サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年3月16日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
FBI:2022年、ランサムウェアが860の重要インフラ組織を攻撃
Bleeping Computer – Mar 15 2023 20:23
米FBIはレポート「2022 Internet Crime Report」の中で、2022年に少なくとも860の重要インフラ組織がランサムウェアグループの標的となったことを明かした。ただしこれはFBIのインターネット犯罪苦情センター(IC3)に報告された攻撃のみを含む数字であり、実際の攻撃数はもっと多いものと思われる。
全体で見ると、米国で昨年IC3へ報告されたランサムウェア被害数は2,385件で、被害総額(調整後の金額)は3,430万ドル以上に上ったという。
また昨年重要インフラを攻撃したランサムウェアグループの攻撃数別トップ3は、Lockbit(攻撃数149件)、ALPHV/BlackCat(114件)、Hive(87件)だったとのこと。このほか、Ragnar Locker、Cuba、BlackByteの攻撃も複数件報告されたそう。
身代金を支払っても被害者のデータが復元されるとは限らないことから、FBIは身代金を支払わないよう勧告している。
米連邦政府機関がTelerikの古い脆弱性を使ってハッキングされる(CVE-2019-18935)
Bleeping Computer – Mar 15 2023 16:39
2022年に米国の連邦政府機関が用いるMicrosoft Internet Information Services (IIS) のWebサーバーがハッキングされていたことを、米CISA、FBI、MS-ISACが明かした。このハッキングには、Telerik UI for ASP.NET AJAXにおける信頼のないデータのデシリアライゼーションに関する脆弱性CVE-2019-18935が利用されていたという。
CISAなどによると、攻撃者は2022年11月から2023年1月初旬までの間に同サーバーへアクセスしていた。標的となったのは、ある連邦民間行政機関(FCEB)のネットワーク。この機関の名称は明かされていない。
同FCEBのサーバーに対しては、少なくとも2組の脅威アクター(うち1組はベトナムのXE Group)がアクセスしていたという。またCVE-2019-18935は中国のハッカーがよく悪用していることでも知られるが、中国のハッカーが今回のハッキングに関与したかどうかは不明。
なお同脆弱性はCISAのKEV(悪用が確認済みの脆弱性カタログ)に2021年11月に追加され、連邦政府機関にとっては2022年5月3日までにパッチを適用することが義務となっていた。しかし今回被害に遭った機関はこの日付を過ぎてもMicrosoft IISサーバーを保護していなかったものとみられる。
今回のハッキングに関するCISAのレポートはこちら:Threat Actors Exploit Progress Telerik Vulnerability in U.S. Government IIS Server、MAR-10413062-1.v1 Telerik Vulnerability in U.S. Government IIS Server
セキュリティ企業Rubrik、GoAnywhereの脆弱性を悪用した攻撃の最新の被害者に(CVE-2023-0669)
ArsTechnica – Mar 15 2023 21:42
クラウドデータ管理サービスを提供するデータセキュリティ企業のRubrikが、GoAnywhereのゼロデイを悪用した攻撃でネットワークが侵害されたことを明かした。
同社が火曜に投稿したアドバイザリによると、調査の結果、侵入者は主に内部のセールス情報(企業名、連絡先情報、代理店からの発注書の一部など)へアクセスしたという。社会保障番号や金融口座番号といった機密性の高い情報は漏洩しなかったとされる。
GoAnywhereの脆弱性をめぐっては、Clopランサムウェアグループがこれを悪用して130組織からデータを盗んだと主張しており、これらの組織の一部をリークサイトに掲載し始めた。Rubrikもこのリークサイトに掲載されているとのこと。
関連記事:Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)、Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張(CVE-2023-0669)
CISAが緊急で注意喚起:Adobe ColdFusionの脆弱性が実際の攻撃で悪用される(CVE-2023-26360)
The Hacker News – Mar 16 2023 04:47
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は15日、ColdFusionの脆弱性CVE-2023-26360を、「悪用が確認済みの脆弱性カタログ」に追加した。
CVE-2023-26360はColdFusion 2018(Update 15とそれ以前のバージョン)とColdFusion 2021(Update 5とそれ以前のバージョン)に影響を与えるアクセス制限不備の脆弱性で、CVSSスコアは8.6 /10。悪用によりリモートコード実行が可能になるという。
この脆弱性を悪用する攻撃の正確な詳細は不明だが、アドビによると、「ごく限定的な攻撃で悪用されている」とのこと。なおパッチは14日にリリース済み。
2023年3月16日
ハイライト
セキュリティ企業Rubrik、GoAnywhereのゼロデイを悪用したClopグループに侵害される(CVE-2023-0669)
Security Affairs – Mar 15 2023 10:41
マイクロソフト、Magniberランサムウェアに悪用されたセキュリティホールへのパッチ適用に再挑戦(CVE-2023-24880、CVE-2022-44698)
Graham Cluley – Mar 15 2023 20:24
新たなDark Pink APTの攻撃でKamiKakaBotマルウェアが使われる
SC Magazine US – Mar 16 2023 03:51
Androidバンキング型トロイの木馬「GoatRAT」がモバイル決済システムを狙う
Dark Reading – Mar 15 2023 16:30
APTグループYoroTrooper 、独立国家共同体の国々や大使館を標的に
Security Affairs – Mar 15 2023 20:44
ロシアとつながりのあるAPT29、最近の攻撃でEUの情報交換システムを悪用
Security Affairs – Mar 15 2023 23:28
デロ、モネロそれぞれのクリプトジャッカーが同じKubernetesクラスタを奪い合う
Security Week – Mar 15 2023 12:37
「新たな脅威グループがEUの医療機関と大使館をハッキングした」と研究者
DataBreaches.net – Mar 15 2023 17:40
Snap-onをContiランサムウェアグループがハッキングしたとされるインシデントは集団訴訟に発展、その後和解成立
Medium Cybersecurity – Mar 15 2023 18:14
「米国連邦民間行政機関が国家支援型グループと不法ハッキンググループにハッキングされた」とCISA
Cyberscoop – News – Mar 15 2023 23:16
Rubrik、GoAnywhereのゼロデイ狙った攻撃でのデータ窃取被害について認める
Information Security Buzz – Mar 15 2023 15:56
Outlookのゼロデイへのパッチ適用がWindows管理者の頭痛の種に
マイクロソフトは3月の月例パッチでゼロデイ2件にパッチ(CVE-2023-23397、CVE-2023-24880)
SC Magazine US – Mar 15 2023 14:32
SAPが重大な脆弱性5件を修正、新たにリリースのセキュリティアップデートで(CVE-2023-25616、CVE-2023-23857、CVE-2023-27269、CVE-2023-27500、CVE-2023-25617)
Heimdal Security Blog – Mar 15 2023 11:18
脅威アドバイザリ:Microsoft Outlookにおける特権昇格の脆弱性が実際の攻撃で悪用される(CVE-2023-23397)
Talos Intelligence Blog – Mar 15 2023 23:46
YoroTrooperが政府やエネルギー関連組織からクレデンシャルや情報を窃取中
The Hacker News – Mar 15 2023 13:49
データ損失防止企業、サイバースパイグループTickにハッキングされる
Help Net Security – News – Mar 15 2023 11:10
悪意あるアクターがProgress Telerik製品のRCE脆弱性を悪用し、米政府機関のサーバーをハッキング
SC Magazine US – Mar 16 2023 00:37
PlugXがリモートコントロールソフトウェアにおける欠陥を悪用(CNVD-2022-10270、CNVD-2022-03672)
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。