セキュリティニュースまとめる君 Github
vulnerability
2023-07-06 10:55:00

脆弱性

CVECVE-2023-3269
影響を受ける製品Linux kernel versions 6.1 through 6.4
脆弱性サマリStackRotと呼ばれるLinuxカーネルのセキュリティの欠陥が発見された。この脆弱性は、ユーザーがターゲットホストで特権を上げることができる可能性がある。
重大度
RCE不明
攻撃観測
PoC公開不明

other
2023-07-06 10:47:00
- サイトのメニューアイテム: Home, Newsletter, Webinars, Data Breaches, Cyber Attacks, Vulnerabilities, Webinars, Store, Contact
- サイバーセキュリティ保険が必要な理由: データの重要性の増加とデータ侵害、サイバー攻撃のリスクの増加により、組織は金銭的・評判的な被害から自己を守る必要がある。
- サイバーセキュリティ保険の適格性: サイバーセキュリティ保険は組織のサイバーセキュリティリスクプロファイルを評価し、定期的な侵入テストの実施を評価基準としている。新しいデリバリーモデルであるPTaaS(Penetration Testing as a Service)は、素早い脆弱性の発見と修復を可能にし、適格性の向上に寄与する。
- PTaaS(Penetration Testing as a Service)の利点: PTaaSソリューションにより、組織は従来のモデルよりも迅速かつ効率的に定期的な侵入テストを実施できる。これにより、攻撃者が脆弱性を悪用する前に脆弱性を特定し修復することが可能となる。
- Outpost24によるウェブアプリケーションのペンテストサービス: Outpost24は自動スキャンと高品質なマニュアルテストを組み合わせて脆弱性の特定と修復を行う。定期的なモニタリングとサイバーセキュリティの専門家の審査により、新たな脆弱性の発見と対策を行うことができる。

vulnerability
2023-07-06 10:38:00

脆弱性

CVEなし
影響を受ける製品クラウドネイティブ環境
脆弱性サマリクラウドネイティブ環境を標的とした攻撃キャンペーン
重大度不明
RCE不明
攻撃観測はい
PoC公開なし

other
2023-07-06 10:35:46
- シスコは、暗号化トラフィックを攻撃者が妨害することができるバグに関して警告を発した
- このバグは、シスコ製のデータセンタースイッチの一部のモデルに影響を与える高度な深刻度の脆弱性であり、暗号化機能を有効にした場合にのみ発生する
- バグはまだ修正プログラムがリリースされておらず、公開されたエクスプロイトコードも見つかっていない
- シスコは、影響を受けるデータセンタースイッチのユーザーに対して、脆弱性の特定の機能を無効にするようにアドバイスしている
- 脆弱性の影響を受けているかどうかを確認するために、特定のコマンドを実行する必要がある。

* バグの修正プログラムがまだリリースされていない
* バグのエクスプロイトコードも見つかっていない
* 影響を受けるデータセンタースイッチのユーザーに対して、脆弱性の特定の機能を無効にするようにアドバイスしている
* 脆弱性の影響を受けているかどうかを確認するために、特定のコマンドを実行する必要がある

incident
2023-07-06 10:23:56

被害状況

事件発生日2023年7月6日
被害者名JumpCloud
被害サマリUSベースの企業ソフトウェア会社JumpCloudが「継続中のインシデント」を通知し、既存の管理者APIキーを無効化しました。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

vulnerability
2023-07-06 09:44:52

被害状況

事件発生日2023年7月
被害者名不明
被害サマリAndroidの3つの脆弱性が悪用されている可能性がある。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリAndroidの3つの脆弱性を悪用
マルウェア不明
脆弱性CVE-2023-26083、CVE-2021-29256、CVE-2023-2136

脆弱性

CVECVE-2023-26083, CVE-2021-29256, CVE-2023-2136, CVE-2023-21250
影響を受ける製品Android OS
脆弱性サマリAndroidの月次セキュリティアップデートで46の脆弱性が修正され、そのうち3つは現在攻撃が行われている可能性がある。
重大度中から高
RCE不明
攻撃観測不明
PoC公開不明

vulnerability
2023-07-06 09:04:31

脆弱性

CVE[CVE番号|なし]
影響を受ける製品134,634の製品、Solar-Log、Danfoss Solar Web Server、SolarView Contec、SMA Sunny Webbox、SMA Cluster Controller、SMA Power Reducer Box、Kaco New Energy & Web、Fronis Datamanager、Saj Solar Inverter、ABB Solar Inverter Web GUI
脆弱性サマリ公開されている太陽光発電監視システムが、ハッカーの潜在的な標的になっている
重大度不明
RCE不明
攻撃観測過去に脆弱性が悪用された報告あり
PoC公開複数の脆弱性について公開済みのPoCが存在

incident
2023-07-06 08:52:00

被害状況

事件発生日2023年7月6日
被害者名不明
被害サマリフランス語を話すハッキングクルーであるOPERA1ERによる30件以上の攻撃が、アフリカ、アジア、ラテンアメリカの15カ国で行われ、推定1100万ドル(被害額不明)を盗まれた。
被害額推定1100万ドル(被害額不明)

攻撃者

攻撃者名OPERA1ER
攻撃手法サマリOPERA1ERは、銀行、金融サービス、電気通信会社に対する侵入を詳細に調査し、スピアフィッシングの手法を利用して攻撃を行い、Cobalt StrikeやMetasploitといったポストエクスプロイトツールや既製のリモートアクセストロイアンを利用して機密情報を盗み出していた。
マルウェア不明
脆弱性不明

vulnerability
2023-07-06 07:56:00

脆弱性

CVEなし
影響を受ける製品Windows 11 21H2および22H2システム
脆弱性サマリWindows Securityの警告が表示される問題
重大度なし
RCE不明
攻撃観測なし
PoC公開なし

vulnerability
2023-07-06 07:27:36

脆弱性

CVECVE-2023-3269
影響を受ける製品Linuxカーネルバージョン6.1から6.4までのすべてのカーネル構成
脆弱性サマリStackRotと呼ばれる脆弱性により、最小の権限でカーネルを侵害し特権を昇格させることが可能。
重大度不明
RCE不明
攻撃観測不明
PoC公開公開予定

incident
2023-07-05 15:03:34

被害状況

事件発生日2023年7月5日
被害者名Microsoft Teamsのユーザー
被害サマリ攻撃者はTeamsの外部アカウントから悪意のあるファイルを送信することができる不具合を利用してマルウェアを送信した。
被害額不明(予想)

攻撃者

攻撃者名不明(報道記事には特定の攻撃者名は記載されていない)
攻撃手法サマリ攻撃者はMicrosoft Teamsのセキュリティの問題を利用し、外部ユーザーとして偽装しながらマルウェアを送信した。
マルウェア不明
脆弱性Microsoft Teamsのファイル送信制限の不具合

incident
2023-07-05 14:16:47

被害状況

事件発生日不明
被害者名不明
被害サマリOPERA1ERサイバー犯罪グループは、モバイルバンキングサービスや金融機関を狙ったマルウェア、フィッシング、ビジネスメール詐欺(BEC)のキャンペーンを行っており、過去4年間で30回以上の攻撃を行い、アフリカ、アジア、ラテンアメリカの15カ国にわたって1100万ドルから3000万ドルの間の金額を盗んだと疑われている。
被害額1100万ドルから3000万ドル

攻撃者

攻撃者名不明
攻撃手法サマリOPERA1ERグループは、フランス語を話すメンバーで構成され、アフリカから活動しており、攻撃にはオープンソースのソリューション、一般的なマルウェア、MetasploitやCobalt Strikeなどのフレームワークが使用されている。また、スピアフィッシングのメールを通じて標的のネットワークに最初のアクセスを獲得し、Netwire、BitRAT、venomRAT、AgentTesla、Remcos、Neutrino、BlackNET、Venom RATなどのさまざまなマルウェアを含む第一段階のマルウェアを送り込んでいる。
マルウェアNetwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET, Venom RATなど
脆弱性不明

vulnerability
2023-07-05 14:10:00

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリRedEnergyはエネルギー、通信、機械部門を標的にしたスティーラー兼ランサムウェアの脅威。
重大度
RCE不明
攻撃観測不明
PoC公開なし

vulnerability
2023-07-05 10:46:00

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリ秘密情報がテキスト形式のファイルに格納されているとその情報が漏洩する可能性がある。
重大度なし
RCE不明
攻撃観測なし
PoC公開なし

incident
2023-07-05 10:00:39

被害状況

事件発生日2023年7月4日
被害者名Port of Nagoya(名古屋港)
被害サマリ名古屋港はランサムウェア攻撃の標的となり、コンテナターミナルの運営に影響が出ています。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェア不明
脆弱性不明

vulnerability
2023-07-05 09:00:00

被害状況

事件発生日Jul 05, 2023
被害者名不明
被害サマリnpm(Node.jsのJavaScriptランタイム環境用のパッケージマネージャ)のレジストリが、**マニフェストの混乱**攻撃に対して脆弱性があり、脅威アクターがマルウェアをプロジェクトの依存関係に隠蔽したり、任意のスクリプトの実行を行ったりする可能性がある。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリマニフェストの混乱攻撃
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品Node.js
脆弱性サマリマニフェストの混乱により、マルウェアを隠すことができる
重大度
RCE
攻撃観測
PoC公開

other
2023-07-05 08:38:00
- InstagramのTwitterの代替となるアプリ「Threads」のヨーロッパでのローンチがプライバシーの懸念から中止されることが報じられた
- アイルランドのデータ保護委員会(DPC)によると、Meta(旧Facebook)は新製品について対話を行っており、EU地域でのリリースは「この時点では行われない」と確認された
- ThreadsはMetaが7月6日にローンチする予定のTwitterに対抗するアプリであり、「テキストベースの会話アプリ」とされている
- アプリストアの「アプリのプライバシー」セクションによると、このアプリはユーザーの様々なデータを収集する予定であることが示されている
- DPCはThreadsのローンチを積極的にブロックしているわけではないが、Metaは厳しいプライバシー保護があるこの地域にサービスを提供する際は慎重なアプローチを取っていると考えられている。

vulnerability
2023-07-04 17:58:00

脆弱性

CVEなし
影響を受ける製品Google Analyticsを使用している企業
脆弱性サマリ米国政府の監視によるリスク
重大度不明
RCE不明
攻撃観測不明
PoC公開不明

other
2023-07-04 15:19:18
- スウェーデンのプライバシー保護機関(IMY)は、Google Analyticsの使用により2つの企業に12.3百万SEK($1.1百万)の罰金を科し、同様の行為を行った2つの企業に警告を与えた。
- これは、企業がGoogle Analyticsを使用してウェブ統計を生成することにより、欧州連合の一般データ保護規則(GDPR)違反になるというもの。
- GDPR第46条(1)に違反し、個人データを安全かつ合法的な是正手段を提供しない国や国際組織に転送することを禁止している。
- 4つの企業が注意を受けた。それらは、Tele2 SA、CDON AB、Coop SA、Dagens Industriという企業である。
- これにより、Google Analyticsの使用は違法とされ、他の企業もEUの規則に準拠するために戦略を調整する可能性がある。

vulnerability
2023-07-04 11:01:16

脆弱性

CVEなし
影響を受ける製品NPMパッケージ
脆弱性サマリNPMパッケージのマニフェストの不一致により、マルウェアが依存関係やスクリプトを隠し、インストール時に実行する可能性がある。
重大度不明
RCE不明
攻撃観測不明
PoC公開なし

incident
2023-07-04 10:44:00

被害状況

事件発生日2023年7月4日
被害者名不明
被害サマリDDoSia攻撃ツールによるDDoS攻撃で、複数の部門が標的とされた。
被害額不明(予想)

攻撃者

攻撃者名NoName(057)16というプロロシアのハッカーグループに帰属
攻撃手法サマリDDoSia攻撃ツールを使用した分散型サービス拒否(DDoS)攻撃
マルウェアDDoSia
脆弱性不明

incident
2023-07-04 09:58:00

被害状況

事件発生日2021年6月から2023年4月
被害者名不明
被害サマリAndroidモバイルマルウェアキャンペーンによる金融機関への攻撃。スペインとチリの銀行が特に標的とされており、35万ユーロ以上が盗まれ、数千人の被害者の個人情報が漏洩した。
被害額35万ユーロ以上

攻撃者

攻撃者名Neo_Net
攻撃手法サマリSMSフィッシングを用いた攻撃。また、ローグAndroidアプリを偽装したセキュリティソフトウェアを使用してSMSベースの2要素認証コードを盗む。
マルウェア不明
脆弱性不明

vulnerability
2023-07-04 06:58:00

脆弱性

CVECVE-2023-27997
影響を受ける製品Fortinet FortiOSおよびFortiProxy SSL-VPNアプライアンス
脆弱性サマリCVE-2023-27997は、Fortinetのデバイスに影響を与える重大なセキュリティ脆弱性であり、特別に作成されたリクエストを介してリモートの攻撃者が任意のコードやコマンドを実行できる可能性があります。
重大度
RCE
攻撃観測不明
PoC公開不明

incident
2023-07-03 18:38:13

被害状況

事件発生日2023年6月上旬
被害者名Microsoft(マイクロソフト)
被害サマリハッカーグループの「Anonymous Sudan」がMicrosoftのサーバに侵入し、約3,000万人の顧客アカウントの資格情報を盗んだと主張した。
被害額不明(予想)

攻撃者

攻撃者名Anonymous Sudan(匿名のスーダン)
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-07-03 16:44:01

被害状況

事件発生日2022年12月から2023年7月
被害者名イギリス、フランス、スウェーデン、ウクライナ、チェコ、ハンガリー、スロバキアの大使館と外務省
被害サマリ中国の脅威行為者によるSmugXと呼ばれるフィッシングキャンペーンにより、欧州の政府機関がターゲットにされました。
被害額不明

攻撃者

攻撃者名中国の脅威行為者(Mustang PandaおよびRedDeltaとも関連あり)
攻撃手法サマリフィッシングメールを使用し、HTMLスマグリング技術を利用して攻撃を行いました。
マルウェアPlugXリモートアクセストロイジャン(RAT)
脆弱性不明

other
2023-07-03 14:15:34
- Microsoft Edgeの"Edge Secure Network"機能が強化され、提供されるデータ量が1GBから5GBに増えた。
- Edge Secure NetworkはCloudflareのルーティングを使用してインターネット接続を暗号化し、ハッキングなどのオンライン脅威からデータを保護する。
- Edge Secure Networkを利用するためにはMicrosoftアカウントでサインインする必要があり、月間のデータ使用量を監視するために必要である。
- Microsoftアカウントの同期も活性化され、ブラウジングデータがすべてのサインインしたMicrosoft Edgeのバージョンで利用可能になる。
- Edge Secure NetworkはVPNのすべての機能を代替するわけではないが、ISPにブロックされたTorrentサイトにアクセスすることができる。

vulnerability
2023-07-03 13:25:00

被害状況

事件発生日2022年12月以降
被害者名外交省およびヨーロッパの大使館
被害サマリ中国の国家主導のグループがHTMLスマグリング技術を使用してコンピュータにPlugXリモートアクセストロイアンを送り込みました。被害は中国の脅威行為と関連付けられるプラグインで、中国の対欧州の焦点移転の一環です。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリHTMLスマグリングを使用した攻撃
マルウェアPlugX
脆弱性不明

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリChinese Hackers Use HTML Smuggling to Infiltrate European Ministries with PlugX
重大度なし
RCE不明
攻撃観測
PoC公開不明

vulnerability
2023-07-03 11:54:58

被害状況

事件発生日2023年7月3日
被害者名Fortinet
被害サマリ30万台以上のFortiGateファイアウォールが、CVE-2023-27997という重大なセキュリティ上の問題により脅威にさらされている。この脆弱性は、FortiOSと呼ばれるオペレーティングシステムのHeap-based buffer overflow問題により生じたリモートコード実行であり、9.8/10の深刻度を持つ。攻撃者は認証されていない状態でWeb上のSSL VPNインターフェースにアクセスすることで、脆弱なデバイス上でリモートでコードを実行することができる。ベンダーは6月中旬の勧告で、この問題が攻撃に悪用されている可能性があると警告していた。
被害額情報なし

攻撃者

攻撃者名不明
攻撃手法サマリこの脆弱性を悪用した攻撃手法は、情報なし。
マルウェア情報なし
脆弱性CVE-2023-27997

脆弱性

CVECVE-2023-27997
影響を受ける製品Fortinet firewalls
脆弱性サマリFortiOSのheap-based buffer overflowの問題によるリモートコード実行が可能である。
重大度9.8/10
RCE
攻撃観測
PoC公開

vulnerability
2023-07-03 11:30:00

脆弱性

CVEなし
影響を受ける製品WordPress
脆弱性サマリWordPressのスパム保護機能の改善
重大度なし
RCE不明
攻撃観測
PoC公開

vulnerability
2023-07-03 10:48:00

脆弱性

CVECVE-2021-25394, CVE-2021-25395, CVE-2021-25371, CVE-2021-25372, CVE-2021-25487, CVE-2021-25489, CVE-2019-17621, CVE-2019-20500
影響を受ける製品Samsungのスマートフォン、D-Linkのデバイス
脆弱性サマリ脆弱性の詳細は記載されていない
重大度CVSS scoreによると、6.4から9.8の範囲の重大度がある
RCE
攻撃観測攻撃が行われているとの情報はない
PoC公開情報なし

vulnerability
2023-07-03 09:38:00

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリMeduza StealerというWindowsベースの情報収集マルウェアが今アクティブに開発中で、検知を回避するための技術を備えている。
重大度不明
RCE
攻撃観測
PoC公開

incident
2023-07-03 04:46:00

被害状況

事件発生日不明
被害者名不明
被害サマリBlackCatランサムウェアを通じてWinSCPに偽装されたマルウェアが広がっている。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリマリウス広告を利用してマルウェアを配布
マルウェア不明
脆弱性不明

other
2023-07-02 15:05:00
- Twitterのボットスパムの問題が悪化している
- ポルノボットがアダルトコンテンツを宣伝し、ダイレクトメッセージや相互作用に浸透している
- マルウェアの研究グループであるMalwareHunterTeamが複数のスパムアカウントを指摘
- ポルノボットはインタラクションの一環として「いいね」を送り、ユーザーに自分のプロフィールを見るよう誘導し、そのプロフィールに掲載されたリンクをクリックさせる
- Twitterはボットアカウントを凍結しているが、問題が解決されていない

vulnerability
2023-07-02 14:17:34

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリ[一行サマリ]
重大度なし
RCE
攻撃観測
PoC公開不明

incident
2023-07-01 15:18:09

被害状況

事件発生日不明
被害者名不明
被害サマリBlackCatランサムウェアグループは、WinSCPの公式ウェブサイトを模倣した偽のページを作成し、マルウェアを含んだインストーラーを流布しています。攻撃目的は、システム管理者、ウェブ管理者、IT専門家のコンピューターへの感染であり、貴重な企業ネットワークへの初期アクセスを狙っています。
被害額不明(予想)

攻撃者

攻撃者名BlackCatランサムウェアグループ (ALPHV)
攻撃手法サマリBlackCatランサムウェアグループは、WinSCPの公式ウェブサイトを模倣した偽のページを作成し、マルウェアを含んだインストーラーを流布しています。
マルウェア不明
脆弱性不明

vulnerability
2023-07-01 07:25:00

被害状況

事件発生日2023年7月1日
被害者名WordPressウェブサイトのユーザー
被害サマリUltimate Memberプラグインの未修正のセキュリティ脆弱性を悪用して、攻撃者が秘密の管理者アカウントを作成している。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリUltimate Memberプラグインのセキュリティ脆弱性を悪用して、管理者権限を持つ新しいユーザーアカウントを作成する。
マルウェア不明
脆弱性CVE-2023-3460

脆弱性

CVECVE-2023-3460
影響を受ける製品Ultimate Member plugin
脆弱性サマリUltimate Memberプラグインの重大な未修正のセキュリティ脆弱性を利用して、秘密の管理者アカウントを作成するハッカーが突然攻撃を行っている。
重大度
RCE
攻撃観測
PoC公開不明

vulnerability
2023-07-01 05:58:00

脆弱性

CVEなし
影響を受ける製品macOS
脆弱性サマリApple macOSの脆弱性"Rustbucket"が改良され、セキュリティソフトに検出されないような持続性を持つ
重大度なし
RCE
攻撃観測不明
PoC公開不明

incident
2023-06-30 21:33:18

被害状況

事件発生日2023年6月30日
被害者名ニューヨーク市教育局、Siemens Energy、他
被害サマリ - ニューヨーク市教育局のMOVEit Transferサーバから45,000人分の学生情報がハッカーによって盗まれた。
- シーメンス・エナジーでもMOVEitデータ盗難攻撃があり、データが盗まれたことを確認した。
- LockBitランサムウェアの関連グループが、世界最大の半導体メーカーである台湾半導体製造(TSMC)に対して攻撃を行ったと主張したが、TSMCはこれを否定し、攻撃はサードパーティベンダーのセキュリティ侵害だと発表した。
- AkiraランサムウェアはVMware ESXiサーバーをターゲットにするためのLinuxバージョンを登場させた。 - 8Baseランサムウェアグループは、2023年6月から、2重の身代金要求攻撃を世界中の組織に対して行っている。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェアLockBit、Akira、Phobos、他
脆弱性MOVEit Transferのゼロデイ脆弱性

vulnerability
2023-06-30 19:49:54

被害状況

事件発生日2023年6月30日
被害者名Ultimate Member WordPressプラグインのユーザー
被害サマリハッカーがUltimate Member WordPressプラグイン内のゼロデイ特権昇格の脆弱性(CVE-2023-3460)を悪用し、ウェブサイトを侵害し、セキュリティ対策をバイパスしてローグの管理者アカウントを登録しました。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリハッカーは、Ultimate Memberプラグインの登録フォームを使用して、自分のアカウントのユーザーメタ値を設定することで、このゼロデイを悪用しています。
マルウェア不明
脆弱性ゼロデイ特権昇格の脆弱性(CVE-2023-3460)
脆弱性
CVECVE-2023-3460
影響を受ける製品Ultimate Member WordPress plugin
脆弱性サマリ'Ultimate Member' WordPressプラグインの特権昇格のゼロデイ脆弱性が攻撃者によって悪用され、セキュリティ対策をバイパスし、不正な管理者アカウントを登録することでウェブサイトを侵害することが可能となっています。
重大度
RCE
攻撃観測
PoC公開不明

other
2023-06-30 19:38:00
- Twitterは、アカウントを持っていないユーザーはログインする必要があり、Webおよびモバイルアプリでアクセスできないようになりました。
- ツイッターにログインしていない場合、ログイン画面にリダイレクトされ、アカウントにログインするか、新規登録するよう促されます。
- ツイッターは、データスクレイピングを防ぐための取り組みの一環として、プラットフォームへのアクセスをさらに制限した可能性があると考えられています。
- この変更により、一部のユーザーはリダイレクトループに陥り、ログインページにアクセスできなくなるなど、問題が発生しています。
- ツイッターは公式のサポートアカウントやブログを通じてこの変更の動機についてまだ発表していません。

参考記事:https://www.bleepingcomputer.com/news/security/twitter-now-forces-you-to-sign-in-to-view-tweets/

incident
2023-06-30 18:47:52

被害状況

事件発生日2023年6月30日
被害者名不明
被害サマリ攻撃者はProxywareサービスを介して、ハッキングされたSSHサーバーの帯域幅を利用し、報酬を得ています。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリProxyjacking(ハッキングされたSSHサーバーの帯域幅を利用する)
マルウェア情報なし
脆弱性情報なし

vulnerability
2023-06-30 16:45:31

脆弱性

CVEなし
影響を受ける製品Akira ransomware
脆弱性サマリAkiraランサムウェアの無料のデクリプタがリリースされ、被害者は身代金を支払わずにデータを回復できる。
重大度なし
RCE不明
攻撃観測
PoC公開

incident
2023-06-30 16:24:37

被害状況

事件発生日不明
被害者名不明
被害サマリアメリカの複数の業界部門の組織が分散型サービス拒否(DDoS)攻撃を受けた後、米国のサイバーセキュリティとインフラストラクチャセキュリティ機関(CISA)が警告を発した。
被害額(予想)不明

攻撃者

攻撃者名不明
攻撃手法サマリ分散型サービス拒否(DDoS)攻撃
マルウェア不明
脆弱性不明

incident
2023-06-30 13:54:00

被害状況

事件発生日2023年6月30日
被害者名不明
被害サマリイランのイスラム革命防衛隊(IRGC)に関連する国家支援のハッカーグループである"Charming Kitten"が、ターゲットを狙ったスピアフィッシングキャンペーンを実行し、"POWERSTAR"と呼ばれるフル機能を備えたPowerShellバックドアの最新バージョンを配信していた。
被害額不明(予想)

攻撃者

攻撃者名"Charming Kitten"(別名:APT35、Cobalt Illusion、Mint Sandstorm、Yellow Garuda)
攻撃手法サマリスピアフィッシングキャンペーンによるターゲットへの誘導と、PowerShellバックドア(POWERSTAR)を使用したリモートコマンド実行、情報収集、モジュールのダウンロード・実行など
マルウェアPOWERSTAR, PowerLess, BellaCiao
脆弱性Log4Shell(公開されたJavaアプリケーションの脆弱性)

incident
2023-06-30 13:45:30

被害状況

事件発生日不明
被害者名TSMC (Taiwan Semiconductor Manufacturing Company)
被害サマリLockBitランサムウェアのグループがTSMCから盗んだデータの公開を止めるために、7000万ドルの身代金を要求している。
被害額不明(予想)

攻撃者

攻撃者名LockBitランサムウェアグループの一員(詳細不明)
攻撃手法サマリLockBitランサムウェアによる攻撃
マルウェアLockBitランサムウェア
脆弱性不明

other
2023-06-30 11:31:00
- AIツールの普及により、組織の運営方法が変わりつつある
- AIツールの使用状況を把握することは、セキュリティにとって非常に重要
- AIツールの潜在的なリスクを評価し、対策を講じるためには、使用状況の把握が必要
- AIツールに与えられたパーミッションを確認し、セキュリティ対策を実施することが重要
- AIアプリケーションの使用状況を把握することで、組織はSaaSエコシステムを効果的に管理することができる

other
2023-06-30 09:04:00
- WhatsAppがプロキシ機能のアップグレードを行った
- 画像、音声メモ、ファイル、ステッカー、GIFの送受信が可能になった
- 簡単なセットアッププロセスと共有可能なリンクの導入も行われた
- プロキシサーバーのサポートにより、政府による検閲やインターネット封鎖を回避できるようになった
- インターネット封鎖は世界中で増えており、2022年には187回、2023年の5ヶ月間で80回実施された

(出典:The Hacker News)

incident
2023-06-30 08:31:00

被害状況

事件発生日2023年6月30日
被害者名不明
被害サマリサイバー犯罪者が脆弱なSSHサーバーを乗っ取り、プロキシネットワークに参加させる試みが行われています。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリサイバー犯罪者が脆弱なSSHサーバーに侵入し、プロキシネットワークに参加させるためにマルウェアを利用しています。
マルウェア不明
脆弱性脆弱なSSHサーバー

vulnerability
2023-06-30 05:44:00

被害状況

事件発生日2023年6月30日
被害者名不明
被害サマリMITREが2023年の最も危険なソフトウェアの脆弱性のリストを公開した。これらの脆弱性はソフトウェアに重大な脆弱性を引き起こすものであり、攻撃者はこれらの脆弱性を悪用してシステムを乗っ取ったり、データを盗んだり、アプリケーションを動作させないようにしたりすることができる。
被害額(予想)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリMITREが2023年の最も危険なソフトウェアの弱点のリストを公開
重大度なし
RCEなし
攻撃観測なし
PoC公開なし

other
2023-06-29 18:59:24
- YouTubeがad blockerを使用しているユーザーに対して、3つのビデオ視聴制限を実施するテストを行っている。
- プレミアムプランに登録するか、ad blockerを無効にするかの2つの選択肢がある。
- 「広告は数十億人のユーザーが無料でYouTubeを利用できるようにするためのものです。YouTube Premiumに登録すると広告を非表示にできます」という警告メッセージが表示される。
- テストの一環として、ad blockerを使用している視聴者はad blockerの無効化やYouTubeの広告の表示を許可、またはYouTube Premiumに登録することができる。
- テストの地域や人数については明らかにされていない。

other
2023-06-29 17:39:41
- 新しいEarlyRATマルウェアが北朝鮮のAndarielハッキンググループに関連付けられている
- AndarielはLazarus北朝鮮の国家スポンサーハッキンググループのサブグループで、Intellectual propertyを収集するためにDTrackモジュラーバックドアを使用する
- EarlyRATはシステム情報を収集し、攻撃者のC2サーバーに送信するためのツール
- EarlyRATのセカンダリ機能は、感染したシステムでコマンドを実行し、追加のペイロードをダウンロードしたり、重要なデータを流出させたり、システムの操作を妨害することがある
- Kasperskyは、EarlyRATの活動は経験の浅い人間オペレーターによって実行されているように思われると述べている。

other
2023-06-29 17:00:00
- Microsoft rolls out early Windows Copilot preview to Insiders
- Windows Copilot is an AI-powered personal assistant
- It provides centralized AI assistance to customers
- It can be accessed through a taskbar button or keyboard shortcut
- The Windows Copilot panel remains pinned on the side of the screen
- Windows Copilot allows users to issue commands and modify settings
- Example commands include changing to dark mode and taking screenshots
- It currently offers a limited set of Windows settings plugins
- Third-party plugin support is not available yet
- Microsoft plans to enhance the Windows Copilot experience based on user feedback
- The early preview focuses on the integrated UI experience
- More functionality will be added in future previews
- Windows Copilot replaces Cortana as the built-in Windows personal assistant
- Cortana support will end in late 2023
- Windows and Edge still have powerful AI capabilities for productivity features

vulnerability
2023-06-29 16:28:07

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリMITREが過去2年間にリリースされたソフトウェアの中で最も危険な25のソフトウェアバグを公開
重大度なし
RCEなし
攻撃観測なし
PoC公開なし

vulnerability
2023-06-29 16:01:00

被害状況

事件発生日2023年2月
被害者名Technion(イスラエルの研究所)
被害サマリイランの国家スポンサーされたグループ、MuddyWaterによる攻撃で、PhonyC2フレームワークが使用されました。
被害額(不明)

攻撃者

攻撃者名MuddyWater(イランのMinistry of Intelligence and Securityが関与とされる)
攻撃手法サマリPhonyC2フレームワークを使用したコマンドアンドコントロール(C2)フレームワークによる攻撃
マルウェア(不明)
脆弱性(不明)

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリイランのサイバースパイグループMuddyWaterが新たなコマンドアンドコントロール(C2)フレームワーク「PhonyC2」を使用
重大度不明
RCE不明
攻撃観測不明
PoC公開不明

incident
2023-06-29 15:40:00

被害状況

事件発生日2023年6月
被害者名西側組織
被害サマリDDoSiaプロジェクトによる西側組織へのDDoS攻撃
被害額不明

攻撃者

攻撃者名NoName057(16)
攻撃手法サマリDDL(decentralized denial of service)
マルウェア不明
脆弱性不明

vulnerability
2023-06-29 14:56:35

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリProtonがオープンソースのパスワードマネージャーを限定的な機能で提供
重大度なし
RCE不明
攻撃観測なし
PoC公開なし

vulnerability
2023-06-29 14:02:04

脆弱性

CVEなし
影響を受ける製品Criminal IPのサービスとシステム
脆弱性サマリ脆弱性の特定と報告を促すためのバグバウンティプログラムの導入
重大度なし
RCE不明
攻撃観測なし
PoC公開不明

vulnerability
2023-06-29 13:40:00

脆弱性

CVEなし
影響を受ける製品Android
脆弱性サマリFluhorseは、フラッター(Flutter)コード内で悪意のあるコンポーネントを組み込むことで、Androidのマルウェアとして動作します。
重大度不明
RCE
攻撃観測不明
PoC公開不明

other
2023-06-29 10:56:00
- サイトは3.76+万人のユーザーに信頼されている
- ホーム、ニュースレター、ウェビナーなどのメニューがある
- CTI(サイバー脅威インテリジェンス)とAIの組み合わせが重要であり、データの品質が鍵となる
- CTIは一般的にデータが膨大であるため、混乱と非効率をもたらすことがある
- Cybersixgill IQはAIを活用し、信頼性の高い情報提供と即時かつ正確な回答を可能にする

incident
2023-06-29 10:49:00

被害状況

事件発生日不明
被害者名不明
被害サマリ北朝鮮のハッカーグループであるAndarielが新たなマルウェアEarlyRatを使用した攻撃を実施
被害額(予想)

攻撃者

攻撃者名Andariel
攻撃手法サマリLog4jの脆弱性を悪用し、EarlyRatマルウェアを使用した攻撃
マルウェアEarlyRat, Maui, Dtrack, NukeSped, MagicRAT, YamaBot
脆弱性Log4j Log4Shell

vulnerability
2023-06-29 10:34:00

被害状況

事件発生日2023年6月21日
被害者名LetMeSpyのユーザー
被害サマリ未承認の第三者により、数千人のAndroidユーザーに関連する個人情報が盗まれた。
被害額(予想)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品LetMeSpy(Androidベースの監視アプリ)
脆弱性サマリ未承認の第三者によるデータ侵害が発生し、ユーザーの個人データが漏洩
重大度不明
RCE不明
攻撃観測
PoC公開なし

incident
2023-06-29 10:33:01

被害状況

事件発生日2023年6月29日
被害者名不明
被害サマリWindowsの検索とスタートメニューが反応しなくなり、一部のWindowsアプリケーションが開かなくなる問題が発生。WindowsでOfficeがClickToRunを使用して展開されたシステムでは、アクセス許可が破損することも。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-29 09:10:30

被害状況

事件発生日不明
被害者名不明
被害サマリTrellix Endpoint Security AgentのExploit Guardモジュールによって、一部のMicrosoft Officeおよびサードパーティアプリが2023年6月の累積更新プログラムのインストール後に開けなくなるという互換性の問題がありました。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

vulnerability
2023-06-29 07:24:00

脆弱性

CVECVE-2023-2982
影響を受ける製品miniOrange's Social Login and Register plugin for WordPress
脆弱性サマリWordPressのSocial Loginプラグインには、認証バイパスの脆弱性があります。ユーザーが提供したメールアドレスの情報が既に不正なアクターに知られている場合、この脆弱性を利用してログインできます。
重大度
RCE
攻撃観測
PoC公開

incident
2023-06-29 04:48:00

被害状況

事件発生日Jun 29, 2023
被害者名不明
被害サマリ新たに発見されたThirdEyeというWindowsベースのマルウェアが、感染したホストから機密データを盗み出す能力を持っていることが判明しました。このマルウェアは、ロシア語で「CMK Правила оформления больничных листов.pdf.exe」という名前のPDFファイルを偽装した実行可能ファイルに偽装されていました。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリフィッシングキャンペーンで使用される可能性がありますが、具体的な攻撃手法は不明です。
マルウェアThirdEye
脆弱性不明

vulnerability
2023-06-28 21:28:25

脆弱性

CVEなし
影響を受ける製品Microsoft Sysmon
脆弱性サマリSysmon 15で、Sysmon.exeが保護プロセスに変換され、実行可能ファイルの作成をログに記録するようになった。
重大度なし
RCE不明
攻撃観測不明
PoC公開なし

vulnerability
2023-06-28 20:50:04

脆弱性

CVECVE-2023-26258
影響を受ける製品Arcserve UDP backup software
脆弱性サマリArcserve UDPの認証バイパスにより、攻撃者が認証を回避して管理者権限を取得できる
重大度
RCE不明
攻撃観測
PoC公開
この脆弱性は、ArcserveのUnified Data Protection (UDP) バックアップソフトウェアに存在し、認証が回避され、管理者特権が取得される可能性がある。Arcserveは、この脆弱性を修正するためにUDP 9.1をリリースした。この脆弱性については、CVE-2023-26258として追跡されている。この脆弱性により、ローカルネットワーク上の攻撃者が簡単に復号できる管理者の認証情報を取得した後、UDPの管理者インターフェースにアクセスすることができる。この管理者の認証情報により、脅威アクターはランサムウェア攻撃で対象のバックアップを消去することができる可能性がある。PoCのエクスプロイトコードやツールも公開されており、ローカルネットワーク上のデフォルトの設定を持つArcserve UDPインスタンスをスキャンするために使用したり、管理インターフェースで認証バイパスを利用して認証情報を取得および復号することができる。

incident
2023-06-28 18:51:17
エラーが発生しました。
記事ファイル名:../articles/20230628 185117_9b24ba5c35e8c0ac405e0e8b6f1cb83beb00878d3e494d9f505bc72b32b2666e.json
This model's maximum context length is 4097 tokens. However, you requested 4327 tokens (3303 in the messages, 1024 in the completion). Please reduce the length of the messages or completion. <> security_news_matomerukun.py:81

incident
2023-06-28 17:15:59

被害状況

事件発生日2023年6月28日
被害者名不明
被害サマリWindows 11およびWindows Serverのファイルエクスプローラーがクラッシュする問題
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

other
2023-06-28 15:44:40
- Brave Browserは、新しいローカルリソースの制限コントロールを導入し、ユーザーがサイトがローカルネットワークリソースにアクセスできる期間を指定できるようにする予定です。
- ローカルホストのリソースには、デバイス上のウェブプログラムが必要とする画像やファイルが含まれます。
- Braveは、セキュアな公開サイトからのリクエストでもローカルリソースへのアクセスをブロックする唯一のブラウザです。
- Braveは、デスクトップとAndroidのバージョン1.54から、より強力な機能を提供する予定です。
- Braveは、ローカルネットワークリソースへのアクセスを許可する信頼できるサイトのホワイトリストを維持および更新する予定です。

vulnerability
2023-06-28 15:05:00

脆弱性

CVEなし
影響を受ける製品ドローン
脆弱性サマリ電磁波攻撃により、ドローンの制御を乗っ取ることが可能
重大度
RCE
攻撃観測不明
PoC公開不明

vulnerability
2023-06-28 14:28:35
エラーが発生しました。
記事ファイル名:../articles/20230628 142835_e36ee1b2678aa489ebd2f29dd0897302f0a92028b2c8d224ad7fde8bde7c7c75.json
Bad gateway. {"error":{"code":502,"message":"Bad gateway.","param":null,"type":"cf_bad_gateway"}} 502 {'error': {'code': 502, 'message': 'Bad gateway.', 'param': None, 'type': 'cf_bad_gateway'}} {'Date': 'Wed, 28 Jun 2023 15:00:46 GMT', 'Content-Type': 'application/json', 'Content-Length': '84', 'Connection': 'keep-alive', 'X-Frame-Options': 'SAMEORIGIN', 'Referrer-Policy': 'same-origin', 'Cache-Control': 'private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0', 'Expires': 'Thu, 01 Jan 1970 00:00:01 GMT', 'Server': 'cloudflare', 'CF-RAY': '7de6c5140f21c434-EWR', 'alt-svc': 'h3=":443"; ma=86400'} <> security_news_matomerukun.py:81

incident
2023-06-28 14:01:02

被害状況

事件発生日不明
被害者名不明
被害サマリBEC攻撃が増加し、企業全体のインシデントデータセットの約50%を占める。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリCEO詐欺、アカウントの乗っ取り、偽の請求書、弁護士のなりすまし、データの窃取など多岐にわたる。
マルウェア不明
脆弱性不明

incident
2023-06-28 13:47:00

被害状況

事件発生日2023年6月28日
被害者名不明
被害サマリフランス語を話す投資家を標的にした詐欺リングによって、480百万ユーロの利益が得られた。
被害額480百万ユーロ

攻撃者

攻撃者名不明
攻撃手法サマリフランス語を話す投資家を標的とする投資詐欺
マルウェア不明
脆弱性不明

incident
2023-06-28 12:48:52

被害状況

事件発生日2023年6月28日
被害者名Microsoft Teamsの利用者
被害サマリMicrosoft Teamsのウェブおよびデスクトップクライアントへのアクセスがブロックされている
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

other
2023-06-28 10:44:00
- CISOs are now expected to solve the problem of securing operational technology (OT) environments.
- The OT world prioritizes availability over confidentiality, unlike the IT world, which focuses on protecting data through confidentiality.
- Segmentation is important in both OT and IT, with the Purdue Model serving as a framework for communication between systems in OT environments.
- In OT, downtime is not an option, so security controls must be implemented without disrupting operations.
- All access to OT environments should be monitored, controlled, and recorded, as OT systems are meant to run without human intervention.
- IT tools are not always compatible with OT environments, as they can interrupt OT processes and may not have the necessary resources.
- CISOs need to develop soft skills and seek support from experts to effectively secure OT environments.

incident
2023-06-28 10:15:00

被害状況

事件発生日2023年6月28日
被害者名不明
被害サマリ8Baseというランサムウェアが、2023年の5月と6月に「大規模な活動の増加」を示し、さまざまな業界に広がる被害者に対して暗号化と「ネーム・アンド・シェーム」の手法を使用して身代金を要求している。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリ8Baseは他のランサムウェアグループであるRansomHouseと非常によく似ており、被害マシンにドロップされた身代金要求メモとリークポータルで使用される言語に重複が見られる。
マルウェア8Base(その他のマルウェアの使用も含む)
脆弱性不明

other
2023-06-28 10:00:00
- 8Base ransomware gangが6月にダブルエクスタージョン攻撃を拡大
- ランサムウェアグループであるRansomHouseの派生である可能性も
- 8BaseはPhobos v2.9.1ランサムウェアをカスタマイズして使用している
- 8Baseは最近データリークサイトを立ち上げて注目を浴びている
- VMwareの報告書には、この脅威からシステムを保護するために利用できる関連情報が含まれている。

vulnerability
2023-06-28 07:24:00

被害状況

事件発生日2023年6月28日
被害者名Gentoo Soko
被害サマリGentoo Sokoに複数のSQLインジェクションの脆弱性があり、攻撃者はリモートコード実行を行うことができました。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリSQLインジェクション
マルウェア不明
脆弱性不明

脆弱性

CVECVE-2023-28424
影響を受ける製品Gentoo Soko
脆弱性サマリGentoo SokoにおけるSQLインジェクションの脆弱性により、リモートコード実行が可能となる。
重大度
RCE
攻撃観測不明
PoC公開不明

other
2023-06-27 19:23:08
エラーが発生しました。
記事ファイル名:../articles/20230627 192308_9508e2d240d0068c330f50cff5636cca24a5c4f002c0fef6cb4e847d0be86c15.json
The server is overloaded or not ready yet. <> security_news_matomerukun.py:81

other
2023-06-27 19:20:05
1. Windows 11の新機能「Moment3」が追加されたKB5027303プレビューアップデートがリリースされた。
2. このアップデートはセキュリティパッチではなく、7月のPatch Tuesdayリリースで導入される機能をテストするためのもの。
3. アップデートには、通知バッジ、VPNステータスアイコン、ポップアップ設定、CABCなどの新機能が含まれる。
4. 一部の機能はまだ有効になっていないが、7月の必須パッチリリースで標準的に有効になる予定。
5. アップデートは、セキュリティパッチを含め、Windows Updateから自動的にダウンロードまたは手動でダウンロードしてインストールできる。

incident
2023-06-27 18:11:47

被害状況

事件発生日不明
被害者名Siemens Energy
被害サマリSiemens EnergyがClop ransomwareによるデータ窃盗攻撃を受け、データが盗まれたことが確認された。
被害額不明

攻撃者

攻撃者名Clop ransomware
攻撃手法サマリMOVEit Transfer zero-day vulnerabilityを利用したデータ窃盗攻撃
マルウェア不明
脆弱性MOVEit Transfer zero-day vulnerability

incident
2023-06-27 18:06:33

被害状況

事件発生日2023年6月27日
被害者名米国政府機関
被害サマリCensysの調査により、50以上の連邦民間行政支部組織の攻撃面積を分析した結果、100以上のシステムに分散してインターネットアクセスにさらされた13,000を超えるホストを発見しました。その中には、IPv4アドレス経由でアクセスできるものが1,300以上あり、多数のネットワークアプライアンスの管理インタフェースへのアクセスを許可するものもありました。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリインターネットアクセスにさらされた脆弱なネットワークアプライアンスの管理インタフェースへのアクセスによる攻撃
マルウェア不明
脆弱性不明

vulnerability
2023-06-27 14:29:00

脆弱性

CVEなし
影響を受ける製品npmエコシステム
脆弱性サマリnpmエコシステムにおいて、一連のパッケージが実行チェーンを使用して未知のペイロードを配信される脆弱性が発見された。
重大度不明
RCE不明
攻撃観測
PoC公開不明
npmエコシステムにおいて、一連のパッケージが実行チェーンを使用して未知のペイロードを配信される脆弱性が発見された。この攻撃では、ペアで同時に動作する一連のパッケージが使用されており、1つ目のパッケージがリモートサーバーから取得したトークンをローカルに保存するように設計され、2つ目のパッケージがこのトークンを使用してHTTP GETリクエストを送信し、リモートサーバーから2番目のスクリプトを取得するという手順でペイロードを配信している。攻撃の成功には、パッケージのペアが正しい順序で、同じマシンで実行される必要があるとされている。攻撃が行われた日付は2023年6月11日であり、攻撃者についての情報は明らかにされていない。

vulnerability
2023-06-27 14:22:00

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリMockingjayプロセスインジェクション技術によってマルウェアが検出を回避できる可能性がある
重大度不明
RCE不明
攻撃観測なし
PoC公開なし
セキュリティ企業Security Joesによる報告によると、新しいプロセスインジェクション技術であるMockingjayは、脆弱なDLLを要求し、適切なセクションにコードをコピーすることによって、脆弱性ソリューションをバイパスして、攻撃者がコンピューターに悪意のあるコードを実行することができる可能性がある。この技術は、Windows APIを実行する必要がないため、従来のエンドポイント検出と応答システムによる検出が困難であるとされている。攻撃観測は現時点ではなし。

incident
2023-06-27 14:20:52

被害状況

事件発生日2020年(具体的日付は不明)
被害者名不明
被害サマリ暗号化されたモバイル通信プラットフォーム「EncroChat」のテイクダウンにより、世界中の6,600人が逮捕され、不正な資金$9.79億が押収された。
被害額約$9.79億

攻撃者

攻撃者名ユーザー(34.8%が組織犯罪関係者、33.3%が麻薬取引関係者)
攻撃手法サマリEncroChatの特殊な安全通信機能
マルウェア不明
脆弱性不明

incident
2023-06-27 14:19:11

被害状況

事件発生日2023年6月27日
被害者名アメリカの北部と南部の顧客
被害サマリMicrosoft 365のOutlook on the webからExchange Onlineのメールボックスにアクセスできない
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-27 14:19:11

被害状況

事件発生日2023年6月27日
被害者名Outlook Webの利用者
被害サマリNorth America地域およびSouth America地域の一部のユーザーがOutlook Webにアクセスできない
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

other
2023-06-27 14:02:04
-セキュリティに関する記事、VPN、ウイルス対策、チュートリアルなどの情報を提供するウェブサイトがある。 -ウェブサイトは、セッショントラックを発表したMandiantの2023 mWISEイベントを紹介している。 -イベントはワシントンDCで3日間開催され、ネットワーク、クラウド、脅威情報、サイバーリスク管理などの分野をカバーする6つのセッションがあり、価格は登録日が遅れるほど高くなる。 -ウェブサイトには、最新のニュース、VPNガイド、ウイルス対策ガイド、チュートリアル、ダウンロードがある。 -ウェブサイトには、フォーラム、スタートアップデータベース、アンインストールデータベース、ガイドライン、Eラーニングなど、他の様々なツールとリソースがある。
  1. ウェブサイトはセキュリティに関する記事、VPN、ウイルス対策、チュートリアルなどの情報を提供する。
  2. ウェブサイトは、Mandiantの2023 mWISEイベントで発表されたセッショントラックを紹介している。
  3. イベントは、ワシントンDCで3日間開催され、6つのセッションがあり、価格は登録日が遅れるほど高くなる。
  4. ウェブサイトには、最新のニュース、VPNガイド、ウイルス対策ガイド、チュートリアル、ダウンロードがある。
  5. ウェブサイトには、フォーラム、スタートアップデータベース、アンインストールデータベース、ガイドライン、Eラーニングなど、他のリソースがある。

incident
2023-06-27 13:00:00

被害状況

事件発生日不明
被害者名不明
被害サマリ新たなプロセスインジェクション技術「Mockingjay」が、EDR検知を回避して悪質なコードを実行する際に使用されていた。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリプロセスインジェクション技術(Mockingjay)の利用
マルウェア不明
脆弱性不明

vulnerability
2023-06-27 11:27:00

脆弱性

CVEなし
影響を受ける製品NetSPIの攻撃面管理ツール
脆弱性サマリ攻撃面発見だけでは不十分で、脆弱性特定、優先順位付け、対処が必要
重大度なし
RCE不明
攻撃観測不明
PoC公開なし
この記事では、NetSPIの攻撃面管理ツールについて、「攻撃面発見だけでは不十分で、脆弱性特定、優先順位付け、対処が必要」という脆弱性が報じられています。しかし、この脆弱性のCVE番号はなく、重大度やRCEの有無、攻撃観測やPoC公開についての情報は明示されていません。

incident
2023-06-27 11:23:00

被害状況

事件発生日2020年7月
被害者名不明、但し主に組織犯罪グループ
被害サマリEncroChatを通じて行われた麻薬取引、マネーロンダリング、脅迫、殺人計画などの犯罪活動が解明され、6,558人が逮捕された。また、現金739.7百万ユーロ、化学薬品30.5百万錠、コカイン103.5トン、大麻163.4トン、ヘロイン3.3トン、車971台、船83隻、飛行機40機、不動産271棟、銃923丁、弾薬21,750発及び爆発物68個が押収された。
被害額900百万ユーロ(押収金額)

攻撃者

攻撃者名不明、国籍などの特徴も明らかにされていない
攻撃手法サマリEncroChatという暗号化されたメッセージングプラットフォームを使った
マルウェア不明
脆弱性不明

incident
2023-06-27 10:32:00

被害状況

事件発生日2023年3月初頭以降
被害者名アメリカ、イギリス、ドイツ、オーストリア、スイスの銀行の顧客
被害サマリGoogle Play Storeからインストールされた、Anatsaバンキングトロイの情報窃取および不正転送攻撃
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明、国籍不詳
攻撃手法サマリGoogle Play Storeがバックドアに悪用され、Anatsaバンキングマルウェアを搭載したアプリが不正に配信された。
マルウェアAnatsa、TeaBot、Toddlerなどのバンキングトロイ
脆弱性Google Play Storeアプリの配信システムにある脆弱性が悪用された

vulnerability
2023-06-27 05:35:00

脆弱性

CVECVE-2023-33299
影響を受ける製品FortiNAC version 9.4.0から9.4.2、9.2.0から9.2.7、9.1.0から9.1.9、7.2.0から7.2.1、8.8全バージョン、8.7全バージョン、8.6全バージョン、8.5全バージョン、8.3全バージョン
脆弱性サマリFortiNAC Javaオブジェクトの不正な逆シリアル化による任意のコード実行の脆弱性(CWE-502)
重大度10点中9.6(高)
RCE
攻撃観測不明
PoC公開不明

other
2023-06-26 17:33:39
1. Windows 11にビルトインのパスキーマネージャーが導入される。
2. これにより、生体認証を使用したWebサイトやアプリへのログインがより安全になる。
3. パスキーは、コンピュータ、タブレット、スマートフォンなどにリンクされた一意のコードであり、フィッシング攻撃から保護する。
4. パスキーを使用することで、複数のパスワードを覚える必要がなく、ログイン速度も向上する。
5. Windows 11 Insider Preview Build 23486から、パスキーを使用してWebサイトやアプリケーションにログインすることができるようになった。

incident
2023-06-26 17:21:29
エラーが発生しました。
記事ファイル名:../articles/20230626 172129_55001574f0f4cbbcecd8818b54231cbdc1cccb946d42c9dd9fd785c18380c315.json
The server is overloaded or not ready yet. <> security_news_matomerukun.py:81

vulnerability
2023-06-26 16:46:00

脆弱性

CVEなし
影響を受ける製品LEDのあるデバイス
脆弱性サマリLEDの明滅を解析することで暗号鍵を盗むことができる
重大度
RCE不明
攻撃観測不明
PoC公開なし
LEDの明滅によってデバイスの電力消費量が変化することから、この明滅を監視することで、スマートカードリーダーから暗号鍵を盗むことができる脆弱性があることが示された。この攻撃はLEDの存在する多くのデバイスで実行可能であり、攻撃者がiPhoneやインターネット接続の監視カメラなどでこの攻撃を試みることができる。ただし、16メートル離れたところに設置されたカメラから65分間の映像記録が必要であるため、実行上の制限が存在する。_LEDのメーカーが、電力消費の変動を減らすためにコンデンサを内蔵するか、黒いテープでLEDを覆うことが推奨されている。_

incident
2023-06-26 16:39:22

被害状況

事件発生日不明
被害者名不明
被害サマリPindOSと名付けられたマルウェアがBumblebeeとIcedIDマルウェアを配信し始めた。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリJavaScriptのマルウェアドロッパであるPindOSを使用して攻撃を行った。
マルウェアBumblebeeマルウェアとIcedIDマルウェア
脆弱性不明

incident
2023-06-26 16:15:39

被害状況

事件発生日2023年6月5日
被害者名ニューヨーク市教育局
被害サマリニューヨーク市教育局の45,000人の生徒の個人情報(社会保障番号、社員ID番号など)が含まれる約19,000のドキュメントがMOVEit Transferサーバーから盗まれた。
被害額不明(予想される被害額情報なし)

攻撃者

攻撃者名Clop Ransomwareグループ
攻撃手法サマリ既存の脆弱性(CVE-2023-34362)を利用して、MOVEit Transferサーバーに悪意のあるファイルを送信し、個人情報を盗む
マルウェア不明
脆弱性CVE-2023-34362

vulnerability
2023-06-26 14:05:10

被害状況

事件発生日2023年6月26日
被害者名不明
被害サマリ暗いウェブフォーラムと違法なTelegramコミュニティにおけるサイバー犯罪の共通脅威についての記事
被害額不明(記事に記載なし)

攻撃者

攻撃者名不明
攻撃手法サマリ暗いウェブフォーラムとTelegramを介した様々なタイプのサイバー犯罪の共通点
マルウェア特定されていない
脆弱性特定されていない

脅威行為者:ダークウェブフォーラムと不法なテレグラムコミュニティの比較

記事日付June 26, 2023
主な内容ダークウェブフォーラムとテレグラムの不法なコミュニティにおける脅威行為者の活動の違いと共通点についての比較記事。
共通する脅威行為金融詐欺、ボットネット、セキュリティ侵害、マーケットプレイスでのデータ販売など
ダークウェブフォーラムの特徴TOR経由でアクセス可能であり、より経験豊富なハッカーや、より高度な攻撃ベクターが多く集まっている。
テレグラムの不法なコミュニティの特徴アプリ内でセットアップ可能であり、初心者から中級レベルのサイバー犯罪者が多く参加している。攻撃自体は主にダークウェブフォーラムへ誘導されることが多い。
共通点両方のプラットフォームは、金銭的な詐欺行為や分散型サービス拒否の攻撃など、サイバー犯罪の温床であることが多い。また、運営方法によって規制を掛けることができる。

incident
2023-06-26 13:54:05

被害状況

事件発生日2022年7月26日
被害者名Monopoly Marketユーザー
被害サマリセルビア人男性がアメリカで「Monopoly Market」という名前のダークウェブの麻薬取引所を運営し、ウェブサイトを利用して違法麻薬の取引を支援した罪で告発された。2020年4月から2022年7月までの間に、ウェブサイトを通じて合計1800万ドル相当の違法薬物を取引したとされる。
被害額1800万ドル(約20億円)

攻撃者

攻撃者名Milomir Desnica(セルビア人男性)
攻撃手法サマリダークウェブを利用した麻薬の取引サイトの運営
マルウェア不明
脆弱性不明

incident
2023-06-26 13:27:48

被害状況

事件発生日不明
被害者名Petro-Canada
被害サマリカナダ全土のPetro-Canadaガソリンスタンドでは、親会社のSuncor Energyのサイバー攻撃による技術的な問題が原因で、クレジットカードまたはリワードポイントでの支払いができなくなっている。サイバー攻撃に対して、Suncor Energyは対策を講じ、当局に状況を通報している。顧客やサプライヤーとの取引にも影響が出ることが予想されている。
被害額不明(予想:数百万ドルから数千万ドル)

攻撃者

攻撃者名不明(特徴なし)
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-26 12:36:00
エラーが発生しました。
記事ファイル名:../articles/20230626 123600_530fcaa088147ebe99a0ed27903b9434313736a170f2ce9ec1cad6b92585748a.json
The server is overloaded or not ready yet. <> security_news_matomerukun.py:81

other
2023-06-26 11:12:00

被害状況

事件発生日不明
被害者名不明
被害サマリ企業が採用したAIツールや同様のプログラムによって、SaaSセキュリティに脆弱性が導入されている。
被害額不明(予想:被害額は記事には明記されていないが、特定の得られる金銭的な損失額は紹介された事例がないため不明。ただし、例えば、データ漏洩が発生した場合、企業が直面するリスクは莫大であるため、その損失額も巨大である可能性がある。)

攻撃者

攻撃者名不明(記事に明記なし)
攻撃手法サマリAIプログラムを利用してSaaSセキュリティの認証プロトコルを逃れ、パスワードを推測したり、マルウェアの改良を行うことができる。
マルウェア不明
脆弱性SaaSセキュリティの認証プロトコルに脆弱性がある。

