Week in review - 2024/04 week02
Week in reviewは、毎週の振り返りです。
ニュース情報などから今週気になったことなどに対し、その内容と所感を書いていきます。
対象期間
以下期間における週の振り返りです。
2024年04月06日 ~ 2024年04月12日
レポート内容
3 Topics
今週のニュースの中で、3つ特に注目したトピックを選びました。
それぞれ、以下に個別に書いていきます。
悪意あるPowerShellスクリプトがマルウェアを配布、スクリプトがAIによって作成された可能性
dailynewsの情報
AI技術を使用して作成された可能性がある悪意あるPowerShellスクリプトがRhadamanthys情報窃取マルウェアを配布
スクリプトは2023年3月にドイツの多数の組織を狙ったメールキャンペーンで使用された
攻撃者TA547はMetroキャッシュ&キャリーブランドになりすましたメールで組織をだましてZIPアーカイブを開かせる
PowerShellスクリプトは、メモリ内で直接実行されるようBase64でエンコードされたRhadamanthys実行可能ファイルをデコード
AIによるコード生成技術の利用が疑われるが、確証はない
攻撃者はTA547として追跡され、ドイツの組織を狙った
インフェクションチェーン: パスワード付きzip > .link > powershell(fileless)
ファイルレスpowershellのコードを調べるとコメントが特徴的であり、生成AIで作成された可能性がある。
BleepingComputerが生成AIでpowershellコードを作成した際も似たようなコメントが作られており、論拠は確認できた
この論拠は2つの可能性を示している
生成AIを利用している可能性が高い
生成AIに依存するソースからコードをコピーした可能性が高い
所管
個人的に一般に開発する人間が生成AIを活用するようになっている以上、まぁ攻撃者がマルウェア開発する時も使うよな、とは思います。
私もGitHub Copilot使い始めてますが(今更かよ、て感じですが)、いい感じですね。使っていくうちにサジェストがどんどん精度がよくなっていると感じてます。
ガードレールが色々あるため、マルウェアを作れという作ってくれないと思いますが、コードスニペットを作ってもらったり、コーディングに関するヘルプをしてもらうとかは開発者と同じようにやってもらえますから。
しかし、個人的にはこれは良い情報のような気がします。生成AIを使った場合はこういう特徴がある、ということであればそれをシグネチャに組み込みやすくなると思いますし。(難読化の問題もありますが)
この一件は生成AI利用かどうか不明ですが、常識で考えれば開発補助には使ってるでしょうから、マルウェア開発の効率化なども上がっていると考えておいた方がいいですね。
Raspberry Robinリターン:WSFファイルを通じて新しいマルウェアキャンペーンが拡散
https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html
dailynewsの情報
Raspberry Robinマルウェアキャンペーンが悪意のあるWindowsスクリプトファイル(WSF)を介して拡散。
当初はUSBドライブを介して拡散していたが、現在はWSFファイルのダウンロードを利用。
マイクロソフトはこの脅威クラスターをStorm-0856として追跡し、広範なサイバー犯罪エコシステムとの関連がある。
WSFファイルはダウンロードし実行すると、curlコマンドでメインのDLLペイロードをリモートサーバーから取得。
マルウェアは分析回避と仮想環境評価を行い、特定の条件下での実行を終了。
マルウェアはマイクロソフトディフェンダーアンチウイルスの除外ルールを設定し、検出を回避。
WSFファイルのダウンロードURLへの誘導をどうやってるかは不明。おそらくスパムやマルバタイジングだと思われる
所管
記事で触れてますが、Raspberry RobinはUSBワームのイメージが数年前まではあって、その後はフィッシングなども初期アクセスに使われるようになったと記憶してます。
今回は何が初期アクセスかは不明ですが、その後にWeb経由で取得される感染の初動で動作するものとして、WSFファイルがダウンローダとして使われるようになったみたいですね。
今回の件はVirusTotalでも検出0のマルウェアということで、中々興味深いです。ちなみに執筆辞典(4/14。記事の公開が4/10)でreanalyzeしても変わらずでした。
サンプル: https://www.virustotal.com/gui/file/e118042c448de6933f9e39157a96f6160d720504e1a0ca7c1f1ad2a59b1fdb7b
手法も面白いですね。先頭にジャンクの文字を入れて解析妨害しているようです。私も少し見てみたいですが、ちょっとまだ手が付けられていません。。
今後はより詳しく見ていきたいと思います。
Palo Alto NetworksがPAN-OSファイアウォールのゼロデイ脆弱性を警告、攻撃で利用されている
dailynewsの情報
PAN-OSのコマンドインジェクション脆弱性が発見され、攻撃に利用されている
脆弱性はVolexityが発見、CVE-2024-3400として追跡
脆弱性は最高の深刻度スコア10.0を受け、特別な権限やユーザーの介入を必要としない
影響を受けるのはPAN-OS 10.2, 11.0, 11.1の特定のバージョン
修正パッチは2024年4月14日にリリース予定。ただし攻撃はすでに始まっているため、それまでの対策が求められる
不正アクセスによるリモートコード実行が可能で、速やかな対応が必要
PAN-OS ソフトウェアの GlobalProtect 機能にコマンド インジェクションの脆弱性
所管
記事の中に出てますが、かなりの台数が公開されている(GlobalProtectであれば仕方ないのかと思いますが)という状況であり、4/15以降かなり話題になりそうに思います。
既にGitHubなどでエクスプロイトコードらしきもの(ついでに偽PoCも出てるので注意)が上がってますので要注意ですね。まぁこれは私が試したところではうまく動かなかったので、使えるかどうかは何とも言い難いですが。。
other topics
今週、ニューストピックの中で私が気になるものは他にはなかったです。(大きなインシデント話は出てますが、そこから得られる何かを言える状況でもないので今は触れません)
その他
その他気になっていることをつらつらと。
その他、気になったことには以下があります。
日本語のマルスパム
Xで、最近ちょくちょくRemcosRATのキャンペーンを見かけます。
これは結構長く続いてるキャンペーンっぽいので要注意ですね。
参考: https://twitter.com/58_158_177_102/status/1777609251919380813
PyPIにアップされたシークレットに関する調査情報
定期的に、特にGitHubでは出てる話ですが、PyPIでの調査ログが出ていました。
不特定多数の人が公開できるものには悪意のあるものもあれば、こういった誤公開のリスクも常にまとわりつく、というところですね。
ちなみにDocker Hubにアップされたイメージにシークレットが多く含まれていた、というのもありました。
GitHubはスキャン機能の作ってくれていってますが、その他はまだまだ進んでないと思います。開発者の方はこの辺り要注意ですね。
参考: Docker Hubの数千のイメージが認証シークレットとプライベートキーを漏洩
最後に
やりたいことは色々ありますが、今週はあまり触れられてないので言えることがありません。。
あと、今週からハニーポット運用を始めたので、観測ログを今後あげていけたらいいですね。(Global Protectとかのハニーポットも上げていきたい)
ちなみにみんなハニーポットどうやってるのか聞きたい。私はfargate_spot使い始めました。理由は以下です。
ある程度安い
管理しやすい
インターナルなアクセスを無効にしてログだけcloudwatchで収集できる
サーバ管理を全然やらなくていいのと、コンテナで軽く動かせるのがfargate_spotの良いところに思います。
今後、この辺りも話していけたらいいですね。