サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年2月6日のサイバーアラートの中から、注目のニュースを3つピックアップしました(その他のニュースはページ後半に記載)。
VMware ESXiにおける重大な、しかし古い脆弱性を狙ってランサムウェアアクターが大規模攻撃実施(CVE-2021-21974)
The Register – Security – Feb 06 2023 06:30
フランスのコンピューター緊急タイプチーム(CERT-FR)が、VMware製ハイパーバイザーVMware ESXiを狙ったランサムウェアキャンペーンに関するアラートを公開。また、イタリアのサイバーセキュリティ当局も同キャンペーンに関して警告した。どちらの国のアラートにも攻撃の出どころに関する情報は記載されていないものの、両者は共通してこの攻撃が脆弱性CVE-2021-21974を狙うものであるという点に触れていた。
CVE-2021-21974は約2年前の2021年2月に開示され、パッチがリリースされている。ESXi 7.0、6.7、6.5がこの脆弱性の影響を受ける。
The Redisterによると、幸いなことにこの攻撃で展開されているランサムウェアは少々出来が悪いとのこと。同キャンペーンを観測しているフランスのクラウドプロバイダーOVHは、暗号化は失敗に終わることがあり、データが抜き取られることはないと考えているそう。また、復号ツールも既に利用可能になっているとのこと。
同社が観測したIoCには以下のようなものがある:
・侵害ベクターはOpenSLPの脆弱性(まだ確認されてはいないが、CVE-2021-21974の可能性がある)を使ったものであることが確かめられている。
・暗号化プロセスは仮想マシンファイルを明確に狙っている(.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、*.vmem)
RoyalランサムウェアのLinux版がVMware ESXiサーバーを標的に
Bleeping Computer – Feb 05 2023 15:15
Royalランサムウェアもその他のランサムウェアオペレーションに続き、自身の最新マルウェア亜種にLinuxデバイスの暗号化へのサポートを追加。具体的には、同亜種はVMware ESXiの仮想マシンを狙う。Equinix Threat Analysis CenterのWill Thomas氏によって発見された同亜種は、コマンドラインを使って実行されるのだという。
これまでにもBleepingComputerは、同様のLinux向けランサムウェア暗号化ツールが複数のグループ(Black Basta、LockBit、BlackMatter、AvosLocker、REvil、HelloKitty、RansomEXX、Hiveなど)によってリリースされてきた旨を報道している。Wosarが昨年BleepingComputerに伝えたところによると、「大半のランサムウェアグループがLinux版のランサムウェアを実装するようになった理由は、ESXiを狙うため」であるとのこと。
Royalランサムウェアは、かつてContiランサムウェアのもとで働いていた経験豊富な脅威アクターたちからなるプライベートなランサムウェアオペレーション。2022年1月に初めて観測され、9月以降悪意ある活動を活発化させている。12月には、米国の保健福祉省(HHS)がヘルスケア・公共ヘルスケア業界の組織を狙ったランサムウェアの攻撃について注意喚起を行っていた。
シャルリー・エブドでのデータリークはイラン関連APTのNEPTUNIUMによるものとマイクロソフト
Security Affairs – Feb 05 2023 12:54
過激な風刺画などで知られるフランスの週刊紙「シャルリー・エブド」に対する最近のサイバー攻撃はイラン関連APTグループ「NEPTUNIUM」(別名「Emennet Pasargad」、「Holy Souls」)によるものだと、マイクロソフトが指摘。
1月はじめ、同脅威アクターは同紙のデータベースをハッキングして顧客20万人以上分の個人情報を入手したと主張し、ハッキングの証拠としてデータのサンプルを公開した。漏洩したデータには、シャルリー・エブドを購読している人や、同紙から商品を購入した人のアカウントの氏名、電話番号、自宅住所、メールアドレスが含まれていたとのこと。
マイクロソフトによれば、この攻撃が起こる1か月前、同紙はイランの最高指導者アリ・ハメネイ師を「嘲笑」するための国際漫画コンペを開催すると発表していたそう。そして受賞した漫画を掲載した号は、同紙のオフィスがイスラム過激派に襲撃されて同紙編集者ら12人が死亡した事件(※)から8年が経過するタイミングにあわせて発行される予定だったとのこと。
※参考:公安調査庁「預言者ムハンマドの風刺画をめぐり相次ぐテロ」
2023年2月3日
ハイライト
ESETのセキュリティ研究者が新たなデータ破壊マルウェア「SwiftSlicer」を発見、その明確な目的はActive Directoryドメインの破壊!
Medium Cybersecurity – Feb 05 2023 21:17
Nevadaランサムウェアがアップグレード版ロッカーをリリース
Help Net Security – News – Feb 06 2023 04:00
Black Basta:大規模ランサムウェアグループが徹底的に暴かれる
Medium Cybersecurity – Feb 06 2023 00:03
Marriott Internationalでのデータ侵害(2018):カスタマーサポートの教訓
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。