脆弱性

CVEなし
影響を受ける製品SaaSソフトウェア
脆弱性サマリジェネレーティブAIを悪用することで、SaaS認証プロトコルをだますことができる
重大度不明
RCEなし
攻撃観測不明
PoC公開なし
脆弱性の概要: ジェネレーティブAIを悪用することで、SaaS認証プロトコルをだますことができる。認証プロトコルが弱く、これによってサイバー攻撃者が侵入しやすくなる。また、従業員が承認されていないAIツールをSaaSプラットフォームに接続すると、悪意のある第三者がこれらのツールを悪用し、扱うSaaSデータが認証もなく漏えいする可能性がある。さらに、機密情報をジェネレーティブAIツールに共有することで、これらの情報がAIプロバイダー、競合他社、一般の人々に漏洩する可能性がある。1. セキュリティリスクを十分に理解せずに従業員やビジネスリーダーが、ジェネレーティブAIソフトウェアを使用することで、企業に大きな脆弱性が導入されてしまう場合がある。 2. 攻撃者は、ジェネレーティブAIを悪用して、SaaS認証プロトコルを乗り越え、パスワード推測、CAPTCHAクラッキング、マルウェアの作成などを行うことができる。 3. 従業員がAIツールをSaaSプラットフォームに接続する際、企業の最も機密性の高いデータを漏えいさせてしまう可能性がある。 4. 多要素認証(MFA)や物理的セキュリティキーの導入と同時に、SaaS全体の可視性とモニタリングが必要であり、不審なログインアクティビティに対して自動アラートが必要である。 5. SaaS環境を保護するために、組織はAIツールのデータガバナンスのためのガードレールが必要であり、包括的なSaaSセキュリティツールとプロアクティブな異職種間の協力が必要である。 (注:箇条書きのために日本語の細かいニュアンスを省略している場合があります。) ```html
  1. セキュリティリスクを十分に理解せずに従業員やビジネスリーダーが、ジェネレーティブAIソフトウェアを使用することで、企業に大きな脆弱性が導入されてしまう場合がある。
  2. 攻撃者は、ジェネレーティブAIを悪用して、SaaS認証プロトコルを乗り越え、パスワード推測、CAPTCHAクラッキング、マルウェアの作成などを行うことができる。
  3. 従業員がAIツールをSaaSプラットフォームに接続する際、企業の最も機密性の高いデータを漏えいさせてしまう可能性がある。
  4. 多要素認証(MFA)や物理的セキュリティキーの導入と同時に、SaaS全体の可視性とモニタリングが必要であり、不審なログインアクティビティに対して自動アラートが必要である。
  5. SaaS環境を保護するために、組織はAIツールのデータガバナンスのためのガードレールが必要であり、包括的なSaaSセキュリティツールとプロアクティブな異職種間の協力が必要である。
```

incident
2023-06-26 10:54:00

被害状況

事件発生日2023年6月26日
被害者名政府、ITサービスプロバイダー、NGO、防衛、重要製造業の一部
被害サマリロシア国家系ハッカーグループであるMidnight Blizzard(旧名:Nobelium、APT29、Cozy Bear、Iron Hemlock、The Dukes)が住宅用プロキシサービスを使用して攻撃を隠蔽し、パスワードスプレー、ブルートフォース、トークン盗難技術を駆使した認証情報盗難攻撃を行った。また、セッション再生攻撃を使用して、確率的に不正取得されたセッションを突破口にクラウドのリソースに最初のアクセスを行ったと考えられる。
被害額不明(予想)

攻撃者

攻撃者名ロシア国家系ハッカーグループMidnight Blizzard
攻撃手法サマリパスワードスプレー、ブルートフォース、トークン盗難技術、セッション攻撃
マルウェア特定されていない
脆弱性特定されていない

other
2023-06-26 05:51:00
1. クラウドストライクによると、中国に存在する新たなサイバー国家アクター「ヴォルト・タイフーン」は、少数の特定のターゲットに対し、オープンソースツールを使用して長期的な悪意のある行為を行うことを強調している。
2. Vanguard Pandaの名前でこのアドバーサリーを追跡しているクラウドストライクによると、そのアドバーサリーは、ターゲットにリモートアクセスを維持するために、今まで見たことのないトレードクラフトを使用している。
3. ヴォルト・タイフーンは、米国政府、国防、そして他の重要なインフラ組織を狙ったネットワーク侵入作戦に関係しているとされている。
4. Vanguard PandaはWebシェルを使用して持続性を確保し、その目的を達成するために、悪意のあるバイナリーやゼロデイ脆弱性、Webシェルによる長期間の非活動など、Living Off The Land(LotL)の技術を使用している。
5. クラウドストライクによると、ヴォルト・タイフーンは、ManageEngine環境を侵害するためにCVE-2021-40539を利用した可能性があり、攻撃の過程で生成されたJavaソースファイルとコンパイルされたクラスファイルを消去し、作業を隠蔽しようとしたが、失敗に終わった。

incident
2023-06-25 14:36:18

被害状況

事件発生日不明
被害者名Windowsユーザー
被害サマリ人気のゲーム「スーパーマリオ3:マリオフォーエバー」の偽装インストーラーにマルウェアが仕込まれ、不特定多数のユーザーが感染した。
被害額不明(予想:被害額の概念がないため不明)

攻撃者

攻撃者名不明
攻撃手法サマリ人気のあるフリーゲームの偽装インストーラーにマルウェアを仕掛ける手法を利用
マルウェアMoneroマイニングプログラム、SupremeBot、Umbral Stealer
脆弱性不明

vulnerability
2023-06-24 15:30:00

被害状況

事件発生日2023年6月24日
被害者名不明
被害サマリ米国サイバーセキュリティ及びインフラストラクチャーセキュリティ庁(CISA)が6件の脆弱性を「既知の悪用された脆弱性(KEV)リスト」に追加、積極的な悪用が確認されたと発表。内訳は、Apple 3件、VMware 2件、Zyxelデバイス1件で、異常なメッセージを悪用し情報漏洩が行われたとされる。その中にはiOSの脆弱性2件が含まれ、10年にわたるサイバー諜報活動が行われていたものもある。
被害額不明(予想: 企業や組織への影響によって異なるため不明)

攻撃者

攻撃者名不明(Apple、VMware、Zyxelによる対応が報じられているが、攻撃者の身元は不明)
攻撃手法サマリiOSの脆弱性を悪用し、悪意のあるメッセージを送信して情報漏洩を行うゼロクリック攻撃が実施された。
マルウェアTriangleDB (iOSの脆弱性 CVE-2023-32434 と CVE-2023-32435 に関連する)
脆弱性AppleのiOSにある多数の脆弱性(CVE-2023-32434、CVE-2023-32435、CVE-2022-46690 など)を悪用した。Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) ソフトウェアスイートの3件の脆弱性(CVE-2023-2828、CVE-2023-2829、CVE-2023-2911)も悪用された。

脆弱性

CVECVE-2023-32434, CVE-2023-32435, CVE-2023-32439, CVE-2023-20867, CVE-2023-20887, CVE-2023-27992
影響を受ける製品Apple製品、VMware製品、Zyxelデバイス
脆弱性サマリApple製品にはゼロデイ攻撃でスパイウェアを展開するためのコード実行の脆弱性が3つあり、VMwareには2つ、Zyxelデバイスには1つあり、すべて既知の攻撃の影響を受けている。
重大度
RCE
攻撃観測
PoC公開不明
Apple製品には、CVE-2023-32434とCVE-2023-32435という2つの脆弱性があり、コード実行が可能で、これらはスパイウェアを展開するために長期にわたるサイバー攻撃でゼロデイ攻撃に使用されている。ZyxelデバイスにもCVE-2023-27992という脆弱性がある。攻撃者は、VMwareにあるCVE-2023-20867とCVE-2023-20887に対しても攻撃を行っている。CISAは、この問題に対して、ベンダーから提供されたパッチを適用することを推奨している。

vulnerability
2023-06-24 15:18:09

脆弱性

CVECVE-2023-3128
影響を受ける製品Grafana 6.7.0以降全てのバージョン
脆弱性サマリAzure Active Directoryを使うGrafanaアカウントが、メールアドレスの重複を利用されて認証を回避され、アカウントが乗っ取られる可能性がある
重大度9.4 (クリティカル)
RCE無し
攻撃観測不明
PoC公開不明
Grafanaは、Azure Active Directoryを使うアカウントについて、プロファイルメールの設定に基づいて認証している。しかし、このメールアドレスはAzure ADのテナント間で一意ではなく、脅威アクターが正規のGrafanaユーザーと同じメールアドレスを持つAzure ADアカウントを作成し、それを使用してアカウントを乗っ取ることができる可能性がある。この脆弱性は、Grafana 6.7.0以降のすべてのバージョンに存在する。Grafanaは、アップグレードを推奨している。また、アップグレードできない場合には、外部テナントからのログインを防ぎ、許可されたグループのメンバーのみをサポートする'allowed_groups'構成を追加することで、対応策を提供している。

incident
2023-06-24 15:18:00

被害状況

事件発生日2020年7月
被害者名Twitterのユーザー
被害サマリTwitterのバックエンドツールを利用し、130のアカウントをハイジャックし、約12万ドルを稼いだ暗号通貨詐欺
被害額約12万ドル

攻撃者

攻撃者名Joseph James O'Connor (aka PlugwalkJoe)
攻撃手法サマリバックエンドツールの悪用、SIMスワッピング攻撃
マルウェア不明
脆弱性Twitterのバックエンドツールの脆弱性

vulnerability
2023-06-24 14:15:30

脆弱性

CVEなし
影響を受ける製品LastPassパスワードマネージャー
脆弱性サマリカスタマーがログインできない
重大度
RCEなし
攻撃観測なし
PoC公開なし
※CVE番号はなしとして回答。

incident
2023-06-24 07:02:13
エラーが発生しました。
記事ファイル名:../articles/20230624 070213_dc8f421b1a20085c63b6312501264723df3c862a2371da1252bef2b24d7b5355.json
Bad gateway. {"error":{"code":502,"message":"Bad gateway.","param":null,"type":"cf_bad_gateway"}} 502 {'error': {'code': 502, 'message': 'Bad gateway.', 'param': None, 'type': 'cf_bad_gateway'}} {'Date': 'Sat, 24 Jun 2023 07:09:26 GMT', 'Content-Type': 'application/json', 'Content-Length': '84', 'Connection': 'keep-alive', 'X-Frame-Options': 'SAMEORIGIN', 'Referrer-Policy': 'same-origin', 'Cache-Control': 'private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0', 'Expires': 'Thu, 01 Jan 1970 00:00:01 GMT', 'Server': 'cloudflare', 'CF-RAY': '7dc31d4d1c5f4289-EWR', 'alt-svc': 'h3=":443"; ma=86400'} <> security_news_matomerukun.py:81

incident
2023-06-23 22:49:22

被害状況

事件発生日2023年2月[不明]
被害者名Reddit
被害サマリRedditにサイバー攻撃が実行され、データが盗まれた。盗まれたデータは80GBあるとされ、そのデータにはソースコードと広告主のデータが含まれている。攻撃者は4.5百万ドルの身代金を要求し、Redditはそれを拒否したため、データがリークされると脅迫した。
被害額不明

攻撃者

攻撃者名BlackCat
攻撃手法サマリデータ盗難
マルウェアなし(ランサムウェアを使用するグループであるため、注意が必要)
脆弱性不明

incident
2023-06-23 19:21:27

被害状況

事件発生日2023年6月6日
被害者名University of Manchesterの在校生および卒業生
被害サマリ攻撃者により、学生の宿泊施設を管理するシステムから、学生・卒業生の個人情報、研究データ、医療データ、警察報告記録、DRUG検査結果、データベース、人事文書、財務文書などを含めた7TBのデータが盗まれた。
被害額(不明)

攻撃者

攻撃者名(不明)
攻撃手法サマリ(不明)
マルウェア(不明)
脆弱性(不明)

vulnerability
2023-06-23 18:06:38

被害状況

事件発生日2023年6月23日
被害者名不明
被害サマリロシアのKasperskyが「Operation Triangulation」と呼ぶキャンペーンで、iOSのゼロデイ脆弱性を悪用してTriangulationスパイウェアをiMessageのゼロクリック攻撃で展開したことが判明した。攻撃対象者が国際的であることから、政府関係者も含まれている可能性がある。Appleは2023年6月23日に修正プログラムをリリースした。
被害額不明(予想:数千万ドル規模)

攻撃者

攻撃者名不明(ロシアの情報機関が関与している可能性がある)
攻撃手法サマリiMessageのゼロクリック攻撃を利用して、Triangulationスパイウェアを展開する
マルウェアTriangulationスパイウェア(複数のコンポーネントから構成されている)
脆弱性iOSのゼロデイ脆弱性(CVE-2023-32434およびCVE-2023-32435)を悪用した。また、WebKitのゼロデイ脆弱性(CVE-2023-32439)も悪用された。
【脆弱性】
CVECVE-2023-32434、CVE-2023-32435、CVE-2023-32439、CVE-2023-27992
影響を受ける製品iPhone、iPod touch、iPad、Apple Watch、Mac
脆弱性サマリiMessageのゼロクリック攻撃を利用したスパイウェアTriangulationによる侵入を許す、iOSの複数の脆弱性。
重大度
RCE不明
攻撃観測
PoC公開公開されていない。
【対象製品】 ・iPhone 8 以降、全てのiPad Pro、iPad Air 3 以降、iPad 第5世代以降、iPad mini 第5世代以降 ・iPhone 6s 全モデル、iPhone 7 全モデル、iPhone SE 第1世代、iPad Air 2、iPad mini 第4世代、iPod touch 第7世代 ・macOS Big Sur、Monterey、Venturaで動作するMac ・以下の全てのApple Watch: Series 4以降、Series 3、Series 4、Series 5、Series 6、Series 7、SE

incident
2023-06-23 16:19:51

被害状況

事件発生日2023年3月
被害者名BreachForums (またはBreached) ハッキングフォーラムのオーナーであるConor Fitzpatrick(別名Pompompurin)
被害サマリFBIによって、BreachForumsのドメインとPompompurinの個人サイトが押収された。これは、BreachForumsが何千万もの米国市民と数百の米国および外国企業、組織、政府機関の機密情報窃盗および販売に関与した疑いがあるため。
被害額不明

攻撃者

攻撃者名Pompompurin(Conor Fitzpatrick)
攻撃手法サマリBreachForumsの運営
マルウェア不明
脆弱性不明

incident
2023-06-23 15:06:33

被害状況

事件発生日2023年5月27日以降(不明)
被害者名Genworth Financial, Wilton Reassurance, CalPERS
被害サマリPBI Research Services (PBI)が運営するMOVEit Transferのゼロデイ脆弱性を悪用され、3つの企業から合わせて320万人分の個人情報が盗まれた。Clopランサムウェアグループが、被害者企業名をデータリークサイトに順次公開し、威圧的に身代金を要求している。
被害額不明(予想:被害企業の損失額が数千万ドルから数億ドル程度である可能性がある)

攻撃者

攻撃者名Clopランサムウェアグループ
攻撃手法サマリMOVEit Transferのゼロデイ脆弱性を悪用する攻撃
マルウェアClopランサムウェア
脆弱性MOVEit Transferのゼロデイ脆弱性

incident
2023-06-23 14:44:00

被害状況

事件発生日2022年後半〜2023年初
被害者名ビジネス・プロセス・アウトソーシング(BPO)産業関係者
被害サマリMuddled Libraという脅威アクターが、高度なソーシャルエンジニアリングの手法を使って、BPO業界に標的型攻撃を行った。アタックスタートはSmishing(スマートフォンのSMSを悪用したフィッシング)と0ktapus phishing kitを利用したフィッシング攻撃で行われ、データ窃盗と長期的な侵入が行われた。被害者企業に関する情報が不正利用されることで、お客様への攻撃や同じ被害者を再び攻撃するなど、多岐にわたる攻撃を行っていた。
被害額不明(予想)

攻撃者

攻撃者名Muddled Libra
攻撃手法サマリ高度なソーシャルエンジニアリング手法を利用したフィッシング攻撃とSmishing攻撃。
マルウェアMimikatz、Raccoon Stealerなどのクレデンシャル情報を窃取するツールが利用されていたが、特定のマルウェアについては報告なし。
脆弱性報告なし。

vulnerability
2023-06-23 12:42:02

脆弱性

CVECVE-2023-33299
影響を受ける製品FortiNAC 7.2.0 - 7.2.1, 8.3, 8.5, 8.6, 8.7, 8.8, 9.1.0 - 9.1.9, 9.2.0 - 9.2.7, 9.4.0 - 9.4.2
脆弱性サマリFortiNACにおける未検証のデータの逆シリアル化により、認証なしに遠隔コード実行が可能(CWE-502)
重大度9.6 (致命的)
RCE
攻撃観測不明
PoC公開不明

vulnerability
2023-06-23 10:50:00

被害状況

事件発生日不明
被害者名不明
被害サマリ本記事では被害に関する情報は含まれていない。
被害額予想されていないため不明

攻撃者

攻撃者名不明
攻撃手法サマリブラウザフィンガープリントというオンラインユーザーの識別技術に関する説明
マルウェア記事中には記載がない。
脆弱性記事中には記載がない。

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリブラウザのフィンガープリント情報に関する記事
重大度なし
RCE不明
攻撃観測なし
PoC公開なし
この記事はブラウザのフィンガープリントについての記事である。フィンガープリントはブラウザの属性情報を収集することによって、ユーザーごとに個別の情報を取得する技術である。収集される情報は画面の解像度、ロケーション、言語、オペレーティングシステムなどである。この情報を合わせて"デジタルフィンガープリント"と呼ばれるユーザーIDを作成することができる。また、このIDを使用することにより、ウェブサイトは個別のユーザーに応じたパーソナライズされたコンテンツを提供することができ、フィンガープリントを利用して不正アクセスを防ぐこともできる。この記事では、ブラウザのフィンガープリントの効果について、個人化、詐欺検出、ログインセキュリティの向上に焦点を当てた内容となっている。

incident
2023-06-23 10:40:00

被害状況

事件発生日Jun 23, 2023
被害者名不明
被害サマリJavaScriptドロッパーウイルスが新たに観測され、BumblebeeやIcedIDなどのペイロードを配信。
被害額不明(予想:非公表)

攻撃者

攻撃者名不明(特徴:ロシア語のコメントが出現)
攻撃手法サマリJavaScriptドロッパーウイルスを使用して、BumblebeeやIcedIDなどのペイロードを配信。
マルウェアPindOS、Bumblebee、IcedID。
脆弱性不明。

vulnerability
2023-06-23 09:13:00

脆弱性

CVECVE-2022-21894, CVE-2023-24932
影響を受ける製品Windows OS
脆弱性サマリWindows Secure BootをバイパスするUEFI bootkitであるBlackLotusによる攻撃が可能である。
重大度なし
RCE
攻撃観測
PoC公開不明
注:UEFI bootkitを使用して攻撃するBlackLotusについて、Windows Secure Bootの保護をバイパスすることができる脆弱性があります。こうした攻撃はすでに観測されていますが、RCEについては報告されていません。推奨の対策には、従業員の実行可能ファイルポリシーの強化やブートパーティションの整合性の監視が含まれます。 Microsoftは、2024年第1四半期には解決策を提供する予定です。

incident
2023-06-23 07:30:00

被害状況

事件発生日不明
被害者名LinuxシステムおよびIoTデバイスの所有者
被害サマリLinuxホストが攻撃され、アクセスが得られた後、マルウェアを用いて不正に暗号通貨をマイニングされた。
被害額不明(予想:膨大な量に上るため)

攻撃者

攻撃者名asterzeuという名前のアクター
攻撃手法サマリLinuxホストの攻撃、不正なマイニング活動、IRCボットの利用、およびDiamorphineおよびReptileと呼ばれるルートキットの利用
マルウェアZiggyStarTux、Diamorphine、Reptile
脆弱性Linuxホストの設定ミス、OpenSSHのパッチ済みバージョンの利用、およびSSHパスワードの乗っ取り

incident
2023-06-22 21:19:16

被害状況

事件発生日2023年6月22日
被害者名Microsoft 365ユーザー
被害サマリMicrosoft 365のOutlookやTeamsが起動しない、凍結するなどの問題が発生し、ユーザーが業務に支障をきたしている。一部のユーザーはメールが遅れたり、有効なライセンスがないというエラーが表示される。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-22 21:15:08

被害状況

事件発生日2023年6月22日
被害者名Microsoft Teams(MSチーム)
被害サマリMicrosoft Teamsには、外部ソースからのファイルが制限されているため、攻撃者は外部アカウントを利用して簡単にマルウェアを納品することができる。攻撃者は、内部アカウントとして扱われるように内部と外部受信者IDを変更することができるため、既存のセキュリティ対策を回避できる。
被害額不明

攻撃者

攻撃者名不明(英国のセキュリティサービス会社JumpsecのRed Teamメンバーによって発見された)
攻撃手法サマリMicrosoft Teamsの制限を克服することによる、外部アカウントを利用したマルウェア納品攻撃。
マルウェア不明
脆弱性Microsoft Teamsの外部アクセス機能

incident
2023-06-22 20:50:44

被害状況

事件発生日不明
被害者名不明
被害サマリBlackLotus UEFI bootkitマルウェアによる攻撃からシステムを保護する方法について、NSAがアドバイスを公開した。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリBlackLotus UEFI bootkitマルウェアを利用した攻撃
マルウェアBlackLotus UEFI bootkitマルウェア
脆弱性Secure Bootバイパスに関する脆弱性

incident
2023-06-22 19:04:05

被害状況

事件発生日2023年6月22日
被害者名ウクライナ政府機関
被害サマリロシアのサイバースパイであるAPT28が、ウクライナ政府機関のRoundcubeメールサーバーに侵入し、脆弱性(CVE-2020-35730、CVE-2020-12641、CVE-2021-44026)を悪用してサーバーに不正にアクセスし、メールや重要な情報を盗み出した。
被害額不明(予想:数十万ドル〜数百万ドル)

攻撃者

攻撃者名ロシアのサイバースパイであるAPT28(別名:BlueDelta、Fancy Bear)
攻撃手法サマリ脆弱性を悪用した攻撃手法
マルウェア特定されていない
脆弱性CVE-2020-35730、CVE-2020-12641、CVE-2021-44026など

incident
2023-06-22 19:03:53

被害状況

事件発生日2023年6月22日
被害者名ウクライナ政府機関のRoundcubeメールサーバーを使用している組織、プロセキュター事務所、および中央ウクライナ行政当局
被害サマリロシアのAPT28サイバースパイによって、CVE-2020-35730、CVE-2020-12641、CVE-2021-44026の脆弱性が悪用され、Roundcube Webmailソフトウェアに不正なアクセスが許可されました。攻撃者は収集、ハーベスト、およびRoundcubeアドレス帳、セッションクッキー、およびRoundcubeデータベース内に保存された他の貴重な情報を盗むために悪意のあるスクリプトを使用しました。攻撃の主な目的は、ウクライナの侵攻を支援するための軍事情報を流出させることでした。
被害額情報なし

攻撃者

攻撃者名ロシアのAPT28サイバースパイ
攻撃手法サマリCVE-2020-35730、CVE-2020-12641、CVE-2021-44026の脆弱性を悪用し、悪意のあるスクリプトを使用してRoundcubeメールサーバーを攻撃しました。
マルウェア情報なし
脆弱性CVE-2020-35730、CVE-2020-12641、CVE-2021-44026

incident
2023-06-22 17:53:34

被害状況

事件発生日2023年6月22日
被害者名D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear, and MediaTek
被害サマリMiraiボットネットが、22個の脆弱性を狙ってD-Link、Arris、Zyxel、TP-Link、Tenda、Netgear、MediaTekのデバイスを攻撃し、分散型サービス拒否(DDoS)攻撃に利用された
被害額不明(予想:数十万ドル以上)

攻撃者

攻撃者名Miraiボットネットの開発グループ
攻撃手法サマリ脆弱性を悪用したDDoS攻撃
マルウェアMiraiボットネット
脆弱性22個の脆弱性(詳細は記事を参照)

incident
2023-06-22 17:33:21

被害状況

事件発生日不明
被害者名インターネットに接続されたLinuxおよびIoTデバイス
被害サマリ最近確認された暗号マイニングのキャンペーンにおいて、ブルートフォース攻撃でLinuxおよびIoTデバイスが乗っ取られ、トロイの木馬化されたOpenSSHパッケージが展開され、付け加えられた公開キーによるSSHアクセスが可能になり、情報が収集され、ラットやルートキットがインストールされ、他のマイナーを除去されることが報告された。
被害額不明(予想:情報漏えい、暗号マイニングによる被害額があるため、数万ドル以上と推定される)

攻撃者

攻撃者名不明
攻撃手法サマリブルートフォース攻撃を使用してLinuxおよびIoTデバイスを乗っ取り、トロイの木馬化されたOpenSSHパッケージをデプロイすることで、SSHクレデンシャルを盗み、マルウェアを展開する。
マルウェアOpenSSHトロイの木馬、ZiggyStarTux IRCボット、ReptileおよびDiamorphineルートキット
脆弱性不明

incident
2023-06-22 16:58:00

被害状況

事件発生日2023年6月22日
被害者名不明
被害サマリインドとアメリカを標的にしたMULTI#STORMと呼ばれるフィッシング・キャンペーンが発生。ジャヴァスクリプトファイルを使用して、リモートアクセス型トロイのウイルスを侵入させた。
被害額不明(予想不可)

攻撃者

攻撃者名不明(国籍、所属不明)
攻撃手法サマリJavaScriptファイルのリンクを利用したフィッシング攻撃を実施し、受信者からパスワード保護ZIPファイルにアクセスさせて、リモートアクセス型トロイのウイルスを実行させた。
マルウェアWarzone RAT、 Quasar RAT などのリモートアクセス型トロイのウイルス
脆弱性不明

incident
2023-06-22 16:07:59

被害状況

事件発生日2023年6月22日
被害者名VMwareのvCenter Server利用者
被害サマリvCenter Serverに複数の高度な脆弱性が見つかり、攻撃者によりコード実行や認証回避が可能になり、機密性、完全性、可用性を全て失う可能性がある。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリvCenter Server利用のDCE/RPCプロトコルの脆弱性を突いての攻撃。
マルウェア特定されていない。
脆弱性複数の高度な脆弱性が見つかっている。CVE-2023-20892、CVE-2023-20893は認証のない攻撃者が実行可能なコードを突入させることができ、機密性、完全性、可用性を全て失ってしまう。もう1つの脆弱性(CVE-2023-20895)は、認証回避を可能にする。

vulnerability
2023-06-22 15:45:30

脆弱性

CVEなし
影響を受ける製品GitHub
脆弱性サマリGitHubリポジトリの一部がRepoJacking攻撃に脆弱であるため、攻撃者が悪意のあるコードをダウンロードされるコードの依存先として指定可能
重大度
RCE不明
攻撃観測
PoC公開なし
脅威研究企業AquaSecのNautilusセキュリティチームは、GitHubの一部のリポジトリが、悪意のあるコードをダウンロードされるコードの依存先として指定可能なRepoJacking攻撃に脆弱であると警告している。この問題がGitHubの全リポジトリに影響する可能性があることから、この件は重大である。しかし、GitHubはRepoJacking攻撃のための防御策を実装しているものの、現在これらの防御策は不十分であり、容易に回避されるものであると報告されている。

vulnerability
2023-06-22 13:15:00

被害状況

事件発生日2023年6月22日
被害者名不明
被害サマリ悪意のあるGenerative-AIアプリの使用によるデータ漏洩
被害額不明(予想:不明)

攻撃者

攻撃者名不明
攻撃手法サマリGenerative-AIアプリの使用による機密情報の漏洩、不正通信
マルウェア不明
脆弱性不明

記事タイトル:

Generative-AIアプリ&ChatGPT:リスクと対策戦略の潜在的な可能性

脆弱性

なし

影響を受ける製品

なし

脆弱性サマリ

Generative-AIアプリの使用によるセキュリティリスクと、Astrixセキュリティソリューションによるリスク軽減の共有

重大度

なし

RCE

なし

攻撃観測

なし

PoC公開

なし

vulnerability
2023-06-22 13:13:00

脆弱性

CVEなし
影響を受ける製品GitHub上にあるソフトウェアリポジトリ
脆弱性サマリRepoJackingにより、退役したユーザー名のリポジトリが乗っ取られ、トロイの木馬化された版が公開され、悪意のあるコードが実行される可能性がある。
重大度
RCE
攻撃観測
PoC公開なし
GitHub上にあるソフトウェアリポジトリには、RepoJackingと呼ばれる攻撃による脆弱性があり、退役したユーザー名のリポジトリが乗っ取られ、トロイの木馬化された版が公開され、悪意のあるコードが実行される可能性があります。影響を受けるリポジトリには、GoogleやLyftなどの企業も含まれています。Asuaによる調査では、2019年6月の1ヶ月間に約1,250万のリポジトリのうち、3.6%のリポジトリがRepoJackingの攻撃に脆弱であったことが判明しており、GitHubには3億3,000万以上のリポジトリがあるため、多数のリポジトリが同様の脆弱性の影響を受ける可能性があるとされています。

incident
2023-06-22 13:05:00

被害状況

事件発生日2023年初頭
被害者名欧州の病院(名称不詳)
被害サマリ中国のサイバー攻撃グループ「Camaro Dragon」が、USBドライブを介して自己複製するマルウェアを利用して、病院のコンピューターシステムに感染させた。
被害額不明

攻撃者

攻撃者名中国のサイバー攻撃グループ「Camaro Dragon」
攻撃手法サマリUSBドライブを介して自己複製するマルウェアを利用した攻撃
マルウェアHopperTick、WispRiderなど(複数のマルウェアを利用)
脆弱性不明

other
2023-06-22 12:01:11
- DuckDuckGoのWindows向けブラウザが一般公開ベータ版としてリリースされた - このブラウザは第三者による追跡、広告、検索ログ、プロファイリングからユーザーを保護し、データ保護とセキュリティの向上を目的としている - ブラウザはトラッカーブロック、自動HTTPSアップグレード、クッキーのポップアップ管理、ブラウジング履歴と保存されたセッション情報の完全削除を搭載し、組み込みのパスワードマネージャーも利用可能である - まだベータ版であり、安定性とパフォーマンスの問題がある可能性がある - ブラウザはChromeよりも60%少ないデータを消費し、高速なウェブブラウジングを提供することができる。将来的に機能を拡張するために拡張機能のサポートが追加される予定である。
  1. DuckDuckGoのWindows向けブラウザが一般公開ベータ版としてリリースされた
  2. このブラウザは第三者による追跡、広告、検索ログ、プロファイリングからユーザーを保護し、データ保護とセキュリティの向上を目的としている
  3. ブラウザはトラッカーブロック、自動HTTPSアップグレード、クッキーのポップアップ管理、ブラウジング履歴と保存されたセッション情報の完全削除を搭載し、組み込みのパスワードマネージャーも利用可能である
  4. まだベータ版であり、安定性とパフォーマンスの問題がある可能性がある
  5. ブラウザはChromeよりも60%少ないデータを消費し、高速なウェブブラウジングを提供することができる。将来的に機能を拡張するために拡張機能のサポートが追加される予定である。

vulnerability
2023-06-22 11:10:00

脆弱性

CVEなし
影響を受ける製品N/A
脆弱性サマリ機械学習を活用してデータ流出を検出する技術について解説
重大度なし
RCE不明
攻撃観測なし
PoC公開なし
記事では、機械学習を使用してデータの流出を検出するための技術や、攻撃者がデータを収集し流出する手法について述べられている。NDRと呼ばれる技術が、異常なネットワークアクティビティやデータの移動を監視して、Machine Learningのアルゴリズムを使用して異常値を検出することを可能にしている。記事は、ExeonTraceというNDRソフトウェアが、独自のマシンラーニングを利用して、リアルタイムでネットワークトラフィックを監視して異常値を検出することを紹介している。

vulnerability
2023-06-22 10:17:00

脆弱性

CVECVE-2023-2986
影響を受ける製品WordPress "Abandoned Cart Lite for WooCommerce"プラグイン
脆弱性サマリ認証バイパスによるアカウント乗っ取り
重大度9.8 / 10
RCE
攻撃観測
PoC公開不明
WordPress "Abandoned Cart Lite for WooCommerce"プラグインには認証バイパスによるアカウント乗っ取りの脆弱性があり、影響を受ける製品はこのプラグインである。この脆弱性に関するCVEはCVE-2023-2986で、重大度は9.8 / 10である。攻撃者は放棄されたカートを持つユーザーアカウントにログインでき、管理者アカウントなど、より高いレベルのアカウントにアクセスすることも可能である。この脆弱性は、プラグインのバージョン5.14.2およびそれ以前の全バージョンに影響を及ぼす。この問題は、プラグインの開発元であるTyche Softwaresによって修正され、現在のバージョンは5.15.2である。Wordfenceは、別の認証バイパスの欠陥がStylemixThemesの"Booking Calendar | Appointment Booking | BookIt"プラグイン(CVE-2023-2834)にあることも明らかにした。

vulnerability
2023-06-22 06:56:00

被害状況

事件発生日2023年6月22日
被害者名不明
被害サマリAppleのiOS、macOS、Safariに存在していた脆弱性が「Operation Triangulation」というモバイル監視キャンペーンで悪用され、2019年から活動している可能性がある。Zero-dayが2つあり、1つは6月22日現在まで活用され続けている。これにより、襲撃された固定バージョンの前にリリースされたiOSに関して、攻撃された可能性があると述べた。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリ操作トライアングル(Operation Triangulation)
マルウェアTriangleDB
脆弱性CVE-2023-32434、CVE-2023-32435、CVE-2023-32439

脆弱性

CVECVE-2023-32434、CVE-2023-32435、CVE-2023-32439
影響を受ける製品iOS、iPadOS、macOS、watchOS、Safariブラウザ
脆弱性サマリKernelとWebKitの脆弱性と不明な脆弱性による任意コード実行
重大度
RCE
攻撃観測
PoC公開不明
Appleがリリースした複数の更新プログラムには、KernelとWebKitの脆弱性、および名称不明の脆弱性が含まれており、任意のコード実行を可能にする可能性がある。これらの脆弱性に対する攻撃が実際に検出されていることから、重大度は高い。また、脆弱性サマリに示されたように、これらの脆弱性はRCEにつながることがわかっている。影響を受ける製品は、iOS、iPadOS、macOS、watchOS、Safariブラウザである。具体的には、CVE-2023-32434 と CVE-2023-32435を修正する iOS 16.5.1 、iPadOS 16.5.1、iOS 15.7.7 、iPadOS 15.7.7、macOS Ventura 13.4.1、macOS Monterey 12.6.7、macOS Big Sur 11.7.8、watchOS 9.5.2および8.8.1、Safari 16.5.1 がリリースされている。更新プログラムのリリースにより、Appleは今年初めから9つのゼロデイ脆弱性を修正している。

incident
2023-06-21 22:01:32

被害状況

事件発生日2023年6月13日
被害者名iOttie
被害サマリオンラインストアが二か月間ハッキングされ、クレジットカード情報や個人情報が約束された。
被害額不明(予想:数千万円)

攻撃者

攻撃者名不明
攻撃手法サマリMageCartによるオンラインストアのハッキング
マルウェア不明
脆弱性不明(予想:WordPressのプラグインの脆弱性)

incident
2023-06-21 21:49:14

被害状況

事件発生日不明
被害者名不明
被害サマリCisco Secure Client Software for Windows(旧AnyConnect Secure Mobility Client)に高度な欠陥が存在し、攻撃者はこれを利用して、特定のWindowsインストーラプロセスの機能を悪用して特権を昇格させ、Windowsオペレーションシステムが使用するSYSTEMアカウントにアクセスすることができます。これは、認証された脅威アクターによる低複雑度の攻撃で可能です。任意のVPN接続が成功した後、特権昇格のためのテクニックがここで説明されています。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリWindowsインストーラプロセスの特定の機能を悪用した特権昇格攻撃
マルウェア不明
脆弱性CVE-2023-20178

incident
2023-06-21 20:16:11

被害状況

事件発生日2023年6月21日
被害者名不特定
被害サマリ北朝鮮のAPT37ハッカーグループによって開発された新しい「FadeStealer」情報収集マルウェアが使用された攻撃。このマルウェアは「盗聴」機能が備わっており、被害者のマイクから盗聴や録音が可能である。
被害額不明(予想:資産や金銭の被害はなく、情報漏洩が主である)

攻撃者

攻撃者名北朝鮮のAPT37ハッカーグループ
攻撃手法サマリフィッシングメールを添付して送りつける方法が使用され、パスワード保護されたワードドキュメントと共にWindows CHMファイル containingと呼ばれる新しいカスタムマルウェアが感染させる。
マルウェアAblyGoバックドアおよびFadeStealer
脆弱性不明

vulnerability
2023-06-21 18:31:59

被害状況

事件発生日不明
被害者名iPhoneユーザー
被害サマリiMessage zero-click exploitを通じてTriangulationスパイウェアがインストールされた
被害額不明

攻撃者

攻撃者名不明、研究者らによる「Operation Triangulation」に関連
攻撃手法サマリKernelとWebKitの2つの脆弱性が利用された、iMessage zero-click exploitを通じた攻撃
マルウェアTriangulationスパイウェア
脆弱性KernelとWebKitの脆弱性(CVE-2023-32434とCVE-2023-32435)。

脆弱性

CVECVE-2023-32434, CVE-2023-32435, CVE-2023-32439
影響を受ける製品iPhone、iPad、Mac、及びApple Watch
脆弱性サマリiMessageのゼロクリック攻撃によって、Triangulationスパイウェアをインストールされる脆弱性
重大度
RCE不明
攻撃観測
PoC公開不明

incident
2023-06-21 17:43:49

被害状況

事件発生日2022年2月から2023年4月24日
被害者名UPSのカナダの顧客
被害サマリUPSのオンラインパッケージ検索ツールを通じて、被害者の個人情報が外部に漏洩し、SMSフィッシング攻撃に利用された。被害者に対して、不正な支払いを求めるフィッシングメッセージが送りつけられた。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリSMSフィッシング攻撃
マルウェアなし
脆弱性UPSのオンラインパッケージ検索ツールに存在した脆弱性

incident
2023-06-21 16:16:00

被害状況

事件発生日2023年6月21日
被害者名不明
被害サマリ北朝鮮のサイバースパイ集団ScarCruftがAblyリアルタイムメッセージングサービスを悪用して、情報窃盗マルウェアを送信し、被害者のプライバシーを侵害した。被害者は韓国国内の個人であり、北朝鮮亡命者、人権活動家、大学教授などを狙うRedEyesグループによる特定個人攻撃。
被害額不明(予想:情報漏洩の被害が中心であり、被害額を算出することは難しい)

攻撃者

攻撃者名ScarCruft(北朝鮮のサイバースパイ集団)
攻撃手法サマリメールにMicrosoft Compiled HTML Helpファイルを添付して送信し、それがクリックされると、情報窃盗マルウェアであるChinottoをダウンロードして感染を広げた。また、Golangで開発されたAblyGoバックドアを介してマルウェアのコマンドを送信し、AblyリアルタイムメッセージングサービスをC2サーバーとして利用した。RedEyesグループが窃盗マルウェアFadeStealerを使用し、スクリーンショットを撮影し、リムーバブルメディアやスマートフォンからデータを収集し、キーストロークを記録し、マイクを録音することで個人のプライバシーを侵害した。
マルウェアChinotto、AblyGo(またはSidLevel)、FadeStealer
脆弱性不明

other
2023-06-21 15:35:24
- 米FTCがAmazon Primeに関する不当な契約に関する苦情を提出
- Amazonは課金を停止する手間をあえて多くするなどのダークパターンを利用
- Amazonのチェックアウト画面にて、Prime加入を強いるプロセスが継続的に行われた
- プロセスをキャンセルする際には、顧客が意図的に難しい作業を行うように促す手段があったとされている
- FTCは、Amazonに対し不当なタクティックの使用をやめるよう要求し、また罰金30億円を課すよう命じた。

other
2023-06-21 14:04:08
1. 脅威アクターはトラディショナルなダークウェブからTelegramに移行している。
2. 移行の理由は、サイバー犯罪の商品化、トラディショナルなダークウェブが法執行機関に監視されること、そしてTorが遅いことなどがある。
3. Telegramは、エモジ、直接プライベートチャット、電話アプリケーションを持つ、多数の機能を持っており、アプリケーションを攻撃する一般的な技術的な専門知識がより低いため、サイバー犯罪の民主化を生み出す。
4. Telegramは、サイバー犯罪に特化した数千のチャンネルを提供し、企業のウェブサイトのデータ漏洩を試みる攻撃に対して多数の活動家たちが陰謀を企てているのを探知することが重要である。
5. Flare のThreat Exposure Management platformを使用することで、ダークウェブとクリアウェブの両方を監視し、情報漏洩に関するリスクを抑制することができる。

incident
2023-06-21 13:30:00

被害状況

事件発生日2023年6月21日
被害者名iOSデバイスのユーザー
被害サマリiOSデバイスに植え付けられたスパイウェアにより、デバイスとユーザーデータに完全制御された。
被害額不明(予想不可)

攻撃者

攻撃者名不明(国籍・属性等不詳)
攻撃手法サマリiMessageプラットフォームを介してのゼロクリック攻撃による、iOSデバイスにスパイウェアをインストール
マルウェアTriangleDB(バックドア)
脆弱性iOSのカーネル脆弱性

other
2023-06-21 11:47:00
1. The article is about reducing friction caused by information security controls.
2. Vanta, a security team, conducts bi-annual employee surveys to find hidden friction and improve their security program.
3. Hidden friction can occur when employees do not understand the reasons behind security controls.
4. Survey results are used to create a document that shares actions taken by the security team to reduce friction with the company.
5. Increasing positive working relationships with coworkers can make security programs more effective.

vulnerability
2023-06-21 11:38:00

脆弱性

CVEなし
影響を受ける製品Microsoft Azure Active Directory OAuth
脆弱性サマリMicrosoft Azure ADのOpen Authorization(OAuth)プロセスには、完全なアカウント乗っ取りが可能になる脆弱性がある。
重大度
RCE不明
攻撃観測不明
PoC公開不明

incident
2023-06-21 11:29:00
エラーが発生しました。
記事ファイル名:../articles/20230621 112900_276409eb56c30bb9ccb67a0b2525f10fb12f1184296d5a25f6c90ffd7413feee.json
The server is overloaded or not ready yet. <> security_news_matomerukun.py:81

incident
2023-06-21 10:00:00

被害状況

事件発生日2022年後半-2023年初
被害者名中央および南アメリカの外務省などの組織
被害サマリ中国のAPT15というハッカーグループによる攻撃が発生。新しいバックドア「Graphican」が使用され、マイクロソフトのGraph APIとOneDriveを利用してC2インフラストラクチャを取得。具体的な攻撃手法は、様々なマルウェアやカスタムバックドアを用いて侵入したあと、異なる種類のWindows認証情報を収集するためのpublicly available credential-dumping toolを使用し、Webシェル(AntSword、Behinder、China Chopper、Godzilla)を用いて被害システムにバックドアアクセスを確立している。
被害額不明(国家の機密情報が狙われる攻撃であるため、被害額の算出は不可能)

攻撃者

攻撃者名中国のAPT15
攻撃手法サマリ様々なマルウェアやカスタムバックドアを使用して侵入し、異なる種類のWindows認証情報を収集するための publicly available credential-dumping tool を使用。Webシェル(AntSword、Behinder、China Chopper、Godzilla)を用いて被害システムにバックドアアクセスを確立。
マルウェアGraphican、RoyalCLI、RoyalDNS、Okrum、Ketrum、SilkBean、Moonshine、EWSTEW
脆弱性不明

incident
2023-06-21 05:36:00

被害状況

事件発生日不明
被害者名TP-Link Archer AX21 (AX1800) Wi-Fiルーターの所有者
被害サマリCondiと呼ばれるマルウェアによって、TP-Link Archer AX21 (AX1800) Wi-Fiルーターが踏み台にされ、分散型サービス拒否攻撃(DDoS)ボットの一部となった可能性がある。
被害額不明(予想)

攻撃者

攻撃者名zxcr9999(オンラインエイリアス、国籍不明)
攻撃手法サマリTP-Link Archer AX21(AX1800)Wi-Fiルーターの脆弱性CVE-2023-1389を利用して、Condiと呼ばれるマルウェアを展開する。その後、踏み台にされたルーターを利用して、分散型サービス拒否攻撃(DDoS)を行う。
マルウェアCondi
脆弱性CVE-2023-1389

vulnerability
2023-06-21 05:00:00

被害状況

事件発生日2023年6月21日
被害者名VMware Aria Operations for Networksのユーザー
被害サマリVMwareのAria Operations for Networksバージョン6.xにおける重大なコマンドインジェクションの脆弱性が悪用され、リモートコード実行が発生する可能性がある。国内外から複数の攻撃が報告されている。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名攻撃者は特定されていないが、GreyNoiseによると、攻撃者はオランダにある2つの異なるIPアドレスから攻撃している可能性がある。
攻撃手法サマリコマンドインジェクションの脆弱性を悪用する
マルウェア不明
脆弱性CVE-2023-20887

脆弱性

CVECVE-2023-20887
影響を受ける製品VMware Aria Operations Networks 6.x
脆弱性サマリAria Operations for Networksには、悪意のあるユーザーによってコマンドインジェクション攻撃が実行され、リモートコード実行が起こり得る脆弱性がある
重大度
RCE
攻撃観測
PoC公開

incident
2023-06-20 21:06:17

被害状況

事件発生日2023年5月
被害者名TP-Link Archer AX21 (AX1800) Wi-Fi routerの利用者
被害サマリCondiというDDoS-as-a-Serviceボットネットに感染
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリTP-Link Archer AX21 (AX1800) Wi-Fi routerの脆弱性であるCVE-2023-1389を悪用したCondiボットネットの感染
マルウェアCondiボットネット
脆弱性CVE-2023-1389

incident
2023-06-20 20:17:11

被害状況

事件発生日2023年6月6日
被害者名University of Manchester(マンチェスター大学)
被害サマリランサムウェアの攻撃により、7TBの機密データ(学生や教職員の個人情報、研究データ、医療データ、警察レポート、薬物検査結果、HR文書、財務文書等)が盗まれ、データが漏えいすると脅された。
被害額不明(予想:ランサムウェアの攻撃により、700万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェアの攻撃により、データを盗み、データの漏洩を脅迫した。
マルウェア不明
脆弱性不明

vulnerability
2023-06-20 19:46:35

被害状況

事件発生日2023年6月20日
被害者名VMware社の顧客
被害サマリVMware Aria Operations for Networks(旧vRealize Network Insight)にある、遠隔からコマンド・インジェクションを引き起こす脆弱性(CVE-2023-20887)が攻撃され、リモートコードが実行されている
被害額不明(予想:数十万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリ遠隔からのコマンド・インジェクション攻撃
マルウェア不明
脆弱性CVE-2023-20887

脆弱性警告

影響を受ける製品VMware Aria Operations for Networks (vRealize Network Insight)
脆弱性名CVE-2023-20887
対策VMware Aria Operations Networks 6.xをアップデートすること
脆弱性概要VMware Aria Operations Networks (vRealize Network Insight)には、コマンドインジェクションの脆弱性が存在します。未認証の攻撃者が、Apache Thrift RPCインターフェースを介してユーザー入力を受け入れると、攻撃者はrootユーザーとして基盤となるオペレーティングシステム上で任意のコマンドを実行できます。攻撃者は、Proof of Conceptと呼ばれるコードを使ってCVE-2023-20887を悪用する攻撃を既に行なっているとの報告があります。
重大度[高|中|低|なし|不明]
RCE
攻撃観測
PoC公開

vulnerability
2023-06-20 19:08:00

脆弱性

CVECVE-2022-46680、CVE-2023-1619、CVE-2023-1620
影響を受ける製品WagoおよびSchneider ElectricのOT製品
脆弱性サマリWago 750コントローラには、特定の異常なパケットまたはログアウト後の特定のリクエストを送信することによって有効化できる、認証された攻撃者によるDoS攻撃が影響を与える。Schneider Electricの電力メーターで使用されるION/TCPプロトコルにおいて、資格情報の平文伝送に関するCVE-2022-46680があり、これにより脆弱なデバイスの制御が可能になる。
※その他の59の脆弱性については不明
重大度
RCE不明
攻撃観測不明
PoC公開不明

vulnerability
2023-06-20 18:32:13

脆弱性

CVEなし
影響を受ける製品Microsoft Outlook for Microsoft 365
脆弱性サマリOutlook for Microsoft 365において、キャッシュ再プライミング時にフリーズや遅延が発生する問題が報告されている。
重大度なし
RCE
攻撃観測不明
PoC公開なし

MicrosoftがReported by Sergiu Gatlanの記事で、Outlook for Microsoft 365においてキャッシュ再プライミング時にフリーズや遅延が発生する問題が報告されていると紹介した。また、影響を受けた顧客はアプリケーションイベントログに新しいエントリが追加されないこと、また新しいOSTファイルが作成されないことも報告した。同氏によると、顧客の多くは、アプリケーションを起動した後にキャンセルをクリックするとOutlookが直ちに起動することが報告されているという。Microsoftは問題を修正中であるとともに、顧客には別途ワークアラウンドを提供しており、Outlook RESTカレンダーシェアリングの更新を有効にすることで問題を回避できるとしている。


incident
2023-06-20 17:50:59

被害状況

事件発生日2023年6月20日
被害者名Linux SSHサーバーのオーナー(複数)
被害サマリ不明な攻撃者がLinux SSHサーバーをブルートフォース攻撃し、Tsunami DDoSボット、ShellBot、ログクリーナー、特権エスカレーションツール、およびXMRig(Monero)コインマイナーなどのマルウェアをインストールしている。
被害額不明(予想:数十万ドル程度)

攻撃者

攻撃者名不明
攻撃手法サマリSSHサーバーに対するブルートフォース攻撃
マルウェアTsunami DDoSボット、ShellBot、MIG Logcleaner v2.0、Shadow Log Cleaner、特権エスカレーションツール、XMRig(Monero)コインマイナー
脆弱性不明

vulnerability
2023-06-20 16:38:47

脆弱性

CVEなし
影響を受ける製品Azure Active Directory
脆弱性サマリAzure ADのOAuthアプリケーションにおいて、特定条件下で悪意のある攻撃者が権限のエスカレーションを行い、アカウントを完全に奪取する可能性がある。
重大度
RCE不明
攻撃観測なし
PoC公開なし
脆弱性はAzure Active Directory(Azure AD)のOAuthアプリケーションにある。攻撃者は、Azure AD管理アカウントのメールを標的のメールアドレスに変更し、脆弱なアプリやウェブサイトの認証に「Microsoftでログイン」機能を使うことでアカウント権限をエスカレーションさせ、悪意を持ってアカウントを完全に奪取することができる。Microsoftはこの脆弱性を修正し、措置を講じた。重大度は高と判定されている。RCEについての情報や攻撃観測については記載がない。

vulnerability
2023-06-20 14:26:31

脆弱性

CVECVE-2023-27992
影響を受ける製品ZyxelのNASデバイス
脆弱性サマリNASデバイスのファームウェアにある認証前のコマンドインジェクションにより、攻撃者が特別なHTTPリクエストを送信することによってOSコマンドを実行する可能性のある脆弱性
重大度9.8 (critical)
RCE
攻撃観測不明
PoC公開公開されていない

vulnerability
2023-06-20 14:10:05

被害状況

事件発生日不明
被害者名不明
被害サマリRansomware種類のLockBit以降、Ransomwareが急増し進化し続けている。最新のRansomwareであるRorschachは、市場で最も速いRansomwareの1つであり、新しい暗号化手法である一時的な暗号化により、ファイルの一部だけを暗号化している。22,000ファイルを含む6コアマシンが4.5分で部分的に暗号化され、被害者はファイルにアクセスできなくなっている。攻撃者は、一度だけ攻撃を実行して、組織内のすべてのマシンでラスムワールを展開できるGroup Policyを作成することができる。
被害額不明(予想される被害によっては数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリRansomware攻撃が進化し、速度を上げていることにより、セキュリティソフトウェアとセキュリティ担当者は攻撃を防止するための時間が限られている。攻撃者は一度だけ攻撃を実行して、組織内のすべてのマシンでラスムワールを展開できるGroup Policyを作成することができる。さらに、攻撃者は新しいRansomewareを開発・実装することにより、継続的に進化し続けている。
マルウェアLockBit、RorschachなどのRansomware、その他のマルウェアは記事からは特定できない
脆弱性記事には触れられていない

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリランサムウェアの進化による暗号化速度の高速化に対抗するための6つの対策について
重大度なし
RCE不明
攻撃観測
PoC公開なし

incident
2023-06-20 13:00:00

被害状況

事件発生日不明
被害者名ウクライナ政府機関など複数の組織
被害サマリロシアのAPT28とされるハッカー集団が、ウクライナ政府機関などのRoundcubeメールサーバーに攻撃を行い、未パッチのサーバーに侵入するためにRoundcube Webmailの脆弱性を悪用する悪意のあるメールが届けられた。サーバーに侵入したハッカーは、ターゲットのメールを傍受するために悪意のあるスクリプトを配置し、ターゲットのラウンドキューブのアドレス帳、セッションのクッキー、ラウンドキューブのデータベースに格納されたその他の情報を盗んだ。
被害額不明

攻撃者

攻撃者名ロシア政府の軍事情報機関であるGRUに結びつけられるAPT28と見られるハッカー集団
攻撃手法サマリ悪意のあるメールを送信してRoundcube Webmailの脆弱性を利用して未パッチのサーバーにアクセス
マルウェア不明
脆弱性Roundcube WebmailのCVE-2020-35730、CVE-2020-12641、CVE-2021-44026の脆弱性を悪用

incident
2023-06-20 13:00:00

被害状況

事件発生日2022年以降
被害者名リモートデスクトップユーザー
被害サマリ中国のAPTレベルの技術を使用するハッカーが、RDStealerマルウェアを使ってリモートデスクトップ接続を介して共有されたドライブからデータを盗み取る攻撃をしている
被害額不明(予想不可)

攻撃者

攻撃者名中国のAPTレベルのハッカー
攻撃手法サマリリモートデスクトップ接続を介して共有されたドライブからデータを盗み取るRDStealerマルウェアを使用
マルウェアRDStealer、Logutil
脆弱性不明

vulnerability
2023-06-20 12:12:00

脆弱性

CVECVE-2023-27992
影響を受ける製品Zyxel NAS326、NAS540、NAS542
脆弱性サマリZyxel NASデバイスに存在する認証前のコマンドインジェクション脆弱性
重大度高 (CVSSスコア: 9.8)
RCE
攻撃観測不明
PoC公開不明

vulnerability
2023-06-20 11:57:00

脆弱性

CVEなし
影響を受ける製品Quick Serve Restaurant (QSR)のSaaSアプリケーション
脆弱性サマリQSRのSaaSアプリケーションが攻撃者によって標的にされている
重大度不明
RCE不明
攻撃観測
PoC公開なし

incident
2023-06-20 11:55:00

被害状況

事件発生日2022年初
被害者名東アジアのIT企業
被害サマリ年越しのカスタムマルウェアRDStealerを使用した狙い目とされたサイバー攻撃により、長年にわたって企業の資格情報が盗まれ、データが外部に流出した。
被害額不明(予想)

攻撃者

攻撃者名東アジアの国籍をもつ、年数不詳の脅威アクター
攻撃手法サマリ初期段階では利用しやすいリモートアクセストロージャンを使用し、後半は特殊目的のカスタムマルウェアRDStealerを使用して検知を免れる狙いがあった。
マルウェアRDStealer、Logutil
脆弱性不明

vulnerability
2023-06-20 08:39:00

脆弱性

CVECVE-2018-1160、CVE-2022-26376、CVE-2022-35401、CVE-2022-38105、CVE-2022-38393、CVE-2022-46871、CVE-2023-28702、CVE-2023-28703、CVE-2023-31195
影響を受ける製品GT6、GT-AXE16000、GT-AX11000 PRO、GT-AXE11000、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT-AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000、TUF-AX5400
脆弱性サマリASUSの多数のルーターモデルには、CVE-2018-1160やCVE-2022-26376など、9つの脆弱性が存在し、2つは重大度が高い (Critical)。
重大度高 (Critical)、中 (High)、低 (N/A)
RCE不明
攻撃観測不明
PoC公開不明
ASUSの多数のルーターモデルに、CVE-2018-1160やCVE-2022-26376などの9つの脆弱性が存在する。脆弱性の中で2つは重大度が高く、6つは中程度の危険度を示している。影響を受ける製品はリストされており、重要な修正は最新の更新プログラムで対処されることが推奨されている。攻撃者の侵入を避けるために、ユーザーはWAN側からアクセス可能なサービスを無効にすることも提案されている。

