ウィークリー・サイバーラウンド・アップ
APAC地域で新たなSQLインジェクション攻撃のキャンペーン、標的は職業斡旋事業者や小売企業
2023年11月、Group-IBの研究者は、アジア太平洋(APAC)地域の職業斡旋事業者や小売企業から収集した機微性の高いユーザーデータを盗み出し、販売することを目的とした新たなキャンペーンを検知した。GroupIBが「ResumeLooters」と名付けたこの脅威アクターは、SQLインジェクション攻撃やクロスサイトスクリプティング(XSS)攻撃を通じ、2023年11月から12月にかけて65件以上のWebサイトを侵害した。盗まれたデータには、名前、電話番号、Eメール、生年月日、求職者の経験や職歴に関するその他の機微情報が含まれる。ResumeLootersは2023年初頭から活動しており、主な標的はインド、タイ、ベトナムの各企業。初期攻撃ベクトルの中心はsqlmapを介したSQLインジェクションで、正規の求人検索サイトにXSSスクリプトをインジェクションする攻撃も確認されている。
Ivanti Connect SecureおよびIvanti Policy Secureの新たな脆弱性が大量に悪用される(CVE-2024-21893)
BleepingComputer – February 6, 2024
Ivanti Connect SecureおよびIvanti Policy Secureに影響を及ぼす、最近公表された深刻度の高い脆弱性が複数の攻撃者によって大量に悪用されていると報じられている。CVE-2024-21893として追跡されているこの脆弱性により、攻撃者はサーバサイドリクエストフォージェリを通じて認証を回避し、脆弱なデバイス上の制限されたリソースにアクセスできるようになる。この脆弱性の悪用件数は、最近対処された他のIvantiの欠陥よりも多く、攻撃者の焦点が変化していることを示唆している。インターネットに露出したIvanti Connect Secureデバイスは約22,500台と報告されているが、CVE-2024-21893に対して脆弱なデバイスがどれだけあるのかは現時点でわかっていない。
ハッカーグループScalyWolfがWhite Snakeスティーラーでロシア企業を攻撃
2023年半ば以降、BI[.]ZONEの研究者は脅威アクターScaly Wolfによるフィッシングキャンペーンを複数観測した。これらのキャンペーンではロシアの組織が標的にされ、ロシアの取締機関や法執行機関を装った攻撃が仕掛けられている。同アクターが使うのはコモディティ型情報窃取マルウェア「White Snake」で、これにはリモートアクセス型トロイの木馬やXMLベースのカスタマイズ機能、キーロガーなどの能力が備わっている。以前はロシア連邦捜査委員会やRoskomnadzorになりすましていたが、2024年1月に行われた最近のキャンペーンではロシアの軍事検察官室を装っていた。
中国のハッカー、オランダ国防省をRATのCOATHANGERで侵害
Bleeping Computer – February 6, 2024
オランダ軍情報保安局(MIVD)と総合情報保安局(AIVD)は、オランダ国防省(MOD)が2023年に中国のサイバースパイグループによる攻撃を受けていたことを明らかにした。攻撃者は侵害されたデバイスに、これまで公表されていなかったリモートアクセス型トロイの木馬(RAT)の「COATHANGER」を展開した。この攻撃はオランダとその同盟国を標的にした中国の政治スパイ活動における、より広範なパターンの一部である。COATHANGERインプラントは、FortiOSのSSL-VPNにおけるCVE-2022-42475を悪用してネットワークセキュリティデバイスのFortiGateに感染するよう設計。システムコールを遮断して検知を回避し、システムの再起動を行うプロセスに自身のバックアップを注入することで、システムの再起動やファームウェアのアップグレードを経ても永続性を保つ。
新たなバックドアSUBTLE-PAWS、ウクライナ軍への攻撃に利用される
Securonixの研究者は、PowerShellベースの新たなバックドアSUBTLE-PAWSを用いてウクライナの軍事関係者を標的にする進行中のキャンペーンを観測した。このマルウェアはペイロードを動的に実行する高度なテクニックを使い、さまざまな方法を用いてC2サーバーのアドレスを決定する。配布はリムーバブルアタッチドドライブ経由で行われ、難読化にはBase64およびXOR形式のエンコードを利用。動画ファイルを装ったLNKファイルを含むアーカイブファイルを介して実行される。観測されたLNKファイルの名前には、ウクライナの都市や軍事用語が使用されていた。このキャンペーンはSTEADY#URSAとして追跡されているもので、Shuckwormに関連している可能性が高く、このグループのみが利用している手口がいくつか確認されている。
ランサムウェアグループ別の記事数
2024年2月2日〜2月8日までの期間における、ランサムウェアグループ別の記事数分布を示したグラフです。
脆弱性
過去1週間の間にトレンドとなった脆弱性には、以下のようなものがありました。
CVE | ソフトウェア | CVSS基本値 | CVSS現状値 | |
---|---|---|---|---|
CVE-2024-23917 | TeamCity | 9.8 | 9.4 | |
関連記事:Critical vulnerability discovered in TeamCity On-Premises | ||||
CVE-2024-23108 | FortiSIEM | 10.0 | – | |
関連記事:Critical vulnerabilities discovered in FortiSIEM | ||||
CVE-2023-40547 | shim | 9.8 | – | |
関連記事:High-severity out-of-bounds flaw patched in Linux shim | ||||
CVE-2024-20252 | TelePresence Vi… | 9.6 | – | |
関連記事:Cisco Fixed Critical CSRF Flaws in Expressway Gateways (CVE-2024-20252 and CVE-2024-20254) | ||||
CVE-2023-36025 | Microsoft Windows | 8.8 | 8.2 | |
関連記事: New Mispadu Stealer variant exploits Windows SmartScreen bypass flaw |
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。