incident
2023-05-08 06:10:00
被害状況
事件発生日 | 2023年5月8日 |
被害者名 | 不明 |
被害サマリ | ウクライナの政府機関を標的としたSmokeLoaderおよびRoarBATマルウェア攻撃。UAC-0006と推定される脅威係から送信されたフィッシングメールにより感染。SmokeLoaderは、主に感染したシステムにより隠蔽性の高いマルウェアをダウンロードまたはロードするために使用される。また、RoarBATは、WinRARを利用してファイルを削除するためにバッチスクリプトを使用する破壊的マルウェアである。 |
被害額 | 不明(予想:数億円) |
攻撃者
攻撃者名 | UAC-0006とされる脅威係。国籍や組織名は不明。 |
攻撃手法サマリ | フィッシングメールを使用したウイルス感染。RoarBATは、WinRARを使用したファイル削除。 |
マルウェア | SmokeLoaderおよびRoarBAT。 |
脆弱性 | 不明。 |
incident
2023-05-07 16:25:13
被害状況
事件発生日 | 少なくとも2023年3月以降 |
被害者名 | 大規模商業機関 |
被害サマリ | CactusというランサムウェアがVPNアプライアンスの脆弱性を利用してネットワークにアクセスしており、ファイルの暗号化とデータの盗難を行っている。被害者は非公開だが、被害が増加しており、被害額は何百万ドルにもなるという。 |
被害額 | 被害額は不明。ただし、報道によれば、被害額は何百万ドルにもなるとされている。 |
攻撃者
攻撃者名 | Cactusランサムウェアを使用したランサムウェアグループ |
攻撃手法サマリ | VPNアプライアンスの脆弱性を利用してネットワークにアクセスし、ランサムウェアのファイルを暗号化する。Cactusランサムウェアはユニークな特徴を持ち、暗号化する際に自らを暗号化して検出を避けている。 |
マルウェア | Cactusランサムウェア |
脆弱性 | Fortinet VPNアプライアンスの脆弱性 |
incident
2023-05-07 16:10:45
被害状況
事件発生日 | 2023年3月26日 |
被害者名 | Western Digitalのオンラインストアの顧客 |
被害サマリ | Western Digitalのデータベースが不正アクセスされ、氏名、請求書と送付先の住所、メールアドレス、電話番号、ハッシュ化され、ソルティングされたパスワード、および部分的なクレジットカード番号が含まれる限られた個人情報が流出した。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
other
2023-05-07 14:16:08
1. 「Bleeping Computer」のニュース記事ページがある。
2. 3つの種類の情報が掲載されており、クリックすることで詳細が閲覧可能。
3. Virus Removal Guidesでは、トロイの木馬やコンピューターウイルスに関する削除方法が紹介されている。
4. Tutorialsには、Windows 11の設定方法など、コンピューター関連の操作方法が解説されている。
5. New CS:GO map bypasses Russia's censorship of Ukraine war newsという、ロシアの報道規制を回避した特別なCS:GOマップに関するニュースが掲載されている。
incident
2023-05-07 13:16:08
エラーが発生しました。
記事ファイル名:../articles/20230507 131608_0829ff6fe3e3d7279303b4b64754d7b95dd2560bf17fc4315376f65b43a25402.json
This model's maximum context length is 4097 tokens. However, you requested 4312 tokens (3288 in the messages, 1024 in the completion). Please reduce the length of the messages or completion. <> security_news_matomerukun.py:81
incident
2023-05-06 16:29:05
被害状況
事件発生日 | 2023年4月頃 |
被害者名 | Twitterのユーザー |
被害サマリ | Twitter Circle機能にて、ユーザーが選んだ特定の人たちが閲覧できるようになったはずのツイートが外部のユーザーに公開された。 |
被害額 | 不明(予想:賠償金、対応費用を含めて数十億円規模) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-05-06 14:11:22
脆弱性
CVE | CVE-2023-27350 |
影響を受ける製品 | PaperCut MFまたはNGバージョン8.0以降 |
脆弱性サマリ | 認証なしで遠隔のコード実行が可能(RCE) |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 既に攻撃が確認されている |
PoC公開 | 既に複数のPoCがリリースされており、今回の脆弱性を突くための新たなPoCも公開された。 |
incident
2023-05-06 11:24:00
被害状況
事件発生日 | 2022年のキャンペーン |
被害者名 | オンラインゲーム業界 |
被害サマリ | 中国語を話すAPTグループDragon Breathによる攻撃で、Windowsインストーラーを利用してトロイの木馬をユーザーにダウンロードさせるワーテリングホール攻撃。 |
被害額 | 不明(予想ありません) |
攻撃者
攻撃者名 | Dragon Breath |
攻撃手法サマリ | 新しいDLLサイドローディング攻撃手法を採用 |
マルウェア | 「gh0st RAT」というマルウェアを展開するため、DLLを使ったサイドローディング攻撃を行った。 |
脆弱性 | 不明 |
vulnerability
2023-05-06 05:41:00
脆弱性
CVE | CVE-2023-30777 |
影響を受ける製品 | WordPressのAdvanced Custom Fieldsプラグイン(version 6.1.6) |
脆弱性サマリ | 任意のスクリプトを挿入される脆弱性 (reflected cross-site scripting) |
重大度 | なし |
RCE | 無 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
WordPressのAdvanced Custom FieldsプラグインにCVE-2023-30777の任意のスクリプトを挿入される脆弱性が見つかった。脆弱性を突かれた場合、管理者が特定のURLにアクセスすることで任意のスクリプトが実行され、管理者の権限でWordPressサイトを操作される可能性がある。また、このプラグインは2百万以上のサイトで使用されているため、危険性があり注視されている。
vulnerability
2023-05-05 18:39:17
脆弱性
CVE | なし |
影響を受ける製品 | Android OS |
脆弱性サマリ | FluHorseと呼ばれる新種のAndroidマルウェアが発見され、フィッシング攻撃を行い、ユーザーのアカウント情報、クレジットカードデータ、さらに2つの認証局コードを窃取する可能性がある。 |
重大度 | 高 |
RCE | 無 |
攻撃観測 | 有 |
PoC公開 | なし |
vulnerability
2023-05-05 17:45:15
脆弱性
CVE | CVE-2023-0266 |
影響を受ける製品 | Android |
脆弱性サマリ | Linux Kernelのサウンドサブシステムにあるuse-after-freeの脆弱性による特権昇格 |
重大度 | 高 |
RCE | 無 |
攻撃観測 | 限定的かつターゲット型の攻撃がある |
PoC公開 | 不明 |
注記:本記事には、2023年の情報が含まれています。
incident
2023-05-05 15:04:12
被害状況
事件発生日 | 2023年5月5日 |
被害者名 | Constellation Software |
被害サマリ | Constellation Softwareの内部財務報告、および関連データストレージに関連した一部のシステムにサイバー攻撃が発生。個人情報やビジネスデータが盗まれた。また、ALPHV ransomware gangによるサイバー攻撃を受け、1 TB以上のファイルが盗まれた。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | ALPHV ransomware gang |
攻撃手法サマリ | ランサムウェアによる攻撃 |
マルウェア | ALPHV ransomware |
脆弱性 | 不明 |
vulnerability
2023-05-05 14:57:43
脆弱性
CVE | CVE-2023-30777 |
影響を受ける製品 | Advanced Custom Fields、Advanced Custom Fields Pro WordPressプラグイン |
脆弱性サマリ | Advanced Custom FieldsとAdvanced Custom Fields Pro WordPressプラグインにはXSS(クロスサイトスクリプティング)の脆弱性があり、ユーザーがアップグレードしない場合、攻撃者はウェブサイトに悪意のあるスクリプトを注入できます。 |
重大度 | 高 |
RCE | 無 |
攻撃観測 | 無し |
PoC公開 | なし |
incident
2023-05-05 13:47:00
被害状況
事件発生日 | 2022年5月以降 |
被害者名 | 東アジア市場のセクター |
被害サマリ | フィッシングキャンペーンで、FluHorseと呼ばれる新種類のAndroidマルウェアが広がっている。このマルウェアは、Flutterという開発フレームワークを悪用して、1,000,000を超えるインストールを誇る真正なアプリを模倣するように作られていた。被害者の認証情報や2段階認証のコードなどを窃取している。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明。ただしFluHorseのデベロッパーや配布元は特定されているわけではない。 |
攻撃手法サマリ | フィッシング攻撃で、バッドリンクを踏んだ被害者がFluHorseをダウンロードして感染したと思われる。 |
マルウェア | FluHorse |
脆弱性 | 不明 |
incident
2023-05-05 11:49:00
被害状況
事件発生日 | 不明(2019年以降に発生している) |
被害者名 | イタリアの企業銀行の顧客 |
被害サマリ | Windowsのワークステーションに感染して、被害者の銀行送金を違法な口座に変更することで、資金を盗むdrIBANのキットを用いた金融詐欺キャンペーン |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明、おそらくイタリア人ではない |
攻撃手法サマリ | Web inject(Man-in-the-Browser攻撃)を利用した金融詐欺。Phishingメールによって、銀行送金を変更するために必要な情報を収集するためにsLoadマルウェアをダウンロードし、Ramnitトロイの木馬を使用する。 |
マルウェア | sLoad、Ramnitトロイの木馬 |
脆弱性 | 不明 |
incident
2023-05-05 10:19:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Kimsuky(北朝鮮が関与するハッカーグループ)が新たに「ReconShark」という偵察ツールを使用した攻撃を行ったことが発覚した。具体的には、スピアフィッシングメール、OneDriveリンクからのダウンロード、悪意のあるマクロによって「ReconShark」が送られ、ターゲットメントした個人に実行された。攻撃は北アメリカ、アジア、ヨーロッパの非政府組織、シンクタンク、外交機関、軍事機関、経済団体、調査機関も含まれる広範囲な組織を標的にしており、機密情報などが漏えいした可能性がある。また、攻撃者は具体的な個人に合わせたデザイン、文法、視覚的手がかりなどの品質を備えたスピアフィッシングメールを作成していた。 |
被害額 | 不明(予想:機密情報漏えいなどによる被害があるため、影響が生じた企業や団体によって異なる) |
攻撃者
攻撃者名 | Kimsuky(北朝鮮が関与するハッカーグループ) |
攻撃手法サマリ | スピアフィッシングメール、OneDriveリンクからのダウンロード、悪意のあるマクロを使用した攻撃。攻撃者は、特定の個人に合わせたデザイン、文法、視覚的手がかりなどの品質を備えたスピアフィッシングメールを作成していた。 |
マルウェア | ReconShark |
脆弱性 | 不明 |
vulnerability
2023-05-05 10:18:00
脆弱性
CVE | なし |
影響を受ける製品 | ウェブサイトのサードパーティスクリプト(Google Analytics, Meta Pixel, HotJar, JQueryなど) |
脆弱性サマリ | サードパーティスクリプトの欠如する可視性によるウェブサイト保護の課題 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
本記事では、サードパーティスクリプトによってウェブサイトパフォーマンスを最適化することがビジネスにとって重要なツールである一方で、これらのスクリプトの管理が煩雑であり、サードパーティスクリプトの欠如する可視性によるウェブサイト保護の課題があることが述べられている。この課題を解決するための具体的な対策として、定期的なセキュリティ監査、外部ウェブサイトモニタリングシステムの導入、セキュアなホスティング、従業員の教育、二段階認証の実施、コンテンツセキュリティポリシーの実装、ソフトウェアの定期的なアップデートなどが紹介されている。また、外部ウェブサイトモニタリングシステムであるReflectizを使うことで、サードパーティスクリプトの状況を把握することができることが具体例として挙げられている。
incident
2023-05-05 09:52:00
被害状況
事件発生日 | 2023年5月1日 |
被害者名 | PHPソフトウェア・パッケージリポジトリ「Packagist」のユーザー |
被害サマリ | 4つのアカウントが乗っ取られ、偽のGitHubリポジトリに差し替えられた約14のパッケージから、約500万回インストールされたものを含むパッケージがハイジャックされた。 |
被害額 | 不明(予想:被害者が直面した損失を正確に特定できないため) |
攻撃者
攻撃者名 | 匿名ペネトレーションテスター「neskafe3v1」 |
攻撃手法サマリ | 4つの不活動アカウントが不正にアクセスされ、偽のパッケージがGitHubに配備された。 |
マルウェア | なし |
脆弱性 | 不明 |
incident
2023-05-05 07:21:00
被害状況
事件発生日 | 2022年以降(具体的な日付は不明) |
被害者名 | 不特定多数のAndroid端末ユーザー |
被害サマリ | Google Playストアに存在した11種類のアプリの中にFleckpeというマルウェアが仕込まれ、そのアプリの合計ダウンロード数は620,000回を超えていた。被害者がタイ国内に多いことが判明したが、ポーランド、マレーシア、インドネシア、シンガポールでも被害があった。Fleckpeは、正規の写真編集アプリやカメラ、スマートフォン用の壁紙パックのように装い、実際にはサブスクリプション型のマルウェアとして機能していた。 |
被害額 | 不明(予想:数百万円) |
攻撃者
攻撃者名 | 不明(国籍や特徴は明らかでない) |
攻撃手法サマリ | Google Playストアにアップロードされた正規のアプリに、マルウェアを仕込んで感染させる手法を使用した。 |
マルウェア | Fleckpe |
脆弱性 | 不明 |
vulnerability
2023-05-05 05:16:00
脆弱性
CVE | CVE-2023-20126 |
影響を受ける製品 | Cisco SPA112 2-Port Phone Adapters |
脆弱性サマリ | リモートの攻撃者が、認証を必要としないファームウェアのアップグレードを通じて、任意のコードを実行できる |
重大度 | 10.0(最大値) |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
CiscoのSPA112 2-Port Phone Adaptersには、リモートの攻撃者が、認証を必要としないファームウェアのアップグレードを通じて、任意のコードを実行できる脆弱性がある(CVE-2023-20126)。重大度は10.0で、攻撃者はRCEを実行することができる。攻撃観測は不明であり、PoC公開もされていない。Ciscoは、2010年6月1日をもってデバイスのEoL(エンド・オブ・ライフ)を宣言したため、修正版はリリースされない。代わりに、ユーザーはCisco ATA 190シリーズアナログ電話アダプタに移行することを推奨している。
incident
2023-05-04 21:40:19
被害状況
事件発生日 | 不明(2023年3月時に、北朝鮮のサイバー攻撃グループKimsukyによる攻撃が発覚) |
被害者名 | 政府機関、研究機関、大学、シンクタンク |
被害サマリ | Kimsukyが改良を加えた新型の偵察マルウェア「ReconShark」を使用して、世界各地の政府機関、研究機関、大学、シンクタンクを標的とした攻撃を実施。攻撃の詳細は不明 |
被害額 | 不明 |
攻撃者
攻撃者名 | Kimsuky(北朝鮮のサイバー攻撃グループ) |
攻撃手法サマリ | 偵察マルウェア「ReconShark」を使用し、政府機関、研究機関、大学、シンクタンクを標的としたサイバー攻撃を実施 |
マルウェア | BabySharkマルウェアを改良したReconSharkマルウェアを使用 |
脆弱性 | 不明 |
other
2023-05-04 20:20:48
1. マルウェアバイト、プレミアム+プライバシーの一年間サブスクリプションが50%オフ
2. Malwarebytes Premiumには、実行中のマルウェア対策や詐欺リンク対策、ランサムウェア対策の他、アンインストール保護やポテンシャルアンワンテッドプログラムの削除もできる。
3. Malwarebytes Privacyには、データ暗号化によるインターネットのプライバシー保護機能★
4. 特定期間限定のキャンペーンであるため、期限内に登録することが必要。
5. マルウェアバイトは、BleepingComputerと提携して、セキュリティ関連の割引を提供している。
incident
2023-05-04 19:12:01
被害状況
事件発生日 | 2023年5月4日 |
被害者名 | Androidユーザー620,000人以上 |
被害サマリ | Google Playストアで正規アプリに偽装され、Fleckpeサブスクリプション型マルウェアに感染してしまった。ユーザーはプレミアムサービスに無断で登録され、請求された料金を脅迫される。攻撃者によって收益が得られる。 |
被害額 | 不明(予想:数百万円) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 偽の画像編集アプリなどと称してFleckpeサブスクリプション型マルウェアを配布。通知コードをキャプチャするため、ユーザーから通知のアクセス許可を要求している。被害者は無断登録されたサブスクリプションの料金を脅迫されることになる。 |
マルウェア | Fleckpeサブスクリプション型マルウェア |
脆弱性 | 不明 |
other
2023-05-04 18:04:46
1. Windows 11 Insider Preview Build 23451が、File Explorerの詳細ペインのモダナイズ、Windows Spotlightの改善、スタートメニューの"notification badging"の拡大をリリースした。
2. 詳細ペインは、ALT + Shift + Pを押下することで、ファイルのサムネイル、シェアステータス、ファイルアクティビティ、関連ファイルやメールなど、ファイルに関するコンテキスト情報が表示される。
3. Windows Spotlightには、2つのデザインがテストされており、フルスクリーンモードと最小化モードがある。また、Insiders向けに様々なバリエーションがテストされる。
4. Startメニューの"notification badging"展開では、Microsoftアカウント関連の通知が表示される。
5. このWindows Insiderビルドでのテストの結果によって、Microsoftは、一般の顧客にリリースする機能のデザインを変更したり、リリースしないこともあるため、注意する必要がある。
incident
2023-05-04 17:28:58
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Cisco SPA112 2-Port Phone Adaptersのウェブベース管理インターフェイスに脆弱性があり、リモートからの不正アクセスが可能になると報告された。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明、国籍・特徴不詳 |
攻撃手法サマリ | ファームウェアのアップグレード機能内の認証プロセスの不足によるリモートコード実行 |
マルウェア | 不明 |
脆弱性 | CVE-2023-20126 |
incident
2023-05-04 15:21:25
被害状況
事件発生日 | 2023年4月30日 |
被害者名 | Bluefield University |
被害サマリ | Avos ransomwareグループが、Bluefield Universityの緊急放送システム「RamAlert」を乗っ取り、学生や職員に個人データを盗まれたことを知らせるSMSテキストやメールアラートを送信し、そのデータがすぐにリリースされると脅迫しました。 |
被害額 | 不明(予想:数十万ドル以上) |
攻撃者
攻撃者名 | Avos ransomwareグループ |
攻撃手法サマリ | Bluefield Universityの緊急放送システム「RamAlert」を乗っ取り、学生や職員に個人データを盗まれたことを知らせるSMSテキストやメールアラートを送信し、そのデータがすぐにリリースされると脅迫しました。 |
マルウェア | AvosLocker |
脆弱性 | 不明 |
other
2023-05-04 14:04:02
- LambdaTestが提供するスポンサー記事で、Webとモバイルのためにシームレスで効果的なデジタル体験を提供する方法が紹介されている。
- オンラインでの購入に人々が傾いていることが示され、顧客体験を向上させることが企業にとって重要であることが強調された。
- 最新の技術を採用し、顧客が期待するものを提供することが重要であるとされ、関心を引くためにトレンドに追随することが必要である。
- ユーザーのインタラクションを最小限に抑えるために、広告会社がユーザーの興味を獲得するためにCookieを使用したり、人工知能が導入されることが推奨されている。
- データの整合性維持が重要であり、複数のデバイスで使いやすい一貫性を維持することが必要であるとされた。
- LambdaTestのようなクラウドサービスを使用することで、Webとモバイルのアプリケーションのマニュアルと自動テストを実行することができる。
vulnerability
2023-05-04 13:19:00
脆弱性
CVE | なし |
影響を受ける製品 | Microsoft Azure API Management |
脆弱性サマリ | Microsoft Azure API Managementには、2つのServer-Side Request Forgery(SSRF)脆弱性と、API Managementの開発者ポータル内のアンレストリクトドファイルアップロード機能の1つがあります。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
Microsoft AzureのAPI Managementサービスには、2つのSSRF脆弱性と、API Management開発者ポータル内のアンレストリクトドファイルアップロード機能の1つがあります。これらの脆弱性を悪用することで、攻撃者は、CORSプロキシおよびホスティングプロキシ自体からリクエストを送信し、内部Azureアセットにアクセスしたり、サービスを拒否したり、Webアプリケーションファイアウォールをバイパスしたりすることができます。SSRF脆弱性の悪用は、機密性と整合性の喪失を引き起こし、脅威アクターが内部Azureリソースを読むことや、非許可のコードの実行を行うことができます。開発者ポータルで発見されたパストラバーサル脆弱性は、アップロードされたファイルのファイルタイプとパスの検証が欠落しているため、認証されたユーザーがこの不具合を利用して、悪意のあるファイルを開発者ポータルサーバーにアップロードし、基礎となるシステムで任意のコードを実行する可能性があります。全ての脆弱性は報告後、マイクロソフトによって修正されました。
vulnerability
2023-05-04 13:03:00
脆弱性
CVE | CVE-2023-27350 |
影響を受ける製品 | PaperCut MFおよびNG |
脆弱性サマリ | 脆弱性により、認証されていない攻撃者がSYSTEM権限で任意のコードを実行できる |
重大度 | 9.8 (重大) |
RCE | 可能 |
攻撃観測 | あり |
PoC公開 | あり |
PaperCut MFおよびNGには、認証されていない攻撃者がSYSTEM権限で任意のコードを実行できるCVE-2023-27350という脆弱性が報告された。PoCは公開されている。脆弱性が修正される前に既に攻撃活動が観測されており、ランサムウェアなど多数の脅威グループによって武器化された。脆弱性は、PaperCutプリンターのスクリプティングインタフェースを利用してWindowsコマンドを実行する、あるいはマルウェアをダウンロードすることによって攻撃者に悪用されていた。通常、これらの攻撃には検知シグネチャが存在する。しかし、VulnCheckは、PaperCutの「ユーザー/グループ同期」機能を悪用する新しい攻撃方法を発見した。通常、ユーザーはActiveDirectory、LDAP、またはカスタムソースからユーザーおよびグループ情報を同期させることができる。そして、特定のカスタムソースを指定すると、ユーザー認証プログラムを検証するためのカスタム認証プログラムも指定できる。これにより、攻撃者はコメントアウトされた特定の認証プログラムを再アクティブ化させ、システム権限で任意のコードを実行できる。この新しい攻撃方法は、既存の検出シグネチャを回避できるため、対策を講じる必要がある。
other
2023-05-04 11:15:00
1. ダークウェブはサイバー犯罪において非常に危険な存在であり、組織のセキュリティ担当者が対処しなければならない。
2. セキュリティ技術は強力であるが、インターネットのすべての暗い部分を監視するのは難しいため、脅威を完全に予知することはできない。
3. 「情報スティーラー」と呼ばれるマルウェアがクラウドネットワークに増加し、サイバー犯罪者は機密データを奪取し、知的財産を盗み、業界全体を危険に晒すようになった。
4. Cynet社は、ダークウェブとアンダーグラウンドフォーラムを監視する「Lighthouse Service」を開始し、侵害された資格情報監視に特化した。
5. セキュリティ強化には、NIST CSFフレームワークを始めとする好評なルートがあり、CSFマッピングを始めとする多様なツールを使うことになる。
incident
2023-05-04 10:51:00
被害状況
事件発生日 | 2023年5月4日 |
被害者名 | 南アジア在住の個人 |
被害サマリ | FacebookおよびInstagramの数百のフィクションな人物像を利用することで、3つの異なる脅威アクターが南アジアの個人に対して攻撃。被害者が悪意のあるリンクをクリックしたり、マルウェアのダウンロードを行ったり、個人情報を共有したりするような社会工作を利用することが多かった。被害者の中にはインドおよびパキスタンの軍関係者も含まれており、GravityRATを仮想ストレージアプリやエンターテイメントアプリのふりをしてインドおよびパキスタンの軍関係者に感染させたAPTグループが特に悪質だった。 |
被害額 | 不明 |
攻撃者
攻撃者名 | パキスタン、インド、バングラデシュ、スリランカ、チベット、中国を含む多くの南アジア在住者およびアメリカ、ベネズエラ、イラン、ジョージア、ブルキナファソ、トーゴの競合的な行為者 |
攻撃手法サマリ | FacebookおよびInstagramのフィクションな人物像を利用することで、個人情報の漏洩を行い、APTグループは特定のターゲットを狙っていた。また、攻撃者は既存のセキュリティ欠陥を迅速に悪用することが多かった。 |
マルウェア | GravityRATとAndroidマルウェア(Playストアに発表されたセキュアチャットやVPNのアプリを模倣するもの)など、数多くのマルウェアが使用された。 |
脆弱性 | AppleおよびGoogleによるアプリ検証チェックを回避するため、低い脆弱性のマルウェアが使用された。 |
incident
2023-05-04 08:57:00
被害状況
事件発生日 | 2023年5月4日 |
被害者名 | Facebookユーザー |
被害サマリ | Metaを標的にしたマルウェア攻撃によって、OpenAIのChatGPTを餌にして、約10のマルウェアファミリーが拡散した。被害者がダウンロードした悪意のある拡張機能からFacebookのアカウントや認証情報が盗まれ、ビジネスアカウントがハイジャックされ、広告が不正に掲載された。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明(ベトナムにいると報告された個人に送られた中止と中断の要求書があった) |
攻撃手法サマリ | 偽のChatGPTブラウザ拡張機能を介して、不正な広告を掲載するためにFacebookアカウントの認証情報を盗むマルウェア攻撃。 |
マルウェア | Ducktail、NodeStealerなど複数(OpenAIのChatGPTを餌に使用) |
脆弱性 | 不明 |
incident
2023-05-03 22:13:55
被害状況
事件発生日 | 2023年5月2日 |
被害者名 | ダラス市 |
被害サマリ | ロイヤルランサムウェアによる攻撃を受けて、ITシステムが一部停止し、警察や裁判所のシステムも影響があった。911通報センターが紙で受け取り、ITシステムが機能していないため、市の裁判所は陪審員の義務を停止した。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | ロイヤルランサムウェアの運営者(Contiサイバー犯罪シンジケートの派生と見られている) |
攻撃手法サマリ | callback phishing攻撃、Internet-exposedデバイスの脆弱性の利用 |
マルウェア | Royal ransomware、Zeon encryptorなど |
脆弱性 | 不明 |
incident
2023-05-03 21:21:42
被害状況
事件発生日 | 不明 |
被害者名 | 中国語を話すWindowsユーザー |
被害サマリ | Dragon Breathとして知られるAPTハッキンググループが、複数のDLLサイドローディング技法のバリエーションを使用して、検出を回避する新しい傾向を示している。攻撃は、Telegram、LetsVPN、WhatsAppアプリを用いたトロイの木馬攻撃で、中国を中心とした中国語を話すWindowsユーザーを狙っている。 |
被害額 | 不明(予想:数十億円以上) |
攻撃者
攻撃者名 | Dragon Breath, Golden Eye Dog, APT-Q-27 |
攻撃手法サマリ | 複数のDLLサイドローディング技法を使用し、検出を回避 |
マルウェア | 複数のマルウェアによって攻撃を行っている。最終的なペイロードはバックドアであるが、具体的な名称は不明 |
脆弱性 | 不明 |
incident
2023-05-03 20:41:49
被害状況
事件発生日 | 不明 |
被害者名 | ウクライナ国のある政府機関 |
被害サマリ | ロシアのサイバー攻撃グループ「Sandworm」が、ウクライナの国営ネットワークのVPNアカウントを乗っ取って、WinRARを使用して政府関係者のノートパソコンやサーバからファイルを削除した。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | ロシアのサイバー攻撃グループ「Sandworm」 |
攻撃手法サマリ | VPNアカウントの乗っ取りを行って、WinRARを使用してファイルを削除した。 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-05-03 19:40:25
被害状況
事件発生日 | 2023年5月3日 |
被害者名 | Orqa |
被害サマリ | FPV.One V1ドローン用ゴーグルのファームウェアに埋め込まれた、タイムボム型のランサムウェアが起因してBrick化してしまった。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 元請負業者 |
攻撃手法サマリ | ランサムウェア (タイムボム型) |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-05-03 19:40:25
被害状況
事件発生日 | 不明 |
被害者名 | Orqa |
被害サマリ | Orqa社のFPV.One V1ドローン レーシング ゴーグルに不正なファームウェアがロードされ、使用不能に陥る事象が発生した。このファームウェアは「ランサムウェア タイムボム」と呼ばれ、従業員によって秘密裏に作成され、数年後に制限時間が切れると使用不能になる設計となっていた。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | Orqaで働いていた元従業員(国籍不明) |
攻撃手法サマリ | ランサムウェア タイムボムを使用したファームウェアの実行 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-05-03 19:27:07
被害状況
事件発生日 | 2023年5月2日 |
被害者名 | ダラス市 |
被害サマリ | ダラス市がランサムウェア攻撃を受け、ITシステムの一部を停止。911の通報業務にも影響が出ている。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ランサムウェア攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-05-03 18:10:26
被害状況
事件発生日 | 不明(2023年5月3日に報道された) |
被害者名 | Facebookの利用者、GmailやOutlookの利用者 |
被害サマリ | Facebookは、Meta上で配布されていた新しい情報窃取マルウェア「NodeStealer」を発見。マルウェアは、ブラウザのcookieを盗んでアカウントを乗っ取る手法を使って、FacebookやGmail、Outlookのアカウントに侵入していた。攻撃者はベトナムのグループと特定されている。 |
被害額 | 不明 |
攻撃者
攻撃者名 | ベトナムのグループ |
攻撃手法サマリ | NodeStealerと呼ばれる情報窃取マルウェアを使ったアカウント乗っ取り攻撃 |
マルウェア | NodeStealer |
脆弱性 | 不明 |
other
2023-05-03 17:58:28
- Windowsの管理者は、Windowsリリースヘルスセクションに新しい既知の問題が追加された場合にEメールで通知を受け取ることができます。
- Eメールサブスクリプションに登録するには、Microsoft 365管理センターのWindowsリリースヘルスを参照して開始します。
- この機能は、Microsoft 365 Enterprise E3/A3/F3、Microsoft 365 Enterprise E5/A5、Windows 10 Enterprise E3/A3、Windows 10 Enterprise E5/A5、Windows 11 Enterprise E3/A3、またはWindows 11 Enterprise E5/A5のいずれかのサブスクリプションが必要です。
- 管理者は、自分の通知のEメールアドレスを2つまで指定できます。
- 複数のWindowsバージョンに登録することができ、問題が複数のWindowsバージョンに影響する場合は、1つのメールアラートを受信するだけです。
incident
2023-05-03 16:11:59
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | ロシア人Denis Gennadievich Kulkov氏が運営していた、カードチェックサービス"Try2Check"が摘発された。 |
被害額 | 不明 |
攻撃者
攻撃者名 | ロシア人Denis Gennadievich Kulkov氏 |
攻撃手法サマリ | カード情報のチェックサービスを運営し、犯罪者たちに利用された。 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-05-03 15:30:00
被害状況
事件発生日 | 2023年5月1日 |
被害者名 | PHPパッケージのユーザー |
被害サマリ | 研究者が14個のPackagistパッケージを乗っ取り、自己PRをするために、manifestファイルを変更した |
被害額 | 不明 |
攻撃者
攻撃者名 | neskafe3v1という偽名を使用した研究者 |
攻撃手法サマリ | 不正なアクセスによるCredential Compromiseを使用したPackagistパッケージの乗っ取り |
マルウェア | なし |
脆弱性 | 情報は不明 |
脆弱性
CVE | なし |
影響を受ける製品 | PackagistがPHPのパッケージを扱うためのメタデータディレクトリ |
脆弱性サマリ | パッケージのGitHubリポジトリのURLが改ざんされることにより、開発者が意図しない場所からコンテンツをダウンロードする可能性がある |
重大度 | 不明 |
RCE | 無 |
攻撃観測 | なし |
PoC公開 | なし |
脆弱性の概要:PHPのパッケージを扱うメタデータディレクトリであるPackagistが脆弱性にさらされ、パッケージのGitHubリポジトリのURLが不正に書き換えられることにより、開発者が意図しないフォークからコンテンツをダウンロードするおそれがある。この問題は、Packagist内の古いアカウントで2段階認証が有効になっておらず、セキュリティの脆弱性に起因すると考えられている。パッケージ名の中には、多くのインストールがあるものも含まれている。影響を受けたパッケージには、acmephp/acmephp、acmephp/core、acmephp/ssl、doctrine/doctrine-cache-bundle、jdorn/file-system-cacheなどがある。攻撃者は、貢献するためにコメントを変更し、自分自身の情報をプロモートするためにパッケージの説明を書き換えることができる。詳細は不明だが、攻撃者は既知の技術を利用してそうしたとされている。Packagistチームによると、この問題は既知のアカウントセキュリティの問題が原因で発生したもので、被害を受けたアカウントが悪用されたことはないという。
incident
2023-05-03 14:33:29
被害状況
事件発生日 | 不明 |
被害者名 | Brightline |
被害サマリ | Brightlineのファイル共有プラットフォーム「Fortra GoAnywhere MFT」にゼロデイ攻撃を仕掛けたClopランサムウェアにより、受診情報が含まれるデータが盗難され、783,606人が被害を受けた。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | Clopランサムウェア |
攻撃手法サマリ | Fortra GoAnywhere MFTのゼロデイ攻撃 |
マルウェア | Clopランサムウェア |
脆弱性 | Fortra GoAnywhere MFTのゼロデイ脆弱性(CVE-2023-0669) |
vulnerability
2023-05-03 13:45:00
脆弱性
CVE | なし |
影響を受ける製品 | Google Accounts |
脆弱性サマリ | GoogleがPasskeysを導入し、Google Accountsにおいて、伝統的なパスワードを使用せずにアプリやウェブサイトにサインインできる。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
GoogleがPasskeysを導入し、Google Accountsにおいて、伝統的なパスワードを使用せずにアプリやウェブサイトにサインインできる方法を提供している。Passkeysは、FIDO Allianceに支えられた認証方法で、従来のパスワードを使用せずに、コンピューターやモバイルデバイスをバイオメトリクス(指紋認証や顔認証)やローカルPINでアンロックすることができる。Googleは、「パスワードとは異なり、Passkeysはフィッシングのようなオンライン攻撃に耐性があるため、SMSワンタイムコードのようなものよりもセキュリティが高い」と述べている。
incident
2023-05-03 13:27:00
被害状況
事件発生日 | 2023年5月3日 |
被害者名 | 台湾、タイ、フィジー、フィリピンの政府、医療、テクノロジー、製造業界の組織 |
被害サマリ | 中国国営のサイバースパイ集団であるEarth Longzhiが新しい攻撃キャンペーンを開始。BEHINDERウェブシェルを展開し、CroxLoaderなどの追加ペイロードをドロップして攻撃。DLLシドローディング、BYOVD攻撃、ドライバーサービスのインストールなどの攻撃手法を使用していた。また、スタックランブリングと呼ばれる一種のDoS攻撃を行い、ターゲットされたアプリケーションをクラッシュさせていた。VietnameseとIndonesianのデコイドキュメントも確認されており、将来的にはこれらの国のユーザーを狙う可能性がある。 |
被害額 | 不明(予想なし) |
攻撃者
攻撃者名 | 中国国営のサイバースパイ集団Earth Longzhi |
攻撃手法サマリ | BEHINDERウェブシェル、CroxLoader、DLLシドローディング、BYOVD攻撃、スタックランブリングを使用 |
マルウェア | BEHINDERウェブシェル、CroxLoader、SPHijacker、Roxwrapper、BigpipeLoader、dllhost.exe |
脆弱性 | zamguard.sysやRTCore64.sysなどの脆弱性を利用 |
vulnerability
2023-05-03 12:57:00
脆弱性
CVE | なし |
影響を受ける製品 | Google Accounts |
脆弱性サマリ | GoogleはGoogleアカウントにパスキーのサポートを追加し、パスワードや2段階認証なしでログインすることを可能にする。 |
重大度 | なし |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
vulnerability
2023-05-03 12:57:00
脆弱性
CVE | なし |
影響を受ける製品 | Googleアカウント |
脆弱性サマリ | Googleは、すべてのサービスとプラットフォームでGoogleアカウントに対するパスキーのサポートを追加した。これにより、ユーザーはパスワードを入力することなく、パスキーを使用してGoogleアカウントにログインできる。 |
重大度 | なし |
RCE | 無 |
攻撃観測 | 不明 |
PoC公開 | なし |
GoogleはすべてのサービスとプラットフォームでGoogleアカウントに対するパスキーサポートを追加した。ユーザーはパスワードを入力することなく、パスキーを使用してGoogleアカウントにログインできる。パスキーは端末に紐づき、PINやバイオメトリック認証(指紋または顔認証)でアンロックできる。また、パスキーがクラウドにバックアップされ、他のデバイスへ移行するときも容易に使用できる。これにより、より安全で便利なオプションが提供される。
other
2023-05-03 10:58:00
1. 「The Hacker News」は、3.45 million人以上の人々にフォローされている、信頼できるサイバーセキュリティのニュースプラットフォームである。
2. 中小企業はサイバー攻撃の危険性が高く、SMBは専任の内部IT担当者を持っていないため、サイバー犯罪者が中小企業を重点的に狙うことが多く、SMBは侵入防止やリスク軽減、攻撃の影響の緩和のための専門的なC-レベルのサイバー支援を得るために購読またはレターリテイナーを支払うことにますます意欲的になっている。
3. Virtual Chief Information Security Officer (vCISO)サービスは、CISOの本来の業務の一部しか提供しないサービスプロバイダが多いが、CISOの全範囲を提供することで、高く評価され、より多くの収益を生むことができる。
4. 「What does it take to be a full-fledged Virtual CISO?」 という本は、いくつかの最高のvCISOから得た答えを提供し、高度なスキルを持つ専門家を追加することなく、サービスを拡大し、スケーリングする方法を紹介している。
5. 「The Hacker News」は、Twitter、LinkedInなどのメディアで、他にはない独自のコンテンツを投稿している。
incident
2023-05-03 10:58:00
被害状況
事件発生日 | 2023年5月3日 |
被害者名 | 不明(国籍も不明) |
被害サマリ | フランス、オーストリア、英国、米国、ドイツ、スイス、ブラジル、ポーランド、オランダで288人の身柄を拘束し、現金や仮想通貨、850キロのドラッグ、117個の銃器を押収した。被害者が不明である。 |
被害額 | $53.4 million |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ダークウェブでの麻薬売買 |
マルウェア | 使用されていない |
脆弱性 | 不明 |
other
2023-05-03 09:24:00
1. AppleとGoogleが共同で業界標準規格を策定し、AirTagsなどのデバイスを使用した無許可のトラッキングからユーザーを警告することを目的としている。
2. この規格は、異なるベンダーからのBluetoothロケーショントラッキングデバイスに対する互換性を提供し、不正なトラッキングの可能性を最小限に抑えることを目的としている。また、Samsung、Tile、Chipolo、eufy Security、およびPebblebeeなどが参加している。
3. この規格には、アクセサリの所有者の検証可能な(しかし、曖昧化された)ID情報(電話番号またはメールアドレスなど)とアクセサリのシリアル番号が含まれるペアリングレジストリの使用が含まれる。
4. この規格では、所有者がペアリングを解除した後、データを少なくとも25日間保持する必要があり、法執行機関が正当な要求を提出した場合に利用可能になる。
5. モバイルエコシステムの両方で、不正なトラッキングアラートのための製品実装が年末までにリリースされる予定であり、AppleとGoogleは関心のあるパートナーからのフィードバックを募集している。
vulnerability
2023-05-03 07:30:00
脆弱性
CVE | CVE-2018-9995 |
影響を受ける製品 | TBK DVR4104およびDVR4216(CeNova、DVR Login、HVR Login、MDVR Login、Night OWL、Novo、QSee、Pulnix、Securus、XVR 5 in 1を含む) |
脆弱性サマリ | 5年前の未解決の脆弱性によるTBK DVRデバイスの認証バイパス。遠隔攻撃者は、ユーザー権限を上回る特権を取得し、最終的にカメラ映像のアクセスまで行える。 |
重大度 | 高 |
RCE | 無 |
攻撃観測 | 有(2023年4月に5万回以上の試行あり) |
PoC公開 | 有 |
TBK DVR4104およびDVR4216(CeNova、DVR Login、HVR Login、MDVR Login、Night OWL、Novo、QSee、Pulnix、Securus、XVR 5 in 1を含む)には、CVE-2018-9995という、認証バイパスの未解決脆弱性があり、一部のTBK DVRデバイスが攻撃者にアクセスされ、カメラ映像を監視されるおそれがある。Fortinetによると、2023年4月に5万回以上の試行が観測された。PoCが公開されているが、解決策はない。また、MVPower CCTV DVRモデルにも重大度が高いCVE-2016-20016の脆弱性が存在するという警告がなされている。
vulnerability
2023-05-03 05:07:00
被害状況
事件発生日 | 2023年5月3日 |
被害者名 | 不明 |
被害サマリ | ME RTUリモート端末ユニットの脆弱性が発見された。低い攻撃の複雑さにより、攻撃者による遠隔コード実行が可能。攻撃者によるコマンド・インジェクションが原因。INEA ME RTUファームウェアのバージョン3.36以前に影響がある。 |
被害額 | 不明(予想:数百万円から数千万円) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | コマンド・インジェクション |
マルウェア | 特定されていない |
脆弱性 | INEA ME RTUファームウェアのバージョン3.36以前に存在するコマンド・インジェクションの脆弱性(CVE-2023-2131) |
脆弱性
CVE | CVE-2023-2131 |
影響を受ける製品 | INEA ME RTU firmwareの3.36バージョンより前 |
脆弱性サマリ | INEA ME RTUリモートターミナルユニットのコマンドインジェクションによる遠隔コード実行の脆弱性 |
重大度 | 10.0 (CVSS) |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
vulnerability
2023-05-02 22:32:30
被害状況
事件発生日 | 2023年5月2日 |
被害者名 | Level Finance |
被害サマリ | ハッカーにより、Level Financeのスマートコントラクトの脆弱性を悪用され、214,000 LVLトークン(約$1,100,000相当分)が盗まれた。 |
被害額 | $1,100,000 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | スマートコントラクトの脆弱性を悪用した攻撃 |
マルウェア | 不明 |
脆弱性 | LevelReferralControllerV2にある論理バグを悪用された |
脆弱性
CVE | なし |
影響を受ける製品 | Level Finance |
脆弱性サマリ | Level Financeのスマートコントラクト脆弱性により、214,000 LVLトークンがハッキングされ、 $1,100,000相当の3,345 BNBに交換されました。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | 不明 |
2023年に2回のセキュリティ監査を受けたにもかかわらず、クリプトトレーディングプラットフォームのLevel Financeは、スマートコントラクトの脆弱性を悪用され、214,000 LVLトークンがハッキングされ、$1,100,000相当の3,345 BNBに交換されました。影響を受けたスマートコントラクトは "LevelReferralControllerV2" で、PeckShieldとBlockSecは、同じ脆弱性によりDEX Merlinも被害を受けたと警告しています。攻撃は、2回の監査にもかかわらず、脆弱性が追加された後に発生しました。
incident
2023-05-02 20:29:50
被害状況
事件発生日 | 2023年4月27日 |
被害者名 | 1Passwordの顧客 |
被害サマリ | サービス障害により、誤った秘密鍵やパスワードが変更されたという通知が顧客に届いた。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | サービス障害による誤った通知 |
マルウェア | 利用されていない |
脆弱性 | 不明 |
incident
2023-05-02 19:52:20
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | 9つの暗号通貨取引所が、サイバー犯罪者やランサムウェアの関係者たちが使っていた laundering(資金洗浄)の手段として使用されていたことが明らかになった。これらの取引所が提供するサービスにより、取引が匿名で行われ、資金の軌跡が追えなくなっていた。 |
被害額 | 不明(予想:数千万ドル以上) |
攻撃者
攻撃者名 | 不明(サイバー犯罪者、ランサムウェア関係者) |
攻撃手法サマリ | 取引を匿名化するサービスを提供し、資金の軌跡追跡を困難にすることで、サイバー犯罪者やランサムウェア関係者たちが資金洗浄を行っていた。 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-05-02 19:27:05
脆弱性
CVE | なし |
影響を受ける製品 | Google Chrome |
脆弱性サマリ | Chrome 117から安全なウェブサイト表示アイコンの削除 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
vulnerability
2023-05-02 18:28:00
脆弱性
CVE | なし |
影響を受ける製品 | Bluetoothを使用した追跡デバイス |
脆弱性サマリ | Bluetoothを使用した追跡に対する脆弱性 |
重大度 | 低 |
RCE | 不明 |
攻撃観測 | 未報告 |
PoC公開 | なし |
AppleとGoogleはBluetoothを使用した位置追跡デバイスのストーキングによる影響を受けた人々に警告するための業界標準の採用を提案しています。両社はデバイスの製造業者が不正な追跡を検出し警告することを容易にするよう要件を提案しています。提案された技術規格に従う場合、AndroidおよびiOSの不正な追跡検出および警告技術との互換性が提供されるため、位置追跡アクセサリーを誤用して行われる不要な追跡を検出することがより簡単になります。制限対象ポリシーを含んだAirTagおよびFind My Networkとの整合性により、iOSおよびAndroidデバイスがユーザーにロケーショントラッカーが使用されていることを警告することができます。したがって、Bluetoothを使用した追跡に対する脆弱性が存在する可能性があります。ただし、この脆弱性に関する攻撃は未報告であり、PoCは公開されていません。
other
2023-05-02 18:13:46
1. 大人向けコンテンツの提供企業であるMindGeekは、Utah州の新しい法律に対応して、PornHub、Brazzers、RedTube、YouPorn、およびReality Kingsなどのウェブサイトへのアクセスを中止した。
2. 新しい法律では、セキュリティ確保のため、18歳以上の認証が必要であり、政府発行IDをアップロードするか、サードパーティの年齢確認サービスを使用することが規定されている。
3. MindGeekは、世界最大のオンライン大人向けコンテンツクリエーターであり、125百万人の毎日の訪問者と年間1000億以上のビデオビューを有する独自のネットワークを有する。
4. MindGeekは、デバイス認証システムを提案しているが、詳細は不明。
5. PornHubにアクセスすると、ビデオ女優のCherie DeVilleが、訪問者に上記のメッセージを読み上げるビデオメッセージが表示される。
incident
2023-05-02 15:13:34
被害状況
事件発生日 | 不明 |
被害者名 | TBK Vision |
被害サマリ | 2018年認証回避の脆弱性が開示され、TBK DVR(デジタルビデオレコーディング)デバイスが影響を受けました。この脆弱性が悪用されると、攻撃者はネットワークに侵入し、セキュリティー映像を含むデバイスのオーナーに有害なマルウェアを送信できる可能性があります。 |
