Breachedの閉鎖により、ARESグループが運営するデータリークフォーラムへの移行が活発化

Yoshida

2023.04.10

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月8日と9日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

フォーラムBreachedの閉鎖により、ARESが運営するデータリークフォーラムへの移行が活発化

Bleeping Computer – Apr 08 2023 16:17

盗難データベースの販売/リークによってサイバー犯罪シーンで名をあげつつある脅威グループ「ARES」によって運営されているサイトが、フォーラム「Breached」の閉鎖により生まれた穴を埋める存在になる可能性があるとの報道。Cyfirmaによると、Breachedの閉鎖以後、同グループのサイト「ARES Leaks」のアクティビティが増加しているという。

ARESは2021年後半にTelegram上に登場したアクターで、ランサムウェアRansomHouseやデータリークプラットフォーム「KelvinSecurity」、およびネットワークアクセスグループ「Adrastea」との繋がりが指摘されている。

ARES Leaksは通常のWeb上でホストされているプラットフォームで、米国、フランス、スペイン、オーストラリア、イタリアなど65か国の流出データを扱う。販売されているデータの種類は、電話番号、メールアドレス、顧客情報、B2B、SNS、企業データベース、FXデータ、政府関連情報、パスポートなど多岐にわたるという。また、脆弱性の悪用やペネトレーションテスト、マルウェア開発、DDoS攻撃などさまざまなサービスも用意されている。

ARESはさらに、2023年初頭に始動した別のプロジェクト「LeakBase」にも関与している。LeakBaseはクリアウェブ上でホストされており、誰もが無料で参加可能。LeakBaseでは無料のデータベースが提供されているほか、リークデータ、リード情報、エクスプロイト、各種サービスの販売の場であるマーケットスペースも用意されている。LeakBaseの利用者も、Breachedの閉鎖や積極的なプロモーションによって増加しているという。

ARESはよく組織化された脅威グループであるとみられる。Cyfirmaの考えによれば、ARESはBreachedの閉鎖を自身の成長やサイバー犯罪市場でのポジション固めに利用できるチャンスと捉えているとのこと。

Mastodonの脆弱性により機微情報が漏洩する恐れ（CVE-2023-28853）

DataBreaches.net – Apr 08 2023 13:10

ソーシャルネットワークMastodonに、攻撃者による個々の情報の読み取りを可能にする恐れのある脆弱性が見つかっている。この脆弱性CVE-2023-28853は、LDAP認証中に転送されるデータのフィルタリングが不適切なことにより生じるもので、深刻度は「high（高）」に分類されている。

CVE-2023-28853を利用した攻撃者は、LDAPのデータベースクエリを密かに入手することができる。このクエリは、ユーザーに関する情報を少しずつ読み取るために利用できる。ただし、攻撃者がパスワードハッシュを入手することは不可能。

なおこの脆弱性の影響を受けるのはMastodonのバージョン2.5.0以降で、4.1.2、4.0.4、3.5.8の3バージョンで修正されている。

米CISA、Veritas Backup Execの欠陥を「悪用が確認済みの脆弱性カタログ」に追加（CVE-2021-27876、CVE-2021-27877、CVE-2021-27878、CVE-2019-1388、CVE-2023-26083）

Security Affairs – Apr 08 2023 22:15

米CISAは、以下のVeritas Backup Execの欠陥5件を、「悪用が確認済みの脆弱性カタログ」に追加した。Mandiantによると、うち3件はALPHV/BlackCatランサムウェアグループのアフィリエイトである「UNC4466」によって悪用されていたという。またGoogleの脅威分析グループTAGは、Arm Mali GPUの脆弱性CVE-2023-26083を他の脆弱性と連鎖させることにより、商用スパイウェアをインストールすることが可能になるとしている。

・CVE-2021-27876 – Veritas Backup Exec Agentのファイルアクセスの脆弱性

・CVE-2021-27877 – Veritas Backup Exec Agentの不適切な認証の脆弱性

・CVE-2021-27878 – Veritas Backup Exec Agentのコマンド実行の脆弱性

・CVE-2019-1388 – Microsoft Windowsの証明書ダイアログの特権昇格の脆弱性

・CVE-2023-26083 – Arm Mali GPUカーネルドライバーの情報開示の脆弱性

CISAは連邦政府機関に対し、2023年4月28日までに脆弱性の修正を行うよう指示している。また専門家らは民間組織に対しても、CISAの脆弱性カタログをレビューして自組織のインフラ内の脆弱性に対処することを推奨している。

2023年4月8日

ハイライト

NuLife Med、2022年3月に発生したデータ侵害めぐる集団訴訟で和解へ

DataBreaches.net – Apr 07 2023 11:40

司法省：エストニア人男性が米国製ハッキングツールをロシアに代わって入手しようとした

SecurityWeek – Apr 07 2023 15:40

アップル、iOS、iPadOS、macOSおよびSafariにおけるゼロデイ欠陥に対応するアップデートを公開（CVE-2023-28205、CVE-2023-28206ほか）

The Hacker News – Apr 08 2023 05:15

アップル、新たに悪用されたゼロデイに対応したiOSの緊急パッチをリリース（CVE-2023-28205、CVE-2023-28206ほか）

SecurityWeek – Apr 07 2023 19:36

iOS 16.4.1とmacOS 13.3.1では、2つのセキュリティ脆弱性に対応

ArsTechnica – Apr 07 2023 20:41

ソフォス、Webセキュリティアプライアンスにおける重大なコード実行の脆弱性に対するパッチをリリース（CVE-2023-1671、CVE-2022-4934ほか）

Security Week – Apr 07 2023 10:52

関連記事：ランサムウェアMoney Message、IT大手MSIをハッキングしたと主張

回避能力を強化した「Typhon Reborn V2」

Cyware – Apr 07 2023 20:49

2023年4月9日

ハイライト

新たなランサムウェアグループMoney MessageがMSIを攻撃し、データをリークすると脅迫

HackRead – Apr 08 2023 12:52

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。