サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年2月16日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
ChatGPTを使ったIoC検知の実験
Kaspersky Lab – Feb 15 2023 10:00
カスペルスキー社が、ChatGPTを使ったIoC検知の実験結果をブログに公開した。
セキュリティ研究者らはIoCやTTPに関する調査結果を、レポートやブログ記事、ツイート、その他の形式でネット上に公開している。この現状を踏まえ、以下4種類の実験が行われた。
・MimikatzやFast Reverse Proxyといったツールをハッキングツールとして判別できるか。悪意あるファイル名をIoCとして判別できるか(結果:成功)
・有名ランサムウェアWannacryのハッシュ値を判別できるか(結果:失敗)
・APTグループ関連の既知のドメインを判別できるか(結果:失敗。おそらく正規ドメインばかりを回答)
・FIN7グループのドメインを判別できるか(結果:有害ドメインと判断したが、FIN7のものとは特定せず)
レポートは、単純なインジケーターよりもホストベースのアーティファクトで良い結果が出たことに着目。テスト用Windowsシステムから複数のメタデータを抽出するコードを書き、メタデータがIoCかどうかを回答させるなど、さらに詳細に検討した。
最後に、ChatGPTを使ったIoCスキャニングの完全実装は、コストに見合った結果が得られないかもしれないと指摘しつつ、想定される活用例として以下の4つを挙げた。
・IoCに関するシステムチェック(特に、検知ルールが全て揃ったEDRを持っていない場合、DFIRをする必要がある場合)
・現行のシグニチャベースのルールとChatGPTの出力内容の比較によるギャップの特定
・コード難読化の検知
・類似性の検知(マルウェアバイナリをChatGPTに与え、新たなバイナリが他のバイナリと似ていないかを訊ねる)
患者百万人の保健情報がGoAnywhereの重大な脆弱性を使って窃取される(CVE-2023-0669)
ArsTechnica – Feb 15 2023 21:05
米国最大規模の病院チェーンの1つであるCommunity Health Systems(CHS)は、患者100万人分の保護対象保健情報や個人情報をハッカーが取得していたことを明かした。同院によれば、これらのデータはサードパーティプロバイダーFortraでのセキュリティ侵害により盗まれたのだという。
この侵害は、Fortra社のエンタープライズ向けソフトウェア製品GoAnywhereのゼロデイ脆弱性CVE-2023-0669の悪用によって行われた可能性が高い。CVE-2023-0669は2週間前にジャーナリストBrian Krebs氏によって公表されたもので、「リモートコードインジェクションの脆弱性」と説明されている。(詳しくはこちらの記事で:アトラシアン製ソフトウェアJiraに重大な認証不備の脆弱性(CVE-2023-22501))
CHSの報告内容を踏まえると、この侵害はFortraから同院へ直接通知されたものとみられる。
ゼロデイ脆弱性CVE-2023-0669をめぐっては、最近、Clopランサムウェアグループが「同脆弱性を悪用して130以上の組織をハッキングした」と主張したが、その真偽は不明。(詳しくはこちらの記事で:Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張(CVE-2023-0669))
シーメンス、シュナイダーエレクトリックが脆弱性100件に対処:ICS Patch Tuesday
Security Week – Feb 15 2023 12:07
シーメンスとシュナイダーエレクトリックは、2023年2月の月例パッチにおいて合わせて約100件の脆弱性に対処した。
<シーメンス>
シーメンスは新たなアドバイザリを13件公開し、合計86件の脆弱性に対処。この中には、CVSSスコアが10/10の重大な脆弱性が含まれていた。この脆弱性はメモリ破損の問題であり、プラントエンジニアリングソフトウェアCOMOSにおけるDoS状態や任意のコード実行につながる恐れがあるという。
また、Brownfield Connectivityにおける深刻度の高い脆弱性も十数件修正された。これらの欠陥が悪用され得ると、DoS状態が引き起こされる恐れがある。
このほかシーメンスは最新の定例パッチの中で、BIOS関連の深刻度の高い脆弱性数件にも対処している。さらに、Tecnomatix Plant Simulation、JT Open Toolkit、JT Utilities、Parasolid、Solid Edge、Simcenter Femapにおける深刻度の高い脆弱性数件も修正された。これらの脆弱性は、悪用されるとコード実行やDoS攻撃が可能になる恐れがある。
