コロナ禍の中、サイバー空間では、様々なコロナをネタに攻撃を仕掛ける輩がいます。

今回紹介するのは、大陸から台湾への攻撃です。

 

Fake Zoom alerts and dodgy medical freebies among COVID-cracks detected by Taiwan's CERT

台湾のCERTが発表したのは、パンデミックの初期段階において、医療機関を語った攻撃者が、台湾のハイテク産業に仕掛けた内容です。
”Mustang Panda”が台湾の衛生福利部を語り、フィッシングメールを送り付けます。パターンとしては悪意のあるマクロを仕込んだPowerPoint
を添付して開かせようとしたり、偽のZoomリンクを張り付けています。パンデミックをあおって急いで開かせようとするものです。
 
面白いなぁと思うのが、その語った組織が台湾の正規機関名でなく、中国の機関名であったこと、
オマケをつけているところ
ですね。
 
詰めがあまいところと、オマケで釣るって、やっぱり大陸っぽいwww
 
 
参照:
日本で確認されたFakeZoomのまとめ

これはきついですね。一旦組織内のネットワークに入られてしまうと、一気にやられてしまいますね。

Zerologon、、言い得て妙。

セットする値もZero、攻撃方法も簡単でZero的な。。

 

 

Gerd AltmannによるPixabayからの画像

 

Zerologon attack lets hackers to completely compromise a Windows domain

 

Windowsのnetlogonプロトコルの不備(脆弱性)を突くこのエクスプロイトは、一旦Windowsのネットワークにユーザ権限ではいっても、ドメインコントローラに攻撃をしかけ、ドメインコントローラの特権ユーザのパスワードを書き換えられます。

書き換えたらもネットワークを獲ったも同然。ラテラルムーブメントしてネットワーク全体に感染できます。

あとは、なんでもできますね。

重要なデータを窃取して、、それからファイルを暗号化して、、そして、身代金を要求する。。

 

マイクロソフトの8月のセキュリティパッチで解消されます。

速攻でパッチ適用すべきです。

パターンがわかっているから、簡単にIPSでも防ぐことができそうですけど。

 

人間は性の欲望になかなか勝てないものです。

インターネット上にも数多くのアダルトサイトはあります。こっそりと見たことのある人はいるでしょう。大半?w

サイバー犯罪者は、そこに付け込みます。

 

Porn site users targeted with malicious ads redirecting to exploit kits, malware

 
アダルトサイトにも広告たくさんありますね。広告をクリックすると感染するリスクがあります。
サイバー犯罪グループのMalsmokeが大規模なマルウエアの配布を試みています。
有名なアダルトサイト(名前を知りたかったら上記のリンクからお調べくださいw)の広告ページにマルウエア(エクスプロイトキット)を忍ばせているサイトへリダイレクト(導く)します。
このサイトへアクセスしたら、まず感染してしまう可能性がありますね。
エクスプロイトキットは、Adobe Flash Playerもしくはinternet Explorerに存在する脆弱性を突きマルウエアをコンピュータにインストールしてしまいます。
ま、その時点で、感染の確立は低くなりますけど。。IEまだ使っている人いますかね?Flashももうそろそろ終わりですし。
と思ったのですが、それなりに感染している模様。
 
まだまだ、古いソフトを使っている人がいるということかガーン

あいたたた。。。世界的なデータセンターの雄、エクイニクスがランサムウエアの被害にあったようです。

日本の企業も結構使っているんじゃないでしょうか。

Data center giant Equinix discloses ransomware incident

 
要求額は4,5M$。まぁ5億円弱というところでしょうか?期日に間に合わないと倍になるようですw
さてエクイニクスは支払ったのでしょうか?
警察(Law Enforcement)に協力をしてもらっているとの事。
 
エクイニクスからの報告では使っているお客様のサーバやサービスには影響ないということです。
ダークウエブにはエクイニクスのRDPサーバの一部のアカウント情報が流れているようです。
 
真実はいかに。。。
 
 

これはなかなか影響のある攻撃ですね。

DockerやKunermetsを狙うのは難しいものです。もともとサーバの基盤や展開するためのツールソフトウエア、そこにたどり着くのはインターネット上からでも裏口を知らないと攻撃しにくいですね。

 

Attackers Abusing Legitimate Cloud Monitoring Tools to Conduct Cyber Attacks

 
ねらい目がDockerやKubernetesを簡単に操作できるようにする管理ツール。管理ツールの上にかぶせる管理ツールwww
結局、仮想マシンの構築設計から展開、アプリケーションの展開、アップグレード、、アジャイル開発からのサービスリリースという素早いサービスインを目指しならが、スケールアウトするのってどんなにいろんなツールができてもなかなかいい管理ツールが実現できていないんですよね。
そこに横ぐしを通すようなツールは便利なのです。
この便利なツールがWeave Scope。これを悪用して、悪意のあるコードのクローンを用意し、展開されたVM上でクリプトマイナーを実行させる。
 
要は知らぬ間にインターネット上に展開したサーバのCPUを利用して、仮想通貨を掘り起こす手伝いをさせる訳です。
AWSなどのクラウドプロバイダーにサーバ立ててるとしたら、そのリソースを大食いして、たくさん利用料を払うことになるでしょう。
そのうえ、盗まれたCPUリソースで仮想通貨をゲットするわけです。
 
もしお使いでしたら、ご注意を。。。
 
 
参考: