January 2023 – IoT OT Security News

Microsoft 警告：ランサムウェアと情報窃取を仕掛ける 100以上の脅威アクターたち

Microsoft: Over 100 threat actors deploy ransomware in attacks

2023/01/31 BleepingComputer — 今日、Microsoft のセキュリティ・チームは、ランサムウェアを展開する 100以上の脅威アクターを追跡していると明かした。さらに、同チームは、昨年末までに活発に動き回っていた、50以上のランサムウェア・ファミリーを監視しているという。同社は、「最近のキャンペーンで多用されたランサムウェアのペイロードには、Lockbit Black／BlackCat (別名 ALPHV) ／Play／Vice Society／Black Basta／Royal などがある。ただし、防御のための戦略としては、それらのペイロードに注目するよりも、それらの展開につながる活動の連鎖に対して、もっと焦点を当てるべきだ。依然として、ランサムウェア・ギャングは、一般的な脆弱性を標的とし、パッチ未適用のサーバやデバイスを標的にしている」と述べている。

VMware vRealize Log の RCE 脆弱性 CVE-2022-31706： PoC エクスプロイトが登場

Experts released VMware vRealize Log RCE exploit for CVE-2022-31706

2023/01/31 SecurityAffairs — 先週に、Horizon3 Attack Team の研究者たちは、VMware vRealize Log におけるリモート・コード実行の脆弱性 CVE-2022-31706 (CVSS：9.8) の PoC エクスプロイト・コードを公開した。この PoC エクスプロイト・コードは、VMware vRealize Log の一連のバグをトリガーとして、脆弱な運用環境においてリモート・コード実行を実現するものだ。

OpenAI がリリースした AI Text Classifier：書いたのは ChatGPT なのか？人間なのか？

OpenAI releases tool to detect AI-written text

2023/01/31 BleepingComputer — OpenAI が新たに公開したのは、ChatGPT のような人工知能ツールが生成したコンテンツを検出するための、AI Text Classifier である。OpenAI のブログポストには、「この AI Text Classifier は、テキストの各パートが、ChatGPT のような AI により生成された可能性を予測する、微調整された GPT モデル」と記されている。

DocuSign 成りすましのフィッシング攻撃：１万人以上の企業ユーザーが標的

DocuSign Brand Impersonation Attack Bypasses Security Measures, Targets Over 10,000

2023/01/31 InfoSecurity — DocuSign ブランドに成りすます攻撃が発生し、ネイティブ・クラウドおよびインラインにおけるメール・セキュリティ・ソリューションを回避し、複数の組織の１万人以上のエンドユーザーを標的にしていることが確認された。この発見は、Armorblox のセキュリティ研究者たちによるものであり、電子メールを通じて InfoSecurity と共有されたアドバイザリで、この新しい脅威について説明している。

Microsoft Defender の Linux 機能が強化：侵害されたエンドポイントの隔離が可能に

Microsoft Defender can now isolate compromised Linux endpoints

2023/01/31 BleepingComputer — 今日、Microsoft が発表したのは、Linux に搭載された Microsoft Defender for Endpoint (MDE) への、デバイス分離サポートの追加である。エンタープライズ管理者たちは、Microsoft 365 Defender ポータルまたは、API リクエストを用いて、パブリック・プレビューの一部として登録された Linux マシンを、手動で隔離することができる。この隔離が行われると、脅威アクターによる侵入済みシステムへの接続が不能になる。したがって、攻撃者によるコントロールは遮断され、データ盗難などの悪意のアクティビティは阻止される。

OAuth を悪用する偽アプリ攻撃： Office 365 アカウントへの不正アクセスが発生

Attackers used malicious “verified” OAuth apps to infiltrate organizations’ O365 email accounts

2023/01/31 HelpNetSecurity — ”Publisher identity verified” マークを取得したサードパーティ製 OAuth アプリが、英国／アイルランドの組織を標的とする、未知の攻撃者に利用されていることを、Microsoft が明らかにした。この攻撃は、2022年12月初旬に Proofpoint の研究者が発見したものであり、SSO／Zoom になりすました３つの不正なアプリが関与しているという。この手口に騙されたターゲット組織は、一連の不正アプリにより O365 メールアカウントにアクセスされ、組織のクラウド環境への侵入を許してしまった。

