| 事件発生日 | 2023年11月29日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | DJVU(STOPランサムウェアの一種)の最新バリアントであるXaroがクラックされたソフトウェアを偽装して拡散している。犯罪者はダウンロードされたファイルに異なるコモディティのローダーや情報窃取マルウェア(RedLine StealerやVidarなど)を組み込んでおり、被害は拡大している。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Xaroは疑わしいソースからのアーカイブファイルとして広まっており、偽のフリーウェアを提供しているサイトに偽装されている。ファイルを開くと、CutePDFというPDF作成ソフトウェアのインストーラーバイナリが実行されるが、実際にはPrivateLoaderというマルウェアダウンローダーサービスが起動する。 |
| マルウェア | RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig, Fabookie |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年11月29日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Apache ActiveMQに影響を及ぼす致命的なセキュリティの脆弱性が判明し、脅威行為者によってGoTitanという新しいボットネットとPrCtrl Ratという.NETプログラムが配信され、感染したホストをリモートで操作することができる。脆弱性は悪意のあるハッキンググループ、Lazarus Groupなどによって利用されている。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | リモートコード実行の脆弱性(CVE-2023-46604)が悪用され、GoTitanというボットネットが配信されている。 |
| マルウェア | GoTitan、PrCtrl Rat |
| 脆弱性 | Apache ActiveMQのリモートコード実行の脆弱性(CVE-2023-46604) |
| CVE | CVE-2023-6345 |
|---|---|
| 影響を受ける製品 | Google Chrome |
| 脆弱性サマリ | Skiaという2Dグラフィックスライブラリの整数オーバーフローバグ |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| 事件発生日 | 2023年11月28日 |
|---|---|
| 被害者名 | Google Workspaceのユーザー |
| 被害サマリ | Google Workspaceのドメインワイド委任(DWD)機能の設計上の欠陥により、攻撃者は特権昇格を行い、スーパー管理者特権を持たなくてもWorkspace APIに不正アクセスすることが可能となった。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 特権昇格を利用した不正アクセス |
| マルウェア | 不明 |
| 脆弱性 | Google Workspaceのドメインワイド委任(DWD)機能の設計上の欠陥 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Google Workspace |
| 脆弱性サマリ | Google Workspaceのドメイン全体の委任(DWD)機能に「深刻な設計上の欠陥」があり、脅威行為者が特権昇格を容易にし、スーパーアドミン権限なしでWorkspace APIへの不正アクセスを取得する可能性がある |
| 重大度 | 高 |
| RCE | なし |
| 攻撃観測 | 不明 |
| PoC公開 | 有(DWDの誤設定を検出するためのPoCが公開されている) |
| 事件発生日 | 2023年11月28日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 資格情報の盗難により、組織のネットワーク全体が危険にさらされる。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | フィッシング攻撃と社会工作が主な手法。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年11月21日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | キーウ、チェルカースィ、リヴネ、ヴィンニツィアの各地域で行われた捜索作戦により、ウクライナの数名の主要な身柄が逮捕された。逮捕された人物は、LockerGoga、MegaCortex、Dharmaのランサムウェアファミリーに関与していたとされる。 |
| 被害額 | 数億ユーロ以上(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | ブルートフォース攻撃、SQLインジェクション、フィッシングメールによる攻撃などを使用 |
| マルウェア | TrickBot、Cobalt Strike、PowerShell Empireなど |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Windows NTLMトークンを持つWindowsユーザー |
| 脆弱性サマリ | ユーザーが特別に作成されたMicrosoft Accessファイルを開くことで、WindowsユーザーのNTLMトークンが漏洩する可能性がある |
| 重大度 | 不明 |
| RCE | 無 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2023年11月28日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 北朝鮮のハッカー集団が、macOSマルウェアのRustBucketおよびKANDYKORNを組み合わせて攻撃活動を行っていることが判明した。RustBucketはPDFリーダーアプリのバックドア化バージョンを利用し、特殊な文書を閲覧するとRustで書かれた次段階のマルウェアがロードされる。KANDYKORNキャンペーンでは、ブロックチェーンエンジニアがDiscord経由で攻撃され、高度な段階を経た攻撃シーケンスが展開された。攻撃結果として、メモリ上に残るリモートアクセストロイヤンがデプロイされた。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 北朝鮮のハッカー集団(Lazarus Group) |
|---|---|
| 攻撃手法サマリ | macOSマルウェアのRustBucketおよびKANDYKORNを組み合わせて攻撃活動を行っている。 |
| マルウェア | RustBucket, KANDYKORN, ObjCShellz |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | macOS |
| 脆弱性サマリ | 北朝鮮のハッカーが異なる要素を組み合わせて攻撃を行っている |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | 有 |
| PoC公開 | 無 |