-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
4月25~28日:サイバーセキュリティ関連ニュース
Lazarus、水飲み場型攻撃とゼロデイ攻撃で韓国企業を標的に
カスペルスキーが北朝鮮のAPT Lazarusの最近の攻撃キャンペーン「Operation SyncHole」を調査し、韓国の金融、IT、半導体、ソフトウェア、通信分野の少なくとも6組織が標的にされていることなどを突き止めた。
Lazarusが韓国を攻撃すること自体は目新しいものではないが、今回は水飲み場型攻撃の手法に加え、韓国企業が使うソフトウェアの脆弱性の悪用を組み合わせてマルウェアを展開する点が特徴的だという。そのソフトは「Cross EX」と「Innorix Agent」で、前者は韓国のオンラインバンキングや政府機関のWebサイトで使用が義務付けられているセキュリティソフトを確実に動作させるためのアプリケーション。後者は特定の金融および管理業務に必須のファイル転送ソフトと説明されている。
「Lazarusグループはこれらの事情を深く理解しており、韓国を狙った戦略としてこうしたソフトウェアの脆弱性と水飲み場型攻撃を組み合わせている」とカスペルスキーは指摘した。感染チェーンはターゲットが韓国のオンラインメディアサイトを訪れると開始。そのリダイレクト先のサイトに、Cross EXの脆弱性を悪用する悪性スクリプトが仕込まれていたと考えられている。このスクリプトは正規のSyncHostプロセスを実行し、ThreatNeedleマルウェアをそこに注入。次の段階ではSignBTおよびCopperHedgeマルウェアなどが展開され、検出を回避しつつ偵察行為が実施されていた。
同社はターゲットにされた6組織を特定したものの、前述のアプリが多様な業界で幅広く使われていることを踏まえ、実際の被害者数はこれよりはるかに多いはずだと述べている。
この攻撃は韓国のサイバーセキュリティインシデント対応組織KrCERTに報告されており、悪用されたバグに対するパッチもリリースされている。
新たに発見されたSAP NetWeaverの重大な脆弱性が悪用され、WebシェルとBrute Ratelフレームワークを投下(CVE-2025-31324)
The Hacker News – Apr 25, 2025
サイバーセキュリティ企業ReliaQuestは22日に公開したレポートで、ある脅威アクターがJSPベースのWebシェルをアップロードするためにSAP NetWeaverの新たな脆弱性を悪用している可能性が高いと指摘。最終的な目的については不正なファイルのアップロードとコード実行を容易にすることと推測していたが、その後にこの脆弱性がCVE-2025-31324(CVSSスコア:10.0)として追跡されている深刻なバグであり、実際に悪用されたことを確認したと発表した。
先週の時点で、この脆弱性は「リモートファイルインクルード(RFI)の問題」とみられ、これを利用して攻撃されたシステムのいくつかが既に最新のパッチを適用していたことから、ゼロデイ攻撃の可能性があると説明されていた。しかしReliaQuestは、その後に「SAPが確認したところ、これは無制限のファイルアップロードの脆弱性であり、攻撃者は悪意のあるファイルを許可なくシステムに直接アップロードできるようになる」と訂正。SAPのセキュリティ企業Onapsisが25日に公開したレポートにも、この脆弱性はHTTP/HTTPS経由で悪用可能であり、攻撃者は認証を必要とせずに「/developmentserver/metadatauploader」エンドポイントを標的として、巧妙に細工されたPOSTリクエストを送信できると記された。
観測された攻撃ではJSPのWebシェルが投下され、持続的なリモートアクセスと追加のペイロードの配布が可能になっていた。また一部のケースではポストエクスプロイトフレームワークのBrute Ratel C4や、エンドポイント保護をバイパスするテクニック「Heaven’s Gate」が使われていたことも明らかになっている。
ReliaQuestは「SAPのソリューションは政府機関や企業で多用されており、攻撃者の格好の標的となっている。同社製品はオンプレミスで導入され、セキュリティ対策もユーザー任せとなっていることが多いため、アップデートやパッチを迅速に適用しないとシステムがより大きな侵害リスクにさらされる可能性がある」と付け加えた。なお、この欠陥を修正するアップデートはリリース済みで、攻撃を実行した脅威アクターは特定されていない。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