KeePass のパスワード窃取の脆弱性 CVE-2023-24055：開発者は反論を唱える

KeePass disputes vulnerability allowing stealthy password theft

2023/01/30 BleepingComputer — オープンソースのパスワード管理ソフトである KeePass に、攻撃者がデータベース全体を平文で密かにエクスポートできる、新たな脆弱性が発見された。しかし、KeePass の開発チームは、この発見に対して異議を唱えている。KeePass は人気のオープンソース・パスワード管理ソフトだが、LastPass／Bitwarden のようなクラウド・ホスティングのものではなく、ローカルに保存されたデータベースを使用してパスワードの管理を行うものだ。

インサイダー脅威に関する調査：多発する攻撃と困難な発見への懸念

Insider attacks becoming more frequent, more difficult to detect

2023/01/30 HelpNetSecurity — Gurucul の調査によると、あらゆる種類の組織において、インサイダー脅威は最大の関心事となる。調査対象者のうち、インサイダー脅威のリスクについて、懸念しないという回答者はわずか３％だという。325名以上のサイバー・セキュリティの専門家たちからの回答をもとに、変化する内部脅威への対応に取り組む組織が、直面している最新のトレンドと課題、そして機密データと IT インフラの確実な保護のために、組織が取り組んでいる体制作りなどを、同社は調査している。

サイバー犯罪組織の求人広告：開発者 61%／攻撃者 16%／設計者 10% という分布

Cybercrime job ads on the dark web pay up to $20k per month

2023/01/30 BleepingComputer — サイバー犯罪グループによるダークウェブでの求人広告は、高額給与／有給休暇／有給病欠などを開発者やハッカーに提示することで、ビジネスとしての運営を支えているようだ。Kaspersky は 2020年3月〜6月の間に、155ヶ所のダークウェブに掲載された 20万件の求人広告を分析し、Hacking／APT グループは主にソフトウェア開発者 (全広告の61％) の採用を目指し、きわめて競争力の高い条件で勧誘しているようだ。

Emotet／REvil を配信する TrickGate：巧妙な検出回避で６年間も生き続ける

Hackers Use TrickGate Software to Deploy Emotet, REvil, Other Malware

2023/01/30 InfoSecurity — TrickGate という名の悪意のソフトウェア・サービスは、６年以上にわたり脅威アクターたちに利用され、EDR (Endpoint Detection and Response) 保護ソフトウェアをバイパスしてきたようだ。この Check Point Research (CPR) が発表した調査結果は、今日の未明に InfoSecurity と共有された。最新のアドバイザリによると、Emotet／REvil／Maze などのグループに属する複数の脅威アクターたちが、このサービスを悪用してマルウェアを展開していたことが示唆される。

GitHub から盗まれたコード署名証明書：Desktop／Atom 版が 2月2日に失効

GitHub revokes code signing certificates stolen in repo hack

2023/01/30 BleepingComputer — 未知の攻撃者が GitHub の開発とリリース計画にリポジトリにアクセスし、Desktop／Atom アプリケーションの暗号化されたコード署名証明書を盗み出したとのことだ。GitHub によると、盗み出されてしまったパスワード保護された証明書 (Apple Developer ID 証明書１枚と Windows アプリに使用される Digicert コード・サイニング証明書２枚) が、悪意の目的で使用されたという証拠は、これまでのところ発見されていない。

Facebook／Instagram の 2FA バイパスが FIX：バグ報奨金は $27,000

Researcher received a $27,000 bounty for 2FA bypass bug in Facebook and Instagram

2023/01/30 SecurityAffairs — Instagram／Facebook に影響を与える２要素認証 (2FA) バイパスの脆弱性を報告したことで、研究者の Gtm Manoz は $27,000 のバグバウンティを得た。この脆弱性は、電話番号／メールアドレスの確認のために、親会社である Meta が使用しているコンポーネントに存在する。Mänôz は、このソフトウェアがレート制限の保護メカニズムを実装していないことに気づいた。そして、Meta Accounts Center を使用して、ターゲット・ユーザーの認証済み Facebook 携帯電話番号を確認することで、Facebook の２要素認証を回避した。

