脆弱性

CVE	CVE-2023-29199, CVE-2023-30547
影響を受ける製品	vm2 JavaScript library
脆弱性サマリ	vm2 JavaScriptのサンドボックス保護を突破し、任意のコードをホストで実行することができる。
重大度	9.8 (CVSSスコア)
RCE	有
攻撃観測	不明
PoC公開	有

この記事は、vm2 JavaScriptライブラリに存在するサンドボックスの保護を突破した2つのクリティカルな脆弱性について説明している。これらの脆弱性（CVE-2023-29199およびCVE-2023-30547）は、関連バージョンの更新によって修正された。これらの脆弱性を悪用することによって、攻撃者はホストからの任意のコード実行権限を取得することができる。また、これらの問題の検証について、セキュリティ研究者のSeungHyun LeeがPoCを公開していることが報告されている。

被害状況

事件発生日	2023年4月18日
被害者名	Google検索ユーザー
被害サマリ	一部のユーザーは、Google検索結果を表示できない状況にあった
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	不明
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	2023年4月18日
被害者名	Cisco
被害サマリ	ロシア政府関係者によるAPT28ハッカー集団が、旧式のCisco IOSルーターにカスタムマルウェア「Jaguar Tooth」を注入し、アクセス制限を回避して不正ログインしていたことが明らかになった。
被害額	不明（予想不可）

攻撃者

攻撃者名	ロシア政府関係者
攻撃手法サマリ	旧式のCisco IOSルーターのSNMP脆弱性「CVE-2017-6742」を悪用し、カスタムマルウェア「Jaguar Tooth」を注入して不正ログイン。
マルウェア	Jaguar Tooth
脆弱性	Cisco IOSルーターのSNMPの脆弱性「CVE-2017-6742」

被害状況

事件発生日	不明
被害者名	アメリカの重要インフラストラクチャーの組織
被害サマリ	「Mint Sandstorm」というイランのハッキンググループが、アメリカの重要インフラストラクチャーを攻撃した。イラン政府と関連性があると考えられている「Phosphorus」グループの一部であるとMicrosoftは報告している。
被害額	不明

攻撃者

攻撃者名	イランのハッキンググループ、Mint Sandstorm(Phosphorusの一部)
攻撃手法サマリ	特定の脆弱性を利用した攻撃、Proof-of-Conceptエクスプロイトの利用、フィッシング攻撃など
マルウェア	・Drokbk (Drokbk.exe) ・Soldier
脆弱性	・IBM Aspera Faspex ・Zoho ManageEngine ・Apache Log4j2

- オーストラリア人は昨年、詐欺によって過去最高の31億ドルを失った。
- これには主に投資詐欺が15億ドル、リモートアクセス詐欺が2.29億ドル、支払い先詐欺が2.24億ドルが含まれる。
- これらの数字は、ACCCのScamwatch、ReportCyber、Australian Financial Crimes Exchangeなど、さまざまな政府機関が収集したデータに基づくものである。
- 2022年にScamwatchに提出された詐欺報告書の数は24万件弱であり、2021年と比較して16.5％減少したが、被害者あたりの財務損失は平均2万ドルに上昇した。
- 詐欺のテーマの洗練度が高くなり、また、公式の電話番号、メールアドレス、ウェブサイトの偽装から、本物のメッセージと同じ会話スレッドに現れるスパムテキストなど、詐欺が非常に読みにくくなっている傾向があるため、詐欺の効果が増加している。

脆弱性

CVE	CVE-2023-30547
影響を受ける製品	VM2ライブラリバージョン 3.9.16以前
脆弱性サマリ	VM2 JavaScript サンドボックスライブラリにおける、例外処理の不適切なサニタイズにより、ホストの関数にアクセスして任意のコードを実行できる脆弱性(CVE-2023-30547)が存在する。
重大度	高 (CVSSスコア: 9.8)
RCE	無
攻撃観測	なし
PoC公開	有(リサーチャーによるGitHubリポジトリへの公開)

サンドボックスから脱出する証明(PoC)の1つ(CVE-2023-30547)が公開され、VM2ライブラリバージョン3.9.16以前に存在するため、使用しているユーザーは全て、可能な限り早く3.9.17にアップグレードするよう推奨されている。証明により、アタッカーはホストの関数にアクセスして任意のコードを実行できるため、サンドボックスは不完全となり、大規模な影響を与える可能性がある。

被害状況

事件発生日	記事には記載されていない
被害者名	不明
被害サマリ	Active Directory を標的とした脅威行為の分析とその対策に関する記事
被害額	記事には記載されていない（予想不可）

攻撃者

攻撃者名	不明（脅威行為の分析に終始した記事で、攻撃者情報は含まれていない）
攻撃手法サマリ	Active Directory を標的とする、DCSync、DCShadow、Password spray、Pass-the-Hash、Pass-the-Ticket、Golden ticket、Service Principal name、AdminCount、adminSDHolder による脅威行為の分析
マルウェア	記事には記載されていない
脆弱性	記事には記載されていない

