セキュリティニュースまとめる君

AVrecon malware infects 70,000 Linux routers to build botnet
incident
2023-07-14 06:35:08

被害状況

事件発生日	2021年5月以降
被害者名	Linuxベースの小規模オフィス/家庭用（SOHO）ルーターの所有者（具体的な個人や企業の名前は不明）
被害サマリ	AVreconというLinuxマルウェアに感染した70,000以上のLinuxルーターが、ボットネットを構築するために使用されました。
被害額	不明（予想）

攻撃者

攻撃者名	不明（攻撃者の国籍や特徴は不明）
攻撃手法サマリ	AVreconマルウェアを使用してLinuxルーターに感染し、そのルーターをボットネットに追加しました。
マルウェア	AVrecon
脆弱性	不明

Cisco SD-WAN vManage impacted by unauthenticated REST API access
incident
2023-07-13 21:53:30

被害状況

事件発生日	2023年7月13日
被害者名	不明
被害サマリ	Cisco SD-WAN vManage管理ソフトウェアには、未認証のリモート攻撃者が影響を受けたインスタンスの設定を読み取るか、制限された書き込み権限を取得することができる脆弱性が存在します。
被害額	不明（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	攻撃者は未認証のREST APIアクセスを利用して攻撃を行いました。
マルウェア	不明
脆弱性	CVE-2023-20214

Google Play will enforce business checks to curb malware submissions
vulnerability
2023-07-13 19:20:30

脆弱性

CVE	なし
影響を受ける製品	Google Play
脆弱性サマリ	Google Playにおけるマルウェア登録を防ぐため、新しいデベロッパーアカウントが組織として登録する際に有効なD-U-N-S番号の提供が必要になる。
重大度	なし
RCE	不明
攻撃観測	無
PoC公開	無

Windows 11 23H2 coming this fall as a small enablement package
other
2023-07-13 18:55:04

- Windows 11, version 23H2, will be available in the fourth quarter of 2023 as an enablement package
- The enablement package will toggle on inactive 23H2 features and upgrade the Windows version and build number
- The 23H2 fixes and improvements will be pushed to all systems running Windows 11 22H2 through a monthly quality update
- Users are advised to switch to Windows 11 22H2 before updating to the 23H2 feature update for a faster upgrade process
- The new features expected in Windows 11 23H2 include Windows Copilot, native Windows 11 support for RGB lighting controls, modernized File Explorer, taskbar ungrouping, and improved Windows Spotlight

Fake Linux vulnerability exploit drops data-stealing malware
incident
2023-07-13 18:28:48

被害状況

事件発生日	2023年7月13日
被害者名	不明
被害サマリ	偽のLinuxの脆弱性のPoCを利用したマルウェアによる情報窃取が発生
被害額	不明（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	偽の脆弱性のPoCを使用してマルウェアを配布
マルウェア	Linuxのパスワード窃取を行うマルウェア（名称不明）
脆弱性	CVE-2023-35829（実際の脆弱性はCVE-2022-34918）

Zimbra urges admins to manually fix zero-day exploited in attacks
vulnerability
2023-07-13 17:54:13

被害状況

事件発生日	2023年7月13日
被害者名	Zimbra Collaboration Suite (ZCS) email serversのユーザー
被害サマリ	Zero-day脆弱性を悪用して攻撃を受け、Zimbra Collaboration Suite (ZCS) email serversが標的になっている
被害額	(情報なし)

攻撃者

攻撃者名	中国のハッカーグループ（特定されていない）
攻撃手法サマリ	Zero-day脆弱性（反射型クロスサイトスクリプティング）を悪用
マルウェア	情報なし
脆弱性	反射型クロスサイトスクリプティング（CVE ID未割り当て）

脆弱性

CVE	なし
影響を受ける製品	Zimbra Collaboration Suite (ZCS) email servers
脆弱性サマリ	Zimbra Collaboration Suiteのバージョン8.8.15におけるクロスサイトスクリプティング（XSS）の脆弱性
重大度	不明
RCE	不明
攻撃観測	有
PoC公開	無

PicassoLoader Malware Used in Ongoing Attacks on Ukraine and Poland
incident
2023-07-13 16:07:00

被害状況

事件発生日	2023年7月13日
被害者名	ウクライナおよびポーランドの政府機関、軍事組織、市民ユーザー
被害サマリ	この一連の攻撃は、機密データを盗み、感染したシステムに持続的なリモートアクセスを得るために設計されたキャンペーンの一環として、ウクライナとポーランドの政府機関、軍事組織、市民ユーザーを標的としています。
被害額	情報がないため不明（予想）

攻撃者

攻撃者名	GhostWriter（別名UAC-0057またはUNC1151）などの脅威アクター
攻撃手法サマリ	フィッシングの誘導や偽装文書を用いた攻撃で、PicassoLoaderマルウェアを展開し、Cobalt Strike BeaconやnjRATを起動します。
マルウェア	PicassoLoader、Cobalt Strike Beacon、njRAT
脆弱性	情報がないため不明

TeamTNT's Silentbob Botnet Infecting 196 Hosts in Cloud Attack Campaign
incident
2023-07-13 15:55:00

被害状況

事件発生日	2023年7月13日
被害者名	不明
被害サマリ	TeamTNTの攻撃により、196のホストが感染。Botnetのテスト目的であり、暗号マイニングではない。
被害額	不明（予想）

攻撃者

攻撃者名	TeamTNT
攻撃手法サマリ	ホストへの侵入にはJupyterLabとDocker APIが使用され、Tsunamiマルウェアの展開と仮想通貨マイナーの実行を行う。
マルウェア	Silentbob, Tsunami
脆弱性	不明

Source code for BlackLotus Windows UEFI malware leaked on GitHub
vulnerability
2023-07-13 15:14:29

脆弱性

CVE	なし
影響を受ける製品	BlackLotus UEFI bootkit
脆弱性サマリ	BlackLotusはWindowsを標的とするUEFIブートキットであり、セキュアブートをバイパスし、セキュリティソフトウェアを回避し、感染したシステムで最高レベルの特権でペイロードを実行します。
重大度	不明
RCE	無
攻撃観測	有
PoC公開	無

Cyberattacks through Browser Extensions – the Importance of MFA
other
2023-07-13 14:02:01

- サイバー攻撃は最も弱い環境を標的にする傾向があるため、個々のユーザーアカウントに対する攻撃が増えている。
- ユーザーアカウントではなく、アプリケーションや拡張機能を標的にする攻撃が増えている。
- Chromiumベースのブラウザの拡張機能やVisual Studio Codeなどの開発ツールでの攻撃も多くなっている。
- IT管理者はユーザーがインストールできるものを制限し、セキュリティを強化する必要がある。
- パスワードだけでなく、マルチファクタ認証（MFA）を使用することで、攻撃を防ぐことができる。