サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年3月25日と26日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
新たなランサムウェアDark Power、活動開始1か月で既に10組織を攻撃・脅迫
Bleeping Computer – Mar 25 2023 16:29
2023年1月29日から攻撃を開始した新たなランサムウェアオペレーション「Dark Power」は、既に最初の被害者10組織をダークウェブのデータリークサイトに掲載し、身代金が支払われない場合データを公開するとして被害者を脅迫し始めている。
Trellixによると、Dark Powerは標的を絞るのではなく、場当たり的に世界各地の組織を狙うランサムウェアオペレーションで、要求される身代金は10,000ドルと比較的低額だという。また同ランサムウェアはまだハッカーフォーラムやダークウェブで売り出されたり宣伝されたりしていないことから、プライベートなプロジェクトであると思われる。
また興味深いことに、Dark Powerのランサムウェアは2つのバージョンが出回っており、それぞれが別の暗号化鍵スキームを用いている。1つ目の亜種はSHA-256アルゴリズムを使ってASCII文字列をハッシュ化して2分割し、一方をAES鍵として、他方を初期化ベクトルとして使用する。一方で、2つ目の亜種はSHA-256ダイジェストをAES鍵として使い、128ビットの固定値を暗号化ノンスとして使う。
さらに、Dark Powerのランサムノート(身代金要求メモ)は特徴的で、8ページものPDFドキュメントとなっている。内容は、何が発生したのかに関する情報と、攻撃者とのqToxメッセンジャーを利用した連絡の取り方など。また、有効な復号ツールを入手するには72時間以内に指定のウォレットアドレスへ10,000ドル相当のXMR(モネロ)を送金する必要がある旨も記されている。
Trellixは被害者を10組織確認しており、その所在地は米国、フランス、イスラエル、トルコ、チェコ、アルジェリア、エジプト、ペルーだったと報告している。Dark Powerグループはこれらの組織のネットワークからデータを盗んだと主張しており、身代金が払われなければデータを公開すると脅している。このことから、Dark Powerは新たな二重恐喝グループであると言える。
FBI、サイバー犯罪フォーラムBreachedのデータベースを入手していたことを認める
Bleeping Computer – Mar 24 2023 21:59
米FBIは金曜、BreachForums(「Breached」とも呼ばれる)のデータベースへアクセスしたことを認めた。また、同フォーラムの所有者とされる20歳のConor Brian Fitzpatrick被告(「Pompompurin」として知られる)は、同フォーラム上で「米国民数百万人および米国内外の企業、組織、政府機関」に属する機密性の高い個人情報の窃取・販売に関与したとされることをめぐって起訴された。
FBIのJohn Longmire特別捜査官によると、FBIはBreachedのデータベースを入手済みであり、これとアクティビティログ、およびFitzpatrick被告の使用していたインターネット接続などを踏まえて同被告がPompompurinであることの裏付けを取ったという。
同捜査官によると、pompompurinのアカウントへのアクセスは通常、VPNまたはTorを通じて行われていた。だが2022年6月27日前後にVPNもTorも使わずにアクセスが行われたことがあり、その際にFitzpatrick被告のIPアドレス69.115.201.194が使われていたとのこと。
またFitzpatrick被告も、自身がBreachForumsの所有者兼運営者であることと、RaidForums上のpompompurinアカウントが自身のものであることを認めており、BreachForumsでの1日あたりの稼ぎを約1,000ドルだったと見積もっているという。この資金は、フォーラムの運営や他のドメインの購入に充てられていた。
なお、Breachedフォーラムはpompompurin亡き後の管理者である「Baphomet」によって閉鎖されている。
マイクロソフトはOutlookの脆弱性の検知しづらい悪用について注意喚起、ロシア関連ハッカーが悪用(CVE-2023-23397)
The Hacker News – Mar 25 2023 06:13
マイクロソフトは金曜、Outlookの脆弱性CVE-2023-23397関連のIoCの発見に役立てることのできるガイダンスを共有した。
CVE-2023-23397はCVSSスコアが9.8の重大な特権昇格の脆弱性で、悪用されるとユーザー操作なしでのNTLMハッシュの窃取やリレー攻撃が可能になる恐れがある。
同脆弱性は2023年3月のマイクロソフト月例パッチで修正されているものの、それ以前にロシアを拠点とする脅威アクターらによるヨーロッパの組織(政府、運輸、エネルギー、および軍事部門)を狙った攻撃で悪用されていた。またマイクロソフトのインシデントレスポンスチームは、2022年4月の時点で悪用されていた可能性があると述べている。
マイクロソフトが報告したある攻撃チェーンでは、NTLMリレー攻撃を成功させた脅威アクターはExchange Serverへ認証なしでアクセスし、持続性確保のためにメール受信箱内フォルダの権限を変更していたという。その後、侵害されたメールアカウントは同一組織内の他のメンバーを狙ってさらなる有害メールを送信するために使われた。
