サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年3月18日と19日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
BreachForumsの首謀者「Pompompurin(ポムポムプリン)」を逮捕:FBIが発表
BankInfoSecurity – Mar 18 2023 16:42
米FBIは、不法ハッキングフォーラム「BreachedForums」の管理者とされる男性、Conor Brian Fitzpatrick容疑者を逮捕した。Bloombergの報道によると、Fitzpatrick容疑者は地元の高校の2021年度の卒業生であるとみられるとのこと。
FBI捜査官らによると、Fitzpatrick容疑者はニューヨーク州ピークスキル市在住で、BreachedForumsの管理者として「pompompurin(ポムポムプリン)」というエイリアスで活動していたとのこと。BreachedForumsは、2022年4月に法執行機関によって停止されたハッキングフォーラム「RaidForums」の後継的存在のフォーラムとして知られる。
pompompurinこと同容疑者はRaidForumsのアクティブなメンバーだったが、法執行機関による差し押さえ後、自身の立ち上げたBreachedForumsを英語圏サイバー犯罪シーンにおける次なる有力スポットの1つへと押し上げた。人気フォーラムへと成長したBreachedForumsでは、漏洩データの売買やランサムウェアグループによるアフィリエイト募集の宣伝などのやり取りがなされている。
pompompurinが去った後のBreachForumsでは、「Baphomet」というユーザーが、自らが支配権を握ったとの書き込みをした。同アクターは、「BF(BreachForums)のインフラとユーザーを守るために必要なアクセス権を、すべてではないにしても、ほとんど持っている」と述べたとのこと。
なお、Fitzpatrick容疑者は両親の署名のもと、30万ドルの保釈金で釈放されている。次回の出廷は24日、バージニア州アレクサンドリアの連邦裁判所で予定されている。
EmotetマルウェアがMicrosoft OneNoteファイルとして配布されるように 防御策回避のため
Bleeping Computer – Mar 18 2023 19:03
マルウェア「Emotet」が、Eメールに添付されたMicrosoft OneNoteファイルを使って配布されるようになっている。これは、マイクロソフトによるセキュリティ制限をバイパスし、より多くのターゲットを感染させるための取り組み。
Emotetは、将来のスパムキャンペーンに使うための連絡先情報を盗んだり、企業ネットワークへの初期アクセスにつながるような他のペイロードをダウンロードしたりする能力を持つマルウェア。これまでは、メールに添付されたWordやExcelファイルを使って配布されていたが、マイクロソフトがダウンロードされたWord/Excelファイル内のマクロを自動でブロックする仕様を導入したため、これを回避するためにOneNoteファイルの使用に切り替えたものとみられる。
悪意あるOneNoteファイルは、ガイドやハウツー、インボイス、紹介状(求職者用)などを装ったメールを用いたリプライチェーン攻撃によって配布されるという。同ファイル内には有害なVBScriptファイルが隠されており、さらにこの中に、リモートのWebサイトからDLLをダウンロード・実行するための重度に難読化されたスクリプトが含まれている。
Microsoft OneNoteはEmotet以外にも複数のマルウェアのキャンペーンで使われるようになっており、大きな問題になっているという現状がある。このため、マイクロソフトはOneNoteに、フィッシング文書に対抗する保護策の改良版を追加する予定だという(いつ利用可能になるかは未定)。
研究者がChatGPTを使ってポリモーフィック型マルウェア「Blackmamba」を作成
HYAS Instituteの研究者Jeff Simsが、ChatGPTを利用した新しいタイプのマルウェア「Blackmamba」を開発。同マルウェアは、EDRをバイパスすることができるという。
Blackmambaはポリモーフィック型のキーロガーで、ChatGPTの言語力を利用し、ユーザーの入力情報を調べることでランダムにマルウェアを修正できる。同マルウェアはユーザー名、デビット/クレジットカードの番号、およびデバイスにユーザーが入力したその他の秘密データなどを集める性能を持つ。収集されたデータは、MS TeamsのWebhookを利用して攻撃者のTeamsチャンネルへと転送されるという。
BlackmambaはPython 3で書かれており、ChatGPTが呼び出される度に、exec関数を走らせることによってユニークなPythonスクリプトを作成する。これによりマルウェアはポリモーフィック型となり、EDRにも検知されなくなるという。
ChatGPTの機械学習能力が向上していく中、こういった脅威は引き続き登場し続け、より高度で検知しづらいものになっていく可能性がある。
2023年3月18日
ハイライト
速報:BreachForumsの運営者「Pompompurin」を逮捕
DataBreaches.net – Mar 17 2023 22:40
