セキュリティニュースまとめる君

University of Sydney suffers data breach exposing student and staff info
vulnerability
2025-12-18 20:22:58

脆弱性

CVE	なし
影響を受ける製品	University of Sydney
脆弱性サマリ	オンラインコーディングリポジトリへの不正アクセスによるデータ漏洩
重大度	高
RCE	無
攻撃観測	有
PoC公開	不明

Clop ransomware targets Gladinet CentreStack in data theft attacks
vulnerability
2025-12-18 20:16:55

脆弱性

CVE	なし
影響を受ける製品	Gladinet CentreStack
脆弱性サマリ	Clop ransomwareがGladinet CentreStackファイルサーバーを標的にデータ盗難攻撃を実行
重大度	高
RCE	無
攻撃観測	有
PoC公開	不明

China-Aligned Threat Group Uses Windows Group Policy to Deploy Espionage Malware
other
2025-12-18 17:34:00

エストニアのサイバーセキュリティ企業ESETによると、中国に関連する脅威集団であるLongNosedGoblinが、東南アジアと日本の政府機関を標的にしたサイバー攻撃に使用されているスパイウェアを配備するためにWindowsのGroup Policyを使用している。
LongNosedGoblinは2023年9月以降活動しており、Group Policyを使用してマルウェアをネットワーク内に展開しており、クラウドサービス（たとえば、Microsoft OneDriveやGoogle Drive）をコマンドおよび制御サーバーとして使用している。
LongNosedGoblinによる攻撃には、NosyHistorian（Google Chrome、Microsoft Edge、Mozilla Firefoxからブラウザ履歴を収集する）、NosyDoor（Microsoft OneDriveをC&Cとして使用するバックドア）、NosyStealer（Google ChromeおよびMicrosoft EdgeからブラウザデータをGoogle Driveに暗号化されたTARアーカイブ形式で送信する）、NosyDownloader（メモリ内でペイロードをダウンロードおよび実行する）、NosyLogger（キーストロークを記録するDuckSharpの変更版）などの様々なカスタムツールが使用されている。
ESETは2024年2月に最初にこのハッキンググループに関連する活動を検出し、2024年1月から3月にかけて多くの被害者がNosyHistorianに影響を受けていたが、NosyDoorに感染したのは一部の被害者だけであると指摘している。NosyDoorの一部のバリアントがEU諸国の組織を標的にしたことも明らかになっており、異なるTTPs（ツール、テクニック、手順）を使用している。
LongNosedGoblinは他のツールも使用しており、他の脅威グループとの関連性があると指摘されているが、その確定的な証拠は存在しない。ただし、NosyDoorとLuckyStrikeエージェントとの類似性、およびLuckyStrikeエージェントのPDBパスに「有料版」というフレーズが含まれていることから、このマルウェアが他の脅威アクターに販売またはライセンス供与されている可能性がある。

New password spraying attacks target Cisco, PAN VPN gateways
incident
2025-12-18 17:27:25

被害状況

事件発生日	2025年12月11日
被害者名	CiscoとPalo Alto NetworksのVPN gateways
被害サマリ	複数のVPNプラットフォームをターゲットにした自動化された攻撃が観測され、GreyNoiseによると、GlobalProtect portalsへのログイン試行が16時間で170万回に達しました。攻撃は主にドイツの3xK GmbHのIPスペースから発信され、米国、メキシコ、パキスタンのインフラを狙っていました。同様に、12月12日には同じホスティングプロバイダを使用した活動がCisco SSL VPNエンドポイントに向けられ、GreyNoiseモニターによると、攻撃IPが1273に急増しました。
被害額	不明（予想）

攻撃者

攻撃者名	特定されず。攻撃活動はドイツの3xK GmbHのIPスペースから行われた
攻撃手法サマリ	自動化されたcredential攻撃
マルウェア	特定されず
脆弱性	不特定の脆弱性を悪用

US seizes E-Note crypto exchange for laundering ransomware payments
vulnerability
2025-12-18 16:13:03

被害状況

事件発生日	2025年12月18日
被害者名	不明
被害サマリ	米国がE-Note暗号通貨取引所のサーバーとドメインを差し押さえ、サイバー犯罪グループが$70 million以上を洗浄するために使用
被害額	おそらく$70 million以上（予想）

攻撃者

攻撃者名	Mykhalio Petrovich Chudnovets（ロシア国籍）
攻撃手法サマリ	マネーロンダリング
マルウェア	不明
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	E-Note cryptocurrency exchange
脆弱性サマリ	Unpatched AsyncOS zero-day exploited in attacks
重大度	高
RCE	無
攻撃観測	有
PoC公開	不明

NIS2 compliance: How to get passwords and MFA right
vulnerability
2025-12-18 15:01:11

脆弱性

CVE	なし
影響を受ける製品	HPE OneView software
脆弱性サマリ	最大深刻度のRCE脆弱性
重大度	高
RCE	有
攻撃観測	不明
PoC公開	不明

HPE OneView Flaw Rated CVSS 10.0 Allows Unauthenticated Remote Code Execution
vulnerability
2025-12-18 14:39:00

脆弱性

CVE	CVE-2025-37164
影響を受ける製品	HPE OneView Software
脆弱性サマリ	HPE OneView Softwareには、未認証のリモートコード実行を許可するCVE-2025-37164という最大深刻度のセキュリティ脆弱性があります。
重大度	高
RCE	有
攻撃観測	不明
PoC公開	不明

France arrests Latvian for installing malware on Italian ferry
incident
2025-12-18 13:47:59

被害状況

事件発生日	不明
被害者名	イタリアのフェリー会社Grandi Navi Velociの乗組員
被害サマリ	イタリアのフェリーにマルウェア感染、遠隔操作可能性がある
被害額	(予想) 不明

攻撃者

攻撃者名	ラトビア人（特定の人物名は不明）
攻撃手法サマリ	船舶のコンピューターシステムに侵入を企てる
マルウェア	不明
脆弱性	不明

ThreatsDay Bulletin: WhatsApp Hijacks, MCP Leaks, AI Recon, React2Shell Exploit and 15 More Stories
incident
2025-12-18 13:10:00

被害状況

事件発生日	2025年12月9日
被害者名	400人以上の犠牲者
被害サマリ	ウクライナを拠点とする犯罪組織が400人以上の犠牲者から€10 million以上をだまし取る詐欺を行った。
被害額	€10 million以上

攻撃者

攻撃者名	ウクライナを中心とする犯罪組織
攻撃手法サマリ	警察官や銀行員を装い、被害者のカードや詳細を使用してお金を引き出すなどの手法を使用
マルウェア	不使用
脆弱性	不使用

HPE warns of maximum severity RCE flaw in OneView software
vulnerability
2025-12-18 11:35:53

脆弱性

CVE	CVE-2025-37164
影響を受ける製品	HPE OneViewソフトウェア
脆弱性サマリ	リモートで任意のコードを実行可能な最大深刻度の脆弱性
重大度	高
RCE	有
攻撃観測	不明
PoC公開	不明