1. 「The Hacker News」というサイトは、300万以上のフォロワーによって信頼されるサイバーセキュリティニュースプラットフォームである。
2. 「Continuous Threat Exposure Management（CTEM）」という枠組みは、組織が継続的に危険要因を監視し、評価し、削減するための5段階のプログラムであり、Gartnerの報告書によると、実行計画のための一貫した実行可能なセキュリティポジション改善プランを企業の経営幹部が理解し、アーキテクチャチームが対応するプランを作成することが目的である。
3. CTEMプログラムを実行するにあたり、企業は予期しない問題にぶつかる可能性があるため、早期にそれらを解決するために慎重に計画を立てることが重要である。
4. 慎重に実行するための主な挑戦としては、セキュリティチームと非セキュリティチームの間の言語の壁、全体像を捉える難しさなどがある。
5. CTEMを正しく実装することで、組織は攻撃者に悪用される可能性がある問題の領域を特定し、それらに対処することができるため、セキュリティポジションを継続的に改善することができる。

被害状況

事件発生日	2023年5月29日
被害者名	不明
被害サマリ	日本のLinuxルーターが、Golangによる新しいリモートアクセストロイジャン（RAT）GobRATの標的となっている。
被害額	不明（予想：不明）

攻撃者

攻撃者名	不明
攻撃手法サマリ	ポートをオープンにしたルーターに対して脆弱性を利用してスクリプトを実行し、ローダースクリプトをデプロイしてGobRATを配信する。
マルウェア	GobRAT
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	.ZIPドメインを悪用したフィッシング攻撃による装うプログラム
重大度	不明
RCE	不明
攻撃観測	あり
PoC公開	不明

この記事は新たなフィッシング手法について述べたものである。この手法により、被害者が.ZIPドメインを訪れた時、Webブラウザ上でファイルアーカイバーソフトウェアを「シミュレート」することができる。攻撃者はHTMLとCSSを使用して、合法的なファイルアーカイブソフトウェアに似せた信憑性の高いフィッシングのランディングページを作成することができる。ファイルアーカイブを含む偽のZIPアーカイブがクリックされたとき、攻撃者は資格情報の収集ページにユーザーをリダイレクトすることができる。この手法では、非実行可能なファイルがリストアップされ、ダウンロードを開始すると実行可能なファイル（「invoice.pdf」など）であると偽装することができる。攻撃者は非常に合法的に見せることができるため、被害者はファイルダウンロードを期待している状態になる可能性がある。もっとも、Windowsファイルエクスプローラーの検索バーを利用してさえ、非存在する.ZIPファイルを検索した場合、ユーザーは本物の.ZIPドメインを自動的に開くことになる。こうした新たな攻撃手法の背景には、Googleがzipやmovといった新しいトップレベルドメインを導入したことがあげられる。これらは、悪意のあるWebサイトへの誘導やマルウェアの誤ダウンロードなどを引き起こす可能性がある。

脆弱性

脆弱性	PyPIパッケージのアカウント所有者に対し、年末までに2要素認証を義務付けると発表
影響を受ける製品	PyPIパッケージを利用しているソフトウェア
脆弱性サマリ	アカウント乗っ取りによる悪意あるパッケージの配布を防ぎ、パッケージ偽装やマルウェアを抑止するための措置
重大度	不明
RCE	不明
攻撃観測	不明
PoC公開	なし

脆弱性

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	「ファイルアーカイバ」を装い、ZIPドメインでフィッシング攻撃を行う手法が確認される
重大度	なし
RCE	無
攻撃観測	有
PoC公開	有

脆弱性概要： ZIPドメインを使用したフィッシング攻撃による悪意あるファイルの実行が可能になる脆弱性が報告されている。攻撃者が「ファイルアーカイバ」を装い、ZIPドメインで偽のWinRARウインドウを表示させてユーザに偽のファイルを開示し、ユーザにクリックさせてフィッシング攻撃やマルウェアの実行を行わせる手法が確認されている。PoCが公開されている。

脆弱性

CVE	なし
影響を受ける製品	Python Package Index
脆弱性サマリ	PyPIは、すべてのソフトウェア公開者に2FAを義務付けます
重大度	なし
RCE	不明
攻撃観測	なし
PoC公開	なし

