一般相対性osugi3yのブログ

14年勤めた企業をやめました。映画「時の行路」尾道市実行委員

IndigoZebra APT、進化したツールで中央アジアへの攻撃を継続 2021年7月1日〜シン・すべてがNになる〜

 

f:id:osugi3y:20210708071411p:plain

indigoZebra APT

 

はじめに

 

 チェック・ポイントの調査により、アフガニスタン政府を標的とした継続的なスピアフィッシング・キャンペーンが発見されました。さらに調査を進めると、このキャンペーンは、少なくとも2014年以降、キルギスウズベキスタンなどの他の中央アジア諸国を標的とした長期的な活動の一部であることが判明しました。

 このサイバー・スパイ活動の容疑者は、「IndigoZebra」と呼ばれるAPTグループで、これまでは中国が関与していると考えられていました。この作戦の技術的な詳細については、これまで公には公表されていませんでした。

 この記事では、攻撃者がその活動期間中に使用したツール、TTP、インフラについて説明します。また、これまで公表されていなかったバックドア「xcaon」の2つの異なる種類について、技術的な分析を行います。このバックドアには、正規のクラウドストレージサービスであるDropboxをコマンド&コントロールサーバーとして使用する「BoxCaon」と呼ばれる最新バージョンも含まれます。

 感染の連鎖

  私たちの調査は、アフガニスタンの大統領事務局の職員からアフガニスタン国家安全保障会議NSC)の職員に送られたメールから始まりました。このメールでは、NSCの記者会見を控えていることに関連して、文書の修正点を確認するよう受信者に求めていました。

 

 この電子メールには、「NSC Press conference.rar」というパスワードで保護されたRARアーカイブが含まれています。電子メールに記載されているパスワードを使ってアーカイブを抽出するには、ユーザーの操作が必要となるため、サンドボックス型のセキュリティソリューションには課題があります。

f:id:osugi3y:20210708072034p:plain

図2:感染の連鎖

 

 抽出されたファイル「NSC Press conference.exe」はドロッパーとして機能します。誘導メールの内容から、添付されたファイルが文書であることが推測されるため、被害者が実行ファイルを実行しているという疑いを減らすために、攻撃者は、ドロッパーの実行時に被害者のデスクトップ上の最初の文書をユーザに開かせるという単純なトリックを使用します。

 ドロッパーは、開くべきドキュメントが見つかっても見つからなくても、次の段階に進みます。つまり、バックドアC:users\public\spools.exeに落として実行します。

 BoxCaonバックドアの解析

  

 バックドアには、ファイルのダウンロードやアップロード、コマンドの実行、攻撃者への結果の送信など、限られた機能しかありません。バックドアは、ファイルをダウンロードしてアップロードし、コマンドを実行してその結果を攻撃者に送信するという限られた機能しか持っていません。

 悪意のある機能(持続性やC&C通信)を静的な検出から隠すために、このマルウェアは「スタックストリング」と呼ばれる一般的な難読化技術を使用して、幅の広い文字列を構築しています。

C&CサーバーとしてのDropbox 

 

 このバックドアは、DropboxをC&Cサーバーとして利用し、攻撃者が事前に用意した特別なDropboxアカウントの特定のフォルダに書き込まれたコマンドを送受信します。C&Cの通信に、通常の専用サーバーのインフラではなく、正規のDropboxサービスを利用することで、異常なWebサイトへの通信が行われないため、標的のネットワーク内の不正なトラフィックを隠蔽することができます。バックドアは、ハードコードされたベアラアクセストークンを使用してDropbox APIを使用し、ファイルのダウンロード、アップロード、および実行の機能を備えています。

 初期化の段階で、バックドアは、攻撃者が管理するDropboxのアカウントに、被害者のための固有のフォルダを作成します。このフォルダは、GetAdaptersInfo APIを使って取得した被害者のMACアドレス命名されます。

 

f:id:osugi3y:20210708073037p:plain

Fig 3: バックドアとスタックストリングスの難読化によるDropbox内のフォルダの作成

 

バックドアは、ローカルでは、C:users\public\<d>(<d>はランダムな整数)に作業フォルダを作成します。その後、サーバーに2つのファイルをアップロードします。

m-<日付>.txt - バックドアの実行パスを含む。
d-<日付>.txt - ローカル作業フォルダのパスを含む。

f:id:osugi3y:20210708073304p:plain

図4:バックドアによるDropboxへのファイルアップロード

 

  攻撃者は、被害者のマシンにファイルやコマンドを送信する必要がある場合、被害者のDropboxフォルダ内のdという名前のフォルダにファイルを配置します。マルウェアはこのフォルダを取得し、その内容をすべて作業フォルダにダウンロードします。最後に、攻撃者のコマンドを含むc.txtという名前のファイルがこの作業フォルダに存在する場合、バックドアは、通常はコマンドラインインタプリタcmd.exeなど)を指すComSpec環境変数を使用してそれを実行し、サーバーからコマンドを削除しながら、結果をDropboxドライブにアップロードします。

 永続性

  

 バックドアは、レジストリキーHKEY_CURRENT_USER_Software_Microsoft_Windows NT_CurrentVersion_Windows_loadに実行ファイルを設定することで、パーシステンスを確立する。この方法は、RunキーやRunOnceキーに比べて一般的ではありませんが、Loadレジストリ値に記載されたプログラムが、ユーザーのログオン時に実行されるという最終的な目的を達成します。

