サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年4月28日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
マイクロソフト:ランサムウェアCl0pがPaperCutにおける脆弱性を4月13日から悪用(CVE-2023-27350、CVE-2023–27351)
SecurityWeek – Apr 27 2023 10:33
マイクロソフトによると、最近パッチがリリースされたPaperCutの脆弱性(CVE-2023-27350、CVE-2023–27351)を、FIN11およびTA505に関連するCl0pランサムウェアのオペレーターが4月13日から悪用しているという。
CVE-2023-27350は認証バイパスやSystem権限でのRCEを可能にする脆弱性で、CVSSスコアは9.8。またCVE-2023–27351は情報開示につながり得る深刻度の高い脆弱性で、CVSSスコアは8.2。両脆弱性は2023年3月にリリースされたPaperCut MFおよびPaperCut NGのバージョン20.1.7、21.2.11、22.0.9で対処されていた。
その後、先週になってPaperCutはCVE-2023-27350が悪意ある攻撃で悪用されていると警告し、顧客に早急なアップデートを呼びかけていた。
PaperCutはCVE-2023-27350にしか言及しなかったものの、数日後に攻撃を観測したと報告したセキュリティ企業Huntressとマイクロソフトは、CVE-2023-27350とCVE-2023–27351の双方が悪用されていたとの見解を示している。
Huntressは、TrueBotマルウェアのオペレーターで、ロシアのハッキンググループTA505とのつながりを持つとされるSilenceが今回の攻撃に関与していると指摘している。なおTA505は、Cl0pランサムウェアを配布することで知られている。
一方マイクロソフトは、Cl0pランサムウェアのオペレーターで、APTグループ FIN11およびTA505との関連が指摘されるアクター「Lace Tempest」(別名DEV-0950)が、2週間前からPaperCutの脆弱性を悪用していると述べた。さらに同社は、このアクターがTrueBotを展開していることにも触れている。これは、Huntressの観測結果とも合致する。
また、Huntressによると、現在ではより多くの脅威アクターがPaperCutの脆弱性を悪用するようになっているとのこと。
RTM LockerランサムウェアのLinux版がVMware ESXiサーバーを標的に
Bleeping Computer – Apr 27 2023 16:20
VMware ESXiサーバーを標的とするLinux向け暗号化ツールを使用するのが観測されたランサムウェアオペレーション群に、新たにRTM Lockerが追加された。
RTM (Read The Manual) は、遅くとも2015年から活動するサイバー犯罪グループで、被害者から金銭を奪うためのバンキング型トロイの木馬を配布することで知られている。
サイバーセキュリティ企業Trellixは今月、RTMが新たなRaaSオペレーションを開始し、アフィリエイトを募集し始めたことを報告していた。しかしこの時点では、RTMの暗号化ツールはWindows向けのものしか観測されていなかった。
しかしUptycsは4月26日に公開したレポートの中で、RTMが標的をLinuxおよびVMware ESXi サーバーにまで拡大していることを伝えた。これによると、RTM LockerのLinux版亜種は、かつて存在していたランサムウェア「Babuk」の漏洩ソースコードをベースにしたものだという。
ESXiサーバーを狙うためのLinux向け暗号化ツールを取り入れるようになったランサムウェアとしては、Royal、Black Basta、LockBit、BlackMatter、AvosLocker、REvil、HelloKitty、RansomEXX、Hiveが知られているが、今回ここに新しくRTM Lockerが追加されたこととなる。
BleepingComputerは、研究によってRTMグループは特別活動量が多いというわけではないことが示されているとしながらも、この状況は今後変化し得るとも述べている。
新マルウェア「Atomic macOS Stealer」が月額1,000ドルで売りに出される
SecurityWeek – Apr 27 2023 12:25
新たなmacOSマルウェア「Atomic macOS Stealer」(略称AMOS)を、脅威インテリジェンス企業Cybleの研究者が分析。
Cybleによると、同マルウェアはあるTelegramチャンネルにおいて月額1,000ドルという価格で宣伝されているという。AMOSの作者は、このマルウェアにはキーチェーン内のすべてのパスワード、完全なシステム情報、および侵害されたコンピューター上のファイルを盗む性能が備わっていると主張している。さらに、Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Operaといったブラウザからパスワード、クッキー、暗号資産ウォレット、ペイメントカードデータを盗むこともできるとされる。
Trellixの研究者もまた同マルウェアを分析しており、AMOSの使用するIPアドレスがRaccoon Stealer(過去にロシアおよびウクライナのアクターと紐づけられていたマルウェア)と関連している可能性があることを認識したという。
なおSecurityWeekの記事が執筆された時点で、AMOSは1つのアンチマルウェアエンジンによって検出されていたとのこと。
2023年4月28日
ハイライト
Google、機微データを盗むCryptBotの配布者を追及
Information Security Buzz – Apr 27 2023 11:09
PaperCutにおける脆弱性がClop、LockBitランサムウェアのアフィリエイトに利用される(CVE-2023-27350、CVE-2023–27351)
Help Net Security – News – Apr 27 2023 10:17
Charming Kitten、集中攻撃のためのマルウェアBellaCiaoを拡散
LimeRATマルウェアの解析:研究者がコンフィグを抽出
The Hacker News – Apr 27 2023 11:45
中国ハッカーがマルウェアPingPullのLinux向け亜種の使用を開始
CSO Magazine – Apr 27 2023 10:43
WebLogicのデシリアライゼーションの脆弱性 — CVE-2023–21839
Medium Cybersecurity – Apr 27 2023 19:53
GoogleがChromeの緊急アップデートをリリースし、盛んに悪用されるゼロデイ脆弱性を修正(CVE-2023–2033)
Medium Cybersecurity – Apr 27 2023 13:31
Charming Kitten、マルウェアBellaCiaoを用いて米国や世界各地の重要インフラを標的に
Graham Cluley – Apr 27 2023 16:32
中国のAPTグループAlloy Taurusが復活 – マルウェアPingPullのLinux向け亜種が盛んに活動
Heimdal Security Blog – Apr 27 2023 09:19
「恥ずかしい」:LockBitランサムウェアグループが学校のハッキングについて謝罪、無料で復号ツールを提供
Bitdefender – Apr 28 2023 05:29
Magecartの脅威アクターが説得力のあるモーダルフォームを展開
Malwarebytes Unpacked – Apr 27 2023 08:30
北朝鮮APTのLazarusやScarcruftが戦術を変更し、隆盛
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。