incident
2023-06-20 08:12:00

被害状況

事件発生日2022年6月から2023年5月まで
被害者名OpenAI ChatGPTアカウントユーザー
被害サマリ情報スティーラーのログから100,000以上のOpenAI ChatGPTアカウント情報が漏洩し、ダークウェブで販売された。
被害額不明(予想)

攻撃者

攻撃者名不明。ジャンルはサイバー犯罪者。
攻撃手法サマリアジア・太平洋地域で最も多く販売されたログは情報スティーラーのRaccoonにより侵害されたChatGPTアカウント情報を含む。
マルウェアRaccoon、Vidar、RedLineの情報スティーラー
脆弱性不明

incident
2023-06-20 08:00:00

被害状況

事件発生日発表されず
被害者名ChatGPTユーザー10万1,000名以上
被害サマリChatGPTアカウント情報が情報窃取マルウェアによって盗まれ、100,000人以上のアカウントについてログデータとしてダークウェブで販売された。マルウェアによってChatGPTの会話が盗まれた場合、ビジネス上の機密情報や内部情報などが漏えいする可能性がある。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリ情報窃取マルウェア
マルウェアRaccoon stealer (約80%)、Vidar (13%)、Redline (7%)
脆弱性不明

incident
2023-06-20 05:05:00

被害状況

事件発生日2023年6月20日
被害者名パキスタンに住む個人たち
被害サマリGoogle Playストアで提供されている不正なAndroidアプリを揃えて、標的型攻撃を仕掛けられた。
被害額不明(予想)

攻撃者

攻撃者名DoNot Team / APT-C-35 / Viceroy Tiger
攻撃手法サマリGoogle Playストアを使ったマルウェア配信
マルウェア不明
脆弱性不明

incident
2023-06-19 20:16:36

被害状況

事件発生日2023年1月9日
被害者名Des Moines Public Schools(デモイン市公立学校)
被害サマリランサムウェア攻撃によるデータ窃盗。約6,700人の個人情報を含むデータが流出した。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェア不明
脆弱性不明

incident
2023-06-19 18:33:25

被害状況

事件発生日2023年6月19日
被害者名Malwarebytes社(顧客含む)
被害サマリWindows 11 22H2 KB5027231累積アップデートの展開後、Malwarebytesのアンチエクスプロイト モジュールがGoogle Chromeのユーザーインターフェースをブロックすることによって、Google Chromeを使用不能にさせた。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリMalwarebytesのアンチエクスプロイト モジュールがGoogle Chromeの読み込みをブロックした。
マルウェア不明
脆弱性不明

vulnerability
2023-06-19 17:30:10

脆弱性

CVECVE-2022-26376, CVE-2018-1160
影響を受ける製品GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000, およびTUF-AX5400の複数のASUSルーターモデル
脆弱性サマリASUSルータモデルの複数の脆弱性。最も深刻なものとしては、Asuswrtファームウェアのメモリ破壊の脆弱性であり、攻撃者が拒否サービス状態をトリガーするためのものである。また、Netatalkの外部書き込みによる脆弱性であり、攻撃者が未修正のデバイス上で任意のコードを実行できるものである。
重大度高(CVE-2022-26376)、高(CVE-2018-1160)
RCE有り
攻撃観測アップデート前にはWAN側からアクセスできるサービスを無効にすることを強く勧告。以前にASUS製品はボットネットによって標的にされていたことがあるため、影響されるルータを使用している場合はすぐにアップデートすることが推奨されている。
PoC公開不明

incident
2023-06-19 17:14:23

被害状況

事件発生日2023年1月以降
被害者名OnlyFansのユーザー
被害サマリOnlyFansのフェイクコンテンツを用いたマルウェア攻撃で、被害者から個人情報や資格情報を抜き取ることができる。
被害額不明(予想:数十億円以上)

攻撃者

攻撃者名不明
攻撃手法サマリフェイクのOnlyFansコンテンツを通じて、マルウェアをインストールする手法を用いている。
マルウェアDcRAT、AsyncRAT
脆弱性不明

incident
2023-06-19 15:22:50

被害状況

被害者特定標的型攻撃の被害者(パキスタンに拠点を置く組織)
被害の概要国家主導の脅威行為者によってGoogle Playにアップロードされた3つのAndroidアプリが、情報収集の為に使用された。被害者からは位置情報や連絡先リスト等が抽出されたと考えられている。攻撃は、APT-C-35とも称されるインドのハッカーグループ"DoNot"によるもので、少なくとも2018年から東南アジアの著名な団体を標的にしている。
被害額不明

攻撃者

攻撃者名インドのハッカーグループ"DoNot"(APT-C-35)による攻撃と推定されている。
攻撃手法サマリGoogle Playにアップロードされた、3つのAndroidアプリ攻撃。アプリは位置情報や連絡先リスト等を抽出して、攻撃者のサーバに送信する。この攻撃は、APT-C-35の攻撃の始まりとされている。
マルウェア不明
脆弱性不明

incident
2023-06-19 15:21:00

被害状況

事件発生日不明
被害者名複数のWebブラウザーおよびブラウザー拡張機能のユーザー
被害サマリ新しい情報窃取マルウェア「Mystic Stealer」が発見され、約40種類のWebブラウザー、70種類以上のブラウザー拡張機能からデータを抜き取っている。また、これらのマルウェアは、暗号通貨ウォレット、Steam、Telegramも対象としている。このマルウェアは分析を回避するための処理を採用しており、価格は月額150ドル。
被害額不明(予想:不明)

攻撃者

攻撃者名不明(情報なし)
攻撃手法サマリデータ窃取マルウェアを使用。分析防止の処理を採用。
マルウェアMystic Stealer
脆弱性不明

vulnerability
2023-06-19 12:37:00

被害状況

事件発生日2023年4月18日
被害者名未公表
被害サマリApple macOSシステムを狙った、汎用のPythonベースのバックドア(2つ)と、Swiftで書かれ、macOS Monterey(バージョン12)以降のMacを狙ったバイナリ(xcc)が発見された。これらのマルウェアがどのように初めのアクセスを取得したか、攻撃者のアイデンティティも不明である。
被害額不明(予想)

攻撃者

攻撃者名不明(攻撃者のアイデンティティは不明であるが、Kasperskyが公表したように、ロシア人や中国人が関与している可能性がある)
攻撃手法サマリApple macOSシステムへの汎用Pythonベースのバックドアと、Swiftで書かれたxccマルウェアを利用した攻撃。
マルウェアJokerSpy、xcc
脆弱性不明
脆弱性:
CVEなし
影響を受ける製品Apple macOS systems
脆弱性サマリBitdefender researchers have uncovered a set of malicious artifacts that they say is part of a sophisticated toolkit targeting Apple macOS systems.
重大度不明
RCE不明
攻撃観測不明
PoC公開不明

vulnerability
2023-06-19 11:51:00

脆弱性

CVEなし
影響を受ける製品Checkmarx IaC Security and KICS
脆弱性サマリInfrastructure as Code (IaC)の誤構成が悪用される可能性がある
重大度不明
RCE不明
攻撃観測なし
PoC公開なし

incident
2023-06-19 09:33:00

被害状況

事件発生日2023年6月19日
被害者名中東とアフリカの政府機関
被害サマリ政治家、軍事活動、外務省に関連する高度に機密性の高い情報を狙い、過去に見られないクレデンシャル・盗聴・Exchangeのメール・流出技術を利用した持続的なサイバー諜報攻撃が行われた。
被害額不明(予想不可)

攻撃者

攻撃者名国籍や特徴は不明
攻撃手法サマリ脆弱なオン-プレミスのIISおよびMicrosoft Exchangeサーバーを悪用した感染。成功した侵入では、ネットワークのマッピングと重要なデータを保持するサーバーの特定が行われる。クレデンシャル・盗聴、パスワード窃盗、側面移動、データの流出などが用いられ、Exchange Management ShellおよびPowerShellスナップインも被害が報告されている。中国のHafniumに関連して報告されたように、同じ攻撃手法が使用されている。
マルウェア[不明]
脆弱性脆弱なオン-プレミスのIISおよびMicrosoft Exchangeサーバーを悪用

incident
2023-06-19 08:37:00

被害状況

事件発生日2023年6月上旬
被害者名MicrosoftのAzure、Outlook、OneDrive
被害サマリサービスの停止および一時的な可用性の影響
被害額不明

攻撃者

攻撃者名Anonymous Sudan
攻撃手法サマリHTTP(S)フラッド攻撃、キャッシュバイパス攻撃、Slowloris攻撃などのレイヤー7 DDoS攻撃を使用
マルウェア不明
脆弱性不明

incident
2023-06-18 16:01:03

被害状況

事件発生日2022年2月5日
被害者名Reddit
被害サマリ従業員がフィッシング攻撃に対処できず、アカウント情報を盗まれ、内部文書やソースコード、従業員情報など80GBのデータを手に入れられた。
被害額不明(予想:被害額は報告されていないが、機密情報やソースコードなどが流出したことから、数百万ドル以上の損失が発生した可能性がある。)

攻撃者

攻撃者名BlackCat ransomware gang
攻撃手法サマリフィッシング攻撃
マルウェアALPHV ransomware(BlackCatが使用する一種のランサムウェア)
脆弱性不明

incident
2023-06-18 16:01:03

被害状況

事件発生日2023年2月5日
被害者名Reddit
被害サマリRedditは、フィッシング攻撃により、社員のクレデンシャルを盗まれ、内部文書、ソースコード、社員情報、広告主に関する一部の情報を含む約80 GBのデータを盗まれた。犯人グループはALPHVのランサムウェアグループであり、データを公開することを脅迫している。
被害額不明(予想不可)

攻撃者

攻撃者名ALPHV(通称BlackCat)と自称しているランサムウェアグループ
攻撃手法サマリフィッシング攻撃
マルウェアランサムウェアは使用していない
脆弱性不明

incident
2023-06-18 15:14:07

被害状況

事件発生日不明(記事公開日:2023年6月18日)
被害者名不特定の個人・組織
被害サマリ「Mystic Stealer」と呼ばれる情報窃取マルウェアが出現し、既にサイバー犯罪コミュニティ内で流通しており、多くの攻撃が予想される状況にある。
被害額不明

攻撃者

攻撃者名不明。開発者がロシア系である可能性がある。
攻撃手法サマリ「Mystic Stealer」という情報窃取マルウェアを使用した攻撃。
マルウェアMystic Stealer
脆弱性不明

other
2023-06-18 14:40:16
1. MicrosoftのAzure、Outlook、OneDriveのウェブポータルにアクセスできなくなった障害は、レイヤー7のDDoS攻撃によるものだった。
2. Microsoftは、脅威のアクターであるStorm-1359(Anonymous Sudanとも呼ばれる)が攻撃を行ったと推定しており、同社のサービスが影響を受けたと述べている。
3. このグループが最初に行った攻撃は、スウェーデン航空に対するDDoS攻撃だった。
4. Storm-1359が使用したDDoS攻撃には、HTTP(S)フラッド攻撃、キャッシュバイパス、スローロリスが含まれていた。
5. Microsoftによると、顧客データがアクセスまたは侵害された証拠はない。

incident
2023-06-17 20:06:22

被害状況

事件発生日2023年5月27日
被害者名世界中の数百の企業
被害サマリClopランサムウェアによるデータ窃盗が発生し、MOVEit Transferセキュリティファイル転送プラットフォームのゼロデイ脆弱性が利用された。ランサムウェアグループは、多数の企業からデータを窃盗したと主張し、Clopデータリークサイトにその企業名を掲載し、身代金が支払われない場合はデータを公開すると脅迫した。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリClopランサムウェアによるデータ窃盗
マルウェア不明(Clopランサムウェア)
脆弱性MOVEit Transferセキュリティファイル転送プラットフォームのゼロデイ脆弱性

vulnerability
2023-06-17 15:09:17

脆弱性

CVECVE-2023-32019
影響を受ける製品Windows 11
脆弱性サマリWindows 11の新しいセキュリティ機能「Win32 app isolation」がサンドボックスを利用して、32ビットデスクトップアプリケーションの保護を目的としている。Win32アプリケーションは低い権限に沿って実行されるため、コンピュータシステム全体を占拠するアプリケーションによる攻撃を防止する。
重大度なし
RCE
攻撃観測不明
PoC公開なし

vulnerability
2023-06-17 14:07:14
「Freaky Leaky SMS」という攻撃手法が発表された。これは、SMSの配信報告に基づいて、受信者の場所を特定することができるものである。この攻撃手法では、学習アルゴリズムを用いて、配信報告のタイミングを分析して相手の場所を96%の精度で特定した例がある。攻撃者はキャリアのSMSCを介して、マーケティングメッセージや無音のSMSを送信してデータを収集する。この攻撃手法によって、ユーザーのプライバシーが脅かされる可能性があるという。

incident
2023-06-17 06:59:00

被害状況

事件発生日不明
被害者名不明
被害サマリルーマニアの犯罪組織と関連した脅威行為。Cayosinと呼ばれるボットネットを使用して分散型サービス拒否攻撃(DDoS)を実行する能力があり、また、他の活動には敵対的なハッキンググループの特定情報の流出などが含まれる。
被害額不明(予想:数千ドル〜数万ドル)

攻撃者

攻撃者名Diicot
攻撃手法サマリLinuxホストを侵害するためのGoベースのSSHブルートフォースツール(Diicot Brute)を使用して、ルーターに搭載されたLinuxベースの組み込みデバイスのOpenWrtシステムの脆弱性を悪用し、Cayosinボットネットを使用した分散型サービス拒否攻撃(DDoS)などを実行。
マルウェアDiicot Brute、Cayosin、Miraiなど
脆弱性Linuxベースの組み込みデバイスのOpenWrtシステムの脆弱性

incident
2023-06-16 21:28:47

被害状況

事件発生日不明
被害者名MOVEit Transfer利用組織
被害サマリClopランサムウェアグループがMOVEit Transferのデータ窃取に被害を受けた企業に対し、7日以内に身代金を支払わなければ情報をリークすると脅迫している
被害額不明(予想:数百万~数千万ドル)

攻撃者

攻撃者名Clopランサムウェアグループ
攻撃手法サマリMOVEit Transferのデータ窃取に侵入し、その後身代金を要求するClopランサムウェアを使用する
マルウェアClopランサムウェア
脆弱性不明

incident
2023-06-16 19:27:07

被害状況

事件発生日不明(2013年以降)
被害者名不明
被害サマリオンラインプラットフォームを介して、DDoS攻撃を依頼するためのサービスを運営していた疑いがある2人の容疑者がポーランドの中央サイバー犯罪対策局に逮捕された。このサービスは少なくとも2013年から稼働していた。国際的な法執行機関による「Operation PowerOFF」と呼ばれる行動に一環して逮捕された。このサービスを利用したDDoS攻撃に関連する35,000人以上のユーザーアカウント、76,000件以上のログイン記録、320,000件以上のIPアドレスが特定された。また、約400,000ドル分のDDoS攻撃プランが11,000件以上購入され、44,000ドル分の攻撃プランが1,000件以上特定された。
被害額不明(予想:数十万ドル以上)

攻撃者

攻撃者名不明(ポーランドの中央サイバー犯罪対策局は容疑者がポーランド人であることを公表していない)
攻撃手法サマリDDoS攻撃サービスを運営し、攻撃を依頼したユーザーにDDoS攻撃を行わせた。
マルウェア不明
脆弱性不明

other
2023-06-16 18:26:16
- Googleは、Ethan QiQi Hu氏とその企業Rafadigitalに対して、Googleサービスのためのビジネスの検証サービスを提供するとされる企業プロフィール350件と1万4,000件の偽のレビューを作成したとして、消費者保護訴訟を提起した。

- Googleはすでに偽のコンテンツを削除したと述べているが、今後同様のコンテンツを防止するために訴訟を提起するとしている。

- Googleは2022年に2,000万回以上の偽の企業プロフィール作成の試みを検知したと述べている。

- Googleによると、Hu氏とそのチームは、Google上で偽のビジネスを作成し、それらを架空のレビューで強化し、小規模ビジネスのオーナーにこれらのプロフィールを1,000ドルで購入し、名前変更を申請するよう説得したとしている。

- Googleは、被告に広告やビジネスの検証サービスの販売、偽のプロフィールの作成を禁止するよう求め、適切な損害賠償を審判に請求している。

incident
2023-06-16 16:56:21

被害状況

事件発生日2023年6月13日
被害者名Windows 11を利用するCiscoおよびWatchGuard EDRユーザー
被害サマリMicrosoftがリリースした「Windows 11 22H2 KB5027231 cumulative」という更新プログラムが、CiscoおよびWatchGuard EDRおよびウイルス対策ソリューションを利用するWindows 11ユーザーのGoogle Chromeを破壊するという問題が発生した。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリWindows 11 22H2 KB5027231 cumulativeという更新プログラムが、CiscoおよびWatchGuard EDRおよびウイルス対策ソリューションを利用するWindows 11ユーザーのGoogle Chromeを破壊する。
マルウェア不明
脆弱性Cisco Secure EndpointのExploit Prevention engineに関するもの

vulnerability
2023-06-16 16:03:30

脆弱性

CVECVE-2022-36327, CVE-2022-36326, CVE-2022-36328, CVE-2022-29840
影響を受ける製品Western DigitalのMy Cloudシリーズの古いFirmwareのデバイス
脆弱性サマリ最新のFirmwareで修正可能な脆弱性で、リモートでコード実行を許可可能
重大度
RCE
攻撃観測不明
PoC公開不明
脆弱性は、CVE-2022-36327、CVE-2022-36326、CVE-2022-36328、CVE-2022-29840である。脆弱性は、古いFirmwareのMy Cloudデバイスを対象にしている。この脆弱性は、最新のFirmwareで修正でき、リモートでコードの実行を許可する可能性がある。この問題は、Western Digitalが6月15日以降クラウドサービスを提供しないと警告することによって、ユーザーを保護しようとする措置を取ったものである。最新のFirmwareが入っているデバイスは、ローカルアクセス経由で引き続きデータにアクセスできる。

other
2023-06-16 14:28:13
- 米ルイジアナ州とオレゴン州の運転免許更新機関が、ransomwareグループによってデータが盗まれたことを警告した。
- 彼らはMOVEit Transferシステムをハックして個人データを盗んでいたClop ransomware操作によって攻撃された。
- 2023-34362として追跡される、CVEと呼ばれるゼロデイ脆弱性を使用して、5月27日にMOVEit Transferサーバーを攻撃し始めた。
- Louisiana OMVによると、被害者はすべてのルイジアナ州民になる可能性がある。
- 公式に被害を受けた人に通知されている州の機関に加えて、Clopはすでにこれまでに多くの企業、連邦政府機関、州政府機関のデータ侵害を引き起こしている。

incident
2023-06-16 13:54:00

被害状況

事件発生日2022年12月14日
被害者名不明
被害サマリLinuxシステムにバックドア型マルウェアChamelDoHが侵入、情報漏えい、リモートアクセスとファイルの操作が可能であった。
被害額不明(予想)

攻撃者

攻撃者名ChamelGang
攻撃手法サマリDNS-over-HTTPS(DoH)トンネリングを利用したC&C
マルウェアChamelDoH
脆弱性不明

other
2023-06-16 11:12:00

被害状況

事件発生日2022年の情報が分析されたレポート
被害者名クレジットカードの顧客、暗号資産のオーナー、組織の攻撃対象
被害サマリサイバー犯罪者によるクレジットカード不正利用、暗号資産誘拐や流出、組織への攻撃
被害額記事中には明言されず(予想)

攻撃者

攻撃者名国籍や特徴は記載されていない
攻撃手法サマリクレジットカード不正利用、暗号資産誘拐や流出、Ransomeware-as-a-service
マルウェア記事中には言及されていない
脆弱性記事中には言及されたが、攻撃に利用された脆弱性の詳細は明らかにされていない
記事タイトル:Activities in the Cybercrime Underground Require a New Approach to Cybersecurity

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリ記事で報じられたサイバー犯罪に関する現状と問題点
重大度なし
RCEなし
攻撃観測記事で報じられた攻撃事例とその傾向
PoC公開なし
この記事では、サイバー犯罪者の攻撃手法がどのように進化しているか、クレジットカード詐欺、暗号通貨、AI、サービス提供に関する情報を伝えている。クレジットカード詐欺が減少している理由には、認証や不正検知の改善とeコマースセキュリティの向上が挙げられる。暗号通貨は、匿名性が高いため、サイバー犯罪者にとっての支払い手段に選ばれることが多く、また、AIの使用が一般的になることで、サイバー犯罪に参入しやすくなっている。サービス提供は、サイバー犯罪者がさらに多くの人々にサービスを提供できることを可能にしている。この記事はCybersixgillの専門家によって書かれ、Cybersixgillの攻撃面管理(ASM)とサイバー脅威インテリジェンス(CTI)の重要性についても議論している。エラーが発生しました。
記事ファイル名:../articles/20230616 111200_752a24c992081384e13bcd4801b30caf4b369c4663c97d8b9a57e1aa4607f6b1.json
HTTP code 502 from API ( 502 Bad Gateway

502 Bad Gateway


cloudflare
) <> security_news_matomerukun.py:81

incident
2023-06-16 08:02:00

被害状況

事件発生日2020年8月から2023年3月まで
被害者名複数のターゲット
被害サマリロシアのRuslan Magomedovich Astamirov容疑者が、アメリカ、アジア、ヨーロッパ、アフリカを含む複数の国においてLockBitランサムウェアを展開し、少なくとも5回の攻撃を行ったとされる。マルウェアは被害者のデータを暗号化し、身代金を要求する手法を利用していた。
被害額不明(予想)

攻撃者

攻撃者名Ruslan Magomedovich Astamirov(ロシア国籍)
攻撃手法サマリロシアのRuslan Magomedovich Astamirov容疑者が、LockBitランサムウェアを被害者のデータを暗号化し、身代金を要求する手法を利用して展開したとされる。
マルウェアLockBit
脆弱性不明

vulnerability
2023-06-16 03:35:00

被害状況

事件発生日2023年6月16日
被害者名不明
被害サマリ同社のMOVEit Transferアプリケーションに関する脆弱性が明らかになった。Clopサイバー犯罪グループは同アプリケーションに対する攻撃で多数の企業を標的とし、被害を拡大している。27社が攻撃されたとされ、うち米国エネルギー省などの政府機関も含まれる。攻撃者はClopサイバー犯罪グループとされる。
被害額不明(予想:大規模な被害が発生しているため、数百万ドル以上)

攻撃者

攻撃者名Clopサイバー犯罪グループ(国籍や所在地は不明)
攻撃手法サマリSQLインジェクションによる脆弱性を利用した攻撃
マルウェア不明
脆弱性MOVEit TransferアプリケーションのSQLインジェクション脆弱性

脆弱性

CVE未割り当て
影響を受ける製品MOVEit Transfer
脆弱性サマリSQLインジェクションによる特権昇格と環境への権限なしアクセスの可能性
重大度
RCE不明
攻撃観測
PoC公開不明
2023年6月16日、Progress Softwareは、MOVEit Transferアプリケーションに影響を与える3番目の脆弱性を開示しました。この脆弱性はSQLインジェクション脆弱性で、「特権昇格と環境への権限なしアクセスの可能性」があります。クライアントは、パッチが用意されるまで、MOVEit Transferのポート80と443でHTTPおよびHTTPSトラフィックをすべて無効にするように求められています。この開示は、Progressがアプリケーションのデータベースコンテンツへのアクセスを可能にするために武器化できるSQLインジェクション脆弱性を明らかにした1週間後に行われました。この脆弱性は、Clopランサムウェアグループによるゼロデイ攻撃で利用されたCVE-2023-34362と一緒になっています。

incident
2023-06-15 22:42:34

被害状況

事件発生日2023年5月27日
被害者名チリ軍(Ejército de Chile)
被害サマリRhysidaランサムウェアにより、約36万件のチリ軍文書が盗まれ、被害者に身代金を要求された。30%がリークされた。
被害額不明(予想:身代金の支払い金額)

攻撃者

攻撃者名Rhysidaランサムウェア・グループ
攻撃手法サマリフィッシング攻撃でCobalt Strikeなどのコマンド・アンド・コントロール(C2)フレームワークを使用し、ChaCha20アルゴリズムを利用したランサムウェアを展開。
マルウェアRhysidaランサムウェア
脆弱性不明

vulnerability
2023-06-15 20:58:32
脆弱性:
CVE番号: なし
影響を受ける製品: MOVEit Transfer
脆弱性サマリ: SQL injection
重大度: 不明
RCE: 不明
攻撃観測: あり
PoC公開: あり。あるセキュリティ研究者がTwitterにPoCエクスプロイトコードを公開。

プログレスは、MOVEit Transferの顧客に、今日オンラインで新しいSQL Injection(SQLi)脆弱性に関する情報が共有された後、環境へのすべてのHTTPアクセスを制限するよう警告した。この新しい重大なセキュリティバグに対するパッチはまだ利用できないが、パッチが現在テストされており、「まもなく」リリースされる予定であると同社は発表した。Progressは、MOVEit Transferに脆弱性があることを発見し、「昇格特権と環境への潜在的な不正なアクセスにつながる可能性がある」と述べた。PoC情報が公開されているため、MOVEit TransferのHTTPおよびHTTPSトラフィックを一時的に停止することがProgress社の強い推奨事項である。FTP/sプロトコルは引き続き機能するため、ユーザーはWeb UIを介してアカウントにログインできなくなるが、ファイル転送は引き続き可能である。脆弱性についての詳細は明らかにされていないが、少なくとも1人のセキュリティ研究者が、新しいMOVEit TransferゼロデイバグのPoCエクスプロイトコードの情報をTwitterで共有している。Progressは、新しい警告に先立ちアドバイザリを公開したが、弱点はリサーチャーによって同社に開示された可能性がある。

incident
2023-06-15 17:33:12

被害状況

事件発生日2020年8月から2023年3月
被害者名不明
被害サマリLockBitランサムウェアに感染された被害者のネットワークを攻撃した。被害者はアメリカおよび外国においていた。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名ロシア人 Ruslan Magomedovich Astamirov
攻撃手法サマリLockBitランサムウェアを利用した攻撃
マルウェアLockBitランサムウェア
脆弱性不明

incident
2023-06-15 16:20:00

被害状況

事件発生日2023年6月15日
被害者名不明
被害サマリランサムウェアのウォレットアドレスからマイニングプールを介して、$19.1 millionが4つのランサムウェアウォレットアドレスから、$14.1 millionが3つのマイニングプールから、多くの資金が仲介ウォレットとプールのネットワークを介して送信された。これは、資金の出所を曖昧にし、ランサムウェアからではなくマイニングから得た資金であるとして被害額を洗浄するのに役立つ。
被害額$33.2 million

攻撃者

攻撃者名不明
攻撃手法サマリクラウドマイニングサービスをいたずらに使うことにより、ランサムウェアグループが資金を洗浄していることが確認された。
マルウェア不明
脆弱性不明

incident
2023-06-15 16:10:17

被害状況

事件発生日2022年8月以降
被害者名Androidユーザー
被害サマリ最新版のGravityRATが拡散され、トロイの木馬化されたチャットアプリ"BinchChat"を使ってAndroidデバイスを感染させ、WhatsAppのバックアップファイルを盗むマルウェアであることが判明した。
被害額不明

攻撃者

攻撃者名SpaceCobra(インドに焦点を絞って攻撃を行うマルウェアグループ)
攻撃手法サマリトロイの木馬化されたチャットアプリの不正配信による攻撃
マルウェアGravityRAT
脆弱性不明

incident
2023-06-15 15:39:03

被害状況

事件発生日2023年5月27日
被害者名MOVEit Transferを使用した企業・機関
被害サマリClop ransomwareによって、ファイルがサーバから盗まれた。被害者の一部はClopによってリストされ、要求された金額が支払われなければ、2023年6月21日にデータがリークされる予定。
被害額不明(予想:不明)

攻撃者

攻撃者名Clop ransomware gang
攻撃手法サマリMOVEit Transferのゼロデイ脆弱性を悪用してファイルを盗み、被害者に金銭を要求している。
マルウェアClop ransomware
脆弱性MOVEit Transferのゼロデイ脆弱性

incident
2023-06-15 14:56:00

被害状況

事件発生日2022年10月10日
被害者名不明
被害サマリ中国系のUNC4841グループによって、Barracuda Email Security Gateway(appliances)のパッチ済みのゼロデイ脆弱性を攻撃された私的、公共セクターを含めた少なくとも16か国の組織が被害に遭った。攻撃手法は、UNC4841グループが添付ファイルを含むメールを送り、そのメールに含まれる不完全な添付ファイルの検証による遠隔コードインジェクションに乗じ、SALTWATER、SEASIDE、およびSEASPYの3種類のマルウェアをバラクーダの偽装モジュールまたはサービスとして送りつけ、任意のコマンドを実行していた。
被害額不明(予想:数十億円以上)

攻撃者

攻撃者名UNC4841グループ(中国系)
攻撃手法サマリUNC4841グループが添付ファイルを含むメールを送り、そのメールに含まれる不完全な添付ファイルの検証による遠隔コードインジェクションに乗じ、SALTWATER、SEASIDE、およびSEASPYの3種類のマルウェアをバラクーダの偽装モジュールまたはサービスとして送りつけ、任意のコマンドを実行していた。また、SANDBARというカーネル・ルートキットとSEASPRAY、SKIPJACKというBarracuda Luaモジュールも使用していた。
マルウェアSALTWATER、SEASIDE、SEASPY
脆弱性CVE-2023-2868

other
2023-06-15 14:02:04
この記事は、従来のペネトレーションテストと比較したペネトレーションテストアズアサービス(PTaaS)を紹介し、その違い、利点、業界の傾向などを説明している。PTaaSは、定期的な手動のテストによるアプリケーションのセキュリティ評価に加え、自動的なスキャン機能による持続的な監視も提供するため、より包括的で効果的な評価が可能となる。また、従来のテストがスナップショットの検査であるのに対し、PTaaSは現在進行中の評価であり、セキュリティの脅威に対し、より迅速かつ柔軟な対応が可能となっている。PTaaSは、スキャンツールと人間の専門家の能力を組み合わせることで、ビジネス量の複雑さや、クリエイティブに攻撃シナリオを構築し、社会技術攻撃をシミュレーションするなどの複雑な脆弱性を特定することができる。

incident
2023-06-15 13:48:00

被害状況

事件発生日2023年5月3日
被害者名不明
被害サマリVidarマルウェアの脅威は引き続き存在し、その背後にある脅威アクターはインフラストラクチャーを改良しているようだ。
被害額不明(予想不可)

攻撃者

攻撃者名MoldovaおよびRussiaに基盤を置くプロバイダーに偏りを持つ、国籍不明の脅威アクター
攻撃手法サマリVidarマルウェアを使用し、フィッシングキャンペーン、クラックされたソフトウェア、または偽Google広告といった手法で感染を広げ、被害者の個人情報を収集する。
マルウェアVidarマルウェア、Arkeiマルウェア
脆弱性不明

incident
2023-06-15 13:25:48

被害状況

事件発生日2022年10月10日以降
被害者名Barracuda ESG(電子メールセキュリティゲートウェイ)
被害サマリ中国のハッカーグループが、Barracuda ESG Appliancesの脆弱性を利用してデータ盗難攻撃を行った。被害者のデバイスを無償で交換するように要求されたが、これは脆弱性を利用したマルウェアによる深刻な感染が懸念されたためである。
被害額不明

攻撃者

攻撃者名中国のハッカーグループ(UNC4841)
攻撃手法サマリBarracuda ESGの電子メール添付ファイルスキャンモジュールにあるCVE-2023-2868のゼロデイ脆弱性を悪用し、デバイスにリモートコード実行を行った攻撃。
マルウェアSaltwater、Seaspy、Seasideなどのマルウェアを使用した攻撃があった。
脆弱性Barracuda ESGの電子メール添付ファイルスキャンモジュールにあるCVE-2023-2868のゼロデイ脆弱性が攻撃に利用された。

incident
2023-06-15 13:00:00

被害状況

事件発生日2022年6月以降
被害者名不明
被害サマリAndroidリモートアクセス型トロイのGravityRATが更新され、メッセージングアプリBingeChatおよびChaticoの偽装により、狭くターゲットされた攻撃キャンペーンの一部として悪用され、WhatsAppバックアップを流出させ、ファイルを削除するように指示を受けることができるようになった。攻撃者は、軍事関係者やジャーナリスト、浪漫的な関係を望む女性などのフィクションの人物を演じて、FacebookやInstagramで潜在的なターゲットに接触し、彼らを誘惑して、ろくでなしのWebサイトを介してダウンロード・インストールさせる模様。
被害額不明(予想:特定できず)

攻撃者

攻撃者名不明(攻撃はパキスタンに拠点を有すると疑われている)
攻撃手法サマリ偽装されたメッセージングアプリを使った攻撃
マルウェアGravityRAT(別名:SpaceCobra)
脆弱性不明

other
2023-06-15 11:58:00
1. Trusted Cybersecurity News Platform with over 3.76 million followers
2. Ol tag with links to Home, Newsletter and Store
3. Resources section with links to Webinars, THN Store, and Free eBooks
4. New research report "Revealing the True GenAI Data Exposure Risk" by Browser Security company LayerX shows 6% of employees paste sensitive data into GenAI tools such as ChatGPT, with 4% doing so weekly, posing a severe threat of data exfiltration for organizations
5. Trending News section includes critical RCE flaw discovery in Fortinet FortiGate Firewalls, critical vulnerabilities addressed by Cisco and VMware, and Microsoft uncovers banking AitM phishing and BEC attacks targeting financial giants, among others.

vulnerability
2023-06-15 11:56:00

被害状況

事件発生日2023年5月24日
被害者名オープンソースプロジェクト利用者
被害サマリサードパーティーによってアマゾンS3バケットが乗っ取られ、マルウェアが提供されたことで、ユーザーID、パスワード、ローカルマシンの環境変数、ローカルホスト名が盗まれた。多数のパッケージが影響を受け、ユーザーは感染したバイナリをダウンロードしてしまった。
被害額不明(予想:被害の種類上、金銭的被害はない)

攻撃者

攻撃者名不明(サードパーティー)
攻撃手法サマリサードパーティーによるアマゾンS3バケットの乗っ取りによるマルウェアの提供
マルウェア不明
脆弱性アマゾンS3バケットの未使用設定

脆弱性

CVEなし
影響を受ける製品Amazon S3
脆弱性サマリ使用されなくなったAmazon S3バケットを利用したサプライチェーン攻撃で、マルウェアをダウンロードさせる
重大度
RCE
攻撃観測
PoC公開不明
この脆弱性は、使用されなくなったAmazon S3バケットが削除されても、それを指定していたソフトウェアのポインターが残ってしまい、誰かがそのバケットを取得した場合、そのバケットからマルウェアをダウンロードさせることができる攻撃方法である。ダウンロードされたマルウェアは、ユーザーのクレデンシャルや環境の詳細などを盗み出し、同じバケットに送信してしまう。Checkmarxの調査により、多くのソフトウェアが使用されなくなったS3バケットを使っていることがわかっている。この攻撃は、ソフトウェアサプライチェーンに対する新しい攻撃方法である。

incident
2023-06-15 10:01:00

被害状況

事件発生日2023年2月/3月以降
被害者名ウクライナの各機関および組織(政府、軍事、セキュリティーサービス)
被害サマリ長期にわたる侵入に成功し、報告書や訓練報告書、敵の戦闘報告、兵器の在庫報告書など、ウクライナ軍に関する機密情報を収集した。
被害額不明(予想:数百万ドル程度)

攻撃者

攻撃者名Shuckworm(ロシアの連邦保安庁 (FSB) が関与しているとされるグループ)
攻撃手法サマリスピアフィッシング攻撃を用い、ウクライナの機関や組織をターゲットにする。攻撃には、Giddome、Pterodo、GammaLoad、GammaSteelなどの情報窃取型マルウェアが用いられる。
マルウェアGiddome、Pterodo、GammaLoad、GammaSteel
脆弱性不明

incident
2023-06-15 10:00:00

被害状況

事件発生日不明
被害者名ウクライナの軍事・セキュリティ情報部門の重要な組織
被害サマリロシアのGamaredonハッキンググループが、ウクライナの軍事・セキュリティ情報部門を攻撃した。USBマルウェアを使用して、感染したネットワーク内の追加システムに侵入するようになった。
被害額不明(予想不可)

攻撃者

攻撃者名ロシアのGamaredonハッキンググループ
攻撃手法サマリUSBマルウェアを使用して、感染したネットワーク内の追加システムに侵入するようになった。
マルウェアPterodo、Pteranodonなど様々なマルウェアを使用
脆弱性不明

incident
2023-06-15 09:00:00

被害状況

事件発生日2022年1月
被害者名ウクライナ、欧州、中央アジア、時折、ラテンアメリカの組織
被害サマリCadet Blizzardは、破壊活動、スパイ行為、ウクライナにおける軍事介入に先立つ破壊型サイバー攻撃、情報操作を行うロシアの国家戦略に従うハッカーグループ
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名ロシア政府による国家戦略に従うハッカーグループ
攻撃手法サマリ既知の脆弱性を利用した攻撃、エクスプロイトキットによる攻撃、WhisperGate(PAYWIPEとも呼ばれる)という新種のワイパーマルウェアを使用した攻撃など、多様な攻撃手法を使用する
マルウェアWhisperGate、SaintBot、OutSteel、GraphSteel、GrimPlant、Graphironなど
脆弱性公開されたWebサーバーにある既知の脆弱性(例:Atlassian Confluence、Microsoft Exchange Serverなど)や、ランサムウェア攻撃を行うことがある

incident
2023-06-15 05:09:00

被害状況

事件発生日2020年以来
被害者名アメリカの多数の組織
被害サマリLockBitランサムウェアが使用され、少なくとも1,653回の攻撃が行われた。金融サービス、食品農業、教育、エネルギー、政府や緊急サービス、医療、製造業、輸送などの広範な重要なインフラセクターが攻撃の標的となった。
被害額$91,000,000

攻撃者

攻撃者名Russia-linked cartel
攻撃手法サマリLockBit RaaSを使用し、広範囲な分野の攻撃が実施された。
マルウェアLockBitランサムウェア
脆弱性Fortra GoAnywhere Managed File Transfer (MFT)やPaperCut MF/NG servers、Apache Log4j2、F5 BIG-IPおよびBIG-IQ、Fortinetデバイスの脆弱性などが悪用された。

vulnerability
2023-06-14 21:43:30

脆弱性

CVECVE-2023-32019
影響を受ける製品Windows 10, Windows Server, Windows 11
脆弱性サマリ特権プロセスのヒープメモリにアクセス可能なため、認証済みの攻撃者が未修正デバイス上の特権プロセスのヒープメモリにアクセスできる。
重大度重要
RCE
攻撃観測なし
PoC公開不明
この脆弱性(CVE-2023-32019)は、Windows 10、Windows Server、Windows 11に影響を及ぼす。この脆弱性は、認証済みの攻撃者が未修正デバイス上の特権プロセスのヒープメモリにアクセスできるため、重要度があるとされる。 Microsoftはオプションの修正プログラムをリリースしており、2023年6月のPatchTuesdayで発行された。この修正プログラムは、デフォルトで無効になっている。密かに有効化するには、Windowsレジストリの変更が必要となる。ただし、有効化することがOSに影響を及ぼすかどうかは不明であるため、広範な展開の前に数台でテストすることが啓蒙される。

incident
2023-06-14 21:36:23

被害状況

事件発生日2023年6月14日
被害者名Enlistedのロシアの複数のプレイヤー
被害サマリ偽のEnlistedゲーム配布サイトから、配布されるはずのないマルウェアが含まれたバージョンのゲームがダウンロードされ、被害者のデータが暗号化され、身代金が要求された。
被害額不明(予想:数十万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリ偽のEnlistedゲーム配布サイトからランサムウェアを配信する手法
マルウェアPython locker (Crypter ransomware)
脆弱性不明

incident
2023-06-14 21:36:23

被害状況

事件発生日2023年6月14日
被害者名Enlisted FPSのロシア人プレイヤー
被害サマリロシアのEnlisted FPSのプレイヤーを狙ったWannaCryランサムウェアの詐称サイトが出現し、Trojan化されたEnlistedファイルをダウンロードするように誘導していた。
被害額不明(予想:数百万円以上)

攻撃者

攻撃者名不明(ロシア人と思われる)
攻撃手法サマリ偽のサイトを作成し、Trojan化されたファイルをダウンロードさせる手法を用いた
マルウェアWannaCryの偽装版
脆弱性不明

incident
2023-06-14 19:33:30

被害状況

事件発生日2023年6月13日
被害者名Malwarebytes社の顧客
被害サマリMicrosoftが6月の月例更新プログラムKB5027231をリリースした際、Malwarebytesのアンチエクスプロイト・モジュールがGoogle Chromeを阻止することで、Google Chromeの使用ができなくなった。ただし、Malwarebytesの製品の設定からGoogle Chromeを保護の対象から外すことで回避可能である。[Bleeping Computer]
被害額不明(被害額に該当しない)

攻撃者

攻撃者名不明(MicrosoftおよびMalwarebytesの間で発生したバグのため)
攻撃手法サマリMicrosoftがリリースしたWindows 11の月例更新プログラム(KB5027231)がGoogle Chromeとの競合を引き起こし、それによってブラウザがクラッシュする。[Bleeping Computer]
マルウェア不明
脆弱性MicrosoftがリリースしたWindows 11の月例更新プログラム(KB5027231)がGoogle Chromeとの競合を引き起こし、それによってブラウザがクラッシュする。[Bleeping Computer]

incident
2023-06-14 17:56:33

被害状況

事件発生日2023年3月より実行中
被害者名不特定多数のウェブサイト利用者
被害サマリ偽の著作権上の制限をかいくぐって海賊版の音楽、映画、ビデオゲームをダウンロードしようとする利用者を狙い、Shampooと呼ばれるブラウザエクステンションを含むマルウェアをインストールしている。
被害額不明(予想:被害の種類から金銭的被害はそれほど大きくはないと考えられる)

攻撃者

攻撃者名不明
攻撃手法サマリ偽のダウンロードリンクを配布するシステムへのアクセス、VBScriptとPowerShellスクリプトの使用、タスクスケジューラの改変。
マルウェアShampoo
脆弱性不明

incident
2023-06-14 17:27:29

被害状況

事件発生日記事に記載なし
被害者名ウクライナ政府関連機関など
被害サマリロシアのGRU情報機関に関連するサイバー攻撃グループ「Cadet Blizzard」によるデータ消去攻撃の被害。2022年1月にWhisperGateと呼ばれる攻撃を実施したことが明らかになり、ウクライナ政府機関を始めとする多くの組織や企業に影響を与えた。
被害額記事に記載なし(予想:数十億円以上)

攻撃者

攻撃者名Cadet Blizzard(ロシアのGRU情報機関に関連するサイバー攻撃グループ)
攻撃手法サマリデータ消去を目的とした攻撃
マルウェア記事に記載なし
脆弱性記事に記載なし

incident
2023-06-14 17:01:08

被害状況

事件発生日不明
被害者名Linuxデバイスの所有者
被害サマリ中国のサイバースパイ集団「ChamelGang」が、先のWindowsツールキットに続き、Linuxに新たなマルウェア「ChamelDoH」を植え付け、攻撃者のサーバーとDNS-over-HTTPSによる通信を可能としたことが明らかになった。
被害額不明(予想:被害額は発生していないが、情報漏えいによる損失が発生している可能性がある)

攻撃者

攻撃者名中国のサイバースパイ集団「ChamelGang」
攻撃手法サマリマルウェア「ChamelDoH」を植え付け、DNS-over-HTTPSによる通信でコマンドアンドコントロール(C&C)サーバーと通信。
マルウェアChamelDoH
脆弱性不明

incident
2023-06-14 16:46:00

被害状況

事件発生日不明
被害者名不明
被害サマリUNC3886と称される中国の国家的なハッカー集団がVMware ESXiのホストを悪用してWindowsやLinuxシステムにバックドアを設置した。この攻撃により、VMwareツールの認証回避の脆弱性(CVE-2023-20867)を利用して、ESXiホストを侵害し、Windows、Linux、そしてPhotonOS (vCenter)のゲストVMでのゲスト資格情報の認証を要求しないプライビリッジドコマンドの実行が可能になっていた。
被害額不明(予想不可)

攻撃者

攻撃者名中国の国家的なハッカー集団(UNC3886)
攻撃手法サマリVMware ESXiホストの脆弱性を突いてバックドアを設置。
マルウェア不明
脆弱性VMware ESXiホストのCVE-2023-20867

other
2023-06-14 15:38:35
- CISAと国際的なサイバーセキュリティ機関は、2020年以来、約1,700の攻撃で合わせて約9100万ドルを脅迫したLockBitランサムウェアのグループについて、共同でアドバイザリを発表した。
- このランサムウェアは、2022年の最大のグローバルランサムウェアの脅威であり、被害者のデータ漏えいサイトの数で最も多くのものを主張していた。
- LockBitは、地方政府、カウンティ政府、公立大学、K-12学校、警察などの緊急サービスを標的にしていた。
- 共同アドバイザリには、LockBitアフィリエイトが攻撃で使用する40以上のTactics、Techniques、and Procedures(TTP)の詳細なMITRE ATT&CKマッピングと、約30の無料のツールとオープンソースツールのリストが含まれている。
- 防御者が彼らの組織を標的にLockBit活動を阻止するための推奨される緩和策も提供された。

vulnerability
2023-06-14 13:41:00

脆弱性

CVEなし
影響を受ける製品Microsoft Azure BastionとAzure Container Registry
脆弱性サマリMicrosoft Azure BastionとAzure Container Registryにおいて、クロスサイトスクリプティング(XSS)攻撃を実行可能な複数の脆弱性が報告された。
重大度
RCEなし
攻撃観測不明
PoC公開あり
マイクロソフトのAzure BastionとAzure Container Registryに、クロスサイトスクリプティング(XSS)攻撃を実行可能な複数の脆弱性が報告された。攻撃者は、異なるAzureサービスのレコンnaissanceを実行し、ヘッダーが欠落した脆弱なエンドポイントを対象にする必要がある。これらの脆弱性の攻撃は、4月13日と5月3日にマイクロソフトに報告され、同社はセキュリティ修正を提供した。

other
2023-06-14 11:04:02
1. ニュース、ダウンロード、VPN、ウイルス除去ガイド、チュートリアル、ディール、フォーラムなどのセクションから成るウェブサイト。
2. 各セクションには、最新の情報、人気のある情報、またはカテゴリーに基づいた情報が表示される。
3. あるセクションには、「コンプライアンスオートメーション: Your Audit Experience Before and After」という記事が掲載されており、この記事では自動化によってコンプライアンスプログラムが改善されることが説明されている。
4. 記事では、企業にとって重要なコンプライアンスを守るために、自動化されたソリューションを使用することが推奨されている。
5. コンプライアンスパートナーを選ぶ際には、監査プロセスへのフォーカス、コントロールの柔軟性、フレームワークのサポート、オープンAPI、ユーザーフレンドリーなコンプライアンスなどを考慮すべきである。

incident
2023-06-14 10:43:00

被害状況

事件発生日2023年6月14日
被害者名不明
被害サマリSkuldというGolangベースのマルウェアが、欧州、東南アジア、アメリカのWindowsシステムに侵入してデータを盗み出している。
被害額不明(予想不可)

攻撃者

攻撃者名Deathinedというオンライン名を使用する開発者
攻撃手法サマリ情報を盗む
マルウェアSkuld
脆弱性不明

other
2023-06-14 10:39:00
1. 「The Hacker News」というサイトは、300万以上のフォロワーを持つ信頼できるサイバーセキュリティ記事のプラットフォームである。
2. サイトには記事のカテゴリーがあり、「Home」「Data Breaches」「Cyber Attacks」「Vulnerabilities」「Webinars」「Store」「Contact」がある。
3. ページの下部には、Webinars、THN Store、Free eBooks等のリソースも掲載されている。
4. 「Where from, Where to — The Evolution of Network Security」という記事では、ネットワークセキュリティの進化について紹介され、Ingress filters pre-compromise、Egress filters post-compromiseという概念が説明されている。
5. 記事の下部には「Follow Us On Social Media」というセクションがあり、Twitter、Facebook、LinkedIn、Reddit、Hacker News、Telegramのリンクが掲載されている。

incident
2023-06-14 10:21:00

被害状況

事件発生日2023年6月14日
被害者名GitHubのユーザー
被害サマリGitHubの偽の研究者が、高機能なマルウェアを含むサンプルプログラムを掲載し、GitHubのユーザーがこれをダウンロードすることで、マルウェアをダウンロード・実行させる攻撃を行った。
被害額不明(予想:被害者がGitHub上でマルウェアによって被った損失額はわからないが、企業による対処コストがかかっていると考えられる)

攻撃者

攻撃者名不明(攻撃者はGitHubの偽の研究者として偽名を使用していた)
攻撃手法サマリGitHubに偽の研究者のアカウントを作成し、高度なマルウェアを含んだサンプルプログラムをプッシュしてユーザーをおびき寄せ、マルウェアをダウンロード・実行させる攻撃を行った。
マルウェアPythonスクリプトによるダウンロード・実行型のマルウェア
脆弱性不明

other
2023-06-14 10:00:00
エラーが発生しました。
記事ファイル名:../articles/20230614 100000_e265c53350aaff55eb265d479f61e2defdcef742cdf76350d242e610ded93455.json
The server had an error processing your request. Sorry about that! You can retry your request, or contact us through our help center at help.openai.com if you keep seeing this error. (Please include the request ID df3349cdffc30fa55ac90061e7e3c5ea in your email.) {
"error": {
"message": "The server had an error processing your request. Sorry about that! You can retry your request, or contact us through our help center at help.openai.com if you keep seeing this error. (Please include the request ID df3349cdffc30fa55ac90061e7e3c5ea in your email.)",
"type": "server_error",
"param": null,
"code": null
}
}
500 {'error': {'message': 'The server had an error processing your request. Sorry about that! You can retry your request, or contact us through our help center at help.openai.com if you keep seeing this error. (Please include the request ID df3349cdffc30fa55ac90061e7e3c5ea in your email.)', 'type': 'server_error', 'param': None, 'code': None}} {'Date': 'Wed, 14 Jun 2023 10:56:05 GMT', 'Content-Type': 'application/json', 'Content-Length': '366', 'Connection': 'keep-alive', 'access-control-allow-origin': '*', 'openai-organization': 'macnica-inc', 'openai-processing-ms': '2055', 'openai-version': '2020-10-01', 'strict-transport-security': 'max-age=15724800; includeSubDomains', 'x-ratelimit-limit-requests': '3500', 'x-ratelimit-limit-tokens': '90000', 'x-ratelimit-remaining-requests': '3499', 'x-ratelimit-remaining-tokens': '86455', 'x-ratelimit-reset-requests': '17ms', 'x-ratelimit-reset-tokens': '2.363s', 'x-request-id': 'df3349cdffc30fa55ac90061e7e3c5ea', 'CF-Cache-Status': 'DYNAMIC', 'Server': 'cloudflare', 'CF-RAY': '7d720b62e8f6238a-EWR', 'alt-svc': 'h3=":443"; ma=86400'} <> security_news_matomerukun.py:81

vulnerability
2023-06-14 08:33:00

脆弱性

CVECVE-2023-34000
影響を受ける製品WooCommerce Stripe Gateway プラグイン (7.4.0 以前)
脆弱性サマリプラグインの認証をバイパスし、PIIデータ(メールアドレス、ユーザー名、住所)を閲覧可能な未承認アクセスに関する問題がある
重大度
RCE
攻撃観測なし
PoC公開なし

vulnerability
2023-06-14 07:50:00

脆弱性

CVECVE-2023-29357, CVE-2023-29363, CVE-2023-32014, CVE-2023-32015, CVE-2023-28310, CVE-2023-32031
影響を受ける製品Windows, SharePoint Server, Edge browser, Exchange Server
脆弱性サマリ特権昇格、リモートコード実行など
重大度Critical: 6, Important: 63, Moderated: 2, Low: 1
RCE有(CVE-2023-29363, CVE-2023-32014, CVE-2023-32015, CVE-2023-28310, CVE-2023-32031)
攻撃観測ゼロデイ攻撃はなし
PoC公開不明
Microsoftは、2023年6月のパッチ更新プログラムの一環として、Windowsおよびその他のソフトウェアコンポーネントの修正版を提供し、主要なセキュリティ欠陥を補完した。73個の脆弱性のうち、6個が致命的、63個が重要、2個が修正され、1個が軽微な被害を受けた。これには、テックジャイアントがChromeベースのEdgeブラウザで対処した3つの問題も含まれる。また、26の別の欠陥を閉じた。CVE-2023-29357は、特権昇格の欠陥であり、SharePoint Serverにある。これにより、攻撃者は管理者特権を取得できます。3つの致命的なリモートコード実行バグも修正された。それらはWindows Pragmatic General Multicast(PGM)にあり、攻撃者が悪意のあるコードをトリガーし、リモートコード実行を達成することができる。Exchange Serverにも2つのリモートコード実行バグがあり、これにより、認証済みの攻撃者は影響を受けるインストールでリモートコード実行を達成することができた。

incident
2023-06-13 21:16:30

被害状況

事件発生日不明(記事掲載日:2023年6月13日)
被害者名不特定のWindows 10利用者
被害サマリクリッパーマルウェアがTorrentを通じて流通するWindows 10のISOファイルに仕込まれ、被害者が仮想通貨を送金する際に、送金先が攻撃者のコントロール下にあるアドレスに置き換えられることで、攻撃者が少なくとも19000ドル相当の仮想通貨を不正に受け取った。
被害額19000ドル(およそ205万円)

攻撃者

攻撃者名不明
攻撃手法サマリ仕込まれたクリッパーマルウェアが、被害者が送金しようとした仮想通貨のアドレスを攻撃者のアドレスに置き換えて送金を不正に受け取る手法
マルウェアクリッパーマルウェア
脆弱性不明

other
2023-06-13 20:29:44
エラーが発生しました。
記事ファイル名:../articles/20230613 202944_d1f2b778ddf029df60cdb8765048e902d00689da8aad055971b83e457d8af59d.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 1f119066e54331ac220b986c01772774 in your message.) <> security_news_matomerukun.py:81

incident
2023-06-13 18:47:35

被害状況

被害Windows 11の一部のアプリが、CopyFile APIを使用しており32ビット版を使用する場合、大きなアドレスを許可するアプリであるとき、特定の商用または企業向けセキュリティソフトウェアを使用している場合に、ファイルの保存中またはコピー中に断続的な問題が発生。影響を受けたユーザーは「ドキュメントが保存されていません」というエラーメッセージを表示する場合がある。
被害者個人、企業、学術機関、政府などWindows 11を使用する全ての被害者。
被害額不明

攻撃者

攻撃者不明
攻撃手法CopyFile APIの利用
マルウェア報告されていない
脆弱性報告されていない

vulnerability
2023-06-13 18:10:30

脆弱性

CVEなし
影響を受ける製品Windows 11
脆弱性サマリWindows 11のさまざまな製品における78個の脆弱性と38個のリモートコード実行の欠陥を修正するためのパッチをリリースした。
重大度
RCE
攻撃観測なし
PoC公開なし
Windows 11用のKB5027231累積的な更新プログラムがリリースされました。これにより、Microsoftの製品に存在する78個の脆弱性と38のリモートコード実行の欠陥が修正されます。更新は必須で、Windows 11ユーザーは「スタート」>「設定」>「Windows Update」に移動し、「更新の確認」をクリックして、更新プログラムをインストールすることができます。更新後、Windows 11 22H2のビルド番号は22621.1848に変更されます。また、更新には、Bluetooth Low Energyオーディオのサポート、タッチキーボードの問題の修正、複数機能ラベルプリンターのインストール問題の修正などの変更が含まれます。ただし、更新後にも「ネットワーク配布パッケージが予想どおりに機能しない」問題がまだ解決されていません。

vulnerability
2023-06-13 18:10:30