 感染後

 

 C&C通信が確立されると、脅威の行為者は、マシン上でフィンガープリントや偵察コマンドを実行することから始めます。この攻撃では、我々が発見したアクションの一部を紹介します。

・ntbscan (SHA-1: 90da10004c8f6fadaa2cf18922670a745564f45)のダウンロードと実行 - 中国の大規模なグループAPT10を含む複数のAPTアクターによって広く使用されているNetBIOSスキャナーツール

Windows内蔵のネットワークユーティリティーツールの実行

 

・被害者のファイル(特にデスクトップにある文書)へのアクセス

帰属関係

 

 関連するサンプルを検索すると、約30の実行ファイルが見つかりました。それぞれの実行ファイルは、バックドアspools.exe BoxCaon」と様々な程度で類似しています。

 その共通点の一つは、コマンド実行時に非常に特殊な実装をしていることです。まず、ComSpec文字列をスタック上に構築し、出力ファイルに同じパスの命名規則を使用し、実行後すぐに削除しています。

 

f:id:osugi3y:20210708074345p:plain

図5:BoxCaon(左)とInvestigating China's Crimes against Humanity.exe(sha1:3557d1628baab78f2a7af36651a3f46d16c1cb)のコードの類似性。

 

 発見されたサンプルのうち、最も古いものは2014年にさかのぼります。実行ファイルの中には、2004年や2008年にコンパイルされたと主張するものもありますが、C&Cサーバーの登録時間や活動状況から、コンパイル日はおそらくアクターによって変更されたものだと考えられます。

 

 この長期にわたる活動に関する追加情報を収集していたところ、カスペルスキーの2017年APTトレンドレポートで、サンプルの1つが中国語を話すAPTアクター「IndigoZebra」が使用するxCaonマルウェア言及されていることに気づきました。セットに含まれる他のサンプルは、パックされたものを含むxCaonの異なる亜種、またはアクターの武器の一部として報告されたPoisonIvyマルウェアのようです。

 コードと機能の類似性から、BoxCaonバックドアは、同じxCaonファミリーの更新されたバージョンであると考えられます(そのため、この名前になっています)。BoxCaonは、Dropbox APIを介してクリアテキストのコマンドで通信する唯一のxCaonであり、他のすべてのサンプルはC&Cサーバーとの通信にBase64+XOR暗号化を用いたHTTPプロトコルを使用しています。xCaonは、数年前から自然界で使用されているマルウェアですが、これまで技術的な解析結果は公表されていませんでした。次のセクションでは、私たちが遭遇したすべてのバージョンの技術的な詳細をまとめます。

xCaon HTTP バリアント解析

 

 前述のように、xCaon HTTPバリアントのサンプルは、機能が若干異なる約30種類が見つかりました。以下では、このバックドアの最も注目すべき特徴を取り上げ、ユニークな機能を持つサンプルを紹介します。

  アンチAV

 HTTP の亜種は、Kaspersky のインストールフォルダ内のファイルの存在を検索することで、被害者のマシンに Kaspersky がインストールされているかどうかを確認します。

f:id:osugi3y:20210708075159p:plain

図6:バックドアKaspersky AVのインストール・ディレクト

内のファイルを検索する様子

 

 Kaspersky AV がシステムにインストールされていない場合は、レジストリを介したパーシステンスがインストールされます。まず、TEMPフォルダの特定のパスに実行ファイルのコピーが存在することを確認し、そのパスをHKEY_CURRENT_USER˶Software˶Microsoft˶Windows NT˶CurrentVersion˶Windows˶loadキーに書き込むことで、ユーザーがログインするたびにマルウェアが実行されるようになります。 

 

 

f:id:osugi3y:20210708080023p:plain

図7:Kasperskyがインストールされていない場合、バックドアはLoadレジストリを介してパーシステンスを確立する

 コマンド実行

 バックドアは、攻撃者からコマンドを受け取り、パイプを使って対話型のCMDシェルで実行します。コマンドはサンプルによって異なる場合があります。コマンドの完全なリストは[Appendix B]に記載されています。

 

f:id:osugi3y:20210708080222p:plain

図8:パイプを使ったインタラクティブCMDシェル

 被害者の指紋採取

 バックドアは、GetAdaptersInfo APIを使って被害者のMACアドレスを収集します。いくつかのバージョンでは、ユーザーIDを生成し、一時ファイルに保存します。これらのIDは、POSTボディのパラメータの1つとしてC&Cサーバに渡されます(MACアドレスは後述のように暗号化して送信されます)。

f:id:osugi3y:20210708080600p:plain

図9:ユーザーIDを生成し、一時ファイルに保存する様子

  C&C通信プロトコル

 マルウェアとサーバー間の通信は、HTTPプロトコルに基づいており、サンプルによって若干異なります。バックドアは、数秒ごとにC&CのURLにPOSTリクエストを送信します。レスポンス(HTMLページのように見えます)の中で、マルウェアは特定のパターンを検索します。<!-|##|->の間の文字列を取り、それを解読してコマンドを実行します。その結果は暗号化され、POSTリクエストのパラメータとしてサーバー上の別のURLに送り返されます。

 

f:id:osugi3y:20210708080900p:plain

図10:C&C通信

 暗号化

 HTTPの亜種は、設定と通信の両方に、興味深い独自の暗号化方法を使用していました。これは事前に定義された鍵を使用するもので、次の2つのうちのいずれかであることがわかりました(マルウェアの亜種によって異なります)。

1.

