| 脆弱性 | ブリングユアオウンバルナラブルドライバー(BYOVD)攻撃に用いられる脆弱性は不明。ツールは、Windows 7以上を搭載したデバイスの24種類のアンチウイルス、エンドポイント侵入検知レスポンス(EDR)、拡張型侵入検知レスポンス(XDR)セキュリティソリューション、Windows Defenderを含むAVを無効にできる方法である。CrowdStrikeのエンジニアによれば、Terminatorは単に、レギュラーな、署名された「Zamana anti-malware kernel driver」という合法的なWindowsドライバーを利用して、Windowsのシステム32フォルダーにランダ脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Terminator antivirus killer |
|---|
| 脆弱性サマリ | Terminator antivirus killerは、脆弱なWindowsドライバーを使用してセキュリティソフトウェアをバイパスし、エンドポイントデバイスを攻撃することができる。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | ある |
|---|
| PoC公開 | ある |
|---|
Terminator antivirus killerは、脆弱なWindowsドライバーを使用しているため、セキュリティソフトウェアをバイパスし、エンドポイントデバイスを攻撃できる。コマンド実行によるWindows Kernelプリビレッジの取得が可能であり、2021年にはPoCが公開されている。
incident 2023-05-31 17:54:26 被害状況
| 事件発生日 | 2023年5月31日 |
|---|
| 被害者名 | Zyxelのネットワークデバイス利用者 |
|---|
| 被害サマリ | CVE-2023-28771という深刻なコマンドインジェクションの脆弱性が悪用され、マルウェアのインストールや情報の詐取が行われた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | CVE-2023-28771を悪用し、特殊なIKEv2パケットを送信することで、リモートからコードを実行した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-28771およびCVE-2023-33009、CVE-2023-33010 |
|---|
incident 2023-05-31 16:56:42 被害状況
| 事件発生日 | 不明(2022年9月から感染が報告されている) |
|---|
| 被害者名 | 主にゲームコミュニティのユーザー |
|---|
| 被害サマリ | ステルシーなリモートアクセスツール、SeroXenによる被害。低検知性と強力な機能が評価され、価格が安価なため、サイバー犯罪者によって利用されている。被害範囲はゲームコミュニティから、大企業や団体へ拡大することが懸念される。 |
|---|
| 被害額 | 不明(予想:数百万ドル・円規模) |
|---|
攻撃者
| 攻撃者名 | 不明。サイバー犯罪者。 |
|---|
| 攻撃手法サマリ | フィッシングメールやDiscordでの拡散を通じ、ZIPアーカイブ内に含まれるバッチファイルによって感染拡大。SeroXen RATは、Quasar RAT、r77 rootkit、およびNirCmdコマンドラインツールを組み込んでおり、検知が困難になっている。 |
|---|
| マルウェア | SeroXen RAT、Quasar RAT、r77 rootkit、NirCmdコマンドラインツール |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-31 15:44:00 被害状況
| 事件発生日 | 2023年5月19日 |
|---|
| 被害者名 | Apache NiFiインスタンスの所有者 |
|---|
| 被害サマリ | 攻撃者はApache NiFiインスタンスに侵入し、暗号通貨マイニングマルウェアをインストールして、横方向の移動を容易にしました。また、攻撃により、競合する暗号通貨マイニングツールが無効化されました。 |
|---|
| 被害額 | 不明(予想:数万ドルから数十万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 攻撃者はApache NiFiインスタンスにスキャンを実行した後、脆弱性を利用して侵入しました。攻撃者は、暗号通貨マイニングマルウェアKinsingをダウンロードし、実行しました。 |
|---|
| マルウェア | Kinsingマルウェア |
|---|
| 脆弱性 | 公に開示されたWebアプリケーションの古い脆弱性 |
|---|
incident 2023-05-31 14:46:18 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | トヨタ自動車の顧客 |
|---|
| 被害サマリ | トヨタ・コネクテッドが管理する2つのクラウドサービスがミスコンフィグレーションされ、顧客情報が漏えい。1つ目は、10年間にわたりアジア・オセアニア地域のトヨタ顧客の場所情報を含む氏名、住所、電話番号、メールアドレス、顧客ID、車両登録ナンバー、車両識別番号などを公開された。2つ目は、2009年から2015年にかけて販売されたレクサスブランドの自動車のナビゲーションシステムに関連した情報(約26万件)が公開された。 |
|---|
| 被害額 | 不明(予想:数百万円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ミスコンフィギュレーションされたクラウドサービスを悪用したデータ漏えい |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-31 14:06:12 被害状況
| 事件発生日 | [不明] |
|---|
| 被害者名 | [不明] |
|---|
| 被害サマリ | 企業に対するペネトレーションテストにより、脆弱性が発見された。 |
|---|
| 被害額 | [予想:数千ドル] |
|---|
攻撃者
| 攻撃者名 | [不明] |
|---|
| 攻撃手法サマリ | ペネトレーションテスト |
|---|
| マルウェア | [不明] |
|---|
| 脆弱性 | [不明] |
|---|
るは、Webアプリケーションのペネトレーションテストに関する記事である。
この記事は、「7つのペネトレーションテストの段階」と、ペネトレーションテストを実施するためのソリューションである「PTaaS」について述べている。
ペネトレーションテストは、侵入テストやペンテストとも呼ばれ、ウェブアプリケーションのセキュリティ脆弱性を特定するための手法である。ペネトレーションテストには、「事前準備」「データ収集」「Discovery Scanning」「脆弱性アセスメント」「Exploitation」「報告とリスク分析」「脆弱性の解決と再テスト」の7つの段階がある。
従来のペネトレーションテストは、セキュリティの点検や評価が一度で完了するため、DevOpsやクラウド技術といった新しいテクノロジーには対応できない。そのため、ペネトレーションテストのサービスであるPTaaSが利用されるようになっている。
PTaaSは、自動化されたスキャンやテストを定期的に実施することで、Webアプリケーションの持続的な監視を実現する。また、開発チームとの連携により、開発プロセスの早い段階で脆弱性を特定できるため、時間とリソースを節約できる。それに加えて、PTaaSは、多様なWebアプリケーションや環境に対応することができ、セキュリティ業界の専門家によるサポートや、コンプライアンスレポートの生成も可能である。
vulnerability 2023-05-31 13:18:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Gigabyteシステム |
|---|
| 脆弱性サマリ | GigabyteシステムのUEFIファームウェアにはBackdoorのような動作があり、ファームウェアがWindowsの実行コードを落としそのあと、アップデートプログラムを暗号化されていない形式で引き出すことができ、攻撃者が中間者攻撃を行うことができる。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
ギガバイトのシステムには、バックドアのような動作があり、読み込み可能なファームウェアがWindowsの実行コードを落とし、アップデートプログラムを暗号化されていない形式で引き出せることがわかった。ファームウェアがマザーボードにあるため、ファームウェアにマルウェアを注入することで、ドライブをワイプしてもOSを再インストールしても影響が残る。この問題に対処するためには、最新のファームウェアアップデートを適用し、UEFI/BIOS設定の「APPセンターダウンロード&インストール」機能を調査して無効化することが推奨される。
vulnerability 2023-05-31 13:00:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Salesforce Sites and Communities |
|---|
| 脆弱性サマリ | 未使用のSalesforceサイトやコミュニティが不適切に非活性化された場合、未承認者が機密情報にアクセスできる危険がある |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
Salesforce Sites and Communities(Experience Cloud)は不適切に非活性化されることがあり、「ghost sites」とされる。これらのサイトはメンテナンスされず、脆弱性がテストされず、更新されないため、不正アクセスの可能性がある。Varonisによると、これらの非活性化されたサイトが新しいデータを取得している場合が多く、HTTPリクエストのホストヘッダーを操作して脅威行為者がデータを抽出できることがある。Varonisは、これらのサイトを特定することが困難だが、DNSレコードの変更を追跡するツールなどを利用することができると指摘している。Varonisは、これらのオブソリートなサイトが最新のセキュリティ保護を欠いていることが多く、機密情報を盗み取るための脅威行為者にとって理想的なターゲットであることを警告している。企業は、使用されていないサイトを適切に非活性化すること、Salesforceサイトとそのユーザーの権限を追跡することが推奨されている。
vulnerability 2023-05-31 11:57:00 脆弱性
| CVE | CVE-2023-32369 |
|---|
| 影響を受ける製品 | Apple macOS |
|---|
| 脆弱性サマリ | Microsoftは、rootアクセスを持つ脅威アクターが、Apple macOSに存在するSIP(System Integrity Protection)を迂回するために悪用できる、重大な脆弱性を明らかにした。この脆弱性により、SIPで保護されたファイルとフォルダ上で実行することができる。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
注:この脆弱性はCVE-2023-32369と呼ばれ、Apple macOSに存在するSIPを迂回することができる重大な脆弱性である。2023年5月18日にリリースされたmacOS Ventura 13.4、macOS Monterey 12.6.6、及びmacOS Big Sur 11.7.7にて修正済。これは、rootアクセス権限を既に持っている脅威アクターによって攻撃が可能であり、rootキットをインストールしたり、永続的なマルウェアを作成するために悪用される可能性がある。また、Transparency、Consent、およびControl(TCC)ポリシーを管理するデータベースを置き換えることで、SIP迂回によって任意のカーネルコード実行や重要なデータへのアクセスを獲得することもできる。
other 2023-05-31 11:47:00 1. 「The Hacker News」というサイトがある。
2. サイトは「Data Breaches」「Cyber Attacks」「Vulnerabilities」「Webinars」「Store」「Contact」のカテゴリーを持っている。
3. サイトでは「Threat Hunting」の記事が掲載されている。
4. 脅威を見つけるためには計画的で注意深い調査が必要であることが説明されている。
5. 脅威ハンティングにおいて、CTI(サイバー脅威インテリジェンス)は重要な役割を果たすとされている。
incident 2023-05-31 08:58:00 被害状況
| 事件発生日 | 2022年2月から2023年4月まで |
|---|
| 被害者名 | ベルギー、ブルネイ、インドネシア、タイ、ベトナムの教育機関、政府機関、軍事組織、非営利団体 |
|---|
| 被害サマリ | 高価値ターゲットに対し、漏洩した機密情報を収集していた。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Dark Pink(またはSaaiwc Group) |
|---|
| 攻撃手法サマリ | 組み込まれたマルウェア(主にTelePowerBotやKamiKakaBot)を使用し、スピアフィッシング攻撃を行った。 |
|---|
| マルウェア | TelePowerBotとKamiKakaBot |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-31 08:30:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 国家機関や軍事システムに対するスピアフィッシング攻撃や、広告を用いてローリング攻撃を行うことで標的を誘導してリモートアクセストロイジャンを配信している。攻撃手法は最近のトレンドを追っており、悪質なソフトウェアの偽造版を広告で流し相手の信頼を得た情報を盗み出している。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明。悪意あるソフトウェアの偽造版を広告で流し相手の信頼を得た情報を盗み出している。 |
|---|
| 攻撃手法サマリ | 国家機関や軍事システムにスピアフィッシング攻撃、悪意ある広告を用いたローリング攻撃、リモートアクセストロイジャンの配信。偽造した悪質ソフトウェアを相手に送信し、信頼を得ることで情報を盗み出す。 |
|---|
| マルウェア | RomCom RAT など複数。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-31 08:00:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 政府、軍事、教育機関(ベルギーおよびタイを含む) |
|---|
| 被害サマリ | Dark PinkというAPTハッカーグループが、引き続き2023年に活動し続け、 アジア太平洋地域の政府、軍事、教育機関を標的としている。 Dark Pinkは、 ISOアーカイブを用いたスピアフィッシングに依存しており、DLLサイドローディングを使用して、 'TelePowerBot'と 'KamiKakaBot.' というバックドアを起動している。 |
|---|
| 被害額 | 不明 (データ漏洩とスパイ活動によって損害) |
|---|
攻撃者
| 攻撃者名 | Dark Pink (国籍などの特徴不明) |
|---|
| 攻撃手法サマリ | スピアフィッシング、ISOアーカイブ、DLLサイドローディング、Backdoor(TelePowerBot、KamiKakaBot)などの一般的なAPT攻撃手法を使用する。 |
|---|
| マルウェア | KamiKakaBot、TelePowerBot、ZMsg info-stealer、Netlua特権エスカレーションツールなど
|
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-31 05:25:00 被害状況
| 事件発生日 | 2022年10月以降 |
|---|
| 被害者名 | BarracudaのEmail Security Gateway (ESG)アプライアンスの使用者 |
|---|
| 被害サマリ | 0-day脆弱性 (CVE-2023-2868) が悪用され、ウイルスに感染することで、サブセットのESGアプライアンス内で不正なアクセスやデータの流出などの被害が生じた。 |
|---|
| 被害額 | 不明(予想:数十万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 0-day脆弱性 (CVE-2023-2868) を悪用した攻撃 |
|---|
| マルウェア | SALTWATER、SEASPY、SEASIDE |
|---|
| 脆弱性 | CVE-2023-2868 |
|---|
脆弱性
| CVE番号 | CVE-2023-2868 |
|---|
| 影響を受ける製品 | Barracuda Email Security Gateway |
|---|
| 脆弱なバージョン | 5.1.3.001 から 9.2.0.006 |
|---|
| 脆弱性サマリ | Barracuda Email Security Gatewayのゼロデイ脆弱性で、攻撃者はバックドアの設置、コード実行、そしてデータの盗聴などができる。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
Barracuda Email Security Gatewayに影響を及ぼす、CVE番号がCVE-2023-2868である脆弱性が発見された。5.1.3.001から9.2.0.006までのすべてのバージョンに影響を受け、攻撃者はリモートでコードを実行し、バックドアを設置したり、データの盗聴を行うことができる。攻撃者による悪用が2022年10月以来続いており、2023年5月19日にBarracudaによって発見された。その後、同社は5月20日と5月21日にパッチをリリースした。3種類のマルウェアが見つかり、それらはSALTWATER、SEASPY、SEASIDEと呼ばれている。攻撃は誰によるものかはわかっていない。 CISAは、2023年6月16日までに修正を適用するよう連邦機関に呼びかけている。Barracudaは、被害を受けた組織の数は明らかにしていない。
vulnerability 2023-05-30 22:01:09 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Jetpack WordPressプラグイン |
|---|
| 脆弱性サマリ | Jetpack WordPressプラグインにおける任意のWordPressインストール内のファイルの操作に関する脆弱性 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-05-30 20:25:22 被害状況
| 事件発生日 | 2022年10月 |
|---|
| 被害者名 | 200,000以上の組織、Samsung、Delta Airlines、Mitsubishi、Kraft Heinzなどの著名企業を含む |
|---|
| 被害サマリ | BarracudaのEmail Security Gatewayアプライアンスに0-day脆弱性が利用され、顧客の製品にバックドアを設けるカスタムマルウェアが7か月間にわたって配置され、攻撃者によって顧客のデータが窃取された。 |
|---|
| 被害額 | 不明(予想:数十億円から数百億円) |
|---|
攻撃者
| 攻撃者名 | 不明、国籍などの特徴も不明 |
|---|
| 攻撃手法サマリ | 0-day脆弱性攻撃 |
|---|
| マルウェア | Saltwater、SeaSpy、SeaSideなどのカスタムマルウェアが使用された |
|---|
| 脆弱性 | CVE-2023-2868 |
|---|
vulnerability 2023-05-30 19:42:21 脆弱性
| CVE | CVE-2023-28782 |
|---|
| 影響を受ける製品 | Gravity Forms Wordpressプラグイン |
|---|
| 脆弱性サマリ | プラグインの全バージョンが未認証のPHPオブジェクトインジェクションの脆弱性に影響を受ける |
|---|
| 重大度 | 不明 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 有 |
|---|
vulnerability 2023-05-30 19:20:41 脆弱性
| CVE | CVE-2023-32369 |
|---|
| 影響を受ける製品 | macOS Ventura 13.4, macOS Monterey 12.6.6, macOS Big Sur 11.7.7 |
|---|
| 脆弱性サマリ | macOSのSystem Integrity Protection (SIP)機能をバイパスすることができる |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
incident 2023-05-30 19:01:01 被害状況
| 事件発生日 | 不明(2022年秋より追跡開始) |
|---|
| 被害者名 | 東欧を中心に不特定多数のユーザー |
|---|
| 被害サマリ | 「GIMP」「Go To Meeting」「ChatGPT」「WinDirStat」「AstraChat」「System Ninja」「Devolutions' Remote Desktop Manager」などのソフトウェアの偽サイトを用いたフィッシング攻撃 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明(「Tropical Scorpius」というキューバランサムウェアのアフィリエイトまたは関係者が使用した可能性がある) |
|---|
| 攻撃手法サマリ | 高度なフィッシング攻撃によるROMCOMバックドアマルウェアの配信 |
|---|
| マルウェア | ROMCOM |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-30 16:49:30 被害状況
| 事件発生日 | 2023年5月23日以降 |
|---|
| 被害者名 | Surface Pro X ラップトップの利用者 |
|---|
| 被害サマリ | 一部のARMベースのWindowsデバイスの内蔵カメラが、クオルコムが製造したカメラドライバの不具合により突然使用不能となる。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | - |
|---|
| 攻撃手法サマリ | - |
|---|
| マルウェア | - |
|---|
| 脆弱性 | クオルコムが製造したカメラドライバの不具合 |
|---|
incident 2023-05-30 14:38:31 被害状況
| 事件発生日 | 2023年5月30日 |
|---|
| 被害者名 | Androidユーザー |
|---|
| 被害サマリ | Google PlayからダウンロードされたAndroidアプリ421,290,300回にスパイウェアが仕込まれ、ユーザーのプライベートデータが盗まれた。 |
|---|
| 被害額 | 不明(予想:巨額) |
|---|
攻撃者
| 攻撃者名 | 不明(SDKのディストリビュータが犯人の可能性あり) |
|---|
| 攻撃手法サマリ | 広告SDKに偽装したスパイウェアの仕込み |
|---|
| マルウェア | SpinkOk |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-30 12:29:00 脆弱性
| CVE | CVE-2023-27352, CVE-2023-27355, CVE-2023-27353, CVE-2023-27354 |
|---|
| 影響を受ける製品 | Sonos One wireless speakers (Speaker 70.3-35220) |
|---|
| 脆弱性サマリ | Sonos One wireless speakersに複数の脆弱性が存在し、情報漏えいやリモートコード実行が可能になる可能性がある。 |
|---|
| 重大度 | 高(CVSSスコア8.8)および中(CVSSスコア6.5) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 有 |
|---|
Sonos One wireless speakersに複数の脆弱性が見つかり、情報漏えいやリモートコード実行が可能になる可能性があることが発表された。これらの脆弱性は、Qrious Secure、STAR Labs、DEVCOREの3チームによって報告され、Pwn2Ownハッキングコンテストで発見され、$105,000の報酬金が与えられた。CVE-2023-27352とCVE-2023-27355は認証されていない欠陥であり、ネットワーク隣接攻撃者が影響を受けたインストールで任意のコードを実行できる。CVE-2023-27353とCVE-2023-27354も認証されていない欠陥であり、ネットワーク隣接攻撃者が影響を受けたインストールで機密情報を開示できる。これらの脆弱性はSonosによって修正され、最新のパッチを適用することが推奨されている。
vulnerability 2023-05-30 12:16:00 脆弱性
| CAPTCHAのバイパスサービスの脅威 | 2023年5月30日に、Trend Microが報告書を出した。CAPTCHA-breakingサービスが販売され、人間のソルバーを利用し、CAPTCHAの保護を回避している。 |
|---|
| CVE | なし |
|---|
| 影響を受ける製品 | オンラインウェブサービス |
|---|
| 脆弱性サマリ | CAPTCHA(機械と人間を区別する公開テスト)を回避する人間のソルバーを利用し、CAPTCHAの保護を回避する。 |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
注:CAPTCHA-breakingサービスは、Webトラフィックの人間とボットを区別するために使用される公開テスト「CAPTCHA」を回避するために使用される。このような不正なサービスは、カスタマーの要求を集め、それらを人間のソルバーに委託して、解決策を見つけた後、指定されたルートを通じて使用者に戻される。また、別のAPIを呼び出して、結果を得る。攻撃者は、CAPTCHA-breakingサービスを購入し、プロキシウェアサービスなどと組み合わせることがあり、起動元のIPアドレスを不明瞭にし、抗ボットバリアーから逃れる。CAPTCHAは使用者にとって迷惑なUXをもたらす場合があるが、ボット起源のWebトラフィックからの攻撃を防ぐために有効な手段とされている。Webサービスには、CAPTCHAおよびIP blockingリストに加えて、他のアンチアビュースツールを追加することを推奨する。
vulnerability 2023-05-30 11:55:00 この記事は何についてのものか?
- 「リスクベースの脆弱性発見と対策の実装」についての記事である。企業にとってソフトウェアやシステム上の脆弱性は大きな危険であり、即座に対応することが必要であると述べられている。
記事の中で述べられているメインのトピックは何か?
- 「リスクベースの脆弱性発見と対策の実装」である。具体的には、脆弱性の発見、ランキング、修正の自動化について詳しく述べられている。
企業がリスクベースの脆弱性発見と対策の自動化を実装する場合、どのような手順を踏むことが必要であるか?
- 主なアプローチは以下の通りである。
1. アセットの特定
2. リスク評価
3. 脆弱性の優先順位付け
4. コントロールの実装
5. モニタリング、見直し、調整
どのような手段が脆弱性の発見、ランキング、修正を自動化することができるか?
- 脅威インテリジェンスフィード、脆弱性スキャナー、自動化されたパッチ管理システムが脆弱性の発見、ランキング、修正を自動化するために使用される。
どのようなソリューションがこれらの手段を実装することを手助けしてくれるか?
- 「Action1」などのオールインワンのクラウドベースのソリューションが、脆弱性管理、パッチ管理、および規制遵守に役立つとされている。最新の脅威インテリジェンス情報にアクセスできるため、情報セキュリティの向上につながると紹介されている。
incident 2023-05-30 07:02:00 エラーが発生しました。 記事ファイル名:../articles/20230530 070200_8a6b364ca5c8ca6dbb048df115d25b8151506164b393fa88b10b7d66ecee4001.json That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 3605d5de0a6f3d410769c2b00f79f385 in your message.) <> security_news_matomerukun.py:81
incident 2023-05-30 01:55:55 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | RaidForumsメンバー 478,870人 |
|---|
| 被害サマリ | ハッキングフォーラム「RaidForums」のメンバー情報が漏洩された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明(RaidForums内の脅威アクター) |
|---|
| 攻撃手法サマリ | 不正アクセス・データ流出 |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-29 15:20:23 被害状況
| 事件発生日 | 2023年5月29日 |
|---|
| 被害者名 | Jimbos Protocol |
|---|
| 被害サマリ | Flash Loan攻撃により、4000 ETH トークンが盗まれ、その価値は750万ドル以上に達した。 |
|---|
| 被害額 | $7,500,000 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Flash loan攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | スリッページコントロールの欠如 |
|---|
vulnerability 2023-05-29 14:31:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | スマートフォンユーザー |
|---|
| 被害サマリ | スマートフォンの指紋認証に関する二つのゼロデイ脆弱性が発見され、自動クリックボードと指紋データベースを用いて、15ドルで攻撃者がスマートフォンの指紋認証を回避して制御を奪うことが可能になった。 |
|---|
| 被害額 | 不明(予想:不適用) |
|---|
攻撃者
| 攻撃者名 | 不明。自動クリックボードと指紋データベースを使用する攻撃者。 |
|---|
| 攻撃手法サマリ | BrutePrint と呼ばれる攻撃手法を使用。二つのゼロデイ脆弱性(Cancel-After-Match-Fail および Match-After-Lock)を利用して、指紋認証装置を「誘導」し、認証の回避を可能にする。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | SPI上の指紋データの保護の不足に起因する Cancel-After-Match-Fail(CAMF)および Match-After-Lock(MAL)と呼ばれる二つの脆弱性。 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | スマートフォン |
|---|
| 脆弱性サマリ | スマートフォンの指紋認証を回避可能にするBrutePrint攻撃が発見される |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
スマートフォンの指紋認証を回避可能にする攻撃「BrutePrint」が発見された。この攻撃はスマートフォンの指紋認証にある二つの脆弱性「Cancel-After-Match-Fail(CAMF)」と「Match-After-Lock(MAL)」を利用する。この攻撃は、AndroidおよびHarmonyOSに対して無制限に、iOSデバイスに対して10回試行でき、攻撃対象のデバイスが既に攻撃者の手にある必要がある。また、攻撃者は指紋データベースと、マイクロコントローラーボードと自動クリッカーから成るセットアップを所有する必要がある。攻撃のための費用は15ドル程度である。
incident 2023-05-29 13:49:01 被害状況
| 事件発生日 | 2023年3月6日 |
|---|
| 被害者名 | Managed Care of North America (MCNA) Dental |
|---|
| 被害サマリ | MCNA Dental社が、2023年3月6日にシステムへの不正アクセスを確認。調査の結果、ハッカーが2月26日に最初にMCNAのネットワークにアクセスし、約900万人分の個人情報以下を抜き取られた。被害者には患者、親、保護者、保証人などが含まれ、抜き取られた情報は、フルネーム、住所、生年月日、電話番号、メール、社会保障番号、運転免許証番号、政府発行のID番号、健康保険、治療内容、請求書および保険請求。 |
|---|
| 被害額 | 不明(予想:数百万から数千万ドルの範囲) |
|---|
攻撃者
| 攻撃者名 | LockBit ransomware group |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | LockBit |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-29 13:00:57 - Lazarus Groupは、Windows Internet Information Services(IIS)Webサーバーによる初期アクセスを狙う攻撃を行った。
- Lazarus Groupは、North Koreaと関係があるとされ、資金調達のため複数のマルウェア攻撃を行っていると考えられている。
- 攻撃は、既知の脆弱性や誤った構成などによってIISサーバーに侵入し、悪意のあるファイルを配置して脅威を実行する。
- 攻撃は、DLL側面ローディングというテクニックを採用しているため、プロセスの異常な実行に関して監視すべきである。
- Lazarus Groupは、情報窃取と横方向の移動の活動を予防するため、事前予防措置を講じる。
incident 2023-05-29 12:15:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 複数の被害者 |
|---|
| 被害サマリ | Cryptor(AceCryptor)により多数のマルウェアが梱包され、2021年と2022年にESETのテレメトリで240,000以上の検出が確認された。被害国は、ペルー、エジプト、タイ、インドネシア、トルコ、ブラジル、メキシコ、南アフリカ、ポーランド、インドである。 |
|---|
| 被害額 | 不明(予想:数 million USD) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Crypterによるマルウェアのパッキング、暗号化(梱包)が使用された。 |
|---|
| マルウェア | SmokeLoader、RedLine Stealer、RanumBot、Raccoon Stealer、Stop ransomware、Amadeyなど、複数のマルウェアが含まれた。 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-29 11:47:00 1. 「The Hacker News」というサイトは、300万以上のフォロワーによって信頼されるサイバーセキュリティニュースプラットフォームである。
2. 「Continuous Threat Exposure Management(CTEM)」という枠組みは、組織が継続的に危険要因を監視し、評価し、削減するための5段階のプログラムであり、Gartnerの報告書によると、実行計画のための一貫した実行可能なセキュリティポジション改善プランを企業の経営幹部が理解し、アーキテクチャチームが対応するプランを作成することが目的である。
3. CTEMプログラムを実行するにあたり、企業は予期しない問題にぶつかる可能性があるため、早期にそれらを解決するために慎重に計画を立てることが重要である。
4. 慎重に実行するための主な挑戦としては、セキュリティチームと非セキュリティチームの間の言語の壁、全体像を捉える難しさなどがある。
5. CTEMを正しく実装することで、組織は攻撃者に悪用される可能性がある問題の領域を特定し、それらに対処することができるため、セキュリティポジションを継続的に改善することができる。
incident 2023-05-29 09:50:00 被害状況
| 事件発生日 | 2023年5月29日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 日本のLinuxルーターが、Golangによる新しいリモートアクセストロイジャン(RAT)GobRATの標的となっている。 |
|---|
| 被害額 | 不明(予想:不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ポートをオープンにしたルーターに対して脆弱性を利用してスクリプトを実行し、ローダースクリプトをデプロイしてGobRATを配信する。 |
|---|
| マルウェア | GobRAT |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-29 07:14:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | .ZIPドメインを悪用したフィッシング攻撃による装うプログラム |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
この記事は新たなフィッシング手法について述べたものである。この手法により、被害者が.ZIPドメインを訪れた時、Webブラウザ上でファイルアーカイバーソフトウェアを「シミュレート」することができる。攻撃者はHTMLとCSSを使用して、合法的なファイルアーカイブソフトウェアに似せた信憑性の高いフィッシングのランディングページを作成することができる。ファイルアーカイブを含む偽のZIPアーカイブがクリックされたとき、攻撃者は資格情報の収集ページにユーザーをリダイレクトすることができる。この手法では、非実行可能なファイルがリストアップされ、ダウンロードを開始すると実行可能なファイル(「invoice.pdf」など)であると偽装することができる。攻撃者は非常に合法的に見せることができるため、被害者はファイルダウンロードを期待している状態になる可能性がある。もっとも、Windowsファイルエクスプローラーの検索バーを利用してさえ、非存在する.ZIPファイルを検索した場合、ユーザーは本物の.ZIPドメインを自動的に開くことになる。こうした新たな攻撃手法の背景には、Googleがzipやmovといった新しいトップレベルドメインを導入したことがあげられる。これらは、悪意のあるWebサイトへの誘導やマルウェアの誤ダウンロードなどを引き起こす可能性がある。
vulnerability 2023-05-29 04:58:00 脆弱性
| 脆弱性 | PyPIパッケージのアカウント所有者に対し、年末までに2要素認証を義務付けると発表 |
|---|
| 影響を受ける製品 | PyPIパッケージを利用しているソフトウェア |
|---|
| 脆弱性サマリ | アカウント乗っ取りによる悪意あるパッケージの配布を防ぎ、パッケージ偽装やマルウェアを抑止するための措置 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
vulnerability 2023-05-28 15:18:09 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | 「ファイルアーカイバ」を装い、ZIPドメインでフィッシング攻撃を行う手法が確認される |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 有 |
|---|
脆弱性概要:
ZIPドメインを使用したフィッシング攻撃による悪意あるファイルの実行が可能になる脆弱性が報告されている。攻撃者が「ファイルアーカイバ」を装い、ZIPドメインで偽のWinRARウインドウを表示させてユーザに偽のファイルを開示し、ユーザにクリックさせてフィッシング攻撃やマルウェアの実行を行わせる手法が確認されている。PoCが公開されている。
vulnerability 2023-05-28 14:09:29 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Python Package Index |
|---|
| 脆弱性サマリ | PyPIは、すべてのソフトウェア公開者に2FAを義務付けます |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
脆弱性の概要:
Python Package Index(PyPI)は、アカウントの管理者が年末までに2要素認証(2FA)をオンにすることを要求することを発表しました。2FA保護の1つの利点は、サプライチェーン攻撃リスクが軽減されることです。これらの攻撃は、悪意のあるアクターがソフトウェアメンテナーのアカウントを制御し、バックドアまたはマルウェアを、様々なソフトウェアプロジェクトで依存関係として使用されるパッケージに追加する場合に発生します。依存関係にあるパッケージがどれほど人気があるかによって、これらの攻撃は数百万人のユーザーに影響を与える可能性があります。また、Pythonプロジェクトリポジトリは、過去数ヶ月間に大量のマルウェアアップロード、有名なパッケージなりすまし、およびハイジャックされたアカウントを使用した悪意のあるコードの再提出に苦しんでいます。PyPIの2FA保護は、アカウント乗っ取り攻撃の問題を軽減し、停止されたユーザーが悪意のあるパッケージを再アップロードするために作成できる新しいアカウントの数にも制限を設定する必要があります。
other 2023-05-27 16:14:25 - CISAが、Barracuda Email Security Gateway (ESG)アプライアンスに侵入するために利用された最近パッチが当てられたzero-day脆弱性について、先週警告した。
- ゼロデイ脆弱性CVE-2023-2868は、すでにBarracudaによって修正されたため、FCEB機関は脆弱性を修正する必要がなくなった。
- Barracudaは、影響を受けたデバイス全体に第二のパッチを適用したと述べている。
- Barracudaのセキュリティソリューションは、サムスン、三菱、Kraft Heinz、デルタ航空などの有名企業を含む、世界中の200,000以上の組織に利用されている。
- 脆弱性は、複数のメールゲートウェイアプライアンスへの不正アクセスを引き起こし、影響を受けた顧客は、他のネットワークデバイスへのアクセスを確認するよう勧告された。
vulnerability 2023-05-27 15:12:06 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | QBotマルウェアがWindows 10のWordPadプログラムのDLLハイジャックの脆弱性を悪用し、Windows 10 WordPadの実行可能ファイル(write.exe)を悪意のあるDLLファイルに偽装して、PCに侵入している。被害者がウェブサイトのリンクをクリックするとZIPファイルがダウンロードされ、そのファイル内にはWindows 10 WordPad実行可能ファイルが含まれている。そして、この実行可能ファイルが起動された際に、実行可能ファイルと同じフォルダにあるファイルを優先的に読み込む仕様のため、QBotマルウェアが偽装したDLLファイルが読み込まれ、その中の悪意のあるプログラムが実行されるようになっている。 |
|---|
| 被害額 | 不明(予想:被害額は情報漏えいによって測定できないため、評価が困難である。) |
|---|
攻撃者
| 攻撃者名 | 不明(QBotマルウェアを利用した攻撃とされている) |
|---|
| 攻撃手法サマリ | DLLハイジャックの脆弱性を悪用した攻撃。 |
|---|
| マルウェア | QBotまたはQakbot |
|---|
| 脆弱性 | Windows 10 WordPadプログラムのDLLハイジャックの脆弱性 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Windows 10 WordPad |
|---|
| 脆弱性サマリ | QBotマルウェアがDLLハイジャックを使用してWordPadに感染できる |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
incident 2023-05-27 14:08:16 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Hot Pixelsと呼ばれる攻撃により、ターゲットのブラウザに表示されたコンテンツからピクセルを取得し、ナビゲーションの履歴を推測することができることが発見された。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明(研究者によって開発された攻撃) |
|---|
| 攻撃手法サマリ | 「Hot Pixels」攻撃は、近代のシステムオンチップ(SoCs)およびグラフィックス処理ユニット(GPUs)上でデータ依存計算時間を悪用し、最新のサイドチャネル対策が有効でもChromeやSafariで訪問したWebページから情報を盗み出すことができる。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | ChromeやSafariで訪問したWebページから情報を取得するため、脆弱性を突く必要があるが、記事には触れられていない。 |
|---|
other 2023-05-27 08:10:00 1. 「The Hacker News」というサイバーセキュリティに関するニュースプラットフォームがあり、300万以上の人がフォローしている。
2. Bandit Stealer というマルウェアが開発され、多数のウェブブラウザや暗号通貨ウォレットを狙っている。
3. runas.exeというレジットなコマンドラインツールを使用して、Bandit Stealer はWindowsをターゲットにしている。
4. Bandit Stealer は、仮想環境とサンドボックスで実行されているかどうかを確認することができる。
5. 最近の情報窃取マルウェアのトレンドとして、脆弱性コードから続々と派生し、効果的なアクセスを提供するためにMaas市場で販売されていることが挙げられる。
vulnerability 2023-05-27 07:45:00 脆弱性
| CVE | CVE-2023-28131 |
|---|
| 影響を受ける製品 | Expo.ioアプリケーション開発フレームワーク |
|---|
| 脆弱性サマリ | 認証情報漏えいによりアカウント乗っ取りが可能 |
|---|
| 重大度 | 9.6 (CVSSスコア) |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
Expo.ioアプリケーション開発フレームワークのOpen Authorization(OAuth)実装に、重大度9.6の脆弱性 (CVE-2023-28131)が見つかった。APIセキュリティ会社であるSalt Labsによれば、この問題により、フレームワークを使用するサービスが認証情報漏えいの影響を受け、アカウント乗っ取りとそれに伴う重要なデータの流出の危険がある。特定の状況下では、脆弱性を悪用して第三者提供者(GoogleやFacebookなど)を介したシングルサインオン(SSO)のためのAuthSessionプロキシ設定を構成しているサイトおよびアプリケーションに対し、Facebookなどのサインインプロバイダに関連する秘密トークンをアクターが制御するドメインに送信し、犠牲者のアカウントを乗っ取ることができる。攻撃者は、SMSメッセージ、電子メール、または怪しいウェブサイトなどの伝統的な社会工学ベクトルを介して、特別に作成されたリンクをクリックするようにターゲットユーザーを誘導することで、その攻撃を成功させることができる。Expo.ioは、Android、iOS、およびWeb上で実行されるユニバーサルネイティブアプリを開発するためのオープンソースプラットフォームであり、同社は2023年2月18日に脆弱性を修正している。修正後、ユーザーはサードパーティ認証プロバイダに直接Deep Link URLスキームを登録して、SSO機能を有効にすることが推奨される。
incident 2023-05-26 20:45:18 被害状況
| 事件発生日 | 不明(2023年5月21日以降) |
|---|
| 被害者名 | Augusta市 |
|---|
| 被害サマリ | Augusta市が不正アクセスによるシステムアウトエージを経験、BlackByte ransomwareが責任を認め、攻撃によって盗まれたと主張するデータをリークした。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | BlackByte ransomware |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | BlackByte ransomware |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-26 19:42:42 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Microsoft社のデベロッパー |
|---|
| 被害サマリ | Microsoft Defenderがデベロッパーのファイル操作を遅らせることなく、Dev Drivesのファイル操作を完了する方法を提供する新しい機能「performance mode」を導入。これによりデベロッパーが大規模なデータセット、例えばソースコードリポジトリ、ビルド出力、または中間ファイル、パッケージキャッシュを格納するのに適したDev Driveが作成された。これにより、ビルドスピードが最大30%向上する見込み。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ファイル操作を遅らせることなく、Dev Drivesのファイル操作を完了する新しい機能「performance mode」を提供するMicrosoft Defenderに対する攻撃は報告されていない。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft Defender Antivirus |
|---|
| 脆弱性サマリ | Microsoft Defender Antivirusが、開発者用ドライブでファイル解析時のスキャンの影響を緩和する「パフォーマンスモード」を実装 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
今回の脆弱性はMicrosoft Defender Antivirusが開発者用ドライブ(Dev Drive)でファイル解析時のスキャンの影響を緩和する「パフォーマンスモード」を実装したことによるものである。具体的には、ファイル操作が完了するまでスキャンを遅らせることでファイル入出力の時間の短縮ができる。昨年(2022年)に公開したWindows 11でDev Driveを導入したが、Insidersのみの公開であり、要件は8GB以上のRAMと50GB以上の無料ディスク容量。また、パフォーマンスモードはTrustedドライブでのみ利用可能であり、現時点では特定のファイルシステムでのみ有効。
incident 2023-05-26 16:33:33 被害状況
| 事件発生日 | 2023年5月7日 |
|---|
| 被害者名 | ABB |
|---|
| 被害サマリ | ABBに対してランサムウェア攻撃が行われ、社内システムにアクセスされ、一部社内システムに影響が生じた。また、社内システムからデータが盗まれた。 |
|---|
| 被害額 | 不明(予想:数億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | Black Basta |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-26 16:25:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Google Cloud PlatformのCloud SQLサービス |
|---|
| 脆弱性サマリ | Cloud SQLサービスに存在する特権昇格の脆弱性 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | 不明 |
|---|
Google Cloud PlatformのCloud SQLサービスに特権昇格の脆弱性が存在し、攻撃者がクラウド内の機密データにアクセスできる可能性があることが、イスラエルのクラウドセキュリティ企業Digによって報告された。報告によれば、攻撃者が基本的なCloudSQLユーザーからシステム管理者に昇格して全てのファイルにアクセスすることができ、顧客データを含む内部GCPデータを盗み取ることができるという。Googleは、2月に責任ある開示を受け、4月に問題を解決したと発表した。
incident 2023-05-26 14:56:41 被害状況
| 事件発生日 | 2023年5月中旬 |
|---|
| 被害者名 | Embyユーザー |
|---|
| 被害サマリ | Embyサーバーが、既知の脆弱性と不十分な管理者アカウント設定を悪用され、外部からのログインなしで管理者アクセスを許可していたことを利用され、サイバー攻撃を受けた。攻撃者は悪意のあるプラグインをインストールし、ユーザーの資格情報を収集していた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 脆弱性を悪用してサーバーにアクセスし、悪意のあるプラグインをインストールして、ユーザーの資格情報を収集した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Embyサーバーの「プロキシヘッダーバルナビリティ」の脆弱性 |
|---|
vulnerability 2023-05-26 14:52:20 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Firefox |
|---|
| 脆弱性サマリ | フルスクリーンの広告でFirefoxの機能が無効になる問題 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-26 13:27:20 被害状況
| 事件発生日 | 2023年5月21日 |
|---|
| 被害者名 | Augusta市 |
|---|
| 被害サマリ | BlackByteランサムウェアによるサイバー攻撃により、Augusta市のコンピュータシステムがシャットダウン。攻撃者は10GBのデータを流出させ、個人情報や契約、予算割当などの機密情報が含まれていた。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | BlackByteランサムウェアグループ |
|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
|---|
| マルウェア | BlackByteランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-26 12:39:00 エラーが発生しました。 記事ファイル名:../articles/20230526 123900_878559316ac7d7ab9651d77055dfe15b2d7677035d9f406a7c11e548391c1edc.json Request timed out: HTTPSConnectionPool(host='api.openai.com', port=443): Read timed out. (read timeout=600) <> security_news_matomerukun.py:81
other 2023-05-26 11:48:00 【脆弱性】
- CVE番号:なし
- 影響を受ける製品:5Gネットワーク
- 脆弱性サマリ:5Gネットワークは攻撃者の主なターゲットであるため、サイバーセキュリティが重要である。
- 重大度:不明
- RCE:不明
- 攻撃観測:不明
- PoC公開:不明
【記事概要】
5Gネットワークを利用したクラウドサービス向けのセキュリティについて、5つの主要な特長について説明している。5Gネットワークは、高速なデータ伝送と低遅延を提供し、様々なセキュリティ機能を備えており、エンドユーザーからエンドサービスまでのインフラストラクチャー全層において様々なデータを送信しているため、サイバー攻撃の主なターゲットとなっている。そのため、5Gネットワークのセキュリティが重要であるとされており、AES、ZUC、SNOW 3G、HMAC-SHA-256などの強力な暗号化アルゴリズムを使用している。また、5Gネットワークは、ネットワークスライシングやNESASといった機能により、企業のデータを保護し、クラウドサービスの品質向上を実現している。5Gの特徴を活かした健康、ストリーミング、スマートファクトリー、自動車IoTなどの各種利用シーンも紹介されている。記事の後半では、Gcoreの5G eSIMプラットフォームについても解説がある。1. 株式会社The Hacker News(THN)は、3.45+百万人以上にフォローされている信頼できるサイバーセキュリティニュースプラットフォームである。
2. サイトには、ホーム、データ侵害、サイバー攻撃、脆弱性、ウェビナー、ストア、コンタクトの7つのカテゴリーがあり、Webinar、THN Store、無料のeBookなどのリソースがある。
3. 5Gは、スマートフォンやIoTデバイスをクラウドインフラストラクチャに接続するときに、高速性と低レイテンシを提供する革新的な技術であり、セキュリティに対する注目が必要である。
4. 5Gには、AES、ZUC、SNOW 3G、HMAC-SHA-256などの強力な暗号化アルゴリズムや、Elliptic Curve Integrated Encryption Schemeなどのプライバシー保護技術、5G AKAなどの認証・承認技術など、5つの主要なセキュリティ機能がある。
5. 5Gはクラウドネイティブ企業にとって重要であり、低レイテンシ、高い帯域幅、高度なセキュリティ機能により、データのセキュアな転送、リアルタイム処理が可能になり、ヘルスケア、ストリーミング、スマートファクトリーなどの分野で使用される。Gcoreの5G eSIMプラットフォームは、5Gとクラウドを組み合わせた一例であり、高度な暗号化アルゴリズムやセキュリティプロトコルによる安全なデータ伝送を提供する。
incident 2023-05-26 06:38:00 被害状況
| 事件発生日 | 2021年12月(公開時期) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | COSMICENERGYと名付けられたマルウェアが、EU、中東、アジアで電力送電と配電の操作によく利用されるIEC 60870-5-104(IEC-104)と呼ばれるデバイスを備えたシステムを穿ち、故障を引き起こすよう設計されたものであることが判明した。公開当時、「野生」の環境で使用された証拠はなかった。 |
|---|
| 被害額 | 不明(予想:莫大な損失を引き起こす可能性がある) |
|---|
攻撃者
| 攻撃者名 | 不明(ロシア関与説あり) |
|---|
| 攻撃手法サマリ | マルウェアによるシステムへの侵入と、IEC-104と呼ばれるデバイスを備えたシステムへのアクセス、そして「PIEHOP」と「LIGHTWORK」の2つの実行ファイルの送信によってRTUsへの遠隔操作を行う。 |
|---|
| マルウェア | COSMICENERGY |
|---|
| 脆弱性 | IEC 60870-5-104 (IEC-104)や、Microsoft SQL Serverの脆弱性を利用した攻撃が行われる可能性がある。 |
|---|
vulnerability 2023-05-26 04:04:00 被害状況
| 事件発生日 | 2023年5月26日 |
|---|
| 被害者名 | Barracuda |
|---|
| 被害サマリ | BarracudaのEmail Security Gateway(ESG)アプライアンスが、リモートコードインジェクション脆弱性(CVE-2023-2868)を悪用された被害が発生した。攻撃者はメールの添付ファイルに.tar形式を使用し、不完全な入力検証によってリモートからシステムコマンドを実行することができた。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | リモートコードインジェクションの脆弱性を悪用 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-2868 |
|---|
脆弱性
| CVE | CVE-2023-2868 |
|---|
| 影響を受ける製品 | BarracudaのEmail Security Gateway appliances:バージョン5.1.3.001から9.2.0.006 |
|---|
| 脆弱性サマリ | 特定の.tape archivesファイルに対して、攻撃者は特定の書式でファイル名をフォーマットし、Perlのqxオペレーターを介してシステムコマンドを実行することができる |
|---|
| 重大度 | 不明 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | なし |
|---|
脆弱性はCVE-2023-2868であり、BarracudaのEmail Security Gateway appliancesのバージョン5.1.3.001から9.2.0.006に影響を受けます。
攻撃者は、特定のファイル名書式によりPerlのqxオペレーターを介してシステムコマンドを実行できます。どのくらいの被害があったかは不明ですが、Barracudaは全世界のESGデバイスにパッチを適用し、影響を受けたユーザーに対して是正措置のリストを直接提供しています。Barracudaは、状況を積極的に監視し、顧客に自分たちの環境を再確認するよう促しています。また、攻撃者の正体は不明ですが、最近数カ月間、中国やロシアのハッキンググループが弱点を突くためにカスタマイズされたマルウェアをCisco、Fortinet、およびSonicWallの脆弱なデバイスに展開していることが報告されています。
other 2023-05-25 22:17:52 - Windows 11のデベロッパービルドに新機能「never combined mode」が追加された
- この機能によって、Windows 11のタスクバーにあるアプリケーションの各ウィンドウとラベルが個別に表示できるようになる
- この機能はまだ開発初期段階であり、デバイスによって利用可能なタイミングが異なる可能性がある
- この進化を待ってWindowsのアップグレードを控えていたユーザーは多く、17,000件以上の要望が寄せられていた
- 追加された機能により、Windows 11のアップグレードがより魅力的になるだろう。
vulnerability 2023-05-25 18:57:29 被害状況
| 事件発生日 | 2023年5月25日 |
|---|
| 被害者名 | 報道されていない |
|---|
| 被害サマリ | スパイウェア「Predator」を介して、ジャーナリスト、欧州高官、Meta幹部らに対する監視活動に利用された。このスパイウェアは、通話録音、メッセージアプリからの情報の取得、アプリの隠蔽、インフィルトリートしたAndroid端末でのアプリ実行の防止など、様々なスパイ行為を行うことが可能。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | イスラエル企業Intellexaが開発および販売 |
|---|
| 攻撃手法サマリ | GoogleのThreat Analysis Groupによって2022年5月に公開された5つのAndroidゼロデイ脆弱性を悪用することで、Predatorスパイウェアを介してステルス的な攻撃を行う。 |
|---|
| マルウェア | Predatorスパイウェア |
|---|
| 脆弱性 | Googleが2022年5月に公開した、Androidの5つの未解決脆弱性 |
|---|
脆弱性
CVE: なし
影響を受ける製品: Android
脆弱性サマリー: イスラエルのIntellexa社によって開発、マルウェア攻撃に使用されるスパイウェア、PredatorとそのプログラムローダーAlienに新しい技術解析が発表され、そのデータ盗難能力とその他の動作詳細が共有された。
重大度: 不明
RCE: 不明
攻撃観測: あり
PoC公開: 無し
incident 2023-05-25 17:12:26 被害状況
| 事件発生日 | 2023年5月25日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | RPMSGファイルを使用したフィッシング攻撃により、Microsoft 365の認証情報が盗まれた |
|---|
| 被害額 | 不明(予想:数万ドルから数十万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明(特徴:RPMSGファイルを使用した高度な手法で、ターゲットを調べていると見られる) |
|---|
| 攻撃手法サマリ | RPMSGファイルを使用したフィッシング攻撃 |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | なし |
|---|
vulnerability 2023-05-25 16:57:36 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | D-Link |
|---|
| 被害サマリ | D-View 8ネットワーク管理スイートには2つの致命的な欠陥があり、リモート攻撃者が認証をバイパスし、任意のコードを実行できます。これにより、攻撃者はシステムの完全な乗っ取りを行って情報を盗み出すことができます。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明(情報なし) |
|---|
| 攻撃手法サマリ | 認証をバイパスすると、任意のコードを実行できます。これにより、攻撃者はシステムの完全な乗っ取りを行って情報を盗み出すことができます。 |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | D-View 8のバージョン2.0.1.27以前に影響を受けます。CVE-2023-32165とCVE-2023-32169が存在し、それぞれリモートコード実行と認証バイパスの問題があります。 |
|---|
脆弱性
| CVE | CVE-2023-32165、CVE-2023-32169 |
|---|
| 影響を受ける製品 | D-View 8 ソフトウェア |
|---|
| 脆弱性サマリ | リモートの攻撃者が認証をバイパスし、任意のコードを実行する危険がある(RCE)。深刻なセキュリティ脅威。 |
|---|
| 重大度 | 高(CVSSスコア: 9.8) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-25 15:27:33 被害状況
| 事件発生日 | 2021年12月 |
|---|
| 被害者名 | 欧州、中東、アジアの電力送電と流通操作に関する機器メーカー |
|---|
| 被害サマリ | ロシアのサイバーセキュリティ企業であるRostelecom-Solarと関連のあるマルウェア「CosmicEnergy」によって、IEC-104に準拠するリモート端末装置が標的とされ、欧州、中東、アジアにある電力送電と流通に関する機器メーカーが攻撃された。 |
|---|
| 被害額 | 不明(予想:数百万ドル~数千万ドル程度) |
|---|
攻撃者
| 攻撃者名 | ロシアのサイバーセキュリティ企業Rostelecom-Solar、またはその関連企業 |
|---|
| 攻撃手法サマリ | マルウェア「CosmicEnergy」による攻撃。被害者ネットワークに侵入し、Piehop disruptionツールを使用して、MSSQLサーバーを侵害、IEC-104に準拠するリモート端末装置を制御。マルウェアはPythonベースであり、OTプロトコルの実装にオープンソースライブラリを使用し、過去に攻撃で使用された別のOTマルウェアであるIndustroyerやIndustroyer.V2、IronGate、Triton、Incontrollerなどと類似している。マルウェアの実際の起源は不明。 |
|---|
| マルウェア | CosmicEnergy |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-25 14:53:00 被害状況
| 事件発生日 | 不明(記事の公開日:May 25, 2023) |
|---|
| 被害者名 | ゲーム企業、ゲームサーバー提供業者、オンラインストリーマー、ゲームコミュニティのその他のメンバー |
|---|
| 被害サマリ | Dark Frostと呼ばれるボットネットによるDDoS攻撃 |
|---|
| 被害額 | 不明(予想:数十万ドル~数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明。報道によると、初心者のサイバー犯罪者が既に存在しているマルウェアを使用して簡単に攻撃を仕掛けている。 |
|---|
| 攻撃手法サマリ | Dark FrostボットネットによるDDoS攻撃。 |
|---|
| マルウェア | Mirai、Gafgyt、QBotなどの他のマルウェアのソースコードを盗んで構築された独自のボットネットである。マルウェア名は明らかにされていない。 |
|---|
| 脆弱性 | 明らかにされていない。 |
|---|
vulnerability 2023-05-25 14:43:00 エラーが発生しました。 記事ファイル名:../articles/20230525 144300_e8fd84e140f42aabd58a18b4a4b16620d500a6e07864d2548d46dfb95611accf.json Rate limit reached for default-gpt-3.5-turbo in organization org-PDjTjwhcHnqfPcVafyu3bypY on tokens per min. Limit: 90000 / min. Current: 88346 / min. Contact us through our help center at help.openai.com if you continue to have issues. <> security_news_matomerukun.py:81
other 2023-05-25 14:04:02 記事タイトル:What’s a Double-Blind Password Strategy and When Should It Be Used
この記事では、パスワードセキュリティの問題がどのように進化しているかや、その対策について説明されている。パスワードマネージャーを使うことでより高いセキュリティを確保できる旨が述べられているが、パスワードマネージャー自体が攻撃対象になることもあるため、より安全な対策として二重盲目のパスワード戦略が紹介されている。
具体的には、複雑なパスワードをパスワードマネージャー内で管理し、短いピンコードや単語を自分で覚えておいて、それをパスワードと合わせてログインに使用する方法が紹介されている。これにより、パスワードマネージャーに保存されたパスワード情報が盗まれた場合でも、完全にアクセスを奪われることはなくなるという。
ただし、すべてのサイトに対応できるわけではなく、またパスワードの管理方法によってはうまく機能しない場合もあり、利便性とセキュリティのバランスを考慮する必要があるとされている。加えて、パスワードマネージャーを共有している場合や、あるいはオンボーディングやオフボーディングの際にパスワードを変更する必要がある場合など、運用上の課題もあるとされている。- 「Double-Blind Password Strategy」は、パスワードマネージャーに生成された複雑な長いパスワードと、短いユニークな識別子(例えばPINコードや単語)を個人で保管し、サービスやウェブサイトにアクセスする際にパスワードマネージャーを使用して長いパスワードを入力し、識別子を追加する方法である。
- この方法は、ユーザーが完全に採用している場合に限り効果的である。
- この方法は、簡単に傍受しやすいような短い、シンプルなパスワードではなく、複雑で長いパスワードを使うことによって、より強力なパスワード保護を提供できる。
- 他にも、最小12文字のパスワード長のNIST 800-63Bガイドラインに従い、パスワードの末尾に「guard」という5文字の単語を追加する方法もある。
- しかし、「Double-Blind Password Strategy」には欠点もある。ユーザーが使えるアルファベットが制限される場合があり、利用可能性には妥協を強いられる可能性がある。また、最大16文字のパスワードを要求するウェブサイトには、上記の方法が適用不能であることがある。
incident 2023-05-25 13:47:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 医療機関(詳細不明) |
|---|
| 被害サマリ | 医療機関内のWindows XPおよびWindows 7の古いシステムにCynetプロテクションが導入されていたが、USBキーにマルウェアが感染していたため、感染した画像がWindows 7の機械に送信された。しかし、Cynetプロテクションによってマルウェアが発見、隔離され、実行されることはなかった。 |
|---|
| 被害額 | 不明(予想:情報漏えいの可能性があるため、経済的影響は大きい) |
|---|
攻撃者
| 攻撃者名 | 不明(国籍や詳細不明) |
|---|
| 攻撃手法サマリ | USBキーを介したマルウェア感染 |
|---|
| マルウェア | 不明(記事中に明確な名称は記載されていない) |
|---|
| 脆弱性 | Windows XPおよびWindows 7の古いシステム |
|---|
incident 2023-05-25 13:39:00 被害状況
| 事件発生日 | 2023年5月25日 |
|---|
| 被害者名 | United Arab Emirates (UAE)に関連する未公開の政府機関 |
|---|
| 被害サマリ | 疑わしいイランの攻撃者が、PowerExchangeと呼ばれるバックドアを使用して、被害者のMicrosoft Exchange Serverに侵入した。攻撃は、電子メールフィッシングを利用して初期アクセス経路を確立し、ZIPファイル添付ファイルに含まれる.NET実行可能ファイルを実行することによって侵入した。PowerExchangeは、PowerShellで書かれており、メールに添付されたテキストファイルを使用してC2通信を行う。被害者のExchange Serverに接続するためにドメイン資格情報をどのように入手したかは現在不明である。Exchange ServerからのC2通信は、忍び足のように浸透するため、ほとんどすべてのネットワークベースの検出および対策を回避することができる。 |
|---|
| 被害額 | 不明(予想:数十万ドル~数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 疑わしいイランの脅威係数 |
|---|
| 攻撃手法サマリ | 電子メールフィッシングとPowerShellを利用したバックドアの使用 |
|---|
| マルウェア | PowerExchange |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-25 13:31:55 脆弱性
| CVE | CVE-2023-33009, CVE-2023-33010 |
|---|
| 影響を受ける製品 | ZyxelのいくつかのファイアウォールとVPN製品 |
|---|
| 脆弱性サマリ | 脆弱性は2つのバッファオーバーフローに存在し、認証なしで攻撃者が利用でき、DoSおよびリモートコード実行を引き起こす可能性がある。 |
|---|
| 重大度 | 高 (10.0) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
ZyxelのいくつかのファイアウォールとVPN製品には、CVE-2023-33009とCVE-2023-33010のバッファオーバーフローの脆弱性が存在し、認証なしで攻撃者が利用でき、DoSおよびリモートコード実行を引き起こす可能性がある。Zyxelはこの脆弱性に対するパッチをリリースしている。影響を受ける製品は、Zyxel ATP、USG、VPN製品、Zyxel ZyWALL/USGにおけるすべてのファームウェアバージョンである。Zyxelは、ユーザーが最新のセキュリティアップデートを適用することを推奨している。
incident 2023-05-25 11:32:00 被害状況
| 事件発生日 | 2021年以降 |
|---|
| 被害者名 | ポルトガルの金融機関 |
|---|
| 被害サマリ | ブラジル人ハッカーが長期間にわたりポルトガルの金融機関をターゲットに、情報窃取マルウェアPeepingTitleを使用して不正アクセスを試みた。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | ブラジル人ハッカー |
|---|
| 攻撃手法サマリ | フィッシングメールと偽のソフトウェアインストーラによるマルウェア感染を行い、PeepingTitleマルウェアで攻撃を実行した。 |
|---|
| マルウェア | PeepingTitle、Maxtrilha |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-25 11:31:51 1. ChatGPTに接続問題が発生したことがOpenAIによって確認されました。
2. DownDetectorによると、米国、欧州、インド、日本、オーストラリアなど、世界中の多くのユーザーが現在、この問題に直面しています。
3. このアウトージは、過去45分以内に発生したものです。
4. Mayank Parmar氏が報告している本件に関する記事が掲載されています。
5. ChatGPTをより効果的に使用するためのコース契約、Microsoft Bingが検索結果にChatGPTの回答を導入、OpenAIが報奨金プログラムを発表するなど、ChatGPTの周辺情報も提供しています。
出力:
- ChatGPTに接続問題が発生したことがOpenAIによって確認されました。
- DownDetectorによると、米国、欧州、インド、日本、オーストラリアなど、世界中の多くのユーザーが現在、この問題に直面しています。
- このアウトージは、過去45分以内に発生したものです。
- Mayank Parmar氏が報告している本件に関する記事が掲載されています。
- ChatGPTをより効果的に使用するためのコース契約、Microsoft Bingが検索結果にChatGPTの回答を導入、OpenAIが報奨金プログラムを発表するなど、ChatGPTの周辺情報も提供しています。
incident 2023-05-25 11:00:00 被害状況
| 事件発生日 | 不明(2021年から) |
|---|
| 被害者名 | ActivoBank、Caixa Geral de Depósitos、CaixaBank、Citibanamex、Santander、Millennium BCP、ING、Banco BPI、Novobancoなど、30のポルトガル政府および民間金融機関 |
|---|
| 被害サマリ | ブラジルのハッキンググループによって、40以上の脅威が配布された。攻撃手法には、Energias de Portugal、Portuguese Tax and Customs Authority(AT)を装ったフィッシングメール、ソーシャルエンジニアリング、偽装されたサイトが使用された。この攻撃は、Sentinel Labsによる報告で明らかになった。また、被害者が金融機関を選択した場合、Bando de Seguranca (BDS)やRedeBancoなどの偽の認証済みページに誘導され、口座情報を盗まれる。この攻撃は、"Operation Magalenha"と呼ばれている。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | ブラジルのハッキンググループ |
|---|
| 攻撃手法サマリ | Energias de Portugal、Portuguese Tax and Customs Authority(AT)を装ったフィッシングメール、ソーシャルエンジニアリング、偽装されたサイトが使用され、クレデンシャル情報が盗まれる。攻撃者は、'PeepingTitle'バックドアを各被害者システムに注入することにより、被害者システムで様々な操作を実行し、銀行口座の乗っ取りなどを行った。 |
|---|
| マルウェア | 'PeepingTitle'バックドア |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-25 10:50:00 1. ブラウザーセキュリティプラットフォームのLayerXが、2023年5月25日にForresterのシニアアナリストであるPaddy Harringtonをゲストスピーカーに迎え、ウェビナーを開催する。
2. このウェビナーでは、ブラウザーセキュリティに関する最新情報や各種解決策のメリット/デメリットなど、セキュリティ担当者やIT関係者が新しい脅威にどのように対応すべきかが説明される。
3. ブラウザセキュリティの理解は、現在のデジタル空間において極めて重要であり、これにより、組織は認証されていないアクセス、悪意のあるコンテンツ、その他のセキュリティ上の脅威から保護される。
4. ブラウザーセキュリティを投資することで、組織はコストを節約し、従業員のためにより安全かつユーザーフレンドリーなウェブブラウジング体験を提供できる。
5. このウェビナーは、セキュリティの意思決定者、ITプロフェッショナル、セキュリティアナリスト、および組織の機密情報を保護する責任がある人々を対象としている。
incident 2023-05-25 10:40:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Buhtiランサムウェアは、WindowsとLinuxシステムに対して攻撃を行うカスタムペイロードから、LockBitとBabukのランサムウェア・ファミリーに鞍替えしたとSymantecがレポートしました。そして侵入すると、特定の拡張子を持つファイルを盗み、暗号化する前にZIPアーカイブにする、Goで書かれたカスタム情報窃取ツールを使用しています。 |
|---|
| 被害額 | 不明(予想:被害の大きさによる) |
|---|
攻撃者
| 攻撃者名 | Blacktail |
|---|
| 攻撃手法サマリ | カスタム情報窃取ツールを使用して特定の拡張子を持つファイルを盗み、暗号化前にZIPアーカイブにする、「特定の脆弱性を狙った攻撃」 |
|---|
| マルウェア | LockBit 3.0とBabukの改造バージョン |
|---|
| 脆弱性 | Zoho ManageEngine製品(CVE-2022-47966)、IBMのAspera Faspexファイル交換アプリケーション(CVE-2022-47986)、PaperCut(CVE-2023-27350) |
|---|
incident 2023-05-25 10:00:00 エラーが発生しました。 記事ファイル名:../articles/20230525 100000_fc2249deb05cd7e9f7944114d236d28f91521692708b4b88a824fe42ced2149f.json That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 07a5642b21cb60d45fae6a70d4828101 in your message.) <> security_news_matomerukun.py:81
incident 2023-05-25 08:28:00 被害状況
| 事件発生日 | 2021年6月以降|不明 |
|---|
| 被害者名 | アメリカ合衆国およびグアムのクリティカルインフラストラクチャー関連組織 |
|---|
| 被害サマリ | 中国のステルスグループ、Volt Typhoonによるサイバー攻撃により、通信、製造、公益事業、交通、建設、海運、政府、情報技術、および教育のセクターが標的になっている。攻撃は、Espionageを目的としており、被害には機密情報が含まれる。攻撃により、アジア地域と米国間の重要な通信インフラが妨害される可能性がある。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 中国 |
|---|
| 攻撃手法サマリ | Volt Typhoonは、既存のツールを利用することで侵入足跡を目立たなくしており、LOLBinsを活用してネットワークにバックドアアクセスするなど、適度な精度で活動を行っている。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Fortinet FortiGuardデバイスの脆弱性 |
|---|
incident 2023-05-25 07:26:38 被害状況
| 事件発生日 | 2023年5月25日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 一部の32ビットアプリケーションが、Windows 11 21H2および22H2、およびWindows 10 21H2および22H2でファイルを保存またはコピーする際に、頻繁に失敗する問題が報告された。 |
|---|
| 被害額 | 不明(該当しない) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-25 06:03:00 被害状況
| 事件発生日 | 2023年5月25日 |
|---|
| 被害者名 | イスラエルの組織 |
|---|
| 被害サマリ | イラン国営のハッカーグループであるAgriusが、新しいランサムウェアであるMoneybirdを使用する攻撃を実行した。ランサムウェアにより、"F:\User Shares"フォルダ内の機密ファイルが暗号化され、24時間以内に連絡が無い場合には情報が漏洩するとされた。 |
|---|
| 被害額 | (不明) |
|---|
攻撃者
| 攻撃者名 | Agrius |
|---|
| 攻撃手法サマリ | インターネットに公開されたウェブサーバー内の脆弱性を利用し、攻撃を行った。また、公知のツールを使用して被害環境内の調査、横断、資格情報の収集、及びデータの外部への流出を行った。 |
|---|
| マルウェア | Moneybird |
|---|
| 脆弱性 | インターネットに公開されたウェブサーバー内の脆弱性 |
|---|
vulnerability 2023-05-25 05:45:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | Googleが開発したGUACで安全なソフトウェアサプライチェーンを実現 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
Googleは、ソフトウェアサプライチェーンを安全にするために作成されたオープンソースのフレームワークであるGUAC(Graph for Understanding Artifact Composition)の0.1 Betaバージョンを開発し、APIとして開発者が自分たちのツールとポリシーエンジンを統合できるように、公開した。GUACは、SBOM文書、SLSA証明、OSV脆弱性フィード、deps.dev、および企業の内部プライベートなメタデータなどを統合し、リスクプロファイルの詳細な可視化を可能にし、SBOM文書とアーティファクト、パッケージ、およびリポジトリの間の関係を可視化することで、ソフトウェアのセキュリティメタデータを集約してグラフデータベースにすることを目的としている。これにより、高度なサプライチェーン攻撃に対処し、パッチ計画を生成し、セキュリティ侵害に迅速に対応できるという。
incident 2023-05-24 22:38:37 被害状況
| 事件発生日 | 不明(2023年5月25日時点で攻撃は継続中) |
|---|
| 被害者名 | WordPressサイト1.5百万件以上 |
|---|
| 被害サマリ | Beautiful Cookie Consent BannerというプラグインにあるUnauthenticated Stored Cross-Site Scripting (XSS)の脆弱性が悪用され、攻撃者が不正なJavaScriptスクリプトを挿入したり、偽の管理者アカウントを作成したりできるようになった。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明(攻撃者国籍不明) |
|---|
| 攻撃手法サマリ | Beautiful Cookie Consent BannerというプラグインにあるUnauthenticated Stored Cross-Site Scripting (XSS)の脆弱性を悪用する攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Unauthenticated Stored Cross-Site Scripting (XSS)の脆弱性 |
|---|
incident 2023-05-24 20:43:37 被害状況
| 事件発生日 | 2021年中ごろから |
|---|
| 被害者名 | アメリカの重要インフラ機関、政府、海運、通信、製造業、IT関連企業、公共事業、交通、建設、教育など |
|---|
| 被害サマリ | 中国のサイバー攻撃グループ「Volt Typhoon」によりアメリカの重要インフラ機関を含む総合的な攻撃が行われた。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 中国のサイバー攻撃グループ「Volt Typhoon」 |
|---|
| 攻撃手法サマリ | 「living-off-the-land」と呼ばれる手法を用いた手動攻撃。PowerShell、Certutil、Netsh、Windows Management Instrumentation Command-line(WMIC)などのLOLBinsを使用している。 |
|---|
| マルウェア | 報告されていない |
|---|
| 脆弱性 | 報告されていない |
|---|
other 2023-05-24 19:25:45 エラーが発生しました。 記事ファイル名:../articles/20230524 192545_fb1e28288800bd65a31b833afb1daf80a074f1a2b23d64e55819464d91ddc2ec.json The server is overloaded or not ready yet. <> security_news_matomerukun.py:81
other 2023-05-24 19:17:19 エラーが発生しました。 記事ファイル名:../articles/20230524 191719_d23ddc5dd8781136e7730cf2b785cf3e8f16b464976c32e828e6cbb8cde0fadd.json The server is overloaded or not ready yet. <> security_news_matomerukun.py:81
other 2023-05-24 18:40:54 - Windows 11のMoment 3のアップデートがKB5026446としてリリースされた。
- このアップデートには、OneDriveのストレージ、Bluetooth LEオーディオ、およびさまざまな修正や更新など、22の変更、修正、機能が含まれる。
- Moment 3の新機能を有効にするには、Windows構成アップデートを別途インストールする必要がある。
- 実際の更新は、6月のプレビューアップデート時にデフォルトで有効化される予定である。
- これらのMoment 3機能の中には、VPNステータスアイコン、2要素認証コードコピー、タスクバー時計に秒数の表示、USB4ハブ、プレゼンスセンシング設定などがある。
other 2023-05-24 16:36:18 - マイクロソフトがWindows 10 KB5026435更新プログラムをリリース
- 新機能2つと修正18件を含む
- マイクロソフトの新しい「オプションの非セキュリティプレビューリリース」システムの一部
- オプションの更新プログラムであるため、手動で更新する必要がある
- Windows 10 22H2用の更新プログラムが公開されている。
incident 2023-05-24 16:28:28 被害状況
| 事件発生日 | 2023年5月24日 |
|---|
| 被害者名 | イスラエルの組織 |
|---|
| 被害サマリ | イランのサイバースパイ集団「Agrius」が、新しいランサムウェア「Moneybird」を用いて、イスラエルの組織を攻撃した。攻撃手法には、公開サーバーの脆弱性の悪用、ProtonVPNを介したノードの隠蔽、およびオープンソースツールを使用したネットワーク偵察、横方向移動、資格情報の窃取、およびデータの持ち出しが含まれる。ランサムウェアで暗号化されたファイルは、AES-256 with GCM(Galois/Counter Mode)を使用しているため、復号が非常に困難である。そのため、Agriusはビジネス妨害を目的としており、金銭を要求する代わりに、ファイルをロックダウンすることはほとんどなかった。実際、ランサム要求があまりに高額だったため、攻撃自体が破壊的なものとなった。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | イランのサイバースパイ集団「Agrius」 |
|---|
| 攻撃手法サマリ | 公開サーバーの脆弱性の悪用、ProtonVPNを介したノードの隠蔽、オープンソースツールを使用したネットワーク偵察、横方向移動、資格情報の窃取、およびデータの持ち出し。 |
|---|
| マルウェア | Moneybirdランサムウェア |
|---|
| 脆弱性 | 公開サーバーの脆弱性 |
|---|
incident 2023-05-24 15:42:25 被害状況
| 事件発生日 | 2023年5月20-21日 |
|---|
| 被害者名 | Barracudaのエンドユーザー |
|---|
| 被害サマリ | BarracudaのEmail Security Gateway (ESG)のセキュリティホールが悪用され、サブセットのメールゲートウェイ装置に不正アクセスされたとのこと。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ゼロデイ脆弱性を利用した攻撃とのこと。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | ESGのメールアタッチメントのスキャンモジュールに存在した脆弱性が攻撃に悪用されたとのこと。 |
|---|
incident 2023-05-24 13:49:00 被害状況
| 事件発生日 | 2023年5月24日 |
|---|
| 被害者名 | イスラエルの複数の運送、物流、金融サービス企業のウェブサイト |
|---|
| 被害サマリ | 「ウォータリングホール攻撃」と呼ばれる攻撃手法で、ウェブサイトに偽のスクリプトを仕込み、訪れたユーザーの情報を収集し、マルウェアを配信していた。 |
|---|
| 被害額 | 不明(予想:数十万ドルから数百万ドルの間) |
|---|
攻撃者
| 攻撃者名 | イランの不特定多数のハッカー(Tortoiseshellというグループが疑われている) |
|---|
| 攻撃手法サマリ | ウォータリングホール攻撃。偽のスクリプトを仕込んだウェブサイトを企業関係者が訪問した際に、情報を収集し、マルウェアを配信した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-24 10:51:00 この記事は、Static Application Security Testing(SAST)ソリューションの選択においてどのようにアプローチするかについて述べたものである。SASTは、アプリケーション開発の早い段階からコードをスキャンし、予期せぬ脆弱性が発生した際の修正作業や顧客へのリリース遅延を防ぐことができる。また、SASTは、アプリケーションセキュリティ戦略の重要な部分であり、優れたSASTソリューションはアプリケーションセキュリティプログラム全体を網羅する統合型のアプリケーションセキュリティプラットフォームとして提供されるべきである。SASTソリューションの選択に際しては、以下の点に注目する必要がある。
