サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年4月22日と23日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
Lazarusの関与が指摘されるX_TRADERのハッキング、3CX以外の重要インフラ組織も影響受けていた
The Hacker News – Apr 22 2023 06:46
3CXを狙った連鎖型サプライチェーン攻撃に関与していたとされる北朝鮮のハッキンググループLazarusが、3CX以外にも電力・エネルギー部門の重要インフラ組織2つと、金融取引に関わる別の企業2社をも同様の手口で標的にしていたとの報道。いずれの組織への攻撃でも、先物取引アプリケーション「X_TRADER」のトロイの木馬化バージョンが使用されていたとされる。
3CXでは、X_TRADERによる第1のサプライチェーン攻撃の結果、マルウェアが仕込まれたバージョンの同社製デスクトップアプリケーションが配布されるという第2のサプライチェーン攻撃が引き起こされていた。
シマンテックのEric Chien氏によると、今回新たに判明した3CX以外の企業への攻撃は2022年9月から2022年11月の間に発生していたという。ただ、攻撃による影響については現時点ではわかっておらず、現在も調査が続けられているとのこと。Chien氏は、X_TRADER以外のパッケージまでもがトロイの木馬化されていることもあり得るとの見解を示している。
Google広告がランサムウェアグループに使用されるマルウェアBumbleBeeを拡散
Bleeping Computer – Apr 22 2023 14:08
マルウェアBumblebeeが、ZoomやCisco AnyConnect、ChatGPT、Citrix Workspaceといった人気ソフトウェアを宣伝するGoogle広告やSEOポイズニングによって配布されている。
Bumblebeeは2022年4月に発見されたマルウェアローダーで、ContiによってバックドアBazarLoaderの代わりとして開発されたと考えられており、ネットワークへの初期アクセス獲得や、ランサムウェア攻撃の実行のために使われるとされる。
Secureworksの研究者が最近発見した新たなキャンペーンでは、人気アプリのトロイの木馬化バージョンがBumblebeeの配布手段として利用されていた。Secureworksが観測したあるケースでは、 Cisco AnyConnect Secure Mobility Clientのダウンロードページに見せかけた偽ページが、悪意あるGoogle広告によって宣伝されていた。この広告は、侵害されたWordPressサイト経由でユーザーへこの偽ダウンロードページを送信する。そして偽ページ上では、「cisco-anyconnect-4_9_0195.msi」という名称のトロイの木馬化されたMSIインストーラーが用意されており、このインストーラーがBumbleBeeをインストールするのだという。
トロイの木馬化されたソフトウェアの標的が企業ユーザーであることから、感染したデバイスは今後のランサムウェア攻撃の被害者候補だと考えられるという。Secureworksによって検証されたBumblebee攻撃の最近のケースの1つでは、攻撃者らは侵害した環境の中でCobalt Strike、リモートアクセスツールのAnyDeskおよびDameWare、ネットワークスキャンユーティリティ、ADデータベースのダンプツール、Kerberos認証用スティーラーといったツールを展開していた。これらの利用ツールの性能等を踏まえると、攻撃者が最終的にランサムウェアを展開する意図を持っている可能性が高いことが示されているとのこと。
米国法曹協会でデータ侵害、会員140万人に影響
Bleeping Computer – Apr 21 2023 13:56
世界最大の弁護士および法律専門家の団体である米国法曹協会(ABA)のネットワークをハッカーが侵害し、会員146万6千人分の古い認証情報にアクセスしたとの報道。このインシデントはランサムウェア攻撃ではなかったとされる。
ABAは20日に影響を受けた会員への通知を開始。これによると、同協会は2023年3月17日にネットワーク上の異常な動きを検知し、すぐさまインシデント対応を始めたという。そして調査の結果、ネットワークへの不正アクセスは2023年3月6日ごろから始まり、2018年以前のレガシーシステムに使われていたユーザー名およびハッシュ化・ソルト化されたパスワードが不正に取得されたことが特定された。
