ハッキング済みCisco IOS XEデバイスの台数が5万台超から数百台へ激減(CVE-2023-20198) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ハッキング済みCisco IOS XEデバイスの台数が5万台超から数百台へ激減(CVE-2023-20198)

Threat Report

Silobreaker-CyberAlert

ハッキング済みCisco IOS XEデバイスの台数が5万台超から数百台へ激減(CVE-2023-20198)

佐々山 Tacos

佐々山 Tacos

2023.10.23

10月21~23日:サイバーセキュリティ関連ニュース

ハッキング済みCisco IOS XEデバイスの台数が5万台超から数百台へ激減(CVE-2023-20198)

BleepingComputer – October 22, 2023

先週開示された、Cisco IOS XEのゼロデイ脆弱性CVE-2023-20198およびCVE-2023-20273。これらを悪用して5万台以上のデバイスに悪意あるバックドアインプラントが送り込まれたことが判明していたが、この台数が、21日にはわずか100〜1,200台程度へと減少したという。この激減の理由はまだわかっていないが、専門家たちからは以下のような仮説が挙げられている。

関連記事:シスコ、攻撃で悪用されているIOS XEの新たなゼロデイについて警告:CVE-2023-20198

【仮説1】多くのデバイスが再起動された(インプラントは再起動すると削除される)

【仮説2】脅威アクターによってインプラントがアップデートされ、スキャンで検出できなくなった

【仮説3】脅威アクターがインプラントを削除した

【仮説4】グレイハットハッカーがインプラントを削除するために自動的にデバイスを再起動した

【仮説5】多数のデバイスが侵害されたのは、本物のターゲットを隠すための囮だった

 

ただ、仮説4についてはOrange Cyberdefense CERTが異議を唱えており、今回の激減を「新たな悪用フェーズ」である可能性があると指摘。同チームはXにおいて、インプラントを隠すための活動が進行中であり、これが痕跡を消すための措置かもしれないことに関する注意喚起の投稿を行っている。なお現時点ではいずれも仮説に過ぎず、シスコ社や他の研究者によるデバイスの調査が行われない限り、実際には何が起こったのかを知る術はないとのこと。

Hiveが名前を変え復活?新ランサムウェア「Hunters International」登場

@rivitna2 – October 20, 2023

10月20日、マルウェアアナリストの「rivitna」氏は、かつて猛威を振るったランサムウェアグループ「Hive」が「Hunters International」として復活したとXに投稿。同氏によれば、Hunters InternationalのランサムウェアサンプルはHiveランサムウェアのバージョン6であるという。またrivitna氏の投稿を受けて自らも調査を行った別の研究者「Will(@BushidoToken)」氏は、HiveとHunters Internationalのコードに複数の重複と類似点を発見。このことから、Hiveが今年1月にFBIによってテイクダウンされて以来、「同グループのオペレーターらはHunters Internationalという新たなプロジェクトの開発に勤しんでいた」のだろうと結論付けている。Will氏はまた、別のランサムウェア「SophosEncrypt」とのコードの重複についても言及している。なお、Hunters Internationalのリークサイトには10月21日時点で1組織のみが被害者として掲載されていたという。

関連記事:SophosEncrypt:Sophosの名を騙る新たなランサムウェア・アズ・ア・サービス

Oktaのサポートシステムがハッキングされ、顧客データが盗まれる

SecurityWeek – October 20, 2023

Oktaは20日、ハッカーらがサポートケース管理システムに侵入し、有効なユーザーになりすますために使用できる機微データを盗んだと警告した。同脅威アクターは、サポートケースの一部としてOktaの特定の顧客によってアップロードされたHTTPアーカイブ(HAR)ファイルを閲覧できたという。このファイルはトラブルシューティングのためにOktaが顧客へ提出を依頼するもので、その中には機微なCookie情報やセッショントークンが含まれており、悪意のあるユーザーはこれらを使用して有効なユーザーになりすます可能性がある。またセキュリティ会社のBeyondTrustもアラート記事を公開し、Oktaのこのサポートシステムへの侵害に関連したサイバー攻撃の標的になったことを伝えている。

Oktaは影響を受けた顧客と協力して調査を行い、埋め込まれたセッショントークンを無効化するなどの対策を講じた。同社は通常、HARファイルを共有する前にファイル内のすべての認証情報、Cookie、セッショントークンをサニタイズすることを推奨している。同社によると、このインシデントによる本番のOktaのサービスへの影響はなく、Auth0/CICケース管理システムも影響を受けていないという。Oktaは不審なIPアドレスのリストを公開し、不審なセッション、ユーザー、IPについてSystem Logを検索するよう顧客に推奨している。 

国際刑事裁判所への攻撃、巧妙な標的型攻撃だった

Security Affairs – October 22, 2023

国際刑事裁判所は9月に受けたサイバー攻撃が、脅威アクターによってスパイ目的で行われた、標的型の巧妙なものであったことを明らかにした。これは、同組織の機能を弱らせるためのものと解釈できるという。また現在入手可能な情報では、この攻撃と特定の脅威アクターを結び付けることはできず、オランダの法執行機関もまだこの侵害について調査中だという。

関連記事:国際刑事裁判所、サイバー攻撃を受ける ロシアの戦争犯罪を調査する中

国際刑事裁判所(ICC)は政府間組織であり、ジェノサイド、人道に対する罪、戦争犯罪、侵略の罪を含む最も深刻な国際犯罪について個人を訴追するために設立された国際法廷。同裁判所はローマ規程によって設立されていて、本部はオランダのハーグにある。

同裁判所は​​実施されたフォレンジック分析に基づき、個人、組織、国家のデータへの侵害に対処するためにあらゆる措置をすでに講じており、サイバーセキュリティを向上させるための追加的なセキュリティ対策も実施しているという。 同裁判所に委託された特定のデータが侵害されたという証拠が発見された場合、影響を受けた人々には直ちに裁判所から直接連絡がなされる模様。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