1. 企業のAppSecプログラムに適応可能であること
2. 柔軟性があり、スキャンエンジンの異なる結果を相関できること
3. 適切なルールやカスタムクエリを適用して正確な結果を提供できること
4. 開発者にとって理解しやすく、修正や改良が迅速に行えること
5. 主要なAPIの脆弱性を特定し、ビジネス価値に基づいて脆弱性を優先的に解決できること
6. DASTと組み合わせて、1つのプラットフォームで両者の機能が利用できること。
incident 2023-05-24 10:33:00 被害状況
| 事件発生日 | 2021年9月19日 |
|---|
| 被害者名 | アプリユーザー |
|---|
| 被害サマリ | Google Playストアにアップロードされたスクリーンレコーダーアプリ「iRecorder - Screen Recorder」に、個人情報を盗む機能が追加されていた。 |
|---|
| 被害額 | 不明(予想:情報漏洩被害のため、額は計測不可能) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | バージョニング |
|---|
| マルウェア | AhRat (AhMyth Android RAT (remote access trojan)のカスタマイズ版) |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-24 10:00:00 被害状況
| 事件発生日 | 2023年5月24日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Pythonベースのハッキングツール "Legion" がアップグレードされ、SSHサーバーと関連するDynamoDBとCloudWatchのAWS資格情報を侵害する能力を持ちました。 |
|---|
| 被害額 | 不明(予想:データ漏洩による被害が主なため、金銭的被害は限定的であったと考えられる) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Legionと呼ばれるPythonベースのハッキングツールを使用することで、被害者のSSHサーバーを侵害することができました。 |
|---|
| マルウェア | Legion(Pythonベースのハッキングツール) |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-24 07:30:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 北朝鮮の国家支援を受けているLazarus Groupが、Microsoft Internet Information Services(IIS)サーバーの脆弱性を悪用してマルウェアを配置するサイバー攻撃を行った。 |
|---|
| 被害額 | 不明(予想:数千万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Lazarus Group(北朝鮮関連の国家支援グループ) |
|---|
| 攻撃手法サマリ | IISサーバーの脆弱性を悪用して、DLL side-loadingテクニックを使用してマルウェアを配置した。 |
|---|
| マルウェア | ASECによって"msvcr100.dll"と特定されたマルウェア。似たようなバックドアがASECによって既に発見されていた。 |
|---|
| 脆弱性 | Microsoft Internet Information Services (IIS)サーバーの脆弱性 |
|---|
incident 2023-05-24 06:54:00 被害状況
| 事件発生日 | 2023年5月24日 |
|---|
| 被害者名 | ウクライナの政府機関 |
|---|
| 被害サマリ | スパイ活動を目的としたサイバー攻撃による侵入。フィッシングメールを使用し、感染したシステムに様々なマルウェアを展開。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明。洗練された攻撃手法を駆使している。 |
|---|
| 攻撃手法サマリ | フィッシングメールによる攻撃で、マクロによるマルウェアの配信を行っている。 |
|---|
| マルウェア | LOGPIE(キーロガー)、CHERRYSPY(リモートからコマンドを実行可能なPythonベースのバックドア)、STILLARCHまたはDownEx(指定された拡張子のファイルを外部に持っていくためのツール)。 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-23 23:43:27 1. MicrosoftがWindows CopilotというAIアシスタントを発表した。
2. Windows Copilotは、Bing Chatなどのプラグインを組み合わせたもので、コピー/ペーストやSnap Assist、Snipping Tool、パーソナライゼーションなどの機能を強化し、コンテンツの書き換えや要約、説明が可能。
3. Windows Copilotは、シンプルで直感的に使用でき、タスクバー上にボタンがあるため、アプリケーション、プログラム、ウィンドウをまたいでコンシステントに使用できる。
4. Windows 11のプレビュー版が6月にリリースされる予定で、ユーザーはアップデートを待つことが勧められている。
5. Bing Chatや他のプラグインとの統合により、Windows CopilotはAI機能を強化し、Windowsエコシステムとのインタラクションを簡略化することで、ユーザーの生産性を向上させる。
other 2023-05-23 22:53:24 - GoldenJackalというAPTグループが2019年以降、アジアの政府や外交機関をスパイ活動の対象にしていることがKasperskyの報告から明らかになった。
- GoldenJackalは被害者を選定し、攻撃数を最小限に抑えることでかなりの低いプロファイルを維持している。
- 攻撃の手法は不明だが、リモートテンプレートインジェクションテクニックを利用した悪意のあるドキュメントを使用したフィッシング攻撃や、トロイの木馬などが使われていると見られる。
- GoldenJackalは、カスペルスキーによればカスペルスキーで報告されているTurlaとのコードと技術的手法の類似性があるも、別のアクティビティクラスターとして追跡されている。
- GoldenJackalは数少ない被害者に対して、非常に高い能力を持つマルウェアツールを使って長期間のスパイ活動を行っている。
other 2023-05-23 21:46:08 1. MicrosoftはWindows 11にRAR、7-Zip、GZアーカイブのネイティブサポートを追加する。
2. これにより、Windowsユーザーはこれまでに必要だったサードパーティアプリケーションのインストールを必要としなくなる。
3. WindowsおよびLinuxの統合度が高まるにつれて、gZおよびTARなどの共通のLinuxアーカイブ形式のサポートが役立つことが予想される。
4. このアーカイブ形式のサポートは、Windows 11ユーザーに「ワークインプログレス(進行中)」のアップデートとして順次提供される予定。
5. このアーカイブ形式のサポートによって利用できるアーカイブファイルは、圧縮中の機能に改善が加えられる。
other 2023-05-23 21:17:12 - MicrosoftがPowerToysを2つの新しいツールで更新
- 新しいツールの1つである「Mouse Without Borders」は、1つのマウスとキーボードで最大4台のコンピュータを制御できるようになった
- 「Mouse Without Borders」では、ファイルをドラッグアンドドロップで転送したり、テキストと画像のクリップボードの内容をすべての管理されたPC間で共有したりできる
- もう1つの新しいユーティリティ「Peek」は、Docxファイル、PDFファイル、Markdownファイル、画像ファイルをプレビューすることができる
- PowerToys 0.70は、Peekの他にも、数多くのPowerToysの改良と、アップグレード時に設定がクリアされることがある問題に対処する改良が含まれている。
other 2023-05-23 18:25:02 - Microsoftは、Windows 11、バージョン21H2の2023年5月のオプションの累積更新であるKB5026436をリリースし、オーディオとプリンターのインストールの問題を修正しました。
- この更新では、プリンターが自動的にWi-Fiに接続されたときにインストールの際に一部のプリンターが遭遇する問題に対処しています。
- 更新には、パスワードの有効期限の問題、スマートカードが必要な対話型ログインを使用するアカウントの設定に関する問題などの修正が含まれています。
- この月次の「C」更新はオプションであり、Patch Tuesdayリリースとは異なり、セキュリティ関連の修正は含まれていません。
- KB5026436をインストールするには、ユーザーは設定>Windowsアップデートに移動し、更新を確認した後に「ダウンロードしてインストール」ボタンが表示されます。
incident 2023-05-23 16:38:11 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | なし |
|---|
| 被害サマリ | 北朝鮮政府による、海外企業に潜入したITワーカーによる詐欺行為及びサイバー攻撃での収益を、北朝鮮の武器開発プログラム資金調達に使用していたことが判明 |
|---|
| 被害額 | (不明) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮政府による |
|---|
| 攻撃手法サマリ | 詐欺行為とサイバー攻撃 |
|---|
| マルウェア | 報道には記載なし |
|---|
| 脆弱性 | 報道には記載なし |
|---|
incident 2023-05-23 16:02:04 被害状況
| 事件発生日 | 2023年5月20日 |
|---|
| 被害者名 | Rheinmetall AG |
|---|
| 被害サマリ | ドイツ自動車・兵器メーカーのRheinmetall AGが、同社の民間部門に影響を及ぼしたBlackBastaランサムウェア攻撃を受けた。攻撃者は、盗んだ情報のサンプルを含め、情報を披露するスクリーンショットを公開した。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | BlackBastaランサムウェア攻撃グループ |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | BlackBasta |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-23 15:30:00 被害状況
| 事件発生日 | 2023年5月23日 |
|---|
| 被害者名 | 中東と南アジアの政府および外交機関 |
|---|
| 被害サマリ | 新たな高度な脅威者グループ"GoldenJackal"が特定国家の政府と外交機関に対して特化した攻撃を行っており、個人情報の窃取、機密情報の盗用、監視を行っている。 |
|---|
| 被害額 | 不明(予想:数百万ドルから数千万ドル) |
|---|
攻撃者
| 攻撃者名 | グループ名:GoldenJackal |
|---|
| 攻撃手法サマリ | ターゲットに合わせたマルウェアを用いて、ステルス性の高い監視・情報窃取を行っている。 |
|---|
| マルウェア | JackalControl、JackalSteal、JackalWorm、JackalPerInfo、JackalScreenWatcher |
|---|
| 脆弱性 | Skypeインストーラーおよび、Microsoft Wordの脆弱性「CVE-2022-30190」を悪用している。 |
|---|
incident 2023-05-23 15:22:45 被害状況
| 事件発生日 | 2018年2月 |
|---|
| 被害者名 | オックスフォードの企業 |
|---|
| 被害サマリ | 企業がランサムウェア攻撃を受け、被害額が記事にはないが社員が自分の利益のために企業を脅迫した。 |
|---|
| 被害額 | (予想) |
|---|
攻撃者
| 攻撃者名 | 社員のAshley Liles |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃と、社員による内部での別の攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-23 15:00:00 - MicrosoftがWindows 11の「Moment 3」アップデートを発表し、新機能を提供。
- Windows 11の更新は「Moments」としてのアップデートプロセスを導入。
- Moment 3アップデートはプライバシー設定を強化し、VPN機能を追加。
- セキュリティに関して、Microsoft PlutonセキュリティプロセッサをAMDシステムに拡張。
- バッジ機能、音声コンテンツのアクセシビリティ機能、ウィジェットの改善など、さまざまな機能改善が含まれている。
other 2023-05-23 15:00:00 - Windows 11の'22H2 Moment 3'アップデートがリリースされ、プライバシー設定の向上やVPN機能の追加など、新機能が導入された。
- Windows 11はWindows 10と異なり、1年に1回の大規模機能アップデートしか行われないが、'Moments'と呼ばれる新しい更新プロセスが導入され、定期的に新機能を提供する。
- Moment 3アップデートは、アプリのプライバシー設定が追加され、VPNステータスがタスクバーに表示されるVPNアイコンで確認できるようになるなど、プライバシーやセキュリティに特に注力する。
- その他の更新点には、Startメニューのアカウントバッジング、10か国語追加されたライブキャプション機能、Bluetooth® Low Energy Audioの導入などがある。
- このアップデートによって、MicrosoftはWindows 11ユーザーに対し、より使いやすく安全なエクスペリエンスを提供することを表明している。
incident 2023-05-23 14:53:07 被害状況
| 事件発生日 | 2022年8月[不明] |
|---|
| 被害者名 | Google Play Storeのユーザー[不明] |
|---|
| 被害サマリ | 50,000回以上のインストールがあった偽スクリーン録画アプリ「iRecorder - Screen Recorder」に、AhRatと呼ばれるリモートアクセス・トロイの木馬(RAT)が隠されており、ユーザーをマルウェア感染させたおそれがある。被害にあったユーザーは、支援開発者に他のアプリにもマルウェアが存在しないことを確認するよう呼びかけられている。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | [不明] |
|---|
| 攻撃手法サマリ | Google Play Storeに、偽スクリーン録画アプリをリリースして、50,000回以上のダウンロード数を稼ぎ、ユーザーにマルウェアを感染させた。 |
|---|
| マルウェア | AhRat(RAT)。オープンソースのAndroid RATであるAhMythを基にしており、音声記録、通話履歴、連絡先、テキストメッセージ、SMS送信、写真、バックグラウンド音声の録音など多くの機能がある。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-23 13:56:00 被害状況
| 事件発生日 | 2023年5月23日 |
|---|
| 被害者名 | 情報サービスや北朝鮮の脱北者を支援する組織 |
|---|
| 被害サマリ | 北朝鮮のAPTグループKimsukyが、Reconnaissanceキャンペーンの一環としてカスタムマルウェア「RandomQuery」を使用し、情報の偵察および抽出を行っている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | Kimsuky(北朝鮮) |
|---|
| 攻撃手法サマリ | フィッシングメールによる攻撃 |
|---|
| マルウェア | RandomQuery、FlowerPower、AppleSeed |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-23 13:54:35 被害状況
| 事件発生日 | 2023年5月14日 |
|---|
| 被害者名 | Philadelphia Inquirer(フィラデルフィア・インクワイアラー) |
|---|
| 被害サマリ | 新聞の配信が一時的に中断され、ビジネスに一部影響が出たサイバー攻撃。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Cuba ransomware gang |
|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-23 11:16:00 1. 「The Hacker News」というサイバーセキュリティに関する信頼できるプラットフォームがある。
2. 2023年の「State of Secrets Sprawl Report」で、ハードコードされたシークレットの発見数が前年比67%増加し、2022年には1,000万件のシークレットが検出されたことが示された。
3. シークレットの過剰な配布は、APIトークンやプライベートキーといったシステムを繋ぐ重要な役割を担うが、ハッキングのリスクを高める。
4. アプリケーションセキュリティにおいて、公開されている情報は鍵となるため、開発者はより厳密なセキュリティ規定を採用しなければならない。
5. 「The Hacker News」では、この課題について記事を提供している。
incident 2023-05-23 11:11:00 被害状況
| 事件発生日 | 2020年5月以降 |
|---|
| 被害者名 | 中東地域の不特定多数の組織 |
|---|
| 被害サマリ | 中東地域を標的にしたマルウェア攻撃により、Windowsのカーネルドライバーに不正なローダーを作成し、攻撃者による操作を可能にするマルウェア「WINTAPIX (WinTapix.sys)」が発見された。 |
|---|
| 被害額 | 不明(予想:情報漏えいにより不特定多数の団体・個人が被害を受けている可能性があるため、莫大な額と予想される) |
|---|
攻撃者
| 攻撃者名 | 不明(報告書はイランのサイバー攻撃グループに対して低い確信度を示唆している) |
|---|
| 攻撃手法サマリ | Windowsのカーネルドライバーによって、不正なローダーを作成し、攻撃者による操作を可能にするマルウェアを実行する。また、マルウェア自体も多段階攻撃により機能を拡大する。 |
|---|
| マルウェア | 「WINTAPIX (WinTapix.sys)」 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-23 06:47:00 1. 中国がマイクロンを禁止:国家安全上の問題を引用(中国の規制当局によれば、マイクロンの製品に「深刻なサイバーセキュリティ上の問題」という理由で、中国の重要なインフラプロジェクトに関わる企業への製品販売を禁止すると発表)。
2. マイクロンは、次のステップを評価するための結論に向けて対応中。
3. これは、中国と米国の間にある地政学的緊張の中で、相手側による同様の措置の反映でもある。
4. 注目すべき他のニュース:サムスンデバイスが攻撃の標的となっていること。Webkitが攻撃され、3つの新しいゼロデイ脆弱性が判明。米国の政府が悪名高いロシアのランサムウェアオペレーターの逮捕に1,000万ドルの懸賞金を提示。MongoDBのエクスプロイトにより、メンバーパスワードを回収することができる。
5. The Hacker Newsは、信頼できるサイバーセキュリティニュースプラットフォームであり、300万以上のフォロワーに愛されている。
vulnerability 2023-05-22 21:18:38 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Androidアプリケーション(Android OSを含む) |
|---|
| 脆弱性サマリ | Googleが発行した自社アプリケーションに見つけた脆弱性を報告すると報酬が得られる |
|---|
| 重大度 | 高 |
|---|
| RCE | 有(リモートでのコード実行に最大30,000ドルの報酬が支払われる) |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-22 20:11:05 被害状況
| 事件発生日 | 2023年5月22日 |
|---|
| 被害者名 | Microsoft 365の利用者 |
|---|
| 被害サマリ | Microsoft 365のアカウントへのアクセス障害およびインストール済みアプリへのアクセス阻害 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | サービス障害による攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-22 18:23:45 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ALPHVランサムウェアグループ(別名BlackCat)が、セキュリティソフトウェアの検知を回避するために署名された悪意のあるWindowsカーネルドライバを使用していることが観察されました。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | ALPHVランサムウェアグループ(別名BlackCat) |
|---|
| 攻撃手法サマリ | 悪意のあるWindowsカーネルドライバを使用して、セキュリティソフトウェアの検知を回避する |
|---|
| マルウェア | ALPHVランサムウェア(ブラックキャット) |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-22 18:14:54
- Twitterで拡散されたペンタゴン(米国国防総省)近くの爆発を描いた高度に現実的なAI生成イメージは、株式市場を一時的に下げさせた。
- 爆発を描いた写真は、ロシアの国営メディアのアカウントを含む多数の認証済みのTwitterアカウントによって大幅に増幅された。
- このバイラル画像は最初の glance で実際のように見えたが、人工知能を使用して生成された証拠がたくさんあり、全体的にはねつ造だと証明された。
- Twitterは偽のBloombergアカウントを現在停止している。
- Twitter Blueは2023年3月23日以降、世界中で利用可能であり、8ドル/月を支払うことで誰でもアカウントを確認できるようになっている。
incident 2023-05-22 17:48:00 被害状況
| 事件発生日 | 2023年5月22日 |
|---|
| 被害者名 | Meta(Facebookの親会社) |
|---|
| 被害サマリ | Meta社が、欧州のユーザーの個人データを米国に転送していたことに対し、ヨーロッパのデータ保護規則(GDPR)に違反しているとして、欧州連合のデータ保護当局から約1.3億ドルの制裁金を課せられた。 |
|---|
| 被害額 | 約1.3億ドル |
|---|
攻撃者
| 攻撃者名 | 不明(Meta社自体が違反した) |
|---|
| 攻撃手法サマリ | 欧州のユーザーの個人データを米国に転送することによるGDPR違反 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-22 16:49:21 被害状況
| 事件発生日 | 2023年5月22日 |
|---|
| 被害者名 | 4,888人 |
|---|
| 被害サマリ | 暗号通貨フィッシングや詐欺サービス『Inferno Drainer』が $5.9 millionの暗号通貨を4,888人から盗んだ。 |
|---|
| 被害額 | $5.9 million |
|---|
攻撃者
| 攻撃者名 | Inferno Drainer |
|---|
| 攻撃手法サマリ | 暗号通貨フィッシングや詐欺サービス |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-22 16:05:11 脆弱性
| CVE | CVE-2023-32409, CVE-2023-28204, CVE-2023-32373 |
|---|
| 影響を受ける製品 | iPhone 6s、iPhone 7、iPhone SE (1st generation)、iPod touch (7th generation)、iPhone 8 以降、iPad Air 2、iPad mini (4th generation)、iPad Pro (all models)、iPad Air 3rd generation 以降、iPad 5th generation 以降、iPad mini 5th generation 以降、Macs running macOS Big Sur、Monterey、Ventura、Apple Watch Series 4 以降、Apple TV 4K (all models) と Apple TV HD |
|---|
| 脆弱性サマリ | WebKitブラウザエンジンに存在する3つのゼロデイ脆弱性により、ブラウザセキュリティを回避し、攻撃者は侵害されたデバイス上の機密情報にアクセスし、何らかのコード実行を達成することができます。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 報告された攻撃使用例有り |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-22 16:05:00 被害状況
| 事件発生日 | 2021年11月 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | インドネシア出身の攻撃者グループが、Amazon Web Services(AWS)Elastic Compute Cloud(EC2)インスタンスを利用して暗号通貨採掘を行っていたことが発覚。 |
|---|
| 被害額 | 不明(予想:小額) |
|---|
攻撃者
| 攻撃者名 | GUI-vil |
|---|
| 攻撃手法サマリ | AWSのキーを武器化し、GitHubで公開されたソースコードのリポジトリ内にあるアクセスキーを使った初期アクセスを行っていた。また、GitLabインスタンスの脆弱性(CVE-2021-22205)を利用したスキャンも行っていた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2021-22205 |
|---|
vulnerability 2023-05-22 15:04:07 被害状況
| 事件発生日 | 2023年5月22日 |
|---|
| 被害者名 | Meta |
|---|
| 被害サマリ | Facebookが欧州連合(EU)市民からのデータを米国に転送し、EUのデータ保護規則に違反したため、アイルランドのデータ保護委員会によってMetaに13億ドルの罰金が科されました。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | データ転送 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
EUがMetaに13億ドルの罰金を課しました。EUは、GDPR(一般データ保護規則)の条項46(1)に違反しているとして、Facebookの親会社であるMeta Irelandに記録的な12億ユーロの罰金を科し、GDPR違反のあるすべてのデータ転送が決定から5か月以内に停止されるように要求しました。さらに、Metaは、EUから米国に違法に転送されたデータの処理または保持を、DPAの発表から6か月以内に停止する必要があります。
vulnerability 2023-05-22 14:02:04 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | AIベースのChrome拡張機能「Criminal IP Phishing scams link checker」が、不正なウェブサイトを即座にブロックし、Phishing、マルウェア、ランサムウェアから保護すると報じられた。 |
|---|
| 被害額 | 不明(予想:被害額は存在しない) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Phishing |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Chrome Extension "Criminal IP Phishing scams link checker" |
|---|
| 脆弱性サマリ | サイト上での悪意あるリンクを検出できるAIに基づくChrome拡張機能には、悪意のあるリンクに関する脆弱性が報告されていません。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
本記事は、AIによる悪意あるリンクを検出するためのChrome拡張機能についての紹介である。脆弱性は報告されていない。
incident 2023-05-22 12:47:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 個人、研究組織、外交官 |
|---|
| 被害サマリ | Bad Magic (またはRed Stinger)と呼ばれるハッカー集団が、ロシア・ウクライナ紛争地域の企業だけでなく、ウクライナ中西部の個人、研究組織、外交官にも攻撃を拡大した。攻撃には、CloudWizardという新しいモジュラーフレームワークが使用され、スクリーンショットの撮影、マイクロフォンの録音、キーストロークのログ、パスワードの盗難、Gmailの収集などの機能が含まれている。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Bad Magic (またはRed Stinger) |
|---|
| 攻撃手法サマリ | CloudWizardという新しいモジュラーフレームワークが使用され、スクリーンショットの撮影、マイクロフォンの録音、キーストロークのログ、パスワードの盗難、Gmailの収集などの機能が含まれている。 |
|---|
| マルウェア | PowerMagic(またはDBoxShellまたはGraphShell)、CommonMagic、CloudWizard、およびPrikormka |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-22 11:12:00 【記事のタイトル】
Are Your APIs Leaking Sensitive Data?
【配信日】
May 22, 2023
【記事の概要】
APIが悪用されることで、機密情報が漏洩することがある。この記事では、APIが悪用されるとどのような事態になるのか、APIの管理方法、規制遵守の重要性について述べられている。また、APIセキュリティプラットフォームという、 API発見、姿勢の管理、ランタイム保護、APIセキュリティテストの4つの柱によって構成されたものについて説明されている。API保護について具体的な対策をとるべきこと、コンプライアンスに対する戦略に言及されている。
incident 2023-05-22 07:01:00 被害状況
| 事件発生日 | 2023年5月18日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | イギリスのiSpoofオンライン電話番号偽装サービスを通じて、被害者が銀行や税務署等の公的な機関からの指示を受けたと思わせて送金や金融情報を詐取された。被害総額はイギリス内だけでも4800万ポンド(約59.8百万ドル)以上で、全球では1億ポンド(約1億2460万ドル)以上に上ると見積もられる。 |
|---|
| 被害額 | 不明(予想:1億2460万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明(イギリス国籍の犯罪者たち) |
|---|
| 攻撃手法サマリ | オンライン電話番号偽装サービスを利用して、銀行などの公的な機関から被害者に対して指示があったかのように見せかけて、金融情報や送金依頼を詐取していた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-22 06:33:00 脆弱性
| CVE | CVE-2023-32784 |
|---|
| 影響を受ける製品 | KeePassバージョン2.x(Windows、Linux、macOS) |
|---|
| 脆弱性サマリ | KeePassのカスタムテキストボックスの入力処理が原因で、メモリダンプからマスターパスワードが平文で復元できる |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | あり |
|---|
KeePassというパスワードマネージャーに、CVE-2023-32784という脆弱性が発覚した。カスタムテキストボックスの入力処理が原因で、メモリダンプからマスターパスワードを平文で復元できてしまう。そのため、KeePassバージョン2.xを使用している全てのWindows、Linux、macOSユーザーが影響を受ける可能性がある。攻撃者が既にターゲットのコンピューターに侵入し、キーボードから入力されたパスワードのみ復元できるため、注意する必要がある。PoCが公開されており、バージョン2.54がリリースされ次第、アップグレードすることを推奨する。
other 2023-05-21 23:09:42 - Microsoftが「Edge for Gamers」モードをリリースすると発表
- モードには、ゲーマーに合わせたゲーム専用のホームページが含まれ、エフィシエンシーモードが存在し、ブラウザのリソース使用率を最小限に抑えることにより、ゲームパフォーマンスを最大化する機能がある
- 投入される直前の段階であるため、モードの有効化はブラウザの体験を大きく変えることはない
- Microsoftはゲーマー向けのプロダクトと機能の提供に関心を持ち始めていると考えられる
- Mayank Parmar氏によって報じられた
other 2023-05-21 15:07:17 1. Googleは、個人のアカウントにおいて、2年間の非アクティブ期間の後、内容、設定、ユーザー保存データ、Gmail、ドキュメント、ドライブ、ミート、カレンダー、Googleフォト、YouTubeなどのすべてのサービスで保存されているデータとともに、アカウントを削除することを可能にする新しいポリシーを発表した。
2. 新しいポリシーは、学校や企業のような組織のGoogleアカウントには適用されない。
3. Googleは、古いパスワードや追加のセキュリティ対策がないことがしばしば原因であることから、未使用のアカウントは頻繁にアカウント乗っ取りの対象になるため、オンラインセキュリティを強化することを目的としている。
4. Googleアカウントを保持する場合は、2年ごとにメールの送信や受信、Googleドライブの使用、YouTube動画の視聴、Google Playストアでのアプリのダウンロード、Googleサーチの使用、Googleアカウントをサードパーティのアプリやサービスにサインインすることなど、アカウントを使用する必要がある。
5. Googleは、注意喚起を続け、バックアップアカウントを所有する人々は強力なパスワードを使用し、2段階認証を有効にし、回復情報を更新し、18ヶ月間非アクティブの後に何が起こるかを定義するInactive Account Managerツールを使用してすべてのデータをバックアップすることを勧めている。
incident 2023-05-21 14:12:24 被害状況
| 事件発生日 | 2023年5月21日 |
|---|
| 被害者名 | Androidユーザー |
|---|
| 被害サマリ | BrutePrintと呼ばれる新しい攻撃手法が、現代のスマートフォンの指紋認証をクラックしてデバイスを乗っ取ることができることが確認された。 |
|---|
| 被害額 | 不明(予想:不明) |
|---|
攻撃者
| 攻撃者名 | 不明(中国のTencent LabsとZhejiang大学の研究者によって発見) |
|---|
| 攻撃手法サマリ | 指紋認証のBrutePrintと呼ばれる攻撃手法 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 既存の攻撃手法に対する対策の不備(Cancel-After-Match-FailとMatch-After-Lockのゼロデイ脆弱性を悪用) |
|---|
incident 2023-05-21 08:58:00 被害状況
| 事件発生日 | 2023年5月20日 |
|---|
| 被害者名 | Python Package Index (PyPI)及びユーザー |
|---|
| 被害サマリ | コンピュータ技術者が使用するPythonプログラム言語の第三者ソフトウェアレポジトリであるPyPIにおいて、悪意のあるユーザーによる悪意のあるプロジェクトおよびマルウェアの作成・公開が検知され、新規ユーザーのサインアップおよび新規プロジェクトのアップロードが一時的に停止された。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | PyPIに悪意のあるプロジェクトおよびマルウェアを公開することによるソフトウェア供給チェーン攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-21 01:19:19 被害状況
| 事件発生日 | 2023年5月20日 |
|---|
| 被害者名 | PyPI(オープンソースPythonパッケージの公式サードパーティレジストリ) |
|---|
| 被害サマリ | 大量の悪意あるユーザーとプロジェクトが登録され、それに対処するため新規ユーザー登録とプロジェクトアップロードが一時的に停止された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 悪意あるユーザーとプロジェクトを登録してレジストリを乗っ取った可能性がある。 |
|---|
| マルウェア | カラーブラインドマルウェアや情報窃取マルウェアなど複数のマルウェアが利用された可能性がある。 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Python Package Index (PyPI) |
|---|
| 脆弱性サマリ | PyPIは大量のマルウェアに対応するため、新規ユーザー登録と新規プロジェクトのアップロードを一時的に停止している。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
脆弱性はPyPIにおける大量のマルウェアに対応するため、新規ユーザー登録と新規プロジェクトのアップロードが一時的に停止された。具体的なマルウェアや攻撃については明らかにされていない。
incident 2023-05-20 15:08:16 被害状況
| 事件発生日 | 記事に記載なし |
|---|
| 被害者名 | 一般ユーザー |
|---|
| 被害サマリ | CapCutの偽サイトからマルウェアをダウンロードしたユーザーが情報を盗まれる被害が発生した。 |
|---|
| 被害額 | 記事に記載なし |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | CapCutの偽サイトを作成し、マルウェアをダウンロードさせる手法を用いている。 |
|---|
| マルウェア | Offx Stealer、Redline Stealerなど複数のマルウェアが使用されている。 |
|---|
| 脆弱性 | 記事に記載なし。 |
|---|
other 2023-05-20 14:04:15 1. HPが5月初旬にリリースしたファームウェア・アップデートが、世界中のHP Office Jetプリンターの一部を機能停止にしている問題 (ブリッキング) を引き起こしている。
2. ファームウェア・アップデートによって影響を受けているのは、HP OfficeJet Pro 9022e、HP OfficeJet Pro 9025e、HP OfficeJet Pro 9020eAll-in-One、HP OfficeJet Pro 9025e All-in-One Printerを含むHP OfficeJet 902xモデル。
3. 問題が発生して以降、アメリカ、イギリス、ドイツ、オランダ、オーストラリア、ポーランド、ニュージーランド、フランスからの複数のユーザーから、彼らのプリンターで機能停止が発生したとの報告が数多く寄せられている。
4. HPは公式声明を出していないが、問題が生じた一部の顧客に対しては、'blue screen errors'を解決するために取り組んでいると説明している。
5. 'blue screen errors'を経験している顧客は、HPのカスタマーサポートに連絡するよう勧められている。
vulnerability 2023-05-20 13:06:20 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | NodeJS npmパッケージ |
|---|
| 脆弱性サマリ | npmパッケージに紛れたTurkoRATマルウェア(リモートアクセストロイアン) |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
注目すべきnpmパッケージに似せられた悪意のあるWindows実行可能ファイルが、TurkoRATトロイアンを向けた攻撃に含まれていた。3つのnpmパッケージには、間違いなく悪質なコードが含まれている。これらのパッケージは合計1,200回ダウンロードされており、NPMに2か月以上存在した。全てのnpmパッケージは削除されたが、これらが2か月以上も存在していたことは、オープンソースのウェブサイトでパッケージは随時追加されているため、サプライチェーンのセキュリティにリスクがあることを示している。
vulnerability 2023-05-20 13:06:20 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | npmパッケージの3つに含まれていたWindows用の実行ファイルが、Node.jsのアプリケーションにそっくりであるという手口で情報盗難マルウェアTurkoRATを配布していた。総ダウンロード数は約1,200回。 |
|---|
| 被害額 | 不明(予想:情報漏洩による被害額が発生していると考えられる) |
|---|
攻撃者
| 攻撃者名 | 不明(npmパッケージに潜んでいた攻撃者の特定は不可能と見られている) |
|---|
| 攻撃手法サマリ | Windows用実行ファイルの偽装/伪装による情報盗難マルウェア配布 |
|---|
| マルウェア | TurkoRAT |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | npm |
|---|
| 脆弱性サマリ | NPMパッケージがNode.jsライブラリに擬態してTurkoRATトロイの木馬を配布する |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-20 10:48:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 金融を狙ったマルウェア「Golden Chickens」が使用され、被害者から金融情報を収集していた。また、TerraCryptと呼ばれるランサムウェアのプラグインも使用されていた。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | ルーマニア人のJack(コードネーム) |
|---|
| 攻撃手法サマリ | フィッシングを用いた攻撃を行っていた。 |
|---|
| マルウェア | Golden Chickens(別名:More_eggs) |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-20 06:49:00 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | FIN7がCl0p(aka Clop)ランサムウェアを使用した攻撃を実行。この攻撃は、2021年後半以来の初のランサムウェアキャンペーンである。被害者の業種・規模は報道されていない。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | FIN7(Carbanak、ELBRUS、ITG14とも呼ばれる) |
|---|
| 攻撃手法サマリ | FIN7はランサムウェアファミリーの一つであるCl0pを使用した。攻撃には、POWERTRASHというPowerShellスクリプトが使用され、Lizarポストエクスプロイテーションツールがロードされ、ターゲットネットワークに足場を構築する。その後、OpenSSHおよびImpacketを使用して横方向に移動し、Clopランサムウェアを展開する。 |
|---|
| マルウェア | Clop |
|---|
| 脆弱性 | 報道されていない |
|---|
incident 2023-05-20 04:15:00 被害状況
| 事件発生日 | 2023年5月20日 |
|---|
| 被害者名 | Samsungデバイスのユーザー |
|---|
| 被害サマリ | 情報漏えいの可能性がある脆弱性がSamsungデバイスに存在し、攻撃者によって悪用された。 |
|---|
| 被害額 | (不明) |
|---|
攻撃者
| 攻撃者名 | (不明、商業スパイツールを利用した攻撃が過去に報告されている) |
|---|
| 攻撃手法サマリ | アドレス空間配置ランダマイゼーション(ASLR)を迂回するための特権アクセス攻撃。 |
|---|
| マルウェア | 報告されていない。 |
|---|
| 脆弱性 | CVE-2023-21492、ASLRを迂回する情報漏えいの脆弱性。 |
|---|
other 2023-05-19 20:27:18 1. セキュリティ関連の記事、ツール、チュートリアル、フォーラムなどを扱うWebサイトのトップページ。
2. 5月19日に公開されたランサムウェア(身代金要求型ウイルス)に関する記事の要約。
3. グループ名が「Abyss」のランサムウェア攻撃が、170億ドルの価値を持つ防衛企業L3Harrisを標的に。
4. 身代金要求型攻撃のロジックが変更され、Avastがデクリプタ (復号化ツール)をリリースしたことで、ランサムウェア攻撃「BianLian」は不正入手の脅しに切り替え。
5. 他に、新しいランサムウェアグループや攻撃、以前の攻撃の新しい展開、フォーラム参加者の貢献などの情報がある。
vulnerability 2023-05-19 19:07:51 脆弱性
| CVE | CVE-2023-21492 |
|---|
| 影響を受ける製品 | Samsung mobile devices running Android 11, 12, and 13 |
|---|
| 脆弱性サマリ | Android address space layout randomization (ASLR) protection bypassが可能 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
脆弱性CVE-2023-21492は、Samsungの製品に含まれるAndroid ASLR保護をバイパスする可能性があることを示す。2023年5月時点では攻撃は実際に発生しており、公式の脆弱性情報プラットフォームに登録されているため、最大度が設定されている。攻撃は、高い権限を持つローカル攻撃者によるもので、メモリ管理の問題を利用することができる。私的企業も、CISAが攻撃中に悪用されたバグリストに含まれる脆弱性の修正を優先的に対処することが強く推奨されている。
incident 2023-05-19 17:06:07 被害状況
| 事件発生日 | 2023年4月中旬 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | FIN7がClopランサムウェアをデプロイするためにPOWERTRASHとLizarを使用し、攻撃者がターゲットネットワーク内に足場を築きました。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | FIN7 |
|---|
| 攻撃手法サマリ | FIN7は、POWERTRASHとLizarを使用し、ターゲットネットワーク内に足場を築いた後、OpenSSHとImpacketを利用してClopランサムウェアをデプロイしています。 |
|---|
| マルウェア | Clopランサムウェア、POWERTRASH、Lizar、OpenSSH、Impacket |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-19 16:11:17 1. ASUSルーターが世界中でネットワーク接続性を失う問題が発生した。
2. 問題は、サーバー設定ファイルの構成に誤りがあったため、起こった。
3. ASUSは謝罪し、技術チームがサーバーの問題に対処したことを明らかにした。
4. ユーザーはASD用のファイルを削除することで問題を解決できるか、ファームウェアをアップデートし、問題を解決できる。
5. ASUSはユーザーに工場出荷状態にリセットしてサポートに連絡するよう勧めた。
incident 2023-05-19 15:34:57 被害状況
| 事件発生日 | 2023年2月23日 |
|---|
| 被害者名 | Dish Network |
|---|
| 被害サマリ | 2023年2月に発生したランサムウェア攻撃により、Dish Networkのウェブサイトやアプリがダウンし、社員とその家族の機密情報が漏えいした。被害者は被害額約29.7万人分の賠償と脆弱性対策に費用を支払うことになった。 |
|---|
| 被害額 | 不明(予想:数億円~10億円) |
|---|
攻撃者
| 攻撃者名 | 不明(ランサムウェア「Black Basta(ブラックバスタ)」が可能性あり) |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | Black Basta |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-19 13:37:23 被害状況
| 事件発生日 | 2021年に発生 |
|---|
| 被害者名 | Luxotticaの顧客7,000万人 |
|---|
| 被害サマリ | 2023年5月にデータベースがハッキングフォーラムに掲載され、そのデータには、対象者の名前、住所、注文履歴、メールアドレス、生年月日が含まれていた。 |
|---|
| 被害額 | 不明(予想:数億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不正なアクセスによるデータベースのリーク |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-19 12:28:00 プライバシー・サンドボックス・イニシアチブ:
| CVE | なし |
|---|
| 影響を受ける製品 | Chrome browser |
|---|
| 脆弱性サマリ | Googleは、Chromeブラウザでのサードパーティのクッキーのサポート停止に向けて2度遅らせた「Privacy Sandbox」イニシアチブを正式に開始する計画を発表しました。 |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
Googleは、Chromeブラウザでサードパーティのクッキーをサポート停止に向けて「Privacy Sandbox」イニシアチブを正式に開始する計画を発表しました。Googleは、2024年第1四半期にChromeユーザーの1%でサードパーティのクッキーの使用を停止することを意図しており、これに先立って、Googleは2023年第4四半期にサードパーティの開発者がユーザーの設定のサブセットを最大10%シミュレートできる機能を導入する予定です。Googleは、Chromeでサードパーティのクッキーを完全に停止することを目的としています。
vulnerability 2023-05-19 10:40:00 被害状況
| 事件発生日 | 2023年5月19日 |
|---|
| 被害者名 | npmパッケージをダウンロードした個人または組織 |
|---|
| 被害サマリ | npmパッケージに偽のアプリケーションが含まれ、1,200回以上ダウンロードされた。このパッケージにはTurkoRatという情報盗難型マルウェアが含まれており、ログイン資格情報やWebサイトのクッキー、暗号通貨ウォレットのデータなどの個人情報を収集できる。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | npmパッケージに偽のアプリケーションを含め、開発者に不正なコードをダウンロードさせるサプライチェーン攻撃 |
|---|
| マルウェア | TurkoRat |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | npmのnodejs-encrypt-agentとnodejs-cookie-proxy-agentパッケージ |
|---|
| 脆弱性サマリ | 開発者が使用するnpmのパッケージに、情報窃取マルウェアであるTurkoRatが紛れ込んでいる可能性がある。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
Node.jsのnpm package repositoryに登録されている2つの悪意あるパッケージ、`nodejs-encrypt-agent`と`nodejs-cookie-proxy-agent`に、情報窃取マルウェアであるTurkoRatが紛れ込んでいる可能性があると報告された。`nodejs-encrypt-agent`にはマルウェアが含まれていた一方、`nodejs-cookie-proxy-agent`はトロイの木馬を`axios-proxy`という名前の依存関係で偽装していた。これらのパッケージが世界中で約1,200回ダウンロードされた後、疑わしく思われて削除された。デベロッパーは、サードパーティーや商用のコードを追跡し、それらに潜在的な悪意を発見するために注意を払わなければならない。このような脅威は、オープンソースソフトウェアの供給チェーンを狙ったものが増えており、攻撃者の興味が高まっている。
other 2023-05-19 06:53:00 1. AIのツールを探している人が偽のサイトに注意するよう警告。
2. Google検索の広告を利用し、RedLine Stealerマルウェアをバラ撒くBATLOADERキャンペーンが発生。
3. ユーザーは、ChatGPTやMidjourneyといったAIサービスに関するキーワードを検索すると偽の広告に誘導される。
4. インストーラーファイルには、赤線スティーラーの実行ファイルとPowerShellスクリプトが含まれ、リモートサーバーからダウンロードされる。
5. BATLOADERがAIブームに乗じてマルウェアを広めるのは初めてではなく、Googleは広告の悪用を防ぐための措置を講じているようだ。
vulnerability 2023-05-19 03:43:00 被害状況
| 事件発生日 | 2023年5月19日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | AppleのiOS、iPadOS、macOS、tvOS、watchOS、Safariの3つのゼロデイ脆弱性が悪用されたとされる攻撃が報告され、それに対応するためのアップデートが行われた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Webkitの3つの脆弱性を利用した攻撃であると報告された。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Webkitにある3つの脆弱性が悪用された(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)。 |
|---|
脆弱性
| CVE | CVE-2023-32409、CVE-2023-28204、CVE-2023-32373 |
|---|
| 影響を受ける製品 | iOS、iPadOS、macOS、tvOS、watchOS、Safari |
|---|
| 脆弱性サマリ | Appleが3つの積極的な攻撃に使われているZero-Day脆弱性に対応 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-18 21:40:01 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 「Lemon Group」というサイバー犯罪グループが、Guerillaと呼ばれるマルウェアを約900万個のAndroid搭載デバイスに事前にインストールし、SMSからワンタイムパスワードを抽出する、WhatsAppセッションを乗っ取る、PAYGアカウントのためにSMSを送信する、逆プロキシを設定する、クリック詐欺を実行するなどの攻撃を行っている。 |
|---|
| 被害額 | 不明(予想:数十億円) |
|---|
攻撃者
| 攻撃者名 | "Lemon Group"というサイバー犯罪グループ |
|---|
| 攻撃手法サマリ | 事前にマルウェアをインストールし、SMSからワンタイムパスワードを抽出する、WhatsAppセッションを乗っ取る、PAYGアカウントのためにSMSを送信する、逆プロキシを設定する、クリック詐欺を実行するなど |
|---|
| マルウェア | Guerilla |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-18 20:26:27 脆弱性
| CVE | CVE-2023-3278 |
|---|
| 影響を受ける製品 | KeePass 2.53.1 |
|---|
| 脆弱性サマリ | KeePassは、アプリケーションのメモリからマスターパスワードを取得できる脆弱性があるため、攻撃者はデータベースがロックされている場合でも、デバイスを侵害した場合でもパスワードを取得できる。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 有 |
|---|
incident 2023-05-18 19:34:54 被害状況
| 事件発生日 | 2023年5月18日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | AppleのiOS、iPadOS、TVOS、macOS、Safariに含まれるマルウェア攻撃で、Web Contentを操作することで情報漏洩や任意のコード実行を可能にする3つのゼロデイ脆弱性が報告された。攻撃が確認されていたという。 |
|---|
| 被害額 | 不明(予想:数億ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明(攻撃手法からは国家または組織の関与があった可能性がある) |
|---|
| 攻撃手法サマリ | Web Contentを操作することで情報漏洩や任意のコード実行を可能にする3つのゼロデイ脆弱性を利用したマルウェア攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Webkitエンジンに存在した3つのゼロデイ脆弱性(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373) |
|---|
vulnerability 2023-05-18 18:57:42 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Microsoftは、2月14日にリリースされたMicrosoft Edgeの更新プログラムをインストールする際に、一部のWindows 10プラットフォーム上でIE11が無効化された後、お客様にIE11の最後のビットがデバイスから削除されるタイミングを選択するよう許可することを決定しました。これは、2022年6月および12月に前回の警告に続くものです。 |
|---|
| 被害額 | 不明(予想:被害額なし) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Internet Explorer 11 |
|---|
| 脆弱性サマリ | Internet Explorer 11のサポートを非推奨とし、近々撤廃することを発表されたが、ユーザーにはまだ選択の余地がある。 |
|---|
| 重大度 | 低 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
CVE番号はなく、Internet Explorer 11が影響を受ける製品である。Internet Explorer 11のサポートが非推奨となり、近々撤廃することが発表されたが、ユーザーには選択の余地がある。重大度は低であり、RCEと攻撃観測は不明。また、PoC公開はない。
incident 2023-05-18 16:59:06 エラーが発生しました。 記事ファイル名:../articles/20230518 165906_e4079fe358b55d2d93d116e924fef6969fcd53df80cd8ae01afb59b437256f39.json That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 3355d35f6ed915d0864eac4428b9dd8e in your message.) <> security_news_matomerukun.py:81
incident 2023-05-18 16:59:06 被害状況
| 事件発生日 | 2022年11月 |
|---|
| 被害者名 | ファンタジースポーツとスポーツベッティングのウェブサイトの約6万人のユーザーアカウントホルダー |
|---|
| 被害サマリ | 別の侵害からの広範な資格詰め込み攻撃を使用して、約1,600件の妥協されたアカウントから約$ 600,000を盗んだ疑いがある18歳のJoseph Garrison氏が、ファンタジースポーツとスポーツベッティングのウェブサイトの約6万人のユーザーアカウントをハッキングしたとして、米司法省に起訴された。Garrison氏はハッキングしたアカウントを販売し、買い手が妥協されたアカウントに新しい支払い方法を追加して、現在存在するすべての資金を別の支払いアカウントに引き出した。 |
|---|
| 被害額 | $600,000(約6,600万円) |
|---|
攻撃者
| 攻撃者名 | Joseph Garrison氏 |
|---|
| 攻撃手法サマリ | 他の侵害からの資格詰め込み攻撃 |
|---|
| マルウェア | 報告に記載なし |
|---|
| 脆弱性 | 報告に記載なし |
|---|
incident 2023-05-18 16:36:06 被害状況
| 事件発生日 | 2023年5月8日 |
|---|
| 被害者名 | WordPressサイトの所有者 |
|---|
| 被害サマリ | Essential Addons for Elementorのバージョン5.4.0から5.7.1において、クリティカルなアカウントパスワードリセットの欠陥が見つかった。攻撃者は、認証されていなくても管理者アカウントのパスワードを任意にリセットでき、Webサイトを乗っ取ることができる。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Essential Addons for Elementorのクリティカルなアカウントパスワードリセットの欠陥を悪用した攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-32243 |
|---|
incident 2023-05-18 16:30:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Androidスマートフォンのユーザー |
|---|
| 被害サマリ | サイバー犯罪グループ「Lemon Group」が、890万台以上のAndroidスマートフォンにマルウェアを事前にインストールして、SMSメッセージやソーシャルメディア、オンラインメッセージのアカウントを盗み、不正広告やクリック詐欺で利益を得ていた。 |
|---|
| 被害額 | 不明(予想:数千万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Lemon Group |
|---|
| 攻撃手法サマリ | 890万台以上の事前感染したAndroidスマートフォンを利用して、SMSメッセージやソーシャルメディア、オンラインメッセージのアカウントを盗み、不正広告やクリック詐欺で利益を得る。 |
|---|
| マルウェア | Guerillaなど(複数のプラグインから構成される) |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-18 14:31:31 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | LayerZeroのブロックチェーン通信プロトコル |
|---|
| 脆弱性サマリ | LayerZeroのブロックチェーン通信プロトコルの脆弱性 |
|---|
| 重大度 | 高|中|低 |
|---|
| RCE | なし |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 有 |
|---|
また、LayerZero Labsが$15Mの最高報酬を提供する通信プロトコルのクリティカルなスマートコントラクトとブロックチェーンの脆弱性に対する最大の脆弱性報奨金プログラムを開始したと報告された。報奨金は、脆弱性の深刻度と影響範囲に応じて分配される。最も顕著な影響を与えるGroup 1には、Ethereum、BNB Chain、Avalanche、Polygon、Arbitrum、Optimism、およびFantomが含まれる。すべての報奨金はLayerZero Labsによって直接処理され、Fiat USDをワイヤー送金またはUSDC、USDT、およびBUSDで支払われます。 PoCの提出が有効と見なされるためには、攻撃の実用的な実証(PoC)の例が必要です。また、報奨金受取人はKYCを行い、外国資産管理局(OFAC)の特定国民リストで制裁を受けていないことを確認する必要があります。
other 2023-05-18 12:05:00 1. 300万以上のフォロワーに支持を得る信頼できるサイバーセキュリティニュースプラットフォーム。
2. ゼロトラストとデセプションに参加して攻撃者を出し抜く方法を学ぶ。
3. Zscaler Deceptionは、高度な攻撃を検出して妨害する。
4. Ransomwareに対する包括的な保護を提供する。
5. ASMの鍵機能には、連続的なペントレスト、アセットの検出と監視、リアルタイムのアラートの提供がある。
incident 2023-05-18 10:42:00 被害状況
| 事件発生日 | 2022年の間に2,337件のセキュリティ侵害が発生 (Verizon, 2022 DBIR Report) |
|---|
| 被害者名 | 製造業界の企業 |
|---|
| 被害サマリ | 2022年には、ランサムウェア攻撃と盗まれたパスワードによる攻撃が大幅に増加した。ランサムウェア攻撃によって一時的に女性と野菜を生産しているDole Companyが工場を閉鎖した例や、ルクセンブルグの2社が攻撃により被害を受けた例があげられる。 |
|---|
| 被害額 | 記事には記載なし(予想:数百万ドルから数千万ドルの損失が発生していると推測される) |
|---|
攻撃者
| 攻撃者名 | 特定されていない |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃と盗まれたパスワードを利用した攻撃が増加している。 |
|---|
| マルウェア | 記事には記載なし |
|---|
| 脆弱性 | 記事には記載なし |
|---|
incident 2023-05-18 09:53:00 被害状況
| 事件発生日 | 2023年4月7日から4月10日(4日間) |
|---|
| 被害者名 | 台湾 |
|---|
| 被害サマリ | 中国と台湾との地政学的緊張が原因で、台湾に対するサイバー攻撃が急増した。攻撃は、様々な業界に対して行われ、マルウェアを送信して機密情報を盗み出すことが主な狙いとなっている。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 中国のハッカーたち |
|---|
| 攻撃手法サマリ | フィッシングメールおよびその他の方法によるマルウェア送信など |
|---|
| マルウェア | PlugX、Kryptik、Zmutzy、FormBookなど |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-18 09:31:00 被害状況
| 事件発生日 | 2023年5月18日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 不特定多数のOracle WebLogicサーバーが、CVE-2017-3506の脆弱性を突かれ、8220 Gangによってボットネットに組み込まれ、暗号通貨マイニングマルウェアを配信された。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 8220 Gang |
|---|
| 攻撃手法サマリ | CVE-2017-3506の脆弱性を利用し、Oracle WebLogicサーバーに侵入した後、ボットネットに組み込まれた被害者のコンピュータで暗号通貨マイニングマルウェアを展開する。 |
|---|
| マルウェア | 不明(PureCrypterおよびScrubCryptを利用した暗号通貨マイニングマルウェアである可能性がある) |
|---|
| 脆弱性 | CVE-2017-3506(CVSSスコア:7.4) |
|---|
incident 2023-05-18 06:39:00 被害状況
| 事件発生日 | 2016年2月22日から2019年10月1日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Michael D. MihaloはSkynet Marketというカーディングサイトを開設し、信用情報およびデビットカード情報を取引していた。彼らはAlphaBay Market、Wall Street Market、Hansa Marketなどのダークウェブマーケットプレイスでも商品を販売していた。被害者は数万人いる。 |
|---|
| 被害額 | 1,000,000ドル相当の仮想通貨(推定値) |
|---|
攻撃者
| 攻撃者名 | Michael D. Mihalo、Dale Michael Mihalo Jr.、ggmccloud1 |
|---|
| 攻撃手法サマリ | カーディングサイトを開設し、信用情報やデビットカード情報を取引。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-18 06:19:00 1. Appleは2022年に潜在的に詐欺的な取引を20億ドル以上防止し、プライバシーおよびセキュリティ違反のため約170万のアプリ提出を拒否した。
2. Appleは、428,000の開発者アカウントを潜在的な詐欺活動のために終了し、105,000件の偽の開発者アカウント作成をブロックし、2.82億件の偽の顧客アカウントを無効にした。
3. Appleは2021年に802,000の開発者アカウントを追放したが、新しいApp Storeのメソッドとプロトコルがアカウントの作成を防ぐため、追放の数字が減ったと述べた。
4. Appleは、2022年に非公式のストアからの57,000の信頼できないアプリを防止したと述べており、独自の資格情報を盗む悪意のあるコードを使用するアプリや、合法的な金融管理プラットフォームのふりをするアプリをフラグ付けする App Reviewプロセスを推進している。
5. Appleは、App Storeで147億以上の詐欺的な評価とレビューを検出およびブロックし、不正に配布されたアプリをインストールまたは起動する3.9百万件の試みを妨げた。
vulnerability 2023-05-18 05:18:00 脆弱性
| CVE | CVE-2023-20159からCVE-2023-20162 |
|---|
| 影響を受ける製品 | Small Business Series Switches(一部はパッチ未適用) |
|---|
| 脆弱性サマリ | 認証されていないリモート攻撃者による任意コード実行やDoS攻撃を許可する脆弱性 |
|---|
| 重大度 | CVE-2023-20159からCVE-2023-20162の内、4つは10段階評価で9.8(重大) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 証明書付きの悪用コードの存在は確認されているが、未だ攻撃は確認されていない |
|---|
| PoC公開 | あり |
|---|
other 2023-05-17 22:13:49 1. マラスロッカーと呼ばれる新しいランサムウェアがZimbraサーバーに侵入、ファイルを暗号化して、被害者に支援募金を要求するようになった。
2. 従来のランサムウェアと異なり、支援金の募集を行っており、何らかの寄付をしてくれることを求めている。
3. 支援金額は自由で指定された児童養護施設に贈られる。
4. 脅迫メッセージには、連絡先のメールアドレスが記載されている。
5. 暗号化ファイルの末尾にはREADME.txtが添付され、詳細な暗号化方法について記載されている。また、被害者の情報を盗用し、オンラインに公開すると報じられている。
incident 2023-05-17 18:50:16 被害状況
| 事件発生日 | 2023年5月17日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | CiscoのSmall Businessシリーズスイッチに存在する4つの重大な脆弱性(CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, and CVE-2023-20189)が公開されたエクスプロイトコードによって攻撃され、リモートコード実行が可能になったことが明らかになった。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 脆弱性をもつスイッチのウェブインターフェイスに不正なリクエストを送信することで攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Small Businessシリーズスイッチにおけるウェブインターフェイスの不適切なバリデーション |
|---|
vulnerability 2023-05-17 18:12:41 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Windows 11ユーザー |
|---|
| 被害サマリ | Microsoft DefenderのアップデートによりLSA Protectionがオフになっているとの警告が頻繁に表示される。また、脆弱性があるためブルースクリーンや再起動の問題が発生する。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Microsoft Defenderのアップデートに不具合があり、Windows 11のセキュリティが脆弱化された。 |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | Microsoft Defenderにある不具合 |
|---|
エラーが発生しました。 記事ファイル名:../articles/20230517 181241_33383da9d771d0c17aedd0d80a6b9c094907f82bea455080a0a52501a05cded2.json That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID cc9ae0bbab11d920146812c079ee5e72 in your message.) <> security_news_matomerukun.py:81
incident 2023-05-17 16:37:04 被害状況
| 事件発生日 | 2023年5月4日 |
|---|
| 被害者名 | Windows開発者 |
|---|
| 被害サマリ | MicrosoftのVSCode Marketplaceに3つの悪意のある拡張機能がアップロードされ、Windows開発者に46,600ダウンロードされました。このマルウェアにより、脅威アクターは認証情報やシステム情報を盗み、被害者のマシンでリモートシェルを開いていました。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | MicrosoftのVSCode Marketplaceに悪意のある拡張機能をアップロードすることで、Windows開発者を攻撃。3つの拡張機能により、認証情報を盗む、リモートシェルを開くなどの攻撃を行いました。 |
|---|
| マルウェア | 3つの拡張機能が使用されていました。1つは"Theme Darcula dark"、1つは"python-vscode"、もう1つは"prettiest java"でした。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-17 14:41:55 被害状況
| 事件発生日 | 2023年5月14日 |
|---|
| 被害者名 | ScanSource |
|---|
| 被害サマリ | アメリカのクラウドサービスおよびSaaS接続およびネットワーク通信プロバイダーであるScanSourceが、ランサムウェア攻撃に遭い、システムやビジネス操作および顧客ポータルに影響が出た。同社は、サービス提供に遅れが生じる可能性があると報告している。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-17 13:44:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 開発、人道支援、メディア、非政府組織 |
|---|
| 被害サマリ | YemenのHouthis運動の疑いがあるハッキンググループ、OilAlphaによるサイバースパイ活動。攻撃対象は、Arabian peninsulaにおけるArabic言語話者で、Androidデバイスを使用している。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | YemenのHouthis運動に関連があるグループ |
|---|
| 攻撃手法サマリ | WhatsAppなどのエンドツーエンドの暗号化通信アプリを使用して、Social engineering 戦術によって攻撃。URLのリンク先を短縮して用いた。APKファイルに紛れ込んだUNICEFやNGO、その他の救済団体になりすますアプリをtargetに送付し、Android APPに潜むSpyNote(別名SpyMax)を端末にインストールすることにより、被害を拡大。デスクトップマルウェアnJRATも併用された。 |
|---|
| マルウェア | SpyNote(別名SpyMax)とnJRAT。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-17 12:45:40 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | BianLianランサムウェアグループの攻撃により、米国とオーストラリアの重要インフラへの攻撃が自民主的データ窃取攻撃に切り替えたことが確認された。攻撃は2022年6月から続いており、2023年1月以降、ランサムウェアの復号が可能になり、攻撃は完全にデータ窃取に移行した。攻撃は、有効なリモートデスクトッププロトコル(RDP)の資格情報(最初のアクセスブローカーから購入されたり、フィッシングで取得されたりすることがある)を使用しており、ゴー言語で書かれたカスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドラインなどを用いて、ファイル転送プロトコル(FTP)、Rcloneツール、Megaファイルホスティングサービスを介して、被害者のデータを流出させる。攻撃は、Sophosセキュリティ製品による不正操作保護を無効にするために、PowerShellとWindowsコマンドシェルを利用して、ウイルス対策ツールの関連する実行プロセスを無効化する。 |
|---|
| 被害額 | 不明(予想:被害額は不明であるため、推定できません) |
|---|
攻撃者
| 攻撃者名 | BianLianランサムウェアグループ(国籍などの特徴は不明) |
|---|
| 攻撃手法サマリ | 有効なリモートデスクトッププロトコル(RDP)の資格情報を使用してアクセス。カスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドライン、PowerShell、Windowsコマンドシェルを利用して攻撃を行う。詳細はMitigations section of this advisoryを参照。 |
|---|
| マルウェア | BianLianランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-17 11:54:00 Patch Management: 要件の概要
| 対象 | [システムやアプリケーション全般] |
|---|
| 目的 | [システムを安定的かつセキュアに保つためにパッチを適用するためのプラットフォーム導入が必要] |
|---|
| 必要な情報 | [OSやアプリケーションの情報、現行バージョンの情報、パッチグループ、パッチの依存関係] |
|---|
| ライフサイクル管理 | [CI/CDプロセスと組み合わせた場合、パッチライフサイクルは自社アプリケーションの開発過程の一部となる。古いパッチを取り外し新しいパッチを適用する処理が必要な場合がある] |
|---|
| パッチテスト | [閉じた環境でパッチをテストして影響を確認することが必要。エラーが抑制されていないことが確認できるログレベルも必要。] |
|---|
| パッチデプロイ | [認証済みのパッチを全てのシステムにデプロイできる方法が必要。実行前・実行後にスクリプトを実行することもできる。] |
|---|
| 信頼性 | [信頼性のあるアップローダー・パブリッシャーを知り、信頼できるパッチのリポジトリを使うことが必要。複数のリポジトリを使うことでもよい。] |
|---|
| パッチの優先度 | [人手で設定する必要がある場合、CID、緊急対応、責任ベンダーのパッチの使用が最適な管理を提供する。] |
|---|
| 更新方法のアーキテクチャ | [スキャンするアプローチ(エージェント/エージェントレス)どちらにも対応していることが望ましい。] |
|---|
| 第三者アプリケーションのサポート | [デスクトップやラップトップなど、サードパーティー製アプリケーションを更新することができるプラットフォームが必要。Adobe、Microsoftなどの主要プレイヤーなどにも対応できることが理想的] |
|---|
incident 2023-05-17 11:52:00 被害状況
| 事件発生日 | 2023年5月17日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | UNC3944という脅威グループがマイクロソフトAzure Serial Consoleを悪用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃を行った。この攻撃は従来の検出方法を回避し、脆弱性を介して攻撃者にVMを完全に乗っ取る権限を与えた。 |
|---|
| 被害額 | (予想)不明 |
|---|
攻撃者
| 攻撃者名 | UNC3944 (Roasted 0ktapusとも呼ばれる) |
|---|
| 攻撃手法サマリ | Microsoft Azure Serial Consoleを使用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃。SIMスワッピング攻撃を利用し、SMSフィッシングメッセージを送って特権ユーザーの認証情報を入手。それに続いて、2要素認証(2FA)トークンを攻撃者がコントロールするSIMカードに受信するようにSIMスワップを行う。 |
|---|
| マルウェア | STONESTOP、POORTRY |
|---|
| 脆弱性 | Azure VM拡張機能、Azure Network Watcher、Azure Windows Guest Agent、VMSnapshot、Azure Policy Guest configurationに関する脆弱性。 |
|---|
vulnerability 2023-05-17 10:17:00 脆弱性
| CVE | CVE-2023-27217 |
|---|
| 影響を受ける製品 | Belkin Wemo Mini Smart Plug (V2) |
|---|
| 脆弱性サマリ | Smart Plugに付随するコンパニオンアプリが30文字以下の名前制限を設けているが、この制限がファームウェア側でも適用されていないため、悪意のあるコマンドが実行される脆弱性がある。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 有(不特定の攻撃者から任意のコマンドを実行される可能性がある) |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-17 08:40:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | パキスタンおよび中国にある様々な機関および企業 |
|---|
| 被害サマリ | 国家支援を受けたSideWinderハッカー集団によるサイバー攻撃が発生し、金融機関、政府または法執行機関、電気通信企業、eコマース企業、大手メディア企業が被害に遭った可能性がある。 |
|---|
| 被害額 | 不明(予想:数十万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 国家支援を受けたSideWinderハッカー集団 |
|---|
| 攻撃手法サマリ | 標的型スピアフィッシング攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-17 05:29:00 被害状況
| 事件発生日 | 2023年5月17日 |
|---|
| 被害者名 | 数千人の病院、学校、行政支援機関など |
|---|
| 被害サマリ | LockBit、Babuk、Hiveのランサムウェアの開発、配信に加担したとされ、$4億の被害額を出した。 |
|---|
| 被害額 | $2億 |
|---|
攻撃者
| 攻撃者名 | ロシア人、Mikhail Pavlovich Matveev(ウゾウォカ、m1x、ボリセルシン、Uhodiransomwar)としても知られる。 |
|---|
| 攻撃手法サマリ | ランサムウェアを用いた攻撃 |
|---|
| マルウェア | LockBit、Babuk、Hiveのランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-17 00:57:06 被害状況
| 事件発生日 | 不明(UNC3944が少なくとも2022年5月以降に活動を開始したと推定されている) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | UNC3944によって、Microsoft Azureの管理者アカウントがPhishingやSIM swapping攻撃によって乗っ取られ、その後Azure Serial Consoleを悪用してリモート管理ソフトウェアをインストールされ、Azure Extensionsを悪用して監視が行われた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | UNC3944とMandiantによって特定された犯罪組織で、財政上の動機から活動しているとされる。 |
|---|
| 攻撃手法サマリ | PhishingやSIM swapping攻撃によってMicrosoft Azureの管理者アカウントを乗っ取り、Azure Serial Consoleを悪用してリモート管理ソフトウェアをインストール、さらにAzure Extensionsを悪用して監視が行われ、その後にVPNを介してデータが盗まれた。 |
|---|
| マルウェア | 報道記事に記載はない。 |
|---|
| 脆弱性 | Azure Serial Consoleの脆弱性が悪用された。 |
|---|
vulnerability 2023-05-16 22:48:25 脆弱性:新しいZIPドメインがサイバーセキュリティ専門家の間で議論を引き起こす
Googleは、買い物サイトやメールアドレスをホスティングするために、8つの新しいトップレベルドメイン(TLD)を導入した。その中には、.zipと.movがあり、これらのTLDを使用すると、フィッシング攻撃やマルウェアの配信に悪用される可能性があることに、サイバーセキュリティリサーチャーやIT管理者は懸念を表明している。過去に. zipと.movをファイル拡張子としたファイル名が共有されたが、これらがTLDになったため、一部のメッセージングプラットフォームやソーシャルメディアサイトは自動的にファイル名をURLに変換するため、危険なリンクになる可能性がある。これまでに、サイレントプッシュラボ(Silent Push Labs)によって、マイクロソフトアカウントの情報を盗むことを試みるフィッシングページが検出されている。
vulnerability 2023-05-16 22:48:25 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | 新しい.zipと.movドメインがフィッシングやマルウェア攻撃のために悪用される可能性がある |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | 発表後、既にフィッシング攻撃のページが発見されている |
|---|
| PoC公開 | なし |
|---|
Googleが新しいトップレベルドメイン(TLD)を導入し、ZIPおよびMOVドメインを取得できるようにしたことで、サイバーセキュリティ研究者やIT管理者が懸念を表明している。これらのTLDはフォーラム投稿、メッセージ、オンラインディスカッションで共有されるよく使われるファイルの拡張子であり、これらのファイル名が自動的にURLに変換されることで、フィッシング攻撃やマルウェア配信に悪用される可能性がある。これにより、ZIPおよびMOVのTLDはインターネット上で既に危険な状況にあるものの、新しいTLDの使用によってリスクがさらに増加する可能性がある。しかし、現在のところ、重大な脆弱性や攻撃は報告されておらず、GoogleはBrowser mitigationsなどの対策をしているとしている。
incident 2023-05-16 22:14:49 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Windows 11 VPNユーザー |
|---|
| 被害サマリ | 最近のWindows 11のアップデートにより、L2TP/IPsec VPNの接続速度に問題が発生している。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-16 19:26:05 被害状況
| 事件発生日 | 不明(被害発生期間:5月9日〜5月11日) |
|---|
| 被害者名 | GitHub |
|---|
| 被害サマリ | コードホスティングプラットフォームの減少。データベース接続と認証の障害を引き起こし、最大10時間にわたり広範囲にわたる影響を与えた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 内部サービスのビルド時の設定変更、APIの管理の不備、データベースの障害などによる。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-16 18:06:14 被害状況
| 事件発生日 | 2022年 |
|---|
| 被害者名 | 不明(App Store利用者全体) |
|---|
| 被害サマリ | 2022年にApp Storeで、アカウント詐欺、プライバシー違反、セキュリティ違反、コンテンツポリシー違反の疑いがある1,700,000件のアプリ提出をブロック。合わせて、過去最大の20億ドルを超える可能性のある取引をブロック。また、428,000人の開発者アカウントを停止、282,000,000万件の偽の消費者アカウントを無効にし、105,000,000件の可能性のある詐欺行為による開発者アカウント作成をブロックした。 |
|---|
| 被害額 | 20億ドル以上の可能性がある取引を防止 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | AppleのApp Store審査チームがアプリの提出者を審査し、不正行為の可能性があるアカウントや取引をブロックすることで、アカウント詐欺、プライバシー違反、セキュリティ違反、コンテンツポリシー違反からAppleの利用者を保護した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Apple App Store |
|---|
| 脆弱性サマリ | Appleは2022年にプライバシー、セキュリティ、およびコンテンツポリシー違反のために約1.7百万のアプリ登録をブロックし、何億もの詐欺的な顧客と開発者アカウントを解除またはブロックするなど、アプリの不適切な使用を防止するための多数の措置を講じた。また、Appleは2.09十億ドルの不正取引を防止し、約714,000の詐欺アカウントをブロックし、約3.9百万の盗まれたクレジットカードをフィルタリングしている。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
incident 2023-05-16 16:25:50 被害状況
| 事件発生日 | 2023年1月(発見日は不明) |
|---|
| 被害者名 | 欧州の外交関連機関 |
|---|
| 被害サマリ | 中国の政府支援グループ"Camaro Dragon"が、欧州の外交関連機関を攻撃するために、カスタム"Horse Shell"マルウェアを使用し、TP-Linkのルーターファームウェアに感染させ、住宅用ルーターを裏口に利用して攻撃を行いました。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 中国政府支援グループ"Camaro Dragon"(そして、著名なAPT31「Pakdoor」ルーターインプラントと同様) |
|---|
| 攻撃手法サマリ | カスタム"Horse Shell"マルウェアを使用し、TP-Linkルーターファームウェアに感染させ、住宅用ルーターを裏口に利用して攻撃 |
|---|
| マルウェア | "Horse Shell"であり、ファームウェアカスタマイズ内で使用されました |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-16 15:57:14 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Passaic Countyの执法机关、Washington DCの警察署、Mercer Countyの非营利行为医疗机构 |
|---|
| 被害サマリ | Russian ransomware affiliateのMikhail Pavlovich Matveevによって、3回のransomware attackが発生し、警察署、医療機関、非営利団体などが影響を受けた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Mikhail Pavlovich Matveev |
|---|
| 攻撃手法サマリ | ransomwareによる攻撃 |
|---|
| マルウェア | Hive、LockBit、Babuk |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-16 14:45:00 被害状況
