1. 「The Hacker News」というサイバーセキュリティに関するニュースプラットフォームがあり、300万以上の人がフォローしている。
2. Bandit Stealer というマルウェアが開発され、多数のウェブブラウザや暗号通貨ウォレットを狙っている。
3. runas.exeというレジットなコマンドラインツールを使用して、Bandit Stealer はWindowsをターゲットにしている。
4. Bandit Stealer は、仮想環境とサンドボックスで実行されているかどうかを確認することができる。
5. 最近の情報窃取マルウェアのトレンドとして、脆弱性コードから続々と派生し、効果的なアクセスを提供するためにMaas市場で販売されていることが挙げられる。

脆弱性

CVE	CVE-2023-28131
影響を受ける製品	Expo.ioアプリケーション開発フレームワーク
脆弱性サマリ	認証情報漏えいによりアカウント乗っ取りが可能
重大度	9.6 (CVSSスコア)
RCE	無
攻撃観測	有
PoC公開	不明

Expo.ioアプリケーション開発フレームワークのOpen Authorization(OAuth)実装に、重大度9.6の脆弱性 (CVE-2023-28131)が見つかった。APIセキュリティ会社であるSalt Labsによれば、この問題により、フレームワークを使用するサービスが認証情報漏えいの影響を受け、アカウント乗っ取りとそれに伴う重要なデータの流出の危険がある。特定の状況下では、脆弱性を悪用して第三者提供者（GoogleやFacebookなど）を介したシングルサインオン（SSO）のためのAuthSessionプロキシ設定を構成しているサイトおよびアプリケーションに対し、Facebookなどのサインインプロバイダに関連する秘密トークンをアクターが制御するドメインに送信し、犠牲者のアカウントを乗っ取ることができる。攻撃者は、SMSメッセージ、電子メール、または怪しいウェブサイトなどの伝統的な社会工学ベクトルを介して、特別に作成されたリンクをクリックするようにターゲットユーザーを誘導することで、その攻撃を成功させることができる。Expo.ioは、Android、iOS、およびWeb上で実行されるユニバーサルネイティブアプリを開発するためのオープンソースプラットフォームであり、同社は2023年2月18日に脆弱性を修正している。修正後、ユーザーはサードパーティ認証プロバイダに直接Deep Link URLスキームを登録して、SSO機能を有効にすることが推奨される。

被害状況

事件発生日	不明（2023年5月21日以降）
被害者名	Augusta市
被害サマリ	Augusta市が不正アクセスによるシステムアウトエージを経験、BlackByte ransomwareが責任を認め、攻撃によって盗まれたと主張するデータをリークした。
被害額	不明

攻撃者

攻撃者名	BlackByte ransomware
攻撃手法サマリ	不明
マルウェア	BlackByte ransomware
脆弱性	不明

被害状況

事件発生日	不明
被害者名	Microsoft社のデベロッパー
被害サマリ	Microsoft Defenderがデベロッパーのファイル操作を遅らせることなく、Dev Drivesのファイル操作を完了する方法を提供する新しい機能「performance mode」を導入。これによりデベロッパーが大規模なデータセット、例えばソースコードリポジトリ、ビルド出力、または中間ファイル、パッケージキャッシュを格納するのに適したDev Driveが作成された。これにより、ビルドスピードが最大30%向上する見込み。
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	ファイル操作を遅らせることなく、Dev Drivesのファイル操作を完了する新しい機能「performance mode」を提供するMicrosoft Defenderに対する攻撃は報告されていない。
マルウェア	不明
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	Microsoft Defender Antivirus
脆弱性サマリ	Microsoft Defender Antivirusが、開発者用ドライブでファイル解析時のスキャンの影響を緩和する「パフォーマンスモード」を実装
重大度	なし
RCE	不明
攻撃観測	なし
PoC公開	なし

今回の脆弱性はMicrosoft Defender Antivirusが開発者用ドライブ（Dev Drive）でファイル解析時のスキャンの影響を緩和する「パフォーマンスモード」を実装したことによるものである。具体的には、ファイル操作が完了するまでスキャンを遅らせることでファイル入出力の時間の短縮ができる。昨年（2022年）に公開したWindows 11でDev Driveを導入したが、Insidersのみの公開であり、要件は8GB以上のRAMと50GB以上の無料ディスク容量。また、パフォーマンスモードはTrustedドライブでのみ利用可能であり、現時点では特定のファイルシステムでのみ有効。

被害状況

事件発生日	2023年5月7日
被害者名	ABB
被害サマリ	ABBに対してランサムウェア攻撃が行われ、社内システムにアクセスされ、一部社内システムに影響が生じた。また、社内システムからデータが盗まれた。
被害額	不明（予想：数億円以上）

攻撃者

攻撃者名	不明
攻撃手法サマリ	ランサムウェア攻撃
マルウェア	Black Basta
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	Google Cloud PlatformのCloud SQLサービス
脆弱性サマリ	Cloud SQLサービスに存在する特権昇格の脆弱性
重大度	高
RCE	無
攻撃観測	なし
PoC公開	不明

Google Cloud PlatformのCloud SQLサービスに特権昇格の脆弱性が存在し、攻撃者がクラウド内の機密データにアクセスできる可能性があることが、イスラエルのクラウドセキュリティ企業Digによって報告された。報告によれば、攻撃者が基本的なCloudSQLユーザーからシステム管理者に昇格して全てのファイルにアクセスすることができ、顧客データを含む内部GCPデータを盗み取ることができるという。Googleは、2月に責任ある開示を受け、4月に問題を解決したと発表した。

被害状況

事件発生日	2023年5月中旬
被害者名	Embyユーザー
被害サマリ	Embyサーバーが、既知の脆弱性と不十分な管理者アカウント設定を悪用され、外部からのログインなしで管理者アクセスを許可していたことを利用され、サイバー攻撃を受けた。攻撃者は悪意のあるプラグインをインストールし、ユーザーの資格情報を収集していた。
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	脆弱性を悪用してサーバーにアクセスし、悪意のあるプラグインをインストールして、ユーザーの資格情報を収集した。
マルウェア	不明
脆弱性	Embyサーバーの「プロキシヘッダーバルナビリティ」の脆弱性

脆弱性

CVE	なし
影響を受ける製品	Firefox
脆弱性サマリ	フルスクリーンの広告でFirefoxの機能が無効になる問題
重大度	なし
RCE	不明
攻撃観測	不明
PoC公開	不明

被害状況

事件発生日	2023年5月21日
被害者名	Augusta市
被害サマリ	BlackByteランサムウェアによるサイバー攻撃により、Augusta市のコンピュータシステムがシャットダウン。攻撃者は10GBのデータを流出させ、個人情報や契約、予算割当などの機密情報が含まれていた。
被害額	不明（予想）

攻撃者

攻撃者名	BlackByteランサムウェアグループ
攻撃手法サマリ	ランサムウェアによる攻撃
マルウェア	BlackByteランサムウェア
脆弱性	不明

エラーが発生しました。
記事ファイル名:../articles/20230526 123900_878559316ac7d7ab9651d77055dfe15b2d7677035d9f406a7c11e548391c1edc.json