Threat Report

Silobreaker-CyberAlert

Genesis MarketのデータがHave I Been Pwnedで検索可能に：「クッキーモンスター作戦」によるテイクダウン経て

山口 Tacos

2023.04.06

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月6日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

差し押さえられたGenesis MarketのデータがHave I Been Pwnedで検索可能に　FBIと「クッキーモンスター作戦」の厚意により

Troy Hunt’s Blog – Apr 05 2023 12:02

盗難データを扱うマーケットプレイスとして悪名高い「Genesis Market」を、FBIをはじめとする複数国の法執行機関が「クッキーモンスター作戦（Operation Cookie Monster）」と題された捜査作戦によってテイクダウンした。FBIなどはその後、Genesis Marketで販売されていたメールアドレスやパスワードをHave I Been Pwnedに提供した。これにより現在、被害を受けた恐れのある人々は自らのデータが流出しているかどうかをHave I Been Pwned上で確かめることができるようになっている。

Genesis Marketは4年ほど前から稼働していたマーケットプレイスで、認証情報そのものだけではなく、「クッキー」（作戦名「クッキーモンスター作戦」はここから取られている）と「フィンガープリント」（IPアドレス、OS情報、プラグインなど）のセットも販売していた。これらの情報をセットで使えば、攻撃者は他人のブラウザセッションを乗っ取ることができるようになる。このような他人へのなりすましを可能にする情報を提供するサービスは、「IMPaaS(Impersonation-as-a-Service/サービスとしてのなりすまし)」と呼ばれている。

なお、クッキーモンスター作戦を経てHave I Been Pwnedに提供されたデータは「センシティブ」に分類される慎重な取り扱いを要する情報であるため、誰しもが自由に検索を行えるわけではない。例えばメールアドレスを検索したい場合には、自身がそのアドレスの所有者であるという証拠を示さない限り、検索結果は表示されない仕様になっている。

QNAP製品におけるゼロデイによりデバイス8万台がサイバー攻撃の危険に晒される（ CVE-2022-27597、CVE-2022-27598）

Dark Reading – Apr 05 2023 15:23

QNAPが提供するNASデバイス用OSのゼロデイ脆弱性2件（CVE-2022-27597、CVE-2022-27598）が世界中のデバイス80,000台ほどに影響を与えていると推定されている。

CVE-2022-27597とCVE-2022-27598はQTS、QuTS hero、QuTScloud、QVP OSに影響を与えるメモリアクセス違反の脆弱性。これらの脆弱性は安定性の問題や予測不能なコードの挙動につながる可能性があり、悪用されると任意コードの実行が可能になる恐れがあるという。

両脆弱性はQTS 5.0.1.2346 build 20230322とQuTS hero h5.0.1.2348 build 20230324で修正されており、QuTScloudとQVP OSはまだパッチが未リリース。CVE-2022-27597、CVE-2022-27598ともに深刻度は低く、実際の攻撃での悪用は観測されていない。ただ、QNAP製品はDeadBoltランサムウェアをはじめとするサイバー犯罪者らの人気の標的であるため、早急にパッチ適用を実施することが重要とされている。

スティーラーマルウェアTyphon Reborn、高度な回避技術を携え再浮上

The Hacker News – Apr 05 2023 08:35

情報窃取型マルウェア「Typhon Reborn」の背後にいる脅威アクターが、改良版の検出回避性能およびアンチ分析性能を備えた最新版Typhon Reborn（V2）とともに再浮上している。

Typhon Rebornは2022年8月に初めて報告されたスティーラー。クリップボードコンテンツのハイジャック、スクリーンショットの取得、キーストロークのロギングといった性能のほか、暗号資産ウォレットやメッセージアプリ、FTPアプリ、VPNアプリ、ブラウザアプリ、ゲームアプリからデータを盗む性能を備えていることが伝えられていた。

最新版ではアンチ分析技術が向上している上、スティーラー機能とファイルグラバー機能が改良されているという。また盗まれたデータは、Telegram APIを使って攻撃者へと送られる。現在、この最新版はロシア語ダークウェブフォーラム「XSS」で売りに出されており、価格は1か月間のサブスクリプション価格が59ドル、年間だと360ドル、永久サブスクリプションは540ドルであるとのこと。

2023年4月6日

ハイライト

シスコ製スモールビジネス向けルーターRV016、RV042、RV042G、RV082、RV320およびRV325におけるリモートコマンド実行に関する脆弱性（CVE-2023-20124）

Cisco Security Advisory – Apr 05 2023 16:08

Cisco Prime InfrastructureとCisco Evolved Programmable Network Managerにおける脆弱性（CVE-2023-20127、CVE-2023-20129ほか）

Cisco Security Advisory – Apr 05 2023 16:08

新たなランサムウェア「Rorschach」はLockBitの約2倍の速度で暗号化

IT Pro UK – Apr 05 2023 10:44

関連記事：自己増殖し、高速で暗号化を行うランサムウェア「Rorschach」が出現

DDoS攻撃件数は2019年以降487%増加

SC Magazine US – Apr 05 2023 22:37

3月のサイバー攻撃件数増加の背景にClopランサムウェアあり

SC Magazine US – Apr 05 2023 19:09

3CX狙ったサプライチェーン攻撃、被害者の一部はバックドアGopuramを使って狙われる

SC Magazine US – Apr 05 2023 19:09

関連記事：情報スティーラーのみならず：3CX狙ったサプライチェーン攻撃でバックドア「Gopuram」が展開される

Rorschachランサムウェアは騒々しさよりもスピードとステルス性を重視

BankInfoSecurity – Apr 05 2023 15:39

Rorschach – 史上最速で暗号化を行う新たなランサムウェア

Cyware – Apr 06 2023 01:54

新マルウェアRilide、暗号資産を盗むためChromiumベースのブラウザを狙う

Heimdal Security Blog – Apr 05 2023 09:30

CryptoClippy：ポルトガル語圏の暗号資産ユーザー狙う新たなクリッパーマルウェア

The Hacker News – Apr 05 2023 14:17

マルウェア「PortDoor」

Medium Cybersecurity – Apr 05 2023 09:54

新たなランサムウェア脅威「Rorschach」は平凡な戦術を避け、高速な暗号化を誇る

SC Magazine US – Apr 05 2023 15:51

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。