| 事件発生日 | 2023年1月から |
|---|
| 被害者名 | 欧州外交機関 |
|---|
| 被害サマリ | 中国のMustang Pandaハッカーによって、TP-Linkルーターのカスタムファームウェアイメージを用いた攻撃が行われた。バックドアの"Horse Shell"は、任意のシェルコマンドを実行し、ルーターへのファイルのアップロードやダウンロード、2つのクライアント間の通信の中継が可能となっている。攻撃者は、個人や家庭ネットワークの任意のデバイスをターゲットに、ルーターのバックドアを利用してメッシュネットワークを構築しようとしたとみられている。具体的な攻撃の種類は不明。 |
|---|
| 被害額 | 不明(予想:数百万円以上) |
|---|
攻撃者
| 攻撃者名 | 中国の国家支援ハッカーグループ「Mustang Panda」 |
|---|
| 攻撃手法サマリ | TP-Linkルーターのカスタムファームウェアイメージを用いて攻撃を行い、バックドアの"Horse Shell"等を利用。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明(既知の脆弱性を利用したとの推定あり) |
|---|
vulnerability 2023-05-16 14:04:02 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ランサムウェア攻撃が世界中の組織に深刻な被害をもたらしている。 |
|---|
| 被害額 | 記事には記載なし。(予想)被害額は数億ドル以上と見られている。 |
|---|
攻撃者
| 攻撃者名 | 不明(特徴・国籍等の情報も明らかになっていない) |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | 記事には明記されていないが、一般的には様々な種類のランサムウェアが使用されている。 |
|---|
| 脆弱性 | 記事には明記されていないが、多くの場合、未修正の脆弱性が攻撃の突破口となっている。 |
|---|
記事タイトル: Ransomware Prevention – Are Meeting Password Security Requirements Enough
この記事では、CISA、NIST、HIPAA、FedRAMP、ISO 27002などによって発行された公式の規格や規制が、強いパスワードセキュリティを確保することがどれほど重要であるかを説明している。弱いパスワードは、クレデンシャルの盗難や侵害によって、組織をランサムウェア攻撃に脆弱にする。CISAは、バックアップ、パッチ管理、ユーザーのトレーニングなどの包括的なサイバーセキュリティプログラムの実施の重要性を強調し、NISTパスワードセキュリティガイドラインに従うことを推奨している。NISTは、長く、複雑なパスワードの使用と、マルチファクタ認証(MFA)の実装を勧め、パスワードの長さ、複雑さ、期限、再利用についての詳細なガイドラインを提供している。HIPAAは、医療機関が患者データをランサムウェア攻撃から保護するためのサイバーセキュリティガイダンスを提供しており、特定のパスワードガイドラインを提供していないが、NISTガイドラインに従うよう推奨している。FedRAMPは、クラウドベースのサービスのセキュリティを確保するためのフレームワークを確立し、MFAの実装を義務付けている。ISO 27002は、複雑なパスワードとMFAを含む強固な認証コントロールの重要性を強調している。これらの規格や規制は、ランサムウェアの予防につながるが、組織はこれに頼りすぎるべきではない。組織はパスワードセキュリティのベストプラクティスを実施する必要があり、攻撃者に簡単に解読されないように、長く十分に複雑なパスワードを使用する必要がある。
vulnerability 2023-05-16 13:44:03 脆弱性
| CVE | CVE-2023-28153, CVE-2023-29078, CVE-2023-29079 |
|---|
| 影響を受ける製品 | Kids Place(バージョン3.8.49およびそれ以前) |
|---|
| 脆弱性サマリ | キッズプレイスは、アップロードした任意のファイルを保護されたデバイスに配置し、ユーザーの資格情報を盗み、子供が制限をバイパスすることができる脆弱性がある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 有(セキュリティ企業SEC Consultによる詳細な説明が含まれている) |
|---|
incident 2023-05-16 12:20:00 被害状況
| 事件発生日 | 2022年7月〜2023年5月 |
|---|
| 被害者名 | オーストラリア、ブラジル、カナダ、コロンビア、フランス、日本、オランダ、セルビア、英国、米国の、主に重要なインフラ、教育、および保健関連産業の複数の企業 |
|---|
| 被害サマリ | Qilinランサムウェアによって攻撃され、一部の会社のデータがダークウェブ上のQilinデータリークポータルに掲載された。攻撃はフィッシングメールによって行われ、感染したデータは二重の脅迫モデルの一環として暗号化される前に外部漏えいしている。攻撃者は、企業ごとにカスタマイズされた攻撃を行い、暗号化されるファイル名の拡張子を変更する、特定のプロセスとサービスを終了するなど、様々な手法を使用している。 |
|---|
| 被害額 | 不明。(予想) |
|---|
攻撃者
| 攻撃者名 | 不明。Qilinランサムウェアの使用者としてのみ知られている。 |
|---|
| 攻撃手法サマリ | フィッシングメールによるアクセス入手、データの暗号化と外部漏洩、および二重の脅迫モデル |
|---|
| マルウェア | Qilin(またはAgenda)ランサムウェア。最初はGo言語のランサムウェアとして出現し、その後2022年12月にRustに切り替わった。Rustの使用は、検出回避能力だけでなく、Windows、Linux、およびVMware ESXiサーバーを攻撃できることができるため重要である。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-16 12:10:18 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | macOSのデバイスを攻撃するマルウェア『Geacon』が使用され、悪用が確認されている。 |
|---|
| 被害額 | 不明(予想:情報漏えいによる損失が発生している可能性がある) |
|---|
攻撃者
| 攻撃者名 | 不明(犯人の特定には至っていないが、中国のIPアドレスを使った攻撃もあった) |
|---|
| 攻撃手法サマリ | 『Cobalt Strike』のポート『Geacon』が使用された。 |
|---|
| マルウェア | Geacon |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-16 11:43:00 1. サイバーセキュリティニュースプラットフォームのTHNは、3.45+万人にフォローされている。
2. Cyoloは、OT/ICS環境に特化したゼロトラストアクセスプラットフォームを提供している。
3. Cyoloは、ZTNA、IDP、PAMの組み合わせであることが特徴的であり、クラウド接続やエージェントのインストールは不要である。
4. Cyoloは、アプリケーション、ポリシー、ログに関する多くの詳細を記録し、MFAやSSOを利用してセキュアなアクセスを提供する。
5. Cyoloは、RDPのリモートデスクトップ接続にも対応している。
incident 2023-05-16 11:39:00 被害状況
| 事件発生日 | 2023年3月から4月 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Water Orthrusによる新しい2つのキャンペーン。CopperStealthとCopperPhishは、CopperStealerという情報スチーラーを配信することが設計されている。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Water Orthrus |
|---|
| 攻撃手法サマリ | Pay-per-Install(PPI)ネットワークを利用して、無料の中国のソフトウェア共有ウェブサイトにフリーツールのインストーラーとして偽装されたCopperStealthを配信する。CopperPhishは、類似のプロセスを利用して、PPIネットワークを介して分散されるフィッシングキットである。このキットは、クレジットカード情報を収集するために利用される |
|---|
| マルウェア | CopperStealer、CopperStealth、CopperPhish |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-16 07:28:00 被害状況
| 事件発生日 | 不明(2023年5月16日に記事が掲載された) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Apple macOSのシステムを対象に、GolangのCobalt Strike実装であるGeaconを用いた攻撃が確認された。セキュリティ企業のSentinelOneによると、実際の悪意のある攻撃と見られるGeaconの使用件数が増加しており、プログラムを不正に入手した攻撃者に悪用される可能性がある。Geaconはマルウェアのダウンロード、データの盗聴、ネットワーク通信の仲介などの多くの機能を備えており、ユーザーは偽のPDF文書を確認することによって攻撃を受ける。
[参考訳記事:https://www.jpbox.jp/archives/12640] |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明(特徴不明) |
|---|
| 攻撃手法サマリ | Apple macOSのシステムを対象に、Cobalt StrikeのGolang実装であるGeaconを使用した攻撃。Geaconには、マルウェアのダウンロード、データの盗聴、ネットワーク通信などの多数の機能がある |
|---|
| マルウェア | Geacon |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-15 22:28:56 被害状況
| 事件発生日 | 2023年5月15日 |
|---|
| 被害者名 | The Philadelphia Inquirer |
|---|
| 被害サマリ | The Philadelphia Inquirerと関連するシステムがサイバー攻撃に遭い、新聞の配信が停止した。また、一部のコンピュータシステムに異常があるとの報告を受け、すべてのコンピュータシステムが停止した。事件は現在も調査中である。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-15 22:07:47 - 情報窃盗マルウェア市場は常に進化しており、複数のマルウェアオペレーションが競い合っている。
- 競合するマルウェアオペレーションがいるため、情報窃盗マルウェアは進化し続けている。
- 情報収集者は、感染したシステムからアカウントパスワード、クッキー、クレジットカード情報、暗号財布データを盗み、脅威行為者にアップロードするためにログを作成する。
- KELAがまとめた報告書には、Titan、LummaC2、WhiteSnakeなどの新しい情報窃盗オペレーションの上昇があり、これにより組織や個人に関連するリスクが高まっている。
- Titan、LummaC2、Stealc、WhiteSnakeなどのマルウェアオペレーションが競合する中で、価格が低下している。
other 2023-05-15 19:54:56 1. GoogleのWebベースのマルウェアスキャンプラットフォーム、VirusTotalは最近コード分析機能「Code Insight」を追加し、VBScript、PowerShell、BAT、CMD、SHなどのより多くのスクリプト言語に対応した。
2. "Code Insight"はGoogle CloudセキュリティAI Workbenchによって提供されるAI駆動のコード解析機能であり、現在は処理可能なファイルサイズが最大で2倍になった。
3. " Code Insight"は実際の脅威を識別することが容易になるよう、潜在的に有害なファイルを分析し、その(悪意のある)動作を説明する。
4. Code Insightの将来の改善計画には、追加のファイルタイプとサイズのサポートの拡大、バイナリと実行可能ファイルの解析の可能化、コード自体以外の文脈情報を組み込んだ分析などが含まれる。
5. VirusTotalは、GoogleのChronicleセキュリティサブスクリプションに属するWebベースのマルウェアスキャンプラットフォームであり、現在50万人以上のユーザーを抱えている。
other 2023-05-15 18:20:38 - WhatsAppが新しいプライバシー機能「Chat Lock」を導入
- ユーザーはパスワードや指紋を使って、チャットにアクセスできないようにできる
- Chat Lockは、通知にもロックされたチャットの詳細を表示しないようにする
- 今後、WhatsAppはChat Lock機能を拡大し、複数のパスワード機能を追加する予定である
- WhatsAppはすでにエンドツーエンドの暗号化によるプライバシーコントロールに取り組んでいる。
incident 2023-05-15 18:10:40 被害状況
| 事件発生日 | 2023年3月12日 |
|---|
| 被害者名 | PharMerica |
|---|
| 被害サマリ | 医療データ約5,815,591件が流出 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Money Message |
|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-15 17:28:23 被害状況
| 事件発生日 | 不明(2018年から実施されていた可能性あり) |
|---|
| 被害者名 | 政府、航空、通信機関(South and Southeast Asia 地域) |
|---|
| 被害サマリ | Lancefly は、APT(高度持続型攻撃)グループであり、高度なサイバー諜報任務を中心に活動しており、政府、航空、通信機関をターゲットとして標的型攻撃を実行していた。Merdoor マルウェアを使用した攻撃により、キーロギングや通信監視などを行っていた。また、ZXShell rootkit による攻撃も実施された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | Lancefly |
|---|
| 攻撃手法サマリ | 標的型攻撃、キーロガーの使用、通信監視、ZXShell rootkit による攻撃などを行っていた。 |
|---|
| マルウェア | Merdoor マルウェアなどを使用していた。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-15 15:04:36 被害状況
| 事件発生日 | 2023年5月12日 |
|---|
| 被害者名 | airBalticの一部の旅客 |
|---|
| 被害サマリ | 内部技術問題により、airBalticの一部の旅客の予約情報が他の旅客に漏洩した。被害者には、名前が異なる他の顧客宛に誤ったメールが送信された。漏えいは小規模なものであり、金融や支払い関連の情報が漏れたわけではない。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 技術問題に起因する事故であり、攻撃者による攻撃ではない。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-15 14:27:27 被害状況
| 事件発生日 | 2023年4月22日(攻撃の脅迫ポータルが立ち上がった日) |
|---|
| 被害者名 | 製薬、保険、資産管理、および製造企業 |
|---|
| 被害サマリ | RA Groupと名乗る新しいランサムウェアグループによって、被害者の詳細と盗まれたデータがダークウェブ上のデータリークサイトに公開され、典型的な「ダブル・エクスターション」戦術が使用されました。 |
|---|
| 被害額 | 不明(予想:1億ドル) |
|---|
攻撃者
| 攻撃者名 | RA Groupと呼ばれる新しいランサムウェアグループ(国籍・特徴不明) |
|---|
| 攻撃手法サマリ | RA Groupは、Babukランサムウェアの流出したソースコードをベースにした暗号化ソフトウェアを使用しています。攻撃対象の組織ごとにカスタムの身代金要求書を作成しており、また、被害者名に基づいてランサムウェアを名前付けています。 |
|---|
| マルウェア | 不明(暗号化ソフトウェアはBabukランサムウェアの流出したソースコードをベースにしている) |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-15 13:24:00 脆弱性
| CVE | CVE-2023-22601, CVE-2023-22600, CVE-2023-22598, CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587, CVE-2023-2588 |
|---|
| 影響を受ける製品 | Sierra Wireless, Teltonika Networks, InHand Networksが提供するクラウド管理ソリューション |
|---|
| 脆弱性サマリ | 製品のクラウド管理プラットフォームに、11の脆弱性が見つかり、リモートコード実行と何十万台ものデバイスとOTネットワークの完全な制御が可能になる。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
製品のクラウド管理プラットフォームには、「Sierra Wireless」、「Teltonika Networks」、「InHand Networks」が提供する11の脆弱性がある。これらの脆弱性を悪用されると、リモートコード実行が可能になり、何十万台ものデバイスとOTネットワークが完全に制御される恐れがある。具体的には、デバイスのクラウド管理ポータルにおける脆弱性が問題である。Sierra Wirelessの場合、資産登録機構が手薄であるため攻撃者は、クラウドに接続されている未登録のデバイスを検索し、それらをアカウントに登録して任意のコマンドを実行することができる。InHand Networksの場合、不正なユーザーは、根特権でリモートコードの実行を可能にする「CVE-2023-22601」「CVE-2023-22600」「CVE-2023-22598」のコマンドインジェクション欠陥を利用して、再起動コマンドを発行したり、ファームウェア更新をプッシュしたりすることが可能です。Teltonika Networksの場合、脅威行為者は、リモート管理システム(RMS)で特定された複数の問題を悪用することができ、デバイスの機密情報やデバイスの資格情報を公開したり、リモートコードの実行を許したり、ネットワークで管理される接続されたデバイスを公開したり、正当なデバイスをなりすますことができる。
incident 2023-05-15 11:59:00 被害状況
| 事件発生日 | 2023年4月22日以降 |
|---|
| 被害者名 | アメリカと韓国の複数の企業(製造業、財産管理、保険、医薬品) |
|---|
| 被害サマリ | 新興ランサムウェアグループのRA Groupによる攻撃で、データを暗号化して身代金を要求し、3社の企業に加えて1社が被害を受けた |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | RA Group(国籍不明) |
|---|
| 攻撃手法サマリ | 暗号化とデータ漏洩の二重脅迫を実施するランサムウェア攻撃 |
|---|
| マルウェア | Babukベースの独自のバリアント |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-15 11:25:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | 高度情報処理技術の企業 |
|---|
| 脆弱性サマリ | 高度情報処理技術の企業はSaaSセキュリティに苦戦している |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-05-15 10:17:00 被害状況
| 事件発生日 | 2022年中旬から2023年第1四半期まで |
|---|
| 被害者名 | 南アジアおよび東南アジアに所在する政府、航空、教育、およびテレコムセクター |
|---|
| 被害サマリ | 高度にターゲットされたキャンペーンにより、新しいハッキンググループによって攻撃された。Symantecによって、この活動は「Lancefly」と呼ばれる昆虫をテーマにした名前で追跡され、攻撃は「Merdoor」と呼ばれる「強力な」バックドアを使用して行われていた。従って、このキャンペーンの最終目標は、ツールと被害者パターンに基づいて、インテリジェンス収集とされている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 中国政府と関連するグループに帰結する可能性がある。 |
|---|
| 攻撃手法サマリ | フィッシングルア、SSHブルートフォース、またはインターネットで公開されたサーバーの悪用を使用したと疑われている。シンメトリックおよび非対称キーを使用し、Lanceflyの攻撃は、MerdoorおよびZXShellなどの完全機能を備えたマルウェアを使用していた。ZXShellは、2014年10月にCiscoによって初めて記録されたルートキットであり、このルートキットの使用は過去にAPT17(オーロラパンダ)やAPT27(BudwormまたはEmissary Pandaとしても知られる)などの中国人アクターにリンクされていた。ZXShellルートキットのソースコードは公開されているため、複数の異なるグループによって使用される可能性がある。 |
|---|
| マルウェア | Merdoor、ZXShellルートキット、PlugX、ShadowPad |
|---|
| 脆弱性 | 情報なし |
|---|
incident 2023-05-15 10:09:00 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | MichaelKorsという新しいランサムウェアがLinuxおよびVMware ESXiシステムを標的にした。VMware ESXiハイパーバイザーへの攻撃は、ハイパーバイザージャックポットティングとして知られる手法で実行される。これまでに、Royalをはじめとするいくつかのランサムウェアグループがこの手法を採用してきた。また、ContiやREvilなど10のランサムウェアファミリーが2021年9月にBabukの露出ソースコードを利用してVMware ESXiハイパーバイザー向けのロッカーを開発したとの解析結果も出ている。 |
|---|
| 被害額 | 不明(予想:ランサムウェアの要求額に応じた個々の被害額が生じたと推定される) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | MichaelKorsというランサムウェアを使用して攻撃する。 |
|---|
| マルウェア | MichaelKorsランサムウェア |
|---|
| 脆弱性 | VMware ESXiにおいて、セキュリティツールの欠如、ESXiインターフェイスの適切なネットワークセグメンテーションの欠如、ESXiに対する既知の脆弱性(2020年9月以降更新されていない)などが攻撃に利用された。 |
|---|
incident 2023-05-15 07:16:00 被害状況
| 事件発生日 | 2023年5月15日 |
|---|
| 被害者名 | Microsoft SQL (MS SQL)サーバーの管理不良者たち |
|---|
| 被害サマリ | CLR SqlShellマルウェアによる攻撃で、暗号通貨の採掘やランサムウェアの展開が行われた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明、一部関連が指摘されている攻撃者グループはLemonDuck、MyKings(DarkCloudまたはSmominru)、Vollgar |
|---|
| 攻撃手法サマリ | CLR SqlShellマルウェアによる攻撃で、xp_cmdshellコマンドを使用してMS SQLサーバーにマルウェアをインストールする。 |
|---|
| マルウェア | CLR SqlShell, Metasploit, MrbMiner, MyKingsとLoveMinerのような暗号通貨マイナー、バックドア、プロキシウェア |
|---|
| 脆弱性 | MS SQLサーバーに対する不十分な管理 |
|---|
incident 2023-05-15 06:59:00 被害状況
| 事件発生日 | 2021年3月 |
|---|
| 被害者名 | Ubiquiti |
|---|
| 被害サマリ | 元Ubiquiti社員が匿名のハッカーを装い、会社に侵入し機密データを窃取。50ビットコイン(当時約200万ドル)の身代金要求を行ったが、会社は警察に通報。容疑者はVPN接続でトレースされ、逮捕された。 |
|---|
| 被害額 | $4億(時価総額の損失) |
|---|
攻撃者
| 攻撃者名 | Nickolas Sharp(元Ubiquiti社員) |
|---|
| 攻撃手法サマリ | VNP接続を使用してエクスターノン、機密データ窃取 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-14 15:14:07 被害状況
| 事件発生日 | 2023年5月6日以降 |
|---|
| 被害者名 | Advanced Custom Fieldsプラグインを使用しているWordPressサイト |
|---|
| 被害サマリ | 高度な悪意のある攻撃者によって、WordPress Advanced Custom Fieldsプラグインの脆弱性CVE-2023-30777が悪用され、サイトの機密情報が盗まれ、攻撃者に特権が昇格される被害が発生した。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明、国籍などの特徴も報じられていない |
|---|
| 攻撃手法サマリ | Proof of Concept (PoC) 攻撃に利用され、ログイン済のユーザーが悪意のコードを実行することで、高い権限で被害サイトにアクセスできるレフレクテッドクロスサイトスクリプティング(XSS)脆弱性が悪用された。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Advanced Custom FieldsプラグインのCVE-2023-30777が悪用された。 |
|---|
incident 2023-05-14 15:14:07 被害状況
| 事件発生日 | 2023年5月6日以降 |
|---|
| 被害者名 | WordPressのAdvanced Custom Fieldsプラグインを使用するウェブサイトオペレーター |
|---|
| 被害サマリ | WordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777)が攻撃者によって悪用され、攻撃者は高い特権を得ることができる。 |
|---|
| 被害額 | 不明(予想:数千万円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Advanced Custom Fieldsプラグインに存在したXSS脆弱性を悪用 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | WordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777) |
|---|
other 2023-05-14 14:14:07 1. Brave Browserが新しいプライバシーフォーカス機能「Forgetful Browsing」を発表。
2. 「Forgetful Browsing」はサイトからの再識別を防止するもので、指定したサイトのCookieだけでなく、ローカルストレージやキャッシュのデータも削除。
3. ユーザーは、設定メニューから「Forgetful Browsing」を有効化できる。
4. Brave Browserは第三者追跡に対する強力な保護機能を備えているが、第一者追跡に関するプライバシー問題が未だ解決されていない。
5. 「Forgetful Browsing」はブラウザのバージョン1.53で提供され、Android版での提供はバージョン1.54で予定されている。
other 2023-05-13 14:05:14 1. キャピタは、4月初旬の同社システムへのサイバー攻撃の影響を受け、顧客が自身のデータが盗まれたと仮定するよう警告した。
2. USS(英国内の最大の私設年金制度)によると、攻撃されたサーバには、約470,000人の個人情報(氏名、誕生日、国民保険番号など)が含まれていた。
3. キャピタは、攻撃者からの責任声明を受け取り、最初は技術問題と説明していたが、後にサイバー攻撃だと認めた。
4. 350以上の英国企業年金制度が影響を受けた可能性がある。
5. キャピタは、今回の事件のため、2000万ドルを超える特別費用を償債する必要があると発表した。
incident 2023-05-13 07:45:00 被害状況
| 事件発生日 | 2022年中旬以降 |
|---|
| 被害者名 | Microsoft 365を使用する事業者(主に製造、医療、技術企業) |
|---|
| 被害サマリ | Phishing-as-a-service(PhaaS)不正プラットフォーム「Greatness」を使用したMicrosoft 365のビジネスユーザーへのフィッシング攻撃。高度なログイン画面を作成し、ユーザーからIDとパスワード、タイムベースのワンタイムパスワード(TOTP)を収集し、アフィリエイトのTelegramチャンネルに不正アクセスして情報を盗む。 |
|---|
| 被害額 | 不明(予想:被害の具体的な金額情報は報道されていないが、フィッシング攻撃により企業の重要情報が漏えいしたことが示唆されている。) |
|---|
攻撃者
| 攻撃者名 | 不明(攻撃者の国籍などは不明) |
|---|
| 攻撃手法サマリ | Phishing-as-a-serviceプラットフォーム「Greatness」を使用したMicrosoft 365のビジネスユーザーへの高度なフィッシング攻撃。被害者には本物そっくりのログイン画面が表示され、IDとパスワード、タイムベースのワンタイムパスワード(TOTP)を収集し、アフィリエイトのTelegramチャンネルに不正アクセスして情報を盗む。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-12 21:23:41 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | ABB |
|---|
| 被害サマリ | スイスのABB社がBl00dyランサムウェアの攻撃を受け、ネットワークと工場が影響を受けた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | Bl00dy Ransomwareグループ |
|---|
| 攻撃手法サマリ | 不明のランサムウェア攻撃 |
|---|
| マルウェア | Bl00dyランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-12 21:00:00 被害状況
| 事件発生日 | 2023年5月12日 |
|---|
| 被害者名 | ドイツに所在する製造業者および医療クリニック(特定された個人名はなし) |
|---|
| 被害サマリ | フォリナ脆弱性を悪用したXWormマルウェアによるサイバー攻撃が行われた。攻撃手法は不明瞭である。 |
|---|
| 被害額 | 不明(予想:情報漏洩によるリスクなどが考慮されると数千万円〜数億円程度) |
|---|
攻撃者
| 攻撃者名 | 中東またはインド出身の個人またはグループ(確定されていない) |
|---|
| 攻撃手法サマリ | フォリナ脆弱性を悪用したフィッシング攻撃から始まり、PowerShellスクリプトを使用してAntimalware Scan Interface(AMSI)回避、Microsoft Defenderの無効化、XWormコードの実行などを行う。 |
|---|
| マルウェア | XWorm |
|---|
| 脆弱性 | フォリナ脆弱性(CVE-2022-30190) |
|---|
incident 2023-05-12 19:05:20 被害状況
| 事件発生日 | 2023年5月12日 |
|---|
| 被害者名 | Discordのユーザー |
|---|
| 被害サマリ | サポートエージェントのアカウントがハッキングされ、サポートチケットに含まれていたユーザーのメールアドレス、サポートとのやりとり、および添付ファイルが公開された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | サポートエージェントのアカウントをハッキング |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-12 17:43:48 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ルーカスワイヤレス管理パネルのリモートコード実行(RCE)の脆弱性を悪用し、AndoryuBotマルウェアを感染された無防備なWi-Fiアクセスポイントに追加し、DDoS攻撃を行うボットネットが発生した。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ルーカスワイヤレス管理パネルのリモートコード実行(RCE)の脆弱性を悪用 |
|---|
| マルウェア | AndoryuBotマルウェア |
|---|
| 脆弱性 | CVE-2023-25717 |
|---|
incident 2023-05-12 16:51:42 被害状況
| 事件発生日 | 2023年5月上旬 |
|---|
| 被害者名 | 教育機関 |
|---|
| 被害サマリ | Bl00dyランサムウェアによって、PaperCutのリモートコード実行脆弱性を悪用され、データが盗まれ暗号化された。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Bl00dyランサムウェアグループ |
|---|
| 攻撃手法サマリ | PaperCutのリモートコード実行脆弱性を悪用 |
|---|
| マルウェア | Bl00dyランサムウェア、Leaked LockBit源コードに基づく暗号化ツール、BabukおよびContiからリークされた発展型を使用 |
|---|
| 脆弱性 | PaperCut MFおよびPaperCut NGのCVE-2023-27350 |
|---|
other 2023-05-12 14:50:33 - トヨタ自動車がクラウド環境のデータ漏えいを発表
- 漏えいしたデータは、2013年11月6日から2023年4月17日までの10年間、215万人の顧客の車両位置情報が含まれる
- データベースの誤構成によりパスワードなしでアクセスできるようになっていた
- 実際には、個人名や住所情報は含まれておらず、基本的な車両情報のほか、車両の履歴データや現在の位置情報が漏えいした
- 対象の車両の車両識別番号(VIN)がわからなければ、個人を特定することはできないとされる。
vulnerability 2023-05-12 14:16:00 脆弱性
| CVE | CVE-2023-27357、CVE-2023-27367、CVE-2023-27368、CVE-2023-27369、CVE-2023-27370 |
|---|
| 影響を受ける製品 | Netgear RAX30 ルーター |
|---|
| 脆弱性サマリ | 5つの脆弱性が存在し、これらは連鎖して認証をバイパスし、リモートコード実行を達成できる。この脆弱性は、攻撃者がユーザーのインターネットアクティビティを監視したり、インターネット接続を乗っ取ったり、トラフィックを悪意のあるウェブサイトにリダイレクトしたり、ネットワークトラフィックにマルウェアを注入することができる可能性がある。 |
|---|
| 重大度 | 最高値はCVSSスコア8.8が2つ、総合的な重大度評価は高い。 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | 公開されている |
|---|
other 2023-05-12 13:24:00 1. Deep Instinctによる技術レポートによると、中国の脅威アクター「Red Menshen」に関連する、Linuxバックドアの新しいバージョン「BPFDoor」が発見された。
2. 「BPFDoor」は、中東とアジアの電気通信事業者を標的としており、長期間にわたって検出されずにハッキングを行っていたという。
3. このバックドアは、Berkeley Packet Filters(BPF)を使用することで、ファイアウォールに検出されずにネットワークにアクセスし、任意のコードを実行することができる。
4. 新しいバージョンでは、暗号化のために静的ライブラリを使用し、C2通信に逆シェルを組み込んでいるため、従来よりもかなり更に潜在的に逃げられる可能性がある。
5. Linuxシステムに対する脅威アクターによるマルウェアの増加により、GoogleはLinuxカーネルを強固にするための新しい拡張Berkeley Packet Filter(eBPF)のテスト方法を発表した。
other 2023-05-12 11:33:00 1. Trusted Cybersecurity News Platform は、3.45ミリオン以上のフォロワーがおり、サイバーセキュリティに関するニュースを提供している。
2. Passboltは、安全なコラボレーションを実現するためのパスワード管理ツールである。
3. Passboltは、OpenPGP標準に基づくエンドツーエンドの暗号化を使用して、データが安全に共有されるように設計されている。
4. Passboltは、フォルダーを共有してパスワードを整理し、細かいアクセス権限を設定することができる。
5. Passboltは、携帯端末にも対応しており、ブラウザとも統合されており、どこでもアクセスできるように設計されている。
vulnerability 2023-05-12 07:59:00 被害状況
| 事件発生日 | 2023年5月上旬 |
|---|
| 被害者名 | アメリカの教育施設 |
|---|
| 被害サマリ | 脆弱性CVE-2023-27350を利用した攻撃により、Bl00dy Ransomware GangがPaperCutサーバにアクセスし、データを盗み出し、ファイルを暗号化して身代金を要求した。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Bl00dy Ransomware Gang |
|---|
| 攻撃手法サマリ | 脆弱性CVE-2023-27350を悪用した攻撃 |
|---|
| マルウェア | Cobalt Strike Beacons、DiceLoader、TrueBot |
|---|
| 脆弱性 | PaperCut MFやNGの一部のバージョンに影響する、認証のバイパスおよびリモートコード実行を可能にするCVE-2023-27350 |
|---|
脆弱性
| CVE | CVE-2023-27350 |
|---|
| 影響を受ける製品 | PaperCut MFとNGの一部のバージョン |
|---|
| 脆弱性サマリ | PaperCutサーバーにCVE-2023-27350が存在することにより、Bl00dy Ransomware Gangが攻撃し、データを暗号化して身代金を要求した。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 観測されている |
|---|
| PoC公開 | 不明 |
|---|
Bl00dy Ransomware Gangによる攻撃が、PaperCut MFとNGの一部のバージョンに存在する脆弱性CVE-2023-27350を狙って行われたことがFBIとCISAによって報告された。攻撃にはデータの盗難や暗号化が含まれ、この脆弱性を利用した攻撃が中旬から報告されている。これに加えて、この脆弱性を悪用するためにコバルトストライクなどの追加ペイロードが使用される攻撃も確認された。また、別の教育機関向けの攻撃にはXMRig暗号化マイナーが使用されていた。PaperCutの印刷サーバーへの攻撃は、イランのMango SandstormとMint Sandstormなどの国家スポンサーによっても行われている。
vulnerability 2023-05-12 05:43:00 脆弱性
| CVE | CVE-2023-32243 |
|---|
| 影響を受ける製品 | Essential Addons for Elementor |
|---|
| 脆弱性サマリ | Essential Addons for Elementorの一つの脆弱性が、攻撃者に対象のサイトの特権を与え、ユーザのパスワードをリセットすることができる。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無し |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
WordPressプラグインであるEssential Addons for Elementorに「CVE-2023-32243」という脆弱性が見つかった。この脆弱性がある場合、攻撃者は悪意のある目的で特権を利用し、ユーザのパスワードをリセットすることができる。また、管理者アカウントのパスワードをリセットしてウェブサイト全体を制御できる可能性もあり、被害が拡大する可能性がある。この脆弱性は、Essential Addons for Elementorのバージョン5.4.0から存在していると考えられている。しかし、バージョン5.7.2で修正済みである。
incident 2023-05-11 22:46:58 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Outlookのゼロクリック脆弱性を悪用した攻撃に再び利用される可能性があったが、MicrosoftがCVE-2023-29324でパッチをリリースし、対処された。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ゼロクリック脆弱性を悪用した攻撃を回避するため、既存のOutlookの脆弱性パッチに変更を加えたbypassを使用した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-29324 |
|---|
incident 2023-05-11 22:02:36 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Linuxユーザー |
|---|
| 被害サマリ | 新しいBPFDoorマルウェアのステルスバージョンが発見され、より堅牢な暗号化と逆シェル通信が特徴。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | BPFDoorと呼ばれるステルスバックドアマルウェアを使用 |
|---|
| マルウェア | BPFDoorマルウェア |
|---|
| 脆弱性 | 2019年の脆弱性を使用して感染することがある |
|---|
incident 2023-05-11 21:05:20 被害状況
| 事件発生日 | 2023年5月7日 |
|---|
| 被害者名 | ABB |
|---|
| 被害サマリ | ABBがBlack Basta ransomware攻撃を受け、Windows Active Directoryに影響が出て、数百台のデバイスが影響を受けた。会社のオペレーションに混乱が生じ、プロジェクトの遅れや工場への影響が報告された。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | Black Basta ransomware |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | Black Basta ransomware |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-11 20:25:25 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | SchoolDudeオンラインプラットフォームのユーザー |
|---|
| 被害サマリ | Brightly SoftwareのSchoolDudeオンラインプラットフォームのデータベースにアクセスして、不正アクセス者に顧客アカウントの情報が盗まれた。盗まれた情報には顧客の名前、メールアドレス、アカウントのパスワード、電話番号、学区名が含まれる。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 明らかにされていない |
|---|
| マルウェア | 報告には記載がない |
|---|
| 脆弱性 | 報告には記載がない |
|---|
incident 2023-05-11 18:04:08 被害状況
| 事件発生日 | 2022年2月〜2023年上半期 |
|---|
| 被害者名 | VMware ESXiサーバーのユーザー |
|---|
| 被害サマリ | 9つのランサムウェアグループがBabukのソースコードを利用してVMware ESXiサーバーを攻撃し、暗号化した。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 9つのランサムウェアグループがBabukのソースコードを利用してVMware ESXiサーバーを攻撃して暗号化した。 |
|---|
| マルウェア | Babuk、Play (.FinDom)、Mario (.emario)、Conti POC (.conti)、REvil aka Revix (.rhkrc)、Cylance ransomware、Dataf Locker、Rorschach aka BabLock、Lock4、RTM Lockerが報告されている。 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-11 16:59:00 脆弱性
| CVE | CVE-2023-32243 |
|---|
| 影響を受ける製品 | WordPressのElementorプラグインの"Essential Addons for Elementor" |
|---|
| 脆弱性サマリ | プラグインのパスワードリセット機能における認証されていない特権昇格により、リモート攻撃者がサイトの管理者権限を取得できる可能性がある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-11 14:55:35 被害状況
| 事件発生日 | 2020年12月 |
|---|
| 被害者名 | Ubiquiti |
|---|
| 被害サマリ | Nickolas SharpがUbiquitiのデータを盗み、企業に400万ドルの支払いを要求し、実際には情報を公開するために報道機関に接触したことで、Ubiquitiの株価が20%下落し、市場キャピタルが40億ドル以上失われた。 |
|---|
| 被害額 | 不明(予想:市場キャピタルが40億ドル以上) |
|---|
攻撃者
| 攻撃者名 | Nickolas Sharp(元Ubiquiti 開発者) |
|---|
| 攻撃手法サマリ | 企業の内部者が顧客情報を盗み出し、支払いを要求すると同時に、報道機関に接触してUbiquitiのセキュリティインシデントに関する虚偽の情報を提供し、Ubiquitiの評判を損ねた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-11 14:45:00 被害状況
| 事件発生日 | 不明(2020年12月に最初の攻撃が行われたと推定) |
|---|
| 被害者名 | 東欧の軍事・運輸・重要インフラ組織、2022年2月にはウクライナ中央部の軍事ターゲットと重要インフラのオフィサー |
|---|
| 被害サマリ | データ収集と監視、キーストロークのロギング、キャプチャ、マイクロフォンによる録音など |
|---|
| 被害額 | 不明(推定不可) |
|---|
攻撃者
| 攻撃者名 | 不明(国籍などは不明) |
|---|
| 攻撃手法サマリ | 悪意のあるインストーラーファイルを使用して、悪意のあるDBoxShellマルウェア(別名PowerMagic)を感染させることで被害者を攻撃する |
|---|
| マルウェア | DBoxShellマルウェア(別名PowerMagic)とGraphShellマルウェアを含む |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-11 14:02:05 - Twitterが有料ユーザー向けにエンドツーエンド暗号化に対応したDM機能を提供開始。
- エンドツーエンド暗号化は、送信元と受信元だけが情報を見ることができる方式。
- Twitterは具体的な技術詳細を発表する予定で、whitepaperは2023年に公開される予定。
- ただし、この機能はTwitter Blue加入者に限定され、また相手もまた加入している必要がある。
- また制限も設けられており、一つの会話につき10台までのデバイスでしか使用できない。
incident 2023-05-11 14:00:00 被害状況
| 事件発生日 | 2023年5月11日 |
|---|
| 被害者名 | 300,000人以上の被害者(個人特定不明) |
|---|
| 被害サマリ | スマートフォンに不正なSMSを送り、銀行口座情報を詐取し、約700,000ユーロを詐取した。被害者のカードはデジタル資産を購入するために使用され、一部はドミニカ共和国の不動産の購入に使用された。 |
|---|
| 被害額 | 約700,000ユーロ |
|---|
攻撃者
| 攻撃者名 | 不明。組織犯罪グループである”Trinitarians”のメンバー40名が逮捕された。 |
|---|
| 攻撃手法サマリ | スマートフォンに不正なSMSを送り、銀行口座情報を詐取。紛うことのない金融機関のフィッシングパネルを装って、被害者の資格情報を盗みとる。 |
|---|
| マルウェア | 使用されていない。 |
|---|
| 脆弱性 | 不明。 |
|---|
other 2023-05-11 10:32:00 1. 近年の企業のIT活用により、攻撃面の拡大が生じており、それに対応するためにAttack Surface Management (ASM)が注目されている。
2. EASMはCTEMの一部であり、具体的には、1)スコープ設定、2)アセットの発見、3)優先順位付けの3つのフェーズを支援する。
3. ASMにより、攻撃者が入り込める突破口が少ない環境を実現するために、既知のデジタルアセットの在庫、未知のアセットの継続的発見、および深刻な脆弱性の優先順位付けを支援する。
4. EASMには、NetSPIの攻撃面管理プログラムがある。
5. 教育プログラムが進んで、CTEMの持続的な脅威エクスポージャー管理に対するASMの役割が大きくなっている。
incident 2023-05-11 10:32:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | VMware ESXi システムの利用者 |
|---|
| 被害サマリ | Babuk ランサムウェアのソースコードがリークされ、それに基づき9種類以上のランサムウェアが開発された。これらのランサムウェアは、VMware ESXi システムを対象にしている。 |
|---|
| 被害額 | 不明(予想:数十万ドルから数百万ドル) |
|---|
攻撃者
| 攻撃者名 | Babuk ランサムウェアのソースコードを利用した複数の犯罪グループ |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | Babuk ランサムウェアのソースコードをベースにした9種類以上のランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-11 07:05:00 被害状況
| 攻撃手法 | Andoryu Botnetは、Ruckus Wirelessの管理パネルの脆弱性(CVE-2023-25717)を悪用して、無傷の無線AP装置を完全に攻撃する方法を使用して、攻撃を行っている。 |
|---|
| 被害額 | 報道には明示されていない。(予想) |
|---|
攻撃者
| 攻撃者名 | 国籍など特徴は報道に示されていない。 |
|---|
| 攻撃手法サマリ | Andoryu BotnetがRuckus Wirelessの管理パネルの脆弱性(CVE-2023-25717)を利用して攻撃を行っている。 |
|---|
| マルウェア | Andoryu Botnetは、GitLabのリモートコード実行の脆弱性(CVE-2021-22205)とLilin DVRの脆弱性を利用しても感染するが、同Botnetは、攻撃手法の一部としてさらに資産を増やしている。 |
|---|
| 脆弱性 | Andoryu Botnetが利用する脆弱性は、Ruckus Wirelessの管理パネルの脆弱性 (CVE-2023-25717)である。 |
|---|
vulnerability 2023-05-11 05:31:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Twitterのダイレクトメッセージ |
|---|
| 脆弱性サマリ | 暗号化されたダイレクトメッセージ(DM)が、Twitterによって配信され、検証済みのユーザーとユーザー登録済み団体のアフィリエイトのみが使用可能。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
Twitterは、エンドトーンエンド暗号化によるダイレクトメッセージを開始し、現在は検証済みユーザーとユーザー登録済み団体のアフィリエイトのみが使用可能である。メッセージは暗号化され、端末内に保存される。一方で脆弱性は報告されていない。また、最大10のデバイスまでユーザー登録可能であり、新しいデバイスが既存の暗号化された会話に参加することはできない。更に、ログアウトすると、現在の端末からすべての暗号化されたDMを含むすべてのメッセージが削除される仕様である。
vulnerability 2023-05-11 05:01:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | GitHub |
|---|
| 脆弱性サマリ | GitHubが新しいセキュリティ機能をリリース。この機能は「push protection」といい、開発者が意図せずキーなどの秘密情報をコードに含めないようにすることを目的とする。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
GitHubが新しいセキュリティ機能「push protection」をリリースし、開発者が意図せずキーやその他秘密情報をコードに含めないようにする目的を持つ。この機能は、すでにある秘密スキャン機能と手を携えて動作し、既知の秘密情報のフォーマットをスキャンして、詐欺的使用を防止し、深刻な結果を回避する。この機能は、設定で有効化可能であり、GitHubはベータ版を2022年4月にリリースし、意図しない秘密情報のリーク17,000件以上を防止し、95,000時間以上の時間を節約したと発表した。GitHubは、この機能を公開エンドポイントに延長し、追加コストなしで使用できるようになった。
other 2023-05-10 23:00:18 エラーが発生しました。 記事ファイル名:../articles/20230510 230018_92df6cbd697970b1313b62c3f18574a28caf23df0fe516db596873e9bfe69287.json That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 43087581d143b681cf00d45839ef3f0b in your message.) <> security_news_matomerukun.py:81
vulnerability 2023-05-10 22:24:38 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Gmail |
|---|
| 脆弱性サマリ | Dark Web上での情報漏洩の監視機能が、Google Oneの加入者だけでなく、全米のGmailユーザーで提供されるようになった。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
注:CVEは記載されていない。影響を受ける製品はGmail。脆弱性サマリによると、Google Oneの加入者と同様に、全米のGmailユーザーにDark Web上での情報漏洩の監視機能が提供されるようになったということである。重大度、攻撃観測、PoC公開については情報がない。
incident 2023-05-10 21:16:53 被害状況
| 事件発生日 | 2021年5月から6月の間 |
|---|
| 被害者名 | ソウル国立大学病院(SNUH) |
|---|
| 被害サマリ | 北朝鮮のハッカーによって、SNUHのネットワークが侵害され、機密の医療情報および個人情報が盗まれた。事件により831,000人の情報が漏えいした。うち17,000人は現在もしくは元従業員。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 北朝鮮のハッカー |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-10 19:43:39 1. YouTubeが広告ブロッカーを無効にするよう求める実験を実施している。
2. ポップアップが表示され、広告ブロッカーを無効にするかYouTube Premiumの加入を促す。
3. ユーザーが自分のブロッカーをオフにしない場合、ビデオ視聴が制限される可能性がある。
4. この実験により、Premiumの利用者数が増え、会員登録が継続的に増加することが期待されている。
5. ユーザーはこの動きに対して、動画を妨害する多数の広告に不満を持っている。
other 2023-05-10 18:31:00 1. Googleは、Google I/Oという年次開発者会議で、個人のデータを保護するための新しいプライバシー、セキュリティ機能を発表した。
2. 新たに紹介された機能には、データのコントロールや透明性の向上、Gmailダークウェブスキャンレポート、AIによるセーフブラウジング、コンテンツセーフティAPI拡張、この画像についてなどがある。
3. Androidオペレーティングシステムのアップデートにより、位置情報共有に関する管理が改善され、ユーザーは常に自己管理ができるようになった。
4. Googleは、暗号化されたサインインに対応し、アプリ内外からすぐに削除できるデータ消去ポリシーを導入している。
5. これらの機能は、Googleのユーザーをサイバー攻撃やフィッシング攻撃から保護し、個人のデータ管理を向上させることを目的としている。
incident 2023-05-10 18:23:33 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 成人向けコンテンツのポップアップ広告を利用したマルウェア攻撃によって、Aurora情報窃取マルウェアが拡散された。 |
|---|
| 被害額 | 不明(予想:被害者数や被害範囲が把握できないため不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 成人向けコンテンツのポップアップ広告上にフルスクリーンで確認画面を表示し、Windowsの更新を装ってAurora情報窃取マルウェアを拡散した。 |
|---|
| マルウェア | Aurora情報窃取マルウェア、Invalid Printerという"完全検知を逃れられる"マルウェアローダー |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-10 16:16:05 タイトル:New ransomware decryptor recovers data from partially encrypted files
日付:May 10, 2023
発表元:Bleeping Computer
概要:ソフトウェア企業のCyberArkが、ransomware strainsが使用するintermittent encryptionで部分的に暗号化されたファイルのデータを回復するための"White Phoenix" decryptorを開発し、無料公開した。intermittent encryptionはransomware groupsが使用する戦略で、データの部分的に暗号化を交互に行うことで犠牲者が使用不能になるデータをより速く暗号化することができる。White Phoenixは、PDFとZIP形式のファイルに対応しており、CyberArkはより多くのファイル形式やransomware strainsに対応するためにセキュリティリサーチャーたちの協力を求めている。
incident 2023-05-10 15:48:01 被害状況
| 事件発生日 | 2023年5月8日 |
|---|
| 被害者名 | Dragos |
|---|
| 被害サマリ | サイバーセキュリティ企業 Dragos に対し、サイバー犯罪グループが内部ネットワークに侵入し、SharePoint クラウドサービスおよび契約管理システムにアクセス。16時間の間に「Dragos」として知られる企業の25のインテリジェンス・レポートを含むデータをダウンロードされるが、全ての Dragos のシステムは攻撃者には侵害されず、リスクは防止された。 |
|---|
| 被害額 | 不明(予想:被害額はないが、企業の信用および機密情報に損害がある可能性があるため、数十万ドル以上の影響があると想定される) |
|---|
攻撃者
| 攻撃者名 | 不明のサイバー犯罪グループ |
|---|
| 攻撃手法サマリ | 新しい営業社員の個人情報を使用してDragosの従業員をなりすまし、内部ネットワークのレイヤー・セキュリティに移動してアクセスを取得。SharePointクラウドプラットフォームに侵入し、Dragosの顧客のみが閲覧できる25のレポートを含む「一般化された」データをダウンロードされる。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-10 14:23:00 脆弱性
| CVE | CVE-2023-29324 |
|---|
| 影響を受ける製品 | Microsoft Windows全般 |
|---|
| 脆弱性サマリ | Windows MSHTMLにおけるセキュリティ機能バイパスに起因する認証情報盗難の脆弱性 |
|---|
| 重大度 | 中(CVSSスコア: 6.5) |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
- WindowsのMSHTMLプラットフォームに存在する脆弱性(CVE-2023-29324)が、認証情報盗難を引き起こすことが報告された。
- この脆弱性は、Microsoftの3月の更新でCVE-2023-23397を解決するために実装された修正プログラムの回避策となっている。
- Akamaiのセキュリティ研究者によれば、この脆弱性を悪用すると、認証情報がユーザーの知らないうちに盗まれる「ゼロクリック」攻撃が可能となる。
- この脆弱性により、Outlookクライアントが攻撃者が制御するサーバーに接続するよう誘導され、認証情報が流出するおそれがある。
- Microsoftは、MSHTMLプラットフォームとスクリプトエンジンの脆弱性に対処するため、Internet Explorerの累積更新プログラムのインストールを推奨している。
other 2023-05-10 14:13:34 - KingstonのSSDコントローラー用ファームウェア内にColdplayの歌詞が埋め込まれている
- KingstonはUSBドライブ、カードリーダー、ハードドライブなどのフラッシュメモリ製品で知られている
- SSDコントローラー用ファームウェアは改善とセキュリティに関する改良を提供するためにリリースされた
- 歌詞がファームウェア内にある機能的な目的があるのか、または単なるいたずらなのかは不明
- 調査中の研究者は、これまでに埋め込みファームウェア内でこれまでに見たことがないと言っている。
other 2023-05-10 14:13:34 - 著名なメモリープロダクト会社の Kingston 社が出荷する SSD のファームウェアに Coldplay の歌詞が埋め込まれていることが発見された。
- 経験豊富なリバースエンジニアである Nicholas Starke 氏が、Kingston 社のファームウェアのバイト列を分析し、またたく間に大ヒットしたポップ・ロック・バンド Coldplay の楽曲の歌詞を発見した。
- キングストンの web サイトからダウンロードしたバージョンには、Coldplay の 2002 年のヒット曲「The Scientist」の歌詞が含まれていた。
- なぜこの歌詞がファームウェアに埋まっているのかは分かっていない。
- この秘密の歌詞は、偶然にも Kingston 社にする悪ふざけだったと思われる。
other 2023-05-10 14:13:34 1. 「Surprise! Coldplay lyrics hidden in Kingston's SSD firmware」の記事である。
2. セキュリティーコンサルタント、Nicholas Starke氏がファームウェアの解析をしていたところ、対象のファームウェアにColdplayの一曲が埋め込まれていたことを発見した。
3. Kingstonの製品はフラッシュメモリ製品がウェルノウンで、この記事で触れられる対象はSSDである。
4. Zigのファイル内容には、リリースノートと*.binのファイルがある。
5.「The Scientist」は、KingstonのSSDコントローラファームウェアバージョン「SKC2000_S2681103」に含まれる。
vulnerability 2023-05-10 14:06:12 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Sysco |
|---|
| 被害サマリ | 大規模なサイバー攻撃により、フードディストリビューションの巨人であるSyscoがデータ漏洩にさらされた。このデータには従業員、顧客、サプライヤーの個人情報が含まれているとされている。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | トップ5のパスワードクラックテクニック |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
※記事中の[製品名]欄、[CVE番号|なし]欄および[RCE]欄は該当なしと判断されるため、それぞれ「なし」と記載しました。
本記事では、パスワードクラックについて解説し、ハッカーが使用するトップ5のクラックテクニックについて詳述しています。また、実際に起こったパスワードクラック攻撃の事例を挙げ、組織のデータのセキュリティ向上のための推奨事項も紹介しています。最新のハッシュアルゴリズムであるbcryptのようにセキュリティの強化が進んでいる一方、古いハッシュアルゴリズムを使ったパスワード保管法は既に脆弱であり、ハッキングされる危険性があることが指摘されています。推奨される対策としては、定期的にパスワードを変更すること、複雑なパスワードを使用すること、そしてセキュリティの強いアルゴリズムを使用することが挙げられます。
incident 2023-05-10 13:48:01 被害状況
| 事件発生日 | 2020年6月 |
|---|
| 被害者名 | Twitterの高名なユーザー、およびTikTokのパブリックフィギュアのアカウント所有者 |
|---|
| 被害サマリ | 高名なユーザーのアカウントを乗っ取り、仮想通貨の詐欺によって約105,000ドルの被害を与えた。TikTokアカウントの所有者を脅迫し、不正アクセスで推進と自己宣伝を行った。 |
|---|
| 被害額 | 約105,000ドル(仮想通貨) |
|---|
攻撃者
| 攻撃者名 | PlugwalkJoe(イギリス人) |
|---|
| 攻撃手法サマリ | SIMスワップ攻撃、社交工作、内部管理ツールの不正使用の複合攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-10 13:05:00 1. Bitdefenderは、中央アジアの政府機関を対象にした高度なスパイ活動について報告した。
2. これは、以前は記録されていないマルウェアの一種である「DownEx」を利用したもので、ロシアを拠点とする脅威アクターの関与が疑われている。
3. キャンペーンは、マイクロソフトワードファイルを模倣したブービー載せペイロードを含むスピアフィッシング攻撃を使用している。
4. カスタムツールを使用して、ファイルの削除、スクリーンショットをキャプチャし、特定の拡張子のファイルを盗むように設計されている。
5. DownExは、ファイルレス攻撃であり、メモリで実行されます。ハッカー達は、攻撃をより信頼性の高いものにするための新しい方法を見つけるために、新しい方法を見つけることができます。
incident 2023-05-10 12:00:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 多数の企業・組織 |
|---|
| 被害サマリ | Phishing-as-a-Service (PhaaS)プラットフォーム「Greatness」による、Microsoft 365を利用する企業・組織を対象としたフィッシング攻撃。被害企業の多くはアメリカの製造業、医療、テクノロジー、教育、不動産、建設、金融、ビジネスサービス業界。攻撃によって、被害者のメール、ファイル、データが盗まれた。また、盗まれた認証情報を使って、企業ネットワークに不正に侵入され、ランサムウェアの配信などの危険な攻撃に繋がった可能性がある。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明。攻撃者の国籍や特徴も不明。 |
|---|
| 攻撃手法サマリ | Microsoft 365を使う企業・組織を対象としたフィッシング攻撃。攻撃者はPhishing-as-a-Serviceプラットフォーム「Greatness」を使用し、標的となるメールアドレスをリストアップ。被害者には、本物そっくりのフィッシングページを見せるHTML添付ファイルを送信。ファイルを開くと、偽のログインページが表示され、被害者が自分のメールアドレスとパスワードを入力すると、その認証情報が攻撃者に送信された。攻撃者は送信された認証情報を使用して、被害者のメール、ファイル、データにアクセスし、企業ネットワークに不正に侵入した可能性がある。 |
|---|
| マルウェア | 使用されていない |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-10 11:15:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | Honeytokenが侵入検知技術として注目されている |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
この記事は、Honeytokenが侵入検知技術として注目されており、認証情報やシークレットを保護するために用いられることが紹介されている。Honeytokenは、侵入者が正規の認証情報の代わりに使用すると不審なアラートを発信するデコイであり、侵入者の攻撃行動を素早く検知できる。Honeytokenは、攻撃者が易しい標的を探す傾向にあるため、プログラム認証などのクラウドAPIキーが利用されることが多く、効果的な脅威検知技術であるとされる。しかし、広く利用されていない理由として、設置や保守が難しいことや、DevOpsによって構築されるソフトウェア開発環境が構成も複雑であるため、Honeytokenだけでは限界があるということが挙げられている。記事によると、Honeytokenによる侵入検知は今後注目されることが予想され、既にGitGuardianなどのベンダーがHoneytokenを提供しており、安易に導入できるように支援しているという。
incident 2023-05-10 10:50:00 被害状況
| 事件発生日 | 2020年7月15日 |
|---|
| 被害者名 | 130人以上の高名な人物及びTwitterユーザー |
|---|
| 被害サマリ | Twitterアカウント乗っ取りと暗号通貨詐欺によって1時間で約12万ドルを手に入れた。 |
|---|
| 被害額 | 約12万ドル(推定) |
|---|
攻撃者
| 攻撃者名 | Joseph James O'Connor(通称:PlugwalkJoe) |
|---|
| 攻撃手法サマリ | Twitterのバックエンドツールへの不正アクセス |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-10 08:44:00 被害状況
| 事件発生日 | 2023年5月10日 |
|---|
| 被害者名 | 北大西洋条約機構(NATO)加盟国の政府、ジャーナリスト、および他の関心のあるターゲットが含まれる、少なくとも50カ国の数百のコンピューターシステム |
|---|
| 被害サマリ | ロシアのFederal Security Service(FSB)が使用する高度なマルウェア「Snake」が使われ、ロシアの国家スポンサーであるTurla(別名Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear、およびWaterbug)によって操られたグローバルネットワークが乗っ取られた。 |
|---|
| 被害額 | 不明(予想される被害額は記事に記載されていない) |
|---|
攻撃者
| 攻撃者名 | Turla |
|---|
| 攻撃手法サマリ | 長期の高優先度ターゲットに対する情報収集を可能にする、P2Pネットワークの形成や、エンドターゲットに埋め込まれたSnakeマルウェアからのターゲットへの不可視の制御通信のルーティングなどが特徴 |
|---|
| マルウェア | Snake |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-10 05:34:00 被害状況
| 事件発生日 | 2023年5月のパッチ更新日 |
|---|
| 被害者名 | Microsoft社 |
|---|
| 被害サマリ | アクティブに悪用されているゼロデイ脆弱性を含む、38の脆弱性を修正するためのパッチ更新日。CVE-2023-29336はWin32kの特権昇格の欠陥で、システム権限を与えた攻撃者が利用可能。また、2つの既知の欠陥である、Windows OLEに影響を与えるリモートコード実行欠陥、及びBlackLotus UEFI Bootkitが利用するSecure Bootセキュリティ機能のバイパスも修正された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | アクティブに悪用されているゼロデイ脆弱性を含む、38の脆弱性を修正するためのパッチ更新日。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Win32kのCVE-2023-29336およびWindows OLEのCVE-2023-29325およびSecure BootのCVE-2023-24932。 |
|---|
脆弱性
| CVE | CVE-2023-29336, CVE-2023-29325, CVE-2023-24932 |
|---|
| 影響を受ける製品 | Microsoft製品 |
|---|
| 脆弱性サマリ | Win32kでの特権昇格に関するゼロデイ脆弱性が、既に攻撃されている。また、Windows OLEでのリモートコード実行脆弱性や、Secure Bootセキュリティ機能のバイパス攻撃も明らかになっている。 |
|---|
| 重大度 | 高(6件)および中(32件) |
|---|
| RCE | 有(CVE-2023-29325) |
|---|
| 攻撃観測 | 有(CVE-2023-29336、CVE-2023-29325) |
|---|
| PoC公開 | 不明 |
|---|
Microsoftは、2023年5月のパッチ更新で、アクティブに攻撃されているゼロデイ脆弱性を含む38件の脆弱性を修正した。この中には、Win32k特権昇格の脆弱性、Windows OLEでのリモートコード実行脆弱性、およびSecure Bootセキュリティ機能のバイパス攻撃に関する脆弱性が含まれている。8つの脆弱性には「Exploitation More Likely」の評価が行われた。しかし、攻撃者は物理的なアクセス権限または管理者権限を持っている必要がある。 また、Microsoftは4月のパッチ更新後に、ChromiumベースのEdgeブラウザで18の脆弱性を解決した。
vulnerability 2023-05-09 21:42:52 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | GitHub |
|---|
| 脆弱性サマリ | GitHubのパブリックコードリポジトリにおけるAPIキーおよびアクセストークンの漏洩を自動的にブロックするようGitHubが機能を強化 |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-05-09 21:29:14 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 300,000人以上の被害者 |
|---|
| 被害サマリ | SMSやメールのフィッシング攻撃で、少なくとも700,000ユーロ(約770万ドル)の損失を招いた |
|---|
| 被害額 | 700,000ユーロ(約770万ドル) |
|---|
攻撃者
| 攻撃者名 | スペインの犯罪組織「Trinitarios」のメンバー |
|---|
| 攻撃手法サマリ | SMSやメールのフィッシング攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-09 19:58:38 被害状況
| 事件発生日 | 2023年2月 |
|---|
| 被害者名 | Ruckus Wireless |
|---|
| 被害サマリ | 新たなボットネットマルウェア「AndoryuBot(アンドリューボット)」が、Ruckus Wireless管理画面の致命的な欠陥を悪用して、アクセスポイントを感染させてDDoS攻撃に利用している。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 未パッチの脆弱性を悪用したDDoS攻撃 |
|---|
| マルウェア | AndoryuBot |
|---|
| 脆弱性 | CVE-2023-25717 |
|---|
incident 2023-05-09 19:47:42 被害状況
| 事件発生日 | 2023年1月14日 |
|---|
| 被害者名 | Sysco |
|---|
| 被害サマリ | 世界中の333の配送施設と70万を超えるレストラン、ヘルスケア、教育機関を含む700,000カ所以上の顧客に影響。顧客、従業員、ビジネスに関連するデータが盗まれた。 |
|---|
| 被害額 | 不明(予想:数百万ドルから数千万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-09 18:45:48 被害状況
| 事件発生日 | 2023年5月9日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | BlackLotus UEFIマルウェアが、Fully patched Windowsシステムに感染するには、既存のセキュリティパッチをバイパスするSecure Boot zero-day脆弱性を悪用した。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明(BlackLotus UEFIマルウェアを使用した攻撃) |
|---|
| 攻撃手法サマリ | Secure Boot zero-day脆弱性を悪用 |
|---|
| マルウェア | BlackLotus UEFIマルウェア |
|---|
| 脆弱性 | Secure Boot zero-day脆弱性 (CVE-2023-24932) |
|---|
vulnerability 2023-05-09 18:45:48 脆弱性
| CVE | CVE-2023-24932 |
|---|
| 影響を受ける製品 | Windows 10, Windows 11, Windows Server |
|---|
| 脆弱性サマリ | Microsoft Secure Boot にあるセキュリティ・バイパス脆弱性 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 無 |
|---|
Microsoft Secure Bootのセキュリティバイパス脆弱性(CVE-2023-24932)が報告され、BlackLotus UEFIマルウェアに悪用され、Windows 10、Windows 11、Windows Serverに影響があることがわかった。攻撃者は物理アクセス権またはローカル管理者特権を持つ必要があるが、悪用が成功すると、セルフサインドコードをステルスインストールできる。Microsoftは、2023年5月9日のセキュリティ更新プログラムでこの問題に対処するための修正をリリースしたが、これはデフォルトで無効になっている。
vulnerability 2023-05-09 18:24:13 被害状況
| 事件発生日 | 2023年5月のパッチデイ |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Microsoft Windows 11の脆弱性が修正され、20の変更点などが追加された。 |
|---|
| 被害額 | 不明(予想:数百万ドル~数十億ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 38件の脆弱性と3件のゼロデイが修正された。 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Windows 11 |
|---|
| 脆弱性サマリ | Windows 11に38の脆弱性と3つのゼロデイが含まれる |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
※脆弱性については、Windows 11のセキュリティアップデートで修正された情報である。重大度や攻撃観測、PoCの有無は明らかにされていない。
incident 2023-05-09 18:11:06 被害状況
| 事件発生日 | 2023年5月9日 |
|---|
| 被害者名 | なし |
|---|
| 被害サマリ | Windows 10 の問題の修正、新機能の追加 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | なし |
|---|
| 攻撃手法サマリ | なし |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | Local Administrator Password Solution の競合による Windows Local Password Manager の脆弱性 |
|---|
incident 2023-05-09 17:50:17 被害状況
| 事件発生日 | 2023年5月9日 |
|---|
| 被害者名 | Microsoft製品の利用者 |
|---|
| 被害サマリ | ゼロ・デイ脆弱性3件、38件の欠陥が報告された。 |
|---|
| 被害額 | 不明(予想なし) |
|---|
攻撃者
| 攻撃者名 | 不明(特徴なし) |
|---|
| 攻撃手法サマリ | ウイルス感染によるコード実行 * |
|---|
| マルウェア | BlackLotus UEFI bootkit **、Windows OLE Remote Code Execution 欠陥 |
|---|
| 脆弱性 | Win32k カーネルドライバ特権昇格、Secure Boot Security Feature Bypass、Windows OLE Remote Code Execution 欠陥 |
|---|
* リモートコード実行は、最も重大な欠陥です。
** 2022年10月以来、脅威アクターがBlackLotusブートキットをハッカーフォーラムで販売し、引き続き機能を進化させています。「UEFIブートキット」とは、システムファームウェアに埋め込まれたマルウェアで、オペレーティングシステム内で実行されるセキュリティソフトウェアに見えず、ブートシーケンスの初期段階でロードされるためです。また、Secure Bootを迂回するための改良も行われています。
incident 2023-05-09 16:57:00 被害状況
| 事件発生日 | 2023年5月9日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 13のドメインが、他の犯罪者にDDoS攻撃のためのサービスを提供していたことが発覚し、米当局が押収した。このドメインは、学校区、大学、金融機関、政府のウェブサイトを含む様々なターゲットに攻撃を仕掛けるために支援していた。また、これに先立つ12月のスイープでは、同様のDDoS攻撃を行っていた48のサービスが停止している。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明(犯罪者・グループ) |
|---|
| 攻撃手法サマリ | DDoS攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-09 16:49:03 脆弱性
| CVE | CVE-2023-32233 |
|---|
| 影響を受ける製品 | Linux Kernel |
|---|
| 脆弱性サマリ | Netfilter nf_tablesの特定の状況において、悪意のあるユーザーが特権を上昇させ、システムに完全な攻撃者の制御を可能にすることができる脆弱性 |
|---|
| 重大度 | 未定 |
|---|
| RCE | 無し |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 5月15日にPoCが公開される予定 |
|---|
incident 2023-05-09 16:29:36 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ロシア政府によるサイバー諜報活動のため、20年以上にわたって50以上の国々で検知されたSnakeマルウェアにより、政府機関、研究機関、ジャーナリストなどが含まれる幅広いターゲットから機密情報を盗み取られた。NATO加盟国に属するデバイスも被害にあった。 |
|---|
| 被害額 | 不明(予想:数十億ドル) |
|---|
攻撃者
| 攻撃者名 | ロシア連邦保安庁(FSB)のCenter 16内のTurlaハッキンググループ |
|---|
| 攻撃手法サマリ | Snakeマルウェアを使用したサイバー諜報攻撃 |
|---|
| マルウェア | Snakeマルウェア(Uroburos) |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-09 14:01:02 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | WordPressのサイト |
|---|
| 脆弱性サマリ | Brute Force攻撃を防ぐWordPressプラグインCriminal IP FDSにおいて、一部のIPアドレスがアクセス制限をされていない不具合が報告されている。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
この記事は、WordPressプラグイン「Anti-Brute Force, Login Fraud Detector」(Criminal IP FDS)について述べている。このプラグインは、Brute Force攻撃を検出するためのもので、Criminal IPというOSINTベースの検索エンジンを使用している。Criminal IP FDSの実装において、一部のIPアドレスがアクセス制限されていない不具合が報告されている。この問題は重大度なし。
other 2023-05-09 13:29:00 1. 特定のチャットアプリを使って、東南アジアのギャンブル会社に攻撃するキャンペーン「Operation ChattyGoblin」が中国に関連する脅威アクターによって実行されている。
2. ESET社のサイバーセキュリティ研究によると、インドのAPTグループDonot TeamとSideWinderによる南アジアの政府機関への攻撃も検出された。
3. 中国に関連するサプライチェーンの侵害が原因でトロイの木馬が使用され、C#ドロッパーが配布されたことがわかった。
4. ESET社は、中国に関連する脅威アクターによって、フィリピンのギャンブル会社が攻撃されたと発表した。
5. North Korea-backed Lazarus Groupによる攻撃は、Accenture-themedのソーシャルエンジニアリング誘因で、インドのデータ管理サービスプロバイダーを狙っていた。
other 2023-05-09 12:54:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 記事には被害事例がありません |
|---|
| 被害額 | 予想不可 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | DevSecOpsの手法を使用した攻撃 |
|---|
| マルウェア | 記事にはマルウェアが特定されていません |
|---|
| 脆弱性 | 記事には脆弱性についての情報はありません |
|---|
記事タイトル
DevOpsからDevSecOpsへ:協力的なツールで製品セキュリティを強化する
脆弱性
なし
影響を受ける製品
なし
脆弱性サマリ
DevSecOpsによる製品セキュリティの強化について説明した記事
重大度
なし
RCE
なし
攻撃観測
なし
PoC公開
なし 1. The Hacker Newsは、300万人以上がフォローする、信頼できるサイバーセキュリティのニュースプラットフォームである。
2. DevSecOpsは、セキュリティをDevOpsに統合し、チームをエンパワーすることで、製品のセキュリティを強化する。
3. アプリケーションセキュリティチームは、開発過程に遅れて介入し、アプリケーションを保護することに注力するのに対し、製品セキュリティチームは、アプリケーション自体の信頼性を保証することに注力する。
4. DevOpsチームにセキュリティツールを提供して正しい実装を促し、さらに協力して、各DevOpsチームが他者の経験から利益を得ることができるようにすることが、製品セキュリティを強化する簡単な方法の1つである。
5. 協力ツールを利用して攻撃シグナルを共有することで、デブセックスチームはアプリケーションのセキュリティを強化し、組織全体がサイバー攻撃と戦うことができる。
incident 2023-05-09 09:39:00 被害状況
| 事件発生日 | 2022年11月下旬 |
|---|
| 被害者名 | パキスタン政府機関 |
|---|
| 被害サマリ | SideWinderによるバックドア攻撃が行われ、マルウェアが展開された。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | SideWinder |
|---|
| 攻撃手法サマリ | サーバーベースのポリモーフィズム技術を使ったバックドア攻撃が行われた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-09 08:53:00 被害状況
| 事件発生日 | 2023年5月9日 |
|---|
| 被害者名 | PaperCut |
|---|
| 被害サマリ | 脆弱性CVE-2023-27350を悪用され、不正アクセスによってPaperCutのプリント管理ソフトウェアに侵入され、任意のコードをSYSTEM権限で実行される可能性がある。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | イランの国家系グループ Mango Sandstorm (Mercury)および Mint Sandstorm (Phosphorus) |
|---|
| 攻撃手法サマリ | CVE-2023-27350を使用した攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-27350 |
|---|
incident 2023-05-09 05:48:00 被害状況
| 事件発生日 | 2023年3月以降 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 新しいランサムウェア"CACTUS"が、VPNアプライアンスの既知の脆弱性を利用して、ターゲットネットワークにアクセスし、データの暗号化前に機密データを窃取するダブルエクスポーション手法を用いた攻撃を実施したことが明らかになった。 |
|---|
| 被害額 | 不明(予想:数百万ドルから数千万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 既知のVPNアプライアンスの脆弱性を利用した攻撃を開始し、SSHバックドアを設定して永続アクセスを維持し、PowerShellコマンドを実行してネットワークスキャンを実施して暗号化対象のマシンリストを特定し、Cobalt StrikeやChiselのようなツールを使用してコマンドアンドコントロールを実行するRMMソフトウェアを使用してファイルを感染したホストにプッシュし、Webブラウザから資格情報を抽出するなど、攻撃を段階的に拡大する。 |
|---|
| マルウェア | CACTUSランサムウェア |
|---|
| 脆弱性 | VPNアプライアンスの既知の脆弱性 |
|---|
incident 2023-05-08 20:29:24 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | DDoS攻撃を受けるターゲット |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明(DDoS-for-hireサービスの提供者) |
|---|
| 攻撃手法サマリ | DDoS攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-08 17:31:15 被害状況
| 事件発生日 | 2023年3月 |
|---|
| 被害者名 | MSI |
|---|
| 被害サマリ | Money Messageというランサムウェアグループにより、MSIのシステムに侵入され、ファームウェア、ソースコード、データベースを含む1.5TBのデータが盗まれ、2023年5月にデータリークサイトで漏えいされた。 |
|---|
| 被害額 | 不明(予想:数百万米ドル以上) |
|---|
攻撃者
| 攻撃者名 | Money Messageランサムウェアグループ |
|---|
| 攻撃手法サマリ | ランサムウェアによるシステム侵入 |
|---|
| マルウェア | ランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-08 16:25:02 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft Authenticator |
|---|
| 脆弱性サマリ | 複数の MFAプッシュ リクエストに対処するため、Microsoft Authenticator のプッシュ通知に数字を追加 |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
複数のMFAプッシュリクエスト攻撃に対処するため、MicrosoftはMicrosoft Authenticatorのプッシュ通知に数字を追加し始めました。削除する前に手動で数字をマッチングすることもできます。このような攻撃は、サイバー攻撃者が盗まれた認証情報を使用して、企業のアカウントにログインしようとする試みを承認するように求めるモバイルプッシュ通知をターゲットに洪水のように送信する「プッシュ爆撃」としても知られています。このような攻撃には数字を追加することで防止することができます。
