ESXiArgsランサムウェア、ヨーロッパ諸国で新たに500以上の標的を攻撃 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ESXiArgsランサムウェア、ヨーロッパ諸国で新たに500以上の標的を攻撃

Threat Report

Silobreaker-CyberAlert

ESXiArgsランサムウェア、ヨーロッパ諸国で新たに500以上の標的を攻撃

山口 Tacos

山口 Tacos

2023.02.17

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年2月17日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

ESXiArgsランサムウェア、ヨーロッパ諸国で新たに500以上の標的を攻撃

The Hacker News – Feb 16 2023 10:13

ランサムウェアESXiArgsの攻撃が急増、どの脆弱性が悪用されているかは未だはっきり特定されず

Security Week – Feb 16 2023 09:52

ESXiArgsランサムウェアによる大規模キャンペーンで新たに500以上のホストが侵害されていることを、アタックサーフェス(※)マネジメント企業Censysが発見した。これらのホストの所在地は、フランス、ドイツ、オランダ、英国、およびウクライナだという。米国のCISAは2月8日時点で3,800の侵害されたサーバーを観測した、と発表していたが、この数は1週間のうちに大幅に増加した模様。

ESXiArgsの攻撃ではESXi OpenSLPに関連する脆弱性CVE-2021-21974(VMwareが2021年2月にパッチリリース済み)が悪用されていると考えられてはいるものの、これはまだ推察に過ぎず、はっきりと特定されたわけではない。このほかにも、CVE-2022-31699、CVE-2021-21995、CVE-2020-3992、CVE-2019-5544といった脆弱性の関与を疑うメディアも存在しているとされる。

また今回の攻撃キャンペーンに関しては、誰が首謀者なのかや、使われるマルウェアの起源などについても不明なまま。ただし、Censysは、ESXiArgsの攻撃で配布されているのと似たランサムノート(身代金要求メモ)が2022年10月に配布されていたケースを2件観測しており、この10月の攻撃が現在進行中のキャンペーンの前段階的な活動であった可能性がある、としている。

現在も攻撃者はESXiArgsによる攻撃を仕掛け続けており、マルウェアの改良も引き続き行っている模様。

※関連記事:アタックサーフェスとは? 具体例や管理のポイント

Miraiボットネットの亜種V3G4がIoTにおける未パッチの脆弱性13件を標的に

SC Magazine US – Feb 16 2023 20:54

「Miraiボットネットの新亜種は非常に忙しなく活動している」と研究者

The Record – Feb 16 2023 17:57

Miraiボットネットの亜種「V3G4」を利用した3つのキャンペーンを、Palo Alto Networks Unit 42の研究者が観測。このキャンペーンでは、さまざまなIoTデバイスで見つかったパッチ未適用の脆弱性13件が標的にされていたという。Unit 42によれば、2022年7月〜12月のキャンペーンで、これらの脆弱性がボットネット拡散のために悪用されていたとのこと。

悪用されていた脆弱性13件には、Atlassian Confluenceのリモートコード実行の脆弱性(CVE-2022-26134)などが含まれる。また、標的となったIoTデバイスには、FreePBX Elastix、Gitorious、FRITZ!Box Webカメラ、Mitel AWC、Geutebruck IPカメラ、Webmin、Spree Commerce、FLIR Thermal Camera、DrayTek Vigor、Airspan AirSpot、Atlassian Confluence、C-Data Web Management Systemが含まれる。

V3G4はオリジナルのMiraiと同様に、ネットワークに接続されたLinuxサーバーやネットワーク機器を狙う。また、Miraiの最も重要な特徴である「データセクション」を受け継いでいるという。このデータセクションには、スキャナーやブルートフォースに使用するためのデフォルトのログイン認証情報が埋め込まれている。

Unit 42によれば、V3G4による侵害に成功した攻撃者はデバイスを完全に乗っ取ることができ、そのプラットフォームは「ボットネットの一部」になるのだという。これはつまり、攻撃者がそのデバイスを使ってさらなる攻撃(DDoS攻撃など)を実施することが可能であることを意味する。

