さまざまな脆弱性を悪用して拡大するbotネット「TrueBot」の実態とは?:Cybersecurity Dive
マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。
米国連邦捜査局(FBI)および米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、MS-ISAC(Multi-State Information Sharing and Analysis Center)、Canadian Centre for Cyber Securityなどの関係者は2023年7月6日(現地時間、以下同)、米国やカナダを狙ったフィッシング攻撃に、マルウェア「TrueBot」(別名:Silence Downloader、Truecore)が利用されているとして注意喚起した(注1)。
CISAはTrueBotについて、「Clopなどのランサムウェアグループなどが使用するbotネットであり、組織からデータを収集し、流出させるために利用されている」と述べた。
TrueBotによるサイバー攻撃が急増中 悪用されている脆弱性は?
サイバー攻撃者は2023年5月下旬以降、ITシステム変更管理ソフトウェア「Netwrix Auditor」の脆弱(ぜいじゃく)性であるCVE-2022-31199を悪用し、TrueBotの変種を配信してターゲットからデータを盗むための初期アクセスを実行している。
NetwrixのCSO(最高戦略責任者)であるゲリッド・ランシング氏によると、Netwrix Auditorは、クラウドとオンプレミスの両方でデータやITインフラにおけるセキュリティ措置のギャップを特定するために使用されるソフトウェアだ。現在7000社以上の組織が使用しているとされる。
ランシング氏は「サイバー攻撃者はデプロイメントのベストプラクティスに反してCVE-2022-31199を使ってインターネットに公開されているNetwrix Auditorシステムにおいて任意のコードを実行できる可能性がある」と指摘した。
Netwrixは2022年6月、脆弱性の修正を含むNetwrix Auditorのバージョン10.5.10936.0をリリースした。同社は顧客に対して、ソフトウェアをインターネットに公開しないようにアドバイスしており、インターネットに公開している顧客は、アクセスを即座にブロックする必要があると指摘する。
「ソフトウェアをインターネットに公開していない顧客のリスクは低いが、全ての顧客がバージョン10.5.10977.0にアップデートする必要がある」(ランシング氏)
CVE-2022-31199以外にも拡大に利用される脆弱性が見つかっている
EDR(Endpoint Detection and Response)製品「VMware Carbon Black」のMDR(Managed Detection and Response)チームの研究者は2023年6月1日(注2)、2017年から流通しているTrueBotを使ったサイバー攻撃が急増していることを報告している。
同研究者によると、TrueBotは標的に関する情報をコマンド&コントロールサーバ(C2サーバ)を通じて収集し、その後に侵害したシステムを利用して追加の攻撃を実行する。
同研究者は、これらに加えて、脅威アクターのSilence Groupは最近、Netwrix Auditorを悪用してTrueBotを積極的に開発していることも指摘しいている。Silence Groupは以前、主に銀行をはじめとした金融機関を標的にしていたことが知られているが、最近では教育部門を標的にした攻撃を実行しているという。
TrueBotは以前、ユーザーをだまして悪意のあるハイパーリンクをクリックさせてマルウェアを配信していた。一部のケースでは、電子メールの添付ファイルがソフトウェアの更新通知に偽装されていた。悪意のあるファイルがダウンロードされると、マルウェアは自らの名前を変更し、ホストシステムにトロイの木馬「FlawedGrace」を読み込ませる。
Mandiantの研究者によると、脅威アクターFIN11は多様な方法でTrueBotを配信していると指摘した。同グループはこれまで米国やカナダ、イギリス、オーストラリア、コロンビア、ドイツで被害者を出している。
Google Cloudで金融犯罪の分析を担当するMandiantのリードアナリストであるジェレミー・ケネリー氏は「手法の多様化は、FIN11が配信脅威クラスタとパートナーシップを結んでいるか、新しいチームメンバーを募集している可能性を示唆している」と述べた。
ケネリー氏によると、人気のあるソフトウェアブランドを装ったWebサイトや、ファイル転送ツール「GoAnywhere MFT」の脆弱性(CVE-2023-0669)、SolarWindsのサーバソフト「Serv-U」の脆弱性(CVE-2021-35211)を悪用してTrueBotが拡大しているという。
(注1)Increased Truebot Activity Infects U.S. and Canada Based Networks(CISA)
(注2)Carbon Black’s TrueBot Detection(VMware)
(注3)Netwrix Statement on CVE-2022-31199(Netwrix)
関連記事
- パスワードは“覚えるもの”という先入観はそろそろ捨てませんか?
今や多くのセキュリティソリューションが世の中に出回っていますが、有料でも入れるべきだと筆者が主張するのが「パスワード管理ソフトウェア」です。これを使うことでどのような世界が開けるのでしょうか。 - サイバー攻撃者向けAIチャットbotが続々登場 Google レンズと連携されるものも
サイバー攻撃者が自身のビジネスに悪用できる生成AIツールを開発し始めている。SlashNextの調査から、これらのツールがどのような機能を備えているかが明らかになった。 - 月額200ドルで悪用可能 サイバー攻撃者向けAIチャットbot「FraudGPT」が登場
PCMagはサイバー犯罪者向けAIチャットbot「FraudGPT」がハッキングフォーラムで販売されていると報じた。このツールはChatGPTと同じ技術を使用している可能性があり、月額200ドルで利用可能になるようだ。 - Google Bardの偽Webサイトに誘導 新型マルウェア「BundleBot」とは?
新型マルウェア「BundleBot」に関する調査結果がCheck Pointから発表された。Facebookの広告や侵害したアカウントを経由して感染し、「.NET」のバンドル形式を悪用して検出を困難にする。
© Industry Dive. All rights reserved.