Titan Stealer という情報スティーラーを発見：Golang ベースで検出を巧みに回避

Titan Stealer: A New Golang-Based Information Stealer Malware Emerges

2023/01/30 TheHackerNews — Titan Stealer という名の Golang ベースの新たな情報窃取型マルウェアが、Telegram チャンネルで宣伝されていることが判明した。Uptycs のセキュリティ研究者である Karthickkumar Kathiresan と Shilpesh Trivedi の最新のレポートには、「このスティーラーは、感染した Windows マシンから、ブラウザや暗号ウォレットからのクレデンシャル・データ／FTP クライアントの詳細／スクリーンショット／システム情報／掴んだファイルなどの、さまざまな情報を盗み出す」と記されている。

QNAP QTS／QuTS の深刻な脆弱性 CVE-2022-27596 が FIX：直ちにパッチ適用を！

QNAP fixes critical bug letting hackers inject malicious code

2023/01/30 BleepingComputer — QNAP が顧客に発しているのは、QNAP NAS デバイスへの悪意のコード注入を、リモートの攻撃者に許す深刻なセキュリティ脆弱性を修正する、QTS／QuTS ファームウェア・アップデートのインストールの警告である。同社によると、この脆弱性 CVE-2022-27596 の深刻度は Critical (CVSS：9.8) であり、QTS 5.0.1／QuTS hero h5.0.1 に影響を与えるという。

Realtek の脆弱性 CVE-2021-35394：IoT サプライチェーン 1.4 億のデバイスに危機

Realtek Vulnerability Under Attack: Over 134 Million Attempts to Hack IoT Devices

2023/01/30 TheHackerNews — 2022年8月から始まった、Realtek Jungle SDKのリモートコード実行の脆弱性を悪用する攻撃が急増していることに、研究者たちが警告を発している。Palo Alto Networks の Unit 42 によると、現在進行中のキャンペーンは、2022年12月の時点で 1億3400万件のエクスプロイト試行を記録し、その 97％が直近の４ヶ月間で発生したと言われている。攻撃の 50% 近くが米国 (48.3%) から発生しており、それに続くのが、ベトナム (17.8%)／ロシア (14.6%)／オランダ (7.4%)／フランス (6.4%)／ドイツ (2.3%)／ルクセンブルク (1.6%) などである。さらに、ロシアで発生した攻撃の 95% は、オーストラリアの組織を標的にしていた。

Gootkit は SEO ポイズニング・マルウェア：難読性の高い無差別攻撃

Gootkit Malware Continues to Evolve with New Components and Obfuscations

2023/01/29 TheHackerNews — マルウェア Gootkit を操る脅威アクターは、そのツールセットを新たなコンポーネントで強化し、難読性の高い感染チェーンを構築している。Google 傘下の Mandiant は、UNC2565 という名称で Gootkit の活動を監視しているが、このグループだけが独占して使用するマルウェアであることを指摘している。Gootkit は、Gootloader とも呼ばれ、検索エンジン最適化 (SEO) ポイズニングと呼ばれる手法により、合意書や契約書などのビジネス関連文書を検索する人々を騙して、危険な Web サイトへと誘導することで拡散していく。

SaaS Shadow IT をゼロにしたい：非侵入型ディスカバリー・ツールの無償版とは？

Eliminating SaaS Shadow IT is Now Available via a Self-Service Product, Free of Charge

2023/01/28 TheHackerNews — SaaS (Software as a Service) の利用が急成長しており、その勢いに衰えは見えない。分散型で使い易いという特性は、従業員の生産性を高める上で有益だが、セキュリティや IT に関する多くの課題も生じさせている。組織のデータへのアクセスを許可された、すべての SaaS アプリケーションを追跡することは困難な作業である。また、SaaS アプリケーションがもたらすリスクについて、理解することも同様に重要だが、目に見えないものを保護することは困難である。

ChatGPT でセキュリティを強化：2023年を変えていく３つの視点とは？

3 Ways ChatGPT Will Change Infosec in 2023

2023/01/28 DarkReading — 2022年11月30日に OpenAI が、ChatGPT をテスト用に公開した直後から、世界中に嵐を巻き起こった。AI や ML の「革新」に満足できなかった業界にとって、この反応は非常に重要なものだった。情報セキュリティにとって AI が、まさに革命的なものであることが、ようやく明らかになった瞬間だと、私は捉えているが、その可能性に期待してきた多くの人々も同様だと思う。

