ロシア関連グループAPT29、NATO・EU狙った最近の攻撃に関与か

山口 Tacos

2023.04.14

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月14日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

ロシアに関連するAPT29がNATO・EUを標的にした最近の攻撃に関与か

Security Affairs – Apr 13 2023 20:19

ポーランド軍防諜局とそのコンピューター緊急対応チームは、NATOおよびEU諸国を狙った最近の一連の攻撃への、ロシア関連グループ「APT29」（別名SVRグループ、Cozy Bear、Nobelium、The Dukes）の関与を指摘した。APT29は、サイバースパイグループのAPT28とともに米民主党全国委員会や2016年の米国大統領選を狙ったハッキングや攻撃を複数行っていたことで知られているAPTグループ。

3月上旬、BlackBerryの研究者がEU諸国を狙った新たなサイバースパイキャンペーンを発見。このキャンペーンでは、外交機関や、EUの政治に関する機密情報を送信するシステムなどが標的となっていた。ポーランド軍防諜局によると、キャンペーンの要素の多く（インフラやテクニック、ツールなど）が APT29の過去の活動のものと重複しているという。

攻撃キャンペーンは今も続いていることから、ポーランド軍防諜局は同グループに狙われる恐れのある分野（外交、政治、ウクライナ支援など）に従事する組織に対し、ITセキュリティシステムのセキュリティを向上させることを推奨している。また同局は、このキャンペーンに関連するIoCも提供している。

HikvisionがHybrid SANとクラスタストレージ製品の重大な脆弱性を修正（CVE-2023-28808ほか）

Security Affairs – Apr 14 2023 05:22

中国の防犯カメラ大手Hikvisionが、同社のHybrid SAN製品およびクラスタストレージ製品における重大な脆弱性CVE-2023-28808に対処した。同脆弱性は、Hybrid SANのバージョン2.3.8-8と、クラスタストレージデバイスのバージョン1.1.4で修正されている。

CVE-2023-28808は細工されたメッセージを脆弱なデバイスへ送ることにより悪用でき、CVSSスコアは9.1。デバイスへネットワークアクセスできる攻撃者がこの脆弱性を悪用すると、管理者権限を取得できてしまう恐れがある。

なお、この脆弱性が実際の攻撃で悪用される様子は観測されていないとのこと。Hikvisionのアドバイザリはこちら：Security Notification – Security Vulnerability in Some Hikvision Hybrid SAN/Cluster Storage Products

マイクロソフトがUFFIブートキット「BlackLotus」のハンティングに関するリソースを共有

Security Week – Apr 13 2023 10:52

マイクロソフトは今週、UFFIブートキット「BlackLotus」感染の特定方法に関する情報を共有した。BlackLotusは、ユーザーアクセス制御（UAC）およびセキュアブートのバイパス、検出回避、保護機能（ハイパーバイザーで保護されたコード整合性［HVCI］、BitLocker、Microsoft Defenderなど）の無効化など、国家レベルの機能を備えるマルウェア。

BlackLotusはセキュアブートを無効化するためにWindowsの脆弱性CVE-2022-21894を」悪用する。同マルウェアは主に、すでに標的システムへの特権アクセスまたは物理的アクセスのいずれかを獲得している攻撃者によって、持続性の確保や保護機能回避の目的で利用されるという。

BlackLotusは高いステルス性を誇り、数々の回避性能を備えているものの、セキュリティチームが探し出すことのできる特定のアーティファクトも残すのだという。マイクロソフトによると、脅威ハンターがBlackLotusへの感染を特定する上で探すべきものとして以下を挙げている：

・新しく作成されたブートローダファイル

・新しく作成されたステージングディレクトリのアーティファクト

・変更されたレジストリキー

・ネットワーク動作

・生成されたWindowsイベント

・ブート構成のログエントリ

マイクロソフトはこちらのガイダンスでさらに詳しい情報を提供している：Guidance for investigating attacks using CVE-2022-21894: The BlackLotus campaign

2023年4月14日

ハイライト

脆弱性スポットライト：ハードコードされたパスワードの脆弱性が、攻撃者によるLenovo Smart Clockの完全な乗っ取りを可能にする恐れ（CVE-2023-0896）

Talos Intelligence Blog – Apr 13 2023 14:39

マイクロソフトがランサムウェアNokoyawaの展開で使用される脆弱性にパッチ（CVE-2023-28252）

CSO Magazine – Apr 13 2023 12:52

関連記事：Nokoyawaランサムウェアの展開に、Windowsのゼロデイが利用される（CVE-2023-28252）

Fortinetがデータ分析製品の重大な脆弱性を修正（CVE-2022-41331）

Security Affairs – Apr 13 2023 10:30

関連記事：Fortinetがデータ分析ソリューションの重大な脆弱性にパッチ（CVE-2022-41331ほか）

シーメンスのSCALANCE X-200、X-200IRT、X-300スイッチファミリーにおける脆弱性「BadAlloc」

CISA Current Activity – Apr 13 2023 12:00

Goのためのサプライチェーンセキュリティ、パート1：脆弱性管理

Google Online Security Blog – Apr 13 2023 16:04

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。