発見されると、それらE-mailをローカル メールボックスから削除する前に、攻撃者のアドレスに転送するものである。これで、攻撃者がRitmeesterのパスワードをリセットし、彼の口座を空にすることが可能になる。
     Redditの他のユーザ達は、同じことが彼らにも発生していたと述べている。その一人Jefferson1337は、仮想通貨で凡そ5000$失ったと発言している。
     先月初め、Microsoftは、ハッカーが顧客サポートアカウントの1つにアクセスした後に、一部のE-mailアカウントが侵害されたことを、TechCrunchに対して認めている。報道によると、このハッカー達は、E-mailアカウントが企業レベルのものでない限り、あらゆるE-mailアカウントにアクセスできた。
     Microsoftは3月末の攻撃に気付いていた。この侵害は、犯罪者がOutlook, Hotmail, MSNアカウントの一部のコンテンツへのアクセスを可能にしていた。
     Ritmeesterを含む数人の犠牲者は、財産の損失を招いたMicrosoftに対し法的措置が適切であるかもしれないと持ちかけている。  Redditのユーザshinratechlabsは、以下のように発言している:

     実際に、私がMicrosoftに対して償還請求をするのか? 間違いなく私一人ではない。仮想通貨ユーザは狙われている。

     Naked Securityの読者への結論は、あなたのオンラインアカウントを安全にするためには保護の複数の形態に頼ることがより適切であるということである。
     Ritmeesterは、パスワードマネージャに保管していた強力でユニークなパスワードを使用していたが、Krakenがサポートしている2ファクタ認証プロテクションを使用していなかった。これは彼の管理外にあるE-mailハックに自分を晒していた。彼は以下のように発言している:

     残念ながら、私はKraken.comで2ファクタ認証をしていなかった。私の口座はすべて、一意の長いパスワードでしっかり保護されていたからである。私は依然として、この行為は正しいと思っているが、今回のMicrosoftの漏洩は内部からのものである。適切なパスワードだったとはいうものの、2ファクタ認証が、あなたの口座を適切に保護する唯一の方法であるということは、高価ではあるが賢明な教訓である。

     特に仮想通貨のユーザへ、もう一つのの結論は、確実な財布とは対照的に仮想通貨の口座を長期間監視せずに資産を放置することは、攻撃に直面する可能性を増加させ、アカウントハ