サイバーアラートについて
サイバーセキュリティ最新ニュースのまとめを平日毎日更新。
各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。
なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。
注目のニュースをピックアップ
2023年5月27日と28日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。
米政府請負業者のABB、ランサムウェア攻撃を受けデータが盗まれたこと認める
Bleeping Computer – May 26 2023 16:33
スイスの多国籍テクノロジー企業であり、米国政府の請負業者でもあるABBが、ランサムウェア攻撃によりシステムの一部に影響が生じたことを認めた。同社は5月7日にサイバー攻撃を受け、これが業務の混乱やプロジェクトの遅延を招いていたほか、工場への重大な影響が生じていた。
同社によると、権限を持たない第三者がABBのシステムにアクセスし、自己伝播しないタイプのランサムウェアを展開して特定のデータを抜き取ったとのこと。また、顧客のシステムが直接影響を受けた形跡は特定されていないとされている。
ABBは攻撃者の名称を明かさなかったものの、BleepingComputerはこのインシデントについて知る匿名の情報源の助力を得て、今回の攻撃がBlack Bastaランサムウェアグループによって実施されたものであることを特定したそう。BleepingComputerはまた、攻撃が同社のWindows Active Directoryを狙ったものであり、これにより数百のWindowsシステムに影響が出たことも従業員から伝え聞いたとしている。
現在も調査は続いているものの、インシデントはすでに抑え込み済みであり、障害が生じていた重要サービスやシステムは現時点で想定通りに動いているとのこと。
QBotマルウェア、デバイスを感染させるためWindows ワードパッドの実行ファイルを悪用
Bleeping Computer – May 27 2023 15:12
QBotマルウェアのオペレーションが、コンピューターを感染させるためにWindows 10のワードパッドプログラムにおけるDLLハイジャッキングの欠陥を悪用し始めたとの報道。
QBot(別名「Qakbot」)は元々はバンキング型トロイの木馬だったものがマルウェアドロッパーへと進化したWindowsマルウェア。Black Basta、Egregor、Prolockといったランサムウェアグループが同マルウェアのオペレーションと手を組んで企業ネットワークへの初期アクセス獲得を試みてきたことが知られている。
セキュリティ研究者のProxyLifeによると、QBotの新たなフィッシングキャンペーンではWindows 10のワードパッド実行ファイル(write.exe)におけるDLLハイジャッキングの脆弱性が悪用されていたという。フィッシングメールにはリンクが1つ含まれており、クリックするとリモートのホストからZIPアーカイブがダウンロードされる。このZIPには、document.exe(ワードパッドの実行可能ファイル)とDLLファイル「edputil.dll」が含まれている。
通常、document.exeが起動すると、正規のDLLファイルであるedputil.dllのロードが自動で試行されるようになっている。しかしこの際特定のフォルダー内のファイルがチェックされるわけではなく、document.exeと同じフォルダー内にある同名のDLLはすべてロードされてしまう。攻撃者はこの欠陥を利用し、悪意あるバージョンのedputil.dllを作成してdocument.exeと同じフォルダーへ保存しておくことで、DLLハイジャッキングを達成するという。
QBotは上記の手法によってコンピューターに感染すると、バックグラウンドで静かに動いて将来のフィッシング攻撃で使うためのEメールを盗んだり、Cobalt Strikeなど他のペイロードのダウンロードを行うとされる。感染したデバイスはその後、最終的にデータ窃取やランサムウェア攻撃につながるようなラテラルムーブメントのための足場として使われることになる。
最近ではQBotのオペレーションはすでに別の感染手法を用いるようになっているものの、次のキャンペーンで過去の戦術が再度使われるようになることも珍しくはないことから、今回報じられたDLLハイジャッキングの手法が今後も使用される可能性は捨てきれない。
2023年5月27日
ハイライト
「Predator」の内部構造が明らかに、ゼロデイ5件を悪用したAndroidマルウェア
ArsTechnica – May 26 2023 19:51
オーガスタで発生したサイバー攻撃について、BlackByteランサムウェアグループが自身によるものと主張
Information Security Buzz – May 26 2023 13:29
Zyxel製のファイアウォールがMiraiボットネットの亜種にハッキングされる(CVE-2023-28771)
SecurityWeek – May 26 2023 10:31
Buhtiランサムウェア:Blacktailの最新のオペレーションで複数の国に影響(CVE-2023-27350、CVE-2022-47986)
Heimdal Security Blog – May 26 2023 10:04
CosmicEnergyマルウェアが電力網に「もっともな脅威」をもたらす、と研究者が警告
SC Magazine US – May 26 2023 12:24
ゲーム会社やコミュニティメンバーがDark Frostボットネットに攻撃される
BuhtiランサムウェアによるキャンペーンはLockBit、Babukの流出したコードを利用(CVE-2023-27350、CVE-2022-47986)
SC Magazine US – May 26 2023 21:02
新たなICSマルウェアの「CosmicEnergy」が電力網資産を脅かす
Security Affairs – May 26 2023 10:07
オランダの監視当局、テスラにおけるデータ侵害疑惑について調査中
News ≈ Packet Storm – May 26 2023 14:19
UHS of Delawareで発生したデータ侵害により、13万人以上の患者の社会保障番号が流出
Dark Reading – May 26 2023 19:47
Cisco Firepower Threat DefenseソフトウェアのCLIにおける任意のファイル書き込みの脆弱性(CVE-2021-34761)
Cisco Security Advisory – May 26 2023 11:54
Google CloudがCloudSQLサービスにおける脆弱性に対処
News ≈ Packet Storm – May 26 2023 14:19
Zyxel、重大な脆弱性2件を修正(CVE-2023-33009、CVE-2023-33010)
Malwarebytes Unpacked – May 26 2023 15:00
脅威の概要:Volt Typhoonによるものと考えられる重要インフラへの攻撃
Unit 42 – Palo Alto Networks Blog – May 26 2023 21:30
イランのAPTグループと関連づけられる新たなバックドアPowerExchange
Security Affairs – May 26 2023 21:44
AhRAtを用いてトロイの木馬化されたアプリが5万回超ダウンロードされる
北朝鮮のアクターKimsuky、自身の偵察用マルウェアRandomQueryをアップデート
2023年5月28日
ハイライト
新たなランサムウェアオペレーションBuhtiはLockBitとBabukのリブランドされたペイロードを使用
Security Affairs – May 27 2023 10:56
産業大手ABB、ランサムウェアによる攻撃とデータ盗難を認める
Security Week – May 27 2023 11:06
NHSにおけるデータ侵害:トラストが同意なしに患者の詳細情報をFacebookと共有
DataBreaches.net – May 27 2023 21:41
バブコック大学で発生したデータ侵害に関するレポート— 2023年5月11日木曜日
Medium Cybersecurity – May 27 2023 17:55
レポート:Leverage EDUで発生したデータ流出に関する分析
Medium Cybersecurity – May 27 2023 17:59
米CISA、Barracuda製品における最近修正されたゼロデイを「悪用が確認済みの脆弱性カタログ」に追加(CVE-2023-2868)
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。
本ページでは、これを翻訳してお届けしています。
翻訳元 : Daily Cyber Alert (27 May 2023), Daily Cyber Alert (28 May 2023)
Silobreakerについて
Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。