シーメンスのアドバイザリはこちら。
<シュナイダーエレクトリック>
シュナイダーエレクトリックは3件のアドバイザリを公開し、脆弱性10件に対処した。アドバイザリの1つは、モニタリングソフトウェアStruxureWare Data Center Expertで見つかった深刻度が中程度および高い脆弱性9件に関するもの。これらの脆弱性が悪用されると、リモートコード/コマンド実行や特権昇格が可能になる恐れがある。
2つ目のアドバイザリは、Merten KNXに影響を与える不適切な認証の脆弱性に関するもの。
また3つ目のアドバイザリは、EcoStruxure Geo SCADA Expertにおける深刻度が中程度の問題について顧客へ通知する内容。
シュナイダーエレクトリックのアドバイザリはこちら。
2023年2月16日
ハイライト
北朝鮮のAPT37が新たなマルウェアM2RATを使い韓国を標的に
The Hacker News – Feb 15 2023 14:59
インドが支援するアクターSideWinderによるこれまで知られていなかったキャンペーンについて、Group-IBが詳しく報告
SiliconANGLE – Feb 15 2023 07:04
スカンジナビア航空にサイバー攻撃、「Anonymous Sudan」が犯行声明
The Record – Feb 15 2023 18:32
ShadowPadを用いた攻撃で、南米の外交機関が標的に
SC Magazine US – Feb 16 2023 02:24
APTグループDark Caracal、スパイウェアBandookの新バージョンとともに再登場
マルウェアTZWがマルウェアファミリーGlobeImposterの一部であることが、最近のキャンペーンにより示される
SentinelOne – Feb 15 2023 13:45
マイクロソフトがNobeliumの高度な戦術に関するレポートを公開
新たなランサムウェアMortalKombatによる攻撃、狙いは暗号資産ウォレット
ランサムウェアMortalKombatはコンピューターに感染し、ユーザーから暗号資産を盗む
Information Security Buzz – Feb 15 2023 14:31
金銭的動機を持つ脅威アクターが新たなランサムウェアとクリッパーマルウェアを使って攻撃キャンペーンを実施
The Hacker News – Feb 15 2023 13:33
Miraiの亜種V3G4がDDoS攻撃実施のためIoTデバイスを悪用
専門家が「Beep」について注意喚起 – 密かに活動する、検出回避性能の高い新たなマルウェア
The Hacker News – Feb 15 2023 09:25
Community Health Systemsでデータ侵害、原因はGoAnywhere MFTのゼロデイ利用したハッキング(CVE-2023-0669)
Security Affairs – Feb 15 2023 09:42
CHSの患者百万人がFortraのGoAnywhere関連のデータ侵害で影響受ける(CVE-2023-0669)
Heimdal Security Blog – Feb 15 2023 11:02
Emsisoft、「ハッカーがネットワーク侵害するために自社を装った偽証明書を使用」と主張
Bleeping Computer – Feb 15 2023 17:01
Pepsi Bottling Venturesでデータ侵害、従業員情報に影響
Medium Cybersecurity – Feb 15 2023 11:31
CitrixがWindows、Linux向けアプリにおける深刻度の高い脆弱性を修正(CVE-2023-24483ほか)
Security Week – Feb 15 2023 11:52
SAP、2023年2月のセキュリティアップデートで深刻度の高い脆弱性を数件修正(CVE-2023-24523ほか)
SecurityWeek – Feb 15 2023 11:11
アップルがmacOS, iOSにおけるゼロデイバグなどの問題に対処(CVE-2023-23529ほか)
News ≈ Packet Storm – Feb 15 2023 17:29
Cisco Email Security ApplianceとCisco Secure Email and Web Managerに脆弱性(High:CVE-2023-20009、CVE-2023-20075)
Cisco Security Advisory – Feb 15 2023 16:00
マイクロソフト月例パッチの脆弱性のうちゼロデイ2件は、権限をSYSTEMレベルにまで昇格可能(CVE-2023-23376、CVE-2023-21823)
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。