Threat Report

Silobreaker-CyberAlert

Raspberry Robinが他の脅威アクターによって転用可能であることが最新の分析で判明

山口 Tacos

2023.01.12

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年1月12日のサイバーアラートの中から、注目のニュースを3つピックアップしました（その他のニュースはページ後半に記載）。

Raspberry Robinが他の脅威アクターによって転用可能であることが最新の分析で判明

The Hacker News – Jan 11 2023 17:35

脅威アクター「DEV-0856」のものとされるマルウェア「Raspberry Robin」の攻撃インフラが、他の脅威アクターに転用される可能性があるとするレポートを、セキュリティ企業SEKOIAが10日付けで公表した。Raspberry Robinは、「IcedID」やランサムウェア「LockBit」といったペイロードを展開するために利用されている。

5日には、ロシア関連グループ「Turla」がマルウェア「ANDROMEDA」の期限切れドメインを再利用したと、マンディアント社が報告したばかり。SEKOIA社は「ボットネットは複数の目的に利用され、その運営者に再利用・改造されたりすることがあるほか、他のグループに乗っ取られることすらある」としている。

ChatGPTはフィッシングとビジネスメール詐欺の成功率を大幅に上げるために利用可能と研究で判明

CSO Magazine – Jan 11 2023 18:45

自然言語生成モデルのGPT-3と、GPT-3をベースにしたチャットボット「ChatGPT」のような深層学習モデルが、フィッシングやビジネスメール詐欺といったソーシャルエンジニアリング攻撃を検出しにくく、かつ成功させやすくするために利用される可能性があることを、セキュリティ研究者らが実証した。

研究を行ったのはセキュリティ企業のWithSecure。研究は、文法的に正確でかつ人間が書いたようなテキストを含んだ同一フィッシングルアーの亜種を、攻撃者が複数生成できることを実証。さらに、攻撃者のメールの説得力を高めるためにメールチェーン全体を作ることや、実在する人の文体を使ってメッセージを生成することも可能であることが実証された。

Stuxnetを彷彿とさせ、多数のPLCに影響を与える脆弱性（CVE-2022-38773）

ArsTechnica – Jan 11 2023 19:51

2009年、イランのウラン濃縮工場にある数百台の遠心分離機の機能が停止した。この事態が発生した原因は、コンピューターワーム「Stuxnet」が、同施設の産業用コンピューターで使われていたプログラマブルロジックコントローラ（PLC）と呼ばれるソフトウェアを攻撃したことだった。それから十数年が経ち、このインシデントを思い起こさせるような脆弱性が新たに発見されている。シーメンスのPLC製品であるS7-1500シリーズに影響を与えるこの脆弱性は、攻撃者に悪用されると、有害ファームウェアのインストールおよびデバイスの完全な乗っ取りを可能にする恐れがある。

同脆弱性は、専用のチップに物理的に焼き付けられた暗号の実装方式におけるエラーに起因しているため、ソフトウェアパッチによる修正は不可能で、シーメンスには修正の計画はない。ある研究者は、「シーメンス製PLCは世界中の非常に重要な設備内で用いられており、その多くは攻撃者にとって非常に魅力的な標的となり得る」と述べている。

シーメンスによるアドバイザリはこちら：Siemens Security Advisory by Siemens ProductCERT

2023年1月12日

ハイライト

関連記事：「DDoS攻撃とは？仕組み、種類、影響、対策」

オーストラリアのヘルスケア業界がGootkit Loaderのキャンペーンの標的に

Security Affairs – Jan 11 2023 21:50

オーストラリアのヘルスケア部門がGootkitマルウェアによる最新の攻撃の標的に

The Hacker News – Jan 11 2023 14:24

ハッカーグループ「StrongPity」、ユーザーをスパイするため偽のビデオチャットアプリを作成

The Record – Jan 11 2023 16:55

ランサムウェアLorenzはバックドアを仕込んだ5か月後に攻撃を完了

Cyware – Jan 11 2023 21:18

ランサムウェアMegaCortexの被害者向けに無料復号ツールがリリースされる

Graham Cluley – Jan 12 2023 01:16

AnyDesk装うドメインが使われる広範なキャンペーンで、情報窃取型マルウェアVidarが展開される

SC Magazine US – Jan 12 2023 04:36

マルウェアGootkit、ヘルスケア組織をCobalt Strikeに感染させるためVLCメディアプレーヤーを悪用

Bleeping Computer – Jan 11 2023 17:24

マルウェアKinsing、設定ミスのあるPostgreSQLを使ってKubernetesクラスタを攻撃

Information Security Buzz – Jan 11 2023 14:13

日本国内のアフラックおよびチューリッヒの保険加入者がデータ侵害による影響受ける

BankInfoSecurity – Jan 11 2023 21:39

Twitterユーザー2億人分の個人データが窃取されたのは、イーロン・マスク氏のCEO就任前だった

MediaCenter Panda Security – Jan 11 2023 11:47

保険会社Bay Bridge Administratorsでのデータ侵害により、25万1千人が影響受ける

SecurityWeek – Jan 11 2023 11:53

マイクロソフト、11月の月例パッチによって生じたWindowsデータベースの接続の問題を修正

The Register – Security – Jan 11 2023 17:00

米FBI、ダークウェブ上のISISサイトをハッキングしたかどうかを明かさず

News ≈ Packet Storm – Jan 11 2023 15:07

サイバー犯罪グループ、セキュリティ製品回避のためWindowsのドライバにおける古い脆弱性を悪用（CVE-2015-2291）

SecurityWeek – Jan 11 2023 14:13

シスコ、中小企業向けルーター製品の重大な脆弱性について顧客に注意喚起（CVE-2023-20025、CVE-2023-20026）

SiliconANGLE – Jan 12 2023 01:03

米CISA、MS Exchangeの欠陥（CVE-2022-41080）を悪用が確認済みの脆弱性カタログに追加

Security Affairs – Jan 11 2023 10:49

GoogleがChrome 109をリリース、脆弱性17件にパッチ（CVE-2023-0128、CVE-2023-0129など）

Security Week – Jan 11 2023 15:52

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。