サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年4月4日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
情報スティーラーだけではない:バックドア「Gopuram」が3CXへのサプライチェーン攻撃を介して展開される
Securelist – Apr 03 2023 12:16
3CXを狙ったサプライチェーン攻撃で展開された悪意のあるペイロードは情報スティーラーだけではなかった。カスペルスキーによると、バックドア「Gopuram」もこの攻撃の中で展開されていたという。カスペルスキーは、Gopuramがこの攻撃チェーンにおける主要なインプラントであり、最終的なペイロードであると考えている。
同社は2020年、東南アジアの暗号資産関連企業の侵害を調査していた際、被害者のマシン上にGopuramとバックドア「AppleJeus」(北朝鮮の脅威グループLazarusの用いるバックドア)が共存しているのを発見。それ以来、Gopuramを追跡してきた。
3年ほどGopuramの被害者は少ないままだったが、2023年3月に感染数が増加し始め、のちにこの増加が3CXのサプライチェーン攻撃と直接関連していることがわかったのだという。そしてカスペルスキーはGopuramとAppleJeusの関係性などを踏まえ、3CXを狙ったキャンペーンはLazarusによるものであると中程度〜高い確度で評価している。
今回のサプライチェーン攻撃では、Gopuramが展開されたマシンの台数は10台未満だった。このことからは、同バックドアがかなりピンポイントで使用されていることが伺えるという。カスペルスキーは同攻撃キャンペーンの調査はまだ完全ではないとし、今後もこのサプライチェーン攻撃で展開されたインプラントの分析を続けていくと述べている。
ウエスタンデジタルでデータ侵害
Dark Reading – Apr 03 2023 19:15
3月26日に発生し、現在も進行中であるとされるセキュリティ侵害により、ウエスタンデジタルのサービス運営に支障が出ている。
同社は、権限を持たない第三者が同社の一部システムを侵害することに成功し、そこからデータを取得したと発表している。ただ、取得されたデータの内容や範囲については現在調査中とのこと。
現在も障害により同社のサービスであるMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerへのアクセスができない状態となっている(参考:”My Cloud Home and My Cloud OS 5 Services are DOWN”)。
VPNを使用した新たなマルバタイジング攻撃で、暗号資産スティーラー「OpcJacker」が投下される
トレンドマイクロの研究者らは2023年2月、暗号資産の窃取が可能なマルウェア「Opcjacker」を配布する、イランのユーザーを狙った新たなマルバタイジングキャンペーンを発見。
今回分析されたサンプルでは、悪意ある広告は実在のVPNアプリの宣伝を装っていたという。これに騙されたイランのユーザーは、Opcjackerを含むアーカイブファイルをダウンロードさせられることとなった。
OpcJackerの主な機能には、キーロギング機能、スクリーンショット撮影機能、ブラウザからの秘密データ窃取機能、追加のモジュールのロード機能、暗号資産アドレスを置き換える機能などがあるという。
トレンドマイクロはOpcJackerのオペレーターは金銭的動機を持つアクターだろうと指摘しつつも、OpcJackerの機能に秘密データ窃取機能や追加モジュールのロード機能が含まれることを踏まえ、同マルウェアが金銭奪取以外の目的で使われる可能性があることも示唆している。なお、OpcJackerはまだ開発段階(テスト段階)にあるものとみられるとのこと。
2023年4月4日
ハイライト
2023-04-03 – IoC アップデート:Qakbot (Qbot) TCPポート65400におけるトラフィックのIPアドレスが変更される
Malware-Traffic-Analysis – Apr 04 2023 02:17
CactiやRealtekの欠陥を標的にMoobotボットネットが拡散される(CVE-2022-46169、CVE-2021-35394ほか)
Security Affairs – Apr 03 2023 07:45
まんまと釣られる:2022年におけるフィッシングの状況
Money Message:組織を脅す最新のランサムウェアグループ
Heimdal Security Blog – Apr 03 2023 09:35
Winter Vivern、ヨーロッパの政府機関への攻撃を開始(CVE-2022-27926、CVE-2021-35207)
NATO加盟国、Zimbraの脆弱性を悪用するWinter Vivernの標的に(CVE-2022-27926)
SC Magazine US – Apr 03 2023 15:25
北朝鮮グループAPT43はスパイ活動の資金調達のためサイバー犯罪を利用
Medium Cybersecurity – Apr 03 2023 10:03
Lazarusによるものと考えられるキャンペーンで、3CXDesktopAppにバックドアが設置される
Qualys Blog – Apr 04 2023 00:16
プラグインElementor Proの脆弱性、WordPressサイトハッキングのために悪用される
SecurityWeek – Apr 03 2023 13:47
Elementor Proの脆弱性を脅威アクターらが盛んに悪用
Heimdal Security Blog – Apr 03 2023 09:37
米CISA、スパイウェア配布のために悪用されるゼロデイ数件への早急なパッチ適用を呼びかけ(CVE-2021-30900、CVE-2022-38181ほか)
SC Magazine US – Apr 03 2023 15:16
関連記事:スパイウェアベンダーによるAndroidやiOSデバイスでのゼロデイ悪用が発覚(CVE-2022-42856、CVE-2022-3723ほか)
Quantum TitanのAI深層学習エンジンがゼロデイ・フィッシング攻撃をリアルタイムで検知&ブロック
Check Point – Apr 03 2023 11:58
TMX Financeでのデータ侵害により480万人が影響受ける
SecurityWeek – Apr 03 2023 10:20
Service NSWでの侵害により個人データが漏洩、顧客数千人が影響受ける
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。