Week in review - 2024/04 week01
Week in reviewは、毎週の振り返りです。
ニュース情報などから今週気になったことなどに対し、その内容と所感を書いていきます。
対象期間
以下期間における週の振り返りです。
2024年03月30日 ~ 2024年04月05日
レポート内容
3 Topics
今週のニュースの中で、3つ特に注目したトピックを選びました。
それぞれ、以下に個別に書いていきます。
Red Hatは、ほとんどのLinuxディストリビューションで使用されているXZツールにバックドアがあると警告
dailynewsの情報
Red HatがFedora開発版と実験版の利用停止を警告
最新のXZ Utilsデータ圧縮ツールにバックドア発見
Debian unstable (Sid)のxz 5.6.xバージョンでのビルド成功報告あり
他のディストリビューションも影響を受ける可能性
CVE-2024-3094として追跡、深刻度10/10で評価
脆弱性のないXZバージョン(例: 5.4.6 Stable)へのダウングレード
バックドアが含有されるバージョン: xz 5.6.0,5.6.1
バックドアが仕込まれるとsshdの認証に干渉する。この結果、攻撃者はsshdの認証を破り、同じssh接続先に対する不正アクセスを可能とする
所感
色々なリサーチャーの方が調査情報を出していますが、かなり巧妙かつ時間をかけた攻撃だったようですね。
いつもながら、piyokangoさんが詳細にまとめてくれています。
参考: https://piyolog.hatenadiary.jp/entry/2024/04/01/035321
また、GIGAZINEでもバックドアを仕込んだJiaT75 (Jia Tan)というアカウントについての分析を載せています。これは、GitHub上でのアクティビティなどから分析されたエバン・ボエス氏の情報をベースとしたものです。
参考: https://gigazine.net/news/20240404-xz-utils-jia-tan/
とても興味深いのがこれが偶然見つかったということですね。
sshdでCPUリソースが大量に消費され、ログインに非常に時間がかかる状態であることから調査した結果、見つかったようです。
既に元のgitはアクセスできないですが、上記したpiyokangoさんのブログによれば2月24日ごろに不正なコードのコミットがなされ、3月29日に発見。1ヶ月半程度で見つかり、stableなりビジョンでの配布はほとんど行われていなかったのは不幸中の幸いですね。
しかし、こういうのを見るとやはりOSSはなるべくメジャーなものを使った方がいいな、というのを感じます。
今回の件が偶然にも早く見つかったのは使う人が多いからというのは大きく影響していると思いますので。
私はまだこのバックドアによってどういうことがなされるのか、つかみきれてないのですが、今わかる限り以下のことが動くようですね。
まず、侵害されたバージョンをインストールすることで`liblzma_la-crc64-fast.o`というバックドアファイルが生成される
この状態だとsshdでの公開鍵認証時(sshの認証を証明書でやる場合)に悪性コードが動作する
内容はRCEとして動作するもので、CA署名鍵のN値にペイロードが仕込まれている
このペイロードは攻撃者のED448キーで署名・暗号化されている必要がある
まだまだ色々なことが調査中のインシデントだと思いますので、今後の動向に注視する必要がありそうです。
最後に、これに関連してスキャナーも開発されました。
新しいXZバックドアスキャナー、任意のLinuxバイナリ内のインプラントを検出
xz.failというサイトで機能が公開されており、以下の様に利用できるようです。
curl -X POST https://xz.fail/ -F "file=@path_to_your_file"新しいChrome機能が盗まれたクッキーを使うハッカーからユーザーを守る
dailynewsの情報
Googleがデバイスに紐づけたクッキーを導入
マルウェアによるクッキー窃盗を無効化
認証セッションをデバイスに紐づけ
DBSC機能(Device Bound Session Credentials。デバイスに紐づいたクッキー機能)をテスト段階で提供
Googleアカウントのセキュリティ向上を目指す
記事は新機能の紹介
所感
あまり話題になってないかもですが、大変気になる機能ですね。これが有効になれば、今サイバークライム系で隆盛している情報窃取型マルウェアのログマーケットに大きな打撃が与えられると思います。
現代のサイバークライムでは情報窃取型マルウェアのログは単体で売れるようになっており、色々なマーケットで販売されています。
なかにはTelegram上が活発ですが、サブスクリプションで提供されるログクラウドというものも存在します。
で、この情報窃取型マルウェアのログにおいて、パスワードなどの資格情報も重要な窃取対象ですが、もう1つ。クッキーも大きなターゲットになっています。
理由は、盗んだクッキーを使えば対象サイトにおいてなりすましができるから、ですね。
特に多要素認証が一般化されてきている最近ではクッキーの方が重要になっている気もします。
なので、この点が封じられる可能性があるこの機能は大きな新機能だな、という思いですね。
この情報窃取型マルウェアのログ(及びそれに関連したIABマーケット全体)はどこかで少しまとめておきたいと思います。
新型「Latrodectus」マルウェア、ネットワーク侵害において「IcedID」を置き換え
dailynewsの情報
「Latrodectus」は「IcedID」の進化形とされる新マルウェア
2023年11月以降、悪意あるEメールキャンペーンで確認
「IcedID」は2017年に特定された金融情報窃取マルウェア
「IcedID」が「Latrodectus」に完全に切り替えられるかは未知数。ただ、以前に「IcedID」を配布していたIAB(TA577およびTA578)が現在フィッシングキャンペーンで「Latrodectus」を使い始めている
サンドボックス回避チェック等、高度な回避技術を使用
その他
「IcedID」操作の背後にいた人物が2024年2月に米国で有罪を認めた