クラウドストレージ調査：52% のユーザー企業で前年度の予算を上回る支出

50% of organizations exceed their budgeted spend on cloud storage

2023/01/27 HelpNetSecurity — Wasabi が明らかにしたのは、ユーザー企業はクラウド・ストレージに全力を注いでおり、2024年にはパブリック・クラウドの平均保存容量が、ストレージ全体の 43% に達すると予想されており、大多数 (84%) の企業が、その実現に向けて予算を増やしていることだ。この調査の目的は、パブリック・クラウド・ストレージ導入に対する考え方の変化と、ストレージ購入の意思決定に影響を与える要因を明らかにし、予算／ユースケース／セキュリティ／クラウドデータ移行における最優先事項を明らかにすることだ。

OSS の需要が継続して増大：ユーザー企業の 80% が深刻な “人材問題” を抱える

Open source skills continue to be in high demand

2023/01/27 HelpNetSecurity — Perforce Software と Open Source Initiative によると、これまでの 12ヶ月間において 80% の組織が、オープンソース・ソフトウェアの利用を増やしている。例を挙げると、データベース管理／コンテナ・オーケストレーション／DevOps／SDLC ツールといった、幅広いビジネス・クリティカルなアプリケーションで、５社のうち４社が OSS への依存度を高めている。しかし、このレポートでは、いくつかの障害が残っていることも明らかにされた。調査対象となった全テクノロジー・カテゴリーで、専門知識を持つ人材の不足が、最大の課題の１つとして挙げられている。

Hive ランサムウェアがシャットダウン：復活はないのか？犯人たちは何処へ行くのか？

Hive Ransomware Gang Loses Its Honeycomb, Thanks to DoJ

2023/01/27 DarkReading — 連邦政府は、Hive ランサムウェア集団の活動を停止させ、総額 $130 million の身代金要求から被害者たちを救った。しかし、この取り組みが、ランサムウェア全体の状況に、どれほどの打撃を与えるかとなると、現状では判断できないだろう。米国司法省の発表によると、この 2021年6月に出現したグループの活動は、最近の数カ月において活発であり、世界 80数カ国で 1500件以上の被害者を出している。

Golden Chickens という Malware-as-a-Service：背後で操る人物を追跡せよ

Experts Uncover the Identity of Mastermind Behind Golden Chickens Malware Service

2023/01/27 TheHackerNews — Golden Chickens という Malware-as-a-Service の背後にいる脅威アクターの身元が、現実世界でのオンライン・ペルソナ “badbullzvenom” として活動している人物であると、サイバー・セキュリティ研究者たちが明らかにした。eSentire の Threat Response Unit (TRU) は、16ヶ月に及ぶ調査を経て発表した包括的なレポートの中で、「２人の人物が “badbullzvenom” アカウントを共有されているという、複数の言及を発見した」と述べている。

ISC BIND の４つの深刻な DoS 脆弱性 CVE-2022-3094 などが FIX

BIND Updates Patch High-Severity, Remotely Exploitable DoS Flaws

2023/01/27 SecurityWeek — 今週に ISC (Internet Systems Consortium) は、DNS ソフトウェア・スイート BIND に存在する、複数の深刻な DoS (Denial-of-Service) 脆弱性に対するパッチをリリースした。この脆弱性が悪用されると、ネームサーバー／再帰的リゾルバーとして機能する BIND デーモン named が、リモートからの攻撃でクラッシュあるいは、メモリ枯渇に陥る可能性があるという。

Black Basta ランサムウェアの新戦術：USB デバイスに PlugX の高スティルス亜種

Black Basta Deploys PlugX Malware in USB Devices With New Technique

2023/01/27 InfoSecurity — Black Basta ランサムウェアの侵害に関する調査により、接続されたリムーバブル USB メディアデバイスに自動的に感染する、新しい PlugX マルウェアの亜種が使用されていることが判明した。Palo Alto Networks の Unit 42 は、この調査結果を Infosecurity と共有し、新しい PlugX 亜種はワーム可能であり、Windows OS から自身を隠すように USB デバイスに感染すると付け加えている。