インド、リトアニア、スロバキア、バチカンの政府関係者を狙うAPTグループ「Winter Vivern」
The Hacker News – Mar 17 2023 07:06
新たな脅威アクターYoroTrooperが政府や医療機関を標的に
米国政府、「LockBit3.0」のランサムウェア攻撃について各組織に注意喚起
Security Week – Mar 17 2023 14:47
中国を拠点とするAPTのTickがカスタムマルウェアを配布し、その他のツールを展開
「HinataBot」、脅威ランドスケープにおける新たなGo言語ベースのDDoSボットネット
Security Affairs – Mar 17 2023 15:41
Android用マルウェア「FakeCalls」を拡散させる新たなビッシング攻撃について
LockBit 3.0ランサムウェア:数百万ドルの損失を出しているサイバー脅威の内幕
The Hacker News – Mar 18 2023 05:17
新たなランサムウェア「Trigona」が米国、ヨーロッパ、オーストラリアを狙う
SecurityWeek – Mar 17 2023 13:46
中国のハッカーグループがFortinet製品のゼロデイの脆弱性を悪用(CVE-2022-41328)
関連記事:FortiOSの新しいバグが政府ネットワークへの攻撃でゼロデイとして利用される(CVE-2022-41328)
Fortinetにおける最近のゼロデイの悪用に中国のサイバースパイが関与か
Security Week – Mar 17 2023 09:58
Android携帯の危険なゼロデイバグが判明 – 今すぐパッチや回避策を!(CVE-2023-24033)
Naked Security – Sophos – Mar 17 2023 17:56
2つのゼロデイを解決するため、OfficeとWindowsに今すぐパッチを適用しよう(CVE-2023-23397、CVE-2023-24880ほか)
Computerworld – Mar 17 2023 20:52
関連記事:マイクロソフト月例パッチ:盛んに悪用されるOutlookのゼロデイなどが修正される(CVE-2023-23397、CVE-2023-24880ほか)
日立エナジー、GoAnywhereのゼロデイを悪用したClopグループによる侵害を受ける(CVE-2023-0669)
Security Affairs – Mar 17 2023 21:42
関連記事:Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)
マイクロソフト製Outlookの脆弱性が2023年の「It」バグになる可能性(CVE-2023-23397)
Dark Reading – Mar 17 2023 18:23
サイバーセキュリティスナップショット:ランサムウェアグループが悪用する可能性のある、重要インフラ組織の脆弱性を米CISAが指摘
Tenable Blog – Mar 17 2023 10:00
Latitude Financial Servicesのデータ侵害で顧客30万人に影響
SecurityWeek – Mar 17 2023 15:05
Independent Living Systemsがハッキングされ、8か月後に影響を受けた患者や消費者420万人へ通知
Medium Cybersecurity – Mar 17 2023 17:38
Google、サムスン製の携帯が知らぬ間にハッキングされる可能性があることを明らかに:その方法とは?
DataBreaches.net – Mar 17 2023 13:11
NBA、個人情報漏洩を引き起こしたデータ侵害についてファンに注意喚起
Bleeping Computer – Mar 17 2023 20:21
ClopのGoAnywhereの脆弱性を悪用した攻撃の後、日立エナジーがデータ侵害を認める(CVE-2023-0669)
Bleeping Computer – Mar 17 2023 16:20
NorthStar EMSがハッキングされ、82,000人以上が影響を受ける
Medium Cybersecurity – Mar 17 2023 17:18
2023年3月19日
ハイライト
米国政府機関がランサムウェアLockBit3.0に関する注意喚起を共同発表
Security Affairs – Mar 18 2023 16:31
中国のハッカーらが、サイバースパイ攻撃のためFortinetのゼロデイの欠陥を悪用
The Hacker News – Mar 18 2023 11:30
CVE-2023–23397に注意 — 高リスクなOutlookの脆弱性
Medium Cybersecurity – Mar 18 2023 19:21
NBA、個人情報漏洩を引き起こしたデータ侵害についてファンに注意喚起
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
翻訳元 : Daily Cyber Alert (18 March 2023), Daily Cyber Alert (19 March 2023)
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。