| CVE | CVE-2023-3278 |
|---|---|
| 影響を受ける製品 | KeePass 2.x |
| 脆弱性サマリ | KeePass 2.xにおいて、SecureTextBoxExに問題があることで、一部マスターパスワードの文字列が残ってしまう脆弱性が存在する。これにより、アプリケーションのメモリーダンプから部分的に文字列を抽出され、クリアテキストのマスターパスワードが盗まれる危険性がある。 |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | なし |
| PoC公開 | 有 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不特定のオンラインサービスユーザー |
| 被害サマリ | ユーザーの80ミリオンのアカウント情報が開示され、1.5百万のコンピューターのデータが売りに出されたジェネシス・マーケットという名の「闇市場」が取り締まられた。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 「闇市場」を運営するグループによる個人情報の販売 |
| マルウェア | なし |
| 脆弱性 | なし |
| 事件発生日 | 2023年5月27日以降 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | MOVEit Transferサーバーの脆弱性(CVE-2023-34362)を利用した攻撃により、組織からデータが盗まれる事件が発生。攻撃者は、サーバーに設定されたAzure Blob Storageコンテナの資格情報/秘密を盗み取った。被害者は現在、身代金要求を受け取っていない。 |
| 被害額 | 不明(予想:数百万~数千万ドル) |
| 攻撃者名 | Clop ransomware gang/Lace Tempest(TA505, FIN11, DEV-0950) |
|---|---|
| 攻撃手法サマリ | MOVEit Transferサーバーの脆弱性(CVE-2023-34362)を利用して、サーバーに特製のWebシェルを設置し、サーバーに保存されたファイルのリストを取得し、ファイルをダウンロードしてAzure Blob Storageコンテナの資格情報/秘密を盗み出す。 |
| マルウェア | 不明 |
| 脆弱性 | MOVEit Transferサーバーの脆弱性(CVE-2023-34362) |
| CVE | なし |
|---|---|
| 影響を受ける製品 | SaaSセキュリティ製品 |
| 脆弱性サマリ | SaaSセキュリティインシデントの増加 |
| 重大度 | 不明 |
| RCE | 不明 |
| 攻撃観測 | 有(55%の企業でセキュリティインシデント発生) |
| PoC公開 | なし |
| 事件発生日 | 2023年6月5日 |
|---|---|
| 被害者名 | 北米、ラテンアメリカ、ヨーロッパの規模の異なる多数のウェブサイト利用者 |
| 被害サマリ | ネットセキュリティ企業Akamaiによって発見されたマルウェアキャンペーン。被害サイトはMagecartによるもので、個人情報やクレジットカード情報が不正に入手されている。更に、被害サイトが偽のC2サーバーとなっており、悪意のあるコードをリアルタイムで配信している。攻撃者は、様々な手口を使って犯行を隠しており、発覚が困難になっている。 |
| 被害額 | 不明(予想:莫大な被害額が出たと考えられる) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 被害サイトをハッキングし、そこにマルウェアを格納して利用する手口を用いている。 |
| マルウェア | MagecartスタイルのWebスキマー |
| 脆弱性 | Magento、WooCommerce、WordPress、Shopifyおよびその他の様々な脆弱性が利用されたものと考えられる。 |
| 事件発生日 | 2023年6月5日 |
|---|---|
| 被害者名 | スペイン語とポルトガル語を話す被害者 |
| 被害サマリ | ブラジルに拠点を置く攻撃者が、LOLBaSとCMDスクリプトを使用して、メキシコ、ペルー、ポルトガルのオンライン銀行口座を狙った攻撃を実施。脅威アクターは、課税や交通違反をテーマにしたルアー付きのポルトガル語とスペイン語の電子メールを送信し、HTML添付ファイルを使用して感染を引き起こしてシステムに不正アクセスする。被害者のMicrosoft Outlookおよびブラウザーのパスワードデータを盗み出すために、AutoItスクリプトをダウンロードし、収集した情報をHTTP POSTリクエスト方法で攻撃者のサーバーに転送します。 |
| 被害額 | 不明(予想:数百万ドルから数千万ドル) |
| 攻撃者名 | ブラジル人の脅威アクター |
|---|---|
| 攻撃手法サマリ | LOLBaS(living-off-the-land binaries and scripts)とCMDスクリプトを使用 |
| マルウェア | 特定されていない |
| 脆弱性 | 特定されていない |
| 事件発生日 | 2023年5月 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | TrueBotによるアクティビティの急増が発生した。TrueBotはダウンローダ・トロイのボットネットで、C&Cサーバを使用して侵害されたシステムの情報を収集し、その侵害されたシステムをさらに攻撃の発射点にする。最近のTrueBot感染では、Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8)とRaspberry Robinを配信ベクターとして利用している。TrueBotは侵害された組織のネットワークにとって特に厄介な感染症であり、ランサムウェアがネットワーク全体に急速に広がる方法に類似している。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | SilenceグループとされるEvil Corpとの関係が疑われる。 |
|---|---|
| 攻撃手法サマリ | TrueBotはダウンローダ・トロイのボットネットで、C&Cサーバを使用して侵害されたシステムの情報を収集し、その侵害されたシステムをさらに攻撃の発射点にする。最近のTrueBot感染では、Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8)とRaspberry Robinを配信ベクターとして利用している。 |
| マルウェア | TrueBot |
| 脆弱性 | Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8) |