"GetMessagePos SendMessage GetExitCodeProces CreateProcess GetTickCount GetDCEx CopyImage DrawText CloseHandle SendMessageTimeout"

2.

"\x32\xE2\x5C\x48\xEC\x0E\xC3\x7F\x5F\x7A\xED\x11\xCB\xE5\x0A\x87\x0F\xFA\x7D\xFC\xF9\xA7\x39\x38\x3D\xE3\x6B\x6F\xBF\x9B\x84\x1F\xE7\xBC\xD1\x0E\x0A\x62\x79\x7E\xCE\x6F\x7F\xE6\xB7\xF9\x9D\xD9\x8C\x67\x9F\x7A\x86\xEB\x7B\xD7\x31\x66"

 

復号化プロセスは、「偽の」base64ライクな文字列を2つの文字列に分割し、最初の部分をあらかじめ定義された鍵でXORし、2番目の部分をbase64復号化し、最後に両方の結果をXORすることで行われます。

 ターゲット

f:id:osugi3y:20210708081430p:plain

図11:対象となる地域

 Dropboxの亜種(BoxCaon)はアフガニスタンの政府関係者を標的にしていましたが、今回のHTTPの亜種は、キルギスウズベキスタンという中央アジアの2つの国の政治団体に焦点を当てています。

 この非常に特殊な被害者層は、以下のような重なる指標に基づいています。

 

・チェック・ポイント製品のテレメトリー

C&C ドメインが、ウズベキスタンキルギスの既知のドメインになりすましていた(post[.]mfa-uz[.]com - ウズベキスタン外務省、ousync[.]kginfocom[.]com - キルギス国営企業「Infocom」)。

 

・- サンプルのマルウェア名がキルギス語とロシア語で書かれていた (Министрге сунуштама.exe - Recommendation to the Minister.exe in Kyrgyz; материалы к массовому беспорядку.exe - materials to riots.exe in non-native Russian)

 

・このキャンペーンの複数のサンプルのVT提出者の国は、UzbekistanとKyrgyzstanです。

インフラ

 

 Dropbox の亜種は、通信に Dropbox API を使用しているため、収集できた情報は Dropbox のアカウント情報のみでした [付録 C]。

 

 しかし、HTTP亜種のインフラを分析したところ、最初のサンプルが野生化してから6年以上もの間、各サンプルが共通のインフラを持っていることがわかりました。

f:id:osugi3y:20210708082034p:plain

図12:HTTPバリエーションのインフラストラクチャ・グラフ

 

 攻撃者が長年にわたってどのようにインフラを運用してきたかをより明確に把握するために、様々な悪意のあるドメインを、それらがホストされていたASNに応じてプロットしました。その結果が以下の図です。

f:id:osugi3y:20210708082221p:plain

図13:ドメインとASNの相関関係の経時変化

いくつかの意見があります。

・ほとんどのドメインは、比較的短命である。これは、作戦全体のターゲットが精密であることから説明できます。そっくりなドメインは、特定の団体を誤解させるために作成された可能性が高く、もう再利用されていません。

・2019年以降、新しいインフラはすべてASN 20473(CHOOPA)に集中しています。この観察結果は、驚くべきことではありません。CHOOPAの子会社であるVultrは、研究コミュニティから「犯罪者にとって魅力的なプラットフォーム」と見なされており、例えば、最近のC&CサーバーもすべてVultrのサーバーでホストされている中国系APTグループViciousPandaなど、複数のグループによって悪意のある目的で広く利用されています。

 結論

 

 本誌では、これまで中国語を話す脅威アクターの仕業とされてきたIndigoZebraの長期にわたる活動の最新状況とツールを紹介しました。

 今回は、Poison IvyバックドアxCaonバックドアに加え、新たに発見されたBoxCaonバックドアの亜種(C&C通信機能が更新され、DropboxサービスをC&Cインフラとして利用している)を用いて、中央アジアの政府機関を対象としたサイバー・スパイ活動が確認されました。

 IndigoZebra は当初、ウズベキスタンキルギスタンなどの旧ソ連諸国を標的にしていましたが、現在ではキャンペーンの規模が縮小するどころか、新たなツールセットを用いてこの地域の新たな標的に拡大していることが確認されています。

