Exfiltrator-22：Cobalt Strikeの地位を脅かしつつある最新のポストエクスプロイトツールキット

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月1日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Exfiltrator-22：Cobalt Strikeの地位を脅かしつつある最新のポストエクスプロイトツールキット

Dark Reading – Feb 28 2023 22:04

ポストエクスプロイトツール市場に、Cobalt Strikeの代替となり得る新たなツール「Exfiltrator-22（Ex-22）」が登場。

Cyfirmaの研究者によると、Ex-22は「フレームワーク・アズ・ア・サービス」のツールセットであり、12月に初めて観測されたとのこと。また、Ex-22はLockBitランサムウェアグループの元アフィリエイトによって開発された可能性が高いという。

Ex-22が備える高度なポストエクスプロイト性能には、高度なリバースシェル、遠隔でのファイルダウンロードおよびアップロード、感染済みデバイスのスクリーンショットおよびライブセッションのモニタリング、特権昇格性能、LSASSの認証情報ダンプ、および持続性能が含まれるそう。Ex-22の作成者は、同フレームワークはあらゆるアンチウイルスやEDRからも「完全に検出不能」だと主張している。

また、最近のLockBit 3.0のサンプルからは、LockBit 3.0がEx-22と同じC2インフラを利用していることが示されているとのこと。

人気の不動産関連テーマにおける脆弱性が、WordPressサイトのハッキングに悪用される（ CVE-2023-26540、CVE-2023-26009）

SecurityWeek – Feb 28 2023 11:41

WordPressの不動産業界向け有料テーマ「Houzez」に影響を与える重大な脆弱性が実際の攻撃で悪用されていると、WordPressセキュリティ企業Patchstackが注意喚起。

PatchstackのCTOであるJong氏は最近、同テーマおよび関連するプラグイン「Houzez Login Register」が重大な脆弱性の影響を受けていることを発見。この脆弱性は、認証されていない攻撃者によるWordPressサイトのハッキングを可能にするものだった。

プラグインにおける脆弱性はCVE-2023-26009で、Houzezにおける脆弱性はCVE-2023-26540 。それぞれ、バージョン2.6.4（プラグイン）と2.7.2（テーマ）のリリースによって修正されている。

Patchstackは同脆弱性を悪用してWordPressサイトをハッキングしようとする攻撃者の目的を判定しかねているものの、Jong氏は、サイトがこの脆弱性によって悪用されて攻撃者が管理者権限でログインした場合、「その攻撃者はおそらく、バックドアを含んだ有害プラグインをアップロードするものとみていいだろう」と述べている。そしてこのバックドアは、将来実行されるコマンドを待ったり、サイトに広告や別の有害サイトへのリダイレクトトラフィックを注入したりする可能性があるとのこと。

Houzezを利用するWordPressサイトの所有者や管理者には、パッチの含まれるバージョンをインストールしておくことが推奨される。

米国連邦保安局がランサムウェア攻撃を受け、データ侵害が発生

HITBSecNews – Mar 01 2023 01:28

米国連邦保安局がランサムウェア攻撃を受けたことを明かした。この攻撃で、攻撃者は職員や逃亡者に関する秘密情報を入手することに成功したという。

攻撃者は2月17日、現在行われている捜査に関する情報が保持されているシステムに侵入。この情報には、逃亡者や職員、およびサードパーティのPII（個人を識別できる情報）が含まれていたとのこと。

幸運なことに、攻撃者が証人保護プログラム（WITSEC）に関連するデータにアクセスすることはなかったそう。

2023年3月1日

ハイライト

アクティビジョンの侵害で盗まれたとされるデータをハッカーがリーク

Bitdefender – Feb 28 2023 11:29

ランサムウェア種MortalKombatの無料復号ツールをBitdefenderがリリース

The Hacker News – Feb 28 2023 13:59

新ツールEX-22により、ハッカーは企業へ密かにランサムウェア攻撃を仕掛けることが可能に

The Hacker News – Feb 28 2023 13:59

新たなポストエクスプロイトフレームワーク「Exfiltrator-22」はLockBitの元アフィリエイトと関連か

SecurityWeek – Feb 28 2023 13:30

Lazarusの新たなツールか：ローダーWslinkとバックドアWinorDLL64

Cyware – Feb 28 2023 12:39

ランサムウェアMortalKombatの復号ツールをBitdefenderがリリース

Bitdefender – Feb 28 2023 22:17

WannaCryの拡散を止めたヒーローでありKronosマルウェアの作者でもあるMarcus Hutchins氏、Cybraryのフェローに任命される

Dark Reading – Feb 28 2023 18:55

CVE-2022-38108：SolarWinds Network Performance MonitorにおけるRCEの脆弱性

Reverse Engineering – Feb 28 2023 16:42

米CISA、JavaフレームワークZKのバグを「悪用が確認済みの脆弱性カタログ」に追加（CVE-2022-36537）

Security Affairs – Feb 28 2023 10:38

既知の脆弱性に対処してエクスポージャーを減らそう：Tenableのレポート「2022 Threat Landscape Report」

Tenable Blog – Feb 28 2023 13:49

APT-C-36の攻撃再び：ハッカーグループBlind Eagleがコロンビアの主要産業を標的に

The Hacker News – Feb 28 2023 10:33

APT28、またの名をFancy Bear：多数の名を持つお馴染みの攻撃者

Forbes – Cybersecurity RSS – Feb 28 2023 15:13

ランサムウェアMortalKombatの被害者はロックされたファイルを無料で復号できるように

The Record – Mar 01 2023 00:34

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト（英語）です。

本ページでは、これを翻訳してお届けしています。

翻訳元 : Daily Cyber Alert (01 March 2023 2023)

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界