オンラインの連絡フォームに記入して、標的の組織に偽の著作権侵害通知を送信する攻撃キャンペーンを行っている
所感
これはシンプルな感想になりますが。IcedIDは結構日本でも流行ったマルウェアだと思いますので、とても気になりました。
新たなマルウェアへの移行が進みそうだ、とのことで。IcedIDはバンキングトロイから開始しましたが、その後はローダーとしてランサムウェア攻撃の起点になることが多かったと思います。
Latrodectusは高度な検知回避機能を持つということですし、今後また流行り始めるかも、ということで要注意ですね。
ちなみにこれ見て少し思い出しましたが、IcedIDの開発者はContiの一味であるLeoという人物であると指摘されていました(Contiリークの分析)[1]。
このLatrodectusも同一人物なのでしょうかね?(完全に雑談レベルですが)
[1] TrellixのContiリークの分析記事をご参照ください(以下の図24です)
"「Conti」の内部通信が流出:ランサムウェアの「パナマ文書」を検証", https://blogs.trellix.jp/conti-leaks-examining-the-panama-papers-of-ransomware
other topics
他にも中々興味深いと思ったことを以下に列挙します。
データ窃取ケースが7倍に増加したと研究者が報告 - Infosecurity Magazine
これは上に書いたGoogleの件と同じ系統であり、情報窃取型マルウェアの活動についてです。
サイバークライムにおいて情報窃取型マルウェアなどによる認証情報の窃取が増加しているという指摘です。
同じような指摘はGroup-IBもしています(2022年からログクラウドが大きく増加しているとの指摘)。
ホスティング会社のVMware ESXiサーバーが新たなSEXiランサムウェアの攻撃を受ける
ホスティング業者が攻撃されると被害が非常に大きくなるというのもあり、取り上げました。
しかし合計で約1億4,000万ドル(ホスティングの顧客1つ辺り2BTC)という身代金は凄まじいですね。
マイクロソフト、2023年のExchange攻撃でハッカーがMSAキーを盗んだ方法が未だに不明
マイクロソフトでもこういうことが起きるのだな、という感想になってしまいますが。正直まだ尾を引きそうな気がしてしまって怖い限りですね。
製薬開発会社、LockBitの投稿後にサイバー攻撃を調査中 (本記事リリース後の行動も追記してます)
これを取り上げたのは、The Recordの記事として取り上げられたことを理由にLockBitが交渉を打ち切ったという今まで聞いたことない事象が起きたからです。
リークサイトなんてものを使い、いわば見せしめとして晒上げをする彼らはメディアに取り上げられることを喜んでいるとおもいましたが、少なくとも今のLockBitは違うかもです。
2月にLockBitのインフラが差押えられ、複数名の逮捕者が出たことも影響してるかもですね。今はなるべく静かにしておいた方がいいという思いになった可能性があります。
いずれにせよ、同じような状況からALPHV/BlackCatも逃げた現状、LockBitの同行は要注目ですね。
新たなIvanti RCE脆弱性、16,000台のVPNゲートウェイに影響の可能性
2月に様々な脆弱性が取り上げられ多くの攻撃活動も報告されたIvantiで新しいRCEの可能性がある脆弱性が修正されました
とはいえ、今までのものと違いヒープオーバーフローによるもので、RCEも可能性として記載されている状況です。つまり前の脆弱性とは難易度が大きく違いますね。
無論、なるべく早くパッチをあてる、ということに強く同意しますが。1月から2月に騒がれた脆弱性程には大規模な攻撃には使われないのでは、とは思います
その他
その他気になっていることをつらつらと。
urlファイルによるマルスパム(with WevDAV)
今週、ちょっと気になって調べようかな、と思ったのが、イニシャルでlnk/urlファイル(ショートカットファイル)が送られた際の挙動です。
lnkファイルは、MotWによりアラートは出ますがブロックがされません。
で、urlのファイルは少し前にSmartScreen;MotWによるブロックをバイパスする脆弱性(CVE-2024-21412)見つかりました。ここで使われているのがWebDAVです。
マルウェア添付スパムなどからの攻撃ではMotWによる保護をバイパスするのが重要だと思いますが、lnkファイルなどだと保護しきれないと感じてました。
CVE-2024-21412の件は修正されてますが、WebDAV使えばhttp先のファイルをショートカットとしてリンクして実行できるのは結構面白いな、と感じてます。
さらに、今回LatrodectusのキャンペーンでもWebDAVが使われているのをみました。(これはurlファイルじゃなくてjavascriptファイルですが)
ちょっと気になるので諸々試してみたいですね。
余談ですが、私はWebDAV構築したことないのですよね。そういう意味でも試しておきたいと思いました。(パケットやアクセスログがどう出るとかを見てみたい)
Security Copilot
Microsoft Azureで、Security Copilotが4月1日から一般に利用可能となりました。
私も探してみたところ普通に出てきましたね。
Azureコンソールで検索すると、 `Microsoft Copilot for Security compute capacities` というものが出てきます。
私はこれは注目すべき機能だと思っていますので、少し使ってみて別途記事をあげようと思います。
まずはみんなでMicrosoft Learnで勉強しましょう!
Microsoft Copilot for Service に関する入門情報 - Microsoft Learn
最後に
今はニュースぐらいしか見ていないですが、threatfoxなどでのマルウェア情報取得、アンダーグラウンドフォーラムなどでの情報収集をしていきたいですね。
今はまず脆弱性収集を日々行い始めてますので、この週の振り返りではそういった情報をベースにした統計も見ていきたいと思います。
読んでくださった方はあまり期待せずに待っていてもらえると嬉しいです。