被害額 | 不明(予想される被害額は存在しません) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 2018年認証回避の脆弱性を悪用していました。 |
マルウェア | 不明 |
脆弱性 | CVE-2018-9995 |
incident
2023-05-02 14:40:11
被害状況
事件発生日 | 2023年5月2日 |
被害者名 | Monopoly Marketの28名(不明) |
被害サマリ | 世界中にドラッグを販売していたDark Webのマーケットプレイス「Monopoly Market」の28名が逮捕された。警察は現金・仮想通貨約50.8百万ユーロ(約55.9百万ドル)、麻薬850 kg(1,874 ポンド)、銃器117丁を押収した。 |
被害額 | 50.8百万ユーロ(約55.9百万ドル) + 没収銃器117丁 + 現金相当の仮想通貨額(不明) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Dark Webのマーケットプレイス「Monopoly Market」を通じて麻薬や銃器を販売 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-05-02 14:26:00
脆弱性
CVE | CVE-2022-40302、CVE-2022-40318、CVE-2022-43681 |
影響を受ける製品 | LinuxおよびUnixプラットフォームのFRRouting、NVIDIA Cumulus、DENT、SONiCなどのいくつかのベンダー |
脆弱性サマリ | 複数のBGP実装に脆弱性が見つかった。FRRou50ngのバージョン8.4に存在する3つの脆弱性では、BGPペアに対するサービス拒否(DoS)状態を達成するように武器化することができる。 |
重大度 | 高(CVSSスコア:6.5) |
RCE | なし |
攻撃観測 | 不明 |
PoC公開 | 不明 |
脆弱性は、BGP実装のFRRoutingのバージョン8.4に存在する。これには、CVE-2022-40302、CVE-2022-40318、CVE-2022-43681の3つが含まれており、攻撃者によってDoS攻撃が実行されることがあると報告されている。これらの脆弱性はLinuxおよびUnixプラットフォームのFRRoutingとその他のベンダーに影響を与える可能性がある。Forescout Vedere Labsが実施した7つのBGP実装の分析により、これらの問題が発見された。Forescoutは、BGPスイートのセキュリティをテストするためのbgp_boofuzzerというオープンソースツールを提供している。しかし、脆弱性を避ける最善の方法は、ネットワークインフラストラクチャデバイスをできるだけ頻繁にパッチすることだと述べている。
vulnerability
2023-05-02 14:06:12
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | 記事では触れられていないが、脆弱性を突かれた被害があった可能性がある。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 脆弱性を突いて行われた攻撃の可能性あり |
マルウェア | 記事では言及されていない |
脆弱性 | 記事では言及されていない |
脆弱性
なし
影響を受ける製品
Webアプリケーション
脆弱性サマリ
人工知能(AI)の急速な発展に伴い、新しいサイバー攻撃の脅威が生じており、Webアプリケーションもその標的となっている。AIを悪用した攻撃の複雑性や攻撃の効果も増しており、現在のセキュリティ対策では対応が追い付かない状況である。
重大度
高
RCE
不明
攻撃観測
不明
PoC公開
不明
incident
2023-05-02 11:56:00
被害状況
事件発生日 | 2023年5月2日 |
被害者名 | イランに住む少数派グループ(クルド人、バルーチ人、アゼリ人、アルメニアのキリスト教徒) |
被害サマリ | イラン政府が使用するとされるAndroid監視ウェアBouldSpyによる、300人以上の少数派グループのスパイ活動、および武器、薬物、酒の密売といった違法活動などのモニタリング |
被害額 | 不明(予想:被害が金銭的なものでないため、被害額は不明) |
攻撃者
攻撃者名 | イランの法執行機関 |
攻撃手法サマリ | アクセシビリティサービスの悪用、他の侵入的な権限の悪用 |
マルウェア | BouldSpy |
脆弱性 | 不明 |
vulnerability
2023-05-02 11:40:00
脆弱性
CVE | なし |
影響を受ける製品 | テレコム企業のSaaSアプリケーション |
脆弱性サマリ | テレコム企業のSaaSアプリケーションにおいて設定が誤っている場合、個人情報が意図しない観客にさらされる恐れがある。 |
重大度 | 不明 |
RCE | なし |
攻撃観測 | 不明 |
PoC公開 | なし |
この記事は、テレコム企業のSaaSアプリケーションにおいて設定が誤っている場合、個人情報が意図しない観客にさらされる恐れがあることを指摘している。テレコム企業が保有する個人情報は多岐にわたり、SaaSアプリケーションを使用することで多くの利便性を実現しているが、セキュリティ対策には十分注意が必要である。また、テレコム企業は従業員数が多いため、定期的なdeprovisioningプロセスにも注力する必要があることが述べられている。最後に、SaaS Security Posture Management(SSPM)を使用することで、テレコム企業はSaaSアプリケーションをより安全に使用することができると強調されている。
incident
2023-05-02 07:09:00
被害状況
事件発生日 | 2022年7月[不明] |
被害者名 | [不明] |
被害サマリ | Google広告を悪用して配信されたWindows向け金融トロイのLOBSHOTが、50以上の仮想通貨ウォレットの拡張機能から情報を盗み、またhVNC(ヒドゥン・バーチャル・ネットワーク・コンピューティング)経由で被害者の不注意に気付かれることなく端末操作を行うことができる。 |
被害額 | [予想不可] |
攻撃者
攻撃者名 | TA505とされる犯罪組織 |
攻撃手法サマリ | Google広告メールウェア配信 |
マルウェア | LOBSHOT |
脆弱性 | [不明] |
incident
2023-05-02 06:54:00
被害状況
事件発生日 | 2022年7月以降 |
被害者名 | 主に韓国人の個人および団体 |
被害サマリ | ScarCruftは、LNKファイルを利用したRokRATマルウェアの配信経路を試験的に使用し始めた。APT37が多数のキャンペーンを実施し、マルウェアの配信方法を大幅に改善したことも明らかになった。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 北朝鮮の国家情報部(MSS)が指揮するScarCruft(APT37) |
攻撃手法サマリ | 韓国関係者に対するツール配信を含めたスピアフィッシング攻撃により、カスタムツールを提供した。RokRAT(DOGCALL)など、多数のマルウェアが使用された。 |
マルウェア | RokRAT(DOGCALL)、macOS向けのCloudMensis、Android向けのRambleOn、Chinotto、BLUELIGHT、GOLDBACKDOOR、Dolphin、最近追加されたM2RATなどが使用された。ScarCruftは、攻撃により混乱を引き起こすため、Amadeyなどのコモディティマルウェアも使用する。 |
脆弱性 | 不明 |
vulnerability
2023-05-02 05:35:00
被害状況
事件発生日 | 2023年5月2日 |
被害者名 | 不明 |
被害サマリ | TP-Link Archer AX-21、Apache、Oracleを標的とする脆弱性が悪用されている |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 国籍などの特徴が不明 |
攻撃手法サマリ | 脆弱性を標的とする攻撃 |
マルウェア | 不明 |
脆弱性 | TP-Link Archer AX-21のCVE-2023-1389、ApacheのCVE-2021-45046、Oracle WebLogic ServerのCVE-2023-21839が悪用されている |
脆弱性
CVE | CVE-2023-1389、CVE-2021-45046、CVE-2023-21839 |
影響を受ける製品 | TP-Link Archer AX-21ルータ、Apache Log4j2 logging library、Oracle WebLogic Server |
脆弱性サマリ | 1) TP-Link Archer AX-21 Command Injection Vulnerability、2) Apache Log4j2 Deserialization of Untrusted Data Vulnerability、3) Oracle WebLogic Server Unspecified Vulnerability |
重大度 | CVE-2023-1389: 高、CVE-2021-45046: 高、CVE-2023-21839: 中 |
RCE | CVE-2023-1389: 有、CVE-2021-45046: 有、CVE-2023-21839: 不明 |
攻撃観測 | CVE-2023-1389: 有、CVE-2021-45046: 不明、CVE-2023-21839: 不明 |
PoC公開 | CVE-2023-1389: 有、CVE-2021-45046: 不明、CVE-2023-21839: 不明 |
脆弱性の CVE-2023-1389 は、TP-Link Archer AX-21 ルータに影響を受けるコマンドインジェクション脆弱性で、リモートコード実行を実現できる。この脆弱性は、Mirai ボットネットと関連する攻撃者によって、2023年4月11日以降に活用されている。CVE-2021-45046 は、Apache Log4j2 ログライブラリに影響を受ける脆弱性で、リモートコード実行を可能にするものである。この脆弱性は、2021年12月に発見された。CVE-2023-21839 は、Oracle WebLogic Serverに含まれる高度な脆弱性であり、機密情報に対する未承認のアクセスを許可する可能性がある。この脆弱性は、2023年1月にパッチがリリースされたが、攻撃の具体的な事例は不明。米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は、これらの脆弱性に対する修正を2023年5月22日までに適用するよう推奨している。
vulnerability
2023-05-01 20:17:55
脆弱性
CVE | なし |
影響を受ける製品 | iOS、macOS |
脆弱性サマリ | RSRパッチがインストールできない問題 |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
CVE番号は記載されていない。影響を受ける製品はiOSおよびmacOSで、RSRパッチのインストールできない問題があることが発覚している。重大度、RCE、攻撃観測についての情報は不明である。PoCは公開されていない。
incident
2023-05-01 20:11:18
被害状況
事件発生日 | 2023年5月1日 |
被害者名 | Twitterユーザー |
被害サマリ | Twitterのアウトエージペにより、多数のユーザーがWebサイトからログアウトされ、ログインができない状態に陥った。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | アウトエージペ |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-05-01 18:15:47
被害状況
事件発生日 | 2023年5月1日 |
被害者名 | 不明 |
被害サマリ | LOBSHOTマルウェアが、Google Adsを通じて拡散され、Windowsデバイスを感染させ隠密的にhVNCで操作することが判明しました。 |
被害額 | 不明(予想:数百万ドルから数十億ドル) |
攻撃者
攻撃者名 | 不明(拡散手段がGoogle Adsを介したため、国籍や特徴は不明) |
攻撃手法サマリ | Google Adsを通じてAnyDeskリモート管理ソフトウェアを偽装して、LOBSHOTマルウェアを拡散し、感染したデバイスを隠密的にhVNCで操作する。 |
マルウェア | LOBSHOTマルウェア |
脆弱性 | 不明(拡散手段がGoogle Adsを介したため、攻撃で利用された脆弱性が存在するかどうかも不明) |
incident
2023-05-01 17:28:16
被害状況
事件発生日 | 2023年2月下旬から約1か月間 |
被害者名 | T-Mobile(利用者約836人) |
被害サマリ | 個人情報が漏洩し、氏名、連絡先情報、アカウント番号と関連する電話番号、T-MobileアカウントPIN、社会保障番号、公的ID、生年月日、残高、内部コード、契約プランと機能コード、ライン数が含まれる。 |
被害額 | 不明(予想:数十万ドルから数百万ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不正アクセス |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-05-01 13:14:23
脆弱性
CVE | なし |
影響を受ける製品 | Twitter |
脆弱性サマリ | Twitterの古いバグにより、以前認証されたアカウントが"Blue Check"を無料で追加できる |
重大度 | なし |
RCE | 無 |
攻撃観測 | なし |
PoC公開 | なし |
other
2023-05-01 13:14:23
1. Twitterのバグで「元のブルーチェック」を持つ以前に認証済みのアカウントが無料で認証を追加することができた。
2. bugは「元のバージョンのブルーチェック」を復元する。
3. 元々のブルーチェックは、ビジネス、セレブリティ、政治家、活動家、ジャーナリストなどのアカウントの真正性を証明するために使用された。
4. Muskは、Twitter Blueに新しい機能を急いでリリースするなどのせいで、ツールに変なバグが含まれている可能性がある。
5. このバッグがすぐに修正される可能性があるが、もしあなたにとってブルーチェックが重要な場合、このバグを利用して復元することができる。
vulnerability
2023-05-01 13:14:23
脆弱性
CVE | なし |
影響を受ける製品 | Twitter |
脆弱性サマリ | Twitterの謎のバグが、以前に認証済みだったアカウントにブルーチェック復活の機会を与えた |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
incident
2023-05-01 12:31:00
被害状況
事件発生日 | 2023年4月 |
被害者名 | 企業のネットワーク |
被害サマリ | 新たなマルウェアツールキット「Decoy Dog」が発見され、その被害は主に企業のネットワークに及んでいる。ツールキットは逃避を目的としており、戦略的ドメインエイジングやDNSクエリドリブリングといった技術を使用して検知を回避している。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明。関連する過去の攻撃では、中国の国家主導のグループによる攻撃が確認されていたが、今回の攻撃については、そのような報告はない。 |
攻撃手法サマリ | DNSトンネリングという手法を用い、クエリとレスポンスをC2として悪意のコードを送信する方法が用いられた。また、攻撃で利用されるDNSビーコン行動は、定期的に行われるまれなDNSリクエストのパターンに従い、侵入を検知されにくくしている。 |
マルウェア | Pupy RATと呼ばれるオープンソースのトロイの木馬がツールキットの主要な構成要素であり、DNSトンネリングを使用して送信される。ツールキットがその他のマルウェアを利用しているかは不明。 |
脆弱性 | 不明 |
incident
2023-05-01 12:28:10
被害状況
事件発生日 | 2023年3月26日 |
被害者名 | Western Digital |
被害サマリ | Western Digitalはサイバー攻撃を受け、10TBのデータが盗まれた。被害者は2週間にわたってMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerおよびそれらに関連するモバイル、デスクトップ、Webアプリを含むクラウドサービスを停止した。また、攻撃者は、会社の署名鍵で署名されたファイル、リストに載っていない法人用電話番号、他の内部データのスクリーンショットなど、盗まれたデータのサンプルを共有した。攻撃者は、ランサムウェアではなく、ALPHVランサムウェア攻撃グループとは関係がないと述べた後、サイト上に急かす警告を掲載し、もし身代金が支払われなかった場合、Western Digitalのデータを流出させることを示唆した。 |
被害額 | 不明(予想:被害総額1億5000万ドル) |
攻撃者
攻撃者名 | ALPHVランサムウェア攻撃グループ(別名BlackCat) |
攻撃手法サマリ | サイバー攻撃による不正アクセスとデータ盗難 |
マルウェア | ALPHVランサムウェア(攻撃とは関係ないとされる) |
脆弱性 | 不明 |
vulnerability
2023-05-01 10:53:00
脆弱性関連のニュース記事。
脆弱性
CVE | [CVE番号|なし] |
影響を受ける製品 | なし |
脆弱性サマリ | 実時間で横方向運動に対する保護が不可欠であるが、現在のセキュリティスタックにはその機能はなく、とりわけ多要素認証(MFA)とサービスアカウント保護が欠けている。Silverfortのプラットフォームが脅威アクターに立ち向かい、横方向運動保護を実現する。 |
重大度 | なし |
RCE | 無 |
攻撃観測 | なし |
PoC公開 | なし |
脆弱性の概要は、横方向運動と呼ばれる攻撃手法である。この攻撃手法を実時間で保護するためには、現在のセキュリティスタックにはその機能がなく、とりわけ多要素認証(MFA)とサービスアカウント保護が欠けている。Silverfortのプラットフォームが脅威アクターに立ち向かい、横方向運動保護を実現する。具体的なCVE番号や影響を受ける製品については言及がない。
incident
2023-05-01 09:17:00
被害状況
事件発生日 | 2023年5月1日 |
被害者名 | 不明 |
被害サマリ | 攻撃者は500,000のデバイスを感染させ、情報窃取マルウェア(S1deload Stealer、SYS01stealer)のバリアントを配布しました。攻撃は、ファイル共有サイトのように見えるプロモーションされたソーシャルメディア投稿で行われました。投稿には、アダルト向け写真アルバムの無料ダウンロードを提供すると主張する広告が含まれていましたが、ZIPファイル内には、実際には実行可能ファイルが含まれていました。この実行可能ファイルをクリックすると、感染チェーンがアクティベートされ、セッションCookie、アカウントデータ、その他の情報を盗むスティーラーマルウェアが展開されます。この攻撃チェーンは、盗まれた情報を使用してさらに多くのスポンサー投稿を推進することで、より大規模にスケーリングされます。 |
被害額 | 不明 |
攻撃者
攻撃者名 | ベトナム人の脅威アクター |
攻撃手法サマリ | 攻撃者は、広告を支払って「増幅」するために、サービスのプロモーションされたソーシャルメディア投稿(malverposting)を使用しました。攻撃は、偽の写真家アカウントとしてFacebookに新しいビジネスプロファイルページを提供することによって、Facebookのレーダーをかわしました。 |
マルウェア | S1deload Stealer、SYS01stealer |
脆弱性 | 不明 |
incident
2023-05-01 08:52:00
被害状況
事件発生日 | 2023年5月1日 |
被害者名 | ウクライナ政府機関 |
被害サマリ | ロシアのAPT28が、偽の "Windows Update" の件名をつけたフィッシングメールを使用して、ウクライナ政府機関を狙ったサイバー攻撃を実行した。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | ロシアのAPT28(Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit、Sofacy とも呼ばれる) |
攻撃手法サマリ | 偽の "Windows Update" の件名を使ったフィッシングメールを使用し、PowerShellスクリプトを利用してシステム情報を収集して、Mocky APIの指定URLに情報を送信する攻撃。 |
マルウェア | 特定されていない |
脆弱性 | 特定されていない |
other
2023-05-01 05:10:00
1. Googleは2022年に、悪意のあるアプリを1,430,000個ブロックし、173,000個のアカウントを禁止し、Google Playを介して2十億ドル以上の不正取引を未然に防いだ。
2. Googleは新しいアイデンティティ認証手法を導入し、不正なアカウントを削減した。
3. GoogleはApp Security Improvementsプログラムを通じて、対象アプリ250億個を保持する約300,000のアプリのセキュリティ弱点を修正した。
4. Googleは2021年に、ポリシーに違反したアプリ120万個をブロックし、190,000個のアカウントを禁止した。
5. 最近、McAfeeのMobile Research Teamによって、Minecraftに擬態した38のゲームが検出され、全世界で約3500万人のユーザーにインストールされていることが明らかになった。これらのゲームには、HiddenAdsマルウェアが組み込まれており、運営者が不正収益を得るために裏で広告をロードする。
incident
2023-04-30 14:07:17
被害状況
事件発生日 | 不明 |
被害者名 | ウクライナ政府機関など |
被害サマリ | ロシアのAPT28(通称Fancy Bear)の攻撃により偽装したWindowsアップデートガイドを送り、電子メールに添付されたPowerShellスクリプトを実行させ、情報収集を実施 |
被害額 | 不明(予想:数億円以上) |
攻撃者
攻撃者名 | ロシア政府が支援するAPT28 |
攻撃手法サマリ | 偽装したWindowsアップデートガイドの送信と、PowerShellスクリプトを含む電子メールの送信による攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-29 14:41:16
被害状況
事件発生日 | 2023年3月28日以降(CVE-2023-27532の脆弱性が悪用されたため) |
被害者名 | Veeam backup servers |
被害サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)が悪用され、外部からアクセス可能な状態にあった7,500程のサーバーに侵入された。侵入者によって、システム情報や認証情報が抜き取られた。最終的な目的は不明。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)を悪用した攻撃を行ったとされている。攻撃者はFIN7と関連性があるとされている。 |
マルウェア | DiceLoader/Lizarバックドア |
脆弱性 | CVE-2023-27532 |
vulnerability
2023-04-29 04:34:00
脆弱性
CVE | CVE-2023-1968, CVE-2023-1966 |
影響を受ける製品 | Illumina MiSeqDx、NextSeq 550Dx、iScan、iSeq 100、MiniSeq、MiSeq、NextSeq 500、NextSeq 550、NextSeq 1000/2000、NovaSeq 6000 |
脆弱性サマリ | 1. UCSソフトウェアの10.0の深刻度を持つ脆弱性により、遠隔攻撃者が公開されたIPアドレスにバインドすることが可能になり、ネットワークトラフィックを傍受し、任意のコマンドをリモートで転送することができる。2. 特権の誤構成に関連した脆弱性により、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能になる。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 未発生 |
PoC公開 | 無 |
概要
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、IlluminaメディカルデバイスのUniversal Copy Service(UCS)ソフトウェアに影響を与える深刻な脆弱性に関する医療アドバイザリー警告を発行した。次の製品に影響を与える脆弱性があり、遠隔攻撃者は公開されたIPアドレスにバインドすることができ、ネットワークトラフィックを傍受し、リモートで任意のコマンドを転送できる。また、特権の誤構成に関連した脆弱性があり、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能である。これらの脆弱性の悪用は、オペレーティングシステムレベルで実行され、在庫の設定、構成、ソフトウェア、またはデータに影響を与えることができる。FDAによると、認可されていないユーザーはこれらの短所を兵器として利用することができ、臨床診断用に意図された器具のゲノムデータ結果に影響を与えることができる、なお、これらの脆弱性の悪用例は未知である。利用者は、潜在的な脅威を軽減するために、2023年4月5日にリリースされた修正を適用することが推奨されている。
other
2023-04-29 04:23:00
1. OpenAIのChatGPTは、イタリアのデータ保護法に違反している可能性があるとして、Garanteによって2023年3月31日に一時的にブロックされたが、同年4月30日の期限に先立ち、同要件に従ったため、正式にイタリアに戻ってきた。
2. ChatGPTは、インターネット上で自由に利用可能な大量の情報や、ユーザーが相互作用の過程で提供するデータに主に依存しており、悪意のあるコンテンツをフィルタリングし、削除する。
3. OpenAIは、ChatGPTのユーザー情報をトレーニングに使用したり、人々に連絡したり、アドバタイズメントをしたりすることはないと強調している。
4. ChatGPTの返答には、公にアクセス可能な人物やその他個人の個人情報が含まれる可能性があるため、ヨーロッパのユーザーは、オンラインフォームに記入して、自分の個人情報の処理に異議を申し立てることができる。
5. OpenAIは、ChatGPTを利用する前にユーザーが18歳以上であることを確認する年齢確認システムを導入することで、Garanteの要件を満たした。加えて、OpenAIは、年齢確認システムの改善措置を講じ、EDPBが設置したタスクフォースの一環として、引き続きOpenAIの調査を行う予定である。
incident
2023-04-28 19:53:38
被害状況
事件発生日 | 2023年4月25日 |
被害者名 | Americold |
被害サマリ | 冷凍倉庫・輸送会社のアメリコールド(Americold)がサイバー攻撃を受け、ネットワークがダウンした。アメリコールドは攻撃を抑止し、現在事件を調査中。事件によって業務に深刻な影響が及ぶ状態にある。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-28 18:42:39
被害状況
事件発生日 | 不明 |
被害者名 | Yellow Pages Group |
被害サマリ | カナダのディレクトリ出版社であるYellow Pages Groupが、BlackBastaランサムウェアの攻撃を受け、データを盗まれたことが明らかになった。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | BlackBastaランサムウェアによる攻撃 |
マルウェア | BlackBastaランサムウェア |
脆弱性 | 不明 |
vulnerability
2023-04-28 17:37:18
被害状況
事件発生日 | 2023年4月28日 |
被害者名 | 不明 |
被害サマリ | ViperSoftXという情報窃盗マルウェアが、Chromeのブラウザ拡張子VenomSoftXをインストールし、被害者のウェブブラウジング情報、暗号通貨ウォレットの情報などを盗み集めている。最新版では、KeePassや1Passwordなどのパスワードマネージャーもターゲットに追加され、様々なブラウザを対象とするようになった。また、マルウェア検知を逃れるための改善も行われている。 |
被害額 | 不明(予想: 情報漏洩による損害や、暗号通貨の被害もあるため不明。) |
攻撃者
攻撃者名 | 不明。Trend Microによると、Australia、France、India、Italy、Japan、Malaysia、Taiwan、the United Statesが被害の50%以上を占めているとされた。 |
攻撃手法サマリ | ViperSoftXは、ソフトウェアパッケージの中に隠れ、ブラウザ拡張子VenomSoftXをインストールすることで、被害者のウェブブラウジング情報や暗号通貨ウォレット情報を盗み取る。DLLサイドロードを使用して、信頼されたプロセスのコンテキストで実行することで、検知を回避する。また、Byte Mappingという新たなエンコーディング方式を採用し、解析を困難にする工夫がされている。 |
マルウェア | ViperSoftX |
脆弱性 | CVE-2023-24055の脆弱性による攻撃は確認されていないとされている。 |
脆弱性
CVE | CVE番号なし |
影響を受ける製品 | KeePass、1Passwordなどのパスワード・マネージャー |
脆弱性サマリ | ViperSoftX情報窃取マルウェア、強化された暗号化や検出回避機能などにより、更に広範な対象に拡大 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
ViperSoftXという情報窃取マルウェアがKeePassや1Passwordを含むパスワード・マネージャーを新たに攻撃対象に加えました。Trend Microによると、今回の更新では従来よりも多くの仮想通貨ウォレットを攻撃対象にし、Chrome以外のブラウザ(Brave、Edge、Opera、Firefox)も感染させる能力を備えています。また、より強固にコードが暗号化され、セキュリティ・ソフトウェアによる検出回避機能も追加されています。パスワード・マネージャーを上手く利用することで、攻撃者はより多くのデータを収集できる可能性があります。
incident
2023-04-28 16:41:52
被害状況
事件発生日 | 不明 |
被害者名 | オンラインストアの顧客 |
被害サマリ | クレジットカード情報を盗み取るため、現実的で魅力的な支払いフォームをモーダル表示してオンラインストアを乗っ取るマルウェアが登場している。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | オンラインストアを乗っ取り、現実的な支払いフォームをモーダル表示して、クレジットカード情報を盗み取る。 |
マルウェア | MageCartスキマー、Kritec JavaScriptクレジットカードスキマー |
脆弱性 | 不明 |
vulnerability
2023-04-28 14:40:51
脆弱性
CVE | CVE-2023-1968, CVE-2023-1966 |
影響を受ける製品 | iScan Control Software: v4.0.0, iScan Control Software: v4.0.5, iSeq 100: All versions, MiniSeq Control Software: v2.0 and newer, MiSeq Control Software: v4.0 (RUO Mode), MiSeqDx Operating Software: v4.0.1 and newer, NextSeq 500/550 Control Software: v4.0, NextSeq 550Dx Control Software: v4.0 (RUO Mode), NextSeq 550Dx Operating Software: v1.0.0 to 1.3.1, NextSeq 550Dx Operating Software: v1.3.3 and newer, NextSeq 1000/2000 Control Software: v1.7 and prior, NovaSeq 6000 Control Software: v1.7 and prior, NovaSeq Control Software: v1.8 |
脆弱性サマリ | 株式会社Illumina社のDNA分析及びシーケンシングに使用される製品において、リモートで実行されるコードに関する脆弱性(CVE-2023-1968)及び、UCSのユーザーが特権を持ってコマンドを実行する事を許可してしまう脆弱性(CVE-2023-1966)が存在することが判明した。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
other
2023-04-28 13:17:34
- マンディアントが主催するイベント「mWISE」は、2023年9月18日から20日まで、シスコ、政府、民間企業からなるグローバルなサイバーセキュリティコミュニティによる議論によって構成される
- 当イベントでの講演者には、サイバーセキュリティの分野で活躍するプラクティショナーが含まれ、商業的な目的は排除され、セキュリティの分野でのコラボレーションに焦点が当てられる
- mWISEは、ベンダーや製品の販売にフォーカスせず、マンディアント用語で表すと「コミュニティを築く」ことを優先する
- 提案されるキーノートスピーカーはベンダーの影響を受けないため、インテリジェンスの専門家、政府関係者が優先され、話題に沿った提案が求められる
- mWISE参加登録は5月にオープンする。会議のニュースについては、mWISE Webサイトで確認できる。
incident
2023-04-28 11:59:00
被害状況
事件発生日 | 2023年4月24日 |
被害者名 | 不明 |
被害サマリ | Apple macOSシステムのKeychainパスワード、システム情報、デスクトップとドキュメントフォルダのファイル、さらにmacOSパスワードを含む、様々な種類の情報を盗まれた可能性がある。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 情報スティーリングマルウェアをアップルマシンに対して使用 |
マルウェア | Atomic macOS Stealer (AMOS) |
脆弱性 | 不明 |
other
2023-04-28 11:53:00
1. 世界中で1.72兆ドルが投資された2022年にもかかわらず、サイバーセキュリティにおいて新しい脅威を止めることはますます難しくなっている。
2. 脅威検知と調査に重点を置いている現在のアプローチでは、76%のセキュリティチームが人手不足に苦しんでおり、56%の攻撃が数ヶ月以上発生しても発覚していない。
3. エンドポイント検出と対応(EDR)は、サイバーセキュリティ戦略の大切な部分だが、すべての攻撃が端末から始まるわけではなく、非 IT 管理端末やクラウドベースのファイル共有ドライブを通じて攻撃があることもある。
4. ZScalerのゼロトラストエクスチェンジには、AIによる分析と即時の防御機能が備わっており、効率的かつ包括的なサイバーセキュリティ戦略を提供する。
5. 検出技術の欠点を補完する必要があり、ゼロトラストモデルを取り入れた予防対策が必要となっている。それに対してZScalerのインラインサンドボックスは、ゼロデイ攻撃に対して即座に検出を行い、適切な対応を取ることができる。
vulnerability
2023-04-28 11:41:00
脆弱性
CVE | CVE-2023-28771 |
影響を受ける製品 | Zyxel ATP (versions ZLD V4.60 to V5.35), USG FLEX (versions ZLD V4.60 to V5.35), VPN (versions ZLD V4.60 to V5.35), and ZyWALL/USG (versions ZLD V4.60 to V4.73) |
脆弱性サマリ | 不正なエラーメッセージ処理により、認証されていない攻撃者がクラフトしたパケットを送信することでリモートからOSコマンドを実行できる。 |
重大度 | 9.8 (CVSSスコア) |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
この記事は、ネットワーク機器メーカーの Zyxel のファイアウォールデバイスが攻撃者によってリモートからコード実行可能となる重大な脆弱性が存在することを示している。この脆弱性はCVE-2023-28771と分類され、Zyxelは製品の一部でこの問題を修正した。Zyxel ATP (バージョンZLD V4.60からV5.35)、USG FLEX(バージョンZLD V4.60からV5.35)、VPN(バージョンZLD V4.60からV5.35)およびZyWALL/USG(バージョンZLD V4.60からV4.73)が影響を受ける。
vulnerability
2023-04-28 11:30:00
脆弱性
CVE | なし |
影響を受ける製品 | ViperSoftX |
脆弱性サマリ | 情報窃取マルウェアViperSoftXが、高度な暗号化や基本的な抗解析技術を活用して検出を免れるようになった。主にオーストラリア、日本、アメリカ、インドのエンタープライズおよび一般消費者が影響を受けている。 |
重大度 | 高 |
RCE | 無 |
攻撃観測 | 有 |
PoC公開 | 不明 |
ViperSoftXという情報窃取マルウェアが報じられた。2020年に初めて報告されたViperSoftXは、Google Chromeの悪意ある拡張機能を配布するマルウェアとして機能した。Trend Microによる新しい分析によると、ViperSoftXは今でも使用されており、より高度な暗号化や基本的な抗解析技術を使用して検出を免れており、キーワードとパスワードデータを不正に入手している。ViperSoftXの最初の拡張ラウンチャは、ソフトウェアのクラックまたはキージェネレーター(keygen)が一般的である。ViperSoftXは、自分たちのマルウェアが存在するかどうかをチェックするための、仮想マシン、監視、悪用チェックを行う。ViperSoftXは、パーソナルデータを盗むために拡張機能をインストールする。ViperSoftXの主なC&Cサーバーは、月ごとに変更されているようだ。ユーザーは、公式のプラットフォームとソースからソフトウェアをダウンロードし、不正なソフトウェアをダウンロードしないように注意すべきである。
incident
2023-04-28 09:18:00
被害状況
事件発生日 | 2023年4月28日 |
被害者名 | 不特定のオンラインショップの顧客データ |
被害サマリ | オンラインショップでマルウェアが使用され、偽の支払い画面が出現し、クレジットカード情報を入力された顧客から収集される。 |
被害額 | 不明(予想:数百万ドル程度) |
攻撃者
攻撃者名 | Magecartと呼ばれる一連のサイバー犯罪グループ |
攻撃手法サマリ | オンラインスキミング技術を用いた偽の支払い画面による顧客データ収集 |
マルウェア | Kritec |
脆弱性 | 不明 |
incident
2023-04-28 08:48:22
被害状況
事件発生日 | 2023年4月28日 |
被害者名 | Lloyds Bank、Halifax、TSB Bank、Bank of Scotlandの顧客 |
被害サマリ | Lloyds Bank、Halifax、TSB Bank、Bank of Scotlandのウェブサイトとモバイルアプリが停止したため、顧客はアカウント残高や情報にアクセスできなかった。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 使用されていない |
脆弱性 | 不明 |
incident
2023-04-28 06:44:00
被害状況
事件発生日 | 不明 |
被害者名 | 韓国の教育、建設、外交、政治機関 |
被害サマリ | 中国に関係するTonto Teamが、アンチマルウェアファイルを使用して攻撃を実行した |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | Tonto Team(中国と関係があるとされるグループ) |
攻撃手法サマリ | マイクロソフトのコンパイル済みHTMLヘルプ(.CHM)ファイルを使用して正当なAvastソフトウェア構成ファイルを副読み込みすることで、Bisonalリモートアクセストロイヤンを実行する |
マルウェア | ReVBShell、Bisonalリモートアクセストロイヤン |
脆弱性 | 不明 |
incident
2023-04-27 19:42:12
被害状況
事件発生日 | 不明(2023年4月27日に記事が掲載される) |
被害者名 | 不明 |
被害サマリ | Google Playでダウンロードされた、Minecraftに似た38種のゲームが、Android対応の広告ウイルス「HiddenAds」を仕込まれており、世界中の約35百万人のダウンロード者に損害を与えた。 |
被害額 | 不明(予想:被害者の資産を直接奪うわけではなく、モバイルデバイスのパフォーマンスを低下させるため、特定の被害額は出ない) |
攻撃者
攻撃者名 | 不明(製作者は同一の可能性がある) |
攻撃手法サマリ | Google PlayでMinecraftに似たゲームを公開して、ユーザーにそれをダウンロードしてもらった後、約35百万人のユーザーにHiddenAdsという広告ウイルスを仕込み、背後で広告を表示させ、運営者に収益をもたらした。 |
マルウェア | HiddenAds |
脆弱性 | 不明 |
other
2023-04-27 18:06:21
1. Microsoftが、Windows 10 22H2がWindows 10の最後の機能アップデートであると発表。
2. Windows 10 22H2は2024年5月(Home、Pro、Pro Education、およびPro for Workstations Edition)および2025年5月(Enterprise、Education、およびIoT Enterprise Edition)にサポート終了予定。
3. ユーザーおよび組織はWindows 11に移行することを強く推奨。
4. Windows 10に残る必要がある場合は、Windows 10 22H2にアップグレードすることを推奨。
5. Windows LTSCリリースに関するアドバイザリも公開され、Windows 10のLTSCエディションは2027年1月までサポートが提供される。 IoT Enterprise Editionは2032年1月までサポートとなる。
other
2023-04-27 17:13:21
- Googleは、2022年に173,000人の開発者アカウントを禁止し、マルウェア運用や詐欺リングからAndroidユーザーのデバイスに悪意のあるアプリを感染させることを防いだと発表。
- Google Playストアに到達するのを阻止するために、多様なプライバシーポリシー違反に関連するほぼ1.5百万のアプリも防止した。
- Google Playコマースセキュリティチームは、詐欺行為や虐待行為につながる詐欺的な取引をブロックし、2十億ドル以上の損失を回避した。
- 開発者がPlay Storeエコシステムに参加する際に、電話と電子メールのID確認を行うようにとの追加要件が設けられた。これにより、Google Playポリシーを違反するアプリの拡散に使用されるアカウント数が減少した。
- Googleは、ステートレスコンピューティングの代替手段としてGoogle Authenticator End-to-End Encryptionを追加することを計画している。
incident
2023-04-27 16:20:13
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | RTM Lockerは、Linuxの暗号化アルゴリズムを使用してVMware ESXiサーバー上の仮想マシンを暗号化するRansomware-as-a-Service (RaaS) を開始しました。RTMは過去に金融詐欺で活動しており、2022年12月にはWindows用のランサムウェア暗号化プログラムが報告されていましたが、最近にはLinux版を含むVMware ESXiを標的とするものが出回っています。 |
被害額 | 不明(予想外でございます) |
攻撃者
攻撃者名 | RTM (Read The Manual) サイバー犯罪グループ |
攻撃手法サマリ | Linuxを標的とするransomware攻撃 |
マルウェア | RTM Locker |
脆弱性 | 不明 |
incident
2023-04-27 15:56:00
被害状況
事件発生日 | 不明 |
被害者名 | Google Chromeユーザー |
被害サマリ | CryptBotによって、670,000台のコンピューターが感染し、ユーザーの認証情報、ソーシャルメディアアカウントのログイン情報、暗号通貨ウォレットなどが盗まれ、データが他の攻撃者に売られた可能性がある。 |
被害額 | 不明(予想:数億円以上) |
攻撃者
攻撃者名 | 不明。Googleによると、パキスタンを拠点とする「世界的な犯罪企業」が主要なCryptBotの配信業者と疑われている。 |
攻撃手法サマリ | Google Earth ProやGoogle Chromeなどの人気ソフトウェア向けに改造されたマルウェアを偽のWebサイトで配信するが、不正ライセンスキーでMicrosoft OfficeやWindowsを違法にアクティブ化するツールKMSPicoも配信に利用される。 |
マルウェア | CryptBot |
脆弱性 | 不明 |
incident
2023-04-27 15:36:38
被害状況
事件発生日 | 2023年3月28日 |
被害者名 | Microsoft 365のOutlookの一部のユーザー |
被害サマリ | Outlookのバグにより、一部のMicrosoft 365グループユーザーがOutlookデスクトップクライアントでグループのメールボックスやカレンダーにアクセスできなくなった。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Outlookのバグによる障害 |
マルウェア | 不明 |
脆弱性 | 認証コードの不備 |
vulnerability
2023-04-27 14:34:24
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | マルウェアの"Atomic"が50種類以上の暗号通貨関連の拡張機能やデスクトップウォレットからパスワード、クッキー、クレジットカード情報などを盗み出すことができる |
被害額 | 不明(予想不能) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | マルウェアによる情報窃取 |
マルウェア | "Atomic"(別名"AMOS") |
脆弱性 | 不明 |
脆弱性
CVE | なし |
影響を受ける製品 | macOS |
脆弱性サマリ | 新しいmacOS情報窃取マルウェア「Atomic」が50種類の仮想通貨ウォレットを狙う |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | 不明 |
この脆弱性は、新しいmacOS情報窃取マルウェア「Atomic」が50種類の仮想通貨ウォレットを狙うものである。このマルウェアは、macOSシステムを標的にし、システムパスワード、ファイル、パスワード、クッキー、ブラウザに保存されているクレジットカードなどを盗むことができる。このマルウェアは、Telegramチャンネルを売り手とのコミュニケーションに使用し、月額1000ドルのサブスクリプション料金で販売されている。
vulnerability
2023-04-27 14:04:08
脆弱性
CVE | なし |
影響を受ける製品 | なし |
脆弱性サマリ | 「!password20231#」のような複雑なパスワードも簡単に攻撃される可能性がある |
重大度 | なし |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
記事の内容は、パスワードの複雑さよりも長さが重要であることを意味している。長くかつ独自のパスフレーズを設定することが推奨されている。また、一度決めたパスワードは定期的に変更することをやめ、漏洩した場合のみ変更することが推奨されている。一般的な単語のリストを使用して、新しいパスワードが予測できるかどうかをチェックするパスワード検査も利用できる。さらに、ユーザーをパスワードの重要性について教育することも重要である。
incident
2023-04-27 13:42:00
被害状況
事件発生日 | 2023年4月27日 |
被害者名 | タジキスタンの政府高官、電気通信サービス、公共サービスのインフラストラクチャ |
被害サマリ | 政府関係者やその他の高利値な組織がターゲット |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | ロシア語を話すサイバースパイグループ("Nomadic Octopus"と呼ばれる) |
攻撃手法サマリ | フィッシング攻撃やマルウェア利用による侵入、攻撃者によるターゲットサーバーへのアクセス、リモートコード実行によるデータ窃取等を利用したサイバースパイ行為 |
マルウェア | Delphiベースに作成されたマルウェア「Octopus」やTelegramモバイルアプリの代替バージョンに偽装したOctopusなど |
脆弱性 | 公に認知された脆弱性を悪用して攻撃を実行 |
incident
2023-04-27 11:45:00
被害状況
事件発生日 | 不明 |
被害者名 | 不特定の組織 |
被害サマリ | 組織がLimeRATマルウェアに感染され、データ盗難、DDoSボットネットの形成、クリプトマイニングの支援がされた |
被害額 | 不明(予想:数十万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | オブフスケーションとエンクリプションの使用、Base64アルゴリズムとAESアルゴリズムの利用 |
マルウェア | LimeRAT |
脆弱性 | 不明 |
incident
2023-04-27 10:15:00
被害状況
事件発生日 | 2023年4月27日 |
被害者名 | 不明 |
被害サマリ | RTM Lockerが、初めてLinuxを含むマシンに侵入してランサムウェアを配信した。Linux、NASおよびESXiホストを感染させ、Babukランサムウェアのリークされたソースコードに触発されたと見られている。感染したホスト上で実行されているすべての仮想マシンを終了してから、暗号化プロセスを開始することにより、ESXiホストを特定している。攻撃者グループは、2025年に活動を始めたサイバー犯罪グループRead The Manual(RTM)のルーツを持ち、高いプロファイルを持つ標的からは距離を置いている。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | 不明。RTMグループのルーツが見つかっている。 |
攻撃手法サマリ | ランサムウェア |
マルウェア | RTM Locker |
脆弱性 | 不明 |
incident
2023-04-27 08:20:00
被害状況
事件発生日 | 不明(2023年4月13日より早い) |
被害者名 | PaperCutサーバーを利用する顧客 |
被害サマリ | Cl0pおよびLockBitランサムウェアを配信するために利用されたPaperCutの脆弱性(2023-27350およびCVE-2023-27351)が悪用された。第三者からの不正アクセスによって、周辺の重要な情報が盗まれた可能性がある。 |
被害額 | (不明) |
攻撃者
攻撃者名 | Lace Tempest(金銭目的のグループ。国籍などの特徴は不明) |
攻撃手法サマリ | PaperCutの脆弱性を悪用して、TrueBot DLLを配信し、Cobalt Strike Beaconイムプラントを配置。WMIを使用してネットワーク内で横断移動し、MegaSyncファイル共有サービスを通じて関連ファイルを外部に流出。 |
マルウェア | Cl0p、LockBit |
脆弱性 | PaperCutの脆弱性(2023-27350およびCVE-2023-27351) |
incident
2023-04-26 23:28:17
被害状況
事件発生日 | 2023年4月 |
被害者名 | PaperCut |
被害サマリ | 不特定のサイバー犯罪者が、PaperCutの脆弱性を悪用し、ClopとLockBitのランサムウェアを使用して企業データを盗んだ。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | ClopとLockBitのランサムウェアグループ(Lace Tempestとも呼ばれる) |
攻撃手法サマリ | PaperCutの脆弱性(CVE-2023-27350およびCVE-2023-27351)を悪用した攻撃。攻撃者は企業データを盗むためにTrueBotマルウェアを導入し、後にCobalt Strikeビーコンを使用してデータを盗んで拡散した。また、ファイル共有アプリのMegaSyncを使用した。Clopランサムウェアグループは以前、FTA zero-day脆弱性、GoAnywhere MFTのzero-day脆弱性を悪用してデータを盗んでいると報告されている。 |
マルウェア | ClopとLockBitのランサムウェアおよびTrueBotマルウェア |
脆弱性 | CVE-2023-27350およびCVE-2023-27351の脆弱性 |
incident
2023-04-26 23:28:17
被害状況
事件発生日 | 不明(脆弱性の修正が4月19日に発表された) |
被害者名 | PaperCut Application Server |
被害サマリ | ClopおよびLockBitのランサムウェアグループがPaperCutサーバーの脆弱性を悪用して、コーポレートデータを窃取していた。 |
被害額 | 不明 |
攻撃者
攻撃者名 | ClopおよびLockBitのランサムウェアグループ |
攻撃手法サマリ | 脆弱性の悪用 |
マルウェア | TrueBot、Cobalt Strikeビーコンなど |
脆弱性 | PaperCut Application Serverの複数の脆弱性(CVE-2023–27350、CVE-2023–27351) |
incident
2023-04-26 23:28:17
被害状況
事件発生日 | 2023年4月19日 |
被害者名 | PaperCut |
被害サマリ | 不明。ClopランサムウェアグループがPaperCutサーバーへの攻撃を実行した。TrueBotマルウェアやCobalt Strikeビーコンを使用し、MegaSyncファイル共有アプリケーションを用いたデータ窃盗も行われた。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | Clopランサムウェアグループ |
攻撃手法サマリ | 脆弱性を攻撃してPaperCutサーバーに侵入し、TrueBotマルウェアやCobalt Strikeビーコンを使用したデータ窃盗を行った。 |
マルウェア | TrueBotマルウェア、Cobalt Strikeビーコン |
脆弱性 | PaperCut Application Serverの脆弱性(CVE-2023-27350、CVE-2023-27351) |
incident
2023-04-26 21:35:05
被害状況
事件発生日 | 不明 |
被害者名 | 300百万人以上(ウクライナ国民や欧州諸国民) |
被害サマリ | 個人情報(パスポート情報、納税者番号、出生証明書、運転免許証、銀行口座情報)が流出した。 |
被害額 | 不明(予想:数千万ドル~数億ドル) |
攻撃者
攻撃者名 | ウクライナ人男性1名 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-26 21:11:30
