EvilProxyによるindeed[.]comのオープンリダイレクト利用したフィッシングで、Microsoft 365アカウントが標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > EvilProxyによるindeed[.]comのオープンリダイレクト利用したフィッシングで、Microsoft 365アカウントが標的に

Threat Report

Silobreaker-CyberAlert

EvilProxyによるindeed[.]comのオープンリダイレクト利用したフィッシングで、Microsoft 365アカウントが標的に

佐々山 Tacos

佐々山 Tacos

2023.10.04

10月4日:サイバーセキュリティ関連ニュース

EvilProxyによるindeed[.]comのオープンリダイレクトを利用したフィッシングで、Microsoft 365アカウントが標的に

BleepingComputer – October 3, 2023

EvilProxyを利用して米国の電子機器製造、銀行・金融、不動産、保険、不動産管理といった業界の組織の幹部などを狙う新たなフィッシングキャンペーンについて、Menlo Securityの研究者が報告。このキャンペーンでは、Indeedの求人サイトindeed[.]comのオープンリダイレクトが悪用されているという。EvilProxyはダークウェブ上で販売されているフィッシング・アズ・ア・サービスで、リバースプロキシを使って標的とオンラインサービス(今回のケースではマイクロソフト)との間での通信やユーザー情報のリレーを円滑化するプラットフォーム。Menloが発見したキャンペーンは、標的に対して一見本物に見えるindeed[.]comのリンクが記載されたメールが送られる。しかしこのリンクにアクセスした標的は、マイクロソフトのログインページのリバースプロキシとして機能するフィッシングサイトへとリダイレクトされてしまう。そして標的がフィッシングサーバー経由で自らのアカウントにログインする際、攻撃者は認証クッキーを入手できるのだという。このようなリバースプロキシキットがフィッシングキャンペーンに利用されるケースは増えており、これと併せてオープンリダイレクトが利用されるとキャンペーンの成功率は向上することになる。なお今年8月にもEvilProxyを用いた別のキャンペーンが報告されており、多数の組織におけるMicrosoft 365アカウントを狙っておよそ120,000通ものフィッシングメールが送られていたとのこと。

Linuxの新たな脆弱性「Looney Tunables」により、主要ディストリビューションでのroot権限取得が可能に: CVE-2023-4911

BleepingComputer – October 3, 2023

Linuxにおける新たな脆弱性「Looney Tunables」によってFedora、Ubuntu、Debianといった主要なディストリビューションでのroot権限の奪取が可能になることを、Qualys Threat Research Unitが報告。これは、GNU C Library(glibc)の動的ローダーであるld.soのバッファオーバーフローの問題に起因する脆弱性。ローカルの攻撃者がこの問題を悪用すると、SUIDでのバイナリ実行時に改変されたGLIBC_TUNABLES環境変数を使って昇格後の権限でコードを実行できるようになる恐れがあるという。低い権限しか持たない攻撃者でも同脆弱性の悪用は可能で、攻撃の複雑度は低く、また悪用にユーザーインタラクションは不要だとされる。

QualysのプロダクトマネージャーであるAbbasi氏は、研究チームによる悪用が成功し、主要ディストリビューションでのroot権限取得が可能になったことで、この脆弱性の深刻さと影響範囲の広さが浮き彫りになっていると指摘。同氏はまた、Qualysのチームはエクスプロイトコードの公開をまだ控えているものの、他の研究チームもすぐにエクスプロイトを作成・リリースできる可能性があるとも指摘し、「特にLinuxディストリビューションにおいてglibcが広く利用されていることを踏まえると、これにより無数のシステムがリスクにさらされる恐れがある」と述べている。こうした背景から、該当するシステムの管理者にとっては、迅速な対応が肝要だとされている。

NATO、Webサイトへのサイバー攻撃とされるものについて調査 SiegedSecが犯行声明

The Record – October 4th, 2023

ハッキンググループSiegedSecが北大西洋条約機構(NATO)の複数Webサイトからデータ9GB分を盗んだと主張している件について、NATOは現在調査を行っていることを明かした。ただ、同組織の業務には何も支障は生じていないという。SiegedSecはTelegram上の投稿において、NATOが運営する以下のポータルサイト/プラットフォームからデータを盗み出したと主張している。

 

・Joint Advanced Distributed Learning

・NATO Lessons Learned Portal

・Logistics Network Portal

・Communities of of Interest Cooperation Portal

・NATO Investment Division Portal

・NATO Standardization Office

 

NATOがSiegedSecに関連するインシデントに巻き込まれるのは今回が2回目。今年7月にも、同グループはNATOのポータルサイトから情報を盗んだと主張していた。当時もNATOはメディアに対してインシデントを調査中であることを伝えていたが、その後新たなアップデートは提供されていない。

関連記事:NATO、ハッカーグループSiegedSecによるデータ窃取について調査

なおSiegedSecは今夏、ネブラスカ、サウスダコタ、テキサスなどの州政府が運営するWebサイトを攻撃したと主張していたが、その後グループが入手したとされるデータはすでに一般公開されたものだったことが確認されている。同様に、SiegedSecが昨年アーカンソー州やケンタッキー州政府のサイトを攻撃して入手したとされるデータも、一般公開済みのレコードデータだったという。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