脆弱性

CVE	CVE-2023-30547
影響を受ける製品	VM2ライブラリバージョン 3.9.16以前
脆弱性サマリ	VM2 JavaScript サンドボックスライブラリにおける、例外処理の不適切なサニタイズにより、ホストの関数にアクセスして任意のコードを実行できる脆弱性(CVE-2023-30547)が存在する。
重大度	高 (CVSSスコア: 9.8)
RCE	無
攻撃観測	なし
PoC公開	有(リサーチャーによるGitHubリポジトリへの公開)

サンドボックスから脱出する証明(PoC)の1つ(CVE-2023-30547)が公開され、VM2ライブラリバージョン3.9.16以前に存在するため、使用しているユーザーは全て、可能な限り早く3.9.17にアップグレードするよう推奨されている。証明により、アタッカーはホストの関数にアクセスして任意のコードを実行できるため、サンドボックスは不完全となり、大規模な影響を与える可能性がある。

被害状況

事件発生日	記事には記載されていない
被害者名	不明
被害サマリ	Active Directory を標的とした脅威行為の分析とその対策に関する記事
被害額	記事には記載されていない（予想不可）

攻撃者

攻撃者名	不明（脅威行為の分析に終始した記事で、攻撃者情報は含まれていない）
攻撃手法サマリ	Active Directory を標的とする、DCSync、DCShadow、Password spray、Pass-the-Hash、Pass-the-Ticket、Golden ticket、Service Principal name、AdminCount、adminSDHolder による脅威行為の分析
マルウェア	記事には記載されていない
脆弱性	記事には記載されていない

タイトル: Windows Active Directory への攻撃 Windows Active Directory は、企業において主要なアイデンティティおよびアクセス管理のソースであるため、多数の攻撃の中心となっている。以下に、Windows Active Directory に対する攻撃と、これを防ぐために組織が取るべき措置について述べる。 Windows Active Directory に対する攻撃には、以下のような多様な攻撃方法がある。 1. DCSync 2. DCShadow 3. Password spray 4. Pass-the-Hash 5. Pass-the-Ticket 6. Golden ticket 7. Service Principal Name 8. AdminCount 9. adminSDHolder これらの攻撃に対して、以下の対策を取ることが重要である。 1. DCSync に対する防御： - ドメインコントローラのセキュリティを確保し、特権アカウントを強固なパスワードで保護する。 - 不要なアカウント（サービスアカウントを含む）をアクティブディレクトリから削除する。 - ドメイングループの変更履歴などの監視を行う。 2. DCShadow に対する防御： - 特権昇格攻撃から環境を保護する。 - すべての保護されたアカウントとサービスアカウントに強固なパスワードを使用する。 - クライアントPCへのログインに、ドメイン管理者の資格情報を使用しない。 3. Password spray に対する防御： - パスワードのポリシーを設定し、強力なパスワードを強制する。 - 手順的なパスワードや漏洩したパスワードを使用しないことを防止する。 - パスワードの再利用を防止する。 - パスフレーズをパスワードの代わりに使用することを奨励する。 4. Pass-the-Hash に対する防御： - 管理者権限を持つユーザーの数を制限する。 - 管理者ジャンプボックスとして強化されたワークステーションを使用する。 - ローカルアカウント向けに Microsoft Local Administrator Password Solution (LAPS) を実装する。 5. Pass-the-ticket に対する防御： - 管理者およびサービスアカウントをはじめとする強固なパスワードを使用する。 - 環境において漏洩したパスワードを排除する。 - 環境内でベストプラクティスに従うことで、全体的なセキュリティポストアップを確保する。 6. Golden ticket に対する防御： - KRBTGTパスワードを定期的に変更する（最低でも180日ごと）。 - アクティブディレクトリ環境において最小特権を実施する。 - 強固なパスワードを使用する。 7. Service Principal Name に対する防御： - 不審なアクティビティ（不必要な Kerberos チケットのリクエストなど）を監視する。 - サービスアカウントに対して非常に強力なパスワードを使用し、定期的にパスワ

被害状況

事件発生日	2022年後半|不明
被害者名	不特定の利用者
被害サマリ	YouTubeを利用した社会工学攻撃によって、偽のソフトウェアユーティリティを装い、Aurora情報窃取マルウェアを配信していた。しかし、その前段階として "in2al5d p3in4er" という名前の高度な抵抗性を持ったローダーを使用していた。
被害額	不明（予想：数十万ドル以上）

攻撃者

攻撃者名	不明。ただし、AresLoader が利用されたことから、関係のあるロシアのハッカーグループが疑われている。
攻撃手法サマリ	YouTube動画を使用し、偽装されたクラック版ソフトウェアのダウンロードを誘い、そこからAuroraマルウェアを配信していた。また、in2al5d p3in4er という名前のローダーを使用してマルウェアを実行していた。
マルウェア	Aurora情報窃取マルウェア。また、AresLoader によって Aurora Stealer、Laplas Clipper、Lumma Stealer、Stealc、SystemBC が広まっている。
脆弱性	不明