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Google Authenticatorの2FAコードがクラウドサーバに同期された際、エンドツーエンドの暗号化がされていない可能性がある |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Google Authenticatorの2FAコードがクラウドサーバに同期された際のエンドツーエンド暗号化の欠如 |
マルウェア | 特定されていない |
脆弱性 | エンドツーエンド暗号化が欠如した点に起因するセキュリティ上の脆弱性 |
脆弱性
CVE | なし |
影響を受ける製品 | Google Authenticator |
脆弱性サマリ | Google Authenticatorのクラウドバックアップ機能がエンドトーエンドの暗号化を提供していないため、Googleが意図しない第三者によって2FA QRコード中の秘密が取得される可能性がある。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
Google Authenticatorのクラウドバックアップ機能に重大な脆弱性があることがMyskによって発見された。Google Authenticatorのクラウドバックアップ機能がエンドトーエンドの暗号化を提供していないため、Googleが意図しない第三者によって2FA QRコード中の秘密が取得される可能性がある。Googleはこの問題に対処するため、Google Authenticatorにエンドトーエンドの暗号化を追加する予定である。
vulnerability
2023-04-26 19:30:05
脆弱性
CVE | CVE-2023-30839 |
影響を受ける製品 | PrestaShop (version 8.0.3 以前) |
脆弱性サマリ | PrestaShopは、不正なアクセス権限を持つバックオフィスユーザーによってSQLデータベースに書き込み、更新、または削除される脆弱性を修正しました。 |
重大度 | 高 (CVSS v3.1スコア:9.9) |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | 不明 |
vulnerability
2023-04-26 18:51:50
脆弱性
CVE | CVE-2023-20060 |
影響を受ける製品 | Cisco Prime Collaboration Deployment (PCD) software |
脆弱性サマリ | Cisco PCD (14およびそれ以前)のwebベースの管理インターフェースにおけるクロスサイトスクリプティングの脆弱性(CVE-2023-20060)が確認された。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 未知の攻撃は報告されていません。 |
PoC公開 | 未知 |
incident
2023-04-26 18:16:40
被害状況
事件発生日 | 2020年以降 | 2022年1月に発覚 |
被害者名 | Tencent QQメッセージアプリの利用者 |
被害サマリ | 中国のサイバースパイ集団'Evasive Panda'によって、Tencent QQの自動アップデートを装い配信されたMsgBotマルウェアで感染したことが発覚した。 |
被害額 | (不明) |
攻撃者
攻撃者名 | Evasive Panda |
攻撃手法サマリ | サプライチェーン攻撃もしくはAdversary-in-the-Middle(AITM)攻撃。 |
マルウェア | Windows向け背後入口ウイルスであるMgBotを利用 |
脆弱性 | (不明) |
incident
2023-04-26 16:46:34
被害状況
事件発生日 | 不明 |
被害者名 | Google Chromeのユーザー |
被害サマリ | Cryptbotという情報窃取マルウェアにより、おおよそ67万台のコンピューターが被害に遭った。被害者の機密情報、クレジットカード情報などが盗まれた。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 情報窃取マルウェア(Cryptbot) |
マルウェア | Cryptbot |
脆弱性 | 不明 |
vulnerability
2023-04-26 15:52:53
脆弱性
CVE | なし |
影響を受ける製品 | Apache Superset |
脆弱性サマリ | Apache Supersetは、認証回避とリモートコード実行の脆弱性があり、デフォルトの構成では攻撃者がリモートのサーバに管理者権限でログインしてデータにアクセス・変更を行うことができる |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | なし |
脆弱性がApache Supersetにあり、デフォルトの構成では認証回避とリモートコード実行の脆弱性がある。攻撃者はデフォルトの秘密鍵を使用してセッションクッキーを偽造し、管理者特権でWebサーバにログインできるため、データにアクセス・変更を行える。攻撃者が秘密鍵を知っている場合は、Apache Supersetのインストールが脆弱になる。約2,000のインターネット公開サーバーが影響を受け、既存の設定が修正されていない場合、Apache Supersetのサーバーが今でも攻撃に脆弱である可能性がある。
other
2023-04-26 15:44:16
1. MicrosoftがPCとAndroid/iOSデバイスをWi-Fiで接続するためのPhone Linkアプリを発表、iOS版をWindows 11の全ユーザーに提供する。
2. ユーザーはPhone Linkアプリのホームページから自分のiPhoneを選択し、PCの画面上に表示されるQRコードを確認してデバイスをペアリングする。
3. ペアリングと同時に連絡先や通知を同期するための許可を設定し、Windows 11のパソコンから携帯の通知を受信したり、メッセージをやり取りしたり、通話を行ったりできる。
4. Phone LinkはiOSのグループメッセージへの返信やメディアの送信には対応していない。
5. Phone Link for iOSには最新のPhone LinkアプリとWindows 11、iOS 14以降が必要。
incident
2023-04-26 15:31:00
被害状況
事件発生日 | 不明 |
被害者名 | 南アフリカおよびネパールの金融機関および政府機関 |
被害サマリ | 中国の政府系ハッカーグループ、Alloy Taurusが南アフリカとネパールで攻撃を行った。攻撃は、PingPullというバックドアと新しいツール、Sword2033を使用したもので、金融機関や政府機関を含む被害者のフットプリントを広げている。PingPullは、リモートアクセストロイの一種であり、インターネット制御メッセージプロトコル(ICMP)を使用してC2(コマンド&コントロール)通信を行う。Sword2033は、ファイルのアップロードやコマンドの実行などの基本的な機能を提供するバックドアである。 |
被害額 | 不明(予想される被害額は記事中に記載されていない) |
攻撃者
攻撃者名 | Alloy Taurus(中国の政府系ハッカーグループ) |
攻撃手法サマリ | PingPullを使用した攻撃 |
マルウェア | PingPull、Sword2033 |
脆弱性 | 不明 |
vulnerability
2023-04-26 15:27:13
脆弱性
CVE | なし |
影響を受ける製品 | Windows 11 21H2および22H2システム |
脆弱性サマリ | LSA Protectionがオフになる問題 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | 不明 |
脆弱性の詳細:Microsoftは、「Local Security Authority(LSA)Protectionがオフである」というWindowsセキュリティの警告をトリガーする既知の問題を修正するため、LSA ProtectionのUIを設定から削除しました。 LSASS.exeプロセスに未信頼のコードを注入してメモリダンプまたは情報抽出を行うことを防ぐLSA Protectionは、Windowsユーザーをクレデンシャル窃取から防御するのに役立ちます。 Windows 11 21H2および22H2システムに影響する問題は、Microsoft Defender Antivirusのバグのある更新プログラムによって引き起こされたと報告されています。 同社は、新しいMicrosoft Defender Antivirusのアンチマルウェアプラットフォームの更新で、混乱する警告を修正したと述べています。 ただし、これはWindowsの設定アプリからLSA Protectionユーザーインターフェースを完全に削除することによって修正されたことがわかりました。LSC Protectionはまだサポートされており、ユーザーは、レジストリまたはグループ/MDMポリシーを使用して、手動でセキュリティ機能を有効/無効にできます。ただし、ユーザーインターフェイスがない場合、Windowsの設定からLSA Protectionが有効になっているかどうかを確認する方法はありません。
incident
2023-04-26 13:16:00
被害状況
事件発生日 | 2023年4月26日 |
被害者名 | 不明 |
被害サマリ | Charming Kittenによるマルウェア攻撃で、複数の被害者を含む米国、ヨーロッパ、中東、インドなどの複数の国に影響を与えた。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | Charming Kitten(国籍:イラン) |
攻撃手法サマリ | 個別に設計されたマルウェアBellaCiaoを使用して、コントロールされたサーバーから受信したコマンドに応じて、被害者マシンに他のマルウェアを提供する。 |
マルウェア | BellaCiaoおよび他のマルウェア(不明) |
脆弱性 | インターネット公開されたアプリケーションの既知の脆弱性(Microsoft Exchange ServerやZoho ManageEngineなど) |
incident
2023-04-26 12:33:00
被害状況
事件発生日 | 2020年11月から2021年中 |
被害者名 | 国際NGOのメンバー |
被害サマリ | 中国のEvasive PandaというAPTグループが、中国本土の国際NGOをターゲットにしたマルウェア攻撃を行った。攻撃はTencent QQなどの正規アプリケーションのアップデートチャンネルを通じて配信された。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | Evasive Panda(中国のAPTグループ) |
攻撃手法サマリ | 中国のEvasive PandaというAPTグループが、Tencent QQなどの正規アプリケーションのアップデートチャンネルを通じてMgBotマルウェアというバックドアを配信し、情報を窃取する攻撃を行った。 |
マルウェア | MgBotマルウェア |
脆弱性 | 不明 |
vulnerability
2023-04-26 11:46:00
脆弱性
CVE | なし |
影響を受ける製品 | SaaSユーザー |
脆弱性サマリ | SaaSユーザーにとってブラウザによって発生するサイバー攻撃のリスクが高いことが報告された |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 観測された |
PoC公開 | なし |
2023年のブラウザセキュリティサーベイによると、SaaSユーザーの87%とハイブリッド環境にあるCISOの79%が過去12か月でウェブに基づくセキュリティリスクにさらされたと報告されている。また、SaaSユーザーにとってクレデンシャルフィッシングが最もリスクが高く、悪意のあるブラウザ拡張機能、マルウェアのダウンロード、ブラウザの脆弱性が続き、CISOたちはそれを解決するためのソリューションを模索しているという。
報告書によると、既存のネットワークソリューションでは、OEMの組織が使ってきたソリューションがクラウドに移行する時にその効果が低下するため、セキュアな手段を提供できないことが原因である。問題の原因はブラウザにあるため、ブラウザセキュリティソリューションが必要である。
incident
2023-04-26 10:00:00
被害状況
事件発生日 | 2023年4月 |
被害者名 | 南アフリカとネパールのターゲットを含む政府機関・金融機関・軍事機関 |
被害サマリ | 中国国営のGallium/Alloy Taurusグループは、新しいLinuxマルウェアによるサイバー攻撃を行っており、PingPullと呼ばれるリモートアクセストロイジャンを使用して南アフリカとネパールの政府機関・金融機関・軍事機関を含むターゲットに対して攻撃を行っている。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | Gallium/Alloy Taurusグループ(中国国営) |
攻撃手法サマリ | 新しいLinuxマルウェア PingPull および Sword2033バックドアを使用したサイバー攻撃 |
マルウェア | PingPull, Sword2033 |
脆弱性 | 不明 |
vulnerability
2023-04-26 09:29:00
脆弱性
CVE | CVE-2023-27524 |
影響を受ける製品 | Apache Superset直前のバージョン(2.0.1以下) |
脆弱性サマリ | デフォルト設定に対する脆弱性によって、遠隔からのコード実行(RCE)攻撃を許可する。 |
重大度 | 高(CVSSスコア8.9) |
RCE | 有 |
攻撃観測 | 有(一部のサーバはデフォルト設定のままになっている) |
PoC公開 | 公開されていない |
Apache Supersetはデータ可視化ソフトウェアで、その直前のバージョン(2.0.1以下)についてデフォルト設定に対する脆弱性が存在する。この脆弱性によって、遠隔からコード実行攻撃ができるが、SECRET_KEYの設定を変更した場合には影響を受けない。ただし、デフォルト設定を変更しないでインストールされたサーバの一部が存在し、攻撃観測が確認されている。Apacheのセキュリティチームに報告された後、修正版(バージョン2.1)がリリースされた。しかし、Docker-composeファイルやHelmテンプレートを使用してデフォルト設定を使用してしまっている場合は修正版でも攻撃される恐れがある。
vulnerability
2023-04-26 07:05:00
脆弱性
CVE | CVE-2023-20869, CVE-2023-20870, CVE-2023-20871, CVE-2023-20872 |
影響を受ける製品 | VMware Workstation 17.0.2, VMware Fusion 13.0.2 |
脆弱性サマリ | VMware WorkstationおよびVMware Fusionに複数の脆弱性が存在し、悪意のある攻撃者によってコードが実行される可能性がある |
重大度 | 高(CVE-2023-20869), 中(CVE-2023-20870, CVE-2023-20871), 低(CVE-2023-20872) |
RCE | 有 (CVE-2023-20869) |
攻撃観測 | 有 (CVE-2023-20869, CVE-2023-20870) |
PoC公開 | 有 (CVE-2023-20869, CVE-2023-20870) |
VMware WorkstationおよびVMware Fusionに、Bluetoothデバイスとの共有機能のスタックベースのバッファオーバーフロー脆弱性(CVE-2023-20869)があり、操作権限を持つ攻撃者によってVMXプロセスが実行される可能性があることが報告されている。また、同機能にはアウトオブバウンズ読み取り脆弱性(CVE-2023-20870)があり、VM内のハイパーバイザーメモリ内に格納されている機密情報を読み取り可能なローカルな攻撃者に悪用される可能性があることが報告されている。これらは、Pwn2Ownハッキングコンテストで報告されたもので、VMwareは、Fusionバージョン13.0.2とWorkstationバージョン17.0.2でこれらの脆弱性を修正したことを発表している。PoCコードがCVE-2023-20869とCVE-2023-20870に公開されており、VMwareは一時的な回避策として、仮想マシン上のBluetoothサポートをオフにすることを推奨している。また、Fusionにはローカル特権エスカレーション脆弱性(CVE-2023-20871)とSCSI CD / DVDデバイスエミュレーションに関するアウトオブバウンズ読み取り/書き込み脆弱性(CVE-2023-20872)があり、VSphereおよびESXiで修正済みである。
incident
2023-04-25 20:47:06
被害状況
事件発生日 | 2023年4月25日 |
被害者名 | Microsoft 365のExchange Onlineの一部の顧客 |
被害サマリ | Microsoft 365の障害により、Exchange Online顧客がメールボックスにアクセスできなくなっている。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-25 18:33:39
被害状況
事件発生日 | 2023年4月25日 |
被害者名 | VMware |
被害サマリ | VMwareが発行したWorkstationおよびFusionソフトウェアハイパーバイザーに、ゼロデイ脆弱性が見つかりました。これらの脆弱性が攻撃者に悪用されると、根本的な情報漏洩または特権昇格が発生する可能性があります。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明。攻撃者の国籍や特徴についての情報は、記事には含まれていない。 |
攻撃手法サマリ | 脆弱性を突いた攻撃。詳細は明らかにされていない。 |
マルウェア | 報告されていない。 |
脆弱性 | Bluetoothデバイスの共有機能のスタックベースのバッファオーバーフロー脆弱性(CVE-2023-20869)およびBluetoothデバイスの共有機能における情報漏洩の脆弱性(CVE-2023-20870)が報じられている。 |
脆弱性
CVE | CVE-2023-20869, CVE-2023-20870, CVE-2023-20871, CVE-2023-20872 |
影響を受ける製品 | Workstation、Fusion |
脆弱性サマリ | Workstation、Fusionに存在する複数の脆弱性が修正された。Bluetooth device-sharing機能や、仮装SCSIコントローラーを使用して物理CD/DVDドライブで仮想マシンを攻撃するなど、攻撃者に情報漏洩や特権昇格、リモートコード実行が可能となる。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
other
2023-04-25 18:26:15
1. MicrosoftはWindows 10 22H2のためのKB5025297 Preview累積アップデートをリリースした。
2. このアップデートには新しいWindowsファイアウォール機能と、リージョンと言語設定をMicrosoftアカウントと同期できる機能が含まれている。
3. このアップデートは、セキュリティアップデートを含まないオプションの更新であり、セキュリティ更新とは異なる新しいスケジュールで提供される。
4. KB5025297累積アップデートプレビューには、18の修正または変更が含まれており、Microsoft Updateカタログから手動でダウンロードしてインストールできる。
5. Microsoftは、Windowsのオプションプレビューアップデートが、セキュリティ更新を除く一般のアップデートであることに注意する必要がある。また、このリリースには、Microsoft Edge Legacyの問題があることが警告されている。
other
2023-04-25 17:44:18
1. Windows 11に最新の累積更新プログラム「KB5025305」がリリースされた。
2. このプログラムにより、非セキュリティアップデートや新機能の優先順位を高くすることができるようになった。
3. 特に、アプリケーショングループルールを設定できることや、LSASSプロセスのエラー対処が含まれる。
4. このアップデートは任意で、手動でインストールする必要がある。
5. 商用カスタマーはWindows Update for BusinessやWSUSで制御されるため、IT管理者によって最新の変更が管理される。
- Windows 11 KB5025305 adds prioritized Windows updates setting
- このプログラムにより、非セキュリティアップデートや新機能の優先順位を高くすることができるようになった。
- アプリケーショングループルールを設定できることや、LSASSプロセスのエラー対処が含まれる。
- このアップデートは任意で、手動でインストールする必要がある。
- 商用カスタマーはWindows Update for BusinessやWSUSで制御されるため、IT管理者によって最新の変更が管理される。
incident
2023-04-25 15:26:36
被害状況
事件発生日 | 2023年4月25日 |
被害者名 | 不明 |
被害サマリ | Service Location Protocol(SLP)にある新しい反射型DoS増幅脆弱性が、2,200倍増幅して大規模なDDoS攻撃を起こす可能性がある。アタッカーは、攻撃に必要な54,000の脆弱なSLPインスタンスが2,000以上の組織で公開されているため、重大な被害が懸念される。 |
被害額 | 不明(想定被害額=不明) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Service Location Protocol (SLP)の脆弱性を利用した反射型DoS増幅攻撃 |
マルウェア | 不明 |
脆弱性 | CVE-2023-29552 |
vulnerability
2023-04-25 14:39:17
【脆弱性情報】
CVE番号:なし
影響を受ける製品:Google Authenticator
脆弱性サマリ:Google Authenticatorのバックアップ機能がなかったことで、2段階認証で使用する一時パスワードの保存が1つのデバイスに限定されており、デバイス紛失時に全てのサービスの認証が不可能になっていた。
重大度:なし
RCE:なし
攻撃観測:不明
PoC公開:不明
incident
2023-04-25 13:26:00
被害状況
事件発生日 | 2023年4月25日 |
被害者名 | 不明 |
被害サマリ | 高度のDdoS攻撃がSLPの脆弱性を利用して可能性がある。脆弱性により、2200倍の攻撃が可能になっており、2,000を超える組織に影響を与える。被害国は主にアメリカ、イギリス、日本、ドイツである。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | SLPの脆弱性を利用して、目標とするサーバーに大量の虚偽のトラフィックを送信して、目標を圧倒するアンプリファイドDDoS攻撃を行う。 |
マルウェア | 不明 |
脆弱性 | Service Location Protocol(SLP)の脆弱性:CVE-2023-29552 |
incident
2023-04-25 13:04:00
被害状況
事件発生日 | 2023年4月25日 |
被害者名 | イスラエルのターゲット |
被害サマリ | イランの国家レベルの脅威アクターが、新しいフィッシング攻撃を発動し、更新されたバックドア「PowerLess」をデプロイするように設計された攻撃を行いました。この攻撃は、APT35、Charming Kitten、Cobalt Illusion、ITG18、Mint Sandstorm(以前はPhosphorus)、TA453、Yellow Garudaなどとして知られるハッキングクルーとの「強い重複」が見られます。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | イランの国家レベルの脅威アクターとされる |
攻撃手法サマリ | ISO画像やランサムウェアを使用し、フィッシング攻撃を行っています。アーカイブファイルを介して感染チェーンを開始し、PowerLessインプラントを起動します。 |
マルウェア | PowerLess |
脆弱性 | N-day脆弱性やPowerShellスクリプトを使用して、初期アクセスを取得します。 |
vulnerability
2023-04-25 11:53:00
脆弱性
CVE | なし |
影響を受ける製品 | 脆弱性管理ツール |
脆弱性サマリ | 適切なリスク評価不十分 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
incident
2023-04-25 11:45:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | MiraiマルウェアがTP-Link Archer A21 (AX1800) Wi-Fiルーターの脆弱性(CVE-2023-1389)を悪用して、DDoS攻撃用のボットネットに端末を組み込んでいる。リサーチャー達がこの問題について警告を出し、TP-Linkは2023年1月に修正プログラムをリリースした。 |
被害額 | 不明(予想:被害としてはサービス停止時間や対策費用等が発生した) |
攻撃者
攻撃者名 | Miraiマルウェアが使用されたため、攻撃者の国籍などは不明 |
攻撃手法サマリ | TP-Link Archer A21 (AX1800) Wi-Fiルーターの脆弱性(CVE-2023-1389)を悪用したDDoS攻撃用のボットネットに端末を組み込んだ。 |
マルウェア | Miraiマルウェア |
脆弱性 | TP-Link Archer AX21 ルーターの「locale API」における、非認証コマンドインジェクション脆弱性(CVE-2023-1389) |
incident
2023-04-25 11:27:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | 北朝鮮のサブグループによって新たに開発されたApple macOSマルウェア「RustBucket」が確認され、C2サーバーに接続してさまざまなペイロードをダウンロードした。この攻撃は金銭的な利益を目的としている。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 北朝鮮に関係するサブグループ「BlueNoroff」による攻撃が疑われる |
攻撃手法サマリ | Appleデバイス用のマルウェア「RustBucket」の使用 |
マルウェア | RustBucket |
脆弱性 | Gatekeeperの保護を手動でオーバーライドするためのユーザー介入が必要 |
other
2023-04-25 10:39:00
1. Googleのクラウド部門は、最新のAIの進歩を活用し、セキュリティAI Workbenchを発表した。
2. このセキュリティスイートの特徴は、Sec-PaLMというAIツールを使用し、インシデント分析、脅威検知、および分析を強化することである。
3. Security AI Workbenchは、VirusTotal Code InsightやMandiant Breach Analytics for Chronicleなど、広範なAIベースのツールを提供する。
4. Security Command Center AIは、Sec-PaLMを利用して、攻撃経路や影響を受ける資産などの素早い分析を提供する。
5. オンラインプラットフォームGitLabでも、AIを活用してセキュリティテストの偽陽性を回避するなど、最新のAI技術がセキュリティ業界に導入されていることがわかる。
- Googleのクラウド部門は、最新のAIの進歩を活用し、セキュリティAI Workbenchを発表した。
- このセキュリティスイートの特徴は、Sec-PaLMというAIツールを使用し、インシデント分析、脅威検知、および分析を強化することである。
- Security AI Workbenchは、VirusTotal Code InsightやMandiant Breach Analytics for Chronicleなど、広範なAIベースのツールを提供する。
- Security Command Center AIは、Sec-PaLMを利用して、攻撃経路や影響を受ける資産などの素早い分析を提供する。
- オンラインプラットフォームGitLabでも、AIを活用してセキュリティテストの偽陽性を回避するなど、最新のAI技術がセキュリティ業界に導入されていることがわかる。
vulnerability
2023-04-25 04:33:00
脆弱性
CVE | [なし] |
影響を受ける製品 | Google Authenticatorアプリ |
脆弱性サマリ | Google Authenticatorアプリが、クラウドバックアップできるようになり、別の端末へ移行する際にも使うことができるようになった。 |
重大度 | なし |
RCE | 無 |
攻撃観測 | なし |
PoC公開 | なし |
Googleは、Authenticatorアプリの大型アップデートをリリースし、アカウント同期オプションを追加した。これにより、ユーザーはクラウドにTOTPコードをバックアップすることができ、別の端末に移行する際にも引き続き使用することが可能となった。Googleは、「この変更は、ユーザーがロックアウトされるのを防止し、サービスがユーザーがアクセスを保持していることに依存できるため、便利さとセキュリティの両方を高めます」と述べている。アップデートには、2FAアプリに新しいアイコンも追加された。ただし、クラウドバックアップには慎重に、Googleアカウントにアクセスできる悪意のある攻撃者に悪用される可能性があるため、オプションとして提供されている。
vulnerability
2023-04-24 21:56:35
脆弱性
CVE | なし |
影響を受ける製品 | VirusTotalのCode Insight機能 |
脆弱性サマリ | Code Insight機能の実装により、偽陰性・偽陽性の洗練が可能に |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
※上記は架空の情報であり、本当の脆弱性情報ではありません。
incident
2023-04-24 19:38:40
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | 新しいサイドチャネル攻撃が発見され、インテルCPUの複数世代に影響を及ぼし、EFLAGSレジスタを通じてデータが漏洩する。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | サイドチャネル攻撃 |
マルウェア | 不明 |
脆弱性 | インテルCPUの複数世代に影響を及ぼす脆弱性 |
incident
2023-04-24 17:01:38
被害状況
事件発生日 | 不明 |
被害者名 | PaperCut |
被害サマリ | PaperCut MF/NGの2つの脆弱性(CVE-2023-27350とCVE-2023-27351)を突かれ、リモートハッカーにより、SYSTEM特権のあるサーバーにAteraをインストールされ操作された。PCWorldによると、PaperCutは世界中の70,000社の100万人を超えるユーザに利用されている。 |
被害額 | 不明(予想:数億円) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | リモートのPaperCutサーバーにAteraのリモートマネジメントソフトをインストールし、サーバーを乗っ取る攻撃 |
マルウェア | Atera |
脆弱性 | PaperCut MF/NGの2つの脆弱性(CVE-2023-27350とCVE-2023-27351)を利用 |
incident
2023-04-24 16:17:17
被害状況
事件発生日 | 2023年4月24日 |
被害者名 | KuCoin (暗号資産取引所) |
被害サマリ | 暗号資産取引所KuCoinの公式Twitterアカウントがハッキングされ、架空のセールスプロモーションによるスキームが行われ、22,600米ドル(約2,400万円)相当の暗号資産がそれに関与した22件の取引から盗まれた。 |
被害額 | 約2,400万円相当(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 公式Twitterアカウントのハッキングによる架空のセールスプロモーションによるスキーム |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-24 15:14:52
脆弱性
CVE | CVE-2023-29411、CVE-2023-29412、CVE-2023-29413 |
影響を受ける製品 | APC Easy UPS Online Monitoring Software v2.5-GA-01-22320およびそれ以前のバージョン、Schneider Electric Easy UPS Online Monitoring Software v2.5-GA-01-22320およびそれ以前のバージョン |
脆弱性サマリ | 認証不要で任意のリモートコードが実行可能 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | なし |
PoC公開 | なし |
incident
2023-04-24 14:00:00
被害状況
事件発生日 | 不明 |
被害者名 | 政府および外交機関(CIS地域) |
被害サマリ | 内部文書の常習的な窃盗 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | ロシア語の使用者 |
攻撃手法サマリ | スピアフィッシング攻撃による低い技能レベルのバーナーインプラントの使用 |
マルウェア | Telemiris、Roopy、JLORAT |
脆弱性 | 不明 |
incident
2023-04-24 13:44:00
被害状況
事件発生日 | 2023年4月24日 |
被害者名 | 不明 |
被害サマリ | BYOVD攻撃により、EDRソフトウェアを無効化され、バックドアまたはランサムウェアがターゲットシステムに展開された |
被害額 | 不明(予想不能) |
攻撃者
攻撃者名 | 不明(BYOVD攻撃の手法を使用したサイバー攻撃者) |
攻撃手法サマリ | BYOVD攻撃により、EDRソフトウェアを無効化して攻撃を行った |
マルウェア | Medusa Locker, LockBit, PlayCrypt, Balloonfly など(BYOVD攻撃の手法を使用した様々なランサムウェアに使用) |
脆弱性 | Bring Your Own Vulnerable Driver(BYOVD) |
vulnerability
2023-04-24 11:55:00
脆弱性
脆弱性 | 企業の84%が過去3ヶ月のうちに侵害されたSaaSアプリを使用していたことが発覚 |
影響を受ける製品 | SaaSアプリケーション |
脆弱性サマリ | 従業員がリスクのあるSaaSアプリケーションを使用している可能性がある。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | なし |
incident
2023-04-24 11:47:39
被害状況
事件発生日 | 2023年4月24日 |
被害者名 | Microsoft 365ユーザー |
被害サマリ | Microsoft 365上で検索機能が利用できない不具合があった |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不具合を引き起こす攻撃手法 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-24 11:41:00
脆弱性
CVE | なし |
影響を受ける製品 | WordPressの古いバージョンにEval PHPプラグインを導入した8,000以上のウェブサイト |
脆弱性サマリ | 攻撃者が、古いWordPressプラグインEval PHPを利用してウェブサイトにバックドアを仕掛けている |
重大度 | なし |
RCE | 有 |
攻撃観測 | あり |
PoC公開 | 不明 |
WordPressの古いバージョンに、11年間アップデートされないままに残されたEval PHPプラグインが導入された8,000以上のウェブサイトが、新しいバックドア攻撃にさらされている。2022年9月以来、一般的に1、2回ダウンロードされるくらいだったこのプラグインは、2023年3月30日に6,988回ダウンロードされた。最近、ロシアに拠点を持つ3つのIPアドレスから、ウェブサイトのデータベース「wp_posts」テーブルに悪意あるコードが挿入されるのが確認された。コードは、ウェブサイトの文書ルートにPHPスクリプトを生成して、リモートコード実行バックドアを指定するfile_put_contents関数を使用している。攻撃者は、このバックドアを維持するためにウェブサイトを再感染させることができる。Sit ownersは、WP Adminダッシュボードを保護し、不正なログインを監視して攻撃者が管理者アクセスを取得できないようにする必要がある。
incident
2023-04-24 07:22:54
被害状況
事件発生日 | 不明(2023年3月15日以降と推測) |
被害者名 | Yellow Pages Group |
被害サマリ | Black Bastaと名乗るランサムウェアとエクスターションのグループによる攻撃で、個人情報を含む敏感なドキュメントが流出した。 |
被害額 | 不明(予想:数十万-数百万ドル) |
攻撃者
攻撃者名 | Black Basta |
攻撃手法サマリ | ランサムウェアによる攻撃とデータの窃盗と、エクスターションによる被害拡大 |
マルウェア | 不明(Black BastaはContiランサムウェアの再ブランドとする見方がある) |
脆弱性 | 不明 |
incident
2023-04-24 06:36:00
被害状況
事件発生日 | 記事に記載なし |
被害者名 | 不特定多数のWindowsシステムの利用者 |
被害サマリ | 『EvilExtractor』という名称のオールインワンスティーラーマルウェアが、FTPサービスを通じてWindowsシステムからデータとファイルを盗み出す攻撃が行われている。被害者のブラウザデータや情報などを盗んで攻撃者のFTPサーバーにアップロードすることが主な目的であり、多数のWebブラウザからパスワードとクッキーを盗むためのモジュールがあり、また、キーストロークを記録し、対象システム上のファイルを暗号化するランサムウェアとしても機能する。 |
被害額 | 記事に記載なし(予想:不特定多数の被害があると予想されるため、被害額の算出は困難である) |
攻撃者
攻撃者名 | Kodexというユーザー名を使用して、サイバー犯罪フォーラムであるCrackedなどで販売されている |
攻撃手法サマリ | FTPサービスを通じてデータとファイルを盗むオールインワンスティーラーマルウェアを使用した攻撃 |
マルウェア | EvilExtractor |
脆弱性 | 記事に記載なし |
vulnerability
2023-04-24 06:05:00
被害状況
事件発生日 | 2023年4月14日 |
被害者名 | PaperCut |
被害サマリ | 既存の脆弱性が悪用され、約1800のサーバーが攻撃に遭い、ロシアの犯罪グループによるマルウェアTrueBotを含む遠隔管理・メンテナンスソフトウェアがインストールされた。 |
被害額 | 不明(予想不能) |
攻撃者
攻撃者名 | ロシアの犯罪グループ Silence と、その関連グループ TA505 および Evil Corp |
攻撃手法サマリ | PaperCutの既存の脆弱性(CVE-2023-27350、CVSSスコア-9.8)を悪用した攻撃。 |
マルウェア | TrueBot および Cl0p ランサムウェア(配布手法に使用) |
脆弱性 | CVE-2023-27350 |
脆弱性
CVE | CVE-2023-27350 |
影響を受ける製品 | PaperCut MF、NG |
脆弱性サマリ | 未修正のサーバーに対する攻撃が繰り返されている |
重大度 | 高 (CVSSスコア9.8) |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | 不明 |
PaperCut MFおよびNGには、未修正のサーバーに対する攻撃が繰り返されている脆弱性(CVE-2023-27350)があると報告されている。サイバーセキュリティ企業Trend Microによる2つの脆弱性報告が引用されており、PaperCutも「未修正のサーバーが野生化されている証拠がある」と述べている。PaperCut管理下のサーバーからPowerShellコマンドが生成され、リモート管理およびメンテナンス(RMM)ソフトウェアがインストールされ、感染したホスト上での永続的なアクセスおよびコード実行が観測されている。PaperCutの脆弱性が悪用された場合、多岐に渡る拡散と、最終的にはランサムウェアの配信に繋がる!との指摘あり。利用者は、潜在的な危険性を回避するために、修正済みのPaperCut MFおよびNG(20.1.7、21.2.11、および22.0.9)にできるだけ早くアップグレードし、外部または内部接続(利用可能かどうかにかかわらず)にしているかに関わらず推奨される。安全なパッチにアップグレードできない場合、検証済みサイトサーバーのIPアドレスにのみ制限し、外部IPからのすべてのインバウンドトラフィックをブロックすることで、ネットワークアクセスをロックダウンすることが推奨されている。
incident
2023-04-23 16:32:57
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | 中古ルーターから企業の機密情報が漏えい、ネットワーク侵入に悪用される可能性 |
被害額 | 不明(予想:情報漏洩による損失額は数千万円以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 中古ルーターから機密情報を収集し、企業ネットワークに不正アクセス |
マルウェア | なし |
脆弱性 | ルーターから撤去するデータ消去手順が実施されていないことによる脆弱性 |
incident
2023-04-23 14:25:50
被害状況
事件発生日 | 2022年4月上旬 |
被害者名 | 企業および大規模組織 |
被害サマリ | 国家主導の脅威アクターによるマルウェアツールキット「Decoy Dog」の使用により、実行ツールである「Pupy RAT」を使用した遠隔操作による情報の窃取や情報漏えいが発生した。 |
被害額 | 不明(予想不能) |
攻撃者
攻撃者名 | 国家主導の脅威アクター |
攻撃手法サマリ | DNSトラフィックを解析することで不審なアクティビティを検出し、Pupy RATを使用した遠隔操作を行う。また、他のユーザーとの活動を混ぜるためにDNSクエリードリブリングを使用する。 |
マルウェア | Decoy DogおよびPupy RAT |
脆弱性 | 不明 |
vulnerability
2023-04-22 16:18:09
脆弱性
CVE | なし |
影響を受ける製品 | GitHubの開発プラットフォーム |
脆弱性サマリ | GitHubがプライベート脆弱性報告を導入したことで悪用される可能性がある |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
incident
2023-04-22 15:14:28
被害状況
事件発生日 | 不明(記事投稿日: April 22, 2023) |
被害者名 | 個人及び企業のユーザーデータを意図する攻撃 |
被害サマリ | Kodex社が59ドル/月で販売しているEvilExtractorというツールを使い、EUおよび米国で、情報盗用のランサムウェアや証明書抽出ツール、Windows Defender回避ツールを搭載した攻撃が増加している。 |
被害額 | 不明(未報告) |
攻撃者
攻撃者名 | Kodex社が販売するEvilExtractorに使用される犯罪者 |
攻撃手法サマリ | フィッシング攻撃によって、gzip圧縮実行可能ファイルを添付して送信し、開封したターゲットに独自で開発したPython実行可能プログラムの.NETローダーを起動し、EvilExtractorを実行させる。 |
マルウェア | EvilExtractor、KK2023.zip、Confirm.zip、MnMs.zip、zzyy.zip |
脆弱性 | 不明 |
incident
2023-04-22 14:08:16
被害状況
事件発生日 | 不明 (BumbleBeeマルウェアが2022年4月に発見されたことは判明している) |
被害者名 | 企業のユーザー |
被害サマリ | Google AdsやSEO poisoningを通じ、Zoom、Cisco AnyConnect、ChatGPT、Citrix Workspaceなどの人気ソフトウェアをダウンロードしようとするユーザーに対し、BumbleBeeマルウェアを配信、感染させていた。BumbleBeeマルウェアはランサムウェア攻撃を行うとともに、ネットワークへの侵入や権限の昇格を可能にするものである。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 不明。ただし、BumbleBeeマルウェアがContiチームによって開発されたと考えられており、この攻撃も同グループが関与している可能性が高い。 |
攻撃手法サマリ | Google AdsやSEO poisoningを活用した手法により、人気ソフトウェアをダウンロードする際にBumbleBeeマルウェアを感染させるものである。 |
マルウェア | BumbleBeeマルウェア |
脆弱性 | N/A |
incident
2023-04-22 06:46:00
被害状況
事件発生日 | 2022年9月~11月 |
被害者名 | 未公開 |
被害サマリ | Trading Technologiesが開発したX_TRADERアプリケーションがトロイの木馬に感染され、3CXだけでなく、電力とエネルギー部門の2つの重要なインフラ組織や、金融取引に関与する2つの他のビジネスも影響を受けた。 |
被害額 | (予想)不明 |
攻撃者
攻撃者名 | 北朝鮮のネクサスアクターであるUNC4736、Lazarus、Hidden Cobraなどの北朝鮮に関連するグループ。 |
攻撃手法サマリ | トロイの木馬に感染させたX_TRADERアプリケーションを使用して標的に侵入。 |
マルウェア | VEILEDSIGNAL、SimplexTeaなど |
脆弱性 | 不明 |
vulnerability
2023-04-22 06:00:00
脆弱性
CVE | CVE-2023-28432 |
影響を受ける製品 | MinIO |
脆弱性サマリ | MinIOは、クラスターデプロイメントの場合に、環境変数、つまりMINIO_SECRET_KEYおよびMINIO_ROOT_PASSWORDを含むすべての環境変数を返すため、情報開示の問題がある。 |
重大度 | 7.5 (高) |
RCE | 無 |
攻撃観測 | あり |
PoC公開 | 不明 |
CVE | CVE-2023-27350 |
影響を受ける製品 | PaperCut MFおよびPaperCut NG |
脆弱性サマリ | PaperCut print managementソフトウェアには、認証をバイパスし、任意のコードを実行することができる深刻なリモートコード実行の問題がある。 |
重大度 | 9.8 (高) |
RCE | 有 |
攻撃観測 | あり |
PoC公開 | 不明 |
CVE | CVE-2023-2136 |
影響を受ける製品 | Google Chrome |
脆弱性サマリ | Google ChromeのSkia 2Dグラフィックスライブラリには、悪意のあるHTMLページを介してサンドボックス逃避を行うことができる問題がある。 |
重大度 | TBD |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
incident
2023-04-21 22:39:43
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | LockBitがApple Silicon encryptorをテストし、NCRがランサムウェアの攻撃を受けたことが報告された。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | LockBitおよびBlackCat/ALPHVなどのランサムウェアグループ |
攻撃手法サマリ | Action1 RMMを悪用する、脆弱性を悪用する、ドメインマルウェアの配信などを行う。 |
マルウェア | LockBit、Trigona、Domino、Rorschach、Phobos、VoidCrypt、CrossLock、STOP、Grixba、VSS Copying Tool、BlackBitなどのランサムウェア |
脆弱性 | CVE-2023-0669などの脆弱性を悪用 |
incident
2023-04-21 19:26:43
被害状況
事件発生日 | 不明 |
被害者名 | 3CXを含む少なくとも複数のクリティカルインフラストラクチャ機関 |
被害サマリ | 北朝鮮支援の攻撃グループがトロイの木馬化されたX_Traderソフトウェアのインストーラを使用して、多段階バックドアのVEILEDSIGNALを被害者のシステムにデプロイ |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 北朝鮮支援の攻撃グループ |
攻撃手法サマリ | トロイの木馬化されたX_Traderソフトウェアを使用したサプライチェーン攻撃 |
マルウェア | VEILEDSIGNAL |
脆弱性 | 不明 |
vulnerability
2023-04-21 17:50:28
脆弱性
CVE | なし |
影響を受ける製品 | Google Cloud Platform(すべてのユーザー) |
脆弱性サマリ | Google Cloud Platformのセキュリティ脆弱性により、悪意のあるOAuthアプリケーションを使用してアカウントにバックドアを作成される可能性がある。 |
重大度 | 高 |
RCE | なし |
攻撃観測 | 有 |
PoC公開 | なし |
脆弱性名はGhostTokenと名付けられ、Astrix Securityによって2022年に報告された。Googleは2023年4月初旬にパッチをリリースして脆弱性を修正した。この脆弱性によって、Google Cloud PlatformにリンクされたOAuthトークンを悪用して、悪意のあるアプリケーションがバックドアを作り、Googleアカウントにアクセスすることができるようになってしまった。悪意のあるアプリは管理ページから非表示可能であり、このためマルウェアが除去できなくなるという問題が発生していた。攻撃者は、いつでもGitHub Tokenを使用して被害者のアカウントにアクセスすることができる。Googleのパッチによって、OAuthトークンが「保留中」になった状態でも消去できるようになった。また、すべてのユーザーに、サードパーティのアプリに関するページを確認し、アプリが正当に機能するために必要な特権だけを与えることが強く推奨されている。
incident
2023-04-21 15:35:11
被害状況
事件発生日 | 不明 |
被害者名 | Kubernetesクラスタのオーナー |
被害サマリ | RBAC(役割ベースのアクセス制御)を悪用して、バックドアアカウントを作成し、Moneroクリプトマイニングに乗っ取った |
被害額 | 不明(予想200ドル/1年あたり/1台) |
攻撃者
攻撃者名 | 不明(グローバル) |
攻撃手法サマリ | RBAC(役割ベースのアクセス制御)を悪用したシステムへの侵入 |
マルウェア | なし(Moneroクリプトマイニングに利用するドッカーのイメージ) |
脆弱性 | APIサーバーの未構成部分 |
incident
2023-04-21 13:56:10
被害状況
事件発生日 | 2023年3月17日 |
被害者名 | アメリカン・バー・アソシエーション(ABA) |
被害サマリ | ハッカーによりABAのネットワークが侵害され、2018年に廃止された旧メンバーシステムの古い資格情報が含まれる146万6000名のメンバーの情報が流出した。 |
被害額 | 不明(予想:被害額がないため0) |
攻撃者
攻撃者名 | 不明(攻撃に用いられた手法についての情報しかないため) |
攻撃手法サマリ | ハッカーがABAのネットワークを侵害して古資格情報を含む146万6000名のメンバーの情報を盗み出した。 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-21 13:26:00
被害状況
事件発生日 | 2023年4月21日 |
被害者名 | クラウドセキュリティ企業Aqua |
被害サマリ | Kubernetes(K8s)のロールベースアクセス制御(RBAC)が悪用され、バックドアが作成され、仮想通貨マイニングが実行された攻撃が大規模に発生した。この攻撃キャンペーンの背後にいる脅威アクターによって悪用された60以上のK8sクラスターが見つかった。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 不明(攻撃手法から、ロシアなどの国籍の可能性がある) |
攻撃手法サマリ | Kubernetesのロールベースアクセス制御(RBAC)が悪用され、バックドアが作成され、仮想通貨マイニングが実行された。また、攻撃者は「DaemonSet」を展開し、攻撃対象K8sクラスターのリソースを乗っ取らせた。 |
マルウェア | 「kube-controller:1.0.1」という名前のコンテナイメージが使われたが、これは正規の「kubernetesio」アカウントを模倣した偽アカウントである。このイメージには仮想通貨マイナーが含まれている。 |
脆弱性 | Kubernetesのロールベースアクセス制御(RBAC)などの脆弱性は不明。 |
vulnerability
2023-04-21 12:13:00
脆弱性
CVE | なし |
影響を受ける製品 | Google Cloud Platform |
脆弱性サマリ | Google Cloud PlatformにおけるGhostToken脆弱性によって、攻撃者が被害者のGoogleアカウントに削除できない悪意のあるアプリケーションを隠すことができると言われている。 |
重大度 | 高 |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
Google Cloud Platformには、"GhostToken"と呼ばれる脆弱性が存在した。この脆弱性により、攻撃者がGoogleアカウントに悪意のあるアプリを削除できないように隠すことができる。これにより、攻撃者は認可されたOAuthアプリケーションを悪意のあるトロイの木馬アプリに変換でき、被害者の個人データをさらすことができる。この問題は、Googleに報告され、修正された。被害者がアプリのアクセスを取り消すことができなくなるため、この脆弱性の重要度は高い。これらの攻撃者は、Googleマーケットプレイスまたはオンラインの多くの生産性ツールから、無意識に認証されたアプリへのアクセスを許可する可能性があるという。Googleは、この問題を解決するためのパッチをリリースしている。
vulnerability
2023-04-21 11:50:00
被害状況
事件発生日 | 記事に詳細な被害状況は含まれていない |
被害者名 | 記事に詳細な被害状況は含まれていない |
被害サマリ | 記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、具体的な被害状況に関する記述はない |
被害額 | 記事に被害額の情報は含まれていない |
攻撃者
攻撃者名 | 記事に攻撃者に関する情報は含まれていない |
攻撃手法サマリ | 記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、具体的な攻撃手法に関する記述はない |
マルウェア | 記事に攻撃で利用されたマルウェアに関する情報は含まれていない |
脆弱性 | 記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、脆弱性に関する記述があるが、具体的な攻撃に関する情報はない |
記事タイトル:14 Kubernetes and Cloud Security Challenges and How to Solve Them
1. この記事はどのような情報を提供しているか?