チェック・ポイントの製品は、この攻撃を最初の一歩から阻止します。

付録A: 妥協の指標

BoxCaon

b9973b6f9f15e6b20ba1c923540a3c9b
974201f7895967bff0b018b95d5f5f4b
xCaon
3ecfc67294923acdf6bd018a73f6c590
35caae29c47dfb570773f6d5fd37e625
3562bf97997c54d74f58d4c1ad84fcea
c00f6268075e3af85176bf0b00c66c13
85ea346e74c120c83db7a89531f9d9a1
5a8783783472be67c09926cc139d5b27
b3d11e570da4a66f4b8520bc6107283b
fdcae752f64245c159ab0f4d585c5bf8
bb521918d08a4480699e673554d7072c
c5406e7e161c758e863eb63001861bb1
4d6e93d2416898ea3a4f419aa3a438e3
6dfd06f91060e421320b6ebd63c957f0
0b10ac9bf6d2d31cbce06b09f9b0ae75
b831a48e96e2f033d09d7ad5edd1dc67
a875112c66da104c35d0eb43385d7094
1a28c673b2b481ba53e31f77a27669e7
ef3383809fdf5a895b42e02bf06f5aa3
aa107be86814d9c86911a2a7874d38a0
45d8cfe3450562564a1eb00a1aa0db83
cdd7bfa36c6e47730fad94113aba7070
06d72a4d99fcd76a3502432657f3c999
5a91ccabd2b12ac56ba5170cf9ff8343
33f42e9678ee91369d11ef344bbd5a0d
84575619a690d3ef1209b7e3a7e79935
16e61624827d7785740b17c771a052e6
ccc7f88b72c286fd756e76309022e9f8
e98031cf43bfed73db0bce43918a608c
5ea42089cf91464b9c0c42292c18ba4c
cff6d9f5d214e3366d6b4ae31c413adc
PoisonIvy
c74711de8aa68e7d97f501eda328d032
C&C servers

Domain

URL

infodocs[.]kginfocom[.]com

infodocs[.]kginfocom[.]com/gin/kw.asp

 

infodocs[.]kginfocom[.]com/gin/tab.asp

ousync[.]kginfocom[.]com

ousync[.]kginfocom[.]com/sync/kw.asp

uslugi[.]mahallafond[.]com

uslugi[.]mahallafond[.]com/hall/kw.asp

6z98os[.]id597[.]link

6z98os[.]id597[.]link/css/art.asp

hwyigd[.]laccessal[.]org

hwyigd[.]laccessal[.]org/news/art.asp

 

hwyigd[.]laccessal[.]org/news/js.asp

help[.]2019mfa[.]com

help[.]2019mfa[.]com/help/art.asp

m[.]usascd[.]com

m[.]usascd[.]com/uss/word.asp

ns01-mfa[.]ungov[.]org

ns01-mfa[.]ungov[.]org/un/art.asp

dcc[.]ungov[.]org

dcc[.]ungov[.]org/crss/art.asp

index[.]google-upgrade[.]com

index[.]google-upgrade[.]com/upgrade/art.asp

mofa[.]ungov[.]org

mofa[.]ungov[.]org/momo/art.asp

update[.]ictdp[.]com

update[.]ictdp[.]com/new/art.asp

post[.]mfa-uz[.]com

post[.]mfa-uz[.]com/post/art.asp

cdn[.]muincxoil[.]com

cdn[.]muincxoil[.]com/cdn/js.asp

 

cdn[.]muincxoil[.]com/cdn/art.asp

tm[.]2019mfa[.]com

tm[.]2019mfa[.]com/css/p_d.asp

 

Appendix B: HTTP variant commands list

Command

Action

x-<#B#>

Create BAT file on the victim’s machine

x-<#U#>

Upload file to the victim’s machine

x-Down

Download a file to the victim’s machine from a URL and execute it

x-StartIM

Start interactive shell

x-Unis

Exit the process (uninstall)

x-Delay

Sleep for X seconds

x-Exec

Execute a file

x-DownOnly

Download a file to the victim’s machine from a URL

付録C:Dropboxのアカウント情報

f:id:osugi3y:20210708083532p:plain

付録 D: MITRE ATT&CKマトリックス

Tactic

Technique

Technique name

Initial Access

T1566.001

Phishing: Spearphishing Attachment

Execution

T1204.002

User Execution: Malicious File

Persistence

T1547.001

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Defense Evasion

T1027

Obfuscated Files or Information

Discovery

T1518.001

Software Discovery: Security Software Discovery

Command and Control

T1071.001

Application Layer Protocol: Web Protocols

 

T1102.002

Web Service: Bidirectional Communication

 

T1132

Data encoding

Exfiltration

T1567.002

Exfiltration Over Web Service: Exfiltration to Cloud Storage

 

f:id:osugi3y:20210703185311p:plain

www.DeepL.com/Translator(無料版)で翻訳しました。

中国のハッキンググループがアフガニスタンの大統領になりすまし、政府機関に潜入〜シン・すべてがNになる〜

APTは、国の安全保障会議に潜入していると非難されている。

Charlie Osborne

By Charlie Osborne for Zero Day|2021年7月1日 -- 10:00 GMT(18:00 SGT)|トピック セキュリティ

  中国語を話すハッキンググループが、アフガニスタン政府の大統領になりすまして、継続的にサイバー攻撃を行っています。

 チェック・ポイント・リサーチ社(CPR)は1日、アフガニスタンのアシュラフ・ガーニ大統領を代表とする大統領府が、同国の政府機関への侵入を目的としたスピアフィッシングメールの誘い文句として利用されており、そのうち攻撃が成功してアフガニスタン国家安全保障会議NSC)が危険にさらされていると発表しました。

osugi3y.hatenablog.com

 IndigoZebraと呼ばれるAPT(Advanced Persistent Threat)グループが関与していると考えられています。中国語を話すこのサイバー攻撃者は、カスペルスキーが指摘するように、以前にも旧ソ連共和国を標的にしたことがあります。