被害状況

事件発生日	2023年4月18日
被害者名	Google Play Storeのユーザー
被害サマリ	100以上のアプリに潜んでいたGoldosonというAndroidマルウェアにより、約100万人のユーザーの情報が収集され、背後でクリック広告による収益化が行われた可能性がある。
被害額	不明（予想：数十億円以上）

攻撃者

攻撃者名	不明
攻撃手法サマリ	第三者が作成したコード（SDK）をアプリに取り込み、ユーザーの情報を抽出・悪用した。
マルウェア	Goldoson
脆弱性	不明

被害状況

事件発生日	記事には記載なし
被害者名	不明
被害サマリ	今回の記事では、DFIRのトラディショナルな手法が現代のサイバー攻撃に対処するのに効率的でないことが述べられていた。
被害額	記事には記載なし（予想：不明）

攻撃者

攻撃者名	不明
攻撃手法サマリ	記事では言及されていないが、サイバー攻撃に関連する内容である。
マルウェア	記事では言及されていないが、サイバー攻撃に関連する内容である。
脆弱性	記事では言及されていないが、サイバー攻撃に関連する内容である。

記事タイトル:

DFIR via XDR: How to expedite your investigations with a DFIRent approach

脆弱性:

記事には脆弱性に関する情報は含まれていない。

影響を受ける製品:

記事には影響を受ける製品に関する情報は含まれていない。

脆弱性サマリ:

記事には脆弱性に関する情報は含まれていない。

重大度:

記事には重大度に関する情報は含まれていない。

RCE:

記事にはRCEに関する情報は含まれていない。

攻撃観測:

記事には攻撃観測に関する情報は含まれていない。

PoC公開:

記事にはPoC公開に関する情報は含まれていない。

被害状況

事件発生日	2022年6月
被害者名	不明
被害サマリ	イランの国家指向の攻撃グループMuddyWaterが、SimpleHelpリモートサポートソフトウェアを使用して、被害者のデバイスに侵入し、存在を確保したと報告された。
被害額	不明

攻撃者

攻撃者名	イランの国家指向の攻撃グループMuddyWater
攻撃手法サマリ	SimpleHelpリモートサポートソフトウェアを使用して、ターゲットのシステムに侵入する。
マルウェア	未発見
脆弱性	未発見

被害状況

事件発生日	2022年11月11日
被害者名	Apple macOSの使用者
被害サマリ	ロックビット・ランサムウェアがApple macOS対応の新しいペイロードを開発した。この偽装ファイルがダウンロードされ、実行されると、ファイルが暗号化され、身代金が要求される。ペイロードは、2022年11月から存在しているが、セキュリティソフトに検出されないようにデザインされていた。これまでWindows OSをターゲットに開発されていたファイルの流用なので、macOSシステム上ではうまく機能しない。ただし今後の改良次第では脅威になる可能性がある。
被害額	不明（予想：依頼された身代金が被害額になるため、その額は不明）

攻撃者

攻撃者名	ロシアと関連する犯罪グループ
攻撃手法サマリ	ロックビット・ランサムウェアを活用したペイロード攻撃
マルウェア	ロックビット・ランサムウェア
脆弱性	脆弱性情報は不明

被害状況

事件発生日	不明（最初の攻撃は2022年の秋季）
被害者名	不明
被害サマリ	企業ネットワークを標的にしたマルウェア攻撃（Domino）により、情報窃取が行われた
被害額	不明（予想：数百万から数千万ドルの損失）

攻撃者

攻撃者名	Ex-ContiおよびFIN7
攻撃手法サマリ	企業ネットワークへのマルウェア攻撃
マルウェア	Domino、Dave Loader、Nemesis Project、Cobalt Strike beacon
脆弱性	不明

被害状況

事件発生日	不明（2023年4月17日に記事が公開された）
被害者名	台湾のメディア企業およびイタリアの求人サイト
被害サマリ	中国のAPT41ハッカーグループが、Taiwanese mediaとItalian job search companyに対するデータ窃盗攻撃で、Google Command and Control（GC2）のred teaming toolを悪用した。
被害額	不明

攻撃者

攻撃者名	中国のAPT41ハッカーグループ、通称HOODOO
攻撃手法サマリ	GC2を使用したデータ窃盗攻撃
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	2023年4月17日
被害者名	ジャーナリスト、政治的反対勢力、NGO職員を含む数多くのターゲットが被害に遭ったが詳細不明
被害サマリ	QuaDreamによって、北米、中央アジア、東南アジア、ヨーロッパ、中東で「REIGN」というスパイウェアフレームワークが使用され、データ窃取が行われた。スパイウェアはiOSのパッチ適用前の脆弱性を利用してインストールされた。
被害額	不明（予想：数億円～数十億円）

攻撃者

攻撃者名	QuaDream
攻撃手法サマリ	iOSの脆弱性を悪用したスパイウェアを使用したスマートフォンによるデータ窃取
マルウェア	REIGN
脆弱性	iOSの脆弱性