Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)

Threat Report

Silobreaker-CyberAlert

Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)

山口 Tacos

山口 Tacos

2023.03.13

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年3月11日と12日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)

Bleeping Computer – Mar 11 2023 19:36

Clopランサムウェアグループが、Fortra製セキュアファイル共有ソリューションGoAnywhere MFTにおけるRCEのゼロデイ脆弱性(CVE-2023-0669)を悪用して侵害した企業を恐喝し始めたとの報道。

GoAnywhere MFTの開発者らは2月、顧客に対しCVE-2023-0669が悪用されていると警告。悪用の詳細は明かされなかったものの、その後すぐにPoCエクスプロイトとパッチがリリースされた。パッチがリリースされた翌日、Clopは10日間にわたって同脆弱性を悪用し、130組織からデータを盗んだとBleepingComputerに伝えていた。(詳しくはこちら:Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張

この攻撃でデータを盗まれたと公表している組織は今のところ、Community Health Systems (CHS)とHatch Bankの2社のみだが、Clopは3月10日夜(現地時間)、自らのリークサイトにGoAnywhereの攻撃の被害者7社を追加。うち1社はHatch Bankだった。

リークサイトに掲載された7社の投稿にはすべて、データの放出は「まもなく」行われるとの記載があったという。またBleepingComputerが伝え聞いたところによると、被害者にはClopからの身代金要求が届き始めているとのこと。なお要求額は不明。

マルウェアBATLOADERがGoogle広告を利用してVidar StealerやUrsnifのペイロードを配布

The Hacker News – Mar 11 2023 13:32

マルウェアダウンローダー「BATLOADER」がGoogle広告を悪用して2段階目のペイロード(Vidar StealerやUrsnifなど)を配布しているのを、サイバーセキュリティ企業eSentireが観測。

eSentireによると、悪意ある広告はAdobe、ChatGPT、Spotify、Tableau、Zoomといった実在のアプリやサービスを装っているが、実際にはWindowsインストーラーファイルをホストする偽サイトにつながっているという。Google検索結果ページ上に表示されたこれらの不正ページをユーザーがクリックすると、感染のプロセスが始まる。そしてインストラーファイルが実行されると、BATLOADERのペイロードを含むPythonスクリプトが実行される。2022年12月に観測された以前の攻撃チェーンではインストーラーパッケージはPowerShellスクリプトの実行のために用いられていたため、戦術にわずかな変化があったことになる。

その後BATLOADERは、情報窃取型マルウェア、バンキングマルウェア、Cobalt Strike、ランサムウェアといった第2段階のマルウェアを配布する役割を担うという。

eSentireは、「BATLOADERは2022年に初めて登場して以来、変化と改良を続けている」と述べた。また同社は、BATLOADERがさまざまな人気アプリを隠れ蓑に使っているのは偶然ではなく、これらのアプリがビジネスネットワークで広く使われているためである、とも指摘している。

アクロニスがハッキングの影響について明らかに、データ流出受け

SecurityWeek – Mar 10 2023 09:30

スイスのデータ保護企業アクロニスは、ある顧客のアカウントが侵害されていることを明らかにしている。これは、ハッカーが同社から盗まれたとされるデータ数GB分をリークしたことを受けての発表。

木曜、このハッカーは人気サイバー犯罪フォーラム上で、「サイバーセキュリティ企業アクロニスのデータをリーク」するとアナウンスし、12GB分のアーカイブファイルを公開。これには、証明書関連のファイル、コマンドログ、システム構成・情報ログ、ファイルシステムアーカイブ、スクリプト、バックアップの構成データが含まれるとされる。なおこのハッカーは、最近Acerから盗んだ160GBのデータを売りに出したのと同じハッカーだった。

アクロニスのCISOであるKevin Reed氏は、これらのデータはすべて、単一の顧客のアカウントを出どころとするものであるようだ、と述べた。同社はこの顧客と協力し、当該アカウントを一時停止させているという。また業界のパートナーらとIoCを共有し、法執行機関とも連携中であるとのこと。

Reed氏はさらに、このアカウント以外のシステムや認証情報は影響を受けていない、とも付け加えている。調査は引き続き行われているとのこと。

2023年3月11日

ハイライト

 

国際的に協力しあい法執行機関がNetWire RATの運用を妨害

Bitdefender – Mar 10 2023 11:29

 

Android向けバンキング型トロイの木馬「Xenomorph」が新しくより強力な亜種として再登場 

The Hacker News – Mar 10 2023 10:03

 

北朝鮮のハッカーらが新しいバックドアを用いてセキュリティ研究者らを標的に

ArsTechnica – Mar 10 2023 22:13

 

Prometeiボットネットの新バージョンが、全世界のシステム1万台超に感染

The Hacker News – Mar 10 2023 14:02

 

IceFireランサムウェアの新亜種がLinuxエンタープライズシステムを狙う(CVE-2022-47986)

CSO Magazine – Mar 10 2023 17:53

 

悪意あるサードパーティアプリを使ったAndroidの脆弱性の悪用(OversecuredのAPKを用いて)

InfoSec Bug Bounty Write-ups – Mar 10 2023 19:32

 

AteraとESETがゼロデイ脅威から顧客を守るため提携

Help Net Security – News – Mar 11 2023 00:40

 

Veeamデータバックアップソリューションの深刻な脆弱性にパッチがリリースされる(CVE-2023-27532)

SecurityWeek – Mar 10 2023 12:53

 

Windowsの特権のエスカレーション | NTLM認証の脆弱性 CVE-2023–21746 | LocalPotato | Tryhackme |…

Medium Cybersecurity – Mar 10 2023 19:31

 

北朝鮮のハッカーグループUNC2970が新しいマルウェアファミリーを用いて活動範囲を拡大

The Hacker News – Mar 10 2023 07:43

 

Emotetが高い価値のあるネットワークに侵入後、アクセスの販売を試みる

SC Magazine US – Mar 10 2023 22:50

 

SoulSearcherマルウェアが中国のSharp Pandaグループにより放たれる

Information Security Buzz – Mar 10 2023 12:58

 

2023年のAT&Tの顧客データ侵害で900万人に影響

Medium Cybersecurity – Mar 10 2023 11:07

 

AT&Tがデータ侵害について顧客数百万人へ通知中 サードパーティベンダーがハッキングを受け 

Security Affairs – Mar 10 2023 09:29

 

AT&Tが顧客900万人へデータ侵害を通知

CSO Magazine – Mar 10 2023 12:16

2023年3月12日

ハイライト

 

中国製プログラムの欠陥を悪用してPlugXマルウェアが配布される

Security Affairs – Mar 11 2023 19:40

 

ゾールメディカルが患者1,004,443人へデータ侵害を通知

DataBreaches.net – Mar 11 2023 22:10

 

オランダの警察、大規模なデータ窃取と恐喝スキームに関与したハッカーら3名を逮捕

Medium Cybersecurity – Mar 11 2023 08:02

 

Google広告を利用して配布されるBatLoaderマルウェア

Medium Cybersecurity – Mar 11 2023 16:47

 

Prometeiボットネットが進化し、2022年11月以降システム10,000超に感染

Security Affairs – Mar 11 2023 12:53

 

Finish him! 無料復号ツールがMortalKombatランサムウェアを撃退

Medium Cybersecurity – Mar 11 2023 08:02

 

朝5時前に起きたら、このFrotiGateの脆弱性に気づきました(CVE-2023–25610)

Medium Cybersecurity – Mar 11 2023 09:35

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (11 March 2023), Daily Cyber Alert (12 March 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