脆弱性

CVEなし
影響を受ける製品Windows 11
脆弱性サマリMicrosoftがWindows 11のKB5027231の累積的な更新をリリース。34の改善、改善、およびバグ修正を紹介する。78の脆弱性と38のRCE漏洩の問題を修正する。ユーザーはWindows Updateで手動でダウンロードしてインストールできる。
重大度
RCE
攻撃観測不明
PoC公開不明

other
2023-06-13 17:39:20
- マイクロソフトが、Windows 10 KB5027215およびKB5026435をリリース。
- これらは、OSに新機能を追加、問題を修正するための累積的なアップデート。
- 6月のパッチの一部としてリリースされたセキュリティアップデートが含まれており、自動的に数日以内に更新されることになる。
- タスクバーの検索ボックスの機能強化および、高優先度のトースト通知を3つまで同時に表示できるようになる。
- 目立った問題は、「カスタムオフラインメディアまたはISOイメージが、従来のMicrosoft Edgeが削除され、新しいモダンなMicrosoft Edgeブラウザで置き換えられない場合がある」とのこと。

incident
2023-06-13 17:33:11

被害状況

事件発生日2023年6月13日
被害者名米国政府機関
被害サマリ連邦文民機関に対し、ネットワーク管理インターフェースの脆弱性に対する保護命令
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリネットワーク管理インターフェースの脆弱性を悪用した攻撃
マルウェア不明
脆弱性ネットワーク管理インターフェースの脆弱性

incident
2023-06-13 17:28:28
エラーが発生しました。
記事ファイル名:../articles/20230613 172828_2b8384a28b104c20c7459fc2a1dd6e8fa6b977bc2113cfaa065de27ab4dbd681.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 53b6df9861d5ea2b617b8f224dc0f167 in your message.) <> security_news_matomerukun.py:81

other
2023-06-13 16:48:10
- 中国のサイバー攻撃グループがVMware ESXiのゼロデイ脆弱性を悪用して、WindowsおよびLinux仮想マシンにバックドアを仕掛け、データを盗んだ。
- グループはVMware Toolsの認証バイパス脆弱性を悪用し、VirtualPitaとVirtualPieバックドアをESXiホストからVMに展開、特権を昇格させた。
- グループはFortiGateファイアウォールのゼロデイ脆弱性(CVE-2022-41328)を悪用した攻撃も行っており、UNC3886は防御、政府、通信、技術セクターを標的にしている。
- UNC3886は、エンドポイント検出および応答(EDR)の機能を持たないファイアウォールおよび仮想化プラットフォームのゼロデイ脆弱性を好むことで知られている。
- グループはシステムの複雑な技術を理解する能力によって特徴づけられ、新しいマルウェアファミリーと特定のプラットフォームを標的にした悪意のあるツールを使用して攻撃を行っている。

vulnerability
2023-06-13 16:02:58

脆弱性

CVECVE-2023-34000
影響を受ける製品WordPressのWooCommerce Stripe Gatewayプラグイン (バージョン7.4.1より古い全バージョン)
脆弱性サマリ認証されていないユーザーが、WooCommerce Stripe Gatewayプラグインを介して注文された詳細を閲覧できてしまう不安定なダイレクトオブジェクト参照脆弱性(CVE-2023-34000)があります。
重大度
RCEなし
攻撃観測不明(セキュリティアナリストのPatchstackが発見した脆弱性である為、発見前から攻撃が行われていたかもしれないが、報告書には明記されていない)
PoC公開不明

incident
2023-06-13 15:31:00

被害状況

事件発生日2023年6月13日
被害者名不明
被害サマリDoubleFingerと呼ばれるマルウェアによって、欧米および中南米のユーザーを標的にした高度な攻撃で、多段階のローダーから構成される攻撃により、GreetingGhoulという暗号化されたペイロードを使用して、仮想通貨ウォレットからユーザーの認証情報を窃取された。
被害額不明(予想外)

攻撃者

攻撃者名国籍等不明
攻撃手法サマリ添付ファイルに偽装されたダウンローダーマルウェアの使用。
マルウェアDoubleFinger, GreetingGhoul, Remcos RAT
脆弱性不明

incident
2023-06-13 14:52:14

被害状況

事件発生日不明(2012年5月から11月の間)
被害者名不明
被害サマリPaunescuの弾力的なポリシーにより、Gozi(Ursnif)、Zeus、SpyEye、BlackEnergyなどの数々の紛争の情報を盗む銀行マルウェアが配信された。
被害額数千万ドル(予想)

攻撃者

攻撃者名Mihai Ionut Paunescu
攻撃手法サマリ弾力的なポリシー、情報を盗む銀行マルウェアの配信、Distributed Denial of Service(DDoS)攻撃、スパムメッセージの配信など
マルウェアGozi (Ursnif)、Zeus、SpyEye、BlackEnergy
脆弱性不明

other
2023-06-13 14:04:08
1. Blink Copilotは、セキュリティポリシーを自動化するための次世代のセキュリティオートメーションツールであり、ジェネラティブAIによって動作する。ベンダーネイティブなNO-CODEプラットフォームであり、任意のセキュリティプロフェッショナルがプロンプトを打って自動ワークフローを生成できる
2. ビジネスオペレーションを変換したいと考えているセキュリティオペレーターは、低コードソリューションを使用して自分自身のワークフローを自動化するようになっている
3. Blinkは、ビジネスオペレーションを変換した低コードプラットフォームを構築し、さらにLLMやジェネラティブAIなどの最近の進歩により、ノーコードソリューションを可能にしたクラウドネイティブプラットフォームを開発した
4. Blink Copilotを使用することで、誰でも他のアプリケーションのAPIのエキスパートでなくても、打鍵したプロンプトに対して迅速に自動化を生成することができる。また、ドラッグアンドドロップアクション、変数、自己サービスアプリとしてエクスポートすることが可能な低コードプラットフォームを使用してワークフローをテスト、カスタマイズすることができる
5. スキルレベルに関わらず、Blink CopilotはAIを活用することで生産性を向上し、組織を守るためのワークフローを提供することができるとされている。数か月かかったプロジェクトが秒速で実現可能である。 Blink Opsが提供するプラットフォームは、セキュアなワークスペース、オンプレランナー、MSPやMSSPのためのマルチテナントサポートなどの機能を備えている。

vulnerability
2023-06-13 13:53:00
記事タイトル:Over Half of Security Leaders Lack Confidence in Protecting App Secrets, Study Reveals 脆弱性
CVEなし
影響を受ける製品アプリケーション
脆弱性サマリ企業の安全性に即時かつ重大な影響を与えることがある「アプリケーションの秘密管理」が怠惰になっている。
重大度
RCEなし
攻撃観測不明
PoC公開なし
記事の概要:GitGuardianによる最近の研究によると、米国とイギリスの両国で、ITの意思決定者の75%が少なくとも1つのアプリケーションからの秘密が漏洩したことを報告した。うち60%が企業または従業員に問題を引き起こした。しかしながら、48%の回答者しか「アプリケーションの秘密を非常に確実に保護できる」と自信を持っていない。また、この秘密の管理には、運用実態を反映しない既成概念が過剰に適用されているためその問題が見過ごされている。 また、回答者の27%が、秘密を漏洩させるための手作業のコードレビューに頼っていることが分かり、効果的ではないことが示されている。事実、GitGuardianによる年次秘密拡散状態の報告書によると、2022年には活発な悪意ある攻撃者によって漏洩した秘密の件数が32%増加し、1年間で合計10万件以上に達したことが報告されている。企業は人員を強化することが必要であり、ガードレールのプリコミットフックなどを使用して漏洩を防止することが必要だと主張されている。

incident
2023-06-13 13:39:00

被害状況

事件発生日2023年6月13日
被害者名複数のグローバルな組織(具体的な企業名は記事に記載なし)
被害サマリアドバーサリー・イン・ザ・ミドル(AitM)攻撃を利用したビジネス・メール・コンプロミス(BEC)攻撃。フィッシング攻撃を通じて被害者のアカウントにアクセスし、Office365の認証をバイパスして永続的なアクセスを取得した。その後、被害者のアカウントからデータを流出し、そのアクセスを利用して、他の組織の従業員に対してフィッシング攻撃を行った。
被害額不明(予想:数百万ドル程度)

攻撃者

攻撃者名不明
攻撃手法サマリフィッシング攻撃を通じてアドバーサリー・イン・ザ・ミドル(AitM)攻撃を利用したビジネス・メール・コンプロミス(BEC)攻撃。
マルウェア記事には記載なし。
脆弱性記事には記載なし。

incident
2023-06-13 13:00:00

被害状況

事件発生日2022年6月以降
被害者名100以上のアパレル、フットウェア、そして衣料品のブランド
被害サマリ偽のウェブサイトを介して、Nike、Puma、Asics、Vans、Adidas、Columbia、Superdry Converse、Casio、Timberland、Salomon、Crocs、Sketchers、The North Face、UGG、Guess、Caterpillar、New Balance、Fila、Doc Martens、Reebok、Tommy Hilfiger、その他のブランドになりすましたフィッシング攻撃が行われた。
被害額(不明)

攻撃者

攻撃者名不明。研究者によると、ドメイン名はブランド名に都市や国名を付け、.comを使用する一定のパターンに従っており、多くのドメインがアリババドットコムシンガポールを通じて登録されている。
攻撃手法サマリフィッシング攻撃。偽のウェブサイトを介してブランドをなりすます。
マルウェア使用されていない。
脆弱性使用されていない。

other
2023-06-13 10:50:00
1. 「The Hacker News」は、3.76百万以上のフォロワーによって追跡されている、信頼できるサイバーセキュリティニュースプラットフォームである。
2. APIセキュリティに関するウェビナー「Mastering API Security: Understanding Your True Attack Surface」が新たに開催される。
3. クラウドフレアによると、API呼び出しはHTMLトラフィックの2倍の速さで増加しており、顧客データを保護するための新しいセキュリティソリューションの理想的な候補。
4. 2022年には、US企業はAPI関連の侵害から約23十億ドルの損失を被ったという。
5. ウェブマスターたちは、手動でAPIセキュリティを行う作業量によって遥かに超えられ、自動化されたAPIセキュリティプラットフォームが最も効果的な解決策であると考えられる。

incident
2023-06-13 10:39:00

被害状況

事件発生日2014年9月から2014年5月まで
被害者名Mt. Gox
被害サマリ2014年にMt. Goxで発生したデジタルハイストにより、約647,000ビットコインが盗まれた。被害者はMt. Goxの顧客。
被害額不明(予想:約3億6,340万ドル)

攻撃者

攻撃者名2人のロシア人(アレクセイ・ビリュチェンコ、アレクサンドル・ヴェルネル)
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-13 07:38:14

被害状況

事件発生日2022年7月1日から2022年9月30日
被害者名GoSecure (研究目的のためのハニーポット)
被害サマリGoSecureのRDPハニーポットシステムには、3か月で3,427,611回のログイン試行があり、攻撃回数は1,500以上のIPアドレスから観測されました。攻撃は主にブルートフォース攻撃で行われ、最も一般的なユーザー名は「Administrator」でした。攻撃者は、週末を除く1日の間、8時間以上にわたる衛星攻撃を行い、その中にはターゲットに合わせた最適化攻撃や、ログイン試行間に遅延を入れる戦術などが含まれていました。
被害額(不明)

攻撃者

攻撃者名(不明。攻撃者が中国とロシアのIPアドレスを使ったことはわかっているが、国籍やその他の特徴は明らかにされていない)
攻撃手法サマリブルートフォース攻撃を使ったRDP認証情報の総当たり攻撃。
マルウェア(利用されていない)
脆弱性(利用されていない)

vulnerability
2023-06-13 04:21:00

被害状況

事件発生日2023年6月13日
被害者名不明(多数の政府、製造業、重要インフラセクターが標的に)
被害サマリFortiOSとFortiProxyに新たに修正済みの致命的な欠陥があることが判明。この欠陥は、ヒープベースのバッファオーバーフロー脆弱性であり、特定の作りこまれたリクエストを介してリモート攻撃者が任意のコードまたはコマンドを実行できる。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名不明(中国国有のVolt TyphoonがZero-day欠陥を利用した攻撃を先月行った)
攻撃手法サマリヒープベースのバッファオーバーフロー脆弱性を悪用した攻撃
マルウェア不明
脆弱性FortiOSとFortiProxy SSL-VPNにあるCVE-2023-27997

脆弱性

CVECVE-2023-27997
影響を受ける製品FortiOSおよびFortiProxy
脆弱性サマリFortiOSおよびFortiProxy SSL-VPNのHeap-based buffer overflow vulnerabilityにより、リモートから攻撃者が適切に操作されたリクエストを送信することで任意のコードまたはコマンドを実行される可能性がある
重大度高(CVSS score: 9.2)
RCE
攻撃観測
PoC公開不明
この脆弱性は2023年6月9日にFortinetによって修正され、政府、製造業、クリティカルインフラストラクチャーセクターを標的とした攻撃に限定的に利用された可能性があるとされる。一方、Microsoftは先月、インターネットに面したFortinet FortiGuardデバイスの不明なゼロデイ脆弱性を利用してターゲット環境に最初のアクセスを行うためにVolt Typhoonという中国の国家支援のアクターを開示した。FortinetはVolt Typhoonキャンペーンに起因すると思われる攻撃に関しては言及しておらず、未修正の脆弱性を引き続き使用する脅威アクターにに対して、ファームウェアの最新バージョンにアップグレードするよう顧客に勧告している。

incident
2023-06-12 21:53:00

被害状況

事件発生日2023年6月9日
被害者名政府、製造業、重要インフラ企業
被害サマリFortiOSおよびFortiProxy SSL-VPNにある重大な脆弱性 (CVE-2023-27997) が発見され、未認証の攻撃者がCraftedリクエストを介してリモートからコードを実行する可能性がある。攻撃者は政府、製造業、重要インフラ企業を攻撃していた。
被害額不明(予想:数十万ドル以上)

攻撃者

攻撃者名不明(中国のサイバー諜報団体「Volt Typhoon」の可能性あり)
攻撃手法サマリ未認証の攻撃者がCraftedリクエストを介してリモートからコードを実行する
マルウェア不明
脆弱性FortiOSおよびFortiProxy SSL-VPNにある重大な脆弱性 (CVE-2023-27997)

other
2023-06-12 17:59:35
- データブリーチ通知サービスHave I Been Pwned(HIBP)は、Zacks投資研究(Zacks)が2022年8月から1年半以上前に8.8百万顧客が影響を受けるデータブリーチに悩まされたことを示した。
- 以前には、820,000人の顧客の個人情報と機密情報に不正なネットワーク侵入者がアクセスし、以前の境界違反を報告していた。
- 今回リークされたデータベースには、Zacksの顧客の電子メールアドレス、ユーザー名、SHA256パスワード、住所、電話番号、名前、その他のデータが含まれている。
- クレジットカード情報や銀行口座情報に関する詳細はデータに含まれておらず、ハッカーがこの種類のデータにアクセスしたわけではない。
- Zacksは、影響を受けたユーザーに通知する予定だとBleepingComputerに伝えられたが、その時期についてはまだ決まっていない。

incident
2023-06-12 16:52:01

被害状況

事件発生日2023年6月9日
被害者名Microsoft
被害サマリAzure Portalでのトラフィック「スパイク」による接続問題。他のMicrosoftウェブサイトにも影響があった。
被害額不明

攻撃者

攻撃者名Anonymous Sudan
攻撃手法サマリ分散型サービス拒否攻撃(DDoS)
マルウェア不明
脆弱性不明

incident
2023-06-12 15:32:06

被害状況

事件発生日不明
被害者名不明
被害サマリHorizon3のセキュリティ研究者が、CloPランサムウェアグループによってデータ盗難攻撃に使用されたMOVEit Transferのマネージドファイル転送(MTF)ソリューションにおける遠隔コード実行(RCE)バグのPoCエクスプロイトコードを公開した。この深刻な欠陥(CVE-2023-34362)はSQLインジェクション脆弱性であり、未パッチのMOVEitサーバーに不正なアクセスを許し、遠隔で任意のコードを実行させることができるものである。被害に遭ったサーバーがブロックされた場合、データ盗難攻撃に使用されたClopランサムウェアグループによって、未修正のサーバーを攻撃する脅威行為が激増する可能性がある。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名Clopランサムウェアグループなど(特徴のみ)
攻撃手法サマリ利用されたSQLインジェクション脆弱性により、被害者のMOVEitサーバーを攻撃して遠隔で任意のコードを実行した。
マルウェア不明
脆弱性CVE-2023-34362

other
2023-06-12 14:58:06
  1. スイス政府がITサプライヤーへのランサムウェア攻撃で影響を受けたことを明らかにし、データが漏洩される可能性があることを公表した。
  2. Pro-RussianハクティビストグループのNoNameによるDDoS攻撃の影響を受け、スイス連邦行政府のWebサイトとオンラインサービスが遮断された。
  3. 最新のニュース、ウイルス対策ガイド、VPNについてのポピュラーな製品比較やチュートリアルなど、セキュリティ関連の様々な情報が提供されているサイト。
  4. ダウンロードページでは、最新のクリーンアップアプリなど、一般的なマルウェアの対策アプリケーションをダウンロードできる。
  5. オンラインフォーラム、スタートアップデータベース、アンインストールデータベースなど、セキュリティに関連する多くの情報、ツール、および知識を提供するWebサイト。

vulnerability
2023-06-12 12:47:00

脆弱性

CVECVE-2023-28299
影響を受ける製品Microsoft Visual Studio Installer
脆弱性サマリVisual Studio User InterfaceにおけるDigital Signatureの偽装によるインストール可能なマルウェア拡張機能
重大度5.5 (中)
RCE不明
攻撃観測不明
PoC公開不明

vulnerability
2023-06-12 10:04:00
記事タイトル: Why Now? The Rise of Attack Surface Management
掲載日: Jun 12, 2023
記事の概要:「攻撃面管理」という概念が近年注目されるようになった理由と重要性について述べている記事。

脅威度:

影響を受ける製品:なし

脆弱性サマリ:攻撃面管理の重要性について

重大度:なし

RCE:なし

攻撃観測:なし

PoC公開:なし

incident
2023-06-12 10:03:00

被害状況

事件発生日不明
被害者名不明
被害サマリBatCloakという完全に検出を回避するマルウェアの難読化エンジンが使われており、これによってアンチウイルス検知を回避し、多数のマルウェアを簡単に展開することができるようになっている。
被害額不明(予想不可)

攻撃者

攻撃者名不明(BatCloakを利用するためには技術的な能力が必要であり、攻撃者がどのような人物であるかは不明)
攻撃手法サマリBatCloakという完全に検出を回避するマルウェアの難読化エンジンを使用して、検出を回避し、多数のマルウェアを簡単に展開する。
マルウェアBatCloak、Amadey、AsyncRAT、DarkCrystal RAT、Pure Miner、Quasar RAT、RedLine Stealer、Remcos RAT、SmokeLoader、VenomRAT、Warzone RATなど、複数のマルウェアが使われている可能性がある。
脆弱性不明

vulnerability
2023-06-12 08:26:00

被害状況

事件発生日2023年3月16日
被害者名Honda(本田技研工業株式会社)
被害サマリHondaのeコマースプラットフォームのパスワードリセット機能に脆弱性が発見され、口座情報やディーラーの情報が不正アクセスを受ける可能性があった。
被害額不明(予想:数百万円から数千万円程度)

攻撃者

攻撃者名不明(攻撃者の情報なし)
攻撃手法サマリHondaのeコマースプラットフォームのパスワードリセット機能に脆弱性を見つけ、アカウント情報をリセットし、ロールを管理者レベルに引き上げることで、不正アクセスを受ける可能性があった。
マルウェア利用されていない
脆弱性Hondaのeコマースプラットフォームのパスワードリセット機能に脆弱性が発生しており、APIを利用して、アカウントに紐付けられたパスワードなしにパスワードリセット間アクセスができることが原因であった。

脆弱性

CVEなし
影響を受ける製品Hondaの電子商取引プラットフォーム(Power Equipment Tech Express)
脆弱性サマリパスワードリセット機構が悪用され、不正アクセスを可能にしていた。
重大度
RCE不明
攻撃観測なし
PoC公開不明
本脆弱性は、Hondaのeコマースプラットフォームで見つかり、感染しているデータの盗難や攻撃が可能である。この脆弱性は、HondaのAuto部門に影響を与えない。Power Equipment Tech Express(PETE)と呼ばれるHondaのサイトにあるパスワードリセット機能を悪用することで、管理者レベルのアクセス権を取得することができる。APIは、ユーザーがアカウントに関連付けられたパスワードを入力することなしに、単にユーザーネームまたはメールアドレスに基づいて、パスワードリセット要求を送信することを許可する機能を備えているため、攻撃者は他のアカウントを制御し、ディーラーのアドミンダッシュボードに不正アクセスすることができる。Hondaは、3月16日に脆弱性を報告され、4月3日に脆弱性を修正した。

other
2023-06-12 07:30:00
1. THNは、ロシア語を話す脅威の行動者によって運営されている偽の報酬システムを有する1000以上のフレードウェブサイトを追跡している。
2. ユーザーは、ウェブサイトに登録し、少額の入金を行う必要があると信じ込まされ、報酬を取得するために払う必要があるとされる。
3. このキャンペーンは2016年から開催され、2021年2月以降ロシアのサイバー犯罪フォーラムで「Impulse」というコードネームを持つアフィリエイトの一環で宣伝されている。
4. THNは、これらの偽のウェブサイトの数百を発掘し、真正なサイトのように偽装するためにScamDocという有名な詐欺防止ツールの類似バージョンを使用していると考えられている。
5. THNは、オンラインのビデオ、TikTok、およびMastodonなどの他のソーシャルネットワーク上の広告、および直接メッセージを使用して、アフィリエイトが詐欺行為を広告することを示しました。

vulnerability
2023-06-12 06:49:00

脆弱性

CVECVE-2023-27997
影響を受ける製品Fortinet FortiGateファイアウォール
脆弱性サマリFortiGateファイアウォールにある高度な脆弱性により、リモートコード実行が可能になる可能性がある。
重大度
RCE
攻撃観測不明
PoC公開不明
 Fortinet FortiGateファイアウォールにある高度な脆弱性が発見され、その脆弱性を悪用することでリモートコード実行が可能になると報告されました。この脆弱性の重大度は高く、CVE-2023-27997に分類されます。研究者によると、この脆弱性はすべてのSSL VPNアプライアンスでプレ認証で達成できる可能性があるとのことです。フランスのサイバーセキュリティ企業であるOlympe Cyberdefenseによると、この問題はバージョン6.2.15、6.4.13、7.0.12、および7.2.5で修正されています。Fortinetはまだ公式的なアドバイザリーをリリースしていません。

other
2023-06-12 04:36:00
1. AppleがSafari Private Browsingの新しいアップデートのプレビューを発表し、第三者トラッカーからの保護や、URL内のトラッキングパラメータの自動削除など、プライバシーに関する改良が行われる予定である。
2. iOS、iPadOS、macOSにおいて、アップデートが提供される予定である。
3. 他にも、Communication Safetyの向上、Lockdown Modeの拡張も予定されている。
4. iCloud Keychainを使用して、グループでパスワードやパスキーを安全に共有できるようになる。
5. Lockdown Modeをオンにすることで、追加の保護が必要な人々にとって、攻撃面を劇的に減らすことができる。

incident
2023-06-11 15:43:48

被害状況

事件発生日不明
被害者名Fortigateのユーザー
被害サマリFortigate SSL-VPNデバイスにおいて、未明示のpre-authenticationのリモートコード実行脆弱性が見つかり、それにより攻撃者はVPNを介して幅広い追加攻撃が可能となる。危険度は高く、ベンダーのFortinet社は緊急パッチをリリースしている。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリpre-authenticationのリモートコード実行脆弱性を利用
マルウェア特定されていない
脆弱性pre-authenticationのリモートコード実行脆弱性 (CVE-2023-27997)

other
2023-06-11 14:15:30
- Stravaのheatmap機能を悪用することで、ユーザーの家の住所を特定できる可能性があるという詳細が、テクニカルレポートによって公表された。
- 性能解析を使用して、手動でスタート/ストップポイントが付随するのは実際に住所に関連する家である可能性がある結果を抽出した。
- heatmapデータの高活動点とユーザーメタデータを相関させることで、研究者はランナーやサイクリストの家の住所を特定できた。
- 科学者たちは、Stravaがアプリにこれらのプライバシー機能を実装することを提案しており、ユーザーにプライバシーゾーンの機能を提供することができるようにしている。
- Stravaは設定からheatmap機能をオフにすることができ、プロファイル設定をプライベートにすることがプライバシーを心配するユーザーに役立つ。

incident
2023-06-10 14:09:18
エラーが発生しました。
記事ファイル名:../articles/20230610 140918_142d3e536265b25fea2e9bcd234f256f65acaa6da21246468bbb1ebede1ae28c.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID b76b623732c778078f9ad49ee2c81eb0 in your message.) <> security_news_matomerukun.py:81

incident
2023-06-10 12:04:00

被害状況

事件発生日2023年6月10日
被害者名ベトナムの公開企業
被害サマリベトナムの公開企業がSPECTRALVIPERというバックドアによって攻撃された。
被害額不明(予想不可)

攻撃者

攻撃者名REF2754とも呼ばれるベトナムのサイバー攻撃グループまたはベトナム政府関係者の脅威とされる。
攻撃手法サマリ既存のツールの機能をカスタマイズし、SysInternals ProcDumpユーティリティというアプリケーションを使うことで、署名されていないDLLファイルが読み込まれ、SPECTRALVIPERやP8LOADER、POWERSEALといったマルウェアがロードされる。
マルウェアSPECTRALVIPER、P8LOADER、POWERSEAL
脆弱性不明

vulnerability
2023-06-10 08:50:00

脆弱性

CVECVE番号-なし
影響を受ける製品MOVEit Transfer
脆弱性サマリMOVEit Transferの新しいSQLインジェクション脆弱性が発見される。
重大度
RCEなし
攻撃観測未知
PoC公開公開済み
MOVEit Transferの新しいSQLインジェクション脆弱性が発見された。この脆弱性は、MOVEit Transfer webアプリケーションの複数のSQLインジェクション脆弱性によって引き起こされる。この脆弱性を突くことで、未認証の攻撃者がMOVEit Transferデータベースにアクセスし、データベース内容を変更および開示できる。すべてのバージョンが影響を受けており、製品がリリースされている全ての製品がパッチされた。さらに、既に公開されているPoCを突くことで、攻撃者が脆弱性を利用できる可能性がある。CVE番号はないが、重度の脆弱性とされている。

incident
2023-06-09 22:44:02

被害状況

事件発生日不明
被害者名University of Manchester
被害サマリUniversity of Manchesterは、攻撃者によってデータが盗まれた可能性があると警告しています。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-09 22:06:51

被害状況

事件発生日2023年6月8日
被害者名Infotel JSC
被害サマリウクライナのハッカーグループであるCyber.Anarchy.Squadが、ロシアのInfotel JSCを攻撃し、同社のネットワーク機器の一部が破損した。同社は、ロシア中央銀行と他のロシア銀行、オンラインストア、クレジット機関との間の接続サービスを提供している。この攻撃により、ロシアの複数の主要銀行がオンライン決済を行えなくなった。
被害額不明(予想)

攻撃者

攻撃者名Cyber.Anarchy.Squad
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-09 19:21:12

被害状況

事件発生日2023年6月6日
被害者名Manchester大学
被害サマリManchester大学のITシステムにサイバー攻撃が行われ、攻撃者によってデータが盗まれたと発表された。
被害額不明

攻撃者

攻撃者名不明(攻撃はランサムウェアによるものと報じられている)
攻撃手法サマリランサムウェアによる攻撃
マルウェア不明
脆弱性不明

vulnerability
2023-06-09 18:49:06

脆弱性

CVECVE-2023-34362
影響を受ける製品MOVEit Transferすべてのバージョン
脆弱性サマリSQLインジェクションにより、MFTソリューションから情報窃取が可能
重大度
RCE不明
攻撃観測不明
PoC公開不明
脆弱性はProgress SoftwareのMOVEit Transfer managed file transfer(MFT) solution全てのバージョンに影響している。未認証の攻撃者がサーバーを改ざんしたり、顧客情報を取り出すことが可能となるSQLインジェクション脆弱性が存在する。これに対して、同社はパッチをリリースしている。また、先に報じられたClopラansomwareによる攻撃に関連して、この脆弱性が悪用されたとの報告もある。

other
2023-06-09 17:19:44
- マイクロソフトのBing Chatが音声コマンドに対応
- Bing ChatはAIベースの検索エンジンであり、2023年6月9日にリリースされた
- ユーザーはマイクロソフトのBing Chatで、「マイクをクリックして」質問を音声入力できる
- Bing Chatは英語、日本語、フランス語、ドイツ語、中国語に対応。それ以外の言語も今後にサポートされる
- Bing Chatにはテキスト読み上げ機能もあり、自分の音声で応答する機能もある。

incident
2023-06-09 15:57:15

被害状況

事件発生日2011年
被害者名Mt. Gox
被害サマリ2011年、Mt. Goxでのハッキング事件により約64.7万ビットコインが盗まれた。被害者たちはその後も数年にわたり、被害額約64.7万ビットコインの返還を求めた。
被害額約64.7万ビットコイン(当時のレートで約4.67億ドル)

攻撃者

攻撃者名ロシア人のAlexey BilyuchenkoおよびAlexander Verner
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-09 15:53:00

被害状況

事件発生日2023年6月9日
被害者名金融機関および金融サービス提供企業
被害サマリマルチステージの中間者攻撃(AitM)フィッシングおよびビジネスメール詐欺(BEC)攻撃が発生。クラウドサービスを利用した攻撃であり、被害者のログイン認証情報とTOTPを窃取し、不正アクセスを行い、そのアクセスを用いて機密情報を窃取した。16,000件以上のスパムメールも送信された。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリ中間者攻撃(AitM)をベースに、ビジネスメール詐欺(BEC)を行った。被害者のログイン認証情報とTOTPを窃取した。新しいSMSベースの2要素認証が追加され、不正アクセスを行った。
マルウェア不明
脆弱性不明

incident
2023-06-09 15:52:43

被害状況

事件発生日2023年6月9日
被害者名MicrosoftのAzureポータル
被害サマリAnonymous Sudanという脅威行為者によるDDoS攻撃により、MicrosoftのAzureポータルがダウンした。
被害額不明

攻撃者

攻撃者名Anonymous Sudanまたは可能性としてはロシアのサイバー攻撃者
攻撃手法サマリDDoS攻撃
マルウェアなし
脆弱性なし

incident
2023-06-09 15:11:49

被害状況

事件発生日2023年4月 | 不明
被害者名HWL Ebsworth
被害サマリオーストラリアの大手法律事務所であるHWL Ebsworthが、ALPHVランサムウェアグループ(別名BlackCat)によってハッキングされ、1.45テラバイトのデータが盗まれたと主張された。ALPHVランサムウェアグループは、2023年4月に同社のシステムから盗まれたと主張される100万件以上の文書を含む1.45テラバイトのデータを公開し、同社が要求に応じない場合、もっとリークすると脅迫している。また、同社は公共部門の取引も行っていたため、国の機密情報も含まれる可能性がある。
被害額不明(予想:数百万から数千万ドル)

攻撃者

攻撃者名ALPHVランサムウェアグループ(別名BlackCat)|不明
攻撃手法サマリランサムウェア攻撃
マルウェアALPHVランサムウェア
脆弱性不明

vulnerability
2023-06-09 13:37:00

被害状況

事件発生日2022年1月以降
被害者名世界中に4,500人以上、特に北アメリカ、アジア、アフリカ、欧州、南アメリカの個人、暗号通貨取引者、中小企業(SMB)を含む
被害サマリ暗号通貨窃盗など、さまざまな手法で被害を拡大している
被害額(予想)不明

攻撃者

攻撃者名Asylum Ambuscadeとして知られる脅威アクター
攻撃手法サマリスピアフィッシング攻撃、MSIパッケージ、Luaで書かれたダウンローダ「SunSeed」、AutoHotkeyベースのマルウェア「AHK Bot」、Node.jsバージョンの「NODEBOT」などの使用が確認された
マルウェアAHK Bot、NODEBOT、Screentimeなど
脆弱性Follina脆弱性(CVE-2022-30190)などを悪用

脅威アクター

名称Asylum Ambuscade
攻撃種類サイバー犯罪・サイバースパイ
活動期間2020年以降

攻撃手法

  • 精細なスピアフィッシング攻撃
  • Google Adやトラフィック・ディレクション・システム(TDS)を用いた偽のウェブサイトへの誘導
  • JavaScriptファイルによるマルウェア公開
  • 悪意あるExcelスプレッドシートによる感染
  • 悪用される脆弱性:Follina (CVE-2022-30190)
  • LuaによるダウンローダSunSeedおよびAHK Botマルウェアのリモートサーバからのダウンロード

被害

  • 2022年1月以降に世界で4,500名超が被害者となっている。
  • 被害者の多くは、北アメリカ、アジア、アフリカ、欧州、南アメリカの個人、中小企業、仮想通貨トレーダーである。
  • 攻撃目的の1つが仮想通貨窃盗である可能性があり、中小企業に対する攻撃は、他のサイバー犯罪グループに不正な利益をもたらすためであると考えられる。
  • 感染後の盗聴、データ窃盗、スクリーンショットの撮影、システム情報の収集、および他のトロイの木馬やスティーラーのインストールなどさまざまな攻撃手法により、多大な損失を被っている。

その他

  • Asylum Ambuscadeは、欧州および中央アジアの政府機関を対象としたサイバースパイ活動も行っているとされる。
  • Screentimeという別の活動クラスターの攻撃も、米国とドイツの企業を標的としている。

vulnerability
2023-06-09 11:17:00

脆弱性

なし

5つの理由:アクセス管理は現代職場を保護するための鍵

近年、私たちの働き方は劇的に変化しました。リモートワークと多数のデジタルツールの使用は、例外ではなく、デジタルエコシステム内でオペレーションが行われるようになりました。この変化により、私たちのデジタルワーク環境では、イノベーション、スピード、効率性を求める欲求が新たな安全上の複雑さを生み出し、有効なアクセス管理が重要になっています。

効果的なアクセス管理の重要性がますます高まる理由が5つあります。

  1. セキュリティに関する人々の教育は機能しない
  2. 私たちはますますデジタル化している
  3. 人間を騙すことはシステムを悪用するよりも簡単です
  4. 技術は人間がエラーを犯した場合に不十分です
  5. 私たちは「パスワードパンデミック」の時代に生きています

したがって、ヨーロッパ内で事業を営む場合、効果的なアクセス管理システムを実装することは、選択肢ではなく、必要不可欠なものです。

Uniqkeyは、現代の職場でポーズされるアクセス関連の課題に対応するために設計された包括的なアクセス管理プラットフォームを提供しています。


incident
2023-06-09 05:57:00

被害状況

事件発生日2022年10月以降
被害者名北アフリカのターゲット
被害サマリStealth Soldierというバックドアが使われ、ファイルの外部持ち出し、スクリーン及びマイクロフォンの録画、キーストロークのロギングやブラウザ情報の収集に主に使われた。アタックは当初、ソーシャルエンジニアリング攻撃を介して紛う偽のダウンローダーバイナリが潜在的なターゲットにダウンロードされ、同時に見せかけの空のPDFファイルのデコイを表示
被害額不明

攻撃者

攻撃者名不明(特徴:北アフリカに重点を置く)
攻撃手法サマリStealth Soldierというバックドアを使ったターゲットされたエスピオナージュアタックが行われた
マルウェアStealth Soldier
脆弱性不明

incident
2023-06-08 22:45:29

被害状況

事件発生日2023年5月27日
被害者名MOVEit Transferの脆弱性を悪用された数百社のうちのいくつかの企業
被害サマリClopランサムウェアによるデータ盗難被害。被害者企業が復号ソフトウェアの購入または身代金の支払いを拒否した場合、6月14日に被害データがオンラインで公開される。
被害額不明(予想)

攻撃者

攻撃者名Clopランサムウェアの犯行グループ(国籍不明)
攻撃手法サマリMOVEit Transferの脆弱性を悪用して攻撃を行う。
マルウェアClopランサムウェア
脆弱性MOVEit Transferの脆弱性(CVE-2023-34362)

incident
2023-06-08 22:45:29

被害状況

事件発生日2021年7月から2023年5月
被害者名MOVEit Transferを使用していた何百もの企業
被害サマリClopランサムウェアグループが、Zero-day脆弱性を利用してMOVEit Transferを攻撃し、何百もの企業からデータを盗み出しました。被害企業には、UKの給与・人事ソリューションプロバイダであるZellisが含まれており、同社の顧客であるアイルランド航空とイギリス航空も被害に遭っています。
被害額不明(予想:数百万ドルから数千万ドル)

攻撃者

攻撃者名Clopランサムウェアグループ
攻撃手法サマリZero-day脆弱性を利用してMOVEit Transferを攻撃
マルウェアClopランサムウェア
脆弱性MOVEit Transferの脆弱性(CVE-2023-34362)

other
2023-06-08 22:24:07
1. VivaldiブラウザーがMicrosoft Edgeを偽装して、Bing Chatの制限を迂回するための機能がリリースされた。
2. Bing Chatは、Microsoft Edgeブラウザーでしか使用できないように制限されている。
3. Vivaldi 6.1では、ユーザーエージェントを偽装する機能が追加され、Bing Chatを使用することができるようになった。
4. Google ChromeやFirefoxなどの他のブラウザでも同様の機能を利用できるが、拡張機能や設定変更が必要である。
5. Vivaldiは、クロスプラットフォームのブラウザであり、Google Chrome、Braveブラウザ、Microsoft Edgeなどと同じChromiumコードベースを使用している。

vulnerability
2023-06-08 20:51:22

脆弱性

CVECVE-2023-29336
影響を受ける製品Windows 10, Windows 8, Windows Server 2016
脆弱性サマリWin32kサブシステムの脆弱性による悪用により、低特権のユーザーがWindows SYSTEM特権を獲得することができる。
重大度CVSS v3.1 基本値:7.8 (高)
RCE
攻撃観測
PoC公開公開された
Windowsのローカル特権昇格脆弱性が悪用され、リサーチャーがこの脆弱性を狙った証明コードをリリースしたことが報じられた。影響を受ける製品には、Windows 10、Windows 8、そしてWindows Server 2016が挙げられる。悪用が確認された後、2023年5月の月例パッチで修正され、新たに証明コードが公開された。公開されたPoCはWindows Server 2016でのみ有効だが、CVE-2023-29336は最高特権を獲得することができる。脆弱性発覚後、CISAは注意を喚起していた。

incident
2023-06-08 19:21:33

被害状況

事件発生日不明
被害者名小~中規模企業、暗号通貨トレーダー、銀行顧客、政府機関を含む複数組織
被害サマリAsylum Ambuscadeハッカー集団が近年、サイバー犯罪とサイバー諜報を組み合わせた攻撃を行っている。攻撃手法にはスピアフィッシングがある。被害にあった組織は北アメリカ、ヨーロッパ、中央アジアに所在する小~中規模企業、暗号通貨トレーダー、銀行顧客、政府機関など複数組織。営利目的のランサムウェア攻撃を仕掛ける一方、SMB企業の侵入は国家に対するサイバー諜報の目的がある可能性もある。
被害額不明

攻撃者

攻撃者名Asylum Ambuscade
攻撃手法サマリスピアフィッシングを用いた攻撃、悪意のある文書添付ファイル、VBSコード、2022年6月以降はCVE-2022-30190を悪用する攻撃も行われた。新しい侵入経路としてGoogle Adsを悪用した攻撃も確認されている。
マルウェアSunseedマルウェア、Akhbotマルウェア、Nodebotマルウェア。獲得したデバイスを監視し、スクリーンショットを撮る、Internet Explorer、Firefox、Chromiumを利用してパスワードを抜き取る、特定の機能を備えたプラグインを起動するなどの機能を持つ。
脆弱性CVE-2022-30190(Follina)が悪用された。

incident
2023-06-08 18:02:14

被害状況

事件発生日2023年6月8日
被害者名Microsoft OneDriveの顧客
被害サマリOneDriveのクラウドファイルホスティングサービスへのDDoS攻撃により、世界中のユーザーがサービスにアクセスできなくなった
被害額不明

攻撃者

攻撃者名'Anonymous Sudan'として知られるハクティビスト
攻撃手法サマリ分散型サービス拒否(DDoS)攻撃
マルウェアなし
脆弱性不明

vulnerability
2023-06-08 16:00:00

脆弱性

CVEなし
影響を受ける製品Google Chromeのパスワードマネージャー
脆弱性サマリGoogle Chromeのパスワードマネージャーが新しい機能を追加し、より多くのユーザーがパスワードを管理し、アカウントハイジャック攻撃から安全になれるようになります。
重大度
RCE不明
攻撃観測不明
PoC公開なし

vulnerability
2023-06-08 14:59:00

脆弱性

CVECVE-2023-29336
影響を受ける製品Microsoft Windows
脆弱性サマリWin32kコンポーネントにおける特権昇格の欠陥
重大度7.8 (重要)
RCE不明
攻撃観測
PoC公開
この脆弱性は、Microsoft WindowsのWin32kコンポーネントにおける特権昇格の欠陥であり、攻撃者が影響を受けたシステム上でSYSTEM特権を取得できる可能性がある。CVE番号はCVE-2023-29336で、重大度は7.8(重要)とされている。この脆弱性は、Avastの研究者によって報告され、数多くのWin32k悪用の歴史があることが明らかになっている。さらに、シンガポールのサイバーセキュリティ企業、Numen Cyberは、Windows Server 2016での脆弱性を利用するPoCエクスプロイトを開発し、攻撃が確認されたことを報告している。RCEは不明である。

incident
2023-06-08 14:22:14

被害状況

事件発生日2023年6月3日
被害者名Eisai
被害サマリ製薬会社のEisaiがランサムウェア攻撃によりサーバを暗号化された。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェア不明
脆弱性不明

other
2023-06-08 14:04:08
- セキュリティ専門家の77%が業界の協力不足に悩んでおり、大企業では76種類ものセキュリティツールを使用している
- 実務家同士の協力不足もあり、セキュリティに関する情報共有をしたいという要望がある
- Mandiantが主催するmWISEは、ベンダーニュートラルな場であり、実務家が情報共有するフォーラム。話題は、製品やベンダーではなく、業界の知見に重きを置いている。
- mWISEは、業界専門家との交流の場であり、セキュリティの最前線での第一線経験に基づいた率直な議論を促す
- 公共から基調講演のトピックとスピーカーの提案を募集する試みも。

other
2023-06-08 13:56:00
エラーが発生しました。
記事ファイル名:../articles/20230608 135600_2f62f082b90971c6ebfc836d7a8e03c1131a791ccdd3e9df4beaf9db228b9bff.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID b26d743f2d3f9f97a16e9e7acc6d3a9a in your message.) <> security_news_matomerukun.py:81

other
2023-06-08 11:28:00
エラーが発生しました。
記事ファイル名:../articles/20230608 112800_d1b087a06d671b01cec2ba10b753d671b56a3ecd85e6377a0a425e429df28cb6.json
Rate limit reached for default-gpt-3.5-turbo in organization org-PDjTjwhcHnqfPcVafyu3bypY on tokens per min. Limit: 90000 / min. Current: 87894 / min. Contact us through our help center at help.openai.com if you continue to have issues. <> security_news_matomerukun.py:81

incident
2023-06-08 07:12:24

被害状況

事件発生日不明
被害者名不明
被害サマリRoyal ransomware gangが、BlackSuitという新しいエンクリプターのテストを始めた。BlackSuitは、このグループが通常使っているエンクリプターと多くの類似性がある。現在は、数件の攻撃で使用されており、最高額の身代金は100万ドル未満である。
被害額不明(予想100万ドル未満)

攻撃者

攻撃者名Royal ransomware gang
攻撃手法サマリランサムウェアによる攻撃
マルウェアBlackSuit
脆弱性不明

vulnerability
2023-06-08 05:18:00

脆弱性

CVECVE-2023-20887, CVE-2023-20888, CVE-2023-20889
影響を受ける製品VMware Aria Operations Networksのバージョン6.x
脆弱性サマリVMware Aria Operations for Networksには、情報漏洩とリモートからのコード実行などの3つの脆弱性がある。
重大度
RCE
攻撃観測不明
PoC公開不明

影響を受ける製品

  • VMware Aria Operations Networksのバージョン6.x
  • Expressway SeriesおよびTelePresenceビデオ通信サーバー

脆弱性

  • CVE-2023-20887:VMware Aria Operations for Networksにおけるコマンドインジェクション脆弱性
  • CVE-2023-20888:VMware Aria Operations for Networksにおけるシリアライゼーション脆弱性
  • CVE-2023-20889:VMware Aria Operations for Networksにおける情報漏洩脆弱性
  • CVE-2023-20105:Expressway SeriesおよびTelePresenceビデオ通信サーバーにおける特権エスカレーション脆弱性
  • CVE-2023-20192:Expressway SeriesおよびTelePresenceビデオ通信サーバーにおける特権昇格脆弱性
  • CVE-2023-33863、CVE-2023-33864、CVE-2023-33865:オープンソースのグラフィックデバッガRenderDocにおける3つの脆弱性

脆弱性サマリ

  • CVE-2023-20887:VMware Aria Operations for Networksにおいて、ネットワークアクセスでリモートコード実行が可能なコマンドインジェクション脆弱性。
  • CVE-2023-20888:VMware Aria Operations for Networksにおいて、シリアライゼーション攻撃によりリモートコード実行が可能な脆弱性。
  • CVE-2023-20889:VMware Aria Operations for Networksにおいて、機密データへのアクセスが可能な情報漏洩脆弱性。
  • CVE-2023-20105:Expressway SeriesおよびTelePresenceビデオ通信サーバーにおいて、リードオンリーの管理者権限を持つユーザーのパスワードを変更可能な特権昇格脆弱性。
  • CVE-2023-20192:Expressway SeriesおよびTelePresenceビデオ通信サーバーにおいて、認証されたローカルユーザーによってコマンドが実行され、システム構成パラメーターが変更可能な特権昇格脆弱性。
  • CVE-2023-33863、CVE-2023-33864、CVE-2023-33865:RenderDocにおいて、任意のコ

incident
2023-06-08 04:23:00

被害状況

事件発生日2023年6月8日
被害者名NK Newsの専門家たち
被害サマリ北朝鮮に関心のある専門家たちを標的にしたソーシャルエンジニアリングキャンペーンにより、Googleのログイン情報を盗み、偵察ツールを配信することを狙った攻撃
被害額不明(予想なし)

攻撃者

攻撃者名Kimsuky(北朝鮮の国家的脅威とされるグループ)
攻撃手法サマリソーシャルエンジニアリングキャンペーン
マルウェアReconShark(偵察ツール)
脆弱性不明

other
2023-06-08 03:41:00
1. セキュリティ企業Barracudaは、同社のEmail Security Gateway(ESG)アプライアンスのゼロデイ脆弱性が少なくとも2022年10月から7か月間悪用され、特注のマルウェアとデータを窃取したと発表した。 2. CVE-2023-2868と評価されたこの脆弱性は、受信した電子メール内の添付ファイル内のバリデーションが不完全であることに起因する遠隔コードインジェクションの一例であり、2023年5月20日と21日に修正された。 3. それにもかかわらず、Barracudaは影響を受けたESGアプライアンスの交換を勧告している。 4. このインシデントの正確な範囲はまだ不明である。 5. 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、修正プログラムを2023年6月16日までに適用するよう連邦政府機関に勧告している。
  1. セキュリティ企業Barracudaは、ESGアプライアンスのゼロデイ脆弱性が悪用され、特注のマルウェアとデータを窃取されたと発表した。
  2. 脆弱性については2023年5月20日と21日に修正されたが、Barracudaは交換を勧告した。
  3. 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁は、修正プログラムを連邦政府機関に適用するよう勧告している。
  4. 影響範囲は不明。
  5. この記事をもとに、The Hacker NewsはTwitterやLinkedInなどで発信を続けると紹介している。

incident
2023-06-07 20:57:36

被害状況

事件発生日2023年5月24日
被害者名BarracudaのEmail Security Gateway(ESG)の顧客
被害サマリESGの脆弱性CVE-2023-2868が悪用され、カスタムマルウェアを使ってESGにバックドアが仕掛けられ、データが盗まれた。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリゼロデイ脆弱性CVE-2023-2868を使ったリモートコマンドインジェクション攻撃
マルウェアカスタムマルウェア
脆弱性ESGのゼロデイ脆弱性CVE-2023-2868

incident
2023-06-07 20:10:57

被害状況

事件発生日2023年6月7日
被害者名Honda
被害サマリHondaのeコマースプラットフォームのAPIの欠陥により、不正アクセスが可能であり、誰でもアカウントのパスワードリセットができる状態にありました。攻撃者はあらゆるデータにアクセスができ、情報流出の可能性があります。被害にあったデータは以下の通りです。
被害額不明(予想不可)

攻撃者

攻撃者名Eaton Works(ハンドル名)
攻撃手法サマリAPIの欠陥による不正アクセス
マルウェア利用されていない
脆弱性APIの欠陥

incident
2023-06-07 18:29:50

被害状況

事件発生日2023年6月7日
被害者名不明
被害サマリCisco Secure Client(fornerly AnyConnect Secure Mobility Client) softwareに高度な脆弱性を発見された。この脆弱性を悪用されると、攻撃者はオペレーティングシステムで使用されているSYSTEMアカウントに特権を昇格させることができる。ローカルの低い特権を持つ攻撃者は、この脆弱性(CVE-2023-20178)を利用し、ユーザーの操作が必要なく、簡単に攻撃を行うことができる可能性がある。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリCisco Secure Client(fornerly AnyConnect Secure Mobility Client) softwareに見つかった脆弱性を悪用して、オペレーティングシステムで使用されているSYSTEMアカウントに特殊権限を昇格させることで、攻撃者はWindowsデバイスに損害を与える攻撃を行うことができる。
マルウェア不明
脆弱性CVE-2023-20178

incident
2023-06-07 18:16:43

被害状況

事件発生日不明
被害者名Atomic Walletのユーザー
被害サマリAtomic Walletの多数のユーザーのウォレットが侵害され、3500万ドル以上(約38億円)相当の暗号通貨が盗難にあった。
被害額3500万ドル以上(約38億円)

攻撃者

攻撃者名Lazarus Group(北朝鮮のハッキンググループ)
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-07 16:34:06

被害状況

事件発生日2023年6月7日
被害者名CurseForgeおよびBukkitのアカウントを利用しウイルスをダウンロードしたMinecraftプレーヤー
被害サマリMinecraftのModdingプラットフォームであるCurseForgeおよびBukkitを使って、新たな情報窃取型のマルウェア 'Fractureiser' が頒布され、既存のModに悪意あるコードが挿入されました。具体的には 'Better Minecraft ' 等の人気Modpackに、4.6 百万以上のダウンロードがあるにもかかわらず、侵害が確認されています。ウイルスに感染すると、すべての .jarファイルに感染が広がり、Webブラウザーに保存されたクッキーやアカウントの資格情報を窃取し、クリプト財布アドレスを置換するなど、不正なアクティビティを行います。
被害額不明(被害額が報告されていないため)

攻撃者

攻撃者名不明
攻撃手法サマリCurseForgeおよびBukkitを利用して、新たな情報窃取型マルウェア 'Fractureiser' を広めました。
マルウェアFractureiser
脆弱性不明

vulnerability
2023-06-07 15:09:39

脆弱性

CVECVE-2023-20887, CVE-2023-20888, CVE-2023-20889
影響を受ける製品VMware Aria Operations for Networks 6.x
脆弱性サマリVMware Aria Operations for Networksには、複数の深刻で重大な脆弱性があり、攻撃者はリモートコード実行または機密情報にアクセスできる可能性がある。
重大度重度および高度
RCE有(CVE-2023-20887およびCVE-2023-20888)
攻撃観測不明
PoC公開不明

incident
2023-06-07 15:09:39

被害状況

事件発生日2023年6月7日
被害者名VMware Aria Operations for Networksを利用していた組織
被害サマリVMware Aria Operations for Networksにおいて、コマンドインジェクション脆弱性(CVE-2023-20887)を悪用することで、リモートコード実行が可能となる被害が発生した。また、認証された逆シリアル化脆弱性(CVE-2023-20888)と情報漏えい脆弱性(CVE-2023-20889)も報告されている。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリコマンドインジェクション脆弱性の悪用によるリモートコード実行
マルウェア不明
脆弱性コマンドインジェクション脆弱性(CVE-2023-20887)、逆シリアル化脆弱性(CVE-2023-20888)、情報漏えい脆弱性(CVE-2023-20889)

incident
2023-06-07 15:09:39

被害状況

事件発生日2023年6月7日
被害者名VMware
被害サマリVMware Aria Operations for Networksにあるコマンドインジェクションの脆弱性を悪用され、攻撃者がリモートコード実行または機密情報へのアクセスを可能にしました。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリVMware Aria Operations for Networksにあるコマンドインジェクションの脆弱性を悪用したリモートコード実行または機密情報へのアクセス。
マルウェア不明
脆弱性CVE-2023-20887, CVE-2023-20888, CVE-2023-20889

incident
2023-06-07 14:19:17

被害状況

事件発生日不明(2014年から2022年の間に実行)
被害者名教育、政府機関、医療機関、軍隊などの組織
被害サマリ偽造されたシスコのネットワーク機器が多くの顧客に販売された。製品の性能、機能、セキュリティに問題があり、多くの顧客がシスコにサポートを求めた。
被害額不明(予想:1億ドル以上)

攻撃者

攻撃者名オヌル・アクソイ
攻撃手法サマリ偽のアリアスを使用して書類を隠す。偽造された住所で郵送。偽造されたシスコのネットワーク製品にシスコラベル、シール、本文の文書、シスコ製のパッケージ、アメリカのテクノロジー大手からのパッケージと見せかけた。中国のベンダーは、コンポーネントを追加することでライセンス確認メカニズムを回避した。ビジネスに影響を与える多数の偽造品を販売し、多数の人と組織を騙した。
マルウェア不明
脆弱性不明

vulnerability
2023-06-07 14:02:04

被害状況

事件発生日記事に関する情報なし
被害者名記事に関する情報なし
被害サマリEC-Councilの報告によると、世界中のサイバーセキュリティリーダーの約50%がクラウドセキュリティを最も重要視していると回答した。他にも、データセキュリティ、セキュリティガバナンス、サイバーセキュリティの人材不足などが挙げられている。
被害額記事に関する情報なし(予想:被害額は不明)

攻撃者

攻撃者名記事に関する情報なし
攻撃手法サマリ記事に関する情報なし
マルウェア記事に関する情報なし
脆弱性記事に関する情報なし
タイトル:EC-CouncilのCertified CISO殿堂入りレポート2023年版、クラウドセキュリティが最大の懸念事項に サイバーセキュリティ教育とトレーニングのグローバルリーダーであるEC-Councilは、Certified Chief Information Security Officer殿堂入りレポートを公表し、世界のトップ50のCertified CISOを称えた。調査により、約50%の情報セキュリティリーダーが、クラウドセキュリティを最大の懸念事項としていることが明らかになった。レポートには、クラウドセキュリティやデータセキュリティ、セキュリティガバナンス、サイバーセキュリティ人材不足など、企業が対処すべきサイバーセキュリティ上の課題が挙げられている。また、企業が使用するクラウドサービスの数が多いことに加え、従業員が1日に使用するクラウドベースのサービスの数が36あることが、クラウドセキュリティの重要性を示している。 surveyed information security leaders identified cloud security as their top concern. EC-CouncilのCertified CISO認定プログラムは、企業の重要なビジネスサイバーリーダーシップニーズと、必要なリーダーシップ人材をより経験豊富なシニアセキュリティ幹部に近づけることを目的としている。Certified CISO)のトレーニングを受けたセキュリティリーダーの99%が、そのトレーニングによりサイバーセキュリティのリーダーシップスキルが大幅に向上したと報告している。また、98%が、その認定が組織のサイバーセキュリティポストを強化するのに役立ったと回答し、90%以上が、その認定を取得した後、セキュリティ戦略を組織の目的に合わせて調整するための自信が増したと報告している。

incident
2023-06-07 13:21:00

被害状況

事件発生日2023年6月7日
被害者名Xbox利用者の子供たち
被害サマリMicrosoftは、親の知識や同意なしにXboxのビデオゲームコンソールを使用するためにサインアップした子供たちのデータを不法に収集および保持したため、米国連邦取引委員会(FTC)による訴えに対し、2000万ドルの罰金を支払うことに合意した。Microsoftは、COPPA規制の同意およびデータ保持要件に違反したことが指摘されている。
