1. マラスロッカーと呼ばれる新しいランサムウェアがZimbraサーバーに侵入、ファイルを暗号化して、被害者に支援募金を要求するようになった。
2. 従来のランサムウェアと異なり、支援金の募集を行っており、何らかの寄付をしてくれることを求めている。
3. 支援金額は自由で指定された児童養護施設に贈られる。
4. 脅迫メッセージには、連絡先のメールアドレスが記載されている。
5. 暗号化ファイルの末尾にはREADME.txtが添付され、詳細な暗号化方法について記載されている。また、被害者の情報を盗用し、オンラインに公開すると報じられている。

被害状況

事件発生日	2023年5月17日
被害者名	不明
被害サマリ	CiscoのSmall Businessシリーズスイッチに存在する4つの重大な脆弱性(CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, and CVE-2023-20189)が公開されたエクスプロイトコードによって攻撃され、リモートコード実行が可能になったことが明らかになった。
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	脆弱性をもつスイッチのウェブインターフェイスに不正なリクエストを送信することで攻撃
マルウェア	不明
脆弱性	Small Businessシリーズスイッチにおけるウェブインターフェイスの不適切なバリデーション

被害状況

事件発生日	不明
被害者名	Windows 11ユーザー
被害サマリ	Microsoft DefenderのアップデートによりLSA Protectionがオフになっているとの警告が頻繁に表示される。また、脆弱性があるためブルースクリーンや再起動の問題が発生する。
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	Microsoft Defenderのアップデートに不具合があり、Windows 11のセキュリティが脆弱化された。
マルウェア	特定されていない
脆弱性	Microsoft Defenderにある不具合

エラーが発生しました。
記事ファイル名:../articles/20230517 181241_33383da9d771d0c17aedd0d80a6b9c094907f82bea455080a0a52501a05cded2.json

被害状況

事件発生日	2023年5月4日
被害者名	Windows開発者
被害サマリ	MicrosoftのVSCode Marketplaceに3つの悪意のある拡張機能がアップロードされ、Windows開発者に46,600ダウンロードされました。このマルウェアにより、脅威アクターは認証情報やシステム情報を盗み、被害者のマシンでリモートシェルを開いていました。
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	MicrosoftのVSCode Marketplaceに悪意のある拡張機能をアップロードすることで、Windows開発者を攻撃。3つの拡張機能により、認証情報を盗む、リモートシェルを開くなどの攻撃を行いました。
マルウェア	3つの拡張機能が使用されていました。1つは"Theme Darcula dark"、1つは"python-vscode"、もう1つは"prettiest java"でした。
脆弱性	不明

被害状況

事件発生日	2023年5月14日
被害者名	ScanSource
被害サマリ	アメリカのクラウドサービスおよびSaaS接続およびネットワーク通信プロバイダーであるScanSourceが、ランサムウェア攻撃に遭い、システムやビジネス操作および顧客ポータルに影響が出た。同社は、サービス提供に遅れが生じる可能性があると報告している。
被害額	不明（予想：数百万ドル）

攻撃者

攻撃者名	不明
攻撃手法サマリ	ランサムウェア攻撃
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	不明
被害者名	開発、人道支援、メディア、非政府組織
被害サマリ	YemenのHouthis運動の疑いがあるハッキンググループ、OilAlphaによるサイバースパイ活動。攻撃対象は、Arabian peninsulaにおけるArabic言語話者で、Androidデバイスを使用している。
被害額	不明（予想）

攻撃者

攻撃者名	YemenのHouthis運動に関連があるグループ
攻撃手法サマリ	WhatsAppなどのエンドツーエンドの暗号化通信アプリを使用して、Social engineering 戦術によって攻撃。URLのリンク先を短縮して用いた。APKファイルに紛れ込んだUNICEFやNGO、その他の救済団体になりすますアプリをtargetに送付し、Android APPに潜むSpyNote（別名SpyMax）を端末にインストールすることにより、被害を拡大。デスクトップマルウェアnJRATも併用された。
マルウェア	SpyNote（別名SpyMax）とnJRAT。
脆弱性	不明

