被害状況

事件発生日	不明
被害者名	3CXを含む少なくとも複数のクリティカルインフラストラクチャ機関
被害サマリ	北朝鮮支援の攻撃グループがトロイの木馬化されたX_Traderソフトウェアのインストーラを使用して、多段階バックドアのVEILEDSIGNALを被害者のシステムにデプロイ
被害額	不明（予想：数百万ドル以上）

攻撃者

攻撃者名	北朝鮮支援の攻撃グループ
攻撃手法サマリ	トロイの木馬化されたX_Traderソフトウェアを使用したサプライチェーン攻撃
マルウェア	VEILEDSIGNAL
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	Google Cloud Platform（すべてのユーザー）
脆弱性サマリ	Google Cloud Platformのセキュリティ脆弱性により、悪意のあるOAuthアプリケーションを使用してアカウントにバックドアを作成される可能性がある。
重大度	高
RCE	なし
攻撃観測	有
PoC公開	なし

脆弱性名はGhostTokenと名付けられ、Astrix Securityによって2022年に報告された。Googleは2023年4月初旬にパッチをリリースして脆弱性を修正した。この脆弱性によって、Google Cloud PlatformにリンクされたOAuthトークンを悪用して、悪意のあるアプリケーションがバックドアを作り、Googleアカウントにアクセスすることができるようになってしまった。悪意のあるアプリは管理ページから非表示可能であり、このためマルウェアが除去できなくなるという問題が発生していた。攻撃者は、いつでもGitHub Tokenを使用して被害者のアカウントにアクセスすることができる。Googleのパッチによって、OAuthトークンが「保留中」になった状態でも消去できるようになった。また、すべてのユーザーに、サードパーティのアプリに関するページを確認し、アプリが正当に機能するために必要な特権だけを与えることが強く推奨されている。

被害状況

事件発生日	不明
被害者名	Kubernetesクラスタのオーナー
被害サマリ	RBAC（役割ベースのアクセス制御）を悪用して、バックドアアカウントを作成し、Moneroクリプトマイニングに乗っ取った
被害額	不明（予想200ドル/1年あたり/1台）

攻撃者

攻撃者名	不明（グローバル）
攻撃手法サマリ	RBAC（役割ベースのアクセス制御）を悪用したシステムへの侵入
マルウェア	なし（Moneroクリプトマイニングに利用するドッカーのイメージ）
脆弱性	APIサーバーの未構成部分

被害状況

事件発生日	2023年3月17日
被害者名	アメリカン・バー・アソシエーション（ABA）
被害サマリ	ハッカーによりABAのネットワークが侵害され、2018年に廃止された旧メンバーシステムの古い資格情報が含まれる146万6000名のメンバーの情報が流出した。
被害額	不明（予想：被害額がないため0）

攻撃者

攻撃者名	不明（攻撃に用いられた手法についての情報しかないため）
攻撃手法サマリ	ハッカーがABAのネットワークを侵害して古資格情報を含む146万6000名のメンバーの情報を盗み出した。
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	2023年4月21日
被害者名	クラウドセキュリティ企業Aqua
被害サマリ	Kubernetes（K8s）のロールベースアクセス制御（RBAC）が悪用され、バックドアが作成され、仮想通貨マイニングが実行された攻撃が大規模に発生した。この攻撃キャンペーンの背後にいる脅威アクターによって悪用された60以上のK8sクラスターが見つかった。
被害額	不明（予想：数百万ドル以上）

攻撃者

攻撃者名	不明（攻撃手法から、ロシアなどの国籍の可能性がある）
攻撃手法サマリ	Kubernetesのロールベースアクセス制御（RBAC）が悪用され、バックドアが作成され、仮想通貨マイニングが実行された。また、攻撃者は「DaemonSet」を展開し、攻撃対象K8sクラスターのリソースを乗っ取らせた。
マルウェア	「kube-controller:1.0.1」という名前のコンテナイメージが使われたが、これは正規の「kubernetesio」アカウントを模倣した偽アカウントである。このイメージには仮想通貨マイナーが含まれている。
脆弱性	Kubernetesのロールベースアクセス制御（RBAC）などの脆弱性は不明。

脆弱性

CVE	なし
影響を受ける製品	Google Cloud Platform
脆弱性サマリ	Google Cloud PlatformにおけるGhostToken脆弱性によって、攻撃者が被害者のGoogleアカウントに削除できない悪意のあるアプリケーションを隠すことができると言われている。
重大度	高
RCE	なし
攻撃観測	なし
PoC公開	なし

Google Cloud Platformには、"GhostToken"と呼ばれる脆弱性が存在した。この脆弱性により、攻撃者がGoogleアカウントに悪意のあるアプリを削除できないように隠すことができる。これにより、攻撃者は認可されたOAuthアプリケーションを悪意のあるトロイの木馬アプリに変換でき、被害者の個人データをさらすことができる。この問題は、Googleに報告され、修正された。被害者がアプリのアクセスを取り消すことができなくなるため、この脆弱性の重要度は高い。これらの攻撃者は、Googleマーケットプレイスまたはオンラインの多くの生産性ツールから、無意識に認証されたアプリへのアクセスを許可する可能性があるという。Googleは、この問題を解決するためのパッチをリリースしている。

被害状況

事件発生日	記事に詳細な被害状況は含まれていない
被害者名	記事に詳細な被害状況は含まれていない
被害サマリ	記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、具体的な被害状況に関する記述はない
被害額	記事に被害額の情報は含まれていない