被害額不明(予想:2000万ドル)

攻撃者

攻撃者名不明(Microsoftによる不法行為とされている)
攻撃手法サマリ不正なデータ収集および保持
マルウェア使用されていない
脆弱性COPPA規制の同意およびデータ保持要件に違反

other
2023-06-07 11:19:00
1. The Hacker News is a trusted cybersecurity news platform with over 3.45 million followers on social media.
2. The ransomware industry has 10-20 core threat actors who work with affiliates and distributors to distribute malware through phishing attacks.
3. Ransomware negotiation is like managing a hostage situation, and it's recommended for organizations to employ a crisis management structure.
4. Professional negotiators help identify the scope of the event, profile the threat actor, assess the cost-of-no-deal, and define negotiation goals.
5. To protect against ransomware, organizations should ensure software and infrastructure are patched and up-to-date and that all important information is backed up.

incident
2023-06-07 04:40:00

被害状況

事件発生日2023年5月
被害者名米国の航空宇宙防衛請負業者(名称不明)
被害サマリ航空宇宙業界を標的に、PowerDropと呼ばれる新しいPowerShellベースのマルウェアによる攻撃が確認された。マルウェアは、初期アクセスを得る別の手段を用いて、被害の拡大を狙っている。攻撃手法は、偽装されたICMPエコーリクエストメッセージを使って、C2サーバーとの通信を開始するなど、高度な手法が用いられている。
被害額不明(予想:数十万ドル以上)

攻撃者

攻撃者名不明(可能性は高い)
攻撃手法サマリ偽装されたICMPエコーリクエストメッセージを使って、C2サーバーとの通信を開始するなど、高度な手法が用いられている。Windows PowerShellとWindows Management Instrumentation(WMI)サービスを利用して攻撃を行う、living-off-the-land tacticsが使用されている。
マルウェアPowerDrop
脆弱性不明

vulnerability
2023-06-06 20:43:57

被害状況

事件発生日2023年4月時点の情報
被害者名複数のオンラインユーザー
被害サマリ悪意のある者たちが、「deepfakeコンテンツ」と呼ばれる作り物を使用し、SNSなどに投稿された普通の画像を意図的に加工して、被害者たちの顔や体などを含む性的なコンテンツを作成し、被害者たちを脅迫してお金を要求している。
被害額不明(予想:被害者1人あたり1000ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリdeepfakeコンテンツ作成
マルウェアN/A
脆弱性N/A

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリセクストーショニストが公開されたAIナイードを利用して脅迫活動を行う
重大度不明
RCEなし
攻撃観測あり
PoC公開なし

vulnerability
2023-06-06 20:43:57

被害状況

事件発生日2023年4月時点で増加傾向にある
被害者名不特定多数
被害サマリ攻撃者によって、被害者のSNSにアップされた写真をディープフェイクで加工され、わいせつな動画や画像を作成され、その動画や画像が被害者の知人や家族に公開され、被害者に金銭を要求される。
被害額不明(予想:金銭を要求される被害があったとされるため、数千円から数万円程度)

攻撃者

攻撃者名不明
攻撃手法サマリディープフェイクを使用したセクストーション攻撃
マルウェア使用されていない
脆弱性不明

脆弱性

CVEなし
影響を受ける製品[なし]
脆弱性サマリディープフェイク画像を使用したセクストーション攻撃の警告
重大度不明
RCE不明
攻撃観測あり
PoC公開なし
脆弱性はディープフェイク画像を使用したセクストーション攻撃の警告である。FBIによれば、脅威アクターがソーシャルメディアで共有されている画像を収集し、ディープフェイク作成ツールを使用してそれらを性的な画像に変換している。脅迫目的で送信された画像や動画は本物ではないが、非常にリアルであるため、被害者は被害を受ける可能性がある。FBIは、子どものオンライン活動を監視すること、投稿された画像や動画へのアクセス制限を行うことなど、自己保護策をとることを勧めている。また、Deepfakesの非公開共有を妨げ、ディープフェイクが見つかった場合は当局に報告し、攻撃の投稿をホスティングプラットフォームに削除するよう要請することを推奨している。攻撃は観測されているが、脆弱性の重大度は不明である。PoC (Proof of Concept)は不明である。

incident
2023-06-06 19:10:26

被害状況

事件発生日2023年6月6日
被害者名Androidユーザー
被害サマリ6ヶ月間にわたり60,000以上の偽のアプリがユーザーに広告を表示しながら、悪意の広告ウイルスをインストールしていた。
被害額不明(予想:低額)

攻撃者

攻撃者名不明(ロシアのサイバーセキュリティ企業Bitdefenderが発見)
攻撃手法サマリGoogle Play以外のサードパーティーサイトから提供される偽のアプリを通じて、広告ウイルスをステルスインストール。
マルウェア偽のセキュリティソフト、ゲームクラック、VPNソフト、Netflix、ユーティリティアプリなどに偽装されたADWIND Android RATを含む。
脆弱性不明

incident
2023-06-06 18:21:00

被害状況

事件発生日2023年6月6日
被害者名主にブラジル、アルジェリア、トルコ、ベトナム、インドネシア、インド、エジプト、メキシコのCoinbase、Bybit、KuCoin、Huobi、およびBinanceのユーザー
被害サマリ仮想通貨取引所のサイトにウェブインジェクションを実施し、仮想通貨を盗んでいたマルウェア
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明。主要な攻撃対象国(ブラジル、アルジェリア、トルコ、ベトナム、インドネシア、インド、エジプト、メキシコ)から考えると、ラテンアメリカや南アジア、中東地域の犯罪組織またはハッカーグループが関与している可能性がある。
攻撃手法サマリSatacomダウンローダーを利用したマルウェアの配信。ZIPアーカイブファイルを仕掛けて、偽サイトに誘導してマルウェアをダウンロードさせる。Chromeベースのブラウザ向けのウェブブラウザ拡張機能を通じて、仮想通貨サイトにウェブインジェクションを実行し、仮想通貨の窃盗を行っていた。
マルウェアSatacomダウンローダー、情報盗難ツール、仮想通貨マイニングツール
脆弱性不明

incident
2023-06-06 16:31:03

被害状況

事件発生日2023年6月6日
被害者名Outlook.comユーザー
被害サマリハクティビスト集団「Anonymous Sudan」がDDoS攻撃を実行し、Outlook.comが複数回ダウン。グローバルなOutlookユーザーたちに広範囲の混乱をもたらし、世界中のユーザーにメールやモバイルアプリの使用の信頼性に影響を与えた。
被害額不明

攻撃者

攻撃者名ハクティビスト集団「Anonymous Sudan」
攻撃手法サマリDDoS攻撃
マルウェア不明
脆弱性不明

other
2023-06-06 15:51:51
- MicrosoftはFTCの児童オンラインプライバシー保護法(Children's Online Privacy Protection Act, COPPA)違反の罰金2000万ドルの支払いとデータプライバシー手順の変更に同意した。
- COPPAは、13歳以下の子供のインターネット上でのプライバシーを保護するための米国連邦法であり、親の同意、子供の個人情報の確認と削除の能力、データ収集の拒否の能力、収集された情報のセキュリティ保護など、オンラインアカウントの登録時に必要な措置を規定している。
- FTCによると、Microsoftは、親の同意も求めず、子供がXbox Liveサービスに登録した場合、その個人情報を収集および保持することができた。
- 2015年から2020年にかけて何件かの確定したケースで、Microsoftは数年間にわたって児童のデータを保管していた。
- MicrosoftはCOPPAに違反し、法律の複数の部分を侵害したため、FTCは罰金のほか、MicrosoftがCOPPAの規定に適合するために採用する必要がある措置を提案した。

vulnerability
2023-06-06 14:04:08

被害状況

事件発生日不明
被害者名不明
被害サマリStealer logsによる情報窃盗が企業に対する主要な脅威であることが指摘されている。
被害額不明(予想: 被害の状況によって異なるため不明)

攻撃者

攻撃者名不明(ロシアやGenesisのマーケットプレイスなどでログを販売する脅威アクターが存在する)
攻撃手法サマリRedline、Raccoon、Vidar、TitanなどのStealer malwareによる情報収集
マルウェアRedline、Raccoon、Vidar、TitanなどのStealer malware
脆弱性不明

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリダークウェブの商品として情報収集ツールが販売されている
重大度なし
RCE不明
攻撃観測不明
PoC公開なし
脆弱性の概要: ダークウェブで、情報収集ツール(Redline、Raccoon、Vidar、Titan)が販売されている。攻撃者がこれらのツールを購入し、被害者のコンピュータに感染させることで、ブラウザ内に保存されたパスワードやOSバージョン、IPアドレス、クリップボードデータ、ブラウザの履歴、保存されたクレジットカード情報、暗号通貨のウォレットデータなどを抽出し、これらの情報をコマンドアンドコントロールインフラストラクチャに送信する。その後、これらの情報は密売され、専門のサイバー犯罪Telegramチャネルを通じて配布される。また、コーポレートIT環境へのアクセスが可能なログは、Flareによると公開TelegramのVIPルームや、Genesisマーケット、ロシア市場などで高額で取引されている。これらを利用することで、攻撃者は容易に企業への不正アクセスを行うことができる。

vulnerability
2023-06-06 13:19:37

被害状況

事件発生日2023年6月5日
被害者名不明
被害サマリGoogleはAndroidプラットフォーム内の脆弱性を56件修正するアップデートをリリースしました。その中には、ArmのMali GPUカーネルドライバーにある高度な脆弱性であるCVE-2022-22706が含まれており、Googleの脅威分析グループ(TAG)によると、さらに、この脆弱性がサムスンの電話に向けられたスパイウェアキャンペーンで使用されている可能性があるとのことです。
被害額不明(予想:数十億円以上)

攻撃者

攻撃者名不明(スパイウェアキャンペーンの背後にいる犯人の特定は不明)
攻撃手法サマリArmのMali GPUカーネルドライバーにある高度な脆弱性CVE-2022-22706を利用した攻撃
マルウェア不明
脆弱性ArmのMali GPUカーネルドライバーにある高度な脆弱性CVE-2022-22706

脆弱性

CVECVE-2022-22706
影響を受ける製品Google Android
脆弱性サマリARM Mali GPUカーネルドライバにおける高度な特権を持たないユーザーによる書き込みアクセス権限の取得の脆弱性(CVE-2022-22706)が修正されました。
重大度
RCE不明
攻撃観測限定的な攻撃が報告されている
PoC公開不明
Google AndroidのARM Mali GPUカーネルドライバには高度な特権を持たないユーザーによる書き込みアクセス権限の取得の脆弱性がありました(CVE-2022-22706)。この脆弱性は、Samsung搭載のスパイウェアがターゲットする可能性があるとGoogleの脅威分析グループが報告しています。この脆弱性を悪用する攻撃が限定的に報告されており、修正されました。重大度は高で、攻撃観測やPoC公開の有無は不明です。

vulnerability
2023-06-06 13:19:37

脆弱性

CVECVE-2022-22706
影響を受ける製品Android
脆弱性サマリArm Mali GPU kernel driverの高度な権限がなくても、書き込みアクセス権限を取得できる問題(CVE-2022-22706)
重大度高(CVE-2022-22706)
RCE
攻撃観測限定的かつターゲット型に利用された可能性がある
PoC公開不明
AndroidのArm Mali GPU kernel driverにはCVE-2022-22706という高度な権限がなくても、書き込みアクセス権限を取得できる脆弱性が見つかった。この脆弱性は被限定的かつターゲット型に利用された可能性があり、重大度は高いとされる。Googleはこの問題を修正するセキュリティアップデートを提供している。詳細は不明だが、RCEについては問題がないとされている。

incident
2023-06-06 13:17:00

被害状況

事件発生日2022年10月以降
被害者名Androidデバイスユーザー
被害サマリ人気のあるアプリのクラック版や改造版を装った60,000種類のAndroidアプリが、広告を表示してユーザーを騙すアドウェアとして、U.S., South Korea, Brazil, Germany, the U.K., France, Kazakhstan, Romania, and Italy等の国々で発見された。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリアプリの改造版やクラック版を装ったアドウェア配信キャンペーンを実施
マルウェアBitdefenderの報告書によると、広告表示をするために使用されたマルウェアの種類は不明
脆弱性不明

incident
2023-06-06 13:00:00

被害状況

事件発生日不明
被害者名米国の宇宙防衛産業に関わる防衛請負業者
被害サマリ新しいPowerShellマルウェアである'PowerDrop'が、U.S.の宇宙防衛産業に関わる防衛請負業者を狙ったサイバー攻撃を行いました。
被害額不明 (予想)

攻撃者

攻撃者名国籍や特徴は不明、国家スポンサーの関与が疑われる。
攻撃手法サマリPowerShellスクリプトであり、WMIを使用して侵入先ネットワークに永続的なリモートアクセス型トロイの木馬を作成する。
マルウェア'PowerDrop'
脆弱性不明

vulnerability
2023-06-06 11:44:00
脆弱性に関する記事。オペレーショナルテクノロジー(OT)には、ITとは異なるセキュリティツールが必要であるため、ITツールはOT環境に適さない。OTでは可用性が機密性よりも優先されるため、IT製品のようなセキュリティソリューションは必ずしも安定性を維持できない。それに加え、IT製品は常に更新およびパッチングのためにシステムダウンタイムが必要である中、OT製品は常に稼働しているため、IT製品のリアルタイム通信は制約を受ける。したがって、OT環境にはOT製品が必要である。記事はTakepoint ResearchとCyoloの報告書に言及し、OTセキュリティ関連の問題について説明している。

vulnerability
2023-06-06 11:27:58

脆弱性

CVECVE-2023-3079
影響を受ける製品Google Chrome
脆弱性サマリV8, ChromeのJavaScriptエンジンにおけるタイプの混乱に関する問題で、実行時にオブジェクトの種類を解釈しないことで、任意のコードを実行される可能性がある。
重大度
RCE
攻撃観測
PoC公開不明
Google Chromeに、V8, ChromeのJavaScriptエンジンにおけるタイプの混乱に関する問題(CVE-2023-3079)が存在し、攻撃者によって実際に悪用されたことが確認された。攻撃報告は存在し、高度な権限を持つ標的を狙うことが予想される。任意のコードを実行される可能性がある高度な問題であるため、Googleはセキュリティ更新プログラムを提供した。更新プログラムによる修正バージョンはWindows、Mac、Linux向けにリリースされ、これにより問題を解決せずにWebサイトを閲覧することは危険だとされた。

vulnerability
2023-06-06 10:21:00

脆弱性

CVECVE-2023-3079
影響を受ける製品Google Chrome
脆弱性サマリV8 JavaScriptエンジンにおけるタイプ混同の脆弱性。クラフトされたHTMLページを介してリモート攻撃者によってヒープ破壊を起こすことができる可能性がある。
重大度
RCE
攻撃観測
PoC公開不明
Google Chromeに存在する高度な脆弱性(CVE-2023-3079)に関してGoogleがアップデートを発表した。この脆弱性は、ChromeブラウザのJavaScriptエンジンであるV8にあるタイプ混同のバグとされ、リモート攻撃者によってヒープ破壊をもたらす可能性があるとNISTのNational Vulnerability Database (NVD)によって説明されている。攻撃が既に行われていたため、Googleはユーザーに最新版のChrome(Windows版は114.0.5735.110、macOSおよびLinuxの場合は114.0.5735.106)へのアップデートを推奨している。この脆弱性の発覚により、Googleは今年最初の3つのゼロデイ脆弱性を修正することになった。ChromiumベースのブラウザであるMicrosoft Edge、Brave、Opera、Vivaldiのユーザーも同様に修正を適用することが推奨されている。

incident
2023-06-06 06:57:00

被害状況

事件発生日2023年6月6日
被害者名不明
被害サマリCyclopsランサムウェアに関連した脅威行為者が、感染したホストから機密データを収集するために設計された情報窃取マルウェアを提供していることが報告された。このランサムウェアは、Windows、macOS、Linuxを含むすべての主要なデスクトップオペレーティングシステムをターゲットにしており、暗号化に干渉する可能性のあるプロセスを停止するように設計されています。
被害額不明(予想:不明)

攻撃者

攻撃者名Cyclopsランサムウェアに関連した脅威行為者
攻撃手法サマリ感染したホストから機密データを収集するために設計されたGo-based情報窃取マルウェアを提供している。
マルウェアCyclopsランサムウェア、情報窃取マルウェア
脆弱性不明

incident
2023-06-06 04:30:00

被害状況

事件発生日2023年4月15日
被害者名U.A.E.のユーザー
被害サマリPostalFuriousと呼ばれる中国語のフィッシンググループが、郵便サービスや有料道路オペレーターを装い、U.A.E.のユーザーをターゲットにしたSMSキャンペーンを実施。偽の料金請求をし、クレジットカード情報や個人情報を収集した
被害額不明

攻撃者

攻撃者名PostalFuriousと呼ばれる中国語のフィッシンググループ
攻撃手法サマリSMSフィッシング
マルウェア不明
脆弱性不明

vulnerability
2023-06-06 04:16:00

脆弱性

CVECVE-2023-33009, CVE-2023-33010
影響を受ける製品ZyxelのATP、USG FLEX、USG FLEX50(W) / USG20(W)-VPN、VPN、ZyWALL/USGなど
脆弱性サマリ認証されていない攻撃者により、バッファオーバーフローの脆弱性を利用され、DoS状態やリモートコード実行を引き起こす危険性がある。
重大度
RCE
攻撃観測
PoC公開不明
ZyxelのFirewallの2つの脆弱性(CVE-2023-33009、CVE-2023-33010)がCISAによって既知の脆弱性として指定された。これは、攻撃が行われた証拠に基づくものである。これらの脆弱性により、認証されていない攻撃者によって、DoS状態やリモートコード実行が引き起こされる可能性がある。Zyxelは5月24日にパッチをリリースしたが、影響を受ける製品にはATP、USG FLEX、USG FLEX50(W) / USG20(W)-VPN、VPN、ZyWALL/USGなどがある。攻撃の具体的な内容は不明である。政府機関などは、脆弱性を6月26日までに解消する必要がある。また、ZyxelはHTTP / HTTPSサービスをWANから無効化し、UDPポート500および4500を使用しない場合は無効にするよう顧客に勧告している。

incident
2023-06-05 21:27:12

被害状況

事件発生日2023年5月27日以降
被害者名複数の企業
被害サマリClopランサムウェアによるデータ盗難
被害額不明(予想:数百万ドルから数千万ドル)

攻撃者

攻撃者名Clopランサムウェアグループ
攻撃手法サマリMOVEit Transferのゼロデイ脆弱性の悪用
マルウェアClopランサムウェア
脆弱性MOVEit Transferのゼロデイ脆弱性

incident
2023-06-05 20:13:58

被害状況

事件発生日2023年6月5日
被害者名Outlook.comのユーザー
被害サマリOutlook.comが2回にわたって数時間にわたってダウンし、ユーザーは503エラーメッセージを表示し、アカウントにアクセスできなかった。
被害額なし

攻撃者

攻撃者名不明
攻撃手法サマリネットワーク障害によるアクセス妨害
マルウェアなし
脆弱性不明

incident
2023-06-05 17:58:29

被害状況

事件発生日2019年以降(不明)
被害者名Kaspersky Lab(自社環境内での感染が確認されたと発表)
被害サマリiMessageの未知のゼロデイ脆弱性を利用し、複数のiOSデバイスに感染し、情報を収集するマルウェア「Triangulation」に感染した可能性があることが、Kaspersky Labのツールによるスキャンで判明した。
被害額不明(予想不可)

攻撃者

攻撃者名不明(国籍や特徴も不明)
攻撃手法サマリiMessageの未知のゼロデイ脆弱性を利用した攻撃
マルウェアTriangulation
脆弱性iMessageの未知のゼロデイ脆弱性

incident
2023-06-05 16:50:51

被害状況

事件発生日不明
被害者名Androidユーザー
被害サマリGoogle Playにおいて、SpinOkというマルウェアが潜んでいた193のアプリが発見され、そのうち43がアクティブだった。別途92のアプリで新たに感染が確認され、そのうち半数近いものがGoogle Playでダウンロード可能だった。合計で約3,000万件のダウンロード数が確認されている。SpinOkマルウェアは、SDK供給チェーン攻撃を経由して多くのアプリに感染しており、ファイルを盗み、クリップボードの内容を置き換えることができる。
被害額不明(予想:情報漏えいやデータ盗難による損失が発生しているため、多額の損失が予想される)

攻撃者

攻撃者名不明
攻撃手法サマリSDK供給チェーン攻撃
マルウェアSpinOk
脆弱性不明

vulnerability
2023-06-05 15:09:13

脆弱性

CVEなし
影響を受ける製品GIGABYTEのIntel 400/500/600/700およびAMD 400/500/600シリーズマザーボード
脆弱性サマリマザーボードにおけるWindows転送先アドレスの不安全なHTTPコネクションにより、マルウェアや改ざんされたファイルがダウンロードされる可能性がある
重大度不明
RCE不明
攻撃観測不明
PoC公開不明
脆弱性概要: GIGABYTEの一部マザーボードにおけるWindows転送先アドレスの不安全なHTTPコネクションにより、マルウェアや改ざんされたファイルがダウンロードされる可能性がある。 影響を受ける製品: GIGABYTEのIntel 400/500/600/700およびAMD 400/500/600シリーズマザーボード。 重大度、RCE、攻撃観測、PoC公開に関する情報は不明。

vulnerability
2023-06-05 14:15:30

脆弱性

CVECVE-2023-3278
影響を受ける製品KeePass 2.x
脆弱性サマリKeePass 2.xにおいて、SecureTextBoxExに問題があることで、一部マスターパスワードの文字列が残ってしまう脆弱性が存在する。これにより、アプリケーションのメモリーダンプから部分的に文字列を抽出され、クリアテキストのマスターパスワードが盗まれる危険性がある。
重大度
RCE
攻撃観測なし
PoC公開
脆弱性概要: KeePass 2.xにおいて、SecureTextBoxExに問題があることで、一部マスターパスワードの文字列が残ってしまう脆弱性が存在する。これにより、アプリケーションのメモリーダンプから部分的に文字列を抽出され、クリアテキストのマスターパスワードが盗まれる危険性がある。KeePass 2.54にて修正された。PoCは公開されている。影響を受ける製品はKeePass 2.x。重大度は高。RCEは無。攻撃観測はなし。

vulnerability
2023-06-05 14:05:10

被害状況

事件発生日不明
被害者名不特定のオンラインサービスユーザー
被害サマリユーザーの80ミリオンのアカウント情報が開示され、1.5百万のコンピューターのデータが売りに出されたジェネシス・マーケットという名の「闇市場」が取り締まられた。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ「闇市場」を運営するグループによる個人情報の販売
マルウェアなし
脆弱性なし
記事のタイトル:The Genesis Market Takedown – Keep Users Credentials Secure この記事は、アメリカ司法省によって発表された、闇市場であるGenesis Marketの摘発について報じている。Genesis Marketは招待制の闇市場であり、5年に渡って150万台以上のコンピューターと8000万件のアカウントアクセス情報を提供していた。最近、FBIや欧州の法執行機関によって100人以上の逮捕が行われ、この市場は「Operation Cookie Monster」という作戦名で取り締まられた。記事は、クレデンシャルの盗難がいかに深刻な問題であり、企業や個人がどのように対策を講じることができるかについて詳しく説明している。多層的な防御を採用することが重要であり、パスワードポリシーを更新することや、フィッシング攻撃やランサムウェア攻撃などのサイバーセキュリティのリスクについて教育することなどが必要であると述べられている。さらに、3十億以上の盗難されたクレデンシャルをブロックするツールであるSpecops Password Policy with Breached Password Protectionによって、自分自身や自分の組織を守ることができると伝えている。

incident
2023-06-05 12:54:23

被害状況

事件発生日2023年5月27日以降
被害者名不明
被害サマリMOVEit Transferサーバーの脆弱性(CVE-2023-34362)を利用した攻撃により、組織からデータが盗まれる事件が発生。攻撃者は、サーバーに設定されたAzure Blob Storageコンテナの資格情報/秘密を盗み取った。被害者は現在、身代金要求を受け取っていない。
被害額不明(予想:数百万~数千万ドル)

攻撃者

攻撃者名Clop ransomware gang/Lace Tempest(TA505, FIN11, DEV-0950)
攻撃手法サマリMOVEit Transferサーバーの脆弱性(CVE-2023-34362)を利用して、サーバーに特製のWebシェルを設置し、サーバーに保存されたファイルのリストを取得し、ファイルをダウンロードしてAzure Blob Storageコンテナの資格情報/秘密を盗み出す。
マルウェア不明
脆弱性MOVEit Transferサーバーの脆弱性(CVE-2023-34362)

other
2023-06-05 12:03:00
1. Microsoftは、脆弱性CVE-2023-34362を活用した攻撃を追跡しており、攻撃者を「Lace Tempest」と特定した。
2. Lace Tempestは、FIN11、TA505、Evil Corpといったグループと重なるランサムウェアの関係者であり、Cl0p恐喝サイトを運営している。
3. この脆弱性は、未承認のリモート攻撃者がデータベースにアクセスし、任意のコードを実行できるようにするSQLインジェクション脆弱性であり、MOVEit Transferサービスを使用している少なくとも3,000のホストが存在するとされている。
4. 攻撃者は、データの奪取、あるいはPaperCutサーバーにおける深刻なバグを利用して攻撃することが報告されている。
5. 米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は、同脆弱性を「既知の攻撃された脆弱性」(KEV)リストに追加し、ベンダから提供されたパッチを2023年6月23日までに適用するよう、連邦機関に勧告している。

vulnerability
2023-06-05 11:55:00

脆弱性

CVEなし
影響を受ける製品SaaSセキュリティ製品
脆弱性サマリSaaSセキュリティインシデントの増加
重大度不明
RCE不明
攻撃観測有(55%の企業でセキュリティインシデント発生)
PoC公開なし
2024年までにSaaSのリスク、既存の脅威、SaaSセキュリティに対する企業の準備についての、1,000人以上のCISOやセキュリティプロフェッショナルの意見を共有した「SaaS Security Survey Report: Plans and Priorities for 2024」では、55%のセキュリティ幹部が過去2年間にSaaSセキュリティインシデントを経験したことが報告されている。インシデントにはデータ漏えい(58%)、サードパーティの悪意あるアプリケーション(47%)、データ侵害(41%)、SaaSランサムウェア(40%)が含まれていた。また、回答企業の7%がSaaSの100%をモニタリングし、68%はモニタリングするSaaSの半分未満を報告しており、既存のCASBや手動監査のようなSaaSセキュリティプラクティスが十分にデプロイされていないと指摘されている。

incident
2023-06-05 06:29:00

被害状況

事件発生日2023年6月5日
被害者名北米、ラテンアメリカ、ヨーロッパの規模の異なる多数のウェブサイト利用者
被害サマリネットセキュリティ企業Akamaiによって発見されたマルウェアキャンペーン。被害サイトはMagecartによるもので、個人情報やクレジットカード情報が不正に入手されている。更に、被害サイトが偽のC2サーバーとなっており、悪意のあるコードをリアルタイムで配信している。攻撃者は、様々な手口を使って犯行を隠しており、発覚が困難になっている。
被害額不明(予想:莫大な被害額が出たと考えられる)

攻撃者

攻撃者名不明
攻撃手法サマリ被害サイトをハッキングし、そこにマルウェアを格納して利用する手口を用いている。
マルウェアMagecartスタイルのWebスキマー
脆弱性Magento、WooCommerce、WordPress、Shopifyおよびその他の様々な脆弱性が利用されたものと考えられる。

incident
2023-06-05 04:48:00

被害状況

事件発生日2023年6月5日
被害者名スペイン語とポルトガル語を話す被害者
被害サマリブラジルに拠点を置く攻撃者が、LOLBaSとCMDスクリプトを使用して、メキシコ、ペルー、ポルトガルのオンライン銀行口座を狙った攻撃を実施。脅威アクターは、課税や交通違反をテーマにしたルアー付きのポルトガル語とスペイン語の電子メールを送信し、HTML添付ファイルを使用して感染を引き起こしてシステムに不正アクセスする。被害者のMicrosoft Outlookおよびブラウザーのパスワードデータを盗み出すために、AutoItスクリプトをダウンロードし、収集した情報をHTTP POSTリクエスト方法で攻撃者のサーバーに転送します。
被害額不明(予想:数百万ドルから数千万ドル)

攻撃者

攻撃者名ブラジル人の脅威アクター
攻撃手法サマリLOLBaS(living-off-the-land binaries and scripts)とCMDスクリプトを使用
マルウェア特定されていない
脆弱性特定されていない

incident
2023-06-05 04:31:00

被害状況

事件発生日2023年5月
被害者名不明
被害サマリTrueBotによるアクティビティの急増が発生した。TrueBotはダウンローダ・トロイのボットネットで、C&Cサーバを使用して侵害されたシステムの情報を収集し、その侵害されたシステムをさらに攻撃の発射点にする。最近のTrueBot感染では、Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8)とRaspberry Robinを配信ベクターとして利用している。TrueBotは侵害された組織のネットワークにとって特に厄介な感染症であり、ランサムウェアがネットワーク全体に急速に広がる方法に類似している。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名SilenceグループとされるEvil Corpとの関係が疑われる。
攻撃手法サマリTrueBotはダウンローダ・トロイのボットネットで、C&Cサーバを使用して侵害されたシステムの情報を収集し、その侵害されたシステムをさらに攻撃の発射点にする。最近のTrueBot感染では、Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8)とRaspberry Robinを配信ベクターとして利用している。
マルウェアTrueBot
脆弱性Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8)

other
2023-06-04 21:47:59
1. Microsoftが、Windows 11 Moment 3のアップデートを発表
2. このアップデートには、新機能の追加や改善が数多く含まれており、使用感を向上することが目的となっている。
3. 追加された機能には、追加言語に対応したライブキャプション、改良された音声アクセスコマンド、VPN接続状態をシステムトレイで表示する機能などが含まれる。
4. 操作性を向上させる機能もいくつか追加されており、テキスト選択・編集機能や、ファイルエクスプローラーのショートカット、複数ユーザーが同じデバイスを共有できるような機能なども含まれる。
5. また、アップデートにより、システムのスピードに関する改善が実施されたことで、起動時間やアプリ起動時間、ファイル処理速度、マウスの動作ラグなど、大幅なパフォーマンスの向上が実現された。

incident
2023-06-04 19:04:00

被害状況

事件発生日2023年6月2日
被害者名Atomic Walletのユーザー
被害サマリAtomic Walletの複数のユーザーアカウントから、仮想通貨約3.5億ドル相当分が盗まれた。
被害額約3.5億ドル (約386億円)

攻撃者

攻撃者名不明
攻撃手法サマリ不正アクセスによる仮想通貨盗難
マルウェア不明
脆弱性不明

incident
2023-06-04 19:04:00

被害状況

事件発生日2023年6月2日(金) 21:45 UTC
被害者名Atomic Walletのユーザー
被害サマリAtomic Walletのウォレットから約35百万ドル相当の仮想通貨が盗まれた。
被害額35百万ドル相当の仮想通貨

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-04 15:14:23

被害状況

事件発生日不明
被害者名米国政府機関
被害サマリProgress MOVEit Transfer managed file transferにあるSQLインジェクションの脆弱性を悪用した攻撃により、データが窃取された。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリSQLインジェクションを悪用
マルウェアN/A
脆弱性Progress MOVEit Transfer managed file transferのSQLインジェクションの脆弱性 (CVE-2023-34362)

incident
2023-06-04 14:16:32

被害状況

事件発生日不明
被害者名オンラインストアの顧客
被害サマリハッカーたちは、信頼性の高いウェブサイトをハッキングし、悪意のあるコードをインジェクションして、マジックカートと呼ばれる手法を使ってオンラインストアの顧客からクレジットカード情報を収集しています。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明(国籍などの特徴も不明)
攻撃手法サマリ信頼できるウェブサイトをハッキングして、マジックカートと呼ばれる手法を使ってオンラインストアから顧客のクレジットカード情報を収集する。
マルウェア不明
脆弱性オンラインストアのウェブサイトのデジタル商取引プラットフォーム(たとえば、マジェント、ウーマーズ、ワードプレス、ショッピファイなど)や、ウェブサイトで使用される脆弱なサードパーティ製サービスに対する脆弱性を突く。

incident
2023-06-03 15:52:24

被害状況

事件発生日2023年6月3日
被害者名オンラインセラー
被害サマリオンラインコマースサイトのバックエンドにアクセスし、大規模な攻撃を行うためにVidar情報窃取マルウェアが送信される攻撃が発生。従業員の資格情報が盗まれたデータ流出も含まれる。
被害額不明(予想:莫大な損失)

攻撃者

攻撃者名不明
攻撃手法サマリオンラインストアの管理者に偽の苦情メールを送信し、偽のGoogleドライブに誘導してVidar情報窃取マルウェアをダウンロードさせる攻撃。
マルウェアVidar情報窃取マルウェア
脆弱性不明

vulnerability
2023-06-03 14:06:12

被害状況

事件発生日不明
被害者名Zyxel(製品利用者全般)
被害サマリZyxelのVPNとファイアウォール製品が、CVE-2023-28771、CVE-2023-33009、およびCVE-2023-33010の脆弱性によって広範囲に攻撃された。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名不明(攻撃が自動化されている可能性がある)
攻撃手法サマリCVE-2023-28771の脆弱性を利用してマルウェアがリモートコマンドの実行を許可、またCVE-2023-33009およびCVE-2023-33010の脆弱性を利用することで、リモートコード実行またはサービス停止攻撃を行なう。
マルウェア不明
脆弱性CVE-2023-28771、CVE-2023-33009、およびCVE-2023-33010

脆弱性

CVECVE-2023-28771, CVE-2023-33009, CVE-2023-33010
影響を受ける製品Zyxel VPNとファイアウォールデバイス
脆弱性サマリCVE-2023-28771は、悪意のあるパケットを通じて遠隔でコマンド実行できる。CVE-2023-33009とCVE-2023-33010は、バッファオーバーフローにより、デバイスに拒否サービス状態を課せるか、遠隔からコード実行を実行できる。
重大度影響があり、脆弱性の情報が公開されている。アップデートを推奨。
RCE有(CVE-2023-28771、CVE-2023-33009)
攻撃観測脆弱性が攻撃の標的になっている。
PoC公開不明
Zyxel VPNとファイアウォールデバイスにおいて、CVE-2023-28771、CVE-2023-33009、CVE-2023-33010の脆弱性が発見された。特にCVE-2023-28771はマルウェアボットネットによって広く攻撃され、遠隔で不正なコマンド実行が可能とされている。Zyxelは、アップデートの適用が推奨されることを明らかにしており、アップデートができない場合は、WANからHTTP/HTTPSサービスを停止し、管理する必要があるIPアドレスのみがアクセスできるようにポリシーコントロールを有効化すること、GeoIPフィルタリングの実行や不要な場合はIPSec VPNのためのUDPポート500および4500を無効化する、対策を推奨している。

vulnerability
2023-06-03 14:06:12

被害状況

事件発生日不明
被害者名ZyxelのVPNおよびファイアウォールデバイスのユーザー
被害サマリZyxelのVPNおよびファイアウォールデバイスに影響する脆弱性が攻撃者によって悪用され、遠隔操作やデータ盗難などが行われている。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリCVE-2023-28771、CVE-2023-33009、およびCVE-2023-33010を悪用
マルウェア不明
脆弱性CVE-2023-28771, CVE-2023-33009, およびCVE-2023-33010

脆弱性

CVECVE-2023-28771, CVE-2023-33009, CVE-2023-33010
影響を受ける製品Zyxel VPN and firewall devices
脆弱性サマリCVE-2023-28771を悪用して、デバイスにリモートコマンド実行を行うマルウェアボットネットが横行、CVE-2023-33009およびCVE-2023-33010が脆弱性をもつ
重大度なし
RCE
攻撃観測あり
PoC公開なし
概要: ゼキセルVPNおよびファイアウォールデバイスに関する脆弱性アドバイザリーが出された。CVE-2023-28771を悪用して、マルウェアボットネットによるリモートコマンド実行による攻撃が現在広まっており、CVE-2023-33009およびCVE-2023-33010が脆弱性をもつ。攻撃が現在進行中であり、デバイスを保護するためにすぐに調査を実施することが不可欠である。Zyxelは、利用可能なセキュリティ更新を適用すること、または更新が不可能な場合は、HTTP / HTTPSサービスをWAN(広域ネットワーク)から無効にすること、ポリシーコントロールを有効にすること、GeoIPフィルタリングを有効にすること、IPSec VPNが必要ない場合はUDPポート500およびポート4500を無効にすることなど、簡単な対策を提案している。

incident
2023-06-03 08:20:00

被害状況

事件発生日2023年5月初
被害者名不明
被害サマリBlackSuitと呼ばれる新しいランサムウェアが、WindowsとLinuxのホストを標的にする能力を持っていることが発覚しました。受信した網内にある機密データを盗んで暗号化し、金銭的な代償を求める「ダブル・エクスターション」手法を実行しています。一人の被害者に関連するデータがダークウェブのリークサイトに掲載されています。
被害額不明(予想:数百万ドルから数億ドル)

攻撃者

攻撃者名不明(可能性としては、Royalランサムウェアグループの派生グループと考えられています)
攻撃手法サマリダブル・エクスターション手法を使用するランサムウェア攻撃
マルウェアBlackSuit
脆弱性不明

other
2023-06-03 08:10:00
1. EC-Councilが行ったサーベイによれば、クラウドセキュリティ、データセキュリティ、セキュリティガバナンス、サイバーセキュリティ・人材不足が国際的なサイバーセキュリティリーダーの4つの主要な懸念事項として挙がっている。
2. EC-Councilは、2023年版の「Certified Chief Information Security Officer Hall of Fame Report」をリリースし、世界のトップ50のCertified CISOを表彰した。
3. サーベイの結果、それぞれ約1,295のクラウドサービスを利用する企業と、少なくとも1日に36のクラウドベースのサービスを利用する社員が存在するため、クラウドセキュリティリスクが依然として存在している。
4. IBMの報告書によれば、データ侵害の頻度が過去最高に達し、データ侵害の費用が平均4.35百万ドルに上昇したことが示されている。
5. EC-Councilの「Certified CISOプログラム」は、企業の重要なビジネスサイバー・リーダーシップニーズと、経験豊富で熟練したセキュリティエグゼクティブタレントの必要性とのギャップを埋めることに注力している。

incident
2023-06-03 08:05:00

被害状況

事件発生日不明
被害者名不明
被害サマリアマゾンのAlexaアシスタントおよびRingセキュリティカメラに関する一連のプライバシーミスに対してアメリカ連邦取引委員会がAmazonに累積$30.8百万の罰金を科した。そのうち$25百万は、音声録音を保持し、保護者が削除権利を行使することを妨げて、子供たちのプライバシー法に違反したことが理由である。また、Ringカメラで撮影された個人ビデオの視聴が社員や契約業者に許可されたことで、追加の$5.8百万の返金を行うことも同時に求められた。
被害額不明(予想不可)

攻撃者

攻撃者名不明 (国籍,特徴も不明)
攻撃手法サマリ不明
マルウェア特定されていない
脆弱性脆弱性が利用された可能性があるが、具体的な脆弱性については言及されていない

other
2023-06-02 21:53:57
1. Microsoftは、AIパワードアシスタントを多数製品に導入した後、WindowsスタンドアロンのCortanaアプリのサポートを終了することを発表した。
2. Cortanaは、音声によるサポートと、リマインダーの設定、カレンダーのイベント作成、天気情報の提供、ウェブ検索など、さまざまなタスクを提供している。
3. Cortanaは、Windows Phoneオペレーティングシステムの一部として最初に導入され、後にWindows 10、Android、iOSなどの他のプラットフォームに拡大した。
4. Cortanaは現在、Microsoftのエコシステムに深く統合され、他のMicrosoft製品と密接に連携するように設計されている。
5. Cortanaに代わって、AIパワードWindows Copilot、Voice access in Windows 11、新しいAIパワードBing検索エンジン、Microsoft 365 Copilot AI生産性ツールなどの製品があり、これらを使用すると、Cortanaと同様の機能を実行できる。

incident
2023-06-02 21:47:03

被害状況

事件発生日2023年5月31日
被害者名Harvard Pilgrim Health Care
被害サマリランサムウェア攻撃によって、2,550,922人の個人情報が漏えいし、犯罪者によってその機密情報が流出した。
被害額不明(予想:数千万円以上)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェア不明
脆弱性不明

vulnerability
2023-06-02 18:22:33

脆弱性

CVEなし
影響を受ける製品Windows 11
脆弱性サマリNTLMリレー攻撃を防ぐために、Windows 11はすべての接続でSMB署名が必要になる
重大度不明
RCE不明
攻撃観測なし
PoC公開なし
Windows 11の全ての接続で、NTLMリレー攻撃から守るために、SMB署名が必要になるとマイクロソフトは発表した。この措置はすでにWindows 98と2000から利用可能だが、今回のWindows 11では、パフォーマンスと保護性能が向上された。攻撃者によるSMBサーバーの遮断は、メッセージの末尾に埋め込まれた署名とハッシュを確認して、送信者と受信者の正当性を確保することによってブロックされる。ただし、SMB署名は、SMBコピーオペレーションのパフォーマンスを低下させるため、Windowsアドミンが問題にするかもしれない。

incident
2023-06-02 18:07:06

被害状況

事件発生日不明
被害者名think tanks, research centers, academic institutions, and various media organizations
被害サマリ北朝鮮のハッカーグループであるKimsuky(別名APT43)が偽のジャーナリストやアカデミックを装い、スピアフィッシングキャンペーンを行い、機密情報を盗み出しました。
被害額不明

攻撃者

攻撃者名Kimsuky(別名APT43・Reconnaissance General Bureau (RGB)所属)
攻撃手法サマリスピアフィッシング
マルウェア不明
脆弱性不明

incident
2023-06-02 16:19:20

被害状況

事件発生日2023年2月11日
被害者名Burton Snowboards
被害サマリ同社のウェブサイトでのシステムダウンによるオンライン注文キャンセルおよび、一部顧客の個人情報(名前、社会保障番号、金融口座情報)の閲覧または盗難が発生した。
被害額不明(予想:数十万ドルから数百万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

incident
2023-06-02 13:19:45

被害状況

事件発生日[記事公開日]
被害者名Google Chrome Web Storeのユーザー
被害サマリ75万以上のダウンロード回数のある32の拡張機能が削除された。これらの拡張機能は、検索結果を変更したり、迷惑な広告を表示することができる。約数万人の顧客を狙ったアドウェアである。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ拡張機能に悪意のあるコードを組み込み、顧客を狙ったアドウェアを広めた。
マルウェア不明
脆弱性不明

incident
2023-06-02 12:03:00

被害状況

事件発生日不明
被害者名スペイン語を話すラテンアメリカのユーザー
被害サマリ新しいボットネットマルウェア「Horabot」によってサイバー攻撃を受け、Outlookのメールボックスを攻撃者が操作でき、連絡先の電子メールアドレスを外部に送信された。また、Winows向けの金融型トロイの木馬やスパムツール、また、オンラインバンキングの資格情報のハーベストに加え、Gmail、Outlook、Yahoo!のwebmailアカウントが侵害されてスパムメールが送信される。
被害額不明(予想不可)

攻撃者

攻撃者名ブラジルを起源とする脅威アクター
攻撃手法サマリフィッシングメールを送信し、受信者がHTML添付ファイルを開くことによって攻撃が開始される。この攻撃は多段階攻撃であり、PowerShellダウンローダースクリプトを介してマルウェアペイロードを提供する。マルウェアには、主に会計、建設エンジニアリング、卸売、投資に関する縦の他、他の様々な分野のの被害者がいると予想される。
マルウェアHorabotおよび金融型トロイの木馬など
脆弱性不明

vulnerability
2023-06-02 10:16:00

被害状況

事件発生日記事の公開日付[June 02, 2023]
被害者名不明
被害サマリ記事内に被害事例はない
被害額不明(予想:記事の内容からは算出できない)

攻撃者

攻撃者名不明
攻撃手法サマリ記事内に攻撃事例はないが、データセキュリティのポストアーゲメントを管理するプラットフォーム「Symmetry DataGuard」を提供する「Symmetry Systems」という企業が、大量のVCからの投資を受けていることが言及されている。
マルウェア記事内にマルウェアに関する言及はない。
脆弱性記事内に脆弱性に関する言及はない。
記事タイトル:The Importance of Managing Your Data Security Posture この記事は、データセキュリティポストの重要性について説明しています。Gartnerの報告書により、16のDSPM商品が特定され、その中にはSymmetry Systemsも含まれていることが明らかになっています。Postureは、データストアや個々のデータオブジェクトの現在のセキュリティ状態のことであり、データ攻撃曝露面、データセキュリティ制御の効果、爆発半径の3つの要素があります。Symmetry DataGuardは、ポストの管理に特化したデータセキュリティポスト管理プラットフォームであり、カスタマイズ可 対応したデータをクラウド環境内部に保ちます。Symmetry DataGuardは、クラウド環境内でのAPIを使用して、環境、アクセス、データストアなど、さまざまな要素に関する情報を収集しています。プレビルドデータ識別子カタログを提供し、キーワード、REGEXパターンマッチング、及び機械学習を使用してデータを特定しているため、役立つカスタマイズも可能です。Symmetry DataGuardは、アクセス拒否やデータ操作失敗など、環境内で行われたあらゆるデータ操作のTelemetryを収集することで、データ活動やデータフローを監視できます。このTelemetryは、外部データフロー、感​​度の高いデータへのアクセス失敗など、様々なデータ中心の脅威検出シナリオを特定するのに役立ちます。Symmetry DataGuardは、暗号化されたデータ、MFA、監視が有効になっているかどうかなど、様々なデータとアイデンティティの構成を評価します。最後に、Symmetry DataGuardは、CISベンチマークなどのコンプライアンスフレームワークとの準拠確認を行います。

incident
2023-06-02 10:08:00

被害状況

事件発生日2023年6月2日
被害者名不明
被害サマリ中国の国家レベルの攻撃者グループであるCamaro Dragonは、TinyNoteと呼ばれるマルウェアを使用した情報収集のためのバックドアを使用して攻撃を行い、東南アジアおよび東アジアの大使館を標的にしたと、イスラエルのサイバーセキュリティ企業Check Pointが報告しました。
被害額不明(予想不可)

攻撃者

攻撃者名中国の国家レベルのグループであるCamaro Dragon、またはMustang Pandaと同一の脅威に関連する攻撃者とされています。
攻撃手法サマリ情報収集のためのバックドアであるTinyNoteを使用した攻撃。
マルウェアTinyNote。
脆弱性不明

incident
2023-06-02 05:45:00

被害状況

事件発生日不明
被害者名思想機関、学術機関、ニュースメディア等の個人
被害サマリ北朝鮮のサイバースパイ集団「Kimsuky」が、ソーシャルエンジニアリング手法を使用して思想機関、学術機関、ニュースメディア等の個人を標的に情報収集を行っていた。攻撃者たちは、標的となる人物の興味に合わせてテーマを調整し、複数の偽名を使用することで被害者との信頼関係を築き、フィッシング攻撃を行った。被害の詳細は不明。
被害額不明(予想)

攻撃者

攻撃者名Kimsuky(北朝鮮のサイバースパイ集団)
攻撃手法サマリソーシャルエンジニアリング手法を使用したフィッシング攻撃
マルウェアBabyShark 他複数のカスタムツール(不明)
脆弱性不明

vulnerability
2023-06-02 03:25:00

被害状況

事件発生日2023年6月2日
被害者名Progress SoftwareのMOVEit Transferユーザー
被害サマリMOVEit TransferのSQLインジェクションの脆弱性を悪用した攻撃により、ファイル転送サービスを利用するシステムが不正アクセスを受け、データが漏洩した可能性がある。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリSQLインジェクション
マルウェア不明
脆弱性Progress SoftwareのMOVEit TransferのSQLインジェクションの脆弱性

脆弱性

CVE未割り当て
影響を受ける製品Progress SoftwareのMOVEit Transfer
脆弱性サマリMOVEit Transferにおける深刻なSQLインジェクションが悪用されると、特権が昇格し、環境への権限なしでのアクセスが可能となる。
重大度
RCE不明
攻撃観測あり
PoC公開不明
脆弱性は、Progress SoftwareのMOVEit Transferにある深刻なSQLインジェクションに関連しており、攻撃者はデータベースの構造と内容を窺うことができるだけでなく、SQLステートメントを実行してデータベース要素を変更または削除することができる。バグのパッチは、プログラムの所有者であるProgress Softwareによって提供された。成功した攻撃では、Webシェルを展開され、「人間2.aspx」という名前のファイルが「wwwroot」ディレクトリに作成され、さまざまなデータを盗み出す人物もいた。また、攻撃者は検出を回避するために「健康チェックサービス」という名前の新しい管理者ユーザーアカウントセッションを追加するように設計されたWebシェルを開発した。メジャーな脅威インテリジェンス企業のGreyNoiseによると、約2,500のMOVEit Transferのソフトウェアが、2023年5月31日時点でIPアドレスで検出された。CISAは、マルウェアなしでも解決策を適用する前に、環境の調査(妥当性の指標)を行い、攻撃につながる可能性のあるトラフィックをブロックし、サーバーを分離することを勧告している。

incident
2023-06-01 20:54:40

被害状況

事件発生日2020年11月以降
被害者名スペイン語圏のラテンアメリカのユーザー
被害サマリHotabotボットネットマルウェアに感染し、銀行トロイの木馬やスパムツールによってGmail、Outlook、Hotmail、Yahooのメールアカウントを乗っ取り、メールデータと2段階認証コードを盗み出し、感染したアカウントからフィッシングメールを送信。
被害額不明(情報なし)

攻撃者

攻撃者名ブラジルを拠点とする可能性がある脅威アクター
攻撃手法サマリホラボットマルウェアを利用したフィッシングメール攻撃
マルウェアHotabot、ホラボット
脆弱性不明

other
2023-06-01 18:27:32
- Windows 11 Insider Preview Build 23471 allows users to view phone's camera roll in the File Explorer Gallery.
- Users can add photos from their phone by clicking the new "Add Phone Photos" button on the File Explorer's command bar.
- The new feature to view phone photos might require a more recent version of the OneDrive sync client with updated protocol support.
- The Gallery feature provides access to the most recently captured photos and automatically syncs and shows pictures from mobile devices where OneDrive Camera Roll Backup is enabled.
- Microsoft also introduced a new feature that allows Windows Insiders to tear out and merge tabs within File Explorer.

incident
2023-06-01 17:02:54

被害状況

事件発生日2023年3月28日〜2023年4月17日
被害者名Harvard Pilgrim Health Care
被害サマリ2023年4月に発生したランサムウェア攻撃により、2,550,922人分の個人情報が漏洩。被害者には氏名、生年月日、住所、電話番号、健康保険口座情報、社会保障番号、診療情報などが含まれる。
被害額不明(予想:数億円〜数十億円)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェア不明
脆弱性不明

incident
2023-06-01 16:11:28

被害状況

事件発生日2019年から現在に至る
被害者名ロシアの政府関係者、イスラエル、中国、NATO複数の国の大使館職員、Kasperskyの本社オフィスと他国の従業員
被害サマリiMessageのゼロクリック攻撃を使用し、iPhone内にマルウェアをインストールし、データを盗み出した
被害額不明(予想:不明)

攻撃者

攻撃者名不明(ロシアはNSAを非難している)
攻撃手法サマリiMessageのゼロクリック攻撃を使用した
マルウェア不明
脆弱性不明

incident
2023-06-01 16:11:00

被害状況

事件発生日不明
被害者名多数の被害者
被害サマリQBotとしても知られるマルウェアによる攻撃。Spear-phishingメールを介して被害者のデバイスに到来し、銀行口座のトロイの木馬から成長して、ランサムウェアを含む他のペイロードのダウンローダーに進化した。攻撃者は様々な攻撃方法を採用しており、攻撃の周期性がある。C2インフラストラクチャーは住宅のIPスペースと感染したWebサーバーに隠される。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明。攻撃方法から、高い技術力を持つグループが関与している可能性がある。
攻撃手法サマリQBotが使用されたスピアフィッシングメール攻撃。攻撃者は攻撃手法を改良し続け、電子メールのスレッドハイジャック、HTMLスマグリング、通常の添付ファイル形式を採用するなどして、セキュリティ障壁を突破している。
マルウェアQBot、QakBot、Pinkslipbotなどとしても知られる。
脆弱性不明。

vulnerability
2023-06-01 16:00:00

脆弱性

CVEなし
影響を受ける製品Google Chrome
脆弱性サマリChromeのセキュリティ機構を狙ったSandbox Escape Chain攻撃に対する報奨金が3倍になる
重大度なし
RCE不明
攻撃観測不明
PoC公開不明
GoogleはChromeのSandbox Escape Chain攻撃に対する報奨金を2023年12月1日まで3倍の額に引き上げたことを発表した。これは、脅威アクターがChromeのセキュリティ機構を破壊するための脆弱性を特定するとともに、ソフトウェアの全体的な耐久性の向上に役立つことを目的としている。報奨金は、初めて報告されたChromeバージョンのみ有効で、提出された脆弱性は全過程の完全なチェーン攻撃である必要がある。報奨金は、さらに増加することもある。

incident
2023-06-01 15:14:00

被害状況

事件発生日2019年以降 (詳細不明)
被害者名iOSデバイスユーザー (詳細不明)
被害サマリiMessageプラットフォームを通じて、ゼロクリック攻撃によってiOSデバイスが感染し、攻撃者は完全なデバイスとユーザーデータの制御を取得します。
被害額詳細不明。(予想)数百万〜数千万ドル

攻撃者

攻撃者名詳細不明。国籍も不明。
攻撃手法サマリiMessageプラットフォームを介したゼロクリック攻撃
マルウェア詳細不明。複数のペイロードを取得し、APTプラットフォームを実行するマルウェアが利用された。
脆弱性Apple iOSの脆弱性 (詳細不明)

incident
2023-06-01 14:55:00

被害状況

事件発生日不明
被害者名不明
被害サマリXEグループによる、少なくとも2013年から続くサイバー犯罪活動。政府機関、建設組織、医療部門を含む複数の企業が標的とされ、既知の脆弱性を利用した攻撃やパスワード盗難、クレジットカードスキミングの被害があった。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名ベトナムに由来すると疑われる脅威行為者グループ、XEグループ。
攻撃手法サマリ既知の脆弱性を利用した攻撃や、フィッシングメールを用いたアプローチ、不正なドメイン利用、マルウェア「ASPXSpy」の使用など。
マルウェアASPXSpyおよび、AutoITスクリプトによって作成されたメールや簡素なクレジットカードバリデータなど。
脆弱性Progress Telerikデバイスの重大な3年前の既知の脆弱性(CVE-2019-18935、CVSSスコア:9.8)。

incident
2023-06-01 14:47:41

被害状況

事件発生日不明
被害者名数多くの企業
被害サマリMOVEit Transferのゼロデイ脆弱性が悪用され、脆弱性への対応前に多数の企業からデータが盗まれた可能性がある。
被害額不明(予想:数百万ドルから数千万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリMOVEit Transferのゼロデイ脆弱性を悪用
マルウェア不明
脆弱性MOVEit Transferのゼロデイ脆弱性

vulnerability
2023-06-01 12:16:00

脆弱性

CVEなし
影響を受ける製品Python Package Index (PyPI)
脆弱性サマリPython bytecode (PYC)の直接実行を利用し、検知を回避する攻撃が見つかる
重大度不明
RCE不明
攻撃観測あり
PoC公開不明
このPyPIの攻撃では、悪意のあるPython bytecode(PYC)が含まれているパッケージ「fshec2」が使用されていた。PYCファイルを直接実行することができ、これにより検知回避が実現された。PYCファイルは、Pythonプログラムを実行するときにPythonインタープリタによって生成されるコンパイルされたバイトコードファイルのことである。この攻撃では、PYCファイルが直接実行され、攻撃者はPythonを介してIDに基づいてファイルをダウンロードすることができた。攻撃者は、別のPythonスクリプトをダウンロードおよび実行することで、新しいコマンドを発行して簡単に調整することができた。攻撃はSophisticated攻撃者によってはなかった可能性が高いため、単純な攻撃だと思われる。