- Kubernetesとクラウドセキュリティの課題とトレンドについて、調査レポートをまとめた白書がリリースされ、その内容に基づいてセキュリティソリューションを提供している企業の解説がされている。
- セキュリティの課題に応じてどのような対応策が考えられるかが紹介されている。
2. 記事内で言及されている14のKubernetesとクラウドセキュリティの課題は何か?
1. CVEの拡散によるサプライチェーンへの被害
2. KubernetesにおけるRBACとセキュリティの複雑さの増大
3. ゼロトラストが採用されるまで、パスワードや認証情報の盗難は続く
4. 攻撃者がAIやMLをより効果的に利用することで、防御側より有利になる
5. eBPFテクノロジーが新しい接続、セキュリティ、観測に利用される
6. CISOは法的責任を背負い、セキュリティの人材不足を悪化させる
7. 自動防御対策は徐々に増加する
8. VEXが初めて採用される
9. Linuxカーネルが最初のRustモジュールをリリースする
10. クローズドソースベンダーはMTTRの統計を取得するためにSBOM提供を求められ、公開基準ベースのプラットフォームが求められる
11. サイバーセキュリティ保険の政策は、以前よりランサムウェアや怠慢が除外され、政府からの罰金が増えることを示す
12. Dockerのアルファドライバーの後、サーバーサイドのWebAssemblyツールが普及する
13. 新しい法律は、現実世界での採用やテストが不十分である標準を要求し続ける
14. コンフィデンシャルコンピューティングが実用化されている
3. Uptycsはどのようにこれらの課題に取り組んでいるか?
- 脆弱性管理、Kubernetes Security Posture Management、Cloud Infrastructure Entitlements Managementなどのセキュリティ対策を提供し、データ保護とセキュリティの確保に努めている。
- AIやMLを利用した高度な脅威検知や警告、VEXのキャッチアップ、eBPFテクノロジーの活用など、最新のセキュリティ技術を導入している。
- 自動防御対策、統一プラットフォーム、開発更新に対応する柔軟な対応が提供される。
incident
2023-04-21 09:55:00
被害状況
事件発生日 | 2023年3月29日 |
被害者名 | 3CX |
被害サマリ | 北朝鮮のサイバー攻撃者グループUNC4736による、マトリョーシカ・ドール式のサプライチェーン攻撃により、3CXの通信ソフトウェアにC/C++ベースのデータマイナー、ICONIC Stealerが仕込まれ、Chrome、Edge、ブレイブ、Firefoxなどのブラウザから被害者の機密情報を窃取された。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | 北朝鮮のサイバー攻撃者グループUNC4736 |
攻撃手法サマリ | マトリョーシカ・ドール式のサプライチェーン攻撃 |
マルウェア | ICONIC Stealer、VEILEDSIGNAL、TAXHAULランチャー、COLDCATダウンローダー、POOLRATバックドア |
脆弱性 | 不明 |
incident
2023-04-21 08:35:09
被害状況
事件発生日 | 不明 |
被害者名 | 複数のアメリカの大学のウェブサイト |
被害サマリ | Fortniteのスパムや偽のギフトカードを紹介するWikiページが大量にアップロードされる |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-21 05:41:00
被害状況
事件発生日 | 2023年4月21日 |
被害者名 | CiscoおよびVMware製品のユーザー |
被害サマリ | Cisco Industrial Network DirectorおよびModeling Labs network simulation platformに脆弱性が存在し、認証された攻撃者がデバイスに任意のコマンドを実行することができる。VMwareのAria Operations for Logsには、任意のコードをroot権限で実行できるデシリアライゼーションの欠陥が存在する。これにより、ネットワークアクセス権を持つ攻撃者に影響を与えることができる。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 任意のコマンドを実行できる脆弱性の利用 |
マルウェア | 特定されていない |
脆弱性 | Cisco Industrial Network Director: CVE-2023-20036、CVE-2023-20039、CVE-2023-20154、VMware Aria Operations for Logs: CVE-2023-20864、CVE-2023-20865 |
脆弱性
CVE | CVE-2023-20036, CVE-2023-20039, CVE-2023-20154, CVE-2023-20864, CVE-2023-20865 |
影響を受ける製品 | Cisco Industrial Network Director, Modeling Labs network simulation platform, Aria Operations for Logs |
脆弱性サマリ | Cisco Industrial Network DirectorのWeb UIコンポーネントにコマンドインジェクションの脆弱性が存在し、任意のコマンドをNT AUTHORITY\SYSTEMとして実行可能。また、同製品において、認証済みのローカル攻撃者が機密情報を閲覧できるファイル権限の脆弱性も見つかった。Modeling Labs network simulation platformには、外部認証メカニズムにおいて認証にバイパスできる脆弱性があり、LDAPサーバーがsearch result referenceエントリーから非空配列を返す場合に悪用可能。Aria Operations for Logsには、脆弱なデシリアライゼーション処理が存在し、攻撃者がリモートからrootとして任意のコードを実行可能な脆弱性がある。また、同製品には、管理者権限を持つ攻撃者が任意のコマンドをroot権限で実行できる脆弱性も存在する。 |
重大度 | CVE-2023-20036: 高, CVE-2023-20039: 中, CVE-2023-20154: 高, CVE-2023-20864: 高, CVE-2023-20865: 高 |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
incident
2023-04-20 20:02:13
被害状況
事件発生日 | 2023年4月 |
被害者名 | WordPressサイトの管理者 |
被害サマリ | 古いWordPressプラグインのEval PHPでのマルウェア感染により、ウェブサイトがバックドアで乗っ取られた |
被害額 | 不明(予想:被害者の規模による。大企業であれば数百万~数千万円程度) |
攻撃者
攻撃者名 | 不明(攻撃者の国籍・特徴などは不明) |
攻撃手法サマリ | 古いWordPressプラグインのマルウェア感染によるバックドアの設置 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-20 18:47:35
被害状況
事件発生日 | 2023年1月から3月 |
被害者名 | ウクライナ |
被害サマリ | ロシアによるサイバー攻撃。情報収集、オペレーションの妨害、機密情報の漏洩が狙いであり、Telegramチャンネルを通じてウクライナに対する情報的被害を引き起こしている。 |
被害額 | 不明(予想:不明) |
攻撃者
攻撃者名 | ロシアおよびベラルーシの脅威アクター |
攻撃手法サマリ | フィッシング攻撃が主な手法。また、Ukrainian defense industryの働く人やUkr.netといったプラットフォームのユーザー、ウクライナのTelegramチャンネルに対し、SandwormグループはFakeUkroboronpromウェブサイトを作成している。APT28グループはUkranian政府のWebサイトでの反射型XSS攻撃を行い、対策を強化していた。 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-20 17:22:54
被害状況
事件発生日 | 2023年4月20日 |
被害者名 | VMware |
被害サマリ | vRealize Log Insightの重大な脆弱性 (CVE-2023-20864) により、リモート攻撃者が脆弱なアプライアンスでリモート実行を行うことができるようになってしまった。犯罪者が操作することができる多量のアプリケーションとインフラストラクチャログを管理するためのログ分析ツールである。 |
被害額 | (不明) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 任意のコードをルートとして実行することができるシリアライゼーションの脆弱性 (CVE-2023-20864) をつくものだった。 |
マルウェア | 不明 |
脆弱性 | シリアライゼーションの脆弱性 (CVE-2023-20864) およびタスクの永続性の脆弱性 (CVE-2023-20865) |
incident
2023-04-20 15:43:51
被害状況
事件発生日 | 2023年3月中旬(詳細な日付は不明) |
被害者名 | 複数の企業(詳細は不明) |
被害サマリ | VoIPプロバイダーである3CXのクライアントバージョンのトロイの木馬によってセキュリティー情報を窃取された。 |
被害額 | 不明(予想:数百万ドルから数千万ドル) |
攻撃者
攻撃者名 | Lazarusグループ(北朝鮮の関与) |
攻撃手法サマリ | LazarusはLinkedInなどのソーシャルメディアやコミュニケーションプラットフォームを通じて、偽の求人募集を掲載し、メールや直接メッセージでターゲットを誘導し、マルウェアをダウンロードさせる攻撃手法を用いている。 |
マルウェア | OdicLoader、SimplexTea |
脆弱性 | 不明 |
incident
2023-04-20 14:24:51
被害状況
事件発生日 | 2023年4月20日 |
被害者名 | Microsoft 365の顧客(企業・個人) |
被害サマリ | Microsoft 365が世界中の顧客からのアクセスを遮断され、Webアプリやオンラインサービスが利用できなくなった。 |
被害額 | 不明(予想:数百万〜数億ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-20 13:53:00
脆弱性
CVE | なし |
影響を受ける製品 | Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQL |
脆弱性サマリ | Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQLに2つの重大な脆弱性が発見され、テナント統合保護を侵犯し、他の顧客の機密データにアクセスでき、供給チェーン攻撃を行える可能性がある。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | なし |
Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQLに2つの脆弱性が見つかり、テナントを保護する仕組みが侵犯されると、他の顧客の機密データにアクセスできる可能性がある。また、供給チェーン攻撃を行ってRCEを達成することもできる。これらの脆弱性は、2023年4月にAlibaba Cloudに報告され、同社が対策を講じた。これまでに野外で悪用されたことはない。脆弱性の詳細は「BrokenSesame」と命名されている。PostgreSQLの脆弱性は、昨年、Azure Database for PostgreSQL Flexible Server (ExtraReplica)とIBM Cloud Databases for PostgreSQL (Hell's Keychain)でも特定された。
incident
2023-04-20 13:48:39
被害状況
事件発生日 | 2023年3月22日 |
被害者名 | Capita |
被害サマリ | Capitaのサーバーにアクセスして、4%のサーバーのファイルがハッキングされ、顧客、サプライヤーや同僚の情報も含まれる可能性がある |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明(報告には言及されていない) |
攻撃手法サマリ | 不明 |
マルウェア | Black Bastaランサムウェア |
脆弱性 | 不明 |
incident
2023-04-20 12:00:00
被害状況
事件発生日 | 2023年3月29日 |
被害者名 | 3CX |
被害サマリ | 北朝鮮関連の攻撃グループがトレーディング・テクノロジーズ社に侵入し、トロイの木馬を仕込まれたソフトウェアを3CX供給チェーンに配布され、顧客にマルウェアを配備するサプライチェーン攻撃を引き起こした。 |
被害額 | 不明(予想:数億円~数十億円) |
攻撃者
攻撃者名 | 北朝鮮関連の攻撃グループUNC4736他 |
攻撃手法サマリ | トレーディング・テクノロジーズ社への攻撃によるサプライチェーン攻撃、トロイの木馬を仕込まれたソフトウェアを3CX供給チェーンに配布 |
マルウェア | VEILEDSIGNAL、TAXHAUL launcher、COLDCAT downloader、POOLRAT backdoor |
脆弱性 | 不明 |
vulnerability
2023-04-20 11:56:00
脆弱性
CVE | なし |
影響を受ける製品 | OT環境 |
脆弱性サマリ | OT環境におけるセキュリティモニタリングの重要性について |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
記事では、OT環境におけるセキュリティモニタリングの課題として、OT環境とIT環境を統合したことでセキュリティリスクが増大したこと、OT環境では通常のITセキュリティの検知方法が不十分であること、そしてOT環境でのネットワーク監視に様々なハードルがあることが挙げられた。そこで、自社の製品であるExeonTraceを提供している記事の著者は、NDR(Network Detection and Response)ソリューションの導入がOT環境におけるセキュリティモニタリングにとって重要であると主張しており、ExeonTraceの利点として、ITとOTの通信パターンに注目するため、OTに固有の監視手法を設定できることや、機械学習アルゴリズムを用いた異常検知があると紹介している。また、記事の最後では、ExeonTraceを使ってOT環境を監視し、守る方法について言及している。
incident
2023-04-20 11:56:00
被害状況
事件発生日 | 不明 |
被害者名 | Linuxユーザー |
被害サマリ | 北朝鮮のLazarusグループによる、Operation Dream Jobという社会工作攻撃の一環として、偽のHSBCの求人情報を使ってLinuxマルウェアが偽装配布された。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | Lazarusグループ(北朝鮮に密接した国家スポンサーのサイバー攻撃集団) |
攻撃手法サマリ | 偽の求人情報を使った社会工作攻撃を行う |
マルウェア | SimplexTea |
脆弱性 | 不明 |
incident
2023-04-20 11:22:00
被害状況
事件発生日 | 2023年1月18日から2023年2月28日(不明な場合は予想) |
被害者名 | GoAnywhere MFTユーザー |
被害サマリ | ゼロデイの脆弱性をついた攻撃により、GoAnywhere MFTのMFTasSカスタマーから機密情報を盗み出し、ランサムウェアによる攻撃を実施した。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | GoAnywhere MFTのゼロデイ脆弱性を利用した攻撃により、不正なユーザーアカウントを作成してファイルを盗み出し、ランサムウェアを利用した攻撃を行う。 |
マルウェア | 不明 |
脆弱性 | GoAnywhere MFTのCVE-2023-0669(CVSSスコア:7.2) |
vulnerability
2023-04-20 11:18:00
情報源: The Hacker News
タイトル: ChatGPT's Data Protection Blind Spots and How Security Teams Can Solve Them
脆弱性
CVE | なし |
影響を受ける製品 | ChatGPTと他の生成型のAIプラットフォーム |
脆弱性サマリ | ChatGPTは、従業員が貼り付けたテキストを保護できない |
重大度 | なし |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
ChatGPTと他の生成型のAIプラットフォームは、貴重な生産性向上のために活用され、データ保護上の難点が指摘されている。特定の事件では、従業員がChatGPTに企業の機密情報が盛り込まれたコードを貼り付けたことから、このツールは潜在的なデータ漏えい経路になりえることが明らかになった。既存のデータ保護ツールは、ChatGPTに機密情報が露出しないことを保証できないため、セキュリティ関係者にとって厳しい課題である。この記事では、ブラウザセキュリティソリューションがこの脆弱性に対応できることを紹介している。LayerXのブラウザセキュリティプラットフォームが、データ保護ポリシーの可視化を提供し、チャットGPTに貼り付けたテキストの監視とフィルタリングを行い、実際にブラウザセッション上のリアルタイム保護を実現することができる。
incident
2023-04-20 10:26:00
被害状況
事件発生日 | 2022年11月以降 |
被害者名 | アフリカの通信サービスプロバイダー |
被害サマリ | 中国に関連するサイバー攻撃者グループ「Daggerfly」が、プラグインやマルウェアなどを使用してアフリカの通信サービスプロバイダーに侵入した。攻撃者は、このキャンペーンの主目的が情報収集であったことを示すプラグインを使用した。この攻撃グループは2014年以来、中国周辺の国や、国内の人権や民主主義活動家などを対象にエスピオナージ活動を行っている疑いがある。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | Daggerfly/Bronze Highland/Evasive Panda |
攻撃手法サマリ | スピアフィッシング攻撃によるMgBotマルウェアの使用、Cobalt Strikeの使用、KsRemoteと呼ばれるAndroidリモートアクセス・トロイの使用、BITSAdminとPowerShellなどのLotLツールの使用が特徴的 |
マルウェア | MgBot、PlugXローダー、KsRemote、Cobalt Strike |
脆弱性 | 不明 |
incident
2023-04-20 10:11:00
被害状況
事件発生日 | 2022年から2023年 |
被害者名 | 人権活動家やデモクラシー支持者、ジャーナリスト、反体制派など |
被害サマリ | イスラエルのスパイウェアメーカーNSOグループが、少なくとも3つの新規の「ゼロクリック」エクスプロイトを使用して民間社会の標的にPegasusを実行するためにiOS 15およびiOS 16を悪用。悪用されたPegasusは、メッセージ、場所、写真、通話履歴などのデバイス内に保存された機密情報をリアルタイムで抽出可能。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | NSOグループ |
攻撃手法サマリ | ゼロクリックとゼロデイエクスプロイトの悪用 |
マルウェア | Pegasus |
脆弱性 | iOS 15およびiOS 16の複数の脆弱性を利用 |
vulnerability
2023-04-19 21:57:18
脆弱性
CVE | なし |
影響を受ける製品 | Microsoft Defender |
脆弱性サマリ | Microsoft DefenderのアップデートによりLSA Protectionが取り外され、代わりにKernel-mode Hardware-enforced Stack Protectionが追加され、ユーザーが混乱することになった。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 報告あり |
PoC公開 | 不明 |
脆弱性の概要:
Microsoft DefenderのアップデートによりLSA Protectionが取り外され、代わりにKernel-mode Hardware-enforced Stack Protectionが追加され、ユーザーが混乱することになった。この変更に関するMicrosoftからの詳細なドキュメントが提供されておらず、ユーザーからは混乱が続いている。Kernel-mode Hardware-enforced Stack ProtectionはAMD Zen3 CPUsおよびIntel Tiger Lake CPUs以降で使用可能であり、一部のゲームのアンチチートドライバーと競合することがある。Windows 11ユーザーによれば、Windows Security通知は新しい機能が競合するドライバーのために無効になっていると報告しているが、ユーザーは、機能を有効にする方法が紛らわしいため、この問題に直面している。
incident
2023-04-19 19:26:10
エラーが発生しました。
記事ファイル名:../articles/20230419 192610_1adb9c90e3bfa0c72bfc248c6cca71e7416c5cf43347ff3f380f277ef140f198.json
That model is currently overloaded with other requests. You can retry your request, or contact us through our help center at help.openai.com if the error persists. (Please include the request ID 07d10d60b2ceb6b7f9c8b5f529eda36d in your message.) <> security_news_matomerukun.py:81
vulnerability
2023-04-19 19:06:26
被害状況
事件発生日 | 2023年1月下旬~2月3日(CVE-2023-0669の脆弱性の発覚日) |
被害者名 | 100以上の企業 |
被害サマリ | GoAnywhere MFTの脆弱性CVE-2023-0669を悪用した攻撃により、Clopランサムウェアのグループによってデータを盗まれた |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | Clopランサムウェアのグループ |
攻撃手法サマリ | GoAnywhere MFTの脆弱性CVE-2023-0669を悪用 |
マルウェア | Clopランサムウェア |
脆弱性 | GoAnywhere MFTの脆弱性CVE-2023-0669 |
脆弱性
CVE | CVE-2023-0669 |
影響を受ける製品 | GoAnywhere MFT |
脆弱性サマリ | GoAnywhere MFTにおけるクリティカルな遠隔コード実行の脆弱性 (CVE-2023-0669) がCloplランサムウェアグループによって悪用され、100以上の企業からデータを盗まれた。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 有 |
PoC公開 | 有 |
脆弱性は、GoAnywhere MFTにおけるCVE-2023-0669というクリティカルな遠隔コード実行の脆弱性である。この脆弱性はCloplランサムウェアグループによって悪用され、100以上の企業からデータを盗まれた。Fortraは、この脆弱性に対するセキュリティアップデートをリリースしており、全ての顧客はそれをインストールするように求められている。攻撃者は、この脆弱性を悪用して、ユーザーアカウントを作成し、MFT環境からファイルをダウンロードし、その他のツールをインストールすることができた。Fortraは、ユーザーがMaster Encryption Keyを変更し、すべての認証情報(キーおよびパスワードを含む)をリセットし、監査ログを確認して不審な管理者およびウェブユーザーアカウントを削除することを推奨している。
incident
2023-04-19 17:46:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | BYOVD攻撃により、AuKillと呼ばれるマルウェアが使用され、システムのセキュリティソリューションが無効化され、バックドアおよびランサムウェアが展開された。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明。国家支援型ハッキンググループから犯罪的目的によるランサムウェアグループまで様々な脅威アクターがこの攻撃手法を使用している。 |
攻撃手法サマリ | AuKillと呼ばれるマルウェアによる、Bring Your Own Vulnerable Driver(BYOVD)攻撃。利用されたマルウェアは合法的なドライバーを最初にドロップし、システムのセキュリティソリューションを無効化し、ランサムウェアを展開する。 |
マルウェア | AuKill |
脆弱性 | 不明 |
vulnerability
2023-04-19 16:57:46
被害状況
事件発生日 | 不明 |
被害者名 | イギリスの組織(NCSCの警告による) |
被害サマリ | 国家を支援するロシアのハッカーが新しいクラスに移行し、DDoS攻撃を実行して主要なエンティティを狙っている。今後、より有害な攻撃に移行する可能性があると警告されている。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 国家を支援するロシアのハッカー |
攻撃手法サマリ | DDoS攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
タイトル: UKサイバー機関、新たなロシアのハッカー集団の出現に警告
イギリスの国家サイバーセキュリティセンター(NCSC)は、ロシアのハッカーが関与している攻撃のリスクが増加しているとして、国内のすべての組織に推奨されるセキュリティ対策の適用を呼び掛けている。NCSCは、ロシアの国家主義者に同情的なハッカー集団が18ヶ月以上前から新たに現れたことに警鐘を鳴らし、これらの集団がDDoS攻撃に特化している一方で、今後、より有害な活動に転換する可能性があると指摘した。NCSCは、セキュリティを強化する一連の措置のリストを公開しており、そのキーポイントには、システムのパッチ適用、使用可能なディフェンス、バックアップのレビュー、サードパーティのアクセスの管理、システム管理者のための原則などが含まれている。NCSCは、現時点ではロシアのハッカーグループが貴重な企業や政府のネットワークに実際の被害をもたらすことは不可能であると考えているが、NCSCは、成功した未来の攻撃に対するリスクを管理するために、組織が現在行動を起こすことを推奨している。
vulnerability
2023-04-19 15:57:21
被害状況
事件発生日 | 2023年4月19日 |
被害者名 | PaperCut |
被害サマリ | 印刷管理ソフトウェアのPaperCutが、すべてのOSプラットフォームで、アプリケーションサーバとサイトサーバの両方を対象とした認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219により、攻撃に悪用されている。PaperCutは、これらの脆弱性が報告された後、アップデートを行うことを推奨している。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 脆弱性を悪用 |
マルウェア | 不明 |
脆弱性 | PaperCut MF/NGのすべてのバージョンで認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219が悪用された。 |
脆弱性
CVE | ZDI-CAN-18987 / PO-1216 |
影響を受ける製品 | PaperCut MF/NGのバージョン8.0以降 |
脆弱性サマリ | 認証されていないリモートコード実行の脆弱性 |
重大度 | 高 (CVSS v3.1 score: 9.8) |
RCE | 有 |
攻撃観測 | あり |
PoC公開 | 不明 |
PaperCutの印刷管理ソフトウェアに、「PaperCut MF/NGのバージョン8.0以降」に認証されていないリモートコード実行の脆弱性があり、攻撃者によって利用されており、重大度は高い (CVSS v3.1 score: 9.8)。攻撃観測があり、PoC公開については不明。PaperCutはユーザーにソフトウェアのアップデートを勧めている。
incident
2023-04-19 15:41:00
被害状況
事件発生日 | 2023年2月上旬から |
被害者名 | ウクライナ政府と軍関係者、ウクライナのウェブメールユーザー数百人 |
被害サマリ | ロシアの軍事情報機関と関係のあるエリートハッカーによるフィッシング攻撃により、ウクライナ政府のウェブサイトが標的となり、ユーザーのクレデンシャル情報が収集された。 |
被害額 | 不明(予想:数十万ドルから数百万ドル) |
攻撃者
攻撃者名 | ロシアの軍事情報機関と関係のあるエリートハッカー達 (APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit, Sofacyなど) |
攻撃手法サマリ | 反射型クロスサイトスクリプティング(XSS)攻撃を使用したウクライナ政府のウェブサイトへの侵入、フィッシング、情報の窃取及びウクライナ政府・軍関係者などのウェブメールユーザーへスプーフィングを使用したフィッシング攻撃。 |
マルウェア | なし |
脆弱性 | Ciscoのルーターにある古い脆弱性(Jaguar Toothというマルウェアをデプロイする)等 |
incident
2023-04-19 15:15:00
被害状況
事件発生日 | 2023年4月19日 |
被害者名 | 不明 |
被害サマリ | Blind Eagleとして知られるサイバー・スパイ集団が、NjRATリモートアクセストロイのデプロイメントに至る新しいマルウェア攻撃を実施したと報告されている。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | Blind Eagle (APT-C-36)として知られるスペイン語を使用する攻撃者グループ |
攻撃手法サマリ | カスタムマルウェア、ソーシャルエンジニアリング、スピアフィッシング攻撃など複数の高度な攻撃手法を使用している。 |
マルウェア | NjRATリモートアクセストロイ |
脆弱性 | 不明 |
vulnerability
2023-04-19 13:47:00
被害状況
事件発生日 | 2023年4月19日 |
被害者名 | Google Chromeの利用者 |
被害サマリ | Google Chromeに存在するinteger overflowの脆弱性(CVE-2023-2136)が悪用されることによって、リモート攻撃者は、レンダラープロセスを乗っ取り、クラフトされたHTMLページを介してサンドボックスから脱出することができる。Googleによる救済策がなされた。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | integer overflowの脆弱性を用いた攻撃 |
マルウェア | 不明 |
脆弱性 | integer overflowの脆弱性(CVE-2023-2136) |
脆弱性
CVE | CVE-2023-2136 |
影響を受ける製品 | Google Chrome |
脆弱性サマリ | Google Chromeにおける整数オーバーフローの脆弱性(CVE-2023-2136)が発見された。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | 不明 |
GoogleのChromeブラウザで整数オーバーフローの脆弱性(CVE-2023-2136)が発見された。Googleは緊急修正プログラムを提供している。攻撃者による悪用が確認されているが、追加の詳細は公開されていない。これは、悪意のあるアクターによって悪用された2番目のChromeのゼロデイ脆弱性であり、前週修正されたCVE-2023-2033と同様の攻撃が行われているかは明らかにされていない。 Windows、macOS、Linuxのユーザーはバージョン112.0.5615.137にアップグレードすることが推奨されている。Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザを使用している場合は、可能な限り修正を適用することが推奨される。
incident
2023-04-19 11:28:00
被害状況
事件発生日 | 不明 |
被害者名 | インドの政府機関に勤務するLinuxユーザー |
被害サマリ | パキスタンを拠点とする高度持続攻撃(APT)グループである「Transparent Tribe」が、インド政府機関が使用する2要素認証(2FA)ツールを騙って、新しいLinuxバックドア「Poseidon」を送り込んだ。攻撃には、偽装されたインド政府のWebサイトが使用されていた。Poseidonには、キーストロークの記録、スクリーンショットの撮影、ファイルのアップロード/ダウンロード、さまざまな方法でシステムをリモート管理するなど、広範な機能がある。 |
被害額 | 不明(予想:数十億円以上) |
攻撃者
攻撃者名 | パキスタンを拠点とする高度持続攻撃(APT)グループ「Transparent Tribe」 |
攻撃手法サマリ | 偽装されたインド政府のWebサイトを通じたソーシャルエンジニアリング攻撃を使用。偽のログインページを出現させ、背後でバックドアのペイロードをダウンロードして、ユーザーのシステムを侵害する。 |
マルウェア | PoseidonおよびCrimsonRAT、LimePadなど |
脆弱性 | 不明 |
vulnerability
2023-04-19 11:03:55
脆弱性
CVE | CVE-2023-2136 |
影響を受ける製品 | Google Chrome |
脆弱性サマリ | Google ChromeにおけるSkiaの高度演算に関する整数オーバーフローによる任意のコード実行の可能性 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | 不明 |
vulnerability
2023-04-19 10:32:00
脆弱性
CVE | なし |
影響を受ける製品 | 企業向けSaaSアプリケーション |
脆弱性サマリ | SaaSアプリケーション同士の間において、OAuthトークンを介した悪意のある攻撃を受け、企業の機密情報にアクセスされるリスクがある。 |
重大度 | 高 |
RCE | 無 |
攻撃観測 | なし |
PoC公開 | なし |
incident
2023-04-19 10:00:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Playランサムウェアグループが、カスタムツール「Grixba」と「VSS Copying Tool」を使用して、攻撃の効果を高めるためにシャドウボリュームコピーのデータ窃盗を行っている。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | Playランサムウェアグループ |
攻撃手法サマリ | Playランサムウェアグループは、GrixbaとVSS Copying Toolという2つのカスタムツールを使用して、コンピューターネットワーク内のユーザーやコンピューターを列挙し、VSSからファイルを簡単にコピーして、ロックされたファイルを迂回している。 |
マルウェア | Playランサムウェア(グループ名と同じ) |
脆弱性 | 不明 |
vulnerability
2023-04-19 09:30:00
被害状況
事件発生日 | 2021年 |
被害者名 | ヨーロッパの一部の機関、米国政府機関、ウクライナの250人程度 |
被害サマリ | ロシアのサイバースパイ集団APT28が、Ciscoのネットワーク機器の脆弱性を悪用して、攻撃対象の情報収集とマルウェアの配置を行った。 |
被害額 | 不明(予想:数十億円以上) |
攻撃者
攻撃者名 | ロシアのサイバースパイ集団APT28(またはFancy Bear、Forest Blizzard、FROZENLAKE、Sofacy) |
攻撃手法サマリ | Cisco IOSおよびIOS XEソフトウェアのSimple Network Management Protocol(SNMP)サブシステムにあるバッファオーバーフロー状態を利用したCVE-2017-6742の脆弱性を武器化して、Ciscoルーターに非永続的なマルウェアJaguar Toothを配置し、デバイス情報を収集し、認証されていないバックドアアクセスを有効にした。 |
マルウェア | Jaguar Tooth |
脆弱性 | CVE-2017-6742 |
脆弱性
CVE | CVE-2017-6742 |
影響を受ける製品 | Cisco IOSおよびIOS XEソフトウェア |
脆弱性サマリ | 「Simple Network Management Protocol(SNMP)」にあるバッファオーバーフローによる「Jaguar Tooth」と呼ばれるマルウェアの配信と、脆弱性を突くための不正なバックドアアクセスを許可するよう設計された」 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 有 |
PoC公開 | 不明 |
以上の記事は、イギリスおよびアメリカのサイバーセキュリティおよびインテリジェンス機関が、2017年6月にパッチ適用された脆弱性を突いて、ロシアのAPT28による攻撃が行われていることを警告したことを報じています。攻撃対象にはヨーロッパ、アメリカの政府機関、および約250のウクライナのターゲットが含まれています。APT28は、デバイス情報を収集し、認証されていないバックドアアクセスを許可することができる非永続性マルウェア「Jaguar Tooth」をCiscoルーターに配信するために脆弱性を利用しました。 この脆弱性(CVE-2017-6742)は、Cisco IOSおよびIOS XEソフトウェアのSNMPサブシステムにあるバッファオーバーフローによるものでした。Ciscoは、最新ファームウェアに更新することと、ネットワーク管理にSNMPからNETCONFまたはRESTCONFに変更することを推奨しています。Cisco Talosによれば、この攻撃は、さまざまなベンダーのエイジングネットワーク機器およびソフトウェアを攻撃する広範なキャンペーンの一部です。以下の記事にも似た脆弱性が報告されています。
incident
2023-04-19 07:00:00
被害状況
事件発生日 | 2023年3月 |
被害者名 | 不明。報告された被害はアメリカ、ヨーロッパ、アジアの企業などが含まれる。 |
被害サマリ | 合計459件のランサムウェア攻撃が実施され、Cloプランサムウェアグループが最も活発だった。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | Clopランサムウェアグループおよび他のランサムウェアグループ |
攻撃手法サマリ | CVE-2023-0669を悪用するゼロデイ攻撃など |
マルウェア | Clop、LockBit 3.0、Royal、BlackCat(ALPHV)、Bianlian、Play、Blackbasta、Stormous、Medusa、Ransomhouse |
脆弱性 | FortraのGoAnywhere MFT secure file transferツールのCVE-2023-0669 |
incident
2023-04-19 06:42:00
被害状況
事件発生日 | 2021年後半から2022年中旬 |
被害者名 | シーポート、エネルギー企業、交通機関、大手アメリカのユーティリティ及びガス企業 |
被害サマリ | アメリカの重要なインフラが攻撃対象で、海運、鉄道、ガソリンスタンドの支払いシステムも攻撃され、情報が漏えいした可能性がある。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | イラン政府関係者 |
攻撃手法サマリ | 高度なフィッシング攻撃による侵入や、既に公にされた脆弱性を悪用した攻撃、そしてオリジナルのマルウェアによる攻撃を使用している。 |
マルウェア | Drokbk、Soldier、CharmPower など |
脆弱性 | 2022-47966および2022-47986 CVE |
vulnerability
2023-04-19 04:53:00
脆弱性
CVE | CVE-2023-29199, CVE-2023-30547 |
影響を受ける製品 | vm2 JavaScript library |
脆弱性サマリ | vm2 JavaScriptのサンドボックス保護を突破し、任意のコードをホストで実行することができる。 |
重大度 | 9.8 (CVSSスコア) |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 有 |
この記事は、vm2 JavaScriptライブラリに存在するサンドボックスの保護を突破した2つのクリティカルな脆弱性について説明している。これらの脆弱性(CVE-2023-29199およびCVE-2023-30547)は、関連バージョンの更新によって修正された。これらの脆弱性を悪用することによって、攻撃者はホストからの任意のコード実行権限を取得することができる。また、これらの問題の検証について、セキュリティ研究者のSeungHyun LeeがPoCを公開していることが報告されている。
incident
2023-04-19 01:26:17
被害状況
事件発生日 | 2023年4月18日 |
被害者名 | Google検索ユーザー |
被害サマリ | 一部のユーザーは、Google検索結果を表示できない状況にあった |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-18 21:42:45
被害状況
事件発生日 | 2023年4月18日 |
被害者名 | Cisco |
被害サマリ | ロシア政府関係者によるAPT28ハッカー集団が、旧式のCisco IOSルーターにカスタムマルウェア「Jaguar Tooth」を注入し、アクセス制限を回避して不正ログインしていたことが明らかになった。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | ロシア政府関係者 |
攻撃手法サマリ | 旧式のCisco IOSルーターのSNMP脆弱性「CVE-2017-6742」を悪用し、カスタムマルウェア「Jaguar Tooth」を注入して不正ログイン。 |
マルウェア | Jaguar Tooth |
脆弱性 | Cisco IOSルーターのSNMPの脆弱性「CVE-2017-6742」 |
incident
2023-04-18 20:03:42
被害状況
事件発生日 | 不明 |
被害者名 | アメリカの重要インフラストラクチャーの組織 |
被害サマリ | 「Mint Sandstorm」というイランのハッキンググループが、アメリカの重要インフラストラクチャーを攻撃した。イラン政府と関連性があると考えられている「Phosphorus」グループの一部であるとMicrosoftは報告している。 |
被害額 | 不明 |
攻撃者
攻撃者名 | イランのハッキンググループ、Mint Sandstorm(Phosphorusの一部) |
攻撃手法サマリ | 特定の脆弱性を利用した攻撃、Proof-of-Conceptエクスプロイトの利用、フィッシング攻撃など |
マルウェア | ・Drokbk (Drokbk.exe) ・Soldier |
脆弱性 | ・IBM Aspera Faspex ・Zoho ManageEngine ・Apache Log4j2 |
other
2023-04-18 16:00:24
- オーストラリア人は昨年、詐欺によって過去最高の31億ドルを失った。
- これには主に投資詐欺が15億ドル、リモートアクセス詐欺が2.29億ドル、支払い先詐欺が2.24億ドルが含まれる。
- これらの数字は、ACCCのScamwatch、ReportCyber、Australian Financial Crimes Exchangeなど、さまざまな政府機関が収集したデータに基づくものである。
- 2022年にScamwatchに提出された詐欺報告書の数は24万件弱であり、2021年と比較して16.5%減少したが、被害者あたりの財務損失は平均2万ドルに上昇した。
- 詐欺のテーマの洗練度が高くなり、また、公式の電話番号、メールアドレス、ウェブサイトの偽装から、本物のメッセージと同じ会話スレッドに現れるスパムテキストなど、詐欺が非常に読みにくくなっている傾向があるため、詐欺の効果が増加している。
vulnerability
2023-04-18 14:39:28
脆弱性
CVE | CVE-2023-30547 |
影響を受ける製品 | VM2ライブラリバージョン 3.9.16以前 |
脆弱性サマリ | VM2 JavaScript サンドボックスライブラリにおける、例外処理の不適切なサニタイズにより、ホストの関数にアクセスして任意のコードを実行できる脆弱性(CVE-2023-30547)が存在する。 |
重大度 | 高 (CVSSスコア: 9.8) |
RCE | 無 |
攻撃観測 | なし |
PoC公開 | 有(リサーチャーによるGitHubリポジトリへの公開) |
サンドボックスから脱出する証明(PoC)の1つ(CVE-2023-30547)が公開され、VM2ライブラリバージョン3.9.16以前に存在するため、使用しているユーザーは全て、可能な限り早く3.9.17にアップグレードするよう推奨されている。証明により、アタッカーはホストの関数にアクセスして任意のコードを実行できるため、サンドボックスは不完全となり、大規模な影響を与える可能性がある。
vulnerability
2023-04-18 14:07:14
被害状況
事件発生日 | 記事には記載されていない |
被害者名 | 不明 |
被害サマリ | Active Directory を標的とした脅威行為の分析とその対策に関する記事 |
被害額 | 記事には記載されていない(予想不可) |
攻撃者
攻撃者名 | 不明(脅威行為の分析に終始した記事で、攻撃者情報は含まれていない) |
攻撃手法サマリ | Active Directory を標的とする、DCSync、DCShadow、Password spray、Pass-the-Hash、Pass-the-Ticket、Golden ticket、Service Principal name、AdminCount、adminSDHolder による脅威行為の分析 |
マルウェア | 記事には記載されていない |
脆弱性 | 記事には記載されていない |
タイトル: Windows Active Directory への攻撃
Windows Active Directory は、企業において主要なアイデンティティおよびアクセス管理のソースであるため、多数の攻撃の中心となっている。以下に、Windows Active Directory に対する攻撃と、これを防ぐために組織が取るべき措置について述べる。
Windows Active Directory に対する攻撃には、以下のような多様な攻撃方法がある。
1. DCSync
2. DCShadow
3. Password spray
4. Pass-the-Hash
5. Pass-the-Ticket
6. Golden ticket
7. Service Principal Name
8. AdminCount
9. adminSDHolder
これらの攻撃に対して、以下の対策を取ることが重要である。
1. DCSync に対する防御:
- ドメインコントローラのセキュリティを確保し、特権アカウントを強固なパスワードで保護する。
- 不要なアカウント(サービスアカウントを含む)をアクティブディレクトリから削除する。
- ドメイングループの変更履歴などの監視を行う。
2. DCShadow に対する防御:
- 特権昇格攻撃から環境を保護する。
- すべての保護されたアカウントとサービスアカウントに強固なパスワードを使用する。
- クライアントPCへのログインに、ドメイン管理者の資格情報を使用しない。
3. Password spray に対する防御:
- パスワードのポリシーを設定し、強力なパスワードを強制する。
- 手順的なパスワードや漏洩したパスワードを使用しないことを防止する。
- パスワードの再利用を防止する。
- パスフレーズをパスワードの代わりに使用することを奨励する。
4. Pass-the-Hash に対する防御:
- 管理者権限を持つユーザーの数を制限する。
- 管理者ジャンプボックスとして強化されたワークステーションを使用する。
- ローカルアカウント向けに Microsoft Local Administrator Password Solution (LAPS) を実装する。
5. Pass-the-ticket に対する防御:
- 管理者およびサービスアカウントをはじめとする強固なパスワードを使用する。
- 環境において漏洩したパスワードを排除する。
- 環境内でベストプラクティスに従うことで、全体的なセキュリティポストアップを確保する。
6. Golden ticket に対する防御:
- KRBTGTパスワードを定期的に変更する(最低でも180日ごと)。
- アクティブディレクトリ環境において最小特権を実施する。
- 強固なパスワードを使用する。
7. Service Principal Name に対する防御:
- 不審なアクティビティ(不必要な Kerberos チケットのリクエストなど)を監視する。
- サービスアカウントに対して非常に強力なパスワードを使用し、定期的にパスワ
incident
2023-04-18 13:45:00
被害状況
事件発生日 | 2022年後半|不明 |
被害者名 | 不特定の利用者 |
被害サマリ | YouTubeを利用した社会工学攻撃によって、偽のソフトウェアユーティリティを装い、Aurora情報窃取マルウェアを配信していた。しかし、その前段階として "in2al5d p3in4er" という名前の高度な抵抗性を持ったローダーを使用していた。 |
被害額 | 不明(予想:数十万ドル以上) |
攻撃者
攻撃者名 | 不明。ただし、AresLoader が利用されたことから、関係のあるロシアのハッカーグループが疑われている。 |
攻撃手法サマリ | YouTube動画を使用し、偽装されたクラック版ソフトウェアのダウンロードを誘い、そこからAuroraマルウェアを配信していた。また、in2al5d p3in4er という名前のローダーを使用してマルウェアを実行していた。 |
マルウェア | Aurora情報窃取マルウェア。また、AresLoader によって Aurora Stealer、Laplas Clipper、Lumma Stealer、Stealc、SystemBC が広まっている。 |
脆弱性 | 不明 |
incident
2023-04-18 12:27:00
被害状況
事件発生日 | 2023年4月18日 |
被害者名 | Google Play Storeのユーザー |
被害サマリ | 100以上のアプリに潜んでいたGoldosonというAndroidマルウェアにより、約100万人のユーザーの情報が収集され、背後でクリック広告による収益化が行われた可能性がある。 |
被害額 | 不明(予想:数十億円以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 第三者が作成したコード(SDK)をアプリに取り込み、ユーザーの情報を抽出・悪用した。 |
マルウェア | Goldoson |
脆弱性 | 不明 |
vulnerability
2023-04-18 11:31:00
被害状況
事件発生日 | 記事には記載なし |
被害者名 | 不明 |
被害サマリ | 今回の記事では、DFIRのトラディショナルな手法が現代のサイバー攻撃に対処するのに効率的でないことが述べられていた。 |
被害額 | 記事には記載なし(予想:不明) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 記事では言及されていないが、サイバー攻撃に関連する内容である。 |
マルウェア | 記事では言及されていないが、サイバー攻撃に関連する内容である。 |
脆弱性 | 記事では言及されていないが、サイバー攻撃に関連する内容である。 |
記事タイトル:
DFIR via XDR: How to expedite your investigations with a DFIRent approach
