サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年2月25日と26日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
マルウェアPureCrypterが政府機関を狙ってランサムウェアやスティーラーを配布
Bleeping Computer – Feb 25 2023 15:16
アジア太平洋地域や北米地域の政府機関を狙い、Redline Stealer、AgentTesla、Eternity、Blackmoon、ランサムウェアPhiladelphiaなど、複数種のマルウェアを配布するキャンペーンを、Menlo Securityの研究者が発見。これらのマルウェアのダウンローダーとして、マルウェア「PureCrypter」が使われているのが観測された。
PureCrypterは.NETのマルウェアダウンローダーで、2021年3月に初めて確認された。PureCrypterの運営者は同マルウェアを他のサイバー犯罪者に貸し出し、さまざまな種類のマルウェアの配布のために利用させていた。
研究者によると、今回のキャンペーンでは、まずDiscordアプリのURLが含まれたEメールによって攻撃が開始されるという。このURLは、パスワードで保護されたZIPアーカイブ内のPureCrypterのサンプルに繋がっている。
Menlo Securityが分析したケースでは、Discordを使ってホストされた最初のペイロードによってある非営利団体が侵害された。その後、侵害された同団体のサーバーがC2Cサーバーとして次の段階のペイロード(このケースではAgentTesla)を配布した。AgentTeslaがパキスタンを拠点とするFTPサーバーとの接続を確立すると、このFTPサーバーは盗んだデータを受信する役目を果たしたという。
AgentTeslaは、WebブラウザやEメールクライアント、またはFTPクライアントに保存されたパスワードを盗んだり、クリップボードにコピーされたデータの傍受を行ったりする性能などを備えている。
Menlo Securityの考えでは、このキャンペーンに関与する脅威アクターはメジャーなアクターではないものの、政府機関が標的になっていることから、その活動は注視するに値するとのこと。
Clasiopaグループがアジアの物質研究組織を標的に
Security Affairs – Feb 25 2023 23:21
これまで知られていなかった脅威アクター「Clasiopa」について、Broadcom Symantecの研究者が報告した。同アクターは攻撃で特異なツールセットを利用し、アジアの物質研究組織を狙っているという。
Clasiopaは、HCL Domino、Agile DGS、Agile FDといった正規のソフトウェアを用いるという。DominoにおいてもAgileにおいても、古い証明書が使用されているとみられる。またAgileサーバーでは、古い脆弱なライブラリが使用されている。
Clasiopaグループが用いるツールには、以下が含まれる:
・カスタムリモートアクセス型トロイの木馬(RAT)である「Atharvan」
・RAT「Lilith RAT」の改良版
・ハッキングツール「Thumbsender」
・カスタムプロキシツール
同ハッキンググループの起源や動機は明らかにされていないものの、Symantecの収集した証拠からは、インドを拠点とするグループであることが示唆されている。また現段階では、同グループが用いる感染ベクターは発見されていないものの、研究者は、インターネットに接続されたサーバーへのブルートフォース攻撃によってアクセスが行われていると考えている。
人気のオープンソースコンテナ数百個に潜んでいた重大な脆弱性が見つかる( CVE-2021-42013、CVE-2021-40438、CVE-2021-41773ほか)
SC Magazine US – Feb 24 2023 22:48
Dockerコンテナイメージに潜んでいた多数の重大な脆弱性を、Rezilionの研究者が発見した。これらのコンテナイメージは合わせて数十回ダウンロードされている。脆弱性の中には、米CISAの「悪用が確認済みの脆弱性カタログ」に記載されている、実際に悪用されている脆弱性(CVE-2021-42013、CVE-2021-40438、CVE-2021-41773など)も含まれていた。
これらの脆弱性は、大半の脆弱性スキャナーやソフトウェアコンポジション解析(SCA)ツールでは検知されないという。研究者によると、Dockerコンテナではソフトウェアインストールがパッケージマネージャーをバイパスするため、スキャナーやツールの多くにとって脆弱なパッケージの検知が困難であるとのこと。DockerHubの独自の脆弱性スキャンにも同様の問題があるという。
Dockerの広報担当者はSC Mediaに対し、同社はこのリスクを認識しており、対処のための取り組みを続けていると語ったとのこと。
2023年2月25日
ハイライト
Twitter、1月のデータ流出で2億人分のユーザー情報が漏洩
Trend Micro – Feb 24 2023 12:36
スタンフォード大学、博士号課程の出願者に影響があったデータ侵害を公表
Bleeping Computer – Feb 24 2023 16:27
DNA Diagnostics Center、2021年のデータ侵害で40万ドルの罰金支払いへ
The Record – Feb 25 2023 00:42
オーストラリア:The Good Guys、顧客情報の漏洩を通知
DataBreaches.net – Feb 24 2023 13:40
ゲームソフトウェア開発会社アクティビジョンが侵害される:何が起こったか
Heimdal Security Blog – Feb 24 2023 09:49
ハッカーら、Zoho ManageEngineの重大な欠陥を盛んに悪用(CVE-2022-47966)
Security Affairs – Feb 24 2023 11:01
Cisco Webex Meetingsアプリに、文字インターフェイスが操作される脆弱性(CVE-2022-20863)
Cisco Security Advisory – Feb 24 2023 15:40
Fortinet製FortiNACの重大な脆弱性が盛んに悪用される(CVE-2022-39952)
SC Magazine US – Feb 24 2023 18:04
FacebookとYoutubeユーザー、新種のマルウェア「S1deload Stealer」の標的にされる
SC Magazine US – Feb 24 2023 18:11
アジアの材料研究企業、新たなハッカーグループ「Clasiopa」の標的に
SC Magazine US – Feb 24 2023 18:23
ウクライナ、2021年にバックドアが仕掛けられた政府のWebサイトをロシアのハッカーらが侵害したと発表
Bitdefender – Feb 24 2023 09:42
Android(向け)新型マルウェア「RambleOn」、ジャーナリストを標的に使用される
Phobosの話 – CUDAを使用し、どのようにしてランサムウェアをクラッキングしかけたか
Reverse Engineering – Feb 24 2023 18:15
ウクライナ、2年前にロシアに仕掛けられたバックドアを発見
BankInfoSecurity – Feb 24 2023 21:39
数千件の有害NPMモジュールを介してフィッシングリンクが配布される
新たなMagecartのキャンペーン、多言語対応スキマーを使用し、個人情報を抽出
Wslinkダウンローダー、北朝鮮のLazarus Groupに関連している可能性
News ≈ Packet Storm – Feb 24 2023 20:42
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
翻訳元 : Daily Cyber Alert (25 February 2023), Daily Cyber Alert (26 February 2023)
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。