Exchange サーバと ProxyNotShell：緩和策では攻撃を防げないと Microsoft が警告

Microsoft urges admins to patch on-premises Exchange servers

2023/01/26 BleepingComputer — 今日、Microsoft が公表したのは、オンプレミスの Exchange サーバに対する累積アップデート (CU： Cumulative Update) の適用であり、また、緊急のセキュリティ・アップデートに対しても、導入の準備を整えておくよう顧客に呼びかけた。Exchange サーバのアップデート・プロセスについて、同社は簡単だと述べているが、多くの管理者が同意しないかもしれない。具体的な手順として、アップデートをインストールした後には必ず、Exchange Server Health Checker スクリプトの実行を推奨しているという。

Yandex のソースコードが漏洩：元従業員が BreachForums に 44.7GB のファイルを公開

An unfaithful employee leaked Yandex source code repositories

2023/01/26 SecurityAffairs — 不正な Yandex git ソースへのマグネット・リンクが含まれたアナウンスメントが、BreachForums に公開された。この投稿の背後にいる脅威アクターは、2022年7月に 44.7GB のファイルを入手したと主張しており、すべてのファイルの日付は 2022年2月24日 (ロシアのウクライナ侵攻の日) にまでさかのぼる。脅威アクターの主張は、このソースコード・リポジトリには、アンチ・スパム・ルールを除くソースコードが含まれているというものだ。

Google が Dragonbridge をシャットダウン：中国の偽情報アカウント５万件を削除

Google nukes 50,000 accounts pushing Chinese disinformation

2023/01/26 BleepingComputer — Google の Threat Analysis Group (TAG) は、複数のオンライン・プラットフォームで親中派情報を発信しているグループ Dragonbridge／Spamouflage Dragon に関連する、数万件のアカウントを削除した。 Googleによると、Dragonbridge はバルクでアカウントを販売する業者から、新しい Google アカウントを入手してきたという。場合によっては、以前に金銭的な動機で使用されていたアカウントを再利用し、情報操作のための動画／ブログを投稿することもあるようだ。

Windows CryptoAPI の脆弱性 CVE-2022-34689：PoC エクスプロイトが公開

Researchers release PoC exploit for critical Windows CryptoAPI bug (CVE-2022-34689)

2023/01/26 HelpnetSecurity — Akamai の研究者たちが、公開キー証明書を検証する Windows CryptoAPI に存在する、深刻な脆弱性 CVE-2022-34689 に対する PoC エクスプロイトを公表した。この Windows／Windows Server に影響する脆弱性は、2022年10月に修正プログラムが公開されている。その際に Microsoft は、「攻撃者は既存の公開証明書 x.509 を操作して身元を偽り、認証／コード署名などのアクションを、本物の証明書を持っているかのように実行できる」と説明していた。

WordPress サイト 4,500 以上でハッキングが発生：ビジターを悪意の広告ページへ誘導

Over 4,500 WordPress Sites Hacked to Redirect Visitors to Sketchy Ad Pages

2023/01/25 TheHackerNews — 2017年ころから活動しているとされる、長期的かつ大規模なキャンペーンにより、4,500 件以上の WordPress サイトが感染していることが明らかになった。GoDaddy 系列の Sucuri によると、悪意のドメイン track[.]violetlovelines[.]com にホストされている、難読化された JavaScript の注入により感染が広まり、悪意のサイトへと訪問者たちがリダイレクトされているようだ。urlscan.io のデータによると、2022年12月26日から動きが活発になっているようだ。2022年12月初旬に確認された攻撃では 3,600 件以上のサイトが影響を受け、2022年9月に記録された別の攻撃では、7,000以上のサイトが被害に遭ったとされている。

Web ブラウザのセキュリティ：体系化された５本の柱で分解／整理してみよう

The Definitive Browser Security Checklist

2023/01/25 TheHackerNews — セキュリティ関係者は、現代の企業環境におけるブラウザの重要な役割と、その管理／保護の再評価が必要であることを認識するようになった。少し前までは、エンドポイント／ネットワーク／クラウドの各ソリューションのパッチワークで Web ベースのリスクに対応していたが、これらのソリューションが提供する部分的な保護では、もはや不十分であることが明らかになった。そのため、多くのセキュリティ・チームが、ブラウザのセキュリティ上の課題に対する答えとして、専用に構築されたブラウザ・セキュリティ・プラットフォームという、新たなカテゴリーに注目するようになってきた。