2023年2月17日

ハイライト

 

Vulcan Cyber、サイバーリスク緩和や脆弱性対策に注力する新たな研究チームの始動をアナウンス

SiliconANGLE – Feb 16 2023 14:04

 

米CISAがCacti、Office、Windows、iOSのバグを悪用が確認済みの脆弱性カタログに追加(CVE-2022-46169、CVE-2023-21715、CVE-2023-23376、CVE-2023-21823)

Security Affairs – Feb 17 2023 05:40

 

スコのセキュリティ製品における重大な脆弱性が修正される(CVE-2023-20032)

Security Week – Feb 16 2023 11:52

 

Wordfence Intelligence CEに基づくウィークリー脆弱性レポート(2023年2月6日〜12日)

Wordfence – Feb 16 2023 15:21

 

Firefoxのアップデートで深刻度の高い脆弱性10件が修正される(CVE-2023-25728、CVE-2023-25730ほか)

SecurityWeek – Feb 16 2023 14:29

 

Google広告が、偽のメッセンジャーアプリやブラウザアプリによるマルウェアFatalRATの配布に悪用される

HackRead – Feb 16 2023 17:05

 

ランサムウェアMortalKombatとマルウェアLaplas Clipperをハッカーらが展開

Cyware – Feb 17 2023 00:22

 

アイルランドMTUがBlackCatに対する暫定差し止め命令を裁判所から取得:命令の内容は一切の秘密データのリークや公開を禁じるもの

DataBreaches.net – Feb 16 2023 09:40

 

Dallas Central Appraisal District、Royalランサムウェアの攻撃者に身代金17万ドルを支払う

DataBreaches.net – Feb 16 2023 09:40

 

Pepsi Bottling Venturesでデータ侵害、マルウェアによる攻撃ののち

DataBreaches.net – Feb 16 2023 09:40

 

「最近のデータ流出はサードパーティベンダーがハッキングされたことによるもの」とアトラシアン

Bleeping Computer – Feb 16 2023 17:41

 

「サイバー攻撃で乗客のデータが流出」とスカンジナビア航空

Bleeping Computer – Feb 16 2023 20:32

 

イスラエル工科大学でランサムウェア被害:これまで知られていなかった攻撃者が80ビットコインを要求

DataBreaches.net – Feb 16 2023 09:40

 

Derriford Hospitalがデータ侵害について認める、患者が同院に対する苦情のリストを送付後

DataBreaches.net – Feb 16 2023 09:40

 

Community Health Systemsでデータ侵害

Medium Cybersecurity – Feb 16 2023 18:03

 

ペンシルバニア州司法長官代行Henry氏、データ侵害めぐりDNA Diagnostics Centerとの和解金40万ドルを確保

DataBreaches.net – Feb 16 2023 20:40

 

Googleによるセキュリティ証明書ログの大規模オーバーホールでAndroidアプリが破損、処理がリバースされる

The Register – Security – Feb 16 2023 22:26

 

Sidewinder APTが暗号資産を盗んでいるのが見つかる

Medium Cybersecurity – Feb 16 2023 18:07

 

Royal MailはLockBitの要求した「馬鹿馬鹿しい」身代金の支払いを拒否、チャットログが示す

DataBreaches.net – Feb 16 2023 09:40

 

中国を拠点とするグループ8220 Gang、戦術を進化させクラウド環境を狙うように

Cyware – Feb 16 2023 12:43

 

B&G FoodsをDaixin Teamが攻撃、ファイルがリークされる

DataBreaches.net – Feb 16 2023 09:40

 

スカンジナビア航空をハッカーが攻撃、Anonymous Sudanが犯行声明

Information Security Buzz – Feb 16 2023 16:40

 

Tonto Teamよ、残念だったな:国家型APTがGroup-IBへの攻撃を試みるも失敗

DataBreaches.net – Feb 16 2023 14:40

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (17 February 2023)

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