incident 2023-05-08 15:32:41 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | シンガポール在住の女性 |
|---|
| 被害サマリ | シンガポールのバブルティーショップでQRコードをスキャンし、アプリをダウンロードして"アンケート"に回答するよう指示され、寝静まった夜に銀行口座から2万ドル詐取された。 |
|---|
| 被害額 | 2万ドル(約220万円) |
|---|
攻撃者
| 攻撃者名 | 不明(未確認) |
|---|
| 攻撃手法サマリ | QRコードを用いたフィッシング詐欺 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-08 15:24:00 1. The Hacker Newsは3.45ミリオン以上のフォロワーを持つセキュリティに関するニュースプラットフォームである。
2. サイトのトップページには、ホーム、データ侵害、サイバーアタック、脆弱性、ウェビナー、ストア、コンタクトのメニューバーがある。
3. このウェブサイトは、サイバーセキュリティ業界の専門家によって書かれたセキュリティ関連の記事を提供する。
4. このウェブサイトは、セキュリティに関する無料eBook、Storeがあり、また、企業広告も掲載している。
5.ユーザーは、The Hacker NewsのSNSアカウントをフォローすることで、更なる情報を得ることができる。
incident 2023-05-08 15:23:00 被害状況
| 事件発生日 | 2023年5月 |
|---|
| 被害者名 | MSI |
|---|
| 被害サマリ | MSIのプライベートのコードサイニングキーが、ランサムウェア攻撃の脅威アクターによってダークウェブ上にリークされた。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | MSIのBoot Guardキーに脆弱性があり、11th Tiger Lake、12th Adler Lake、13th Raptor Lake機種に影響を及ぼす |
|---|
incident 2023-05-08 14:47:26 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | PaperCut MF/NG プリント管理サーバーを標的にした攻撃が継続中。[CVE-2023-27350]という脆弱性を悪用して、ランサムウェア攻撃も確認された。また、攻撃者はイラン政府系のMango SandstormとMint Sandstormであることが特定されている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | イラン政府系のMango SandstormとMint Sandstorm |
|---|
| 攻撃手法サマリ | CVE-2023-27350という脆弱性を悪用したリモートコード実行(RCE)攻撃を行っている。 |
|---|
| マルウェア | Clop RansomwareとLockBit Ransomwareが確認された。 |
|---|
| 脆弱性 | CVE-2023-27350 |
|---|
incident 2023-05-08 14:06:00 被害状況
| 事件発生日 | 2023年3月26日 |
|---|
| 被害者名 | Western Digital(ウエスタン・デジタル)のオンラインストアの顧客 |
|---|
| 被害サマリ | Western Digitalのシステムに不正アクセスがあり、顧客の氏名、請求先および配送先住所、Eメールアドレス、電話番号、暗号化されたハッシュ化・ソルト化されたパスワード、それに一部のクレジットカード番号が盗まれた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | ALPHV(別名BlackCat)ランサムウェアの攻撃者 |
|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
|---|
| マルウェア | ALPHVランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-08 14:05:10 被害状況
| 事件発生日 | 2023年3月 |
|---|
| 被害者名 | ウェスタンデジタル(Western Digital) |
|---|
| 被害サマリ | ハッカーによって顧客データが盗まれた |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不正なソフトウェアのダウンロードによる攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Wazuh |
|---|
| 脆弱性サマリ | データ泥棒を検出できることから、この問題が未だ根絶されていない企業において使用価値がある。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
Wazuhはデータ泥棒を監視することによって、内部・外部のどちらからも企業の機密情報が盗まれることを検出することができる。具体的には、ファイルの整合性モニタリング、脆弱性検出、セキュリティ設定の評価、ログデータの分析を行い、潜在的な脅威を発見することができる。Wazuhはオープンソースファイルなので、脆弱性の検出に使用することができる。
incident 2023-05-08 13:27:00 被害状況
| 事件発生日 | 2023年5月8日 |
|---|
| 被害者名 | インドの織物研究機構 |
|---|
| 被害サマリ | サイバー攻撃者がインドの織物研究機構を標的としたフィッシングキャンペーンを行い、偽のファイルを添付してマルウェアを送信し、機密情報を収集した。 |
|---|
| 被害額 | 不明(予想:数百万円) |
|---|
攻撃者
| 攻撃者名 | SideCopy |
|---|
| 攻撃手法サマリ | フィッシング攻撃 |
|---|
| マルウェア | Action RAT, AllaKore RAT |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-08 11:49:00 1. Trusted Cybersecurity News Platform
2. Threat hunting is crucial
3. Threat hunting complements existing prevention and detection security controls
4. Steps to Threat Hunt
5. Threat Intelligence Best Practices
incident 2023-05-08 06:10:00 被害状況
| 事件発生日 | 2023年5月8日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ウクライナの政府機関を標的としたSmokeLoaderおよびRoarBATマルウェア攻撃。UAC-0006と推定される脅威係から送信されたフィッシングメールにより感染。SmokeLoaderは、主に感染したシステムにより隠蔽性の高いマルウェアをダウンロードまたはロードするために使用される。また、RoarBATは、WinRARを利用してファイルを削除するためにバッチスクリプトを使用する破壊的マルウェアである。 |
|---|
| 被害額 | 不明(予想:数億円) |
|---|
攻撃者
| 攻撃者名 | UAC-0006とされる脅威係。国籍や組織名は不明。 |
|---|
| 攻撃手法サマリ | フィッシングメールを使用したウイルス感染。RoarBATは、WinRARを使用したファイル削除。 |
|---|
| マルウェア | SmokeLoaderおよびRoarBAT。 |
|---|
| 脆弱性 | 不明。 |
|---|
incident 2023-05-07 16:25:13 被害状況
| 事件発生日 | 少なくとも2023年3月以降 |
|---|
| 被害者名 | 大規模商業機関 |
|---|
| 被害サマリ | CactusというランサムウェアがVPNアプライアンスの脆弱性を利用してネットワークにアクセスしており、ファイルの暗号化とデータの盗難を行っている。被害者は非公開だが、被害が増加しており、被害額は何百万ドルにもなるという。 |
|---|
| 被害額 | 被害額は不明。ただし、報道によれば、被害額は何百万ドルにもなるとされている。 |
|---|
攻撃者
| 攻撃者名 | Cactusランサムウェアを使用したランサムウェアグループ |
|---|
| 攻撃手法サマリ | VPNアプライアンスの脆弱性を利用してネットワークにアクセスし、ランサムウェアのファイルを暗号化する。Cactusランサムウェアはユニークな特徴を持ち、暗号化する際に自らを暗号化して検出を避けている。 |
|---|
| マルウェア | Cactusランサムウェア |
|---|
| 脆弱性 | Fortinet VPNアプライアンスの脆弱性 |
|---|
incident 2023-05-07 16:10:45 被害状況
| 事件発生日 | 2023年3月26日 |
|---|
| 被害者名 | Western Digitalのオンラインストアの顧客 |
|---|
| 被害サマリ | Western Digitalのデータベースが不正アクセスされ、氏名、請求書と送付先の住所、メールアドレス、電話番号、ハッシュ化され、ソルティングされたパスワード、および部分的なクレジットカード番号が含まれる限られた個人情報が流出した。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-07 14:16:08 1. 「Bleeping Computer」のニュース記事ページがある。
2. 3つの種類の情報が掲載されており、クリックすることで詳細が閲覧可能。
3. Virus Removal Guidesでは、トロイの木馬やコンピューターウイルスに関する削除方法が紹介されている。
4. Tutorialsには、Windows 11の設定方法など、コンピューター関連の操作方法が解説されている。
5. New CS:GO map bypasses Russia's censorship of Ukraine war newsという、ロシアの報道規制を回避した特別なCS:GOマップに関するニュースが掲載されている。
incident 2023-05-07 13:16:08 エラーが発生しました。 記事ファイル名:../articles/20230507 131608_0829ff6fe3e3d7279303b4b64754d7b95dd2560bf17fc4315376f65b43a25402.json This model's maximum context length is 4097 tokens. However, you requested 4312 tokens (3288 in the messages, 1024 in the completion). Please reduce the length of the messages or completion. <> security_news_matomerukun.py:81
incident 2023-05-06 16:29:05 被害状況
| 事件発生日 | 2023年4月頃 |
|---|
| 被害者名 | Twitterのユーザー |
|---|
| 被害サマリ | Twitter Circle機能にて、ユーザーが選んだ特定の人たちが閲覧できるようになったはずのツイートが外部のユーザーに公開された。 |
|---|
| 被害額 | 不明(予想:賠償金、対応費用を含めて数十億円規模) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-06 14:11:22 脆弱性
| CVE | CVE-2023-27350 |
|---|
| 影響を受ける製品 | PaperCut MFまたはNGバージョン8.0以降 |
|---|
| 脆弱性サマリ | 認証なしで遠隔のコード実行が可能(RCE) |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 既に攻撃が確認されている |
|---|
| PoC公開 | 既に複数のPoCがリリースされており、今回の脆弱性を突くための新たなPoCも公開された。 |
|---|
incident 2023-05-06 11:24:00 被害状況
| 事件発生日 | 2022年のキャンペーン |
|---|
| 被害者名 | オンラインゲーム業界 |
|---|
| 被害サマリ | 中国語を話すAPTグループDragon Breathによる攻撃で、Windowsインストーラーを利用してトロイの木馬をユーザーにダウンロードさせるワーテリングホール攻撃。 |
|---|
| 被害額 | 不明(予想ありません) |
|---|
攻撃者
| 攻撃者名 | Dragon Breath |
|---|
| 攻撃手法サマリ | 新しいDLLサイドローディング攻撃手法を採用 |
|---|
| マルウェア | 「gh0st RAT」というマルウェアを展開するため、DLLを使ったサイドローディング攻撃を行った。 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-06 05:41:00 脆弱性
| CVE | CVE-2023-30777 |
|---|
| 影響を受ける製品 | WordPressのAdvanced Custom Fieldsプラグイン(version 6.1.6) |
|---|
| 脆弱性サマリ | 任意のスクリプトを挿入される脆弱性 (reflected cross-site scripting) |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
WordPressのAdvanced Custom FieldsプラグインにCVE-2023-30777の任意のスクリプトを挿入される脆弱性が見つかった。脆弱性を突かれた場合、管理者が特定のURLにアクセスすることで任意のスクリプトが実行され、管理者の権限でWordPressサイトを操作される可能性がある。また、このプラグインは2百万以上のサイトで使用されているため、危険性があり注視されている。
vulnerability 2023-05-05 18:39:17 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Android OS |
|---|
| 脆弱性サマリ | FluHorseと呼ばれる新種のAndroidマルウェアが発見され、フィッシング攻撃を行い、ユーザーのアカウント情報、クレジットカードデータ、さらに2つの認証局コードを窃取する可能性がある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
vulnerability 2023-05-05 17:45:15 脆弱性
| CVE | CVE-2023-0266 |
|---|
| 影響を受ける製品 | Android |
|---|
| 脆弱性サマリ | Linux Kernelのサウンドサブシステムにあるuse-after-freeの脆弱性による特権昇格 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 限定的かつターゲット型の攻撃がある |
|---|
| PoC公開 | 不明 |
|---|
注記:本記事には、2023年の情報が含まれています。
incident 2023-05-05 15:04:12 被害状況
| 事件発生日 | 2023年5月5日 |
|---|
| 被害者名 | Constellation Software |
|---|
| 被害サマリ | Constellation Softwareの内部財務報告、および関連データストレージに関連した一部のシステムにサイバー攻撃が発生。個人情報やビジネスデータが盗まれた。また、ALPHV ransomware gangによるサイバー攻撃を受け、1 TB以上のファイルが盗まれた。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | ALPHV ransomware gang |
|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
|---|
| マルウェア | ALPHV ransomware |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-05 14:57:43 脆弱性
| CVE | CVE-2023-30777 |
|---|
| 影響を受ける製品 | Advanced Custom Fields、Advanced Custom Fields Pro WordPressプラグイン |
|---|
| 脆弱性サマリ | Advanced Custom FieldsとAdvanced Custom Fields Pro WordPressプラグインにはXSS(クロスサイトスクリプティング)の脆弱性があり、ユーザーがアップグレードしない場合、攻撃者はウェブサイトに悪意のあるスクリプトを注入できます。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 無し |
|---|
| PoC公開 | なし |
|---|
incident 2023-05-05 13:47:00 被害状況
| 事件発生日 | 2022年5月以降 |
|---|
| 被害者名 | 東アジア市場のセクター |
|---|
| 被害サマリ | フィッシングキャンペーンで、FluHorseと呼ばれる新種類のAndroidマルウェアが広がっている。このマルウェアは、Flutterという開発フレームワークを悪用して、1,000,000を超えるインストールを誇る真正なアプリを模倣するように作られていた。被害者の認証情報や2段階認証のコードなどを窃取している。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明。ただしFluHorseのデベロッパーや配布元は特定されているわけではない。 |
|---|
| 攻撃手法サマリ | フィッシング攻撃で、バッドリンクを踏んだ被害者がFluHorseをダウンロードして感染したと思われる。 |
|---|
| マルウェア | FluHorse |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-05 11:49:00 被害状況
| 事件発生日 | 不明(2019年以降に発生している) |
|---|
| 被害者名 | イタリアの企業銀行の顧客 |
|---|
| 被害サマリ | Windowsのワークステーションに感染して、被害者の銀行送金を違法な口座に変更することで、資金を盗むdrIBANのキットを用いた金融詐欺キャンペーン |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明、おそらくイタリア人ではない |
|---|
| 攻撃手法サマリ | Web inject(Man-in-the-Browser攻撃)を利用した金融詐欺。Phishingメールによって、銀行送金を変更するために必要な情報を収集するためにsLoadマルウェアをダウンロードし、Ramnitトロイの木馬を使用する。 |
|---|
| マルウェア | sLoad、Ramnitトロイの木馬 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-05 10:19:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Kimsuky(北朝鮮が関与するハッカーグループ)が新たに「ReconShark」という偵察ツールを使用した攻撃を行ったことが発覚した。具体的には、スピアフィッシングメール、OneDriveリンクからのダウンロード、悪意のあるマクロによって「ReconShark」が送られ、ターゲットメントした個人に実行された。攻撃は北アメリカ、アジア、ヨーロッパの非政府組織、シンクタンク、外交機関、軍事機関、経済団体、調査機関も含まれる広範囲な組織を標的にしており、機密情報などが漏えいした可能性がある。また、攻撃者は具体的な個人に合わせたデザイン、文法、視覚的手がかりなどの品質を備えたスピアフィッシングメールを作成していた。 |
|---|
| 被害額 | 不明(予想:機密情報漏えいなどによる被害があるため、影響が生じた企業や団体によって異なる) |
|---|
攻撃者
| 攻撃者名 | Kimsuky(北朝鮮が関与するハッカーグループ) |
|---|
| 攻撃手法サマリ | スピアフィッシングメール、OneDriveリンクからのダウンロード、悪意のあるマクロを使用した攻撃。攻撃者は、特定の個人に合わせたデザイン、文法、視覚的手がかりなどの品質を備えたスピアフィッシングメールを作成していた。 |
|---|
| マルウェア | ReconShark |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-05 10:18:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | ウェブサイトのサードパーティスクリプト(Google Analytics, Meta Pixel, HotJar, JQueryなど) |
|---|
| 脆弱性サマリ | サードパーティスクリプトの欠如する可視性によるウェブサイト保護の課題 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
本記事では、サードパーティスクリプトによってウェブサイトパフォーマンスを最適化することがビジネスにとって重要なツールである一方で、これらのスクリプトの管理が煩雑であり、サードパーティスクリプトの欠如する可視性によるウェブサイト保護の課題があることが述べられている。この課題を解決するための具体的な対策として、定期的なセキュリティ監査、外部ウェブサイトモニタリングシステムの導入、セキュアなホスティング、従業員の教育、二段階認証の実施、コンテンツセキュリティポリシーの実装、ソフトウェアの定期的なアップデートなどが紹介されている。また、外部ウェブサイトモニタリングシステムであるReflectizを使うことで、サードパーティスクリプトの状況を把握することができることが具体例として挙げられている。
incident 2023-05-05 09:52:00 被害状況
| 事件発生日 | 2023年5月1日 |
|---|
| 被害者名 | PHPソフトウェア・パッケージリポジトリ「Packagist」のユーザー |
|---|
| 被害サマリ | 4つのアカウントが乗っ取られ、偽のGitHubリポジトリに差し替えられた約14のパッケージから、約500万回インストールされたものを含むパッケージがハイジャックされた。 |
|---|
| 被害額 | 不明(予想:被害者が直面した損失を正確に特定できないため) |
|---|
攻撃者
| 攻撃者名 | 匿名ペネトレーションテスター「neskafe3v1」 |
|---|
| 攻撃手法サマリ | 4つの不活動アカウントが不正にアクセスされ、偽のパッケージがGitHubに配備された。 |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-05 07:21:00 被害状況
| 事件発生日 | 2022年以降(具体的な日付は不明) |
|---|
| 被害者名 | 不特定多数のAndroid端末ユーザー |
|---|
| 被害サマリ | Google Playストアに存在した11種類のアプリの中にFleckpeというマルウェアが仕込まれ、そのアプリの合計ダウンロード数は620,000回を超えていた。被害者がタイ国内に多いことが判明したが、ポーランド、マレーシア、インドネシア、シンガポールでも被害があった。Fleckpeは、正規の写真編集アプリやカメラ、スマートフォン用の壁紙パックのように装い、実際にはサブスクリプション型のマルウェアとして機能していた。 |
|---|
| 被害額 | 不明(予想:数百万円) |
|---|
攻撃者
| 攻撃者名 | 不明(国籍や特徴は明らかでない) |
|---|
| 攻撃手法サマリ | Google Playストアにアップロードされた正規のアプリに、マルウェアを仕込んで感染させる手法を使用した。 |
|---|
| マルウェア | Fleckpe |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-05 05:16:00 脆弱性
| CVE | CVE-2023-20126 |
|---|
| 影響を受ける製品 | Cisco SPA112 2-Port Phone Adapters |
|---|
| 脆弱性サマリ | リモートの攻撃者が、認証を必要としないファームウェアのアップグレードを通じて、任意のコードを実行できる |
|---|
| 重大度 | 10.0(最大値) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
CiscoのSPA112 2-Port Phone Adaptersには、リモートの攻撃者が、認証を必要としないファームウェアのアップグレードを通じて、任意のコードを実行できる脆弱性がある(CVE-2023-20126)。重大度は10.0で、攻撃者はRCEを実行することができる。攻撃観測は不明であり、PoC公開もされていない。Ciscoは、2010年6月1日をもってデバイスのEoL(エンド・オブ・ライフ)を宣言したため、修正版はリリースされない。代わりに、ユーザーはCisco ATA 190シリーズアナログ電話アダプタに移行することを推奨している。
incident 2023-05-04 21:40:19 被害状況
| 事件発生日 | 不明(2023年3月時に、北朝鮮のサイバー攻撃グループKimsukyによる攻撃が発覚) |
|---|
| 被害者名 | 政府機関、研究機関、大学、シンクタンク |
|---|
| 被害サマリ | Kimsukyが改良を加えた新型の偵察マルウェア「ReconShark」を使用して、世界各地の政府機関、研究機関、大学、シンクタンクを標的とした攻撃を実施。攻撃の詳細は不明 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | Kimsuky(北朝鮮のサイバー攻撃グループ) |
|---|
| 攻撃手法サマリ | 偵察マルウェア「ReconShark」を使用し、政府機関、研究機関、大学、シンクタンクを標的としたサイバー攻撃を実施 |
|---|
| マルウェア | BabySharkマルウェアを改良したReconSharkマルウェアを使用 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-04 20:20:48 1. マルウェアバイト、プレミアム+プライバシーの一年間サブスクリプションが50%オフ
2. Malwarebytes Premiumには、実行中のマルウェア対策や詐欺リンク対策、ランサムウェア対策の他、アンインストール保護やポテンシャルアンワンテッドプログラムの削除もできる。
3. Malwarebytes Privacyには、データ暗号化によるインターネットのプライバシー保護機能★
4. 特定期間限定のキャンペーンであるため、期限内に登録することが必要。
5. マルウェアバイトは、BleepingComputerと提携して、セキュリティ関連の割引を提供している。
incident 2023-05-04 19:12:01 被害状況
| 事件発生日 | 2023年5月4日 |
|---|
| 被害者名 | Androidユーザー620,000人以上 |
|---|
| 被害サマリ | Google Playストアで正規アプリに偽装され、Fleckpeサブスクリプション型マルウェアに感染してしまった。ユーザーはプレミアムサービスに無断で登録され、請求された料金を脅迫される。攻撃者によって收益が得られる。 |
|---|
| 被害額 | 不明(予想:数百万円) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 偽の画像編集アプリなどと称してFleckpeサブスクリプション型マルウェアを配布。通知コードをキャプチャするため、ユーザーから通知のアクセス許可を要求している。被害者は無断登録されたサブスクリプションの料金を脅迫されることになる。 |
|---|
| マルウェア | Fleckpeサブスクリプション型マルウェア |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-04 18:04:46 1. Windows 11 Insider Preview Build 23451が、File Explorerの詳細ペインのモダナイズ、Windows Spotlightの改善、スタートメニューの"notification badging"の拡大をリリースした。
2. 詳細ペインは、ALT + Shift + Pを押下することで、ファイルのサムネイル、シェアステータス、ファイルアクティビティ、関連ファイルやメールなど、ファイルに関するコンテキスト情報が表示される。
3. Windows Spotlightには、2つのデザインがテストされており、フルスクリーンモードと最小化モードがある。また、Insiders向けに様々なバリエーションがテストされる。
4. Startメニューの"notification badging"展開では、Microsoftアカウント関連の通知が表示される。
5. このWindows Insiderビルドでのテストの結果によって、Microsoftは、一般の顧客にリリースする機能のデザインを変更したり、リリースしないこともあるため、注意する必要がある。
incident 2023-05-04 17:28:58 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Cisco SPA112 2-Port Phone Adaptersのウェブベース管理インターフェイスに脆弱性があり、リモートからの不正アクセスが可能になると報告された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明、国籍・特徴不詳 |
|---|
| 攻撃手法サマリ | ファームウェアのアップグレード機能内の認証プロセスの不足によるリモートコード実行 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-20126 |
|---|
incident 2023-05-04 15:21:25 被害状況
| 事件発生日 | 2023年4月30日 |
|---|
| 被害者名 | Bluefield University |
|---|
| 被害サマリ | Avos ransomwareグループが、Bluefield Universityの緊急放送システム「RamAlert」を乗っ取り、学生や職員に個人データを盗まれたことを知らせるSMSテキストやメールアラートを送信し、そのデータがすぐにリリースされると脅迫しました。 |
|---|
| 被害額 | 不明(予想:数十万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Avos ransomwareグループ |
|---|
| 攻撃手法サマリ | Bluefield Universityの緊急放送システム「RamAlert」を乗っ取り、学生や職員に個人データを盗まれたことを知らせるSMSテキストやメールアラートを送信し、そのデータがすぐにリリースされると脅迫しました。 |
|---|
| マルウェア | AvosLocker |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-04 14:04:02 - LambdaTestが提供するスポンサー記事で、Webとモバイルのためにシームレスで効果的なデジタル体験を提供する方法が紹介されている。
- オンラインでの購入に人々が傾いていることが示され、顧客体験を向上させることが企業にとって重要であることが強調された。
- 最新の技術を採用し、顧客が期待するものを提供することが重要であるとされ、関心を引くためにトレンドに追随することが必要である。
- ユーザーのインタラクションを最小限に抑えるために、広告会社がユーザーの興味を獲得するためにCookieを使用したり、人工知能が導入されることが推奨されている。
- データの整合性維持が重要であり、複数のデバイスで使いやすい一貫性を維持することが必要であるとされた。
- LambdaTestのようなクラウドサービスを使用することで、Webとモバイルのアプリケーションのマニュアルと自動テストを実行することができる。
vulnerability 2023-05-04 13:19:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft Azure API Management |
|---|
| 脆弱性サマリ | Microsoft Azure API Managementには、2つのServer-Side Request Forgery(SSRF)脆弱性と、API Managementの開発者ポータル内のアンレストリクトドファイルアップロード機能の1つがあります。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
Microsoft AzureのAPI Managementサービスには、2つのSSRF脆弱性と、API Management開発者ポータル内のアンレストリクトドファイルアップロード機能の1つがあります。これらの脆弱性を悪用することで、攻撃者は、CORSプロキシおよびホスティングプロキシ自体からリクエストを送信し、内部Azureアセットにアクセスしたり、サービスを拒否したり、Webアプリケーションファイアウォールをバイパスしたりすることができます。SSRF脆弱性の悪用は、機密性と整合性の喪失を引き起こし、脅威アクターが内部Azureリソースを読むことや、非許可のコードの実行を行うことができます。開発者ポータルで発見されたパストラバーサル脆弱性は、アップロードされたファイルのファイルタイプとパスの検証が欠落しているため、認証されたユーザーがこの不具合を利用して、悪意のあるファイルを開発者ポータルサーバーにアップロードし、基礎となるシステムで任意のコードを実行する可能性があります。全ての脆弱性は報告後、マイクロソフトによって修正されました。
vulnerability 2023-05-04 13:03:00 脆弱性
| CVE | CVE-2023-27350 |
|---|
| 影響を受ける製品 | PaperCut MFおよびNG |
|---|
| 脆弱性サマリ | 脆弱性により、認証されていない攻撃者がSYSTEM権限で任意のコードを実行できる |
|---|
| 重大度 | 9.8 (重大) |
|---|
| RCE | 可能 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | あり |
|---|
PaperCut MFおよびNGには、認証されていない攻撃者がSYSTEM権限で任意のコードを実行できるCVE-2023-27350という脆弱性が報告された。PoCは公開されている。脆弱性が修正される前に既に攻撃活動が観測されており、ランサムウェアなど多数の脅威グループによって武器化された。脆弱性は、PaperCutプリンターのスクリプティングインタフェースを利用してWindowsコマンドを実行する、あるいはマルウェアをダウンロードすることによって攻撃者に悪用されていた。通常、これらの攻撃には検知シグネチャが存在する。しかし、VulnCheckは、PaperCutの「ユーザー/グループ同期」機能を悪用する新しい攻撃方法を発見した。通常、ユーザーはActiveDirectory、LDAP、またはカスタムソースからユーザーおよびグループ情報を同期させることができる。そして、特定のカスタムソースを指定すると、ユーザー認証プログラムを検証するためのカスタム認証プログラムも指定できる。これにより、攻撃者はコメントアウトされた特定の認証プログラムを再アクティブ化させ、システム権限で任意のコードを実行できる。この新しい攻撃方法は、既存の検出シグネチャを回避できるため、対策を講じる必要がある。
other 2023-05-04 11:15:00 1. ダークウェブはサイバー犯罪において非常に危険な存在であり、組織のセキュリティ担当者が対処しなければならない。
2. セキュリティ技術は強力であるが、インターネットのすべての暗い部分を監視するのは難しいため、脅威を完全に予知することはできない。
3. 「情報スティーラー」と呼ばれるマルウェアがクラウドネットワークに増加し、サイバー犯罪者は機密データを奪取し、知的財産を盗み、業界全体を危険に晒すようになった。
4. Cynet社は、ダークウェブとアンダーグラウンドフォーラムを監視する「Lighthouse Service」を開始し、侵害された資格情報監視に特化した。
5. セキュリティ強化には、NIST CSFフレームワークを始めとする好評なルートがあり、CSFマッピングを始めとする多様なツールを使うことになる。
incident 2023-05-04 10:51:00 被害状況
| 事件発生日 | 2023年5月4日 |
|---|
| 被害者名 | 南アジア在住の個人 |
|---|
| 被害サマリ | FacebookおよびInstagramの数百のフィクションな人物像を利用することで、3つの異なる脅威アクターが南アジアの個人に対して攻撃。被害者が悪意のあるリンクをクリックしたり、マルウェアのダウンロードを行ったり、個人情報を共有したりするような社会工作を利用することが多かった。被害者の中にはインドおよびパキスタンの軍関係者も含まれており、GravityRATを仮想ストレージアプリやエンターテイメントアプリのふりをしてインドおよびパキスタンの軍関係者に感染させたAPTグループが特に悪質だった。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | パキスタン、インド、バングラデシュ、スリランカ、チベット、中国を含む多くの南アジア在住者およびアメリカ、ベネズエラ、イラン、ジョージア、ブルキナファソ、トーゴの競合的な行為者 |
|---|
| 攻撃手法サマリ | FacebookおよびInstagramのフィクションな人物像を利用することで、個人情報の漏洩を行い、APTグループは特定のターゲットを狙っていた。また、攻撃者は既存のセキュリティ欠陥を迅速に悪用することが多かった。 |
|---|
| マルウェア | GravityRATとAndroidマルウェア(Playストアに発表されたセキュアチャットやVPNのアプリを模倣するもの)など、数多くのマルウェアが使用された。 |
|---|
| 脆弱性 | AppleおよびGoogleによるアプリ検証チェックを回避するため、低い脆弱性のマルウェアが使用された。 |
|---|
incident 2023-05-04 08:57:00 被害状況
| 事件発生日 | 2023年5月4日 |
|---|
| 被害者名 | Facebookユーザー |
|---|
| 被害サマリ | Metaを標的にしたマルウェア攻撃によって、OpenAIのChatGPTを餌にして、約10のマルウェアファミリーが拡散した。被害者がダウンロードした悪意のある拡張機能からFacebookのアカウントや認証情報が盗まれ、ビジネスアカウントがハイジャックされ、広告が不正に掲載された。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明(ベトナムにいると報告された個人に送られた中止と中断の要求書があった) |
|---|
| 攻撃手法サマリ | 偽のChatGPTブラウザ拡張機能を介して、不正な広告を掲載するためにFacebookアカウントの認証情報を盗むマルウェア攻撃。 |
|---|
| マルウェア | Ducktail、NodeStealerなど複数(OpenAIのChatGPTを餌に使用) |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-03 22:13:55 被害状況
| 事件発生日 | 2023年5月2日 |
|---|
| 被害者名 | ダラス市 |
|---|
| 被害サマリ | ロイヤルランサムウェアによる攻撃を受けて、ITシステムが一部停止し、警察や裁判所のシステムも影響があった。911通報センターが紙で受け取り、ITシステムが機能していないため、市の裁判所は陪審員の義務を停止した。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | ロイヤルランサムウェアの運営者(Contiサイバー犯罪シンジケートの派生と見られている) |
|---|
| 攻撃手法サマリ | callback phishing攻撃、Internet-exposedデバイスの脆弱性の利用 |
|---|
| マルウェア | Royal ransomware、Zeon encryptorなど |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-03 21:21:42 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 中国語を話すWindowsユーザー |
|---|
| 被害サマリ | Dragon Breathとして知られるAPTハッキンググループが、複数のDLLサイドローディング技法のバリエーションを使用して、検出を回避する新しい傾向を示している。攻撃は、Telegram、LetsVPN、WhatsAppアプリを用いたトロイの木馬攻撃で、中国を中心とした中国語を話すWindowsユーザーを狙っている。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | Dragon Breath, Golden Eye Dog, APT-Q-27 |
|---|
| 攻撃手法サマリ | 複数のDLLサイドローディング技法を使用し、検出を回避 |
|---|
| マルウェア | 複数のマルウェアによって攻撃を行っている。最終的なペイロードはバックドアであるが、具体的な名称は不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-03 20:41:49 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | ウクライナ国のある政府機関 |
|---|
| 被害サマリ | ロシアのサイバー攻撃グループ「Sandworm」が、ウクライナの国営ネットワークのVPNアカウントを乗っ取って、WinRARを使用して政府関係者のノートパソコンやサーバからファイルを削除した。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | ロシアのサイバー攻撃グループ「Sandworm」 |
|---|
| 攻撃手法サマリ | VPNアカウントの乗っ取りを行って、WinRARを使用してファイルを削除した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-03 19:40:25 被害状況
| 事件発生日 | 2023年5月3日 |
|---|
| 被害者名 | Orqa |
|---|
| 被害サマリ | FPV.One V1ドローン用ゴーグルのファームウェアに埋め込まれた、タイムボム型のランサムウェアが起因してBrick化してしまった。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 元請負業者 |
|---|
| 攻撃手法サマリ | ランサムウェア (タイムボム型) |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-03 19:40:25 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Orqa |
|---|
| 被害サマリ | Orqa社のFPV.One V1ドローン レーシング ゴーグルに不正なファームウェアがロードされ、使用不能に陥る事象が発生した。このファームウェアは「ランサムウェア タイムボム」と呼ばれ、従業員によって秘密裏に作成され、数年後に制限時間が切れると使用不能になる設計となっていた。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | Orqaで働いていた元従業員(国籍不明) |
|---|
| 攻撃手法サマリ | ランサムウェア タイムボムを使用したファームウェアの実行 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-03 19:27:07 被害状況
| 事件発生日 | 2023年5月2日 |
|---|
| 被害者名 | ダラス市 |
|---|
| 被害サマリ | ダラス市がランサムウェア攻撃を受け、ITシステムの一部を停止。911の通報業務にも影響が出ている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-03 18:10:26 被害状況
| 事件発生日 | 不明(2023年5月3日に報道された) |
|---|
| 被害者名 | Facebookの利用者、GmailやOutlookの利用者 |
|---|
| 被害サマリ | Facebookは、Meta上で配布されていた新しい情報窃取マルウェア「NodeStealer」を発見。マルウェアは、ブラウザのcookieを盗んでアカウントを乗っ取る手法を使って、FacebookやGmail、Outlookのアカウントに侵入していた。攻撃者はベトナムのグループと特定されている。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | ベトナムのグループ |
|---|
| 攻撃手法サマリ | NodeStealerと呼ばれる情報窃取マルウェアを使ったアカウント乗っ取り攻撃 |
|---|
| マルウェア | NodeStealer |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-03 17:58:28 - Windowsの管理者は、Windowsリリースヘルスセクションに新しい既知の問題が追加された場合にEメールで通知を受け取ることができます。
- Eメールサブスクリプションに登録するには、Microsoft 365管理センターのWindowsリリースヘルスを参照して開始します。
- この機能は、Microsoft 365 Enterprise E3/A3/F3、Microsoft 365 Enterprise E5/A5、Windows 10 Enterprise E3/A3、Windows 10 Enterprise E5/A5、Windows 11 Enterprise E3/A3、またはWindows 11 Enterprise E5/A5のいずれかのサブスクリプションが必要です。
- 管理者は、自分の通知のEメールアドレスを2つまで指定できます。
- 複数のWindowsバージョンに登録することができ、問題が複数のWindowsバージョンに影響する場合は、1つのメールアラートを受信するだけです。
incident 2023-05-03 16:11:59 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ロシア人Denis Gennadievich Kulkov氏が運営していた、カードチェックサービス"Try2Check"が摘発された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | ロシア人Denis Gennadievich Kulkov氏 |
|---|
| 攻撃手法サマリ | カード情報のチェックサービスを運営し、犯罪者たちに利用された。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-03 15:30:00 被害状況
| 事件発生日 | 2023年5月1日 |
|---|
| 被害者名 | PHPパッケージのユーザー |
|---|
| 被害サマリ | 研究者が14個のPackagistパッケージを乗っ取り、自己PRをするために、manifestファイルを変更した |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | neskafe3v1という偽名を使用した研究者 |
|---|
| 攻撃手法サマリ | 不正なアクセスによるCredential Compromiseを使用したPackagistパッケージの乗っ取り |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | 情報は不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | PackagistがPHPのパッケージを扱うためのメタデータディレクトリ |
|---|
| 脆弱性サマリ | パッケージのGitHubリポジトリのURLが改ざんされることにより、開発者が意図しない場所からコンテンツをダウンロードする可能性がある |
|---|
| 重大度 | 不明 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
脆弱性の概要:PHPのパッケージを扱うメタデータディレクトリであるPackagistが脆弱性にさらされ、パッケージのGitHubリポジトリのURLが不正に書き換えられることにより、開発者が意図しないフォークからコンテンツをダウンロードするおそれがある。この問題は、Packagist内の古いアカウントで2段階認証が有効になっておらず、セキュリティの脆弱性に起因すると考えられている。パッケージ名の中には、多くのインストールがあるものも含まれている。影響を受けたパッケージには、acmephp/acmephp、acmephp/core、acmephp/ssl、doctrine/doctrine-cache-bundle、jdorn/file-system-cacheなどがある。攻撃者は、貢献するためにコメントを変更し、自分自身の情報をプロモートするためにパッケージの説明を書き換えることができる。詳細は不明だが、攻撃者は既知の技術を利用してそうしたとされている。Packagistチームによると、この問題は既知のアカウントセキュリティの問題が原因で発生したもので、被害を受けたアカウントが悪用されたことはないという。
incident 2023-05-03 14:33:29 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Brightline |
|---|
| 被害サマリ | Brightlineのファイル共有プラットフォーム「Fortra GoAnywhere MFT」にゼロデイ攻撃を仕掛けたClopランサムウェアにより、受診情報が含まれるデータが盗難され、783,606人が被害を受けた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Clopランサムウェア |
|---|
| 攻撃手法サマリ | Fortra GoAnywhere MFTのゼロデイ攻撃 |
|---|
| マルウェア | Clopランサムウェア |
|---|
| 脆弱性 | Fortra GoAnywhere MFTのゼロデイ脆弱性(CVE-2023-0669) |
|---|
vulnerability 2023-05-03 13:45:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Google Accounts |
|---|
| 脆弱性サマリ | GoogleがPasskeysを導入し、Google Accountsにおいて、伝統的なパスワードを使用せずにアプリやウェブサイトにサインインできる。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
GoogleがPasskeysを導入し、Google Accountsにおいて、伝統的なパスワードを使用せずにアプリやウェブサイトにサインインできる方法を提供している。Passkeysは、FIDO Allianceに支えられた認証方法で、従来のパスワードを使用せずに、コンピューターやモバイルデバイスをバイオメトリクス(指紋認証や顔認証)やローカルPINでアンロックすることができる。Googleは、「パスワードとは異なり、Passkeysはフィッシングのようなオンライン攻撃に耐性があるため、SMSワンタイムコードのようなものよりもセキュリティが高い」と述べている。
incident 2023-05-03 13:27:00 被害状況
| 事件発生日 | 2023年5月3日 |
|---|
| 被害者名 | 台湾、タイ、フィジー、フィリピンの政府、医療、テクノロジー、製造業界の組織 |
|---|
| 被害サマリ | 中国国営のサイバースパイ集団であるEarth Longzhiが新しい攻撃キャンペーンを開始。BEHINDERウェブシェルを展開し、CroxLoaderなどの追加ペイロードをドロップして攻撃。DLLシドローディング、BYOVD攻撃、ドライバーサービスのインストールなどの攻撃手法を使用していた。また、スタックランブリングと呼ばれる一種のDoS攻撃を行い、ターゲットされたアプリケーションをクラッシュさせていた。VietnameseとIndonesianのデコイドキュメントも確認されており、将来的にはこれらの国のユーザーを狙う可能性がある。 |
|---|
| 被害額 | 不明(予想なし) |
|---|
攻撃者
| 攻撃者名 | 中国国営のサイバースパイ集団Earth Longzhi |
|---|
| 攻撃手法サマリ | BEHINDERウェブシェル、CroxLoader、DLLシドローディング、BYOVD攻撃、スタックランブリングを使用 |
|---|
| マルウェア | BEHINDERウェブシェル、CroxLoader、SPHijacker、Roxwrapper、BigpipeLoader、dllhost.exe |
|---|
| 脆弱性 | zamguard.sysやRTCore64.sysなどの脆弱性を利用 |
|---|
vulnerability 2023-05-03 12:57:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Google Accounts |
|---|
| 脆弱性サマリ | GoogleはGoogleアカウントにパスキーのサポートを追加し、パスワードや2段階認証なしでログインすることを可能にする。 |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
vulnerability 2023-05-03 12:57:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Googleアカウント |
|---|
| 脆弱性サマリ | Googleは、すべてのサービスとプラットフォームでGoogleアカウントに対するパスキーのサポートを追加した。これにより、ユーザーはパスワードを入力することなく、パスキーを使用してGoogleアカウントにログインできる。 |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
GoogleはすべてのサービスとプラットフォームでGoogleアカウントに対するパスキーサポートを追加した。ユーザーはパスワードを入力することなく、パスキーを使用してGoogleアカウントにログインできる。パスキーは端末に紐づき、PINやバイオメトリック認証(指紋または顔認証)でアンロックできる。また、パスキーがクラウドにバックアップされ、他のデバイスへ移行するときも容易に使用できる。これにより、より安全で便利なオプションが提供される。
other 2023-05-03 10:58:00 1. 「The Hacker News」は、3.45 million人以上の人々にフォローされている、信頼できるサイバーセキュリティのニュースプラットフォームである。
2. 中小企業はサイバー攻撃の危険性が高く、SMBは専任の内部IT担当者を持っていないため、サイバー犯罪者が中小企業を重点的に狙うことが多く、SMBは侵入防止やリスク軽減、攻撃の影響の緩和のための専門的なC-レベルのサイバー支援を得るために購読またはレターリテイナーを支払うことにますます意欲的になっている。
3. Virtual Chief Information Security Officer (vCISO)サービスは、CISOの本来の業務の一部しか提供しないサービスプロバイダが多いが、CISOの全範囲を提供することで、高く評価され、より多くの収益を生むことができる。
4. 「What does it take to be a full-fledged Virtual CISO?」 という本は、いくつかの最高のvCISOから得た答えを提供し、高度なスキルを持つ専門家を追加することなく、サービスを拡大し、スケーリングする方法を紹介している。
5. 「The Hacker News」は、Twitter、LinkedInなどのメディアで、他にはない独自のコンテンツを投稿している。
incident 2023-05-03 10:58:00 被害状況
| 事件発生日 | 2023年5月3日 |
|---|
| 被害者名 | 不明(国籍も不明) |
|---|
| 被害サマリ | フランス、オーストリア、英国、米国、ドイツ、スイス、ブラジル、ポーランド、オランダで288人の身柄を拘束し、現金や仮想通貨、850キロのドラッグ、117個の銃器を押収した。被害者が不明である。 |
|---|
| 被害額 | $53.4 million |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ダークウェブでの麻薬売買 |
|---|
| マルウェア | 使用されていない |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-05-03 09:24:00 1. AppleとGoogleが共同で業界標準規格を策定し、AirTagsなどのデバイスを使用した無許可のトラッキングからユーザーを警告することを目的としている。
2. この規格は、異なるベンダーからのBluetoothロケーショントラッキングデバイスに対する互換性を提供し、不正なトラッキングの可能性を最小限に抑えることを目的としている。また、Samsung、Tile、Chipolo、eufy Security、およびPebblebeeなどが参加している。
3. この規格には、アクセサリの所有者の検証可能な(しかし、曖昧化された)ID情報(電話番号またはメールアドレスなど)とアクセサリのシリアル番号が含まれるペアリングレジストリの使用が含まれる。
4. この規格では、所有者がペアリングを解除した後、データを少なくとも25日間保持する必要があり、法執行機関が正当な要求を提出した場合に利用可能になる。
5. モバイルエコシステムの両方で、不正なトラッキングアラートのための製品実装が年末までにリリースされる予定であり、AppleとGoogleは関心のあるパートナーからのフィードバックを募集している。
vulnerability 2023-05-03 07:30:00 脆弱性
| CVE | CVE-2018-9995 |
|---|
| 影響を受ける製品 | TBK DVR4104およびDVR4216(CeNova、DVR Login、HVR Login、MDVR Login、Night OWL、Novo、QSee、Pulnix、Securus、XVR 5 in 1を含む) |
|---|
| 脆弱性サマリ | 5年前の未解決の脆弱性によるTBK DVRデバイスの認証バイパス。遠隔攻撃者は、ユーザー権限を上回る特権を取得し、最終的にカメラ映像のアクセスまで行える。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有(2023年4月に5万回以上の試行あり) |
|---|
| PoC公開 | 有 |
|---|
TBK DVR4104およびDVR4216(CeNova、DVR Login、HVR Login、MDVR Login、Night OWL、Novo、QSee、Pulnix、Securus、XVR 5 in 1を含む)には、CVE-2018-9995という、認証バイパスの未解決脆弱性があり、一部のTBK DVRデバイスが攻撃者にアクセスされ、カメラ映像を監視されるおそれがある。Fortinetによると、2023年4月に5万回以上の試行が観測された。PoCが公開されているが、解決策はない。また、MVPower CCTV DVRモデルにも重大度が高いCVE-2016-20016の脆弱性が存在するという警告がなされている。
vulnerability 2023-05-03 05:07:00 被害状況
| 事件発生日 | 2023年5月3日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ME RTUリモート端末ユニットの脆弱性が発見された。低い攻撃の複雑さにより、攻撃者による遠隔コード実行が可能。攻撃者によるコマンド・インジェクションが原因。INEA ME RTUファームウェアのバージョン3.36以前に影響がある。 |
|---|
| 被害額 | 不明(予想:数百万円から数千万円) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | コマンド・インジェクション |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | INEA ME RTUファームウェアのバージョン3.36以前に存在するコマンド・インジェクションの脆弱性(CVE-2023-2131) |
|---|
脆弱性
| CVE | CVE-2023-2131 |
|---|
| 影響を受ける製品 | INEA ME RTU firmwareの3.36バージョンより前 |
|---|
| 脆弱性サマリ | INEA ME RTUリモートターミナルユニットのコマンドインジェクションによる遠隔コード実行の脆弱性 |
|---|
| 重大度 | 10.0 (CVSS) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
vulnerability 2023-05-02 22:32:30 被害状況
| 事件発生日 | 2023年5月2日 |
|---|
| 被害者名 | Level Finance |
|---|
| 被害サマリ | ハッカーにより、Level Financeのスマートコントラクトの脆弱性を悪用され、214,000 LVLトークン(約$1,100,000相当分)が盗まれた。 |
|---|
| 被害額 | $1,100,000 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | スマートコントラクトの脆弱性を悪用した攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | LevelReferralControllerV2にある論理バグを悪用された |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Level Finance |
|---|
| 脆弱性サマリ | Level Financeのスマートコントラクト脆弱性により、214,000 LVLトークンがハッキングされ、 $1,100,000相当の3,345 BNBに交換されました。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
2023年に2回のセキュリティ監査を受けたにもかかわらず、クリプトトレーディングプラットフォームのLevel Financeは、スマートコントラクトの脆弱性を悪用され、214,000 LVLトークンがハッキングされ、$1,100,000相当の3,345 BNBに交換されました。影響を受けたスマートコントラクトは "LevelReferralControllerV2" で、PeckShieldとBlockSecは、同じ脆弱性によりDEX Merlinも被害を受けたと警告しています。攻撃は、2回の監査にもかかわらず、脆弱性が追加された後に発生しました。
incident 2023-05-02 20:29:50 被害状況
| 事件発生日 | 2023年4月27日 |
|---|
| 被害者名 | 1Passwordの顧客 |
|---|
| 被害サマリ | サービス障害により、誤った秘密鍵やパスワードが変更されたという通知が顧客に届いた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | サービス障害による誤った通知 |
|---|
| マルウェア | 利用されていない |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-02 19:52:20 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 9つの暗号通貨取引所が、サイバー犯罪者やランサムウェアの関係者たちが使っていた laundering(資金洗浄)の手段として使用されていたことが明らかになった。これらの取引所が提供するサービスにより、取引が匿名で行われ、資金の軌跡が追えなくなっていた。 |
|---|
| 被害額 | 不明(予想:数千万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明(サイバー犯罪者、ランサムウェア関係者) |
|---|
| 攻撃手法サマリ | 取引を匿名化するサービスを提供し、資金の軌跡追跡を困難にすることで、サイバー犯罪者やランサムウェア関係者たちが資金洗浄を行っていた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-02 19:27:05 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Google Chrome |
|---|
| 脆弱性サマリ | Chrome 117から安全なウェブサイト表示アイコンの削除 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
vulnerability 2023-05-02 18:28:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Bluetoothを使用した追跡デバイス |
|---|
| 脆弱性サマリ | Bluetoothを使用した追跡に対する脆弱性 |
|---|
| 重大度 | 低 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 未報告 |
|---|
| PoC公開 | なし |
|---|
AppleとGoogleはBluetoothを使用した位置追跡デバイスのストーキングによる影響を受けた人々に警告するための業界標準の採用を提案しています。両社はデバイスの製造業者が不正な追跡を検出し警告することを容易にするよう要件を提案しています。提案された技術規格に従う場合、AndroidおよびiOSの不正な追跡検出および警告技術との互換性が提供されるため、位置追跡アクセサリーを誤用して行われる不要な追跡を検出することがより簡単になります。制限対象ポリシーを含んだAirTagおよびFind My Networkとの整合性により、iOSおよびAndroidデバイスがユーザーにロケーショントラッカーが使用されていることを警告することができます。したがって、Bluetoothを使用した追跡に対する脆弱性が存在する可能性があります。ただし、この脆弱性に関する攻撃は未報告であり、PoCは公開されていません。
other 2023-05-02 18:13:46 1. 大人向けコンテンツの提供企業であるMindGeekは、Utah州の新しい法律に対応して、PornHub、Brazzers、RedTube、YouPorn、およびReality Kingsなどのウェブサイトへのアクセスを中止した。
2. 新しい法律では、セキュリティ確保のため、18歳以上の認証が必要であり、政府発行IDをアップロードするか、サードパーティの年齢確認サービスを使用することが規定されている。
3. MindGeekは、世界最大のオンライン大人向けコンテンツクリエーターであり、125百万人の毎日の訪問者と年間1000億以上のビデオビューを有する独自のネットワークを有する。
4. MindGeekは、デバイス認証システムを提案しているが、詳細は不明。
5. PornHubにアクセスすると、ビデオ女優のCherie DeVilleが、訪問者に上記のメッセージを読み上げるビデオメッセージが表示される。
incident 2023-05-02 15:13:34 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | TBK Vision |
|---|
| 被害サマリ | 2018年認証回避の脆弱性が開示され、TBK DVR(デジタルビデオレコーディング)デバイスが影響を受けました。この脆弱性が悪用されると、攻撃者はネットワークに侵入し、セキュリティー映像を含むデバイスのオーナーに有害なマルウェアを送信できる可能性があります。 |
|---|
| 被害額 | 不明(予想される被害額は存在しません) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 2018年認証回避の脆弱性を悪用していました。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2018-9995 |
|---|
incident 2023-05-02 14:40:11 被害状況
| 事件発生日 | 2023年5月2日 |
|---|
| 被害者名 | Monopoly Marketの28名(不明) |
|---|
| 被害サマリ | 世界中にドラッグを販売していたDark Webのマーケットプレイス「Monopoly Market」の28名が逮捕された。警察は現金・仮想通貨約50.8百万ユーロ(約55.9百万ドル)、麻薬850 kg(1,874 ポンド)、銃器117丁を押収した。 |
|---|
| 被害額 | 50.8百万ユーロ(約55.9百万ドル) + 没収銃器117丁 + 現金相当の仮想通貨額(不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Dark Webのマーケットプレイス「Monopoly Market」を通じて麻薬や銃器を販売 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-02 14:26:00 脆弱性
| CVE | CVE-2022-40302、CVE-2022-40318、CVE-2022-43681 |
|---|
| 影響を受ける製品 | LinuxおよびUnixプラットフォームのFRRouting、NVIDIA Cumulus、DENT、SONiCなどのいくつかのベンダー |
|---|
| 脆弱性サマリ | 複数のBGP実装に脆弱性が見つかった。FRRou50ngのバージョン8.4に存在する3つの脆弱性では、BGPペアに対するサービス拒否(DoS)状態を達成するように武器化することができる。 |
|---|
| 重大度 | 高(CVSSスコア:6.5) |
|---|
| RCE | なし |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
脆弱性は、BGP実装のFRRoutingのバージョン8.4に存在する。これには、CVE-2022-40302、CVE-2022-40318、CVE-2022-43681の3つが含まれており、攻撃者によってDoS攻撃が実行されることがあると報告されている。これらの脆弱性はLinuxおよびUnixプラットフォームのFRRoutingとその他のベンダーに影響を与える可能性がある。Forescout Vedere Labsが実施した7つのBGP実装の分析により、これらの問題が発見された。Forescoutは、BGPスイートのセキュリティをテストするためのbgp_boofuzzerというオープンソースツールを提供している。しかし、脆弱性を避ける最善の方法は、ネットワークインフラストラクチャデバイスをできるだけ頻繁にパッチすることだと述べている。
vulnerability 2023-05-02 14:06:12 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 記事では触れられていないが、脆弱性を突かれた被害があった可能性がある。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 脆弱性を突いて行われた攻撃の可能性あり |
|---|
| マルウェア | 記事では言及されていない |
|---|
| 脆弱性 | 記事では言及されていない |
|---|
脆弱性
なし
影響を受ける製品
Webアプリケーション
脆弱性サマリ
人工知能(AI)の急速な発展に伴い、新しいサイバー攻撃の脅威が生じており、Webアプリケーションもその標的となっている。AIを悪用した攻撃の複雑性や攻撃の効果も増しており、現在のセキュリティ対策では対応が追い付かない状況である。
重大度
高
RCE
不明
攻撃観測
不明
PoC公開
不明
incident 2023-05-02 11:56:00 被害状況
| 事件発生日 | 2023年5月2日 |
|---|
| 被害者名 | イランに住む少数派グループ(クルド人、バルーチ人、アゼリ人、アルメニアのキリスト教徒) |
|---|
| 被害サマリ | イラン政府が使用するとされるAndroid監視ウェアBouldSpyによる、300人以上の少数派グループのスパイ活動、および武器、薬物、酒の密売といった違法活動などのモニタリング |
|---|
| 被害額 | 不明(予想:被害が金銭的なものでないため、被害額は不明) |
|---|
攻撃者
| 攻撃者名 | イランの法執行機関 |
|---|
| 攻撃手法サマリ | アクセシビリティサービスの悪用、他の侵入的な権限の悪用 |
|---|
| マルウェア | BouldSpy |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-02 11:40:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | テレコム企業のSaaSアプリケーション |
|---|
| 脆弱性サマリ | テレコム企業のSaaSアプリケーションにおいて設定が誤っている場合、個人情報が意図しない観客にさらされる恐れがある。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | なし |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
この記事は、テレコム企業のSaaSアプリケーションにおいて設定が誤っている場合、個人情報が意図しない観客にさらされる恐れがあることを指摘している。テレコム企業が保有する個人情報は多岐にわたり、SaaSアプリケーションを使用することで多くの利便性を実現しているが、セキュリティ対策には十分注意が必要である。また、テレコム企業は従業員数が多いため、定期的なdeprovisioningプロセスにも注力する必要があることが述べられている。最後に、SaaS Security Posture Management(SSPM)を使用することで、テレコム企業はSaaSアプリケーションをより安全に使用することができると強調されている。
incident 2023-05-02 07:09:00 被害状況
| 事件発生日 | 2022年7月[不明] |
|---|
| 被害者名 | [不明] |
|---|
| 被害サマリ | Google広告を悪用して配信されたWindows向け金融トロイのLOBSHOTが、50以上の仮想通貨ウォレットの拡張機能から情報を盗み、またhVNC(ヒドゥン・バーチャル・ネットワーク・コンピューティング)経由で被害者の不注意に気付かれることなく端末操作を行うことができる。 |
|---|
| 被害額 | [予想不可] |
|---|
攻撃者
| 攻撃者名 | TA505とされる犯罪組織 |
|---|
| 攻撃手法サマリ | Google広告メールウェア配信 |
|---|
| マルウェア | LOBSHOT |
|---|
| 脆弱性 | [不明] |
|---|
incident 2023-05-02 06:54:00 被害状況
| 事件発生日 | 2022年7月以降 |
|---|
| 被害者名 | 主に韓国人の個人および団体 |
|---|
| 被害サマリ | ScarCruftは、LNKファイルを利用したRokRATマルウェアの配信経路を試験的に使用し始めた。APT37が多数のキャンペーンを実施し、マルウェアの配信方法を大幅に改善したことも明らかになった。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮の国家情報部(MSS)が指揮するScarCruft(APT37) |
|---|
| 攻撃手法サマリ | 韓国関係者に対するツール配信を含めたスピアフィッシング攻撃により、カスタムツールを提供した。RokRAT(DOGCALL)など、多数のマルウェアが使用された。 |
|---|
| マルウェア | RokRAT(DOGCALL)、macOS向けのCloudMensis、Android向けのRambleOn、Chinotto、BLUELIGHT、GOLDBACKDOOR、Dolphin、最近追加されたM2RATなどが使用された。ScarCruftは、攻撃により混乱を引き起こすため、Amadeyなどのコモディティマルウェアも使用する。 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-02 05:35:00 被害状況
| 事件発生日 | 2023年5月2日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | TP-Link Archer AX-21、Apache、Oracleを標的とする脆弱性が悪用されている |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 国籍などの特徴が不明 |
|---|
| 攻撃手法サマリ | 脆弱性を標的とする攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | TP-Link Archer AX-21のCVE-2023-1389、ApacheのCVE-2021-45046、Oracle WebLogic ServerのCVE-2023-21839が悪用されている |
|---|
脆弱性
| CVE | CVE-2023-1389、CVE-2021-45046、CVE-2023-21839 |
|---|
| 影響を受ける製品 | TP-Link Archer AX-21ルータ、Apache Log4j2 logging library、Oracle WebLogic Server |
|---|
| 脆弱性サマリ | 1) TP-Link Archer AX-21 Command Injection Vulnerability、2) Apache Log4j2 Deserialization of Untrusted Data Vulnerability、3) Oracle WebLogic Server Unspecified Vulnerability |
|---|
| 重大度 | CVE-2023-1389: 高、CVE-2021-45046: 高、CVE-2023-21839: 中 |
|---|
| RCE | CVE-2023-1389: 有、CVE-2021-45046: 有、CVE-2023-21839: 不明 |
|---|
| 攻撃観測 | CVE-2023-1389: 有、CVE-2021-45046: 不明、CVE-2023-21839: 不明 |
|---|
| PoC公開 | CVE-2023-1389: 有、CVE-2021-45046: 不明、CVE-2023-21839: 不明 |
|---|
脆弱性の CVE-2023-1389 は、TP-Link Archer AX-21 ルータに影響を受けるコマンドインジェクション脆弱性で、リモートコード実行を実現できる。この脆弱性は、Mirai ボットネットと関連する攻撃者によって、2023年4月11日以降に活用されている。CVE-2021-45046 は、Apache Log4j2 ログライブラリに影響を受ける脆弱性で、リモートコード実行を可能にするものである。この脆弱性は、2021年12月に発見された。CVE-2023-21839 は、Oracle WebLogic Serverに含まれる高度な脆弱性であり、機密情報に対する未承認のアクセスを許可する可能性がある。この脆弱性は、2023年1月にパッチがリリースされたが、攻撃の具体的な事例は不明。米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は、これらの脆弱性に対する修正を2023年5月22日までに適用するよう推奨している。
vulnerability 2023-05-01 20:17:55 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | iOS、macOS |
|---|
| 脆弱性サマリ | RSRパッチがインストールできない問題 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
CVE番号は記載されていない。影響を受ける製品はiOSおよびmacOSで、RSRパッチのインストールできない問題があることが発覚している。重大度、RCE、攻撃観測についての情報は不明である。PoCは公開されていない。
incident 2023-05-01 20:11:18 被害状況
| 事件発生日 | 2023年5月1日 |
|---|
| 被害者名 | Twitterユーザー |
|---|
| 被害サマリ | Twitterのアウトエージペにより、多数のユーザーがWebサイトからログアウトされ、ログインができない状態に陥った。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | アウトエージペ |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-01 18:15:47 被害状況
| 事件発生日 | 2023年5月1日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | LOBSHOTマルウェアが、Google Adsを通じて拡散され、Windowsデバイスを感染させ隠密的にhVNCで操作することが判明しました。 |
|---|
| 被害額 | 不明(予想:数百万ドルから数十億ドル) |
|---|
攻撃者
| 攻撃者名 | 不明(拡散手段がGoogle Adsを介したため、国籍や特徴は不明) |
|---|
| 攻撃手法サマリ | Google Adsを通じてAnyDeskリモート管理ソフトウェアを偽装して、LOBSHOTマルウェアを拡散し、感染したデバイスを隠密的にhVNCで操作する。 |
|---|
| マルウェア | LOBSHOTマルウェア |
|---|
| 脆弱性 | 不明(拡散手段がGoogle Adsを介したため、攻撃で利用された脆弱性が存在するかどうかも不明) |
|---|
incident 2023-05-01 17:28:16 被害状況
| 事件発生日 | 2023年2月下旬から約1か月間 |
|---|
| 被害者名 | T-Mobile(利用者約836人) |
|---|
| 被害サマリ | 個人情報が漏洩し、氏名、連絡先情報、アカウント番号と関連する電話番号、T-MobileアカウントPIN、社会保障番号、公的ID、生年月日、残高、内部コード、契約プランと機能コード、ライン数が含まれる。 |
|---|
| 被害額 | 不明(予想:数十万ドルから数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不正アクセス |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-01 13:14:23 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Twitter |
|---|
| 脆弱性サマリ | Twitterの古いバグにより、以前認証されたアカウントが"Blue Check"を無料で追加できる |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
other 2023-05-01 13:14:23 1. Twitterのバグで「元のブルーチェック」を持つ以前に認証済みのアカウントが無料で認証を追加することができた。
2. bugは「元のバージョンのブルーチェック」を復元する。
3. 元々のブルーチェックは、ビジネス、セレブリティ、政治家、活動家、ジャーナリストなどのアカウントの真正性を証明するために使用された。
4. Muskは、Twitter Blueに新しい機能を急いでリリースするなどのせいで、ツールに変なバグが含まれている可能性がある。
5. このバッグがすぐに修正される可能性があるが、もしあなたにとってブルーチェックが重要な場合、このバグを利用して復元することができる。
vulnerability 2023-05-01 13:14:23 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Twitter |
|---|
| 脆弱性サマリ | Twitterの謎のバグが、以前に認証済みだったアカウントにブルーチェック復活の機会を与えた |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
incident 2023-05-01 12:31:00 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | 企業のネットワーク |
|---|
| 被害サマリ | 新たなマルウェアツールキット「Decoy Dog」が発見され、その被害は主に企業のネットワークに及んでいる。ツールキットは逃避を目的としており、戦略的ドメインエイジングやDNSクエリドリブリングといった技術を使用して検知を回避している。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明。関連する過去の攻撃では、中国の国家主導のグループによる攻撃が確認されていたが、今回の攻撃については、そのような報告はない。 |
|---|
| 攻撃手法サマリ | DNSトンネリングという手法を用い、クエリとレスポンスをC2として悪意のコードを送信する方法が用いられた。また、攻撃で利用されるDNSビーコン行動は、定期的に行われるまれなDNSリクエストのパターンに従い、侵入を検知されにくくしている。 |
|---|
| マルウェア | Pupy RATと呼ばれるオープンソースのトロイの木馬がツールキットの主要な構成要素であり、DNSトンネリングを使用して送信される。ツールキットがその他のマルウェアを利用しているかは不明。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-01 12:28:10 被害状況
| 事件発生日 | 2023年3月26日 |
|---|
| 被害者名 | Western Digital |
|---|
| 被害サマリ | Western Digitalはサイバー攻撃を受け、10TBのデータが盗まれた。被害者は2週間にわたってMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerおよびそれらに関連するモバイル、デスクトップ、Webアプリを含むクラウドサービスを停止した。また、攻撃者は、会社の署名鍵で署名されたファイル、リストに載っていない法人用電話番号、他の内部データのスクリーンショットなど、盗まれたデータのサンプルを共有した。攻撃者は、ランサムウェアではなく、ALPHVランサムウェア攻撃グループとは関係がないと述べた後、サイト上に急かす警告を掲載し、もし身代金が支払われなかった場合、Western Digitalのデータを流出させることを示唆した。 |
|---|
| 被害額 | 不明(予想:被害総額1億5000万ドル) |
|---|
攻撃者
| 攻撃者名 | ALPHVランサムウェア攻撃グループ(別名BlackCat) |
|---|
| 攻撃手法サマリ | サイバー攻撃による不正アクセスとデータ盗難 |
|---|
| マルウェア | ALPHVランサムウェア(攻撃とは関係ないとされる) |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-05-01 10:53:00 脆弱性関連のニュース記事。
脆弱性
| CVE | [CVE番号|なし] |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | 実時間で横方向運動に対する保護が不可欠であるが、現在のセキュリティスタックにはその機能はなく、とりわけ多要素認証(MFA)とサービスアカウント保護が欠けている。Silverfortのプラットフォームが脅威アクターに立ち向かい、横方向運動保護を実現する。 |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
脆弱性の概要は、横方向運動と呼ばれる攻撃手法である。この攻撃手法を実時間で保護するためには、現在のセキュリティスタックにはその機能がなく、とりわけ多要素認証(MFA)とサービスアカウント保護が欠けている。Silverfortのプラットフォームが脅威アクターに立ち向かい、横方向運動保護を実現する。具体的なCVE番号や影響を受ける製品については言及がない。
incident 2023-05-01 09:17:00 被害状況
| 事件発生日 | 2023年5月1日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 攻撃者は500,000のデバイスを感染させ、情報窃取マルウェア(S1deload Stealer、SYS01stealer)のバリアントを配布しました。攻撃は、ファイル共有サイトのように見えるプロモーションされたソーシャルメディア投稿で行われました。投稿には、アダルト向け写真アルバムの無料ダウンロードを提供すると主張する広告が含まれていましたが、ZIPファイル内には、実際には実行可能ファイルが含まれていました。この実行可能ファイルをクリックすると、感染チェーンがアクティベートされ、セッションCookie、アカウントデータ、その他の情報を盗むスティーラーマルウェアが展開されます。この攻撃チェーンは、盗まれた情報を使用してさらに多くのスポンサー投稿を推進することで、より大規模にスケーリングされます。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | ベトナム人の脅威アクター |
|---|
| 攻撃手法サマリ | 攻撃者は、広告を支払って「増幅」するために、サービスのプロモーションされたソーシャルメディア投稿(malverposting)を使用しました。攻撃は、偽の写真家アカウントとしてFacebookに新しいビジネスプロファイルページを提供することによって、Facebookのレーダーをかわしました。 |
|---|
| マルウェア | S1deload Stealer、SYS01stealer |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-05-01 08:52:00 被害状況
| 事件発生日 | 2023年5月1日 |
|---|
| 被害者名 | ウクライナ政府機関 |
|---|
| 被害サマリ | ロシアのAPT28が、偽の "Windows Update" の件名をつけたフィッシングメールを使用して、ウクライナ政府機関を狙ったサイバー攻撃を実行した。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | ロシアのAPT28(Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit、Sofacy とも呼ばれる) |
|---|
| 攻撃手法サマリ | 偽の "Windows Update" の件名を使ったフィッシングメールを使用し、PowerShellスクリプトを利用してシステム情報を収集して、Mocky APIの指定URLに情報を送信する攻撃。 |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | 特定されていない |
|---|
other 2023-05-01 05:10:00 1. Googleは2022年に、悪意のあるアプリを1,430,000個ブロックし、173,000個のアカウントを禁止し、Google Playを介して2十億ドル以上の不正取引を未然に防いだ。
2. Googleは新しいアイデンティティ認証手法を導入し、不正なアカウントを削減した。
3. GoogleはApp Security Improvementsプログラムを通じて、対象アプリ250億個を保持する約300,000のアプリのセキュリティ弱点を修正した。
4. Googleは2021年に、ポリシーに違反したアプリ120万個をブロックし、190,000個のアカウントを禁止した。
5. 最近、McAfeeのMobile Research Teamによって、Minecraftに擬態した38のゲームが検出され、全世界で約3500万人のユーザーにインストールされていることが明らかになった。これらのゲームには、HiddenAdsマルウェアが組み込まれており、運営者が不正収益を得るために裏で広告をロードする。
incident 2023-04-30 14:07:17 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | ウクライナ政府機関など |
|---|
| 被害サマリ | ロシアのAPT28(通称Fancy Bear)の攻撃により偽装したWindowsアップデートガイドを送り、電子メールに添付されたPowerShellスクリプトを実行させ、情報収集を実施 |
|---|
| 被害額 | 不明(予想:数億円以上) |
|---|
攻撃者
| 攻撃者名 | ロシア政府が支援するAPT28 |
|---|
| 攻撃手法サマリ | 偽装したWindowsアップデートガイドの送信と、PowerShellスクリプトを含む電子メールの送信による攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-29 14:41:16 被害状況
| 事件発生日 | 2023年3月28日以降(CVE-2023-27532の脆弱性が悪用されたため) |
|---|
| 被害者名 | Veeam backup servers |
|---|
| 被害サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)が悪用され、外部からアクセス可能な状態にあった7,500程のサーバーに侵入された。侵入者によって、システム情報や認証情報が抜き取られた。最終的な目的は不明。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)を悪用した攻撃を行ったとされている。攻撃者はFIN7と関連性があるとされている。 |
|---|
| マルウェア | DiceLoader/Lizarバックドア |
|---|
| 脆弱性 | CVE-2023-27532 |
|---|
vulnerability 2023-04-29 04:34:00 脆弱性
| CVE | CVE-2023-1968, CVE-2023-1966 |
|---|
| 影響を受ける製品 | Illumina MiSeqDx、NextSeq 550Dx、iScan、iSeq 100、MiniSeq、MiSeq、NextSeq 500、NextSeq 550、NextSeq 1000/2000、NovaSeq 6000 |
|---|
| 脆弱性サマリ | 1. UCSソフトウェアの10.0の深刻度を持つ脆弱性により、遠隔攻撃者が公開されたIPアドレスにバインドすることが可能になり、ネットワークトラフィックを傍受し、任意のコマンドをリモートで転送することができる。2. 特権の誤構成に関連した脆弱性により、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能になる。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 未発生 |
|---|
| PoC公開 | 無 |
|---|
概要
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、IlluminaメディカルデバイスのUniversal Copy Service(UCS)ソフトウェアに影響を与える深刻な脆弱性に関する医療アドバイザリー警告を発行した。次の製品に影響を与える脆弱性があり、遠隔攻撃者は公開されたIPアドレスにバインドすることができ、ネットワークトラフィックを傍受し、リモートで任意のコマンドを転送できる。また、特権の誤構成に関連した脆弱性があり、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能である。これらの脆弱性の悪用は、オペレーティングシステムレベルで実行され、在庫の設定、構成、ソフトウェア、またはデータに影響を与えることができる。FDAによると、認可されていないユーザーはこれらの短所を兵器として利用することができ、臨床診断用に意図された器具のゲノムデータ結果に影響を与えることができる、なお、これらの脆弱性の悪用例は未知である。利用者は、潜在的な脅威を軽減するために、2023年4月5日にリリースされた修正を適用することが推奨されている。
