スパイウェアベンダーによるAndroidやiOSデバイスでのゼロデイ悪用が発覚(CVE-2022-42856、CVE-2022-3723ほか) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > スパイウェアベンダーによるAndroidやiOSデバイスでのゼロデイ悪用が発覚(CVE-2022-42856、CVE-2022-3723ほか)

Threat Report

Silobreaker-CyberAlert

スパイウェアベンダーによるAndroidやiOSデバイスでのゼロデイ悪用が発覚(CVE-2022-42856、CVE-2022-3723ほか)

佐々山 Tacos

佐々山 Tacos

2023.03.30

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年3月30日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

スパイウェアベンダーによるAndroidやiOSデバイスでのゼロデイ悪用が発覚(CVE-2022-42856、CVE-2022-3723ほか)

The Hacker News – Mar 29 2023 13:52

Googleの脅威分析チームであるThreat Analysis Group(TAG)は、昨年修正された複数のゼロデイ脆弱性が商用スパイウェアベンダーによってAndroidやiOSデバイスを狙うために悪用されていたことを明らかにした。TAGのClement Lecigne氏は、「これらのベンダーは、危険なハッキングツールの普及を可能にし、内製でこういった能力を開発できないような政府にツールを授けている」と指摘している。

TAGが報告したのは、2つのキャンペーン。いずれも標的をかなり絞ったもので、パッチがリリースされてからそれが実際に適用されるまでの空白期間が攻撃に利用されていた。

1つ目のキャンペーンは2022年11月に発生。イタリア、マレーシア、カザフスタンのユーザーにSMSメッセージを使って短縮版リンクが送られた。これをクリックするとSMS受信者はAndroidまたはiOS用エクスプロイトをホストするWebページに飛ばされ、その後実在のニュースサイトや配送追跡サイトにリダイレクトされるという。

このiOS向けのエクスプロイトチェーンで利用される脆弱性には、CVE-2022-42856やCVE-2021-30900、およびPACバイパスの脆弱性が含まれる。またAndroid向けのエクスプロイトチェーンでは、CVE-2022-3723、CVE-2022-4135、CVE-2022-38181が侵害される。

2022年12月に観測された2つ目のキャンペーンでは、Samsung Internet Browserの最新バージョンを狙って複数のゼロデイおよびNデイが悪用された。標的となったのはU.A.E国内のデバイスで、エクスプロイトはSMSメッセージ内のワンタイムリンクによって配布されていた。

このキャンペーンで悪用されのはCVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266、CVE-2023-26083。エクスプロイトチェーンはスペインのスパイウェア企業Variston ITの顧客やパートナーによって使われていたと考えられている。

無線LAN規格IEEE 802.11の脆弱性により、ネットワークトラフィックの乗っ取りが可能に

SC Magazine US – Mar 29 2023 16:37

無線LAN規格IEEE 802.11の新たなセキュリティ脆弱性を脅威アクターが利用し、ネットワークフレームを平文で流出させる恐れがあるとBleepingComputerが報道。

ノースイースタン大学およびKU Leuvenのimec-DistriNetのレポートによると、キューイングまたはバッファリングされたWi-Fiネットワークフレームの保護が不十分だったことにより、情報窃取型マルウェア「MacStealer」を使えばデータの送信、クライアントへのなりすまし、キャプチャ、フレームのリダイレクトが可能だったという。

研究者らが行った攻撃は、さまざまなデバイスやOS(Linux、FreeBSD、iOS、Android)に影響を与えた上、TCP接続の乗っ取りやクライアントおよびWebトラフィックの傍受を行うために利用できるものだった。これを踏まえ、研究者らはこの攻撃は広範な影響を与えるものだと述べている。また同研究者らによると、Asus、Aruba、Cisco、D-Link、Lancomの特定のネットワークデバイスがこのエクスプロイトに脆弱であるとのこと。

APT43について:北朝鮮の支配層エリートのためにハッキング、諜報活動、窃盗を行うグループ

News ≈ Packet Storm – Mar 29 2023 10:11

Mandiantによると、サイバースパイ志向のAPTグループが米国や西側諸国の政府、シンクタンク、学者を標的にソーシャルエンジニアリングを行っているという。同グループは、北朝鮮の朝鮮人民軍「偵察総局」との関連が指摘されている。