脆弱性:
記事には脆弱性に関する情報は含まれていない。
影響を受ける製品:
記事には影響を受ける製品に関する情報は含まれていない。
脆弱性サマリ:
記事には脆弱性に関する情報は含まれていない。
重大度:
記事には重大度に関する情報は含まれていない。
RCE:
記事にはRCEに関する情報は含まれていない。
攻撃観測:
記事には攻撃観測に関する情報は含まれていない。
PoC公開:
記事にはPoC公開に関する情報は含まれていない。
incident
2023-04-18 09:05:00
被害状況
事件発生日 | 2022年6月 |
被害者名 | 不明 |
被害サマリ | イランの国家指向の攻撃グループMuddyWaterが、SimpleHelpリモートサポートソフトウェアを使用して、被害者のデバイスに侵入し、存在を確保したと報告された。 |
被害額 | 不明 |
攻撃者
攻撃者名 | イランの国家指向の攻撃グループMuddyWater |
攻撃手法サマリ | SimpleHelpリモートサポートソフトウェアを使用して、ターゲットのシステムに侵入する。 |
マルウェア | 未発見 |
脆弱性 | 未発見 |
incident
2023-04-18 07:10:00
被害状況
事件発生日 | 2022年11月11日 |
被害者名 | Apple macOSの使用者 |
被害サマリ | ロックビット・ランサムウェアがApple macOS対応の新しいペイロードを開発した。この偽装ファイルがダウンロードされ、実行されると、ファイルが暗号化され、身代金が要求される。ペイロードは、2022年11月から存在しているが、セキュリティソフトに検出されないようにデザインされていた。これまでWindows OSをターゲットに開発されていたファイルの流用なので、macOSシステム上ではうまく機能しない。ただし今後の改良次第では脅威になる可能性がある。 |
被害額 | 不明(予想:依頼された身代金が被害額になるため、その額は不明) |
攻撃者
攻撃者名 | ロシアと関連する犯罪グループ |
攻撃手法サマリ | ロックビット・ランサムウェアを活用したペイロード攻撃 |
マルウェア | ロックビット・ランサムウェア |
脆弱性 | 脆弱性情報は不明 |
incident
2023-04-17 20:36:21
被害状況
事件発生日 | 不明(最初の攻撃は2022年の秋季) |
被害者名 | 不明 |
被害サマリ | 企業ネットワークを標的にしたマルウェア攻撃(Domino)により、情報窃取が行われた |
被害額 | 不明(予想:数百万から数千万ドルの損失) |
攻撃者
攻撃者名 | Ex-ContiおよびFIN7 |
攻撃手法サマリ | 企業ネットワークへのマルウェア攻撃 |
マルウェア | Domino、Dave Loader、Nemesis Project、Cobalt Strike beacon |
脆弱性 | 不明 |
incident
2023-04-17 17:05:25
被害状況
事件発生日 | 不明(2023年4月17日に記事が公開された) |
被害者名 | 台湾のメディア企業およびイタリアの求人サイト |
被害サマリ | 中国のAPT41ハッカーグループが、Taiwanese mediaとItalian job search companyに対するデータ窃盗攻撃で、Google Command and Control(GC2)のred teaming toolを悪用した。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 中国のAPT41ハッカーグループ、通称HOODOO |
攻撃手法サマリ | GC2を使用したデータ窃盗攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-17 16:32:00
被害状況
事件発生日 | 2023年4月17日 |
被害者名 | ジャーナリスト、政治的反対勢力、NGO職員を含む数多くのターゲットが被害に遭ったが詳細不明 |
被害サマリ | QuaDreamによって、北米、中央アジア、東南アジア、ヨーロッパ、中東で「REIGN」というスパイウェアフレームワークが使用され、データ窃取が行われた。スパイウェアはiOSのパッチ適用前の脆弱性を利用してインストールされた。 |
被害額 | 不明(予想:数億円~数十億円) |
攻撃者
攻撃者名 | QuaDream |
攻撃手法サマリ | iOSの脆弱性を悪用したスパイウェアを使用したスマートフォンによるデータ窃取 |
マルウェア | REIGN |
脆弱性 | iOSの脆弱性 |
incident
2023-04-17 16:06:00
被害状況
事件発生日 | 2023年4月4日 |
被害者名 | 不明 |
被害サマリ | QBotマルウェアを仕掛けられた攻撃 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 仕掛けられたQBotマルウェアはフィッシング攻撃を使用し、ビジネスコレスポンデンスの乗っ取りを用いている |
マルウェア | QBot (QakbotまたはPinkslipbot) |
脆弱性 | 不明 |
incident
2023-04-17 13:50:00
被害状況
事件発生日 | 不明(Dominoが2022年10月から活動していたと報告されている) |
被害者名 | 不明 |
被害サマリ | FIN7サイバー犯罪グループの新しいマルウェア「Domino」が「コンティ(Conti)」ランサムウェアグループの元メンバーによって使用され、情報スチールウェア「Project Nemesis」を配信するために使用されました。 多くのアプリケーションから機密データを収集できるように設計されており、標的は不明です。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | ロシア語を話すサイバー犯罪グループ「FIN7」におそらく関係していると思われる脅威行為者 |
攻撃手法サマリ | マルウェア攻撃(主に不明の情報スチールウェア「Project Nemesis」) |
マルウェア | Domino、Project Nemesis |
脆弱性 | 不明 |
incident
2023-04-17 13:48:24
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | QBotマルウェアが、PDFファイルを添付したフィッシングメールで配信され、Windowsスクリプトファイル (WSF)をダウンロードしてWindowsデバイスに感染する攻撃が確認された。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明。 |
攻撃手法サマリ | フィッシングメールでのPDFとWSFファイルの組み合わせを利用した攻撃。 |
マルウェア | QBotマルウェア。 |
脆弱性 | 不明。 |
other
2023-04-17 13:32:00
1. 「The Hacker News」は、300万人以上にフォローされている信頼できるサイバーセキュリティニュースプラットフォーム。
2. CSPM(Cloud Security Posture Management)とSSPM(SaaS Security Posture Management)は、クラウドでのデータ保護に焦点を当てたセキュリティソリューションだが、混同されることがある。
3. CSPMは、デフォルトのクラウドアプリケーションの監視と、カスタマイズされたアプリケーションのセキュリティとコンプライアンス管理に特化し、SSPMは、Salesforce、Jira、Microsoft 365などのアプリケーションに集中する。
4. CSPMとSSPMは、クラウドとSaaSのセキュリティに取り組むための必要なセキュリティツールであり、相互補完的に機能する。
5. SSPMを使用することで、様々なSaaSアプリケーションにまたがる企業データの可視性とコントロールが可能である。
incident
2023-04-17 12:46:23
被害状況
事件発生日 | 2023年1月以降 |
被害者名 | オーストラリアとポーランドのユーザー |
被害サマリ | Android向けの新種トロイの木馬「Chameleon」が、オーストラリアの政府機関や銀行などのアプリを模倣し、ユーザー情報を収集する攻撃を行った。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 中国のアプリを利用した攻撃が疑われている |
攻撃手法サマリ | WebサイトやDiscord、Bitbucketホスティングサービスを通じてチャメレオンを配布した。アクセシビリティ・サービスの滥用により、オーバーレイインジェクション、キーロガー、クッキー、SMSテキストからのユーザー情報を盗んだ。 |
マルウェア | チャメレオン(Chameleon) |
脆弱性 | 不明 |
incident
2023-04-17 11:46:00
被害状況
事件発生日 | 不明 |
被害者名 | 台湾の未公表のメディア組織 |
被害サマリ | 中国の国家主導のAPT41はGoogleのインフラを悪用して、Google Command and Control(GC2)と呼ばれるオープンソースのレッドチームツールを提供し、GC2ツールを含むGoogle Driveに保存されたパスワードで保護されたファイルへのリンクを含むフィッシングメールを使用して、攻撃対象となったメディア組織に攻撃を行った。GC2はGoogle Sheetsからのコマンド読み取りと、クラウドストレージサービスを使ってデータを外部に流出させることができる。 |
被害額 | 不明(予想:情報漏洩被害が発生しているため、被害額の算出は困難) |
攻撃者
攻撃者名 | 中国の国家主導のAPT41 |
攻撃手法サマリ | フィッシング攻撃を使用したGoogleのインフラの悪用 |
マルウェア | Google Command and Control(GC2) |
脆弱性 | Googleのインフラの脆弱性は言及されていない |
other
2023-04-17 11:36:00
1. サイバーセキュリティのトラステッドニュースプラットフォームであり、3.45百万以上のフォロワーがいる。
2. ウェブサイトには、ツール、リソース、ダークウェブ上での脅威情報、サイバー攻撃などのセキュリティ対策が記載されている。
3. サイバー攻撃に備えるために、ダークウェブから情報を収集し、サイバー防衛戦略を強化する方法が含まれる専門ウェビナーが提供されている。
4. ウェビナーでは、ダークウェブへのアクセス方法、様々な脅威源、手動および有料サービスの利用方法、専門家からの対策提言などが学べる。
5. The Hacker Newsは、TwitterやLinkedInなどのソーシャルメディアでも情報発信しており、さまざまなサイバーセキュリティニュースを提供している。
incident
2023-04-17 08:01:00
被害状況
事件発生日 | 2023年4月17日 |
被害者名 | 不明 |
被害サマリ | Vice Societyランサムウェアグループが、侵害されたネットワークからデータを自動的に抽出するためにカスタマイズされたPowerShellベースのツールを使用しました。ツールは、HTTP経由でデータを抽出するために、システム上のマウントされたドライブを識別し、ルートディレクトリごとに再帰的に検索します。ただし、10KB以上のファイルサイズを持ち、特定のファイル拡張子および特定のディレクトリを含むファイルに限定されます。 |
被害額 | 不明(予想することはできません) |
攻撃者
攻撃者名 | Vice Societyランサムウェアグループ |
攻撃手法サマリ | カスタマイズされたPowerShellベースのツールを使用したデータの自動抽出 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-17 06:59:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Zaraza botに感染したコンピューターから、機密情報が送信され、不正アクセスや身元盗用、金融詐欺などのリスクがある。 |
被害額 | 不明(予想:数十億円以上) |
攻撃者
攻撃者名 | 不明(ロシアのハッカーが利用しているTelegramチャンネルで活発に配信中) |
攻撃手法サマリ | Webブラウザに深刻な脆弱性があるZaraza botというマルウェアを使用して、機密情報を盗む。 |
マルウェア | Zaraza bot |
脆弱性 | Webブラウザに存在する脆弱性 |
incident
2023-04-16 17:31:54
被害状況
事件発生日 | 2023年4月 |
被害者名 | Macデバイスのユーザー |
被害サマリ | ロックビットランサムウェアグループが、初めてMacデバイス用の暗号化ツールを作成し、それを利用した攻撃が行われた。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | ロックビットランサムウェアグループ(国籍不明) |
攻撃手法サマリ | Macデバイス用の暗号化ツールを利用したランサムウェア攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-16 14:08:23
被害状況
事件発生日 | 不明 |
被害者名 | Pinduoduoユーザー |
被害サマリ | 中国のオンライン小売り大手、Pinduoduoのショッピングアプリが、「CVE-2023-20963」という高度なAndroid脆弱性を悪用して、ユーザーのスパイ行為を行っていたという。攻撃者は、プライビリッジ昇格によって未修正のAndroidデバイスに侵入し、ユーザーの通知やファイルにもアクセス可能になった。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 中国のeコマースアプリ、「Pinduoduo」 |
攻撃手法サマリ | CVE-2023-20963という高度なAndroid脆弱性を悪用したスパイ行為。 |
マルウェア | 特定されていない |
脆弱性 | CVE-2023-20963 |
脆弱性
CVE | CVE-2023-20963 |
影響を受ける製品 | Android Framework |
脆弱性サマリ | Android Frameworkには、権限昇格を可能にする脆弱性が存在し、ユーザーの操作なしで権限昇格が可能である。 |
重大度 | 高 |
RCE | 無 |
攻撃観測 | 限定的で対象は中国のPinduoduoアプリのユーザー |
PoC公開 | 不明 |
脆弱性番号はCVE-2023-20963で、影響を受ける製品はAndroid Frameworkである。権限昇格を可能にする脆弱性であり、ユーザーの操作なしで権限昇格が可能である。重大度は高で、攻撃観測は限定的で対象は中国のPinduoduoアプリのユーザーである。PoC公開については不明。この脆弱性に関して、CISAは米国の民間行政機関に対して、5月4日までに対策を講じるよう指示を行っている。
incident
2023-04-15 18:26:51
被害状況
事件発生日 | 2023年4月13日 |
被害者名 | NCR |
被害サマリ | アメリカのソフトウェア・テクノロジー・コンサルティング会社であるNCRが、Aloha POSプラットフォームに適用されているセンターサーバーが、BlackCat/ALPHVグループによる ランサムウェア攻撃の影響でアウトエージされた。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | BlackCat/ALPHVグループ |
攻撃手法サマリ | ランサムウェア |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-15 16:45:23
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Action1のリモートアクセスソフトウェアが悪用され、多数のランサムウェア攻撃に使用された。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | 不明(多数の脅威アクターによって悪用された) |
攻撃手法サマリ | Action1のリモートアクセスソフトウェアを悪用して、攻撃対象ネットワークでシステム特権のコマンド、スクリプト、バイナリを実行する。 |
マルウェア | 不明(多数のランサムウェア攻撃に使用された) |
脆弱性 | Log4Shellの脆弱性を悪用していることがある。 |
incident
2023-04-15 14:07:14
被害状況
事件発生日 | 2023年4月15日 |
被害者名 | Google Playの60のアプリの開発者とユーザー |
被害サマリ | 60個の正規のアプリが、GoldosonというAndroidマルウェアに感染された。このアプリは、合わせて1億のダウンロード数を誇る。Goldosonは第三者ライブラリの一部であり、開発者がそれがマルウェアであると気づかずに自分のアプリに組み込んでいた。このマルウェアは、ユーザーのアプリ・Wi-Fi・Bluetooth接続デバイスのデータ、GPSの位置情報を収集し、背後で不正な広告クリックを行うことができる。McAfeeセキュリティ企業がこのマルウェアを発見し、Google Play Storeから60個の感染したアプリを削除した。 |
被害額 | 不明(予想:被害に遭った開発者やユーザーの被害額によって異なるため) |
攻撃者
攻撃者名 | 不明(マルウェア作者) |
攻撃手法サマリ | Google Playの正規アプリに感染することでユーザーのデータを収集し、不正な広告クリックを行う。 |
マルウェア | Goldoson |
脆弱性 | 不明 |
vulnerability
2023-04-15 03:58:00
被害状況
事件発生日 | 2023年4月15日 |
被害者名 | 不明 |
被害サマリ | Google Chromeのゼロデイ脆弱性(CVE-2023-2033)が悪用され、リモート攻撃者によってヒープ破損が可能になる。悪用される危険性があるため、ユーザーはWindows、 macOS、LinuxのChromeをバージョン112.0.5615.121にアップグレードすることが勧められる。また、Microsoft Edge、Brave、Opera、VivaldiなどのChromiumベースのブラウザのユーザーも、利用可能になるとすぐに修正を適用するよう助言された。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Google Chromeのブラウザを改ざんし、特定のWebサイトにアクセスしたユーザーを標的にしたリモートでの攻撃が行われた。 |
マルウェア | 不明 |
脆弱性 | Google ChromeのV8 JavaScriptエンジンのタイプ混乱問題(CVE-2023-2033) |
脆弱性
CVE | CVE-2023-2033 |
影響を受ける製品 | Google Chrome |
脆弱性サマリ | Google ChromeのV8 JavaScriptエンジンのタイプ混乱問題により、ヒープ破損が起こり、クラフトされたHTMLページ経由でリモート攻撃者が悪用できる |
重大度 | 高 |
RCE | 無 |
攻撃観測 | 有 |
PoC公開 | 不明 |
Google Chromeは、深刻度が高い脆弱性CVE-2023-2033に対するアップデートをリリースしました。脆弱性は、Google ChromeのV8 JavaScriptエンジンにおけるタイプ混乱の問題に起因し、ヒープ破損およびリモートでの攻撃が可能です。この脆弱性への攻撃は既に確認されており、CVE-2023-2033は過去に解決済みの4つの脆弱性と類似していることがわかりました。Googleは、同社のブラウザのバージョン112.0.5615.121にアップグレードすることを推奨しています。また、Chromeベースのブラウザのユーザーも、修正プログラムが利用可能になった場合は適用することが推奨されています。
incident
2023-04-14 22:35:57
被害状況
事件発生日 | 2023年1月13日 |
被害者名 | Yum! Brands |
被害サマリ | 2023年1月にランサムウェア攻撃を受け、顧客情報が漏洩した。 |
被害額 | 不明(予想:数百万ドル~数千万ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ランサムウェア攻撃によるデータ漏洩。 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-14 19:46:58
被害状況
事件発生日 | 2023年の初め |
被害者名 | 不明 |
被害サマリ | Vice Societyランサムウェアグループが、自動化されたPowerShellスクリプトを使用して、侵害されたネットワークからデータを盗み出しました。攻撃者は、被害者のデータを利用することで、被害者を脅迫し、データを他のサイバー犯罪者に転売することで利益を上げています。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | Vice Societyランサムウェアグループ |
攻撃手法サマリ | Vice Societyランサムウェアグループが、自動化されたPowerShellスクリプトを使用して、侵害されたネットワークからデータを盗み出しました。 |
マルウェア | 不明 |
脆弱性 | 不明 |
other
2023-04-14 19:20:00
- Microsoftは、Windows Startメニューで新しい広告をテスト中。
- ローカルアカウントでログインしているユーザーに、Microsoftアカウントのサインアップの利点を強調する"新しいトリートメント(処理)"を表示する予定。
- 機能は2022年11月以降テストされており、Windows 11の最新プレビューアップデートまたは週次のセキュリティ更新プログラムをインストールしたユーザーにはすでに表示されている。
- Microsoftは、Windowsアプリのユーザーインターフェースで自社製品を宣伝することがある。
- この機能は現在、Windows 11 Insider Preview Build 23435でローリングアウト中。
incident
2023-04-14 18:00:32
被害状況
事件発生日 | 2023年4月14日 |
被害者名 | Google Chromeユーザー |
被害サマリ | Chromeの新しいゼロデイ脆弱性(CVE-2023-2033)が悪用され、攻撃が行われた。 |
被害額 | 詳細不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Chrome V8 JavaScriptエンジン内の高レベルのタイプ混同の脆弱性を悪用した攻撃 |
マルウェア | 詳細不明 |
脆弱性 | Chrome V8の高レベルのタイプ混同の脆弱性(CVE-2023-2033) |
incident
2023-04-14 17:29:28
被害状況
事件発生日 | 不明 |
被害者名 | Darktrace |
被害サマリ | LockBit ransomwareグループがDarktraceのデータを盗んだとの主張をdark web leak platformに掲載したが、Darktraceの調査により、一連の主張は誤りであることが突き止められた。 |
被害額 | 不明 |
攻撃者
攻撃者名 | LockBit ransomwareグループ |
攻撃手法サマリ | 不正アクセス |
マルウェア | LockBit ransomware |
脆弱性 | 不明 |
incident
2023-04-14 16:19:05
被害状況
事件発生日 | 2022年1月1日以降 |
被害者名 | ロシアの重要インフラストラクチャー |
被害サマリ | NATOを含む西側諸国が5,000回以上のサイバー攻撃を仕掛けた。攻撃にはウクライナが使用され、新種のマルウェアも使用された。 |
被害額 | 不明(予想:数百万~数億ドル) |
攻撃者
攻撃者名 | NATOを含む西側諸国 |
攻撃手法サマリ | ウクライナを使用したマスク作戦および新種のマルウェアを使用した攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-14 12:57:00
被害状況
事件発生日 | 2023年4月14日 |
被害者名 | 外交部や外交機関 |
被害サマリ | ロシアのAPT29(またはCozy Bear)が北大西洋条約機構(NATO)加盟国、欧州連合およびアフリカにある外交部や外交機関を狙ったサイバー攻撃である。 |
被害額 | 不明 |
攻撃者
攻撃者名 | ロシアのAPT29(またはCozy Bear) |
攻撃手法サマリ | 外交機関や大使館を偽装したフィッシングメールを送信し、添付のマルウェアを開かせて攻撃した。 |
マルウェア | EnvyScout(またはROOTSAW)、SNOWYAMBER、HALFRIG、QUARTERRIG、Cobalt Strike |
脆弱性 | 不明 |
incident
2023-04-14 10:22:00
被害状況
事件発生日 | 2023年4月14日 |
被害者名 | Kodi |
被害サマリ | Kodi社のMyBBフォーラムデータベースが侵害され、400,635のユーザーデータやプライベートメッセージがダウンロード・削除された。 |
被害額 | 不明(予想:不明) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明(MyBBフォーラムのウェブベースの管理コンソールにアクセスするために、信頼できるが現在不活動のフォーラム管理チームのメンバーアカウントが使用された可能性がある) |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-14 07:15:00
脆弱性
CVE | CVE-2023-20963, CVE-2023-29492 |
影響を受ける製品 | Android、Novi Survey |
脆弱性サマリ | Android OSには特定されていない脆弱性があり、Novi Surveyにはデシリアライゼーションの脆弱性がある |
重大度 | 高 (Android)、未定 (Novi Survey) |
RCE | 不明 |
攻撃観測 | 有 (Android) |
PoC公開 | 不明 |
注:
- CVE (Common Vulnerabilities and Exposures) は一意の識別子であり漏洩情報のデータベース
- Android Framework Privilege Escalation Vulnerabilityは未認証コードの実行により悪用される可能性がある高度の脆弱性である
- Novi Survey Insecure Deserialization Vulnerabilityはリモートアタッカーがサービスアカウントのコンテキストでサーバー上でコードを実行できるようにするセマンティック脆弱性である
- CVE-2023-20963の悪用により、中国の電子商取引会社Pinduoduoによって署名されたAndroidアプリによって感染者のデバイスがコントロールされ、個人情報が盗まれる可能性もある。GoogleはPinduoduoの公式アプリを3月にプレイストアから削除した。
other
2023-04-14 07:13:00
1. サイバーセキュリティに特化したニュースプラットフォームで、3.45百万人以上がフォローしている。
2. MSPとMSSPがvCISOプラクティスを始めることはビジネスの大きな機会を提供する。
3. Cynomiのウェビナーでは、成功したvCISOプラクティスを持つ経験豊富な専門家が、vCISOサービスを提供していくための成功の秘訣を共有している。
4. カスタマーエンゲージメントと、実際のビジネスのニーズを見極めることが重要で、vCISOサービスは、エンドカスタマーが直面するセキュリティスキルのギャップを埋めることができるため、成長を促す重要な要素である。
5. このウェビナーでは、何から始めるべきか、vCISOサービスをどのように販売するかについての、3人の経験豊富なMSSPリーダーによるインサイトが提供されている。
incident
2023-04-13 22:21:11
被害状況
事件発生日 | 2023年4月 |
被害者名 | 会計事務所および税理士 |
被害サマリ | リモートアクセスマルウェアを用いたフィッシング攻撃が行われ、被害者らの業務システムへのアクセスが行われた。 |
被害額 | 不明(予想:情報漏洩が発生し、多数の個人および団体に影響があったため、数百万ドル以上の被害があった可能性がある) |
攻撃者
攻撃者名 | 不明。標的型攻撃であったため、国籍やグループについての情報は公表されていない。 |
攻撃手法サマリ | フィッシングによるアタックにより、PDFファイルなどという装いの悪質なファイルが被害者に送られ、システムに侵入するためのトロイの木馬が送信された。 |
マルウェア | Remcos Remote Access Trojan |
脆弱性 | 不明 |
vulnerability
2023-04-13 20:00:00
脆弱性
CVE | なし |
影響を受ける製品 | Googleの製品 |
脆弱性サマリ | 脆弱性の修正後もリスクが残る |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
Googleは、脆弱性の修正後もリスクが残ることを認識し、脆弱性管理の生態系の改善と悪用に関する透明性を確立するための一連の施策を発表した。Googleは、Hacking Policy Councilを設立して、脆弱性管理とディスクロージャのベストプラクティスをサポートする新しい政策や規制が確立されるようにする。また、製品ポートフォリオ全体で脆弱な箇所を公開し、どのように悪用されるかを明らかにするなど透明性の向上を図っている。さらに、Googleは、善意のある研究に従事する人々に法的支援を提供するためのSecurity Research Legal Defense Fundを設立した。Googleの取り組みは、脆弱性を早期に修正するだけでなく、攻撃を困難にすることを含む、セキュアなソフトウェア開発のベストプラクティスを浸透させることの重要性を示している。
vulnerability
2023-04-13 19:13:50
脆弱性
CVE | なし |
影響を受ける製品 | Windows LAPS |
脆弱性サマリ | Windows LAPS機能と既存のLAPSポリシーに互換性問題がある |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
other
2023-04-13 18:19:53
脆弱性
CVE | なし |
影響を受ける製品 | Windows 11 |
脆弱性サマリ | Presence sensingプライバシー設定においてアプリがユーザーの状態を検知できてしまう問題がある |
重大度 | 中 |
RCE | 無 |
攻撃観測 | 不明 |
PoC公開 | なし |
2023年4月13日のBleepingComputerの記事によると、Windows 11が新しいプライバシー設定「Presence sensing」を導入し、ユーザーがアプリが自分がアクティブかインアクティブかを検知するのを制御できるようになったが、このプライバシー設定に問題があるため、重要度は「中」に評価されている。具体的には、Presence sensingプライバシー設定において、アプリがユーザーの状態を検知できてしまう問題が存在する。RCEは無く、攻撃観測については不明であり、PoCも公開されていない。- Windows 11に新しいプライバシー設定が追加される。』
- プライバシー設定ではユーザーがアクティブにデバイスを操作しているかどうかをアプリが検出できるかどうかを制御できる。
- Windows 11 Betaプレビュービルド22624.1610には、KB5025299アップデートとしてリリースされた新しいプライバシー設定が導入される。
- この設定は「存在を検出する」と呼ばれ、アプリがWindowsでのユーザーのアクティブまたは非アクティブ状態を判断するためのAPIを使用できるかどうかを設定できるようになる。
- ユーザーはプライバシー保護のためにイメージやメタデータは収集されず、処理はローカルに保存されるようになる。
incident
2023-04-13 17:18:31
被害状況
事件発生日 | 2023年4月13日 |
被害者名 | Outlook for Microsoft 365の一部の顧客 |
被害サマリ | Outlookのバグにより、顧客が電子メールやカレンダーにアクセスできなかった |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Outlookのバグを悪用した攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-13 16:42:40
被害状況
事件発生日 | 不明(記事公開日:2023年4月13日) |
被害者名 | オンラインサービス、個人情報の顧客、ポルノグラフィー、個人情報、アカウント情報に関わる者(RaidForumsのメンバー) |
被害サマリ | N/A (多数のオンラインサービスの顧客データが流出しており、また顧客情報を入手していたRaidForumsのメンバーが警告メールを受け取った) |
被害額 | 不明 |
攻撃者
攻撃者名 | RaidForumsのメンバー、多数のサイバー犯罪者 |
攻撃手法サマリ | ウェブサイトのハッキング、公開されたデータベースサーバーへのアクセス、データの窃盗、犯罪者間でのデータの販売、悪意のある活動(フィッシングアタック、仮想通貨詐欺、マルウェアの配信など)への使用 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-13 16:40:00
被害状況
事件発生日 | 不明 |
被害者名 | ビジネス向け |
被害サマリ | 「Read The Manual(RTM)Locker」と呼ばれる新興の犯罪集団が、私的なランサムウェアサービスとして機能しており、機会を逃さず攻撃を行い、不正利益を得ている。被害者は、常に集団の厳格なルールに従うことを強いられる。集団は組織的に熟練しており、アフィリエイトを利用して被害者を脅迫している。「Conti」など、他のグループでも観察されたように。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 「Read The Manual」(RTM) Locker |
攻撃手法サマリ | 先にシステムをコントロールしているネットワークにlockerを実行する。フィッシング攻撃、malspam、またはインターネットに露出した脆弱なサーバーを利用して侵入する。RaaSのグループは、被害者を強制的にスパイウェアを支払わせる。 |
マルウェア | Quoter、RTM Locker |
脆弱性 | 不明 |
incident
2023-04-13 15:44:24
被害状況
事件発生日 | 不明 |
被害者名 | 33,000人以上(個人) |
被害サマリ | オンライン投資詐欺グループが33,000人以上の被害者から推定89百万ユーロ(約98百万ドル)を不正に奪った。 |
被害額 | 89百万ユーロ(約98百万ドル) |
攻撃者
攻撃者名 | 不明。Bulgaria、Romania、Israelに検索された場所に関する情報のみ発表。 |
攻撃手法サマリ | Webとソーシャルメディアバナー広告を利用してオンライン投資詐欺グループを設立。詐欺グループは潜在的な投資家に高い利益を約束し、そうやって被害者を騙した。 |
マルウェア | 使用されていない。 |
脆弱性 | 使用されていない。 |
incident
2023-04-13 15:44:24
被害状況
事件発生日 | 不明(2019年から2021年まで続いたとされる) |
被害者名 | 33,000人以上 |
被害サマリ | オンライン投資詐欺により、被害者33,000人以上が89百万ユーロ(約98百万ドル)余りの被害を被った。 |
被害額 | 89百万ユーロ(約98百万ドル) |
攻撃者
攻撃者名 | 不明。容疑者は、ブルガリア、ルーマニア、およびイスラエルに所在。 |
攻撃手法サマリ | オンライン投資詐欺による攻撃。 |
マルウェア | なし |
脆弱性 | なし |
incident
2023-04-13 14:27:15
被害状況
事件発生日 | 不明 |
被害者名 | 欧州連合(EU)及び北大西洋条約機構(NATO)に関わる外交機関及び外務省 |
被害サマリ | APT29、別名Cozy Bearとされるハッカーグループが、ロシア連邦保安庁の部門「外部情報局(SVR)」に属する国家指向型ハッカーだとされる。欧州諸国の大使館を装ったフィッシングメールを使用し外交官から機密情報を盗み、この攻撃は未だに継続中だと報告された。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | APT29、別名Cozy Bearとされるハッカーグループ |
攻撃手法サマリ | フィッシングメールを使用し、EnvyScout dropper、SNOWYAMBER、QUARTERRIG、CobaltStrike Beacon stager、BRUTE RATEL等多数の悪質なソフトウェアを使用し攻撃を行っている。 |
マルウェア | EnvyScout dropper、SNOWYAMBER、QUARTERRIG、CobaltStrike Beacon stager、BRUTE RATEL、TrailBlazer、GoldMax Linuxバックドア等多数のマルウェアを使用している。 |
脆弱性 | 不明 |
vulnerability
2023-04-13 13:02:00
タイトル: WhatsApp、アカウント乗っ取り攻撃を防ぐための新しいデバイス認証機能を導入
WhatsAppは、アカウント乗っ取り攻撃(ATO)を防ぐデバイス認証機能の導入を発表した。この機能は、スマートフォン上で実行されているマルウェアが対象者のWhatsAppアカウントに影響を与えることを防ぐ事を目的としてデザインされており、脅威アクターの接続をブロックすることで攻撃を阻止する。このセキュリティ対策には、セキュリティトークン、WhatsAppクライアントがサーバーに接続して受信メッセージを取得する際に識別するための暗号化されたナンス、サーバーからユーザーのデバイスに送信される「不可視ピン」である認証要求が含まれる。さらに、WhatsAppは、チャットがエンドツーエンドで暗号化されているかどうかを自動的に確認する「Key Transparency」機能を導入した。
vulnerability
2023-04-13 13:00:00
脆弱性
CVE | なし |
影響を受ける製品 | WhatsApp for Android and iOS |
脆弱性サマリ | WhatsAppはアカウント乗っ取り被害から保護するための新しい機能(デバイス認証)を発表 |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
incident
2023-04-13 11:10:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Pythonベースの新しいハッキングツール「Legion」がTelegramで販売されており、各種オンラインサービスに侵入し情報を盗み、フィッシング攻撃などの二次攻撃に利用される可能性がある。 |
被害額 | 不明(予想:情報漏洩による損失が含まれるため詳細不明) |
攻撃者
攻撃者名 | 不明。開発者の一人がインドネシア人またはその国に拠点を置いているとの指摘がある。 |
攻撃手法サマリ | Legionは、脆弱なSMTPサーバーの列挙、リモートコード実行攻撃(RCE)、Apacheの未修正バージョンの悪用、cPanelおよびWebHost Manager(WHM)アカウントの総当たり攻撃などのモジュールを備えたPythonベースのハッキングツールである。 |
マルウェア | 不明。Legionが別のマルウェアファミリー「AndroxGh0st」と関連している可能性がある。 |
脆弱性 | 未修正のApache、SMTPサーバー、CMS、PHP、LaravelのようなPHPベースのフレームワークを悪用する。 |
incident
2023-04-13 10:19:00
被害状況
事件発生日 | 2021年以降の限定情報 |
被害者名 | インドの教育機関 |
被害サマリ | パキスタンに拠点を置くTransparent Tribeと呼ばれるサイバー攻撃者が、教育機関を標的にCrimson RATと呼ばれるマルウェアを使った攻撃を実行している。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | Transparent Tribe (APT36, Operation C-Major, PROJECTM, Mythic Leopard)と呼ばれるパキスタン系サイバー攻撃者 |
攻撃手法サマリ | 教育テーマのマルウェアをOffice文書に組み込み、犠牲者にウイルスを注入させる |
マルウェア | Crimson RAT |
脆弱性 | 不明 |
vulnerability
2023-04-13 10:19:00
脆弱性に関するニュース記事である。
脆弱性
CVE | なし |
影響を受ける製品 | API |
脆弱性サマリ | Shadow APIが増加し、悪意のある行動を隠蔽できるため、深刻なデータ損失のリスクがある。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | なし |
記事によると、Shadow APIは公式に記載されておらず、どんなAPIが稼働しているのかわからないものである。企業は何千ものAPIを管理しており、そのうち多くはAPIゲートウェイやWeb Application Firewallなどのプロキシを経由していないため、監視されず、監査も滅多にされず、最も脆弱だという。そのため、悪意のある者が脆弱性を悪用し、顧客の住所から会社の財務記録までの機密情報にアクセスしてしまう可能性がある。悪用されれば、データ漏洩や規制違反のリスクがある。また、Shadow APIはセキュリティチームには見えないため、攻撃者にとっては無防備な攻撃経路となる。これらのよく知られていないAPIは、APIディスカバリツールを使用して検出できる。検出した後、対策を講じなければいけない。具体的には、ネットワークトラフィックを監視し、定期的な脆弱性スキャンを実施し、すべてのAPIリクエストに認証を求めることが挙げられる。APIに関連するリスクを軽減するために、データ暗号化を実装し、アクセスの制限、セキュリティポリシーの強制執行を行うことが望ましいという。Noname Securityという企業は、APIセキュリティプラットフォームを提供し、HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC、gRPCなど、あらゆる種類のAPIを検出し、カタログ化する。APIを正しく管理するために、彼らのAPIディスカバリガイドをダウンロードすることを推奨している。
incident
2023-04-13 10:00:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | LegionというPythonベースのツールが、オンラインの電子メールサービスを攻撃することで、フィッシングやスパム攻撃のためのクレデンシャル・ハーベスティングやSMTPハイジャックを行っている。 |
被害額 | 不明(予想:被害者の情報漏えいが発生したため、被害額は膨大な金額に及ぶ可能性がある) |
攻撃者
攻撃者名 | 不明(Forza ToolsというハンドルネームとTelegramのチャンネルが特定されている) |
攻撃手法サマリ | Legionは、SMTPサーバー列挙、リモートコード実行、Apacheの脆弱性を悪用した攻撃、cPanelおよびWebHost Managerアカウントの総当たり攻撃、ShodanのAPIの悪用などのモジュールを提供している。 |
マルウェア | Legionに搭載されたモジュールによって、複数のマルウェアが利用可能(名称は不明) |
脆弱性 | SMTP、AWS console、Mailgun、Twilio、Nexmoなど、多数の脆弱性が攻撃に利用された。 |
incident
2023-04-13 09:07:00
被害状況
事件発生日 | 2020年4月[不明] |
被害者名 | crypto businesses, automotive, academic, defense sectors, IT asset monitoring solution vendor, think tank, defense contractor |
被害サマリ | 北朝鮮のサイバー犯罪組織であるLazarus Groupが、長期に渡って"DeathNote"と呼ばれる活動の一環として、焦点を変更し、ツールと戦術を急速に進化させた。この国家間の敵対行為は、暗号通貨セクターに対する攻撃が知られているが、欧州東部や世界の他の地域の防衛請負業界、自動車、学術などにも焦点を変え、それが「重大な」転換であるとして知られている。最近の攻撃は、攻撃者のPDFリーダーアプリの偽装版を使用していた。この攻撃は、BlindingCan/AirdryまたはZetaNile、CopperHedgeインプラントや、ForestTigerまたはThreatNeedleのバックドアの変種を投下するランサムウェアサプライチェーン攻撃の容疑でも指摘されている。 |
被害額 | [予想不可] |
攻撃者
攻撃者名 | Lazarus Group(北朝鮮) |
攻撃手法サマリ | 不正なPDFリーダーを使った攻撃、ランサムウェアサプライチェーン攻撃、欧州東部や世界の他の地域の防衛請負業界、自動車、学術などに焦点を変えた攻撃 |
マルウェア | Manuscrypt、NukeSped、BlindingCan/Airdry/ZetaNile、CopperHedge、ForestTiger、ThreatNeedleなど |
脆弱性 | 不明 |
vulnerability
2023-04-13 04:35:00
被害状況
事件発生日 | 不明(2023年4月13日に関するニュース) |
被害者名 | OpenAI |
被害サマリ | OpenAIのAIチャットボットChatGPTのシステムにおいて、アカウント乗っ取りやデータ漏洩の欠陥が発覚し、イタリアのデータ保護局に注目された。これを受けてOpenAIは、システムの安全性確保を目的に、報奨金プログラムを導入した。 |
被害額 | 不明(報奨金プログラム導入に伴う被害額ではないため) |
攻撃者
攻撃者名 | 不明(報奨金プログラム導入に伴う攻撃ではないため) |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
脆弱性
CVE | なし |
影響を受ける製品 | OpenAI ChatGPTおよびその関連製品 |
脆弱性サマリ | OpenAI ChatGPTで見つかった脆弱性の報告に対して報奨金を提示するBug Bounty Programを設立 |
重大度 | 高(報奨金が$200から$20,000まで) |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
OpenAIのChatGPT AIチャットボットに関連する脆弱性報告に対して、報奨金を提示するBug Bounty Programを設立したというニュース。報奨金は$200から$20,000までであり、報告された脆弱性の重大度に応じて支払われる。報告対象となるのは、OpenAI API、ChatGPT (including plugins)、third-party integrations、公開されたAPIキー、および同社が運営するドメインである。ただし、モデルの安全性や幻覚問題(チャットボットが悪意のあるコードや不良出力を生成する場合)はカバーしていない。また、DoS攻撃、OpenAI APIへのブルートフォース攻撃、データの破壊や機密情報への不正アクセスを意図するデモンストレーションも禁止されている。
incident
2023-04-12 19:40:27
被害状況
事件発生日 | 2023年第1四半期 |
被害者名 | Cloudflare(インターネットセキュリティ企業) |
被害サマリ | DDoS攻撃が、以前はハッキングされたIoTデバイスを利用していたのに対し、今は不正API資格情報や既知の脆弱性を利用してVPS(仮想プライベートサーバー)を荒らしている。更に、新しいボットネットは、一つひとつが強力なもので、時にはIoTベースのボットネットの5,000倍強力になることがある。 |
被害額 | 不明(記事には記載なし) |
攻撃者
攻撃者名 | 不明、国籍などの特徴不明 |
攻撃手法サマリ | 不正API資格情報や既知の脆弱性を利用してVPSを利用してのDDoS攻撃 |
マルウェア | 特定なし |
脆弱性 | 不正API資格情報や既知の脆弱性を利用した攻撃に依存 |
other
2023-04-12 19:08:02
1. Redditのネイティブモバイルアプリがダウンしているため、ユーザーはアプリにアクセスできない。
2. ユーザーは、「No Internet」、「Sorry, please try again later」、「Let's try that again」などのエラーメッセージを報告している。
3. Redditは状況を調査中であり、現在の問題はiOSデバイスに影響を与えている。
4. Downdetector.comによると、数万人のユーザーがアプリやサーバーの接続に関する問題を報告している。
5. 以前にもRedditはダウンしたことがあり、3月14日には大規模なダウンがあり、1か月前には4時間にわたるサービスの一部停止があった。
vulnerability
2023-04-12 18:19:25
脆弱性
CVE | CVE-2023-25954 |
影響を受ける製品 | KYOCERA Mobile Print v3.2.0.230119 以前 (Google Playで100万ダウンロード), UTAX/TA Mobile Print v3.2.0.230119 以前 (Google Playで10万ダウンロード), Olivetti Mobile Print v3.2.0.230119 以前 (Google Playで10千ダウンロード) |
脆弱性サマリ | Kyocera Androidアプリ(上記の製品)は、不適切なintent handling に脆弱で、他の悪意のあるアプリケーションが、この欠陥を悪用してデバイス上にマルウェアをダウンロードおよびインストールできる。 |
重大度 | 非公開 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
incident
2023-04-12 17:31:26
被害状況
事件発生日 | 2023年4月 |
被害者名 | Microsoft Windows サーバー利用者 |
被害サマリ | Windows メッセージ キューイング (MSMQ) の脆弱性 (CVE-2023-21554) により、不特定の攻撃者がリモートからコード実行が可能になるため、約360,000台のサーバーが影響を受け、一部に悪用された。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | MSMQ の脆弱性 (CVE-2023-21554) を悪用した攻撃 |
マルウェア | 不明 |
脆弱性 | CVE-2023-21554 |
vulnerability
2023-04-12 16:39:59
被害状況
事件発生日 | 2023年4月 |
被害者名 | 不明 |
被害サマリ | BlackLotus UEFI bootkitを用いた攻撃によるマルウェア感染 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明、国籍等も不明 |
攻撃手法サマリ | CVE-2022-21894の脆弱性を悪用したBlackLotus UEFI bootkitを使用した攻撃 |
マルウェア | BlackLotus UEFI bootkit |
脆弱性 | CVE-2022-21894 |
脆弱性
CVE | CVE-2022-21894 |
影響を受ける製品 | UEFI対応製品 |
脆弱性サマリ | BlackLotus UEFI bootkitが、CVE-2022-21894を悪用して攻撃し可能性がある。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 有 |
PoC公開 | 不明 |
Microsoftが、UEFI対応製品に対する脅威である、BlackLotus UEFI bootkitの攻撃に関する、検出及び回避の手順を公開した。この脅威は、対象のマシンを最初に攻撃してからそれを管理するのに使われるため、攻撃自体を防ぐ方が重要である。UEFIのマルウェアは、OSよりも早く実行されるため、検出が困難である。攻撃の手掛かりとして、ブートパーティションのファイルやレジストリ変更、ネットワークログなどを監視することで発見できるとしている。
incident
2023-04-12 14:55:52
被害状況
事件発生日 | 2023年4月(日付不明) |
被害者名 | ヒュンダイのフランスおよびイタリアでの所有者と試乗予約者 |
被害サマリ | ヒュンダイのデータベースから個人データ(電子メールアドレス、住所、電話番号、車のシャシー番号)がアクセスされ、漏洩した。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 利用されていない情報 |
