マルウェア「Guerrilla」に感染済みの状態で出荷されたスマートフォンが世界に数百万台存在か | Codebook|Security News
Codebook|Security News > Articles > Threat Report > マルウェア「Guerrilla」に感染済みの状態で出荷されたスマートフォンが世界に数百万台存在か

Threat Report

Silobreaker-CyberAlert

マルウェア「Guerrilla」に感染済みの状態で出荷されたスマートフォンが世界に数百万台存在か

Yoshida

Yoshida

2023.05.19

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年5月19日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

「Guerrilla」マルウェアがプレインストールされたスマートフォンが世界中で数百万台配布される

SecurityWeek – May 18 2023 10:53

トレンドマイクロによれば、マルウェアが事前にインストールされたスマートフォンが数百万台も世界中に出回っており、これらのデバイスはある脅威アクターによって制御されているのだという。

トレンドマイクロはこのアクターを「Lemon Group」と名付けて2021年から追跡しており、昨年にはそのオペレーションについて詳細に報告するレポートを公開していた。そして今週水曜、同社は新たなレポートを発表し、Lemon Groupの活動や、同グループによってスマートフォンへ事前インストールされるマルウェア「Guerrilla」の解析結果などといった情報について伝えている。

トレンドマイクロによるとLemon Groupのビジネスは主にビッグデータを利用したもので、そのサービスはビッグデータ関連企業、マーケティング企業、広告関連企業に対して提供されているという。同グループは、Guerrillaを利用してSMSメッセージ(WhatsAppやFacebookなどの人気サービスのワンタイムパスワードを含むもの)の傍受、感染済み携帯電話上でのリバースプロキシのセットアップ、アプリケーションデータの採取、WhatsAppなどのアプリケーションをハイジャックとメッセージ送信、公式アプリ起動時の広告配信といった操作を行っているとされる。

トレンドマイクロは、Lemon GroupのSMSサービスが有効になっているデバイスからのリクエストのモニタリングも行っている。その結果、180以上の国々(上位5か国は米国、メキシコ、インドネシア、タイ、ロシア)の、49万件以上の電話番号が見つかった。また同社によれば、かつてLemon GroupのWebサイトには「890万台ものデバイスにアクセスできる」との宣伝文句が記載されていたが、最近このページは削除されたという。このことから、マルウェアが事前ロードされたデバイスの実際の数はこれよりもっと多い可能性があることが示唆されている。

なお、今回トレンドマイクロはスマートフォンを中心に分析を行ったものの、同社はスマートテレビやAndroidベースの子供用スマートウォッチといったIoT製品においても、Lemon Groupや同様の脅威アクターによって仕込まれたマルウェアを観測しているとのこと。

アップル、盛んに悪用される新たなゼロデイ脆弱性3件を修正(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)

Security Affairs – May 18 2023 23:33

アップルは、実際の攻撃で盛んに悪用されているiPhone、Mac、iPadの新たなゼロデイ脆弱性3件に対処するためのセキュリティアップデートをリリースした。アップルは攻撃の詳細を提示しなかったものの、これら3件は国家支援型アクターやスパイ関連企業による攻撃で悪用されていた可能性がある。

 

今回のアップデートで修正されたゼロデイは以下の3件で、いずれもWebKitの脆弱性:

・CVE-2023-32409:遠隔の攻撃者によるWebコンテンツサンドボックスの回避を可能にする恐れのある脆弱性。

・CVE-2023-28204:Webコンテンツの処理時に機微な情報を漏洩させることを可能にする恐れのある脆弱性。

・CVE-2023-32373:悪意を持って細工されたWebコンテンツの処理時に任意のコード実行を可能にする恐れのある脆弱性。

これらの問題に対処するため、アップルはiOS 16.5、iPadOS 16.5、tvOS 16.5、watchOS 9.5、Safari 16.5、macOS Ventura 13.4をリリースした。

シスコ、スモールビジネス向けスイッチシリーズにおける重大な欠陥を修正(CVE-2023-20159、CVE-2023-20160、CVE-2023-20161、CVE-2023-20189)