 サイバーセキュリティ企業が確認したデュープメールのサンプルは、大統領府からのものを装い、近日中に行われる記者会見に関連する文書の修正点を緊急に確認するよう求めています。研究者によると、これらのメールは、過去の高名な被害者の侵害されたメール受信箱から送信されているとのことです。

screenshot-2021-06-29-at-15-38-14.png

f:id:osugi3y:20210708070528p:plain

CPR

 

 このファイルは、「NSC Press conference.rar」という名前の、パスワードで保護された.RARアーカイブです。犠牲者がこのファイルを開くと、Windowsの実行ファイル(NSC Press conference.exe)を受け取ります。この実行ファイルには、マルウェアドロッパーと、レジストリキーを設定することで持続性を保つバックドア「xCaon」が展開されます。

 このバックドアは、ファイルのダウンロードやアップロード、コマンド&コントロール(C2)サーバーを介して発行されたコマンドの実行、データの窃取などが可能です。

 CPR社が「BoxCaon」と名付けたこのバックドアの最新バージョンでは、DropboxがC2サーバーの形態として悪用されています。

 

 CPR社は、DropboxAPIを利用することで、「異常なWebサイトとの通信が行われないため、悪意のある活動が隠蔽される」としています。

 CPR社は、DropboxAPIを使用することで、"異常なウェブサイトへの通信が行われないため、彼らの悪意ある活動を隠蔽することができる "としています。

 IndigoZebraは、中国の別のAPTであるAPT10/Stone Pandaが採用しているNetBIOSスキャナーツールも導入する予定であり、さらなる標的を求めて偵察のためにネットワークユーティリティーツールを悪意を持って実行する可能性があります。 

 

 このグループが利用しているマルウェアには、Meterpreter、Poison Ivy、xDown、xCaonバックドアなどがあります。

 CPR社によると、このAPTは、2014年にキルギスウズベキスタン政治団体を標的とした攻撃にも関与している可能性があるとのことです。

 "研究者は、「IndigoZebraは、当初、ウズベキスタンキルギスなどの旧ソ連共和国を標的にしていましたが、現在では、そのキャンペーンが縮小するどころか、逆に、新しいツールセットを使って、この地域の新しい標的に拡大していることが確認されています」とコメントしています。

 

カナダでビクトリア女王とエリザベス2世の像が倒され、先住民の子供の死に対する怒りが高まる〜シン・すべてがNになる〜

悪名高いレジデンシャル・スクールでの先住民の子供の扱いに対する抗議の一環として、銅像が撤去されました。

www.theguardian.com

youtu.be     🔺 カナダで先住民の子供が死亡した事件でビクトリア女王の像が倒される - 動画

 カナダでは、先住民の子供たちの無名の墓が発見されたことへの怒りが高まり、ヴィクトリア女王エリザベス女王の像が倒されました。

 ウィニペグマニトバ州議会に集まったグループは、カナダ・デー(国の統合を記念して毎年7月1日に行われる祭典)にビクトリアの像を引きずり下ろしました。

 悪名高いレジデンシャル・スクールに送られた先住民の子供たちを称えるためにオレンジ色のシャツを着たグループのメンバーは、像と台座を赤い手形で覆い、「We were children once」と書かれた看板を置いた。Bring them home." と書かれた看板を置いた。(私たちはかつて子供でした。それを家に持ち帰る。)

 また、敷地の東側にある小さなエリザベス像も倒されていました。両王族は、この国の植民地時代の歴史を代表する存在とみなされています。

 

 先住民族の子どもたちをカナダ社会に強制的に同化させようとする政府のキャンペーンの一環として、1世紀以上にわたり、少なくとも15万人の先住民族の子どもたちが家族から連れ去られて学校に通っていました。

 木曜日、Lower Kootenay Bandは、かつてのレジデンシャル・スクールで無記名の墓から182人の遺体を発見したと発表しましたが、これは全米に衝撃を与えた一連の厳しい発見の最新版です。 

 最近の発見では、これまで先住民グループから「カナダデーを祝わない」という声が上がっていました。

 「私たちは、奪われた先住民の土地や、奪われた先住民の命を祝わない。その代わりに、カナダ国家によって失われたすべての命に敬意を表するために集まります」と、「Idle No More」というグループは、先住民族のコミュニティを支援するための全国集会を呼びかけています。

 

 

f:id:osugi3y:20210703183103p:plain

🔺ウィニペグで開催されたカナダデーの集会で倒され、地面に横たわるエリザベス2世の銅像。写真をご覧ください。Shannon Vanraes/Reuters

 

 オタワでは、何千人もの人々がパーラメントヒルに集まり、「カナダの恥」、「彼らを故郷に帰せ」と叫ぶ「カナダ・デー中止」集会が開かれました。

 ジャスティン・トルドー首相は、花火やピクニック、ダウンタウンでのパーティーなどで盛り上がることが多いこのイベントが、今年は連邦政府の休日のような陰鬱なトーンになっていることを認めました。