脆弱性 | 利用されていない情報 |
other
2023-04-12 14:05:10
被害状況
事件発生日 | 2023年4月12日 |
被害者名 | KFC、Pizza Hutオーナー(未公開) |
被害サマリ | ランサムウェア攻撃によりデータ漏洩。被害者の詳細は未公開。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明(ランサムウェア攻撃) |
攻撃手法サマリ | ランサムウェア攻撃によるデータ漏洩 |
マルウェア | 不明 |
脆弱性 | 不明 |
脆弱性
CVE | CVE番号なし |
影響を受ける製品 | 外部のウェブアプリケーション |
脆弱性サマリ | Injection Attacks, Broken Authentication, Sensitive Data Exposure, Security Misconfigurations, XML External Entities, Using Components With Known Vulnerabilities, Insufficient Logging & Monitoring, Cross-Site Scripting (XSS), Insecure Deserialization, Broken Access Control |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | Web Application Firewallを導入することで防御可能 |
PoC公開 | なし |
脆弱性は外部のウェブアプリケーションに関連しており、Injection Attacks, Broken Authentication, Sensitive Data Exposure, Security Misconfigurations, XML External Entities, Using Components With Known Vulnerabilities, Insufficient Logging & Monitoring, Cross-Site Scripting (XSS), Insecure Deserialization, Broken Access Controlの脆弱性が存在する。重大度やRCEなどは不明だが、Web Application Firewallの導入によって攻撃を防御することができる。PoCは公開されていない。1. Webアプリケーションは、セキュリティリスクが大きく、 Injection AttacksやBroken Authentication、Security Misconfigurationsなどのような脆弱性が存在しがちである。
2. ログ取得や暗号化などの対応策に加え、Penetration Testing as a Service(PTaaS)を用いることが勧められている。
3. PTaaSは、人手によるテストと自動スキャンを組み合わせ、攻撃者が脆弱性を見つけるよりも速く、脆弱性を特定して対処することができる。
4. 企業に対する攻撃には、特に銀行が狙われる傾向にあり、機密情報の漏洩や会社全体への打撃などの深刻な被害が出ることもある。
5. 本記事はOutpost24からスポンサー提供されたものである。
other
2023-04-12 13:48:50
- Microsoft Bingが新しい検索結果を導入し、検索クエリに対するChatGPT応答を追加
- いくつかの場合、代わりに特集スニペットではなく、Bing AIがクエリに対する回答を表示し、チャットボットとの会話を継続するためのプロンプトも表示される
- この更新により、独立したコンテンツ作成者にとって問題が発生する可能性があり、Bingが複数のソースからコンテンツを要約して1つの回答として提示するため、個々のWebサイトへのクリックスルーが減る可能性がある
- これにより、広告収入とページビューに依存しているコンテンツ作成者にとって問題がはずみ、スニペットがAIによって生成されるため、Bing AIが提供する回答の正確性に関する問題がある可能性がある
- Microsoft Bingは、次世代のOpenAI ChatGPT4言語モデルによって駆動しており、Web検索用に特別にトレーニングされているため、より正確で関連性の高い検索結果を提供できるようになったと言われている。
incident
2023-04-12 11:58:00
被害状況
事件発生日 | 2021年 |
被害者名 | ジャーナリスト、政治的反対勢力、NGOの労働者(被害者名は不明) |
被害サマリ | イスラエルの監視ソフトウェアベンダーであるQuaDreamから派生したハッキングツールを使用した攻撃。北米、中央アジア、東南アジア、ヨーロッパ、中東の市民社会の少なくとも5人が攻撃のターゲットになった。 |
被害額 | 不明(予想:情報漏えいのため数百万~数億円の損失が発生した可能性がある) |
攻撃者
攻撃者名 | イスラエルの監視ソフトウェアベンダーQuaDream |
攻撃手法サマリ | iOS 14のゼロクリック脆弱性ENDOFDAYSを利用して、スパイウェアを展開し、被害者のiCloudのカレンダーに送信された予定表への無形の招待を使用した攻撃 |
マルウェア | KingsPawn |
脆弱性 | iOS 14のゼロクリック脆弱性ENDOFDAYS |
vulnerability
2023-04-12 11:50:00
被害状況
事件発生日 | 2023年4月12日 |
被害者名 | 不明 |
被害サマリ | サービスアカウントが攻撃者に狙われ、それが原因で多くのマシンがランサムウェアによって暗号化されたり、機密データが盗まれたりした。 |
被害額 | 不明(予想:数千万円以上) |
攻撃者
攻撃者名 | 不明(国籍・特徴等も不明) |
攻撃手法サマリ | 被害者のサービスアカウントを狙ってランサムウェアを拡散する攻撃 |
マルウェア | 不明 |
脆弱性 | Proxyshellという脆弱性を利用してExchange Serverが侵入された(被害状況に関連) |
この記事は、サービスアカウントが企業のActive Directory環境において最も危険な脆弱性の一つとなっており、サービスアカウントが漏れてしまうことが攻撃者にとって好都合であると説明している。サービスアカウントとは、人間とは関係なく機械と機械の間で行われる通信のために作られるアカウントであり、元々の目的以外にも権限が高く、PAMソリューションで保護することができないなどの問題がある。攻撃者は、このアカウントを標的にし、エンドポイント侵害後に横移動し、できるだけ多くのマシンにランサムウェアのペイロードを格納することができる。Silverfortのユニファイド・アイデンティティ・プロテクション・プラットフォームは、サービスアカウントを自動検知、モニタリングし、保護することができると紹介されている。
incident
2023-04-12 06:38:00
被害状況
事件発生日 | 2023年4月12日 |
被害者名 | 不明 |
被害サマリ | マイクロソフトのソフトウェアに影響を与える97件の欠陥が発見され、その中の1件がランサムウェア攻撃に実際に使用されている。 |
被害額 | 不明(予想:数千万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 特定の脆弱性を利用して、不正にシステム権限を取得する。 |
マルウェア | Nokoyawaランサムウェアというマルウェアが使用された。 |
脆弱性 | Windows共通ログファイルシステム(CLFS)ドライバーに存在する特権の昇格バグ(CVE-2023-28252)が悪用された。また、DHCPサーバーサービス、レイヤー2トンネリングプロトコル、RAW Image Extension、Windows Point-to-Point Tunneling Protocol、Windows Pragmatic General Multicast、Microsoft Message Queuing(MSMQ)にも悪用可能な脆弱性が存在した。 |
incident
2023-04-12 04:06:00
被害状況
事件発生日 | 2023年3月下旬 |
被害者名 | 3CX |
被害サマリ | 北朝鮮と関わりのあるLazarusのサブグループであるLabyrinth Chollimaが、WindowsとmacOS向けの3CXのデスクトップアプリケーションを対象としたサプライチェーン攻撃を仕掛けた。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | LazarusのサブグループLabyrinth Chollima |
攻撃手法サマリ | DLLサイドローディングテクニックを使用し、情報盗難ツールICONIC Stealerをダウンロードする。その後、crypto企業を狙った第2段階攻撃でGopuramを使用する。 |
マルウェア | TAXHAUL、COLDCAT、SIMPLESEA |
脆弱性 | 不明(サプライチェーン攻撃によるもの) |
vulnerability
2023-04-11 20:54:27
脆弱性
CVE | CVE-2023-27267 CVE-2023-28765 CVE-2023-29186 |
影響を受ける製品 | SAP Diagnostics Agent SAP BusinessObjects Business Intelligence Platform SAP NetWeaver |
脆弱性サマリ |
- SAP Diagnostics AgentのOSCommand Bridgeにある不十分な入力検証と認証不備により、接続されたエージェント上でスクリプトを実行され、システムが完全に危険に曝される。 (CVE-2023-27267)
- SAP BusinessObjects Business Intelligence Platform (Promotion Management)のlcmbiarファイルにアクセスし、パスワードを復号化できる情報開示脆弱性が存在し、ユーザーアカウントを乗っ取り追加攻撃を行う可能性がある。 (CVE-2023-28765)
- SAP NetWeaverにあるディレクトリトラバーサルにより、悪意のあるユーザーが脆弱なSAPサーバーにアップロードし、ファイル上書きできる。(CVE-2023-29186)
|
重大度 | 高(CVE-2023-27267, CVE-2023-28765)/中(CVE-2023-29186) |
RCE | 無 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
vulnerability
2023-04-11 20:32:17
脆弱性
CVE | なし |
影響を受ける製品 | OpenAIの製品ライン |
脆弱性サマリ | OpenAIが新たにBug Bountyプログラムを立ち上げ。報告された問題の深刻度に応じて謝金を支払う。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
incident
2023-04-11 20:14:37
被害状況
事件発生日 | 不明(2022年11月以降から継続中) |
被害者名 | 日本語・韓国語・スペイン語を使用するユーザー(不特定多数) |
被害サマリ | ハッカーが偽のGoogle Chrome更新画面を表示し、そのうえで偽のChromeアップデートをダウンロードさせ、Moneroマイニングマルウェアを感染させる手法を使用 |
被害額 | 不明(予想:数十万円~数百万円) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 偽のGoogle Chrome更新画面を表示し、偽のChromeアップデートをダウンロードさせ、Moneroマイニングマルウェアを感染させる手法 |
マルウェア | Moneroマイニングマルウェア |
脆弱性 | 不明 |
incident
2023-04-11 19:23:48
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Windows Common Log File System (CLFS)にある脆弱性が悪用され、Nokoyawaランサムウェアが配信された。攻撃者にシステム特権が与えられ、Windowsシステムが完全に占拠された。同脆弱性は、低複雑さ攻撃でローカル攻撃者によって悪用される可能性がある。 |
被害額 | 不明(予想:数千万円以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Windows Common Log File System (CLFS)の脆弱性を悪用したランサムウェア攻撃 |
マルウェア | Nokoyawaランサムウェア |
脆弱性 | CVE-2023-28252 |
vulnerability
2023-04-11 18:40:49
被害状況
事件発生日 | 2023年4月11日 |
被害者名 | なし |
被害サマリ | Windows 11のセキュリティバグを修正する累積アップデートがリリースされた |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | なし |
脆弱性 | Windows 11の脆弱性が97件修正された |
脆弱性
CVE | なし |
影響を受ける製品 | Windows 11 |
脆弱性サマリ | MicrosoftがWindows 11の脆弱性を修正するためにKB5025239累積更新プログラムをリリース |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
脆弱性サマリ:Microsoftは、Windows 11の脆弱性を修正するためにKB5025239累積更新プログラムをリリース。
incident
2023-04-11 17:46:43
被害状況
事件発生日 | 2021年1月から11月 |
被害者名 | 北アメリカ、中央アジア、東南アジア、ヨーロッパ、中東の市民社会の少なくとも5人 |
被害サマリ | iCloudカレンダーの招待状を感染手段として用いてスパイウェアがインストールされた。被害者には、ジャーナリスト、政治的反対派、NGO職員が含まれる。スパイウェアは、外部環境の音声やコールの録音、前後方向のカメラでの写真撮影、キーチェーンの削除やデータの盗み出しなどが可能であった。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 特定されていない |
攻撃手法サマリ | ゼロクリック脆弱性を使用したiCloudカレンダーの招待状を不正に利用 |
マルウェア | QuaDream spyware |
脆弱性 | iOS 14.4.2以前のバージョンに影響を与えるゼロデイ |
other
2023-04-11 17:39:05
- マイクロソフトが、OSの問題を修正するためWindows 10のKB5025221とKB5025229の累積的な更新をリリースしました。
- これらの更新は、4月のセキュリティ・アップデートに含まれており、数日以内にWindows Update経由で自動的にインストールされます。
- しかしながら、手動でインストールすることも可能であり、'設定'から'Windows Update'をクリックし、'更新を確認'を選択することができます。
- 更新には、97の脆弱性のセキュリティ・アップデートが含まれており、Windows 10の新機能の追加に重点を置かずに、OS内のバグとパフォーマンスの問題を修正しています。
- KB5025221の修正には、Windows Local Administrator Password Solution(LAPS)の実装、印刷するためにSnipping Toolを開くようにする変更などが含まれます。
incident
2023-04-11 17:28:06
被害状況
事件発生日 | 2023年4月11日 |
被害者名 | 不明 |
被害サマリ | マイクロソフトが4月の定例アップデートで、97の脆弱性を修正。中にはアクティブに悪用されていた1つのゼロデイ(未知の脆弱性)も含まれる。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 脆弱性を悪用したリモートコード実行などの攻撃。 |
マルウェア | 不明 |
脆弱性 | 97件の脆弱性の中に多数の種類が含まれるが、特にCVE-2023-28252がアクティブに悪用された。 |
vulnerability
2023-04-11 16:31:09
被害状況
事件発生日 | 2023年4月11日 |
被害者名 | Kodi Foundation |
被害サマリ | オープンソース・メディアプレーヤーKodi FoundationのMyBBフォーラムがハッキング被害に遭い、会員情報やプライベートメッセージ、投稿が抜かれ、売られていたことが発覚した。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明(海外からの攻撃とみられる) |
攻撃手法サマリ | 不正アクセスによるデータ抜き取り |
マルウェア | 不明 |
脆弱性 | 不明 |
脆弱性
CVE | なし |
影響を受ける製品 | KodiのMyBBフォーラム |
脆弱性サマリ | フォーラムのデータベースがハッキングされ、ユーザーデータ及びプライベートメッセージの盗難が行われた |
重大度 | なし |
RCE | 不明 |
攻撃観測 | フォーラムデータがオンラインで販売されたとの報告あり |
PoC公開 | 不明 |
脆弱性についての報告ではなく、KodiのMyBBフォーラムがハッキングされ、ユーザーデータ及びプライベートメッセージが盗まれたことが明らかにされた。フォーラムには、401,000人のメンバーがおり、約300万の投稿があった。盗まれたデータには、ユーザー名、メールアドレス、MyBBソフトウェアで生成されたハッシュ化されたパスワードなどが含まれる。Kodiは、パスワードが脆弱性となったと判断し、ユーザーにはパスワードのリセットを呼びかけている。
incident
2023-04-11 16:08:45
被害状況
事件発生日 | 2023年3月29日以前(不明) |
被害者名 | 3CX |
被害サマリ | 北朝鮮のハッカーグループがSupply Chain Attackを実行。マルウェア"TAXHAUL"を使用し、3CXシステムに侵入、情報漏えいを行った。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 北朝鮮のハッカーグループ(UNC4736) |
攻撃手法サマリ | Supply Chain Attack、DLLサイドローディング、ターゲットマルウェアを使用した情報漏えい |
マルウェア | TAXHAUL、Coldcat、Simplesea、Gopuram |
脆弱性 | CVE-2013-3900 |
incident
2023-04-11 15:30:18
被害状況
事件発生日 | 記事に記載なし |
被害者名 | Androidユーザー |
被害サマリ | サイバー犯罪者がGoogle Playストアに悪意あるアプリを追加するセーフティネットを突破した上で、クレデンシャルやデータを窃取したり、不要な広告を配信したりする被害が発生している。 |
被害額 | 記事に記載なし(予想:数百万ドルから10億ドル以上) |
攻撃者
攻撃者名 | 海外のサイバー犯罪者 |
攻撃手法サマリ | Google Playストアに悪意あるアプリを追加し、クレデンシャルやデータを窃取したり、不要な広告を配信したりする。 |
マルウェア | 記事に記載なし |
脆弱性 | 記事に記載なし |
vulnerability
2023-04-11 13:00:00
脆弱性
CVE | なし |
影響を受ける製品 | Microsoft Azure |
脆弱性サマリ | Azure FunctionsのShared Key Authorizationを悪用したプリプリ攻撃により、ストレージアカウントが侵害される脆弱性 |
重大度 | 不明 |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
Microsoft Azureに存在するShared Key Authorizationの脆弱性により、Azure Functionsが悪用され、ストレージアカウントにアクセスした攻撃が可能になることが明らかになった。これにより、重要ビジネスアセットが侵害されたり、遠隔実行が可能になる。Microsoftは、Shared Key Authorizationの無効化およびAzure Active Directoryの認証の使用を推奨している。また、AzureWebJobsStorageの接続におけるIdentityをサポートするための変更を計画していると述べている。
incident
2023-04-11 12:29:00
被害状況
事件発生日 | 不明 |
被害者名 | Androidユーザー |
被害サマリ | クリーンアプリにマルウェアを仕込んで、Google Playストアを経由してユーザーに配信していた。主に仮想通貨追跡アプリ、金融アプリ、QRコードスキャナー、出会い系アプリが標的とされた。 |
被害額 | 不明(予想:膨大な数のユーザーが被害にあったため、数百万ドルから数千万ドルの損失が想定される) |
攻撃者
攻撃者名 | 不明(オンラインフォーラムで使用されたメッセージの内容から、サイバー犯罪者のグループや個人が関与していると推定される) |
攻撃手法サマリ | クリーンアプリにマルウェアを仕込むという手法。主にドロッパーアプリを使用したが、APKバインディングやGoogle Play開発者アカウントの購入も行われた。 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-11 11:42:00
記事のタイトル: [eBook] A Step-by-Step Guide to Cyber Risk Assessment
- 脅威: ランサムウェア、フィッシング、インフラ攻撃、サプライチェーンの侵害、悪意のある内部者などによるサイバー攻撃。
- ガイドの内容: CISOとCIOは、限られたリソースを最大限に活用するために、サイバーリスク評価を実施する必要がある。サイバーリスク評価は、脆弱性と脅威を特定し、セキュリティ投資を優先付け、セキュリティの成熟度を評価し、経営陣にサイバーリスクをコミュニケーションするのに役立つ。また、CRQは、脅威による潜在的なコストと是正コストに金銭的価値を付けることを可能にし、セキュリティ担当者が、脆弱性をどのように緩和するかを優先付けることができるようになる。サイバーリスク評価により、組織のサイバーポストに関する知見と推奨事項が得られ、強化段階のロードマップが作成される。定期的な評価は、急速に変化するビジネスや技術に対応し、サイバー耐性を測定し、コントロールに従うことが不可欠である。
- リンク先: ガイドをこちら(CYE)からダウンロードできる。
incident
2023-04-11 09:16:00
被害状況
事件発生日 | 2023年3月26日 |
被害者名 | .NET開発者 |
被害サマリ | 13のNuGetパッケージを介したサプライチェーン攻撃により、Impala Stealerマルウェアが.NET開発者を攻撃し、ユーザーの仮想通貨アカウントに不正アクセスし、ユーザーの機密データを盗んだ。 |
被害額 | 不明(予想:数万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | typosquattingテクニックを使い、改ざんされたNuGetパッケージを開発者に届け、PowerShellコードを実行し、.NET AoT Compilation(.NET Ahead-of-Time Compilation)技術を使い、Impala StealerマルウェアをWebhookを通じて送信されたデータに導入する攻撃。 |
マルウェア | Impala Stealer |
脆弱性 | 不明 |
vulnerability
2023-04-10 20:16:20
被害状況
事件発生日 | 2023年4月10日 |
被害者名 | 不明 |
被害サマリ | Appleの古いiPhone、iPad、およびMacにも影響を与える2つのゼロデイ脆弱性を修正するための緊急アップデートがリリースされた |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 政府支援に関連した脅威アクター |
攻撃手法サマリ | 2つのゼロデイ脆弱性を攻撃するエクスプロイトチェーンを使用する |
マルウェア | 不明 |
脆弱性 | IOSurfaceAcceleratorとWebKitの脆弱性 |
脆弱性
CVE | CVE-2023-28206, CVE-2023-28205 |
影響を受ける製品 | iPhone 6s, iPhone 7, iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), iPod touch (7th generation), and Macs running macOS Monterey and Big Sur. |
脆弱性サマリ | IOSurfaceAccelerator における out-of-bounds write weakness (CVE-2023-28206)、WebKit use after free (CVE-2023-28205) |
重大度 | 不明 |
RCE | 有 |
攻撃観測 | 2つの脆弱性が攻撃で使用されているという報告があり、実際に利用されていた可能性がある |
PoC公開 | なし |
Appleが2つの脆弱性を修正する緊急アップデートをリリースした。CVE-2023-28206を修正するために、AppleはIOSurfaceAcceleratorにおけるout-of-bounds write weaknessに対するメモリ管理を改善するアップデートを提供している。この脆弱性は、悪意のあるアプリを介して悪意のあるコードを実行する攻撃者にカーネル特権を与えることができる。CVE-2023-28205は、WebKit use after freeであり、悪意のあるウェブページを読み込むことで、攻撃者がターゲットのiPhone、Macs、またはiPadsで悪意のあるコードを実行できる。2つの脆弱性は、GoogleのThreat Analysis GroupとAmnesty InternationalのSecurity Labのセキュリティ研究者によって報告され、政府支援の脅威行為者によって悪用された事例があると発表されている。AppleはiPhone 6s、iPhone 7、iPhone SE(第1世代)、iPad Air 2、iPad mini(第4世代)、iPod touch(第7世代)およびmacOS MontereyとBig Surを実行するMacでこれらの脆弱性を修正した。CISAもこれらの脆弱性について警告し、アクティブに悪用されているとして、政府機関に対してデバイスを更新するように命じた。
other
2023-04-10 19:24:49
1. Microsoft is testing a change in Windows 11 where pressing the print screen button will open the Windows Snipping Tool instead of copying a screenshot, which can be disabled in the Accessibility settings.
2. The change is currently only available in Windows 11 Beta preview builds 22621.1546 and 22624.1546 (KB5025310).
3. Users can disable this feature in the Accessibility settings by turning off the "Use the Print Screen key to open Snipping Tool" setting.
4. Users can also disable the feature by creating the `PrintScreenKeyForSnippingEnabled` DWORD value under `HKCU\Control Panel\Keyboard` and setting it to 0.
5. Microsoft has not guaranteed this feature will be included in the final Windows 11 release, but since it is a minor change and allows for use of another built-in tool, it is likely to be included.
incident
2023-04-10 18:23:40
被害状況
事件発生日 | 2023年1月13日 |
被害者名 | Yum! Brands |
被害サマリ | イギリスにおいて、300店舗が一時的に営業停止に追い込まれた。個人情報流出の被害が発生し、被害者名、運転免許証番号、IDカード番号が含まれる一部の個人情報が流出した。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ランサムウェア攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-10 16:24:43
被害状況
事件発生日 | 2023年5月1日までに修正を義務付けられた(注:被害発生日不明) |
被害者名 | 米国政府機関 |
被害サマリ | 米国政府機関のiPhone、Mac、iPadsを狙った攻撃による2つのセキュリティ脆弱性が報告され、修正が必要とされている。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明(政府関与グループを含む) |
攻撃手法サマリ | iOS、iPadOS、macOSデバイスの2つの脆弱性を悪用する攻撃を行ったとされる。 |
マルウェア | 不明 |
脆弱性 | IOSurfaceAccelerator out-of-bounds write(CVE-2023-28206)、WebKit use after free weakness(CVE-2023-28205) |
タイトル:CISAが政府機関に対して5月1日までにiPhoneとMacの更新を指示
CISAは、iPhone、Mac、およびiPadをハックするために野生で積極的に活用されている2つのセキュリティ脆弱性をパッチ適用するよう、連邦機関に指示した。政府文民行政部門の機関は、CISAの既知の攻撃された脆弱性カタログに追加されたすべてのセキュリティバグに対してシステムをパッチ適用するように求められている。CISAによって追加された2つの欠陥は、iOS、iPadOS、およびmacOSデバイスを攻撃するために使用されており、政府機関によって2023年5月1日までに対応する必要がある。この脆弱性はGoogleの脅威分析グループとアムネスティ・インターナショナルのセキュリティ・ラボで発見された。この欠陥を報告したのは、Google TAGのClément Lecigneとアムネスティ・インターナショナルのSecurity LabのDonncha Cearbhaill氏である。これらの組織は、政府主導の脅威行為に対処するために頻繁に活動し、政治家、ジャーナリスト、および反体制派のような高リスクな個人のデバイスにスパイウェアをインストールするためにゼロデイ脆弱性が利用されることがある。
incident
2023-04-10 15:32:23
被害状況
事件発生日 | 2023年4月10日 |
被害者名 | SD Worx UK and Ireland division |
被害サマリ | SD Worxは、イギリスおよびアイルランドのサービスのすべてのITシステムをシャットダウンするサイバー攻撃を受けた。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-10 13:01:00
被害状況
事件発生日 | 2023年3月28日 |
被害者名 | アメリカ国内の電気製品メーカーおよび関連業者 |
被害サマリ | アンドレイ・シェブリャコフがアメリカ国内のメーカーから機密性の高い電子機器を取り寄せ、その商品をロシアに輸出。中には軍事防衛システムで使用されるADコンバータやローノイズプリスケーラ、シンセサイザーが含まれる。また、Rapid7 Metasploit Proなどの侵入テスト用ソフトウェアを取り寄せることも試みた。 |
被害額 | $800,000 |
攻撃者
攻撃者名 | ロシア政府および軍関係者 |
攻撃手法サマリ | 偽名や表向きは異なる企業を立ち上げ、アメリカ国内で電子機器を購入しロシアに密輸。輸出制限を回避していた。 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-10 12:45:00
被害状況
事件発生日 | 2023年3月末 |
被害者名 | npm (オープンソースパッケージレポジトリ) |
被害サマリ | サイバー攻撃者が正当なnpmのパッケージの読み込みを妨害するため、偽パッケージ142万個をnpmにアップロードし、サービスが一時的に利用できない状態になった。攻撃者は、ファイル内の無害なリンクの偽物を作成するなど、npmの検索ランキングを利用してランダムなユーザーに偽のウェブサイトに誘導した。攻撃者の目的は、RedLine Stealer、Glupteba、SmokeLoader、暗号通貨採掘ツールなどのマルウェアを利用して、被害者のシステムに感染させることだった。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | サイバー攻撃者は、類似したキャンペーンを実施して、フィッシングリンクを広げた。最新の攻撃では、無害なリンクのReadmeファイルにウェブサイトのリンクを含め、多数のパッケージをnpmにアップロードし、疑わしいユーザーを偽のウェブサイトに誘導した。攻撃は自動化されていたため、多数のパッケージを一度に公開することによって負荷を作り出し、NPMのセキュリティに問題が発生した。 |
マルウェア | RedLine Stealer、Glupteba、SmokeLoader、暗号通貨採掘ツール |
脆弱性 | ユーザーアカウント作成時に、anti-bot技術の導入をnpmは推奨している。 |
other
2023-04-10 11:38:00
被害状況
事件発生日 | 記事には記載なし |
被害者名 | 記事には記載なし |
被害サマリ | 記事には記載なし |
被害額 | 記事には記載なし (予想:不明) |
攻撃者
攻撃者名 | 記事には記載なし |
攻撃手法サマリ | 複数の攻撃手法が予想される |
マルウェア | 記事には記載なし |
脆弱性 | 記事には記載なし |
今後のサイバーセキュリティにおけるトレンドについて、記事が紹介されている。2023年においてもアプリケーションセキュリティ、クラウドセキュリティ、モバイルセキュリティ、IoT、リモートワークと企業ネットワーク、サイバー保険、ゼロトラスト、人工知能、攻撃検出ツール、サイバーセキュリティアウトソーシングといった分野で新しいトレンドが生まれることが予想されている。これらのトレンドを理解し、不正アクセスやデータの変更を未然に防ぐことが、ビジネスの発展に直結すると指摘されている。また、サイバーセキュリティにおいても人工知能が活用されることが期待されている。1. トラステッド・サイバーセキュリティ・ニュースプラットフォームがある。3.45+百万人がフォローしている。
2. サイバー攻撃が増加しており、2023年にはそのトレンドが見られる。アプリケーションセキュリティ、クラウドセキュリティ、モバイルセキュリティ、IoTセキュリティ、リモートワークと企業ネットワークへの攻撃、サイバー保険、ゼロトラスト、人工知能、攻撃検出ツール、サイバーセキュリティのアウトソーシングがある。
3. アプリケーションセキュリティが重要であり、2023年にはアプリケーションセキュリティへの支出が7.5十億ドルを超えると予想される。
4. クラウドセキュリティがITセキュリティ市場で最も成長している分野であり、2023年までに27%の成長が見込まれる。
5. モバイルセキュリティが重要であり、悪意のある人々が銀行サービスやオンライン予約などを悪用する可能性がある。
6. IoTデバイスセキュリティが必要である。
7. VPNに代わるZero Trust Network Access (ZTNA)が登場している。
8. 人工知能(AI)がサイバーディフェンスにおいてますます使用されるようになる。
9. クラウドベースの検出および対応のためのソリューションの需要が増加している。
10. サイバーセキュリティのアウトソーシングが増加している。
incident
2023-04-10 10:16:00
被害状況
事件発生日 | 2017年以降 |
被害者名 | WordPressサイト |
被害サマリ | Balada Injectorと呼ばれるマルウェアによって、1,000,000件のWordPressサイトが被害にあった。攻撃は、既知の脆弱性だけでなく、最近発見されたテーマやプラグインの脆弱性も利用した。攻撃は定期的に何週間かに1度行われ、フェイク テックサポート、詐欺くじ当選、偽のCAPTCHAページを使用してユーザーからユーザー情報を収集していた。 |
被害額 | 不明(予想:数十億円以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 既知の脆弱性に加え、最近になって発見されたテーマやプラグインの脆弱性も利用した攻撃を行っていた。また、String.fromCharCodeの混同や、ランダムなサブドメインで悪意のあるスクリプトをホストするなどの手法が用いられていた。 |
マルウェア | Balada Injector(Linuxマルウェア) |
脆弱性 | WordPressのテーマやプラグインの脆弱性 |
other
2023-04-10 09:27:00
1. 「The Hacker News」というサイトは、350万人以上の人々にフォローされている信頼されたサイバーセキュリティニュースプラットフォームである。
2. Wazuhは、XDRとSIEMの機能を統一した無料でオープンソースのセキュリティプラットフォームであり、企業がクラウドとオンプレミスの両方のワークロードのために拡張された脅威検出と対応を提供する。
3. Wazuhは、内部および外部からの攻撃を防ぐことができ、MITRE ATT&CKフレームワークモジュール、脆弱性検出モジュール、ファイルインテグリティモニタリングモジュール、ポリシーファイルによるエンドポイントハードニングモジュールなど、多数のモジュールによって機能を提供する。
4. Wazuhは、VirusTotal、MISP、URLHaus、YARAなどの外部脅威インテリジェンスソリューションと連携し、ファイルハッシュ、IPアドレス、URLのチェックを実行できる。
5. Wazuhは、PCI DSS、GDPR、NISTなどの規制遵守基準に準拠し、セキュリティ監査や規制遵守要件を満たすために多数のモジュールを備えている。
vulnerability
2023-04-10 06:25:00
被害状況
事件発生日 | 不明 |
被害者名 | Veritas Backup Exec Agentソフトウェア利用者 |
被害サマリ | Veritas Backup Exec Agentソフトウェアに、CVE-2021-27876、CVE-2021-27877、およびCVE-2021-27878の3つの高度な脆弱性が発見され、それらの脆弱性が悪用されていることが報告された。報告によれば、一部の攻撃者はBlackCat(別名ALPHVおよびNoberus)ランサムウェアのオペレーションと関連付けられており、これらの脆弱性を利用して攻撃を行っている。また、Arm Mali GPU Kernel Driverの情報漏洩脆弱性が発見され、スパイウェアベンダーに使用され、SamsungのAndroidスマートフォンに侵入するための攻撃の一部として悪用された。 |
被害額 | 不明(予想外) |
攻撃者
攻撃者名 | 不明(BlackCatと関連付けられた攻撃者が報告されている) |
攻撃手法サマリ | Veritas Backup Exec AgentソフトウェアのCVE-2021-27876、CVE-2021-27877、およびCVE-2021-27878の3つの脆弱性を悪用 |
マルウェア | 報告なし |
脆弱性 | CVE-2021-27876、CVE-2021-27877、およびCVE-2021-27878の3つの脆弱性、CVE-2019-1388、CVE-2023-26083 |
脆弱性
CVE | CVE-2021-27876, CVE-2021-27877, CVE-2021-27878, CVE-2019-1388, CVE-2023-26083 |
影響を受ける製品 | Veritas Backup Exec Agent, Microsoft Windows Certificate Dialog, Arm Mali GPU Kernel Driver |
脆弱性サマリ | Veritas Backup Exec Agentでは、特権コマンド実行や認証情報の不備によるファイルアクセスが可能。Arm Mali GPU Kernel Driverでは情報漏洩が可能。Microsoft Windows Certificate Dialogでは、プロセス実行権限の昇格が可能。Androidスマートフォンに対する攻撃に悪用される。 |
重大度 | 高(CVE-2021-27876, CVE-2021-27877, CVE-2021-27878)、中(CVE-2019-1388)、情報漏洩のみ(CVE-2023-26083) |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | 不明 |
2023年4月10日、アメリカのサイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、5つのセキュリティ上の欠陥を含む「既知の悪用されている脆弱性(KEV)カタログ」に追加し、野外での悪用の証拠を引用した。この中には、Veritas Backup Exec Agentソフトウェアの3つの重大な欠陥(CVE-2021-27876、CVE-2021-27877、CVE-2021-27878)が含まれており、特権コマンドの実行が可能となっている。これらの欠陥は、2021年3月にリリースされたパッチによって修正された。また、CISAがKEVカタログに追加したもう一つの欠陥は、Microsoft Windows Certificate Dialogに影響を与える権限昇格の欠陥である。さらに、Arm Mali GPU Kernel Driverには、情報漏洩の欠陥がある。GoogleのThreat Analysis Group(TAG)は、この欠陥がGoogleが発見したスパイウェアベンダーによってSamsungのAndroidスマートフォンに侵入するためのエクスプロイトチェーンの一部として悪用されていることを明らかにしている。FCEBのエージェンシーは、4月28日までにこれらの欠陥に対するパッチを適用する必要があり、またCISAも、Appleが実世界の攻撃で悪用されたとアナウンスした2つのゼロデイ脆弱性(CVE-2023-28205およびCVE-2023-28206)の問題に対処するためにiOS、iPadOS、macOS、Safari Webブラウザの更新版をリリースしたことに合わせ警告を発した。
vulnerability
2023-04-09 20:45:06
脆弱性
CVE | なし |
影響を受ける製品 | Microsoft PowerToys |
脆弱性サマリ | PowerToysにおいて、レジストリファイルがインポートされる前にサムネイルが表示されるため、脆弱性があります。 |
重大度 | 不明 |
RCE | 無 |
攻撃観測 | 不明 |
PoC公開 | なし |
脆弱性はMicrosoft PowerToysに存在し、レジストリファイルがインポートされる前にサムネイルが表示されるため攻撃者はシステムにそのレジストリをインポートすることで、特権昇格や影響範囲の拡大が可能です。CVE番号は存在しません。
vulnerability
2023-04-09 15:21:21
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | オランダ政府は、2024年末までにRPKI(Resource Public Key Infrastructure)標準を採用し、すべてのインターネットルーティングのセキュリティを強化する意向を表明した。 |
被害額 | 不明(政府機関のセキュリティ強化に伴うコストが生じる可能性があるが、記事からは明言されていない) |
攻撃者
攻撃者名 | 不明(BGPハイジャックの一般的な被害者である政府機関) |
攻撃手法サマリ | RPKIの採用前のインターネットルーティングにおける脆弱性を悪用したBGPハイジャック |
マルウェア | 不明 |
脆弱性 | RPKIの採用前のインターネットルーティングにおける脆弱性 |
記事タイトル:All Dutch govt networks to use RPKI to prevent BGP hijacking
オランダ政府は、2024年の終わりまでにResource Public Key Infrastructure(RPKI)標準を採用することで、インターネットルーティングのセキュリティを強化する。RPKIは、暗号化を用いたルートの検証により、誤ったルーティングによるインターネットトラフィックの配信を防止するためのデジタル証明書を使用する。この標準は、ルーティング情報の交換に使用されるBorder Gateway Protocol(BGP)を安全にする。RPKIは、インターネットトラフィックが正当なネットワークオペレーターを介して流れることを確実にする。RPKIはセントラルに保存され、世界中のネットワークプロバイダーがインターネットトラフィックのルートを検証できるため、インターネットトラフィックが正当なパスでルーティングされることが保証される。RPKIの採用率は全体的に低く、2023年4月にはIPv4プレフィックスの約41%がRPKIに準拠し、58%はルーティングの影響を受けやすい。オランダ政府は、2024年までにRPKIを使用するようにすべての通信機器(ICT)を管理するよう命じた。RPKIの採用は、より安全で良いインターネットの実現に貢献する。
incident
2023-04-08 16:17:34
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Breachedフォーラムが閉鎖されたことで、ARESグループが自らのサイトであるARES Leaksを開設し、盗まれた多数の企業および公的機関のデータベースを販売・リークしている。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | ARESグループ |
攻撃手法サマリ | データベースの盗難および販売・リーク、暗号通貨を利用した取引、マルウェア攻撃、分散型サービス拒否攻撃(DDoS)など。 |
マルウェア | 不明 |
脆弱性 | 不明 |
other
2023-04-08 15:08:13
- Western DigitalのMy Cloudサービスに、接続障害が発生し、クラウド上に保存されたファイルにアクセスできなくなっている
- サービス停止には5日以上もかかったが、同社はローカルアクセス機能を提供して回避策を提供した
- 4月3日に行われたネットワーク侵害を受け、同社は調査を進めている
- 顧客のデータが消失した痕跡がある製品(My Book Live、My Book Live Duo)が2011年にも発売されていたが、CVE-2018-18472というトラブルを抱えていた
- “Western Digital”は、米国のデータストレージ用品メーカーである
- Western DigitalのMy Cloudサービスに、接続障害が発生し、クラウド上に保存されたファイルにアクセスできなくなっている
- サービス停止には5日以上もかかったが、同社はローカルアクセス機能を提供して回避策を提供した
- 4月3日に行われたネットワーク侵害を受け、同社は調査を進めている
- 顧客のデータが消失した痕跡がある製品(My Book Live、My Book Live Duo)が2011年にも発売されていたが、CVE-2018-18472というトラブルを抱えていた
- “Western Digital”は、米国のデータストレージ用品メーカーである。
incident
2023-04-08 14:37:00
被害状況
事件発生日 | 不明 |
被害者名 | Taiwanese PC company MSI (Micro-Star International) |
被害サマリ | MSIはサイバー攻撃の被害者となり、ネットワーク異常を検知した後、イベントレスポンスとリカバリ対応を素早く行った。攻撃の詳細やプロプライエタリな情報、ソースコードなどの漏えいについては明らかにされていない。しかし、MSIは被害復旧を確実にするため、ネットワークとインフラストラクチャに増強されたコントロールを設定しており、ユーザーには公式ウェブサイトからのファームウェア/BIOSのみのダウンロードを求めるように呼びかけている。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | Money Message(グループ名) |
攻撃手法サマリ | ダブル・エクスポージャ(データを暗号化する前にデータを抽出する攻撃手法) |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-08 14:05:17
脆弱性
CVE | なし |
影響を受ける製品 | Exchange Online |
脆弱性サマリ | Client Access Rules (CARs)が適切にサポートされるまで、2024年9月までCARs deprecationが延期される |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
incident
2023-04-08 07:19:00
被害状況
事件発生日 | 2023年4月8日 |
被害者名 | 不明 |
被害サマリ | イランに拠点を置くMuddyWaterと呼ばれる攻撃者グループが、DEV-1084と呼ばれるもう1つのグループと共同で、ランサムウェアキャンペーンを装い、中東の企業で破壊的な攻撃を行った。攻撃により、オンプレミスのデバイスが暗号化され、サーバーファーム、仮想マシン、ストレージアカウント、仮想ネットワークなどのクラウドリソースが大規模に削除されるなど、被害は大きく、漏洩した情報もあった。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | MuddyWaterおよびDEV-1084 |
攻撃手法サマリ | MuddyWaterとDEV-1084による共同攻撃で、ランサムウェアキャンペーンを装いながら、中東の企業で破壊的な攻撃を行った。 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-08 05:15:00
脆弱性
CVE | CVE-2023-28205、CVE-2023-28206 |
影響を受ける製品 | iOS、iPadOS、macOS、Safari |
脆弱性サマリ | ウェブコンテンツの特別な加工により任意コード実行、またはアプリケーションによるカーネル特権での任意コード実行につながる問題 |
重大度 | 不明 |
RCE | 有 |
攻撃観測 | あり |
PoC公開 | なし |
other
2023-04-08 05:05:00
1. The Hacker News is a trusted cybersecurity news platform with over 3.45 million followers on social media.
2. The website offers resources such as a store with free ebooks and freebies, as well as expert-led webinars on cybersecurity topics like securing the identity perimeter.
3. The identity perimeter is a critical focus point in cybersecurity as cybercriminals employ highly sophisticated methods to target users directly.
4. Dor Dali, Head of Research at Cyolo, will share his insights on the topic in an upcoming webinar that covers practical tips, advice, and comparison of ZTNA platforms.
5. The Hacker News also provides breaking news, resources, and cybersecurity certification courses, along with social media accounts and a contact page.
