CVE-2023-34362：MOVEIt Transferの重大なゼロデイが攻撃で悪用される

Yoshida

2023.06.05

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年6月3日と4日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

CVE-2023-34362：MOVEIt Transferの重大なゼロデイが攻撃で悪用される

Tenable Blog – Jun 02 2023 16:41

マネージドファイル転送（MFT）ソリューション「MOVEit Transfer」の新しい重大なゼロデイ脆弱性CVE-2023-34362が、実際の攻撃で盛んに悪用されていることが報じられている。MFTソリューションのゼロデイが悪用されるのは、2月に開示されたGoAnywhere MFTのゼロデイ（CVE-2023-0669）に続いて今年2件目。

関連記事：Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張（CVE-2023-0669）

CVE-2023-34362はMOVEit TransferのWebアプリケーションにおけるSQLインジェクションの脆弱性。認証されていないリモートの攻撃者がこの脆弱性の悪用に成功すると、MOVEit Transferインスタンスへのアクセスが可能になる恐れがある。また、使用されているデータベースエンジン（MySQL、Microsoft SQL Server、Azure SQLなど）によっては、CVE-2023-34362の悪用により攻撃者はデータベースの構造や内容に関する情報を推測できるようになる可能性があるという。同脆弱性は、オンプレミス版のMOVEit Transferだけでなくクラウド版（MOVEit Cloud）にも影響を与えるとされる。

BleepingComputerが報じたところによれば、CVE-2023-34362は、「組織のデータの大規模ダウンローディングを実行」するためにゼロデイ脆弱性として悪用されているのだという。ただ、どの脅威アクターがこの攻撃に関与しているのかは不明。

Shodanのデータによると、現時点で一般アクセスが可能な状態の脆弱なMOVEit Transferインスタンスが2,500件ほど存在するものとみられる。うち74.3%の所在地は米国、5%が英国、4.6%がドイツ。

Progress Softwareは、MOVEit Transfer（オンプレミス版）の修正バージョンをリリース済み（以下）。

・2021.0.6

・2021.1.4

・2022.0.4

・2022.1.5

・2023.0.1

米NSAやFBIが警告：北朝鮮のハッカーグループKimsukyがジャーナリスト装い情報を窃取

Bleeping Computer – Jun 02 2023 18:07

北朝鮮の国家支援型ハッカーグループKimsuky（APT43）による、ジャーナリストや学者を装って情報の収集を試みるスピアフィッシングキャンペーンについて、米FBI、NSA、韓国国家情報院（NIS）などが共同勧告を発出した。

Kimsukyは遅くとも2012年から国家的なインテリジェンス収集の目標を達成するため、大規模なスパイ活動を実施してきたグループ。今回の新たなキャンペーンで同グループは、ジャーナリストや作家などの実在する個人に成りすまし、本人のものと酷似したメールアドレスを使ってスピアフィッシング攻撃を行う。メールの本文には、朝鮮半島の政治的な出来事、北朝鮮の兵器プログラム、米国との協議、中国の姿勢などについての問い合わせなど、説得力のあるリアルなコンテンツが記載されるという。標的には、シンクタンク、研究センター、学術機関、メディア組織などが含まれる。最初の数通のメールにはマルウェアや添付ファイルは含まれない場合がほとんどで、まずはターゲットの信頼を得ることが優先される。

共同勧告では、強力なパスワードの使用、多要素認証の有効化といった対策が提供されている：U.S., ROK Agencies Alert: DPRK Cyber Actors Impersonating Targets to Collect Intelligence

新たなランサムウェアBlackSuitにRoyalとの著しい類似性

Cyware – Jun 04 2023 05:46

WindowsとLinuxの両方を狙うことのできる新たなランサムウェアファミリー「BlackSuit」を、研究者らが発見。BlackSuitには悪名高いランサムウェアRoyalと著しい類似点が複数みられることから、BlackSuitがRoyalの新たなアフィリエイトであるか、もしくはRoyalのソースコードを再利用したものである可能性が浮上している。

BlackSuitはファイルを暗号化して当該ファイルに拡張子「.blacksuit」を付け加え、その後攻撃に関する情報や連絡手段（TORのチャットサイト）などを記載したランサムノート（身代金要求メモ）を残す。また、リークサイトを用いて被害者の恐喝も行うが、現時点までにリークサイトに掲載されている被害者は1組織のみ。

BlackSuitのLinux版サンプルを分析した研究者によると、この亜種用に作成されたYARAルールはRoyalのサンプルと合致しており、他にも両者には多数の類似点があったという。例えばBlackSuitは複数のコマンドライン引数を使用するが、これらはRoyalのものと似ている。また、双方とも断続的な暗号化技術（AESの暗号化アルゴリズムなど）を用いる。さらに、ソースコードの類似性も非常に高かったという。

BlackSuit自身はRoyalランサムウェアとの関連を公言していないものの、研究者らは、BlackSuitが同じマルウェア作者によって開発された新しい亜種であるか、Royalのコードを使用している模倣グループのいずれかであると推測しているとのこと。

2023年6月3日

ハイライト

2023年6月4日

ハイライト

その他のニュース：政府によるスパイウェアの利用、産業組織向けの新たなセキュリティツール、日本のルーターへのハッキング問題（CVE-2023-32369、CVE-2023-2650ほか）

Security Week – Jun 03 2023 11:06

マルウェア「DogeRAT」が銀行とエンターテイメント分野に目をつける

Cyware – Jun 03 2023 23:46

Barracuda社製ESGにおけるゼロデイの欠陥が、バックドアマルウェア配布目的でハッカーらに悪用される（CVE-2023-2868）

Cyware – Jun 03 2023 23:46

Void Rabisuグループ、地政学的な攻撃のためRomComを使用

Cyware – Jun 04 2023 01:11

PowerShellのCobalt Strikeビーコンステージャーを解読

Medium Cybersecurity – Jun 03 2023 13:59

新たなLinuxランサムウェア「BlackSuit」はRoyalランサムウェアに似ている

Security Affairs – Jun 03 2023 10:44

APTのKimsuky、ジャーナリストや放送作家になりすました攻撃を実施

Security Affairs – Jun 03 2023 16:11

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。