サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年5月9日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
「Cactus」:検出回避のために自らを暗号化する新たなランサムウェア
Bitdefender – May 08 2023 11:29
Krollのサイバーセキュリティ研究者によると、新しい高度なランサムウェアオペレーション「Cactus」が、ForitentのVPNアライアンスにおける脆弱性を悪用し、著名な商業組織を標的にしているという。Cactusは、アンチウイルスソフトによる検出を避けるために自らを暗号化するという点で他のランサムウェアとは一線を画している。
Cactusは、バッチスクリプトと人気圧縮ツール「7-Zip」を使って暗号化ツールのバイナリを取得するという。元のZIPアーカイブが排除されてこのバイナリが実行されると、アンチウイルスソフトによるCactusの検出は困難となる。
同ランサムウェアのオペレーターは標的ネットワークを侵害後、スケジュールされたタスクとSSHバックドアとを組み合わせて使うことで持続性を確立し、リモートホストへのping送信やエンドポイントの列挙、ユーザーアカウントの特定といったいくつかの偵察活動を実行するほか、一般的なアンチウイルスソフトをアンインストールするためにバッチスクリプトを実行するという。
Cactusはまだリークサイトを設立していないと報じられている。しかし同ランサムウェアはマシンを侵害後、ファイルを暗号化する前にデータを盗み、身代金要求メモの中で「支払わなければデータを公開する」と被害者を恐喝するとのこと。
CERT-UAがSmokeLoaderを配布する進行中のキャンペーンについて注意喚起
Security Affairs – May 08 2023 08:51
マルウェアSmokeLoaderをpolyglotファイル形式で配布することを目的とした進行中のフィッシングキャンペーンについて、ウクライナのCERT-UAが注意喚起している。フィッシングメールは件名が「請求/支払い」でZIPファイルが添付されており、侵害されたアカウントから送信されるという。
このZIPはpolyglotファイルで、これには囮用ドキュメントとJavaScriptファイルが含まれる。JavaScriptがPowerShellを使って実行可能ファイルportable.exeをダウンロード・起動させると、その後、SmokeLoaderマルウェアが実行されるのだという。SmokeLoaderは他のマルウェアのローダーとして機能し、一度実行されるとシステム上に別のペイロードをダウンロードする。
CERT-UAはこのキャンペーンを、「UAC-0006」によるものだと考えている。UAC-0006は主に会計士のPCの侵害、認証情報の窃取、不正な資金移動などを行っている金銭的動機を持つアクターで、遅くとも2013年から活動している。
ネクストジェン・ヘルスケアで発生したデータ侵害で100万人が影響を受ける
Security Week – May 08 2023 11:06
ヘルスケアソリューションのプロバイダーであるネクストジェン・ヘルスケアが、データ侵害で個人情報が侵害されたことについて約100万人へ通知している。
同社は2023年3月30日に初めてシステム上での不審なアクティビティを特定。調査の結果、権限のない人物が2023年3月29日から4月14日にかけて当該システムへアクセスしていたことが明らかになったのだという。攻撃者はこの間、名前、住所、生年月日、社会保障番号といった個人情報にアクセスしていた。
ネクストジェン・ヘルスケアによると、この不正アクセスは、別のソースから盗まれたか、同社とは無関係のインシデントで盗まれたものとみられる顧客の認証情報を使って実行されていたという。
同社はインシデントを抑え込むためにパスワードをリセットし、法執行機関に侵害を通報するとともに、同機関と協力して調査に望んでいるとのこと。
2023年5月9日
ハイライト
SideCopyがインド組織への侵入のためAction RATとAllaKore RATを使用
The Hacker News – May 08 2023 13:27
Magecartマルウェア、ECサイトを何度も攻撃
SiliconANGLE – May 08 2023 19:34
ランサムウェアグループMoney Message、MSIの漏洩データからプライベートコードの署名鍵を流出させる
Security Affairs – May 08 2023 19:11
トロイの木馬「Fleckpe」、Google Playを経由し62万台のデバイスに感染
BankInfoSecurity – May 08 2023 20:10
ミネアポリス公立学区が2023年2月、Medusaランサムウェアグループに侵害され、約20万件の生徒と職員の機微文書が影響を受ける
Medium Cybersecurity – May 08 2023 18:07
ランサムウェアVice Society、データ抽出目的でステルス性の高いPowerShellベースのツールを使用
Medium Cybersecurity – May 08 2023 16:34
WordPressサイト100万件以上がハッキングされる ゼロデイを含むプラグインのバグの悪用により
Medium Cybersecurity – May 08 2023 07:32
PrintNightmare | Windowsマシンでリモートコード実行と特権昇格を行う(CVE-2021-34527、CVE-2021-1675)
Medium Cybersecurity – May 08 2023 21:27
LockBit 3.0がインドの貸金業者から盗まれたデータ600GBをリーク
BankInfoSecurity – May 08 2023 22:09
ネクストジェン・ヘルスケア、個人100万人以上に影響を及ぼすデータ侵害に見舞われる
Security Affairs – May 08 2023 17:31
ウエスタンデジタル、データ侵害について顧客に通知 3月に発生したサイバー攻撃の後
Security Affairs – May 08 2023 13:22
ウエスタンデジタル、3月に発生した侵害でハッカーに顧客データを盗まれたことを認める
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。