- Lazarus Groupは、Windows Internet Information Services（IIS）Webサーバーによる初期アクセスを狙う攻撃を行った。
- Lazarus Groupは、North Koreaと関係があるとされ、資金調達のため複数のマルウェア攻撃を行っていると考えられている。
- 攻撃は、既知の脆弱性や誤った構成などによってIISサーバーに侵入し、悪意のあるファイルを配置して脅威を実行する。
- 攻撃は、DLL側面ローディングというテクニックを採用しているため、プロセスの異常な実行に関して監視すべきである。
- Lazarus Groupは、情報窃取と横方向の移動の活動を予防するため、事前予防措置を講じる。

被害状況

事件発生日	不明
被害者名	複数の被害者
被害サマリ	Cryptor（AceCryptor）により多数のマルウェアが梱包され、2021年と2022年にESETのテレメトリで240,000以上の検出が確認された。被害国は、ペルー、エジプト、タイ、インドネシア、トルコ、ブラジル、メキシコ、南アフリカ、ポーランド、インドである。
被害額	不明（予想：数 million USD）

攻撃者

攻撃者名	不明
攻撃手法サマリ	Crypterによるマルウェアのパッキング、暗号化（梱包）が使用された。
マルウェア	SmokeLoader、RedLine Stealer、RanumBot、Raccoon Stealer、Stop ransomware、Amadeyなど、複数のマルウェアが含まれた。
脆弱性	不明

1. 「The Hacker News」というサイトは、300万以上のフォロワーによって信頼されるサイバーセキュリティニュースプラットフォームである。
2. 「Continuous Threat Exposure Management（CTEM）」という枠組みは、組織が継続的に危険要因を監視し、評価し、削減するための5段階のプログラムであり、Gartnerの報告書によると、実行計画のための一貫した実行可能なセキュリティポジション改善プランを企業の経営幹部が理解し、アーキテクチャチームが対応するプランを作成することが目的である。
3. CTEMプログラムを実行するにあたり、企業は予期しない問題にぶつかる可能性があるため、早期にそれらを解決するために慎重に計画を立てることが重要である。
4. 慎重に実行するための主な挑戦としては、セキュリティチームと非セキュリティチームの間の言語の壁、全体像を捉える難しさなどがある。
5. CTEMを正しく実装することで、組織は攻撃者に悪用される可能性がある問題の領域を特定し、それらに対処することができるため、セキュリティポジションを継続的に改善することができる。

被害状況

事件発生日	2023年5月29日
被害者名	不明
被害サマリ	日本のLinuxルーターが、Golangによる新しいリモートアクセストロイジャン（RAT）GobRATの標的となっている。
被害額	不明（予想：不明）

攻撃者

攻撃者名	不明
攻撃手法サマリ	ポートをオープンにしたルーターに対して脆弱性を利用してスクリプトを実行し、ローダースクリプトをデプロイしてGobRATを配信する。
マルウェア	GobRAT
脆弱性	不明

脆弱性

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	.ZIPドメインを悪用したフィッシング攻撃による装うプログラム
重大度	不明
RCE	不明
攻撃観測	あり
PoC公開	不明

この記事は新たなフィッシング手法について述べたものである。この手法により、被害者が.ZIPドメインを訪れた時、Webブラウザ上でファイルアーカイバーソフトウェアを「シミュレート」することができる。攻撃者はHTMLとCSSを使用して、合法的なファイルアーカイブソフトウェアに似せた信憑性の高いフィッシングのランディングページを作成することができる。ファイルアーカイブを含む偽のZIPアーカイブがクリックされたとき、攻撃者は資格情報の収集ページにユーザーをリダイレクトすることができる。この手法では、非実行可能なファイルがリストアップされ、ダウンロードを開始すると実行可能なファイル（「invoice.pdf」など）であると偽装することができる。攻撃者は非常に合法的に見せることができるため、被害者はファイルダウンロードを期待している状態になる可能性がある。もっとも、Windowsファイルエクスプローラーの検索バーを利用してさえ、非存在する.ZIPファイルを検索した場合、ユーザーは本物の.ZIPドメインを自動的に開くことになる。こうした新たな攻撃手法の背景には、Googleがzipやmovといった新しいトップレベルドメインを導入したことがあげられる。これらは、悪意のあるWebサイトへの誘導やマルウェアの誤ダウンロードなどを引き起こす可能性がある。

脆弱性

脆弱性	PyPIパッケージのアカウント所有者に対し、年末までに2要素認証を義務付けると発表
影響を受ける製品	PyPIパッケージを利用しているソフトウェア
脆弱性サマリ	アカウント乗っ取りによる悪意あるパッケージの配布を防ぎ、パッケージ偽装やマルウェアを抑止するための措置
重大度	不明
RCE	不明
攻撃観測	不明
PoC公開	なし

脆弱性

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	「ファイルアーカイバ」を装い、ZIPドメインでフィッシング攻撃を行う手法が確認される
重大度	なし
RCE	無
攻撃観測	有
PoC公開	有

脆弱性概要： ZIPドメインを使用したフィッシング攻撃による悪意あるファイルの実行が可能になる脆弱性が報告されている。攻撃者が「ファイルアーカイバ」を装い、ZIPドメインで偽のWinRARウインドウを表示させてユーザに偽のファイルを開示し、ユーザにクリックさせてフィッシング攻撃やマルウェアの実行を行わせる手法が確認されている。PoCが公開されている。

脆弱性

CVE	なし
影響を受ける製品	Python Package Index
脆弱性サマリ	PyPIは、すべてのソフトウェア公開者に2FAを義務付けます
重大度	なし
RCE	不明
攻撃観測	なし
PoC公開	なし

脆弱性の概要: Python Package Index（PyPI）は、アカウントの管理者が年末までに2要素認証（2FA）をオンにすることを要求することを発表しました。2FA保護の1つの利点は、サプライチェーン攻撃リスクが軽減されることです。これらの攻撃は、悪意のあるアクターがソフトウェアメンテナーのアカウントを制御し、バックドアまたはマルウェアを、様々なソフトウェアプロジェクトで依存関係として使用されるパッケージに追加する場合に発生します。依存関係にあるパッケージがどれほど人気があるかによって、これらの攻撃は数百万人のユーザーに影響を与える可能性があります。また、Pythonプロジェクトリポジトリは、過去数ヶ月間に大量のマルウェアアップロード、有名なパッケージなりすまし、およびハイジャックされたアカウントを使用した悪意のあるコードの再提出に苦しんでいます。PyPIの2FA保護は、アカウント乗っ取り攻撃の問題を軽減し、停止されたユーザーが悪意のあるパッケージを再アップロードするために作成できる新しいアカウントの数にも制限を設定する必要があります。

- CISAが、Barracuda Email Security Gateway (ESG)アプライアンスに侵入するために利用された最近パッチが当てられたzero-day脆弱性について、先週警告した。
- ゼロデイ脆弱性CVE-2023-2868は、すでにBarracudaによって修正されたため、FCEB機関は脆弱性を修正する必要がなくなった。
- Barracudaは、影響を受けたデバイス全体に第二のパッチを適用したと述べている。
- Barracudaのセキュリティソリューションは、サムスン、三菱、Kraft Heinz、デルタ航空などの有名企業を含む、世界中の200,000以上の組織に利用されている。
- 脆弱性は、複数のメールゲートウェイアプライアンスへの不正アクセスを引き起こし、影響を受けた顧客は、他のネットワークデバイスへのアクセスを確認するよう勧告された。