- The Hacker Newsは、3.45万人以上のフォロワーがいる信頼できるサイバーセキュリティニュースプラットフォームです。
- このウェブサイトでは、無料の電子書籍や無料のものの他、サイバーセキュリティに関する無料のウェビナーなど、さまざまなリソースが提供されています。
- アイデンティティペリメーターは、サイバー犯罪者が直接ユーザーを狙い撃ちする高度な攻撃方法を使うことがあり、サイバーセキュリティにおいて重要な焦点となっています。
- Cyoloのリサーチ部門の責任者であるDor Dali氏が登壇するウェビナーを通じて、ZTNAプラットフォームの比較やアイデンティティペリメーターの実用的なセキュリティの確保方法などが共有されます。
- The Hacker Newsは、ブレイキングニュース、リソース、サイバーセキュリティ認証コース、ソーシャルメディアアカウントなども提供しています。
vulnerability
2023-04-08 05:04:00
脆弱性
CVE | CVE-2023-29017 |
影響を受ける製品 | vm2 JavaScript sandbox module |
脆弱性サマリ | 非同期処理におけるエラー処理の不備により、リモートコード実行が可能になる |
重大度 | 9.8 (CVSS v3.1基準) |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 有 |
incident
2023-04-07 21:07:52
被害状況
事件発生日 | 不明 |
被害者名 | アメリカの政府機関 |
被害サマリ | Veritas Backup Execに存在する脆弱性(CVE-2021-27877, CVE-2021-27876, CVE-2021-27878)が悪用され、アルファベット・ブラックキャット・ランサムウェアの一部であるアフィリエイトによって政府機関に不正アクセスされた。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Veritas Backup Execに存在する脆弱性を悪用してアルファベット・ブラックキャット・ランサムウェアの一部であるアフィリエイトによる攻撃 |
マルウェア | アルファベット・ブラックキャット・ランサムウェア |
脆弱性 | Veritas Backup Execに存在する脆弱性(CVE-2021-27877, CVE-2021-27876, CVE-2021-27878) |
vulnerability
2023-04-07 18:22:20
脆弱性
CVE | CVE-2023-28206、CVE-2023-28205 |
影響を受ける製品 | iPhone 8以降、iPad Pro、iPad Air 3世代以降、iPad 5世代以降、iPad mini 5世代以降、macOS Venturaを実行中のMac |
脆弱性サマリ | iOSurfaceAcceleratorでのアウトオブバウンズライトとWebKitのUse-After-Freeの脆弱性。これにより、任意のコードが実行される可能性があります。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 報告あり |
PoC公開 | なし |
vulnerability
2023-04-07 17:41:34
脆弱性
CVE | CVE-2023-29017 |
影響を受ける製品 | VM2 JavaScript sandbox library 3.9.14以前の全バージョン |
脆弱性サマリ | VM2 JavaScript sandbox libraryにおける任意のコマンド実行が可能なクリティカルな脆弱性(最高評価の10.0) |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | 有 |
VM2 JavaScript sandbox libraryは、JavaScript関連製品で使用されるsandbox環境の一つであり、Node.jsサーバ上で危険なコードを安全に実行するために利用されています。最近の脆弱性(CVE-2023-29017)により、任意のコマンド実行が可能になってしまったことが発表されました。16ヶ月に一回以上ダウンロードされているため、非常に影響範囲が大きいとされています。 PoCはGitHubに公開されています。
incident
2023-04-07 16:39:44
被害状況
事件発生日 | 不明 |
被害者名 | MSI |
被害サマリ | 台湾のPCベンダーMSIのネットワークがサイバー攻撃によって侵害され、情報サービスシステムが影響を受けた。Money Messageランサムウェアグループが攻撃したとされ、約1.5TBの文書やソースコード、プライベートキー、BIOSファームウェアなどが盗まれ、同グループはMSIに4百万ドルの身代金を要求している。また、不承認で情報が公開されると脅迫している。 |
被害額 | (予想)数百万ドル |
攻撃者
攻撃者名 | Money Messageランサムウェアグループ |
攻撃手法サマリ | 不明 |
マルウェア | Money Messageランサムウェア |
脆弱性 | 不明 |
incident
2023-04-07 16:24:20
被害状況
事件発生日 | 2017年以降 |
被害者名 | WordPressサイトのオーナー |
被害サマリ | WordPressの脆弱性を突いて、1百万のサイトにバックドア「Balad Injector」を仕掛け、不正なテクニカルサポートページや抽選詐欺、プッシュ通知詐欺に誘導した。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | WordPressの脆弱性を悪用して、マルウェア「Balad Injector」を仕掛けた。 |
マルウェア | Balad Injector |
脆弱性 | WordPressの複数のテーマとプラグインの脆弱性 |
other
2023-04-07 15:16:41
1. Microsoft EdgeがAIを利用した画像生成機能「Image Creator」をリリースした。
2. この機能を使うと、ユーザーはブラウザ内でソーシャルポストやプレゼンテーションなどのための画像を作成できる。
3. Image Creatorは、既存の画像を生成するのではなく、最新のDALL∙Eモデルによって生成された「存在しない」とされる画像を生成することができる。
4. 他に、ファイル共有機能である「Drop」、編集機能「Edit Image」、効率化機能「Efficiency Mode」が追加された。
5. Microsoftは、ユーザーがオンライン上でより生産的かつ創造的に過ごすための機能を積極的に追求している。
incident
2023-04-07 14:37:36
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | プロフィットを追求する企業が、無償で提供される非営利団体や法執行機関の支援を支払いを迫る手段を使用し、口止め料金を受け取ろうとしているセクストーション被害に遭う人々を標的にしている。セクストーションは、フィッシングメールや偽のソーシャルメディアのプロファイルを使用し、被害者を騙して暴露的なビデオや画像を共有させ、その後、脅迫目的で使用するデジタル恐喝の手法である。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明(特徴不明) |
攻撃手法サマリ | フィッシングメールや偽のソーシャルメディアのプロファイルを使用して被害者を騙す。 |
マルウェア | 不明 |
脆弱性 | 不明 |
other
2023-04-07 12:32:00
1. Telegramを通じたフィッシングキットの市場が繁栄していることが研究者によって発見された。
2. フィッシング詐欺師たちはTelegramのチャンネルを作成し、そこでフィッシングについて説明し、アンケートを実施することで彼らの「商品」を宣伝する。
3. これらのTelegramチャンネルのリンクは、YouTube、GitHub、および詐欺師自身が開発したフィッシングキットを通じて配信される。
4. 一部のサービスは、脅威行為者にフィッシングページを自動生成するTelegramボットを提供することである。
5. フィッシングサービスはPhaaSとしてTelegramで定期更新購読バージョンも販売し、購読者にフィッシングキットを貸し出している。
other
2023-04-07 09:01:02
1. Amazonが販売禁止にしたFlipper Zeroは、カードスキミングデバイスとしてタグ付けされていた。
2. Flipper Zeroはコンパクトで、ポータブルで、プログラマブルなペンテストツール。
3. Amazonは、Flipper Zeroを販売することを禁止した。
4. 禁止された製品は、鍵の複製デバイスや防犯デバイスなど、セラー・セントラル・ポータルの制限製品カテゴリに記載されている。
5. 過去にFlipper Zeroツールを販売していたAmazonページへのリンクの一部は、ダウンしている。
vulnerability
2023-04-07 06:15:00
脆弱性
CVE | なし |
影響を受ける製品 | Cobalt Strike |
脆弱性サマリ | Cobalt Strikeを不正に使用されると、マルウェア、特にランサムウェアの配布に悪用される可能性がある。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | あり |
PoC公開 | 不明 |
MicrosoftはFortraとHealth-ISACと協力して、Cobalt Strikeが悪用されてランサムウェアを含むマルウェアを配布するためにサイバー犯罪者によって不正に使用されるのを防止するための法的措置を講じた。Cobalt Strikeは正当なポストエクスプロイテーションツールであるが、違法なクラックバージョンが脅威のアクターによって利用されてきた。ランサムウェアアクターは特に、ターゲット環境への初期アクセスを取得した後、Cobalt Strikeを利用して特権を昇格し、ネットワークを横断し、ファイル暗号化マルウェアを展開している。ランサムウェアファミリーは、クラックされたCobalt Strikeに関連しているか、それによってデプロイされることがあり、世界中の19カ国で医療機関に影響を与えた68以上のランサムウェア攻撃に関連していると述べられた。Microsoftと協力関係にあるFortraが保守するCobalt Strikeが乱用されたことに加えて、GoogleCloudもクラックバージョンが世界中で検出されたことを報告している。
vulnerability
2023-04-07 06:14:00
被害状況
事件発生日 | 不明 |
被害者名 | Twitter |
被害サマリ | TwitterのソースコードがGitHubに漏洩されたもので、Twitter側が著作権侵害申し立てを行いリポジトリは閲覧不可能になったが、FreeSpeechEnthousiastというユーザー名を使った個人が複数ヶ月にわたって公開し続けたため、Twitterを含む世界的に有名な多数のソフトウェア企業のソースコードが流出している。このようなソースコードの流出により、ユーザーのパスワード、APIキー、証明書、内部アプリケーションの構造が漏洩された可能性がある。 |
被害額 | 不明(予想:被害額の算出不可) |
攻撃者
攻撃者名 | 不明(個人または組織) |
攻撃手法サマリ | GitHub上に複数ヶ月にわたってソースコードを公開することによる攻撃 |
マルウェア | 使用されていない |
脆弱性 | 不明 |
脆弱性
なし
セキュリティニュース
ソフトウェア企業のソースコード漏えいが増えていることが警鐘をならしている。TwitterやSamsung、Nvidia、Microsoft、LastPass、Dropbox、Okta、Slackなどが被害に遭っており、センシティブな情報、特にパスワード、APIキー、証明書、プライベートキーなどのハードコーディングされたシークレットが盗まれる恐れがある。盗まれたコードを解析され、アプリケーションのアーキテクチャやロジックフローの中の脆弱性が発見されるリスクもある。GitGuardianの報告によると、GitHub上の公開コードから2022年だけで新たに1000万個のシークレット情報が露出されたという。このため、セキュリティ対策の重要性がますます高まっている。
vulnerability
2023-04-07 05:59:00
被害状況
事件発生日 | 2023年4月7日 |
被害者名 | Hitachi Energy, mySCADA Technologies, Industrial Control Links, and Nexx |
被害サマリ | Hitachi Energy の MicroSCADA システムのファイル許可の検証不良により、攻撃者が特別に作成したメッセージをシステムにアップロードし、任意のコードを実行する。mySCADA myPRO の 5 つの脆弱性は、認証済みユーザーが任意のオペレーティングシステムコマンドを注入することができる。 Industrial Control Links ScadaFlex II SCADA Controllersの認証済み攻撃者はファイルを上書き、削除、または作成することができる。Nexx の 5 つの脆弱性は、ガレージドアコントローラー、スマートプラグ、スマートアラムのいずれかを攻撃し、機器を乗っ取ることができる。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ファイル許可の検証不良、コマンドインジェクション、認証済み攻撃者によるファイル操作、脆弱なスマートデバイスの攻撃 |
マルウェア | 不明 |
脆弱性 | CVE-2022-3682、CVE-2023-28400、CVE-2023-28716、CVE-2023-28384、CVE-2023-29169、CVE-2023-29150、CVE-2022-25359、CVE-2023-1748(いずれも不正アクセスの危険性が高い) |
脆弱性
CVE | CVE-2022-3682, CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169, CVE-2023-29150, CVE-2022-25359, CVE-2023-1748 |
影響を受ける製品 | Hitachi Energy MicroSCADA、mySCADA myPRO、Industrial Control Links ScadaFlex II SCADA Controllers、Nexx Garage Door Controller、Nexx Smart Plug、Nexx Smart Alarm |
脆弱性サマリ | 異常なファイル認可手順により、SDM600を含む製品で任意のコード実行が可能。(Hitachi Energy MicroSCADA)、マイクロサダ(mySCADA myPRO)のコマンドインジェクションバグにより、OSコマンドを実行される可能性がある。(mySCADA myPRO)、認証された攻撃者はファイルを上書き、削除、または作成できる。(Industrial Control Links ScadaFlex II SCADA Controllers)、脆弱性を通じて、非公開情報の取得等が可能になる。(Nexx Garage Door Controller、Nexx Smart Plug、Nexx Smart Alarm) |
重大度 | 全て高 (CVSS score: 9.1 - 9.9) |
RCE | Hitachi Energy MicroSCADAが有 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
incident
2023-04-06 19:38:41
被害状況
事件発生日 | 2023年1月17日以降 |
被害者名 | 英国のACRO (Criminal Records Office) |
被害サマリ | ACROのオンラインポータルにおける申請サービスが乗っ取りによるサイバー攻撃によって一時停止した。 |
被害額 | 不明(予想不可能) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ACROのオンラインポータルにおいて、身分情報や犯罪歴の記録が含まれる警察証明書の発行を遅らせる目的での乗っ取り攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-06 19:02:16
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Google Chrome、Brave、Opera、Microsoft EdgeなどのChromiumベースのブラウザを狙い、Rilideというブラウザ拡張機能を用いてブラウザアクティビティの監視、スクリーンショットの撮影、仮想通貨の盗難を行うマルウェアが発見された。 |
被害額 | 不明(予想:数百万ドル相当) |
攻撃者
攻撃者名 | 不明。マルウェアの起源は不明だが、他のサイバー犯罪者に売られていた同様の拡張機能との重複も報告されている。 |
攻撃手法サマリ | Chromiumベースのブラウザを狙い、Googleドライブの拡張機能を模倣しつつ、マルウェアをブラウザに注入することで、ブラウザアクティビティを監視するとともに、自動的に仮想通貨を盗むシステムを持っている。 |
マルウェア | Rilide |
脆弱性 | 不明 |
other
2023-04-06 17:48:59
- Microsoftは、Windows 10 21H2の複数のエディションが、2023年6月13日にサポート終了することをリマインドした。
- 対象のエディションには、Home、Pro、Pro Education、Pro for Workstationsが含まれている。
- また、Windows 10 20H2も、教育および企業ユーザー向けのエディションが来月サポート終了する。
- Windows 10 22H2およびWindows 11 22H2がリリースされ、サポートされるバージョンであることが発表された。
- Microsoftは、自動更新を使ってWindows 10 20H2をWindows 10 2022 Updateにアップグレードすると発表した。
incident
2023-04-06 17:04:55
被害状況
事件発生日 | 不明 |
被害者名 | 不特定の組織 |
被害サマリ | コバルトストライクの不正コピーがホストされたサーバーに対し、Microsoft、Fortra、およびHealth-ISACが幅広い法的取り締まりを発表し、被害者となる可能性のある組織を守ることを目的としている。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 不明 / 複数の犯罪者グループ |
攻撃手法サマリ | コバルトストライクの不正コピーを利用して、データ盗難やランサムウェアを含むサイバー攻撃を実行する。 |
マルウェア | コバルトストライクの不正コピー |
脆弱性 | 不明 |
incident
2023-04-06 16:11:03
被害状況
事件発生日 | 2023年3月27日 |
被害者名 | オープン大学オブキプロス |
被害サマリ | オフラインになった中核サービスやシステムがあった為、学生の個人情報や数百万EUR分のオンライン学習が中止された |
被害額 | 不明(予想: $100,000) |
攻撃者
攻撃者名 | Medusa ransomware |
攻撃手法サマリ | ランサムウェアによる攻撃 |
マルウェア | Medusa ransomware |
脆弱性 | 不明 |
other
2023-04-06 11:59:57
- 中国の新興企業ByteDanceが、米国政府によるTikTok取引への反対を受け、9月20日にアップル、Oracle、Walmartと合意したことを発表。
- 合意の内容は、Oracleが技術パートナーとしてTikTokの米国オペレーションを担当し、WalmartがTikTokの販売代理店として機能する。また、アップルはTikTokのビデオ配信のサポートを提供する。
- これにより、TikTokは米国政府の規制に適合し、米国でのビジネスを続けることができる。
- 一方、ByteDanceは、TikTokグローバル事業の80%を持ち続け、アルゴリズム技術などの独自財産を所有する。
- ただし、中国政府も新しい取引に関心を示しており、ByteDanceが米国企業に売却することには反対しているとの報道もある。
incident
2023-04-06 11:46:00
被害状況
事件発生日 | 記事に記載なし |
被害者名 | 不明 |
被害サマリ | サプライチェーン攻撃が主要な攻撃手法であり、物理的な資産やデジタル資産、システム、ネットワークが狙われている。サービスの中断、個人情報の漏洩など様々な被害が発生する。 |
被害額 | 記事に記載なし(予想:不明) |
攻撃者
攻撃者名 | 不明(国家、ハッカーグループ、サイバー犯罪者など多様な攻撃者がいる) |
攻撃手法サマリ | DDoS攻撃、ランサムウェア(スピアフィッシングによる)、脆弱性を悪用した攻撃、サプライチェーン攻撃などがある。サプライチェーン攻撃は、物資を提供する工場を標的とする手法である。 |
マルウェア | 記事に記載なし |
脆弱性 | 記事に記載なし |
incident
2023-04-06 09:01:00
被害状況
事件発生日 | 2023年4月6日 |
被害者名 | 約59,000名(当局が押収した情報の数) |
被害サマリ | Genesis Marketと呼ばれるオンラインマーケットから流出した、150万以上のコンピュータから盗まれたデータ80,000万件中、59,000件の被害(アカウント情報など) |
被害額 | 不明 |
攻撃者
攻撃者名 | 国籍などの特徴は不明 |
攻撃手法サマリ | Genesis Marketというオンラインマーケットを利用して盗んだデータを販売 |
マルウェア | AZORult、Raccoon、RedLine、DanaBotなどが利用された |
脆弱性 | 不明 |
vulnerability
2023-04-06 07:23:24
被害状況
事件発生日 | 不明 |
被害者名 | 一般ユーザー・企業 |
被害サマリ | Telegram上でフィッシングボットやキットの販売が行われ、人々の個人情報やオンライン銀行口座情報が盗まれた。ユーザーデータは購入された後、盗んだ金額に応じて暗号化されたり、情報の正確性が確認されたりする。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 国籍や組織は不明 |
攻撃手法サマリ | Telegram上でフィッシングボットやキットを販売した。新たなフィッシング業者にとっては手軽で、利益が上がりやすい環境を提供している。また、攻撃者は2FA保護をバイパスするためのOTPボットを提供していた。 |
マルウェア | 利用していない |
脆弱性 | 利用していない |
エラーが発生しました。
記事ファイル名:../articles/20230406 072324_14f5ed277b7f063375737a8616863349cbefe69f2adbfa307511abb9fb04bb46.json
CloudFlare Error Code 502
vulnerability
2023-04-06 03:40:00
脆弱性
CVE | なし |
影響を受ける製品 | Androidアプリケーション |
脆弱性サマリ | Googleが、アプリ作成時にユーザーがアカウント削除をするための容易な方法を提供することを開発者に要求した |
重大度 | なし |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
Googleは、アカウント作成が可能なAndroidアプリについて、アプリ内およびウェブ上でユーザーがアカウント削除を容易にできるように設定するように開発者に要求する新しいデータ削除ポリシーを導入する。アプリ開発者は、ユーザーがアプリアカウント削除とアカウントに関連するデータの削除を可能にするために、ウェブリソースリンクとアプリ内のパスを提供することが義務付けられている。また、セキュリティ、不正防止、規制遵守などの合法的な理由がある場合、開発者はそれらを事前に開示する必要がある。Googleは、新しいポリシーが早期来年に発効するものと予想しており、開発者は2023年12月7日までに、アプリのデータ削除フォームの新しい質問に回答するための時間がある。また、開発者は、2024年5月31日までの延長申請が可能である。この変更により、AndroidはAppleのiOSおよびiPadOS操作システムに追随し、2022年6月30日に同様のポリシーを導入した。しかし、Appleは、ユーザーがWeb上でもアカウント削除できることを要求していない。
other
2023-04-05 21:29:55
1. STYXと呼ばれるダークウェブマーケットプレイスが、金融詐欺に焦点を当ててサービスを提供していることが分かった。
2. このマーケットプレイスは、お金洗浄、身元詐欺、DDoS攻撃、2要素認証回避、偽造または盗まれたIDなど、不正行為を行うためのツールを提供している。
3. 2022年以降、STYXの設立者がエスクロー(預託)モジュールを作成している途中の段階で、脅威インテリジェンス企業ResecurityがダークウェブでSTYXについて言及していた。
4. STYXでは、複数の暗号通貨による支払いが可能であり、信頼できる売り手のための特別なセクションがあり、検証されたベンダーがリストアップされているようだ。
5. Resecurityによると、STYXの使用により、不正犯罪市場が利益を得られる利点を発見し、デジタル銀行、オンライン決済プラットフォーム、ECシステムがKYCチェックおよび不正防止チェックにアップグレードする必要があると述べている。
vulnerability
2023-04-05 20:30:16
被害状況
事件発生日 | 2022年8月 |
被害者名 | 不明 |
被害サマリ | 情報窃取マルウェア「Typhon」が新バージョン「Typhon Reborn V2」にアップグレードしたことが、開発者自身がダークウェブで発表した。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 情報窃取マルウェアによる攻撃 |
マルウェア | Typhon、Typhon Reborn V2 |
脆弱性 | 不明 |
脆弱性
CVE | なし |
影響を受ける製品 | Typhon info-stealer |
脆弱性サマリ | Typhon info-stealerの開発者は、Typhon Reborn V2と銘打った新しいバージョンをリリースした。新バージョンは、CPUID、アプリケーション、プロセス、デバッガ/エミュレーションチェック、ジオロケーションなどのより広範な評価を行い、研究者のコンピュータ上の模擬ホストではなく、被害者の環境で動作していることを確認するためのプロセスを実装しました。また、データ収集機能の拡大やファイル「グラバー」機能の追加を行いました。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | なし |
other
2023-04-05 20:16:05
1. Googleは、Android開発者に、ユーザーがアカウントとアプリ内データを削除するオプションを提供するよう要求することを発表した。
2. Google Playストアの新しいデータ削除ポリシーは、2024年初頭から、すべてのストアリストにデータ削除エリアのリンクを表示するようになり、個々のアプリを再インストールしなくても、アカウントとデータを削除できるようになる。
3. 開発者は、安全、詐欺防止、または規制遵守などの正当な理由で特定のデータを保持する必要がある場合は、そのデータ保持方法を明確に開示する必要がある。
4. オプションを提供できない開発者は、新しいアプリを公開したり、アプリの更新をリリースしたりできなくなる。
5. 2022年6月から、Appleも同様の措置を取り、アカウント作成オプションを持つアプリの開発者に、アプリ内からアカウントを削除する方法を提供することを求めている。
other
2023-04-05 17:23:48
1. Microsoft Edge Workspacesが一部限定パブリックプレビューで使用可能になった。
2. Edge Workspacesは、Microsoftアカウントにサインインした後、同じセットのタブにアクセスできるようにする。
3. Workspacesは、1つのブラウザーウィンドウ内でグループのウェブページとドキュメントの単一の共有ビューを作成するために役立つ。
4. Edge Workspacesは、ブラウザーのスクリーン共有または参加者間のブラウザーデータの共有を含まない。
5. エッジワークスペースのコラボレーティブなブラウジング機能には、参加者の間で信頼できないデータが分配されることはない。
incident
2023-04-05 15:28:31
被害状況
事件発生日 | 不明 |
被害者名 | Nexxスマートデバイスのユーザー(4万台以上) |
被害サマリ | ハッカーがNexxガレージドアをリモートで開けることができる脆弱性が発見され、マルウェアを使って家のアラームやスマートプラグを無効化できると判明。サービスに関連付けられた少なくとも2万のアカウントに約4万台のデバイスがあると見積もられている。 |
被害額 | 不明(予想:被害額は存在しないが、事業者によって修復費用が発生する可能性がある) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Nexx Cloudが新しいデバイスに対して汎用パスワードをセットすることに起因する不適切なアクセス制御や認証コントロールの利用などの、脆弱性を利用して攻撃する方法 |
マルウェア | 不明 |
脆弱性 | ハードコードされた汎用資格情報、有効期限のないオープンAPI、MQTTを介したAPIリクエストの不適切なアクセス制御、デバイスの過去の履歴や情報を取得したり変更したりできる不適切なアクセス制御、承認ヘッダーのトークンとデバイスIDを相関させる不適切な入力検証など |
incident
2023-04-05 14:17:00
被害状況
事件発生日 | 2023年4月5日 |
被害者名 | ポルトガル人の暗号通貨ユーザー |
被害サマリ | SEOポイズニング技術を使用して、"WhatsApp web"を検索するユーザーを誘惑し、マルウェアがホストされている不正ドメインに誘導した。ClipperマルウェアであるCryptoClippyが使われ、被害者のクリップボードから暗号通貨アドレスを監視し、それを脅威グループが管理するウォレットアドレスに置き換え、被害者がトランザクションを行う際には、脅威グループに直接暗号通貨が送られていた。 |
被害額 | 約983ドル |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | SEOポイズニング攻撃 |
マルウェア | CryptoClippy(クリッパーマルウェア) |
脆弱性 | 不明 |
vulnerability
2023-04-05 14:05:15
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | バイオメトリック認証による攻撃は困難だが、完全には安全ではなく、他の認証方法と組み合わせることが望ましい。 |
被害額 | 不明(予想:被害額はない) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | バイオメトリック認証を欺く攻撃は可能だが、そのためには高度なテクニックが必要。 |
マルウェア | 不明 |
脆弱性 | 不明 |
脆弱性
CVE | なし |
影響を受ける製品 | バイオメトリック認証システム |
脆弱性サマリ | バイオメトリック認証では完璧ではなく、攻撃者がバイオメトリック認証を迂回する方法があるという指摘がある。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
incident
2023-04-05 12:36:00
被害状況
事件発生日 | 2023年4月5日 |
被害者名 | 不明 |
被害サマリ | 未知の攻撃者によって、悪意のある自己解凍アーカイブ(SFX)ファイルが使用され、常駐型バックドアアクセスを試みられた。 |
被害額 | 不明(予想:数十万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 自己解凍アーカイブ(SFX)ファイルを使用したバックドア攻撃。悪意ある機能は非表示で、脆弱性を利用してパスワードを入手することで、バックドアへアクセス。 |
マルウェア | WinRAR |
脆弱性 | Windowsレジストリにデバッガプログラムを設定し、WindowsのアクセシビリティアプリケーションであるUtility Manager (utilman.exe)を介してパスワードで保護されたSFXファイルを実行することで実行された。 |
incident
2023-04-05 12:19:00
被害状況
事件発生日 | 不明 |
被害者名 | 韓国および米国の政府関係者、軍人、シンクタンク、政策立案者、研究者 |
被害サマリ | 北朝鮮政府支援の脅威アクターによる攻撃。被害者が北朝鮮政策に関する専門知識を有する者であり、偽ログインページを利用したクレデンシャルの収集などの攻撃手法が使用されていた。また、Googleアカウントのセキュリティアラートを装い、BabySharkのようなマルウェアを含むPayloadをGoogle Driveにホストしている。更に、Google Chromeの偽の拡張機能を使用して機密データを盗む技術も使用されている。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 北朝鮮政府支援の脅威アクター |
攻撃手法サマリ | 偽ログインページの使用、Googleアカウントのセキュリティアラートを装い、Google Driveにマルウェア付きPayloadをホスト、偽のChrome拡張機能を使用して機密データを盗む技術の使用 |
マルウェア | BabySharkなど |
脆弱性 | 不明 |
other
2023-04-05 11:49:00
1. 世界中で何百万ものマルウェア攻撃が発生し、それによってビジネスがウイルス、ワーム、キーロガー、ランサムウェアの影響を受けている。
2. ビジネスはマルウェアを防止する製品を探しているが、それだけでは不十分で、より包括的なアプローチが必要とされる。
3. アンチマルウェアソリューションはマルウェア保護のための最初の、かつ最も良い方法である。
4. セキュリティ戦略の基盤として、ゼロトラストネットワークアクセスも重要である。
5. 最後に、セキュリティ対策として、Perimeter 81などのクラウドベースの収束型ネットワークセキュリティソリューションが最適である。
- 世界中で何百万ものマルウェア攻撃が発生し、それによってビジネスがウイルス、ワーム、キーロガー、ランサムウェアの影響を受けている。
- ビジネスはマルウェアを防止する製品を探しているが、それだけでは不十分で、より包括的なアプローチが必要とされる。
- アンチマルウェアソリューションはマルウェア保護のための最初の、かつ最も良い方法である。
- セキュリティ戦略の基盤として、ゼロトラストネットワークアクセスも重要である。
- 最後に、セキュリティ対策として、Perimeter 81などのクラウドベースの収束型ネットワークセキュリティソリューションが最適である。
incident
2023-04-05 08:35:00
被害状況
事件発生日 | 不明(Threat actor behind Typhon Reborn V2が1月31日にXSSのロシア語ダークウェブフォーラムに投稿) |
被害者名 | 不明 |
被害サマリ | Typhon Reborn V2は、ハイジャックされたクリップボードのコンテンツ、スクリーンショットのキャプチャ、キーストロークのロギング、暗号ウォレット、メッセージング、FTP、VPN、ブラウザ、ゲームアプリのデータの盗難など多様な機能を持つ情報盗難マルウェアであり、Telegram APIを使用して盗難データを攻撃者に送信することができる。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | Typhon Reborn V2の開発者は不明。 |
攻撃手法サマリ | Typhon Reborn V2は、分析を回避し、検出を減らすための改良された能力を備えており、フック、無数のポインタ、「適当な」エンコードなどの多様なテクニックを使用している。 |
マルウェア | Typhon Reborn V2は、XMRig仮想通貨マイナーを含む情報盗難マルウェアである。また、Pythonを使ったCreal Stealerという別の情報盗難マルウェアも存在している。 |
脆弱性 | 攻撃で利用された脆弱性は不明。 |
other
2023-04-05 07:34:45
- スペインの最も危険で逃亡中のハッカーが警察に逮捕された
- Jose Luis Huertas(別名「Alcaseca」、「Mango」、「chimichuri」)は、大量の盗まれた機密情報を販売する検索エンジンUdyatを作成しているとされ、国家安全保障にとって「深刻な脅威」と評価されている
- 警察による捜査は、2022年11月に始まった
- 指紋保持のコンピューターファイルから彼のプロフィールが特定され、彼の自宅などの場所で、大量の現金、文書、およびコンピューターが押収された
- Huertasは、スペイン最高裁判所(CGPJ)のコンピューターネットワークに侵入し、575,000人の納税者のデータを盗み、販売するためのデータベースを作成したとされている
vulnerability
2023-04-04 22:46:37
脆弱性
CVE | CVE-2023-1707 |
影響を受ける製品 | HP Enterprise LaserJet および HP LaserJet Managed Printersの50機種 |
脆弱性サマリ | HPのレーザープリンターに存在する情報漏えい脆弱性 |
重大度 | 9.1 (CVSS v3.1基準) |
RCE | 無 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
脆弱性番号はCVE-2023-1707で、情報漏えいが可能である。
影響を受ける製品は、HP Enterprise LaserJet および HP LaserJet Managed Printersの50機種である。
重大度は9.1であるが、脆弱性を悪用するにはFutureSmart firmwareバージョン5.6を実行し、IPsecを有効とする必要があるため、制限的な攻撃コンテキストがある。
攻撃観測、PoC公開は不明である。
HPは脆弱性を修正するためのファームウェアの更新を90日以内に提供する予定である。
incident
2023-04-04 20:18:43
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | Genesis Marketで販売されていたアカウント情報、デバイスフィンガープリント、Cookieなどの情報が流出した。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Genesis Marketを運営する犯罪者が悪意あるマルウェアを使用してアカウント情報、デバイスフィンガープリント、Cookieなどの情報を収集し、販売していた。 |
マルウェア | 不明 |
脆弱性 | 不明 |
other
2023-04-04 17:28:40
- Rockstar Gamesは、WindowsアップデートによってRed Dead Redemption 2が起動しなくなる問題を修正した。
- 問題は、KB5023774更新プログラムが適用されたWindows 11 21H2システムでRockstar Gamesランチャーを介してRRD2を起動する場合のみ発生する。
- Microsoftは、自動アップデートがオフになっている顧客向けに、Windows 11 22H2に更新することを提案している。
- Red Dead Redemption 2は、2019年12月にリリースされ、Steamビデオゲームデジタル配信プラットフォームで35万件以上の「非常にポジティブな」レビューを獲得している。
- Rockstar Gamesは、Grand Theft Auto Onlineのバグも修正している。
incident
2023-04-04 15:43:44
被害状況
事件発生日 | 2022年12月以降(不明) |
被害者名 | 不明 |
被害サマリ | Veritas Backup Execの脆弱性を悪用して、アルファV/ブラックキャットランサムウェアのアフィリエイトが、UNC4466として知られるグループを介してネットワークに初期アクセスを行った。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | アルファV/ブラックキャットランサムウェアのアフィリエイト(国籍などの特徴は不明) |
攻撃手法サマリ | Veritas Backup Execの脆弱性を悪用したランサムウェア攻撃 |
マルウェア | ALPHV/BlackCat ransomware |
脆弱性 | CVE-2021-27876, CVE-2021-27877, CVE-2021-27878 |
incident
2023-04-04 14:13:46
被害状況
事件発生日 | 不明 |
被害者名 | 米国の企業 |
被害サマリ | 新しいランサムウェア「Rorschach」が発見され、被害者のネットワークに展開され、最も高速な暗号化を持つランサムウェアとなった。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者特徴 | 不明 |
攻撃手法サマリ | サービスの脆弱性を利用し、ランサムウェアを展開した |
マルウェア | Rorschach |
脆弱性 | 情報なし |
other
2023-04-04 13:51:00
1. この記事は、サイバーセキュリティに関する問題点を取り上げたもので、CTI(Cyber Threat Intelligence)の信頼性、広さ、種類について述べている。
2. 集められた情報は、実際に攻撃をするための反撃情報である行動可能な情報に変換されるべきである。
3. ネットワークの広さと種類に応じて、収集された情報の種類は限定され、CTIシステムが信頼できる情報を提供できるかどうかに影響する。
4. ハニーポットまたはマルウェアの自動化スキャンでも、事前に対策を講じてリスクを減らすことができるが、リアクティブな立場にとどまることになる。
5. 群衆からの保護を得るために、CrowdSecと呼ばれるオープンソースのセキュリティスイートを使用すると、高度な行動検出と自動修復が可能であり、信頼性の高いCTI情報を提供することができる。
incident
2023-04-04 13:16:00
被害状況
事件発生日 | 2023年4月4日 |
被害者名 | 米国の企業(名称不明) |
被害サマリ | 新種のランサムウェア「Rorschach」によって220,000のファイルが4分30秒で暗号化され、既存のランサムウェアの機能を統合するなど、ランサムウェアの攻撃手法が進化した。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | DLLサイドローディングを用いたランサムウェアの展開など、様々な高度な手法を使用したと見られる。 |
マルウェア | Rorschach、Babukランサムウェアのソースコードと類似していることが判明している。 |
脆弱性 | 不明 |
incident
2023-04-04 13:07:00
被害状況
事件発生日 | 2023年4月4日 |
被害者名 | 不特定のChromium系ブラウザ利用者 |
被害サマリ | 偽装したGoogle Drive拡張機能「Rilide」を介して、個人情報を抽出、仮想通貨取引所から資金を盗み出し、偽の2段階認証画面を表示して騙し取るなどの悪意ある行為を行っていた。 |
被害額 | 不特定 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Chromium系ブラウザを対象にしたマルウェア「Rilide」を開発して使用していた。 |
マルウェア | Rilide |
脆弱性 | 不明 |
incident
2023-04-04 10:08:00
被害状況
事件発生日 | 不明(2022年9月以降) |
被害者名 | パレスチナの組織 |
被害サマリ | パレスチナの組織をターゲットにした攻撃であり、クレデンシャル情報の盗難とデータの持ち出しを行った。 |
被害額 | 不明(予想される被害額は記事からは見当たらない) |
攻撃者
攻撃者名 | Arid Viper、Mantis、APT-C-23、Desert Falcon |
攻撃手法サマリ | スピアフィッシングのEメールや偽のソーシャルクレデンシャルを使って、マルウェアをデバイスにインストールして情報を盗んだ。 |
マルウェア | ViperRat、FrozenCell(VolatileVenom)、Micropsiaなど |
脆弱性 | 報告されていない |
vulnerability
2023-04-04 09:54:00
脆弱性
CVE | なし |
影響を受ける製品 | SaaSアプリケーション |
脆弱性サマリ | 公開されたリンクを通じて、SaaSアプリケーション内の機密情報が漏洩する危険性がある。 |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | なし |
この記事では、SaaSアプリケーションの特徴である共同作業の便利さを指摘した上で、リンクを通じた情報の共有がこれまでにどのような事例で被害をもたらしたかを紹介しています。リンクを公開することによって、外部から機密情報が漏れる危険性があるため、個別のユーザーと特別な許可なしにファイルを共有しないよう注意することが必要です。しかし、個別の共有は管理も手間がかかるため、公開リンクは今でも広く使用されています。
incident
2023-04-04 09:00:51
被害状況
事件発生日 | 不明(至少中旬から) |
被害者名 | eFile.com |
被害サマリ | IRSが承認したeFile.comにおいてJSマルウェアが存在した。このマルウェアが長期間存在しており、この期間にサイトを訪れたユーザーに被害が及んだ可能性がある。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | JSマルウェア |
マルウェア | 'popper.js'他、複数のマルウェアが使用された可能性がある |
脆弱性 | 不明 |
vulnerability
2023-04-04 04:30:00
脆弱性
CVE | なし |
影響を受ける製品 | Microsoft OneNote for Microsoft 365 on devices running Windows |
脆弱性サマリ | OneNoteがマルウェアの配信経路として悪用されることを防ぐため、危険な拡張子を含む埋め込みファイルを自動的にブロックする |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
Microsoft OneNoteにおいて、埋め込みファイルに危険な拡張子を含むものが自動的にブロックされるようになる。ブロックされた場合は、埋め込みファイルを開くことができなくなり、"Your administrator has blocked your ability to open this file type in OneNote."というメッセージが表示される。危険な拡張子のリストには、120の拡張子が含まれる。ブロック自体はOneNote for Microsoft 365 on devices running Windowsにのみ適用され、macOS、Android、iOS、Web版OneNote、Windows 10版OneNoteには影響がない。
incident
2023-04-04 03:54:00
被害状況
事件発生日 | 2023年3月 |
被害者名 | 3CXおよびその顧客企業 |
被害サマリ | ソーラーウィンズやカセイアに似たサプライチェーン攻撃によって、3CXの開発環境が汚染され、顧客企業に送られたトロイの木馬による情報窃取およびマルウェア感染が行われた。一部の暗号通貨企業が旨く標的とされた。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | ラビリンス・チョリマ (Labyrinth Chollima)。ラザルス・グループの一部とされる北朝鮮の国家攻撃組織。 |
攻撃手法サマリ | サプライチェーン攻撃。トロイの木馬のひとつ「Gopuram」を使用し、攻撃者の指示を受けることで、被害者のファイルシステムに接続し、プロセスを作成し、最大8個のインメモリモジュールを起動する。 |
マルウェア | Gopuram、ICONIC Stealer、d3dcompiler_47.dll |
脆弱性 | CVE-2023-29059 |
incident
2023-04-03 20:36:32
被害状況
事件発生日 | 不明 |
被害者名 | 複数のNATO加盟国の政府関係者、政府職員、軍人、外交官等 |
被害サマリ | ロシアのWinter VivernおよびTA473と呼ばれるハッカーグループが、Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性を悪用し、攻撃対象機関のWebメールポータルをターゲットにした攻撃により、政府関係者等のメールボックスからメールを窃取された。 |
被害額 | 不明 |
攻撃者
攻撃者名 | ロシアのWinter VivernおよびTA473と呼ばれるハッカーグループ |
攻撃手法サマリ | Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性を悪用し、Acunetixツールの脆弱性スキャナを利用して脆弱なZCSサーバーを探し、送信者を偽装したフィッシングメールを受信者に送信し、CVE-2022-27926の脆弱性を悪用するか、受信者が自分たちにそれらの資格情報を提供するように誘導した。攻撃が行われると、URLにはJavaScriptスニペットが含まれており、第二段階のペイロードがダウンロードされ、Cross-Site Request Forgery (CSRF)攻撃が行われ、Zimbraユーザーの資格情報およびCSRFトークンが窃取される。その後、犯罪者は、侵害されたWebメールアカウントから機密情報を取得したり、交換されたメールを追跡したり、より多くのフィッシング攻撃を実行して攻撃対象組織の浸透を拡大する可能性がある。 |
マルウェア | 利用されていない。 |
脆弱性 | Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性 (CVE-2022-27926)。 |
other
2023-04-03 19:10:31
- アメリカ司法省は、暗号通貨詐欺によって盗まれた1億1200万ドル以上の資金が入った6つの仮想通貨アカウントを差し押さえました。
- これらの詐欺師は、様々なデートプラットフォーム、メッセージングアプリ、またはソーシャルメディアプラットフォームを通じて標的に接触し、投資スキームに参加させ、約束どおりに財布を空にします。
- 犯罪者たちは、約束された投資に代わって被害者が提供するすべての資金を詐欺師のコントロール下にある仮想通貨アカウントに流し込むことで、このように行います。
- フェイスブック、ツイッター、リンクトイン、またはRedditなどの共有ボタンを利用して、このニュースをシェアすることができます。
- アメリカFBIの2022年のインターネット犯罪報告書によると、アメリカ人は昨年、投資詐欺で30億ドル以上を失いました。
incident
2023-04-03 18:20:07
被害状況
事件発生日 | 2023年4月3日 |
被害者名 | 不明 |
被害サマリ | WinRAR SFXアーカイブに悪意のある機能を仕込まれ、バックドアが設置された。 |
被害額 | 不明(予想なし) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | WinRAR SFXアーカイブに悪意のある機能を仕込み、バックドアを設置した。 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-03 17:22:17
被害状況
事件発生日 | 2023年3月末日 |
被害者名 | VoIP通信企業3CXの顧客企業(特に暗号通貨企業) |
被害サマリ | 北朝鮮のLazarus Groupによる3CXサプライチェーン攻撃が、Gopuramマルウェアによるバックドア攻撃とともに暗号通貨関連企業などに広がった。 |
被害額 | 不明(予想:数百万~数千万ドル) |
攻撃者
攻撃者名 | 北朝鮮のLazarus Group |
攻撃手法サマリ | サプライチェーン攻撃およびバックドア攻撃 |
マルウェア | Gopuramマルウェア |
脆弱性 | Windowsの10年前の脆弱性CVE-2013-3900 |
incident
2023-04-03 13:20:34
被害状況
事件発生日 | 2023年3月31日 |
被害者名 | Capita |
被害サマリ | 金融、IT、医療、教育、政府部門など、多数の顧客へサービスを提供しているCapitaが、内部のMicrosoft Office 365アプリケーションへのアクセスができなくなった。ユーザーは電話やメールも使用できなかった。 |
被害額 | 不明(予想:数十万ポンドから数百万ポンド) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-03 11:41:00
被害状況
事件発生日 | 2023年3月26日 |
被害者名 | Western Digital |
被害サマリ | Western Digitalのシステムに不正アクセス。脅威アクターによって特定のデータが取得された可能性があり、一部のクラウドおよび認証サービス、電子メール、プッシュ通知サービスなどがオフラインになった。 |
被害額 | 不明(予想:数百万~数千万ドル) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不正アクセスによるネットワークセキュリティの侵害 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-03 11:25:00
脆弱性
CVE | なし |
影響を受ける製品 | OpenAI ChatGPT |
脆弱性サマリ | データ保護に関する問題により、イタリアの規制当局がChatGPTサービスの使用を禁止する。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
ChatGPTは、データ保護に関する問題があるとしてイタリアのデータ保護当局によって一時的に使用禁止とされた。当局は、Open AIが個人データを違法に収集および処理している可能性があると懸念している。ChatGPTは、GPT-4という最新の大規模言語モデルを訓練するために何を使用し、どのように訓練されたかを開示していないとされる。また、未成年者が不適切な応答にさらされる可能性があること、ChatGPTが独自に開発したメッセージや支払い関連情報のデータ侵害を発生させたことが懸念されている。OpenAIは、イタリアのIPアドレスを持つユーザーに対して制限を設け、規制当局がOpenAIの処置を認めなかった場合は最高2000万ユーロの罰金を科せられる。ChatGPTは中国、イラン、北朝鮮、ロシアでも禁止されている。
vulnerability
2023-04-03 11:20:00
記事タイトル:
"It's The Service Accounts, Stupid": Why Do PAM Deployments Take (almost) Forever To Complete?
脆弱性:
なし
影響を受ける製品:
Privileged Access Management (PAM) solutions
脆弱性サマリ:
PAMの展開には長期間がかかることがほとんどであり、その理由は、サービスアカウントをバルトにプロテクトすることがほとんど不可能であるということである。更に、サービスアカウントの活動を特定することが困難であり、これがPAMの展開を妨げる大きな壁となっている。
重大度:
なし
RCE:
なし
攻撃観測:
なし
PoC公開:
なし vulnerability
2023-04-03 10:37:15
被害状況
事件発生日 | 2023年3月26日 |
被害者名 | Western Digital |
被害サマリ | Western Digitalのネットワークが侵害され、不正な第三者が多数のシステムにアクセスを得た。この事件が原因で、同社のクラウドストレージサービスであるMy Cloudサービスが長時間ダウンした。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
脆弱性
CVE | なし |
影響を受ける製品 | Western Digital ネットワークおよびMy Cloud サービス |
脆弱性サマリ | Western Digitalのネットワークが侵害され、データが不正アクセスされた。 |
重大度 | 不明 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
西デジタル(Western Digital)のネットワークが侵害され、不正アクセスされた。ユーザーがクラウドホストされたメディアファイルにアクセスできない状況が発生している。My Cloudサービスのステータスページでは、この問題がMy Cloud、My Cloud Home、My Cloud Home Duo、 My Cloud OS5、SanDisk ibi、SanDisk Ixpand Wireless Chargerなどの製品に影響を与えていると説明されている。不正なアクセスによりデータが入手されたと考えられ、事件の根本原因を解明するために抜本的な調査が進められている。
incident
2023-04-03 09:20:00
被害状況
事件発生日 | 2022年の後半期以降 |
被害者名 | 不明 |
被害サマリ | 新しい情報窃盗マルウェアのOpcJackerが、悪意のある広告キャンペーンの一環としてワイルドで確認されました。OpcJackerは、キーロギング、スクリーンショットの取得、ブラウザから機密情報の盗難、追加モジュールのロード、そしてクリップボードの暗号通貨アドレスの置換を行うことができます。 |
被害額 | 不明(予想:情報漏えいによる被害がありますが、金銭的な被害額は不明) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 悪意のある広告キャンペーンを通じたマルウェアの配布 |
マルウェア | OpcJacker、NetSupport RAT、hVNC |
脆弱性 | 不明 |
incident
2023-04-02 17:36:12
被害状況
事件発生日 | 2023年3月28日 |
被害者名 | アジアの航空会社(名前非公開) |
被害サマリ | Money Messageという新しいランサムウェアグループによって攻撃を受け、データ漏えいやデクリプタの公開を防ぐために数百万ドルを要求された。犯罪者は、航空会社からファイルを盗み、侵害の証拠としてアクセスされたファイルシステムのスクリーンショットを含めている。 |
被害額 | 数百万ドル(具体的な金額は不明) |
攻撃者
攻撃者名 | Money Message |
攻撃手法サマリ | ランサムウェア |
マルウェア | Money Messageのファイル暗号化ツール |
脆弱性 | 不明 |
incident
2023-04-01 15:59:04
被害状況
事件発生日 | 不明(2023年3月16日から) |
被害者名 | 複数の不特定の米国企業 |
被害サマリ | 偽のランサムウェアグループがデータを盗んだと脅迫し、金銭を要求。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | Midnight Group |
攻撃手法サマリ | 偽のランサムウェアグループとして、データを盗んだと脅迫する攻撃。 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-04-01 10:39:00
被害状況
事件発生日 | 2023年2月22日から27日の間 |
被害者名 | Dish Network |
被害サマリ | ランサムウェアのサイバー攻撃で、Dish Networkは複数日にわたり「ネットワーク・アウトレージ」を起こした。不正アクセスによって顧客の個人情報が攻撃者に露出した可能性がある。 |
被害額 | 不明(予想:未発表) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ランサムウェアのサイバー攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-04-01 08:33:00
被害状況
事件発生日 | 2022年1月または2月 |
被害者名 | Bing.comのユーザーなど |
被害サマリ | Azure Active Directory (AAD)の誤った構成により、高影響力の複数のアプリが不正アクセスの危険に曝された。中には、Bing.comの検索結果の変更や高影響力のXSS攻撃を起こすことができるCMSアプリが含まれており、ユーザーの個人情報やOutlookのメールやSharePointの文書情報を漏洩する可能性がある。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Azureアプリの「Shared Responsibility confusion」という誤構成が原因で、Microsoftテナント内から外部ユーザーへの意図しないアクセスに繋がるという手法を使用したと考えられる。 |
マルウェア | なし |
脆弱性 | Azureアプリの「Shared Responsibility confusion」という誤構成 |
脆弱性
CVE | なし |
影響を受ける製品 | Azure Active Directory |
脆弱性サマリ | Azure Active Directoryにおける設定ミスにより、悪意のあるユーザによる認証を回避して機密情報へのアクセスが可能になる |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |
Microsoft Azure Active Directoryにおける設定ミスのため、高影響アプリケーションが不正なアクセスにさらされ機密情報が漏えいする脆弱性が発見された。影響を受けたアプリケーションはBing.comやMicrosoft Office 365などであった。この脆弱性はWizによって2022年1月および2月に報告され、Microsoftによって修正が行われた。また、Wizには4万ドルのバグバウンティが支払われた。脆弱性が悪用された証拠はないとされている。
vulnerability
2023-04-01 04:51:00
被害状況
事件発生日 | 2023年4月1日 |
被害者名 | 不明 |
被害サマリ | Cacti、Realtek、およびIBM Aspera Faspexに深刻なセキュリティの脆弱性があり、未パッチのシステムが標的となるハッキング攻撃で悪用されています。この攻撃により、MooBot、ShellBot(別名PerlBot)など、さまざまなボットネットが配信され、情報漏洩などの被害が発生しています。 |
被害額 | 不明(予想:被害額は発生していない) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | CVE-2022-46169(CVSSスコア:9.8)およびCVE-2021-35394(CVSSスコア:9.8) による認証バイパスおよび任意のコード実行を利用した攻撃が報告されています。 |
マルウェア | MooBot、ShellBot、Mirai、Gafgyt、Mozi、RedGoBotなどのボットネットなど、複数マルウェアによって攻撃が行われています。 |
脆弱性 | CactiおよびRealtek Jungle SDKにある認証バイパス、任意のコマンド実行脆弱性。IBM Aspera Faspexには、クリティカルなYAML逆シリアル化の問題が存在しています。 |
脆弱性
CVE | CVE-2022-46169、CVE-2021-35394、CVE-2022-47986 |
影響を受ける製品 | Cacti、Realtek、IBM Aspera Faspex |
脆弱性サマリ | CVE-2022-46169は認証バイパスおよびコマンドインジェクションの脆弱性であり、Cactiサーバーにおいて認証されていないユーザーによる任意のコード実行を許可します。CVE-2021-35394は、2021年に修正されたRealtek Jungle SDKに影響を与える任意のコマンドインジェクションの脆弱性に関するものであり、CVE-2022-47986は、IBMのAspera Faspexファイル交換アプリケーションにおける重大なYAML逆シリアル化の問題です。 |
重大度 | 9.8 |
RCE | なし |
攻撃観測 | 有 |
PoC公開 | 有 |
脆弱性により、影響を受ける製品であるCacti、Realtek、およびIBM Aspera Faspexのシステムがハッキングの対象になっています。これにより、MooBotおよびShellBotが展開され、Fortinetによると、CVE-2022-46169およびCVE-2021-35394が悪用されます。CVE-2022-46169は、Cactiサーバーにおける重大な(9.8の)認証バイパスとコマンドインジェクションの脆弱性であり、CVE-2021-35394は、2021年に修正されたRealtek Jungle SDKに影響を与える任意のコマンドインジェクションの脆弱性に関するものであります。 CVE-2022-47986は、IBMのAspera Faspexファイル交換アプリケーションにおける重大なYAML逆シリアル化の問題であり、これは、ランサムウェアキャンペーンに関連するBuhtiおよびIceFireによって悪用されています。
vulnerability
2023-04-01 04:36:00
脆弱性
CVE | なし |
影響を受ける製品 | Elementor Pro |
脆弱性サマリ | WordPressのElementorProが脆弱性。認証済み攻撃者による完全なWordPressサイトの乗っ取りが可能。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 有 |
PoC公開 | 不明 |
CVE番号はなく、WordPressのElementor Proプラグインのバージョン3.11.6までのバージョンで、未承認の攻撃者に認証を与える脆弱性が存在する。攻撃者は、WooCommerceが有効なそれらのWordPressサイトを完全に乗っ取ることができる。この脆弱性は2023年3月22日にリリースされたバージョン3.11.7で修正された。元の情報提供者はJerome Bruandetである。影響を受ける製品はElementor Proであり、推定1200万のサイトで使用されるとされている。
other
2023-03-31 20:02:17
1. Twitterは、 For Youタイムラインのコンテンツを選択するプラットフォームに使用する推奨アルゴリズムのコードをオープンソース化している。
2. 公開されたコードには、広告推奨の背後にあるパーツや、脅威アクターがプラットフォームを操作する試みを探知するために必要なコードなどは含まれていない。
3. Twitterはアルゴリズムの推奨と機械学習(ML)モデルの一部のソースコードを含む2つの別々のGitHubリポジトリを公開した。
4. コードの公開は、最高度の透明性を目指すと同時に、ユーザーの安全とプライバシーを保護するためにも行われた。
5. TwitterのCEO、イーロン・マスクも以前にTwitterアルゴリズムの公開を約束していた。
vulnerability
2023-03-31 19:23:08
脆弱性
CVE | CVE-2022-26134, CVE-2018-13379, Log4Shell, CVE-2021-40438, ProxyLogon, HeartBleed |
影響を受ける製品 | Microsoft Windows, Adobe Flash Player, Internet Explorer, Google Chrome, Microsoft Office, Win32k, Atlassian Confluence Server, Data Center, and FortiOS devices |
脆弱性サマリ | CISAのKEV (known exploitable vulnerabilities) catalog にある脆弱性が約15,000,000のpublic-facing servicesに存在し、特にMicrosoft Windowsに関連するものは7,000,000件以上ある。 |
重大度 | CVEによって異なる |
RCE | あり (CVE-2018-13379, Log4Shell) |
攻撃観測 | あり |
PoC公開 | 不明 |
※ KEV: Known Exploitable Vulnerabilities
incident
2023-03-31 15:52:33
被害状況
事件発生日 | 2023年3月31日 |
被害者名 | 11,000,000以上のElementor Pro WordPressプラグインを使用するウェブサイト |
被害サマリ | WordPressプラグイン「Elementor Pro」に高度な脆弱性が存在し、11,000,000以上のウェブサイトに影響を与えた。脆弱性により、認証されたユーザーがウェブサイトの設定を変更したり、サイト全体を乗っ取ることが可能になってしまった。 |
被害額 | 不明(予想:数百万ドル~数億ドル程度) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | WordPressプラグイン「Elementor Pro」のウェブサイトに対する攻撃 |
マルウェア | 不明 |
脆弱性 | 脆弱性は Elementor Pro v3.11.6 およびそれ以前のバージョンに存在しており、開発者はバグ修正のアップデートを提供している。 |
incident
2023-03-31 14:38:23
被害状況
事件発生日 | 不明 |
被害者名 | VoIP通信企業3CX |
被害サマリ | 3CXのWindowsデスクトップアプリケーションを利用するユーザーに対して、悪意のあるDLLファイルをダウンロードさせる攻撃が行われた。攻撃者によってWindowsに埋め込まれたマルウェアによって、情報を窃取される可能性がある。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Windowsに埋め込まれたマルウェアが、正当に署名されたD3dcompiler_47.dllファイルを改変し、攻撃を行った。 |
マルウェア | 情報を窃取するトロイの木馬等、複数のマルウェアが使用された。 |
脆弱性 | CVE-2013-3900、WinVerifyTrust Signature Validation Vulnerability |
incident
2023-03-31 14:18:32
被害状況
事件発生日 | 2022年12月初頭 |
被害者名 | TMX Finance, TitleMax, TitleBucks, InstaLoanの顧客4,822,580人 |
被害サマリ | 人名、生年月日、パスポート番号、運転免許証番号、政府発行の証明書番号、納税者番号、社会保障番号、金融口座情報、電話番号、住所、メールアドレスが漏洩した。 |
被害額 | 不明(予想:数億円~数十億円) |
攻撃者
攻撃者名 | 不明(国籍や特徴なし) |
攻撃手法サマリ | 不正なアクティビティを検知 |
マルウェア | 不使用 |
脆弱性 | 不明 |
incident
2023-03-31 14:07:00
被害状況
事件発生日 | 不明(最低でも2022年2月から実施) |
被害者名 | 欧州の政府機関のメールアカウントユーザー |
被害サマリ | Winter Vivernと呼ばれるAPTが公開されているZimbraの脆弱性を利用して、政府機関の公開ウェブメールポータルのメールボックスにアクセスしている。 |
被害額 | 不明(予想:機密情報漏えいによる被害) |
攻撃者
攻撃者名 | Winter Vivernと呼ばれるAPT(ロシアとベラルーシの政治的目的と一致している) |
攻撃手法サマリ | Zimbraの公開脆弱性を利用して、政府機関向けのフィッシングメールを送信し、クロスサイトスクリプティング(XSS)脆弱性を悪用するJavaScript payloadsを使用して、Webメールポータルからユーザー名、パスワード、アクセストークンの盗難を実行している。 |
マルウェア | 不明 |
脆弱性 | Zimbra CollaborationのCVE-2022-27926 (CVSSスコア:6.1) |
incident
2023-03-31 12:01:00
被害状況
事件発生日 | 2023年3月31日 |
被害者名 | 欧州の不特定多数のユーザー |
被害サマリ | フィッシングサイトを使用した不正な購入により、オンラインポータルで割引価格の商品が提供され、1,000人以上が被害に遭い、攻撃者達は約433万ドルの不正な利益を得た。 |
被害額 | 約433万ドル |
攻撃者
攻撃者名 | 不明、チェコとウクライナの組織の関与あり |
攻撃手法サマリ | フィッシングサイトを使用した詐欺 |
マルウェア | 情報なし |
脆弱性 | 情報なし |
other
2023-03-31 11:47:00
1. The Hacker News is a trusted cybersecurity news platform with 3.45+ million followers on social media.
2. The SANS Institute is hosting a webinar on the 6 steps of a complete incident response plan, including preparation, identification, containment, eradication, recovery, and lessons learned.
