Prilexの改良版、クレジットカードの非接触型取引を標的に

山口 Tacos

2023.02.01

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年2月1日のサイバーアラートの中から、注目のニュースを3つピックアップしました（その他のニュースはページ後半に記載）。

Prilexの改良版、クレジットカードの非接触型取引を標的に

Kaspersky Lab – Jan 31 2023 08:00

カスペルスキーは31日、「極めて先進的なマルウェア」の「Prilex」に関するブログ記事を公開した。同社によると、PrilexにはATMを狙ったマルウェアからユニークなモジュラー型PoSマルウェアに進化した過去があるが、現在はさらに全く別の形へと進化している。

同社は2022年11月頃、Prilexの被害を受けた顧客における最近のインシデントレスポンスにおいて、非接触型決済の取引を妨げることが可能なPrilexの新バーションを3つ発見した。これら3バージョンはパンデミック中に広く普及したとのこと。

非接触型決済では、ターミナルからカード内に埋め込まれた無線ID（RFID）チップへと信号が送られる。この信号は再利用できないため、信号がサイバー犯罪者に盗まれたとしても、犯罪者は信号を使って金銭を盗むことはできない。しかし、PrilexがNFCベースの取引を検知すると、PINパッドにはエラーメッセージが表示される。これにより、感染したPoSターミナルにカードを挿入するよう被害者を促すのが、Prilexの目的である。

LockBitを装ったサイバー犯罪者が北欧の中小企業を標的に

Cyware – Jan 31 2023 12:43

流出したLockBitのロッカーが、三流のサイバー犯罪者たちの間で人気のオプションとなりつつある。最近では、北欧の中小企業に対してLockBitのロッカーを利用した恐喝が行われるケースが報告されていることから、地域の犯罪ギャングがLockBit利用の流行に飛びついていることが示されている。

例えば最近のベルギーの中小企業に対する攻撃は、当初LockBitグループがLockBitの亜種を使って行ったものだと考えられていた。しかし調査の結果、この攻撃者は本物のLockBitグループとは関係なく、同マルウェアの流出版を使用しているだけだったことが発覚したのだという。

今回のインシデントにより浮き彫りになったのは、古いソフトウェアやシステムがもたらす脅威。というのも、この攻撃者たちはファイアウォールFortiGateにおけるパッチ未適用の脆弱性（2018年に開示されたもの）を利用していたからだ。

サイバー攻撃の緩和策として組織や個人が講じることのできる最も重要な措置の1つは、脆弱性へのパッチ適用であるとCywareは結論づけている。また、LockBitの模倣者に関しては、本物のLockBitグループほど有効性の高い攻撃を実施できるわけではないものの、標的となった業界は重大なデータ抜き取りや障害に見舞われている。

VMware vRealize Log Insightの脆弱性CVE-2022-31706に対するRCEエクスプロイトを専門家がリリース

Security Affairs – Jan 31 2023 18:44

VMware vRealize Logにおけるリモートコード実行の脆弱性（CVE-2022-31706、CVSSスコアは9.8/10）に対するPoCエクスプロイトコードを、Horizon3’s Attack Teamの研究者がリリースした。

このPoCエクスプロイトコードによりVMware vRealize Logのさまざまな欠陥が引き起こされ、脆弱なインストール上でのリモートコード実行を実現できるようになる。Horizon3の投稿によると、このPoCはさまざまなThrift RPCエンドポイントを悪用し、任意のファイル書き込みを実現させるのだそう。

なお、VMwareは最近、vRealize Log InsightアプライアンスにおけるCVE-2022-31706を含む複数の脆弱性（CVE-2022-31704、CVE-2022-31710、CVE-2022-31711）に対処していた。

この中で最も深刻度が高いのが、CVE-2022-31706（ディレクトリトラバーサルの脆弱性）とCVE-2022-31704（アクセス制御不備の脆弱性）で、いずれもCVSSスコアは9.8。権限を持たない攻撃者が上記2つのうちいずれかを悪用すると、脆弱なアプライアンス上のOSへファイルを注入することが可能になり、これがリモートコード実行につながる恐れがある。

幸いなことに、現時点でCVE-2022-31706が実際の攻撃で悪用されたという報告はない。ただ、脅威アクターらは標的ネットワークで足場を得た後、独自のエクスプロイトを使用し始め、VMwareインストールを完全に侵害する可能性があるという。

VMwareによる脆弱性回避策はこちら：Workaround Instructions For VMSA-2023-0001 (90635)

2023年2月1日

ハイライト

ソースコードのリーク、BINDにDoS脆弱性、GoからTypescriptへのリファクタリング、Git監査とRust、SQL Slammer – ASW #227

SC Magazine US – Jan 31 2023 18:26

新たなマルウェアTitan Stealerの分析レポートがリリースされる

SC Magazine US – Jan 31 2023 19:33

Planet Iceでハッキング被害！スケートファン24万人の情報が盗まれる

Graham Cluley – Jan 31 2023 21:05

データ侵害によりJD Sportsの顧客1千万人のデータが漏洩

Heimdal Security Blog – Jan 31 2023 09:50

QNAP製NASデバイスの重大な脆弱性はコードインジェクションにつながる恐れ（CVE-2022-27596）

Security Week – Jan 31 2023 12:52

メタ、2FAバイパスの脆弱性を発見した研究者に報奨金27,000ドルを授与

Information Security Buzz – Jan 31 2023 09:53

QNAP製NASデバイスの重大な脆弱性が修正される：できる限り早くデバイスのアップデートを！（CVE-2022-27596）

Help Net Security – News – Jan 31 2023 09:55

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。