Threat Report

Silobreaker-CyberAlert

Microsoft WordにおけるRCE脆弱性のPoCエクスプロイトが公開される（CVE-2023-21716）

山口 Tacos

2023.03.07

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月7日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

最近パッチがリリースされたMicrosoft WordにおけるRCE脆弱性のPoCエクスプロイトが公開される（CVE-2023-21716）

Help Net Security – News – Mar 06 2023 10:26

Microsoft Wordにおける重大なリモートコード実行の脆弱性CVE-2023-21716のPoCエクスプロイトが公開された。PoCは、同脆弱性を引き起こすファイルを作成するのに使用可能なPythonスクリプトだという。

CVE-2023-21716は2022年11月にセキュリティ研究者Joshua J. Drake氏によって発見された脆弱性で、認証されていない攻撃者によるリモートコード実行を可能にする恐れがある。Drake氏が11月にマイクロソフトへ送った同脆弱性について報告するアドバイザリの中には、PoC（Pythonスクリプト）も含まれていた。今回このアドバイザリが公開されたことで、PoCも公開された形。

なおCVE-2023-21716のパッチはすでに先月リリース済み。

GoAnywhere MFTのゼロデイに起因するデータ侵害、今後さらに開示されるのか？（CVE-2023-0699）

News ≈ Packet Storm – Mar 06 2023 14:43

Fortra製ソフトウェアGoAnywhere MFTにおけるゼロデイ脆弱性CVE-2023-0699に起因するサイバーセキュリティインシデントについて報告した組織はまだ2つしかない。しかしVulcan Cyberのシニア・テクニカルエンジニアMike Parkin氏によると、今後数週間で同ゼロデイに関連するデータ侵害がさらに開示される見込みだという。

このような予測がなされているのには、Clopランサムウェアが先月、同ゼロデイを悪用して「130以上の組織を攻撃した」と主張していたという背景がある。（詳しくはこちら：Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張）

Parkin氏は、これら130超の組織でのデータ侵害が、米国証券取引委員会への報告書提出などの形で近々公表されることになるだろうとみている。

なお直近では、3月2日にHatch Bankが「脅威アクターがGoAnywhereプラットフォームから顧客約14万人分の個人データを盗んだ」と報告している。また2月中旬には、 Community Health Systemsで患者100万人に影響を与える同ゼロデイ関連の侵害が明らかになっていた。（詳しくはこちら：患者百万人の保健情報がGoAnywhereの重大な脆弱性を使って窃取される）

データ窃取や検出回避を目的とした新たなマルウェアがDrayTek製VPNルーターをハッキング

Bleeping Computer – Mar 06 2023 15:03

2022年7月に始まり、現在も続いているハッキングキャンペーン「Hiatus」で、DrayTek製のVPNルーター「Vigor」（2960および3900）が狙われている。

Lumenによって発見されたこのキャンペーンでは、新たなマルウェア「HiatusRAT」が利用されている。このツールの用途は、追加のペイロードのダウンロード、侵害されたデバイス上でのコマンド実行、デバイスのSOCKS5プロキシへの転換およびC2サーバートラフィックの受け渡しだという。

Lumenによると、ヨーロッパ、北米、南アフリカの少なくとも数百の企業がHiatusRATに感染しているとされる。感染するとEメールやFTP認証情報が窃取される恐れがあることから、キャンペーンHiatusはその規模こそ小さいものの、被害者には深刻なダメージが与えられる可能性があるという。Lumenの研究者の考えでは、攻撃者は検出を回避するために意図的に攻撃数を少なくしているとのこと。

2023年3月7日

ハイライト

関連記事：ロシア関連の国際的サイバー犯罪ネットワークを複数国の当局が解体

法執行機関のチームがランサムウェアグループDoppelPaymerに大勝利を収める

Help Net Security – News – Mar 06 2023 12:05

ウクライナとドイツがランサムウェアグループDoppelPaymerのテイクダウンを主導

SC Magazine US – Mar 06 2023 20:24

犯罪者ら、新たなマルウェアFiXSを用いてラテンアメリカのATMへ「ジャックポッティング」攻撃

SC Magazine US – Mar 06 2023 14:48

Playランサムウェア、オークランド市から盗まれたデータのリークを開始

Heimdal Security Blog – Mar 06 2023 14:17

DBatLoaderとRemcos RATが東ヨーロッパで猛威

SentinelOne – Mar 06 2023 13:33

PlugXの新たなサンプルがWindowsの正規デバッグツールを利用して検出を回避

Cyware – Mar 06 2023 13:35

Clasiopaに続き、APT41もアジアの物質研究部門を標的に

Cyware – Mar 06 2023 23:09

ゼロデイ脅威からのネットワークの保護

Trend Micro – Mar 07 2023 00:30

米CISAの「悪用が確認済みの脆弱性カタログ」、2022年に追加されたCVEは557件

Security Week – Mar 06 2023 11:52

DoppelPaymerランサムウェアグループのメンバーとされる2人を警察が逮捕

SiliconANGLE – Mar 06 2023 23:50

Ransom Houseによるランサムウェア攻撃でHospital Clinic de Barcelonaが標的に

Security Affairs – Mar 06 2023 22:57

サイバー脅威の文脈を理解する：Kimsukyの攻撃から得られる教訓

Medium Cybersecurity – Mar 06 2023 13:03

Digital Smoke：大規模な投資詐欺ネットワーク

Cyware – Mar 06 2023 23:09

APT-C-36、新たなキャンペーンでコロンビアを標的に

BlackBerry – Mar 06 2023 21:00

デンマークの病院狙ったDDoS攻撃に高度持続型脅威（APT）グループが関与

Imperva Data Security Blog – Mar 07 2023 01:50

Mustang Pandaの新たなカスタムバックドアが攻撃で使用される

SC Magazine US – Mar 06 2023 17:37

関連記事：MQsTTang：Mustang Pandaの新しいバックドア、QtとMQTTを使って新境地へ

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。