other 2023-04-29 04:23:00 1. OpenAIのChatGPTは、イタリアのデータ保護法に違反している可能性があるとして、Garanteによって2023年3月31日に一時的にブロックされたが、同年4月30日の期限に先立ち、同要件に従ったため、正式にイタリアに戻ってきた。
2. ChatGPTは、インターネット上で自由に利用可能な大量の情報や、ユーザーが相互作用の過程で提供するデータに主に依存しており、悪意のあるコンテンツをフィルタリングし、削除する。
3. OpenAIは、ChatGPTのユーザー情報をトレーニングに使用したり、人々に連絡したり、アドバタイズメントをしたりすることはないと強調している。
4. ChatGPTの返答には、公にアクセス可能な人物やその他個人の個人情報が含まれる可能性があるため、ヨーロッパのユーザーは、オンラインフォームに記入して、自分の個人情報の処理に異議を申し立てることができる。
5. OpenAIは、ChatGPTを利用する前にユーザーが18歳以上であることを確認する年齢確認システムを導入することで、Garanteの要件を満たした。加えて、OpenAIは、年齢確認システムの改善措置を講じ、EDPBが設置したタスクフォースの一環として、引き続きOpenAIの調査を行う予定である。
incident 2023-04-28 19:53:38 被害状況
| 事件発生日 | 2023年4月25日 |
|---|
| 被害者名 | Americold |
|---|
| 被害サマリ | 冷凍倉庫・輸送会社のアメリコールド(Americold)がサイバー攻撃を受け、ネットワークがダウンした。アメリコールドは攻撃を抑止し、現在事件を調査中。事件によって業務に深刻な影響が及ぶ状態にある。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-28 18:42:39 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Yellow Pages Group |
|---|
| 被害サマリ | カナダのディレクトリ出版社であるYellow Pages Groupが、BlackBastaランサムウェアの攻撃を受け、データを盗まれたことが明らかになった。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | BlackBastaランサムウェアによる攻撃 |
|---|
| マルウェア | BlackBastaランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-28 17:37:18 被害状況
| 事件発生日 | 2023年4月28日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | ViperSoftXという情報窃盗マルウェアが、Chromeのブラウザ拡張子VenomSoftXをインストールし、被害者のウェブブラウジング情報、暗号通貨ウォレットの情報などを盗み集めている。最新版では、KeePassや1Passwordなどのパスワードマネージャーもターゲットに追加され、様々なブラウザを対象とするようになった。また、マルウェア検知を逃れるための改善も行われている。 |
|---|
| 被害額 | 不明(予想:
情報漏洩による損害や、暗号通貨の被害もあるため不明。) |
|---|
攻撃者
| 攻撃者名 | 不明。Trend Microによると、Australia、France、India、Italy、Japan、Malaysia、Taiwan、the United Statesが被害の50%以上を占めているとされた。 |
|---|
| 攻撃手法サマリ | ViperSoftXは、ソフトウェアパッケージの中に隠れ、ブラウザ拡張子VenomSoftXをインストールすることで、被害者のウェブブラウジング情報や暗号通貨ウォレット情報を盗み取る。DLLサイドロードを使用して、信頼されたプロセスのコンテキストで実行することで、検知を回避する。また、Byte Mappingという新たなエンコーディング方式を採用し、解析を困難にする工夫がされている。 |
|---|
| マルウェア | ViperSoftX |
|---|
| 脆弱性 | CVE-2023-24055の脆弱性による攻撃は確認されていないとされている。 |
|---|
脆弱性
| CVE | CVE番号なし |
|---|
| 影響を受ける製品 | KeePass、1Passwordなどのパスワード・マネージャー |
|---|
| 脆弱性サマリ | ViperSoftX情報窃取マルウェア、強化された暗号化や検出回避機能などにより、更に広範な対象に拡大 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
ViperSoftXという情報窃取マルウェアがKeePassや1Passwordを含むパスワード・マネージャーを新たに攻撃対象に加えました。Trend Microによると、今回の更新では従来よりも多くの仮想通貨ウォレットを攻撃対象にし、Chrome以外のブラウザ(Brave、Edge、Opera、Firefox)も感染させる能力を備えています。また、より強固にコードが暗号化され、セキュリティ・ソフトウェアによる検出回避機能も追加されています。パスワード・マネージャーを上手く利用することで、攻撃者はより多くのデータを収集できる可能性があります。
incident 2023-04-28 16:41:52 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | オンラインストアの顧客 |
|---|
| 被害サマリ | クレジットカード情報を盗み取るため、現実的で魅力的な支払いフォームをモーダル表示してオンラインストアを乗っ取るマルウェアが登場している。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | オンラインストアを乗っ取り、現実的な支払いフォームをモーダル表示して、クレジットカード情報を盗み取る。 |
|---|
| マルウェア | MageCartスキマー、Kritec JavaScriptクレジットカードスキマー |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-28 14:40:51 脆弱性
| CVE | CVE-2023-1968, CVE-2023-1966 |
|---|
| 影響を受ける製品 | iScan Control Software: v4.0.0, iScan Control Software: v4.0.5, iSeq 100: All versions, MiniSeq Control Software: v2.0 and newer, MiSeq Control Software: v4.0 (RUO Mode), MiSeqDx Operating Software: v4.0.1 and newer, NextSeq 500/550 Control Software: v4.0, NextSeq 550Dx Control Software: v4.0 (RUO Mode), NextSeq 550Dx Operating Software: v1.0.0 to 1.3.1, NextSeq 550Dx Operating Software: v1.3.3 and newer, NextSeq 1000/2000 Control Software: v1.7 and prior, NovaSeq 6000 Control Software: v1.7 and prior, NovaSeq Control Software: v1.8 |
|---|
| 脆弱性サマリ | 株式会社Illumina社のDNA分析及びシーケンシングに使用される製品において、リモートで実行されるコードに関する脆弱性(CVE-2023-1968)及び、UCSのユーザーが特権を持ってコマンドを実行する事を許可してしまう脆弱性(CVE-2023-1966)が存在することが判明した。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
other 2023-04-28 13:17:34 - マンディアントが主催するイベント「mWISE」は、2023年9月18日から20日まで、シスコ、政府、民間企業からなるグローバルなサイバーセキュリティコミュニティによる議論によって構成される
- 当イベントでの講演者には、サイバーセキュリティの分野で活躍するプラクティショナーが含まれ、商業的な目的は排除され、セキュリティの分野でのコラボレーションに焦点が当てられる
- mWISEは、ベンダーや製品の販売にフォーカスせず、マンディアント用語で表すと「コミュニティを築く」ことを優先する
- 提案されるキーノートスピーカーはベンダーの影響を受けないため、インテリジェンスの専門家、政府関係者が優先され、話題に沿った提案が求められる
- mWISE参加登録は5月にオープンする。会議のニュースについては、mWISE Webサイトで確認できる。
incident 2023-04-28 11:59:00 被害状況
| 事件発生日 | 2023年4月24日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Apple macOSシステムのKeychainパスワード、システム情報、デスクトップとドキュメントフォルダのファイル、さらにmacOSパスワードを含む、様々な種類の情報を盗まれた可能性がある。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 情報スティーリングマルウェアをアップルマシンに対して使用 |
|---|
| マルウェア | Atomic macOS Stealer (AMOS) |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-28 11:53:00 1. 世界中で1.72兆ドルが投資された2022年にもかかわらず、サイバーセキュリティにおいて新しい脅威を止めることはますます難しくなっている。
2. 脅威検知と調査に重点を置いている現在のアプローチでは、76%のセキュリティチームが人手不足に苦しんでおり、56%の攻撃が数ヶ月以上発生しても発覚していない。
3. エンドポイント検出と対応(EDR)は、サイバーセキュリティ戦略の大切な部分だが、すべての攻撃が端末から始まるわけではなく、非 IT 管理端末やクラウドベースのファイル共有ドライブを通じて攻撃があることもある。
4. ZScalerのゼロトラストエクスチェンジには、AIによる分析と即時の防御機能が備わっており、効率的かつ包括的なサイバーセキュリティ戦略を提供する。
5. 検出技術の欠点を補完する必要があり、ゼロトラストモデルを取り入れた予防対策が必要となっている。それに対してZScalerのインラインサンドボックスは、ゼロデイ攻撃に対して即座に検出を行い、適切な対応を取ることができる。
vulnerability 2023-04-28 11:41:00 脆弱性
| CVE | CVE-2023-28771 |
|---|
| 影響を受ける製品 | Zyxel ATP (versions ZLD V4.60 to V5.35), USG FLEX (versions ZLD V4.60 to V5.35), VPN (versions ZLD V4.60 to V5.35), and ZyWALL/USG (versions ZLD V4.60 to V4.73) |
|---|
| 脆弱性サマリ | 不正なエラーメッセージ処理により、認証されていない攻撃者がクラフトしたパケットを送信することでリモートからOSコマンドを実行できる。 |
|---|
| 重大度 | 9.8 (CVSSスコア) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
この記事は、ネットワーク機器メーカーの Zyxel のファイアウォールデバイスが攻撃者によってリモートからコード実行可能となる重大な脆弱性が存在することを示している。この脆弱性はCVE-2023-28771と分類され、Zyxelは製品の一部でこの問題を修正した。Zyxel ATP (バージョンZLD V4.60からV5.35)、USG FLEX(バージョンZLD V4.60からV5.35)、VPN(バージョンZLD V4.60からV5.35)およびZyWALL/USG(バージョンZLD V4.60からV4.73)が影響を受ける。
vulnerability 2023-04-28 11:30:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | ViperSoftX |
|---|
| 脆弱性サマリ | 情報窃取マルウェアViperSoftXが、高度な暗号化や基本的な抗解析技術を活用して検出を免れるようになった。主にオーストラリア、日本、アメリカ、インドのエンタープライズおよび一般消費者が影響を受けている。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
ViperSoftXという情報窃取マルウェアが報じられた。2020年に初めて報告されたViperSoftXは、Google Chromeの悪意ある拡張機能を配布するマルウェアとして機能した。Trend Microによる新しい分析によると、ViperSoftXは今でも使用されており、より高度な暗号化や基本的な抗解析技術を使用して検出を免れており、キーワードとパスワードデータを不正に入手している。ViperSoftXの最初の拡張ラウンチャは、ソフトウェアのクラックまたはキージェネレーター(keygen)が一般的である。ViperSoftXは、自分たちのマルウェアが存在するかどうかをチェックするための、仮想マシン、監視、悪用チェックを行う。ViperSoftXは、パーソナルデータを盗むために拡張機能をインストールする。ViperSoftXの主なC&Cサーバーは、月ごとに変更されているようだ。ユーザーは、公式のプラットフォームとソースからソフトウェアをダウンロードし、不正なソフトウェアをダウンロードしないように注意すべきである。
incident 2023-04-28 09:18:00 被害状況
| 事件発生日 | 2023年4月28日 |
|---|
| 被害者名 | 不特定のオンラインショップの顧客データ |
|---|
| 被害サマリ | オンラインショップでマルウェアが使用され、偽の支払い画面が出現し、クレジットカード情報を入力された顧客から収集される。 |
|---|
| 被害額 | 不明(予想:数百万ドル程度) |
|---|
攻撃者
| 攻撃者名 | Magecartと呼ばれる一連のサイバー犯罪グループ |
|---|
| 攻撃手法サマリ | オンラインスキミング技術を用いた偽の支払い画面による顧客データ収集 |
|---|
| マルウェア | Kritec |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-28 08:48:22 被害状況
| 事件発生日 | 2023年4月28日 |
|---|
| 被害者名 | Lloyds Bank、Halifax、TSB Bank、Bank of Scotlandの顧客 |
|---|
| 被害サマリ | Lloyds Bank、Halifax、TSB Bank、Bank of Scotlandのウェブサイトとモバイルアプリが停止したため、顧客はアカウント残高や情報にアクセスできなかった。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 使用されていない |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-28 06:44:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 韓国の教育、建設、外交、政治機関 |
|---|
| 被害サマリ | 中国に関係するTonto Teamが、アンチマルウェアファイルを使用して攻撃を実行した |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Tonto Team(中国と関係があるとされるグループ) |
|---|
| 攻撃手法サマリ | マイクロソフトのコンパイル済みHTMLヘルプ(.CHM)ファイルを使用して正当なAvastソフトウェア構成ファイルを副読み込みすることで、Bisonalリモートアクセストロイヤンを実行する |
|---|
| マルウェア | ReVBShell、Bisonalリモートアクセストロイヤン |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-27 19:42:12 被害状況
| 事件発生日 | 不明(2023年4月27日に記事が掲載される) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Google Playでダウンロードされた、Minecraftに似た38種のゲームが、Android対応の広告ウイルス「HiddenAds」を仕込まれており、世界中の約35百万人のダウンロード者に損害を与えた。 |
|---|
| 被害額 | 不明(予想:被害者の資産を直接奪うわけではなく、モバイルデバイスのパフォーマンスを低下させるため、特定の被害額は出ない) |
|---|
攻撃者
| 攻撃者名 | 不明(製作者は同一の可能性がある) |
|---|
| 攻撃手法サマリ | Google PlayでMinecraftに似たゲームを公開して、ユーザーにそれをダウンロードしてもらった後、約35百万人のユーザーにHiddenAdsという広告ウイルスを仕込み、背後で広告を表示させ、運営者に収益をもたらした。 |
|---|
| マルウェア | HiddenAds |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-27 18:06:21 1. Microsoftが、Windows 10 22H2がWindows 10の最後の機能アップデートであると発表。
2. Windows 10 22H2は2024年5月(Home、Pro、Pro Education、およびPro for Workstations Edition)および2025年5月(Enterprise、Education、およびIoT Enterprise Edition)にサポート終了予定。
3. ユーザーおよび組織はWindows 11に移行することを強く推奨。
4. Windows 10に残る必要がある場合は、Windows 10 22H2にアップグレードすることを推奨。
5. Windows LTSCリリースに関するアドバイザリも公開され、Windows 10のLTSCエディションは2027年1月までサポートが提供される。 IoT Enterprise Editionは2032年1月までサポートとなる。
other 2023-04-27 17:13:21 - Googleは、2022年に173,000人の開発者アカウントを禁止し、マルウェア運用や詐欺リングからAndroidユーザーのデバイスに悪意のあるアプリを感染させることを防いだと発表。
- Google Playストアに到達するのを阻止するために、多様なプライバシーポリシー違反に関連するほぼ1.5百万のアプリも防止した。
- Google Playコマースセキュリティチームは、詐欺行為や虐待行為につながる詐欺的な取引をブロックし、2十億ドル以上の損失を回避した。
- 開発者がPlay Storeエコシステムに参加する際に、電話と電子メールのID確認を行うようにとの追加要件が設けられた。これにより、Google Playポリシーを違反するアプリの拡散に使用されるアカウント数が減少した。
- Googleは、ステートレスコンピューティングの代替手段としてGoogle Authenticator End-to-End Encryptionを追加することを計画している。
incident 2023-04-27 16:20:13 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | RTM Lockerは、Linuxの暗号化アルゴリズムを使用してVMware ESXiサーバー上の仮想マシンを暗号化するRansomware-as-a-Service (RaaS) を開始しました。RTMは過去に金融詐欺で活動しており、2022年12月にはWindows用のランサムウェア暗号化プログラムが報告されていましたが、最近にはLinux版を含むVMware ESXiを標的とするものが出回っています。 |
|---|
| 被害額 | 不明(予想外でございます) |
|---|
攻撃者
| 攻撃者名 | RTM (Read The Manual) サイバー犯罪グループ |
|---|
| 攻撃手法サマリ | Linuxを標的とするransomware攻撃 |
|---|
| マルウェア | RTM Locker |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-27 15:56:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Google Chromeユーザー |
|---|
| 被害サマリ | CryptBotによって、670,000台のコンピューターが感染し、ユーザーの認証情報、ソーシャルメディアアカウントのログイン情報、暗号通貨ウォレットなどが盗まれ、データが他の攻撃者に売られた可能性がある。 |
|---|
| 被害額 | 不明(予想:数億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明。Googleによると、パキスタンを拠点とする「世界的な犯罪企業」が主要なCryptBotの配信業者と疑われている。 |
|---|
| 攻撃手法サマリ | Google Earth ProやGoogle Chromeなどの人気ソフトウェア向けに改造されたマルウェアを偽のWebサイトで配信するが、不正ライセンスキーでMicrosoft OfficeやWindowsを違法にアクティブ化するツールKMSPicoも配信に利用される。 |
|---|
| マルウェア | CryptBot |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-27 15:36:38 被害状況
| 事件発生日 | 2023年3月28日 |
|---|
| 被害者名 | Microsoft 365のOutlookの一部のユーザー |
|---|
| 被害サマリ | Outlookのバグにより、一部のMicrosoft 365グループユーザーがOutlookデスクトップクライアントでグループのメールボックスやカレンダーにアクセスできなくなった。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Outlookのバグによる障害 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 認証コードの不備 |
|---|
vulnerability 2023-04-27 14:34:24 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | マルウェアの"Atomic"が50種類以上の暗号通貨関連の拡張機能やデスクトップウォレットからパスワード、クッキー、クレジットカード情報などを盗み出すことができる |
|---|
| 被害額 | 不明(予想不能) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | マルウェアによる情報窃取 |
|---|
| マルウェア | "Atomic"(別名"AMOS") |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | macOS |
|---|
| 脆弱性サマリ | 新しいmacOS情報窃取マルウェア「Atomic」が50種類の仮想通貨ウォレットを狙う |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
この脆弱性は、新しいmacOS情報窃取マルウェア「Atomic」が50種類の仮想通貨ウォレットを狙うものである。このマルウェアは、macOSシステムを標的にし、システムパスワード、ファイル、パスワード、クッキー、ブラウザに保存されているクレジットカードなどを盗むことができる。このマルウェアは、Telegramチャンネルを売り手とのコミュニケーションに使用し、月額1000ドルのサブスクリプション料金で販売されている。
vulnerability 2023-04-27 14:04:08 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | 「!password20231#」のような複雑なパスワードも簡単に攻撃される可能性がある |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
記事の内容は、パスワードの複雑さよりも長さが重要であることを意味している。長くかつ独自のパスフレーズを設定することが推奨されている。また、一度決めたパスワードは定期的に変更することをやめ、漏洩した場合のみ変更することが推奨されている。一般的な単語のリストを使用して、新しいパスワードが予測できるかどうかをチェックするパスワード検査も利用できる。さらに、ユーザーをパスワードの重要性について教育することも重要である。
incident 2023-04-27 13:42:00 被害状況
| 事件発生日 | 2023年4月27日 |
|---|
| 被害者名 | タジキスタンの政府高官、電気通信サービス、公共サービスのインフラストラクチャ |
|---|
| 被害サマリ | 政府関係者やその他の高利値な組織がターゲット |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | ロシア語を話すサイバースパイグループ("Nomadic Octopus"と呼ばれる) |
|---|
| 攻撃手法サマリ | フィッシング攻撃やマルウェア利用による侵入、攻撃者によるターゲットサーバーへのアクセス、リモートコード実行によるデータ窃取等を利用したサイバースパイ行為 |
|---|
| マルウェア | Delphiベースに作成されたマルウェア「Octopus」やTelegramモバイルアプリの代替バージョンに偽装したOctopusなど |
|---|
| 脆弱性 | 公に認知された脆弱性を悪用して攻撃を実行 |
|---|
incident 2023-04-27 11:45:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不特定の組織 |
|---|
| 被害サマリ | 組織がLimeRATマルウェアに感染され、データ盗難、DDoSボットネットの形成、クリプトマイニングの支援がされた |
|---|
| 被害額 | 不明(予想:数十万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | オブフスケーションとエンクリプションの使用、Base64アルゴリズムとAESアルゴリズムの利用 |
|---|
| マルウェア | LimeRAT |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-27 10:15:00 被害状況
| 事件発生日 | 2023年4月27日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | RTM Lockerが、初めてLinuxを含むマシンに侵入してランサムウェアを配信した。Linux、NASおよびESXiホストを感染させ、Babukランサムウェアのリークされたソースコードに触発されたと見られている。感染したホスト上で実行されているすべての仮想マシンを終了してから、暗号化プロセスを開始することにより、ESXiホストを特定している。攻撃者グループは、2025年に活動を始めたサイバー犯罪グループRead The Manual(RTM)のルーツを持ち、高いプロファイルを持つ標的からは距離を置いている。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明。RTMグループのルーツが見つかっている。 |
|---|
| 攻撃手法サマリ | ランサムウェア |
|---|
| マルウェア | RTM Locker |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-27 08:20:00 被害状況
| 事件発生日 | 不明(2023年4月13日より早い) |
|---|
| 被害者名 | PaperCutサーバーを利用する顧客 |
|---|
| 被害サマリ | Cl0pおよびLockBitランサムウェアを配信するために利用されたPaperCutの脆弱性(2023-27350およびCVE-2023-27351)が悪用された。第三者からの不正アクセスによって、周辺の重要な情報が盗まれた可能性がある。 |
|---|
| 被害額 | (不明) |
|---|
攻撃者
| 攻撃者名 | Lace Tempest(金銭目的のグループ。国籍などの特徴は不明) |
|---|
| 攻撃手法サマリ | PaperCutの脆弱性を悪用して、TrueBot DLLを配信し、Cobalt Strike Beaconイムプラントを配置。WMIを使用してネットワーク内で横断移動し、MegaSyncファイル共有サービスを通じて関連ファイルを外部に流出。 |
|---|
| マルウェア | Cl0p、LockBit |
|---|
| 脆弱性 | PaperCutの脆弱性(2023-27350およびCVE-2023-27351) |
|---|
incident 2023-04-26 23:28:17 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | PaperCut |
|---|
| 被害サマリ | 不特定のサイバー犯罪者が、PaperCutの脆弱性を悪用し、ClopとLockBitのランサムウェアを使用して企業データを盗んだ。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | ClopとLockBitのランサムウェアグループ(Lace Tempestとも呼ばれる) |
|---|
| 攻撃手法サマリ | PaperCutの脆弱性(CVE-2023-27350およびCVE-2023-27351)を悪用した攻撃。攻撃者は企業データを盗むためにTrueBotマルウェアを導入し、後にCobalt Strikeビーコンを使用してデータを盗んで拡散した。また、ファイル共有アプリのMegaSyncを使用した。Clopランサムウェアグループは以前、FTA zero-day脆弱性、GoAnywhere MFTのzero-day脆弱性を悪用してデータを盗んでいると報告されている。 |
|---|
| マルウェア | ClopとLockBitのランサムウェアおよびTrueBotマルウェア |
|---|
| 脆弱性 | CVE-2023-27350およびCVE-2023-27351の脆弱性 |
|---|
incident 2023-04-26 23:28:17 被害状況
| 事件発生日 | 不明(脆弱性の修正が4月19日に発表された) |
|---|
| 被害者名 | PaperCut Application Server |
|---|
| 被害サマリ | ClopおよびLockBitのランサムウェアグループがPaperCutサーバーの脆弱性を悪用して、コーポレートデータを窃取していた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | ClopおよびLockBitのランサムウェアグループ |
|---|
| 攻撃手法サマリ | 脆弱性の悪用 |
|---|
| マルウェア | TrueBot、Cobalt Strikeビーコンなど |
|---|
| 脆弱性 | PaperCut Application Serverの複数の脆弱性(CVE-2023–27350、CVE-2023–27351) |
|---|
incident 2023-04-26 23:28:17 被害状況
| 事件発生日 | 2023年4月19日 |
|---|
| 被害者名 | PaperCut |
|---|
| 被害サマリ | 不明。ClopランサムウェアグループがPaperCutサーバーへの攻撃を実行した。TrueBotマルウェアやCobalt Strikeビーコンを使用し、MegaSyncファイル共有アプリケーションを用いたデータ窃盗も行われた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Clopランサムウェアグループ |
|---|
| 攻撃手法サマリ | 脆弱性を攻撃してPaperCutサーバーに侵入し、TrueBotマルウェアやCobalt Strikeビーコンを使用したデータ窃盗を行った。 |
|---|
| マルウェア | TrueBotマルウェア、Cobalt Strikeビーコン |
|---|
| 脆弱性 | PaperCut Application Serverの脆弱性(CVE-2023-27350、CVE-2023-27351) |
|---|
incident 2023-04-26 21:35:05 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 300百万人以上(ウクライナ国民や欧州諸国民) |
|---|
| 被害サマリ | 個人情報(パスポート情報、納税者番号、出生証明書、運転免許証、銀行口座情報)が流出した。 |
|---|
| 被害額 | 不明(予想:数千万ドル~数億ドル) |
|---|
攻撃者
| 攻撃者名 | ウクライナ人男性1名 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-26 21:11:30 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Google Authenticatorの2FAコードがクラウドサーバに同期された際、エンドツーエンドの暗号化がされていない可能性がある |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Google Authenticatorの2FAコードがクラウドサーバに同期された際のエンドツーエンド暗号化の欠如 |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | エンドツーエンド暗号化が欠如した点に起因するセキュリティ上の脆弱性 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Google Authenticator |
|---|
| 脆弱性サマリ | Google Authenticatorのクラウドバックアップ機能がエンドトーエンドの暗号化を提供していないため、Googleが意図しない第三者によって2FA QRコード中の秘密が取得される可能性がある。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
Google Authenticatorのクラウドバックアップ機能に重大な脆弱性があることがMyskによって発見された。Google Authenticatorのクラウドバックアップ機能がエンドトーエンドの暗号化を提供していないため、Googleが意図しない第三者によって2FA QRコード中の秘密が取得される可能性がある。Googleはこの問題に対処するため、Google Authenticatorにエンドトーエンドの暗号化を追加する予定である。
vulnerability 2023-04-26 19:30:05 脆弱性
| CVE | CVE-2023-30839 |
|---|
| 影響を受ける製品 | PrestaShop (version 8.0.3 以前) |
|---|
| 脆弱性サマリ | PrestaShopは、不正なアクセス権限を持つバックオフィスユーザーによってSQLデータベースに書き込み、更新、または削除される脆弱性を修正しました。 |
|---|
| 重大度 | 高 (CVSS v3.1スコア:9.9) |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | 不明 |
|---|
vulnerability 2023-04-26 18:51:50 脆弱性
| CVE | CVE-2023-20060 |
|---|
| 影響を受ける製品 | Cisco Prime Collaboration Deployment (PCD) software |
|---|
| 脆弱性サマリ | Cisco PCD (14およびそれ以前)のwebベースの管理インターフェースにおけるクロスサイトスクリプティングの脆弱性(CVE-2023-20060)が確認された。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 未知の攻撃は報告されていません。 |
|---|
| PoC公開 | 未知 |
|---|
incident 2023-04-26 18:16:40 被害状況
| 事件発生日 | 2020年以降 | 2022年1月に発覚 |
|---|
| 被害者名 | Tencent QQメッセージアプリの利用者 |
|---|
| 被害サマリ | 中国のサイバースパイ集団'Evasive Panda'によって、Tencent QQの自動アップデートを装い配信されたMsgBotマルウェアで感染したことが発覚した。 |
|---|
| 被害額 | (不明) |
|---|
攻撃者
| 攻撃者名 | Evasive Panda |
|---|
| 攻撃手法サマリ | サプライチェーン攻撃もしくはAdversary-in-the-Middle(AITM)攻撃。 |
|---|
| マルウェア | Windows向け背後入口ウイルスであるMgBotを利用 |
|---|
| 脆弱性 | (不明) |
|---|
incident 2023-04-26 16:46:34 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Google Chromeのユーザー |
|---|
| 被害サマリ | Cryptbotという情報窃取マルウェアにより、おおよそ67万台のコンピューターが被害に遭った。被害者の機密情報、クレジットカード情報などが盗まれた。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 情報窃取マルウェア(Cryptbot) |
|---|
| マルウェア | Cryptbot |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-26 15:52:53 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Apache Superset |
|---|
| 脆弱性サマリ | Apache Supersetは、認証回避とリモートコード実行の脆弱性があり、デフォルトの構成では攻撃者がリモートのサーバに管理者権限でログインしてデータにアクセス・変更を行うことができる |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
脆弱性がApache Supersetにあり、デフォルトの構成では認証回避とリモートコード実行の脆弱性がある。攻撃者はデフォルトの秘密鍵を使用してセッションクッキーを偽造し、管理者特権でWebサーバにログインできるため、データにアクセス・変更を行える。攻撃者が秘密鍵を知っている場合は、Apache Supersetのインストールが脆弱になる。約2,000のインターネット公開サーバーが影響を受け、既存の設定が修正されていない場合、Apache Supersetのサーバーが今でも攻撃に脆弱である可能性がある。
other 2023-04-26 15:44:16 1. MicrosoftがPCとAndroid/iOSデバイスをWi-Fiで接続するためのPhone Linkアプリを発表、iOS版をWindows 11の全ユーザーに提供する。
2. ユーザーはPhone Linkアプリのホームページから自分のiPhoneを選択し、PCの画面上に表示されるQRコードを確認してデバイスをペアリングする。
3. ペアリングと同時に連絡先や通知を同期するための許可を設定し、Windows 11のパソコンから携帯の通知を受信したり、メッセージをやり取りしたり、通話を行ったりできる。
4. Phone LinkはiOSのグループメッセージへの返信やメディアの送信には対応していない。
5. Phone Link for iOSには最新のPhone LinkアプリとWindows 11、iOS 14以降が必要。
incident 2023-04-26 15:31:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 南アフリカおよびネパールの金融機関および政府機関 |
|---|
| 被害サマリ | 中国の政府系ハッカーグループ、Alloy Taurusが南アフリカとネパールで攻撃を行った。攻撃は、PingPullというバックドアと新しいツール、Sword2033を使用したもので、金融機関や政府機関を含む被害者のフットプリントを広げている。PingPullは、リモートアクセストロイの一種であり、インターネット制御メッセージプロトコル(ICMP)を使用してC2(コマンド&コントロール)通信を行う。Sword2033は、ファイルのアップロードやコマンドの実行などの基本的な機能を提供するバックドアである。 |
|---|
| 被害額 | 不明(予想される被害額は記事中に記載されていない) |
|---|
攻撃者
| 攻撃者名 | Alloy Taurus(中国の政府系ハッカーグループ) |
|---|
| 攻撃手法サマリ | PingPullを使用した攻撃 |
|---|
| マルウェア | PingPull、Sword2033 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-26 15:27:13 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Windows 11 21H2および22H2システム |
|---|
| 脆弱性サマリ | LSA Protectionがオフになる問題 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | 不明 |
|---|
脆弱性の詳細:Microsoftは、「Local Security Authority(LSA)Protectionがオフである」というWindowsセキュリティの警告をトリガーする既知の問題を修正するため、LSA ProtectionのUIを設定から削除しました。 LSASS.exeプロセスに未信頼のコードを注入してメモリダンプまたは情報抽出を行うことを防ぐLSA Protectionは、Windowsユーザーをクレデンシャル窃取から防御するのに役立ちます。 Windows 11 21H2および22H2システムに影響する問題は、Microsoft Defender Antivirusのバグのある更新プログラムによって引き起こされたと報告されています。 同社は、新しいMicrosoft Defender Antivirusのアンチマルウェアプラットフォームの更新で、混乱する警告を修正したと述べています。 ただし、これはWindowsの設定アプリからLSA Protectionユーザーインターフェースを完全に削除することによって修正されたことがわかりました。LSC Protectionはまだサポートされており、ユーザーは、レジストリまたはグループ/MDMポリシーを使用して、手動でセキュリティ機能を有効/無効にできます。ただし、ユーザーインターフェイスがない場合、Windowsの設定からLSA Protectionが有効になっているかどうかを確認する方法はありません。
incident 2023-04-26 13:16:00 被害状況
| 事件発生日 | 2023年4月26日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Charming Kittenによるマルウェア攻撃で、複数の被害者を含む米国、ヨーロッパ、中東、インドなどの複数の国に影響を与えた。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | Charming Kitten(国籍:イラン) |
|---|
| 攻撃手法サマリ | 個別に設計されたマルウェアBellaCiaoを使用して、コントロールされたサーバーから受信したコマンドに応じて、被害者マシンに他のマルウェアを提供する。 |
|---|
| マルウェア | BellaCiaoおよび他のマルウェア(不明) |
|---|
| 脆弱性 | インターネット公開されたアプリケーションの既知の脆弱性(Microsoft Exchange ServerやZoho ManageEngineなど) |
|---|
incident 2023-04-26 12:33:00 被害状況
| 事件発生日 | 2020年11月から2021年中 |
|---|
| 被害者名 | 国際NGOのメンバー |
|---|
| 被害サマリ | 中国のEvasive PandaというAPTグループが、中国本土の国際NGOをターゲットにしたマルウェア攻撃を行った。攻撃はTencent QQなどの正規アプリケーションのアップデートチャンネルを通じて配信された。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Evasive Panda(中国のAPTグループ) |
|---|
| 攻撃手法サマリ | 中国のEvasive PandaというAPTグループが、Tencent QQなどの正規アプリケーションのアップデートチャンネルを通じてMgBotマルウェアというバックドアを配信し、情報を窃取する攻撃を行った。 |
|---|
| マルウェア | MgBotマルウェア |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-26 11:46:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | SaaSユーザー |
|---|
| 脆弱性サマリ | SaaSユーザーにとってブラウザによって発生するサイバー攻撃のリスクが高いことが報告された |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 観測された |
|---|
| PoC公開 | なし |
|---|
2023年のブラウザセキュリティサーベイによると、SaaSユーザーの87%とハイブリッド環境にあるCISOの79%が過去12か月でウェブに基づくセキュリティリスクにさらされたと報告されている。また、SaaSユーザーにとってクレデンシャルフィッシングが最もリスクが高く、悪意のあるブラウザ拡張機能、マルウェアのダウンロード、ブラウザの脆弱性が続き、CISOたちはそれを解決するためのソリューションを模索しているという。
報告書によると、既存のネットワークソリューションでは、OEMの組織が使ってきたソリューションがクラウドに移行する時にその効果が低下するため、セキュアな手段を提供できないことが原因である。問題の原因はブラウザにあるため、ブラウザセキュリティソリューションが必要である。
incident 2023-04-26 10:00:00 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | 南アフリカとネパールのターゲットを含む政府機関・金融機関・軍事機関 |
|---|
| 被害サマリ | 中国国営のGallium/Alloy Taurusグループは、新しいLinuxマルウェアによるサイバー攻撃を行っており、PingPullと呼ばれるリモートアクセストロイジャンを使用して南アフリカとネパールの政府機関・金融機関・軍事機関を含むターゲットに対して攻撃を行っている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | Gallium/Alloy Taurusグループ(中国国営) |
|---|
| 攻撃手法サマリ | 新しいLinuxマルウェア PingPull および Sword2033バックドアを使用したサイバー攻撃 |
|---|
| マルウェア | PingPull, Sword2033 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-26 09:29:00 脆弱性
| CVE | CVE-2023-27524 |
|---|
| 影響を受ける製品 | Apache Superset直前のバージョン(2.0.1以下) |
|---|
| 脆弱性サマリ | デフォルト設定に対する脆弱性によって、遠隔からのコード実行(RCE)攻撃を許可する。 |
|---|
| 重大度 | 高(CVSSスコア8.9) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 有(一部のサーバはデフォルト設定のままになっている) |
|---|
| PoC公開 | 公開されていない |
|---|
Apache Supersetはデータ可視化ソフトウェアで、その直前のバージョン(2.0.1以下)についてデフォルト設定に対する脆弱性が存在する。この脆弱性によって、遠隔からコード実行攻撃ができるが、SECRET_KEYの設定を変更した場合には影響を受けない。ただし、デフォルト設定を変更しないでインストールされたサーバの一部が存在し、攻撃観測が確認されている。Apacheのセキュリティチームに報告された後、修正版(バージョン2.1)がリリースされた。しかし、Docker-composeファイルやHelmテンプレートを使用してデフォルト設定を使用してしまっている場合は修正版でも攻撃される恐れがある。
vulnerability 2023-04-26 07:05:00 脆弱性
| CVE | CVE-2023-20869, CVE-2023-20870, CVE-2023-20871, CVE-2023-20872 |
|---|
| 影響を受ける製品 | VMware Workstation 17.0.2, VMware Fusion 13.0.2 |
|---|
| 脆弱性サマリ | VMware WorkstationおよびVMware Fusionに複数の脆弱性が存在し、悪意のある攻撃者によってコードが実行される可能性がある |
|---|
| 重大度 | 高(CVE-2023-20869), 中(CVE-2023-20870, CVE-2023-20871), 低(CVE-2023-20872) |
|---|
| RCE | 有 (CVE-2023-20869) |
|---|
| 攻撃観測 | 有 (CVE-2023-20869, CVE-2023-20870) |
|---|
| PoC公開 | 有 (CVE-2023-20869, CVE-2023-20870) |
|---|
VMware WorkstationおよびVMware Fusionに、Bluetoothデバイスとの共有機能のスタックベースのバッファオーバーフロー脆弱性(CVE-2023-20869)があり、操作権限を持つ攻撃者によってVMXプロセスが実行される可能性があることが報告されている。また、同機能にはアウトオブバウンズ読み取り脆弱性(CVE-2023-20870)があり、VM内のハイパーバイザーメモリ内に格納されている機密情報を読み取り可能なローカルな攻撃者に悪用される可能性があることが報告されている。これらは、Pwn2Ownハッキングコンテストで報告されたもので、VMwareは、Fusionバージョン13.0.2とWorkstationバージョン17.0.2でこれらの脆弱性を修正したことを発表している。PoCコードがCVE-2023-20869とCVE-2023-20870に公開されており、VMwareは一時的な回避策として、仮想マシン上のBluetoothサポートをオフにすることを推奨している。また、Fusionにはローカル特権エスカレーション脆弱性(CVE-2023-20871)とSCSI CD / DVDデバイスエミュレーションに関するアウトオブバウンズ読み取り/書き込み脆弱性(CVE-2023-20872)があり、VSphereおよびESXiで修正済みである。
incident 2023-04-25 20:47:06 被害状況
| 事件発生日 | 2023年4月25日 |
|---|
| 被害者名 | Microsoft 365のExchange Onlineの一部の顧客 |
|---|
| 被害サマリ | Microsoft 365の障害により、Exchange Online顧客がメールボックスにアクセスできなくなっている。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-25 18:33:39 被害状況
| 事件発生日 | 2023年4月25日 |
|---|
| 被害者名 | VMware |
|---|
| 被害サマリ | VMwareが発行したWorkstationおよびFusionソフトウェアハイパーバイザーに、ゼロデイ脆弱性が見つかりました。これらの脆弱性が攻撃者に悪用されると、根本的な情報漏洩または特権昇格が発生する可能性があります。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明。攻撃者の国籍や特徴についての情報は、記事には含まれていない。 |
|---|
| 攻撃手法サマリ | 脆弱性を突いた攻撃。詳細は明らかにされていない。 |
|---|
| マルウェア | 報告されていない。 |
|---|
| 脆弱性 | Bluetoothデバイスの共有機能のスタックベースのバッファオーバーフロー脆弱性(CVE-2023-20869)およびBluetoothデバイスの共有機能における情報漏洩の脆弱性(CVE-2023-20870)が報じられている。 |
|---|
脆弱性
| CVE | CVE-2023-20869, CVE-2023-20870, CVE-2023-20871, CVE-2023-20872 |
|---|
| 影響を受ける製品 | Workstation、Fusion |
|---|
| 脆弱性サマリ | Workstation、Fusionに存在する複数の脆弱性が修正された。Bluetooth device-sharing機能や、仮装SCSIコントローラーを使用して物理CD/DVDドライブで仮想マシンを攻撃するなど、攻撃者に情報漏洩や特権昇格、リモートコード実行が可能となる。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
other 2023-04-25 18:26:15 1. MicrosoftはWindows 10 22H2のためのKB5025297 Preview累積アップデートをリリースした。
2. このアップデートには新しいWindowsファイアウォール機能と、リージョンと言語設定をMicrosoftアカウントと同期できる機能が含まれている。
3. このアップデートは、セキュリティアップデートを含まないオプションの更新であり、セキュリティ更新とは異なる新しいスケジュールで提供される。
4. KB5025297累積アップデートプレビューには、18の修正または変更が含まれており、Microsoft Updateカタログから手動でダウンロードしてインストールできる。
5. Microsoftは、Windowsのオプションプレビューアップデートが、セキュリティ更新を除く一般のアップデートであることに注意する必要がある。また、このリリースには、Microsoft Edge Legacyの問題があることが警告されている。
other 2023-04-25 17:44:18 1. Windows 11に最新の累積更新プログラム「KB5025305」がリリースされた。
2. このプログラムにより、非セキュリティアップデートや新機能の優先順位を高くすることができるようになった。
3. 特に、アプリケーショングループルールを設定できることや、LSASSプロセスのエラー対処が含まれる。
4. このアップデートは任意で、手動でインストールする必要がある。
5. 商用カスタマーはWindows Update for BusinessやWSUSで制御されるため、IT管理者によって最新の変更が管理される。
- Windows 11 KB5025305 adds prioritized Windows updates setting
- このプログラムにより、非セキュリティアップデートや新機能の優先順位を高くすることができるようになった。
- アプリケーショングループルールを設定できることや、LSASSプロセスのエラー対処が含まれる。
- このアップデートは任意で、手動でインストールする必要がある。
- 商用カスタマーはWindows Update for BusinessやWSUSで制御されるため、IT管理者によって最新の変更が管理される。
incident 2023-04-25 15:26:36 被害状況
| 事件発生日 | 2023年4月25日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Service Location Protocol(SLP)にある新しい反射型DoS増幅脆弱性が、2,200倍増幅して大規模なDDoS攻撃を起こす可能性がある。アタッカーは、攻撃に必要な54,000の脆弱なSLPインスタンスが2,000以上の組織で公開されているため、重大な被害が懸念される。 |
|---|
| 被害額 | 不明(想定被害額=不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Service Location Protocol (SLP)の脆弱性を利用した反射型DoS増幅攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-29552 |
|---|
vulnerability 2023-04-25 14:39:17 【脆弱性情報】
CVE番号:なし
影響を受ける製品:Google Authenticator
脆弱性サマリ:Google Authenticatorのバックアップ機能がなかったことで、2段階認証で使用する一時パスワードの保存が1つのデバイスに限定されており、デバイス紛失時に全てのサービスの認証が不可能になっていた。
重大度:なし
RCE:なし
攻撃観測:不明
PoC公開:不明
incident 2023-04-25 13:26:00 被害状況
| 事件発生日 | 2023年4月25日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 高度のDdoS攻撃がSLPの脆弱性を利用して可能性がある。脆弱性により、2200倍の攻撃が可能になっており、2,000を超える組織に影響を与える。被害国は主にアメリカ、イギリス、日本、ドイツである。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | SLPの脆弱性を利用して、目標とするサーバーに大量の虚偽のトラフィックを送信して、目標を圧倒するアンプリファイドDDoS攻撃を行う。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Service Location Protocol(SLP)の脆弱性:CVE-2023-29552 |
|---|
incident 2023-04-25 13:04:00 被害状況
| 事件発生日 | 2023年4月25日 |
|---|
| 被害者名 | イスラエルのターゲット |
|---|
| 被害サマリ | イランの国家レベルの脅威アクターが、新しいフィッシング攻撃を発動し、更新されたバックドア「PowerLess」をデプロイするように設計された攻撃を行いました。この攻撃は、APT35、Charming Kitten、Cobalt Illusion、ITG18、Mint Sandstorm(以前はPhosphorus)、TA453、Yellow Garudaなどとして知られるハッキングクルーとの「強い重複」が見られます。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | イランの国家レベルの脅威アクターとされる |
|---|
| 攻撃手法サマリ | ISO画像やランサムウェアを使用し、フィッシング攻撃を行っています。アーカイブファイルを介して感染チェーンを開始し、PowerLessインプラントを起動します。 |
|---|
| マルウェア | PowerLess |
|---|
| 脆弱性 | N-day脆弱性やPowerShellスクリプトを使用して、初期アクセスを取得します。 |
|---|
vulnerability 2023-04-25 11:53:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | 脆弱性管理ツール |
|---|
| 脆弱性サマリ | 適切なリスク評価不十分 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-25 11:45:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | MiraiマルウェアがTP-Link Archer A21 (AX1800) Wi-Fiルーターの脆弱性(CVE-2023-1389)を悪用して、DDoS攻撃用のボットネットに端末を組み込んでいる。リサーチャー達がこの問題について警告を出し、TP-Linkは2023年1月に修正プログラムをリリースした。 |
|---|
| 被害額 | 不明(予想:被害としてはサービス停止時間や対策費用等が発生した) |
|---|
攻撃者
| 攻撃者名 | Miraiマルウェアが使用されたため、攻撃者の国籍などは不明 |
|---|
| 攻撃手法サマリ | TP-Link Archer A21 (AX1800) Wi-Fiルーターの脆弱性(CVE-2023-1389)を悪用したDDoS攻撃用のボットネットに端末を組み込んだ。 |
|---|
| マルウェア | Miraiマルウェア |
|---|
| 脆弱性 | TP-Link Archer AX21 ルーターの「locale API」における、非認証コマンドインジェクション脆弱性(CVE-2023-1389) |
|---|
incident 2023-04-25 11:27:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 北朝鮮のサブグループによって新たに開発されたApple macOSマルウェア「RustBucket」が確認され、C2サーバーに接続してさまざまなペイロードをダウンロードした。この攻撃は金銭的な利益を目的としている。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮に関係するサブグループ「BlueNoroff」による攻撃が疑われる |
|---|
| 攻撃手法サマリ | Appleデバイス用のマルウェア「RustBucket」の使用 |
|---|
| マルウェア | RustBucket |
|---|
| 脆弱性 | Gatekeeperの保護を手動でオーバーライドするためのユーザー介入が必要 |
|---|
other 2023-04-25 10:39:00 1. Googleのクラウド部門は、最新のAIの進歩を活用し、セキュリティAI Workbenchを発表した。
2. このセキュリティスイートの特徴は、Sec-PaLMというAIツールを使用し、インシデント分析、脅威検知、および分析を強化することである。
3. Security AI Workbenchは、VirusTotal Code InsightやMandiant Breach Analytics for Chronicleなど、広範なAIベースのツールを提供する。
4. Security Command Center AIは、Sec-PaLMを利用して、攻撃経路や影響を受ける資産などの素早い分析を提供する。
5. オンラインプラットフォームGitLabでも、AIを活用してセキュリティテストの偽陽性を回避するなど、最新のAI技術がセキュリティ業界に導入されていることがわかる。
- Googleのクラウド部門は、最新のAIの進歩を活用し、セキュリティAI Workbenchを発表した。
- このセキュリティスイートの特徴は、Sec-PaLMというAIツールを使用し、インシデント分析、脅威検知、および分析を強化することである。
- Security AI Workbenchは、VirusTotal Code InsightやMandiant Breach Analytics for Chronicleなど、広範なAIベースのツールを提供する。
- Security Command Center AIは、Sec-PaLMを利用して、攻撃経路や影響を受ける資産などの素早い分析を提供する。
- オンラインプラットフォームGitLabでも、AIを活用してセキュリティテストの偽陽性を回避するなど、最新のAI技術がセキュリティ業界に導入されていることがわかる。
vulnerability 2023-04-25 04:33:00 脆弱性
| CVE | [なし] |
|---|
| 影響を受ける製品 | Google Authenticatorアプリ |
|---|
| 脆弱性サマリ | Google Authenticatorアプリが、クラウドバックアップできるようになり、別の端末へ移行する際にも使うことができるようになった。 |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
Googleは、Authenticatorアプリの大型アップデートをリリースし、アカウント同期オプションを追加した。これにより、ユーザーはクラウドにTOTPコードをバックアップすることができ、別の端末に移行する際にも引き続き使用することが可能となった。Googleは、「この変更は、ユーザーがロックアウトされるのを防止し、サービスがユーザーがアクセスを保持していることに依存できるため、便利さとセキュリティの両方を高めます」と述べている。アップデートには、2FAアプリに新しいアイコンも追加された。ただし、クラウドバックアップには慎重に、Googleアカウントにアクセスできる悪意のある攻撃者に悪用される可能性があるため、オプションとして提供されている。
vulnerability 2023-04-24 21:56:35 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | VirusTotalのCode Insight機能 |
|---|
| 脆弱性サマリ | Code Insight機能の実装により、偽陰性・偽陽性の洗練が可能に |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
※上記は架空の情報であり、本当の脆弱性情報ではありません。
incident 2023-04-24 19:38:40 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 新しいサイドチャネル攻撃が発見され、インテルCPUの複数世代に影響を及ぼし、EFLAGSレジスタを通じてデータが漏洩する。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | サイドチャネル攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | インテルCPUの複数世代に影響を及ぼす脆弱性 |
|---|
incident 2023-04-24 17:01:38 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | PaperCut |
|---|
| 被害サマリ | PaperCut MF/NGの2つの脆弱性(CVE-2023-27350とCVE-2023-27351)を突かれ、リモートハッカーにより、SYSTEM特権のあるサーバーにAteraをインストールされ操作された。PCWorldによると、PaperCutは世界中の70,000社の100万人を超えるユーザに利用されている。 |
|---|
| 被害額 | 不明(予想:数億円) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | リモートのPaperCutサーバーにAteraのリモートマネジメントソフトをインストールし、サーバーを乗っ取る攻撃 |
|---|
| マルウェア | Atera |
|---|
| 脆弱性 | PaperCut MF/NGの2つの脆弱性(CVE-2023-27350とCVE-2023-27351)を利用 |
|---|
incident 2023-04-24 16:17:17 被害状況
| 事件発生日 | 2023年4月24日 |
|---|
| 被害者名 | KuCoin (暗号資産取引所) |
|---|
| 被害サマリ | 暗号資産取引所KuCoinの公式Twitterアカウントがハッキングされ、架空のセールスプロモーションによるスキームが行われ、22,600米ドル(約2,400万円)相当の暗号資産がそれに関与した22件の取引から盗まれた。 |
|---|
| 被害額 | 約2,400万円相当(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 公式Twitterアカウントのハッキングによる架空のセールスプロモーションによるスキーム |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-24 15:14:52 脆弱性
| CVE | CVE-2023-29411、CVE-2023-29412、CVE-2023-29413 |
|---|
| 影響を受ける製品 | APC Easy UPS Online Monitoring Software v2.5-GA-01-22320およびそれ以前のバージョン、Schneider Electric Easy UPS Online Monitoring Software v2.5-GA-01-22320およびそれ以前のバージョン |
|---|
| 脆弱性サマリ | 認証不要で任意のリモートコードが実行可能 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-24 14:00:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 政府および外交機関(CIS地域) |
|---|
| 被害サマリ | 内部文書の常習的な窃盗 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | ロシア語の使用者 |
|---|
| 攻撃手法サマリ | スピアフィッシング攻撃による低い技能レベルのバーナーインプラントの使用 |
|---|
| マルウェア | Telemiris、Roopy、JLORAT |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-24 13:44:00 被害状況
| 事件発生日 | 2023年4月24日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | BYOVD攻撃により、EDRソフトウェアを無効化され、バックドアまたはランサムウェアがターゲットシステムに展開された |
|---|
| 被害額 | 不明(予想不能) |
|---|
攻撃者
| 攻撃者名 | 不明(BYOVD攻撃の手法を使用したサイバー攻撃者) |
|---|
| 攻撃手法サマリ | BYOVD攻撃により、EDRソフトウェアを無効化して攻撃を行った |
|---|
| マルウェア | Medusa Locker, LockBit, PlayCrypt, Balloonfly など(BYOVD攻撃の手法を使用した様々なランサムウェアに使用) |
|---|
| 脆弱性 | Bring Your Own Vulnerable Driver(BYOVD) |
|---|
vulnerability 2023-04-24 11:55:00 脆弱性
| 脆弱性 | 企業の84%が過去3ヶ月のうちに侵害されたSaaSアプリを使用していたことが発覚 |
|---|
| 影響を受ける製品 | SaaSアプリケーション |
|---|
| 脆弱性サマリ | 従業員がリスクのあるSaaSアプリケーションを使用している可能性がある。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-24 11:47:39 被害状況
| 事件発生日 | 2023年4月24日 |
|---|
| 被害者名 | Microsoft 365ユーザー |
|---|
| 被害サマリ | Microsoft 365上で検索機能が利用できない不具合があった |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不具合を引き起こす攻撃手法 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-24 11:41:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | WordPressの古いバージョンにEval PHPプラグインを導入した8,000以上のウェブサイト |
|---|
| 脆弱性サマリ | 攻撃者が、古いWordPressプラグインEval PHPを利用してウェブサイトにバックドアを仕掛けている |
|---|
| 重大度 | なし |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
WordPressの古いバージョンに、11年間アップデートされないままに残されたEval PHPプラグインが導入された8,000以上のウェブサイトが、新しいバックドア攻撃にさらされている。2022年9月以来、一般的に1、2回ダウンロードされるくらいだったこのプラグインは、2023年3月30日に6,988回ダウンロードされた。最近、ロシアに拠点を持つ3つのIPアドレスから、ウェブサイトのデータベース「wp_posts」テーブルに悪意あるコードが挿入されるのが確認された。コードは、ウェブサイトの文書ルートにPHPスクリプトを生成して、リモートコード実行バックドアを指定するfile_put_contents関数を使用している。攻撃者は、このバックドアを維持するためにウェブサイトを再感染させることができる。Sit ownersは、WP Adminダッシュボードを保護し、不正なログインを監視して攻撃者が管理者アクセスを取得できないようにする必要がある。
incident 2023-04-24 07:22:54 被害状況
| 事件発生日 | 不明(2023年3月15日以降と推測) |
|---|
| 被害者名 | Yellow Pages Group |
|---|
| 被害サマリ | Black Bastaと名乗るランサムウェアとエクスターションのグループによる攻撃で、個人情報を含む敏感なドキュメントが流出した。 |
|---|
| 被害額 | 不明(予想:数十万-数百万ドル) |
|---|
攻撃者
| 攻撃者名 | Black Basta |
|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃とデータの窃盗と、エクスターションによる被害拡大 |
|---|
| マルウェア | 不明(Black BastaはContiランサムウェアの再ブランドとする見方がある) |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-24 06:36:00 被害状況
| 事件発生日 | 記事に記載なし |
|---|
| 被害者名 | 不特定多数のWindowsシステムの利用者 |
|---|
| 被害サマリ | 『EvilExtractor』という名称のオールインワンスティーラーマルウェアが、FTPサービスを通じてWindowsシステムからデータとファイルを盗み出す攻撃が行われている。被害者のブラウザデータや情報などを盗んで攻撃者のFTPサーバーにアップロードすることが主な目的であり、多数のWebブラウザからパスワードとクッキーを盗むためのモジュールがあり、また、キーストロークを記録し、対象システム上のファイルを暗号化するランサムウェアとしても機能する。 |
|---|
| 被害額 | 記事に記載なし(予想:不特定多数の被害があると予想されるため、被害額の算出は困難である) |
|---|
攻撃者
| 攻撃者名 | Kodexというユーザー名を使用して、サイバー犯罪フォーラムであるCrackedなどで販売されている |
|---|
| 攻撃手法サマリ | FTPサービスを通じてデータとファイルを盗むオールインワンスティーラーマルウェアを使用した攻撃 |
|---|
| マルウェア | EvilExtractor |
|---|
| 脆弱性 | 記事に記載なし |
|---|
vulnerability 2023-04-24 06:05:00 被害状況
| 事件発生日 | 2023年4月14日 |
|---|
| 被害者名 | PaperCut |
|---|
| 被害サマリ | 既存の脆弱性が悪用され、約1800のサーバーが攻撃に遭い、ロシアの犯罪グループによるマルウェアTrueBotを含む遠隔管理・メンテナンスソフトウェアがインストールされた。 |
|---|
| 被害額 | 不明(予想不能) |
|---|
攻撃者
| 攻撃者名 | ロシアの犯罪グループ Silence と、その関連グループ TA505 および Evil Corp |
|---|
| 攻撃手法サマリ | PaperCutの既存の脆弱性(CVE-2023-27350、CVSSスコア-9.8)を悪用した攻撃。 |
|---|
| マルウェア | TrueBot および Cl0p ランサムウェア(配布手法に使用) |
|---|
| 脆弱性 | CVE-2023-27350 |
|---|
脆弱性
| CVE | CVE-2023-27350 |
|---|
| 影響を受ける製品 | PaperCut MF、NG |
|---|
| 脆弱性サマリ | 未修正のサーバーに対する攻撃が繰り返されている |
|---|
| 重大度 | 高 (CVSSスコア9.8) |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
PaperCut MFおよびNGには、未修正のサーバーに対する攻撃が繰り返されている脆弱性(CVE-2023-27350)があると報告されている。サイバーセキュリティ企業Trend Microによる2つの脆弱性報告が引用されており、PaperCutも「未修正のサーバーが野生化されている証拠がある」と述べている。PaperCut管理下のサーバーからPowerShellコマンドが生成され、リモート管理およびメンテナンス(RMM)ソフトウェアがインストールされ、感染したホスト上での永続的なアクセスおよびコード実行が観測されている。PaperCutの脆弱性が悪用された場合、多岐に渡る拡散と、最終的にはランサムウェアの配信に繋がる!との指摘あり。利用者は、潜在的な危険性を回避するために、修正済みのPaperCut MFおよびNG(20.1.7、21.2.11、および22.0.9)にできるだけ早くアップグレードし、外部または内部接続(利用可能かどうかにかかわらず)にしているかに関わらず推奨される。安全なパッチにアップグレードできない場合、検証済みサイトサーバーのIPアドレスにのみ制限し、外部IPからのすべてのインバウンドトラフィックをブロックすることで、ネットワークアクセスをロックダウンすることが推奨されている。
incident 2023-04-23 16:32:57 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 中古ルーターから企業の機密情報が漏えい、ネットワーク侵入に悪用される可能性 |
|---|
| 被害額 | 不明(予想:情報漏洩による損失額は数千万円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 中古ルーターから機密情報を収集し、企業ネットワークに不正アクセス |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | ルーターから撤去するデータ消去手順が実施されていないことによる脆弱性 |
|---|
incident 2023-04-23 14:25:50 被害状況
| 事件発生日 | 2022年4月上旬 |
|---|
| 被害者名 | 企業および大規模組織 |
|---|
| 被害サマリ | 国家主導の脅威アクターによるマルウェアツールキット「Decoy Dog」の使用により、実行ツールである「Pupy RAT」を使用した遠隔操作による情報の窃取や情報漏えいが発生した。 |
|---|
| 被害額 | 不明(予想不能) |
|---|
攻撃者
| 攻撃者名 | 国家主導の脅威アクター |
|---|
| 攻撃手法サマリ | DNSトラフィックを解析することで不審なアクティビティを検出し、Pupy RATを使用した遠隔操作を行う。また、他のユーザーとの活動を混ぜるためにDNSクエリードリブリングを使用する。 |
|---|
| マルウェア | Decoy DogおよびPupy RAT |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-22 16:18:09 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | GitHubの開発プラットフォーム |
|---|
| 脆弱性サマリ | GitHubがプライベート脆弱性報告を導入したことで悪用される可能性がある |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-22 15:14:28 被害状況
| 事件発生日 | 不明(記事投稿日: April 22, 2023) |
|---|
| 被害者名 | 個人及び企業のユーザーデータを意図する攻撃 |
|---|
| 被害サマリ | Kodex社が59ドル/月で販売しているEvilExtractorというツールを使い、EUおよび米国で、情報盗用のランサムウェアや証明書抽出ツール、Windows Defender回避ツールを搭載した攻撃が増加している。 |
|---|
| 被害額 | 不明(未報告) |
|---|
攻撃者
| 攻撃者名 | Kodex社が販売するEvilExtractorに使用される犯罪者 |
|---|
| 攻撃手法サマリ | フィッシング攻撃によって、gzip圧縮実行可能ファイルを添付して送信し、開封したターゲットに独自で開発したPython実行可能プログラムの.NETローダーを起動し、EvilExtractorを実行させる。 |
|---|
| マルウェア | EvilExtractor、KK2023.zip、Confirm.zip、MnMs.zip、zzyy.zip |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-22 14:08:16 被害状況
| 事件発生日 | 不明 (BumbleBeeマルウェアが2022年4月に発見されたことは判明している) |
|---|
| 被害者名 | 企業のユーザー |
|---|
| 被害サマリ | Google AdsやSEO poisoningを通じ、Zoom、Cisco AnyConnect、ChatGPT、Citrix Workspaceなどの人気ソフトウェアをダウンロードしようとするユーザーに対し、BumbleBeeマルウェアを配信、感染させていた。BumbleBeeマルウェアはランサムウェア攻撃を行うとともに、ネットワークへの侵入や権限の昇格を可能にするものである。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明。ただし、BumbleBeeマルウェアがContiチームによって開発されたと考えられており、この攻撃も同グループが関与している可能性が高い。 |
|---|
| 攻撃手法サマリ | Google AdsやSEO poisoningを活用した手法により、人気ソフトウェアをダウンロードする際にBumbleBeeマルウェアを感染させるものである。 |
|---|
| マルウェア | BumbleBeeマルウェア |
|---|
| 脆弱性 | N/A |
|---|
incident 2023-04-22 06:46:00 被害状況
| 事件発生日 | 2022年9月~11月 |
|---|
| 被害者名 | 未公開 |
|---|
| 被害サマリ | Trading Technologiesが開発したX_TRADERアプリケーションがトロイの木馬に感染され、3CXだけでなく、電力とエネルギー部門の2つの重要なインフラ組織や、金融取引に関与する2つの他のビジネスも影響を受けた。 |
|---|
| 被害額 | (予想)不明 |
|---|
攻撃者
| 攻撃者名 | 北朝鮮のネクサスアクターであるUNC4736、Lazarus、Hidden Cobraなどの北朝鮮に関連するグループ。 |
|---|
| 攻撃手法サマリ | トロイの木馬に感染させたX_TRADERアプリケーションを使用して標的に侵入。 |
|---|
| マルウェア | VEILEDSIGNAL、SimplexTeaなど |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-22 06:00:00 脆弱性
| CVE | CVE-2023-28432 |
|---|
| 影響を受ける製品 | MinIO |
|---|
| 脆弱性サマリ | MinIOは、クラスターデプロイメントの場合に、環境変数、つまりMINIO_SECRET_KEYおよびMINIO_ROOT_PASSWORDを含むすべての環境変数を返すため、情報開示の問題がある。 |
|---|
| 重大度 | 7.5 (高) |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
| CVE | CVE-2023-27350 |
|---|
| 影響を受ける製品 | PaperCut MFおよびPaperCut NG |
|---|
| 脆弱性サマリ | PaperCut print managementソフトウェアには、認証をバイパスし、任意のコードを実行することができる深刻なリモートコード実行の問題がある。 |
|---|
| 重大度 | 9.8 (高) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
| CVE | CVE-2023-2136 |
|---|
| 影響を受ける製品 | Google Chrome |
|---|
| 脆弱性サマリ | Google ChromeのSkia 2Dグラフィックスライブラリには、悪意のあるHTMLページを介してサンドボックス逃避を行うことができる問題がある。 |
|---|
| 重大度 | TBD |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-04-21 22:39:43 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | LockBitがApple Silicon encryptorをテストし、NCRがランサムウェアの攻撃を受けたことが報告された。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | LockBitおよびBlackCat/ALPHVなどのランサムウェアグループ |
|---|
| 攻撃手法サマリ | Action1 RMMを悪用する、脆弱性を悪用する、ドメインマルウェアの配信などを行う。 |
|---|
| マルウェア | LockBit、Trigona、Domino、Rorschach、Phobos、VoidCrypt、CrossLock、STOP、Grixba、VSS Copying Tool、BlackBitなどのランサムウェア |
|---|
| 脆弱性 | CVE-2023-0669などの脆弱性を悪用 |
|---|
incident 2023-04-21 19:26:43 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 3CXを含む少なくとも複数のクリティカルインフラストラクチャ機関 |
|---|
| 被害サマリ | 北朝鮮支援の攻撃グループがトロイの木馬化されたX_Traderソフトウェアのインストーラを使用して、多段階バックドアのVEILEDSIGNALを被害者のシステムにデプロイ |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮支援の攻撃グループ |
|---|
| 攻撃手法サマリ | トロイの木馬化されたX_Traderソフトウェアを使用したサプライチェーン攻撃 |
|---|
| マルウェア | VEILEDSIGNAL |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-21 17:50:28 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Google Cloud Platform(すべてのユーザー) |
|---|
| 脆弱性サマリ | Google Cloud Platformのセキュリティ脆弱性により、悪意のあるOAuthアプリケーションを使用してアカウントにバックドアを作成される可能性がある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | なし |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
脆弱性名はGhostTokenと名付けられ、Astrix Securityによって2022年に報告された。Googleは2023年4月初旬にパッチをリリースして脆弱性を修正した。この脆弱性によって、Google Cloud PlatformにリンクされたOAuthトークンを悪用して、悪意のあるアプリケーションがバックドアを作り、Googleアカウントにアクセスすることができるようになってしまった。悪意のあるアプリは管理ページから非表示可能であり、このためマルウェアが除去できなくなるという問題が発生していた。攻撃者は、いつでもGitHub Tokenを使用して被害者のアカウントにアクセスすることができる。Googleのパッチによって、OAuthトークンが「保留中」になった状態でも消去できるようになった。また、すべてのユーザーに、サードパーティのアプリに関するページを確認し、アプリが正当に機能するために必要な特権だけを与えることが強く推奨されている。
incident 2023-04-21 15:35:11 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Kubernetesクラスタのオーナー |
|---|
| 被害サマリ | RBAC(役割ベースのアクセス制御)を悪用して、バックドアアカウントを作成し、Moneroクリプトマイニングに乗っ取った |
|---|
| 被害額 | 不明(予想200ドル/1年あたり/1台) |
|---|
攻撃者
| 攻撃者名 | 不明(グローバル) |
|---|
| 攻撃手法サマリ | RBAC(役割ベースのアクセス制御)を悪用したシステムへの侵入 |
|---|
| マルウェア | なし(Moneroクリプトマイニングに利用するドッカーのイメージ) |
|---|
| 脆弱性 | APIサーバーの未構成部分 |
|---|
incident 2023-04-21 13:56:10 被害状況
| 事件発生日 | 2023年3月17日 |
|---|
| 被害者名 | アメリカン・バー・アソシエーション(ABA) |
|---|
| 被害サマリ | ハッカーによりABAのネットワークが侵害され、2018年に廃止された旧メンバーシステムの古い資格情報が含まれる146万6000名のメンバーの情報が流出した。 |
|---|
| 被害額 | 不明(予想:被害額がないため0) |
|---|
攻撃者
| 攻撃者名 | 不明(攻撃に用いられた手法についての情報しかないため) |
|---|
| 攻撃手法サマリ | ハッカーがABAのネットワークを侵害して古資格情報を含む146万6000名のメンバーの情報を盗み出した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-21 13:26:00 被害状況
| 事件発生日 | 2023年4月21日 |
|---|
| 被害者名 | クラウドセキュリティ企業Aqua |
|---|
| 被害サマリ | Kubernetes(K8s)のロールベースアクセス制御(RBAC)が悪用され、バックドアが作成され、仮想通貨マイニングが実行された攻撃が大規模に発生した。この攻撃キャンペーンの背後にいる脅威アクターによって悪用された60以上のK8sクラスターが見つかった。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明(攻撃手法から、ロシアなどの国籍の可能性がある) |
|---|
| 攻撃手法サマリ | Kubernetesのロールベースアクセス制御(RBAC)が悪用され、バックドアが作成され、仮想通貨マイニングが実行された。また、攻撃者は「DaemonSet」を展開し、攻撃対象K8sクラスターのリソースを乗っ取らせた。 |
|---|
| マルウェア | 「kube-controller:1.0.1」という名前のコンテナイメージが使われたが、これは正規の「kubernetesio」アカウントを模倣した偽アカウントである。このイメージには仮想通貨マイナーが含まれている。 |
|---|
| 脆弱性 | Kubernetesのロールベースアクセス制御(RBAC)などの脆弱性は不明。 |
|---|
vulnerability 2023-04-21 12:13:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Google Cloud Platform |
|---|
| 脆弱性サマリ | Google Cloud PlatformにおけるGhostToken脆弱性によって、攻撃者が被害者のGoogleアカウントに削除できない悪意のあるアプリケーションを隠すことができると言われている。 |
|---|
| 重大度 | 高 |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
Google Cloud Platformには、"GhostToken"と呼ばれる脆弱性が存在した。この脆弱性により、攻撃者がGoogleアカウントに悪意のあるアプリを削除できないように隠すことができる。これにより、攻撃者は認可されたOAuthアプリケーションを悪意のあるトロイの木馬アプリに変換でき、被害者の個人データをさらすことができる。この問題は、Googleに報告され、修正された。被害者がアプリのアクセスを取り消すことができなくなるため、この脆弱性の重要度は高い。これらの攻撃者は、Googleマーケットプレイスまたはオンラインの多くの生産性ツールから、無意識に認証されたアプリへのアクセスを許可する可能性があるという。Googleは、この問題を解決するためのパッチをリリースしている。
vulnerability 2023-04-21 11:50:00 被害状況
| 事件発生日 | 記事に詳細な被害状況は含まれていない |
|---|
| 被害者名 | 記事に詳細な被害状況は含まれていない |
|---|
| 被害サマリ | 記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、具体的な被害状況に関する記述はない |
|---|
| 被害額 | 記事に被害額の情報は含まれていない |
|---|
攻撃者
| 攻撃者名 | 記事に攻撃者に関する情報は含まれていない |
|---|
| 攻撃手法サマリ | 記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、具体的な攻撃手法に関する記述はない |
|---|
| マルウェア | 記事に攻撃で利用されたマルウェアに関する情報は含まれていない |
|---|
| 脆弱性 | 記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、脆弱性に関する記述があるが、具体的な攻撃に関する情報はない |
|---|
記事タイトル:14 Kubernetes and Cloud Security Challenges and How to Solve Them
1. この記事はどのような情報を提供しているか?
- Kubernetesとクラウドセキュリティの課題とトレンドについて、調査レポートをまとめた白書がリリースされ、その内容に基づいてセキュリティソリューションを提供している企業の解説がされている。
- セキュリティの課題に応じてどのような対応策が考えられるかが紹介されている。
2. 記事内で言及されている14のKubernetesとクラウドセキュリティの課題は何か?
