-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月1~3日:サイバーセキュリティ関連ニュース
2月に修正されたWindowsカーネルのバグ、ゼロデイとして8月から悪用されていた(CVE-2024-21338)
BleepingComputer – March 2, 2024
先月の月例パッチにおいてWindowsカーネルの特権昇格の脆弱性CVE-2024-21338を修正したマイクロソフトだが、その6か月前の昨年8月には、同脆弱性がゼロデイとして悪用されているとの報告を受領していたという。
マイクロソフトがこの脆弱性を開示・修正したのは2月13日。この時点では悪用に言及していなかったものの、同社は同月の28日にアドバイザリを更新し、実際の攻撃で悪用されていることを認めた。なお、攻撃に関する詳細は明らかにしていない。
CVE-2024-21338は、Windows 10およびWindows 11(最新リリースを含む)の複数のバージョンのほか、Windows Server 2019や2022を実行しているシステムに影響を与えるもので、ローカルの攻撃者が悪用に成功すると、ユーザーによる操作を必要としない複雑性の低い攻撃でSYSTEM権限を獲得できる。
Avastは同じく28日に同社のブログで、北朝鮮ハッカーLazarusが遅くとも2023年8月からこの脆弱性をゼロデイとして悪用し、カーネルレベルのアクセス権を奪取してセキュリティツールを無効化していたことを報告していた。
関連記事
Threat Report
Threat Report
Silobreaker-CyberAlert
北朝鮮ハッカーLazarus、Windowsのゼロデイ悪用しカーネル権限奪取:CVE-2024-21338
山口 Tacos
2024.03.04
PDFを介したマルウェア配布が急増
securityonline info – MARCH 1, 2024
マルウェアがPDFを介して配布されるケースが急激に増えていることについて、McAfee Labsが報告。PDFといえば世界の至る所で使われるファイル形式であり、その分人々も無意識に「安全」だと思い込みがちだが、サイバー犯罪者らはこの信頼度の高さを悪用するようになっているという。
感染チェーンはまず、有害なコードが埋め込まれたPDFファイル付きのEメールから始まる。このPDFは無害なものに見えるよう工夫されており、McAfee Labsが観測したケースでは、「Booking.com-1728394029.pdf」という、あたかもBooking.comから送られてきたかのようなファイル名が付けられていた。
標的が旧バージョンまたはパッチ未適用バージョンのAcrobat Readerを使用している場合、PDFは埋め込まれたJavaScriptを直接実行する。一方で最新バージョンのAcrobat Readerが使用されている場合、JavaScriptを直接実行するのは不可能なため、PDFファイルは標的を悪意あるWebサイトへリダイレクトし、そこからスクリプトをダウンロードさせるという。いずれのケースにおいても、その後PowerShellの実行を経てAgent Teslaなどのマルウェアがダウンロード・実行されることになる。上記の流れで投下されたAgent TeslaはC2サーバーとの通信を実施し、Telegramボットを介してセンシティブなデータを抽出するほか、スケジュールタスクを設定するなどして感染したシステム上での永続性を確立するという。
McAfee Labsの研究者は、感染チェーンの一連の流れが「この攻撃の高度さを浮き彫りにして」いると指摘。さらにこの高度さが「最初の感染からデータの抜き取り、持続的な侵入に至るまで続いており、検知と緩和の取り組みに大きな課題を投げかけている」と結論づけた上で、いくつかの緩和戦略とIoCを提供している。
各国政府がIvanti VPNへの攻撃有無を調査するよう組織に要請(CVE-2023-46805、CVE-2024-21887他)
ファイブアイズの政府諸機関が共同声明の中で、Ivanti Connect SecureおよびIvanti Policy Secureゲートウェイについて注意喚起。最近開示/修正された脆弱性数件の影響を受けるこれらのVPNアプライアンスに保存されている認証情報は、侵害されている可能性が高いことを発表した。また組織に対し、侵害を受けていることを想定して、ネットワーク上で悪意のあるアクティビティがないかどうか探し始めるよう呼びかけている。
今回の共同声明はいくつかの脆弱性に言及しているが、このうちCVE-2023-46805(認証バイパスの脆弱性)、CVE-2024-21887(コマンドインジェクションの脆弱性)、CVE-2024-21893(SSRFの脆弱性)の3件が現在も悪用されているものとして注意喚起されている。
さらにIvantiの整合性チェックツール(ICT)の最新バージョンを実行することと、利用可能なパッチを適用することも推奨されており、Ivanti VPNの悪用に関連するIoCのリストや、検知に役立つ一連のYaraルール、インシデント対応およびリスク緩和策に関する推奨事項も提供されている。
関連記事
Threat Report
Threat Report
Silobreaker-CyberAlert
IvantiのSSRFゼロデイ、大量悪用が進行: CVE-2024-21893
山口 Tacos
2024.03.04