 "ブリティッシュ・コロンビア州とサスカチュワン州のレジデンシャル・スクール跡地で数百人の子どもたちの遺体が発見されたことは、当然のことながら、わが国の歴史的な失敗と、カナダの先住民やその他多くの人々に今なお存在する不正義について、私たちに反省を迫っています」と、声明を発表しました。「私たちカナダ人は、自分たちの過去について正直でなければなりません」。

youtu.be 🔺カナダの住宅学校が先住民族の子供たちのアイデンティティと生活をどのように奪ったか–ビデオ 

 カルガリー警察は1日、市内の10の教会が一晩のうちにオレンジや赤のペンキで破壊されたと発表しました。ある教会では窓が壊され、中にペンキが投げ込まれました。警察によると、ペイントされた手形と「215」(5月下旬にTk'emlúps te Secwe̓pemが無縁墓を初めて発見したことにちなんでいる)は、無縁墓に対する怒りに関連した破壊行為であることを示唆しています。

 1世紀以上続いた学校の設立と運営に加担した歴史上の人物を標的にした抗議活動が増えています。

 

 先月、トロントでもエガートン・ライアソンの銅像を撤去するデモが行われました。ライアソン氏は、米国のレジデンシャル・スクール制度を構築した人物として広く知られています。

 英国では、ダウニング街のスポークスマンが次のように述べています。「女王の銅像が汚されたことを非難します。このような悲劇的な発見を受けて、カナダの先住民族コミュニティに心を寄せています」と述べています。

カナダ
先住民族の人々
アメリカ大陸
ニュース
 

f:id:osugi3y:20210703185311p:plain

 

 

LinkedInが大規模なデータ流出に見舞われる、92%のユーザーの個人情報がオンラインで販売される。報告書~すべてがNになる~

データが流出した7億人のLinkedInユーザーのうち、100万人分のサンプルデータセットハッカーがダークウェブで公開しました。
By Tasneem Akolawala

f:id:osugi3y:20210630161415p:plain

LinkedInは、4月にデータ流出事故を起こし、5億人のユーザー情報が流出しました。

gadgets.ndtv.com

  •   あなたのデータは重大なリスクにさらされている:ハッカーからデータを守る6つの方法
  • LinkedInは「敵対的行為者」が機密情報をオンラインで求めるために使用されています。MI55億人のLinkedInユーザーのデータが公開され、個人情報がオンラインで販売されている

 

 LinkedInの7億人以上のユーザーのデータが、新たな侵害で流出したと報じられています。LinkedInの総ユーザー数は7億5600万人で、今回の新たな侵害で92%以上のユーザーのデータが漏洩したことになります。未知のハッカーによって入手された新しいデータセットは、電話番号、物理的な住所、地理的な位置情報、推測される給与など、LinkedInユーザーの個人情報から構成されていると言われています。LinkedInは4月、5億人の登録者を対象としたデータ流出を確認しており、電子メールアドレス、電話番号、勤務先情報、氏名、アカウントID、ソーシャルメディアアカウントへのリンク、性別などの個人情報がネット上に掲載されていました。

 LinkedIn社によると、同社はデータ漏洩に直面したのではなく、情報はネットワークをスクレイピングして得られたものであるとのことです。LinkedInはガジェット360に電子メールで声明を出し、「この問題についてはまだ調査中ですが、最初の分析では、データセットにはLinkedInからスクレイピングされた情報と、他のソースから入手した情報が含まれていることがわかりました。これはLinkedInのデータ漏洩ではなく、当社の調査ではLinkedInのメンバーのプライベートなデータは漏洩していないと判断しています。LinkedInからデータをスクレイピングすることは、当社の利用規約に違反しており、当社はメンバーのプライバシーが確実に保護されるよう、常に努力しています。"

 この7億人のユーザーからなる新しいデータセットは、ダークウェブでも販売されており、ハッカーは100万人のユーザーのサンプルセットを購入者向けに掲載しています。RestorePrivacyは、ダークウェブ上でのこの出品を最初に発見し、サンプルデータは9to5Googleによって相互検証されました。ダークウェブに掲載されているサンプルデータセットには、電子メールアドレス、フルネーム、電話番号、物理的な住所、ジオロケーションレコード、LinkedInのユーザー名とプロフィールURL、推測される給与、個人的・職業的な経験・経歴、性別、ソーシャルメディアのアカウントとユーザー名などのユーザー情報が含まれています。

  あなたのデータは重大なリスクにさらされている:ハッカーからデータを守る6つの方法

 9to5Googleがハッカーに直接問い合わせたところ、このデータはLinkedInのAPIを悪用して、人々がサイトにアップロードした情報を採取することで得られたものだという。このデータセットにはパスワードは含まれていませんが、それでも非常に貴重な情報であり、個人情報の窃盗やフィッシングの可能性があります。

 

無料記事

LinkedInは「敵対的行為者」が機密情報をオンラインで求めるために使用されています。MI5

5億人のLinkedInユーザーのデータが公開され、個人情報がオンラインで販売されている

 データを保護するためには、使用しているアプリの安全性、セキュリティ、プライバシーの設定を確認し、それらが適切に設定されているかどうかを確認することが重要です。また、強力なパスワードを設定し、頻繁に変更する習慣をつけておきましょう。また、2ファクタ認証(2FA)が可能な場合はそれを有効にし、特にLinkedInやFacebookでは、知らない人からの接続を受け入れないようにしましょう。Have I Been Pwned」のようなサイトに登録して、自分のメールアドレスがデータ侵害の対象となった場合に通知を受けるようにしましょう。

 

続きを読む

Microsoft won't allow Windows 11 on many older Surface devices〜シン・すべてがNになる〜

マイクロソフト、多くの旧型SurfaceバイスWindows 11を使用不可に

 3年以上経過したSurfaceバイスは、Windows 11へのアップグレードができなくなる恐れがあります。マイクロソフトの新しいハードウェア要件のせいです。

 By マーク・ハチマン

www.pcworld.com

 

f:id:osugi3y:20210627164048p:plain

こマ?

