Prometei：Proxylogonを兵器化する、さらに別のマルウェアが登場

サイバーアラートについて

マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する、サイバーセキュリティ関連記事のダイジェストを翻訳し、ほぼ毎日更新しています。データ漏えいインシデントの実例や、マルウェア・脆弱性・ハッカーグループの動向、現在進行中のサイバー攻撃などを取り上げています。

各記事の末尾に情報源のサイトへのリンク（赤字）が貼られています。

（リンク先のほとんどが英語のニュースサイト、ブログ、ツイッター投稿ですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。）

以下、翻訳です。

2021年4月25日

マルウェア・脅威アクタートレンド

表の見方（訳者注）

「Name」：マルウェアおよび脅威アクターの名称

「Heat 1」：過去24時間のニュースにおける注目度（*）を４段階で示します。

「Heat 7」：過去１週間のニュースにおける注目度（*）を４段階で示します。

*過去30日間の平均と比較して高ければ赤が増え、低ければ青が増えます。

「Vol 1」：過去24時間に出された記事の中で、言及された回数を示します。

「Vol 7」：過去１週間に出された記事の中で、言及された回数を示します。

データ流出

Codecov のサプライチェーン攻撃　 HashiCorp 社も被害

gh0std4ncer – Twitter – Apr 24 2021 09:24

@razhaelが以下のようにツイート。

「リマインダー：数百もの組織が Codecov を悪用した不正アクセスの影響を受けていると、@josephmennが今週初めにスクープした。

このニュースで、HashiCorp 社がハッシュ値に署名するために使用する秘密鍵が、影響を受けたことが明るみになった。

他の組織で黙っているところはいくつあるのか？」

ShopBack のメールアドレス流出について

troyhunt – Twitter – Apr 25 2021 05:44

@haveibeenpwnedがツイート。

「新たな流出：ShopBack は9月、メールアドレス2千万件の流出被害に遭いました。データには名前、電話番号、居住する国、ソルト付与された SHA-1 パスワードのハッシュ値が含まれていました。60%がすでに @haveibeenpwned 内に存在しています。もっと読む：」

パスワードマネージャー Passwordstate がサプライチェーン攻撃で影響受ける

rootsecdev – Twitter – Apr 24 2021 12:38

パスワードマネージャー Passwordstate に影響を与えたサプライチェーン攻撃について、@rootsecdev が画像を共有しつつ、次のようにツイート。

「passwordstate の侵害があってから、もう私はこれ見て笑えない。」

ハッカー集団

「Gaza Cybergang」が3つのサイトをハッキング

Treadstone71LLC – Twitter – Apr 24 2021 06:24

Treadstone71LLC – Twitter – Apr 24 2021 12:42

「武器庫爆破事件発生時にブルガリアにロシア人工作員がいたことを示すデータを発見」との報道

bellingcat – Twitter – Apr 24 2021 13:09

@bellingcatが報道に関連して、次のようにツイート。

「こちらは来週より詳しくお伝えする29155部隊についての復習にもなります。
hxxps://www[.]rferl[.]org/a/gru-unit-29155-russian-military-intelligence/31220707.html」

クーデター計画、毒殺、ハッキング、サボタージュ：ロシア連邦軍参謀本部情報総局（GRU）の29155部隊とは？

VickerySec – Twitter – Apr 24 2021 13:50

hxxps://www[.]rferl[.]org/a/gru-unit-29155-russian-military-intelligence/31220707.html

マルウェア

「XCSSET」マルウェアが今、AppleのM1チップを標的に

Cyware – Apr 24 2021 20:28

Mac マルウェアキャンペーンが、Apple の M1チップへのサポート機能を追加するために修正された「XCSSET」マルウェアを用いて、Xcodeのデベロッパーを標的にしている。昨年8月に初めて発見されたこのマルウェアは今、暗号通貨アプリから機密情報を盗む機能を備えている…

「REvil」がAppleにランサムウェア攻撃、5千万ドルを要求

E Hacking News – Apr 24 2021 08:58

4月20日（火）にオンラインで実施されたイベント「Spring Loaded」の準備を進める中、Appleは、同社の次世代機器のデータが流出するのを防ぐために和解を要求していた。「REvil Group」は…

「Prometei」：「Proxylogon」脆弱性を兵器化する、さらに別のマルウェアが登場

Cyware – Apr 24 2021 20:28

Microsoft Exchangeサーバーの「ProxyLogon」脆弱性を悪用した攻撃が爆発的に増加しており、脅威アクターたちは様々なマルウェアを配布するために攻撃方法を変更している。これらの脆弱性を武器にした最新のものは、「Prometei」と呼ばれるボットネットだ。…

「ToxicEye」：Telegramアプリを悪用してユーザーデータを盗むトロイの木馬

ZDNet – Twitter – Apr 24 2021 12:45

脆弱性

盛んに悪用されているトレンドマイクロ製品の欠陥　CVE-2020-24557

securityaffairs – Twitter – Apr 24 2021 14:05

hxxps://securityaffairs[.]co/wordpress/117105/hacking/trend-micro-flaw-cve-2020-24557.html

「ノンフライヤー」がハッキングされる可能性　セキュリティ上の欠陥が明らかに

Forbes – Cybersecurity RSS – Apr 24 2021 14:00

人気のエアフライヤー（いわゆる「ノンフライヤー」）にセキュリティ上の欠陥を、研究者らが発見。しかし、ハッカーがあなたのキッチンを本当に燃え上がらせる可能性はあるのだろうか？

導入されているPulse Connect Secure (PCS)バージョンについての調査 – CVE-2019-11510およびCVE-2021-22893 –

cyb3rops – Twitter – Apr 24 2021 08:19

hxxps://research[.]nccgroup[.]com/2021/04/23/a-census-of-deployed-pulse-connect-secure-pcs-versions/

ExifTool をお使いの方は、必ず12.24以降のものにアップデートを　CVE-2021-22204

thegrugq – Twitter – Apr 24 2021 11:24

@wcbowlingが次のようにツイート。

「ExifToolをお使いの方は、必ず12.24以降のものにアップデートしてください。完全に有効な画像（jpg、tiff、mp4ほか多数）によって、CVE-2021-22204が引き起こされ、任意のコード実行につながる可能性があります！ 」

進行中のキャンペーン

「ToxicEye」：Telegramアプリを悪用してユーザーデータを盗むトロイの木馬

HackRead – Apr 24 2021 16:07

「ToxicEye」は、Telegramアプリのユーザーをターゲットにした新しいリモートアクセストロイの木馬（RAT）マルウェアで、過去3ヶ月間で130件以上の攻撃に使用されている。

HTMLインジェクションの特殊なケース

InfoSec Bug Bounty Write-ups – RSS – Apr 24 2021 18:59

「これは、私が個人的なバグ報奨金プログラムで見つけた特殊なHTMLインジェクションについての記事です。…」

GitHub[.]comのリリース機能を介したサプライチェーン攻撃

Reddit – Netsec – Apr 25 2021 04:16

/u/nightwatchcyberによる投稿…

ロシアのハッカーがAppleから未公開デバイスの設計図を盗んだとの報道

E Hacking News – Apr 25 2021 05:33

ハッカーは、台湾企業であるQuanta Computer社のサーバーを攻撃することで、Appleの最新開発製品の設計図にアクセスしたと報じられている。攻撃の結果の発表はロシア語で行われた。Appleの主要サプライヤーの1つである…

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

翻訳元 : Cyber Alert 

https://www.silobreaker.com/silobreaker-cyber-alert-25-april-2021/

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/