事件発生日 | 2023年3月29日 |
---|---|
被害者名 | 3CX |
被害サマリ | 北朝鮮のサイバー攻撃者グループUNC4736による、マトリョーシカ・ドール式のサプライチェーン攻撃により、3CXの通信ソフトウェアにC/C++ベースのデータマイナー、ICONIC Stealerが仕込まれ、Chrome、Edge、ブレイブ、Firefoxなどのブラウザから被害者の機密情報を窃取された。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者名 | 北朝鮮のサイバー攻撃者グループUNC4736 |
---|---|
攻撃手法サマリ | マトリョーシカ・ドール式のサプライチェーン攻撃 |
マルウェア | ICONIC Stealer、VEILEDSIGNAL、TAXHAULランチャー、COLDCATダウンローダー、POOLRATバックドア |
脆弱性 | 不明 |
事件発生日 | 不明 |
---|---|
被害者名 | 複数のアメリカの大学のウェブサイト |
被害サマリ | Fortniteのスパムや偽のギフトカードを紹介するWikiページが大量にアップロードされる |
被害額 | 不明 |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
事件発生日 | 2023年4月21日 |
---|---|
被害者名 | CiscoおよびVMware製品のユーザー |
被害サマリ | Cisco Industrial Network DirectorおよびModeling Labs network simulation platformに脆弱性が存在し、認証された攻撃者がデバイスに任意のコマンドを実行することができる。VMwareのAria Operations for Logsには、任意のコードをroot権限で実行できるデシリアライゼーションの欠陥が存在する。これにより、ネットワークアクセス権を持つ攻撃者に影響を与えることができる。 |
被害額 | 不明 |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | 任意のコマンドを実行できる脆弱性の利用 |
マルウェア | 特定されていない |
脆弱性 | Cisco Industrial Network Director: CVE-2023-20036、CVE-2023-20039、CVE-2023-20154、VMware Aria Operations for Logs: CVE-2023-20864、CVE-2023-20865 |
CVE | CVE-2023-20036, CVE-2023-20039, CVE-2023-20154, CVE-2023-20864, CVE-2023-20865 |
---|---|
影響を受ける製品 | Cisco Industrial Network Director, Modeling Labs network simulation platform, Aria Operations for Logs |
脆弱性サマリ | Cisco Industrial Network DirectorのWeb UIコンポーネントにコマンドインジェクションの脆弱性が存在し、任意のコマンドをNT AUTHORITY\SYSTEMとして実行可能。また、同製品において、認証済みのローカル攻撃者が機密情報を閲覧できるファイル権限の脆弱性も見つかった。Modeling Labs network simulation platformには、外部認証メカニズムにおいて認証にバイパスできる脆弱性があり、LDAPサーバーがsearch result referenceエントリーから非空配列を返す場合に悪用可能。Aria Operations for Logsには、脆弱なデシリアライゼーション処理が存在し、攻撃者がリモートからrootとして任意のコードを実行可能な脆弱性がある。また、同製品には、管理者権限を持つ攻撃者が任意のコマンドをroot権限で実行できる脆弱性も存在する。 |
重大度 | CVE-2023-20036: 高, CVE-2023-20039: 中, CVE-2023-20154: 高, CVE-2023-20864: 高, CVE-2023-20865: 高 |
RCE | なし |
攻撃観測 | なし |
PoC公開 | なし |
事件発生日 | 2023年4月 |
---|---|
被害者名 | WordPressサイトの管理者 |
被害サマリ | 古いWordPressプラグインのEval PHPでのマルウェア感染により、ウェブサイトがバックドアで乗っ取られた |
被害額 | 不明(予想:被害者の規模による。大企業であれば数百万~数千万円程度) |
攻撃者名 | 不明(攻撃者の国籍・特徴などは不明) |
---|---|
攻撃手法サマリ | 古いWordPressプラグインのマルウェア感染によるバックドアの設置 |
マルウェア | 不明 |
脆弱性 | 不明 |
事件発生日 | 2023年1月から3月 |
---|---|
被害者名 | ウクライナ |
被害サマリ | ロシアによるサイバー攻撃。情報収集、オペレーションの妨害、機密情報の漏洩が狙いであり、Telegramチャンネルを通じてウクライナに対する情報的被害を引き起こしている。 |
被害額 | 不明(予想:不明) |
攻撃者名 | ロシアおよびベラルーシの脅威アクター |
---|---|
攻撃手法サマリ | フィッシング攻撃が主な手法。また、Ukrainian defense industryの働く人やUkr.netといったプラットフォームのユーザー、ウクライナのTelegramチャンネルに対し、SandwormグループはFakeUkroboronpromウェブサイトを作成している。APT28グループはUkranian政府のWebサイトでの反射型XSS攻撃を行い、対策を強化していた。 |
マルウェア | 不明 |
脆弱性 | 不明 |
事件発生日 | 2023年4月20日 |
---|---|
被害者名 | VMware |
被害サマリ | vRealize Log Insightの重大な脆弱性 (CVE-2023-20864) により、リモート攻撃者が脆弱なアプライアンスでリモート実行を行うことができるようになってしまった。犯罪者が操作することができる多量のアプリケーションとインフラストラクチャログを管理するためのログ分析ツールである。 |
被害額 | (不明) |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | 任意のコードをルートとして実行することができるシリアライゼーションの脆弱性 (CVE-2023-20864) をつくものだった。 |
マルウェア | 不明 |
脆弱性 | シリアライゼーションの脆弱性 (CVE-2023-20864) およびタスクの永続性の脆弱性 (CVE-2023-20865) |
事件発生日 | 2023年3月中旬(詳細な日付は不明) |
---|---|
被害者名 | 複数の企業(詳細は不明) |
被害サマリ | VoIPプロバイダーである3CXのクライアントバージョンのトロイの木馬によってセキュリティー情報を窃取された。 |
被害額 | 不明(予想:数百万ドルから数千万ドル) |
攻撃者名 | Lazarusグループ(北朝鮮の関与) |
---|---|
攻撃手法サマリ | LazarusはLinkedInなどのソーシャルメディアやコミュニケーションプラットフォームを通じて、偽の求人募集を掲載し、メールや直接メッセージでターゲットを誘導し、マルウェアをダウンロードさせる攻撃手法を用いている。 |
マルウェア | OdicLoader、SimplexTea |
脆弱性 | 不明 |
事件発生日 | 2023年4月20日 |
---|---|
被害者名 | Microsoft 365の顧客(企業・個人) |
被害サマリ | Microsoft 365が世界中の顧客からのアクセスを遮断され、Webアプリやオンラインサービスが利用できなくなった。 |
被害額 | 不明(予想:数百万〜数億ドル) |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
CVE | なし |
---|---|
影響を受ける製品 | Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQL |
脆弱性サマリ | Alibaba CloudのApsaraDB RDS for PostgreSQLとAnalyticDB for PostgreSQLに2つの重大な脆弱性が発見され、テナント統合保護を侵犯し、他の顧客の機密データにアクセスでき、供給チェーン攻撃を行える可能性がある。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 不明 |
PoC公開 | なし |
事件発生日 | 2023年3月22日 |
---|---|
被害者名 | Capita |
被害サマリ | Capitaのサーバーにアクセスして、4%のサーバーのファイルがハッキングされ、顧客、サプライヤーや同僚の情報も含まれる可能性がある |
被害額 | 不明(予想) |
攻撃者名 | 不明(報告には言及されていない) |
---|---|
攻撃手法サマリ | 不明 |
マルウェア | Black Bastaランサムウェア |
脆弱性 | 不明 |