 マイクロソフト社が新OSを発表した木曜日、Surfaceシリーズの約半数がWindows 11へのアップグレード対象外となることが明らかになりました。

 PCWorld社がWindows 11の対象となるSurfaceバイスを尋ねたところ、Microsoft社の担当者は、5つのレガシーデバイスと、Microsoft社のSurfaceラインナップの最新版の名前をメールで回答しました。マイクロソフトは現在までに、Surface Duoを除く25種類のSurfaceモデルを出荷しています。

 マイクロソフトは、多くのSurfaceバイスWindows 11の対象外とした理由についてはコメントしていませんが、その理由は、本日発表されたWindows 11の最小ハードウェア要件に対応するものである可能性が高く、TPM 2.0コプロセッサが必要である可能性もあります。

 

 [ 続きを読む: Windows 10の最高のトリック、ヒント、および調整 ]

 マイクロソフトがこれまでに出荷した25種類のSurfaceバイスファミリーのうち、Windows 11の対象となるのは13種類のみです。MicrosoftSurface Proタブレットのほとんどはアップグレードの対象となりません。また、「Surface Hub」や「Surface Studio」もアップグレードの対象には含まれていません。簡単に言えば、2017年以前に出荷されたSurfaceバイスをお持ちの方は、Windows 11へのアップグレードの対象にならない可能性があります。

 

「以下のデバイスは、Windows Insider Programに参加してWindows 11をテストするための最小ハードウェア要件を満たしています」とマイクロソフトの担当者は声明で述べています。お客様は、「PC Health Check」アプリを使って、自分のデバイスが最小システム要件を満たしているかどうかを確認することができます、と付け加えました。

youtu.be

  Windows 11へのアップグレードが可能なSurface

 マイクロソフトによると、Windows 11へのアップグレード対象となるSurfaceバイスは以下のリストの通りです。各デバイスの発売日を( )内に追記しています。

 これとは別に、PCWorldでは、手持ちのSurfaceバイスWindows 11の要件に適合しているかどうかのテストを開始しました。

 

f:id:osugi3y:20210627165626p:plain

PCWorldのSurface Pro 3本体は、Windows 11の互換性テストに失敗しました。

 Gordon Mah Ungは、Surface Proのラインナップを世に送り出したデバイスであるSurface Pro 3をテストしたところ、マイクロソフトの互換性チェッカーを通過しないことがわかりました。

 マイクロソフトは、これらのクールで予想外のWindows 11の機能を使って、Windows 11にアップグレードしたくなることを暗示していますが、その一方で、もし望むなら、Windows 10を使い続けるための時間が十分にあることも暗示しています。Windows 10は、2025年にサポートが終了し、「引退」することになっています。しかし、レガシーデバイスのサポートを重視するPC業界にとっては、残念なことです。特に、プレミアムなSurfaceバイスに投資して、もう少し使いこなしたいと思っていた方にとっては、なおさらです。

 注:記事中のリンクをクリックして商品を購入された場合、弊社は若干の手数料を得ることができます。詳しくはアフィリエイトリンクポリシーをご覧ください。
関連:Windows 中堅・中小企業向けOS マイクロソフト Microsoft Surface

 

 暇な時にウィンドウズ11が対応しているか確認してみようか、、、。

 

偽の人権団体、国連のブランドを使用したサイバー攻撃が続いており、ウイグル人を標的にしている〜シン・すべてがNになる〜

ウイグル人を監視するためのキャンペーンに、国連のブランドが悪用されている。

 

By Charlie Osborne for Zero Day | May 27, 2021 -- 10:00 GMT (18:00 SGT) | Topic: セキュリティ

 ウイグル人をスパイすることを目的としたキャンペーンで、国連(UN)のブランドが悪用されています。

 チェック・ポイント・リサーチ社(CPR)とカスペルスキー社のGReATチームは1日、このキャンペーンは中国語を話す脅威アクターの仕業である可能性が高く、中国の新疆ウイグル自治区で見られるトルコ系少数民族ウイグル人に焦点を当てていると発表しました。

 

国連人権理事会(UNHRC)のロゴが入ったフィッシング文書が送られてきます。UgyhurApplicationList.docxと名付けられたこの文書には、人権侵害に関する議論に関連するおとりの資料が含まれています。

しかし、被害者がファイルを開く際に編集機能を有効にすると、VBAマクロコードがPCのアーキテクチャをチェックし、32ペイロードまたは64ペイロードのいずれかをダウンロードします。

screenshot-2021-05-26-at-16-17-33.png

 

