Threat Report

Silobreaker-CyberAlert

脅威グループUNC3944がVMの乗っ取りのためAzureシリアルコンソールを悪用

Yoshida

2023.05.18

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年5月18日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

脅威グループUNC3944がVMの完全な乗っ取りのためAzureシリアルコンソールを悪用

The Hacker News – May 17 2023 11:52

仮想マシン（VM）のAzureシリアルコンソールを悪用し、侵害された環境内でサードパーティーのリモートマネージメントツールをインストールしようとする攻撃が観測されている。Mandiantは、この攻撃を、金銭的動機を持つ脅威グループ「UNC3944」（別名Roasted 0ktapus、Scattered Spider）によるものだと考えているという。

UNC3944は昨年後半に初めて観測されたグループで、遅くとも2022年5月からSIMスワッピング攻撃によって電気通信事業者やBPO企業を侵害しようとしていることで知られる。

SIMスワッピング攻撃がどのように行われるのかはわかっていないものの、SMSのフィッシングメッセージを使って入手した認証情報が利用されている疑いがあるという。SIMスワップによって高い権限のアクセスが可能になると、UNC3944はAzure VMの拡張機能（Azure Network Watcher、Windows Azure ゲストエージェント、VMSnapshot、Azure Policyなど）を悪用し、標的ネットワークを調査する。この調査が終わると、UNC3944はAzure VM内部のコマンドプロンプトを管理者権限で使用するためにシリアルコンソールの機能を悪用するという。

UNC3944のこのような進化は、世の攻撃者たちが攻撃を持続させ、前進させるのと同時に検出も回避するため、LOTL（環境寄生型）技術を活用していることを示す新たな証拠となっている。Mandiantは、シリアルコンソールを利用する新たな手法により、この種の攻撃がもはやOS層だけにとどまるものではないことが改めて浮き彫りになっていると指摘している。

OilAlpha：フーシ派関連のサイバー脅威グループがアラビア語話者のAndroidユーザーを標的に

The Hacker News – May 17 2023 13:44

イエメンのフーシ派（イスラム教シーア派の分派）との関連が疑われるハッキンググループ「OilAlpha」が、アラビア半島の開発関連組織、人道支援関連組織、メディア、NGOを狙ったサイバースパイキャンペーンに関与しているという。

OilAlphaとは、Recorded Futureがかつて「TAG-41」および「TAG-62」として追跡していた2つの重複するクラスターに対して新たに与えられた暗号名。Recorded Futureによると、OilAlphaはWhatsAppのような暗号化チャットメッセンジャーを使って標的組織の人員へソーシャルエンジニアリング攻撃を仕掛けるのだという。その標的の大半がアラビア語話者であり、Androidデバイスの利用者だとされる。

攻撃チェーンは、UNICEFやNGOなどの職員のものであるかのように見せかけたWhatsAppアカウントから送られるAPKファイルによって始まる。その後WhatsAppアプリは、リモートアクセス型トロイの木馬「SpyNote」（別名「SpyMax」）を投下するための導線として使われる。なおSpyNoteは、感染したデバイスから秘密情報を取得するための多数の機能を備えている。

Recorded Futureによれば、OilAlphaの活動はフーシ派寄りではあるものの、この脅威活動がイエメンの工作員によって行われていることを示す証拠はまだ十分に揃っていないという。同社は、レバノンやイラクのヒズボラなどの外部の脅威アクターや、イスラム革命防衛隊（IRGC）を支援するイランのオペレーターが、今回の脅威活動を主導していた可能性があるとも指摘している。

Chrome 113のセキュリティアップデートで重大な脆弱性が修正される（CVE-2023-2721）

SecurityWeek – May 17 2023 10:14

Googleは今週、脆弱性12件に対処するChrome 113のセキュリティアップデートをリリースした。うち1件（CVE-2023-2721）は深刻度が「Critical」とされている。

CVE-2023-2721はNavigationにおける解放済みメモリ使用の脆弱性。遠隔の攻撃者は、HTMLページを細工することでユーザーがページにアクセスした際にヒープ破損を引き起こすことができる可能性があるという。

また今回のアップデートでは、他にも3件の解放済みメモリ使用の脆弱性が修正されており、いずれも深刻度は「High」。Chromeにおける解放済みメモリ使用の脆弱性は、ブラウザのサンドボックスを回避するために悪用されることがある。

このほか、JavaScriptのV8エンジンにおける型の取り違えの脆弱性（深刻度「High」）や、WebApp Installsにおける不適切な実装の問題（深刻度「Medium」）などが修正されている。

2023年5月18日

ハイライト

Cisco Identity Services Engineに任意のファイル削除やファイル読み取りの脆弱性（CVE-2023-20106、CVE-2023-20171、CVE-2023-20172）

Cisco Security Advisory – May 17 2023 16:00

Chrome 113のセキュリティアップデートで重大な脆弱性が修正される（CVE-2023-2721）

SecurityWeek – May 17 2023 10:14

WordPressサイトにおけるセキュリティリスクへの対処に脆弱性アセスメントやペネトレーションテストが不可欠なわけではない

Plugin Vulnerabilities – May 17 2023 15:00

Cisco DNA Center ソフトウェアのAPIに複数の脆弱性（CVE-2023-20182、CVE-2023-20183、CVE-2023-20184）

Cisco Security Advisory – May 17 2023 16:00

Essential Addons for Elementorにおける重大な脆弱性を攻撃者が盛んに悪用（CVE-2023-32243）：PSA

Wordfence – May 17 2023 16:33

Android＆Googleデバイスの脆弱性に関する新たなリワードプログラムイニシアチブ

Google Online Security Blog – May 17 2023 15:59

[CVE-2023–23397] Microsoft Outlookにおける特権昇格の脆弱性

Medium Cybersecurity – May 17 2023 12:03

国家支援型ハッカーグループSideWinderの密かな攻撃インフラが暴かれる

The Hacker News – May 17 2023 08:40

ESXiサーバーに対する新たな脅威はRaaS「MichaelKors」のアフィリエイト

Cyware – May 17 2023 21:05

Royalランサムウェアグループが独自のマルウェアローダーを構築

BankInfoSecurity – May 17 2023 18:40

RA Groupが新たな攻撃でBabukランサムウェアのソースコードを使用

BankInfoSecurity – May 17 2023 17:10

関連記事：新たなランサムウェアグループRA Group、Babukの流出ソースコードを使って米韓の企業を侵害

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。