other
2023-06-01 11:54:00
1. IT hygieneはデジタルアセットの保護及び適切な運用を確保するセキュリティベストプラクティスである。
2. IT hygieneは脆弱性管理、セキュリティ設定評価、資産及びシステム監視、企業内活動の包括的な可視化等を含み、組織のセキュリティ戦略の面で重要である。
3. IT hygieneを実施することにより、組織はサイバー攻撃に対して守られ、法的規制要件を遵守し、コストを最小限に抑え、信頼性の高いITインフラストラクチャを確保可能である。
4. WazuhはSIEM及びXDRプラットフォームであり、組織内監視、侵入検知、脆弱性発見等の機能を提供している。
5. Wazuhは良好なIT hygieneを実現するために、システムインベントリ、セキュリティ設定評価、脆弱性管理、脅威検出及び自動応答等の機能を提供している。

incident
2023-06-01 09:19:00

被害状況

事件発生日2023年6月1日
被害者名不明
被害サマリBlackCatランサムウェアが改良され、より高速で隠密的なSphynxバージョンが登場。被害者数や被害の具体的な内容は報告されていない。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリSphynxバージョンのBlackCatランサムウェアが使用されたとされる。具体的な手法については報告されていない。
マルウェアBlackCatランサムウェアのSphynxバージョン
脆弱性報告されていない

incident
2023-06-01 06:58:00

被害状況

事件発生日不明
被害者名不明
被害サマリ北朝鮮政府によるサイバー攻撃グループScarCruftが、ハングルワードプロセッサの脆弱性を突いて南朝鮮の公共およびプライベート組織に潜入、リモートアクセス・トロイのRokRATを使用して機密情報を盗み出し、また被害者のシステムを乗っ取る攻撃を行っていた。
被害額不明(予想不可)

攻撃者

攻撃者名北朝鮮政府のサイバー攻撃グループ ScarCruft
攻撃手法サマリScarCruftは、社会工学を駆使して標的をスピアフィッシングし、悪意のあるペイロードを標的ネットワークに配信する。LNKファイルを使って複数段階の感染シーケンスをトリガーして、最終的にRokRATマルウェアを配備する攻撃も行っている。
マルウェアRokRAT / DOGCALL
脆弱性ハングルワードプロセッサ(HWP)の脆弱性

incident
2023-06-01 04:17:00

被害状況

事件発生日不明
被害者名Zyxel gearのユーザー
被害サマリ未パッチのZyxel gearには、CVE-2023-28771(CVSSスコア:9.8)というコマンドインジェクションの脆弱性が存在し、攻撃者はZyxelデバイスを標的にして、Miraiボットネットのようなものを作成してDDoS攻撃を行っていると報告された。
被害額不明(予想:被害額はない)

攻撃者

攻撃者名不明(Miraiボットネットと呼称)
攻撃手法サマリCVE-2023-28771という未パッチの脆弱性を標的にした攻撃を行っている。
マルウェア不明
脆弱性CVE-2023-28771(コマンドインジェクション)

vulnerability
2023-06-01 04:01:00

脆弱性

CVECVE番号なし
影響を受ける製品Jetpack plugin (WordPress)
脆弱性サマリJetpackのAPIに存在する脆弱性により、作者権限を持つ者がWordPressのインストールファイルを任意に操作できる可能性がある。
重大度
RCE
攻撃観測なし
PoC公開不明
この脆弱性は、2023年6月にWordPressのJetpack pluginの自動更新で修正されました。Jetpack pluginは、5百万以上のサイトにインストールされています。脆弱性は、2012年11月にリリースされたPluginのバージョン2.0から存在しました。作者権限を持つ者がWordPressのインストールファイルを任意に操作できる可能性があります。攻撃者によってこの脆弱性が悪用された証拠はありませんが、WordPressの人気の高いプラグインの脆弱性が脅威が悪用されることはよくあります。

vulnerability
2023-05-31 22:17:11

脆弱性

CVECVE-2023-33733
影響を受ける製品ReportLab Toolkit Pythonライブラリー
脆弱性サマリReportLab Toolkitが使用されるソフトウェアに搭載されたHTMLからPDFファイルを生成する際の遠隔コード実行(RCE)に関する脆弱性
重大度
RCE
攻撃観測公開exploitあり
PoC公開公開あり

incident
2023-05-31 20:44:12

被害状況

事件発生日2023年5月31日
被害者名Amazon / Ring Video Doorbell / Alexaのユーザー
被害サマリAmazonのサブスィジィであるRing Video Doorbellが顧客の非合法的な監視とハッキングによるアカウント制御に対して、またAlexaが子供の音声録音およびジオロケーション情報の削除要請を無視したことで、FTCからプライバシー違反罪で告発され、合計3,500万ドルの罰金を支払うことになった。
被害額不明(罰金を支払うことになった額)

攻撃者

攻撃者名不明
攻撃手法サマリ顧客の非法的監視、アカウント制御をハッキングによって行うことで顧客の個人情報を入手するという方法で攻撃を行った。
マルウェア不明
脆弱性不明

vulnerability
2023-05-31 19:55:36

脆弱性

CVEなし
影響を受ける製品Kali Linux 2023.2
脆弱性サマリ13の新しいツールが追加された。
重大度なし
RCE不明
攻撃観測なし
PoC公開なし
Kali Linuxは、2023.2の第2バージョンにて、Evilginxなどの13の新しいツールを含む、事前構築済みのHyper-Vイメージが提供された。PipeWireオーディオサブシステムに更新された。Kali Linuxは、エシカルハッカー、脆弱性テスト、セキュリティ監査、およびネットワークに対するサイバーセキュリティ研究のために設計された配布版である。

vulnerability
2023-05-31 19:25:26

被害状況

事件発生日2023年5月31日
被害者名不明
被害サマリロシアのハッカーフォーラムで「Terminator」というツールが販売され、Windows 7以上を搭載したデバイスの24種類のアンチウイルス、エンドポイント侵入検知レスポンス(EDR)、拡張型侵入検知レスポンス(XDR)セキュリティソリューション、Windows Defenderを含むAVを無効にできるとされている。ツールはSpyboyという脅威アクターによって販売され、単一のバイパス用には300ドルから、オールインワンのバイパス用には3,000ドルがかかる。Spysboyは、同ツールを使用するためには、クライアントが攻撃対象のWindowsシステムで管理者特権を所有している必要があり、ツールを実行すると表示されるユーザーアカウントコントロールのポップアップをユーザーが受け入れるようにユーザーをだます必要がある旨を述べている。
被害額不明

攻撃者

攻撃者名Spyboy(ロシア語を使用する脅威アクター)
攻撃手法サマリBring Your Own Vulnerable Driver(BYOVD)攻撃であり、Terminatorというツールによって、ランサムウェアとロッカーを除く24種類のセキュリティソリューションをバイパスすることができる。攻撃者が Spyboyによってツールが販売されている。クライアントが攻撃対象のWindowsシステムで管理者特権を有している必要があり、ユーザーアカウントコントロールのポップアップを受け入れるようユーザーを騙す必要がある。
マルウェア不明
脆弱性ブリングユアオウンバルナラブルドライバー(BYOVD)攻撃に用いられる脆弱性は不明。ツールは、Windows 7以上を搭載したデバイスの24種類のアンチウイルス、エンドポイント侵入検知レスポンス(EDR)、拡張型侵入検知レスポンス(XDR)セキュリティソリューション、Windows Defenderを含むAVを無効にできる方法である。CrowdStrikeのエンジニアによれば、Terminatorは単に、レギュラーな、署名された「Zamana anti-malware kernel driver」という合法的なWindowsドライバーを利用して、Windowsのシステム32フォルダーにランダ

脆弱性

CVEなし
影響を受ける製品Terminator antivirus killer
脆弱性サマリTerminator antivirus killerは、脆弱なWindowsドライバーを使用してセキュリティソフトウェアをバイパスし、エンドポイントデバイスを攻撃することができる。
重大度
RCE
攻撃観測ある
PoC公開ある

Terminator antivirus killerは、脆弱なWindowsドライバーを使用しているため、セキュリティソフトウェアをバイパスし、エンドポイントデバイスを攻撃できる。コマンド実行によるWindows Kernelプリビレッジの取得が可能であり、2021年にはPoCが公開されている。


被害状況

事件発生日2023年5月31日
被害者名Zyxelのネットワークデバイス利用者
被害サマリCVE-2023-28771という深刻なコマンドインジェクションの脆弱性が悪用され、マルウェアのインストールや情報の詐取が行われた。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリCVE-2023-28771を悪用し、特殊なIKEv2パケットを送信することで、リモートからコードを実行した。
マルウェア不明
脆弱性CVE-2023-28771およびCVE-2023-33009、CVE-2023-33010

被害状況

事件発生日不明(2022年9月から感染が報告されている)
被害者名主にゲームコミュニティのユーザー
被害サマリステルシーなリモートアクセスツール、SeroXenによる被害。低検知性と強力な機能が評価され、価格が安価なため、サイバー犯罪者によって利用されている。被害範囲はゲームコミュニティから、大企業や団体へ拡大することが懸念される。
被害額不明(予想:数百万ドル・円規模)

攻撃者

攻撃者名不明。サイバー犯罪者。
攻撃手法サマリフィッシングメールやDiscordでの拡散を通じ、ZIPアーカイブ内に含まれるバッチファイルによって感染拡大。SeroXen RATは、Quasar RAT、r77 rootkit、およびNirCmdコマンドラインツールを組み込んでおり、検知が困難になっている。
マルウェアSeroXen RAT、Quasar RAT、r77 rootkit、NirCmdコマンドラインツール
脆弱性不明

被害状況

事件発生日2023年5月19日
被害者名Apache NiFiインスタンスの所有者
被害サマリ攻撃者はApache NiFiインスタンスに侵入し、暗号通貨マイニングマルウェアをインストールして、横方向の移動を容易にしました。また、攻撃により、競合する暗号通貨マイニングツールが無効化されました。
被害額不明(予想:数万ドルから数十万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリ攻撃者はApache NiFiインスタンスにスキャンを実行した後、脆弱性を利用して侵入しました。攻撃者は、暗号通貨マイニングマルウェアKinsingをダウンロードし、実行しました。
マルウェアKinsingマルウェア
脆弱性公に開示されたWebアプリケーションの古い脆弱性

被害状況

事件発生日不明
被害者名トヨタ自動車の顧客
被害サマリトヨタ・コネクテッドが管理する2つのクラウドサービスがミスコンフィグレーションされ、顧客情報が漏えい。1つ目は、10年間にわたりアジア・オセアニア地域のトヨタ顧客の場所情報を含む氏名、住所、電話番号、メールアドレス、顧客ID、車両登録ナンバー、車両識別番号などを公開された。2つ目は、2009年から2015年にかけて販売されたレクサスブランドの自動車のナビゲーションシステムに関連した情報(約26万件)が公開された。
被害額不明(予想:数百万円以上)

攻撃者

攻撃者名不明
攻撃手法サマリミスコンフィギュレーションされたクラウドサービスを悪用したデータ漏えい
マルウェア不明
脆弱性不明

被害状況

事件発生日[不明]
被害者名[不明]
被害サマリ企業に対するペネトレーションテストにより、脆弱性が発見された。
被害額[予想:数千ドル]

攻撃者

攻撃者名[不明]
攻撃手法サマリペネトレーションテスト
マルウェア[不明]
脆弱性[不明]
るは、Webアプリケーションのペネトレーションテストに関する記事である。 この記事は、「7つのペネトレーションテストの段階」と、ペネトレーションテストを実施するためのソリューションである「PTaaS」について述べている。 ペネトレーションテストは、侵入テストやペンテストとも呼ばれ、ウェブアプリケーションのセキュリティ脆弱性を特定するための手法である。ペネトレーションテストには、「事前準備」「データ収集」「Discovery Scanning」「脆弱性アセスメント」「Exploitation」「報告とリスク分析」「脆弱性の解決と再テスト」の7つの段階がある。 従来のペネトレーションテストは、セキュリティの点検や評価が一度で完了するため、DevOpsやクラウド技術といった新しいテクノロジーには対応できない。そのため、ペネトレーションテストのサービスであるPTaaSが利用されるようになっている。 PTaaSは、自動化されたスキャンやテストを定期的に実施することで、Webアプリケーションの持続的な監視を実現する。また、開発チームとの連携により、開発プロセスの早い段階で脆弱性を特定できるため、時間とリソースを節約できる。それに加えて、PTaaSは、多様なWebアプリケーションや環境に対応することができ、セキュリティ業界の専門家によるサポートや、コンプライアンスレポートの生成も可能である。

脆弱性

CVEなし
影響を受ける製品Gigabyteシステム
脆弱性サマリGigabyteシステムのUEFIファームウェアにはBackdoorのような動作があり、ファームウェアがWindowsの実行コードを落としそのあと、アップデートプログラムを暗号化されていない形式で引き出すことができ、攻撃者が中間者攻撃を行うことができる。
重大度
RCE不明
攻撃観測なし
PoC公開なし
ギガバイトのシステムには、バックドアのような動作があり、読み込み可能なファームウェアがWindowsの実行コードを落とし、アップデートプログラムを暗号化されていない形式で引き出せることがわかった。ファームウェアがマザーボードにあるため、ファームウェアにマルウェアを注入することで、ドライブをワイプしてもOSを再インストールしても影響が残る。この問題に対処するためには、最新のファームウェアアップデートを適用し、UEFI/BIOS設定の「APPセンターダウンロード&インストール」機能を調査して無効化することが推奨される。

脆弱性

CVEなし
影響を受ける製品Salesforce Sites and Communities
脆弱性サマリ未使用のSalesforceサイトやコミュニティが不適切に非活性化された場合、未承認者が機密情報にアクセスできる危険がある
重大度不明
RCE不明
攻撃観測
PoC公開なし
Salesforce Sites and Communities(Experience Cloud)は不適切に非活性化されることがあり、「ghost sites」とされる。これらのサイトはメンテナンスされず、脆弱性がテストされず、更新されないため、不正アクセスの可能性がある。Varonisによると、これらの非活性化されたサイトが新しいデータを取得している場合が多く、HTTPリクエストのホストヘッダーを操作して脅威行為者がデータを抽出できることがある。Varonisは、これらのサイトを特定することが困難だが、DNSレコードの変更を追跡するツールなどを利用することができると指摘している。Varonisは、これらのオブソリートなサイトが最新のセキュリティ保護を欠いていることが多く、機密情報を盗み取るための脅威行為者にとって理想的なターゲットであることを警告している。企業は、使用されていないサイトを適切に非活性化すること、Salesforceサイトとそのユーザーの権限を追跡することが推奨されている。

脆弱性

CVECVE-2023-32369
影響を受ける製品Apple macOS
脆弱性サマリMicrosoftは、rootアクセスを持つ脅威アクターが、Apple macOSに存在するSIP(System Integrity Protection)を迂回するために悪用できる、重大な脆弱性を明らかにした。この脆弱性により、SIPで保護されたファイルとフォルダ上で実行することができる。
重大度
RCE不明
攻撃観測不明
PoC公開不明
注:この脆弱性はCVE-2023-32369と呼ばれ、Apple macOSに存在するSIPを迂回することができる重大な脆弱性である。2023年5月18日にリリースされたmacOS Ventura 13.4、macOS Monterey 12.6.6、及びmacOS Big Sur 11.7.7にて修正済。これは、rootアクセス権限を既に持っている脅威アクターによって攻撃が可能であり、rootキットをインストールしたり、永続的なマルウェアを作成するために悪用される可能性がある。また、Transparency、Consent、およびControl(TCC)ポリシーを管理するデータベースを置き換えることで、SIP迂回によって任意のカーネルコード実行や重要なデータへのアクセスを獲得することもできる。

1. 「The Hacker News」というサイトがある。
2. サイトは「Data Breaches」「Cyber Attacks」「Vulnerabilities」「Webinars」「Store」「Contact」のカテゴリーを持っている。
3. サイトでは「Threat Hunting」の記事が掲載されている。
4. 脅威を見つけるためには計画的で注意深い調査が必要であることが説明されている。
5. 脅威ハンティングにおいて、CTI(サイバー脅威インテリジェンス)は重要な役割を果たすとされている。

被害状況

事件発生日2022年2月から2023年4月まで
被害者名ベルギー、ブルネイ、インドネシア、タイ、ベトナムの教育機関、政府機関、軍事組織、非営利団体
被害サマリ高価値ターゲットに対し、漏洩した機密情報を収集していた。
被害額不明(予想)

攻撃者

攻撃者名Dark Pink(またはSaaiwc Group)
攻撃手法サマリ組み込まれたマルウェア(主にTelePowerBotやKamiKakaBot)を使用し、スピアフィッシング攻撃を行った。
マルウェアTelePowerBotとKamiKakaBot
脆弱性不明

被害状況

事件発生日不明
被害者名不明
被害サマリ国家機関や軍事システムに対するスピアフィッシング攻撃や、広告を用いてローリング攻撃を行うことで標的を誘導してリモートアクセストロイジャンを配信している。攻撃手法は最近のトレンドを追っており、悪質なソフトウェアの偽造版を広告で流し相手の信頼を得た情報を盗み出している。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明。悪意あるソフトウェアの偽造版を広告で流し相手の信頼を得た情報を盗み出している。
攻撃手法サマリ国家機関や軍事システムにスピアフィッシング攻撃、悪意ある広告を用いたローリング攻撃、リモートアクセストロイジャンの配信。偽造した悪質ソフトウェアを相手に送信し、信頼を得ることで情報を盗み出す。
マルウェアRomCom RAT など複数。
脆弱性不明

被害状況

事件発生日不明
被害者名政府、軍事、教育機関(ベルギーおよびタイを含む)
被害サマリDark PinkというAPTハッカーグループが、引き続き2023年に活動し続け、 アジア太平洋地域の政府、軍事、教育機関を標的としている。 Dark Pinkは、 ISOアーカイブを用いたスピアフィッシングに依存しており、DLLサイドローディングを使用して、 'TelePowerBot'と 'KamiKakaBot.' というバックドアを起動している。
被害額不明 (データ漏洩とスパイ活動によって損害)

攻撃者

攻撃者名Dark Pink (国籍などの特徴不明)
攻撃手法サマリスピアフィッシング、ISOアーカイブ、DLLサイドローディング、Backdoor(TelePowerBot、KamiKakaBot)などの一般的なAPT攻撃手法を使用する。
マルウェアKamiKakaBot、TelePowerBot、ZMsg info-stealer、Netlua特権エスカレーションツールなど
脆弱性不明

被害状況

事件発生日2022年10月以降
被害者名BarracudaのEmail Security Gateway (ESG)アプライアンスの使用者
被害サマリ0-day脆弱性 (CVE-2023-2868) が悪用され、ウイルスに感染することで、サブセットのESGアプライアンス内で不正なアクセスやデータの流出などの被害が生じた。
被害額不明(予想:数十万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリ0-day脆弱性 (CVE-2023-2868) を悪用した攻撃
マルウェアSALTWATER、SEASPY、SEASIDE
脆弱性CVE-2023-2868

脆弱性

CVE番号CVE-2023-2868
影響を受ける製品Barracuda Email Security Gateway
脆弱なバージョン5.1.3.001 から 9.2.0.006
脆弱性サマリBarracuda Email Security Gatewayのゼロデイ脆弱性で、攻撃者はバックドアの設置、コード実行、そしてデータの盗聴などができる。
重大度不明
RCE
攻撃観測
PoC公開不明
Barracuda Email Security Gatewayに影響を及ぼす、CVE番号がCVE-2023-2868である脆弱性が発見された。5.1.3.001から9.2.0.006までのすべてのバージョンに影響を受け、攻撃者はリモートでコードを実行し、バックドアを設置したり、データの盗聴を行うことができる。攻撃者による悪用が2022年10月以来続いており、2023年5月19日にBarracudaによって発見された。その後、同社は5月20日と5月21日にパッチをリリースした。3種類のマルウェアが見つかり、それらはSALTWATER、SEASPY、SEASIDEと呼ばれている。攻撃は誰によるものかはわかっていない。 CISAは、2023年6月16日までに修正を適用するよう連邦機関に呼びかけている。Barracudaは、被害を受けた組織の数は明らかにしていない。

脆弱性

CVEなし
影響を受ける製品Jetpack WordPressプラグイン
脆弱性サマリJetpack WordPressプラグインにおける任意のWordPressインストール内のファイルの操作に関する脆弱性
重大度
RCE不明
攻撃観測なし
PoC公開なし

被害状況

事件発生日2022年10月
被害者名200,000以上の組織、Samsung、Delta Airlines、Mitsubishi、Kraft Heinzなどの著名企業を含む
被害サマリBarracudaのEmail Security Gatewayアプライアンスに0-day脆弱性が利用され、顧客の製品にバックドアを設けるカスタムマルウェアが7か月間にわたって配置され、攻撃者によって顧客のデータが窃取された。
被害額不明(予想:数十億円から数百億円)

攻撃者

攻撃者名不明、国籍などの特徴も不明
攻撃手法サマリ0-day脆弱性攻撃
マルウェアSaltwater、SeaSpy、SeaSideなどのカスタムマルウェアが使用された
脆弱性CVE-2023-2868

脆弱性

CVECVE-2023-28782
影響を受ける製品Gravity Forms Wordpressプラグイン
脆弱性サマリプラグインの全バージョンが未認証のPHPオブジェクトインジェクションの脆弱性に影響を受ける
重大度不明
RCE
攻撃観測
PoC公開

脆弱性

CVECVE-2023-32369
影響を受ける製品macOS Ventura 13.4, macOS Monterey 12.6.6, macOS Big Sur 11.7.7
脆弱性サマリmacOSのSystem Integrity Protection (SIP)機能をバイパスすることができる
重大度
RCE
攻撃観測不明
PoC公開なし

被害状況

事件発生日不明(2022年秋より追跡開始)
被害者名東欧を中心に不特定多数のユーザー
被害サマリ「GIMP」「Go To Meeting」「ChatGPT」「WinDirStat」「AstraChat」「System Ninja」「Devolutions' Remote Desktop Manager」などのソフトウェアの偽サイトを用いたフィッシング攻撃
被害額不明

攻撃者

攻撃者名不明(「Tropical Scorpius」というキューバランサムウェアのアフィリエイトまたは関係者が使用した可能性がある)
攻撃手法サマリ高度なフィッシング攻撃によるROMCOMバックドアマルウェアの配信
マルウェアROMCOM
脆弱性不明

被害状況

事件発生日2023年5月23日以降
被害者名Surface Pro X ラップトップの利用者
被害サマリ一部のARMベースのWindowsデバイスの内蔵カメラが、クオルコムが製造したカメラドライバの不具合により突然使用不能となる。
被害額不明

攻撃者

攻撃者名-
攻撃手法サマリ-
マルウェア-
脆弱性クオルコムが製造したカメラドライバの不具合

被害状況

事件発生日2023年5月30日
被害者名Androidユーザー
被害サマリGoogle PlayからダウンロードされたAndroidアプリ421,290,300回にスパイウェアが仕込まれ、ユーザーのプライベートデータが盗まれた。
被害額不明(予想:巨額)

攻撃者

攻撃者名不明(SDKのディストリビュータが犯人の可能性あり)
攻撃手法サマリ広告SDKに偽装したスパイウェアの仕込み
マルウェアSpinkOk
脆弱性不明

脆弱性

CVECVE-2023-27352, CVE-2023-27355, CVE-2023-27353, CVE-2023-27354
影響を受ける製品Sonos One wireless speakers (Speaker 70.3-35220)
脆弱性サマリSonos One wireless speakersに複数の脆弱性が存在し、情報漏えいやリモートコード実行が可能になる可能性がある。
重大度高(CVSSスコア8.8)および中(CVSSスコア6.5)
RCE
攻撃観測不明
PoC公開
Sonos One wireless speakersに複数の脆弱性が見つかり、情報漏えいやリモートコード実行が可能になる可能性があることが発表された。これらの脆弱性は、Qrious Secure、STAR Labs、DEVCOREの3チームによって報告され、Pwn2Ownハッキングコンテストで発見され、$105,000の報酬金が与えられた。CVE-2023-27352とCVE-2023-27355は認証されていない欠陥であり、ネットワーク隣接攻撃者が影響を受けたインストールで任意のコードを実行できる。CVE-2023-27353とCVE-2023-27354も認証されていない欠陥であり、ネットワーク隣接攻撃者が影響を受けたインストールで機密情報を開示できる。これらの脆弱性はSonosによって修正され、最新のパッチを適用することが推奨されている。

脆弱性

CAPTCHAのバイパスサービスの脅威2023年5月30日に、Trend Microが報告書を出した。CAPTCHA-breakingサービスが販売され、人間のソルバーを利用し、CAPTCHAの保護を回避している。
CVEなし
影響を受ける製品オンラインウェブサービス
脆弱性サマリCAPTCHA(機械と人間を区別する公開テスト)を回避する人間のソルバーを利用し、CAPTCHAの保護を回避する。
重大度なし
RCE
攻撃観測あり
PoC公開不明
注:CAPTCHA-breakingサービスは、Webトラフィックの人間とボットを区別するために使用される公開テスト「CAPTCHA」を回避するために使用される。このような不正なサービスは、カスタマーの要求を集め、それらを人間のソルバーに委託して、解決策を見つけた後、指定されたルートを通じて使用者に戻される。また、別のAPIを呼び出して、結果を得る。攻撃者は、CAPTCHA-breakingサービスを購入し、プロキシウェアサービスなどと組み合わせることがあり、起動元のIPアドレスを不明瞭にし、抗ボットバリアーから逃れる。CAPTCHAは使用者にとって迷惑なUXをもたらす場合があるが、ボット起源のWebトラフィックからの攻撃を防ぐために有効な手段とされている。Webサービスには、CAPTCHAおよびIP blockingリストに加えて、他のアンチアビュースツールを追加することを推奨する。

この記事は何についてのものか?

- 「リスクベースの脆弱性発見と対策の実装」についての記事である。企業にとってソフトウェアやシステム上の脆弱性は大きな危険であり、即座に対応することが必要であると述べられている。

記事の中で述べられているメインのトピックは何か?

- 「リスクベースの脆弱性発見と対策の実装」である。具体的には、脆弱性の発見、ランキング、修正の自動化について詳しく述べられている。

企業がリスクベースの脆弱性発見と対策の自動化を実装する場合、どのような手順を踏むことが必要であるか?

- 主なアプローチは以下の通りである。
1. アセットの特定
2. リスク評価
3. 脆弱性の優先順位付け
4. コントロールの実装
5. モニタリング、見直し、調整

どのような手段が脆弱性の発見、ランキング、修正を自動化することができるか?

- 脅威インテリジェンスフィード、脆弱性スキャナー、自動化されたパッチ管理システムが脆弱性の発見、ランキング、修正を自動化するために使用される。

どのようなソリューションがこれらの手段を実装することを手助けしてくれるか?

- 「Action1」などのオールインワンのクラウドベースのソリューションが、脆弱性管理、パッチ管理、および規制遵守に役立つとされている。最新の脅威インテリジェンス情報にアクセスできるため、情報セキュリティの向上につながると紹介されている。

エラーが発生しました。
記事ファイル名:../articles/20230530 070200_8a6b364ca5c8ca6dbb048df115d25b8151506164b393fa88b10b7d66ecee4001.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 3605d5de0a6f3d410769c2b00f79f385 in your message.) <> security_news_matomerukun.py:81

被害状況

事件発生日不明
被害者名RaidForumsメンバー 478,870人
被害サマリハッキングフォーラム「RaidForums」のメンバー情報が漏洩された。
被害額不明

攻撃者

攻撃者名不明(RaidForums内の脅威アクター)
攻撃手法サマリ不正アクセス・データ流出
マルウェアなし
脆弱性不明

被害状況

事件発生日2023年5月29日
被害者名Jimbos Protocol
被害サマリFlash Loan攻撃により、4000 ETH トークンが盗まれ、その価値は750万ドル以上に達した。
被害額$7,500,000

攻撃者

攻撃者名不明
攻撃手法サマリFlash loan攻撃
マルウェア不明
脆弱性スリッページコントロールの欠如

被害状況

事件発生日不明
被害者名スマートフォンユーザー
被害サマリスマートフォンの指紋認証に関する二つのゼロデイ脆弱性が発見され、自動クリックボードと指紋データベースを用いて、15ドルで攻撃者がスマートフォンの指紋認証を回避して制御を奪うことが可能になった。
被害額不明(予想:不適用)

攻撃者

攻撃者名不明。自動クリックボードと指紋データベースを使用する攻撃者。
攻撃手法サマリBrutePrint と呼ばれる攻撃手法を使用。二つのゼロデイ脆弱性(Cancel-After-Match-Fail および Match-After-Lock)を利用して、指紋認証装置を「誘導」し、認証の回避を可能にする。
マルウェア不明
脆弱性SPI上の指紋データの保護の不足に起因する Cancel-After-Match-Fail(CAMF)および Match-After-Lock(MAL)と呼ばれる二つの脆弱性。

脆弱性

CVEなし
影響を受ける製品スマートフォン
脆弱性サマリスマートフォンの指紋認証を回避可能にするBrutePrint攻撃が発見される
重大度
RCE
攻撃観測不明
PoC公開不明
スマートフォンの指紋認証を回避可能にする攻撃「BrutePrint」が発見された。この攻撃はスマートフォンの指紋認証にある二つの脆弱性「Cancel-After-Match-Fail(CAMF)」と「Match-After-Lock(MAL)」を利用する。この攻撃は、AndroidおよびHarmonyOSに対して無制限に、iOSデバイスに対して10回試行でき、攻撃対象のデバイスが既に攻撃者の手にある必要がある。また、攻撃者は指紋データベースと、マイクロコントローラーボードと自動クリッカーから成るセットアップを所有する必要がある。攻撃のための費用は15ドル程度である。

被害状況

事件発生日2023年3月6日
被害者名Managed Care of North America (MCNA) Dental
被害サマリMCNA Dental社が、2023年3月6日にシステムへの不正アクセスを確認。調査の結果、ハッカーが2月26日に最初にMCNAのネットワークにアクセスし、約900万人分の個人情報以下を抜き取られた。被害者には患者、親、保護者、保証人などが含まれ、抜き取られた情報は、フルネーム、住所、生年月日、電話番号、メール、社会保障番号、運転免許証番号、政府発行のID番号、健康保険、治療内容、請求書および保険請求。
被害額不明(予想:数百万から数千万ドルの範囲)

攻撃者

攻撃者名LockBit ransomware group
攻撃手法サマリランサムウェア攻撃
マルウェアLockBit
脆弱性不明

- Lazarus Groupは、Windows Internet Information Services(IIS)Webサーバーによる初期アクセスを狙う攻撃を行った。
- Lazarus Groupは、North Koreaと関係があるとされ、資金調達のため複数のマルウェア攻撃を行っていると考えられている。
- 攻撃は、既知の脆弱性や誤った構成などによってIISサーバーに侵入し、悪意のあるファイルを配置して脅威を実行する。
- 攻撃は、DLL側面ローディングというテクニックを採用しているため、プロセスの異常な実行に関して監視すべきである。
- Lazarus Groupは、情報窃取と横方向の移動の活動を予防するため、事前予防措置を講じる。

被害状況

事件発生日不明
被害者名複数の被害者
被害サマリCryptor(AceCryptor)により多数のマルウェアが梱包され、2021年と2022年にESETのテレメトリで240,000以上の検出が確認された。被害国は、ペルー、エジプト、タイ、インドネシア、トルコ、ブラジル、メキシコ、南アフリカ、ポーランド、インドである。
被害額不明(予想:数 million USD)

攻撃者

攻撃者名不明
攻撃手法サマリCrypterによるマルウェアのパッキング、暗号化(梱包)が使用された。
マルウェアSmokeLoader、RedLine Stealer、RanumBot、Raccoon Stealer、Stop ransomware、Amadeyなど、複数のマルウェアが含まれた。
脆弱性不明

1. 「The Hacker News」というサイトは、300万以上のフォロワーによって信頼されるサイバーセキュリティニュースプラットフォームである。
2. 「Continuous Threat Exposure Management(CTEM)」という枠組みは、組織が継続的に危険要因を監視し、評価し、削減するための5段階のプログラムであり、Gartnerの報告書によると、実行計画のための一貫した実行可能なセキュリティポジション改善プランを企業の経営幹部が理解し、アーキテクチャチームが対応するプランを作成することが目的である。
3. CTEMプログラムを実行するにあたり、企業は予期しない問題にぶつかる可能性があるため、早期にそれらを解決するために慎重に計画を立てることが重要である。
4. 慎重に実行するための主な挑戦としては、セキュリティチームと非セキュリティチームの間の言語の壁、全体像を捉える難しさなどがある。
5. CTEMを正しく実装することで、組織は攻撃者に悪用される可能性がある問題の領域を特定し、それらに対処することができるため、セキュリティポジションを継続的に改善することができる。

被害状況

事件発生日2023年5月29日
被害者名不明
被害サマリ日本のLinuxルーターが、Golangによる新しいリモートアクセストロイジャン(RAT)GobRATの標的となっている。
被害額不明(予想:不明)

攻撃者

攻撃者名不明
攻撃手法サマリポートをオープンにしたルーターに対して脆弱性を利用してスクリプトを実行し、ローダースクリプトをデプロイしてGobRATを配信する。
マルウェアGobRAT
脆弱性不明

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリ.ZIPドメインを悪用したフィッシング攻撃による装うプログラム
重大度不明
RCE不明
攻撃観測あり
PoC公開不明
この記事は新たなフィッシング手法について述べたものである。この手法により、被害者が.ZIPドメインを訪れた時、Webブラウザ上でファイルアーカイバーソフトウェアを「シミュレート」することができる。攻撃者はHTMLとCSSを使用して、合法的なファイルアーカイブソフトウェアに似せた信憑性の高いフィッシングのランディングページを作成することができる。ファイルアーカイブを含む偽のZIPアーカイブがクリックされたとき、攻撃者は資格情報の収集ページにユーザーをリダイレクトすることができる。この手法では、非実行可能なファイルがリストアップされ、ダウンロードを開始すると実行可能なファイル(「invoice.pdf」など)であると偽装することができる。攻撃者は非常に合法的に見せることができるため、被害者はファイルダウンロードを期待している状態になる可能性がある。もっとも、Windowsファイルエクスプローラーの検索バーを利用してさえ、非存在する.ZIPファイルを検索した場合、ユーザーは本物の.ZIPドメインを自動的に開くことになる。こうした新たな攻撃手法の背景には、Googleがzipやmovといった新しいトップレベルドメインを導入したことがあげられる。これらは、悪意のあるWebサイトへの誘導やマルウェアの誤ダウンロードなどを引き起こす可能性がある。

脆弱性
脆弱性PyPIパッケージのアカウント所有者に対し、年末までに2要素認証を義務付けると発表
影響を受ける製品PyPIパッケージを利用しているソフトウェア
脆弱性サマリアカウント乗っ取りによる悪意あるパッケージの配布を防ぎ、パッケージ偽装やマルウェアを抑止するための措置
重大度不明
RCE不明
攻撃観測不明
PoC公開なし

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリ「ファイルアーカイバ」を装い、ZIPドメインでフィッシング攻撃を行う手法が確認される
重大度なし
RCE
攻撃観測
PoC公開
脆弱性概要: ZIPドメインを使用したフィッシング攻撃による悪意あるファイルの実行が可能になる脆弱性が報告されている。攻撃者が「ファイルアーカイバ」を装い、ZIPドメインで偽のWinRARウインドウを表示させてユーザに偽のファイルを開示し、ユーザにクリックさせてフィッシング攻撃やマルウェアの実行を行わせる手法が確認されている。PoCが公開されている。

脆弱性

CVEなし
影響を受ける製品Python Package Index
脆弱性サマリPyPIは、すべてのソフトウェア公開者に2FAを義務付けます
重大度なし
RCE不明
攻撃観測なし
PoC公開なし
脆弱性の概要: Python Package Index(PyPI)は、アカウントの管理者が年末までに2要素認証(2FA)をオンにすることを要求することを発表しました。2FA保護の1つの利点は、サプライチェーン攻撃リスクが軽減されることです。これらの攻撃は、悪意のあるアクターがソフトウェアメンテナーのアカウントを制御し、バックドアまたはマルウェアを、様々なソフトウェアプロジェクトで依存関係として使用されるパッケージに追加する場合に発生します。依存関係にあるパッケージがどれほど人気があるかによって、これらの攻撃は数百万人のユーザーに影響を与える可能性があります。また、Pythonプロジェクトリポジトリは、過去数ヶ月間に大量のマルウェアアップロード、有名なパッケージなりすまし、およびハイジャックされたアカウントを使用した悪意のあるコードの再提出に苦しんでいます。PyPIの2FA保護は、アカウント乗っ取り攻撃の問題を軽減し、停止されたユーザーが悪意のあるパッケージを再アップロードするために作成できる新しいアカウントの数にも制限を設定する必要があります。

- CISAが、Barracuda Email Security Gateway (ESG)アプライアンスに侵入するために利用された最近パッチが当てられたzero-day脆弱性について、先週警告した。
- ゼロデイ脆弱性CVE-2023-2868は、すでにBarracudaによって修正されたため、FCEB機関は脆弱性を修正する必要がなくなった。
- Barracudaは、影響を受けたデバイス全体に第二のパッチを適用したと述べている。
- Barracudaのセキュリティソリューションは、サムスン、三菱、Kraft Heinz、デルタ航空などの有名企業を含む、世界中の200,000以上の組織に利用されている。
- 脆弱性は、複数のメールゲートウェイアプライアンスへの不正アクセスを引き起こし、影響を受けた顧客は、他のネットワークデバイスへのアクセスを確認するよう勧告された。

被害状況

事件発生日不明
被害者名不明
被害サマリQBotマルウェアがWindows 10のWordPadプログラムのDLLハイジャックの脆弱性を悪用し、Windows 10 WordPadの実行可能ファイル(write.exe)を悪意のあるDLLファイルに偽装して、PCに侵入している。被害者がウェブサイトのリンクをクリックするとZIPファイルがダウンロードされ、そのファイル内にはWindows 10 WordPad実行可能ファイルが含まれている。そして、この実行可能ファイルが起動された際に、実行可能ファイルと同じフォルダにあるファイルを優先的に読み込む仕様のため、QBotマルウェアが偽装したDLLファイルが読み込まれ、その中の悪意のあるプログラムが実行されるようになっている。
被害額不明(予想:被害額は情報漏えいによって測定できないため、評価が困難である。)

攻撃者

攻撃者名不明(QBotマルウェアを利用した攻撃とされている)
攻撃手法サマリDLLハイジャックの脆弱性を悪用した攻撃。
マルウェアQBotまたはQakbot
脆弱性Windows 10 WordPadプログラムのDLLハイジャックの脆弱性

脆弱性

CVEなし
影響を受ける製品Windows 10 WordPad
脆弱性サマリQBotマルウェアがDLLハイジャックを使用してWordPadに感染できる
重大度不明
RCE不明
攻撃観測
PoC公開なし

被害状況

事件発生日不明
被害者名不明
被害サマリHot Pixelsと呼ばれる攻撃により、ターゲットのブラウザに表示されたコンテンツからピクセルを取得し、ナビゲーションの履歴を推測することができることが発見された。
被害額不明(予想不可)

攻撃者

攻撃者名不明(研究者によって開発された攻撃)
攻撃手法サマリ「Hot Pixels」攻撃は、近代のシステムオンチップ(SoCs)およびグラフィックス処理ユニット(GPUs)上でデータ依存計算時間を悪用し、最新のサイドチャネル対策が有効でもChromeやSafariで訪問したWebページから情報を盗み出すことができる。
マルウェア不明
脆弱性ChromeやSafariで訪問したWebページから情報を取得するため、脆弱性を突く必要があるが、記事には触れられていない。

1. 「The Hacker News」というサイバーセキュリティに関するニュースプラットフォームがあり、300万以上の人がフォローしている。
2. Bandit Stealer というマルウェアが開発され、多数のウェブブラウザや暗号通貨ウォレットを狙っている。
3. runas.exeというレジットなコマンドラインツールを使用して、Bandit Stealer はWindowsをターゲットにしている。
4. Bandit Stealer は、仮想環境とサンドボックスで実行されているかどうかを確認することができる。
5. 最近の情報窃取マルウェアのトレンドとして、脆弱性コードから続々と派生し、効果的なアクセスを提供するためにMaas市場で販売されていることが挙げられる。

脆弱性

CVECVE-2023-28131
影響を受ける製品Expo.ioアプリケーション開発フレームワーク
脆弱性サマリ認証情報漏えいによりアカウント乗っ取りが可能
重大度9.6 (CVSSスコア)
RCE
攻撃観測
PoC公開不明
Expo.ioアプリケーション開発フレームワークのOpen Authorization(OAuth)実装に、重大度9.6の脆弱性 (CVE-2023-28131)が見つかった。APIセキュリティ会社であるSalt Labsによれば、この問題により、フレームワークを使用するサービスが認証情報漏えいの影響を受け、アカウント乗っ取りとそれに伴う重要なデータの流出の危険がある。特定の状況下では、脆弱性を悪用して第三者提供者(GoogleやFacebookなど)を介したシングルサインオン(SSO)のためのAuthSessionプロキシ設定を構成しているサイトおよびアプリケーションに対し、Facebookなどのサインインプロバイダに関連する秘密トークンをアクターが制御するドメインに送信し、犠牲者のアカウントを乗っ取ることができる。攻撃者は、SMSメッセージ、電子メール、または怪しいウェブサイトなどの伝統的な社会工学ベクトルを介して、特別に作成されたリンクをクリックするようにターゲットユーザーを誘導することで、その攻撃を成功させることができる。Expo.ioは、Android、iOS、およびWeb上で実行されるユニバーサルネイティブアプリを開発するためのオープンソースプラットフォームであり、同社は2023年2月18日に脆弱性を修正している。修正後、ユーザーはサードパーティ認証プロバイダに直接Deep Link URLスキームを登録して、SSO機能を有効にすることが推奨される。

被害状況

事件発生日不明(2023年5月21日以降)
被害者名Augusta市
被害サマリAugusta市が不正アクセスによるシステムアウトエージを経験、BlackByte ransomwareが責任を認め、攻撃によって盗まれたと主張するデータをリークした。
被害額不明

攻撃者

攻撃者名BlackByte ransomware
攻撃手法サマリ不明
マルウェアBlackByte ransomware
脆弱性不明

被害状況

事件発生日不明
被害者名Microsoft社のデベロッパー
被害サマリMicrosoft Defenderがデベロッパーのファイル操作を遅らせることなく、Dev Drivesのファイル操作を完了する方法を提供する新しい機能「performance mode」を導入。これによりデベロッパーが大規模なデータセット、例えばソースコードリポジトリ、ビルド出力、または中間ファイル、パッケージキャッシュを格納するのに適したDev Driveが作成された。これにより、ビルドスピードが最大30%向上する見込み。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリファイル操作を遅らせることなく、Dev Drivesのファイル操作を完了する新しい機能「performance mode」を提供するMicrosoft Defenderに対する攻撃は報告されていない。
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品Microsoft Defender Antivirus
脆弱性サマリMicrosoft Defender Antivirusが、開発者用ドライブでファイル解析時のスキャンの影響を緩和する「パフォーマンスモード」を実装
重大度なし
RCE不明
攻撃観測なし
PoC公開なし
今回の脆弱性はMicrosoft Defender Antivirusが開発者用ドライブ(Dev Drive)でファイル解析時のスキャンの影響を緩和する「パフォーマンスモード」を実装したことによるものである。具体的には、ファイル操作が完了するまでスキャンを遅らせることでファイル入出力の時間の短縮ができる。昨年(2022年)に公開したWindows 11でDev Driveを導入したが、Insidersのみの公開であり、要件は8GB以上のRAMと50GB以上の無料ディスク容量。また、パフォーマンスモードはTrustedドライブでのみ利用可能であり、現時点では特定のファイルシステムでのみ有効。

被害状況

事件発生日2023年5月7日
被害者名ABB
被害サマリABBに対してランサムウェア攻撃が行われ、社内システムにアクセスされ、一部社内システムに影響が生じた。また、社内システムからデータが盗まれた。
被害額不明(予想:数億円以上)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェアBlack Basta
脆弱性不明

脆弱性

CVEなし
影響を受ける製品Google Cloud PlatformのCloud SQLサービス
脆弱性サマリCloud SQLサービスに存在する特権昇格の脆弱性
重大度
RCE
攻撃観測なし
PoC公開不明
Google Cloud PlatformのCloud SQLサービスに特権昇格の脆弱性が存在し、攻撃者がクラウド内の機密データにアクセスできる可能性があることが、イスラエルのクラウドセキュリティ企業Digによって報告された。報告によれば、攻撃者が基本的なCloudSQLユーザーからシステム管理者に昇格して全てのファイルにアクセスすることができ、顧客データを含む内部GCPデータを盗み取ることができるという。Googleは、2月に責任ある開示を受け、4月に問題を解決したと発表した。

被害状況

事件発生日2023年5月中旬
被害者名Embyユーザー
被害サマリEmbyサーバーが、既知の脆弱性と不十分な管理者アカウント設定を悪用され、外部からのログインなしで管理者アクセスを許可していたことを利用され、サイバー攻撃を受けた。攻撃者は悪意のあるプラグインをインストールし、ユーザーの資格情報を収集していた。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ脆弱性を悪用してサーバーにアクセスし、悪意のあるプラグインをインストールして、ユーザーの資格情報を収集した。
マルウェア不明
脆弱性Embyサーバーの「プロキシヘッダーバルナビリティ」の脆弱性

脆弱性

CVEなし
影響を受ける製品Firefox
脆弱性サマリフルスクリーンの広告でFirefoxの機能が無効になる問題
重大度なし
RCE不明
攻撃観測不明
PoC公開不明

被害状況

事件発生日2023年5月21日
被害者名Augusta市
被害サマリBlackByteランサムウェアによるサイバー攻撃により、Augusta市のコンピュータシステムがシャットダウン。攻撃者は10GBのデータを流出させ、個人情報や契約、予算割当などの機密情報が含まれていた。
被害額不明(予想)

攻撃者

攻撃者名BlackByteランサムウェアグループ
攻撃手法サマリランサムウェアによる攻撃
マルウェアBlackByteランサムウェア
脆弱性不明

エラーが発生しました。
記事ファイル名:../articles/20230526 123900_878559316ac7d7ab9651d77055dfe15b2d7677035d9f406a7c11e548391c1edc.json
Request timed out: HTTPSConnectionPool(host='api.openai.com', port=443): Read timed out. (read timeout=600) <> security_news_matomerukun.py:81

【脆弱性】
- CVE番号:なし
- 影響を受ける製品:5Gネットワーク
- 脆弱性サマリ:5Gネットワークは攻撃者の主なターゲットであるため、サイバーセキュリティが重要である。
- 重大度:不明
- RCE:不明
- 攻撃観測:不明
- PoC公開:不明

【記事概要】
5Gネットワークを利用したクラウドサービス向けのセキュリティについて、5つの主要な特長について説明している。5Gネットワークは、高速なデータ伝送と低遅延を提供し、様々なセキュリティ機能を備えており、エンドユーザーからエンドサービスまでのインフラストラクチャー全層において様々なデータを送信しているため、サイバー攻撃の主なターゲットとなっている。そのため、5Gネットワークのセキュリティが重要であるとされており、AES、ZUC、SNOW 3G、HMAC-SHA-256などの強力な暗号化アルゴリズムを使用している。また、5Gネットワークは、ネットワークスライシングやNESASといった機能により、企業のデータを保護し、クラウドサービスの品質向上を実現している。5Gの特徴を活かした健康、ストリーミング、スマートファクトリー、自動車IoTなどの各種利用シーンも紹介されている。記事の後半では、Gcoreの5G eSIMプラットフォームについても解説がある。1. 株式会社The Hacker News(THN)は、3.45+百万人以上にフォローされている信頼できるサイバーセキュリティニュースプラットフォームである。
2. サイトには、ホーム、データ侵害、サイバー攻撃、脆弱性、ウェビナー、ストア、コンタクトの7つのカテゴリーがあり、Webinar、THN Store、無料のeBookなどのリソースがある。
3. 5Gは、スマートフォンやIoTデバイスをクラウドインフラストラクチャに接続するときに、高速性と低レイテンシを提供する革新的な技術であり、セキュリティに対する注目が必要である。
4. 5Gには、AES、ZUC、SNOW 3G、HMAC-SHA-256などの強力な暗号化アルゴリズムや、Elliptic Curve Integrated Encryption Schemeなどのプライバシー保護技術、5G AKAなどの認証・承認技術など、5つの主要なセキュリティ機能がある。
5. 5Gはクラウドネイティブ企業にとって重要であり、低レイテンシ、高い帯域幅、高度なセキュリティ機能により、データのセキュアな転送、リアルタイム処理が可能になり、ヘルスケア、ストリーミング、スマートファクトリーなどの分野で使用される。Gcoreの5G eSIMプラットフォームは、5Gとクラウドを組み合わせた一例であり、高度な暗号化アルゴリズムやセキュリティプロトコルによる安全なデータ伝送を提供する。

被害状況

事件発生日2021年12月(公開時期)
被害者名不明
被害サマリCOSMICENERGYと名付けられたマルウェアが、EU、中東、アジアで電力送電と配電の操作によく利用されるIEC 60870-5-104(IEC-104)と呼ばれるデバイスを備えたシステムを穿ち、故障を引き起こすよう設計されたものであることが判明した。公開当時、「野生」の環境で使用された証拠はなかった。
被害額不明(予想:莫大な損失を引き起こす可能性がある)

攻撃者

攻撃者名不明(ロシア関与説あり)
攻撃手法サマリマルウェアによるシステムへの侵入と、IEC-104と呼ばれるデバイスを備えたシステムへのアクセス、そして「PIEHOP」と「LIGHTWORK」の2つの実行ファイルの送信によってRTUsへの遠隔操作を行う。
マルウェアCOSMICENERGY
脆弱性IEC 60870-5-104 (IEC-104)や、Microsoft SQL Serverの脆弱性を利用した攻撃が行われる可能性がある。

被害状況

事件発生日2023年5月26日
被害者名Barracuda
被害サマリBarracudaのEmail Security Gateway(ESG)アプライアンスが、リモートコードインジェクション脆弱性(CVE-2023-2868)を悪用された被害が発生した。攻撃者はメールの添付ファイルに.tar形式を使用し、不完全な入力検証によってリモートからシステムコマンドを実行することができた。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリリモートコードインジェクションの脆弱性を悪用
マルウェア不明
脆弱性CVE-2023-2868

脆弱性

CVECVE-2023-2868
影響を受ける製品BarracudaのEmail Security Gateway appliances:バージョン5.1.3.001から9.2.0.006
脆弱性サマリ特定の.tape archivesファイルに対して、攻撃者は特定の書式でファイル名をフォーマットし、Perlのqxオペレーターを介してシステムコマンドを実行することができる
重大度不明
RCE
攻撃観測あり
PoC公開なし
脆弱性はCVE-2023-2868であり、BarracudaのEmail Security Gateway appliancesのバージョン5.1.3.001から9.2.0.006に影響を受けます。 攻撃者は、特定のファイル名書式によりPerlのqxオペレーターを介してシステムコマンドを実行できます。どのくらいの被害があったかは不明ですが、Barracudaは全世界のESGデバイスにパッチを適用し、影響を受けたユーザーに対して是正措置のリストを直接提供しています。Barracudaは、状況を積極的に監視し、顧客に自分たちの環境を再確認するよう促しています。また、攻撃者の正体は不明ですが、最近数カ月間、中国やロシアのハッキンググループが弱点を突くためにカスタマイズされたマルウェアをCisco、Fortinet、およびSonicWallの脆弱なデバイスに展開していることが報告されています。

- Windows 11のデベロッパービルドに新機能「never combined mode」が追加された
- この機能によって、Windows 11のタスクバーにあるアプリケーションの各ウィンドウとラベルが個別に表示できるようになる
- この機能はまだ開発初期段階であり、デバイスによって利用可能なタイミングが異なる可能性がある
- この進化を待ってWindowsのアップグレードを控えていたユーザーは多く、17,000件以上の要望が寄せられていた
- 追加された機能により、Windows 11のアップグレードがより魅力的になるだろう。

被害状況

事件発生日2023年5月25日
被害者名報道されていない
被害サマリスパイウェア「Predator」を介して、ジャーナリスト、欧州高官、Meta幹部らに対する監視活動に利用された。このスパイウェアは、通話録音、メッセージアプリからの情報の取得、アプリの隠蔽、インフィルトリートしたAndroid端末でのアプリ実行の防止など、様々なスパイ行為を行うことが可能。
被害額不明

攻撃者

攻撃者名イスラエル企業Intellexaが開発および販売
攻撃手法サマリGoogleのThreat Analysis Groupによって2022年5月に公開された5つのAndroidゼロデイ脆弱性を悪用することで、Predatorスパイウェアを介してステルス的な攻撃を行う。
マルウェアPredatorスパイウェア
脆弱性Googleが2022年5月に公開した、Androidの5つの未解決脆弱性
脆弱性 CVE: なし 影響を受ける製品: Android 脆弱性サマリー: イスラエルのIntellexa社によって開発、マルウェア攻撃に使用されるスパイウェア、PredatorとそのプログラムローダーAlienに新しい技術解析が発表され、そのデータ盗難能力とその他の動作詳細が共有された。 重大度: 不明 RCE: 不明 攻撃観測: あり PoC公開: 無し

被害状況

事件発生日2023年5月25日
被害者名不明
被害サマリRPMSGファイルを使用したフィッシング攻撃により、Microsoft 365の認証情報が盗まれた
被害額不明(予想:数万ドルから数十万ドル)

攻撃者

攻撃者名不明(特徴:RPMSGファイルを使用した高度な手法で、ターゲットを調べていると見られる)
攻撃手法サマリRPMSGファイルを使用したフィッシング攻撃
マルウェアなし
脆弱性なし

被害状況

事件発生日不明
被害者名D-Link
被害サマリD-View 8ネットワーク管理スイートには2つの致命的な欠陥があり、リモート攻撃者が認証をバイパスし、任意のコードを実行できます。これにより、攻撃者はシステムの完全な乗っ取りを行って情報を盗み出すことができます。
被害額不明

攻撃者

攻撃者名不明(情報なし)
攻撃手法サマリ認証をバイパスすると、任意のコードを実行できます。これにより、攻撃者はシステムの完全な乗っ取りを行って情報を盗み出すことができます。
マルウェア特定されていない
脆弱性D-View 8のバージョン2.0.1.27以前に影響を受けます。CVE-2023-32165とCVE-2023-32169が存在し、それぞれリモートコード実行と認証バイパスの問題があります。

脆弱性

CVECVE-2023-32165、CVE-2023-32169
影響を受ける製品D-View 8 ソフトウェア
脆弱性サマリリモートの攻撃者が認証をバイパスし、任意のコードを実行する危険がある(RCE)。深刻なセキュリティ脅威。
重大度高(CVSSスコア: 9.8)
RCE
攻撃観測不明
PoC公開不明

被害状況

事件発生日2021年12月
被害者名欧州、中東、アジアの電力送電と流通操作に関する機器メーカー
被害サマリロシアのサイバーセキュリティ企業であるRostelecom-Solarと関連のあるマルウェア「CosmicEnergy」によって、IEC-104に準拠するリモート端末装置が標的とされ、欧州、中東、アジアにある電力送電と流通に関する機器メーカーが攻撃された。
被害額不明(予想:数百万ドル~数千万ドル程度)

攻撃者

攻撃者名ロシアのサイバーセキュリティ企業Rostelecom-Solar、またはその関連企業
攻撃手法サマリマルウェア「CosmicEnergy」による攻撃。被害者ネットワークに侵入し、Piehop disruptionツールを使用して、MSSQLサーバーを侵害、IEC-104に準拠するリモート端末装置を制御。マルウェアはPythonベースであり、OTプロトコルの実装にオープンソースライブラリを使用し、過去に攻撃で使用された別のOTマルウェアであるIndustroyerやIndustroyer.V2、IronGate、Triton、Incontrollerなどと類似している。マルウェアの実際の起源は不明。
マルウェアCosmicEnergy
脆弱性不明

被害状況

事件発生日不明(記事の公開日:May 25, 2023)
被害者名ゲーム企業、ゲームサーバー提供業者、オンラインストリーマー、ゲームコミュニティのその他のメンバー
被害サマリDark Frostと呼ばれるボットネットによるDDoS攻撃
被害額不明(予想:数十万ドル~数百万ドル)

攻撃者

攻撃者名不明。報道によると、初心者のサイバー犯罪者が既に存在しているマルウェアを使用して簡単に攻撃を仕掛けている。
攻撃手法サマリDark FrostボットネットによるDDoS攻撃。
マルウェアMirai、Gafgyt、QBotなどの他のマルウェアのソースコードを盗んで構築された独自のボットネットである。マルウェア名は明らかにされていない。
脆弱性明らかにされていない。

エラーが発生しました。
記事ファイル名:../articles/20230525 144300_e8fd84e140f42aabd58a18b4a4b16620d500a6e07864d2548d46dfb95611accf.json
Rate limit reached for default-gpt-3.5-turbo in organization org-PDjTjwhcHnqfPcVafyu3bypY on tokens per min. Limit: 90000 / min. Current: 88346 / min. Contact us through our help center at help.openai.com if you continue to have issues. <> security_news_matomerukun.py:81

記事タイトル:What’s a Double-Blind Password Strategy and When Should It Be Used

この記事では、パスワードセキュリティの問題がどのように進化しているかや、その対策について説明されている。パスワードマネージャーを使うことでより高いセキュリティを確保できる旨が述べられているが、パスワードマネージャー自体が攻撃対象になることもあるため、より安全な対策として二重盲目のパスワード戦略が紹介されている。

具体的には、複雑なパスワードをパスワードマネージャー内で管理し、短いピンコードや単語を自分で覚えておいて、それをパスワードと合わせてログインに使用する方法が紹介されている。これにより、パスワードマネージャーに保存されたパスワード情報が盗まれた場合でも、完全にアクセスを奪われることはなくなるという。

ただし、すべてのサイトに対応できるわけではなく、またパスワードの管理方法によってはうまく機能しない場合もあり、利便性とセキュリティのバランスを考慮する必要があるとされている。加えて、パスワードマネージャーを共有している場合や、あるいはオンボーディングやオフボーディングの際にパスワードを変更する必要がある場合など、運用上の課題もあるとされている。- 「Double-Blind Password Strategy」は、パスワードマネージャーに生成された複雑な長いパスワードと、短いユニークな識別子(例えばPINコードや単語)を個人で保管し、サービスやウェブサイトにアクセスする際にパスワードマネージャーを使用して長いパスワードを入力し、識別子を追加する方法である。
- この方法は、ユーザーが完全に採用している場合に限り効果的である。
- この方法は、簡単に傍受しやすいような短い、シンプルなパスワードではなく、複雑で長いパスワードを使うことによって、より強力なパスワード保護を提供できる。
- 他にも、最小12文字のパスワード長のNIST 800-63Bガイドラインに従い、パスワードの末尾に「guard」という5文字の単語を追加する方法もある。
- しかし、「Double-Blind Password Strategy」には欠点もある。ユーザーが使えるアルファベットが制限される場合があり、利用可能性には妥協を強いられる可能性がある。また、最大16文字のパスワードを要求するウェブサイトには、上記の方法が適用不能であることがある。

incident
2023-05-25 13:47:00

被害状況

事件発生日不明
