【日刊】忙しい人のためのセキュリティニュース(2017/10/18) GTA用のModにマイニングスクリプト混入か、新種”Magniber”(ランサムウェア)が発見、Lenovoがこっそり大量の脆弱性をパッチ、他

f:id:nanashi0x:20171019204843p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

GTA用のModにマイニングスクリプト混入か

PCゲーム”グランド・セフト・オート(GTA)”のModの1つに、ユーザーPCのリソースを使って暗号柄Moneroをマイニングするマルウェア、”WaterMiner”が仕込まれている可能性があると、Minerva Labsのセキュリティ研究者は指摘する。

WaterMinerが含まれるModは、主にロシアのクラウドサービス・Yandex.DiskでRARファイル形式で配布されており、その中に入っている"pawncc.exe"を実行するとWaterMinerをインストールし始める。そして実行されると、TCPポート45560を開き、マイニングプールに接続し、Moneroの採掘を開始する。

Modは、ゲーム内に存在するバグを突くプログラムである。つまり、Modを作成する能力があればマルウェアを作成できてもおかしくないのだ。

GTAのModを作成した人と、WaterMiner(世界中で流行しているXMRigというマイニングスクリプトの一種)の作成者は同一人物で、Opc0d3rと名乗る人物とされている。

その根拠は、Modのソースコードから読み取れる作成者の”癖”と、WaterMinerのソースコードに現れる”癖”がかなり似通っているからのようだ。

GTAの場合、Modをダウンロードすれば自分のキャラが強くなり、対戦相手に対して有利に立てますよね。Modがある事でゲームの楽しみが広がるので私はどんどんModが開発されて、ゲームの楽しみ方の”幅”を広げていってもらいたいと思っています。Opc0d3rと名乗る人物は、Mod作成者としては有名な人だったようなのでファンも多くいたのではないでしょうか。私はこの手法は、そうした人達からの信頼から成り立つ需要を逆手に取った悪意のあるマイニング手法の為、極めて悪質なケースだと思っています。
 

新しいランサムウェアの”Magniber”が発見された

http://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/

トレンドマイクロのセキュリティリサーチャーの調べで、”Magniber”というランサムウェアが流行している事が明らかになった。

Magniberは、ダークネットで取引されているExploit Kit、”Magnitude”の中に含まれているということだ。

Exploit Kitとは、クラッカーがターゲットをエクスプロイトする時に使う道具箱です。ウェブサーバーにアップロードし、ターゲットクライアントの脆弱性スキャンを行い、脆弱性をエクスプロイトするという、一連の攻撃を行うキットです。

Magnitudeの動向に関して、以下にタイムラインとしてまとめておく。

Magnitudeのタイムライン
  • 2013年: ダークネットで世界的に大流行
  • 2014年: ダークネットの市場から姿を消した。(個人間で使われていた。)
  • 2016年6月頃: ターゲットをアジア諸国に変更し、LockyやCerber等のランサムウェアを配布。
  • 2017年9月23日: 再度市場から姿を消す。
  • 2017年10月15日: 再び市場に現れ、Magniberの配布を開始した。

現在のMagniberの主なターゲットは韓国とされており、主な感染経路はマルヴァタイジング(悪意のある広告)のようだ。

攻撃方法についてだが、一般的なサイバー攻撃キャンペーンのやり口を踏襲しており、ターゲットの地理情報とクライアントのIPアドレスを使ってフィルター分けし、セキュリティ研究者の目に止まらないように攻撃を行っている。

現在Magnitudeは、たった1つの脆弱性(CVE-2016-0189)をエクスプロイトしている。CVE-2016-0189は、2016年5月にパッチされたIE脆弱性で、メモリーコラプションを引き起こす可能性がある。

Magnitudeが配布してきたLockyランサムウェアなどはターゲットの住む場所に関係がなかったのだが、現段階ではメインターゲットは韓国のみとされているようだ。

 

Lenovoがこっそり大量の脆弱性をパッチ

Lenovoは、10月5日にソフトウェアアップデートの配信を開始し、4つの脆弱性のパッチを行なった。

4つの脆弱性は、Lenovo社が自社製品にプリインストールするアプリ、Lenvo Service Framework(LSF)に見つかった。

LSFは、Lenovoサーバーから受信するプロモーション等のプッシュ通知、アンケート、その他にもアプリのアップデート等を自動で行うユーティリティアプリだ。

LSFが同社のほぼすべてのAndroid製品に含まれているため、殆どの製品がパッチの対象となる。実際に対象となる商品を以下にまとめる。

対象商品

また、パッチされた4つの脆弱性の概要を以下にまとめておく。

パッチされた4つの脆弱性
  • CVE-2017-3758: LSFにおける不適切なアクセスコントロール設定。攻撃者は、このバグをエクスプロイトすることで、遠隔からコードを実行する事が出来る。
  • CVE-2017-3759: LSFが、遠隔サーバーから適切な認証無しでレスポンスを受けるバグ。攻撃者は、このバグをエクスプロイトすることで、中間者攻撃をし、遠隔からコードを実行する事が出来る。
  • CVE-2017-3760: ダウンロードされたアプリやデータに整合性認証をする際、LSFは暗号化されていない認証情報を使用する。攻撃者は、このバグをエクスプロイトすることで、中間者攻撃をし、遠隔からコードを実行する事が出来る。
  • CVE-2017-3761: LSFが外部から入力を適切にサニタイジングせずにコードの実行をするバグ。攻撃者は、このバグをエクスプロイトすることでコマンドインジェクションを行い、遠隔からコードを実行する事が出来る。

 

この脆弱性に関する対処法は、本日配布されたパッチを適応する以外にないので、Lenovo製のAndroid端末を使う人は直ちにアップデートを実行しよう。 

その他のセキュリティニュース

セキュリティ業界では毎日いくつものニュースが配信されています。

今回の記事では紹介しきれなかった記事も多くありますので、以下ではニュースのタイトルとリンクを貼っておきます。

Google Play Storeにアドウェアが増加

Google Play Storeに出ているアプリに、アドウェアが含まれている事が多くなったという記事。最終的にはMalwarebytes For Androidをインストールするように薦めている。

Krackは向こう20年は解決出来ない?

https://www.wired.com/story/krack-wi-fi-iot-security-broken/

Krackの脆弱性に関して、今後20年くらいはパッチされないデバイスが存在する可能性が高いと専門家は指摘する。理由はKrackはプロトコルレベルの脆弱性で、パッチが難しい為だ。サポート外とされるデバイス(特にIoT関連)も出てくる事が予想されるので、その場合はパッチを待つのではなくて新しいデバイスを購入するべきだ。

Oracleが250もの脆弱性をパッチ

https://threatpost.com/oracle-patches-250-bugs-in-quarterly-critical-patch-update/128484/

今日リリースされたOracleのアップデートにより、250以上もの脆弱性がパッチされたニュース。

ついにWordPressプラグインでもマイニングスクリプト

https://www.bleepingcomputer.com/news/security/the-internet-is-rife-with-in-browser-miners-and-its-getting-worse-each-day/

ユーザーのリソースを勝手に使ってMoneroをマイニングするスクリプトが大流行している事を説明する。最近では、Wodpressプラグインまで登場したようだ。