タイトル: Windows Active Directory への攻撃 Windows Active Directory は、企業において主要なアイデンティティおよびアクセス管理のソースであるため、多数の攻撃の中心となっている。以下に、Windows Active Directory に対する攻撃と、これを防ぐために組織が取るべき措置について述べる。 Windows Active Directory に対する攻撃には、以下のような多様な攻撃方法がある。 1. DCSync 2. DCShadow 3. Password spray 4. Pass-the-Hash 5. Pass-the-Ticket 6. Golden ticket 7. Service Principal Name 8. AdminCount 9. adminSDHolder これらの攻撃に対して、以下の対策を取ることが重要である。 1. DCSync に対する防御： - ドメインコントローラのセキュリティを確保し、特権アカウントを強固なパスワードで保護する。 - 不要なアカウント（サービスアカウントを含む）をアクティブディレクトリから削除する。 - ドメイングループの変更履歴などの監視を行う。 2. DCShadow に対する防御： - 特権昇格攻撃から環境を保護する。 - すべての保護されたアカウントとサービスアカウントに強固なパスワードを使用する。 - クライアントPCへのログインに、ドメイン管理者の資格情報を使用しない。 3. Password spray に対する防御： - パスワードのポリシーを設定し、強力なパスワードを強制する。 - 手順的なパスワードや漏洩したパスワードを使用しないことを防止する。 - パスワードの再利用を防止する。 - パスフレーズをパスワードの代わりに使用することを奨励する。 4. Pass-the-Hash に対する防御： - 管理者権限を持つユーザーの数を制限する。 - 管理者ジャンプボックスとして強化されたワークステーションを使用する。 - ローカルアカウント向けに Microsoft Local Administrator Password Solution (LAPS) を実装する。 5. Pass-the-ticket に対する防御： - 管理者およびサービスアカウントをはじめとする強固なパスワードを使用する。 - 環境において漏洩したパスワードを排除する。 - 環境内でベストプラクティスに従うことで、全体的なセキュリティポストアップを確保する。 6. Golden ticket に対する防御： - KRBTGTパスワードを定期的に変更する（最低でも180日ごと）。 - アクティブディレクトリ環境において最小特権を実施する。 - 強固なパスワードを使用する。 7. Service Principal Name に対する防御： - 不審なアクティビティ（不必要な Kerberos チケットのリクエストなど）を監視する。 - サービスアカウントに対して非常に強力なパスワードを使用し、定期的にパスワ

被害状況

事件発生日	2022年後半|不明
被害者名	不特定の利用者
被害サマリ	YouTubeを利用した社会工学攻撃によって、偽のソフトウェアユーティリティを装い、Aurora情報窃取マルウェアを配信していた。しかし、その前段階として "in2al5d p3in4er" という名前の高度な抵抗性を持ったローダーを使用していた。
被害額	不明（予想：数十万ドル以上）

攻撃者

攻撃者名	不明。ただし、AresLoader が利用されたことから、関係のあるロシアのハッカーグループが疑われている。
攻撃手法サマリ	YouTube動画を使用し、偽装されたクラック版ソフトウェアのダウンロードを誘い、そこからAuroraマルウェアを配信していた。また、in2al5d p3in4er という名前のローダーを使用してマルウェアを実行していた。
マルウェア	Aurora情報窃取マルウェア。また、AresLoader によって Aurora Stealer、Laplas Clipper、Lumma Stealer、Stealc、SystemBC が広まっている。
脆弱性	不明

被害状況

事件発生日	2023年4月18日
被害者名	Google Play Storeのユーザー
被害サマリ	100以上のアプリに潜んでいたGoldosonというAndroidマルウェアにより、約100万人のユーザーの情報が収集され、背後でクリック広告による収益化が行われた可能性がある。
被害額	不明（予想：数十億円以上）

攻撃者

攻撃者名	不明
攻撃手法サマリ	第三者が作成したコード（SDK）をアプリに取り込み、ユーザーの情報を抽出・悪用した。
マルウェア	Goldoson
脆弱性	不明

被害状況

事件発生日	記事には記載なし
被害者名	不明
被害サマリ	今回の記事では、DFIRのトラディショナルな手法が現代のサイバー攻撃に対処するのに効率的でないことが述べられていた。
被害額	記事には記載なし（予想：不明）

攻撃者

攻撃者名	不明
攻撃手法サマリ	記事では言及されていないが、サイバー攻撃に関連する内容である。
マルウェア	記事では言及されていないが、サイバー攻撃に関連する内容である。
脆弱性	記事では言及されていないが、サイバー攻撃に関連する内容である。

記事タイトル:

DFIR via XDR: How to expedite your investigations with a DFIRent approach

脆弱性:

記事には脆弱性に関する情報は含まれていない。

影響を受ける製品:

記事には影響を受ける製品に関する情報は含まれていない。

脆弱性サマリ:

記事には脆弱性に関する情報は含まれていない。

重大度:

記事には重大度に関する情報は含まれていない。

RCE:

記事にはRCEに関する情報は含まれていない。

攻撃観測:

記事には攻撃観測に関する情報は含まれていない。

PoC公開:

記事にはPoC公開に関する情報は含まれていない。