脆弱性の概要: Python Package Index（PyPI）は、アカウントの管理者が年末までに2要素認証（2FA）をオンにすることを要求することを発表しました。2FA保護の1つの利点は、サプライチェーン攻撃リスクが軽減されることです。これらの攻撃は、悪意のあるアクターがソフトウェアメンテナーのアカウントを制御し、バックドアまたはマルウェアを、様々なソフトウェアプロジェクトで依存関係として使用されるパッケージに追加する場合に発生します。依存関係にあるパッケージがどれほど人気があるかによって、これらの攻撃は数百万人のユーザーに影響を与える可能性があります。また、Pythonプロジェクトリポジトリは、過去数ヶ月間に大量のマルウェアアップロード、有名なパッケージなりすまし、およびハイジャックされたアカウントを使用した悪意のあるコードの再提出に苦しんでいます。PyPIの2FA保護は、アカウント乗っ取り攻撃の問題を軽減し、停止されたユーザーが悪意のあるパッケージを再アップロードするために作成できる新しいアカウントの数にも制限を設定する必要があります。

- CISAが、Barracuda Email Security Gateway (ESG)アプライアンスに侵入するために利用された最近パッチが当てられたzero-day脆弱性について、先週警告した。
- ゼロデイ脆弱性CVE-2023-2868は、すでにBarracudaによって修正されたため、FCEB機関は脆弱性を修正する必要がなくなった。
- Barracudaは、影響を受けたデバイス全体に第二のパッチを適用したと述べている。
- Barracudaのセキュリティソリューションは、サムスン、三菱、Kraft Heinz、デルタ航空などの有名企業を含む、世界中の200,000以上の組織に利用されている。
- 脆弱性は、複数のメールゲートウェイアプライアンスへの不正アクセスを引き起こし、影響を受けた顧客は、他のネットワークデバイスへのアクセスを確認するよう勧告された。

被害状況

事件発生日	不明
被害者名	不明
被害サマリ	QBotマルウェアがWindows 10のWordPadプログラムのDLLハイジャックの脆弱性を悪用し、Windows 10 WordPadの実行可能ファイル(write.exe)を悪意のあるDLLファイルに偽装して、PCに侵入している。被害者がウェブサイトのリンクをクリックするとZIPファイルがダウンロードされ、そのファイル内にはWindows 10 WordPad実行可能ファイルが含まれている。そして、この実行可能ファイルが起動された際に、実行可能ファイルと同じフォルダにあるファイルを優先的に読み込む仕様のため、QBotマルウェアが偽装したDLLファイルが読み込まれ、その中の悪意のあるプログラムが実行されるようになっている。
被害額	不明（予想：被害額は情報漏えいによって測定できないため、評価が困難である。）

攻撃者

攻撃者名	不明（QBotマルウェアを利用した攻撃とされている）
攻撃手法サマリ	DLLハイジャックの脆弱性を悪用した攻撃。
マルウェア	QBotまたはQakbot
脆弱性	Windows 10 WordPadプログラムのDLLハイジャックの脆弱性

脆弱性

CVE	なし
影響を受ける製品	Windows 10 WordPad
脆弱性サマリ	QBotマルウェアがDLLハイジャックを使用してWordPadに感染できる
重大度	不明
RCE	不明
攻撃観測	有
PoC公開	なし

被害状況

事件発生日	不明
被害者名	不明
被害サマリ	Hot Pixelsと呼ばれる攻撃により、ターゲットのブラウザに表示されたコンテンツからピクセルを取得し、ナビゲーションの履歴を推測することができることが発見された。
被害額	不明（予想不可）

攻撃者

攻撃者名	不明（研究者によって開発された攻撃）
攻撃手法サマリ	「Hot Pixels」攻撃は、近代のシステムオンチップ(SoCs)およびグラフィックス処理ユニット(GPUs)上でデータ依存計算時間を悪用し、最新のサイドチャネル対策が有効でもChromeやSafariで訪問したWebページから情報を盗み出すことができる。
マルウェア	不明
脆弱性	ChromeやSafariで訪問したWebページから情報を取得するため、脆弱性を突く必要があるが、記事には触れられていない。