10月23日:サイバーセキュリティ関連ニュース
Microsoft SharePointのRCE脆弱性が悪用される、CISAがカタログに追加:CVE-2024-38094
米CISAは10月22日(現地時間)、Microsoft SharePointにおけるRCEの脆弱性CVE-2024-38094をKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加。連邦政府機関に対し、11月12日までの対処を呼びかけた。
CVE-2024-38094は、今年7月の月例パッチで修正された信頼できないデータのデシリアライゼーションの問題で、CVSS v3.1のスコアは7.2、深刻度は「Important(重要)」と評価されている。マイクロソフトによれば、この脆弱性を悪用できるのはSite Owner権限を持つ認証済みの攻撃者で、悪用が成功すればSharePoint Serverのコンテキストにおける任意コードの注入および当該コードの実行が可能になるという。
CISAはこの脆弱性がどのような攻撃で悪用されているのかを明かしておらず、ランサムウェアキャンペーンで使われているかどうかも不明とのこと。なお、マイクロソフトの公式アドバイザリの悪用ステータスは本記事執筆時点でまだ更新されておらず、悪用有無の欄は「No」のままになっている。
巧みな偽CAPTCHAがLumma Stealerマルウェアを配布
Dark Reading – October 23, 2024
マルウェア・アズ・ア・サービス(MaaS)として知られるLumma Stealerを配布するキャンペーンにおいて、悪性CAPTCHAページを使ってユーザーを騙し、マルウェアをダウンロードさせるという新たな戦術が使われ始めているという。
Lumma Stealerは、パスワードや暗号資産ウォレットデータなどの機微な情報を盗み出すために使われる情報窃取型マルウェア(インフォスティーラー)。その配布方法としては、従来型のフィッシングを使ったものからYouTubeチャンネルや人気ゲームを悪用するものまでさまざまだが、Qualysの研究者らによると、新たなキャンペーンでは偽のCAPTCHA認証が使われるようになっているという。
具体的には、脅威アクターらによって提示された偽の「私はロボットではありません」のボタンをユーザーがクリックすると、複数段階の認証プロセスが開始される。しかしこれらすべてのステップを完了させると、PowerShellコマンドの実行がトリガーされ、このコマンドによってマルウェアダウンローダーがユーザーのマシンにダウンロードされ始めるという。なおユーザーを偽のCAPTCHAサイトへリダイレクトさせる手段としては、正規のソフトウェアか公に露出しているアプリケーションが悪用されている可能性がある。
すばやく、かつコンスタントに戦術を変更・調整し、検出を回避する能力を持つLumma Stealerのような脅威に対抗するためには、脅威インテリジェンスチームとSOC、およびインシデントレスポンスチーム間の密接な連携が求められると、Critical StartのアナリストSarah Jones氏は指摘している。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