| 事件発生日 | 2022年後半-2023年初 |
|---|---|
| 被害者名 | 中央および南アメリカの外務省などの組織 |
| 被害サマリ | 中国のAPT15というハッカーグループによる攻撃が発生。新しいバックドア「Graphican」が使用され、マイクロソフトのGraph APIとOneDriveを利用してC2インフラストラクチャを取得。具体的な攻撃手法は、様々なマルウェアやカスタムバックドアを用いて侵入したあと、異なる種類のWindows認証情報を収集するためのpublicly available credential-dumping toolを使用し、Webシェル(AntSword、Behinder、China Chopper、Godzilla)を用いて被害システムにバックドアアクセスを確立している。 |
| 被害額 | 不明(国家の機密情報が狙われる攻撃であるため、被害額の算出は不可能) |
| 攻撃者名 | 中国のAPT15 |
|---|---|
| 攻撃手法サマリ | 様々なマルウェアやカスタムバックドアを使用して侵入し、異なる種類のWindows認証情報を収集するための publicly available credential-dumping tool を使用。Webシェル(AntSword、Behinder、China Chopper、Godzilla)を用いて被害システムにバックドアアクセスを確立。 |
| マルウェア | Graphican、RoyalCLI、RoyalDNS、Okrum、Ketrum、SilkBean、Moonshine、EWSTEW |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | TP-Link Archer AX21 (AX1800) Wi-Fiルーターの所有者 |
| 被害サマリ | Condiと呼ばれるマルウェアによって、TP-Link Archer AX21 (AX1800) Wi-Fiルーターが踏み台にされ、分散型サービス拒否攻撃(DDoS)ボットの一部となった可能性がある。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | zxcr9999(オンラインエイリアス、国籍不明) |
|---|---|
| 攻撃手法サマリ | TP-Link Archer AX21(AX1800)Wi-Fiルーターの脆弱性CVE-2023-1389を利用して、Condiと呼ばれるマルウェアを展開する。その後、踏み台にされたルーターを利用して、分散型サービス拒否攻撃(DDoS)を行う。 |
| マルウェア | Condi |
| 脆弱性 | CVE-2023-1389 |
| 事件発生日 | 2023年6月21日 |
|---|---|
| 被害者名 | VMware Aria Operations for Networksのユーザー |
| 被害サマリ | VMwareのAria Operations for Networksバージョン6.xにおける重大なコマンドインジェクションの脆弱性が悪用され、リモートコード実行が発生する可能性がある。国内外から複数の攻撃が報告されている。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | 攻撃者は特定されていないが、GreyNoiseによると、攻撃者はオランダにある2つの異なるIPアドレスから攻撃している可能性がある。 |
|---|---|
| 攻撃手法サマリ | コマンドインジェクションの脆弱性を悪用する |
| マルウェア | 不明 |
| 脆弱性 | CVE-2023-20887 |
| CVE | CVE-2023-20887 |
|---|---|
| 影響を受ける製品 | VMware Aria Operations Networks 6.x |
| 脆弱性サマリ | Aria Operations for Networksには、悪意のあるユーザーによってコマンドインジェクション攻撃が実行され、リモートコード実行が起こり得る脆弱性がある |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 有 |
| 事件発生日 | 2023年5月 |
|---|---|
| 被害者名 | TP-Link Archer AX21 (AX1800) Wi-Fi routerの利用者 |
| 被害サマリ | CondiというDDoS-as-a-Serviceボットネットに感染 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | TP-Link Archer AX21 (AX1800) Wi-Fi routerの脆弱性であるCVE-2023-1389を悪用したCondiボットネットの感染 |
| マルウェア | Condiボットネット |
| 脆弱性 | CVE-2023-1389 |
| 事件発生日 | 2023年6月6日 |
|---|---|
| 被害者名 | University of Manchester(マンチェスター大学) |
| 被害サマリ | ランサムウェアの攻撃により、7TBの機密データ(学生や教職員の個人情報、研究データ、医療データ、警察レポート、薬物検査結果、HR文書、財務文書等)が盗まれ、データが漏えいすると脅された。 |
| 被害額 | 不明(予想:ランサムウェアの攻撃により、700万ドル) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | ランサムウェアの攻撃により、データを盗み、データの漏洩を脅迫した。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年6月20日 |