攻撃者

攻撃者名	記事に攻撃者に関する情報は含まれていない
攻撃手法サマリ	記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、具体的な攻撃手法に関する記述はない
マルウェア	記事に攻撃で利用されたマルウェアに関する情報は含まれていない
脆弱性	記事は「14 Kubernetes and Cloud Security Challenges and How to Solve Them」を主題としており、脆弱性に関する記述があるが、具体的な攻撃に関する情報はない

記事タイトル：14 Kubernetes and Cloud Security Challenges and How to Solve Them 1. この記事はどのような情報を提供しているか？ - Kubernetesとクラウドセキュリティの課題とトレンドについて、調査レポートをまとめた白書がリリースされ、その内容に基づいてセキュリティソリューションを提供している企業の解説がされている。 - セキュリティの課題に応じてどのような対応策が考えられるかが紹介されている。 2. 記事内で言及されている14のKubernetesとクラウドセキュリティの課題は何か？ 1. CVEの拡散によるサプライチェーンへの被害 2. KubernetesにおけるRBACとセキュリティの複雑さの増大 3. ゼロトラストが採用されるまで、パスワードや認証情報の盗難は続く 4. 攻撃者がAIやMLをより効果的に利用することで、防御側より有利になる 5. eBPFテクノロジーが新しい接続、セキュリティ、観測に利用される 6. CISOは法的責任を背負い、セキュリティの人材不足を悪化させる 7. 自動防御対策は徐々に増加する 8. VEXが初めて採用される 9. Linuxカーネルが最初のRustモジュールをリリースする 10. クローズドソースベンダーはMTTRの統計を取得するためにSBOM提供を求められ、公開基準ベースのプラットフォームが求められる 11. サイバーセキュリティ保険の政策は、以前よりランサムウェアや怠慢が除外され、政府からの罰金が増えることを示す 12. Dockerのアルファドライバーの後、サーバーサイドのWebAssemblyツールが普及する 13. 新しい法律は、現実世界での採用やテストが不十分である標準を要求し続ける 14. コンフィデンシャルコンピューティングが実用化されている 3. Uptycsはどのようにこれらの課題に取り組んでいるか？ - 脆弱性管理、Kubernetes Security Posture Management、Cloud Infrastructure Entitlements Managementなどのセキュリティ対策を提供し、データ保護とセキュリティの確保に努めている。 - AIやMLを利用した高度な脅威検知や警告、VEXのキャッチアップ、eBPFテクノロジーの活用など、最新のセキュリティ技術を導入している。 - 自動防御対策、統一プラットフォーム、開発更新に対応する柔軟な対応が提供される。

被害状況

事件発生日	2023年3月29日
被害者名	3CX
被害サマリ	北朝鮮のサイバー攻撃者グループUNC4736による、マトリョーシカ・ドール式のサプライチェーン攻撃により、3CXの通信ソフトウェアにC/C++ベースのデータマイナー、ICONIC Stealerが仕込まれ、Chrome、Edge、ブレイブ、Firefoxなどのブラウザから被害者の機密情報を窃取された。
被害額	不明（予想：数百万ドル）

攻撃者

攻撃者名	北朝鮮のサイバー攻撃者グループUNC4736
攻撃手法サマリ	マトリョーシカ・ドール式のサプライチェーン攻撃
マルウェア	ICONIC Stealer、VEILEDSIGNAL、TAXHAULランチャー、COLDCATダウンローダー、POOLRATバックドア
脆弱性	不明

被害状況

事件発生日	不明
被害者名	複数のアメリカの大学のウェブサイト
被害サマリ	Fortniteのスパムや偽のギフトカードを紹介するWikiページが大量にアップロードされる
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	不明
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	2023年4月21日
被害者名	CiscoおよびVMware製品のユーザー
被害サマリ	Cisco Industrial Network DirectorおよびModeling Labs network simulation platformに脆弱性が存在し、認証された攻撃者がデバイスに任意のコマンドを実行することができる。VMwareのAria Operations for Logsには、任意のコードをroot権限で実行できるデシリアライゼーションの欠陥が存在する。これにより、ネットワークアクセス権を持つ攻撃者に影響を与えることができる。
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	任意のコマンドを実行できる脆弱性の利用
マルウェア	特定されていない
脆弱性	Cisco Industrial Network Director: CVE-2023-20036、CVE-2023-20039、CVE-2023-20154、VMware Aria Operations for Logs: CVE-2023-20864、CVE-2023-20865

脆弱性

CVE	CVE-2023-20036, CVE-2023-20039, CVE-2023-20154, CVE-2023-20864, CVE-2023-20865
影響を受ける製品	Cisco Industrial Network Director, Modeling Labs network simulation platform, Aria Operations for Logs
脆弱性サマリ	Cisco Industrial Network DirectorのWeb UIコンポーネントにコマンドインジェクションの脆弱性が存在し、任意のコマンドをNT AUTHORITY\SYSTEMとして実行可能。また、同製品において、認証済みのローカル攻撃者が機密情報を閲覧できるファイル権限の脆弱性も見つかった。Modeling Labs network simulation platformには、外部認証メカニズムにおいて認証にバイパスできる脆弱性があり、LDAPサーバーがsearch result referenceエントリーから非空配列を返す場合に悪用可能。Aria Operations for Logsには、脆弱なデシリアライゼーション処理が存在し、攻撃者がリモートからrootとして任意のコードを実行可能な脆弱性がある。また、同製品には、管理者権限を持つ攻撃者が任意のコマンドをroot権限で実行できる脆弱性も存在する。
重大度	CVE-2023-20036: 高, CVE-2023-20039: 中, CVE-2023-20154: 高, CVE-2023-20864: 高, CVE-2023-20865: 高
RCE	なし
攻撃観測	なし
PoC公開	なし