| CVE | CVE-2023-20159からCVE-2023-20162 |
|---|---|
| 影響を受ける製品 | Small Business Series Switches(一部はパッチ未適用) |
| 脆弱性サマリ | 認証されていないリモート攻撃者による任意コード実行やDoS攻撃を許可する脆弱性 |
| 重大度 | CVE-2023-20159からCVE-2023-20162の内、4つは10段階評価で9.8(重大) |
| RCE | 有 |
| 攻撃観測 | 証明書付きの悪用コードの存在は確認されているが、未だ攻撃は確認されていない |
| PoC公開 | あり |
| 事件発生日 | 2023年5月17日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | CiscoのSmall Businessシリーズスイッチに存在する4つの重大な脆弱性(CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, and CVE-2023-20189)が公開されたエクスプロイトコードによって攻撃され、リモートコード実行が可能になったことが明らかになった。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 脆弱性をもつスイッチのウェブインターフェイスに不正なリクエストを送信することで攻撃 |
| マルウェア | 不明 |
| 脆弱性 | Small Businessシリーズスイッチにおけるウェブインターフェイスの不適切なバリデーション |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | Windows 11ユーザー |
| 被害サマリ | Microsoft DefenderのアップデートによりLSA Protectionがオフになっているとの警告が頻繁に表示される。また、脆弱性があるためブルースクリーンや再起動の問題が発生する。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Microsoft Defenderのアップデートに不具合があり、Windows 11のセキュリティが脆弱化された。 |
| マルウェア | 特定されていない |
| 脆弱性 | Microsoft Defenderにある不具合 |
| 事件発生日 | 2023年5月4日 |
|---|---|
| 被害者名 | Windows開発者 |
| 被害サマリ | MicrosoftのVSCode Marketplaceに3つの悪意のある拡張機能がアップロードされ、Windows開発者に46,600ダウンロードされました。このマルウェアにより、脅威アクターは認証情報やシステム情報を盗み、被害者のマシンでリモートシェルを開いていました。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | MicrosoftのVSCode Marketplaceに悪意のある拡張機能をアップロードすることで、Windows開発者を攻撃。3つの拡張機能により、認証情報を盗む、リモートシェルを開くなどの攻撃を行いました。 |
| マルウェア | 3つの拡張機能が使用されていました。1つは"Theme Darcula dark"、1つは"python-vscode"、もう1つは"prettiest java"でした。 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月14日 |
|---|---|
| 被害者名 | ScanSource |
| 被害サマリ | アメリカのクラウドサービスおよびSaaS接続およびネットワーク通信プロバイダーであるScanSourceが、ランサムウェア攻撃に遭い、システムやビジネス操作および顧客ポータルに影響が出た。同社は、サービス提供に遅れが生じる可能性があると報告している。 |
| 被害額 | 不明(予想:数百万ドル) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | ランサムウェア攻撃 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 開発、人道支援、メディア、非政府組織 |
| 被害サマリ | YemenのHouthis運動の疑いがあるハッキンググループ、OilAlphaによるサイバースパイ活動。攻撃対象は、Arabian peninsulaにおけるArabic言語話者で、Androidデバイスを使用している。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | YemenのHouthis運動に関連があるグループ |
|---|---|
| 攻撃手法サマリ | WhatsAppなどのエンドツーエンドの暗号化通信アプリを使用して、Social engineering 戦術によって攻撃。URLのリンク先を短縮して用いた。APKファイルに紛れ込んだUNICEFやNGO、その他の救済団体になりすますアプリをtargetに送付し、Android APPに潜むSpyNote(別名SpyMax)を端末にインストールすることにより、被害を拡大。デスクトップマルウェアnJRATも併用された。 |
| マルウェア | SpyNote(別名SpyMax)とnJRAT。 |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | BianLianランサムウェアグループの攻撃により、米国とオーストラリアの重要インフラへの攻撃が自民主的データ窃取攻撃に切り替えたことが確認された。攻撃は2022年6月から続いており、2023年1月以降、ランサムウェアの復号が可能になり、攻撃は完全にデータ窃取に移行した。攻撃は、有効なリモートデスクトッププロトコル(RDP)の資格情報(最初のアクセスブローカーから購入されたり、フィッシングで取得されたりすることがある)を使用しており、ゴー言語で書かれたカスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドラインなどを用いて、ファイル転送プロトコル(FTP)、Rcloneツール、Megaファイルホスティングサービスを介して、被害者のデータを流出させる。攻撃は、Sophosセキュリティ製品による不正操作保護を無効にするために、PowerShellとWindowsコマンドシェルを利用して、ウイルス対策ツールの関連する実行プロセスを無効化する。 |
| 被害額 | 不明(予想:被害額は不明であるため、推定できません) |
| 攻撃者名 | BianLianランサムウェアグループ(国籍などの特徴は不明) |
|---|---|
| 攻撃手法サマリ | 有効なリモートデスクトッププロトコル(RDP)の資格情報を使用してアクセス。カスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドライン、PowerShell、Windowsコマンドシェルを利用して攻撃を行う。詳細はMitigations section of this advisoryを参照。 |
| マルウェア | BianLianランサムウェア |
| 脆弱性 | 不明 |