1. CVEの拡散によるサプライチェーンへの被害
2. KubernetesにおけるRBACとセキュリティの複雑さの増大
3. ゼロトラストが採用されるまで、パスワードや認証情報の盗難は続く
4. 攻撃者がAIやMLをより効果的に利用することで、防御側より有利になる
5. eBPFテクノロジーが新しい接続、セキュリティ、観測に利用される
6. CISOは法的責任を背負い、セキュリティの人材不足を悪化させる
7. 自動防御対策は徐々に増加する
8. VEXが初めて採用される
9. Linuxカーネルが最初のRustモジュールをリリースする
10. クローズドソースベンダーはMTTRの統計を取得するためにSBOM提供を求められ、公開基準ベースのプラットフォームが求められる
11. サイバーセキュリティ保険の政策は、以前よりランサムウェアや怠慢が除外され、政府からの罰金が増えることを示す
12. Dockerのアルファドライバーの後、サーバーサイドのWebAssemblyツールが普及する
13. 新しい法律は、現実世界での採用やテストが不十分である標準を要求し続ける
14. コンフィデンシャルコンピューティングが実用化されている
3. Uptycsはどのようにこれらの課題に取り組んでいるか?
- 脆弱性管理、Kubernetes Security Posture Management、Cloud Infrastructure Entitlements Managementなどのセキュリティ対策を提供し、データ保護とセキュリティの確保に努めている。
- AIやMLを利用した高度な脅威検知や警告、VEXのキャッチアップ、eBPFテクノロジーの活用など、最新のセキュリティ技術を導入している。
- 自動防御対策、統一プラットフォーム、開発更新に対応する柔軟な対応が提供される。
incident 2023-04-21 09:55:00 被害状況
| 事件発生日 | 2023年3月29日 |
|---|
| 被害者名 | 3CX |
|---|
| 被害サマリ | 北朝鮮のサイバー攻撃者グループUNC4736による、マトリョーシカ・ドール式のサプライチェーン攻撃により、3CXの通信ソフトウェアにC/C++ベースのデータマイナー、ICONIC Stealerが仕込まれ、Chrome、Edge、ブレイブ、Firefoxなどのブラウザから被害者の機密情報を窃取された。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮のサイバー攻撃者グループUNC4736 |
|---|
| 攻撃手法サマリ | マトリョーシカ・ドール式のサプライチェーン攻撃 |
|---|
| マルウェア | ICONIC Stealer、VEILEDSIGNAL、TAXHAULランチャー、COLDCATダウンローダー、POOLRATバックドア |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-21 08:35:09 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 複数のアメリカの大学のウェブサイト |
|---|
| 被害サマリ | Fortniteのスパムや偽のギフトカードを紹介するWikiページが大量にアップロードされる |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-21 05:41:00 被害状況
| 事件発生日 | 2023年4月21日 |
|---|
| 被害者名 | CiscoおよびVMware製品のユーザー |
|---|
| 被害サマリ | Cisco Industrial Network DirectorおよびModeling Labs network simulation platformに脆弱性が存在し、認証された攻撃者がデバイスに任意のコマンドを実行することができる。VMwareのAria Operations for Logsには、任意のコードをroot権限で実行できるデシリアライゼーションの欠陥が存在する。これにより、ネットワークアクセス権を持つ攻撃者に影響を与えることができる。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 任意のコマンドを実行できる脆弱性の利用 |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | Cisco Industrial Network Director: CVE-2023-20036、CVE-2023-20039、CVE-2023-20154、VMware Aria Operations for Logs: CVE-2023-20864、CVE-2023-20865 |
|---|
脆弱性
| CVE | CVE-2023-20036, CVE-2023-20039, CVE-2023-20154, CVE-2023-20864, CVE-2023-20865 |
|---|
| 影響を受ける製品 | Cisco Industrial Network Director, Modeling Labs network simulation platform, Aria Operations for Logs |
|---|
| 脆弱性サマリ | Cisco Industrial Network DirectorのWeb UIコンポーネントにコマンドインジェクションの脆弱性が存在し、任意のコマンドをNT AUTHORITY\SYSTEMとして実行可能。また、同製品において、認証済みのローカル攻撃者が機密情報を閲覧できるファイル権限の脆弱性も見つかった。Modeling Labs network simulation platformには、外部認証メカニズムにおいて認証にバイパスできる脆弱性があり、LDAPサーバーがsearch result referenceエントリーから非空配列を返す場合に悪用可能。Aria Operations for Logsには、脆弱なデシリアライゼーション処理が存在し、攻撃者がリモートからrootとして任意のコードを実行可能な脆弱性がある。また、同製品には、管理者権限を持つ攻撃者が任意のコマンドをroot権限で実行できる脆弱性も存在する。 |
|---|
| 重大度 | CVE-2023-20036: 高, CVE-2023-20039: 中, CVE-2023-20154: 高, CVE-2023-20864: 高, CVE-2023-20865: 高 |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-20 20:02:13 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | WordPressサイトの管理者 |
|---|
| 被害サマリ | 古いWordPressプラグインのEval PHPでのマルウェア感染により、ウェブサイトがバックドアで乗っ取られた |
|---|
| 被害額 | 不明(予想:被害者の規模による。大企業であれば数百万~数千万円程度) |
|---|
攻撃者
| 攻撃者名 | 不明(攻撃者の国籍・特徴などは不明) |
|---|
| 攻撃手法サマリ | 古いWordPressプラグインのマルウェア感染によるバックドアの設置 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-20 18:47:35 被害状況
| 事件発生日 | 2023年1月から3月 |
|---|
| 被害者名 | ウクライナ |
|---|
| 被害サマリ | ロシアによるサイバー攻撃。情報収集、オペレーションの妨害、機密情報の漏洩が狙いであり、Telegramチャンネルを通じてウクライナに対する情報的被害を引き起こしている。 |
|---|
| 被害額 | 不明(予想:不明) |
|---|
攻撃者
| 攻撃者名 | ロシアおよびベラルーシの脅威アクター |
|---|
| 攻撃手法サマリ | フィッシング攻撃が主な手法。また、Ukrainian defense industryの働く人やUkr.netといったプラットフォームのユーザー、ウクライナのTelegramチャンネルに対し、SandwormグループはFakeUkroboronpromウェブサイトを作成している。APT28グループはUkranian政府のWebサイトでの反射型XSS攻撃を行い、対策を強化していた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-20 17:22:54 被害状況
| 事件発生日 | 2023年4月20日 |
|---|
| 被害者名 | VMware |
|---|
| 被害サマリ | vRealize Log Insightの重大な脆弱性 (CVE-2023-20864) により、リモート攻撃者が脆弱なアプライアンスでリモート実行を行うことができるようになってしまった。犯罪者が操作することができる多量のアプリケーションとインフラストラクチャログを管理するためのログ分析ツールである。 |
|---|
| 被害額 | (不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 任意のコードをルートとして実行することができるシリアライゼーションの脆弱性 (CVE-2023-20864) をつくものだった。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | シリアライゼーションの脆弱性 (CVE-2023-20864) およびタスクの永続性の脆弱性 (CVE-2023-20865) |
|---|
incident 2023-04-20 15:43:51 被害状況
| 事件発生日 | 2023年3月中旬(詳細な日付は不明) |
|---|
| 被害者名 | 複数の企業(詳細は不明) |
|---|
| 被害サマリ | VoIPプロバイダーである3CXのクライアントバージョンのトロイの木馬によってセキュリティー情報を窃取された。 |
|---|
| 被害額 | 不明(予想:数百万ドルから数千万ドル) |
|---|
攻撃者
| 攻撃者名 | Lazarusグループ(北朝鮮の関与) |
|---|
| 攻撃手法サマリ | LazarusはLinkedInなどのソーシャルメディアやコミュニケーションプラットフォームを通じて、偽の求人募集を掲載し、メールや直接メッセージでターゲットを誘導し、マルウェアをダウンロードさせる攻撃手法を用いている。 |
|---|
| マルウェア | OdicLoader、SimplexTea |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-20 14:24:51 被害状況
| 事件発生日 | 2023年4月20日 |
|---|
| 被害者名 | Microsoft 365の顧客(企業・個人) |
|---|
| 被害サマリ | Microsoft 365が世界中の顧客からのアクセスを遮断され、Webアプリやオンラインサービスが利用できなくなった。 |
|---|
| 被害額 | 不明(予想:数百万〜数億ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-20 13:53:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQL |
|---|
| 脆弱性サマリ | Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQLに2つの重大な脆弱性が発見され、テナント統合保護を侵犯し、他の顧客の機密データにアクセスでき、供給チェーン攻撃を行える可能性がある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQLに2つの脆弱性が見つかり、テナントを保護する仕組みが侵犯されると、他の顧客の機密データにアクセスできる可能性がある。また、供給チェーン攻撃を行ってRCEを達成することもできる。これらの脆弱性は、2023年4月にAlibaba Cloudに報告され、同社が対策を講じた。これまでに野外で悪用されたことはない。脆弱性の詳細は「BrokenSesame」と命名されている。PostgreSQLの脆弱性は、昨年、Azure Database for PostgreSQL Flexible Server (ExtraReplica)とIBM Cloud Databases for PostgreSQL (Hell's Keychain)でも特定された。
incident 2023-04-20 13:48:39 被害状況
| 事件発生日 | 2023年3月22日 |
|---|
| 被害者名 | Capita |
|---|
| 被害サマリ | Capitaのサーバーにアクセスして、4%のサーバーのファイルがハッキングされ、顧客、サプライヤーや同僚の情報も含まれる可能性がある |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明(報告には言及されていない) |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | Black Bastaランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-20 12:00:00 被害状況
| 事件発生日 | 2023年3月29日 |
|---|
| 被害者名 | 3CX |
|---|
| 被害サマリ | 北朝鮮関連の攻撃グループがトレーディング・テクノロジーズ社に侵入し、トロイの木馬を仕込まれたソフトウェアを3CX供給チェーンに配布され、顧客にマルウェアを配備するサプライチェーン攻撃を引き起こした。 |
|---|
| 被害額 | 不明(予想:数億円~数十億円) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮関連の攻撃グループUNC4736他 |
|---|
| 攻撃手法サマリ | トレーディング・テクノロジーズ社への攻撃によるサプライチェーン攻撃、トロイの木馬を仕込まれたソフトウェアを3CX供給チェーンに配布 |
|---|
| マルウェア | VEILEDSIGNAL、TAXHAUL launcher、COLDCAT downloader、POOLRAT backdoor |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-20 11:56:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | OT環境 |
|---|
| 脆弱性サマリ | OT環境におけるセキュリティモニタリングの重要性について |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
記事では、OT環境におけるセキュリティモニタリングの課題として、OT環境とIT環境を統合したことでセキュリティリスクが増大したこと、OT環境では通常のITセキュリティの検知方法が不十分であること、そしてOT環境でのネットワーク監視に様々なハードルがあることが挙げられた。そこで、自社の製品であるExeonTraceを提供している記事の著者は、NDR(Network Detection and Response)ソリューションの導入がOT環境におけるセキュリティモニタリングにとって重要であると主張しており、ExeonTraceの利点として、ITとOTの通信パターンに注目するため、OTに固有の監視手法を設定できることや、機械学習アルゴリズムを用いた異常検知があると紹介している。また、記事の最後では、ExeonTraceを使ってOT環境を監視し、守る方法について言及している。
incident 2023-04-20 11:56:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Linuxユーザー |
|---|
| 被害サマリ | 北朝鮮のLazarusグループによる、Operation Dream Jobという社会工作攻撃の一環として、偽のHSBCの求人情報を使ってLinuxマルウェアが偽装配布された。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Lazarusグループ(北朝鮮に密接した国家スポンサーのサイバー攻撃集団) |
|---|
| 攻撃手法サマリ | 偽の求人情報を使った社会工作攻撃を行う |
|---|
| マルウェア | SimplexTea |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-20 11:22:00 被害状況
| 事件発生日 | 2023年1月18日から2023年2月28日(不明な場合は予想) |
|---|
| 被害者名 | GoAnywhere MFTユーザー |
|---|
| 被害サマリ | ゼロデイの脆弱性をついた攻撃により、GoAnywhere MFTのMFTasSカスタマーから機密情報を盗み出し、ランサムウェアによる攻撃を実施した。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | GoAnywhere MFTのゼロデイ脆弱性を利用した攻撃により、不正なユーザーアカウントを作成してファイルを盗み出し、ランサムウェアを利用した攻撃を行う。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | GoAnywhere MFTのCVE-2023-0669(CVSSスコア:7.2) |
|---|
vulnerability 2023-04-20 11:18:00 情報源: The Hacker News
タイトル: ChatGPT's Data Protection Blind Spots and How Security Teams Can Solve Them
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | ChatGPTと他の生成型のAIプラットフォーム |
|---|
| 脆弱性サマリ | ChatGPTは、従業員が貼り付けたテキストを保護できない |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
ChatGPTと他の生成型のAIプラットフォームは、貴重な生産性向上のために活用され、データ保護上の難点が指摘されている。特定の事件では、従業員がChatGPTに企業の機密情報が盛り込まれたコードを貼り付けたことから、このツールは潜在的なデータ漏えい経路になりえることが明らかになった。既存のデータ保護ツールは、ChatGPTに機密情報が露出しないことを保証できないため、セキュリティ関係者にとって厳しい課題である。この記事では、ブラウザセキュリティソリューションがこの脆弱性に対応できることを紹介している。LayerXのブラウザセキュリティプラットフォームが、データ保護ポリシーの可視化を提供し、チャットGPTに貼り付けたテキストの監視とフィルタリングを行い、実際にブラウザセッション上のリアルタイム保護を実現することができる。
incident 2023-04-20 10:26:00 被害状況
| 事件発生日 | 2022年11月以降 |
|---|
| 被害者名 | アフリカの通信サービスプロバイダー |
|---|
| 被害サマリ | 中国に関連するサイバー攻撃者グループ「Daggerfly」が、プラグインやマルウェアなどを使用してアフリカの通信サービスプロバイダーに侵入した。攻撃者は、このキャンペーンの主目的が情報収集であったことを示すプラグインを使用した。この攻撃グループは2014年以来、中国周辺の国や、国内の人権や民主主義活動家などを対象にエスピオナージ活動を行っている疑いがある。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | Daggerfly/Bronze Highland/Evasive Panda |
|---|
| 攻撃手法サマリ | スピアフィッシング攻撃によるMgBotマルウェアの使用、Cobalt Strikeの使用、KsRemoteと呼ばれるAndroidリモートアクセス・トロイの使用、BITSAdminとPowerShellなどのLotLツールの使用が特徴的 |
|---|
| マルウェア | MgBot、PlugXローダー、KsRemote、Cobalt Strike |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-20 10:11:00 被害状況
| 事件発生日 | 2022年から2023年 |
|---|
| 被害者名 | 人権活動家やデモクラシー支持者、ジャーナリスト、反体制派など |
|---|
| 被害サマリ | イスラエルのスパイウェアメーカーNSOグループが、少なくとも3つの新規の「ゼロクリック」エクスプロイトを使用して民間社会の標的にPegasusを実行するためにiOS 15およびiOS 16を悪用。悪用されたPegasusは、メッセージ、場所、写真、通話履歴などのデバイス内に保存された機密情報をリアルタイムで抽出可能。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | NSOグループ |
|---|
| 攻撃手法サマリ | ゼロクリックとゼロデイエクスプロイトの悪用 |
|---|
| マルウェア | Pegasus |
|---|
| 脆弱性 | iOS 15およびiOS 16の複数の脆弱性を利用 |
|---|
vulnerability 2023-04-19 21:57:18 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft Defender |
|---|
| 脆弱性サマリ | Microsoft DefenderのアップデートによりLSA Protectionが取り外され、代わりにKernel-mode Hardware-enforced Stack Protectionが追加され、ユーザーが混乱することになった。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 報告あり |
|---|
| PoC公開 | 不明 |
|---|
脆弱性の概要:
Microsoft DefenderのアップデートによりLSA Protectionが取り外され、代わりにKernel-mode Hardware-enforced Stack Protectionが追加され、ユーザーが混乱することになった。この変更に関するMicrosoftからの詳細なドキュメントが提供されておらず、ユーザーからは混乱が続いている。Kernel-mode Hardware-enforced Stack ProtectionはAMD Zen3 CPUsおよびIntel Tiger Lake CPUs以降で使用可能であり、一部のゲームのアンチチートドライバーと競合することがある。Windows 11ユーザーによれば、Windows Security通知は新しい機能が競合するドライバーのために無効になっていると報告しているが、ユーザーは、機能を有効にする方法が紛らわしいため、この問題に直面している。
incident 2023-04-19 19:26:10 エラーが発生しました。 記事ファイル名:../articles/20230419 192610_1adb9c90e3bfa0c72bfc248c6cca71e7416c5cf43347ff3f380f277ef140f198.json That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 07d10d60b2ceb6b7f9c8b5f529eda36d in your message.) <> security_news_matomerukun.py:81
vulnerability 2023-04-19 19:06:26 被害状況
| 事件発生日 | 2023年1月下旬~2月3日(CVE-2023-0669の脆弱性の発覚日) |
|---|
| 被害者名 | 100以上の企業 |
|---|
| 被害サマリ | GoAnywhere MFTの脆弱性CVE-2023-0669を悪用した攻撃により、Clopランサムウェアのグループによってデータを盗まれた |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Clopランサムウェアのグループ |
|---|
| 攻撃手法サマリ | GoAnywhere MFTの脆弱性CVE-2023-0669を悪用 |
|---|
| マルウェア | Clopランサムウェア |
|---|
| 脆弱性 | GoAnywhere MFTの脆弱性CVE-2023-0669 |
|---|
脆弱性
| CVE | CVE-2023-0669 |
|---|
| 影響を受ける製品 | GoAnywhere MFT |
|---|
| 脆弱性サマリ | GoAnywhere MFTにおけるクリティカルな遠隔コード実行の脆弱性 (CVE-2023-0669) がCloplランサムウェアグループによって悪用され、100以上の企業からデータを盗まれた。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 有 |
|---|
脆弱性は、GoAnywhere MFTにおけるCVE-2023-0669というクリティカルな遠隔コード実行の脆弱性である。この脆弱性はCloplランサムウェアグループによって悪用され、100以上の企業からデータを盗まれた。Fortraは、この脆弱性に対するセキュリティアップデートをリリースしており、全ての顧客はそれをインストールするように求められている。攻撃者は、この脆弱性を悪用して、ユーザーアカウントを作成し、MFT環境からファイルをダウンロードし、その他のツールをインストールすることができた。Fortraは、ユーザーがMaster Encryption Keyを変更し、すべての認証情報(キーおよびパスワードを含む)をリセットし、監査ログを確認して不審な管理者およびウェブユーザーアカウントを削除することを推奨している。
incident 2023-04-19 17:46:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | BYOVD攻撃により、AuKillと呼ばれるマルウェアが使用され、システムのセキュリティソリューションが無効化され、バックドアおよびランサムウェアが展開された。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明。国家支援型ハッキンググループから犯罪的目的によるランサムウェアグループまで様々な脅威アクターがこの攻撃手法を使用している。 |
|---|
| 攻撃手法サマリ | AuKillと呼ばれるマルウェアによる、Bring Your Own Vulnerable Driver(BYOVD)攻撃。利用されたマルウェアは合法的なドライバーを最初にドロップし、システムのセキュリティソリューションを無効化し、ランサムウェアを展開する。 |
|---|
| マルウェア | AuKill |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-19 16:57:46 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | イギリスの組織(NCSCの警告による) |
|---|
| 被害サマリ | 国家を支援するロシアのハッカーが新しいクラスに移行し、DDoS攻撃を実行して主要なエンティティを狙っている。今後、より有害な攻撃に移行する可能性があると警告されている。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 国家を支援するロシアのハッカー |
|---|
| 攻撃手法サマリ | DDoS攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
タイトル: UKサイバー機関、新たなロシアのハッカー集団の出現に警告
イギリスの国家サイバーセキュリティセンター(NCSC)は、ロシアのハッカーが関与している攻撃のリスクが増加しているとして、国内のすべての組織に推奨されるセキュリティ対策の適用を呼び掛けている。NCSCは、ロシアの国家主義者に同情的なハッカー集団が18ヶ月以上前から新たに現れたことに警鐘を鳴らし、これらの集団がDDoS攻撃に特化している一方で、今後、より有害な活動に転換する可能性があると指摘した。NCSCは、セキュリティを強化する一連の措置のリストを公開しており、そのキーポイントには、システムのパッチ適用、使用可能なディフェンス、バックアップのレビュー、サードパーティのアクセスの管理、システム管理者のための原則などが含まれている。NCSCは、現時点ではロシアのハッカーグループが貴重な企業や政府のネットワークに実際の被害をもたらすことは不可能であると考えているが、NCSCは、成功した未来の攻撃に対するリスクを管理するために、組織が現在行動を起こすことを推奨している。
vulnerability 2023-04-19 15:57:21 被害状況
| 事件発生日 | 2023年4月19日 |
|---|
| 被害者名 | PaperCut |
|---|
| 被害サマリ | 印刷管理ソフトウェアのPaperCutが、すべてのOSプラットフォームで、アプリケーションサーバとサイトサーバの両方を対象とした認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219により、攻撃に悪用されている。PaperCutは、これらの脆弱性が報告された後、アップデートを行うことを推奨している。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 脆弱性を悪用 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | PaperCut MF/NGのすべてのバージョンで認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219が悪用された。 |
|---|
脆弱性
| CVE | ZDI-CAN-18987 / PO-1216 |
|---|
| 影響を受ける製品 | PaperCut MF/NGのバージョン8.0以降 |
|---|
| 脆弱性サマリ | 認証されていないリモートコード実行の脆弱性 |
|---|
| 重大度 | 高 (CVSS v3.1 score: 9.8) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
PaperCutの印刷管理ソフトウェアに、「PaperCut MF/NGのバージョン8.0以降」に認証されていないリモートコード実行の脆弱性があり、攻撃者によって利用されており、重大度は高い (CVSS v3.1 score: 9.8)。攻撃観測があり、PoC公開については不明。PaperCutはユーザーにソフトウェアのアップデートを勧めている。
incident 2023-04-19 15:41:00 被害状況
| 事件発生日 | 2023年2月上旬から |
|---|
| 被害者名 | ウクライナ政府と軍関係者、ウクライナのウェブメールユーザー数百人 |
|---|
| 被害サマリ | ロシアの軍事情報機関と関係のあるエリートハッカーによるフィッシング攻撃により、ウクライナ政府のウェブサイトが標的となり、ユーザーのクレデンシャル情報が収集された。 |
|---|
| 被害額 | 不明(予想:数十万ドルから数百万ドル) |
|---|
攻撃者
| 攻撃者名 | ロシアの軍事情報機関と関係のあるエリートハッカー達 (APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit, Sofacyなど) |
|---|
| 攻撃手法サマリ | 反射型クロスサイトスクリプティング(XSS)攻撃を使用したウクライナ政府のウェブサイトへの侵入、フィッシング、情報の窃取及びウクライナ政府・軍関係者などのウェブメールユーザーへスプーフィングを使用したフィッシング攻撃。 |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | Ciscoのルーターにある古い脆弱性(Jaguar Toothというマルウェアをデプロイする)等 |
|---|
incident 2023-04-19 15:15:00 被害状況
| 事件発生日 | 2023年4月19日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Blind Eagleとして知られるサイバー・スパイ集団が、NjRATリモートアクセストロイのデプロイメントに至る新しいマルウェア攻撃を実施したと報告されている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | Blind Eagle (APT-C-36)として知られるスペイン語を使用する攻撃者グループ |
|---|
| 攻撃手法サマリ | カスタムマルウェア、ソーシャルエンジニアリング、スピアフィッシング攻撃など複数の高度な攻撃手法を使用している。 |
|---|
| マルウェア | NjRATリモートアクセストロイ |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-19 13:47:00 被害状況
| 事件発生日 | 2023年4月19日 |
|---|
| 被害者名 | Google Chromeの利用者 |
|---|
| 被害サマリ | Google Chromeに存在するinteger overflowの脆弱性(CVE-2023-2136)が悪用されることによって、リモート攻撃者は、レンダラープロセスを乗っ取り、クラフトされたHTMLページを介してサンドボックスから脱出することができる。Googleによる救済策がなされた。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | integer overflowの脆弱性を用いた攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | integer overflowの脆弱性(CVE-2023-2136) |
|---|
脆弱性
| CVE | CVE-2023-2136 |
|---|
| 影響を受ける製品 | Google Chrome |
|---|
| 脆弱性サマリ | Google Chromeにおける整数オーバーフローの脆弱性(CVE-2023-2136)が発見された。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
GoogleのChromeブラウザで整数オーバーフローの脆弱性(CVE-2023-2136)が発見された。Googleは緊急修正プログラムを提供している。攻撃者による悪用が確認されているが、追加の詳細は公開されていない。これは、悪意のあるアクターによって悪用された2番目のChromeのゼロデイ脆弱性であり、前週修正されたCVE-2023-2033と同様の攻撃が行われているかは明らかにされていない。 Windows、macOS、Linuxのユーザーはバージョン112.0.5615.137にアップグレードすることが推奨されている。Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザを使用している場合は、可能な限り修正を適用することが推奨される。
incident 2023-04-19 11:28:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | インドの政府機関に勤務するLinuxユーザー |
|---|
| 被害サマリ | パキスタンを拠点とする高度持続攻撃(APT)グループである「Transparent Tribe」が、インド政府機関が使用する2要素認証(2FA)ツールを騙って、新しいLinuxバックドア「Poseidon」を送り込んだ。攻撃には、偽装されたインド政府のWebサイトが使用されていた。Poseidonには、キーストロークの記録、スクリーンショットの撮影、ファイルのアップロード/ダウンロード、さまざまな方法でシステムをリモート管理するなど、広範な機能がある。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | パキスタンを拠点とする高度持続攻撃(APT)グループ「Transparent Tribe」 |
|---|
| 攻撃手法サマリ | 偽装されたインド政府のWebサイトを通じたソーシャルエンジニアリング攻撃を使用。偽のログインページを出現させ、背後でバックドアのペイロードをダウンロードして、ユーザーのシステムを侵害する。 |
|---|
| マルウェア | PoseidonおよびCrimsonRAT、LimePadなど |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-19 11:03:55 脆弱性
| CVE | CVE-2023-2136 |
|---|
| 影響を受ける製品 | Google Chrome |
|---|
| 脆弱性サマリ | Google ChromeにおけるSkiaの高度演算に関する整数オーバーフローによる任意のコード実行の可能性 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
vulnerability 2023-04-19 10:32:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | 企業向けSaaSアプリケーション |
|---|
| 脆弱性サマリ | SaaSアプリケーション同士の間において、OAuthトークンを介した悪意のある攻撃を受け、企業の機密情報にアクセスされるリスクがある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-19 10:00:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Playランサムウェアグループが、カスタムツール「Grixba」と「VSS Copying Tool」を使用して、攻撃の効果を高めるためにシャドウボリュームコピーのデータ窃盗を行っている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | Playランサムウェアグループ |
|---|
| 攻撃手法サマリ | Playランサムウェアグループは、GrixbaとVSS Copying Toolという2つのカスタムツールを使用して、コンピューターネットワーク内のユーザーやコンピューターを列挙し、VSSからファイルを簡単にコピーして、ロックされたファイルを迂回している。 |
|---|
| マルウェア | Playランサムウェア(グループ名と同じ) |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-19 09:30:00 被害状況
| 事件発生日 | 2021年 |
|---|
| 被害者名 | ヨーロッパの一部の機関、米国政府機関、ウクライナの250人程度 |
|---|
| 被害サマリ | ロシアのサイバースパイ集団APT28が、Ciscoのネットワーク機器の脆弱性を悪用して、攻撃対象の情報収集とマルウェアの配置を行った。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | ロシアのサイバースパイ集団APT28(またはFancy Bear、Forest Blizzard、FROZENLAKE、Sofacy) |
|---|
| 攻撃手法サマリ | Cisco IOSおよびIOS XEソフトウェアのSimple Network Management Protocol(SNMP)サブシステムにあるバッファオーバーフロー状態を利用したCVE-2017-6742の脆弱性を武器化して、Ciscoルーターに非永続的なマルウェアJaguar Toothを配置し、デバイス情報を収集し、認証されていないバックドアアクセスを有効にした。 |
|---|
| マルウェア | Jaguar Tooth |
|---|
| 脆弱性 | CVE-2017-6742 |
|---|
脆弱性
| CVE | CVE-2017-6742 |
|---|
| 影響を受ける製品 | Cisco IOSおよびIOS XEソフトウェア |
|---|
| 脆弱性サマリ | 「Simple Network Management Protocol(SNMP)」にあるバッファオーバーフローによる「Jaguar Tooth」と呼ばれるマルウェアの配信と、脆弱性を突くための不正なバックドアアクセスを許可するよう設計された」 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
以上の記事は、イギリスおよびアメリカのサイバーセキュリティおよびインテリジェンス機関が、2017年6月にパッチ適用された脆弱性を突いて、ロシアのAPT28による攻撃が行われていることを警告したことを報じています。攻撃対象にはヨーロッパ、アメリカの政府機関、および約250のウクライナのターゲットが含まれています。APT28は、デバイス情報を収集し、認証されていないバックドアアクセスを許可することができる非永続性マルウェア「Jaguar Tooth」をCiscoルーターに配信するために脆弱性を利用しました。 この脆弱性(CVE-2017-6742)は、Cisco IOSおよびIOS XEソフトウェアのSNMPサブシステムにあるバッファオーバーフローによるものでした。Ciscoは、最新ファームウェアに更新することと、ネットワーク管理にSNMPからNETCONFまたはRESTCONFに変更することを推奨しています。Cisco Talosによれば、この攻撃は、さまざまなベンダーのエイジングネットワーク機器およびソフトウェアを攻撃する広範なキャンペーンの一部です。以下の記事にも似た脆弱性が報告されています。
incident 2023-04-19 07:00:00 被害状況
| 事件発生日 | 2023年3月 |
|---|
| 被害者名 | 不明。報告された被害はアメリカ、ヨーロッパ、アジアの企業などが含まれる。 |
|---|
| 被害サマリ | 合計459件のランサムウェア攻撃が実施され、Cloプランサムウェアグループが最も活発だった。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Clopランサムウェアグループおよび他のランサムウェアグループ |
|---|
| 攻撃手法サマリ | CVE-2023-0669を悪用するゼロデイ攻撃など |
|---|
| マルウェア | Clop、LockBit 3.0、Royal、BlackCat(ALPHV)、Bianlian、Play、Blackbasta、Stormous、Medusa、Ransomhouse |
|---|
| 脆弱性 | FortraのGoAnywhere MFT secure file transferツールのCVE-2023-0669 |
|---|
incident 2023-04-19 06:42:00 被害状況
| 事件発生日 | 2021年後半から2022年中旬 |
|---|
| 被害者名 | シーポート、エネルギー企業、交通機関、大手アメリカのユーティリティ及びガス企業 |
|---|
| 被害サマリ | アメリカの重要なインフラが攻撃対象で、海運、鉄道、ガソリンスタンドの支払いシステムも攻撃され、情報が漏えいした可能性がある。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | イラン政府関係者 |
|---|
| 攻撃手法サマリ | 高度なフィッシング攻撃による侵入や、既に公にされた脆弱性を悪用した攻撃、そしてオリジナルのマルウェアによる攻撃を使用している。 |
|---|
| マルウェア | Drokbk、Soldier、CharmPower など |
|---|
| 脆弱性 | 2022-47966および2022-47986 CVE |
|---|
vulnerability 2023-04-19 04:53:00 脆弱性
| CVE | CVE-2023-29199, CVE-2023-30547 |
|---|
| 影響を受ける製品 | vm2 JavaScript library |
|---|
| 脆弱性サマリ | vm2 JavaScriptのサンドボックス保護を突破し、任意のコードをホストで実行することができる。 |
|---|
| 重大度 | 9.8 (CVSSスコア) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 有 |
|---|
この記事は、vm2 JavaScriptライブラリに存在するサンドボックスの保護を突破した2つのクリティカルな脆弱性について説明している。これらの脆弱性(CVE-2023-29199およびCVE-2023-30547)は、関連バージョンの更新によって修正された。これらの脆弱性を悪用することによって、攻撃者はホストからの任意のコード実行権限を取得することができる。また、これらの問題の検証について、セキュリティ研究者のSeungHyun LeeがPoCを公開していることが報告されている。
incident 2023-04-19 01:26:17 被害状況
| 事件発生日 | 2023年4月18日 |
|---|
| 被害者名 | Google検索ユーザー |
|---|
| 被害サマリ | 一部のユーザーは、Google検索結果を表示できない状況にあった |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-18 21:42:45 被害状況
| 事件発生日 | 2023年4月18日 |
|---|
| 被害者名 | Cisco |
|---|
| 被害サマリ | ロシア政府関係者によるAPT28ハッカー集団が、旧式のCisco IOSルーターにカスタムマルウェア「Jaguar Tooth」を注入し、アクセス制限を回避して不正ログインしていたことが明らかになった。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | ロシア政府関係者 |
|---|
| 攻撃手法サマリ | 旧式のCisco IOSルーターのSNMP脆弱性「CVE-2017-6742」を悪用し、カスタムマルウェア「Jaguar Tooth」を注入して不正ログイン。 |
|---|
| マルウェア | Jaguar Tooth |
|---|
| 脆弱性 | Cisco IOSルーターのSNMPの脆弱性「CVE-2017-6742」 |
|---|
incident 2023-04-18 20:03:42 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | アメリカの重要インフラストラクチャーの組織 |
|---|
| 被害サマリ | 「Mint Sandstorm」というイランのハッキンググループが、アメリカの重要インフラストラクチャーを攻撃した。イラン政府と関連性があると考えられている「Phosphorus」グループの一部であるとMicrosoftは報告している。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | イランのハッキンググループ、Mint Sandstorm(Phosphorusの一部) |
|---|
| 攻撃手法サマリ | 特定の脆弱性を利用した攻撃、Proof-of-Conceptエクスプロイトの利用、フィッシング攻撃など |
|---|
| マルウェア | ・Drokbk (Drokbk.exe)
・Soldier |
|---|
| 脆弱性 | ・IBM Aspera Faspex
・Zoho ManageEngine
・Apache Log4j2 |
|---|
other 2023-04-18 16:00:24 - オーストラリア人は昨年、詐欺によって過去最高の31億ドルを失った。
- これには主に投資詐欺が15億ドル、リモートアクセス詐欺が2.29億ドル、支払い先詐欺が2.24億ドルが含まれる。
- これらの数字は、ACCCのScamwatch、ReportCyber、Australian Financial Crimes Exchangeなど、さまざまな政府機関が収集したデータに基づくものである。
- 2022年にScamwatchに提出された詐欺報告書の数は24万件弱であり、2021年と比較して16.5%減少したが、被害者あたりの財務損失は平均2万ドルに上昇した。
- 詐欺のテーマの洗練度が高くなり、また、公式の電話番号、メールアドレス、ウェブサイトの偽装から、本物のメッセージと同じ会話スレッドに現れるスパムテキストなど、詐欺が非常に読みにくくなっている傾向があるため、詐欺の効果が増加している。
vulnerability 2023-04-18 14:39:28 脆弱性
| CVE | CVE-2023-30547 |
|---|
| 影響を受ける製品 | VM2ライブラリバージョン 3.9.16以前 |
|---|
| 脆弱性サマリ | VM2 JavaScript サンドボックスライブラリにおける、例外処理の不適切なサニタイズにより、ホストの関数にアクセスして任意のコードを実行できる脆弱性(CVE-2023-30547)が存在する。 |
|---|
| 重大度 | 高 (CVSSスコア: 9.8) |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | 有(リサーチャーによるGitHubリポジトリへの公開) |
|---|
サンドボックスから脱出する証明(PoC)の1つ(CVE-2023-30547)が公開され、VM2ライブラリバージョン3.9.16以前に存在するため、使用しているユーザーは全て、可能な限り早く3.9.17にアップグレードするよう推奨されている。証明により、アタッカーはホストの関数にアクセスして任意のコードを実行できるため、サンドボックスは不完全となり、大規模な影響を与える可能性がある。
vulnerability 2023-04-18 14:07:14 被害状況
| 事件発生日 | 記事には記載されていない |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Active Directory を標的とした脅威行為の分析とその対策に関する記事 |
|---|
| 被害額 | 記事には記載されていない(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明(脅威行為の分析に終始した記事で、攻撃者情報は含まれていない) |
|---|
| 攻撃手法サマリ | Active Directory を標的とする、DCSync、DCShadow、Password spray、Pass-the-Hash、Pass-the-Ticket、Golden ticket、Service Principal name、AdminCount、adminSDHolder による脅威行為の分析 |
|---|
| マルウェア | 記事には記載されていない |
|---|
| 脆弱性 | 記事には記載されていない |
|---|
タイトル: Windows Active Directory への攻撃
Windows Active Directory は、企業において主要なアイデンティティおよびアクセス管理のソースであるため、多数の攻撃の中心となっている。以下に、Windows Active Directory に対する攻撃と、これを防ぐために組織が取るべき措置について述べる。
Windows Active Directory に対する攻撃には、以下のような多様な攻撃方法がある。
1. DCSync
2. DCShadow
3. Password spray
4. Pass-the-Hash
5. Pass-the-Ticket
6. Golden ticket
7. Service Principal Name
8. AdminCount
9. adminSDHolder
これらの攻撃に対して、以下の対策を取ることが重要である。
1. DCSync に対する防御:
- ドメインコントローラのセキュリティを確保し、特権アカウントを強固なパスワードで保護する。
- 不要なアカウント(サービスアカウントを含む)をアクティブディレクトリから削除する。
- ドメイングループの変更履歴などの監視を行う。
2. DCShadow に対する防御:
- 特権昇格攻撃から環境を保護する。
- すべての保護されたアカウントとサービスアカウントに強固なパスワードを使用する。
- クライアントPCへのログインに、ドメイン管理者の資格情報を使用しない。
3. Password spray に対する防御:
- パスワードのポリシーを設定し、強力なパスワードを強制する。
- 手順的なパスワードや漏洩したパスワードを使用しないことを防止する。
- パスワードの再利用を防止する。
- パスフレーズをパスワードの代わりに使用することを奨励する。
4. Pass-the-Hash に対する防御:
- 管理者権限を持つユーザーの数を制限する。
- 管理者ジャンプボックスとして強化されたワークステーションを使用する。
- ローカルアカウント向けに Microsoft Local Administrator Password Solution (LAPS) を実装する。
5. Pass-the-ticket に対する防御:
- 管理者およびサービスアカウントをはじめとする強固なパスワードを使用する。
- 環境において漏洩したパスワードを排除する。
- 環境内でベストプラクティスに従うことで、全体的なセキュリティポストアップを確保する。
6. Golden ticket に対する防御:
- KRBTGTパスワードを定期的に変更する(最低でも180日ごと)。
- アクティブディレクトリ環境において最小特権を実施する。
- 強固なパスワードを使用する。
7. Service Principal Name に対する防御:
- 不審なアクティビティ(不必要な Kerberos チケットのリクエストなど)を監視する。
- サービスアカウントに対して非常に強力なパスワードを使用し、定期的にパスワ
incident 2023-04-18 13:45:00 被害状況
| 事件発生日 | 2022年後半|不明 |
|---|
| 被害者名 | 不特定の利用者 |
|---|
| 被害サマリ | YouTubeを利用した社会工学攻撃によって、偽のソフトウェアユーティリティを装い、Aurora情報窃取マルウェアを配信していた。しかし、その前段階として "in2al5d p3in4er" という名前の高度な抵抗性を持ったローダーを使用していた。 |
|---|
| 被害額 | 不明(予想:数十万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明。ただし、AresLoader が利用されたことから、関係のあるロシアのハッカーグループが疑われている。 |
|---|
| 攻撃手法サマリ | YouTube動画を使用し、偽装されたクラック版ソフトウェアのダウンロードを誘い、そこからAuroraマルウェアを配信していた。また、in2al5d p3in4er という名前のローダーを使用してマルウェアを実行していた。 |
|---|
| マルウェア | Aurora情報窃取マルウェア。また、AresLoader によって Aurora Stealer、Laplas Clipper、Lumma Stealer、Stealc、SystemBC が広まっている。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-18 12:27:00 被害状況
| 事件発生日 | 2023年4月18日 |
|---|
| 被害者名 | Google Play Storeのユーザー |
|---|
| 被害サマリ | 100以上のアプリに潜んでいたGoldosonというAndroidマルウェアにより、約100万人のユーザーの情報が収集され、背後でクリック広告による収益化が行われた可能性がある。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 第三者が作成したコード(SDK)をアプリに取り込み、ユーザーの情報を抽出・悪用した。 |
|---|
| マルウェア | Goldoson |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-18 11:31:00 被害状況
| 事件発生日 | 記事には記載なし |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 今回の記事では、DFIRのトラディショナルな手法が現代のサイバー攻撃に対処するのに効率的でないことが述べられていた。 |
|---|
| 被害額 | 記事には記載なし(予想:不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 記事では言及されていないが、サイバー攻撃に関連する内容である。 |
|---|
| マルウェア | 記事では言及されていないが、サイバー攻撃に関連する内容である。 |
|---|
| 脆弱性 | 記事では言及されていないが、サイバー攻撃に関連する内容である。 |
|---|
記事タイトル:
DFIR via XDR: How to expedite your investigations with a DFIRent approach
脆弱性:
記事には脆弱性に関する情報は含まれていない。
影響を受ける製品:
記事には影響を受ける製品に関する情報は含まれていない。
脆弱性サマリ:
記事には脆弱性に関する情報は含まれていない。
重大度:
記事には重大度に関する情報は含まれていない。
RCE:
記事にはRCEに関する情報は含まれていない。
攻撃観測:
記事には攻撃観測に関する情報は含まれていない。
PoC公開:
記事にはPoC公開に関する情報は含まれていない。
incident 2023-04-18 09:05:00 被害状況
| 事件発生日 | 2022年6月 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | イランの国家指向の攻撃グループMuddyWaterが、SimpleHelpリモートサポートソフトウェアを使用して、被害者のデバイスに侵入し、存在を確保したと報告された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | イランの国家指向の攻撃グループMuddyWater |
|---|
| 攻撃手法サマリ | SimpleHelpリモートサポートソフトウェアを使用して、ターゲットのシステムに侵入する。 |
|---|
| マルウェア | 未発見 |
|---|
| 脆弱性 | 未発見 |
|---|
incident 2023-04-18 07:10:00 被害状況
| 事件発生日 | 2022年11月11日 |
|---|
| 被害者名 | Apple macOSの使用者 |
|---|
| 被害サマリ | ロックビット・ランサムウェアがApple macOS対応の新しいペイロードを開発した。この偽装ファイルがダウンロードされ、実行されると、ファイルが暗号化され、身代金が要求される。ペイロードは、2022年11月から存在しているが、セキュリティソフトに検出されないようにデザインされていた。これまでWindows OSをターゲットに開発されていたファイルの流用なので、macOSシステム上ではうまく機能しない。ただし今後の改良次第では脅威になる可能性がある。 |
|---|
| 被害額 | 不明(予想:依頼された身代金が被害額になるため、その額は不明) |
|---|
攻撃者
| 攻撃者名 | ロシアと関連する犯罪グループ |
|---|
| 攻撃手法サマリ | ロックビット・ランサムウェアを活用したペイロード攻撃 |
|---|
| マルウェア | ロックビット・ランサムウェア |
|---|
| 脆弱性 | 脆弱性情報は不明 |
|---|
incident 2023-04-17 20:36:21 被害状況
| 事件発生日 | 不明(最初の攻撃は2022年の秋季) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 企業ネットワークを標的にしたマルウェア攻撃(Domino)により、情報窃取が行われた |
|---|
| 被害額 | 不明(予想:数百万から数千万ドルの損失) |
|---|
攻撃者
| 攻撃者名 | Ex-ContiおよびFIN7 |
|---|
| 攻撃手法サマリ | 企業ネットワークへのマルウェア攻撃 |
|---|
| マルウェア | Domino、Dave Loader、Nemesis Project、Cobalt Strike beacon |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-17 17:05:25 被害状況
| 事件発生日 | 不明(2023年4月17日に記事が公開された) |
|---|
| 被害者名 | 台湾のメディア企業およびイタリアの求人サイト |
|---|
| 被害サマリ | 中国のAPT41ハッカーグループが、Taiwanese mediaとItalian job search companyに対するデータ窃盗攻撃で、Google Command and Control(GC2)のred teaming toolを悪用した。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 中国のAPT41ハッカーグループ、通称HOODOO |
|---|
| 攻撃手法サマリ | GC2を使用したデータ窃盗攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-17 16:32:00 被害状況
| 事件発生日 | 2023年4月17日 |
|---|
| 被害者名 | ジャーナリスト、政治的反対勢力、NGO職員を含む数多くのターゲットが被害に遭ったが詳細不明 |
|---|
| 被害サマリ | QuaDreamによって、北米、中央アジア、東南アジア、ヨーロッパ、中東で「REIGN」というスパイウェアフレームワークが使用され、データ窃取が行われた。スパイウェアはiOSのパッチ適用前の脆弱性を利用してインストールされた。 |
|---|
| 被害額 | 不明(予想:数億円~数十億円) |
|---|
攻撃者
| 攻撃者名 | QuaDream |
|---|
| 攻撃手法サマリ | iOSの脆弱性を悪用したスパイウェアを使用したスマートフォンによるデータ窃取 |
|---|
| マルウェア | REIGN |
|---|
| 脆弱性 | iOSの脆弱性 |
|---|
incident 2023-04-17 16:06:00 被害状況
| 事件発生日 | 2023年4月4日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | QBotマルウェアを仕掛けられた攻撃 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 仕掛けられたQBotマルウェアはフィッシング攻撃を使用し、ビジネスコレスポンデンスの乗っ取りを用いている |
|---|
| マルウェア | QBot (QakbotまたはPinkslipbot) |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-17 13:50:00 被害状況
| 事件発生日 | 不明(Dominoが2022年10月から活動していたと報告されている) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | FIN7サイバー犯罪グループの新しいマルウェア「Domino」が「コンティ(Conti)」ランサムウェアグループの元メンバーによって使用され、情報スチールウェア「Project Nemesis」を配信するために使用されました。 多くのアプリケーションから機密データを収集できるように設計されており、標的は不明です。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | ロシア語を話すサイバー犯罪グループ「FIN7」におそらく関係していると思われる脅威行為者 |
|---|
| 攻撃手法サマリ | マルウェア攻撃(主に不明の情報スチールウェア「Project Nemesis」) |
|---|
| マルウェア | Domino、Project Nemesis |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-17 13:48:24 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | QBotマルウェアが、PDFファイルを添付したフィッシングメールで配信され、Windowsスクリプトファイル (WSF)をダウンロードしてWindowsデバイスに感染する攻撃が確認された。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明。 |
|---|
| 攻撃手法サマリ | フィッシングメールでのPDFとWSFファイルの組み合わせを利用した攻撃。 |
|---|
| マルウェア | QBotマルウェア。 |
|---|
| 脆弱性 | 不明。 |
|---|
other 2023-04-17 13:32:00 1. 「The Hacker News」は、300万人以上にフォローされている信頼できるサイバーセキュリティニュースプラットフォーム。
2. CSPM(Cloud Security Posture Management)とSSPM(SaaS Security Posture Management)は、クラウドでのデータ保護に焦点を当てたセキュリティソリューションだが、混同されることがある。
3. CSPMは、デフォルトのクラウドアプリケーションの監視と、カスタマイズされたアプリケーションのセキュリティとコンプライアンス管理に特化し、SSPMは、Salesforce、Jira、Microsoft 365などのアプリケーションに集中する。
4. CSPMとSSPMは、クラウドとSaaSのセキュリティに取り組むための必要なセキュリティツールであり、相互補完的に機能する。
5. SSPMを使用することで、様々なSaaSアプリケーションにまたがる企業データの可視性とコントロールが可能である。
incident 2023-04-17 12:46:23 被害状況
| 事件発生日 | 2023年1月以降 |
|---|
| 被害者名 | オーストラリアとポーランドのユーザー |
|---|
| 被害サマリ | Android向けの新種トロイの木馬「Chameleon」が、オーストラリアの政府機関や銀行などのアプリを模倣し、ユーザー情報を収集する攻撃を行った。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 中国のアプリを利用した攻撃が疑われている |
|---|
| 攻撃手法サマリ | WebサイトやDiscord、Bitbucketホスティングサービスを通じてチャメレオンを配布した。アクセシビリティ・サービスの滥用により、オーバーレイインジェクション、キーロガー、クッキー、SMSテキストからのユーザー情報を盗んだ。 |
|---|
| マルウェア | チャメレオン(Chameleon) |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-17 11:46:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 台湾の未公表のメディア組織 |
|---|
| 被害サマリ | 中国の国家主導のAPT41はGoogleのインフラを悪用して、Google Command and Control(GC2)と呼ばれるオープンソースのレッドチームツールを提供し、GC2ツールを含むGoogle Driveに保存されたパスワードで保護されたファイルへのリンクを含むフィッシングメールを使用して、攻撃対象となったメディア組織に攻撃を行った。GC2はGoogle Sheetsからのコマンド読み取りと、クラウドストレージサービスを使ってデータを外部に流出させることができる。 |
|---|
| 被害額 | 不明(予想:情報漏洩被害が発生しているため、被害額の算出は困難) |
|---|
攻撃者
| 攻撃者名 | 中国の国家主導のAPT41 |
|---|
| 攻撃手法サマリ | フィッシング攻撃を使用したGoogleのインフラの悪用 |
|---|
| マルウェア | Google Command and Control(GC2) |
|---|
| 脆弱性 | Googleのインフラの脆弱性は言及されていない |
|---|
other 2023-04-17 11:36:00 1. サイバーセキュリティのトラステッドニュースプラットフォームであり、3.45百万以上のフォロワーがいる。
2. ウェブサイトには、ツール、リソース、ダークウェブ上での脅威情報、サイバー攻撃などのセキュリティ対策が記載されている。
3. サイバー攻撃に備えるために、ダークウェブから情報を収集し、サイバー防衛戦略を強化する方法が含まれる専門ウェビナーが提供されている。
4. ウェビナーでは、ダークウェブへのアクセス方法、様々な脅威源、手動および有料サービスの利用方法、専門家からの対策提言などが学べる。
5. The Hacker Newsは、TwitterやLinkedInなどのソーシャルメディアでも情報発信しており、さまざまなサイバーセキュリティニュースを提供している。
incident 2023-04-17 08:01:00 被害状況
| 事件発生日 | 2023年4月17日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Vice Societyランサムウェアグループが、侵害されたネットワークからデータを自動的に抽出するためにカスタマイズされたPowerShellベースのツールを使用しました。ツールは、HTTP経由でデータを抽出するために、システム上のマウントされたドライブを識別し、ルートディレクトリごとに再帰的に検索します。ただし、10KB以上のファイルサイズを持ち、特定のファイル拡張子および特定のディレクトリを含むファイルに限定されます。 |
|---|
| 被害額 | 不明(予想することはできません) |
|---|
攻撃者
| 攻撃者名 | Vice Societyランサムウェアグループ |
|---|
| 攻撃手法サマリ | カスタマイズされたPowerShellベースのツールを使用したデータの自動抽出 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-17 06:59:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Zaraza botに感染したコンピューターから、機密情報が送信され、不正アクセスや身元盗用、金融詐欺などのリスクがある。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明(ロシアのハッカーが利用しているTelegramチャンネルで活発に配信中) |
|---|
| 攻撃手法サマリ | Webブラウザに深刻な脆弱性があるZaraza botというマルウェアを使用して、機密情報を盗む。 |
|---|
| マルウェア | Zaraza bot |
|---|
| 脆弱性 | Webブラウザに存在する脆弱性 |
|---|
incident 2023-04-16 17:31:54 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | Macデバイスのユーザー |
|---|
| 被害サマリ | ロックビットランサムウェアグループが、初めてMacデバイス用の暗号化ツールを作成し、それを利用した攻撃が行われた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | ロックビットランサムウェアグループ(国籍不明) |
|---|
| 攻撃手法サマリ | Macデバイス用の暗号化ツールを利用したランサムウェア攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-16 14:08:23 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Pinduoduoユーザー |
|---|
| 被害サマリ | 中国のオンライン小売り大手、Pinduoduoのショッピングアプリが、「CVE-2023-20963」という高度なAndroid脆弱性を悪用して、ユーザーのスパイ行為を行っていたという。攻撃者は、プライビリッジ昇格によって未修正のAndroidデバイスに侵入し、ユーザーの通知やファイルにもアクセス可能になった。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 中国のeコマースアプリ、「Pinduoduo」 |
|---|
| 攻撃手法サマリ | CVE-2023-20963という高度なAndroid脆弱性を悪用したスパイ行為。 |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | CVE-2023-20963 |
|---|
脆弱性
| CVE | CVE-2023-20963 |
|---|
| 影響を受ける製品 | Android Framework |
|---|
| 脆弱性サマリ | Android Frameworkには、権限昇格を可能にする脆弱性が存在し、ユーザーの操作なしで権限昇格が可能である。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 限定的で対象は中国のPinduoduoアプリのユーザー |
|---|
| PoC公開 | 不明 |
|---|
脆弱性番号はCVE-2023-20963で、影響を受ける製品はAndroid Frameworkである。権限昇格を可能にする脆弱性であり、ユーザーの操作なしで権限昇格が可能である。重大度は高で、攻撃観測は限定的で対象は中国のPinduoduoアプリのユーザーである。PoC公開については不明。この脆弱性に関して、CISAは米国の民間行政機関に対して、5月4日までに対策を講じるよう指示を行っている。
incident 2023-04-15 18:26:51 被害状況
| 事件発生日 | 2023年4月13日 |
|---|
| 被害者名 | NCR |
|---|
| 被害サマリ | アメリカのソフトウェア・テクノロジー・コンサルティング会社であるNCRが、Aloha POSプラットフォームに適用されているセンターサーバーが、BlackCat/ALPHVグループによる ランサムウェア攻撃の影響でアウトエージされた。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | BlackCat/ALPHVグループ |
|---|
| 攻撃手法サマリ | ランサムウェア |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-15 16:45:23 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Action1のリモートアクセスソフトウェアが悪用され、多数のランサムウェア攻撃に使用された。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明(多数の脅威アクターによって悪用された) |
|---|
| 攻撃手法サマリ | Action1のリモートアクセスソフトウェアを悪用して、攻撃対象ネットワークでシステム特権のコマンド、スクリプト、バイナリを実行する。 |
|---|
| マルウェア | 不明(多数のランサムウェア攻撃に使用された) |
|---|
| 脆弱性 | Log4Shellの脆弱性を悪用していることがある。 |
|---|
incident 2023-04-15 14:07:14 被害状況
| 事件発生日 | 2023年4月15日 |
|---|
| 被害者名 | Google Playの60のアプリの開発者とユーザー |
|---|
| 被害サマリ | 60個の正規のアプリが、GoldosonというAndroidマルウェアに感染された。このアプリは、合わせて1億のダウンロード数を誇る。Goldosonは第三者ライブラリの一部であり、開発者がそれがマルウェアであると気づかずに自分のアプリに組み込んでいた。このマルウェアは、ユーザーのアプリ・Wi-Fi・Bluetooth接続デバイスのデータ、GPSの位置情報を収集し、背後で不正な広告クリックを行うことができる。McAfeeセキュリティ企業がこのマルウェアを発見し、Google Play Storeから60個の感染したアプリを削除した。 |
|---|
| 被害額 | 不明(予想:被害に遭った開発者やユーザーの被害額によって異なるため) |
|---|
攻撃者
| 攻撃者名 | 不明(マルウェア作者) |
|---|
| 攻撃手法サマリ | Google Playの正規アプリに感染することでユーザーのデータを収集し、不正な広告クリックを行う。 |
|---|
| マルウェア | Goldoson |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-15 03:58:00 被害状況
| 事件発生日 | 2023年4月15日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Google Chromeのゼロデイ脆弱性(CVE-2023-2033)が悪用され、リモート攻撃者によってヒープ破損が可能になる。悪用される危険性があるため、ユーザーはWindows、 macOS、LinuxのChromeをバージョン112.0.5615.121にアップグレードすることが勧められる。また、Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザのユーザーも、利用可能になるとすぐに修正を適用するよう助言された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Google Chromeのブラウザを改ざんし、特定のWebサイトにアクセスしたユーザーを標的にしたリモートでの攻撃が行われた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Google ChromeのV8 JavaScriptエンジンのタイプ混乱問題(CVE-2023-2033) |
|---|
脆弱性
| CVE | CVE-2023-2033 |
|---|
| 影響を受ける製品 | Google Chrome |
|---|
| 脆弱性サマリ | Google ChromeのV8 JavaScriptエンジンのタイプ混乱問題により、ヒープ破損が起こり、クラフトされたHTMLページ経由でリモート攻撃者が悪用できる |
|---|
| 重大度 | 高 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
Google Chromeは、深刻度が高い脆弱性CVE-2023-2033に対するアップデートをリリースしました。脆弱性は、Google ChromeのV8 JavaScriptエンジンにおけるタイプ混乱の問題に起因し、ヒープ破損およびリモートでの攻撃が可能です。この脆弱性への攻撃は既に確認されており、CVE-2023-2033は過去に解決済みの4つの脆弱性と類似していることがわかりました。Googleは、同社のブラウザのバージョン112.0.5615.121にアップグレードすることを推奨しています。また、Chromeベースのブラウザのユーザーも、修正プログラムが利用可能になった場合は適用することが推奨されています。
incident 2023-04-14 22:35:57 被害状況
| 事件発生日 | 2023年1月13日 |
|---|
| 被害者名 | Yum! Brands |
|---|
| 被害サマリ | 2023年1月にランサムウェア攻撃を受け、顧客情報が漏洩した。 |
|---|
| 被害額 | 不明(予想:数百万ドル~数千万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃によるデータ漏洩。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-14 19:46:58 被害状況
| 事件発生日 | 2023年の初め |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Vice Societyランサムウェアグループが、自動化されたPowerShellスクリプトを使用して、侵害されたネットワークからデータを盗み出しました。攻撃者は、被害者のデータを利用することで、被害者を脅迫し、データを他のサイバー犯罪者に転売することで利益を上げています。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Vice Societyランサムウェアグループ |
|---|
| 攻撃手法サマリ | Vice Societyランサムウェアグループが、自動化されたPowerShellスクリプトを使用して、侵害されたネットワークからデータを盗み出しました。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-14 19:20:00 - Microsoftは、Windows Startメニューで新しい広告をテスト中。
- ローカルアカウントでログインしているユーザーに、Microsoftアカウントのサインアップの利点を強調する"新しいトリートメント(処理)"を表示する予定。
- 機能は2022年11月以降テストされており、Windows 11の最新プレビューアップデートまたは週次のセキュリティ更新プログラムをインストールしたユーザーにはすでに表示されている。
- Microsoftは、Windowsアプリのユーザーインターフェースで自社製品を宣伝することがある。
- この機能は現在、Windows 11 Insider Preview Build 23435でローリングアウト中。
incident 2023-04-14 18:00:32 被害状況
| 事件発生日 | 2023年4月14日 |
|---|
| 被害者名 | Google Chromeユーザー |
|---|
| 被害サマリ | Chromeの新しいゼロデイ脆弱性(CVE-2023-2033)が悪用され、攻撃が行われた。 |
|---|
| 被害額 | 詳細不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Chrome V8 JavaScriptエンジン内の高レベルのタイプ混同の脆弱性を悪用した攻撃 |
|---|
| マルウェア | 詳細不明 |
|---|
| 脆弱性 | Chrome V8の高レベルのタイプ混同の脆弱性(CVE-2023-2033) |
|---|
incident 2023-04-14 17:29:28 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Darktrace |
|---|
| 被害サマリ | LockBit ransomwareグループがDarktraceのデータを盗んだとの主張をdark web leak platformに掲載したが、Darktraceの調査により、一連の主張は誤りであることが突き止められた。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | LockBit ransomwareグループ |
|---|
| 攻撃手法サマリ | 不正アクセス |
|---|
| マルウェア | LockBit ransomware |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-14 16:19:05 被害状況
| 事件発生日 | 2022年1月1日以降 |
|---|
| 被害者名 | ロシアの重要インフラストラクチャー |
|---|
| 被害サマリ | NATOを含む西側諸国が5,000回以上のサイバー攻撃を仕掛けた。攻撃にはウクライナが使用され、新種のマルウェアも使用された。 |
|---|
| 被害額 | 不明(予想:数百万~数億ドル) |
|---|
攻撃者
| 攻撃者名 | NATOを含む西側諸国 |
|---|
| 攻撃手法サマリ | ウクライナを使用したマスク作戦および新種のマルウェアを使用した攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-14 12:57:00 被害状況
| 事件発生日 | 2023年4月14日 |
|---|
| 被害者名 | 外交部や外交機関 |
|---|
| 被害サマリ | ロシアのAPT29(またはCozy Bear)が北大西洋条約機構(NATO)加盟国、欧州連合およびアフリカにある外交部や外交機関を狙ったサイバー攻撃である。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | ロシアのAPT29(またはCozy Bear) |
|---|
| 攻撃手法サマリ | 外交機関や大使館を偽装したフィッシングメールを送信し、添付のマルウェアを開かせて攻撃した。 |
|---|
| マルウェア | EnvyScout(またはROOTSAW)、SNOWYAMBER、HALFRIG、QUARTERRIG、Cobalt Strike |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-14 10:22:00 被害状況
| 事件発生日 | 2023年4月14日 |
|---|
| 被害者名 | Kodi |
|---|
| 被害サマリ | Kodi社のMyBBフォーラムデータベースが侵害され、400,635のユーザーデータやプライベートメッセージがダウンロード・削除された。 |
|---|
| 被害額 | 不明(予想:不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明(MyBBフォーラムのウェブベースの管理コンソールにアクセスするために、信頼できるが現在不活動のフォーラム管理チームのメンバーアカウントが使用された可能性がある) |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-14 07:15:00 脆弱性
| CVE | CVE-2023-20963, CVE-2023-29492 |
|---|
| 影響を受ける製品 | Android、Novi Survey |
|---|
| 脆弱性サマリ | Android OSには特定されていない脆弱性があり、Novi Surveyにはデシリアライゼーションの脆弱性がある |
|---|
| 重大度 | 高 (Android)、未定 (Novi Survey) |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 (Android) |
|---|
| PoC公開 | 不明 |
|---|
注:
- CVE (Common Vulnerabilities and Exposures) は一意の識別子であり漏洩情報のデータベース
- Android Framework Privilege Escalation Vulnerabilityは未認証コードの実行により悪用される可能性がある高度の脆弱性である
- Novi Survey Insecure Deserialization Vulnerabilityはリモートアタッカーがサービスアカウントのコンテキストでサーバー上でコードを実行できるようにするセマンティック脆弱性である
- CVE-2023-20963の悪用により、中国の電子商取引会社Pinduoduoによって署名されたAndroidアプリによって感染者のデバイスがコントロールされ、個人情報が盗まれる可能性もある。GoogleはPinduoduoの公式アプリを3月にプレイストアから削除した。
other 2023-04-14 07:13:00 1. サイバーセキュリティに特化したニュースプラットフォームで、3.45百万人以上がフォローしている。
2. MSPとMSSPがvCISOプラクティスを始めることはビジネスの大きな機会を提供する。
3. Cynomiのウェビナーでは、成功したvCISOプラクティスを持つ経験豊富な専門家が、vCISOサービスを提供していくための成功の秘訣を共有している。
4. カスタマーエンゲージメントと、実際のビジネスのニーズを見極めることが重要で、vCISOサービスは、エンドカスタマーが直面するセキュリティスキルのギャップを埋めることができるため、成長を促す重要な要素である。
5. このウェビナーでは、何から始めるべきか、vCISOサービスをどのように販売するかについての、3人の経験豊富なMSSPリーダーによるインサイトが提供されている。
incident 2023-04-13 22:21:11 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | 会計事務所および税理士 |
|---|
| 被害サマリ | リモートアクセスマルウェアを用いたフィッシング攻撃が行われ、被害者らの業務システムへのアクセスが行われた。 |
|---|
| 被害額 | 不明(予想:情報漏洩が発生し、多数の個人および団体に影響があったため、数百万ドル以上の被害があった可能性がある) |
|---|
攻撃者
| 攻撃者名 | 不明。標的型攻撃であったため、国籍やグループについての情報は公表されていない。 |
|---|
| 攻撃手法サマリ | フィッシングによるアタックにより、PDFファイルなどという装いの悪質なファイルが被害者に送られ、システムに侵入するためのトロイの木馬が送信された。 |
|---|
| マルウェア | Remcos Remote Access Trojan |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-13 20:00:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Googleの製品 |
|---|
| 脆弱性サマリ | 脆弱性の修正後もリスクが残る |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
Googleは、脆弱性の修正後もリスクが残ることを認識し、脆弱性管理の生態系の改善と悪用に関する透明性を確立するための一連の施策を発表した。Googleは、Hacking Policy Councilを設立して、脆弱性管理とディスクロージャのベストプラクティスをサポートする新しい政策や規制が確立されるようにする。また、製品ポートフォリオ全体で脆弱な箇所を公開し、どのように悪用されるかを明らかにするなど透明性の向上を図っている。さらに、Googleは、善意のある研究に従事する人々に法的支援を提供するためのSecurity Research Legal Defense Fundを設立した。Googleの取り組みは、脆弱性を早期に修正するだけでなく、攻撃を困難にすることを含む、セキュアなソフトウェア開発のベストプラクティスを浸透させることの重要性を示している。
vulnerability 2023-04-13 19:13:50 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Windows LAPS |
|---|
| 脆弱性サマリ | Windows LAPS機能と既存のLAPSポリシーに互換性問題がある |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
other 2023-04-13 18:19:53 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Windows 11 |
|---|
| 脆弱性サマリ | Presence sensingプライバシー設定においてアプリがユーザーの状態を検知できてしまう問題がある |
|---|
| 重大度 | 中 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
2023年4月13日のBleepingComputerの記事によると、Windows 11が新しいプライバシー設定「Presence sensing」を導入し、ユーザーがアプリが自分がアクティブかインアクティブかを検知するのを制御できるようになったが、このプライバシー設定に問題があるため、重要度は「中」に評価されている。具体的には、Presence sensingプライバシー設定において、アプリがユーザーの状態を検知できてしまう問題が存在する。RCEは無く、攻撃観測については不明であり、PoCも公開されていない。- Windows 11に新しいプライバシー設定が追加される。』
- プライバシー設定ではユーザーがアクティブにデバイスを操作しているかどうかをアプリが検出できるかどうかを制御できる。
- Windows 11 Betaプレビュービルド22624.1610には、KB5025299アップデートとしてリリースされた新しいプライバシー設定が導入される。
- この設定は「存在を検出する」と呼ばれ、アプリがWindowsでのユーザーのアクティブまたは非アクティブ状態を判断するためのAPIを使用できるかどうかを設定できるようになる。
- ユーザーはプライバシー保護のためにイメージやメタデータは収集されず、処理はローカルに保存されるようになる。
incident 2023-04-13 17:18:31 被害状況
| 事件発生日 | 2023年4月13日 |
|---|
| 被害者名 | Outlook for Microsoft 365の一部の顧客 |
|---|
| 被害サマリ | Outlookのバグにより、顧客が電子メールやカレンダーにアクセスできなかった |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Outlookのバグを悪用した攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-13 16:42:40 被害状況
| 事件発生日 | 不明(記事公開日:2023年4月13日) |
|---|
| 被害者名 | オンラインサービス、個人情報の顧客、ポルノグラフィー、個人情報、アカウント情報に関わる者(RaidForumsのメンバー) |
|---|
| 被害サマリ | N/A (多数のオンラインサービスの顧客データが流出しており、また顧客情報を入手していたRaidForumsのメンバーが警告メールを受け取った) |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | RaidForumsのメンバー、多数のサイバー犯罪者 |
|---|
| 攻撃手法サマリ | ウェブサイトのハッキング、公開されたデータベースサーバーへのアクセス、データの窃盗、犯罪者間でのデータの販売、悪意のある活動(フィッシングアタック、仮想通貨詐欺、マルウェアの配信など)への使用 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-13 16:40:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | ビジネス向け |
|---|
| 被害サマリ | 「Read The Manual(RTM)Locker」と呼ばれる新興の犯罪集団が、私的なランサムウェアサービスとして機能しており、機会を逃さず攻撃を行い、不正利益を得ている。被害者は、常に集団の厳格なルールに従うことを強いられる。集団は組織的に熟練しており、アフィリエイトを利用して被害者を脅迫している。「Conti」など、他のグループでも観察されたように。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 「Read The Manual」(RTM) Locker |
|---|
| 攻撃手法サマリ | 先にシステムをコントロールしているネットワークにlockerを実行する。フィッシング攻撃、malspam、またはインターネットに露出した脆弱なサーバーを利用して侵入する。RaaSのグループは、被害者を強制的にスパイウェアを支払わせる。 |
|---|
| マルウェア | Quoter、RTM Locker |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-13 15:44:24 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 33,000人以上(個人) |
|---|
| 被害サマリ | オンライン投資詐欺グループが33,000人以上の被害者から推定89百万ユーロ(約98百万ドル)を不正に奪った。 |
|---|
| 被害額 | 89百万ユーロ(約98百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明。Bulgaria、Romania、Israelに検索された場所に関する情報のみ発表。 |
|---|
| 攻撃手法サマリ | Webとソーシャルメディアバナー広告を利用してオンライン投資詐欺グループを設立。詐欺グループは潜在的な投資家に高い利益を約束し、そうやって被害者を騙した。 |
|---|
| マルウェア | 使用されていない。 |
|---|
| 脆弱性 | 使用されていない。 |
|---|
incident 2023-04-13 15:44:24 被害状況
| 事件発生日 | 不明(2019年から2021年まで続いたとされる) |
|---|
| 被害者名 | 33,000人以上 |
|---|
| 被害サマリ | オンライン投資詐欺により、被害者33,000人以上が89百万ユーロ(約98百万ドル)余りの被害を被った。 |
|---|
| 被害額 | 89百万ユーロ(約98百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明。容疑者は、ブルガリア、ルーマニア、およびイスラエルに所在。 |
|---|
| 攻撃手法サマリ | オンライン投資詐欺による攻撃。 |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | なし |
|---|
incident 2023-04-13 14:27:15 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 欧州連合(EU)及び北大西洋条約機構(NATO)に関わる外交機関及び外務省 |
|---|
| 被害サマリ | APT29、別名Cozy Bearとされるハッカーグループが、ロシア連邦保安庁の部門「外部情報局(SVR)」に属する国家指向型ハッカーだとされる。欧州諸国の大使館を装ったフィッシングメールを使用し外交官から機密情報を盗み、この攻撃は未だに継続中だと報告された。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | APT29、別名Cozy Bearとされるハッカーグループ |
|---|
| 攻撃手法サマリ | フィッシングメールを使用し、EnvyScout dropper、SNOWYAMBER、QUARTERRIG、CobaltStrike Beacon stager、BRUTE RATEL等多数の悪質なソフトウェアを使用し攻撃を行っている。 |
|---|
| マルウェア | EnvyScout dropper、SNOWYAMBER、QUARTERRIG、CobaltStrike Beacon stager、BRUTE RATEL、TrailBlazer、GoldMax Linuxバックドア等多数のマルウェアを使用している。 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-13 13:02:00 タイトル: WhatsApp、アカウント乗っ取り攻撃を防ぐための新しいデバイス認証機能を導入
WhatsAppは、アカウント乗っ取り攻撃(ATO)を防ぐデバイス認証機能の導入を発表した。この機能は、スマートフォン上で実行されているマルウェアが対象者のWhatsAppアカウントに影響を与えることを防ぐ事を目的としてデザインされており、脅威アクターの接続をブロックすることで攻撃を阻止する。このセキュリティ対策には、セキュリティトークン、WhatsAppクライアントがサーバーに接続して受信メッセージを取得する際に識別するための暗号化されたナンス、サーバーからユーザーのデバイスに送信される「不可視ピン」である認証要求が含まれる。さらに、WhatsAppは、チャットがエンドツーエンドで暗号化されているかどうかを自動的に確認する「Key Transparency」機能を導入した。
vulnerability 2023-04-13 13:00:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | WhatsApp for Android and iOS |
|---|
| 脆弱性サマリ | WhatsAppはアカウント乗っ取り被害から保護するための新しい機能(デバイス認証)を発表 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-13 11:10:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Pythonベースの新しいハッキングツール「Legion」がTelegramで販売されており、各種オンラインサービスに侵入し情報を盗み、フィッシング攻撃などの二次攻撃に利用される可能性がある。 |
|---|
| 被害額 | 不明(予想:情報漏洩による損失が含まれるため詳細不明) |
|---|
攻撃者
| 攻撃者名 | 不明。開発者の一人がインドネシア人またはその国に拠点を置いているとの指摘がある。 |
|---|
| 攻撃手法サマリ | Legionは、脆弱なSMTPサーバーの列挙、リモートコード実行攻撃(RCE)、Apacheの未修正バージョンの悪用、cPanelおよびWebHost Manager(WHM)アカウントの総当たり攻撃などのモジュールを備えたPythonベースのハッキングツールである。 |
|---|
| マルウェア | 不明。Legionが別のマルウェアファミリー「AndroxGh0st」と関連している可能性がある。 |
|---|
| 脆弱性 | 未修正のApache、SMTPサーバー、CMS、PHP、LaravelのようなPHPベースのフレームワークを悪用する。 |
|---|
incident 2023-04-13 10:19:00 被害状況
| 事件発生日 | 2021年以降の限定情報 |
|---|
| 被害者名 | インドの教育機関 |
|---|
| 被害サマリ | パキスタンに拠点を置くTransparent Tribeと呼ばれるサイバー攻撃者が、教育機関を標的にCrimson RATと呼ばれるマルウェアを使った攻撃を実行している。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | Transparent Tribe (APT36, Operation C-Major, PROJECTM, Mythic Leopard)と呼ばれるパキスタン系サイバー攻撃者 |
|---|
| 攻撃手法サマリ | 教育テーマのマルウェアをOffice文書に組み込み、犠牲者にウイルスを注入させる |
|---|
| マルウェア | Crimson RAT |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-13 10:19:00 脆弱性に関するニュース記事である。
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | API |
|---|
| 脆弱性サマリ | Shadow APIが増加し、悪意のある行動を隠蔽できるため、深刻なデータ損失のリスクがある。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
記事によると、Shadow APIは公式に記載されておらず、どんなAPIが稼働しているのかわからないものである。企業は何千ものAPIを管理しており、そのうち多くはAPIゲートウェイやWeb Application Firewallなどのプロキシを経由していないため、監視されず、監査も滅多にされず、最も脆弱だという。そのため、悪意のある者が脆弱性を悪用し、顧客の住所から会社の財務記録までの機密情報にアクセスしてしまう可能性がある。悪用されれば、データ漏洩や規制違反のリスクがある。また、Shadow APIはセキュリティチームには見えないため、攻撃者にとっては無防備な攻撃経路となる。これらのよく知られていないAPIは、APIディスカバリツールを使用して検出できる。検出した後、対策を講じなければいけない。具体的には、ネットワークトラフィックを監視し、定期的な脆弱性スキャンを実施し、すべてのAPIリクエストに認証を求めることが挙げられる。APIに関連するリスクを軽減するために、データ暗号化を実装し、アクセスの制限、セキュリティポリシーの強制執行を行うことが望ましいという。Noname Securityという企業は、APIセキュリティプラットフォームを提供し、HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC、gRPCなど、あらゆる種類のAPIを検出し、カタログ化する。APIを正しく管理するために、彼らのAPIディスカバリガイドをダウンロードすることを推奨している。
incident 2023-04-13 10:00:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | LegionというPythonベースのツールが、オンラインの電子メールサービスを攻撃することで、フィッシングやスパム攻撃のためのクレデンシャル・ハーベスティングやSMTPハイジャックを行っている。 |
|---|
| 被害額 | 不明(予想:被害者の情報漏えいが発生したため、被害額は膨大な金額に及ぶ可能性がある) |
|---|
攻撃者
| 攻撃者名 | 不明(Forza ToolsというハンドルネームとTelegramのチャンネルが特定されている) |
|---|
| 攻撃手法サマリ | Legionは、SMTPサーバー列挙、リモートコード実行、Apacheの脆弱性を悪用した攻撃、cPanelおよびWebHost Managerアカウントの総当たり攻撃、ShodanのAPIの悪用などのモジュールを提供している。 |
|---|
| マルウェア | Legionに搭載されたモジュールによって、複数のマルウェアが利用可能(名称は不明) |
|---|
| 脆弱性 | SMTP、AWS console、Mailgun、Twilio、Nexmoなど、多数の脆弱性が攻撃に利用された。 |
|---|
incident 2023-04-13 09:07:00 被害状況
| 事件発生日 | 2020年4月[不明] |
|---|
| 被害者名 | crypto businesses, automotive, academic, defense sectors, IT asset monitoring solution vendor, think tank, defense contractor |
|---|
| 被害サマリ | 北朝鮮のサイバー犯罪組織であるLazarus Groupが、長期に渡って"DeathNote"と呼ばれる活動の一環として、焦点を変更し、ツールと戦術を急速に進化させた。この国家間の敵対行為は、暗号通貨セクターに対する攻撃が知られているが、欧州東部や世界の他の地域の防衛請負業界、自動車、学術などにも焦点を変え、それが「重大な」転換であるとして知られている。最近の攻撃は、攻撃者のPDFリーダーアプリの偽装版を使用していた。この攻撃は、BlindingCan/AirdryまたはZetaNile、CopperHedgeインプラントや、ForestTigerまたはThreatNeedleのバックドアの変種を投下するランサムウェアサプライチェーン攻撃の容疑でも指摘されている。 |
|---|
| 被害額 | [予想不可] |
|---|
攻撃者
| 攻撃者名 | Lazarus Group(北朝鮮) |
|---|
| 攻撃手法サマリ | 不正なPDFリーダーを使った攻撃、ランサムウェアサプライチェーン攻撃、欧州東部や世界の他の地域の防衛請負業界、自動車、学術などに焦点を変えた攻撃 |
|---|
| マルウェア | Manuscrypt、NukeSped、BlindingCan/Airdry/ZetaNile、CopperHedge、ForestTiger、ThreatNeedleなど |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-13 04:35:00 被害状況
| 事件発生日 | 不明(2023年4月13日に関するニュース) |
|---|
| 被害者名 | OpenAI |
|---|
| 被害サマリ | OpenAIのAIチャットボットChatGPTのシステムにおいて、アカウント乗っ取りやデータ漏洩の欠陥が発覚し、イタリアのデータ保護局に注目された。これを受けてOpenAIは、システムの安全性確保を目的に、報奨金プログラムを導入した。 |
|---|
| 被害額 | 不明(報奨金プログラム導入に伴う被害額ではないため) |
|---|
攻撃者
| 攻撃者名 | 不明(報奨金プログラム導入に伴う攻撃ではないため) |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | OpenAI ChatGPTおよびその関連製品 |
|---|
| 脆弱性サマリ | OpenAI ChatGPTで見つかった脆弱性の報告に対して報奨金を提示するBug Bounty Programを設立 |
|---|
| 重大度 | 高(報奨金が$200から$20,000まで) |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
OpenAIのChatGPT AIチャットボットに関連する脆弱性報告に対して、報奨金を提示するBug Bounty Programを設立したというニュース。報奨金は$200から$20,000までであり、報告された脆弱性の重大度に応じて支払われる。報告対象となるのは、OpenAI API、ChatGPT (including plugins)、third-party integrations、公開されたAPIキー、および同社が運営するドメインである。ただし、モデルの安全性や幻覚問題(チャットボットが悪意のあるコードや不良出力を生成する場合)はカバーしていない。また、DoS攻撃、OpenAI APIへのブルートフォース攻撃、データの破壊や機密情報への不正アクセスを意図するデモンストレーションも禁止されている。
incident 2023-04-12 19:40:27 被害状況
| 事件発生日 | 2023年第1四半期 |
|---|
| 被害者名 | Cloudflare(インターネットセキュリティ企業) |
|---|
| 被害サマリ | DDoS攻撃が、以前はハッキングされたIoTデバイスを利用していたのに対し、今は不正API資格情報や既知の脆弱性を利用してVPS(仮想プライベートサーバー)を荒らしている。更に、新しいボットネットは、一つひとつが強力なもので、時にはIoTベースのボットネットの5,000倍強力になることがある。 |
|---|
| 被害額 | 不明(記事には記載なし) |
|---|
攻撃者
| 攻撃者名 | 不明、国籍などの特徴不明 |
|---|
| 攻撃手法サマリ | 不正API資格情報や既知の脆弱性を利用してVPSを利用してのDDoS攻撃 |
|---|
| マルウェア | 特定なし |
|---|
| 脆弱性 | 不正API資格情報や既知の脆弱性を利用した攻撃に依存 |
|---|
other 2023-04-12 19:08:02 1. Redditのネイティブモバイルアプリがダウンしているため、ユーザーはアプリにアクセスできない。
2. ユーザーは、「No Internet」、「Sorry, please try again later」、「Let's try that again」などのエラーメッセージを報告している。
3. Redditは状況を調査中であり、現在の問題はiOSデバイスに影響を与えている。
4. Downdetector.comによると、数万人のユーザーがアプリやサーバーの接続に関する問題を報告している。
5. 以前にもRedditはダウンしたことがあり、3月14日には大規模なダウンがあり、1か月前には4時間にわたるサービスの一部停止があった。
vulnerability 2023-04-12 18:19:25 脆弱性
| CVE | CVE-2023-25954 |
|---|
| 影響を受ける製品 | KYOCERA Mobile Print v3.2.0.230119 以前 (Google Playで100万ダウンロード), UTAX/TA Mobile Print v3.2.0.230119 以前 (Google Playで10万ダウンロード), Olivetti Mobile Print v3.2.0.230119 以前 (Google Playで10千ダウンロード) |
|---|
| 脆弱性サマリ | Kyocera Androidアプリ(上記の製品)は、不適切なintent handling に脆弱で、他の悪意のあるアプリケーションが、この欠陥を悪用してデバイス上にマルウェアをダウンロードおよびインストールできる。 |
|---|
| 重大度 | 非公開 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-12 17:31:26 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | Microsoft Windows サーバー利用者 |
|---|
| 被害サマリ | Windows メッセージ キューイング (MSMQ) の脆弱性 (CVE-2023-21554) により、不特定の攻撃者がリモートからコード実行が可能になるため、約360,000台のサーバーが影響を受け、一部に悪用された。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | MSMQ の脆弱性 (CVE-2023-21554) を悪用した攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2023-21554 |
|---|
vulnerability 2023-04-12 16:39:59 被害状況
| 事件発生日 | 2023年4月 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | BlackLotus UEFI bootkitを用いた攻撃によるマルウェア感染 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明、国籍等も不明 |
|---|
| 攻撃手法サマリ | CVE-2022-21894の脆弱性を悪用したBlackLotus UEFI bootkitを使用した攻撃 |
|---|
| マルウェア | BlackLotus UEFI bootkit |
|---|
| 脆弱性 | CVE-2022-21894 |
|---|
脆弱性
| CVE | CVE-2022-21894 |
|---|
| 影響を受ける製品 | UEFI対応製品 |
|---|
| 脆弱性サマリ | BlackLotus UEFI bootkitが、CVE-2022-21894を悪用して攻撃し可能性がある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
Microsoftが、UEFI対応製品に対する脅威である、BlackLotus UEFI bootkitの攻撃に関する、検出及び回避の手順を公開した。この脅威は、対象のマシンを最初に攻撃してからそれを管理するのに使われるため、攻撃自体を防ぐ方が重要である。UEFIのマルウェアは、OSよりも早く実行されるため、検出が困難である。攻撃の手掛かりとして、ブートパーティションのファイルやレジストリ変更、ネットワークログなどを監視することで発見できるとしている。
incident 2023-04-12 14:55:52 被害状況
| 事件発生日 | 2023年4月(日付不明) |
|---|
| 被害者名 | ヒュンダイのフランスおよびイタリアでの所有者と試乗予約者 |
|---|
| 被害サマリ | ヒュンダイのデータベースから個人データ(電子メールアドレス、住所、電話番号、車のシャシー番号)がアクセスされ、漏洩した。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 利用されていない情報 |
|---|
| 脆弱性 | 利用されていない情報 |
|---|
other 2023-04-12 14:05:10 被害状況
| 事件発生日 | 2023年4月12日 |
|---|
| 被害者名 | KFC、Pizza Hutオーナー(未公開) |
|---|