被害者名医療機関(詳細不明)
被害サマリ医療機関内のWindows XPおよびWindows 7の古いシステムにCynetプロテクションが導入されていたが、USBキーにマルウェアが感染していたため、感染した画像がWindows 7の機械に送信された。しかし、Cynetプロテクションによってマルウェアが発見、隔離され、実行されることはなかった。
被害額不明(予想:情報漏えいの可能性があるため、経済的影響は大きい)

攻撃者

攻撃者名不明(国籍や詳細不明)
攻撃手法サマリUSBキーを介したマルウェア感染
マルウェア不明(記事中に明確な名称は記載されていない)
脆弱性Windows XPおよびWindows 7の古いシステム

被害状況

事件発生日2023年5月25日
被害者名United Arab Emirates (UAE)に関連する未公開の政府機関
被害サマリ疑わしいイランの攻撃者が、PowerExchangeと呼ばれるバックドアを使用して、被害者のMicrosoft Exchange Serverに侵入した。攻撃は、電子メールフィッシングを利用して初期アクセス経路を確立し、ZIPファイル添付ファイルに含まれる.NET実行可能ファイルを実行することによって侵入した。PowerExchangeは、PowerShellで書かれており、メールに添付されたテキストファイルを使用してC2通信を行う。被害者のExchange Serverに接続するためにドメイン資格情報をどのように入手したかは現在不明である。Exchange ServerからのC2通信は、忍び足のように浸透するため、ほとんどすべてのネットワークベースの検出および対策を回避することができる。
被害額不明(予想:数十万ドル~数百万ドル)

攻撃者

攻撃者名疑わしいイランの脅威係数
攻撃手法サマリ電子メールフィッシングとPowerShellを利用したバックドアの使用
マルウェアPowerExchange
脆弱性不明

脆弱性

CVECVE-2023-33009, CVE-2023-33010
影響を受ける製品ZyxelのいくつかのファイアウォールとVPN製品
脆弱性サマリ脆弱性は2つのバッファオーバーフローに存在し、認証なしで攻撃者が利用でき、DoSおよびリモートコード実行を引き起こす可能性がある。
重大度高 (10.0)
RCE
攻撃観測不明
PoC公開不明
ZyxelのいくつかのファイアウォールとVPN製品には、CVE-2023-33009とCVE-2023-33010のバッファオーバーフローの脆弱性が存在し、認証なしで攻撃者が利用でき、DoSおよびリモートコード実行を引き起こす可能性がある。Zyxelはこの脆弱性に対するパッチをリリースしている。影響を受ける製品は、Zyxel ATP、USG、VPN製品、Zyxel ZyWALL/USGにおけるすべてのファームウェアバージョンである。Zyxelは、ユーザーが最新のセキュリティアップデートを適用することを推奨している。

被害状況

事件発生日2021年以降
被害者名ポルトガルの金融機関
被害サマリブラジル人ハッカーが長期間にわたりポルトガルの金融機関をターゲットに、情報窃取マルウェアPeepingTitleを使用して不正アクセスを試みた。
被害額不明(予想)

攻撃者

攻撃者名ブラジル人ハッカー
攻撃手法サマリフィッシングメールと偽のソフトウェアインストーラによるマルウェア感染を行い、PeepingTitleマルウェアで攻撃を実行した。
マルウェアPeepingTitle、Maxtrilha
脆弱性不明

1. ChatGPTに接続問題が発生したことがOpenAIによって確認されました。 2. DownDetectorによると、米国、欧州、インド、日本、オーストラリアなど、世界中の多くのユーザーが現在、この問題に直面しています。 3. このアウトージは、過去45分以内に発生したものです。 4. Mayank Parmar氏が報告している本件に関する記事が掲載されています。 5. ChatGPTをより効果的に使用するためのコース契約、Microsoft Bingが検索結果にChatGPTの回答を導入、OpenAIが報奨金プログラムを発表するなど、ChatGPTの周辺情報も提供しています。 出力:
  1. ChatGPTに接続問題が発生したことがOpenAIによって確認されました。
  2. DownDetectorによると、米国、欧州、インド、日本、オーストラリアなど、世界中の多くのユーザーが現在、この問題に直面しています。
  3. このアウトージは、過去45分以内に発生したものです。
  4. Mayank Parmar氏が報告している本件に関する記事が掲載されています。
  5. ChatGPTをより効果的に使用するためのコース契約、Microsoft Bingが検索結果にChatGPTの回答を導入、OpenAIが報奨金プログラムを発表するなど、ChatGPTの周辺情報も提供しています。

被害状況

事件発生日不明(2021年から)
被害者名ActivoBank、Caixa Geral de Depósitos、CaixaBank、Citibanamex、Santander、Millennium BCP、ING、Banco BPI、Novobancoなど、30のポルトガル政府および民間金融機関
被害サマリブラジルのハッキンググループによって、40以上の脅威が配布された。攻撃手法には、Energias de Portugal、Portuguese Tax and Customs Authority(AT)を装ったフィッシングメール、ソーシャルエンジニアリング、偽装されたサイトが使用された。この攻撃は、Sentinel Labsによる報告で明らかになった。また、被害者が金融機関を選択した場合、Bando de Seguranca (BDS)やRedeBancoなどの偽の認証済みページに誘導され、口座情報を盗まれる。この攻撃は、"Operation Magalenha"と呼ばれている。
被害額不明(予想)

攻撃者

攻撃者名ブラジルのハッキンググループ
攻撃手法サマリEnergias de Portugal、Portuguese Tax and Customs Authority(AT)を装ったフィッシングメール、ソーシャルエンジニアリング、偽装されたサイトが使用され、クレデンシャル情報が盗まれる。攻撃者は、'PeepingTitle'バックドアを各被害者システムに注入することにより、被害者システムで様々な操作を実行し、銀行口座の乗っ取りなどを行った。
マルウェア'PeepingTitle'バックドア
脆弱性不明

1. ブラウザーセキュリティプラットフォームのLayerXが、2023年5月25日にForresterのシニアアナリストであるPaddy Harringtonをゲストスピーカーに迎え、ウェビナーを開催する。
2. このウェビナーでは、ブラウザーセキュリティに関する最新情報や各種解決策のメリット/デメリットなど、セキュリティ担当者やIT関係者が新しい脅威にどのように対応すべきかが説明される。
3. ブラウザセキュリティの理解は、現在のデジタル空間において極めて重要であり、これにより、組織は認証されていないアクセス、悪意のあるコンテンツ、その他のセキュリティ上の脅威から保護される。
4. ブラウザーセキュリティを投資することで、組織はコストを節約し、従業員のためにより安全かつユーザーフレンドリーなウェブブラウジング体験を提供できる。
5. このウェビナーは、セキュリティの意思決定者、ITプロフェッショナル、セキュリティアナリスト、および組織の機密情報を保護する責任がある人々を対象としている。

被害状況

事件発生日不明
被害者名不明
被害サマリBuhtiランサムウェアは、WindowsとLinuxシステムに対して攻撃を行うカスタムペイロードから、LockBitとBabukのランサムウェア・ファミリーに鞍替えしたとSymantecがレポートしました。そして侵入すると、特定の拡張子を持つファイルを盗み、暗号化する前にZIPアーカイブにする、Goで書かれたカスタム情報窃取ツールを使用しています。
被害額不明(予想:被害の大きさによる)

攻撃者

攻撃者名Blacktail
攻撃手法サマリカスタム情報窃取ツールを使用して特定の拡張子を持つファイルを盗み、暗号化前にZIPアーカイブにする、「特定の脆弱性を狙った攻撃」
マルウェアLockBit 3.0とBabukの改造バージョン
脆弱性Zoho ManageEngine製品(CVE-2022-47966)、IBMのAspera Faspexファイル交換アプリケーション(CVE-2022-47986)、PaperCut(CVE-2023-27350)

エラーが発生しました。
記事ファイル名:../articles/20230525 100000_fc2249deb05cd7e9f7944114d236d28f91521692708b4b88a824fe42ced2149f.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 07a5642b21cb60d45fae6a70d4828101 in your message.) <> security_news_matomerukun.py:81

被害状況

事件発生日2021年6月以降|不明
被害者名アメリカ合衆国およびグアムのクリティカルインフラストラクチャー関連組織
被害サマリ中国のステルスグループ、Volt Typhoonによるサイバー攻撃により、通信、製造、公益事業、交通、建設、海運、政府、情報技術、および教育のセクターが標的になっている。攻撃は、Espionageを目的としており、被害には機密情報が含まれる。攻撃により、アジア地域と米国間の重要な通信インフラが妨害される可能性がある。
被害額不明(予想不可)

攻撃者

攻撃者名中国
攻撃手法サマリVolt Typhoonは、既存のツールを利用することで侵入足跡を目立たなくしており、LOLBinsを活用してネットワークにバックドアアクセスするなど、適度な精度で活動を行っている。
マルウェア不明
脆弱性Fortinet FortiGuardデバイスの脆弱性

被害状況

事件発生日2023年5月25日
被害者名不明
被害サマリ一部の32ビットアプリケーションが、Windows 11 21H2および22H2、およびWindows 10 21H2および22H2でファイルを保存またはコピーする際に、頻繁に失敗する問題が報告された。
被害額不明(該当しない)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

被害状況

事件発生日2023年5月25日
被害者名イスラエルの組織
被害サマリイラン国営のハッカーグループであるAgriusが、新しいランサムウェアであるMoneybirdを使用する攻撃を実行した。ランサムウェアにより、"F:\User Shares"フォルダ内の機密ファイルが暗号化され、24時間以内に連絡が無い場合には情報が漏洩するとされた。
被害額(不明)

攻撃者

攻撃者名Agrius
攻撃手法サマリインターネットに公開されたウェブサーバー内の脆弱性を利用し、攻撃を行った。また、公知のツールを使用して被害環境内の調査、横断、資格情報の収集、及びデータの外部への流出を行った。
マルウェアMoneybird
脆弱性インターネットに公開されたウェブサーバー内の脆弱性

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリGoogleが開発したGUACで安全なソフトウェアサプライチェーンを実現
重大度なし
RCE不明
攻撃観測なし
PoC公開なし
Googleは、ソフトウェアサプライチェーンを安全にするために作成されたオープンソースのフレームワークであるGUAC(Graph for Understanding Artifact Composition)の0.1 Betaバージョンを開発し、APIとして開発者が自分たちのツールとポリシーエンジンを統合できるように、公開した。GUACは、SBOM文書、SLSA証明、OSV脆弱性フィード、deps.dev、および企業の内部プライベートなメタデータなどを統合し、リスクプロファイルの詳細な可視化を可能にし、SBOM文書とアーティファクト、パッケージ、およびリポジトリの間の関係を可視化することで、ソフトウェアのセキュリティメタデータを集約してグラフデータベースにすることを目的としている。これにより、高度なサプライチェーン攻撃に対処し、パッチ計画を生成し、セキュリティ侵害に迅速に対応できるという。

被害状況

事件発生日不明(2023年5月25日時点で攻撃は継続中)
被害者名WordPressサイト1.5百万件以上
被害サマリBeautiful Cookie Consent BannerというプラグインにあるUnauthenticated Stored Cross-Site Scripting (XSS)の脆弱性が悪用され、攻撃者が不正なJavaScriptスクリプトを挿入したり、偽の管理者アカウントを作成したりできるようになった。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明(攻撃者国籍不明)
攻撃手法サマリBeautiful Cookie Consent BannerというプラグインにあるUnauthenticated Stored Cross-Site Scripting (XSS)の脆弱性を悪用する攻撃
マルウェア不明
脆弱性Unauthenticated Stored Cross-Site Scripting (XSS)の脆弱性

被害状況

事件発生日2021年中ごろから
被害者名アメリカの重要インフラ機関、政府、海運、通信、製造業、IT関連企業、公共事業、交通、建設、教育など
被害サマリ中国のサイバー攻撃グループ「Volt Typhoon」によりアメリカの重要インフラ機関を含む総合的な攻撃が行われた。
被害額不明(予想不可)

攻撃者

攻撃者名中国のサイバー攻撃グループ「Volt Typhoon」
攻撃手法サマリ「living-off-the-land」と呼ばれる手法を用いた手動攻撃。PowerShell、Certutil、Netsh、Windows Management Instrumentation Command-line(WMIC)などのLOLBinsを使用している。
マルウェア報告されていない
脆弱性報告されていない

エラーが発生しました。
記事ファイル名:../articles/20230524 192545_fb1e28288800bd65a31b833afb1daf80a074f1a2b23d64e55819464d91ddc2ec.json
The server is overloaded or not ready yet. <> security_news_matomerukun.py:81

エラーが発生しました。
記事ファイル名:../articles/20230524 191719_d23ddc5dd8781136e7730cf2b785cf3e8f16b464976c32e828e6cbb8cde0fadd.json
The server is overloaded or not ready yet. <> security_news_matomerukun.py:81

- Windows 11のMoment 3のアップデートがKB5026446としてリリースされた。
- このアップデートには、OneDriveのストレージ、Bluetooth LEオーディオ、およびさまざまな修正や更新など、22の変更、修正、機能が含まれる。
- Moment 3の新機能を有効にするには、Windows構成アップデートを別途インストールする必要がある。
- 実際の更新は、6月のプレビューアップデート時にデフォルトで有効化される予定である。
- これらのMoment 3機能の中には、VPNステータスアイコン、2要素認証コードコピー、タスクバー時計に秒数の表示、USB4ハブ、プレゼンスセンシング設定などがある。

- マイクロソフトがWindows 10 KB5026435更新プログラムをリリース
- 新機能2つと修正18件を含む
- マイクロソフトの新しい「オプションの非セキュリティプレビューリリース」システムの一部
- オプションの更新プログラムであるため、手動で更新する必要がある
- Windows 10 22H2用の更新プログラムが公開されている。

被害状況

事件発生日2023年5月24日
被害者名イスラエルの組織
被害サマリイランのサイバースパイ集団「Agrius」が、新しいランサムウェア「Moneybird」を用いて、イスラエルの組織を攻撃した。攻撃手法には、公開サーバーの脆弱性の悪用、ProtonVPNを介したノードの隠蔽、およびオープンソースツールを使用したネットワーク偵察、横方向移動、資格情報の窃取、およびデータの持ち出しが含まれる。ランサムウェアで暗号化されたファイルは、AES-256 with GCM(Galois/Counter Mode)を使用しているため、復号が非常に困難である。そのため、Agriusはビジネス妨害を目的としており、金銭を要求する代わりに、ファイルをロックダウンすることはほとんどなかった。実際、ランサム要求があまりに高額だったため、攻撃自体が破壊的なものとなった。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名イランのサイバースパイ集団「Agrius」
攻撃手法サマリ公開サーバーの脆弱性の悪用、ProtonVPNを介したノードの隠蔽、オープンソースツールを使用したネットワーク偵察、横方向移動、資格情報の窃取、およびデータの持ち出し。
マルウェアMoneybirdランサムウェア
脆弱性公開サーバーの脆弱性

被害状況

事件発生日2023年5月20-21日
被害者名Barracudaのエンドユーザー
被害サマリBarracudaのEmail Security Gateway (ESG)のセキュリティホールが悪用され、サブセットのメールゲートウェイ装置に不正アクセスされたとのこと。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリゼロデイ脆弱性を利用した攻撃とのこと。
マルウェア不明
脆弱性ESGのメールアタッチメントのスキャンモジュールに存在した脆弱性が攻撃に悪用されたとのこと。

被害状況

事件発生日2023年5月24日
被害者名イスラエルの複数の運送、物流、金融サービス企業のウェブサイト
被害サマリ「ウォータリングホール攻撃」と呼ばれる攻撃手法で、ウェブサイトに偽のスクリプトを仕込み、訪れたユーザーの情報を収集し、マルウェアを配信していた。
被害額不明(予想:数十万ドルから数百万ドルの間)

攻撃者

攻撃者名イランの不特定多数のハッカー(Tortoiseshellというグループが疑われている)
攻撃手法サマリウォータリングホール攻撃。偽のスクリプトを仕込んだウェブサイトを企業関係者が訪問した際に、情報を収集し、マルウェアを配信した。
マルウェア不明
脆弱性不明

この記事は、Static Application Security Testing(SAST)ソリューションの選択においてどのようにアプローチするかについて述べたものである。SASTは、アプリケーション開発の早い段階からコードをスキャンし、予期せぬ脆弱性が発生した際の修正作業や顧客へのリリース遅延を防ぐことができる。また、SASTは、アプリケーションセキュリティ戦略の重要な部分であり、優れたSASTソリューションはアプリケーションセキュリティプログラム全体を網羅する統合型のアプリケーションセキュリティプラットフォームとして提供されるべきである。SASTソリューションの選択に際しては、以下の点に注目する必要がある。

1. 企業のAppSecプログラムに適応可能であること
2. 柔軟性があり、スキャンエンジンの異なる結果を相関できること
3. 適切なルールやカスタムクエリを適用して正確な結果を提供できること
4. 開発者にとって理解しやすく、修正や改良が迅速に行えること
5. 主要なAPIの脆弱性を特定し、ビジネス価値に基づいて脆弱性を優先的に解決できること
6. DASTと組み合わせて、1つのプラットフォームで両者の機能が利用できること。

被害状況

事件発生日2021年9月19日
被害者名アプリユーザー
被害サマリGoogle Playストアにアップロードされたスクリーンレコーダーアプリ「iRecorder - Screen Recorder」に、個人情報を盗む機能が追加されていた。
被害額不明(予想:情報漏洩被害のため、額は計測不可能)

攻撃者

攻撃者名不明
攻撃手法サマリバージョニング
マルウェアAhRat (AhMyth Android RAT (remote access trojan)のカスタマイズ版)
脆弱性不明

被害状況

事件発生日2023年5月24日
被害者名不明
被害サマリPythonベースのハッキングツール "Legion" がアップグレードされ、SSHサーバーと関連するDynamoDBとCloudWatchのAWS資格情報を侵害する能力を持ちました。
被害額不明(予想:データ漏洩による被害が主なため、金銭的被害は限定的であったと考えられる)

攻撃者

攻撃者名不明
攻撃手法サマリLegionと呼ばれるPythonベースのハッキングツールを使用することで、被害者のSSHサーバーを侵害することができました。
マルウェアLegion(Pythonベースのハッキングツール)
脆弱性不明

被害状況

事件発生日不明
被害者名不明
被害サマリ北朝鮮の国家支援を受けているLazarus Groupが、Microsoft Internet Information Services(IIS)サーバーの脆弱性を悪用してマルウェアを配置するサイバー攻撃を行った。
被害額不明(予想:数千万ドル以上)

攻撃者

攻撃者名Lazarus Group(北朝鮮関連の国家支援グループ)
攻撃手法サマリIISサーバーの脆弱性を悪用して、DLL side-loadingテクニックを使用してマルウェアを配置した。
マルウェアASECによって"msvcr100.dll"と特定されたマルウェア。似たようなバックドアがASECによって既に発見されていた。
脆弱性Microsoft Internet Information Services (IIS)サーバーの脆弱性

被害状況

事件発生日2023年5月24日
被害者名ウクライナの政府機関
被害サマリスパイ活動を目的としたサイバー攻撃による侵入。フィッシングメールを使用し、感染したシステムに様々なマルウェアを展開。
被害額不明(予想)

攻撃者

攻撃者名不明。洗練された攻撃手法を駆使している。
攻撃手法サマリフィッシングメールによる攻撃で、マクロによるマルウェアの配信を行っている。
マルウェアLOGPIE(キーロガー)、CHERRYSPY(リモートからコマンドを実行可能なPythonベースのバックドア)、STILLARCHまたはDownEx(指定された拡張子のファイルを外部に持っていくためのツール)。
脆弱性不明

1. MicrosoftがWindows CopilotというAIアシスタントを発表した。
2. Windows Copilotは、Bing Chatなどのプラグインを組み合わせたもので、コピー/ペーストやSnap Assist、Snipping Tool、パーソナライゼーションなどの機能を強化し、コンテンツの書き換えや要約、説明が可能。
3. Windows Copilotは、シンプルで直感的に使用でき、タスクバー上にボタンがあるため、アプリケーション、プログラム、ウィンドウをまたいでコンシステントに使用できる。
4. Windows 11のプレビュー版が6月にリリースされる予定で、ユーザーはアップデートを待つことが勧められている。
5. Bing Chatや他のプラグインとの統合により、Windows CopilotはAI機能を強化し、Windowsエコシステムとのインタラクションを簡略化することで、ユーザーの生産性を向上させる。

- GoldenJackalというAPTグループが2019年以降、アジアの政府や外交機関をスパイ活動の対象にしていることがKasperskyの報告から明らかになった。
- GoldenJackalは被害者を選定し、攻撃数を最小限に抑えることでかなりの低いプロファイルを維持している。
- 攻撃の手法は不明だが、リモートテンプレートインジェクションテクニックを利用した悪意のあるドキュメントを使用したフィッシング攻撃や、トロイの木馬などが使われていると見られる。
- GoldenJackalは、カスペルスキーによればカスペルスキーで報告されているTurlaとのコードと技術的手法の類似性があるも、別のアクティビティクラスターとして追跡されている。
- GoldenJackalは数少ない被害者に対して、非常に高い能力を持つマルウェアツールを使って長期間のスパイ活動を行っている。

1. MicrosoftはWindows 11にRAR、7-Zip、GZアーカイブのネイティブサポートを追加する。
2. これにより、Windowsユーザーはこれまでに必要だったサードパーティアプリケーションのインストールを必要としなくなる。
3. WindowsおよびLinuxの統合度が高まるにつれて、gZおよびTARなどの共通のLinuxアーカイブ形式のサポートが役立つことが予想される。
4. このアーカイブ形式のサポートは、Windows 11ユーザーに「ワークインプログレス(進行中)」のアップデートとして順次提供される予定。
5. このアーカイブ形式のサポートによって利用できるアーカイブファイルは、圧縮中の機能に改善が加えられる。

- MicrosoftがPowerToysを2つの新しいツールで更新
- 新しいツールの1つである「Mouse Without Borders」は、1つのマウスとキーボードで最大4台のコンピュータを制御できるようになった
- 「Mouse Without Borders」では、ファイルをドラッグアンドドロップで転送したり、テキストと画像のクリップボードの内容をすべての管理されたPC間で共有したりできる
- もう1つの新しいユーティリティ「Peek」は、Docxファイル、PDFファイル、Markdownファイル、画像ファイルをプレビューすることができる
- PowerToys 0.70は、Peekの他にも、数多くのPowerToysの改良と、アップグレード時に設定がクリアされることがある問題に対処する改良が含まれている。

- Microsoftは、Windows 11、バージョン21H2の2023年5月のオプションの累積更新であるKB5026436をリリースし、オーディオとプリンターのインストールの問題を修正しました。
- この更新では、プリンターが自動的にWi-Fiに接続されたときにインストールの際に一部のプリンターが遭遇する問題に対処しています。
- 更新には、パスワードの有効期限の問題、スマートカードが必要な対話型ログインを使用するアカウントの設定に関する問題などの修正が含まれています。
- この月次の「C」更新はオプションであり、Patch Tuesdayリリースとは異なり、セキュリティ関連の修正は含まれていません。
- KB5026436をインストールするには、ユーザーは設定>Windowsアップデートに移動し、更新を確認した後に「ダウンロードしてインストール」ボタンが表示されます。

被害状況

事件発生日不明
被害者名なし
被害サマリ北朝鮮政府による、海外企業に潜入したITワーカーによる詐欺行為及びサイバー攻撃での収益を、北朝鮮の武器開発プログラム資金調達に使用していたことが判明
被害額(不明)

攻撃者

攻撃者名北朝鮮政府による
攻撃手法サマリ詐欺行為とサイバー攻撃
マルウェア報道には記載なし
脆弱性報道には記載なし

被害状況

事件発生日2023年5月20日
被害者名Rheinmetall AG
被害サマリドイツ自動車・兵器メーカーのRheinmetall AGが、同社の民間部門に影響を及ぼしたBlackBastaランサムウェア攻撃を受けた。攻撃者は、盗んだ情報のサンプルを含め、情報を披露するスクリーンショットを公開した。
被害額不明

攻撃者

攻撃者名BlackBastaランサムウェア攻撃グループ
攻撃手法サマリランサムウェア攻撃
マルウェアBlackBasta
脆弱性不明

被害状況

事件発生日2023年5月23日
被害者名中東と南アジアの政府および外交機関
被害サマリ新たな高度な脅威者グループ"GoldenJackal"が特定国家の政府と外交機関に対して特化した攻撃を行っており、個人情報の窃取、機密情報の盗用、監視を行っている。
被害額不明(予想:数百万ドルから数千万ドル)

攻撃者

攻撃者名グループ名:GoldenJackal
攻撃手法サマリターゲットに合わせたマルウェアを用いて、ステルス性の高い監視・情報窃取を行っている。
マルウェアJackalControl、JackalSteal、JackalWorm、JackalPerInfo、JackalScreenWatcher
脆弱性Skypeインストーラーおよび、Microsoft Wordの脆弱性「CVE-2022-30190」を悪用している。

被害状況

事件発生日2018年2月
被害者名オックスフォードの企業
被害サマリ企業がランサムウェア攻撃を受け、被害額が記事にはないが社員が自分の利益のために企業を脅迫した。
被害額(予想)

攻撃者

攻撃者名社員のAshley Liles
攻撃手法サマリランサムウェア攻撃と、社員による内部での別の攻撃
マルウェア不明
脆弱性不明

- MicrosoftがWindows 11の「Moment 3」アップデートを発表し、新機能を提供。
- Windows 11の更新は「Moments」としてのアップデートプロセスを導入。
- Moment 3アップデートはプライバシー設定を強化し、VPN機能を追加。
- セキュリティに関して、Microsoft PlutonセキュリティプロセッサをAMDシステムに拡張。
- バッジ機能、音声コンテンツのアクセシビリティ機能、ウィジェットの改善など、さまざまな機能改善が含まれている。

- Windows 11の'22H2 Moment 3'アップデートがリリースされ、プライバシー設定の向上やVPN機能の追加など、新機能が導入された。
- Windows 11はWindows 10と異なり、1年に1回の大規模機能アップデートしか行われないが、'Moments'と呼ばれる新しい更新プロセスが導入され、定期的に新機能を提供する。
- Moment 3アップデートは、アプリのプライバシー設定が追加され、VPNステータスがタスクバーに表示されるVPNアイコンで確認できるようになるなど、プライバシーやセキュリティに特に注力する。
- その他の更新点には、Startメニューのアカウントバッジング、10か国語追加されたライブキャプション機能、Bluetooth® Low Energy Audioの導入などがある。
- このアップデートによって、MicrosoftはWindows 11ユーザーに対し、より使いやすく安全なエクスペリエンスを提供することを表明している。

被害状況

事件発生日2022年8月[不明]
被害者名Google Play Storeのユーザー[不明]
被害サマリ50,000回以上のインストールがあった偽スクリーン録画アプリ「iRecorder - Screen Recorder」に、AhRatと呼ばれるリモートアクセス・トロイの木馬(RAT)が隠されており、ユーザーをマルウェア感染させたおそれがある。被害にあったユーザーは、支援開発者に他のアプリにもマルウェアが存在しないことを確認するよう呼びかけられている。
被害額不明

攻撃者

攻撃者名[不明]
攻撃手法サマリGoogle Play Storeに、偽スクリーン録画アプリをリリースして、50,000回以上のダウンロード数を稼ぎ、ユーザーにマルウェアを感染させた。
マルウェアAhRat(RAT)。オープンソースのAndroid RATであるAhMythを基にしており、音声記録、通話履歴、連絡先、テキストメッセージ、SMS送信、写真、バックグラウンド音声の録音など多くの機能がある。
脆弱性不明

被害状況

事件発生日2023年5月23日
被害者名情報サービスや北朝鮮の脱北者を支援する組織
被害サマリ北朝鮮のAPTグループKimsukyが、Reconnaissanceキャンペーンの一環としてカスタムマルウェア「RandomQuery」を使用し、情報の偵察および抽出を行っている。
被害額不明(予想不可)

攻撃者

攻撃者名Kimsuky(北朝鮮)
攻撃手法サマリフィッシングメールによる攻撃
マルウェアRandomQuery、FlowerPower、AppleSeed
脆弱性不明

被害状況

事件発生日2023年5月14日
被害者名Philadelphia Inquirer(フィラデルフィア・インクワイアラー)
被害サマリ新聞の配信が一時的に中断され、ビジネスに一部影響が出たサイバー攻撃。
被害額不明(予想)

攻撃者

攻撃者名Cuba ransomware gang
攻撃手法サマリランサムウェアによる攻撃
マルウェア不明
脆弱性不明

1. 「The Hacker News」というサイバーセキュリティに関する信頼できるプラットフォームがある。
2. 2023年の「State of Secrets Sprawl Report」で、ハードコードされたシークレットの発見数が前年比67%増加し、2022年には1,000万件のシークレットが検出されたことが示された。
3. シークレットの過剰な配布は、APIトークンやプライベートキーといったシステムを繋ぐ重要な役割を担うが、ハッキングのリスクを高める。
4. アプリケーションセキュリティにおいて、公開されている情報は鍵となるため、開発者はより厳密なセキュリティ規定を採用しなければならない。
5. 「The Hacker News」では、この課題について記事を提供している。

被害状況

事件発生日2020年5月以降
被害者名中東地域の不特定多数の組織
被害サマリ中東地域を標的にしたマルウェア攻撃により、Windowsのカーネルドライバーに不正なローダーを作成し、攻撃者による操作を可能にするマルウェア「WINTAPIX (WinTapix.sys)」が発見された。
被害額不明(予想:情報漏えいにより不特定多数の団体・個人が被害を受けている可能性があるため、莫大な額と予想される)

攻撃者

攻撃者名不明(報告書はイランのサイバー攻撃グループに対して低い確信度を示唆している)
攻撃手法サマリWindowsのカーネルドライバーによって、不正なローダーを作成し、攻撃者による操作を可能にするマルウェアを実行する。また、マルウェア自体も多段階攻撃により機能を拡大する。
マルウェア「WINTAPIX (WinTapix.sys)」
脆弱性不明

1. 中国がマイクロンを禁止:国家安全上の問題を引用(中国の規制当局によれば、マイクロンの製品に「深刻なサイバーセキュリティ上の問題」という理由で、中国の重要なインフラプロジェクトに関わる企業への製品販売を禁止すると発表)。
2. マイクロンは、次のステップを評価するための結論に向けて対応中。
3. これは、中国と米国の間にある地政学的緊張の中で、相手側による同様の措置の反映でもある。
4. 注目すべき他のニュース:サムスンデバイスが攻撃の標的となっていること。Webkitが攻撃され、3つの新しいゼロデイ脆弱性が判明。米国の政府が悪名高いロシアのランサムウェアオペレーターの逮捕に1,000万ドルの懸賞金を提示。MongoDBのエクスプロイトにより、メンバーパスワードを回収することができる。
5. The Hacker Newsは、信頼できるサイバーセキュリティニュースプラットフォームであり、300万以上のフォロワーに愛されている。

脆弱性

CVEなし
影響を受ける製品Androidアプリケーション(Android OSを含む)
脆弱性サマリGoogleが発行した自社アプリケーションに見つけた脆弱性を報告すると報酬が得られる
重大度
RCE有(リモートでのコード実行に最大30,000ドルの報酬が支払われる)
攻撃観測不明
PoC公開不明

被害状況

事件発生日2023年5月22日
被害者名Microsoft 365の利用者
被害サマリMicrosoft 365のアカウントへのアクセス障害およびインストール済みアプリへのアクセス阻害
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリサービス障害による攻撃
マルウェア不明
脆弱性不明

被害状況

事件発生日不明
被害者名不明
被害サマリALPHVランサムウェアグループ(別名BlackCat)が、セキュリティソフトウェアの検知を回避するために署名された悪意のあるWindowsカーネルドライバを使用していることが観察されました。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名ALPHVランサムウェアグループ(別名BlackCat)
攻撃手法サマリ悪意のあるWindowsカーネルドライバを使用して、セキュリティソフトウェアの検知を回避する
マルウェアALPHVランサムウェア(ブラックキャット)
脆弱性不明

  1. Twitterで拡散されたペンタゴン(米国国防総省)近くの爆発を描いた高度に現実的なAI生成イメージは、株式市場を一時的に下げさせた。
  2. 爆発を描いた写真は、ロシアの国営メディアのアカウントを含む多数の認証済みのTwitterアカウントによって大幅に増幅された。
  3. このバイラル画像は最初の glance で実際のように見えたが、人工知能を使用して生成された証拠がたくさんあり、全体的にはねつ造だと証明された。
  4. Twitterは偽のBloombergアカウントを現在停止している。
  5. Twitter Blueは2023年3月23日以降、世界中で利用可能であり、8ドル/月を支払うことで誰でもアカウントを確認できるようになっている。

被害状況

事件発生日2023年5月22日
被害者名Meta(Facebookの親会社)
被害サマリMeta社が、欧州のユーザーの個人データを米国に転送していたことに対し、ヨーロッパのデータ保護規則(GDPR)に違反しているとして、欧州連合のデータ保護当局から約1.3億ドルの制裁金を課せられた。
被害額約1.3億ドル

攻撃者

攻撃者名不明(Meta社自体が違反した)
攻撃手法サマリ欧州のユーザーの個人データを米国に転送することによるGDPR違反
マルウェア不明
脆弱性不明

被害状況

事件発生日2023年5月22日
被害者名4,888人
被害サマリ暗号通貨フィッシングや詐欺サービス『Inferno Drainer』が $5.9 millionの暗号通貨を4,888人から盗んだ。
被害額$5.9 million

攻撃者

攻撃者名Inferno Drainer
攻撃手法サマリ暗号通貨フィッシングや詐欺サービス
マルウェア不明
脆弱性不明

脆弱性

CVECVE-2023-32409, CVE-2023-28204, CVE-2023-32373
影響を受ける製品iPhone 6s、iPhone 7、iPhone SE (1st generation)、iPod touch (7th generation)、iPhone 8 以降、iPad Air 2、iPad mini (4th generation)、iPad Pro (all models)、iPad Air 3rd generation 以降、iPad 5th generation 以降、iPad mini 5th generation 以降、Macs running macOS Big Sur、Monterey、Ventura、Apple Watch Series 4 以降、Apple TV 4K (all models) と Apple TV HD
脆弱性サマリWebKitブラウザエンジンに存在する3つのゼロデイ脆弱性により、ブラウザセキュリティを回避し、攻撃者は侵害されたデバイス上の機密情報にアクセスし、何らかのコード実行を達成することができます。
重大度
RCE
攻撃観測報告された攻撃使用例有り
PoC公開不明

被害状況

事件発生日2021年11月
被害者名不明
被害サマリインドネシア出身の攻撃者グループが、Amazon Web Services(AWS)Elastic Compute Cloud(EC2)インスタンスを利用して暗号通貨採掘を行っていたことが発覚。
被害額不明(予想:小額)

攻撃者

攻撃者名GUI-vil
攻撃手法サマリAWSのキーを武器化し、GitHubで公開されたソースコードのリポジトリ内にあるアクセスキーを使った初期アクセスを行っていた。また、GitLabインスタンスの脆弱性(CVE-2021-22205)を利用したスキャンも行っていた。
マルウェア不明
脆弱性CVE-2021-22205

被害状況

事件発生日2023年5月22日
被害者名Meta
被害サマリFacebookが欧州連合(EU)市民からのデータを米国に転送し、EUのデータ保護規則に違反したため、アイルランドのデータ保護委員会によってMetaに13億ドルの罰金が科されました。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリデータ転送
マルウェア不明
脆弱性不明
EUがMetaに13億ドルの罰金を課しました。EUは、GDPR(一般データ保護規則)の条項46(1)に違反しているとして、Facebookの親会社であるMeta Irelandに記録的な12億ユーロの罰金を科し、GDPR違反のあるすべてのデータ転送が決定から5か月以内に停止されるように要求しました。さらに、Metaは、EUから米国に違法に転送されたデータの処理または保持を、DPAの発表から6か月以内に停止する必要があります。

被害状況

事件発生日不明
被害者名不明
被害サマリAIベースのChrome拡張機能「Criminal IP Phishing scams link checker」が、不正なウェブサイトを即座にブロックし、Phishing、マルウェア、ランサムウェアから保護すると報じられた。
被害額不明(予想:被害額は存在しない)

攻撃者

攻撃者名不明
攻撃手法サマリPhishing
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品Chrome Extension "Criminal IP Phishing scams link checker"
脆弱性サマリサイト上での悪意あるリンクを検出できるAIに基づくChrome拡張機能には、悪意のあるリンクに関する脆弱性が報告されていません。
重大度なし
RCE不明
攻撃観測不明
PoC公開なし
本記事は、AIによる悪意あるリンクを検出するためのChrome拡張機能についての紹介である。脆弱性は報告されていない。

被害状況

事件発生日不明
被害者名個人、研究組織、外交官
被害サマリBad Magic (またはRed Stinger)と呼ばれるハッカー集団が、ロシア・ウクライナ紛争地域の企業だけでなく、ウクライナ中西部の個人、研究組織、外交官にも攻撃を拡大した。攻撃には、CloudWizardという新しいモジュラーフレームワークが使用され、スクリーンショットの撮影、マイクロフォンの録音、キーストロークのログ、パスワードの盗難、Gmailの収集などの機能が含まれている。
被害額不明(予想)

攻撃者

攻撃者名Bad Magic (またはRed Stinger)
攻撃手法サマリCloudWizardという新しいモジュラーフレームワークが使用され、スクリーンショットの撮影、マイクロフォンの録音、キーストロークのログ、パスワードの盗難、Gmailの収集などの機能が含まれている。
マルウェアPowerMagic(またはDBoxShellまたはGraphShell)、CommonMagic、CloudWizard、およびPrikormka
脆弱性不明

vulnerability
2023-05-22 11:12:00
【記事のタイトル】
Are Your APIs Leaking Sensitive Data?

【配信日】
May 22, 2023

【記事の概要】
APIが悪用されることで、機密情報が漏洩することがある。この記事では、APIが悪用されるとどのような事態になるのか、APIの管理方法、規制遵守の重要性について述べられている。また、APIセキュリティプラットフォームという、 API発見、姿勢の管理、ランタイム保護、APIセキュリティテストの4つの柱によって構成されたものについて説明されている。API保護について具体的な対策をとるべきこと、コンプライアンスに対する戦略に言及されている。

被害状況

事件発生日2023年5月18日
被害者名不明
被害サマリイギリスのiSpoofオンライン電話番号偽装サービスを通じて、被害者が銀行や税務署等の公的な機関からの指示を受けたと思わせて送金や金融情報を詐取された。被害総額はイギリス内だけでも4800万ポンド(約59.8百万ドル)以上で、全球では1億ポンド(約1億2460万ドル)以上に上ると見積もられる。
被害額不明(予想:1億2460万ドル以上)

攻撃者

攻撃者名不明(イギリス国籍の犯罪者たち)
攻撃手法サマリオンライン電話番号偽装サービスを利用して、銀行などの公的な機関から被害者に対して指示があったかのように見せかけて、金融情報や送金依頼を詐取していた。
マルウェア不明
脆弱性不明

脆弱性

CVECVE-2023-32784
影響を受ける製品KeePassバージョン2.x(Windows、Linux、macOS)
脆弱性サマリKeePassのカスタムテキストボックスの入力処理が原因で、メモリダンプからマスターパスワードが平文で復元できる
重大度
RCE不明
攻撃観測不明
PoC公開あり
KeePassというパスワードマネージャーに、CVE-2023-32784という脆弱性が発覚した。カスタムテキストボックスの入力処理が原因で、メモリダンプからマスターパスワードを平文で復元できてしまう。そのため、KeePassバージョン2.xを使用している全てのWindows、Linux、macOSユーザーが影響を受ける可能性がある。攻撃者が既にターゲットのコンピューターに侵入し、キーボードから入力されたパスワードのみ復元できるため、注意する必要がある。PoCが公開されており、バージョン2.54がリリースされ次第、アップグレードすることを推奨する。

- Microsoftが「Edge for Gamers」モードをリリースすると発表
- モードには、ゲーマーに合わせたゲーム専用のホームページが含まれ、エフィシエンシーモードが存在し、ブラウザのリソース使用率を最小限に抑えることにより、ゲームパフォーマンスを最大化する機能がある
- 投入される直前の段階であるため、モードの有効化はブラウザの体験を大きく変えることはない
- Microsoftはゲーマー向けのプロダクトと機能の提供に関心を持ち始めていると考えられる
- Mayank Parmar氏によって報じられた

1. Googleは、個人のアカウントにおいて、2年間の非アクティブ期間の後、内容、設定、ユーザー保存データ、Gmail、ドキュメント、ドライブ、ミート、カレンダー、Googleフォト、YouTubeなどのすべてのサービスで保存されているデータとともに、アカウントを削除することを可能にする新しいポリシーを発表した。
2. 新しいポリシーは、学校や企業のような組織のGoogleアカウントには適用されない。
3. Googleは、古いパスワードや追加のセキュリティ対策がないことがしばしば原因であることから、未使用のアカウントは頻繁にアカウント乗っ取りの対象になるため、オンラインセキュリティを強化することを目的としている。
4. Googleアカウントを保持する場合は、2年ごとにメールの送信や受信、Googleドライブの使用、YouTube動画の視聴、Google Playストアでのアプリのダウンロード、Googleサーチの使用、Googleアカウントをサードパーティのアプリやサービスにサインインすることなど、アカウントを使用する必要がある。
5. Googleは、注意喚起を続け、バックアップアカウントを所有する人々は強力なパスワードを使用し、2段階認証を有効にし、回復情報を更新し、18ヶ月間非アクティブの後に何が起こるかを定義するInactive Account Managerツールを使用してすべてのデータをバックアップすることを勧めている。

被害状況

事件発生日2023年5月21日
被害者名Androidユーザー
被害サマリBrutePrintと呼ばれる新しい攻撃手法が、現代のスマートフォンの指紋認証をクラックしてデバイスを乗っ取ることができることが確認された。
被害額不明(予想:不明)

攻撃者

攻撃者名不明(中国のTencent LabsとZhejiang大学の研究者によって発見)
攻撃手法サマリ指紋認証のBrutePrintと呼ばれる攻撃手法
マルウェア不明
脆弱性既存の攻撃手法に対する対策の不備(Cancel-After-Match-FailとMatch-After-Lockのゼロデイ脆弱性を悪用)

被害状況

事件発生日2023年5月20日
被害者名Python Package Index (PyPI)及びユーザー
被害サマリコンピュータ技術者が使用するPythonプログラム言語の第三者ソフトウェアレポジトリであるPyPIにおいて、悪意のあるユーザーによる悪意のあるプロジェクトおよびマルウェアの作成・公開が検知され、新規ユーザーのサインアップおよび新規プロジェクトのアップロードが一時的に停止された。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリPyPIに悪意のあるプロジェクトおよびマルウェアを公開することによるソフトウェア供給チェーン攻撃
マルウェア不明
脆弱性不明

被害状況

事件発生日2023年5月20日
被害者名PyPI(オープンソースPythonパッケージの公式サードパーティレジストリ)
被害サマリ大量の悪意あるユーザーとプロジェクトが登録され、それに対処するため新規ユーザー登録とプロジェクトアップロードが一時的に停止された。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ悪意あるユーザーとプロジェクトを登録してレジストリを乗っ取った可能性がある。
マルウェアカラーブラインドマルウェアや情報窃取マルウェアなど複数のマルウェアが利用された可能性がある。
脆弱性不明

脆弱性

CVEなし
影響を受ける製品Python Package Index (PyPI)
脆弱性サマリPyPIは大量のマルウェアに対応するため、新規ユーザー登録と新規プロジェクトのアップロードを一時的に停止している。
重大度なし
RCE不明
攻撃観測
PoC公開なし
脆弱性はPyPIにおける大量のマルウェアに対応するため、新規ユーザー登録と新規プロジェクトのアップロードが一時的に停止された。具体的なマルウェアや攻撃については明らかにされていない。

被害状況

事件発生日記事に記載なし
被害者名一般ユーザー
被害サマリCapCutの偽サイトからマルウェアをダウンロードしたユーザーが情報を盗まれる被害が発生した。
被害額記事に記載なし

攻撃者

攻撃者名不明
攻撃手法サマリCapCutの偽サイトを作成し、マルウェアをダウンロードさせる手法を用いている。
マルウェアOffx Stealer、Redline Stealerなど複数のマルウェアが使用されている。
脆弱性記事に記載なし。

1. HPが5月初旬にリリースしたファームウェア・アップデートが、世界中のHP Office Jetプリンターの一部を機能停止にしている問題 (ブリッキング) を引き起こしている。
2. ファームウェア・アップデートによって影響を受けているのは、HP OfficeJet Pro 9022e、HP OfficeJet Pro 9025e、HP OfficeJet Pro 9020eAll-in-One、HP OfficeJet Pro 9025e All-in-One Printerを含むHP OfficeJet 902xモデル。
3. 問題が発生して以降、アメリカ、イギリス、ドイツ、オランダ、オーストラリア、ポーランド、ニュージーランド、フランスからの複数のユーザーから、彼らのプリンターで機能停止が発生したとの報告が数多く寄せられている。
4. HPは公式声明を出していないが、問題が生じた一部の顧客に対しては、'blue screen errors'を解決するために取り組んでいると説明している。
5. 'blue screen errors'を経験している顧客は、HPのカスタマーサポートに連絡するよう勧められている。

脆弱性

CVEなし
影響を受ける製品NodeJS npmパッケージ
脆弱性サマリnpmパッケージに紛れたTurkoRATマルウェア(リモートアクセストロイアン)
重大度
RCE
攻撃観測不明
PoC公開不明
注目すべきnpmパッケージに似せられた悪意のあるWindows実行可能ファイルが、TurkoRATトロイアンを向けた攻撃に含まれていた。3つのnpmパッケージには、間違いなく悪質なコードが含まれている。これらのパッケージは合計1,200回ダウンロードされており、NPMに2か月以上存在した。全てのnpmパッケージは削除されたが、これらが2か月以上も存在していたことは、オープンソースのウェブサイトでパッケージは随時追加されているため、サプライチェーンのセキュリティにリスクがあることを示している。

被害状況

事件発生日不明
被害者名不明
被害サマリnpmパッケージの3つに含まれていたWindows用の実行ファイルが、Node.jsのアプリケーションにそっくりであるという手口で情報盗難マルウェアTurkoRATを配布していた。総ダウンロード数は約1,200回。
被害額不明(予想:情報漏洩による被害額が発生していると考えられる)

攻撃者

攻撃者名不明(npmパッケージに潜んでいた攻撃者の特定は不可能と見られている)
攻撃手法サマリWindows用実行ファイルの偽装/伪装による情報盗難マルウェア配布
マルウェアTurkoRAT
脆弱性不明

脆弱性

CVEなし
影響を受ける製品npm
脆弱性サマリNPMパッケージがNode.jsライブラリに擬態してTurkoRATトロイの木馬を配布する
重大度
RCE
攻撃観測
PoC公開不明

被害状況

事件発生日不明
被害者名不明
被害サマリ金融を狙ったマルウェア「Golden Chickens」が使用され、被害者から金融情報を収集していた。また、TerraCryptと呼ばれるランサムウェアのプラグインも使用されていた。
被害額不明(予想:数十億円以上)

攻撃者

攻撃者名ルーマニア人のJack(コードネーム)
攻撃手法サマリフィッシングを用いた攻撃を行っていた。
マルウェアGolden Chickens(別名:More_eggs)
脆弱性不明

被害状況

事件発生日2023年4月
被害者名不明
被害サマリFIN7がCl0p(aka Clop)ランサムウェアを使用した攻撃を実行。この攻撃は、2021年後半以来の初のランサムウェアキャンペーンである。被害者の業種・規模は報道されていない。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名FIN7(Carbanak、ELBRUS、ITG14とも呼ばれる)
攻撃手法サマリFIN7はランサムウェアファミリーの一つであるCl0pを使用した。攻撃には、POWERTRASHというPowerShellスクリプトが使用され、Lizarポストエクスプロイテーションツールがロードされ、ターゲットネットワークに足場を構築する。その後、OpenSSHおよびImpacketを使用して横方向に移動し、Clopランサムウェアを展開する。
マルウェアClop
脆弱性報道されていない

被害状況

事件発生日2023年5月20日
被害者名Samsungデバイスのユーザー
被害サマリ情報漏えいの可能性がある脆弱性がSamsungデバイスに存在し、攻撃者によって悪用された。
被害額(不明)

攻撃者

攻撃者名(不明、商業スパイツールを利用した攻撃が過去に報告されている)
攻撃手法サマリアドレス空間配置ランダマイゼーション(ASLR)を迂回するための特権アクセス攻撃。
マルウェア報告されていない。
脆弱性CVE-2023-21492、ASLRを迂回する情報漏えいの脆弱性。

1. セキュリティ関連の記事、ツール、チュートリアル、フォーラムなどを扱うWebサイトのトップページ。
2. 5月19日に公開されたランサムウェア(身代金要求型ウイルス)に関する記事の要約。
3. グループ名が「Abyss」のランサムウェア攻撃が、170億ドルの価値を持つ防衛企業L3Harrisを標的に。
4. 身代金要求型攻撃のロジックが変更され、Avastがデクリプタ (復号化ツール)をリリースしたことで、ランサムウェア攻撃「BianLian」は不正入手の脅しに切り替え。
5. 他に、新しいランサムウェアグループや攻撃、以前の攻撃の新しい展開、フォーラム参加者の貢献などの情報がある。

脆弱性

CVECVE-2023-21492
影響を受ける製品Samsung mobile devices running Android 11, 12, and 13
脆弱性サマリAndroid address space layout randomization (ASLR) protection bypassが可能
重大度
RCE
攻撃観測
PoC公開不明
脆弱性CVE-2023-21492は、Samsungの製品に含まれるAndroid ASLR保護をバイパスする可能性があることを示す。2023年5月時点では攻撃は実際に発生しており、公式の脆弱性情報プラットフォームに登録されているため、最大度が設定されている。攻撃は、高い権限を持つローカル攻撃者によるもので、メモリ管理の問題を利用することができる。私的企業も、CISAが攻撃中に悪用されたバグリストに含まれる脆弱性の修正を優先的に対処することが強く推奨されている。

被害状況

事件発生日2023年4月中旬
被害者名不明
被害サマリFIN7がClopランサムウェアをデプロイするためにPOWERTRASHとLizarを使用し、攻撃者がターゲットネットワーク内に足場を築きました。
被害額不明

攻撃者

攻撃者名FIN7
攻撃手法サマリFIN7は、POWERTRASHとLizarを使用し、ターゲットネットワーク内に足場を築いた後、OpenSSHとImpacketを利用してClopランサムウェアをデプロイしています。
マルウェアClopランサムウェア、POWERTRASH、Lizar、OpenSSH、Impacket
脆弱性不明

1. ASUSルーターが世界中でネットワーク接続性を失う問題が発生した。
2. 問題は、サーバー設定ファイルの構成に誤りがあったため、起こった。
3. ASUSは謝罪し、技術チームがサーバーの問題に対処したことを明らかにした。
4. ユーザーはASD用のファイルを削除することで問題を解決できるか、ファームウェアをアップデートし、問題を解決できる。
5. ASUSはユーザーに工場出荷状態にリセットしてサポートに連絡するよう勧めた。

被害状況

事件発生日2023年2月23日
被害者名Dish Network
被害サマリ2023年2月に発生したランサムウェア攻撃により、Dish Networkのウェブサイトやアプリがダウンし、社員とその家族の機密情報が漏えいした。被害者は被害額約29.7万人分の賠償と脆弱性対策に費用を支払うことになった。
被害額不明(予想:数億円~10億円)

攻撃者

攻撃者名不明(ランサムウェア「Black Basta(ブラックバスタ)」が可能性あり)
攻撃手法サマリランサムウェア攻撃
マルウェアBlack Basta
脆弱性不明

被害状況

事件発生日2021年に発生
被害者名Luxotticaの顧客7,000万人
被害サマリ2023年5月にデータベースがハッキングフォーラムに掲載され、そのデータには、対象者の名前、住所、注文履歴、メールアドレス、生年月日が含まれていた。
被害額不明(予想:数億円以上)

攻撃者

攻撃者名不明
攻撃手法サマリ不正なアクセスによるデータベースのリーク
マルウェア不明
脆弱性不明

プライバシー・サンドボックス・イニシアチブ:

CVEなし
影響を受ける製品Chrome browser
脆弱性サマリGoogleは、Chromeブラウザでのサードパーティのクッキーのサポート停止に向けて2度遅らせた「Privacy Sandbox」イニシアチブを正式に開始する計画を発表しました。
重大度なし
RCEなし
攻撃観測なし
PoC公開なし
Googleは、Chromeブラウザでサードパーティのクッキーをサポート停止に向けて「Privacy Sandbox」イニシアチブを正式に開始する計画を発表しました。Googleは、2024年第1四半期にChromeユーザーの1%でサードパーティのクッキーの使用を停止することを意図しており、これに先立って、Googleは2023年第4四半期にサードパーティの開発者がユーザーの設定のサブセットを最大10%シミュレートできる機能を導入する予定です。Googleは、Chromeでサードパーティのクッキーを完全に停止することを目的としています。


被害状況

事件発生日2023年5月19日
被害者名npmパッケージをダウンロードした個人または組織
被害サマリnpmパッケージに偽のアプリケーションが含まれ、1,200回以上ダウンロードされた。このパッケージにはTurkoRatという情報盗難型マルウェアが含まれており、ログイン資格情報やWebサイトのクッキー、暗号通貨ウォレットのデータなどの個人情報を収集できる。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明
攻撃手法サマリnpmパッケージに偽のアプリケーションを含め、開発者に不正なコードをダウンロードさせるサプライチェーン攻撃
マルウェアTurkoRat
脆弱性不明

脆弱性

CVEなし
影響を受ける製品npmのnodejs-encrypt-agentとnodejs-cookie-proxy-agentパッケージ
脆弱性サマリ開発者が使用するnpmのパッケージに、情報窃取マルウェアであるTurkoRatが紛れ込んでいる可能性がある。
重大度不明
RCE不明
攻撃観測
PoC公開不明
Node.jsのnpm package repositoryに登録されている2つの悪意あるパッケージ、`nodejs-encrypt-agent`と`nodejs-cookie-proxy-agent`に、情報窃取マルウェアであるTurkoRatが紛れ込んでいる可能性があると報告された。`nodejs-encrypt-agent`にはマルウェアが含まれていた一方、`nodejs-cookie-proxy-agent`はトロイの木馬を`axios-proxy`という名前の依存関係で偽装していた。これらのパッケージが世界中で約1,200回ダウンロードされた後、疑わしく思われて削除された。デベロッパーは、サードパーティーや商用のコードを追跡し、それらに潜在的な悪意を発見するために注意を払わなければならない。このような脅威は、オープンソースソフトウェアの供給チェーンを狙ったものが増えており、攻撃者の興味が高まっている。

1. AIのツールを探している人が偽のサイトに注意するよう警告。
2. Google検索の広告を利用し、RedLine Stealerマルウェアをバラ撒くBATLOADERキャンペーンが発生。
3. ユーザーは、ChatGPTやMidjourneyといったAIサービスに関するキーワードを検索すると偽の広告に誘導される。
4. インストーラーファイルには、赤線スティーラーの実行ファイルとPowerShellスクリプトが含まれ、リモートサーバーからダウンロードされる。
5. BATLOADERがAIブームに乗じてマルウェアを広めるのは初めてではなく、Googleは広告の悪用を防ぐための措置を講じているようだ。

被害状況

事件発生日2023年5月19日
被害者名不明
被害サマリAppleのiOS、iPadOS、macOS、tvOS、watchOS、Safariの3つのゼロデイ脆弱性が悪用されたとされる攻撃が報告され、それに対応するためのアップデートが行われた。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリWebkitの3つの脆弱性を利用した攻撃であると報告された。
マルウェア不明
脆弱性Webkitにある3つの脆弱性が悪用された(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)。

脆弱性

CVECVE-2023-32409、CVE-2023-28204、CVE-2023-32373
影響を受ける製品iOS、iPadOS、macOS、tvOS、watchOS、Safari
脆弱性サマリAppleが3つの積極的な攻撃に使われているZero-Day脆弱性に対応
重大度不明
RCE不明
攻撃観測
PoC公開不明

被害状況

事件発生日不明
被害者名不明
被害サマリ「Lemon Group」というサイバー犯罪グループが、Guerillaと呼ばれるマルウェアを約900万個のAndroid搭載デバイスに事前にインストールし、SMSからワンタイムパスワードを抽出する、WhatsAppセッションを乗っ取る、PAYGアカウントのためにSMSを送信する、逆プロキシを設定する、クリック詐欺を実行するなどの攻撃を行っている。
被害額不明(予想:数十億円)

攻撃者

攻撃者名"Lemon Group"というサイバー犯罪グループ
攻撃手法サマリ事前にマルウェアをインストールし、SMSからワンタイムパスワードを抽出する、WhatsAppセッションを乗っ取る、PAYGアカウントのためにSMSを送信する、逆プロキシを設定する、クリック詐欺を実行するなど
マルウェアGuerilla
脆弱性不明

脆弱性

CVECVE-2023-3278
影響を受ける製品KeePass 2.53.1
脆弱性サマリKeePassは、アプリケーションのメモリからマスターパスワードを取得できる脆弱性があるため、攻撃者はデータベースがロックされている場合でも、デバイスを侵害した場合でもパスワードを取得できる。
重大度
RCE不明
攻撃観測不明
PoC公開

被害状況

事件発生日2023年5月18日
被害者名不明
被害サマリAppleのiOS、iPadOS、TVOS、macOS、Safariに含まれるマルウェア攻撃で、Web Contentを操作することで情報漏洩や任意のコード実行を可能にする3つのゼロデイ脆弱性が報告された。攻撃が確認されていたという。
被害額不明(予想:数億ドル以上)

攻撃者

攻撃者名不明(攻撃手法からは国家または組織の関与があった可能性がある)
攻撃手法サマリWeb Contentを操作することで情報漏洩や任意のコード実行を可能にする3つのゼロデイ脆弱性を利用したマルウェア攻撃
マルウェア不明
脆弱性Webkitエンジンに存在した3つのゼロデイ脆弱性(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)

被害状況

事件発生日不明
被害者名不明
被害サマリMicrosoftは、2月14日にリリースされたMicrosoft Edgeの更新プログラムをインストールする際に、一部のWindows 10プラットフォーム上でIE11が無効化された後、お客様にIE11の最後のビットがデバイスから削除されるタイミングを選択するよう許可することを決定しました。これは、2022年6月および12月に前回の警告に続くものです。
被害額不明(予想:被害額なし)

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品Internet Explorer 11
脆弱性サマリInternet Explorer 11のサポートを非推奨とし、近々撤廃することを発表されたが、ユーザーにはまだ選択の余地がある。
重大度
RCE不明
攻撃観測不明
PoC公開なし
CVE番号はなく、Internet Explorer 11が影響を受ける製品である。Internet Explorer 11のサポートが非推奨となり、近々撤廃することが発表されたが、ユーザーには選択の余地がある。重大度は低であり、RCEと攻撃観測は不明。また、PoC公開はない。

