-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2月26日:サイバーセキュリティ関連ニュース
2024年にOT/ICSを脅かしたグループは9組:Dragosが報告
SecurityWeek – February 25, 2025
産業向けサイバーセキュリティ企業のDragosは25日、レポート「2025 OT/ICS Cybersecurity Report」を公開し、昨年観測されたこの業界に対する脅威活動やトレンドについて報告した。
Dragosはこれまで、OT環境を標的とする脅威グループを合計23組追跡してきたが、この中で2024年に活動が観測されたものは9組だったという。うちBauxiteおよびGraphiteの2組は、昨年新たにこのリストに追加されている。
イランとの関連が指摘されるBauxiteは、ハクティビストとしてのペルソナ「CyberAv3ngers」のもと、米国やヨーロッパ、オーストラリア、中東におけるエネルギー、水、食品・飲料、化学製造の各部門の諸組織を標的にしてきたグループ。最近になって、「IOCONTROL」というカスタムマルウェアを使って米国およびイスラエルのIoTデバイスやOTデバイスを攻撃するのが観測されたという。
2組目のGraphiteはロシアとの結びつきがあるとされる脅威アクターで、APT28としても知られる。このグループは、主にウクライナとの軍事衝突に関連する組織をターゲットにしてきた。
Dragosは加えて、OT/ICSに対する脅威について以下のような事項を報告している。
- 前述の9組のうち、以下の4組は「ICSサイバーキルチェーン」のステージ2をこなす能力を有する(産業用制御システムに対する具体的かつ有意義な攻撃を考案し、テストすることができる):Graphite、Chernovite、Voltzite(Typhoon)、Electrum(Sandworm)
- 産業界の組織に対するランサムウェア攻撃は、2024年に急増。2023年、この業界を狙うランサムウェアグループは50組だったのが2024年には80グループへ増え、活動量としては2023年と比べて1.87倍に増加した。
- ICS専用のマルウェアはこれまで、たった7種しか知られていなかったが、2024年には新たなICSマルウェアが2種類(Fuxnet、FrostyGoop)も登場。いずれもロシア・ウクライナ戦争に関連するサイバー活動で使用された。
- Fuxnetは、親ウクライナのハクティビストグループ「BlackJack」によって、モスクワの自治体組織への攻撃で使用された破壊的なマルウェア。この標的組織は、ガスおよび上下水道ネットワークの通信システムの維持管理を担っていた。
- FrostyGoopは、ウクライナの電力会社に対する攻撃で使われたもので、攻撃の結果、600棟以上の集合住宅で暖房設備が一時的に使用不能になる事態が発生した。(詳しくはこちらの記事で:FrostyGoopマルウェアにより、ウクライナの集合住宅600棟超が今年1月に暖房使えず)
Dragosのレポートでは、これらのグループやマルウェアに関するさらに詳しい情報や、脆弱性に関するトレンドなども紹介されている。
ユーザー数200万超の人気WordPressプラグインEssential Addons for Elementorに、XSSの脆弱性:CVE-2025-24752
Securityonline[.]info – February 25, 2025
広く使用されるWordPress向けプラグイン「Essential Addons for Elementor」に、深刻度の高い脆弱性CVE-2025-24752が存在。Essential Addons for Elementorはページビルダープラグイン「Elementor」向けの人気拡張バンドルで、ユーザー数は200万人を超えることから、この脆弱性が及ぼし得る影響が懸念されている。
CVE-2025-24752(CVSSスコア 7.1)は、ポップアップ機能をトリガーするために使われるクエリ引数「popup-selector」の処理における問題で、このクエリ引数の検証およびサニタイゼーションが不十分なことに起因する。この反射型クロスサイトスクリプティングの脆弱性を悪用することに成功した場合、攻撃者はユーザーのブラウザへ有害なスクリプトを注入できるようになる恐れがあるという。
この攻撃はURLを細工するというシンプルな手口によって実行可能だという事実が、同脆弱性をより一層危険な存在にしており、攻撃が成功した場合のシナリオとしては、ユーザー認証情報が窃取される、WordPressサイト訪問者がフィッシングサイトへリダイレクトされる、WordPressサイト全体が改ざんされる、などが考えられる。
影響を受けるのは6.0.14以前のバージョンで、ユーザーには修正版である6.0.15への速やかなアップデートが推奨されている。
CISA、攻撃で悪用されているZimbraとMicrosoftの脆弱性をKEVカタログに追加:CVE-2023-34192、CVE-2024-49035
Securityonline[.]info – February 25, 2025
米CISAは25日、KEVカタログ(悪用が確認済みの脆弱性カタログ)へ新たにCVE-2023-34192とCVE-2024-49035を追加。連邦政府機関に対し、3月18日までに両脆弱性へ対処するよう命じた。
1つ目の脆弱性CVE-2023-34192は、Zimbra Collaboration Suiteにおけるクロスサイトスクリプティングの脆弱性。CVSSスコアが9.0と深刻度は高く、リモートの認証済みの攻撃者に悪用された場合、/h/autoSaveDraft関数を通じて有害なスクリプトの注入を許す恐れがある。これが任意コードの実行に繋がる恐れがあり、ひいては攻撃者によるシステムの完全な乗っ取りに発展する可能性があるとされる。
2件目のCVE-2024-49035は、マイクロソフトのパートナーセンター(partner.microsoft.com)における権限昇格の脆弱性。CVSSスコアは8.7で、認証されていない攻撃者は不適切なアクセス制御を悪用することにより、ネットワーク上で自らの権限を昇格させることができるようになる。
後者については自動でパッチが展開されるためユーザー側での対応は不要だが、CVE-2023-34192への対処については修正版「8.8.15 Patch 40」の速やかな適用が求められる。
関連投稿
Windowsカーネルの脆弱性、SYSTEM権限取得のために悪用される:CVE-2024-35250
17.12.2024
Ivanti、Connect Secureを狙う新たなゼロデイ攻撃の発生を警告(CVE-2025-0282)
09.01.2025
AmazonやHSBCなど複数組織の従業員データが大量にリークされる MOVEitの脆弱性使って窃取か(CVE-2023-34362)
13.11.2024
韓国のハッカー、WPS Officeのゼロデイを悪用してマルウェアを展開(CVE-2024-7262)
29.08.2024
進行中のソーシャルエンジニアリングキャンペーンに新戦術:CVE-2022-26923の悪用試みるペイロードが使われるように
19.08.2024