被害状況

事件発生日	不明
被害者名	不明
被害サマリ	BianLianランサムウェアグループの攻撃により、米国とオーストラリアの重要インフラへの攻撃が自民主的データ窃取攻撃に切り替えたことが確認された。攻撃は2022年6月から続いており、2023年1月以降、ランサムウェアの復号が可能になり、攻撃は完全にデータ窃取に移行した。攻撃は、有効なリモートデスクトッププロトコル（RDP）の資格情報（最初のアクセスブローカーから購入されたり、フィッシングで取得されたりすることがある）を使用しており、ゴー言語で書かれたカスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドラインなどを用いて、ファイル転送プロトコル（FTP）、Rcloneツール、Megaファイルホスティングサービスを介して、被害者のデータを流出させる。攻撃は、Sophosセキュリティ製品による不正操作保護を無効にするために、PowerShellとWindowsコマンドシェルを利用して、ウイルス対策ツールの関連する実行プロセスを無効化する。
被害額	不明（予想：被害額は不明であるため、推定できません）

攻撃者

攻撃者名	BianLianランサムウェアグループ（国籍などの特徴は不明）
攻撃手法サマリ	有効なリモートデスクトッププロトコル（RDP）の資格情報を使用してアクセス。カスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドライン、PowerShell、Windowsコマンドシェルを利用して攻撃を行う。詳細はMitigations section of this advisoryを参照。
マルウェア	BianLianランサムウェア
脆弱性	不明

Patch Management: 要件の概要

対象	[システムやアプリケーション全般]
目的	[システムを安定的かつセキュアに保つためにパッチを適用するためのプラットフォーム導入が必要]
必要な情報	[OSやアプリケーションの情報、現行バージョンの情報、パッチグループ、パッチの依存関係]
ライフサイクル管理	[CI/CDプロセスと組み合わせた場合、パッチライフサイクルは自社アプリケーションの開発過程の一部となる。古いパッチを取り外し新しいパッチを適用する処理が必要な場合がある]
パッチテスト	[閉じた環境でパッチをテストして影響を確認することが必要。エラーが抑制されていないことが確認できるログレベルも必要。]
パッチデプロイ	[認証済みのパッチを全てのシステムにデプロイできる方法が必要。実行前・実行後にスクリプトを実行することもできる。]
信頼性	[信頼性のあるアップローダー・パブリッシャーを知り、信頼できるパッチのリポジトリを使うことが必要。複数のリポジトリを使うことでもよい。]
パッチの優先度	[人手で設定する必要がある場合、CID、緊急対応、責任ベンダーのパッチの使用が最適な管理を提供する。]
更新方法のアーキテクチャ	[スキャンするアプローチ（エージェント/エージェントレス）どちらにも対応していることが望ましい。]
第三者アプリケーションのサポート	[デスクトップやラップトップなど、サードパーティー製アプリケーションを更新することができるプラットフォームが必要。Adobe、Microsoftなどの主要プレイヤーなどにも対応できることが理想的]

被害状況

事件発生日	2023年5月17日
被害者名	不明
被害サマリ	UNC3944という脅威グループがマイクロソフトAzure Serial Consoleを悪用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃を行った。この攻撃は従来の検出方法を回避し、脆弱性を介して攻撃者にVMを完全に乗っ取る権限を与えた。
被害額	(予想)不明

攻撃者

攻撃者名	UNC3944 (Roasted 0ktapusとも呼ばれる)
攻撃手法サマリ	Microsoft Azure Serial Consoleを使用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃。SIMスワッピング攻撃を利用し、SMSフィッシングメッセージを送って特権ユーザーの認証情報を入手。それに続いて、2要素認証(2FA)トークンを攻撃者がコントロールするSIMカードに受信するようにSIMスワップを行う。
マルウェア	STONESTOP、POORTRY
脆弱性	Azure VM拡張機能、Azure Network Watcher、Azure Windows Guest Agent、VMSnapshot、Azure Policy Guest configurationに関する脆弱性。