|---|---|
| 被害者名 | VMware社の顧客 |
| 被害サマリ | VMware Aria Operations for Networks(旧vRealize Network Insight)にある、遠隔からコマンド・インジェクションを引き起こす脆弱性(CVE-2023-20887)が攻撃され、リモートコードが実行されている |
| 被害額 | 不明(予想:数十万ドル以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 遠隔からのコマンド・インジェクション攻撃 |
| マルウェア | 不明 |
| 脆弱性 | CVE-2023-20887 |
| 影響を受ける製品 | VMware Aria Operations for Networks (vRealize Network Insight) |
|---|---|
| 脆弱性名 | CVE-2023-20887 |
| 対策 | VMware Aria Operations Networks 6.xをアップデートすること |
| 脆弱性概要 | VMware Aria Operations Networks (vRealize Network Insight)には、コマンドインジェクションの脆弱性が存在します。未認証の攻撃者が、Apache Thrift RPCインターフェースを介してユーザー入力を受け入れると、攻撃者はrootユーザーとして基盤となるオペレーティングシステム上で任意のコマンドを実行できます。攻撃者は、Proof of Conceptと呼ばれるコードを使ってCVE-2023-20887を悪用する攻撃を既に行なっているとの報告があります。 |
| 重大度 | [高|中|低|なし|不明] |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 有 |
| CVE | CVE-2022-46680、CVE-2023-1619、CVE-2023-1620 |
|---|---|
| 影響を受ける製品 | WagoおよびSchneider ElectricのOT製品 |
| 脆弱性サマリ | Wago 750コントローラには、特定の異常なパケットまたはログアウト後の特定のリクエストを送信することによって有効化できる、認証された攻撃者によるDoS攻撃が影響を与える。Schneider Electricの電力メーターで使用されるION/TCPプロトコルにおいて、資格情報の平文伝送に関するCVE-2022-46680があり、これにより脆弱なデバイスの制御が可能になる。 ※その他の59の脆弱性については不明 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Microsoft Outlook for Microsoft 365 |
| 脆弱性サマリ | Outlook for Microsoft 365において、キャッシュ再プライミング時にフリーズや遅延が発生する問題が報告されている。 |
| 重大度 | なし |
| RCE | 無 |
| 攻撃観測 | 不明 |
| PoC公開 | なし |
MicrosoftがReported by Sergiu Gatlanの記事で、Outlook for Microsoft 365においてキャッシュ再プライミング時にフリーズや遅延が発生する問題が報告されていると紹介した。また、影響を受けた顧客はアプリケーションイベントログに新しいエントリが追加されないこと、また新しいOSTファイルが作成されないことも報告した。同氏によると、顧客の多くは、アプリケーションを起動した後にキャンセルをクリックするとOutlookが直ちに起動することが報告されているという。Microsoftは問題を修正中であるとともに、顧客には別途ワークアラウンドを提供しており、Outlook RESTカレンダーシェアリングの更新を有効にすることで問題を回避できるとしている。
| 事件発生日 | 2023年6月20日 |
|---|---|
| 被害者名 | Linux SSHサーバーのオーナー(複数) |
| 被害サマリ | 不明な攻撃者がLinux SSHサーバーをブルートフォース攻撃し、Tsunami DDoSボット、ShellBot、ログクリーナー、特権エスカレーションツール、およびXMRig(Monero)コインマイナーなどのマルウェアをインストールしている。 |
| 被害額 | 不明(予想:数十万ドル程度) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | SSHサーバーに対するブルートフォース攻撃 |
| マルウェア | Tsunami DDoSボット、ShellBot、MIG Logcleaner v2.0、Shadow Log Cleaner、特権エスカレーションツール、XMRig(Monero)コインマイナー |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Azure Active Directory |
| 脆弱性サマリ | Azure ADのOAuthアプリケーションにおいて、特定条件下で悪意のある攻撃者が権限のエスカレーションを行い、アカウントを完全に奪取する可能性がある。 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |