サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年2月24日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
Fortinet FortiNACにおける脆弱性が実際の攻撃で悪用される、パッチリリースの数日後(CVE-2022-39952)
Security Week – Feb 23 2023 09:52
Fortinet FortiNACの脆弱性CVE-2022-39952の悪用が、パッチリリース(2月16日)のわずか数日後に観測された。
CVE-2022-39952は外部からのファイル名やパスの操作を可能にする脆弱性。権限を持たない攻撃者がこれを悪用すると、システムへのデータ書き込みができるようになり、その結果任意のコード実行が可能になる恐れがある。
2月21日、ペンテスト企業Horizon3が同脆弱性の悪用方法を説明するブログ記事とPoCエクスプロイトを公開。これと同じ日、非営利サイバーセキュリティ団体Shadowserverは、同団体のハニーポットで複数のIPアドレスによる悪用の試みが観測された、と伝えた。また22日には、脅威インテリジェンス企業GreyNoiseやチリのサイバーセキュリティ企業Cronupも同脆弱性の広範な悪用を観測したと報告した。
関連記事:FortinetがFortiNACにおける重大なセキュリティホールに対処、PoCエクスプロイトもまもなくリリースされる見込み(CVE-2022-39952)
フィッシング:URLは添付ファイルより4倍ユーザーに届きやすい
フィッシングメールが最初のステップとして使う手口が①悪意あるURL、②添付ファイル、のいずれかであることは変わっていないものの、近年では、添付ファイルと比較するとURLの優位性が格段に高くなっているという。
Cofenseのデータによると、添付ファイルを利用したフィッシングメールよりも有害URLを利用したフィッシングメールの方が狙ったユーザーの受信箱に届きやすいという傾向は、2022年も変わらなかったとのこと。2021年、2022年に受信箱まで到達したフィッシングメールを同社が調査したところ、URLを利用したメールの割合は添付ファイルを利用したものの約4倍だった。
URLの方がセキュアメールゲートウェイ(SEG)に検知されづらいのには、以下のような要因が関係しているという:
・SEGはおそらくURLよりも添付ファイルの識別の方に長けていること。
・未知の送信者から送られてくる悪意のないマーケティングメールの大半もURLを含んでいるため、有害なURLとそれらを区別するのが困難であること。
また脅威アクターがURLの方を好んで用いるのには、SEGとは無関係の要因も関わっている。それは、ユーザーが日頃から仕事中に未知のURLに触れるのに慣れているという事実(一方で未知の添付ファイルは警戒されやすい)だ。
Cofenseの詳しいレポートはこちら:URLs 4X More Likely than Phishing Attachments to Reach Users
Lazarus Groupが秘密データの抜き取りに新たなバックドアWinorDLL64を使用
The Hacker News – Feb 23 2023 11:47
マルウェアダウンローダー「Wslink」に関連する新たなバックドアが発見され、このツールが、北朝鮮関連グループLazarus Groupに利用されている可能性が高いことが明らかになった。
ESETは同ツールを「WinorDLL64」と命名。WinorDLL64には、ファイルの抜き取り・上書き・削除のほか、PowerShellコマンドの実行、マシンに関する包括的な情報の入手などの機能が備わっているとのこと。
同マルウェアを利用した侵入は、その検知数の少なさから、かなり標的を絞って行われているとされる。Lazarus Groupとの関連が指摘されたのは、同グループによるものとされる過去のキャンペーン(Operation GhostSecretとBankshot)での振る舞いやコードとの一致が見られたためだという。また、今回の被害者の一部の所在地である韓国からVirusTotalへ同ペイロードがアップロードされたことによって、Lazarusが関与しているとの予測の信憑性が高まっているとESETは述べている。
ESETのレポートはこちら:WinorDLL64: A backdoor from the vast Lazarus arsenal?
2023年2月24日
ハイライト
NLBruteに関与したロシアのマルウェア開発者の身柄が米国に引き渡される
Emotetランサムウェア:サイバーセキュリティへの脅威
Medium Cybersecurity – Feb 23 2023 20:45
新マルウェアのS1deload、ユーザーのソーシャルメディアアカウントを乗っ取り暗号資産を採掘
The Hacker News – Feb 23 2023 10:45
シリーズ「Lab Walkthrough」—WannaCryランサムウェア
Medium Cybersecurity – Feb 23 2023 14:22
HardBit 2.0ランサムウェア、 身代金交渉のため保険契約内容の開示を要求
ChatGPTを騙るフィッシングサイトが登場、マルウェアの拡散に使われる
The Record – Feb 23 2023 19:02
ゼネラルモーターズ、ハッカーとの協力によるセキュリティの取り組みを始めて2年目に
Medium Cybersecurity – Feb 23 2023 08:29
Dockerコンテナ数百個に潜んでいた脆弱性を研究者らが発見(CVE-2021-42013、CVE-2021-41773、CVE-2019-17558ほか)
Help Net Security – News – Feb 23 2023 11:00
Fortinet FortiNACにおける脆弱性CVE-2022-39952が実際の攻撃で悪用される、PoCエクスプロイトリリースの数時間後から
Security Affairs – Feb 23 2023 19:45
Wordfence Intelligence CEに基づくウィークリー・脆弱性レポート(2023年2月13日〜19日)
FortinetおよびZoho製品における未パッチの脆弱性、大規模攻撃で狙われる(CVE-2022-47966、CVE-2022-39952)
Ars Technica Risk Assessment – Feb 23 2023 22:11
脆弱性スポットライト:EIP Stack Group OpENerに影響与えるリモートコード実行の脆弱性2件(CVE-2022-43605、CVE-2022-43604)
Talos Intelligence Blog – Feb 23 2023 14:03
Lazarus Groupはおそらく、秘密情報抜き取りのため新たなバックドアWinorDLL64を使用
Medium Cybersecurity – Feb 23 2023 15:03
脅威グループHydrochasma、大量のコモディティマルウェアやツールを使い標的を攻撃
Dark Reading – Feb 23 2023 19:54
アノニマス:ロシアのラジオ局がハッキングされ、偽のミサイル警報を発する
Royal Mail、データリークめぐる交渉でLockBitを「教育」
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。