| 被害サマリ | ランサムウェア攻撃によりデータ漏洩。被害者の詳細は未公開。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明(ランサムウェア攻撃) |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃によるデータ漏洩 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | CVE番号なし |
|---|
| 影響を受ける製品 | 外部のウェブアプリケーション |
|---|
| 脆弱性サマリ | Injection Attacks, Broken Authentication, Sensitive Data Exposure, Security Misconfigurations, XML External Entities, Using Components With Known Vulnerabilities, Insufficient Logging & Monitoring, Cross-Site Scripting (XSS), Insecure Deserialization, Broken Access Control |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | Web Application Firewallを導入することで防御可能 |
|---|
| PoC公開 | なし |
|---|
脆弱性は外部のウェブアプリケーションに関連しており、Injection Attacks, Broken Authentication, Sensitive Data Exposure, Security Misconfigurations, XML External Entities, Using Components With Known Vulnerabilities, Insufficient Logging & Monitoring, Cross-Site Scripting (XSS), Insecure Deserialization, Broken Access Controlの脆弱性が存在する。重大度やRCEなどは不明だが、Web Application Firewallの導入によって攻撃を防御することができる。PoCは公開されていない。1. Webアプリケーションは、セキュリティリスクが大きく、 Injection AttacksやBroken Authentication、Security Misconfigurationsなどのような脆弱性が存在しがちである。
2. ログ取得や暗号化などの対応策に加え、Penetration Testing as a Service(PTaaS)を用いることが勧められている。
3. PTaaSは、人手によるテストと自動スキャンを組み合わせ、攻撃者が脆弱性を見つけるよりも速く、脆弱性を特定して対処することができる。
4. 企業に対する攻撃には、特に銀行が狙われる傾向にあり、機密情報の漏洩や会社全体への打撃などの深刻な被害が出ることもある。
5. 本記事はOutpost24からスポンサー提供されたものである。
other 2023-04-12 13:48:50 - Microsoft Bingが新しい検索結果を導入し、検索クエリに対するChatGPT応答を追加
- いくつかの場合、代わりに特集スニペットではなく、Bing AIがクエリに対する回答を表示し、チャットボットとの会話を継続するためのプロンプトも表示される
- この更新により、独立したコンテンツ作成者にとって問題が発生する可能性があり、Bingが複数のソースからコンテンツを要約して1つの回答として提示するため、個々のWebサイトへのクリックスルーが減る可能性がある
- これにより、広告収入とページビューに依存しているコンテンツ作成者にとって問題がはずみ、スニペットがAIによって生成されるため、Bing AIが提供する回答の正確性に関する問題がある可能性がある
- Microsoft Bingは、次世代のOpenAI ChatGPT4言語モデルによって駆動しており、Web検索用に特別にトレーニングされているため、より正確で関連性の高い検索結果を提供できるようになったと言われている。
incident 2023-04-12 11:58:00 被害状況
| 事件発生日 | 2021年 |
|---|
| 被害者名 | ジャーナリスト、政治的反対勢力、NGOの労働者(被害者名は不明) |
|---|
| 被害サマリ | イスラエルの監視ソフトウェアベンダーであるQuaDreamから派生したハッキングツールを使用した攻撃。北米、中央アジア、東南アジア、ヨーロッパ、中東の市民社会の少なくとも5人が攻撃のターゲットになった。 |
|---|
| 被害額 | 不明(予想:情報漏えいのため数百万~数億円の損失が発生した可能性がある) |
|---|
攻撃者
| 攻撃者名 | イスラエルの監視ソフトウェアベンダーQuaDream |
|---|
| 攻撃手法サマリ | iOS 14のゼロクリック脆弱性ENDOFDAYSを利用して、スパイウェアを展開し、被害者のiCloudのカレンダーに送信された予定表への無形の招待を使用した攻撃 |
|---|
| マルウェア | KingsPawn |
|---|
| 脆弱性 | iOS 14のゼロクリック脆弱性ENDOFDAYS |
|---|
vulnerability 2023-04-12 11:50:00 被害状況
| 事件発生日 | 2023年4月12日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | サービスアカウントが攻撃者に狙われ、それが原因で多くのマシンがランサムウェアによって暗号化されたり、機密データが盗まれたりした。 |
|---|
| 被害額 | 不明(予想:数千万円以上) |
|---|
攻撃者
| 攻撃者名 | 不明(国籍・特徴等も不明) |
|---|
| 攻撃手法サマリ | 被害者のサービスアカウントを狙ってランサムウェアを拡散する攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Proxyshellという脆弱性を利用してExchange Serverが侵入された(被害状況に関連) |
|---|
この記事は、サービスアカウントが企業のActive Directory環境において最も危険な脆弱性の一つとなっており、サービスアカウントが漏れてしまうことが攻撃者にとって好都合であると説明している。サービスアカウントとは、人間とは関係なく機械と機械の間で行われる通信のために作られるアカウントであり、元々の目的以外にも権限が高く、PAMソリューションで保護することができないなどの問題がある。攻撃者は、このアカウントを標的にし、エンドポイント侵害後に横移動し、できるだけ多くのマシンにランサムウェアのペイロードを格納することができる。Silverfortのユニファイド・アイデンティティ・プロテクション・プラットフォームは、サービスアカウントを自動検知、モニタリングし、保護することができると紹介されている。
incident 2023-04-12 06:38:00 被害状況
| 事件発生日 | 2023年4月12日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | マイクロソフトのソフトウェアに影響を与える97件の欠陥が発見され、その中の1件がランサムウェア攻撃に実際に使用されている。 |
|---|
| 被害額 | 不明(予想:数千万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 特定の脆弱性を利用して、不正にシステム権限を取得する。 |
|---|
| マルウェア | Nokoyawaランサムウェアというマルウェアが使用された。 |
|---|
| 脆弱性 | Windows共通ログファイルシステム(CLFS)ドライバーに存在する特権の昇格バグ(CVE-2023-28252)が悪用された。また、DHCPサーバーサービス、レイヤー2トンネリングプロトコル、RAW Image Extension、Windows Point-to-Point Tunneling Protocol、Windows Pragmatic General Multicast、Microsoft Message Queuing(MSMQ)にも悪用可能な脆弱性が存在した。 |
|---|
incident 2023-04-12 04:06:00 被害状況
| 事件発生日 | 2023年3月下旬 |
|---|
| 被害者名 | 3CX |
|---|
| 被害サマリ | 北朝鮮と関わりのあるLazarusのサブグループであるLabyrinth Chollimaが、WindowsとmacOS向けの3CXのデスクトップアプリケーションを対象としたサプライチェーン攻撃を仕掛けた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | LazarusのサブグループLabyrinth Chollima |
|---|
| 攻撃手法サマリ | DLLサイドローディングテクニックを使用し、情報盗難ツールICONIC Stealerをダウンロードする。その後、crypto企業を狙った第2段階攻撃でGopuramを使用する。 |
|---|
| マルウェア | TAXHAUL、COLDCAT、SIMPLESEA |
|---|
| 脆弱性 | 不明(サプライチェーン攻撃によるもの) |
|---|
vulnerability 2023-04-11 20:54:27 脆弱性
| CVE | CVE-2023-27267
CVE-2023-28765
CVE-2023-29186 |
|---|
| 影響を受ける製品 | SAP Diagnostics Agent
SAP BusinessObjects Business Intelligence Platform
SAP NetWeaver |
|---|
| 脆弱性サマリ |
- SAP Diagnostics AgentのOSCommand Bridgeにある不十分な入力検証と認証不備により、接続されたエージェント上でスクリプトを実行され、システムが完全に危険に曝される。 (CVE-2023-27267)
- SAP BusinessObjects Business Intelligence Platform (Promotion Management)のlcmbiarファイルにアクセスし、パスワードを復号化できる情報開示脆弱性が存在し、ユーザーアカウントを乗っ取り追加攻撃を行う可能性がある。 (CVE-2023-28765)
- SAP NetWeaverにあるディレクトリトラバーサルにより、悪意のあるユーザーが脆弱なSAPサーバーにアップロードし、ファイル上書きできる。(CVE-2023-29186)
|
|---|
| 重大度 | 高(CVE-2023-27267, CVE-2023-28765)/中(CVE-2023-29186) |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
vulnerability 2023-04-11 20:32:17 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | OpenAIの製品ライン |
|---|
| 脆弱性サマリ | OpenAIが新たにBug Bountyプログラムを立ち上げ。報告された問題の深刻度に応じて謝金を支払う。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-04-11 20:14:37 被害状況
| 事件発生日 | 不明(2022年11月以降から継続中) |
|---|
| 被害者名 | 日本語・韓国語・スペイン語を使用するユーザー(不特定多数) |
|---|
| 被害サマリ | ハッカーが偽のGoogle Chrome更新画面を表示し、そのうえで偽のChromeアップデートをダウンロードさせ、Moneroマイニングマルウェアを感染させる手法を使用 |
|---|
| 被害額 | 不明(予想:数十万円~数百万円) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 偽のGoogle Chrome更新画面を表示し、偽のChromeアップデートをダウンロードさせ、Moneroマイニングマルウェアを感染させる手法 |
|---|
| マルウェア | Moneroマイニングマルウェア |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-11 19:23:48 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Windows Common Log File System (CLFS)にある脆弱性が悪用され、Nokoyawaランサムウェアが配信された。攻撃者にシステム特権が与えられ、Windowsシステムが完全に占拠された。同脆弱性は、低複雑さ攻撃でローカル攻撃者によって悪用される可能性がある。 |
|---|
| 被害額 | 不明(予想:数千万円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Windows Common Log File System (CLFS)の脆弱性を悪用したランサムウェア攻撃 |
|---|
| マルウェア | Nokoyawaランサムウェア |
|---|
| 脆弱性 | CVE-2023-28252 |
|---|
vulnerability 2023-04-11 18:40:49 被害状況
| 事件発生日 | 2023年4月11日 |
|---|
| 被害者名 | なし |
|---|
| 被害サマリ | Windows 11のセキュリティバグを修正する累積アップデートがリリースされた |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | Windows 11の脆弱性が97件修正された |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Windows 11 |
|---|
| 脆弱性サマリ | MicrosoftがWindows 11の脆弱性を修正するためにKB5025239累積更新プログラムをリリース |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
脆弱性サマリ:Microsoftは、Windows 11の脆弱性を修正するためにKB5025239累積更新プログラムをリリース。
incident 2023-04-11 17:46:43 被害状況
| 事件発生日 | 2021年1月から11月 |
|---|
| 被害者名 | 北アメリカ、中央アジア、東南アジア、ヨーロッパ、中東の市民社会の少なくとも5人 |
|---|
| 被害サマリ | iCloudカレンダーの招待状を感染手段として用いてスパイウェアがインストールされた。被害者には、ジャーナリスト、政治的反対派、NGO職員が含まれる。スパイウェアは、外部環境の音声やコールの録音、前後方向のカメラでの写真撮影、キーチェーンの削除やデータの盗み出しなどが可能であった。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 特定されていない |
|---|
| 攻撃手法サマリ | ゼロクリック脆弱性を使用したiCloudカレンダーの招待状を不正に利用 |
|---|
| マルウェア | QuaDream spyware |
|---|
| 脆弱性 | iOS 14.4.2以前のバージョンに影響を与えるゼロデイ |
|---|
other 2023-04-11 17:39:05 - マイクロソフトが、OSの問題を修正するためWindows 10のKB5025221とKB5025229の累積的な更新をリリースしました。
- これらの更新は、4月のセキュリティ・アップデートに含まれており、数日以内にWindows Update経由で自動的にインストールされます。
- しかしながら、手動でインストールすることも可能であり、'設定'から'Windows Update'をクリックし、'更新を確認'を選択することができます。
- 更新には、97の脆弱性のセキュリティ・アップデートが含まれており、Windows 10の新機能の追加に重点を置かずに、OS内のバグとパフォーマンスの問題を修正しています。
- KB5025221の修正には、Windows Local Administrator Password Solution(LAPS)の実装、印刷するためにSnipping Toolを開くようにする変更などが含まれます。
incident 2023-04-11 17:28:06 被害状況
| 事件発生日 | 2023年4月11日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | マイクロソフトが4月の定例アップデートで、97の脆弱性を修正。中にはアクティブに悪用されていた1つのゼロデイ(未知の脆弱性)も含まれる。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 脆弱性を悪用したリモートコード実行などの攻撃。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 97件の脆弱性の中に多数の種類が含まれるが、特にCVE-2023-28252がアクティブに悪用された。 |
|---|
vulnerability 2023-04-11 16:31:09 被害状況
| 事件発生日 | 2023年4月11日 |
|---|
| 被害者名 | Kodi Foundation |
|---|
| 被害サマリ | オープンソース・メディアプレーヤーKodi FoundationのMyBBフォーラムがハッキング被害に遭い、会員情報やプライベートメッセージ、投稿が抜かれ、売られていたことが発覚した。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明(海外からの攻撃とみられる) |
|---|
| 攻撃手法サマリ | 不正アクセスによるデータ抜き取り |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | KodiのMyBBフォーラム |
|---|
| 脆弱性サマリ | フォーラムのデータベースがハッキングされ、ユーザーデータ及びプライベートメッセージの盗難が行われた |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | フォーラムデータがオンラインで販売されたとの報告あり |
|---|
| PoC公開 | 不明 |
|---|
脆弱性についての報告ではなく、KodiのMyBBフォーラムがハッキングされ、ユーザーデータ及びプライベートメッセージが盗まれたことが明らかにされた。フォーラムには、401,000人のメンバーがおり、約300万の投稿があった。盗まれたデータには、ユーザー名、メールアドレス、MyBBソフトウェアで生成されたハッシュ化されたパスワードなどが含まれる。Kodiは、パスワードが脆弱性となったと判断し、ユーザーにはパスワードのリセットを呼びかけている。
incident 2023-04-11 16:08:45 被害状況
| 事件発生日 | 2023年3月29日以前(不明) |
|---|
| 被害者名 | 3CX |
|---|
| 被害サマリ | 北朝鮮のハッカーグループがSupply Chain Attackを実行。マルウェア"TAXHAUL"を使用し、3CXシステムに侵入、情報漏えいを行った。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 北朝鮮のハッカーグループ(UNC4736) |
|---|
| 攻撃手法サマリ | Supply Chain Attack、DLLサイドローディング、ターゲットマルウェアを使用した情報漏えい |
|---|
| マルウェア | TAXHAUL、Coldcat、Simplesea、Gopuram |
|---|
| 脆弱性 | CVE-2013-3900 |
|---|
incident 2023-04-11 15:30:18 被害状況
| 事件発生日 | 記事に記載なし |
|---|
| 被害者名 | Androidユーザー |
|---|
| 被害サマリ | サイバー犯罪者がGoogle Playストアに悪意あるアプリを追加するセーフティネットを突破した上で、クレデンシャルやデータを窃取したり、不要な広告を配信したりする被害が発生している。 |
|---|
| 被害額 | 記事に記載なし(予想:数百万ドルから10億ドル以上) |
|---|
攻撃者
| 攻撃者名 | 海外のサイバー犯罪者 |
|---|
| 攻撃手法サマリ | Google Playストアに悪意あるアプリを追加し、クレデンシャルやデータを窃取したり、不要な広告を配信したりする。 |
|---|
| マルウェア | 記事に記載なし |
|---|
| 脆弱性 | 記事に記載なし |
|---|
vulnerability 2023-04-11 13:00:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft Azure |
|---|
| 脆弱性サマリ | Azure FunctionsのShared Key Authorizationを悪用したプリプリ攻撃により、ストレージアカウントが侵害される脆弱性 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
Microsoft Azureに存在するShared Key Authorizationの脆弱性により、Azure Functionsが悪用され、ストレージアカウントにアクセスした攻撃が可能になることが明らかになった。これにより、重要ビジネスアセットが侵害されたり、遠隔実行が可能になる。Microsoftは、Shared Key Authorizationの無効化およびAzure Active Directoryの認証の使用を推奨している。また、AzureWebJobsStorageの接続におけるIdentityをサポートするための変更を計画していると述べている。
incident 2023-04-11 12:29:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Androidユーザー |
|---|
| 被害サマリ | クリーンアプリにマルウェアを仕込んで、Google Playストアを経由してユーザーに配信していた。主に仮想通貨追跡アプリ、金融アプリ、QRコードスキャナー、出会い系アプリが標的とされた。 |
|---|
| 被害額 | 不明(予想:膨大な数のユーザーが被害にあったため、数百万ドルから数千万ドルの損失が想定される) |
|---|
攻撃者
| 攻撃者名 | 不明(オンラインフォーラムで使用されたメッセージの内容から、サイバー犯罪者のグループや個人が関与していると推定される) |
|---|
| 攻撃手法サマリ | クリーンアプリにマルウェアを仕込むという手法。主にドロッパーアプリを使用したが、APKバインディングやGoogle Play開発者アカウントの購入も行われた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-11 11:42:00 記事のタイトル: [eBook] A Step-by-Step Guide to Cyber Risk Assessment
- 脅威: ランサムウェア、フィッシング、インフラ攻撃、サプライチェーンの侵害、悪意のある内部者などによるサイバー攻撃。
- ガイドの内容: CISOとCIOは、限られたリソースを最大限に活用するために、サイバーリスク評価を実施する必要がある。サイバーリスク評価は、脆弱性と脅威を特定し、セキュリティ投資を優先付け、セキュリティの成熟度を評価し、経営陣にサイバーリスクをコミュニケーションするのに役立つ。また、CRQは、脅威による潜在的なコストと是正コストに金銭的価値を付けることを可能にし、セキュリティ担当者が、脆弱性をどのように緩和するかを優先付けることができるようになる。サイバーリスク評価により、組織のサイバーポストに関する知見と推奨事項が得られ、強化段階のロードマップが作成される。定期的な評価は、急速に変化するビジネスや技術に対応し、サイバー耐性を測定し、コントロールに従うことが不可欠である。
- リンク先: ガイドをこちら(CYE)からダウンロードできる。
incident 2023-04-11 09:16:00 被害状況
| 事件発生日 | 2023年3月26日 |
|---|
| 被害者名 | .NET開発者 |
|---|
| 被害サマリ | 13のNuGetパッケージを介したサプライチェーン攻撃により、Impala Stealerマルウェアが.NET開発者を攻撃し、ユーザーの仮想通貨アカウントに不正アクセスし、ユーザーの機密データを盗んだ。 |
|---|
| 被害額 | 不明(予想:数万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | typosquattingテクニックを使い、改ざんされたNuGetパッケージを開発者に届け、PowerShellコードを実行し、.NET AoT Compilation(.NET Ahead-of-Time Compilation)技術を使い、Impala StealerマルウェアをWebhookを通じて送信されたデータに導入する攻撃。 |
|---|
| マルウェア | Impala Stealer |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-10 20:16:20 被害状況
| 事件発生日 | 2023年4月10日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Appleの古いiPhone、iPad、およびMacにも影響を与える2つのゼロデイ脆弱性を修正するための緊急アップデートがリリースされた |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 政府支援に関連した脅威アクター |
|---|
| 攻撃手法サマリ | 2つのゼロデイ脆弱性を攻撃するエクスプロイトチェーンを使用する |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | IOSurfaceAcceleratorとWebKitの脆弱性 |
|---|
脆弱性
| CVE | CVE-2023-28206, CVE-2023-28205 |
|---|
| 影響を受ける製品 | iPhone 6s, iPhone 7, iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), iPod touch (7th generation), and Macs running macOS Monterey and Big Sur. |
|---|
| 脆弱性サマリ | IOSurfaceAccelerator における out-of-bounds write weakness (CVE-2023-28206)、WebKit use after free (CVE-2023-28205) |
|---|
| 重大度 | 不明 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 2つの脆弱性が攻撃で使用されているという報告があり、実際に利用されていた可能性がある |
|---|
| PoC公開 | なし |
|---|
Appleが2つの脆弱性を修正する緊急アップデートをリリースした。CVE-2023-28206を修正するために、AppleはIOSurfaceAcceleratorにおけるout-of-bounds write weaknessに対するメモリ管理を改善するアップデートを提供している。この脆弱性は、悪意のあるアプリを介して悪意のあるコードを実行する攻撃者にカーネル特権を与えることができる。CVE-2023-28205は、WebKit use after freeであり、悪意のあるウェブページを読み込むことで、攻撃者がターゲットのiPhone、Macs、またはiPadsで悪意のあるコードを実行できる。2つの脆弱性は、GoogleのThreat Analysis GroupとAmnesty InternationalのSecurity Labのセキュリティ研究者によって報告され、政府支援の脅威行為者によって悪用された事例があると発表されている。AppleはiPhone 6s、iPhone 7、iPhone SE(第1世代)、iPad Air 2、iPad mini(第4世代)、iPod touch(第7世代)およびmacOS MontereyとBig Surを実行するMacでこれらの脆弱性を修正した。CISAもこれらの脆弱性について警告し、アクティブに悪用されているとして、政府機関に対してデバイスを更新するように命じた。
other 2023-04-10 19:24:49 1. Microsoft is testing a change in Windows 11 where pressing the print screen button will open the Windows Snipping Tool instead of copying a screenshot, which can be disabled in the Accessibility settings.
2. The change is currently only available in Windows 11 Beta preview builds 22621.1546 and 22624.1546 (KB5025310).
3. Users can disable this feature in the Accessibility settings by turning off the "Use the Print Screen key to open Snipping Tool" setting.
4. Users can also disable the feature by creating the `PrintScreenKeyForSnippingEnabled` DWORD value under `HKCU\Control Panel\Keyboard` and setting it to 0.
5. Microsoft has not guaranteed this feature will be included in the final Windows 11 release, but since it is a minor change and allows for use of another built-in tool, it is likely to be included.
incident 2023-04-10 18:23:40 被害状況
| 事件発生日 | 2023年1月13日 |
|---|
| 被害者名 | Yum! Brands |
|---|
| 被害サマリ | イギリスにおいて、300店舗が一時的に営業停止に追い込まれた。個人情報流出の被害が発生し、被害者名、運転免許証番号、IDカード番号が含まれる一部の個人情報が流出した。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-10 16:24:43 被害状況
| 事件発生日 | 2023年5月1日までに修正を義務付けられた(注:被害発生日不明) |
|---|
| 被害者名 | 米国政府機関 |
|---|
| 被害サマリ | 米国政府機関のiPhone、Mac、iPadsを狙った攻撃による2つのセキュリティ脆弱性が報告され、修正が必要とされている。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明(政府関与グループを含む) |
|---|
| 攻撃手法サマリ | iOS、iPadOS、macOSデバイスの2つの脆弱性を悪用する攻撃を行ったとされる。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | IOSurfaceAccelerator out-of-bounds write(CVE-2023-28206)、WebKit use after free weakness(CVE-2023-28205) |
|---|
タイトル:CISAが政府機関に対して5月1日までにiPhoneとMacの更新を指示
CISAは、iPhone、Mac、およびiPadをハックするために野生で積極的に活用されている2つのセキュリティ脆弱性をパッチ適用するよう、連邦機関に指示した。政府文民行政部門の機関は、CISAの既知の攻撃された脆弱性カタログに追加されたすべてのセキュリティバグに対してシステムをパッチ適用するように求められている。CISAによって追加された2つの欠陥は、iOS、iPadOS、およびmacOSデバイスを攻撃するために使用されており、政府機関によって2023年5月1日までに対応する必要がある。この脆弱性はGoogleの脅威分析グループとアムネスティ・インターナショナルのセキュリティ・ラボで発見された。この欠陥を報告したのは、Google TAGのClément Lecigneとアムネスティ・インターナショナルのSecurity LabのDonncha Cearbhaill氏である。これらの組織は、政府主導の脅威行為に対処するために頻繁に活動し、政治家、ジャーナリスト、および反体制派のような高リスクな個人のデバイスにスパイウェアをインストールするためにゼロデイ脆弱性が利用されることがある。
incident 2023-04-10 15:32:23 被害状況
| 事件発生日 | 2023年4月10日 |
|---|
| 被害者名 | SD Worx UK and Ireland division |
|---|
| 被害サマリ | SD Worxは、イギリスおよびアイルランドのサービスのすべてのITシステムをシャットダウンするサイバー攻撃を受けた。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-10 13:01:00 被害状況
| 事件発生日 | 2023年3月28日 |
|---|
| 被害者名 | アメリカ国内の電気製品メーカーおよび関連業者 |
|---|
| 被害サマリ | アンドレイ・シェブリャコフがアメリカ国内のメーカーから機密性の高い電子機器を取り寄せ、その商品をロシアに輸出。中には軍事防衛システムで使用されるADコンバータやローノイズプリスケーラ、シンセサイザーが含まれる。また、Rapid7 Metasploit Proなどの侵入テスト用ソフトウェアを取り寄せることも試みた。 |
|---|
| 被害額 | $800,000 |
|---|
攻撃者
| 攻撃者名 | ロシア政府および軍関係者 |
|---|
| 攻撃手法サマリ | 偽名や表向きは異なる企業を立ち上げ、アメリカ国内で電子機器を購入しロシアに密輸。輸出制限を回避していた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-10 12:45:00 被害状況
| 事件発生日 | 2023年3月末 |
|---|
| 被害者名 | npm (オープンソースパッケージレポジトリ) |
|---|
| 被害サマリ | サイバー攻撃者が正当なnpmのパッケージの読み込みを妨害するため、偽パッケージ142万個をnpmにアップロードし、サービスが一時的に利用できない状態になった。攻撃者は、ファイル内の無害なリンクの偽物を作成するなど、npmの検索ランキングを利用してランダムなユーザーに偽のウェブサイトに誘導した。攻撃者の目的は、RedLine Stealer、Glupteba、SmokeLoader、暗号通貨採掘ツールなどのマルウェアを利用して、被害者のシステムに感染させることだった。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | サイバー攻撃者は、類似したキャンペーンを実施して、フィッシングリンクを広げた。最新の攻撃では、無害なリンクのReadmeファイルにウェブサイトのリンクを含め、多数のパッケージをnpmにアップロードし、疑わしいユーザーを偽のウェブサイトに誘導した。攻撃は自動化されていたため、多数のパッケージを一度に公開することによって負荷を作り出し、NPMのセキュリティに問題が発生した。 |
|---|
| マルウェア | RedLine Stealer、Glupteba、SmokeLoader、暗号通貨採掘ツール |
|---|
| 脆弱性 | ユーザーアカウント作成時に、anti-bot技術の導入をnpmは推奨している。 |
|---|
other 2023-04-10 11:38:00 被害状況
| 事件発生日 | 記事には記載なし |
|---|
| 被害者名 | 記事には記載なし |
|---|
| 被害サマリ | 記事には記載なし |
|---|
| 被害額 | 記事には記載なし (予想:不明) |
|---|
攻撃者
| 攻撃者名 | 記事には記載なし |
|---|
| 攻撃手法サマリ | 複数の攻撃手法が予想される |
|---|
| マルウェア | 記事には記載なし |
|---|
| 脆弱性 | 記事には記載なし |
|---|
今後のサイバーセキュリティにおけるトレンドについて、記事が紹介されている。2023年においてもアプリケーションセキュリティ、クラウドセキュリティ、モバイルセキュリティ、IoT、リモートワークと企業ネットワーク、サイバー保険、ゼロトラスト、人工知能、攻撃検出ツール、サイバーセキュリティアウトソーシングといった分野で新しいトレンドが生まれることが予想されている。これらのトレンドを理解し、不正アクセスやデータの変更を未然に防ぐことが、ビジネスの発展に直結すると指摘されている。また、サイバーセキュリティにおいても人工知能が活用されることが期待されている。1. トラステッド・サイバーセキュリティ・ニュースプラットフォームがある。3.45+百万人がフォローしている。
2. サイバー攻撃が増加しており、2023年にはそのトレンドが見られる。アプリケーションセキュリティ、クラウドセキュリティ、モバイルセキュリティ、IoTセキュリティ、リモートワークと企業ネットワークへの攻撃、サイバー保険、ゼロトラスト、人工知能、攻撃検出ツール、サイバーセキュリティのアウトソーシングがある。
3. アプリケーションセキュリティが重要であり、2023年にはアプリケーションセキュリティへの支出が7.5十億ドルを超えると予想される。
4. クラウドセキュリティがITセキュリティ市場で最も成長している分野であり、2023年までに27%の成長が見込まれる。
5. モバイルセキュリティが重要であり、悪意のある人々が銀行サービスやオンライン予約などを悪用する可能性がある。
6. IoTデバイスセキュリティが必要である。
7. VPNに代わるZero Trust Network Access (ZTNA)が登場している。
8. 人工知能(AI)がサイバーディフェンスにおいてますます使用されるようになる。
9. クラウドベースの検出および対応のためのソリューションの需要が増加している。
10. サイバーセキュリティのアウトソーシングが増加している。
incident 2023-04-10 10:16:00 被害状況
| 事件発生日 | 2017年以降 |
|---|
| 被害者名 | WordPressサイト |
|---|
| 被害サマリ | Balada Injectorと呼ばれるマルウェアによって、1,000,000件のWordPressサイトが被害にあった。攻撃は、既知の脆弱性だけでなく、最近発見されたテーマやプラグインの脆弱性も利用した。攻撃は定期的に何週間かに1度行われ、フェイク テックサポート、詐欺くじ当選、偽のCAPTCHAページを使用してユーザーからユーザー情報を収集していた。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 既知の脆弱性に加え、最近になって発見されたテーマやプラグインの脆弱性も利用した攻撃を行っていた。また、String.fromCharCodeの混同や、ランダムなサブドメインで悪意のあるスクリプトをホストするなどの手法が用いられていた。 |
|---|
| マルウェア | Balada Injector(Linuxマルウェア) |
|---|
| 脆弱性 | WordPressのテーマやプラグインの脆弱性 |
|---|
other 2023-04-10 09:27:00 1. 「The Hacker News」というサイトは、350万人以上の人々にフォローされている信頼されたサイバーセキュリティニュースプラットフォームである。
2. Wazuhは、XDRとSIEMの機能を統一した無料でオープンソースのセキュリティプラットフォームであり、企業がクラウドとオンプレミスの両方のワークロードのために拡張された脅威検出と対応を提供する。
3. Wazuhは、内部および外部からの攻撃を防ぐことができ、MITRE ATT&CKフレームワークモジュール、脆弱性検出モジュール、ファイルインテグリティモニタリングモジュール、ポリシーファイルによるエンドポイントハードニングモジュールなど、多数のモジュールによって機能を提供する。
4. Wazuhは、VirusTotal、MISP、URLHaus、YARAなどの外部脅威インテリジェンスソリューションと連携し、ファイルハッシュ、IPアドレス、URLのチェックを実行できる。
5. Wazuhは、PCI DSS、GDPR、NISTなどの規制遵守基準に準拠し、セキュリティ監査や規制遵守要件を満たすために多数のモジュールを備えている。
vulnerability 2023-04-10 06:25:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Veritas Backup Exec Agentソフトウェア利用者 |
|---|
| 被害サマリ | Veritas Backup Exec Agentソフトウェアに、CVE-2021-27876、CVE-2021-27877、およびCVE-2021-27878の3つの高度な脆弱性が発見され、それらの脆弱性が悪用されていることが報告された。報告によれば、一部の攻撃者はBlackCat(別名ALPHVおよびNoberus)ランサムウェアのオペレーションと関連付けられており、これらの脆弱性を利用して攻撃を行っている。また、Arm Mali GPU Kernel Driverの情報漏洩脆弱性が発見され、スパイウェアベンダーに使用され、SamsungのAndroidスマートフォンに侵入するための攻撃の一部として悪用された。 |
|---|
| 被害額 | 不明(予想外) |
|---|
攻撃者
| 攻撃者名 | 不明(BlackCatと関連付けられた攻撃者が報告されている) |
|---|
| 攻撃手法サマリ | Veritas Backup Exec AgentソフトウェアのCVE-2021-27876、CVE-2021-27877、およびCVE-2021-27878の3つの脆弱性を悪用 |
|---|
| マルウェア | 報告なし |
|---|
| 脆弱性 | CVE-2021-27876、CVE-2021-27877、およびCVE-2021-27878の3つの脆弱性、CVE-2019-1388、CVE-2023-26083 |
|---|
脆弱性
| CVE | CVE-2021-27876, CVE-2021-27877, CVE-2021-27878, CVE-2019-1388, CVE-2023-26083 |
|---|
| 影響を受ける製品 | Veritas Backup Exec Agent, Microsoft Windows Certificate Dialog, Arm Mali GPU Kernel Driver |
|---|
| 脆弱性サマリ | Veritas Backup Exec Agentでは、特権コマンド実行や認証情報の不備によるファイルアクセスが可能。Arm Mali GPU Kernel Driverでは情報漏洩が可能。Microsoft Windows Certificate Dialogでは、プロセス実行権限の昇格が可能。Androidスマートフォンに対する攻撃に悪用される。 |
|---|
| 重大度 | 高(CVE-2021-27876, CVE-2021-27877, CVE-2021-27878)、中(CVE-2019-1388)、情報漏洩のみ(CVE-2023-26083) |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
2023年4月10日、アメリカのサイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、5つのセキュリティ上の欠陥を含む「既知の悪用されている脆弱性(KEV)カタログ」に追加し、野外での悪用の証拠を引用した。この中には、Veritas Backup Exec Agentソフトウェアの3つの重大な欠陥(CVE-2021-27876、CVE-2021-27877、CVE-2021-27878)が含まれており、特権コマンドの実行が可能となっている。これらの欠陥は、2021年3月にリリースされたパッチによって修正された。また、CISAがKEVカタログに追加したもう一つの欠陥は、Microsoft Windows Certificate Dialogに影響を与える権限昇格の欠陥である。さらに、Arm Mali GPU Kernel Driverには、情報漏洩の欠陥がある。GoogleのThreat Analysis Group(TAG)は、この欠陥がGoogleが発見したスパイウェアベンダーによってSamsungのAndroidスマートフォンに侵入するためのエクスプロイトチェーンの一部として悪用されていることを明らかにしている。FCEBのエージェンシーは、4月28日までにこれらの欠陥に対するパッチを適用する必要があり、またCISAも、Appleが実世界の攻撃で悪用されたとアナウンスした2つのゼロデイ脆弱性(CVE-2023-28205およびCVE-2023-28206)の問題に対処するためにiOS、iPadOS、macOS、Safari Webブラウザの更新版をリリースしたことに合わせ警告を発した。
vulnerability 2023-04-09 20:45:06 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft PowerToys |
|---|
| 脆弱性サマリ | PowerToysにおいて、レジストリファイルがインポートされる前にサムネイルが表示されるため、脆弱性があります。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
脆弱性はMicrosoft PowerToysに存在し、レジストリファイルがインポートされる前にサムネイルが表示されるため攻撃者はシステムにそのレジストリをインポートすることで、特権昇格や影響範囲の拡大が可能です。CVE番号は存在しません。
vulnerability 2023-04-09 15:21:21 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | オランダ政府は、2024年末までにRPKI(Resource Public Key Infrastructure)標準を採用し、すべてのインターネットルーティングのセキュリティを強化する意向を表明した。 |
|---|
| 被害額 | 不明(政府機関のセキュリティ強化に伴うコストが生じる可能性があるが、記事からは明言されていない) |
|---|
攻撃者
| 攻撃者名 | 不明(BGPハイジャックの一般的な被害者である政府機関) |
|---|
| 攻撃手法サマリ | RPKIの採用前のインターネットルーティングにおける脆弱性を悪用したBGPハイジャック |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | RPKIの採用前のインターネットルーティングにおける脆弱性 |
|---|
記事タイトル:All Dutch govt networks to use RPKI to prevent BGP hijacking
オランダ政府は、2024年の終わりまでにResource Public Key Infrastructure(RPKI)標準を採用することで、インターネットルーティングのセキュリティを強化する。RPKIは、暗号化を用いたルートの検証により、誤ったルーティングによるインターネットトラフィックの配信を防止するためのデジタル証明書を使用する。この標準は、ルーティング情報の交換に使用されるBorder Gateway Protocol(BGP)を安全にする。RPKIは、インターネットトラフィックが正当なネットワークオペレーターを介して流れることを確実にする。RPKIはセントラルに保存され、世界中のネットワークプロバイダーがインターネットトラフィックのルートを検証できるため、インターネットトラフィックが正当なパスでルーティングされることが保証される。RPKIの採用率は全体的に低く、2023年4月にはIPv4プレフィックスの約41%がRPKIに準拠し、58%はルーティングの影響を受けやすい。オランダ政府は、2024年までにRPKIを使用するようにすべての通信機器(ICT)を管理するよう命じた。RPKIの採用は、より安全で良いインターネットの実現に貢献する。
incident 2023-04-08 16:17:34 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Breachedフォーラムが閉鎖されたことで、ARESグループが自らのサイトであるARES Leaksを開設し、盗まれた多数の企業および公的機関のデータベースを販売・リークしている。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | ARESグループ |
|---|
| 攻撃手法サマリ | データベースの盗難および販売・リーク、暗号通貨を利用した取引、マルウェア攻撃、分散型サービス拒否攻撃(DDoS)など。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-08 15:08:13 - Western DigitalのMy Cloudサービスに、接続障害が発生し、クラウド上に保存されたファイルにアクセスできなくなっている
- サービス停止には5日以上もかかったが、同社はローカルアクセス機能を提供して回避策を提供した
- 4月3日に行われたネットワーク侵害を受け、同社は調査を進めている
- 顧客のデータが消失した痕跡がある製品(My Book Live、My Book Live Duo)が2011年にも発売されていたが、CVE-2018-18472というトラブルを抱えていた
- “Western Digital”は、米国のデータストレージ用品メーカーである
- Western DigitalのMy Cloudサービスに、接続障害が発生し、クラウド上に保存されたファイルにアクセスできなくなっている
- サービス停止には5日以上もかかったが、同社はローカルアクセス機能を提供して回避策を提供した
- 4月3日に行われたネットワーク侵害を受け、同社は調査を進めている
- 顧客のデータが消失した痕跡がある製品(My Book Live、My Book Live Duo)が2011年にも発売されていたが、CVE-2018-18472というトラブルを抱えていた
- “Western Digital”は、米国のデータストレージ用品メーカーである。
incident 2023-04-08 14:37:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Taiwanese PC company MSI (Micro-Star International) |
|---|
| 被害サマリ | MSIはサイバー攻撃の被害者となり、ネットワーク異常を検知した後、イベントレスポンスとリカバリ対応を素早く行った。攻撃の詳細やプロプライエタリな情報、ソースコードなどの漏えいについては明らかにされていない。しかし、MSIは被害復旧を確実にするため、ネットワークとインフラストラクチャに増強されたコントロールを設定しており、ユーザーには公式ウェブサイトからのファームウェア/BIOSのみのダウンロードを求めるように呼びかけている。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | Money Message(グループ名) |
|---|
| 攻撃手法サマリ | ダブル・エクスポージャ(データを暗号化する前にデータを抽出する攻撃手法) |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-08 14:05:17 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Exchange Online |
|---|
| 脆弱性サマリ | Client Access Rules (CARs)が適切にサポートされるまで、2024年9月までCARs deprecationが延期される |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-08 07:19:00 被害状況
| 事件発生日 | 2023年4月8日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | イランに拠点を置くMuddyWaterと呼ばれる攻撃者グループが、DEV-1084と呼ばれるもう1つのグループと共同で、ランサムウェアキャンペーンを装い、中東の企業で破壊的な攻撃を行った。攻撃により、オンプレミスのデバイスが暗号化され、サーバーファーム、仮想マシン、ストレージアカウント、仮想ネットワークなどのクラウドリソースが大規模に削除されるなど、被害は大きく、漏洩した情報もあった。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | MuddyWaterおよびDEV-1084 |
|---|
| 攻撃手法サマリ | MuddyWaterとDEV-1084による共同攻撃で、ランサムウェアキャンペーンを装いながら、中東の企業で破壊的な攻撃を行った。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-08 05:15:00 脆弱性
| CVE | CVE-2023-28205、CVE-2023-28206 |
|---|
| 影響を受ける製品 | iOS、iPadOS、macOS、Safari |
|---|
| 脆弱性サマリ | ウェブコンテンツの特別な加工により任意コード実行、またはアプリケーションによるカーネル特権での任意コード実行につながる問題 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | なし |
|---|
other 2023-04-08 05:05:00 1. The Hacker News is a trusted cybersecurity news platform with over 3.45 million followers on social media.
2. The website offers resources such as a store with free ebooks and freebies, as well as expert-led webinars on cybersecurity topics like securing the identity perimeter.
3. The identity perimeter is a critical focus point in cybersecurity as cybercriminals employ highly sophisticated methods to target users directly.
4. Dor Dali, Head of Research at Cyolo, will share his insights on the topic in an upcoming webinar that covers practical tips, advice, and comparison of ZTNA platforms.
5. The Hacker News also provides breaking news, resources, and cybersecurity certification courses, along with social media accounts and a contact page.
- The Hacker Newsは、3.45万人以上のフォロワーがいる信頼できるサイバーセキュリティニュースプラットフォームです。
- このウェブサイトでは、無料の電子書籍や無料のものの他、サイバーセキュリティに関する無料のウェビナーなど、さまざまなリソースが提供されています。
- アイデンティティペリメーターは、サイバー犯罪者が直接ユーザーを狙い撃ちする高度な攻撃方法を使うことがあり、サイバーセキュリティにおいて重要な焦点となっています。
- Cyoloのリサーチ部門の責任者であるDor Dali氏が登壇するウェビナーを通じて、ZTNAプラットフォームの比較やアイデンティティペリメーターの実用的なセキュリティの確保方法などが共有されます。
- The Hacker Newsは、ブレイキングニュース、リソース、サイバーセキュリティ認証コース、ソーシャルメディアアカウントなども提供しています。
vulnerability 2023-04-08 05:04:00 脆弱性
| CVE | CVE-2023-29017 |
|---|
| 影響を受ける製品 | vm2 JavaScript sandbox module |
|---|
| 脆弱性サマリ | 非同期処理におけるエラー処理の不備により、リモートコード実行が可能になる |
|---|
| 重大度 | 9.8 (CVSS v3.1基準) |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 有 |
|---|
incident 2023-04-07 21:07:52 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | アメリカの政府機関 |
|---|
| 被害サマリ | Veritas Backup Execに存在する脆弱性(CVE-2021-27877, CVE-2021-27876, CVE-2021-27878)が悪用され、アルファベット・ブラックキャット・ランサムウェアの一部であるアフィリエイトによって政府機関に不正アクセスされた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Veritas Backup Execに存在する脆弱性を悪用してアルファベット・ブラックキャット・ランサムウェアの一部であるアフィリエイトによる攻撃 |
|---|
| マルウェア | アルファベット・ブラックキャット・ランサムウェア |
|---|
| 脆弱性 | Veritas Backup Execに存在する脆弱性(CVE-2021-27877, CVE-2021-27876, CVE-2021-27878) |
|---|
vulnerability 2023-04-07 18:22:20 脆弱性
| CVE | CVE-2023-28206、CVE-2023-28205 |
|---|
| 影響を受ける製品 | iPhone 8以降、iPad Pro、iPad Air 3世代以降、iPad 5世代以降、iPad mini 5世代以降、macOS Venturaを実行中のMac |
|---|
| 脆弱性サマリ | iOSurfaceAcceleratorでのアウトオブバウンズライトとWebKitのUse-After-Freeの脆弱性。これにより、任意のコードが実行される可能性があります。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 報告あり |
|---|
| PoC公開 | なし |
|---|
vulnerability 2023-04-07 17:41:34 脆弱性
| CVE | CVE-2023-29017 |
|---|
| 影響を受ける製品 | VM2 JavaScript sandbox library 3.9.14以前の全バージョン |
|---|
| 脆弱性サマリ | VM2 JavaScript sandbox libraryにおける任意のコマンド実行が可能なクリティカルな脆弱性(最高評価の10.0) |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 有 |
|---|
VM2 JavaScript sandbox libraryは、JavaScript関連製品で使用されるsandbox環境の一つであり、Node.jsサーバ上で危険なコードを安全に実行するために利用されています。最近の脆弱性(CVE-2023-29017)により、任意のコマンド実行が可能になってしまったことが発表されました。16ヶ月に一回以上ダウンロードされているため、非常に影響範囲が大きいとされています。 PoCはGitHubに公開されています。
incident 2023-04-07 16:39:44 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | MSI |
|---|
| 被害サマリ | 台湾のPCベンダーMSIのネットワークがサイバー攻撃によって侵害され、情報サービスシステムが影響を受けた。Money Messageランサムウェアグループが攻撃したとされ、約1.5TBの文書やソースコード、プライベートキー、BIOSファームウェアなどが盗まれ、同グループはMSIに4百万ドルの身代金を要求している。また、不承認で情報が公開されると脅迫している。 |
|---|
| 被害額 | (予想)数百万ドル |
|---|
攻撃者
| 攻撃者名 | Money Messageランサムウェアグループ |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | Money Messageランサムウェア |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-07 16:24:20 被害状況
| 事件発生日 | 2017年以降 |
|---|
| 被害者名 | WordPressサイトのオーナー |
|---|
| 被害サマリ | WordPressの脆弱性を突いて、1百万のサイトにバックドア「Balad Injector」を仕掛け、不正なテクニカルサポートページや抽選詐欺、プッシュ通知詐欺に誘導した。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | WordPressの脆弱性を悪用して、マルウェア「Balad Injector」を仕掛けた。 |
|---|
| マルウェア | Balad Injector |
|---|
| 脆弱性 | WordPressの複数のテーマとプラグインの脆弱性 |
|---|
other 2023-04-07 15:16:41 1. Microsoft EdgeがAIを利用した画像生成機能「Image Creator」をリリースした。
2. この機能を使うと、ユーザーはブラウザ内でソーシャルポストやプレゼンテーションなどのための画像を作成できる。
3. Image Creatorは、既存の画像を生成するのではなく、最新のDALL∙Eモデルによって生成された「存在しない」とされる画像を生成することができる。
4. 他に、ファイル共有機能である「Drop」、編集機能「Edit Image」、効率化機能「Efficiency Mode」が追加された。
5. Microsoftは、ユーザーがオンライン上でより生産的かつ創造的に過ごすための機能を積極的に追求している。
incident 2023-04-07 14:37:36 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | プロフィットを追求する企業が、無償で提供される非営利団体や法執行機関の支援を支払いを迫る手段を使用し、口止め料金を受け取ろうとしているセクストーション被害に遭う人々を標的にしている。セクストーションは、フィッシングメールや偽のソーシャルメディアのプロファイルを使用し、被害者を騙して暴露的なビデオや画像を共有させ、その後、脅迫目的で使用するデジタル恐喝の手法である。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明(特徴不明) |
|---|
| 攻撃手法サマリ | フィッシングメールや偽のソーシャルメディアのプロファイルを使用して被害者を騙す。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-07 12:32:00 1. Telegramを通じたフィッシングキットの市場が繁栄していることが研究者によって発見された。
2. フィッシング詐欺師たちはTelegramのチャンネルを作成し、そこでフィッシングについて説明し、アンケートを実施することで彼らの「商品」を宣伝する。
3. これらのTelegramチャンネルのリンクは、YouTube、GitHub、および詐欺師自身が開発したフィッシングキットを通じて配信される。
4. 一部のサービスは、脅威行為者にフィッシングページを自動生成するTelegramボットを提供することである。
5. フィッシングサービスはPhaaSとしてTelegramで定期更新購読バージョンも販売し、購読者にフィッシングキットを貸し出している。
other 2023-04-07 09:01:02 1. Amazonが販売禁止にしたFlipper Zeroは、カードスキミングデバイスとしてタグ付けされていた。
2. Flipper Zeroはコンパクトで、ポータブルで、プログラマブルなペンテストツール。
3. Amazonは、Flipper Zeroを販売することを禁止した。
4. 禁止された製品は、鍵の複製デバイスや防犯デバイスなど、セラー・セントラル・ポータルの制限製品カテゴリに記載されている。
5. 過去にFlipper Zeroツールを販売していたAmazonページへのリンクの一部は、ダウンしている。
vulnerability 2023-04-07 06:15:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Cobalt Strike |
|---|
| 脆弱性サマリ | Cobalt Strikeを不正に使用されると、マルウェア、特にランサムウェアの配布に悪用される可能性がある。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
MicrosoftはFortraとHealth-ISACと協力して、Cobalt Strikeが悪用されてランサムウェアを含むマルウェアを配布するためにサイバー犯罪者によって不正に使用されるのを防止するための法的措置を講じた。Cobalt Strikeは正当なポストエクスプロイテーションツールであるが、違法なクラックバージョンが脅威のアクターによって利用されてきた。ランサムウェアアクターは特に、ターゲット環境への初期アクセスを取得した後、Cobalt Strikeを利用して特権を昇格し、ネットワークを横断し、ファイル暗号化マルウェアを展開している。ランサムウェアファミリーは、クラックされたCobalt Strikeに関連しているか、それによってデプロイされることがあり、世界中の19カ国で医療機関に影響を与えた68以上のランサムウェア攻撃に関連していると述べられた。Microsoftと協力関係にあるFortraが保守するCobalt Strikeが乱用されたことに加えて、GoogleCloudもクラックバージョンが世界中で検出されたことを報告している。
vulnerability 2023-04-07 06:14:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Twitter |
|---|
| 被害サマリ | TwitterのソースコードがGitHubに漏洩されたもので、Twitter側が著作権侵害申し立てを行いリポジトリは閲覧不可能になったが、FreeSpeechEnthousiastというユーザー名を使った個人が複数ヶ月にわたって公開し続けたため、Twitterを含む世界的に有名な多数のソフトウェア企業のソースコードが流出している。このようなソースコードの流出により、ユーザーのパスワード、APIキー、証明書、内部アプリケーションの構造が漏洩された可能性がある。 |
|---|
| 被害額 | 不明(予想:被害額の算出不可) |
|---|
攻撃者
| 攻撃者名 | 不明(個人または組織) |
|---|
| 攻撃手法サマリ | GitHub上に複数ヶ月にわたってソースコードを公開することによる攻撃 |
|---|
| マルウェア | 使用されていない |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
なし
セキュリティニュース
ソフトウェア企業のソースコード漏えいが増えていることが警鐘をならしている。TwitterやSamsung、Nvidia、Microsoft、LastPass、Dropbox、Okta、Slackなどが被害に遭っており、センシティブな情報、特にパスワード、APIキー、証明書、プライベートキーなどのハードコーディングされたシークレットが盗まれる恐れがある。盗まれたコードを解析され、アプリケーションのアーキテクチャやロジックフローの中の脆弱性が発見されるリスクもある。GitGuardianの報告によると、GitHub上の公開コードから2022年だけで新たに1000万個のシークレット情報が露出されたという。このため、セキュリティ対策の重要性がますます高まっている。
vulnerability 2023-04-07 05:59:00 被害状況
| 事件発生日 | 2023年4月7日 |
|---|
| 被害者名 | Hitachi Energy, mySCADA Technologies, Industrial Control Links, and Nexx |
|---|
| 被害サマリ | Hitachi Energy の MicroSCADA システムのファイル許可の検証不良により、攻撃者が特別に作成したメッセージをシステムにアップロードし、任意のコードを実行する。mySCADA myPRO の 5 つの脆弱性は、認証済みユーザーが任意のオペレーティングシステムコマンドを注入することができる。 Industrial Control Links ScadaFlex II SCADA Controllersの認証済み攻撃者はファイルを上書き、削除、または作成することができる。Nexx の 5 つの脆弱性は、ガレージドアコントローラー、スマートプラグ、スマートアラムのいずれかを攻撃し、機器を乗っ取ることができる。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ファイル許可の検証不良、コマンドインジェクション、認証済み攻撃者によるファイル操作、脆弱なスマートデバイスの攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2022-3682、CVE-2023-28400、CVE-2023-28716、CVE-2023-28384、CVE-2023-29169、CVE-2023-29150、CVE-2022-25359、CVE-2023-1748(いずれも不正アクセスの危険性が高い) |
|---|
脆弱性
| CVE | CVE-2022-3682, CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169, CVE-2023-29150, CVE-2022-25359, CVE-2023-1748 |
|---|
| 影響を受ける製品 | Hitachi Energy MicroSCADA、mySCADA myPRO、Industrial Control Links ScadaFlex II SCADA Controllers、Nexx Garage Door Controller、Nexx Smart Plug、Nexx Smart Alarm |
|---|
| 脆弱性サマリ | 異常なファイル認可手順により、SDM600を含む製品で任意のコード実行が可能。(Hitachi Energy MicroSCADA)、マイクロサダ(mySCADA myPRO)のコマンドインジェクションバグにより、OSコマンドを実行される可能性がある。(mySCADA myPRO)、認証された攻撃者はファイルを上書き、削除、または作成できる。(Industrial Control Links ScadaFlex II SCADA Controllers)、脆弱性を通じて、非公開情報の取得等が可能になる。(Nexx Garage Door Controller、Nexx Smart Plug、Nexx Smart Alarm) |
|---|
| 重大度 | 全て高 (CVSS score: 9.1 - 9.9) |
|---|
| RCE | Hitachi Energy MicroSCADAが有 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-04-06 19:38:41 被害状況
| 事件発生日 | 2023年1月17日以降 |
|---|
| 被害者名 | 英国のACRO (Criminal Records Office) |
|---|
| 被害サマリ | ACROのオンラインポータルにおける申請サービスが乗っ取りによるサイバー攻撃によって一時停止した。 |
|---|
| 被害額 | 不明(予想不可能) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ACROのオンラインポータルにおいて、身分情報や犯罪歴の記録が含まれる警察証明書の発行を遅らせる目的での乗っ取り攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-06 19:02:16 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Google Chrome、Brave、Opera、Microsoft EdgeなどのChromiumベースのブラウザを狙い、Rilideというブラウザ拡張機能を用いてブラウザアクティビティの監視、スクリーンショットの撮影、仮想通貨の盗難を行うマルウェアが発見された。 |
|---|
| 被害額 | 不明(予想:数百万ドル相当) |
|---|
攻撃者
| 攻撃者名 | 不明。マルウェアの起源は不明だが、他のサイバー犯罪者に売られていた同様の拡張機能との重複も報告されている。 |
|---|
| 攻撃手法サマリ | Chromiumベースのブラウザを狙い、Googleドライブの拡張機能を模倣しつつ、マルウェアをブラウザに注入することで、ブラウザアクティビティを監視するとともに、自動的に仮想通貨を盗むシステムを持っている。 |
|---|
| マルウェア | Rilide |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-06 17:48:59 - Microsoftは、Windows 10 21H2の複数のエディションが、2023年6月13日にサポート終了することをリマインドした。
- 対象のエディションには、Home、Pro、Pro Education、Pro for Workstationsが含まれている。
- また、Windows 10 20H2も、教育および企業ユーザー向けのエディションが来月サポート終了する。
- Windows 10 22H2およびWindows 11 22H2がリリースされ、サポートされるバージョンであることが発表された。
- Microsoftは、自動更新を使ってWindows 10 20H2をWindows 10 2022 Updateにアップグレードすると発表した。
incident 2023-04-06 17:04:55 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不特定の組織 |
|---|
| 被害サマリ | コバルトストライクの不正コピーがホストされたサーバーに対し、Microsoft、Fortra、およびHealth-ISACが幅広い法的取り締まりを発表し、被害者となる可能性のある組織を守ることを目的としている。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 / 複数の犯罪者グループ |
|---|
| 攻撃手法サマリ | コバルトストライクの不正コピーを利用して、データ盗難やランサムウェアを含むサイバー攻撃を実行する。 |
|---|
| マルウェア | コバルトストライクの不正コピー |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-06 16:11:03 被害状況
| 事件発生日 | 2023年3月27日 |
|---|
| 被害者名 | オープン大学オブキプロス |
|---|
| 被害サマリ | オフラインになった中核サービスやシステムがあった為、学生の個人情報や数百万EUR分のオンライン学習が中止された |
|---|
| 被害額 | 不明(予想: $100,000) |
|---|
攻撃者
| 攻撃者名 | Medusa ransomware |
|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
|---|
| マルウェア | Medusa ransomware |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-06 11:59:57
- 中国の新興企業ByteDanceが、米国政府によるTikTok取引への反対を受け、9月20日にアップル、Oracle、Walmartと合意したことを発表。
- 合意の内容は、Oracleが技術パートナーとしてTikTokの米国オペレーションを担当し、WalmartがTikTokの販売代理店として機能する。また、アップルはTikTokのビデオ配信のサポートを提供する。
- これにより、TikTokは米国政府の規制に適合し、米国でのビジネスを続けることができる。
- 一方、ByteDanceは、TikTokグローバル事業の80%を持ち続け、アルゴリズム技術などの独自財産を所有する。
- ただし、中国政府も新しい取引に関心を示しており、ByteDanceが米国企業に売却することには反対しているとの報道もある。
incident 2023-04-06 11:46:00 被害状況
| 事件発生日 | 記事に記載なし |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | サプライチェーン攻撃が主要な攻撃手法であり、物理的な資産やデジタル資産、システム、ネットワークが狙われている。サービスの中断、個人情報の漏洩など様々な被害が発生する。 |
|---|
| 被害額 | 記事に記載なし(予想:不明) |
|---|
攻撃者
| 攻撃者名 | 不明(国家、ハッカーグループ、サイバー犯罪者など多様な攻撃者がいる) |
|---|
| 攻撃手法サマリ | DDoS攻撃、ランサムウェア(スピアフィッシングによる)、脆弱性を悪用した攻撃、サプライチェーン攻撃などがある。サプライチェーン攻撃は、物資を提供する工場を標的とする手法である。 |
|---|
| マルウェア | 記事に記載なし |
|---|
| 脆弱性 | 記事に記載なし |
|---|
incident 2023-04-06 09:01:00 被害状況
| 事件発生日 | 2023年4月6日 |
|---|
| 被害者名 | 約59,000名(当局が押収した情報の数) |
|---|
| 被害サマリ | Genesis Marketと呼ばれるオンラインマーケットから流出した、150万以上のコンピュータから盗まれたデータ80,000万件中、59,000件の被害(アカウント情報など) |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 国籍などの特徴は不明 |
|---|
| 攻撃手法サマリ | Genesis Marketというオンラインマーケットを利用して盗んだデータを販売 |
|---|
| マルウェア | AZORult、Raccoon、RedLine、DanaBotなどが利用された |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-06 07:23:24 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 一般ユーザー・企業 |
|---|
| 被害サマリ | Telegram上でフィッシングボットやキットの販売が行われ、人々の個人情報やオンライン銀行口座情報が盗まれた。ユーザーデータは購入された後、盗んだ金額に応じて暗号化されたり、情報の正確性が確認されたりする。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 国籍や組織は不明 |
|---|
| 攻撃手法サマリ | Telegram上でフィッシングボットやキットを販売した。新たなフィッシング業者にとっては手軽で、利益が上がりやすい環境を提供している。また、攻撃者は2FA保護をバイパスするためのOTPボットを提供していた。 |
|---|
| マルウェア | 利用していない |
|---|
| 脆弱性 | 利用していない |
|---|
エラーが発生しました。 記事ファイル名:../articles/20230406 072324_14f5ed277b7f063375737a8616863349cbefe69f2adbfa307511abb9fb04bb46.json CloudFlare Error Code 502
vulnerability 2023-04-06 03:40:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Androidアプリケーション |
|---|
| 脆弱性サマリ | Googleが、アプリ作成時にユーザーがアカウント削除をするための容易な方法を提供することを開発者に要求した |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
Googleは、アカウント作成が可能なAndroidアプリについて、アプリ内およびウェブ上でユーザーがアカウント削除を容易にできるように設定するように開発者に要求する新しいデータ削除ポリシーを導入する。アプリ開発者は、ユーザーがアプリアカウント削除とアカウントに関連するデータの削除を可能にするために、ウェブリソースリンクとアプリ内のパスを提供することが義務付けられている。また、セキュリティ、不正防止、規制遵守などの合法的な理由がある場合、開発者はそれらを事前に開示する必要がある。Googleは、新しいポリシーが早期来年に発効するものと予想しており、開発者は2023年12月7日までに、アプリのデータ削除フォームの新しい質問に回答するための時間がある。また、開発者は、2024年5月31日までの延長申請が可能である。この変更により、AndroidはAppleのiOSおよびiPadOS操作システムに追随し、2022年6月30日に同様のポリシーを導入した。しかし、Appleは、ユーザーがWeb上でもアカウント削除できることを要求していない。
other 2023-04-05 21:29:55 1. STYXと呼ばれるダークウェブマーケットプレイスが、金融詐欺に焦点を当ててサービスを提供していることが分かった。
2. このマーケットプレイスは、お金洗浄、身元詐欺、DDoS攻撃、2要素認証回避、偽造または盗まれたIDなど、不正行為を行うためのツールを提供している。
3. 2022年以降、STYXの設立者がエスクロー(預託)モジュールを作成している途中の段階で、脅威インテリジェンス企業ResecurityがダークウェブでSTYXについて言及していた。
4. STYXでは、複数の暗号通貨による支払いが可能であり、信頼できる売り手のための特別なセクションがあり、検証されたベンダーがリストアップされているようだ。
5. Resecurityによると、STYXの使用により、不正犯罪市場が利益を得られる利点を発見し、デジタル銀行、オンライン決済プラットフォーム、ECシステムがKYCチェックおよび不正防止チェックにアップグレードする必要があると述べている。
vulnerability 2023-04-05 20:30:16 被害状況
| 事件発生日 | 2022年8月 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 情報窃取マルウェア「Typhon」が新バージョン「Typhon Reborn V2」にアップグレードしたことが、開発者自身がダークウェブで発表した。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 情報窃取マルウェアによる攻撃 |
|---|
| マルウェア | Typhon、Typhon Reborn V2 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Typhon info-stealer |
|---|
| 脆弱性サマリ | Typhon info-stealerの開発者は、Typhon Reborn V2と銘打った新しいバージョンをリリースした。新バージョンは、CPUID、アプリケーション、プロセス、デバッガ/エミュレーションチェック、ジオロケーションなどのより広範な評価を行い、研究者のコンピュータ上の模擬ホストではなく、被害者の環境で動作していることを確認するためのプロセスを実装しました。また、データ収集機能の拡大やファイル「グラバー」機能の追加を行いました。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
other 2023-04-05 20:16:05 1. Googleは、Android開発者に、ユーザーがアカウントとアプリ内データを削除するオプションを提供するよう要求することを発表した。
2. Google Playストアの新しいデータ削除ポリシーは、2024年初頭から、すべてのストアリストにデータ削除エリアのリンクを表示するようになり、個々のアプリを再インストールしなくても、アカウントとデータを削除できるようになる。
3. 開発者は、安全、詐欺防止、または規制遵守などの正当な理由で特定のデータを保持する必要がある場合は、そのデータ保持方法を明確に開示する必要がある。
4. オプションを提供できない開発者は、新しいアプリを公開したり、アプリの更新をリリースしたりできなくなる。
5. 2022年6月から、Appleも同様の措置を取り、アカウント作成オプションを持つアプリの開発者に、アプリ内からアカウントを削除する方法を提供することを求めている。
other 2023-04-05 17:23:48 1. Microsoft Edge Workspacesが一部限定パブリックプレビューで使用可能になった。
2. Edge Workspacesは、Microsoftアカウントにサインインした後、同じセットのタブにアクセスできるようにする。
3. Workspacesは、1つのブラウザーウィンドウ内でグループのウェブページとドキュメントの単一の共有ビューを作成するために役立つ。
4. Edge Workspacesは、ブラウザーのスクリーン共有または参加者間のブラウザーデータの共有を含まない。
5. エッジワークスペースのコラボレーティブなブラウジング機能には、参加者の間で信頼できないデータが分配されることはない。
incident 2023-04-05 15:28:31 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Nexxスマートデバイスのユーザー(4万台以上) |
|---|
| 被害サマリ | ハッカーがNexxガレージドアをリモートで開けることができる脆弱性が発見され、マルウェアを使って家のアラームやスマートプラグを無効化できると判明。サービスに関連付けられた少なくとも2万のアカウントに約4万台のデバイスがあると見積もられている。 |
|---|
| 被害額 | 不明(予想:被害額は存在しないが、事業者によって修復費用が発生する可能性がある) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Nexx Cloudが新しいデバイスに対して汎用パスワードをセットすることに起因する不適切なアクセス制御や認証コントロールの利用などの、脆弱性を利用して攻撃する方法 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | ハードコードされた汎用資格情報、有効期限のないオープンAPI、MQTTを介したAPIリクエストの不適切なアクセス制御、デバイスの過去の履歴や情報を取得したり変更したりできる不適切なアクセス制御、承認ヘッダーのトークンとデバイスIDを相関させる不適切な入力検証など |
|---|
incident 2023-04-05 14:17:00 被害状況
| 事件発生日 | 2023年4月5日 |
|---|
| 被害者名 | ポルトガル人の暗号通貨ユーザー |
|---|
| 被害サマリ | SEOポイズニング技術を使用して、"WhatsApp web"を検索するユーザーを誘惑し、マルウェアがホストされている不正ドメインに誘導した。ClipperマルウェアであるCryptoClippyが使われ、被害者のクリップボードから暗号通貨アドレスを監視し、それを脅威グループが管理するウォレットアドレスに置き換え、被害者がトランザクションを行う際には、脅威グループに直接暗号通貨が送られていた。 |
|---|
| 被害額 | 約983ドル |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | SEOポイズニング攻撃 |
|---|
| マルウェア | CryptoClippy(クリッパーマルウェア) |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-05 14:05:15 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | バイオメトリック認証による攻撃は困難だが、完全には安全ではなく、他の認証方法と組み合わせることが望ましい。 |
|---|
| 被害額 | 不明(予想:被害額はない) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | バイオメトリック認証を欺く攻撃は可能だが、そのためには高度なテクニックが必要。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | バイオメトリック認証システム |
|---|
| 脆弱性サマリ | バイオメトリック認証では完璧ではなく、攻撃者がバイオメトリック認証を迂回する方法があるという指摘がある。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-04-05 12:36:00 被害状況
| 事件発生日 | 2023年4月5日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 未知の攻撃者によって、悪意のある自己解凍アーカイブ(SFX)ファイルが使用され、常駐型バックドアアクセスを試みられた。 |
|---|
| 被害額 | 不明(予想:数十万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 自己解凍アーカイブ(SFX)ファイルを使用したバックドア攻撃。悪意ある機能は非表示で、脆弱性を利用してパスワードを入手することで、バックドアへアクセス。 |
|---|
| マルウェア | WinRAR |
|---|
| 脆弱性 | Windowsレジストリにデバッガプログラムを設定し、WindowsのアクセシビリティアプリケーションであるUtility Manager (utilman.exe)を介してパスワードで保護されたSFXファイルを実行することで実行された。 |
|---|
incident 2023-04-05 12:19:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 韓国および米国の政府関係者、軍人、シンクタンク、政策立案者、研究者 |
|---|
| 被害サマリ | 北朝鮮政府支援の脅威アクターによる攻撃。被害者が北朝鮮政策に関する専門知識を有する者であり、偽ログインページを利用したクレデンシャルの収集などの攻撃手法が使用されていた。また、Googleアカウントのセキュリティアラートを装い、BabySharkのようなマルウェアを含むPayloadをGoogle Driveにホストしている。更に、Google Chromeの偽の拡張機能を使用して機密データを盗む技術も使用されている。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮政府支援の脅威アクター |
|---|
| 攻撃手法サマリ | 偽ログインページの使用、Googleアカウントのセキュリティアラートを装い、Google Driveにマルウェア付きPayloadをホスト、偽のChrome拡張機能を使用して機密データを盗む技術の使用 |
|---|
| マルウェア | BabySharkなど |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-05 11:49:00 1. 世界中で何百万ものマルウェア攻撃が発生し、それによってビジネスがウイルス、ワーム、キーロガー、ランサムウェアの影響を受けている。
2. ビジネスはマルウェアを防止する製品を探しているが、それだけでは不十分で、より包括的なアプローチが必要とされる。
3. アンチマルウェアソリューションはマルウェア保護のための最初の、かつ最も良い方法である。
4. セキュリティ戦略の基盤として、ゼロトラストネットワークアクセスも重要である。
5. 最後に、セキュリティ対策として、Perimeter 81などのクラウドベースの収束型ネットワークセキュリティソリューションが最適である。
- 世界中で何百万ものマルウェア攻撃が発生し、それによってビジネスがウイルス、ワーム、キーロガー、ランサムウェアの影響を受けている。
- ビジネスはマルウェアを防止する製品を探しているが、それだけでは不十分で、より包括的なアプローチが必要とされる。
- アンチマルウェアソリューションはマルウェア保護のための最初の、かつ最も良い方法である。
- セキュリティ戦略の基盤として、ゼロトラストネットワークアクセスも重要である。
- 最後に、セキュリティ対策として、Perimeter 81などのクラウドベースの収束型ネットワークセキュリティソリューションが最適である。
incident 2023-04-05 08:35:00 被害状況
| 事件発生日 | 不明(Threat actor behind Typhon Reborn V2が1月31日にXSSのロシア語ダークウェブフォーラムに投稿) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Typhon Reborn V2は、ハイジャックされたクリップボードのコンテンツ、スクリーンショットのキャプチャ、キーストロークのロギング、暗号ウォレット、メッセージング、FTP、VPN、ブラウザ、ゲームアプリのデータの盗難など多様な機能を持つ情報盗難マルウェアであり、Telegram APIを使用して盗難データを攻撃者に送信することができる。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Typhon Reborn V2の開発者は不明。 |
|---|
| 攻撃手法サマリ | Typhon Reborn V2は、分析を回避し、検出を減らすための改良された能力を備えており、フック、無数のポインタ、「適当な」エンコードなどの多様なテクニックを使用している。 |
|---|
| マルウェア | Typhon Reborn V2は、XMRig仮想通貨マイナーを含む情報盗難マルウェアである。また、Pythonを使ったCreal Stealerという別の情報盗難マルウェアも存在している。 |
|---|
| 脆弱性 | 攻撃で利用された脆弱性は不明。 |
|---|
other 2023-04-05 07:34:45
- スペインの最も危険で逃亡中のハッカーが警察に逮捕された
- Jose Luis Huertas(別名「Alcaseca」、「Mango」、「chimichuri」)は、大量の盗まれた機密情報を販売する検索エンジンUdyatを作成しているとされ、国家安全保障にとって「深刻な脅威」と評価されている
- 警察による捜査は、2022年11月に始まった
- 指紋保持のコンピューターファイルから彼のプロフィールが特定され、彼の自宅などの場所で、大量の現金、文書、およびコンピューターが押収された
- Huertasは、スペイン最高裁判所(CGPJ)のコンピューターネットワークに侵入し、575,000人の納税者のデータを盗み、販売するためのデータベースを作成したとされている
vulnerability 2023-04-04 22:46:37 脆弱性
| CVE | CVE-2023-1707 |
|---|
| 影響を受ける製品 | HP Enterprise LaserJet および HP LaserJet Managed Printersの50機種 |
|---|
| 脆弱性サマリ | HPのレーザープリンターに存在する情報漏えい脆弱性 |
|---|
| 重大度 | 9.1 (CVSS v3.1基準) |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
脆弱性番号はCVE-2023-1707で、情報漏えいが可能である。
影響を受ける製品は、HP Enterprise LaserJet および HP LaserJet Managed Printersの50機種である。
重大度は9.1であるが、脆弱性を悪用するにはFutureSmart firmwareバージョン5.6を実行し、IPsecを有効とする必要があるため、制限的な攻撃コンテキストがある。
攻撃観測、PoC公開は不明である。
HPは脆弱性を修正するためのファームウェアの更新を90日以内に提供する予定である。
incident 2023-04-04 20:18:43 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Genesis Marketで販売されていたアカウント情報、デバイスフィンガープリント、Cookieなどの情報が流出した。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Genesis Marketを運営する犯罪者が悪意あるマルウェアを使用してアカウント情報、デバイスフィンガープリント、Cookieなどの情報を収集し、販売していた。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-04-04 17:28:40 - Rockstar Gamesは、WindowsアップデートによってRed Dead Redemption 2が起動しなくなる問題を修正した。
- 問題は、KB5023774更新プログラムが適用されたWindows 11 21H2システムでRockstar Gamesランチャーを介してRRD2を起動する場合のみ発生する。
- Microsoftは、自動アップデートがオフになっている顧客向けに、Windows 11 22H2に更新することを提案している。
- Red Dead Redemption 2は、2019年12月にリリースされ、Steamビデオゲームデジタル配信プラットフォームで35万件以上の「非常にポジティブな」レビューを獲得している。
- Rockstar Gamesは、Grand Theft Auto Onlineのバグも修正している。
incident 2023-04-04 15:43:44 被害状況
| 事件発生日 | 2022年12月以降(不明) |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Veritas Backup Execの脆弱性を悪用して、アルファV/ブラックキャットランサムウェアのアフィリエイトが、UNC4466として知られるグループを介してネットワークに初期アクセスを行った。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | アルファV/ブラックキャットランサムウェアのアフィリエイト(国籍などの特徴は不明) |
|---|
| 攻撃手法サマリ | Veritas Backup Execの脆弱性を悪用したランサムウェア攻撃 |
|---|
| マルウェア | ALPHV/BlackCat ransomware |
|---|
| 脆弱性 | CVE-2021-27876, CVE-2021-27877, CVE-2021-27878 |
|---|
incident 2023-04-04 14:13:46 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 米国の企業 |
|---|
| 被害サマリ | 新しいランサムウェア「Rorschach」が発見され、被害者のネットワークに展開され、最も高速な暗号化を持つランサムウェアとなった。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者特徴 | 不明 |
|---|
| 攻撃手法サマリ | サービスの脆弱性を利用し、ランサムウェアを展開した |
|---|
| マルウェア | Rorschach |
|---|
| 脆弱性 | 情報なし |
|---|
other 2023-04-04 13:51:00 1. この記事は、サイバーセキュリティに関する問題点を取り上げたもので、CTI(Cyber Threat Intelligence)の信頼性、広さ、種類について述べている。
2. 集められた情報は、実際に攻撃をするための反撃情報である行動可能な情報に変換されるべきである。
3. ネットワークの広さと種類に応じて、収集された情報の種類は限定され、CTIシステムが信頼できる情報を提供できるかどうかに影響する。
4. ハニーポットまたはマルウェアの自動化スキャンでも、事前に対策を講じてリスクを減らすことができるが、リアクティブな立場にとどまることになる。
5. 群衆からの保護を得るために、CrowdSecと呼ばれるオープンソースのセキュリティスイートを使用すると、高度な行動検出と自動修復が可能であり、信頼性の高いCTI情報を提供することができる。
incident 2023-04-04 13:16:00 被害状況
| 事件発生日 | 2023年4月4日 |
|---|
| 被害者名 | 米国の企業(名称不明) |
|---|
| 被害サマリ | 新種のランサムウェア「Rorschach」によって220,000のファイルが4分30秒で暗号化され、既存のランサムウェアの機能を統合するなど、ランサムウェアの攻撃手法が進化した。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | DLLサイドローディングを用いたランサムウェアの展開など、様々な高度な手法を使用したと見られる。 |
|---|
| マルウェア | Rorschach、Babukランサムウェアのソースコードと類似していることが判明している。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-04 13:07:00 被害状況
| 事件発生日 | 2023年4月4日 |
|---|
| 被害者名 | 不特定のChromium系ブラウザ利用者 |
|---|
| 被害サマリ | 偽装したGoogle Drive拡張機能「Rilide」を介して、個人情報を抽出、仮想通貨取引所から資金を盗み出し、偽の2段階認証画面を表示して騙し取るなどの悪意ある行為を行っていた。 |
|---|
| 被害額 | 不特定 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Chromium系ブラウザを対象にしたマルウェア「Rilide」を開発して使用していた。 |
|---|
| マルウェア | Rilide |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-04 10:08:00 被害状況
| 事件発生日 | 不明(2022年9月以降) |
|---|
| 被害者名 | パレスチナの組織 |
|---|
| 被害サマリ | パレスチナの組織をターゲットにした攻撃であり、クレデンシャル情報の盗難とデータの持ち出しを行った。 |
|---|
| 被害額 | 不明(予想される被害額は記事からは見当たらない) |
|---|
攻撃者
| 攻撃者名 | Arid Viper、Mantis、APT-C-23、Desert Falcon |
|---|
| 攻撃手法サマリ | スピアフィッシングのEメールや偽のソーシャルクレデンシャルを使って、マルウェアをデバイスにインストールして情報を盗んだ。 |
|---|
| マルウェア | ViperRat、FrozenCell(VolatileVenom)、Micropsiaなど |
|---|
| 脆弱性 | 報告されていない |
|---|
vulnerability 2023-04-04 09:54:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | SaaSアプリケーション |
|---|
| 脆弱性サマリ | 公開されたリンクを通じて、SaaSアプリケーション内の機密情報が漏洩する危険性がある。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | なし |
|---|
この記事では、SaaSアプリケーションの特徴である共同作業の便利さを指摘した上で、リンクを通じた情報の共有がこれまでにどのような事例で被害をもたらしたかを紹介しています。リンクを公開することによって、外部から機密情報が漏れる危険性があるため、個別のユーザーと特別な許可なしにファイルを共有しないよう注意することが必要です。しかし、個別の共有は管理も手間がかかるため、公開リンクは今でも広く使用されています。
incident 2023-04-04 09:00:51 被害状況
| 事件発生日 | 不明(至少中旬から) |
|---|
| 被害者名 | eFile.com |
|---|
| 被害サマリ | IRSが承認したeFile.comにおいてJSマルウェアが存在した。このマルウェアが長期間存在しており、この期間にサイトを訪れたユーザーに被害が及んだ可能性がある。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | JSマルウェア |
|---|
| マルウェア | 'popper.js'他、複数のマルウェアが使用された可能性がある |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-04 04:30:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft OneNote for Microsoft 365 on devices running Windows |
|---|
| 脆弱性サマリ | OneNoteがマルウェアの配信経路として悪用されることを防ぐため、危険な拡張子を含む埋め込みファイルを自動的にブロックする |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
Microsoft OneNoteにおいて、埋め込みファイルに危険な拡張子を含むものが自動的にブロックされるようになる。ブロックされた場合は、埋め込みファイルを開くことができなくなり、"Your administrator has blocked your ability to open this file type in OneNote."というメッセージが表示される。危険な拡張子のリストには、120の拡張子が含まれる。ブロック自体はOneNote for Microsoft 365 on devices running Windowsにのみ適用され、macOS、Android、iOS、Web版OneNote、Windows 10版OneNoteには影響がない。
incident 2023-04-04 03:54:00 被害状況
| 事件発生日 | 2023年3月 |
|---|
| 被害者名 | 3CXおよびその顧客企業 |
|---|
| 被害サマリ | ソーラーウィンズやカセイアに似たサプライチェーン攻撃によって、3CXの開発環境が汚染され、顧客企業に送られたトロイの木馬による情報窃取およびマルウェア感染が行われた。一部の暗号通貨企業が旨く標的とされた。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | ラビリンス・チョリマ (Labyrinth Chollima)。ラザルス・グループの一部とされる北朝鮮の国家攻撃組織。 |
|---|
| 攻撃手法サマリ | サプライチェーン攻撃。トロイの木馬のひとつ「Gopuram」を使用し、攻撃者の指示を受けることで、被害者のファイルシステムに接続し、プロセスを作成し、最大8個のインメモリモジュールを起動する。 |
|---|
| マルウェア | Gopuram、ICONIC Stealer、d3dcompiler_47.dll |
|---|
| 脆弱性 | CVE-2023-29059 |
|---|
incident 2023-04-03 20:36:32 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 複数のNATO加盟国の政府関係者、政府職員、軍人、外交官等 |
|---|
| 被害サマリ | ロシアのWinter VivernおよびTA473と呼ばれるハッカーグループが、Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性を悪用し、攻撃対象機関のWebメールポータルをターゲットにした攻撃により、政府関係者等のメールボックスからメールを窃取された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | ロシアのWinter VivernおよびTA473と呼ばれるハッカーグループ |
|---|
| 攻撃手法サマリ | Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性を悪用し、Acunetixツールの脆弱性スキャナを利用して脆弱なZCSサーバーを探し、送信者を偽装したフィッシングメールを受信者に送信し、CVE-2022-27926の脆弱性を悪用するか、受信者が自分たちにそれらの資格情報を提供するように誘導した。攻撃が行われると、URLにはJavaScriptスニペットが含まれており、第二段階のペイロードがダウンロードされ、Cross-Site Request Forgery (CSRF)攻撃が行われ、Zimbraユーザーの資格情報およびCSRFトークンが窃取される。その後、犯罪者は、侵害されたWebメールアカウントから機密情報を取得したり、交換されたメールを追跡したり、より多くのフィッシング攻撃を実行して攻撃対象組織の浸透を拡大する可能性がある。 |
|---|
| マルウェア | 利用されていない。 |
|---|
| 脆弱性 | Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性 (CVE-2022-27926)。 |
|---|
other 2023-04-03 19:10:31 - アメリカ司法省は、暗号通貨詐欺によって盗まれた1億1200万ドル以上の資金が入った6つの仮想通貨アカウントを差し押さえました。
- これらの詐欺師は、様々なデートプラットフォーム、メッセージングアプリ、またはソーシャルメディアプラットフォームを通じて標的に接触し、投資スキームに参加させ、約束どおりに財布を空にします。
- 犯罪者たちは、約束された投資に代わって被害者が提供するすべての資金を詐欺師のコントロール下にある仮想通貨アカウントに流し込むことで、このように行います。
- フェイスブック、ツイッター、リンクトイン、またはRedditなどの共有ボタンを利用して、このニュースをシェアすることができます。
- アメリカFBIの2022年のインターネット犯罪報告書によると、アメリカ人は昨年、投資詐欺で30億ドル以上を失いました。
incident 2023-04-03 18:20:07 被害状況
| 事件発生日 | 2023年4月3日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | WinRAR SFXアーカイブに悪意のある機能を仕込まれ、バックドアが設置された。 |
|---|
| 被害額 | 不明(予想なし) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | WinRAR SFXアーカイブに悪意のある機能を仕込み、バックドアを設置した。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-03 17:22:17 被害状況
| 事件発生日 | 2023年3月末日 |
|---|
| 被害者名 | VoIP通信企業3CXの顧客企業(特に暗号通貨企業) |
|---|
| 被害サマリ | 北朝鮮のLazarus Groupによる3CXサプライチェーン攻撃が、Gopuramマルウェアによるバックドア攻撃とともに暗号通貨関連企業などに広がった。 |
|---|
| 被害額 | 不明(予想:数百万~数千万ドル) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮のLazarus Group |
|---|
| 攻撃手法サマリ | サプライチェーン攻撃およびバックドア攻撃 |
|---|
| マルウェア | Gopuramマルウェア |
|---|
| 脆弱性 | Windowsの10年前の脆弱性CVE-2013-3900 |
|---|
incident 2023-04-03 13:20:34 被害状況
| 事件発生日 | 2023年3月31日 |
|---|
| 被害者名 | Capita |
|---|
| 被害サマリ | 金融、IT、医療、教育、政府部門など、多数の顧客へサービスを提供しているCapitaが、内部のMicrosoft Office 365アプリケーションへのアクセスができなくなった。ユーザーは電話やメールも使用できなかった。 |
|---|
| 被害額 | 不明(予想:数十万ポンドから数百万ポンド) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-03 11:41:00 被害状況
| 事件発生日 | 2023年3月26日 |
|---|
| 被害者名 | Western Digital |
|---|
| 被害サマリ | Western Digitalのシステムに不正アクセス。脅威アクターによって特定のデータが取得された可能性があり、一部のクラウドおよび認証サービス、電子メール、プッシュ通知サービスなどがオフラインになった。 |
|---|
| 被害額 | 不明(予想:数百万~数千万ドル) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不正アクセスによるネットワークセキュリティの侵害 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-03 11:25:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | OpenAI ChatGPT |
|---|
| 脆弱性サマリ | データ保護に関する問題により、イタリアの規制当局がChatGPTサービスの使用を禁止する。 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
ChatGPTは、データ保護に関する問題があるとしてイタリアのデータ保護当局によって一時的に使用禁止とされた。当局は、Open AIが個人データを違法に収集および処理している可能性があると懸念している。ChatGPTは、GPT-4という最新の大規模言語モデルを訓練するために何を使用し、どのように訓練されたかを開示していないとされる。また、未成年者が不適切な応答にさらされる可能性があること、ChatGPTが独自に開発したメッセージや支払い関連情報のデータ侵害を発生させたことが懸念されている。OpenAIは、イタリアのIPアドレスを持つユーザーに対して制限を設け、規制当局がOpenAIの処置を認めなかった場合は最高2000万ユーロの罰金を科せられる。ChatGPTは中国、イラン、北朝鮮、ロシアでも禁止されている。
vulnerability 2023-04-03 11:20:00 記事タイトル:
"It's The Service Accounts, Stupid": Why Do PAM Deployments Take (almost) Forever To Complete?
