被害状況

事件発生日	2023年6月21日
被害者名	不明
被害サマリ	北朝鮮のサイバースパイ集団ScarCruftがAblyリアルタイムメッセージングサービスを悪用して、情報窃盗マルウェアを送信し、被害者のプライバシーを侵害した。被害者は韓国国内の個人であり、北朝鮮亡命者、人権活動家、大学教授などを狙うRedEyesグループによる特定個人攻撃。
被害額	不明（予想：情報漏洩の被害が中心であり、被害額を算出することは難しい）

攻撃者

攻撃者名	ScarCruft（北朝鮮のサイバースパイ集団）
攻撃手法サマリ	メールにMicrosoft Compiled HTML Helpファイルを添付して送信し、それがクリックされると、情報窃盗マルウェアであるChinottoをダウンロードして感染を広げた。また、Golangで開発されたAblyGoバックドアを介してマルウェアのコマンドを送信し、AblyリアルタイムメッセージングサービスをC2サーバーとして利用した。RedEyesグループが窃盗マルウェアFadeStealerを使用し、スクリーンショットを撮影し、リムーバブルメディアやスマートフォンからデータを収集し、キーストロークを記録し、マイクを録音することで個人のプライバシーを侵害した。
マルウェア	Chinotto、AblyGo（またはSidLevel）、FadeStealer
脆弱性	不明

- 米FTCがAmazon Primeに関する不当な契約に関する苦情を提出
- Amazonは課金を停止する手間をあえて多くするなどのダークパターンを利用
- Amazonのチェックアウト画面にて、Prime加入を強いるプロセスが継続的に行われた
- プロセスをキャンセルする際には、顧客が意図的に難しい作業を行うように促す手段があったとされている
- FTCは、Amazonに対し不当なタクティックの使用をやめるよう要求し、また罰金30億円を課すよう命じた。

1. 脅威アクターはトラディショナルなダークウェブからTelegramに移行している。
2. 移行の理由は、サイバー犯罪の商品化、トラディショナルなダークウェブが法執行機関に監視されること、そしてTorが遅いことなどがある。
3. Telegramは、エモジ、直接プライベートチャット、電話アプリケーションを持つ、多数の機能を持っており、アプリケーションを攻撃する一般的な技術的な専門知識がより低いため、サイバー犯罪の民主化を生み出す。
4. Telegramは、サイバー犯罪に特化した数千のチャンネルを提供し、企業のウェブサイトのデータ漏洩を試みる攻撃に対して多数の活動家たちが陰謀を企てているのを探知することが重要である。
5. Flare のThreat Exposure Management platformを使用することで、ダークウェブとクリアウェブの両方を監視し、情報漏洩に関するリスクを抑制することができる。

被害状況

事件発生日	2023年6月21日
被害者名	iOSデバイスのユーザー
被害サマリ	iOSデバイスに植え付けられたスパイウェアにより、デバイスとユーザーデータに完全制御された。
被害額	不明（予想不可）

攻撃者

攻撃者名	不明（国籍・属性等不詳）
攻撃手法サマリ	iMessageプラットフォームを介してのゼロクリック攻撃による、iOSデバイスにスパイウェアをインストール
マルウェア	TriangleDB（バックドア）
脆弱性	iOSのカーネル脆弱性

1. The article is about reducing friction caused by information security controls.
2. Vanta, a security team, conducts bi-annual employee surveys to find hidden friction and improve their security program.
3. Hidden friction can occur when employees do not understand the reasons behind security controls.
4. Survey results are used to create a document that shares actions taken by the security team to reduce friction with the company.
5. Increasing positive working relationships with coworkers can make security programs more effective.

脆弱性

CVE	なし
影響を受ける製品	Microsoft Azure Active Directory OAuth
脆弱性サマリ	Microsoft Azure ADのOpen Authorization（OAuth）プロセスには、完全なアカウント乗っ取りが可能になる脆弱性がある。
重大度	高
RCE	不明
攻撃観測	不明
PoC公開	不明

エラーが発生しました。
記事ファイル名:../articles/20230621 112900_276409eb56c30bb9ccb67a0b2525f10fb12f1184296d5a25f6c90ffd7413feee.json

被害状況

事件発生日	2022年後半-2023年初
被害者名	中央および南アメリカの外務省などの組織
被害サマリ	中国のAPT15というハッカーグループによる攻撃が発生。新しいバックドア「Graphican」が使用され、マイクロソフトのGraph APIとOneDriveを利用してC2インフラストラクチャを取得。具体的な攻撃手法は、様々なマルウェアやカスタムバックドアを用いて侵入したあと、異なる種類のWindows認証情報を収集するためのpublicly available credential-dumping toolを使用し、Webシェル（AntSword、Behinder、China Chopper、Godzilla）を用いて被害システムにバックドアアクセスを確立している。
被害額	不明（国家の機密情報が狙われる攻撃であるため、被害額の算出は不可能）

攻撃者

攻撃者名	中国のAPT15
攻撃手法サマリ	様々なマルウェアやカスタムバックドアを使用して侵入し、異なる種類のWindows認証情報を収集するための publicly available credential-dumping tool を使用。Webシェル（AntSword、Behinder、China Chopper、Godzilla）を用いて被害システムにバックドアアクセスを確立。
マルウェア	Graphican、RoyalCLI、RoyalDNS、Okrum、Ketrum、SilkBean、Moonshine、EWSTEW
脆弱性	不明

被害状況

事件発生日	不明
被害者名	TP-Link Archer AX21 (AX1800) Wi-Fiルーターの所有者
被害サマリ	Condiと呼ばれるマルウェアによって、TP-Link Archer AX21 (AX1800) Wi-Fiルーターが踏み台にされ、分散型サービス拒否攻撃（DDoS）ボットの一部となった可能性がある。
被害額	不明（予想）

攻撃者

攻撃者名	zxcr9999（オンラインエイリアス、国籍不明）
攻撃手法サマリ	TP-Link Archer AX21（AX1800）Wi-Fiルーターの脆弱性CVE-2023-1389を利用して、Condiと呼ばれるマルウェアを展開する。その後、踏み台にされたルーターを利用して、分散型サービス拒否攻撃（DDoS）を行う。
マルウェア	Condi
脆弱性	CVE-2023-1389

被害状況

事件発生日	2023年6月21日
被害者名	VMware Aria Operations for Networksのユーザー
被害サマリ	VMwareのAria Operations for Networksバージョン6.xにおける重大なコマンドインジェクションの脆弱性が悪用され、リモートコード実行が発生する可能性がある。国内外から複数の攻撃が報告されている。
被害額	不明（予想：数百万ドル以上）

攻撃者

攻撃者名	攻撃者は特定されていないが、GreyNoiseによると、攻撃者はオランダにある2つの異なるIPアドレスから攻撃している可能性がある。
攻撃手法サマリ	コマンドインジェクションの脆弱性を悪用する
マルウェア	不明
脆弱性	CVE-2023-20887

脆弱性

CVE	CVE-2023-20887
影響を受ける製品	VMware Aria Operations Networks 6.x
脆弱性サマリ	Aria Operations for Networksには、悪意のあるユーザーによってコマンドインジェクション攻撃が実行され、リモートコード実行が起こり得る脆弱性がある
重大度	高
RCE	有
攻撃観測	有
PoC公開	有