-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年5月25日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
Google Play経由で5万回ダウンロードされたAndroidアプリが、アップデートを通してスパイウェアに変わる
SecurityWeek – May 24 2023 12:06
Google Play内で50,000回以上ダウンロードされていたスクリーン録画アプリ「iRecorder – Screen Recorder」が昨年のアップデートによってトロイの木馬化されていたことを、サイバーセキュリティ企業ESETが報告した。
iRecorder – Screen Recorderは当初2021年9月にGoogle Playでリリースされたが、この時には悪意ある機能は備わっていなかった。しかし昨年8月にバージョン1.3.8へアップデートされた際、AhMythベースのリモートアクセス型トロイの木馬「AhRat」が注入されてしまったのだという。なおAhMythとは、過去にパキスタン関連の国家支援型アクターAPT36(Transparent Tribe)によって使用されていたクロスプラットフォーム型RATで、通話記録、連絡先情報、メッセージの抜き取りや、メッセージの送信、デバイスの位置情報の追跡、デバイス上のファイル一覧の取得、音声の録音、写真撮影などを行うことができる。
一方、AhRatにはマイクを使って音声を録音する性能や、録音したものおよび感染したデバイス上のその他のファイルを抽出する性能が備わっていることから、スパイキャンペーンの一環として使用されている可能性が示唆されている。
マルウェアがアップデート時にアプリに注入された背景についてESETは、「アプリ開発者がまずは無害なアプリをリリースしてある程度ユーザーベースを構築してからアップデートによってAndroid端末の侵害を開始する」という意図を持っていた可能性や、「開発者とは無関係の悪意あるアクターによってマルウェアが注入された」という可能性について触れている。ただし、いずれの仮説についても裏付けとなる証拠はないとのこと。
新マルウェアPowerExchangeがMicrosoft Exchangeサーバーにバックドアを設置
Bleeping Computer – May 24 2023 19:17
イランの国家支援型ハッカーAPT34によるものとされるオンプレミスのMicrosoft Exchangeサーバーを狙ってバックドアを仕掛けようとする攻撃で、新たなPowerShellベースのマルウェア「PowerExchange」が使用されているのを、FortiGuard Labs Threat Researchが発見した。同研究チームは、アラブ首長国連邦(UAE)の政府組織の侵害されたシステム上で、PowerExchangeバックドアを観測したのだという。
APT34は、フィッシングメールによってPowerExchangeを標的に配布する。注目すべきことに、PowerExchangeはExchange Web Services(EWS)のAPIを使ってメールを送信することにより、C2サーバーと通信する。具体的には、「Update Microsoft Edge」という件名のEメールへのテキスト添付ファイルとして盗んだ情報を送信し、base64エンコードされたコマンドを受信するという。FortiGuard Labsによれば、被害者のExchangeサーバーをC2チャネルに使用することで、バックドアを無害なトラフィックに紛れ込ませることが可能となり、それによって攻撃者はターゲット組織のインフラ内外のほぼすべてのネットワークベースの検出を容易に回避できるようになるとのこと。
また、PowerExchangeにより、攻撃者はハッキングされたサーバー上で追加の悪意あるペイロードを配布するコマンドを実行し、採取されたファイルを抽出できるようにもなる。PowerExchange以外にAPT34が用いるインプランドの中の1つがWebシェル「ExchangeLeech」で、同マルウェアは侵害されたExchangeサーバーにログインする人のユーザー名とパスワードを収集することができる。
FortiGuard Labsのブログ記事には、さらなる詳細やIoCが記載されている:Operation “Total Exchange”: New PowerExchange Backdoor Discovered in the UAE
ゼロデイ欠陥の利用によりBarracuda Email Security Gateway(ESG)がハッキングされる(CVE-2023-2868)
Security Affairs – May 24 2023 18:13
Barracuda(バラクーダ)は顧客に対し、同社のEmail Security Gateway(ESG)アプライアンスがゼロデイ脆弱性CVE-2023-2868の悪用によって侵害されていると警告した。
CVE-2023-2868はEメールの添付ファイルスクリーニング用のモジュールに存在する脆弱性。5月19日に発見され、20日と21日の2つのセキュリティパッチのリリースによって修正されている。
Barracudaによると、現在までの調査により、この脆弱性を利用してメールゲートウェイアプライアンスのサブセットへの不正アクセスが行われていたことが確認されたという。同社は影響を受けたと思われるアプライアンスのユーザーに連絡を取り、取るべき対応について伝えている。
同脆弱性の影響を受けたESGアプライアンスは世界中の数十万もの組織で使用されているため、この問題により大きな影響が生じた可能性があるとのこと。
2023年5月25日
ハイライト
Google Play内のアプリiRecorderにAndroid向けRATのAhRatが隠されていた
Security Affairs – May 24 2023 07:20
ランサムウェアグループCubaのデータリークに関する主張はフェイクニュースだ、とザ・フィラデルフィア・インクワイアラー
The Register – Security – May 24 2023 20:26
トロイの木馬を追跡する:企業ネットワークにおける脅威ハンティングの内側
Malwarebytes Unpacked – May 24 2023 10:00
ラインメタル、BlackBastaランサムウェアによる攻撃を受ける
Malwarebytes Unpacked – May 24 2023 14:45
BlackCatランサムウェアが新たなカーネルドライバーを用いて保護されたコンピューターを制御
News ≈ Packet Storm – May 24 2023 14:09
マルウェアLegionがアップグレードされ、SSHサーバーやAWSの認証情報を狙えるように
The Hacker News – May 24 2023 10:00
ウクライナのCERT-UAがUAC-0063によるスパイ活動について警告
Security Affairs – May 24 2023 11:00
Apria Healthcare、利用者180万人に影響与える大規模なデータ侵害について公表
Apria Healthcare、約200万人の患者へ2021年のデータ侵害について通知
SC Magazine US – May 24 2023 16:34
Equifaxでのデータ侵害:得られた教訓と、データセキュリティを高めるためになすべき急務
Medium Cybersecurity – May 24 2023 15:02
Apria Healthcare、システムがハッカーによるアクセスを受ける中、数年間にわたり顧客には通知せず
Bitdefender – May 24 2023 11:51
アップルデバイスを、iOS、iPadOS、macOSにおけるWebKitのゼロデイ3件から守ろう(CVE-2023–32409、CVE-2023–28204、CVE-2023–32373)
Medium Cybersecurity – May 24 2023 10:31
ハネウェル製の新たなOTサイバーセキュリティソリューションは脆弱性や脅威の特定に有用
Security Week – May 24 2023 10:07
イランのハッカーAgriusがランサムウェアMoneybirdを用いてイスラエル組織を標的に
The Hacker News – May 25 2023 06:03
Agrius、イスラエル組織への標的型攻撃でMoneybirdを展開
Check Point Research – May 24 2023 10:55
BreachForumsの内幕:PomPomPurinへの独占インタビュー
Medium Cybersecurity – May 24 2023 09:02
「Inferno Drainer」、4か月間で600万ドルを騙し取る
イランのハッカーTortoiseshellがイスラエルのロジスティクス業界を標的に
The Hacker News – May 24 2023 13:49
GoldenJackal APTが南アジアの政府機関を標的に
BankInfoSecurity – May 24 2023 23:09
BlackCatの攻撃でWindowsカーネルドライバーが使用される
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
