| 事件発生日 | 2024年1月12日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | ハッカーは、Ivanti Connect Secureの2つのゼロデイ脆弱性を利用して、スパイ目的のために複数のカスタムマルウェアを展開していた。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | ゼロデイ脆弱性を悪用して認証をバイパスし、任意のコマンドを注入することで、カスタムマルウェアを展開している。 |
| マルウェア | Zipline Passive Backdoor、Thinspool Dropper、Wirefire web shell、Lightwire web shell、Warpwire harverster、PySoxy tunneler、BusyBox、Thinspool utilityなどのカスタムマルウェアが使用されている。 |
| 脆弱性 | CVE-2023-46805とCVE-2024-21887の2つのゼロデイ脆弱性が悪用されている。 |
| CVE | CVE-2023-46805, CVE-2024-21887 |
|---|---|
| 影響を受ける製品 | Ivanti Connect Secure (ICS) VPN appliances |
| 脆弱性サマリ | Ivanti Connect Secure(ICS)VPNアプライアンスには、2つのゼロデイ脆弱性が存在し、これを利用して攻撃者が攻撃を行っていた。 |
| 重大度 | 不明 |
| RCE | 無 |
| 攻撃観測 | 有 |
| PoC公開 | 無 |
| 事件発生日 | Jan 12, 2024 |
|---|---|
| 被害者名 | 情報なし |
| 被害サマリ | Medusaランサムウェアのグループが、ダークウェブ上でのデータリークサイトの運営を開始し、2023年2月以降、要求に応じない被害者の機密データを公開している。このグループは、ビクティムに対してデータの展示期間延長、データ削除、またはすべてのデータのダウンロードなど、多様な選択肢を提供し、その都度価格が設定されている。 |
| 被害額 | 情報なし(予想) |
| 攻撃者名 | 情報なし |
|---|---|
| 攻撃手法サマリ | 攻撃者は、インターネットに公開された脆弱性を利用したり、正規のアカウントを乗っ取ったりして、企業のネットワークを標的にする。攻撃の初期段階では、ウェブシェルやリモート監視・管理ソフトウェアをインストールするための経路として、Microsoft Exchange Serverが悪用されている。 |
| マルウェア | Medusaランサムウェア |
| 脆弱性 | 情報なし |
| CVE | CVE-2023-7028 |
|---|---|
| 影響を受ける製品 | GitLab Community Edition (CE) 16.1以前、Enterprise Edition (EE) 16.1以前 |
| 脆弱性サマリ | メールの検証プロセスのバグにより、未確認のメールアドレスに対してパスワードリセットのメールが送信され、アカウント乗っ取りが可能 |
| 重大度 | 高 (CVSSスコア10.0) |
| RCE | なし |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2024年1月12日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Apache HadoopとFlinkのミスコンフィグレーションを悪用して、仮想環境に仮想通貨マイナーを展開する新たな攻撃が特定されました。 |
| 被害額 | (予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | パッカーとルートキットを使用してマルウェアを隠蔽する攻撃です。 |
| マルウェア | 不明 |
| 脆弱性 | Apache HadoopとFlinkのミスコンフィグレーション |
| CVE | CVE-2023-29357 |
|---|---|
| 影響を受ける製品 | Microsoft SharePoint Server |
| 脆弱性サマリ | 特権の昇格を可能とする脆弱性 |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2024年1月11日 |
|---|---|
| 被害者名 | T-Mobileの顧客 |
| 被害サマリ | T-Mobileの顧客はアカウントにログインしたり、モバイルアプリを使用したりすることができない。T-Mobileのウェブサイトが利用できなくなっている。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 不明 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2024年1月11日 |
|---|---|
| 被害者名 | Framework Computerの顧客 |
| 被害サマリ | Keating Consulting Group(Frameworkの会計サービスプロバイダ)がフィッシング攻撃によって被害を受け、FrameworkのCEOを装った攻撃者によって顧客の個人情報が漏洩しました。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | フィッシング攻撃 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| CVE | CVE-2023-6875, CVE-2023-7027 |
|---|---|
| 影響を受ける製品 | POST SMTP Mailer WordPress plugin |
| 脆弱性サマリ | 1. 認可バイパスの脆弱性(CVE-2023-6875):APIキーのリセットやパスワードリセットメールの表示を通じてサイトの認証をバイパスできる 2. クロスサイトスクリプティング(XSS)の脆弱性(CVE-2023-7027):不十分な入力検証と出力エスケープにより、任意のスクリプトをサイトのWebページに挿入できる |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | 不明 |
| PoC公開 | 有 |