サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年4月12日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
Nokoyawaランサムウェアの展開に、Windowsのゼロデイが利用される(CVE-2023-28252)
Kaspersky Lab – Apr 11 2023 17:36
マイクロソフト月例パッチ:CVE97件が修正される(CVE-2023-28252)
Tenable Blog – Apr 11 2023 18:22
マイクロソフトは2023年4月の月例パッチで、ランサムウェアの展開目的で悪用されていたゼロデイ(CVE-2023-28252)を含む脆弱性97件を修正した。CVE-2023-28252はWindowsの共通ログファイルシステム (CLFS) システムドライバーにおける特権昇格の脆弱性。
カスペルスキーによると、CVE-2023-28252はランサムウェア攻撃を実行する高度なサイバー犯罪グループによって悪用されていたという。このグループは、小売・卸売、エネルギー、製造、ヘルスケア、ソフトウェア開発などの業界への攻撃の中でCVE-2023-28252を利用し、最終段階のペイロードとしてランサムウェアNokoyawaを展開しようとしていた。
また今回の月例パッチでは、深刻度が「Critical(緊急)」に分類される脆弱性7件も修正されている(CVE-2023-21554、CVE-2023-28231、CVE-2023-28219、CVE-2023-28220、CVE-2023-28250、CVE-2023-28232、CVE-2023-28291)
・CVE-2023-21554は、Microsoft Message Queuing (MSMQ)に影響を与えるRCEの脆弱性で、CVSSv3スコアは9.8。攻撃者は、影響を受けるMSMQサーバーへ特別に細工されたMSMQパケットを送信することで、この脆弱性を悪用可能。
・CVE-2023-28250は、WindowsのPragmatic General Multicast (PGM) に影響を与えるRCEの脆弱性で、CVSSv3スコアは9.8。攻撃者は、MSMQサービスが有効化されている状況で、任意のコードを実行するために細工されたファイルをネットワーク上で送信することにより、この脆弱性を悪用できる。
・CVE-2023-28231は、DHCP (Dynamic Host Configuration Protocol) サーバーサービスに影響を与えるRCEの脆弱性で、CVSSv3スコアは8.8。この脆弱性を悪用するには、攻撃者は隣接ネットワーク上にいる状態で、細工したRPCコールを使用する必要がある。
ほぼ無名のイスラエル企業がiPhone用のゼロクリックスパイウェアを販売していたことが発覚
SiliconANGLE – Apr 12 2023 00:04
「見えないカレンダーの招待状」によりiPhoneがハッキングされ、QuaDream製スパイウェアを投下される
Bleeping Computer – Apr 11 2023 17:46
マイクロソフトとCitizen Labが発表した新たなレポートによると、ほぼ無名のイスラエル企業QuaDreamのスパイウェアによって、ジャーナリストや政治家、NGO職員らのiPhoneが侵害されていたという。
QuaDreamは、イスラエルの有名なスパイウェア・メーカーNSO Groupの元従業員によって設立されたスパイウェアベンダーで、NSO Groupと同様にゼロクリックスパイウェアの開発を行っている。なおゼロクリックスパイウェアとは、被害者による端末操作なし(=ゼロクリック)でターゲットデバイスを感染させられるスパイウェアを指す。
QuaDream製スパイウェア「KingsPawn」への感染は、「ENDOFDAYS」と名付けられたゼロクリックエクスプロイトの実行によって行われるという。ENDOFDAYSはiOS 1.4から14.4.2のゼロデイを狙ったエクスプロイトで、その実行のために悪意あるカレンダーイベントが用いられる。ユーザーに気づかれることなくイベントを追加するため、「過去の日付のタイムスタンプを持つiCloudカレンダーの招待状はユーザー向けのプロンプトや通知を表示せずに自動的に処理されてユーザーのカレンダーに追加される」、という仕組みが利用されている。