CISA が連邦政府組織に警告：正規の RMM ソフトウェアを介した攻撃が蔓延

CISA: Federal agencies hacked using legitimate remote desktop tools

2023/01/25 BleepingComputer — 今日の共同アドバイザリで CISA／NSA／MS-ISAC は、正規の RMM (Remote Monitoring and Management) ソフトウェアを悪意の目的で、攻撃者たちが使用する傾向が強まっていることを警告した。さらに心配なことに、2022年10月中旬の Silent Push レポートの発表後に、複数の連邦民間行政機関 (FCEB) ネットワーク内において、CISA が EINSTEIN 侵入検知システムで管理しているにも関わらず、悪意のアクティビティが発見されている点だ。

フィッシング・ブランドの首位は Yahoo：2022年 Q4 の調査結果で DHL を逆転

Yahoo Overtakes DHL As Most Impersonated Brand in Q4 2022

2023/01/25 InfoSecurity — Check Point チェック・ポイントのセキュリティ研究者たちは、2022年 Q4 に最も成りすまされたブランドは、フィッシングの全試行の 20% を占めた Yahoo であり、DHL をトップから陥落させたことを明らかにした。この調査結果は、同社の最新ブランド・フィッシング・レポートから得られたものであり、数十万ドル相当の賞金が Yahoo から提供されるというメールを、複数のサイバー犯罪者たちが配信していることが確認されたようだ。メールの送信者は、”Award Promotion” や “Award Center” といった名前を使用している。

Python に PY#RATION というマルウェア：WebSocket でスティルス C2 通信

New stealthy Python RAT malware targets Windows in attacks

2023/01/25 BleepingComputer — Python ベースの新しいマルウェアが発見されたが、侵入したシステムを操作するための (RAT：Remote Access Trojan) 機能を備えていることが判明した。脅威分析会社 Securonix の研究者により、PY#RATION と名付けられた新しい RAT は、WebSocket プロトコルを用いて C2 Server と通信し、被害者のホストからデータを流出させるものだ。同社の技術レポートでは、このマルウェアの動作が分析されている。PY#RATION キャンペーンが始まった 2022年8月以降において、複数のバージョンが確認されていることから、この RAT が活発に開発されていると、研究者たちは示唆している。

ChatGPT がもたらす変化：Social エンジニアリングから Prompt エンジニアリングへ

Malicious Prompt Engineering With ChatGPT

2023/01/25 SecurityWeek — 2022年末に、誰もが OpenAI の ChatGPT を利用できるようになったことで、AI の可能性が良くも悪くも実証された。ChatGPT は、大規模な AI ベースの自然言語生成器であり、LLM (Large Language Model) と呼ばれるものである。そして、プロンプト・エンジニアリングという概念を、一般に知らしめたものでもある。ChatGPT は、2022年11月に OpenAI がリリースしたチャットボットであり、OpenAI の LLM である GPT-3 ファミリーの上に構築されている。

DragonSpark という中国の APT：Golang ソースの実行時解釈で検出を回避

Hackers use Golang source code interpreter to evade detection

2023/01/24 BleepingComputer — DragonSpark という名で追跡されている、中国語を話すハッキング・グループは、東アジアの組織に対してスパイ攻撃を行う際に、検出を回避するために Golang ソースコードの解釈を採用していることが確認された。この攻撃は SentinelLabs により追跡されており、DragonSpark は SparkRAT と呼ばれるオープンソース・ツールに採用し、感染させシステムから機密データを盗み、コマンドを実行し、ネットワーク上での横移動などを行うと、研究者たちは報告している。SentinelLabs が観測した侵入経路は、オンラインで公開されている脆弱な MySQL データベース・サーバだった。

