サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年4月14日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
ロシアに関連するAPT29がNATO・EUを標的にした最近の攻撃に関与か
Security Affairs – Apr 13 2023 20:19
ポーランド軍防諜局とそのコンピューター緊急対応チームは、NATOおよびEU諸国を狙った最近の一連の攻撃への、ロシア関連グループ「APT29」(別名SVRグループ、Cozy Bear、Nobelium、The Dukes)の関与を指摘した。APT29は、サイバースパイグループのAPT28とともに米民主党全国委員会や2016年の米国大統領選を狙ったハッキングや攻撃を複数行っていたことで知られているAPTグループ。
3月上旬、BlackBerryの研究者がEU諸国を狙った新たなサイバースパイキャンペーンを発見。このキャンペーンでは、外交機関や、EUの政治に関する機密情報を送信するシステムなどが標的となっていた。ポーランド軍防諜局によると、キャンペーンの要素の多く(インフラやテクニック、ツールなど)が APT29の過去の活動のものと重複しているという。
攻撃キャンペーンは今も続いていることから、ポーランド軍防諜局は同グループに狙われる恐れのある分野(外交、政治、ウクライナ支援など)に従事する組織に対し、ITセキュリティシステムのセキュリティを向上させることを推奨している。また同局は、このキャンペーンに関連するIoCも提供している。
HikvisionがHybrid SANとクラスタストレージ製品の重大な脆弱性を修正(CVE-2023-28808ほか)
Security Affairs – Apr 14 2023 05:22
中国の防犯カメラ大手Hikvisionが、同社のHybrid SAN製品およびクラスタストレージ製品における重大な脆弱性CVE-2023-28808に対処した。同脆弱性は、Hybrid SANのバージョン2.3.8-8と、クラスタストレージデバイスのバージョン1.1.4で修正されている。
CVE-2023-28808は細工されたメッセージを脆弱なデバイスへ送ることにより悪用でき、CVSSスコアは9.1。デバイスへネットワークアクセスできる攻撃者がこの脆弱性を悪用すると、管理者権限を取得できてしまう恐れがある。
なお、この脆弱性が実際の攻撃で悪用される様子は観測されていないとのこと。Hikvisionのアドバイザリはこちら:Security Notification – Security Vulnerability in Some Hikvision Hybrid SAN/Cluster Storage Products
マイクロソフトがUFFIブートキット「BlackLotus」のハンティングに関するリソースを共有
Security Week – Apr 13 2023 10:52
マイクロソフトは今週、UFFIブートキット「BlackLotus」感染の特定方法に関する情報を共有した。BlackLotusは、ユーザーアクセス制御(UAC)およびセキュアブートのバイパス、検出回避、保護機能(ハイパーバイザーで保護されたコード整合性[HVCI] 、BitLocker、Microsoft Defenderなど)の無効化など、国家レベルの機能を備えるマルウェア。
BlackLotusはセキュアブートを無効化するためにWindowsの脆弱性CVE-2022-21894を」悪用する。同マルウェアは主に、すでに標的システムへの特権アクセスまたは物理的アクセスのいずれかを獲得している攻撃者によって、持続性の確保や保護機能回避の目的で利用されるという。
BlackLotusは高いステルス性を誇り、数々の回避性能を備えているものの、セキュリティチームが探し出すことのできる特定のアーティファクトも残すのだという。マイクロソフトによると、脅威ハンターがBlackLotusへの感染を特定する上で探すべきものとして以下を挙げている:
・新しく作成されたブートローダファイル
・新しく作成されたステージングディレクトリのアーティファクト
・変更されたレジストリキー
・ネットワーク動作
・生成されたWindowsイベント
・ブート構成のログエントリ
マイクロソフトはこちらのガイダンスでさらに詳しい情報を提供している:Guidance for investigating attacks using CVE-2022-21894: The BlackLotus campaign
2023年4月14日
ハイライト
パキスタンを拠点とするTransparent Tribeのハッカーらがインドの教育機関を標的にしている可能性
The Hacker News – Apr 13 2023 10:19
ハッカーグループLazarusがDeathNoteキャンペーンで手法を進化させる
Information Security Buzz – Apr 13 2023 11:56
サイバー犯罪者による思いがけないリーク:APT37の攻撃ベクター
Medium Cybersecurity – Apr 13 2023 07:31
医療機関のWebサイトに偽のリクエストが殺到 進行中のDDoS攻撃で
SC Magazine US – Apr 13 2023 15:09
ヒョンデにおけるデータ侵害で、仏伊の車の所有者の情報が流出
Information Security Buzz – Apr 13 2023 14:08
オープンソースのメディアプレーヤーソフトウェアアプリケーションKodiとWebster Bankがデータ侵害を公表
Tech-Wreck InfoSec Blog – Apr 13 2023 12:46
ヒョンデのフランス、イタリアの顧客のデータが侵害により漏洩
SC Magazine US – Apr 14 2023 03:52
侵害レポート:Prescott Collegeが5か月以上前のデータ侵害について2万人超に通知
Medium Cybersecurity – Apr 13 2023 06:11
3月のトップマルウェアに関するトレンド:Cofense Phishing Defense Center(PDC)による分析
ChatGPTとGoogle Bardの悪意あるインストーラーがRedLineスティーラーを配布
ChatGPTを利用する新たなキャンペーンでRedLineスティーラーが観測される
Googleがより透明性の高い脆弱性管理慣行を提唱
Security Week – Apr 13 2023 20:06
脆弱性スポットライト:ハードコードされたパスワードの脆弱性が、攻撃者によるLenovo Smart Clockの完全な乗っ取りを可能にする恐れ(CVE-2023-0896)
Talos Intelligence Blog – Apr 13 2023 14:39
マイクロソフトがランサムウェアNokoyawaの展開で使用される脆弱性にパッチ(CVE-2023-28252)
CSO Magazine – Apr 13 2023 12:52
Fortinetがデータ分析製品の重大な脆弱性を修正(CVE-2022-41331)
Security Affairs – Apr 13 2023 10:30
シーメンスのSCALANCE X-200、X-200IRT、X-300スイッチファミリーにおける脆弱性「BadAlloc」
CISA Current Activity – Apr 13 2023 12:00
Goのためのサプライチェーンセキュリティ、パート1:脆弱性管理
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。