エラーが発生しました。
記事ファイル名:../articles/20230518 165906_e4079fe358b55d2d93d116e924fef6969fcd53df80cd8ae01afb59b437256f39.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 3355d35f6ed915d0864eac4428b9dd8e in your message.) <> security_news_matomerukun.py:81

被害状況

事件発生日2022年11月
被害者名ファンタジースポーツとスポーツベッティングのウェブサイトの約6万人のユーザーアカウントホルダー
被害サマリ別の侵害からの広範な資格詰め込み攻撃を使用して、約1,600件の妥協されたアカウントから約$ 600,000を盗んだ疑いがある18歳のJoseph Garrison氏が、ファンタジースポーツとスポーツベッティングのウェブサイトの約6万人のユーザーアカウントをハッキングしたとして、米司法省に起訴された。Garrison氏はハッキングしたアカウントを販売し、買い手が妥協されたアカウントに新しい支払い方法を追加して、現在存在するすべての資金を別の支払いアカウントに引き出した。
被害額$600,000(約6,600万円)

攻撃者

攻撃者名Joseph Garrison氏
攻撃手法サマリ他の侵害からの資格詰め込み攻撃
マルウェア報告に記載なし
脆弱性報告に記載なし

被害状況

事件発生日2023年5月8日
被害者名WordPressサイトの所有者
被害サマリEssential Addons for Elementorのバージョン5.4.0から5.7.1において、クリティカルなアカウントパスワードリセットの欠陥が見つかった。攻撃者は、認証されていなくても管理者アカウントのパスワードを任意にリセットでき、Webサイトを乗っ取ることができる。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリEssential Addons for Elementorのクリティカルなアカウントパスワードリセットの欠陥を悪用した攻撃
マルウェア不明
脆弱性CVE-2023-32243

被害状況

事件発生日不明
被害者名Androidスマートフォンのユーザー
被害サマリサイバー犯罪グループ「Lemon Group」が、890万台以上のAndroidスマートフォンにマルウェアを事前にインストールして、SMSメッセージやソーシャルメディア、オンラインメッセージのアカウントを盗み、不正広告やクリック詐欺で利益を得ていた。
被害額不明(予想:数千万ドル以上)

攻撃者

攻撃者名Lemon Group
攻撃手法サマリ890万台以上の事前感染したAndroidスマートフォンを利用して、SMSメッセージやソーシャルメディア、オンラインメッセージのアカウントを盗み、不正広告やクリック詐欺で利益を得る。
マルウェアGuerillaなど(複数のプラグインから構成される)
脆弱性不明

脆弱性

CVEなし
影響を受ける製品LayerZeroのブロックチェーン通信プロトコル
脆弱性サマリLayerZeroのブロックチェーン通信プロトコルの脆弱性
重大度高|中|低
RCEなし
攻撃観測不明
PoC公開
また、LayerZero Labsが$15Mの最高報酬を提供する通信プロトコルのクリティカルなスマートコントラクトとブロックチェーンの脆弱性に対する最大の脆弱性報奨金プログラムを開始したと報告された。報奨金は、脆弱性の深刻度と影響範囲に応じて分配される。最も顕著な影響を与えるGroup 1には、Ethereum、BNB Chain、Avalanche、Polygon、Arbitrum、Optimism、およびFantomが含まれる。すべての報奨金はLayerZero Labsによって直接処理され、Fiat USDをワイヤー送金またはUSDC、USDT、およびBUSDで支払われます。 PoCの提出が有効と見なされるためには、攻撃の実用的な実証(PoC)の例が必要です。また、報奨金受取人はKYCを行い、外国資産管理局(OFAC)の特定国民リストで制裁を受けていないことを確認する必要があります。

1. 300万以上のフォロワーに支持を得る信頼できるサイバーセキュリティニュースプラットフォーム。
2. ゼロトラストとデセプションに参加して攻撃者を出し抜く方法を学ぶ。
3. Zscaler Deceptionは、高度な攻撃を検出して妨害する。
4. Ransomwareに対する包括的な保護を提供する。
5. ASMの鍵機能には、連続的なペントレスト、アセットの検出と監視、リアルタイムのアラートの提供がある。

被害状況

事件発生日2022年の間に2,337件のセキュリティ侵害が発生 (Verizon, 2022 DBIR Report)
被害者名製造業界の企業
被害サマリ2022年には、ランサムウェア攻撃と盗まれたパスワードによる攻撃が大幅に増加した。ランサムウェア攻撃によって一時的に女性と野菜を生産しているDole Companyが工場を閉鎖した例や、ルクセンブルグの2社が攻撃により被害を受けた例があげられる。
被害額記事には記載なし(予想:数百万ドルから数千万ドルの損失が発生していると推測される)

攻撃者

攻撃者名特定されていない
攻撃手法サマリランサムウェア攻撃と盗まれたパスワードを利用した攻撃が増加している。
マルウェア記事には記載なし
脆弱性記事には記載なし

被害状況

事件発生日2023年4月7日から4月10日(4日間)
被害者名台湾
被害サマリ中国と台湾との地政学的緊張が原因で、台湾に対するサイバー攻撃が急増した。攻撃は、様々な業界に対して行われ、マルウェアを送信して機密情報を盗み出すことが主な狙いとなっている。
被害額不明(予想)

攻撃者

攻撃者名中国のハッカーたち
攻撃手法サマリフィッシングメールおよびその他の方法によるマルウェア送信など
マルウェアPlugX、Kryptik、Zmutzy、FormBookなど
脆弱性不明

被害状況

事件発生日2023年5月18日
被害者名不明
被害サマリ不特定多数のOracle WebLogicサーバーが、CVE-2017-3506の脆弱性を突かれ、8220 Gangによってボットネットに組み込まれ、暗号通貨マイニングマルウェアを配信された。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名8220 Gang
攻撃手法サマリCVE-2017-3506の脆弱性を利用し、Oracle WebLogicサーバーに侵入した後、ボットネットに組み込まれた被害者のコンピュータで暗号通貨マイニングマルウェアを展開する。
マルウェア不明(PureCrypterおよびScrubCryptを利用した暗号通貨マイニングマルウェアである可能性がある)
脆弱性CVE-2017-3506(CVSSスコア:7.4)

被害状況

事件発生日2016年2月22日から2019年10月1日
被害者名不明
被害サマリMichael D. MihaloはSkynet Marketというカーディングサイトを開設し、信用情報およびデビットカード情報を取引していた。彼らはAlphaBay Market、Wall Street Market、Hansa Marketなどのダークウェブマーケットプレイスでも商品を販売していた。被害者は数万人いる。
被害額1,000,000ドル相当の仮想通貨(推定値)

攻撃者

攻撃者名Michael D. Mihalo、Dale Michael Mihalo Jr.、ggmccloud1
攻撃手法サマリカーディングサイトを開設し、信用情報やデビットカード情報を取引。
マルウェア不明
脆弱性不明

1. Appleは2022年に潜在的に詐欺的な取引を20億ドル以上防止し、プライバシーおよびセキュリティ違反のため約170万のアプリ提出を拒否した。
2. Appleは、428,000の開発者アカウントを潜在的な詐欺活動のために終了し、105,000件の偽の開発者アカウント作成をブロックし、2.82億件の偽の顧客アカウントを無効にした。
3. Appleは2021年に802,000の開発者アカウントを追放したが、新しいApp Storeのメソッドとプロトコルがアカウントの作成を防ぐため、追放の数字が減ったと述べた。
4. Appleは、2022年に非公式のストアからの57,000の信頼できないアプリを防止したと述べており、独自の資格情報を盗む悪意のあるコードを使用するアプリや、合法的な金融管理プラットフォームのふりをするアプリをフラグ付けする App Reviewプロセスを推進している。
5. Appleは、App Storeで147億以上の詐欺的な評価とレビューを検出およびブロックし、不正に配布されたアプリをインストールまたは起動する3.9百万件の試みを妨げた。

脆弱性

CVECVE-2023-20159からCVE-2023-20162
影響を受ける製品Small Business Series Switches(一部はパッチ未適用)
脆弱性サマリ認証されていないリモート攻撃者による任意コード実行やDoS攻撃を許可する脆弱性
重大度CVE-2023-20159からCVE-2023-20162の内、4つは10段階評価で9.8(重大)
RCE
攻撃観測証明書付きの悪用コードの存在は確認されているが、未だ攻撃は確認されていない
PoC公開あり

1. マラスロッカーと呼ばれる新しいランサムウェアがZimbraサーバーに侵入、ファイルを暗号化して、被害者に支援募金を要求するようになった。
2. 従来のランサムウェアと異なり、支援金の募集を行っており、何らかの寄付をしてくれることを求めている。
3. 支援金額は自由で指定された児童養護施設に贈られる。
4. 脅迫メッセージには、連絡先のメールアドレスが記載されている。
5. 暗号化ファイルの末尾にはREADME.txtが添付され、詳細な暗号化方法について記載されている。また、被害者の情報を盗用し、オンラインに公開すると報じられている。

被害状況

事件発生日2023年5月17日
被害者名不明
被害サマリCiscoのSmall Businessシリーズスイッチに存在する4つの重大な脆弱性(CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, and CVE-2023-20189)が公開されたエクスプロイトコードによって攻撃され、リモートコード実行が可能になったことが明らかになった。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ脆弱性をもつスイッチのウェブインターフェイスに不正なリクエストを送信することで攻撃
マルウェア不明
脆弱性Small Businessシリーズスイッチにおけるウェブインターフェイスの不適切なバリデーション

被害状況

事件発生日不明
被害者名Windows 11ユーザー
被害サマリMicrosoft DefenderのアップデートによりLSA Protectionがオフになっているとの警告が頻繁に表示される。また、脆弱性があるためブルースクリーンや再起動の問題が発生する。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリMicrosoft Defenderのアップデートに不具合があり、Windows 11のセキュリティが脆弱化された。
マルウェア特定されていない
脆弱性Microsoft Defenderにある不具合
エラーが発生しました。
記事ファイル名:../articles/20230517 181241_33383da9d771d0c17aedd0d80a6b9c094907f82bea455080a0a52501a05cded2.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID cc9ae0bbab11d920146812c079ee5e72 in your message.) <> security_news_matomerukun.py:81

被害状況

事件発生日2023年5月4日
被害者名Windows開発者
被害サマリMicrosoftのVSCode Marketplaceに3つの悪意のある拡張機能がアップロードされ、Windows開発者に46,600ダウンロードされました。このマルウェアにより、脅威アクターは認証情報やシステム情報を盗み、被害者のマシンでリモートシェルを開いていました。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリMicrosoftのVSCode Marketplaceに悪意のある拡張機能をアップロードすることで、Windows開発者を攻撃。3つの拡張機能により、認証情報を盗む、リモートシェルを開くなどの攻撃を行いました。
マルウェア3つの拡張機能が使用されていました。1つは"Theme Darcula dark"、1つは"python-vscode"、もう1つは"prettiest java"でした。
脆弱性不明

被害状況

事件発生日2023年5月14日
被害者名ScanSource
被害サマリアメリカのクラウドサービスおよびSaaS接続およびネットワーク通信プロバイダーであるScanSourceが、ランサムウェア攻撃に遭い、システムやビジネス操作および顧客ポータルに影響が出た。同社は、サービス提供に遅れが生じる可能性があると報告している。
被害額不明(予想:数百万ドル)

攻撃者

攻撃者名不明
攻撃手法サマリランサムウェア攻撃
マルウェア不明
脆弱性不明

被害状況

事件発生日不明
被害者名開発、人道支援、メディア、非政府組織
被害サマリYemenのHouthis運動の疑いがあるハッキンググループ、OilAlphaによるサイバースパイ活動。攻撃対象は、Arabian peninsulaにおけるArabic言語話者で、Androidデバイスを使用している。
被害額不明(予想)

攻撃者

攻撃者名YemenのHouthis運動に関連があるグループ
攻撃手法サマリWhatsAppなどのエンドツーエンドの暗号化通信アプリを使用して、Social engineering 戦術によって攻撃。URLのリンク先を短縮して用いた。APKファイルに紛れ込んだUNICEFやNGO、その他の救済団体になりすますアプリをtargetに送付し、Android APPに潜むSpyNote(別名SpyMax)を端末にインストールすることにより、被害を拡大。デスクトップマルウェアnJRATも併用された。
マルウェアSpyNote(別名SpyMax)とnJRAT。
脆弱性不明

被害状況

事件発生日不明
被害者名不明
被害サマリBianLianランサムウェアグループの攻撃により、米国とオーストラリアの重要インフラへの攻撃が自民主的データ窃取攻撃に切り替えたことが確認された。攻撃は2022年6月から続いており、2023年1月以降、ランサムウェアの復号が可能になり、攻撃は完全にデータ窃取に移行した。攻撃は、有効なリモートデスクトッププロトコル(RDP)の資格情報(最初のアクセスブローカーから購入されたり、フィッシングで取得されたりすることがある)を使用しており、ゴー言語で書かれたカスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドラインなどを用いて、ファイル転送プロトコル(FTP)、Rcloneツール、Megaファイルホスティングサービスを介して、被害者のデータを流出させる。攻撃は、Sophosセキュリティ製品による不正操作保護を無効にするために、PowerShellとWindowsコマンドシェルを利用して、ウイルス対策ツールの関連する実行プロセスを無効化する。
被害額不明(予想:被害額は不明であるため、推定できません)

攻撃者

攻撃者名BianLianランサムウェアグループ(国籍などの特徴は不明)
攻撃手法サマリ有効なリモートデスクトッププロトコル(RDP)の資格情報を使用してアクセス。カスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドライン、PowerShell、Windowsコマンドシェルを利用して攻撃を行う。詳細はMitigations section of this advisoryを参照。
マルウェアBianLianランサムウェア
脆弱性不明

Patch Management: 要件の概要

対象[システムやアプリケーション全般]
目的[システムを安定的かつセキュアに保つためにパッチを適用するためのプラットフォーム導入が必要]
必要な情報[OSやアプリケーションの情報、現行バージョンの情報、パッチグループ、パッチの依存関係]
ライフサイクル管理[CI/CDプロセスと組み合わせた場合、パッチライフサイクルは自社アプリケーションの開発過程の一部となる。古いパッチを取り外し新しいパッチを適用する処理が必要な場合がある]
パッチテスト[閉じた環境でパッチをテストして影響を確認することが必要。エラーが抑制されていないことが確認できるログレベルも必要。]
パッチデプロイ[認証済みのパッチを全てのシステムにデプロイできる方法が必要。実行前・実行後にスクリプトを実行することもできる。]
信頼性[信頼性のあるアップローダー・パブリッシャーを知り、信頼できるパッチのリポジトリを使うことが必要。複数のリポジトリを使うことでもよい。]
パッチの優先度[人手で設定する必要がある場合、CID、緊急対応、責任ベンダーのパッチの使用が最適な管理を提供する。]
更新方法のアーキテクチャ[スキャンするアプローチ(エージェント/エージェントレス)どちらにも対応していることが望ましい。]
第三者アプリケーションのサポート[デスクトップやラップトップなど、サードパーティー製アプリケーションを更新することができるプラットフォームが必要。Adobe、Microsoftなどの主要プレイヤーなどにも対応できることが理想的]

被害状況

事件発生日2023年5月17日
被害者名不明
被害サマリUNC3944という脅威グループがマイクロソフトAzure Serial Consoleを悪用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃を行った。この攻撃は従来の検出方法を回避し、脆弱性を介して攻撃者にVMを完全に乗っ取る権限を与えた。
被害額(予想)不明

攻撃者

攻撃者名UNC3944 (Roasted 0ktapusとも呼ばれる)
攻撃手法サマリMicrosoft Azure Serial Consoleを使用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃。SIMスワッピング攻撃を利用し、SMSフィッシングメッセージを送って特権ユーザーの認証情報を入手。それに続いて、2要素認証(2FA)トークンを攻撃者がコントロールするSIMカードに受信するようにSIMスワップを行う。
マルウェアSTONESTOP、POORTRY
脆弱性Azure VM拡張機能、Azure Network Watcher、Azure Windows Guest Agent、VMSnapshot、Azure Policy Guest configurationに関する脆弱性。

脆弱性

CVECVE-2023-27217
影響を受ける製品Belkin Wemo Mini Smart Plug (V2)
脆弱性サマリSmart Plugに付随するコンパニオンアプリが30文字以下の名前制限を設けているが、この制限がファームウェア側でも適用されていないため、悪意のあるコマンドが実行される脆弱性がある。
重大度不明
RCE有(不特定の攻撃者から任意のコマンドを実行される可能性がある)
攻撃観測不明
PoC公開不明

被害状況

事件発生日不明
被害者名パキスタンおよび中国にある様々な機関および企業
被害サマリ国家支援を受けたSideWinderハッカー集団によるサイバー攻撃が発生し、金融機関、政府または法執行機関、電気通信企業、eコマース企業、大手メディア企業が被害に遭った可能性がある。
被害額不明(予想:数十万ドル以上)

攻撃者

攻撃者名国家支援を受けたSideWinderハッカー集団
攻撃手法サマリ標的型スピアフィッシング攻撃
マルウェア不明
脆弱性不明

被害状況

事件発生日2023年5月17日
被害者名数千人の病院、学校、行政支援機関など
被害サマリLockBit、Babuk、Hiveのランサムウェアの開発、配信に加担したとされ、$4億の被害額を出した。
被害額$2億

攻撃者

攻撃者名ロシア人、Mikhail Pavlovich Matveev(ウゾウォカ、m1x、ボリセルシン、Uhodiransomwar)としても知られる。
攻撃手法サマリランサムウェアを用いた攻撃
マルウェアLockBit、Babuk、Hiveのランサムウェア
脆弱性不明

被害状況

事件発生日不明(UNC3944が少なくとも2022年5月以降に活動を開始したと推定されている)
被害者名不明
被害サマリUNC3944によって、Microsoft Azureの管理者アカウントがPhishingやSIM swapping攻撃によって乗っ取られ、その後Azure Serial Consoleを悪用してリモート管理ソフトウェアをインストールされ、Azure Extensionsを悪用して監視が行われた。
被害額不明

攻撃者

攻撃者名UNC3944とMandiantによって特定された犯罪組織で、財政上の動機から活動しているとされる。
攻撃手法サマリPhishingやSIM swapping攻撃によってMicrosoft Azureの管理者アカウントを乗っ取り、Azure Serial Consoleを悪用してリモート管理ソフトウェアをインストール、さらにAzure Extensionsを悪用して監視が行われ、その後にVPNを介してデータが盗まれた。
マルウェア報道記事に記載はない。
脆弱性Azure Serial Consoleの脆弱性が悪用された。

脆弱性:新しいZIPドメインがサイバーセキュリティ専門家の間で議論を引き起こす

Googleは、買い物サイトやメールアドレスをホスティングするために、8つの新しいトップレベルドメイン(TLD)を導入した。その中には、.zipと.movがあり、これらのTLDを使用すると、フィッシング攻撃やマルウェアの配信に悪用される可能性があることに、サイバーセキュリティリサーチャーやIT管理者は懸念を表明している。過去に. zipと.movをファイル拡張子としたファイル名が共有されたが、これらがTLDになったため、一部のメッセージングプラットフォームやソーシャルメディアサイトは自動的にファイル名をURLに変換するため、危険なリンクになる可能性がある。これまでに、サイレントプッシュラボ(Silent Push Labs)によって、マイクロソフトアカウントの情報を盗むことを試みるフィッシングページが検出されている。

脆弱性

CVEなし
影響を受ける製品なし
脆弱性サマリ新しい.zipと.movドメインがフィッシングやマルウェア攻撃のために悪用される可能性がある
重大度なし
RCEなし
攻撃観測発表後、既にフィッシング攻撃のページが発見されている
PoC公開なし
Googleが新しいトップレベルドメイン(TLD)を導入し、ZIPおよびMOVドメインを取得できるようにしたことで、サイバーセキュリティ研究者やIT管理者が懸念を表明している。これらのTLDはフォーラム投稿、メッセージ、オンラインディスカッションで共有されるよく使われるファイルの拡張子であり、これらのファイル名が自動的にURLに変換されることで、フィッシング攻撃やマルウェア配信に悪用される可能性がある。これにより、ZIPおよびMOVのTLDはインターネット上で既に危険な状況にあるものの、新しいTLDの使用によってリスクがさらに増加する可能性がある。しかし、現在のところ、重大な脆弱性や攻撃は報告されておらず、GoogleはBrowser mitigationsなどの対策をしているとしている。

被害状況

事件発生日不明
被害者名Windows 11 VPNユーザー
被害サマリ最近のWindows 11のアップデートにより、L2TP/IPsec VPNの接続速度に問題が発生している。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

被害状況

事件発生日不明(被害発生期間:5月9日〜5月11日)
被害者名GitHub
被害サマリコードホスティングプラットフォームの減少。データベース接続と認証の障害を引き起こし、最大10時間にわたり広範囲にわたる影響を与えた。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ内部サービスのビルド時の設定変更、APIの管理の不備、データベースの障害などによる。
マルウェア不明
脆弱性不明

被害状況

事件発生日2022年
被害者名不明(App Store利用者全体)
被害サマリ2022年にApp Storeで、アカウント詐欺、プライバシー違反、セキュリティ違反、コンテンツポリシー違反の疑いがある1,700,000件のアプリ提出をブロック。合わせて、過去最大の20億ドルを超える可能性のある取引をブロック。また、428,000人の開発者アカウントを停止、282,000,000万件の偽の消費者アカウントを無効にし、105,000,000件の可能性のある詐欺行為による開発者アカウント作成をブロックした。
被害額20億ドル以上の可能性がある取引を防止

攻撃者

攻撃者名不明
攻撃手法サマリAppleのApp Store審査チームがアプリの提出者を審査し、不正行為の可能性があるアカウントや取引をブロックすることで、アカウント詐欺、プライバシー違反、セキュリティ違反、コンテンツポリシー違反からAppleの利用者を保護した。
マルウェア不明
脆弱性不明

脆弱性

CVEなし
影響を受ける製品Apple App Store
脆弱性サマリAppleは2022年にプライバシー、セキュリティ、およびコンテンツポリシー違反のために約1.7百万のアプリ登録をブロックし、何億もの詐欺的な顧客と開発者アカウントを解除またはブロックするなど、アプリの不適切な使用を防止するための多数の措置を講じた。また、Appleは2.09十億ドルの不正取引を防止し、約714,000の詐欺アカウントをブロックし、約3.9百万の盗まれたクレジットカードをフィルタリングしている。
重大度なし
RCE不明
攻撃観測不明
PoC公開なし

被害状況

事件発生日2023年1月(発見日は不明)
被害者名欧州の外交関連機関
被害サマリ中国の政府支援グループ"Camaro Dragon"が、欧州の外交関連機関を攻撃するために、カスタム"Horse Shell"マルウェアを使用し、TP-Linkのルーターファームウェアに感染させ、住宅用ルーターを裏口に利用して攻撃を行いました。
被害額不明(予想不可)

攻撃者

攻撃者名中国政府支援グループ"Camaro Dragon"(そして、著名なAPT31「Pakdoor」ルーターインプラントと同様)
攻撃手法サマリカスタム"Horse Shell"マルウェアを使用し、TP-Linkルーターファームウェアに感染させ、住宅用ルーターを裏口に利用して攻撃
マルウェア"Horse Shell"であり、ファームウェアカスタマイズ内で使用されました
脆弱性不明

被害状況

事件発生日不明
被害者名Passaic Countyの执法机关、Washington DCの警察署、Mercer Countyの非营利行为医疗机构
被害サマリRussian ransomware affiliateのMikhail Pavlovich Matveevによって、3回のransomware attackが発生し、警察署、医療機関、非営利団体などが影響を受けた。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名Mikhail Pavlovich Matveev
攻撃手法サマリransomwareによる攻撃
マルウェアHive、LockBit、Babuk
脆弱性不明

被害状況

事件発生日2023年1月から
被害者名欧州外交機関
被害サマリ中国のMustang Pandaハッカーによって、TP-Linkルーターのカスタムファームウェアイメージを用いた攻撃が行われた。バックドアの"Horse Shell"は、任意のシェルコマンドを実行し、ルーターへのファイルのアップロードやダウンロード、2つのクライアント間の通信の中継が可能となっている。攻撃者は、個人や家庭ネットワークの任意のデバイスをターゲットに、ルーターのバックドアを利用してメッシュネットワークを構築しようとしたとみられている。具体的な攻撃の種類は不明。
被害額不明(予想:数百万円以上)

攻撃者

攻撃者名中国の国家支援ハッカーグループ「Mustang Panda」
攻撃手法サマリTP-Linkルーターのカスタムファームウェアイメージを用いて攻撃を行い、バックドアの"Horse Shell"等を利用。
マルウェア不明
脆弱性不明(既知の脆弱性を利用したとの推定あり)

被害状況

事件発生日不明
被害者名不明
被害サマリランサムウェア攻撃が世界中の組織に深刻な被害をもたらしている。
被害額記事には記載なし。(予想)被害額は数億ドル以上と見られている。

攻撃者

攻撃者名不明(特徴・国籍等の情報も明らかになっていない)
攻撃手法サマリランサムウェア攻撃
マルウェア記事には明記されていないが、一般的には様々な種類のランサムウェアが使用されている。
脆弱性記事には明記されていないが、多くの場合、未修正の脆弱性が攻撃の突破口となっている。
記事タイトル: Ransomware Prevention – Are Meeting Password Security Requirements Enough この記事では、CISA、NIST、HIPAA、FedRAMP、ISO 27002などによって発行された公式の規格や規制が、強いパスワードセキュリティを確保することがどれほど重要であるかを説明している。弱いパスワードは、クレデンシャルの盗難や侵害によって、組織をランサムウェア攻撃に脆弱にする。CISAは、バックアップ、パッチ管理、ユーザーのトレーニングなどの包括的なサイバーセキュリティプログラムの実施の重要性を強調し、NISTパスワードセキュリティガイドラインに従うことを推奨している。NISTは、長く、複雑なパスワードの使用と、マルチファクタ認証(MFA)の実装を勧め、パスワードの長さ、複雑さ、期限、再利用についての詳細なガイドラインを提供している。HIPAAは、医療機関が患者データをランサムウェア攻撃から保護するためのサイバーセキュリティガイダンスを提供しており、特定のパスワードガイドラインを提供していないが、NISTガイドラインに従うよう推奨している。FedRAMPは、クラウドベースのサービスのセキュリティを確保するためのフレームワークを確立し、MFAの実装を義務付けている。ISO 27002は、複雑なパスワードとMFAを含む強固な認証コントロールの重要性を強調している。これらの規格や規制は、ランサムウェアの予防につながるが、組織はこれに頼りすぎるべきではない。組織はパスワードセキュリティのベストプラクティスを実施する必要があり、攻撃者に簡単に解読されないように、長く十分に複雑なパスワードを使用する必要がある。

脆弱性

CVECVE-2023-28153, CVE-2023-29078, CVE-2023-29079
影響を受ける製品Kids Place(バージョン3.8.49およびそれ以前)
脆弱性サマリキッズプレイスは、アップロードした任意のファイルを保護されたデバイスに配置し、ユーザーの資格情報を盗み、子供が制限をバイパスすることができる脆弱性がある。
重大度
RCE不明
攻撃観測不明
PoC公開有(セキュリティ企業SEC Consultによる詳細な説明が含まれている)

被害状況

事件発生日2022年7月〜2023年5月
被害者名オーストラリア、ブラジル、カナダ、コロンビア、フランス、日本、オランダ、セルビア、英国、米国の、主に重要なインフラ、教育、および保健関連産業の複数の企業
被害サマリQilinランサムウェアによって攻撃され、一部の会社のデータがダークウェブ上のQilinデータリークポータルに掲載された。攻撃はフィッシングメールによって行われ、感染したデータは二重の脅迫モデルの一環として暗号化される前に外部漏えいしている。攻撃者は、企業ごとにカスタマイズされた攻撃を行い、暗号化されるファイル名の拡張子を変更する、特定のプロセスとサービスを終了するなど、様々な手法を使用している。
被害額不明。(予想)

攻撃者

攻撃者名不明。Qilinランサムウェアの使用者としてのみ知られている。
攻撃手法サマリフィッシングメールによるアクセス入手、データの暗号化と外部漏洩、および二重の脅迫モデル
マルウェアQilin(またはAgenda)ランサムウェア。最初はGo言語のランサムウェアとして出現し、その後2022年12月にRustに切り替わった。Rustの使用は、検出回避能力だけでなく、Windows、Linux、およびVMware ESXiサーバーを攻撃できることができるため重要である。
脆弱性不明

被害状況

事件発生日不明
被害者名不明
被害サマリmacOSのデバイスを攻撃するマルウェア『Geacon』が使用され、悪用が確認されている。
被害額不明(予想:情報漏えいによる損失が発生している可能性がある)

攻撃者

攻撃者名不明(犯人の特定には至っていないが、中国のIPアドレスを使った攻撃もあった)
攻撃手法サマリ『Cobalt Strike』のポート『Geacon』が使用された。
マルウェアGeacon
脆弱性不明

1. サイバーセキュリティニュースプラットフォームのTHNは、3.45+万人にフォローされている。
2. Cyoloは、OT/ICS環境に特化したゼロトラストアクセスプラットフォームを提供している。
3. Cyoloは、ZTNA、IDP、PAMの組み合わせであることが特徴的であり、クラウド接続やエージェントのインストールは不要である。
4. Cyoloは、アプリケーション、ポリシー、ログに関する多くの詳細を記録し、MFAやSSOを利用してセキュアなアクセスを提供する。
5. Cyoloは、RDPのリモートデスクトップ接続にも対応している。

被害状況

事件発生日2023年3月から4月
被害者名不明
被害サマリWater Orthrusによる新しい2つのキャンペーン。CopperStealthとCopperPhishは、CopperStealerという情報スチーラーを配信することが設計されている。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名Water Orthrus
攻撃手法サマリPay-per-Install(PPI)ネットワークを利用して、無料の中国のソフトウェア共有ウェブサイトにフリーツールのインストーラーとして偽装されたCopperStealthを配信する。CopperPhishは、類似のプロセスを利用して、PPIネットワークを介して分散されるフィッシングキットである。このキットは、クレジットカード情報を収集するために利用される
マルウェアCopperStealer、CopperStealth、CopperPhish
脆弱性不明

被害状況

事件発生日不明(2023年5月16日に記事が掲載された)
被害者名不明
被害サマリApple macOSのシステムを対象に、GolangのCobalt Strike実装であるGeaconを用いた攻撃が確認された。セキュリティ企業のSentinelOneによると、実際の悪意のある攻撃と見られるGeaconの使用件数が増加しており、プログラムを不正に入手した攻撃者に悪用される可能性がある。Geaconはマルウェアのダウンロード、データの盗聴、ネットワーク通信の仲介などの多くの機能を備えており、ユーザーは偽のPDF文書を確認することによって攻撃を受ける。
[参考訳記事:https://www.jpbox.jp/archives/12640]
被害額不明(予想)

攻撃者

攻撃者名不明(特徴不明)
攻撃手法サマリApple macOSのシステムを対象に、Cobalt StrikeのGolang実装であるGeaconを使用した攻撃。Geaconには、マルウェアのダウンロード、データの盗聴、ネットワーク通信などの多数の機能がある
マルウェアGeacon
脆弱性不明

被害状況

事件発生日2023年5月15日
被害者名The Philadelphia Inquirer
被害サマリThe Philadelphia Inquirerと関連するシステムがサイバー攻撃に遭い、新聞の配信が停止した。また、一部のコンピュータシステムに異常があるとの報告を受け、すべてのコンピュータシステムが停止した。事件は現在も調査中である。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ不明
マルウェア不明
脆弱性不明

- 情報窃盗マルウェア市場は常に進化しており、複数のマルウェアオペレーションが競い合っている。
- 競合するマルウェアオペレーションがいるため、情報窃盗マルウェアは進化し続けている。
- 情報収集者は、感染したシステムからアカウントパスワード、クッキー、クレジットカード情報、暗号財布データを盗み、脅威行為者にアップロードするためにログを作成する。
- KELAがまとめた報告書には、Titan、LummaC2、WhiteSnakeなどの新しい情報窃盗オペレーションの上昇があり、これにより組織や個人に関連するリスクが高まっている。
- Titan、LummaC2、Stealc、WhiteSnakeなどのマルウェアオペレーションが競合する中で、価格が低下している。

1. GoogleのWebベースのマルウェアスキャンプラットフォーム、VirusTotalは最近コード分析機能「Code Insight」を追加し、VBScript、PowerShell、BAT、CMD、SHなどのより多くのスクリプト言語に対応した。
2. "Code Insight"はGoogle CloudセキュリティAI Workbenchによって提供されるAI駆動のコード解析機能であり、現在は処理可能なファイルサイズが最大で2倍になった。
3. " Code Insight"は実際の脅威を識別することが容易になるよう、潜在的に有害なファイルを分析し、その(悪意のある)動作を説明する。
4. Code Insightの将来の改善計画には、追加のファイルタイプとサイズのサポートの拡大、バイナリと実行可能ファイルの解析の可能化、コード自体以外の文脈情報を組み込んだ分析などが含まれる。
5. VirusTotalは、GoogleのChronicleセキュリティサブスクリプションに属するWebベースのマルウェアスキャンプラットフォームであり、現在50万人以上のユーザーを抱えている。

- WhatsAppが新しいプライバシー機能「Chat Lock」を導入
- ユーザーはパスワードや指紋を使って、チャットにアクセスできないようにできる
- Chat Lockは、通知にもロックされたチャットの詳細を表示しないようにする
- 今後、WhatsAppはChat Lock機能を拡大し、複数のパスワード機能を追加する予定である
- WhatsAppはすでにエンドツーエンドの暗号化によるプライバシーコントロールに取り組んでいる。

被害状況

事件発生日2023年3月12日
被害者名PharMerica
被害サマリ医療データ約5,815,591件が流出
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名Money Message
攻撃手法サマリランサムウェアによる攻撃
マルウェア不明
脆弱性不明

被害状況

事件発生日不明(2018年から実施されていた可能性あり)
被害者名政府、航空、通信機関(South and Southeast Asia 地域)
被害サマリLancefly は、APT(高度持続型攻撃)グループであり、高度なサイバー諜報任務を中心に活動しており、政府、航空、通信機関をターゲットとして標的型攻撃を実行していた。Merdoor マルウェアを使用した攻撃により、キーロギングや通信監視などを行っていた。また、ZXShell rootkit による攻撃も実施された。
被害額不明

攻撃者

攻撃者名Lancefly
攻撃手法サマリ標的型攻撃、キーロガーの使用、通信監視、ZXShell rootkit による攻撃などを行っていた。
マルウェアMerdoor マルウェアなどを使用していた。
脆弱性不明

被害状況

事件発生日2023年5月12日
被害者名airBalticの一部の旅客
被害サマリ内部技術問題により、airBalticの一部の旅客の予約情報が他の旅客に漏洩した。被害者には、名前が異なる他の顧客宛に誤ったメールが送信された。漏えいは小規模なものであり、金融や支払い関連の情報が漏れたわけではない。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリ技術問題に起因する事故であり、攻撃者による攻撃ではない。
マルウェア不明
脆弱性不明

被害状況

事件発生日2023年4月22日(攻撃の脅迫ポータルが立ち上がった日)
被害者名製薬、保険、資産管理、および製造企業
被害サマリRA Groupと名乗る新しいランサムウェアグループによって、被害者の詳細と盗まれたデータがダークウェブ上のデータリークサイトに公開され、典型的な「ダブル・エクスターション」戦術が使用されました。
被害額不明(予想:1億ドル)

攻撃者

攻撃者名RA Groupと呼ばれる新しいランサムウェアグループ(国籍・特徴不明)
攻撃手法サマリRA Groupは、Babukランサムウェアの流出したソースコードをベースにした暗号化ソフトウェアを使用しています。攻撃対象の組織ごとにカスタムの身代金要求書を作成しており、また、被害者名に基づいてランサムウェアを名前付けています。
マルウェア不明(暗号化ソフトウェアはBabukランサムウェアの流出したソースコードをベースにしている)
脆弱性不明

脆弱性

CVECVE-2023-22601, CVE-2023-22600, CVE-2023-22598, CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587, CVE-2023-2588
影響を受ける製品Sierra Wireless, Teltonika Networks, InHand Networksが提供するクラウド管理ソリューション
脆弱性サマリ製品のクラウド管理プラットフォームに、11の脆弱性が見つかり、リモートコード実行と何十万台ものデバイスとOTネットワークの完全な制御が可能になる。
重大度不明
RCE
攻撃観測不明
PoC公開不明
製品のクラウド管理プラットフォームには、「Sierra Wireless」、「Teltonika Networks」、「InHand Networks」が提供する11の脆弱性がある。これらの脆弱性を悪用されると、リモートコード実行が可能になり、何十万台ものデバイスとOTネットワークが完全に制御される恐れがある。具体的には、デバイスのクラウド管理ポータルにおける脆弱性が問題である。Sierra Wirelessの場合、資産登録機構が手薄であるため攻撃者は、クラウドに接続されている未登録のデバイスを検索し、それらをアカウントに登録して任意のコマンドを実行することができる。InHand Networksの場合、不正なユーザーは、根特権でリモートコードの実行を可能にする「CVE-2023-22601」「CVE-2023-22600」「CVE-2023-22598」のコマンドインジェクション欠陥を利用して、再起動コマンドを発行したり、ファームウェア更新をプッシュしたりすることが可能です。Teltonika Networksの場合、脅威行為者は、リモート管理システム(RMS)で特定された複数の問題を悪用することができ、デバイスの機密情報やデバイスの資格情報を公開したり、リモートコードの実行を許したり、ネットワークで管理される接続されたデバイスを公開したり、正当なデバイスをなりすますことができる。

被害状況

事件発生日2023年4月22日以降
被害者名アメリカと韓国の複数の企業(製造業、財産管理、保険、医薬品)
被害サマリ新興ランサムウェアグループのRA Groupによる攻撃で、データを暗号化して身代金を要求し、3社の企業に加えて1社が被害を受けた
被害額不明(予想不可)

攻撃者

攻撃者名RA Group(国籍不明)
攻撃手法サマリ暗号化とデータ漏洩の二重脅迫を実施するランサムウェア攻撃
マルウェアBabukベースの独自のバリアント
脆弱性不明

vulnerability
2023-05-15 11:25:00

脆弱性

CVEなし
影響を受ける製品高度情報処理技術の企業
脆弱性サマリ高度情報処理技術の企業はSaaSセキュリティに苦戦している
重大度なし
RCE不明
攻撃観測なし
PoC公開なし

被害状況

事件発生日2022年中旬から2023年第1四半期まで
被害者名南アジアおよび東南アジアに所在する政府、航空、教育、およびテレコムセクター
被害サマリ高度にターゲットされたキャンペーンにより、新しいハッキンググループによって攻撃された。Symantecによって、この活動は「Lancefly」と呼ばれる昆虫をテーマにした名前で追跡され、攻撃は「Merdoor」と呼ばれる「強力な」バックドアを使用して行われていた。従って、このキャンペーンの最終目標は、ツールと被害者パターンに基づいて、インテリジェンス収集とされている。
被害額不明(予想不可)

攻撃者

攻撃者名中国政府と関連するグループに帰結する可能性がある。
攻撃手法サマリフィッシングルア、SSHブルートフォース、またはインターネットで公開されたサーバーの悪用を使用したと疑われている。シンメトリックおよび非対称キーを使用し、Lanceflyの攻撃は、MerdoorおよびZXShellなどの完全機能を備えたマルウェアを使用していた。ZXShellは、2014年10月にCiscoによって初めて記録されたルートキットであり、このルートキットの使用は過去にAPT17(オーロラパンダ)やAPT27(BudwormまたはEmissary Pandaとしても知られる)などの中国人アクターにリンクされていた。ZXShellルートキットのソースコードは公開されているため、複数の異なるグループによって使用される可能性がある。
マルウェアMerdoor、ZXShellルートキット、PlugX、ShadowPad
脆弱性情報なし

被害状況

事件発生日2023年4月
被害者名不明
被害サマリMichaelKorsという新しいランサムウェアがLinuxおよびVMware ESXiシステムを標的にした。VMware ESXiハイパーバイザーへの攻撃は、ハイパーバイザージャックポットティングとして知られる手法で実行される。これまでに、Royalをはじめとするいくつかのランサムウェアグループがこの手法を採用してきた。また、ContiやREvilなど10のランサムウェアファミリーが2021年9月にBabukの露出ソースコードを利用してVMware ESXiハイパーバイザー向けのロッカーを開発したとの解析結果も出ている。
被害額不明(予想:ランサムウェアの要求額に応じた個々の被害額が生じたと推定される)

攻撃者

攻撃者名不明
攻撃手法サマリMichaelKorsというランサムウェアを使用して攻撃する。
マルウェアMichaelKorsランサムウェア
脆弱性VMware ESXiにおいて、セキュリティツールの欠如、ESXiインターフェイスの適切なネットワークセグメンテーションの欠如、ESXiに対する既知の脆弱性(2020年9月以降更新されていない)などが攻撃に利用された。

被害状況

事件発生日2023年5月15日
被害者名Microsoft SQL (MS SQL)サーバーの管理不良者たち
被害サマリCLR SqlShellマルウェアによる攻撃で、暗号通貨の採掘やランサムウェアの展開が行われた。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名不明、一部関連が指摘されている攻撃者グループはLemonDuck、MyKings(DarkCloudまたはSmominru)、Vollgar
攻撃手法サマリCLR SqlShellマルウェアによる攻撃で、xp_cmdshellコマンドを使用してMS SQLサーバーにマルウェアをインストールする。
マルウェアCLR SqlShell, Metasploit, MrbMiner, MyKingsとLoveMinerのような暗号通貨マイナー、バックドア、プロキシウェア
脆弱性MS SQLサーバーに対する不十分な管理

被害状況

事件発生日2021年3月
被害者名Ubiquiti
被害サマリ元Ubiquiti社員が匿名のハッカーを装い、会社に侵入し機密データを窃取。50ビットコイン(当時約200万ドル)の身代金要求を行ったが、会社は警察に通報。容疑者はVPN接続でトレースされ、逮捕された。
被害額$4億(時価総額の損失)

攻撃者

攻撃者名Nickolas Sharp(元Ubiquiti社員)
攻撃手法サマリVNP接続を使用してエクスターノン、機密データ窃取
マルウェア不明
脆弱性不明

被害状況

事件発生日2023年5月6日以降
被害者名Advanced Custom Fieldsプラグインを使用しているWordPressサイト
被害サマリ高度な悪意のある攻撃者によって、WordPress Advanced Custom Fieldsプラグインの脆弱性CVE-2023-30777が悪用され、サイトの機密情報が盗まれ、攻撃者に特権が昇格される被害が発生した。
被害額不明

攻撃者

攻撃者名不明、国籍などの特徴も報じられていない
攻撃手法サマリProof of Concept (PoC) 攻撃に利用され、ログイン済のユーザーが悪意のコードを実行することで、高い権限で被害サイトにアクセスできるレフレクテッドクロスサイトスクリプティング(XSS)脆弱性が悪用された。
マルウェア不明
脆弱性Advanced Custom FieldsプラグインのCVE-2023-30777が悪用された。

被害状況

事件発生日2023年5月6日以降
被害者名WordPressのAdvanced Custom Fieldsプラグインを使用するウェブサイトオペレーター
被害サマリWordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777)が攻撃者によって悪用され、攻撃者は高い特権を得ることができる。
被害額不明(予想:数千万円以上)

攻撃者

攻撃者名不明
攻撃手法サマリAdvanced Custom Fieldsプラグインに存在したXSS脆弱性を悪用
マルウェア不明
脆弱性WordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777)

1. Brave Browserが新しいプライバシーフォーカス機能「Forgetful Browsing」を発表。
2. 「Forgetful Browsing」はサイトからの再識別を防止するもので、指定したサイトのCookieだけでなく、ローカルストレージやキャッシュのデータも削除。
3. ユーザーは、設定メニューから「Forgetful Browsing」を有効化できる。
4. Brave Browserは第三者追跡に対する強力な保護機能を備えているが、第一者追跡に関するプライバシー問題が未だ解決されていない。
5. 「Forgetful Browsing」はブラウザのバージョン1.53で提供され、Android版での提供はバージョン1.54で予定されている。

1. キャピタは、4月初旬の同社システムへのサイバー攻撃の影響を受け、顧客が自身のデータが盗まれたと仮定するよう警告した。
2. USS(英国内の最大の私設年金制度)によると、攻撃されたサーバには、約470,000人の個人情報(氏名、誕生日、国民保険番号など)が含まれていた。
3. キャピタは、攻撃者からの責任声明を受け取り、最初は技術問題と説明していたが、後にサイバー攻撃だと認めた。
4. 350以上の英国企業年金制度が影響を受けた可能性がある。
5. キャピタは、今回の事件のため、2000万ドルを超える特別費用を償債する必要があると発表した。

被害状況

事件発生日2022年中旬以降
被害者名Microsoft 365を使用する事業者(主に製造、医療、技術企業)
被害サマリPhishing-as-a-service(PhaaS)不正プラットフォーム「Greatness」を使用したMicrosoft 365のビジネスユーザーへのフィッシング攻撃。高度なログイン画面を作成し、ユーザーからIDとパスワード、タイムベースのワンタイムパスワード(TOTP)を収集し、アフィリエイトのTelegramチャンネルに不正アクセスして情報を盗む。
被害額不明(予想:被害の具体的な金額情報は報道されていないが、フィッシング攻撃により企業の重要情報が漏えいしたことが示唆されている。)

攻撃者

攻撃者名不明(攻撃者の国籍などは不明)
攻撃手法サマリPhishing-as-a-serviceプラットフォーム「Greatness」を使用したMicrosoft 365のビジネスユーザーへの高度なフィッシング攻撃。被害者には本物そっくりのログイン画面が表示され、IDとパスワード、タイムベースのワンタイムパスワード(TOTP)を収集し、アフィリエイトのTelegramチャンネルに不正アクセスして情報を盗む。
マルウェア不明
脆弱性不明

被害状況

事件発生日不明
被害者名ABB
被害サマリスイスのABB社がBl00dyランサムウェアの攻撃を受け、ネットワークと工場が影響を受けた。
被害額不明

攻撃者

攻撃者名Bl00dy Ransomwareグループ
攻撃手法サマリ不明のランサムウェア攻撃
マルウェアBl00dyランサムウェア
脆弱性不明

被害状況

事件発生日2023年5月12日
被害者名ドイツに所在する製造業者および医療クリニック(特定された個人名はなし)
被害サマリフォリナ脆弱性を悪用したXWormマルウェアによるサイバー攻撃が行われた。攻撃手法は不明瞭である。
被害額不明(予想:情報漏洩によるリスクなどが考慮されると数千万円〜数億円程度)

攻撃者

攻撃者名中東またはインド出身の個人またはグループ(確定されていない)
攻撃手法サマリフォリナ脆弱性を悪用したフィッシング攻撃から始まり、PowerShellスクリプトを使用してAntimalware Scan Interface(AMSI)回避、Microsoft Defenderの無効化、XWormコードの実行などを行う。
マルウェアXWorm
脆弱性フォリナ脆弱性(CVE-2022-30190)

被害状況

事件発生日2023年5月12日
被害者名Discordのユーザー
被害サマリサポートエージェントのアカウントがハッキングされ、サポートチケットに含まれていたユーザーのメールアドレス、サポートとのやりとり、および添付ファイルが公開された。
被害額不明

攻撃者

攻撃者名不明
攻撃手法サマリサポートエージェントのアカウントをハッキング
マルウェア不明
脆弱性不明

被害状況

事件発生日不明
被害者名不明
被害サマリルーカスワイヤレス管理パネルのリモートコード実行(RCE)の脆弱性を悪用し、AndoryuBotマルウェアを感染された無防備なWi-Fiアクセスポイントに追加し、DDoS攻撃を行うボットネットが発生した。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリルーカスワイヤレス管理パネルのリモートコード実行(RCE)の脆弱性を悪用
マルウェアAndoryuBotマルウェア
脆弱性CVE-2023-25717

被害状況

事件発生日2023年5月上旬
被害者名教育機関
被害サマリBl00dyランサムウェアによって、PaperCutのリモートコード実行脆弱性を悪用され、データが盗まれ暗号化された。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名Bl00dyランサムウェアグループ
攻撃手法サマリPaperCutのリモートコード実行脆弱性を悪用
マルウェアBl00dyランサムウェア、Leaked LockBit源コードに基づく暗号化ツール、BabukおよびContiからリークされた発展型を使用
脆弱性PaperCut MFおよびPaperCut NGのCVE-2023-27350

- トヨタ自動車がクラウド環境のデータ漏えいを発表
- 漏えいしたデータは、2013年11月6日から2023年4月17日までの10年間、215万人の顧客の車両位置情報が含まれる
- データベースの誤構成によりパスワードなしでアクセスできるようになっていた
- 実際には、個人名や住所情報は含まれておらず、基本的な車両情報のほか、車両の履歴データや現在の位置情報が漏えいした
- 対象の車両の車両識別番号(VIN)がわからなければ、個人を特定することはできないとされる。

脆弱性

CVECVE-2023-27357、CVE-2023-27367、CVE-2023-27368、CVE-2023-27369、CVE-2023-27370
影響を受ける製品Netgear RAX30 ルーター
脆弱性サマリ5つの脆弱性が存在し、これらは連鎖して認証をバイパスし、リモートコード実行を達成できる。この脆弱性は、攻撃者がユーザーのインターネットアクティビティを監視したり、インターネット接続を乗っ取ったり、トラフィックを悪意のあるウェブサイトにリダイレクトしたり、ネットワークトラフィックにマルウェアを注入することができる可能性がある。
重大度最高値はCVSSスコア8.8が2つ、総合的な重大度評価は高い。
RCE
攻撃観測なし
PoC公開公開されている

1. Deep Instinctによる技術レポートによると、中国の脅威アクター「Red Menshen」に関連する、Linuxバックドアの新しいバージョン「BPFDoor」が発見された。
2. 「BPFDoor」は、中東とアジアの電気通信事業者を標的としており、長期間にわたって検出されずにハッキングを行っていたという。
3. このバックドアは、Berkeley Packet Filters(BPF)を使用することで、ファイアウォールに検出されずにネットワークにアクセスし、任意のコードを実行することができる。
4. 新しいバージョンでは、暗号化のために静的ライブラリを使用し、C2通信に逆シェルを組み込んでいるため、従来よりもかなり更に潜在的に逃げられる可能性がある。
5. Linuxシステムに対する脅威アクターによるマルウェアの増加により、GoogleはLinuxカーネルを強固にするための新しい拡張Berkeley Packet Filter(eBPF)のテスト方法を発表した。

1. Trusted Cybersecurity News Platform は、3.45ミリオン以上のフォロワーがおり、サイバーセキュリティに関するニュースを提供している。
2. Passboltは、安全なコラボレーションを実現するためのパスワード管理ツールである。
3. Passboltは、OpenPGP標準に基づくエンドツーエンドの暗号化を使用して、データが安全に共有されるように設計されている。
4. Passboltは、フォルダーを共有してパスワードを整理し、細かいアクセス権限を設定することができる。
5. Passboltは、携帯端末にも対応しており、ブラウザとも統合されており、どこでもアクセスできるように設計されている。

被害状況

事件発生日2023年5月上旬
被害者名アメリカの教育施設
被害サマリ脆弱性CVE-2023-27350を利用した攻撃により、Bl00dy Ransomware GangがPaperCutサーバにアクセスし、データを盗み出し、ファイルを暗号化して身代金を要求した。
被害額不明(予想:数百万ドル以上)

攻撃者

攻撃者名Bl00dy Ransomware Gang
攻撃手法サマリ脆弱性CVE-2023-27350を悪用した攻撃
マルウェアCobalt Strike Beacons、DiceLoader、TrueBot
脆弱性 PaperCut MFやNGの一部のバージョンに影響する、認証のバイパスおよびリモートコード実行を可能にするCVE-2023-27350

脆弱性

CVECVE-2023-27350
影響を受ける製品PaperCut MFとNGの一部のバージョン
脆弱性サマリPaperCutサーバーにCVE-2023-27350が存在することにより、Bl00dy Ransomware Gangが攻撃し、データを暗号化して身代金を要求した。
重大度
RCE
攻撃観測観測されている
PoC公開不明

Bl00dy Ransomware Gangによる攻撃が、PaperCut MFとNGの一部のバージョンに存在する脆弱性CVE-2023-27350を狙って行われたことがFBIとCISAによって報告された。攻撃にはデータの盗難や暗号化が含まれ、この脆弱性を利用した攻撃が中旬から報告されている。これに加えて、この脆弱性を悪用するためにコバルトストライクなどの追加ペイロードが使用される攻撃も確認された。また、別の教育機関向けの攻撃にはXMRig暗号化マイナーが使用されていた。PaperCutの印刷サーバーへの攻撃は、イランのMango SandstormとMint Sandstormなどの国家スポンサーによっても行われている。


脆弱性

CVECVE-2023-32243
影響を受ける製品Essential Addons for Elementor
脆弱性サマリEssential Addons for Elementorの一つの脆弱性が、攻撃者に対象のサイトの特権を与え、ユーザのパスワードをリセットすることができる。
重大度
RCE無し
攻撃観測不明
PoC公開不明
WordPressプラグインであるEssential Addons for Elementorに「CVE-2023-32243」という脆弱性が見つかった。この脆弱性がある場合、攻撃者は悪意のある目的で特権を利用し、ユーザのパスワードをリセットすることができる。また、管理者アカウントのパスワードをリセットしてウェブサイト全体を制御できる可能性もあり、被害が拡大する可能性がある。この脆弱性は、Essential Addons for Elementorのバージョン5.4.0から存在していると考えられている。しかし、バージョン5.7.2で修正済みである。

被害状況

事件発生日不明
被害者名不明
被害サマリOutlookのゼロクリック脆弱性を悪用した攻撃に再び利用される可能性があったが、MicrosoftがCVE-2023-29324でパッチをリリースし、対処された。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリゼロクリック脆弱性を悪用した攻撃を回避するため、既存のOutlookの脆弱性パッチに変更を加えたbypassを使用した。
マルウェア不明
脆弱性CVE-2023-29324

被害状況

事件発生日不明
被害者名Linuxユーザー
被害サマリ新しいBPFDoorマルウェアのステルスバージョンが発見され、より堅牢な暗号化と逆シェル通信が特徴。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリBPFDoorと呼ばれるステルスバックドアマルウェアを使用
マルウェアBPFDoorマルウェア
脆弱性2019年の脆弱性を使用して感染することがある

被害状況

事件発生日2023年5月7日
被害者名ABB
被害サマリABBがBlack Basta ransomware攻撃を受け、Windows Active Directoryに影響が出て、数百台のデバイスが影響を受けた。会社のオペレーションに混乱が生じ、プロジェクトの遅れや工場への影響が報告された。
被害額不明(予想不可)

攻撃者

攻撃者名Black Basta ransomware
攻撃手法サマリランサムウェア攻撃
マルウェアBlack Basta ransomware
脆弱性不明

被害状況

事件発生日不明
被害者名SchoolDudeオンラインプラットフォームのユーザー
被害サマリBrightly SoftwareのSchoolDudeオンラインプラットフォームのデータベースにアクセスして、不正アクセス者に顧客アカウントの情報が盗まれた。盗まれた情報には顧客の名前、メールアドレス、アカウントのパスワード、電話番号、学区名が含まれる。
被害額不明(予想不可)

攻撃者

攻撃者名不明
攻撃手法サマリ明らかにされていない
マルウェア報告には記載がない
脆弱性報告には記載がない

被害状況

事件発生日2022年2月〜2023年上半期
被害者名VMware ESXiサーバーのユーザー
被害サマリ9つのランサムウェアグループがBabukのソースコードを利用してVMware ESXiサーバーを攻撃し、暗号化した。
被害額不明(予想)

攻撃者

攻撃者名不明
攻撃手法サマリ9つのランサムウェアグループがBabukのソースコードを利用してVMware ESXiサーバーを攻撃して暗号化した。
マルウェアBabuk、Play (.FinDom)、Mario (.emario)、Conti POC (.conti)、REvil aka Revix (.rhkrc)、Cylance ransomware、Dataf Locker、Rorschach aka BabLock、Lock4、RTM Lockerが報告されている。
脆弱性不明

脆弱性

CVECVE-2023-32243
影響を受ける製品WordPressのElementorプラグインの"Essential Addons for Elementor"
脆弱性サマリプラグインのパスワードリセット機能における認証されていない特権昇格により、リモート攻撃者がサイトの管理者権限を取得できる可能性がある。
重大度
RCE
攻撃観測不明
PoC公開不明

被害状況

事件発生日2020年12月
被害者名Ubiquiti
被害サマリNickolas SharpがUbiquitiのデータを盗み、企業に400万ドルの支払いを要求し、実際には情報を公開するために報道機関に接触したことで、Ubiquitiの株価が20%下落し、市場キャピタルが40億ドル以上失われた。
被害額不明(予想:市場キャピタルが40億ドル以上)

攻撃者

攻撃者名Nickolas Sharp(元Ubiquiti 開発者)
攻撃手法サマリ企業の内部者が顧客情報を盗み出し、支払いを要求すると同時に、報道機関に接触してUbiquitiのセキュリティインシデントに関する虚偽の情報を提供し、Ubiquitiの評判を損ねた。
マルウェア不明
脆弱性不明

被害状況

事件発生日不明(2020年12月に最初の攻撃が行われたと推定)
被害者名東欧の軍事・運輸・重要インフラ組織、2022年2月にはウクライナ中央部の軍事ターゲットと重要インフラのオフィサー
被害サマリデータ収集と監視、キーストロークのロギング、キャプチャ、マイクロフォンによる録音など
被害額不明(推定不可)

攻撃者

攻撃者名不明(国籍などは不明)
攻撃手法サマリ悪意のあるインストーラーファイルを使用して、悪意のあるDBoxShellマルウェア(別名PowerMagic)を感染させることで被害者を攻撃する
マルウェアDBoxShellマルウェア(別名PowerMagic)とGraphShellマルウェアを含む
脆弱性不明

- Twitterが有料ユーザー向けにエンドツーエンド暗号化に対応したDM機能を提供開始。
- エンドツーエンド暗号化は、送信元と受信元だけが情報を見ることができる方式。
- Twitterは具体的な技術詳細を発表する予定で、whitepaperは2023年に公開される予定。
- ただし、この機能はTwitter Blue加入者に限定され、また相手もまた加入している必要がある。
- また制限も設けられており、一つの会話につき10台までのデバイスでしか使用できない。

被害状況

事件発生日