活況 InfoStealer／財政難原因か ロンドン公共交通攻撃／GeoServer 脆弱性／毒殺からサイバー攻撃まで 露精鋭部隊 ほか [Scan PREMIUM Monthly Executive Summary 2024年9月度]

　大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。なお、「総括」以外の各論は、本日朝配信の Scan PREMIUM 会員向けメールマガジンに掲載しています。

＞＞Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

＞＞岩井氏 インタビュー記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

【前月総括】

　9 月は中国での抗日戦争や柳条湖事件などに関連した式典があることから、反日機運が高まる月でした。2014 年以前は日本組織のホームページ改竄や DDoS 攻撃などが散見されていましたが、近年はソーシャルメディア上での動画投稿などによるプロパガンダ活動が見られるのみです。今年も、同様の投稿は確認され、加えてスパイ摘発を啓発する内容も確認されています。これらは、昨年 4 月に改正のあった中国の反スパイ法が関係することは明らかであり、公安部の請負事業者が関与しているものと推察されるものです。

　脅威動向に関してですが、オープンソースの地理空間データを共有するためのサーバソフト「GeoServer」の脆弱性（CVE-2024-36401）を悪用した攻撃が複数報告されています。TrendMicro 社は、中国の APT グループ「Earth Baxia」の活動を報告しており、スピアフィッシングメールによる攻撃キャンペーンを観測している一方で、GeoServer を標的とした攻撃を確認しているとのことです。また、Fortinet 社は、同脆弱性が悪用された Linux サーバより SideWalk マルウェアが確認され、APT41 が悪用している可能性や、Mirai ボットネットの亜種が利用していることを報告しています。現状では、情報窃取を目的とした活動が多いように見えますが、関連システムの破壊を目的とした活動も今後現れるかもしれません。

　また、Recorded Future 社が AI による OCR（光学文字認識）機能を搭載した InfoStealer を報告しています。これは「Rhadamanthys（ラダマンティス）Stealer」と呼ばれるマルウェアが、v0.7.0 にアップデートした報告となります。この OCR 機能により攻撃者は、標的デバイスに保存されている画像からシードフレーズ（ウォレットを復元するために使用される一連の単語）を抽出し、暗号通貨ウォレットにアクセスすることができます。

　InfoStealer の多くは、金銭を目的とした活動で利用されます。そのため、ユーザーは犯罪者グループである可能性が高いことから、アンダーグランドで売買されています。資金も潤沢であるようで、最新技術への対応も非常に早いのが特徴です。その観点では、近い将来におけるリスクを把握するにはこれらのマルウェアの動向を見ておくことは重要なことだと思います。