ダークウェブの監視が重要：Verizon DBI が示すインサイダー・リスク軽減のヒントとは？

Hunting Insider Threats on the Dark Web

2023/01/24 DarkReading — インサイダーによる脅威は、深刻な問題であり、拡大している問題でもある。最近の Verizon の調査によると、悪意の従業員がインシデントの 20% に関連しており、内部関係者が関与する攻撃は外部関係者によるが攻撃の 10倍ほどになる。また、ProofPoint のデータによると、パンデミックによるリモートワークでリスクが高まり、過去２年間においてはインサイダーによる攻撃の増加が示されている。

Ethereum $100M 相当が Harmony から消えた：北朝鮮の Lazarus と APT38 の犯行

FBI: North Korean hackers stole $100 million in Harmony crypto hack

2023/01/24 BleepingComputer — FBI の発表によると、2022年6月に Harmony Horizon から $100 million 相当の Ethereum が盗まれたが、その背後には、北朝鮮の国家的なハッキング・グループ Lazarus と APT38 が存在することが確認されたという。Harmony Horizon は Ethereum のクロス・チェーンブリッジであり、2022年6月に侵害を受け、MultiSigWallet の制御をハッカーが奪ったことで、大量のトークンが犯罪者のアドレスに転送された。

GoTo で発生したデータ侵害：暗号化されたバックアップや MFA 設定などを窃取

GoTo Says Hackers Stole Encrypted Backups, MFA Settings

2023/01/24 SecurityWeek — IT マネージメント・ソフトウェアを提供する GoTo は、2022年に発生した LastPass 関連会社に影響を及ぼしたセキュリティ侵害において、暗号化されたバックアップと一部の暗号化キーが、正体不明の脅威アクターに盗まれたと発表した。GoTo の CEO である Paddy Srinivasan は、このセキュリティ侵害が、当初の報告よりもはるかに深刻であることを認めている。具体的に言うと、アカウントのユーザー名および、ソルト化／ハッシュ化されたパスワード、MFA 設定の一部に加えて、一部製品のコンフィグレーション／ライセンス情報が盗まれたようだ。

Emotet が新たなバイパス手法で再登場：クレカ窃取と横移動の新モジュールを追加

Emotet Malware Makes a Comeback with New Evasion Techniques

2023/01/24 TheHackerNews — マルウェア Emotet は、Bumblebee／IcedID などの危険なマルウェアの感染経路となる一方で、その手口を改良し、レーダーを回避し続けている。2021年初頭に、捜査当局が Emotet のインフラを排除したが、同年末には活動を再開しており、フィッシング・メールを介して配布される、持続的な脅威として存在し続けている。このウイルスは、サイバー犯罪グループ TA542 (別名 Gold Crestwood／Mummy Spider) に帰属するものであり、バンキング型トロイの木馬として 2014年に登場した後に、マルウェア配布者へと進化してきた。

VMware vRealize Log Insight における４つの深刻な脆弱性が FIX

VMware Plugs Critical Code Execution Flaws

2023/01/24 SecurityWeek — 2023年1月24日に VMware がリリースしたのは、RCE (Remote Code Execution) 攻撃につながる可能性のある、複数の深刻な脆弱性のパッチを含む、2023年最初のセキュリティ情報である。VMware によると、これらの脆弱性は、VMware vRealize Log Insight に影響を及ぼすものであり、悪用に成功した未承認の攻撃者に対して、ターゲット・システムの完全な制御を許す可能性があるという。

ChatGPT が明らかにした問題点： AI を騙して悪用するのは簡単だ

Learning to Lie: AI Tools Adept at Creating Disinformation

2023/01/24 SecurityWeek — 人工知能は小説を書き、ゴッホにインスパイアされた画像を作り、山火事の消火活動を支援するにまでいたった。そして今、人工知能は、かつて人間に限られていた活動において、つまりプロパガンダや偽情報の作成において競争を始めた。オンライン AI チャットボット ChatGPT に、広く否定されている主張 (たとえば COVID-19 ワクチンは危険だという主張) を支持する、ブログ記事／ニュース記事／エッセイを作成するよう、研究者たちは依頼してみた。すると、このサイトは応じることがあり、オンライン・コンテンツのモデレーターを長年にわたり悩ませてきた、同様の主張と見分けがつかないほどの出来栄えで、それらを作文したという。