KingsPawnを購入・使用したと考えられるのは、サウジアラビア、ブルガリア、チェコ共和国、ハンガリー、ガーナ、イスラエル、メキシコ、ルーマニア、シンガポール、アラブ首長国連邦、ウズベキスタンの政府。また、Citizen Labによれば、ヨーロッパ、北米、中東、東南アジアの政治家、ジャーナリスト、NGO職員など5人以上の被害者が確認されているとのこと。
3CX、サプライチェーン攻撃の首謀者は北朝鮮関連ハッカーだったことを確認
The Hacker News – Apr 12 2023 04:06
3CXは、同社のWindowsおよびmacOS向けデスクトップアプリケーションを標的としたサプライチェーン攻撃が、北朝鮮関連の脅威アクターによるものであったことを確認した。これは、Mandiantが実施した中間評価の結果を受けての判断。
またサイバーセキュリティ企業のCrowdStrikeも、戦術的な重複を理由に、このサプライチェーン攻撃を北朝鮮グループLazarusのサブグループである「Labyrinth Chollima」によるものだと指摘していた。
なお、脅威アクターがどのようにして3CXのネットワークに侵入したのかや、既知または未知の脆弱性を利用したものなのかについては、現在のところ不明。
2023年4月12日
ハイライト
攻撃者がRedLineスティーラーをChatGPTやGoogle BardのFacebook広告に潜ませる
Dark Reading – Apr 11 2023 15:04
マイクロソフトがBlackLotusのキャンペーンに関するガイダンスをリリース
CISA Current Activity – Apr 11 2023 12:00
アップル製品狙う新たなゼロクリックスパイウェアメーカーがまたもや登場
The Register – Security – Apr 12 2023 00:42
2023年4月のフィッシング詐欺:Catches of the Month
IT Governance Blog – Apr 11 2023 09:55
FBIに指名手配されているAPT28のリーダーのEメールをウクライナのハッカーらが侵害
関連記事:ウクライナのハッカーら、2016年の米大統領選時に民主党関係者をハッキングしたロシア人スパイのEメールを侵害したと主張
マイクロソフト月例パッチ:CVE97件が修正される(CVE-2023-28252)
Tenable Blog – Apr 11 2023 18:22
アップルが旧型iOSおよびmacOSデバイス向けにゼロデイパッチを展開(CVE-2023-28206、CVE-2023-28205)
SecurityWeek – Apr 11 2023 11:27
CVE-2023–29218:Twitterにおける「おすすめ」投稿選別アルゴリズムの脆弱性
Medium Cybersecurity – Apr 11 2023 15:05
アップルがiPhone、Macにおける悪用されるゼロデイのパッチを急いで公開(CVE-2023-28205、CVE-2023-28206)
Help Net Security – News – Apr 11 2023 09:42
ICSベンダーの定例パッチ:シーメンス、シュナイダーエレクトリックが脆弱性数十件に対処(CVE-2023-28489ほか)
Security Week – Apr 11 2023 13:52
ギフトカード詐欺のエコシステムの変動、Paxfulのサービス提供終了はビジネスメール詐欺にどんな影響をもたらすのか
MuddyWater関連の新たなグループDEV-1084が破壊的攻撃を実行
ヤム・ブランズ、ランサムウェア攻撃によるデータ侵害を報告
Information Security Buzz – Apr 11 2023 13:48
KFC、タコベル、ピザハットのオーナー企業ヤム・ブランズがデータ侵害開示
Security Affairs – Apr 11 2023 14:16
KFC、ピザハットのオーナー企業がデータ侵害開示 – 利用者の個人情報が盗まれる
DataBreaches.net – Apr 11 2023 12:10
FBIに指名手配されているロシアGRUの将校兼ハッカーグループAPT28のリーダーがハッキングされる
DataBreaches.net – Apr 11 2023 12:10
FCCの新しいデータ侵害報告規則をめぐり論争が勃発する可能性
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。