パスワードはハッシュ化・ソルト化されていたものの、脅威アクターがハッシュ化を解除する可能性はある。またABAによると、多くのケースでパスワードがデフォルトのもののままである可能性があるという。このため、今回の攻撃では企業データや個人データは盗まれなかったものの、認証情報が悪用されることへの懸念は残るとのこと。
2023年4月22日
ハイライト
APTグループMint Sandstorm、新たなPoCハッキングを迅速に悪用(CVE-2022-479666、CVE-2022-47986)
SC Magazine US – Apr 21 2023 12:15
北朝鮮のハッカーらが3CXにマトリョーシカ人形形式のカスケードサプライチェーン攻撃を仕掛ける
The Hacker News – Apr 21 2023 09:55
北朝鮮APTグループKimsuky、監視の目を向けられているにも関わらず成長を続ける
Dark Reading – Apr 21 2023 19:37
Lazarus Groupの「DeathNote」クラスタが防衛分野に軸足を移す
Medium Cybersecurity – Apr 21 2023 11:33
マルウェアLegionが認証情報を盗み、モバイルユーザーにスパム攻撃を仕掛けるためWebサーバーを侵害
Medium Cybersecurity – Apr 21 2023 08:32
2023-04-19 – 速報:Qakbot (Qbot)の活動、配布タグBB24とobama254
Malware-Traffic-Analysis – Apr 21 2023 22:23
RATのRemcosが労働者の税務申告情報を持ち逃げするため税務関係者を狙う
Medium Cybersecurity – Apr 21 2023 06:32
機微情報を含むレコード数百万件がICICI銀行から流出
Heimdal Security Blog – Apr 21 2023 09:07
CFPBにおけるデータ侵害で約25万6千人が影響を受ける
SC Magazine US – Apr 22 2023 01:16
アメリカ法曹協会(ABA)でデータ侵害が発生、140万人の会員に影響
Security Affairs – Apr 21 2023 19:55
Google Cloud Platformにおける脆弱性が、ステルス性の高いバックドアアカウントの作成に繋がった恐れ
SecurityWeek – Apr 21 2023 13:05
シスコ、複数の製品における高リスクかつ重大な欠陥のパッチをリリース(CVE-2023-20036、CVE-2023-20039ほか)
CSO Magazine – Apr 21 2023 21:24
脆弱性「GhostToken」により、Googleユーザーのデータが永久に流出する恐れ
SC Magazine US – Apr 21 2023 17:43
CVE-2023-20864:VMware Aria Operations for Logsにおけるデシリアライズ脆弱性(CVE-2023-20865)
Tenable Blog – Apr 21 2023 14:04
CVE-2022-29844:ウエスタンデジタル製My Cloud Pro Series PR4100上のクラシックバッファオーバーフロー
2023年4月23日
ハイライト
脆弱性を懸賞金に変える:CVE-2020–17453(XSS脆弱性)で私が500ドルの懸賞金を獲得した方法
InfoSec Bug Bounty Write-ups – Apr 23 2023 06:24
プロトタイプ汚染の脆弱性とは
InfoSec Bug Bounty Write-ups – Apr 23 2023 05:59
重大な脆弱性を発見する:CVE-2021–31589(LinkedInにおける反射型XSS)を発見した私の歩み
Medium Infosec Cybersecurity Writeups – Apr 23 2023 06:19
Nessusを用いた脆弱性管理
Medium Cybersecurity – Apr 22 2023 06:33
フィッシング入門:プロのように2要素認証を回避する
InfoSec Bug Bounty Write-ups – Apr 23 2023 06:36
攻撃者がRedLineスティーラーをChatGPTやGoogle BardのFacebook広告に潜ませる
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
翻訳元 : Daily Cyber Alert (22 April 2023), Daily Cyber Alert (23 April 2023)
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。