マイクロソフトは、NTLMv2ハッシュを利用して認証なしでリソースへアクセスする方法は新しいものではないとしながらも、CVE-2023-23397の悪用は新しく、ステルス性の高い技術であると指摘。また組織に対し、SMBClientのイベントログ、プロセス作成のイベント、およびその他のネットワークテレメトリをレビューしてCVE-2023-23397が悪用された可能性があるかどうかを特定するよう推奨した。
関連記事:マイクロソフト月例パッチ:盛んに悪用されるOutlookのゼロデイなどが修正される(CVE-2023-23397、CVE-2023-24880ほか)
2023年3月25日
ハイライト
衝撃的なことに、テスラがハッキングされた! – ハッカーらは10万ドルとModel3を獲得
Medium Cybersecurity – Mar 24 2023 23:15
英国年金保護基金がGoAnywhere関連の侵害での従業員データの流出を認める
DataBreaches.net – Mar 24 2023 12:40
プロクター・アンド・ギャンブルがGoAnywhereのゼロデイを悪用したデータ盗難を確認(CVE-2023-0669)
Bleeping Computer – Mar 24 2023 17:54
ハッキング大会Pwn2Ownでテスラが2回ハッキングされる
Security Week – Mar 24 2023 17:52
「ChatGPTでの決済データ流出はオープンソースライブラリRedisのバグによるもの」とOpenAI
Bleeping Computer – Mar 24 2023 18:39
2023年Pwn2Ownバンクーバー大会の2日目:Microsoft Teams、Oracle VirtualBoxのほかテスラがハッキングされる
Security Affairs – Mar 24 2023 10:39
「WooCommerce Payments」プラグインの重大な脆弱性にパッチが適用される
Information Security Buzz – Mar 24 2023 13:08
WooCommerce Paymentsの重大な脆弱性はサイト乗っ取りにつながる恐れ
Security Week – Mar 24 2023 14:52
「WooCommerce Payments」プラグインの重大な欠陥によりサイトの乗っ取りが可能に
Security Affairs – Mar 24 2023 14:45
トロント市、ハッカーグループClopによるGoAnywhereのゼロデイを悪用したハッキングの被害者の一員に(CVE-2023-0669)
Security Affairs – Mar 24 2023 18:36
シノプシス、コンテンツマネジメントシステムのPluckで新たな脆弱性を発見
IT Security Guru – Mar 24 2023 15:05
WooCommerceの重大な欠陥が、WordPressサイトを侵害するために使用される可能性
CSO Magazine – Mar 24 2023 19:43
司法省が「Pompompurin」の逮捕とBreachForumの運営停止を発表、続きを読む >>
DataBreaches.net – Mar 24 2023 21:10
スパイハッカー「Bitter」が中国の原子力機関を狙う
Bleeping Computer – Mar 24 2023 14:47
Magentoを狙った新たなスキミングマルウェア「Kritec」が発見される
「Acropalypse」、Chat GPTのGPT-4、米CISAの重要インフラ向けアドバイザリなど
Forcepoint – Mar 24 2023 12:27
Zoom Zoom:ランサムウェア「Dark Power」が1か月足らずで10の標的を脅迫
Dark Reading – Mar 24 2023 19:39
ランサムウェアに関する1週間のニュース – 2023年3月24日 – Clopに関するニュースで占められる
Bleeping Computer – Mar 24 2023 21:32
Androidベースのバンキング型トロイの木馬Nexusがマルウェア・アズ・ア・サービスとして利用可能に
CSO Magazine – Mar 24 2023 13:43
BlackGuardスティーラーの強化版が実際の攻撃に使用されているのを発見される
Heimdal Security Blog – Mar 24 2023 11:07
Qakbotのアンチアナリシスを回避する
lab52 Blog – Mar 24 2023 11:16
2023年3月26日
ハイライト
2023年Pwn2Ownバンクーバー大会で、27のゼロデイの公開に対し103万5千ドルとテスラが出場者に授与される
Security Affairs – Mar 25 2023 15:44
Vice Societyがプエルトリコの水道公社への攻撃について犯行声明を出す
Security Affairs – Mar 26 2023 06:05
ランサムウェアWannaCryによる2017年のサイバー攻撃
Medium Cybersecurity – Mar 25 2023 16:48
スパイウェアPegasusのサイバー攻撃
Medium Cybersecurity – Mar 25 2023 17:52
新たなマルウェア「DotRunpeX」が、有害な広告を介して複数のマルウェアファミリーを配布
Medium Cybersecurity – Mar 25 2023 07:32
ClopによるGoAnywhereのゼロデイ用いた攻撃、現在の被害組織数は130に
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
翻訳元 : Daily Cyber Alert (25 March 2023), Daily Cyber Alert (26 March 2023)
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。