-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月4日:サイバーセキュリティ関連ニュース
WindowsとCiscoルーターの脆弱性が悪用されている:CISAがKEVカタログに追加し注意喚起(CVE-2018-8639、CVE-2023-20118)
BleepingComputer – March 3, 2025
米CISAは3月3日、シスコ製VPNルーターの脆弱性CVE-2023-20118およびMicrosoft Windowsシステムの脆弱性CVE-2018-8639をKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加。米連邦政府機関に対し、3月24日までの対応を命じた。なお、いずれの脆弱性についてもどの脅威アクターがどのような攻撃で悪用しているのかなど、詳細は明かされていない。
1つ目のCVE-2023-20118は、Cisco Small Business RV016、RV042、RV042G、RV082、RV320、RV325 ルーターに影響を与えるコマンドインジェクションの脆弱性。攻撃者に悪用された場合、任意のコマンドをルーター上で実行される恐れがある。悪用には有効な管理者認証情報が必要になるものの、root権限の取得を可能にする別の認証バイパスの脆弱性CVE-2023-20025と連鎖させることで、この条件を満たすことができるとされる。なおシスコはこの脆弱性に関するアドバイザリを2023年1月に公開しており、その1年後にはCVE-2023-20025のPoCエクスプロイトコードが一般に出回っていることを伝えていた。
2件目のCVE-2018-8639は、Win32kにおける特権昇格の脆弱性。ターゲットシステムにログインしているローカルの攻撃者に悪用された場合、カーネルモードでの任意コードの実行が可能になる恐れがある。また、悪用が成功すると、攻撃者はデータを変更したり、完全なユーザー権限のある不正アカウントを作成してWindowsデバイスを乗っ取ったりすることもできるようになる可能性がある。
上記のほか、3日には以下3件の脆弱性もKEVカタログに追加されている。
- CVE-2022-43939:Hitachi Vantara Pentaho BA Serverにおける認可バイパスの脆弱性。攻撃者による認可のバイパスを可能にする恐れがある。
- CVE-2022-43769:Hitachi Vantara Pentaho BA Serverにおけるコードインジェクションの脆弱性。攻撃者による任意コマンドの実行を可能にする恐れがある。
- CVE-2024-4885:Progress WhatsUp Goldにおけるパストラバーサルの脆弱性。認証されていない攻撃者によるリモートコード実行を可能にする恐れがある。
ハッカーがAWSの設定ミスを悪用し、SESやWorkMail通じてフィッシング攻撃を実施
The Hacker News – Mar 03, 2025
フィッシングキャンペーンの展開のためにAmazon Web Services(AWS)を悪用する脅威アクターの手口について、Palo Alto Networks Unit 42の研究者が報告。この手口の特徴は、AWSの脆弱性を悪用するのではなく、ターゲットのAWS環境における設定ミスを突く点だという。
Unit 42が「TGR-UNK-0011」として追跡するフィッシング活動群は、2019年から活動するグループ「JavaGhost」によって実施されているものとみられる。その当初の主な活動はWebサイトの改ざんだったが、2022年から金銭目当てでフィッシングメールを送り始めるようになったとされる。
同アクターは、誤設定があることによってAWSのアクセスキーが公開状態になっている環境を悪用。IAMユーザーに紐づけられた長期アクセスキーを入手し、これを使ってCLI経由でAWS環境への初期アクセスを獲得するという。
組織のAWSアカウントへアクセスできたことが確認されると、攻撃者は一時的な認証情報とログインURLを生成し、コンソールアクセスを実現。これにより、自らの正体を隠しつつ、AWSアカウント内のリソースを視認できるようになる。続いて攻撃者は、Amazon Simple Email Service(SES)およびAmazon WorkMailを活用。新規のSES/WorkMailユーザーを作成し、新たなSMTP認証情報を設定してフィッシングインフラを確立する。
この手法を用いることにより、攻撃者は自ら新たにフィッシングインフラをホストしたり、そのためのサービス料を支払ったりする必要がなくなる。また、フィッシングメールはターゲット組織が以前にもEメールを受け取ったことのある既知の送信者から送られる形になるため、メール保護ソリューションを回避することが可能だという。
Unit 42はさらに、JavaGhostが複数のIAMユーザーを作成しつつ、攻撃ではその一部しか使用していないことも報告。「使われないIAMユーザーは、長期的な永続メカニズムとして使われるものとみられる」と指摘している。同社のブログ記事では、攻撃のさらなる詳細や緩和策、IoCなどが紹介されている。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