脆弱性:
なし
影響を受ける製品:
Privileged Access Management (PAM) solutions
脆弱性サマリ:
PAMの展開には長期間がかかることがほとんどであり、その理由は、サービスアカウントをバルトにプロテクトすることがほとんど不可能であるということである。更に、サービスアカウントの活動を特定することが困難であり、これがPAMの展開を妨げる大きな壁となっている。
重大度:
なし
RCE:
なし
攻撃観測:
なし
PoC公開:
なし
vulnerability 2023-04-03 10:37:15 被害状況
| 事件発生日 | 2023年3月26日 |
|---|
| 被害者名 | Western Digital |
|---|
| 被害サマリ | Western Digitalのネットワークが侵害され、不正な第三者が多数のシステムにアクセスを得た。この事件が原因で、同社のクラウドストレージサービスであるMy Cloudサービスが長時間ダウンした。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不明 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Western Digital ネットワークおよびMy Cloud サービス |
|---|
| 脆弱性サマリ | Western Digitalのネットワークが侵害され、データが不正アクセスされた。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
西デジタル(Western Digital)のネットワークが侵害され、不正アクセスされた。ユーザーがクラウドホストされたメディアファイルにアクセスできない状況が発生している。My Cloudサービスのステータスページでは、この問題がMy Cloud、My Cloud Home、My Cloud Home Duo、 My Cloud OS5、SanDisk ibi、SanDisk Ixpand Wireless Chargerなどの製品に影響を与えていると説明されている。不正なアクセスによりデータが入手されたと考えられ、事件の根本原因を解明するために抜本的な調査が進められている。
incident 2023-04-03 09:20:00 被害状況
| 事件発生日 | 2022年の後半期以降 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 新しい情報窃盗マルウェアのOpcJackerが、悪意のある広告キャンペーンの一環としてワイルドで確認されました。OpcJackerは、キーロギング、スクリーンショットの取得、ブラウザから機密情報の盗難、追加モジュールのロード、そしてクリップボードの暗号通貨アドレスの置換を行うことができます。 |
|---|
| 被害額 | 不明(予想:情報漏えいによる被害がありますが、金銭的な被害額は不明) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 悪意のある広告キャンペーンを通じたマルウェアの配布 |
|---|
| マルウェア | OpcJacker、NetSupport RAT、hVNC |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-02 17:36:12 被害状況
| 事件発生日 | 2023年3月28日 |
|---|
| 被害者名 | アジアの航空会社(名前非公開) |
|---|
| 被害サマリ | Money Messageという新しいランサムウェアグループによって攻撃を受け、データ漏えいやデクリプタの公開を防ぐために数百万ドルを要求された。犯罪者は、航空会社からファイルを盗み、侵害の証拠としてアクセスされたファイルシステムのスクリーンショットを含めている。 |
|---|
| 被害額 | 数百万ドル(具体的な金額は不明) |
|---|
攻撃者
| 攻撃者名 | Money Message |
|---|
| 攻撃手法サマリ | ランサムウェア |
|---|
| マルウェア | Money Messageのファイル暗号化ツール |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-01 15:59:04 被害状況
| 事件発生日 | 不明(2023年3月16日から) |
|---|
| 被害者名 | 複数の不特定の米国企業 |
|---|
| 被害サマリ | 偽のランサムウェアグループがデータを盗んだと脅迫し、金銭を要求。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | Midnight Group |
|---|
| 攻撃手法サマリ | 偽のランサムウェアグループとして、データを盗んだと脅迫する攻撃。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-04-01 10:39:00 被害状況
| 事件発生日 | 2023年2月22日から27日の間 |
|---|
| 被害者名 | Dish Network |
|---|
| 被害サマリ | ランサムウェアのサイバー攻撃で、Dish Networkは複数日にわたり「ネットワーク・アウトレージ」を起こした。不正アクセスによって顧客の個人情報が攻撃者に露出した可能性がある。 |
|---|
| 被害額 | 不明(予想:未発表) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ランサムウェアのサイバー攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-04-01 08:33:00 被害状況
| 事件発生日 | 2022年1月または2月 |
|---|
| 被害者名 | Bing.comのユーザーなど |
|---|
| 被害サマリ | Azure Active Directory (AAD)の誤った構成により、高影響力の複数のアプリが不正アクセスの危険に曝された。中には、Bing.comの検索結果の変更や高影響力のXSS攻撃を起こすことができるCMSアプリが含まれており、ユーザーの個人情報やOutlookのメールやSharePointの文書情報を漏洩する可能性がある。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Azureアプリの「Shared Responsibility confusion」という誤構成が原因で、Microsoftテナント内から外部ユーザーへの意図しないアクセスに繋がるという手法を使用したと考えられる。 |
|---|
| マルウェア | なし |
|---|
| 脆弱性 | Azureアプリの「Shared Responsibility confusion」という誤構成 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Azure Active Directory |
|---|
| 脆弱性サマリ | Azure Active Directoryにおける設定ミスにより、悪意のあるユーザによる認証を回避して機密情報へのアクセスが可能になる |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | なし |
|---|
Microsoft Azure Active Directoryにおける設定ミスのため、高影響アプリケーションが不正なアクセスにさらされ機密情報が漏えいする脆弱性が発見された。影響を受けたアプリケーションはBing.comやMicrosoft Office 365などであった。この脆弱性はWizによって2022年1月および2月に報告され、Microsoftによって修正が行われた。また、Wizには4万ドルのバグバウンティが支払われた。脆弱性が悪用された証拠はないとされている。
vulnerability 2023-04-01 04:51:00 被害状況
| 事件発生日 | 2023年4月1日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Cacti、Realtek、およびIBM Aspera Faspexに深刻なセキュリティの脆弱性があり、未パッチのシステムが標的となるハッキング攻撃で悪用されています。この攻撃により、MooBot、ShellBot(別名PerlBot)など、さまざまなボットネットが配信され、情報漏洩などの被害が発生しています。 |
|---|
| 被害額 | 不明(予想:被害額は発生していない) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | CVE-2022-46169(CVSSスコア:9.8)およびCVE-2021-35394(CVSSスコア:9.8) による認証バイパスおよび任意のコード実行を利用した攻撃が報告されています。 |
|---|
| マルウェア | MooBot、ShellBot、Mirai、Gafgyt、Mozi、RedGoBotなどのボットネットなど、複数マルウェアによって攻撃が行われています。 |
|---|
| 脆弱性 | CactiおよびRealtek Jungle SDKにある認証バイパス、任意のコマンド実行脆弱性。IBM Aspera Faspexには、クリティカルなYAML逆シリアル化の問題が存在しています。 |
|---|
脆弱性
| CVE | CVE-2022-46169、CVE-2021-35394、CVE-2022-47986 |
|---|
| 影響を受ける製品 | Cacti、Realtek、IBM Aspera Faspex |
|---|
| 脆弱性サマリ | CVE-2022-46169は認証バイパスおよびコマンドインジェクションの脆弱性であり、Cactiサーバーにおいて認証されていないユーザーによる任意のコード実行を許可します。CVE-2021-35394は、2021年に修正されたRealtek Jungle SDKに影響を与える任意のコマンドインジェクションの脆弱性に関するものであり、CVE-2022-47986は、IBMのAspera Faspexファイル交換アプリケーションにおける重大なYAML逆シリアル化の問題です。 |
|---|
| 重大度 | 9.8 |
|---|
| RCE | なし |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 有 |
|---|
脆弱性により、影響を受ける製品であるCacti、Realtek、およびIBM Aspera Faspexのシステムがハッキングの対象になっています。これにより、MooBotおよびShellBotが展開され、Fortinetによると、CVE-2022-46169およびCVE-2021-35394が悪用されます。CVE-2022-46169は、Cactiサーバーにおける重大な(9.8の)認証バイパスとコマンドインジェクションの脆弱性であり、CVE-2021-35394は、2021年に修正されたRealtek Jungle SDKに影響を与える任意のコマンドインジェクションの脆弱性に関するものであります。 CVE-2022-47986は、IBMのAspera Faspexファイル交換アプリケーションにおける重大なYAML逆シリアル化の問題であり、これは、ランサムウェアキャンペーンに関連するBuhtiおよびIceFireによって悪用されています。
vulnerability 2023-04-01 04:36:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Elementor Pro |
|---|
| 脆弱性サマリ | WordPressのElementorProが脆弱性。認証済み攻撃者による完全なWordPressサイトの乗っ取りが可能。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
CVE番号はなく、WordPressのElementor Proプラグインのバージョン3.11.6までのバージョンで、未承認の攻撃者に認証を与える脆弱性が存在する。攻撃者は、WooCommerceが有効なそれらのWordPressサイトを完全に乗っ取ることができる。この脆弱性は2023年3月22日にリリースされたバージョン3.11.7で修正された。元の情報提供者はJerome Bruandetである。影響を受ける製品はElementor Proであり、推定1200万のサイトで使用されるとされている。
other 2023-03-31 20:02:17 1. Twitterは、 For Youタイムラインのコンテンツを選択するプラットフォームに使用する推奨アルゴリズムのコードをオープンソース化している。
2. 公開されたコードには、広告推奨の背後にあるパーツや、脅威アクターがプラットフォームを操作する試みを探知するために必要なコードなどは含まれていない。
3. Twitterはアルゴリズムの推奨と機械学習(ML)モデルの一部のソースコードを含む2つの別々のGitHubリポジトリを公開した。
4. コードの公開は、最高度の透明性を目指すと同時に、ユーザーの安全とプライバシーを保護するためにも行われた。
5. TwitterのCEO、イーロン・マスクも以前にTwitterアルゴリズムの公開を約束していた。
vulnerability 2023-03-31 19:23:08 脆弱性
| CVE | CVE-2022-26134, CVE-2018-13379, Log4Shell, CVE-2021-40438, ProxyLogon, HeartBleed |
|---|
| 影響を受ける製品 | Microsoft Windows, Adobe Flash Player, Internet Explorer, Google Chrome, Microsoft Office, Win32k, Atlassian Confluence Server, Data Center, and FortiOS devices |
|---|
| 脆弱性サマリ | CISAのKEV (known exploitable vulnerabilities) catalog にある脆弱性が約15,000,000のpublic-facing servicesに存在し、特にMicrosoft Windowsに関連するものは7,000,000件以上ある。 |
|---|
| 重大度 | CVEによって異なる |
|---|
| RCE | あり (CVE-2018-13379, Log4Shell) |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
※ KEV: Known Exploitable Vulnerabilities
incident 2023-03-31 15:52:33 被害状況
| 事件発生日 | 2023年3月31日 |
|---|
| 被害者名 | 11,000,000以上のElementor Pro WordPressプラグインを使用するウェブサイト |
|---|
| 被害サマリ | WordPressプラグイン「Elementor Pro」に高度な脆弱性が存在し、11,000,000以上のウェブサイトに影響を与えた。脆弱性により、認証されたユーザーがウェブサイトの設定を変更したり、サイト全体を乗っ取ることが可能になってしまった。 |
|---|
| 被害額 | 不明(予想:数百万ドル~数億ドル程度) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | WordPressプラグイン「Elementor Pro」のウェブサイトに対する攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 脆弱性は Elementor Pro v3.11.6 およびそれ以前のバージョンに存在しており、開発者はバグ修正のアップデートを提供している。 |
|---|
incident 2023-03-31 14:38:23 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | VoIP通信企業3CX |
|---|
| 被害サマリ | 3CXのWindowsデスクトップアプリケーションを利用するユーザーに対して、悪意のあるDLLファイルをダウンロードさせる攻撃が行われた。攻撃者によってWindowsに埋め込まれたマルウェアによって、情報を窃取される可能性がある。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Windowsに埋め込まれたマルウェアが、正当に署名されたD3dcompiler_47.dllファイルを改変し、攻撃を行った。 |
|---|
| マルウェア | 情報を窃取するトロイの木馬等、複数のマルウェアが使用された。 |
|---|
| 脆弱性 | CVE-2013-3900、WinVerifyTrust Signature Validation Vulnerability |
|---|
incident 2023-03-31 14:18:32 被害状況
| 事件発生日 | 2022年12月初頭 |
|---|
| 被害者名 | TMX Finance, TitleMax, TitleBucks, InstaLoanの顧客4,822,580人 |
|---|
| 被害サマリ | 人名、生年月日、パスポート番号、運転免許証番号、政府発行の証明書番号、納税者番号、社会保障番号、金融口座情報、電話番号、住所、メールアドレスが漏洩した。 |
|---|
| 被害額 | 不明(予想:数億円~数十億円) |
|---|
攻撃者
| 攻撃者名 | 不明(国籍や特徴なし) |
|---|
| 攻撃手法サマリ | 不正なアクティビティを検知 |
|---|
| マルウェア | 不使用 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-03-31 14:07:00 被害状況
| 事件発生日 | 不明(最低でも2022年2月から実施) |
|---|
| 被害者名 | 欧州の政府機関のメールアカウントユーザー |
|---|
| 被害サマリ | Winter Vivernと呼ばれるAPTが公開されているZimbraの脆弱性を利用して、政府機関の公開ウェブメールポータルのメールボックスにアクセスしている。 |
|---|
| 被害額 | 不明(予想:機密情報漏えいによる被害) |
|---|
攻撃者
| 攻撃者名 | Winter Vivernと呼ばれるAPT(ロシアとベラルーシの政治的目的と一致している) |
|---|
| 攻撃手法サマリ | Zimbraの公開脆弱性を利用して、政府機関向けのフィッシングメールを送信し、クロスサイトスクリプティング(XSS)脆弱性を悪用するJavaScript payloadsを使用して、Webメールポータルからユーザー名、パスワード、アクセストークンの盗難を実行している。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Zimbra CollaborationのCVE-2022-27926 (CVSSスコア:6.1) |
|---|
incident 2023-03-31 12:01:00 被害状況
| 事件発生日 | 2023年3月31日 |
|---|
| 被害者名 | 欧州の不特定多数のユーザー |
|---|
| 被害サマリ | フィッシングサイトを使用した不正な購入により、オンラインポータルで割引価格の商品が提供され、1,000人以上が被害に遭い、攻撃者達は約433万ドルの不正な利益を得た。 |
|---|
| 被害額 | 約433万ドル |
|---|
攻撃者
| 攻撃者名 | 不明、チェコとウクライナの組織の関与あり |
|---|
| 攻撃手法サマリ | フィッシングサイトを使用した詐欺 |
|---|
| マルウェア | 情報なし |
|---|
| 脆弱性 | 情報なし |
|---|
other 2023-03-31 11:47:00 1. The Hacker News is a trusted cybersecurity news platform with 3.45+ million followers on social media.
2. The SANS Institute is hosting a webinar on the 6 steps of a complete incident response plan, including preparation, identification, containment, eradication, recovery, and lessons learned.
3. Cynet Incident Response Services offers a unique combination of Cynet's security experience and proprietary technology for fast and accurate incident response.
4. Lean security teams can incorporate best practices into their incident response strategy by utilizing available resources, such as Cynet Incident Response Services.
5. The Hacker News provides breaking news, cybersecurity resources, certification courses, and daily doses of cybersecurity news, insights, and tips for professionals to stay informed.
incident 2023-03-31 09:37:00 被害状況
| 事件発生日 | 2023年3月31日 |
|---|
| 被害者名 | 3CX |
|---|
| 被害サマリ | 3CXのWindowsおよびmacOS向けのデスクトップアプリにサプライチェーン攻撃が行われ、ユーザーの情報が漏洩した可能性がある。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 北朝鮮関連の国家支援型サイバー攻撃組織、ラビリンス・チョリマ(別名:ニッケル・アカデミー) |
|---|
| 攻撃手法サマリ | サプライチェーン攻撃。3CXのWindowsバージョンでは、DLLサイドローディング技術を利用して、偽のffmpeg.dllをロードし情報収集マルウェア「ICONICスティーラー(またはSUDDENICON)」を介してユーザーの情報漏えいが行われた。マッキンゼーによると、初期の攻撃段階は2022年2月から始まっていた。 |
|---|
| マルウェア | ffmpeg.dll、ICONICスティーラー、ArcfeedLoader |
|---|
| 脆弱性 | 不明。3CXはGoogle傘下のMandiant社に調査を依頼した。 |
|---|
incident 2023-03-30 21:56:28 被害状況
| 事件発生日 | 不明 (2022年2月から2023年3月末まで) |
|---|
| 被害者名 | 北大西洋条約機構(NATO)の官僚・政府関係者・軍関係者・外交員ら |
|---|
| 被害サマリ | Russian hacking group tracked as TA473, aka 'Winter Vivern,'が、未パッチのZimbraエンドポイントに存在する脆弱性(CVE-2022-27926)を利用して、2022年2月から2023年3月末までの期間、ヨーロッパの公的機関に擬態したサイトを通じてマルウェアを拡散させるとともに、フィッシングメールを送信。被害者がフィッシングメール内のリンクをクリックすることにより、悪意のあるJavaScriptコードを注入し、ユーザー名、パスワード、トークンなどを抜き取って、被害者のメールアカウントにアクセスした。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | TA473 (通称: Winter Vivern)と呼ばれるロシアのハッカーグループ |
|---|
| 攻撃手法サマリ | Zimbra Collaboration serversに存在した脆弱性(CVE-2022-27926)を利用して、フィッシングメールを送信し、被害者がそのリンクをクリックすることでJavaScriptコードを注入し、ユーザー名、パスワード、トークンを抜き取って、被害者のメールアカウントにアクセスした。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2022-27926 |
|---|
vulnerability 2023-03-30 21:40:13 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Microsoft OneNote |
|---|
| 脆弱性サマリ | OneNoteは、現在のフィッシング攻撃の中で使用されている悪意のあるファイルをブロックするようにアップデートされるため、ユーザーはファイルを開くことができなくなる。ブロックされるファイルの一覧には120の危険なファイル拡張子が含まれている。 |
|---|
| 重大度 | なし |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | なし |
|---|
Microsoft OneNoteにおいて、悪意のあるファイルをブロックするセキュリティ強化がアップデートされることが発表された。これにより、ユーザーは危険なファイル拡張子が含まれたファイルを開くことができなくなる。ブロックされるファイル拡張子は120種類である。
incident 2023-03-30 20:29:57 被害状況
| 事件発生日 | 2023年3月30日 |
|---|
| 被害者名 | 1,000人以上(フランス、スペイン、ポーランド、チェコ共和国、ポルトガル、その他のヨーロッパ諸国) |
|---|
| 被害サマリ | 犯罪グループが100以上の偽の「フィッシング」サイトを作成し、市場価格を下回る価格の商品で顧客を誘惑し、注文には実際には対応せず、顧客が偽のサイトに入力したクレジットカードの詳細情報を盗みました。 |
|---|
| 被害額 | 約430万米ドル(約4.7億円) |
|---|
攻撃者
| 攻撃者名 | 不明。ウクライナの警察は、他の10人のメンバーがヨーロッパの他の国で拘束されて尋問されていると発表しています。 |
|---|
| 攻撃手法サマリ | フィッシングサイトに誘惑し、クレジットカードの詳細情報を盗むことで顧客から約430万米ドルを盗んだ。 |
|---|
| マルウェア | 特定されていない |
|---|
| 脆弱性 | 特定されていない |
|---|
incident 2023-03-30 19:52:33 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | Federal Civilian Executive Branch Agencies (FCEB) |
|---|
| 被害サマリ | 複数のゼロデイ脆弱性を悪用された高度にターゲットされた攻撃により、商用スパイウェアがモバイルデバイスにインストールされた可能性がある。アマネスティ・インターナショナルのセキュリティラボが発表した所見によると、Googleタグによって発見されたこの攻撃では、iOSおよびAndroidデバイスに対して別々のエクスプロイトチェーンが使用された。また、Samsung Internetブラウザバージョンを最新に更新したSamsung Android搭載の端末に対しては、複雑なマルチ0デイおよびnデイのエクスプロイトチェーンが使用され、Androind向けのスパイウェアスイートが送信された。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | ゼロデイ脆弱性を利用した高度にターゲットされた攻撃 |
|---|
| マルウェア | 商用スパイウェア |
|---|
| 脆弱性 | CVE-2021-30900、CVE-2022-38181、CVE-2023-0266、CVE-2022-3038、CVE-2022-22706 |
|---|
vulnerability 2023-03-30 17:02:00 脆弱性
| CVE | CVE-2023-23383 |
|---|
| 影響を受ける製品 | Azure Service Fabric Explorer version 9.1.1436.9590 およびそれ以前のバージョン |
|---|
| 脆弱性サマリ | Azure Service Fabric Explorerにおいて、認証なしでリモートコード実行が可能となる「Super FabriXss」と呼ばれるXSS脆弱性。CVSSスコアは8.2。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 有 |
|---|
| 攻撃観測 | 有 |
|---|
| PoC公開 | 不明 |
|---|
「Super FabriXss」と名付けられたこの脆弱性では、XSS(クロスサイトスクリプティング)脆弱性を利用することで、認証を必要とせずにService Fabricノード上のコンテナでリモートコード実行を可能とすることができる。影響を受ける製品はAzure Service Fabric Explorer version 9.1.1436.9590 およびそれ以前のバージョンである。Microsoftは2023年3月のパッチの一環として、この脆弱性を修正した。
incident 2023-03-30 15:58:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 複数の米国州政府とスリランカ政府 |
|---|
| 被害サマリ | 中国の国家主導のサイバー攻撃グループ、RedGolfが、カスタムWindowsおよびLinuxバックドアであるKEYPLUGを使用して、2021年5月から2022年2月にかけて複数の米国州政府ネットワークと2022年8月にスリランカの政府機関を攻撃した。 |
|---|
| 被害額 | 不明(予想:情報漏洩等による被害も含め不明) |
|---|
攻撃者
| 攻撃者名 | 中国の国家主導のサイバー攻撃グループ、RedGolf |
|---|
| 攻撃手法サマリ | 外部に公開されている関連システム(VPN、ファイアウォール、メールサーバなど)の脆弱性を素早く武器化してアクセスを得る、カスタムマルウェアファミリーの使用、そして攻撃者の活動が発見されるたびに新たな攻撃手法を開発する。 |
|---|
| マルウェア | Winnti、DBoxAgent、Cobalt Strike、PlugX |
|---|
| 脆弱性 | Log4Shell、ProxyLogon |
|---|
vulnerability 2023-03-30 12:21:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Linux、FreeBSD、Android、iOSを実行しているあらゆるデバイス |
|---|
| 脆弱性サマリ | IEEE 802.11 Wi-Fiプロトコルの基本的な設計上の欠陥。悪用することでTCP接続を乗っ取ったり、クライアントとWebトラフィックを傍受することが可能。 |
|---|
| 重大度 | 不明 |
|---|
| RCE | なし |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
脆弱性の概要: IEEE 802.11 Wi-Fiプロトコルに基本的な設計上の欠陥があり、認証方法とパケットのルーティング方法が関係していないことを悪用して、TCP接続の乗っ取りやWebトラフィックの傍受が可能。Linux、FreeBSD、Android、iOSを実行しているあらゆるデバイスに影響を与える。具体的には、エンドポイントデバイスの省電力メカニズムを悪用して、アクセスポイントが平文でデータフレームをリークするように誘導したり、すべてがゼロの暗号化キーを使用して暗号化させたりすることができる。Ciscoは、同社の無線アクセスポイント製品とワイヤレス機能を備えたCisco Meraki製品において、攻撃が成功する可能性があることを認めた。
other 2023-03-30 11:17:00 1.「The Hacker News」は、3.45百万人以上のフォロワーによってフォローされている、信頼できるサイバーセキュリティニュースプラットフォームです。
2.「Multi-cloud by design」とその仲間の「supercloud」は、複数のクラウドシステムが協力して、多くの組織的利益を提供するエコシステムです。
3.「Cyberstorage」は、高性能セキュリティと容易にアクセス可能なストレージを融合させた技術であり、マルチクラウドを利用してデータの安全性が確保されます。
4.「Data harbour」を採用した「Cyberstorage」は、攻撃者にフラグメントのデータのみを提供し、完全な使用可能なデータセットを提供しません。
5. 2023年までに、企業がデータストレージレイヤーに直接対策技術を導入し始めることから、Cyberstorage市場は6倍になると予測されています。
incident 2023-03-30 10:08:00 被害状況
| 事件発生日 | [不明、記事に記載なし] |
|---|
| 被害者名 | [不明、記事に記載なし] |
|---|
| 被害サマリ | 「AlienFox」というマルウェアによってAWS、Google、MicrosoftのクラウドサービスからAPIキーやシークレットが漏洩された。攻撃者は総じて不明だが、脆弱なクラウドサービスを攻撃し、得られた情報を元に追加攻撃を行っている。 |
|---|
| 被害額 | 不明(予想:被害の具体的な金額に関する情報がないため、不明とする) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | マルウェア「AlienFox」によるクラウドサービスへの侵入、APIキーやシークレットの窃取 |
|---|
| マルウェア | AlienFox, AndroxGh0st, GreenBot |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-03-30 06:31:00 被害状況
| 事件発生日 | 2023年3月22日頃 |
|---|
| 被害者名 | 3CX(3CXDesktopAppを利用していた顧客) |
|---|
| 被害サマリ | Supply Chain Attackにより、3CXのデスクトップアプリが改変され、約600,000人の顧客と12百万人のユーザーが情報漏洩やランサムウェアにさらされた。 |
|---|
| 被害額 | 不明(予想:数千万円以上) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮の国家主導グループ「ラビリンス・チョリマ」(別名Nickel Academy) |
|---|
| 攻撃手法サマリ | Supply Chain Attack:3CXDesktopApp用のインストーラを改変。DLL Side-Loading攻撃を使ってインストールすると、外部サーバーからリモートアクセスツールや情報スチールウェアがダウンロードされる。また、デジタル署名を利用していたことが明らかになった。 |
|---|
| マルウェア | ffmpeg.dll、infostealer DLL、MacOS版のものはlibffmpeg.dylib |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-03-29 13:52:00 被害状況
| 事件発生日 | 2022年11月および2022年12月 |
|---|
| 被害者名 | イタリア、マレーシア、カザフスタン、U.A.E.にある不特定の複数のユーザー |
|---|
| 被害サマリ | 商用スパイウェアベンダーが、未修正の脆弱性を悪用してAndroidおよびiOSデバイスに対して高度かつ限定的なサイバースパイ攻撃を行い、ターゲットに対して監視ツールをインストールした。 |
|---|
| 被害額 | 不明(予想:数百万ドル規模) |
|---|
攻撃者
| 攻撃者名 | 商用スパイウェアベンダー |
|---|
| 攻撃手法サマリ | 未修正の脆弱性を悪用した高度かつ限定的なサイバースパイ攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | CVE-2022-42856、CVE-2021-30900、ポインタ認証コードバイパス、CVE-2022-3723、CVE-2022-4135、CVE-2022-38181、CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266、CVE-2023-26083 |
|---|
脆弱性:
| CVE | CVE-2022-42856, CVE-2021-30900, CVE-2022-3723, CVE-2022-4135, CVE-2022-38181, CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266, CVE-2023-26083 |
|---|
| 影響を受ける製品 | AndroidとiOSデバイス |
|---|
| 脆弱性サマリ | 商用スパイウェア業者によって利用される0デイ脆弱性が二つのキャンペーンで悪用されています。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | あり |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-03-29 12:01:00 被害状況
| 事件発生日 | 2022年初 |
|---|
| 被害者名 | Linuxサーバー |
|---|
| 被害サマリ | 中国の国家指向ハッカーグループによる攻撃で、Méloféeマルウェアを使用していた。攻撃では、Linuxサーバーがターゲットとなっており、カーネルモードのルートキットを利用して、サーバーの側にインストールし、リモートサーバーからの命令実行やファイル操作などが可能となっていた。被害にあったサーバーの数は不明。 |
|---|
| 被害額 | 不明(予想:数億円) |
|---|
攻撃者
| 攻撃者名 | 中国の国家指向ハッカーグループ(具体的なグループ名は不明) |
|---|
| 攻撃手法サマリ | Linuxサーバーをターゲットに、Méloféeマルウェアを使用して攻撃。カーネルモードのルートキットをインストールし、リモートサーバーからの命令実行やファイル操作などが可能となっていた。 |
|---|
| マルウェア | Mélofée |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-03-29 11:43:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | この記事はマルウェア解析の方法および研究所の構築方法についての教育的情報を提供しており、具体的な被害報告は含まれていない。 |
|---|
| 被害額 | 不明 |
|---|
攻撃者
| 攻撃者名 | 不明。記事はマルウェア解析についての教育的情報を提供しており、具体的な攻撃事例や攻撃者の情報については言及されていない。 |
|---|
| 攻撃手法サマリ | 記事はマルウェア解析についての教育的情報を提供しており、具体的な攻撃手法のサマリには言及されていない。 |
|---|
| マルウェア | 記事はマルウェア解析についての教育的情報を提供しており、具体的なマルウェア名については言及されている(IDA Pro、Ghidra、Hex-Raysなど)。 |
|---|
| 脆弱性 | 記事はマルウェア解析についての教育的情報を提供しており、具体的な脆弱性については言及されていない。 |
|---|
この記事は「リバースエンジニアリングのための研究ラボの作り方」というテーマで書かれています。マルウェア解析は、セキュリティリサーチャーの重要な仕事の一部であり、専用の環境が必要です。この記事では、4つの方法を紹介しています。1つ目は、VirtualBoxやVMWareなどの仮想環境です。2つ目は、古いラップトップやPCを再利用することです。3つ目は、クラウドラボを作成することです。4つ目は、Sandbox-as-a-Serviceを使用することです。また、リバースエンジニアリングに必要なツールについても説明しています。例えば、逆アセンブラやデコンパイラなどです。記事の最後では、選択肢に依存するとはいえ、私たちは予測しやすく、コスト、セキュリティ、耐久性などを考慮していくつかの提言を行っています。
vulnerability 2023-03-29 11:43:00 脆弱性
| 影響を受ける業界 | 自動車産業 |
|---|
| 脆弱性による被害 | サービス停止、詐欺行為、信頼問題、収益損失など |
|---|
| 脆弱性の種類 | APIに関するもの |
|---|
| 攻撃者の動機 | 悪意あるものが多く、通信機器さえあれば多数の車両を攻撃できることから、敷居が低いため |
|---|
| 攻撃形態 | APIベースの攻撃が増加しており、2022年にはAPIによるインシデントが全体の12%を占めた。APIベースの攻撃は、悪意のあるリクエストを送信することにより、サービスを狙った攻撃が容易に行える。 |
|---|
| 重大度 | [高|中|低|なし|不明] |
|---|
| CVE番号 | なし |
|---|
| PoC公開 | 不明 |
|---|
日付
Mar 29, 2023
タイトル
Smart Mobility has a Blindspot When it Comes to API Security
記事概要
スマートモビリティが台頭するにつれ、自動車産業でAPI(アプリケーションプログラムインターフェース)の使用が増加しており、これらAPIは攻撃の主要手段の一つになっている。攻撃者はAPIを利用して悪意あるリクエストを送り、サービス停止や詐欺行為などの被害が増加している。APIセキュリティソリューションの不足により、攻撃者は容易に脆弱性を突くことができ、サービスが停止した場合、多数の車両に影響を及ぼす。自動車産業においてAPIベースのインシデント数は2022年に前年比380%増加し、APIの脆弱性は深刻な問題となっている。
incident 2023-03-29 09:17:00 被害状況
| 事件発生日 | 2022年9月以降 |
|---|
| 被害者名 | ロシア・東欧のTOR利用者 |
|---|
| 被害サマリ | TORブラウザの改ざんインストーラが送信先アドレスを偽装し、仮想通貨の盗難を行うマルウェアが送り込まれていた |
|---|
| 被害額 | 約40万ドル |
|---|
攻撃者
| 攻撃者名 | 不明、配信元も不明 |
|---|
| 攻撃手法サマリ | TORブラウザの改ざんインストーラを利用し、送信先アドレスを偽装したクリッパーマルウェアによる仮想通貨の盗難 |
|---|
| マルウェア | Clipper Malware |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-03-29 05:32:00 被害状況
| 事件発生日 | 2018年以降 |
|---|
| 被害者名 | 韓国、アメリカ、日本、およびヨーロッパの政府、教育、研究、政策機関、ビジネスサービス、製造セクターなど |
|---|
| 被害サマリ | 北朝鮮のAPT43が、自国の政治的利益に合わせた機密情報を収集するため、資格情報収集やソーシャルエンジニアリングなどの手法を使用して攻撃を行っている。また、この攻撃は資金調達のためにも利用されている。被害の範囲は広く、2020年10月から2021年10月には医療関連の業界や製薬会社も標的となった。 |
|---|
| 被害額 | 不明(予想) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮のAPT43 |
|---|
| 攻撃手法サマリ | 偽のペルソナを利用したスピアフィッシングと資格情報収集攻撃。そして、攻撃に使用するインフラの資金調達に暗号通貨を利用する。 |
|---|
| マルウェア | LATEOP(aka BabyShark)、FastFire、gh0st RAT、Quasar RAT、Amadey、PENCILDOWNなどが使用された。 |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-03-28 18:08:00 1. MicrosoftはGPT-4 AIを搭載したセキュリティCopilotツールを発表した。
2. このツールは、Microsoft Sentinel、Defender、Intuneなどの製品から得た情報を収集し、鋭敏な脅威を素早く特定し、リスクを評価するためにセキュリティアナリストが使用できる。
3. Security Copilotは、65以上の情報源から情報を収集するツールであり、ユーザーは特定の時間枠内の不審なユーザーログインについて問い合わせることができる他、ファイル、URL、コードスニペットの分析も可能。
4. このツールは、MicrosoftがAI機能をソフトウェアに組み込んでいることを示しており、過去2ヶ月間にBing、Edgeブラウザ、GitHub、LinkedIn、Skype、Microsoft 365 Copilotにも統合されている。
5. Security Copilotのプライバシーにも配慮されており、ユーザーデータがファウンデーションAIモデルに使用されることはない。
incident 2023-03-28 12:31:00 被害状況
| 事件発生日 | 2023年3月28日 |
|---|
| 被害者名 | インド国防省の研究開発部門であるDRDO |
|---|
| 被害サマリ | サイバー攻撃グループがDRDOを標的にしたフィッシング攻撃を実施し、Action RATウイルスを広めた。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | Pakistan-Origin SideCopy |
|---|
| 攻撃手法サマリ | フィッシング攻撃によるAction RATウイルスの広げ方。 |
|---|
| マルウェア | Action RAT, AuTo Stealer |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-03-28 12:08:00 被害状況
| 事件発生日 | 2023年2月 |
|---|
| 被害者名 | 不特定 |
|---|
| 被害サマリ | ランサムウェアの配信先に悪用されたIcedIDマルウェアの新しいバージョンが複数の攻撃者によって使用されている。 |
|---|
| 被害額 | 不明(予想:数十万米ドル~数百万米ドルの範囲) |
|---|
攻撃者
| 攻撃者名 | 不明、可能な国籍としては全世界 |
|---|
| 攻撃手法サマリ | IcedIDマルウェアの新しいバージョンを使用してランサムウェアを配信。 |
|---|
| マルウェア | IcedID(BokBot)、Forked IcedID |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-03-28 11:54:00 記事タイトル:Breaking the Mold: Pen Testing Solutions That Challenge the Status Quo
- ペンテストによる脆弱性検出とアプリケーションセキュリティ向上
- 悪意のある攻撃者は、AI、クラウド技術、ランサムウェア、フィッシング、IoT攻撃、ビジネス妨害など、いくつかの新興脅威を利用して攻撃を自動化している
- ペンテストは、SQLインジェクションの防止や、脆弱性検出などの役割がある。
- ペンテストの欠点は、時間とコストがかかることであり、常に実施できるわけではない。
- ペンテスト-as-a-Service (PTaaS)は、自動化されたスキャンによる脆弱性の検出と、クラウドベースのサービスによる継続的な監視により、新興脅威に対する保護を提供する。
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | なし |
|---|
| 脆弱性サマリ | ペンテストによる脆弱性検出とアプリケーションセキュリティ向上 |
|---|
| 重大度 | なし |
|---|
| RCE | なし |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
incident 2023-03-28 09:53:00 被害状況
| 事件発生日 | 2023年3月28日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | DBatLoaderというマルウェアローダーによって、Remcos RATおよびFormbookがヨーロッパの企業に配信された。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明(攻撃者の国籍や特徴は不明) |
|---|
| 攻撃手法サマリ | DBatLoaderというマルウェアローダーを使用し、WordPressの無害SSL認証済みウェブサイトを通じて配信した。 |
|---|
| マルウェア | DBatLoader、ModiLoader、およびNatsoLoader |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-03-28 08:55:00 1. アメリカのバイデン大統領が商業スパイウェアの使用を制限する行政命令に署名した。
2. 政府機関が商業スパイウェアの利用に関して一定の基準を設けた。
3. 商業スパイウェアに関して政府に供給することを禁じた人々など、スパイウェアに関係する脅威を列挙した基準を設定。
4. 商業スパイウェアは、アメリカ政府職員にとってカウンタースパイ活動とナショナルセキュリティのリスクを構成している。
5. これは、インターナショナルな協力を深め、監視技術の責任ある利用、その技術の拡散と誤用、産業改革を促進するためのものである。
incident 2023-03-28 03:41:00 被害状況
| 事件発生日 | 2023年3月28日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | AppleのiPhoneおよびiPadの古いバージョンに、悪用されたセキュリティの欠陥が存在していたため、急いで修正された。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Webkitブラウザエンジンのタイプ混乱バグを利用 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Webkitブラウザエンジンのタイプ混乱バグ(CVE-2023-23529) |
|---|
incident 2023-03-27 15:18:00 被害状況
| 事件発生日 | 2023年3月15日 |
|---|
| 被害者名 | BreachForumsアカウントのユーザー全員 |
|---|
| 被害サマリ | BreachForumsの創設者である20歳のConor Brian Fitzpatrickが、他人が収集した個人情報を販売するためのサイトを生成し、「アクセスデバイスの詐欺の共謀罪」で告発された。彼は、ハッキングツール、個人を特定する情報、銀行口座情報、社会保障番号などの不正に入手された情報を交換するためにサイトを所有していた。米国捜査官たちは、Fitzpatrickが中間業者として機能して、5つのデータセットを売買したことを確認した。 |
|---|
| 被害額 | 不明(予想:数百万ドル) |
|---|
攻撃者
| 攻撃者名 | Conor Brian Fitzpatrick(通称「pompompurin」) |
|---|
| 攻撃手法サマリ | 個人情報を収集して、それを販売するためにBreachForumsというサイトを作成 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-03-27 10:56:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | SaaSアプリケーション |
|---|
| 脆弱性サマリ | 単一サインオン(SSO)だけでは、在庫されたSaaSアプリケーションを保護するのに十分ではない、5つの利用ケースを紹介 |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
この記事は、SaaSアプリケーションのセキュリティにおいて、単一サインオン(SSO)だけでは保護するために十分でない5つの利用ケースを紹介している。SSOは単一のクレデンシャルで、複数のアプリケーションの認証を可能にする認証方法である。それにもかかわらず、SSOだけで在庫されるSaaSアプリケーションを保護するのに十分ではない。脅威アクターがSaaSアプリケーションにアクセスし、SaaSアプリケーションがITチームの知識や承認なしに搭載される場合を防止するために、組織は追加の手順を踏む必要がある。記事は、SSOが盲点である5つの利用ケースについて詳しく説明している。組織は、SSOのみでSaaSアプリケーションを保護するのではなく、SSOと連携して全体的なアクセス管理を可能にするSSPMソリューションを使用する必要があると指摘している。
incident 2023-03-27 10:38:00 被害状況
| 事件発生日 | 2023年3月27日 |
|---|
| 被害者名 | macOSユーザー |
|---|
| 被害サマリ | MacStealerと呼ばれるマルウェアが、macOS CatalinaおよびM1とM2 CPUを搭載したデバイスに対し、iCloudキーチェーンデータ、パスワード、クレジットカード情報などの個人情報を収集した。 |
|---|
| 被害額 | 不明(予想:数百万円程度) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | TelegramをC2プラットフォームとして使用して、アップルのSafariブラウザーやNotesアプリからデータを抽出するための情報窃取マルウェア |
|---|
| マルウェア | MacStealer、HookSpoofer、Ducktail |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-03-27 09:48:00 脆弱性
| CVE | CVE-2023-28303 |
|---|
| 影響を受ける製品 | Windows 10(Snip & Sketchアプリ)、Windows 11(Snipping Tool) |
|---|
| 脆弱性サマリ | スクリーンショット編集ツールであるSnip & SketchアプリおよびSnipping Toolにおいて、編集されたスクリーンショットの一部が復元され、切り抜かれた機密情報が明らかになる可能性がある。 |
|---|
| 重大度 | 低(3.3) |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
補足:
- "aCropalypse" はこの脆弱性の愛称である。
- 続いて同様の問題がGoogle PixelのMarkupツールにも存在していることが明らかになった。これに対するCVE番号はCVE-2023-21036である。
incident 2023-03-25 08:52:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 英国国家犯罪局(NCA)が偽のDDoS-for-hireサイトを設定して、オンライン犯罪の陰謀を阻止するために約数千人がこれらのサイトにアクセスした。 |
|---|
| 被害額 | 不明(予想:被害総額は計り知れないほど大きいとされている) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | DDoS-for-hireの違法プラットフォームを運営していると思われる犯罪者に対し、NCAが彼らのトラフィックを監視している |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-03-25 06:13:00 脆弱性
| CVE | CVE-2023-23397 |
|---|
| 影響を受ける製品 | Microsoft Outlook |
|---|
| 脆弱性サマリ | Outlookに存在する特定の電子メールを送信することで、NT Lan Manager(NTLM)ハッシュを盗み、リレーアタックを引き起こすことができる。 |
|---|
| 重大度 | 高(CVSSスコア: 9.8) |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | 有。ロシアの脅威アクターが、欧州の政府、交通、エネルギー、軍事部門を対象とした攻撃でこの脆弱性を悪用していた。 |
|---|
| PoC公開 | 不明 |
|---|
概要: Microsoftは、Outlookの脆弱性に関連する侵害の指標(IoC)を発見するためのガイダンスを共有しました。CVE-2023-23397(CVSSスコア:9.8)は、特権エスカレーションの事例に関係し、ユーザーの関与を必要とせずにNTLMハッシュを盗むことができるOutlookの問題です。Microsoftは、このような攻撃により、ハッシュが盗まれ、別のサービスで認証されるために中継される可能性があると述べています。この脆弱性は2023年3月のパッチの構成に含まれていたが、ロシアの脅威アクターはそれを攻撃に使用する前に発見しました。
vulnerability 2023-03-25 05:51:00 被害状況
| 事件発生日 | 2023年3月20日 |
|---|
| 被害者名 | ChatGPTサービスの一部のユーザー |
|---|
| 被害サマリ | Redisライブラリのバグにより、他のユーザーの個人情報やチャットのタイトルなどの一部が表示された。また、1.2%のChatGPT Plusの購読者の支払い関連情報が漏洩した可能性がある。 |
|---|
| 被害額 | 不明(予想外) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | Redisライブラリのバグを悪用した |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Redisライブラリのバグが原因 |
|---|
脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Redisオープンソースライブラリ |
|---|
| 脆弱性サマリ | ChatGPTサービスにおける他のユーザーの個人情報の漏洩。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
この脆弱性はOpenAIによって発見された。 Redisオープンソースライブラリのバグにより、他のユーザーの個人情報とチャットタイトルが漏えいした。問題はChatGPTサービスに起因し、2023年3月20日に明らかになった。Redis-pyライブラリで生じたバグにより、キャンセルされたリクエストによって、データベースキャッシュから意図しない情報が戻された。OpenAIは問題に対処し、利用者に連絡を取り違反を通知した。
incident 2023-03-24 13:40:00 被害状況
| 事件発生日 | 2023年3月15日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | Python Package Index (PyPI) にアップロードされた悪意のあるPythonパッケージ「onyxproxy」により、情報盗難が行われた。183回のダウンロードが行われた後に、削除された。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明(特徴不明) |
|---|
| 攻撃手法サマリ | Unicodeを利用したトリッキーな手法を使用して、検出を回避し情報盗難を行った。 |
|---|
| マルウェア | "onyxproxy"のパッケージ内の情報盗難マルウェア。 |
|---|
| 脆弱性 | 情報提供なし。 |
|---|
other 2023-03-24 11:43:00 1. The Hacker Newsは、セキュリティに関するトラストできるニュースプラットフォームであり、3.45万人以上のフォロワーにフォローされている。
2. セキュリティに関するリソースには、THNストア、無料のeBook、フリーズがある。
3. 2023年のSaaS-to-SaaS Access reportは、第三者のアプリケーションによるリスクと、そのようなアプリケーションによるアクセスの解析を提供し、企業のサイバーセキュリティに貢献する。
4. Webinarでは、セキュリティチームがSaaSエコシステム全体に対処する必要があること、SaaSエコシステムセキュリティ、SaaSセキュリティチャレンジなどのトピックを取り上げる。
5. The Hacker Newsのサイトには、企業紹介、就職、広告掲載、お問い合わせのページが存在する。また、SNSフォロー用のアイコンも掲載されている。
vulnerability 2023-03-24 11:06:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | GitHub RSA SSH host key |
|---|
| 脆弱性サマリ | GitHubが不注意によりRS SSH host keyが短時間公開された |
|---|
| 重大度 | 不明 |
|---|
| RCE | 無 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-03-24 09:59:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 中国に関連する国家的グループによる偽装攻撃の手法が発見された。 |
|---|
| 被害額 | 不明(予想:数十億円以上) |
|---|
攻撃者
| 攻撃者名 | 中国に関連する国家的グループ |
|---|
| 攻撃手法サマリ | スピアフィッシングメールを用い、様々なツールを使用したバックドア、C2およびデータの送信などを展開。 |
|---|
| マルウェア | TONEINS、TONESHELL、PUBLOAD、MQsTTang、Cobalt Strike、USB Driver.exe (HIUPANまたはMISTCLOAK)、rzlog4cpp.dll (ACNSHELLまたはBLUEHAZE)、CLEXEC、COOLCLIENT、TROCLIENT、PlugX、NUPAKAGE、およびZPAKAGE。 |
|---|
| 脆弱性 | Windows 10のユーザーアカウント制御を回避するためにカスタムツールであるABPASSおよびCCPASSを使用。 |
|---|
vulnerability 2023-03-24 07:51:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | WooCommerce Payments plugin for WordPress |
|---|
| 脆弱性サマリ | WooCommerce Payments plugin for WordPressには、バージョン4.8.0から5.6.1までの重大な脆弱性があり、未解決の場合、悪意のある攻撃者が影響を受けたサイトの管理者アクセスを取得することができ、特定の利用者の操作やソーシャル・エンジニアリングは必要ありません。 |
|---|
| 重大度 | 高 |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | まだ観測されていないが、攻撃者が証明コードを公開し、広く利用されることが予期されている。 |
|---|
| PoC公開 | 公開されていない |
|---|
WooCommerce Payments plugin for WordPressには、バージョン4.8.0から5.6.1までの重大な脆弱性があり、未解決の場合、悪意のある攻撃者は影響を受けたサイトの管理者アクセスを取得することができます。この脆弱性は、PHPファイル「class-platform-checkout-session.php」に存在すると考えられています。WooCommerceはバージョン4.8.2、4.9.1、5.0.4、5.1.3、5.2.2、5.3.1、5.4.1、5.5.2、および5.6.2を含む修正バージョンをリリースしました。まだ攻撃は観測されていませんが、攻撃者が証明コードを公開し、大規模に利用されることが予想されます。公開されるまでは、利用者は最新バージョンに更新するとともに、新たに追加された管理者アカウントを確認し、あれば、すべての管理者パスワードと支払いゲートウェイおよびWooCommerce APIキーを変更することが推奨されます。
incident 2023-03-23 16:29:00 被害状況
| 事件発生日 | 2023年3月23日 |
|---|
| 被害者名 | 不明 |
|---|
| 被害サマリ | 偽装されたOpenAIのChatGPTサービスに擬態したChrome Browser Extensionが、Facebookのセッションcookieを収集し、Facebookアカウントの乗っ取りや極端主義プロパガンダの拡散などを行った。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 悪意のあるGoogle検索結果によって、不正なChatGPTブラウザ拡張機能に誘導し、Facebookアカウントを乗っ取る攻撃 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-03-23 11:55:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 金融アプリ利用者 |
|---|
| 被害サマリ | Android向け銀行トロイの木馬「Nexus」が登場。トラッカー観測でトルコを中心に活動するサイバー犯罪者によって450以上の金融業界アプリが大規模なアカウント乗っ取り攻撃の標的にされている。マルウェアの特徴として、アクセシビリティ・サービス機能を悪用することによってSMSなど2段階認証を回避することが挙げられる。 |
|---|
| 被害額 | 不明(予想:数百万ドル以上) |
|---|
攻撃者
| 攻撃者名 | トルコ人サイバー犯罪者など |
|---|
| 攻撃手法サマリ | トラッカー観測でトルコを中心に活動するサイバー犯罪者によってAndroidの銀行アプリを攻撃することが特定された。 |
|---|
| マルウェア | Nexus、SOVA |
|---|
| 脆弱性 | 不明 |
|---|
other 2023-03-23 10:39:00 1. 「The Hacker News」は、世界中で345万人以上にフォローされている信頼できるサイバーセキュリティニュースプラットフォーム。
2. 「CYE's new Cybersecurity Maturity Report 2023」によると、企業のセキュリティ予算の増加にも関わらず、多くの組織が十分な準備をしておらず、サイバー攻撃に対処するための成熟度が低いことが判明。
3. 具体的には、予算規模の大きな国や企業が必ずしも高い成熟度を持っているわけではなく、エネルギーや金融業界が比較的堅牢である一方で、ヘルスケア、小売業、政府機関が低い成熟度を示した。
4. また、中小規模の組織が、従業員数が1万人以上の大企業よりも高い成熟度を示していることが分かった。
5. 対策としては、組織が能力投資に注力すること、包括的なアセスメントの実施、サイバーリスクに対する統一されたアプローチの確立が重要であることが指摘されている。
incident 2023-03-23 09:29:00 被害状況
| 事件発生日 | 2023年第1四半期 |
|---|
| 被害者名 | 中東の通信事業者 |
|---|
| 被害サマリ | 中国のサイバースパイ集団が、中東の通信事業者に対し、長期にわたる「Operation Soft Cell」と呼ばれる攻撃を実行。マイクロソフト・エクスチェンジ・サーバへの攻撃、資格情報の盗難、横断的な移動、データの持ち出しなどを行っていた。 |
|---|
| 被害額 | 不明(予想:数億円以上) |
|---|
攻撃者
| 攻撃者名 | 中国のサイバースパイ集団 |
|---|
| 攻撃手法サマリ | マイクロソフト・エクスチェンジ・サーバへの攻撃や、資格情報の盗難などを行うサイバースパイ集団の攻撃手法を利用していた。マルウェアとして、MimikatzやPingPullといったツールが使用された。 |
|---|
| マルウェア | Mimikatz、PingPullなど |
|---|
| 脆弱性 | マイクロソフト・エクスチェンジ・サーバの脆弱性など |
|---|
incident 2023-03-23 07:37:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 韓国政府関係者、アメリカ政府関係者、軍事、製造、学術、シンクタンク関係者、個人 |
|---|
| 被害サマリ | 韓国の諜報機関、ドイツの情報機関は、北朝鮮軍に属するサイバースパイのグループ(Kimsuky)が、Googleのメールアカウントを盗むためにローグブラウザ拡張機能を使用してサイバー攻撃をしていることを警告している。 |
|---|
| 被害額 | 不明(予想:不明) |
|---|
攻撃者
| 攻撃者名 | Kimsuky / Black Banshee / Thallium / Velvet Chollima (北朝鮮軍に属するサイバースパイのグループ) |
|---|
| 攻撃手法サマリ | ローグブラウザ拡張機能を使用したスピアフィッシングキャンペーン。 |
|---|
| マルウェア | FastFire、FastSpy、FastViewer、RambleOn、com.viewer.fastsecure(FastFire)、com.tf.thinkdroid.secviewer(FastViewer) |
|---|
| 脆弱性 | Google Playストアの「内部テスト」という機能を悪用 |
|---|
vulnerability 2023-03-22 13:09:00 被害状況
| 被害者 | Delta ElectronicsおよびRockwell Automation |
|---|
| 被害の概要 | Delta ElectronicsのInfraSuite Device Masterには13の脆弱性があり、未認証のリモート攻撃者にファイルと認証情報へのアクセス、特権の昇格、任意のコードのリモート実行を可能にします。Rockwell AutomationのThinManager ThinServerには、2つのパス遍歴の脆弱性があり、未認証のリモート攻撃者に任意のファイルをアップロードし、ThinServer.exeがインストールされているディレクトリに上書き可能であり、リモートコード実行を引き起こす可能性があります。 |
|---|
| 被害額 | 不明 |
|---|
| 事件発生日 | 2023年3月22日 |
|---|
攻撃者
| 攻撃者 | 不明 |
|---|
| 攻撃手法 | Delta ElectronicsのInfraSuite Device Masterに対しては、未認証のリモート攻撃者が可能な限り任意のコードをリモートで実行できるように、未検証のUDPパケットを受け付けるようにするデシリアライズの脆弱性があります。Rockwell AutomationのThinManager ThinServerに対しては、パス遍歴の脆弱性により、攻撃者が任意のファイルを上書きしてリモートコード実行を引き起こすことができます。 |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | Delta ElectronicsのInfraSuite Device Masterには13の脆弱性があり、Rockwell AutomationのThinManager ThinServerには2つのパス遍歴の脆弱性がある。 |
|---|
脆弱性
| CVE | CVE-2023-1133, CVE-2023-1139, CVE-2023-1145, CVE-2023-28755, CVE-2023-28756, CVE-2022-38742 |
|---|
| 影響を受ける製品 | Delta ElectronicsのInfraSuite Device Master、Rockwell AutomationのThinManager ThinServer |
|---|
| 脆弱性サマリ | Delta ElectronicsのInfraSuite Device Masterには、未検証のUDPパケットを受け入れる脆弱性が存在し、認証されていないリモート攻撃者に任意のコードを実行される可能性がある。Rockwell AutomationのThinManager ThinServerには過去に報告されたバッファオーバーフロー脆弱性以外に、ディレクトリトラバーサルの脆弱性が存在し、認証されていないリモート攻撃者に任意のファイルをアップロードし、既存の実行可能ファイルを上書きして、リモートコード実行を行うことができる。 |
|---|
| 重大度 | CVE-2023-1133が9.8の重度、その他の脆弱性は高度または中度、いくつかの脆弱性の重大度は明らかではない |
|---|
| RCE | Delta ElectronicsのInfraSuite Device MasterのCVE-2023-1133、CVE-2023-1139、CVE-2023-1145、およびRockwell AutomationのThinManager ThinServerのCVE-2023-28755を悪用することでリモートコード実行が可能となる。 |
|---|
| 攻撃観測 | 不明 |
|---|
| PoC公開 | 不明 |
|---|
incident 2023-03-22 12:24:00 被害状況
| 事件発生日 | 不明 |
|---|
| 被害者名 | 韓国の組織および個人 |
|---|
| 被害サマリ | 北朝鮮の高度なサイバー攻撃グループ「ScarCruft」による、韓国組織および個人の特定を狙ったスピアフィッシング攻撃。攻撃によってBACKDOORなどのマルウェアが被害者のコンピューターに誘導される。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 北朝鮮の「ScarCruft」 |
|---|
| 攻撃手法サマリ | スピアフィッシング攻撃。CHMファイルやHTA、LNK、XLL、マクロを利用してウイルスを配信している。 |
|---|
| マルウェア | Chinotto、M2RAT、AblyGoなど |
|---|
| 脆弱性 | 不明 |
|---|
vulnerability 2023-03-22 11:20:00 脆弱性
| CVE | なし |
|---|
| 影響を受ける製品 | Active Directory |
|---|
| 脆弱性サマリ | Active Directoryにおける内部者の脅威に対するセキュリティ対策について |
|---|
| 重大度 | なし |
|---|
| RCE | 不明 |
|---|
| 攻撃観測 | なし |
|---|
| PoC公開 | なし |
|---|
この記事は、Active Directoryにおける内部者による脅威に対するセキュリティ対策について説明しており、様々な脆弱性が存在することが述べられています。内部者による脅威は、オーガニゼーションが直面する可能性が最も高いものの一つであり、情報漏洩や破壊などの潜在的な被害があることが認識されています。記事では、Active Directoryの設定の見直しやマルチファクタ認証の導入など、セキュリティを向上させるためのBest Practicesが紹介されています。
incident 2023-03-22 08:58:00 被害状況
| 事件発生日 | 2023年3月22日 |
|---|
| 被害者名 | .NETデベロッパー |
|---|
| 被害サマリ | NuGetリポジトリを標的とした新しい攻撃で、13種類のマルウェアを含むローグパッケージが160,000回以上ダウンロードされ、開発者システムに暗号化盗難マルウェアが感染した。 |
|---|
| 被害額 | 不明(予想不可) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 偽のパッケージ名を使用したタイポスクワッティング技術の悪用と、脆弱性を利用したマルウェアを含んだNuGetパッケージの配布 |
|---|
| マルウェア | The Hacker Newsによると、「Coinbase.Core」「Anarchy.Wrapper.Net」「DiscordRichPresence.API」などが感染パッケージの中で最もダウンロード数が多かったが、その他にも多数のマルウェアが使用されたと報告されている。 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-03-22 07:19:00 被害状況
| 事件発生日 | 2022年 |
|---|
| 被害者名 | 南アジアおよび東南アジアの企業 |
|---|
| 被害サマリ | REF2924による攻撃で、NAPLISTENERという新しいマルウェアを使用していることが発覚。REF2924は中国のハッカーグループと関係があると考えられている。 |
|---|
| 被害額 | (不明) |
|---|
攻撃者
| 攻撃者名 | REF2924 |
|---|
| 攻撃手法サマリ | Microsoft Exchangeサーバーの脆弱性を悪用した攻撃。NAPLISTENERという新しいマルウェアを使用することで、ネットワーク上の検知を回避。 |
|---|
| マルウェア | DOORME、SIESTAGRAPH、ShadowPad、NAPLISTENER |
|---|
| 脆弱性 | Microsoft Exchangeサーバーの脆弱性 |
|---|
incident 2023-03-22 04:37:00 被害状況
| 事件発生日 | 2023年3月21日 |
|---|
| 被害者名 | BreachForums |
|---|
| 被害サマリ | 悪質な漏洩データの売買が行われるハッキングフォーラムBreachForumsが閉鎖された |
|---|
| 被害額 | 不明(予想:数億から数十億円程度) |
|---|
攻撃者
| 攻撃者名 | 不明 |
|---|
| 攻撃手法サマリ | 不正アクセスによる悪意あるデータの売買を促進するハッキングフォーラムBreachForumsを運営した |
|---|
| マルウェア | 不明 |
|---|
| 脆弱性 | 不明 |
|---|
incident 2023-03-21 15:01:00 被害状況
| 事件発生日 | 2022年10月 |
|---|
| 被害者名 | ドネツィク、ルハーンシク、クリミアの政府・農業・交通機関および組織 |
|---|
| 被害サマリ | 新しいモジュラーフレームワークであるCommonMagicを使用する攻撃が実施され、バックドアPowerMagicを展開された。PowerMagicはPowerShellで書かれており、クラウドサービス(Dropboxなど)を通じて任意のコマンドを実行でき、CommonMagicフレームワークを提供する。 |
|---|
| 被害額 | 不明(予想:数億円以上) |
|---|
攻撃者
| 攻撃者名 | 不明、ロシアと関係があるとみられる |
|---|
| 攻撃手法サマリ | spear phishingまたは同様の手法を用いた、booby-trapped URLSが攻撃の開始点。バックドアやフレームワークなど、複数のプログラムで構成された攻撃方式が行われた。 |
|---|
| マルウェア | PowerMagic、CommonMagic |
|---|
| 脆弱性 | 不明 |
|---|
|
|---|