12月21日:サイバーセキュリティ関連ニュース
Googleが攻撃で悪用されるChromeのゼロデイを修正、今年8件目: CVE-2023-7024
BeelpingComputer – December 20, 2023
Googleが緊急アップデートをリリースし、Chromeのゼロデイ脆弱性CVE-2023-7024を修正。今年修正されたゼロデイとしては8件目となるこの脆弱性はWebRTCにおけるヒープバッファオーバーフローで、Googleの脅威分析グループ(TAG)によって発見・報告された。
Googleはエクスプロイトが出回っていることを認識していると述べているものの、悪用インシデントの詳細については明かしていない。しかし発見者であるTAGがこれまでにスパイウェア展開に使われるゼロデイを数多く発見してきたことを踏まえると、今回のCVE-2023-7024もスパイウェア攻撃で悪用された可能性は否定できない。また脆弱性自体の詳細についても、修正版のアップデートがユーザーの大部分に行き渡るまでは伏せられることになると思われる。
関連記事

Threat Report
Silobreaker-CyberAlert
Chromeに今年6件目のゼロデイ:CVE-2023-6345
2023.11.29
Silobreaker-CyberAlert
2FAバイパスのためにInstagramバックアップコードを盗み取る新たなフィッシングキャンペーン
BleepingComputer – December 20, 2023
「著作権侵害」の通知に見せかけた偽メールを使ってInstagramユーザーの2段階認証(2FA)用バックアップコードを盗み取ろうとする新たなフィッシングキャンペーンについて、Trustwave社が報告。
Instagramのバックアップコードは、同サイトで2FAを設定する際に提供される8桁のコードで、これを使えば、機種変更やデバイス紛失といった理由で2FAが使えない場合もInstagramアカウントにログインすることができる。これはつまり、認証情報を入手したハッカーがこのコードを入手すれば、2FAをバイパスして当該アカウントを乗っ取れるようになることを意味する。
今回のキャンペーンで使われるフィッシングメールはInstagramの親会社であるメタ社が送信者であるかのように見せかけられており、本文には、受信者が知的財産保護法に違反する投稿をしたためアカウントが制限された旨と、この決定に異議を唱えたい場合はメール内のボタンをクリックする必要がある旨が記載されている。このボタンをクリックするとメタのポータルサイトを模倣したフィッシングページに飛ばされ、ページ内の「確認フォーム(アカウントの確認)」と書かれたボタンをクリックすると、さらに別のフィッシングページへリダイレクトされる。被害者はそこでユーザー名とパスワードの入力を要求された後、アカウントが2FAで保護されているかどうかを尋ねられ、入力情報の確認時に8桁のバックアップコードを要求されるという。
Instagramアカウントの保有者には、バックアップコードをパスワード同様に機密性の高い情報として扱うこと、必要に迫られない限りは安易にコードを入力しないことが求められる。
JaskaGO:WindowsとmacOS狙う新たなGo言語マルウェア
The Hacker News – December 20, 2023
WindowsとmacOSの両方に深刻な脅威をもたらす新しい高度なGo言語スティーラーマルウェア「JaskaGO」について、AT&T Alien Labsが報告。同社によれば、現時点で従来のアンチウイルスソリューションによる検出率は低いかほぼゼロであるという。
macOS向けに設計されたアーティファクトが初めて観測されたのは2023年7月で、これらはCapCutなどの正規ソフトウェアを装っていた。また、AnyConnectやセキュリティツールを装う亜種もあるとされる。
JaskaGOは標的システムに感染すると、まず自身が仮想マシン(VM)環境で実行されているかどうかをチェックし、VM環境だった場合には無害なタスクを実行して検出を回避しようとするという。また他のシナリオでは、システムから情報を採取し、C2との接続を確立してシェルコマンド実行、プロセス列挙、ペイロードダウンロードといった指示コマンドを受信する。さらにJaskaGOは、クリップボードを改ざんして暗号資産窃取を行いやすくする性能なども備える。
JaskaGOがどのように配布されているのか、フィッシングやマルバタイジングが使われているのか、マルウェアキャンペーンの規模はどのくらいなのかといった点は現時点では不明。AT&Tのレポートには、さらに詳しい解説やIoCなどが記載されている。
新ランサムウェア「WereWolves」に関する初の分析レポート
新たなロシア語話者ランサムウェアグループ「WereWolves」に関する初の分析レポートを、UAEのセキュリティ企業HackManacが公開。同グループに関する主な注目ポイントは以下。
・WereWolvesのリークサイトには、2023年5月18日〜11月2日の間に標的にされたと思われる21の被害組織が掲載されており、うち14はロシア組織。
・このほかの被害組織の拠点は米国、フランス、オランダ、ドイツ、セルビア、マケドニア。
・リークサイト掲載組織のうち3つは、LockBitが過去に実施した攻撃からコピー・ペーストしたものだと思われる。
・被害組織によっては、120TBまたは60TBなど、膨大な量のデータを盗んだ旨が主張されている(なおWereWolvesの主張の真偽は不明)
・WereWolvesのサイトの「ポートフォリオ」セクションではバグバウンティプログラムが宣伝されている。これはWebサイトやソフトウェアの脆弱性、ドキシング、Torの脆弱性といった情報にフォーカスしたもので、報奨金は$1,000〜$100万とされる。
・サイトではハッキングスキルを有する人材の募集も行われている。
・サイトでは、古代ローマの総督タキトゥスや哲学者ヴォルテールの名言が引用されている。タキトゥス「恩より恨みのほうが返しやすい。感謝は重荷で復讐は喜びだからだ」、ヴォルテール「主よ、私の友人たちから私を守りたまえ。敵には自分自身で対処できるのです」
・セキュリティ研究者Dominic Alvieri氏によれば、同グループは現在クリアネットのリークサイトを使用。
This new Werewolves group is currently using a clearnet leak site.
— Dominic Alvieri (@AlvieriD) December 20, 2023