Help Net Security – News – May 18 2023 09:36

シスコは、スモールビジネス向けシリーズのスイッチ製品に見つかった脆弱性9件を修正した。PoCエクスプロイトコードが利用可能な状態となっている(公開されていないが、これらの脆弱性を発見した外部の研究者によって非公開で数人へ共有されているとみられる)ものの、これらの脆弱性が実際の攻撃で悪用されていることを示す兆候はないという。

 

修正された脆弱性のうち、以下の4件は深刻度が「Critical(緊急)」とされている。

・CVE-2023-20159

・CVE-2023-20160

・CVE-2023-20161

・CVE-2023-20189

これらの脆弱性はスイッチ製品のWebベースのユーザーインターフェース上で発生し得る問題で、認証されていない遠隔の攻撃者による任意のコード実行を可能にする恐れがあるとされる。

残り5件もハイリスクな脆弱性で、攻撃者に悪用されるとDoS状態を引き起こされたり、デバイス上で不正に情報を読み取られたりする恐れがあるという。

 

影響を受けるのは以下の製品:

・250 シリーズ スマート スイッチ

・350 シリーズ マネージド スイッチ

・350X シリーズ スタッカブル マネージド スイッチ

・550X シリーズ スタッカブル マネージド スイッチ

・Business 250 シリーズ スマート スイッチ

・Business 350 シリーズ マネージド スイッチ

・Small Business 200 シリーズ スマート スイッチ

・Small Business 300 シリーズ マネージド スイッチ

・Small Business 500 シリーズ スタッカブル マネージド スイッチ

2023年5月19日

ハイライト

 

「Guerrilla」マルウェアがプレインストールされたスマートフォンが世界中で数百万台配布される

SecurityWeek – May 18 2023 10:53

 

3つの脅威:不安定な経済、サイバー犯罪の勧誘、そしてインサイダー脅威

Security Week – May 18 2023 14:47

 

OilAlpha:アラビア半島各地の組織を標的にする秘密の派閥

Cyware – May 18 2023 10:49

 

フリースウェアからフィッシングサイトまで、サイバー犯罪者がChatGPTブームを利用して金儲け

SC Magazine US – May 18 2023 14:18

 

米国とオーストラリアの政府機関がBianLianランサムウェアグループに関する共同セキュリティアドバイザリを発表

Tenable Blog – May 18 2023 17:50

 

マルウェアSotdasの新たな亜種をQualysが発見 

Cyware – May 18 2023 22:49

 

チャリティの名の下に金銭を要求するランサムウェア:MalasLockerがZimbraを標的に

Heimdal Security Blog – May 18 2023 08:27

 

DraftKingsの賭博用アカウント6万件をハッキングした容疑で18歳の被告が起訴される

Bleeping Computer – May 18 2023 16:59

 

WebKitが狙われる:アップル、新たなゼロデイ3件に対する緊急パッチをリリース(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)

The Hacker News – May 19 2023 03:43

 

シスコ、スモールビジネス向けスイッチシリーズにおける重大な欠陥を修正(CVE-2023-20159、CVE-2023-20160、CVE-2023-20161、CVE-2023-20189)

Help Net Security – News – May 18 2023 09:36

 

アップル、盛んに悪用される新たなゼロデイ脆弱性3件を修正(CVE-2023-32409、CVE-2023-28204、CVE-2023-32373)

Security Affairs – May 18 2023 23:33

 

脅威アクターがAzure仮想マシンにアクセスするためフィッシングとSIMスワッピングを利用

SiliconANGLE – May 19 2023 00:05

 

8220 Gang、サーバーをハイジャックし暗号資産をマイニングするためOracle WebLogicの欠陥を悪用(CVE-2017-3506) 

The Hacker News – May 18 2023 09:31

 

LockBit、インドネシアのBSI銀行から盗まれたデータ1.5TB分をリーク

BankInfoSecurity – May 19 2023 00:09

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (19 May 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