 「OfficeUpdate.exe」と名付けられたこのファイルは、リモートのペイロードをフェッチしてロードするシェルコードですが、解析時点ではそのIPは使用できませんでした。しかし、悪意のあるメールの添付ファイルにリンクされていたドメインから、さらに調査が拡大し、偽の人権団体を装ってマルウェアの配信に利用されている悪意のあるWebサイトが判明しました。

 「Turkic Culture and Heritage Foundation」(TCAHF)のドメインは、「Tukric culture and human rights」のために活動していると主張していますが、このコピーは、合法的な市民権団体であるopensocietyfoundations.orgから盗まれたものです。

 このサイトは、資金援助を求めるウイグル人を対象としており、助成金申請に必要な情報を提出する前に「セキュリティスキャナー」をダウンロードさせようと誘います。しかし、このソフトは実はバックドアなのです。

macOS版とWindows版が提供されていた。 

このウェブサイトでは、macOS版とWindows版が提供されていましたが、マルウェアをダウンロードしたのは後者へのリンクだけでした。

 バックドアには、2020年5月に提供された「WebAssistant」と、10月から搭載された「TcahfUpdate」の2つのバージョンが発見されました。このバックドアは、被害者のシステム上で持続性を確立し、サイバースパイやデータ窃盗を行い、さらにペイロードを実行するために使用される可能性があります。

 被害者は、中国やパキスタンウイグル人が多く住む地域で発見されています。

 CPR社とKasperksy社によると、このグループは他の既知の脅威グループとインフラを共有していないようですが、中国語を話す可能性が高く、過去の攻撃に関連する同じIPアドレスに今年新たなドメインが登録されるなど、現在も活動を続けているようです。

 "いずれのドメインも、「Terengganu Islamic Foundation」というマレーシアの政府機関のウェブサイトにリダイレクトされています。"このことから、攻撃者はマレーシアやトルコなどの国で追加のターゲットを追っていることがわかります。ただし、これらのドメインに関連する悪意のある人工物はまだ確認されていないため、それらのリソースをまだ開発中である可能性もあります。"

 

過去と関連する報道
中国の少数民族であるウイグル人のスパイ活動に利用されている新しいiOSの脆弱性が発見される
米国、ウイグル人の人権侵害で中国企業11社をさらに実体リストに追加
ウイグル人の強制労働に関する訴えに大手企業が反論

www.DeepL.com/Translator(無料版)で翻訳しました。

 

ジョン・マカフィー、スペインの刑務所で遺体で発見される〜シン・すべてがNになる〜

 

 ウイルス対策企業の創業者が、脱税容疑で米国への引き渡しをスペイン高等裁判所が認めた数時間後に自殺したと報じられる

グスタフ・キランダー
ワシントンDC

www.independent.co.uk

 ウイルス対策企業マカフィーの創業者であるジョン・マカフィー氏が、バルセロナ近郊のスペインの刑務所で死亡しているのが発見されたと報道されました。

 

 同氏は、スペイン高等裁判所の予備判決により脱税容疑での米国への身柄引き渡しが認められた数時間後の水曜日午後、刑務所の独房で自殺したと報じられています。

 ロイター通信によるとカタルーニャ州司法局は声明の中で、死因は自殺である可能性が高いことを確認しました。                               

 スペインのEl Mundo紙AP通信の報道によると、ブリアン2刑務所の職員が75歳のマカフィー氏の蘇生を試みたが、成功しなかったという。

 El Pais紙によると、このソフトウェア起業家は10月に逮捕され、米国への引き渡しを待っているところで遺体で発見されたとのことです。 

 

 なお、同紙は、警察が同氏の死の経緯を調査しているとしています。

 マカフィー氏は、米国の2つの地区で複数の連邦金融犯罪の容疑をかけられていました。テネシー州西部地区では、マカフィー氏は数百万ドルの収入に対する脱税の疑いで10件の訴因で10月に起訴されました。

 また、マンハッタンの連邦裁判所では、3月に、ソーシャルメディアで宣伝していた暗号通貨を含むスキームの容疑で起訴されました。

 この容疑では、最大30年の実刑判決が下されました。

 カタルーニャ州政府の声明では、この米国人大物の名前は明らかにされていませんが、75歳の米国市民で、同国への引き渡しを待っていると述べています。

 このイベントに詳しいカタルーニャ州政府の関係者(報道では名前を明かすことを許可されていない)がAP通信に、死亡した男性がマカフィー氏であることを確認しました。

 

Most watched

www.independent.co.uk

 

 テネシー州の検察当局は、マカフィー氏がコンサルタント業務を行っていた際に暗号通貨の普及から得た収入や、講演活動、ドキュメンタリーのために自身のライフストーリーの権利を販売したことによる収入を報告しなかったため、脱税で起訴しました。

 スペインの裁判所が水曜日に下した判決によると、容疑は2016年から2018年までの3会計年度に関するものです。

 この起業家は、昨年10月にバルセロナの国際空港で逮捕されました。その際、判事は、マカフィー氏の身柄引き渡しに関する審理の結果を待つ間、刑務所に収容するよう命じていました。

 今月初めに行われたビデオリンクによる審理で、マカフィー氏は、自分に対する容疑は政治的動機によるものだと主張し、もし米国に戻されたら残りの人生を刑務所で過ごすことになるだろうと述べた。

 AP通信がこのレポートに貢献しました。

More about

John McAfeeMcAfeeBarcelonaSpain