GoogleがChromeの緊急アップデートをリリース、盛んに悪用されているゼロデイを修正（CVE-2023-2033）

Yoshida

2023.04.17

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月15日と16日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

GoogleがChromeの緊急アップデートをリリース、盛んに悪用されているゼロデイを修正（CVE-2023-2033）

The Hacker News – Apr 15 2023 03:58

Googleは金曜、Chromeにおける盛んに悪用されているゼロデイ脆弱性CVE-2023-2033に対処するため、定例外のアップデートをリリース。

CVE-2023-2033は、JavaScriptエンジンのV8における型の取り違えの脆弱性で、深刻度は「High（高い）」とされている。この脆弱性は、遠隔の攻撃者による、細工されたHTMLページを使ったヒープ破損の悪用を可能にする恐れがあるという。

Googleによると、実際に使用されているCVE-2023-2033のエクスプロイトが既に存在しているとのこと。ただ、悪用を行う脅威アクターに関するさらなる技術的情報やIoCは提供されていない。

Vice Societyランサムウェアがデータ窃取のための新たなPowerShellツールを使用

Bleeping Computer – Apr 14 2023 19:46

Vice Societyランサムウェアグループが、新しい、かなり高度なPowerShellスクリプトを攻撃で使用しているとの報道。このスクリプトは、侵害されたネットワークから自動でデータを盗み取るためのものだという。Vice Societyは攻撃の最終段階であるデータの暗号化を行う前に、このツールで密かにデータを窃取する。

この新たなデータ抜き取りツールは完全に自動化されており、「living off the land」（環境寄生型）バイナリを用いる。このためセキュリティソフトウェアのアラート発出を喚起しにくく、同ツールの活動は検出されにくいという。

同ツールは、2023年初頭にPalo Alto NetworksのUnit 42によって発見された。そのスクリプト内には4つの関数「Work()」、「Show()」、「CreateJobLocal()」、「fill()」が含まれ、これらが抜き取り対象のディレクトリの特定や、ディレクトリのグループの処理、およびVice Societyのサーバーへのデータの抽出を行う。

Unit 42は「living off the land」型ツールの採用により検出やハンティングが困難になっているとコメント。その上で、対策やアドバイスなどを以下のレポート内で提供した：Vice Society: A Tale of Victim Data Exfiltration via PowerShell, aka Stealing off the Land

Android向けの新たな悪意あるライブラリ「Goldoson」が60種のアプリで見つかる、合計ダウンロード回数は1億回以上

Security Affairs – Apr 15 2023 17:38

公式Google Playストア上の正規のアプリ60個によって、新たなAndroidマルウェア「Goldoson」が配布されていたとの報道。

Goldosonは、デバイス上にインストールされたアプリのリストや、Wi-Fi履歴、Bluetoothデバイス情報（付近のGPS位置情報など）を収集するという。またこの悪意あるライブラリは、ユーザーの同意なしでバックグラウンドで広告をクリックするという、広告詐欺も実行できる。なお収集されたデータは、2日に1回のペースでC2サーバーに送られる（ただしこの周期はリモートの設定によって異なる）。

Goldosonを含むアプリは、Google Play上で60個以上見つかっていた。これらのアプリの韓国内のONEストアおよびGoogle Playストアにおける総ダウンロード数は1億回を超えるとされる。

ただ、この悪意あるライブラリは各アプリの製作者によって開発されたものではない。各開発チームにはGoogleから通知が送られており、その後一部のアプリはアップデートされて悪意あるライブラリが取り除かれた。また中にはGoogle Playから丸ごと削除されたアプリもあったという。

Goldosonを含んでいたアプリには、以下のようなものがあったとのこと：「L.POINT with L.PAY」（ダウンロード数：1,000万回以上、アップデート済み）、「Swipe Brick Breaker」（ダウンロード数：1,000万回以上、ストアから削除済み）、「Money Manager Expense & Budget」（ダウンロード数：1,000万回以上、アップデート済み）など。

2023年4月15日

ハイライト

関連記事：Nokoyawaランサムウェアの展開に、Windowsのゼロデイが利用される（CVE-2023-28252）

北朝鮮のLazarus Groupが銀行をハッキングし、数百万ドルを盗んだ方法

Medium Cybersecurity – Apr 14 2023 09:02

2023年4月16日

ハイライト

Transparent Tribe、インドの教育分野に目をつける

Cyware – Apr 15 2023 17:48

フォレンジック分析により、北朝鮮の攻撃者の3CXにおけるサプライチェーン攻撃への関与を確認

Cyware – Apr 15 2023 14:49

RTM Lockerがアフィリエイトに対し厳格なルールを適用　世間の注目を避ける狙い

Cyware – Apr 15 2023 17:48

QuaDreamのスパイウェアKingsPawnを投下するため、iPhoneがハッキングされる

Cyware – Apr 15 2023 12:32

Lamoille Healthに対し、患者がデータ侵害に関する集団訴訟を進める

DataBreaches.net – Apr 15 2023 13:41

サウスイースタン大学が沈黙を続ける　ネットワーク侵害に関連するとされるデータのリークについての犯行声明がなされる中

DataBreaches.net – Apr 15 2023 13:10

APT28の指導者のメールがウクライナのハッカーらに侵害される

Cyware – Apr 15 2023 14:49

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。