Kimsukyとも呼ばれる同グループは、今回新たに「APT43」と名付けられた(Mandiantは同グループを2018年から追跡しているが、今回初めて正式にAPTグループとして指定した)。その主な目的は北朝鮮のために外交政策や核兵器計画関連の戦略的インテリジェンスを集めることだが、最近の活動では医療分野にも目を向けていた(おそらく新型コロナパンデミックへの対応のため)。

またAPT43は、米国、韓国、日本、および西ヨーロッパ諸国の政策決定者の意思決定について理解するため、北朝鮮の兵器プログラムに関するターゲットに事細かな質問をすることで知られている。

APT43はゼロデイや独自のマルウェアばかりを利用しがちな他の多くのAPTとは異なり、ジャーナリストや研究者などになりすますソーシャルエンジニアリングの手口を用いる。主なツールはスピアフィッシング、クレデンシャルハーベスティング、偽の人物像、信頼できる情報収集者に見せかけるための模倣ドメインなど。Mandiantのアナリストによれば、APT43の技術はさほど高くないが、攻撃のボリュームの面でその点をカバーしているという。

 

Mandiantのレポートはこちらのページからダウンロード可能:

APT43: North Korean Group Uses Cybercrime to Fund Espionage Operations

2023年3月30日

ハイライト

 

カジノ大手クラウン・リゾーツ、ランサムウェアグループのデータ盗難に関する犯行声明について調査中(CVE-2023-0669)

SecurityWeek – Mar 29 2023 12:22

関連記事:Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)

 

Latitude Financialにおけるデータ侵害で、想定より多くの顧客が被害を受ける

SC Magazine US – Mar 30 2023 00:26

 

警告!Latitude Financialにおけるデータ侵害により、1,400万人の顧客が影響を受ける

Heimdal Security Blog – Mar 29 2023 07:59

 

北朝鮮の脅威アクターAPT43、戦略的なサイバースパイ活動へ軸足を戻す

CSO Magazine – Mar 29 2023 18:52

 

目に見えない脅威:匿名のハッカーらのテクニックを解き明かす

Medium Cybersecurity – Mar 29 2023 08:31

 

DarkBit、イスラエル工科大学のデータを売りに出す

CSO Magazine – Mar 29 2023 10:52

 

サイバースパイグループBitter ATP、中国の原子力企業を狙う

Cyware – Mar 29 2023 19:28

 

OpenAIがChatGPTのアカウント乗っ取りの脆弱性にパッチ

Security Week – Mar 29 2023 15:53

 

2022年に最も多く武器化された脆弱性と5つの主要なリスク:レポート

Security Week – Mar 29 2023 11:54

 

AnomaliとキャノンITソリューションズ、ゼロデイ脅威に対抗するためタッグ

Help Net Security – News – Mar 29 2023 23:15

 

マイクロソフトがBingの脆弱性に対処、セキュリティ企業による注意喚起受け

Medium Cybersecurity – Mar 30 2023 04:29

 

Google、スパイウェアのインストールに使われるAndroidやiOSのゼロデイを新たに数件発見

Bleeping Computer – Mar 29 2023 12:00

 

偽のTorブラウザインストーラーがクリッパーマルウェアを配布

HackRead – Mar 29 2023 18:06

 

GoogleがアップルやAndroidデバイスを狙う世界的なスパイウェアキャンペーン2つについて明らかに 

Cyberscoop – News – Mar 29 2023 12:00

 

北朝鮮関連グループAPT43、サイバー犯罪によってスパイ活動の資金を調達

Information Security Buzz – Mar 29 2023 13:30

 

オーストラリアのカジノ大手クラウン・リゾーツがデータ侵害公表、ClopランサムウェアによるGoAnywhereのゼロデイ悪用した攻撃受け

Security Affairs – Mar 29 2023 20:19

 

DBatLoaderがマルウェアRemcosやFormbookの展開に利用される

SC Magazine US – Mar 30 2023 00:23

 

米連邦政府機関による外国製スパイウェアの使用が禁止に

MediaCenter Panda Security – Mar 30 2023 06:15

 

悪意あるフィッシングメールは2022年に569%増加、Cofenceの年次レポートで明らかに

PhishMe – Mar 29 2023 12:45

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (30 March 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