3. Cynet Incident Response Services offers a unique combination of Cynet's security experience and proprietary technology for fast and accurate incident response.
4. Lean security teams can incorporate best practices into their incident response strategy by utilizing available resources, such as Cynet Incident Response Services.
5. The Hacker News provides breaking news, cybersecurity resources, certification courses, and daily doses of cybersecurity news, insights, and tips for professionals to stay informed.
incident
2023-03-31 09:37:00
被害状況
事件発生日 | 2023年3月31日 |
被害者名 | 3CX |
被害サマリ | 3CXのWindowsおよびmacOS向けのデスクトップアプリにサプライチェーン攻撃が行われ、ユーザーの情報が漏洩した可能性がある。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 北朝鮮関連の国家支援型サイバー攻撃組織、ラビリンス・チョリマ(別名:ニッケル・アカデミー) |
攻撃手法サマリ | サプライチェーン攻撃。3CXのWindowsバージョンでは、DLLサイドローディング技術を利用して、偽のffmpeg.dllをロードし情報収集マルウェア「ICONICスティーラー(またはSUDDENICON)」を介してユーザーの情報漏えいが行われた。マッキンゼーによると、初期の攻撃段階は2022年2月から始まっていた。 |
マルウェア | ffmpeg.dll、ICONICスティーラー、ArcfeedLoader |
脆弱性 | 不明。3CXはGoogle傘下のMandiant社に調査を依頼した。 |
incident
2023-03-30 21:56:28
被害状況
事件発生日 | 不明 (2022年2月から2023年3月末まで) |
被害者名 | 北大西洋条約機構(NATO)の官僚・政府関係者・軍関係者・外交員ら |
被害サマリ | Russian hacking group tracked as TA473, aka 'Winter Vivern,'が、未パッチのZimbraエンドポイントに存在する脆弱性(CVE-2022-27926)を利用して、2022年2月から2023年3月末までの期間、ヨーロッパの公的機関に擬態したサイトを通じてマルウェアを拡散させるとともに、フィッシングメールを送信。被害者がフィッシングメール内のリンクをクリックすることにより、悪意のあるJavaScriptコードを注入し、ユーザー名、パスワード、トークンなどを抜き取って、被害者のメールアカウントにアクセスした。 |
被害額 | 不明 |
攻撃者
攻撃者名 | TA473 (通称: Winter Vivern)と呼ばれるロシアのハッカーグループ |
攻撃手法サマリ | Zimbra Collaboration serversに存在した脆弱性(CVE-2022-27926)を利用して、フィッシングメールを送信し、被害者がそのリンクをクリックすることでJavaScriptコードを注入し、ユーザー名、パスワード、トークンを抜き取って、被害者のメールアカウントにアクセスした。 |
マルウェア | 不明 |
脆弱性 | CVE-2022-27926 |
vulnerability
2023-03-30 21:40:13
脆弱性
CVE | なし |
影響を受ける製品 | Microsoft OneNote |
脆弱性サマリ | OneNoteは、現在のフィッシング攻撃の中で使用されている悪意のあるファイルをブロックするようにアップデートされるため、ユーザーはファイルを開くことができなくなる。ブロックされるファイルの一覧には120の危険なファイル拡張子が含まれている。 |
重大度 | なし |
RCE | 無 |
攻撃観測 | あり |
PoC公開 | なし |
Microsoft OneNoteにおいて、悪意のあるファイルをブロックするセキュリティ強化がアップデートされることが発表された。これにより、ユーザーは危険なファイル拡張子が含まれたファイルを開くことができなくなる。ブロックされるファイル拡張子は120種類である。
incident
2023-03-30 20:29:57
被害状況
事件発生日 | 2023年3月30日 |
被害者名 | 1,000人以上(フランス、スペイン、ポーランド、チェコ共和国、ポルトガル、その他のヨーロッパ諸国) |
被害サマリ | 犯罪グループが100以上の偽の「フィッシング」サイトを作成し、市場価格を下回る価格の商品で顧客を誘惑し、注文には実際には対応せず、顧客が偽のサイトに入力したクレジットカードの詳細情報を盗みました。 |
被害額 | 約430万米ドル(約4.7億円) |
攻撃者
攻撃者名 | 不明。ウクライナの警察は、他の10人のメンバーがヨーロッパの他の国で拘束されて尋問されていると発表しています。 |
攻撃手法サマリ | フィッシングサイトに誘惑し、クレジットカードの詳細情報を盗むことで顧客から約430万米ドルを盗んだ。 |
マルウェア | 特定されていない |
脆弱性 | 特定されていない |
incident
2023-03-30 19:52:33
被害状況
事件発生日 | 不明 |
被害者名 | Federal Civilian Executive Branch Agencies (FCEB) |
被害サマリ | 複数のゼロデイ脆弱性を悪用された高度にターゲットされた攻撃により、商用スパイウェアがモバイルデバイスにインストールされた可能性がある。アマネスティ・インターナショナルのセキュリティラボが発表した所見によると、Googleタグによって発見されたこの攻撃では、iOSおよびAndroidデバイスに対して別々のエクスプロイトチェーンが使用された。また、Samsung Internetブラウザバージョンを最新に更新したSamsung Android搭載の端末に対しては、複雑なマルチ0デイおよびnデイのエクスプロイトチェーンが使用され、Androind向けのスパイウェアスイートが送信された。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | ゼロデイ脆弱性を利用した高度にターゲットされた攻撃 |
マルウェア | 商用スパイウェア |
脆弱性 | CVE-2021-30900、CVE-2022-38181、CVE-2023-0266、CVE-2022-3038、CVE-2022-22706 |
vulnerability
2023-03-30 17:02:00
脆弱性
CVE | CVE-2023-23383 |
影響を受ける製品 | Azure Service Fabric Explorer version 9.1.1436.9590 およびそれ以前のバージョン |
脆弱性サマリ | Azure Service Fabric Explorerにおいて、認証なしでリモートコード実行が可能となる「Super FabriXss」と呼ばれるXSS脆弱性。CVSSスコアは8.2。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 有 |
PoC公開 | 不明 |
「Super FabriXss」と名付けられたこの脆弱性では、XSS(クロスサイトスクリプティング)脆弱性を利用することで、認証を必要とせずにService Fabricノード上のコンテナでリモートコード実行を可能とすることができる。影響を受ける製品はAzure Service Fabric Explorer version 9.1.1436.9590 およびそれ以前のバージョンである。Microsoftは2023年3月のパッチの一環として、この脆弱性を修正した。
incident
2023-03-30 15:58:00
被害状況
事件発生日 | 不明 |
被害者名 | 複数の米国州政府とスリランカ政府 |
被害サマリ | 中国の国家主導のサイバー攻撃グループ、RedGolfが、カスタムWindowsおよびLinuxバックドアであるKEYPLUGを使用して、2021年5月から2022年2月にかけて複数の米国州政府ネットワークと2022年8月にスリランカの政府機関を攻撃した。 |
被害額 | 不明(予想:情報漏洩等による被害も含め不明) |
攻撃者
攻撃者名 | 中国の国家主導のサイバー攻撃グループ、RedGolf |
攻撃手法サマリ | 外部に公開されている関連システム(VPN、ファイアウォール、メールサーバなど)の脆弱性を素早く武器化してアクセスを得る、カスタムマルウェアファミリーの使用、そして攻撃者の活動が発見されるたびに新たな攻撃手法を開発する。 |
マルウェア | Winnti、DBoxAgent、Cobalt Strike、PlugX |
脆弱性 | Log4Shell、ProxyLogon |
vulnerability
2023-03-30 12:21:00
脆弱性
CVE | なし |
影響を受ける製品 | Linux、FreeBSD、Android、iOSを実行しているあらゆるデバイス |
脆弱性サマリ | IEEE 802.11 Wi-Fiプロトコルの基本的な設計上の欠陥。悪用することでTCP接続を乗っ取ったり、クライアントとWebトラフィックを傍受することが可能。 |
重大度 | 不明 |
RCE | なし |
攻撃観測 | 不明 |
PoC公開 | 不明 |
脆弱性の概要: IEEE 802.11 Wi-Fiプロトコルに基本的な設計上の欠陥があり、認証方法とパケットのルーティング方法が関係していないことを悪用して、TCP接続の乗っ取りやWebトラフィックの傍受が可能。Linux、FreeBSD、Android、iOSを実行しているあらゆるデバイスに影響を与える。具体的には、エンドポイントデバイスの省電力メカニズムを悪用して、アクセスポイントが平文でデータフレームをリークするように誘導したり、すべてがゼロの暗号化キーを使用して暗号化させたりすることができる。Ciscoは、同社の無線アクセスポイント製品とワイヤレス機能を備えたCisco Meraki製品において、攻撃が成功する可能性があることを認めた。
other
2023-03-30 11:17:00
1.「The Hacker News」は、3.45百万人以上のフォロワーによってフォローされている、信頼できるサイバーセキュリティニュースプラットフォームです。
2.「Multi-cloud by design」とその仲間の「supercloud」は、複数のクラウドシステムが協力して、多くの組織的利益を提供するエコシステムです。
3.「Cyberstorage」は、高性能セキュリティと容易にアクセス可能なストレージを融合させた技術であり、マルチクラウドを利用してデータの安全性が確保されます。
4.「Data harbour」を採用した「Cyberstorage」は、攻撃者にフラグメントのデータのみを提供し、完全な使用可能なデータセットを提供しません。
5. 2023年までに、企業がデータストレージレイヤーに直接対策技術を導入し始めることから、Cyberstorage市場は6倍になると予測されています。
incident
2023-03-30 10:08:00
被害状況
事件発生日 | [不明、記事に記載なし] |
被害者名 | [不明、記事に記載なし] |
被害サマリ | 「AlienFox」というマルウェアによってAWS、Google、MicrosoftのクラウドサービスからAPIキーやシークレットが漏洩された。攻撃者は総じて不明だが、脆弱なクラウドサービスを攻撃し、得られた情報を元に追加攻撃を行っている。 |
被害額 | 不明(予想:被害の具体的な金額に関する情報がないため、不明とする) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | マルウェア「AlienFox」によるクラウドサービスへの侵入、APIキーやシークレットの窃取 |
マルウェア | AlienFox, AndroxGh0st, GreenBot |
脆弱性 | 不明 |
incident
2023-03-30 06:31:00
被害状況
事件発生日 | 2023年3月22日頃 |
被害者名 | 3CX(3CXDesktopAppを利用していた顧客) |
被害サマリ | Supply Chain Attackにより、3CXのデスクトップアプリが改変され、約600,000人の顧客と12百万人のユーザーが情報漏洩やランサムウェアにさらされた。 |
被害額 | 不明(予想:数千万円以上) |
攻撃者
攻撃者名 | 北朝鮮の国家主導グループ「ラビリンス・チョリマ」(別名Nickel Academy) |
攻撃手法サマリ | Supply Chain Attack:3CXDesktopApp用のインストーラを改変。DLL Side-Loading攻撃を使ってインストールすると、外部サーバーからリモートアクセスツールや情報スチールウェアがダウンロードされる。また、デジタル署名を利用していたことが明らかになった。 |
マルウェア | ffmpeg.dll、infostealer DLL、MacOS版のものはlibffmpeg.dylib |
脆弱性 | 不明 |
vulnerability
2023-03-29 13:52:00
被害状況
事件発生日 | 2022年11月および2022年12月 |
被害者名 | イタリア、マレーシア、カザフスタン、U.A.E.にある不特定の複数のユーザー |
被害サマリ | 商用スパイウェアベンダーが、未修正の脆弱性を悪用してAndroidおよびiOSデバイスに対して高度かつ限定的なサイバースパイ攻撃を行い、ターゲットに対して監視ツールをインストールした。 |
被害額 | 不明(予想:数百万ドル規模) |
攻撃者
攻撃者名 | 商用スパイウェアベンダー |
攻撃手法サマリ | 未修正の脆弱性を悪用した高度かつ限定的なサイバースパイ攻撃 |
マルウェア | 不明 |
脆弱性 | CVE-2022-42856、CVE-2021-30900、ポインタ認証コードバイパス、CVE-2022-3723、CVE-2022-4135、CVE-2022-38181、CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266、CVE-2023-26083 |
脆弱性:
CVE | CVE-2022-42856, CVE-2021-30900, CVE-2022-3723, CVE-2022-4135, CVE-2022-38181, CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266, CVE-2023-26083 |
影響を受ける製品 | AndroidとiOSデバイス |
脆弱性サマリ | 商用スパイウェア業者によって利用される0デイ脆弱性が二つのキャンペーンで悪用されています。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | あり |
PoC公開 | 不明 |
incident
2023-03-29 12:01:00
被害状況
事件発生日 | 2022年初 |
被害者名 | Linuxサーバー |
被害サマリ | 中国の国家指向ハッカーグループによる攻撃で、Méloféeマルウェアを使用していた。攻撃では、Linuxサーバーがターゲットとなっており、カーネルモードのルートキットを利用して、サーバーの側にインストールし、リモートサーバーからの命令実行やファイル操作などが可能となっていた。被害にあったサーバーの数は不明。 |
被害額 | 不明(予想:数億円) |
攻撃者
攻撃者名 | 中国の国家指向ハッカーグループ(具体的なグループ名は不明) |
攻撃手法サマリ | Linuxサーバーをターゲットに、Méloféeマルウェアを使用して攻撃。カーネルモードのルートキットをインストールし、リモートサーバーからの命令実行やファイル操作などが可能となっていた。 |
マルウェア | Mélofée |
脆弱性 | 不明 |
vulnerability
2023-03-29 11:43:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | この記事はマルウェア解析の方法および研究所の構築方法についての教育的情報を提供しており、具体的な被害報告は含まれていない。 |
被害額 | 不明 |
攻撃者
攻撃者名 | 不明。記事はマルウェア解析についての教育的情報を提供しており、具体的な攻撃事例や攻撃者の情報については言及されていない。 |
攻撃手法サマリ | 記事はマルウェア解析についての教育的情報を提供しており、具体的な攻撃手法のサマリには言及されていない。 |
マルウェア | 記事はマルウェア解析についての教育的情報を提供しており、具体的なマルウェア名については言及されている(IDA Pro、Ghidra、Hex-Raysなど)。 |
脆弱性 | 記事はマルウェア解析についての教育的情報を提供しており、具体的な脆弱性については言及されていない。 |
この記事は「リバースエンジニアリングのための研究ラボの作り方」というテーマで書かれています。マルウェア解析は、セキュリティリサーチャーの重要な仕事の一部であり、専用の環境が必要です。この記事では、4つの方法を紹介しています。1つ目は、VirtualBoxやVMWareなどの仮想環境です。2つ目は、古いラップトップやPCを再利用することです。3つ目は、クラウドラボを作成することです。4つ目は、Sandbox-as-a-Serviceを使用することです。また、リバースエンジニアリングに必要なツールについても説明しています。例えば、逆アセンブラやデコンパイラなどです。記事の最後では、選択肢に依存するとはいえ、私たちは予測しやすく、コスト、セキュリティ、耐久性などを考慮していくつかの提言を行っています。
vulnerability
2023-03-29 11:43:00
脆弱性
影響を受ける業界 | 自動車産業 |
脆弱性による被害 | サービス停止、詐欺行為、信頼問題、収益損失など |
脆弱性の種類 | APIに関するもの |
攻撃者の動機 | 悪意あるものが多く、通信機器さえあれば多数の車両を攻撃できることから、敷居が低いため |
攻撃形態 | APIベースの攻撃が増加しており、2022年にはAPIによるインシデントが全体の12%を占めた。APIベースの攻撃は、悪意のあるリクエストを送信することにより、サービスを狙った攻撃が容易に行える。 |
重大度 | [高|中|低|なし|不明] |
CVE番号 | なし |
PoC公開 | 不明 |
日付
Mar 29, 2023
タイトル
Smart Mobility has a Blindspot When it Comes to API Security
記事概要
スマートモビリティが台頭するにつれ、自動車産業でAPI(アプリケーションプログラムインターフェース)の使用が増加しており、これらAPIは攻撃の主要手段の一つになっている。攻撃者はAPIを利用して悪意あるリクエストを送り、サービス停止や詐欺行為などの被害が増加している。APIセキュリティソリューションの不足により、攻撃者は容易に脆弱性を突くことができ、サービスが停止した場合、多数の車両に影響を及ぼす。自動車産業においてAPIベースのインシデント数は2022年に前年比380%増加し、APIの脆弱性は深刻な問題となっている。
incident
2023-03-29 09:17:00
被害状況
事件発生日 | 2022年9月以降 |
被害者名 | ロシア・東欧のTOR利用者 |
被害サマリ | TORブラウザの改ざんインストーラが送信先アドレスを偽装し、仮想通貨の盗難を行うマルウェアが送り込まれていた |
被害額 | 約40万ドル |
攻撃者
攻撃者名 | 不明、配信元も不明 |
攻撃手法サマリ | TORブラウザの改ざんインストーラを利用し、送信先アドレスを偽装したクリッパーマルウェアによる仮想通貨の盗難 |
マルウェア | Clipper Malware |
脆弱性 | 不明 |
incident
2023-03-29 05:32:00
被害状況
事件発生日 | 2018年以降 |
被害者名 | 韓国、アメリカ、日本、およびヨーロッパの政府、教育、研究、政策機関、ビジネスサービス、製造セクターなど |
被害サマリ | 北朝鮮のAPT43が、自国の政治的利益に合わせた機密情報を収集するため、資格情報収集やソーシャルエンジニアリングなどの手法を使用して攻撃を行っている。また、この攻撃は資金調達のためにも利用されている。被害の範囲は広く、2020年10月から2021年10月には医療関連の業界や製薬会社も標的となった。 |
被害額 | 不明(予想) |
攻撃者
攻撃者名 | 北朝鮮のAPT43 |
攻撃手法サマリ | 偽のペルソナを利用したスピアフィッシングと資格情報収集攻撃。そして、攻撃に使用するインフラの資金調達に暗号通貨を利用する。 |
マルウェア | LATEOP(aka BabyShark)、FastFire、gh0st RAT、Quasar RAT、Amadey、PENCILDOWNなどが使用された。 |
脆弱性 | 不明 |
other
2023-03-28 18:08:00
1. MicrosoftはGPT-4 AIを搭載したセキュリティCopilotツールを発表した。
2. このツールは、Microsoft Sentinel、Defender、Intuneなどの製品から得た情報を収集し、鋭敏な脅威を素早く特定し、リスクを評価するためにセキュリティアナリストが使用できる。
3. Security Copilotは、65以上の情報源から情報を収集するツールであり、ユーザーは特定の時間枠内の不審なユーザーログインについて問い合わせることができる他、ファイル、URL、コードスニペットの分析も可能。
4. このツールは、MicrosoftがAI機能をソフトウェアに組み込んでいることを示しており、過去2ヶ月間にBing、Edgeブラウザ、GitHub、LinkedIn、Skype、Microsoft 365 Copilotにも統合されている。
5. Security Copilotのプライバシーにも配慮されており、ユーザーデータがファウンデーションAIモデルに使用されることはない。
incident
2023-03-28 12:31:00
被害状況
事件発生日 | 2023年3月28日 |
被害者名 | インド国防省の研究開発部門であるDRDO |
被害サマリ | サイバー攻撃グループがDRDOを標的にしたフィッシング攻撃を実施し、Action RATウイルスを広めた。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | Pakistan-Origin SideCopy |
攻撃手法サマリ | フィッシング攻撃によるAction RATウイルスの広げ方。 |
マルウェア | Action RAT, AuTo Stealer |
脆弱性 | 不明 |
incident
2023-03-28 12:08:00
被害状況
事件発生日 | 2023年2月 |
被害者名 | 不特定 |
被害サマリ | ランサムウェアの配信先に悪用されたIcedIDマルウェアの新しいバージョンが複数の攻撃者によって使用されている。 |
被害額 | 不明(予想:数十万米ドル~数百万米ドルの範囲) |
攻撃者
攻撃者名 | 不明、可能な国籍としては全世界 |
攻撃手法サマリ | IcedIDマルウェアの新しいバージョンを使用してランサムウェアを配信。 |
マルウェア | IcedID(BokBot)、Forked IcedID |
脆弱性 | 不明 |
vulnerability
2023-03-28 11:54:00
記事タイトル:Breaking the Mold: Pen Testing Solutions That Challenge the Status Quo
- ペンテストによる脆弱性検出とアプリケーションセキュリティ向上
- 悪意のある攻撃者は、AI、クラウド技術、ランサムウェア、フィッシング、IoT攻撃、ビジネス妨害など、いくつかの新興脅威を利用して攻撃を自動化している
- ペンテストは、SQLインジェクションの防止や、脆弱性検出などの役割がある。
- ペンテストの欠点は、時間とコストがかかることであり、常に実施できるわけではない。
- ペンテスト-as-a-Service (PTaaS)は、自動化されたスキャンによる脆弱性の検出と、クラウドベースのサービスによる継続的な監視により、新興脅威に対する保護を提供する。
脆弱性
CVE | なし |
影響を受ける製品 | なし |
脆弱性サマリ | ペンテストによる脆弱性検出とアプリケーションセキュリティ向上 |
重大度 | なし |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
incident
2023-03-28 09:53:00
被害状況
事件発生日 | 2023年3月28日 |
被害者名 | 不明 |
被害サマリ | DBatLoaderというマルウェアローダーによって、Remcos RATおよびFormbookがヨーロッパの企業に配信された。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明(攻撃者の国籍や特徴は不明) |
攻撃手法サマリ | DBatLoaderというマルウェアローダーを使用し、WordPressの無害SSL認証済みウェブサイトを通じて配信した。 |
マルウェア | DBatLoader、ModiLoader、およびNatsoLoader |
脆弱性 | 不明 |
other
2023-03-28 08:55:00
1. アメリカのバイデン大統領が商業スパイウェアの使用を制限する行政命令に署名した。
2. 政府機関が商業スパイウェアの利用に関して一定の基準を設けた。
3. 商業スパイウェアに関して政府に供給することを禁じた人々など、スパイウェアに関係する脅威を列挙した基準を設定。
4. 商業スパイウェアは、アメリカ政府職員にとってカウンタースパイ活動とナショナルセキュリティのリスクを構成している。
5. これは、インターナショナルな協力を深め、監視技術の責任ある利用、その技術の拡散と誤用、産業改革を促進するためのものである。
incident
2023-03-28 03:41:00
被害状況
事件発生日 | 2023年3月28日 |
被害者名 | 不明 |
被害サマリ | AppleのiPhoneおよびiPadの古いバージョンに、悪用されたセキュリティの欠陥が存在していたため、急いで修正された。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Webkitブラウザエンジンのタイプ混乱バグを利用 |
マルウェア | 不明 |
脆弱性 | Webkitブラウザエンジンのタイプ混乱バグ(CVE-2023-23529) |
incident
2023-03-27 15:18:00
被害状況
事件発生日 | 2023年3月15日 |
被害者名 | BreachForumsアカウントのユーザー全員 |
被害サマリ | BreachForumsの創設者である20歳のConor Brian Fitzpatrickが、他人が収集した個人情報を販売するためのサイトを生成し、「アクセスデバイスの詐欺の共謀罪」で告発された。彼は、ハッキングツール、個人を特定する情報、銀行口座情報、社会保障番号などの不正に入手された情報を交換するためにサイトを所有していた。米国捜査官たちは、Fitzpatrickが中間業者として機能して、5つのデータセットを売買したことを確認した。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者
攻撃者名 | Conor Brian Fitzpatrick(通称「pompompurin」) |
攻撃手法サマリ | 個人情報を収集して、それを販売するためにBreachForumsというサイトを作成 |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-03-27 10:56:00
脆弱性
CVE | なし |
影響を受ける製品 | SaaSアプリケーション |
脆弱性サマリ | 単一サインオン(SSO)だけでは、在庫されたSaaSアプリケーションを保護するのに十分ではない、5つの利用ケースを紹介 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
この記事は、SaaSアプリケーションのセキュリティにおいて、単一サインオン(SSO)だけでは保護するために十分でない5つの利用ケースを紹介している。SSOは単一のクレデンシャルで、複数のアプリケーションの認証を可能にする認証方法である。それにもかかわらず、SSOだけで在庫されるSaaSアプリケーションを保護するのに十分ではない。脅威アクターがSaaSアプリケーションにアクセスし、SaaSアプリケーションがITチームの知識や承認なしに搭載される場合を防止するために、組織は追加の手順を踏む必要がある。記事は、SSOが盲点である5つの利用ケースについて詳しく説明している。組織は、SSOのみでSaaSアプリケーションを保護するのではなく、SSOと連携して全体的なアクセス管理を可能にするSSPMソリューションを使用する必要があると指摘している。
incident
2023-03-27 10:38:00
被害状況
事件発生日 | 2023年3月27日 |
被害者名 | macOSユーザー |
被害サマリ | MacStealerと呼ばれるマルウェアが、macOS CatalinaおよびM1とM2 CPUを搭載したデバイスに対し、iCloudキーチェーンデータ、パスワード、クレジットカード情報などの個人情報を収集した。 |
被害額 | 不明(予想:数百万円程度) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | TelegramをC2プラットフォームとして使用して、アップルのSafariブラウザーやNotesアプリからデータを抽出するための情報窃取マルウェア |
マルウェア | MacStealer、HookSpoofer、Ducktail |
脆弱性 | 不明 |
vulnerability
2023-03-27 09:48:00
脆弱性
CVE | CVE-2023-28303 |
影響を受ける製品 | Windows 10(Snip & Sketchアプリ)、Windows 11(Snipping Tool) |
脆弱性サマリ | スクリーンショット編集ツールであるSnip & SketchアプリおよびSnipping Toolにおいて、編集されたスクリーンショットの一部が復元され、切り抜かれた機密情報が明らかになる可能性がある。 |
重大度 | 低(3.3) |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
補足:
- "aCropalypse" はこの脆弱性の愛称である。
- 続いて同様の問題がGoogle PixelのMarkupツールにも存在していることが明らかになった。これに対するCVE番号はCVE-2023-21036である。
incident
2023-03-25 08:52:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | 英国国家犯罪局(NCA)が偽のDDoS-for-hireサイトを設定して、オンライン犯罪の陰謀を阻止するために約数千人がこれらのサイトにアクセスした。 |
被害額 | 不明(予想:被害総額は計り知れないほど大きいとされている) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | DDoS-for-hireの違法プラットフォームを運営していると思われる犯罪者に対し、NCAが彼らのトラフィックを監視している |
マルウェア | 不明 |
脆弱性 | 不明 |
vulnerability
2023-03-25 06:13:00
脆弱性
CVE | CVE-2023-23397 |
影響を受ける製品 | Microsoft Outlook |
脆弱性サマリ | Outlookに存在する特定の電子メールを送信することで、NT Lan Manager(NTLM)ハッシュを盗み、リレーアタックを引き起こすことができる。 |
重大度 | 高(CVSSスコア: 9.8) |
RCE | 無 |
攻撃観測 | 有。ロシアの脅威アクターが、欧州の政府、交通、エネルギー、軍事部門を対象とした攻撃でこの脆弱性を悪用していた。 |
PoC公開 | 不明 |
概要: Microsoftは、Outlookの脆弱性に関連する侵害の指標(IoC)を発見するためのガイダンスを共有しました。CVE-2023-23397(CVSSスコア:9.8)は、特権エスカレーションの事例に関係し、ユーザーの関与を必要とせずにNTLMハッシュを盗むことができるOutlookの問題です。Microsoftは、このような攻撃により、ハッシュが盗まれ、別のサービスで認証されるために中継される可能性があると述べています。この脆弱性は2023年3月のパッチの構成に含まれていたが、ロシアの脅威アクターはそれを攻撃に使用する前に発見しました。
vulnerability
2023-03-25 05:51:00
被害状況
事件発生日 | 2023年3月20日 |
被害者名 | ChatGPTサービスの一部のユーザー |
被害サマリ | Redisライブラリのバグにより、他のユーザーの個人情報やチャットのタイトルなどの一部が表示された。また、1.2%のChatGPT Plusの購読者の支払い関連情報が漏洩した可能性がある。 |
被害額 | 不明(予想外) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | Redisライブラリのバグを悪用した |
マルウェア | 不明 |
脆弱性 | Redisライブラリのバグが原因 |
脆弱性
CVE | なし |
影響を受ける製品 | Redisオープンソースライブラリ |
脆弱性サマリ | ChatGPTサービスにおける他のユーザーの個人情報の漏洩。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
この脆弱性はOpenAIによって発見された。 Redisオープンソースライブラリのバグにより、他のユーザーの個人情報とチャットタイトルが漏えいした。問題はChatGPTサービスに起因し、2023年3月20日に明らかになった。Redis-pyライブラリで生じたバグにより、キャンセルされたリクエストによって、データベースキャッシュから意図しない情報が戻された。OpenAIは問題に対処し、利用者に連絡を取り違反を通知した。
incident
2023-03-24 13:40:00
被害状況
事件発生日 | 2023年3月15日 |
被害者名 | 不明 |
被害サマリ | Python Package Index (PyPI) にアップロードされた悪意のあるPythonパッケージ「onyxproxy」により、情報盗難が行われた。183回のダウンロードが行われた後に、削除された。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明(特徴不明) |
攻撃手法サマリ | Unicodeを利用したトリッキーな手法を使用して、検出を回避し情報盗難を行った。 |
マルウェア | "onyxproxy"のパッケージ内の情報盗難マルウェア。 |
脆弱性 | 情報提供なし。 |
other
2023-03-24 11:43:00
1. The Hacker Newsは、セキュリティに関するトラストできるニュースプラットフォームであり、3.45万人以上のフォロワーにフォローされている。
2. セキュリティに関するリソースには、THNストア、無料のeBook、フリーズがある。
3. 2023年のSaaS-to-SaaS Access reportは、第三者のアプリケーションによるリスクと、そのようなアプリケーションによるアクセスの解析を提供し、企業のサイバーセキュリティに貢献する。
4. Webinarでは、セキュリティチームがSaaSエコシステム全体に対処する必要があること、SaaSエコシステムセキュリティ、SaaSセキュリティチャレンジなどのトピックを取り上げる。
5. The Hacker Newsのサイトには、企業紹介、就職、広告掲載、お問い合わせのページが存在する。また、SNSフォロー用のアイコンも掲載されている。
vulnerability
2023-03-24 11:06:00
脆弱性
CVE | なし |
影響を受ける製品 | GitHub RSA SSH host key |
脆弱性サマリ | GitHubが不注意によりRS SSH host keyが短時間公開された |
重大度 | 不明 |
RCE | 無 |
攻撃観測 | なし |
PoC公開 | 不明 |
incident
2023-03-24 09:59:00
被害状況
事件発生日 | 不明 |
被害者名 | 不明 |
被害サマリ | 中国に関連する国家的グループによる偽装攻撃の手法が発見された。 |
被害額 | 不明(予想:数十億円以上) |
攻撃者
攻撃者名 | 中国に関連する国家的グループ |
攻撃手法サマリ | スピアフィッシングメールを用い、様々なツールを使用したバックドア、C2およびデータの送信などを展開。 |
マルウェア | TONEINS、TONESHELL、PUBLOAD、MQsTTang、Cobalt Strike、USB Driver.exe (HIUPANまたはMISTCLOAK)、rzlog4cpp.dll (ACNSHELLまたはBLUEHAZE)、CLEXEC、COOLCLIENT、TROCLIENT、PlugX、NUPAKAGE、およびZPAKAGE。 |
脆弱性 | Windows 10のユーザーアカウント制御を回避するためにカスタムツールであるABPASSおよびCCPASSを使用。 |
vulnerability
2023-03-24 07:51:00
脆弱性
CVE | なし |
影響を受ける製品 | WooCommerce Payments plugin for WordPress |
脆弱性サマリ | WooCommerce Payments plugin for WordPressには、バージョン4.8.0から5.6.1までの重大な脆弱性があり、未解決の場合、悪意のある攻撃者が影響を受けたサイトの管理者アクセスを取得することができ、特定の利用者の操作やソーシャル・エンジニアリングは必要ありません。 |
重大度 | 高 |
RCE | 不明 |
攻撃観測 | まだ観測されていないが、攻撃者が証明コードを公開し、広く利用されることが予期されている。 |
PoC公開 | 公開されていない |
WooCommerce Payments plugin for WordPressには、バージョン4.8.0から5.6.1までの重大な脆弱性があり、未解決の場合、悪意のある攻撃者は影響を受けたサイトの管理者アクセスを取得することができます。この脆弱性は、PHPファイル「class-platform-checkout-session.php」に存在すると考えられています。WooCommerceはバージョン4.8.2、4.9.1、5.0.4、5.1.3、5.2.2、5.3.1、5.4.1、5.5.2、および5.6.2を含む修正バージョンをリリースしました。まだ攻撃は観測されていませんが、攻撃者が証明コードを公開し、大規模に利用されることが予想されます。公開されるまでは、利用者は最新バージョンに更新するとともに、新たに追加された管理者アカウントを確認し、あれば、すべての管理者パスワードと支払いゲートウェイおよびWooCommerce APIキーを変更することが推奨されます。
incident
2023-03-23 16:29:00
被害状況
事件発生日 | 2023年3月23日 |
被害者名 | 不明 |
被害サマリ | 偽装されたOpenAIのChatGPTサービスに擬態したChrome Browser Extensionが、Facebookのセッションcookieを収集し、Facebookアカウントの乗っ取りや極端主義プロパガンダの拡散などを行った。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 悪意のあるGoogle検索結果によって、不正なChatGPTブラウザ拡張機能に誘導し、Facebookアカウントを乗っ取る攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-03-23 11:55:00
被害状況
事件発生日 | 不明 |
被害者名 | 金融アプリ利用者 |
被害サマリ | Android向け銀行トロイの木馬「Nexus」が登場。トラッカー観測でトルコを中心に活動するサイバー犯罪者によって450以上の金融業界アプリが大規模なアカウント乗っ取り攻撃の標的にされている。マルウェアの特徴として、アクセシビリティ・サービス機能を悪用することによってSMSなど2段階認証を回避することが挙げられる。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者
攻撃者名 | トルコ人サイバー犯罪者など |
攻撃手法サマリ | トラッカー観測でトルコを中心に活動するサイバー犯罪者によってAndroidの銀行アプリを攻撃することが特定された。 |
マルウェア | Nexus、SOVA |
脆弱性 | 不明 |
other
2023-03-23 10:39:00
1. 「The Hacker News」は、世界中で345万人以上にフォローされている信頼できるサイバーセキュリティニュースプラットフォーム。
2. 「CYE's new Cybersecurity Maturity Report 2023」によると、企業のセキュリティ予算の増加にも関わらず、多くの組織が十分な準備をしておらず、サイバー攻撃に対処するための成熟度が低いことが判明。
3. 具体的には、予算規模の大きな国や企業が必ずしも高い成熟度を持っているわけではなく、エネルギーや金融業界が比較的堅牢である一方で、ヘルスケア、小売業、政府機関が低い成熟度を示した。
4. また、中小規模の組織が、従業員数が1万人以上の大企業よりも高い成熟度を示していることが分かった。
5. 対策としては、組織が能力投資に注力すること、包括的なアセスメントの実施、サイバーリスクに対する統一されたアプローチの確立が重要であることが指摘されている。
incident
2023-03-23 09:29:00
被害状況
事件発生日 | 2023年第1四半期 |
被害者名 | 中東の通信事業者 |
被害サマリ | 中国のサイバースパイ集団が、中東の通信事業者に対し、長期にわたる「Operation Soft Cell」と呼ばれる攻撃を実行。マイクロソフト・エクスチェンジ・サーバへの攻撃、資格情報の盗難、横断的な移動、データの持ち出しなどを行っていた。 |
被害額 | 不明(予想:数億円以上) |
攻撃者
攻撃者名 | 中国のサイバースパイ集団 |
攻撃手法サマリ | マイクロソフト・エクスチェンジ・サーバへの攻撃や、資格情報の盗難などを行うサイバースパイ集団の攻撃手法を利用していた。マルウェアとして、MimikatzやPingPullといったツールが使用された。 |
マルウェア | Mimikatz、PingPullなど |
脆弱性 | マイクロソフト・エクスチェンジ・サーバの脆弱性など |
incident
2023-03-23 07:37:00
被害状況
事件発生日 | 不明 |
被害者名 | 韓国政府関係者、アメリカ政府関係者、軍事、製造、学術、シンクタンク関係者、個人 |
被害サマリ | 韓国の諜報機関、ドイツの情報機関は、北朝鮮軍に属するサイバースパイのグループ(Kimsuky)が、Googleのメールアカウントを盗むためにローグブラウザ拡張機能を使用してサイバー攻撃をしていることを警告している。 |
被害額 | 不明(予想:不明) |
攻撃者
攻撃者名 | Kimsuky / Black Banshee / Thallium / Velvet Chollima (北朝鮮軍に属するサイバースパイのグループ) |
攻撃手法サマリ | ローグブラウザ拡張機能を使用したスピアフィッシングキャンペーン。 |
マルウェア | FastFire、FastSpy、FastViewer、RambleOn、com.viewer.fastsecure(FastFire)、com.tf.thinkdroid.secviewer(FastViewer) |
脆弱性 | Google Playストアの「内部テスト」という機能を悪用 |
vulnerability
2023-03-22 13:09:00
被害状況
被害者 | Delta ElectronicsおよびRockwell Automation |
被害の概要 | Delta ElectronicsのInfraSuite Device Masterには13の脆弱性があり、未認証のリモート攻撃者にファイルと認証情報へのアクセス、特権の昇格、任意のコードのリモート実行を可能にします。Rockwell AutomationのThinManager ThinServerには、2つのパス遍歴の脆弱性があり、未認証のリモート攻撃者に任意のファイルをアップロードし、ThinServer.exeがインストールされているディレクトリに上書き可能であり、リモートコード実行を引き起こす可能性があります。 |
被害額 | 不明 |
事件発生日 | 2023年3月22日 |
攻撃者
攻撃者 | 不明 |
攻撃手法 | Delta ElectronicsのInfraSuite Device Masterに対しては、未認証のリモート攻撃者が可能な限り任意のコードをリモートで実行できるように、未検証のUDPパケットを受け付けるようにするデシリアライズの脆弱性があります。Rockwell AutomationのThinManager ThinServerに対しては、パス遍歴の脆弱性により、攻撃者が任意のファイルを上書きしてリモートコード実行を引き起こすことができます。 |
マルウェア | 不明 |
脆弱性 | Delta ElectronicsのInfraSuite Device Masterには13の脆弱性があり、Rockwell AutomationのThinManager ThinServerには2つのパス遍歴の脆弱性がある。 |
脆弱性
CVE | CVE-2023-1133, CVE-2023-1139, CVE-2023-1145, CVE-2023-28755, CVE-2023-28756, CVE-2022-38742 |
影響を受ける製品 | Delta ElectronicsのInfraSuite Device Master、Rockwell AutomationのThinManager ThinServer |
脆弱性サマリ | Delta ElectronicsのInfraSuite Device Masterには、未検証のUDPパケットを受け入れる脆弱性が存在し、認証されていないリモート攻撃者に任意のコードを実行される可能性がある。Rockwell AutomationのThinManager ThinServerには過去に報告されたバッファオーバーフロー脆弱性以外に、ディレクトリトラバーサルの脆弱性が存在し、認証されていないリモート攻撃者に任意のファイルをアップロードし、既存の実行可能ファイルを上書きして、リモートコード実行を行うことができる。 |
重大度 | CVE-2023-1133が9.8の重度、その他の脆弱性は高度または中度、いくつかの脆弱性の重大度は明らかではない |
RCE | Delta ElectronicsのInfraSuite Device MasterのCVE-2023-1133、CVE-2023-1139、CVE-2023-1145、およびRockwell AutomationのThinManager ThinServerのCVE-2023-28755を悪用することでリモートコード実行が可能となる。 |
攻撃観測 | 不明 |
PoC公開 | 不明 |
incident
2023-03-22 12:24:00
被害状況
事件発生日 | 不明 |
被害者名 | 韓国の組織および個人 |
被害サマリ | 北朝鮮の高度なサイバー攻撃グループ「ScarCruft」による、韓国組織および個人の特定を狙ったスピアフィッシング攻撃。攻撃によってBACKDOORなどのマルウェアが被害者のコンピューターに誘導される。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 北朝鮮の「ScarCruft」 |
攻撃手法サマリ | スピアフィッシング攻撃。CHMファイルやHTA、LNK、XLL、マクロを利用してウイルスを配信している。 |
マルウェア | Chinotto、M2RAT、AblyGoなど |
脆弱性 | 不明 |
vulnerability
2023-03-22 11:20:00
脆弱性
CVE | なし |
影響を受ける製品 | Active Directory |
脆弱性サマリ | Active Directoryにおける内部者の脅威に対するセキュリティ対策について |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
この記事は、Active Directoryにおける内部者による脅威に対するセキュリティ対策について説明しており、様々な脆弱性が存在することが述べられています。内部者による脅威は、オーガニゼーションが直面する可能性が最も高いものの一つであり、情報漏洩や破壊などの潜在的な被害があることが認識されています。記事では、Active Directoryの設定の見直しやマルチファクタ認証の導入など、セキュリティを向上させるためのBest Practicesが紹介されています。
incident
2023-03-22 08:58:00
被害状況
事件発生日 | 2023年3月22日 |
被害者名 | .NETデベロッパー |
被害サマリ | NuGetリポジトリを標的とした新しい攻撃で、13種類のマルウェアを含むローグパッケージが160,000回以上ダウンロードされ、開発者システムに暗号化盗難マルウェアが感染した。 |
被害額 | 不明(予想不可) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 偽のパッケージ名を使用したタイポスクワッティング技術の悪用と、脆弱性を利用したマルウェアを含んだNuGetパッケージの配布 |
マルウェア | The Hacker Newsによると、「Coinbase.Core」「Anarchy.Wrapper.Net」「DiscordRichPresence.API」などが感染パッケージの中で最もダウンロード数が多かったが、その他にも多数のマルウェアが使用されたと報告されている。 |
脆弱性 | 不明 |
incident
2023-03-22 07:19:00
被害状況
事件発生日 | 2022年 |
被害者名 | 南アジアおよび東南アジアの企業 |
被害サマリ | REF2924による攻撃で、NAPLISTENERという新しいマルウェアを使用していることが発覚。REF2924は中国のハッカーグループと関係があると考えられている。 |
被害額 | (不明) |
攻撃者
攻撃者名 | REF2924 |
攻撃手法サマリ | Microsoft Exchangeサーバーの脆弱性を悪用した攻撃。NAPLISTENERという新しいマルウェアを使用することで、ネットワーク上の検知を回避。 |
マルウェア | DOORME、SIESTAGRAPH、ShadowPad、NAPLISTENER |
脆弱性 | Microsoft Exchangeサーバーの脆弱性 |
incident
2023-03-22 04:37:00
被害状況
事件発生日 | 2023年3月21日 |
被害者名 | BreachForums |
被害サマリ | 悪質な漏洩データの売買が行われるハッキングフォーラムBreachForumsが閉鎖された |
被害額 | 不明(予想:数億から数十億円程度) |
攻撃者
攻撃者名 | 不明 |
攻撃手法サマリ | 不正アクセスによる悪意あるデータの売買を促進するハッキングフォーラムBreachForumsを運営した |
マルウェア | 不明 |
脆弱性 | 不明 |
incident
2023-03-21 15:01:00
被害状況
事件発生日 | 2022年10月 |
被害者名 | ドネツィク、ルハーンシク、クリミアの政府・農業・交通機関および組織 |
被害サマリ | 新しいモジュラーフレームワークであるCommonMagicを使用する攻撃が実施され、バックドアPowerMagicを展開された。PowerMagicはPowerShellで書かれており、クラウドサービス(Dropboxなど)を通じて任意のコマンドを実行でき、CommonMagicフレームワークを提供する。 |
被害額 | 不明(予想:数億円以上) |
攻撃者
攻撃者名 | 不明、ロシアと関係があるとみられる |
攻撃手法サマリ | spear phishingまたは同様の手法を用いた、booby-trapped URLSが攻撃の開始点。バックドアやフレームワークなど、複数のプログラムで構成された攻撃方式が行われた。 |
マルウェア | PowerMagic、CommonMagic |
脆弱性 | 不明 |