| 被害者 | Delta ElectronicsおよびRockwell Automation |
|---|---|
| 被害の概要 | Delta ElectronicsのInfraSuite Device Masterには13の脆弱性があり、未認証のリモート攻撃者にファイルと認証情報へのアクセス、特権の昇格、任意のコードのリモート実行を可能にします。Rockwell AutomationのThinManager ThinServerには、2つのパス遍歴の脆弱性があり、未認証のリモート攻撃者に任意のファイルをアップロードし、ThinServer.exeがインストールされているディレクトリに上書き可能であり、リモートコード実行を引き起こす可能性があります。 |
| 被害額 | 不明 |
| 事件発生日 | 2023年3月22日 |
| 攻撃者 | 不明 |
|---|---|
| 攻撃手法 | Delta ElectronicsのInfraSuite Device Masterに対しては、未認証のリモート攻撃者が可能な限り任意のコードをリモートで実行できるように、未検証のUDPパケットを受け付けるようにするデシリアライズの脆弱性があります。Rockwell AutomationのThinManager ThinServerに対しては、パス遍歴の脆弱性により、攻撃者が任意のファイルを上書きしてリモートコード実行を引き起こすことができます。 |
| マルウェア | 不明 |
| 脆弱性 | Delta ElectronicsのInfraSuite Device Masterには13の脆弱性があり、Rockwell AutomationのThinManager ThinServerには2つのパス遍歴の脆弱性がある。 |
| CVE | CVE-2023-1133, CVE-2023-1139, CVE-2023-1145, CVE-2023-28755, CVE-2023-28756, CVE-2022-38742 |
|---|---|
| 影響を受ける製品 | Delta ElectronicsのInfraSuite Device Master、Rockwell AutomationのThinManager ThinServer |
| 脆弱性サマリ | Delta ElectronicsのInfraSuite Device Masterには、未検証のUDPパケットを受け入れる脆弱性が存在し、認証されていないリモート攻撃者に任意のコードを実行される可能性がある。Rockwell AutomationのThinManager ThinServerには過去に報告されたバッファオーバーフロー脆弱性以外に、ディレクトリトラバーサルの脆弱性が存在し、認証されていないリモート攻撃者に任意のファイルをアップロードし、既存の実行可能ファイルを上書きして、リモートコード実行を行うことができる。 |
| 重大度 | CVE-2023-1133が9.8の重度、その他の脆弱性は高度または中度、いくつかの脆弱性の重大度は明らかではない |
| RCE | Delta ElectronicsのInfraSuite Device MasterのCVE-2023-1133、CVE-2023-1139、CVE-2023-1145、およびRockwell AutomationのThinManager ThinServerのCVE-2023-28755を悪用することでリモートコード実行が可能となる。 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 韓国の組織および個人 |
| 被害サマリ | 北朝鮮の高度なサイバー攻撃グループ「ScarCruft」による、韓国組織および個人の特定を狙ったスピアフィッシング攻撃。攻撃によってBACKDOORなどのマルウェアが被害者のコンピューターに誘導される。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 北朝鮮の「ScarCruft」 |
|---|---|
| 攻撃手法サマリ | スピアフィッシング攻撃。CHMファイルやHTA、LNK、XLL、マクロを利用してウイルスを配信している。 |
| マルウェア | Chinotto、M2RAT、AblyGoなど |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Active Directory |
| 脆弱性サマリ | Active Directoryにおける内部者の脅威に対するセキュリティ対策について |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2023年3月22日 |
|---|---|
| 被害者名 | .NETデベロッパー |
| 被害サマリ | NuGetリポジトリを標的とした新しい攻撃で、13種類のマルウェアを含むローグパッケージが160,000回以上ダウンロードされ、開発者システムに暗号化盗難マルウェアが感染した。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 偽のパッケージ名を使用したタイポスクワッティング技術の悪用と、脆弱性を利用したマルウェアを含んだNuGetパッケージの配布 |
| マルウェア | The Hacker Newsによると、「Coinbase.Core」「Anarchy.Wrapper.Net」「DiscordRichPresence.API」などが感染パッケージの中で最もダウンロード数が多かったが、その他にも多数のマルウェアが使用されたと報告されている。 |
| 脆弱性 | 不明 |
| 事件発生日 | 2022年 |
|---|---|
| 被害者名 | 南アジアおよび東南アジアの企業 |
| 被害サマリ | REF2924による攻撃で、NAPLISTENERという新しいマルウェアを使用していることが発覚。REF2924は中国のハッカーグループと関係があると考えられている。 |
| 被害額 | (不明) |
| 攻撃者名 | REF2924 |
|---|---|
| 攻撃手法サマリ | Microsoft Exchangeサーバーの脆弱性を悪用した攻撃。NAPLISTENERという新しいマルウェアを使用することで、ネットワーク上の検知を回避。 |
| マルウェア | DOORME、SIESTAGRAPH、ShadowPad、NAPLISTENER |
| 脆弱性 | Microsoft Exchangeサーバーの脆弱性 |
| 事件発生日 | 2023年3月21日 |
|---|---|
| 被害者名 | BreachForums |
| 被害サマリ | 悪質な漏洩データの売買が行われるハッキングフォーラムBreachForumsが閉鎖された |
| 被害額 | 不明(予想:数億から数十億円程度) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 不正アクセスによる悪意あるデータの売買を促進するハッキングフォーラムBreachForumsを運営した |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2022年10月 |
|---|---|
| 被害者名 | ドネツィク、ルハーンシク、クリミアの政府・農業・交通機関および組織 |
| 被害サマリ | 新しいモジュラーフレームワークであるCommonMagicを使用する攻撃が実施され、バックドアPowerMagicを展開された。PowerMagicはPowerShellで書かれており、クラウドサービス(Dropboxなど)を通じて任意のコマンドを実行でき、CommonMagicフレームワークを提供する。 |
| 被害額 | 不明(予想:数億円以上) |
| 攻撃者名 | 不明、ロシアと関係があるとみられる |
|---|---|
| 攻撃手法サマリ | spear phishingまたは同様の手法を用いた、booby-trapped URLSが攻撃の開始点。バックドアやフレームワークなど、複数のプログラムで構成された攻撃方式が行われた。 |
| マルウェア | PowerMagic、CommonMagic |
| 脆弱性 | 不明 |