Sliver は Cobalt Strike の後継：多様な機能を搭載する C2 フレームワーク

Threat Actors Turn to Sliver as Open Source Alternative to Popular C2 Frameworks

2023/01/23 TheHackerNews — Cobalt Strike や Metasploit に代わるオープンソースのフレームワークであり、合法的な Command and Control (C2) フレームワークである Sliver が、脅威アクターたちの支持を集めていることが判明した。サイバー・セキュリティ企業である BishopFox が開発した Sliver は、Golang ベースのクロスプラットフォームなポスト・エクスプロイト・フレームワークであり、レッドチームが使用することを想定して設計されている。先週に Cybereason が実施した徹底的な分析により、この Sliver の内部構造が詳細まで明らかにされた。

ICS のサイバー・セキュリティ：2022年後半に CISA が報告した 920件の脆弱性とは？

Extent of reported CVEs overwhelms critical infrastructure asset owners

2023/01/23 HelpNetSecurity — SynSaber によると、膨大な量の ICS における脆弱性と CVE の件数が報告されることで、重要インフラ資産の所有者は圧倒され、また、どこから手をつければ良いのかと、手助けを求めることがあるようだ。SynSaber の CTO である Ron Fabela は、「毎年のように、産業用制御システムの脆弱性が大量に開示されるが、セキュリティ・コミュニティによる露出ポイントへのパッチ適用／修正が不可能であるため、しばしば不安を生み出しているま」と述べている。

CISA KEV 警告 23/01/23：Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966 を追加

CISA warns of critical ManageEngine RCE bug exploited in attacks

2023/01/23 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Zoho ManageEngine 製品群の大半に影響を及ぼすリモートコード実行 (RCE) を、野放し状態で悪用されているとして KEV カタログに追加した。この脆弱性 CVE-2022-47966 は、2022年10月27日から製品ごとにパッチが適用されている。SAML ベースのシングルサインオン (SSO) が有効である場合や、一度でも有効であった場合に、未認証の脅威アクターに悪用され、任意のコード実行にいたる恐れがある。

DDoS 攻撃によるロシア側の被害：最大手 ISP の Rostelecom が語る惨状

Russia’s largest ISP says 2022 broke all DDoS attack records

2023/01/23 BleepingComputer — ロシア最大の ISP (internet service provider) である Rostelecom によると、同国内の組織を標的とした分散型サービス拒否攻撃 (DDoS) が、2022年に最悪の記録を樹立したという。DDoS 攻撃とは、インターネットに接続された Web サイトやサービスに対して、大量のリクエストを送信することで、新しい接続を受け入れるサーバの能力を枯渇させ、サービスを応答不能にすることを目的としたサイバー攻撃である。ウクライナとロシアの紛争の両側で、それぞれのハクティビストたちが、進行中の戦争に関連する行動や報復として、重要なサービスを妨害するために DDoS 攻撃を使用している。

Samsung Galaxy Store の２つの脆弱性：2023/01 のアップデートで対応

Samsung Galaxy Store App Found Vulnerable to Sneaky App Installs and Fraud

2023/01/23 TheHackerNews — Samsung の Galaxy Store App にセキュリティ欠陥が存在し、ローカル攻撃者による任意のアプリのインストールや、Web 上の不正なランディング・ページへの誘導などが可能なことが判明した。NCC Group が発見した、脆弱性 CVE-2023-21433／CVE-2023-21434 は、2022年11月／12月の時点で Samsung に通知されている。同社は、これらのバグを Medium のリスクとして分類し、2023年1月初めに出荷された、バージョン 4.5.49.8 で対応している。

Microsoft のマルウェア対策：Excel XLL add-in の制限が 2023年3月から始まる

Microsoft plans to kill malware delivery via Excel XLL add-ins

2023/01/23 BleepingComputer — Microsoft が取り組んでいるのは、インターネットからダウンロードされた XLL アドインを、自動的にブロックする機能を追加することで、Microsoft 365 における XLL アドインを保護することである。それにより、この感染経路を悪用するマルウェア増加の傾向に、対処することが可能となる。Microsoft は、「この数カ月で増加しているマルウェア攻撃に対抗するため、インターネットからダウンロードされる XLL アドインを、ブロックするための対策を実施している」と述べている。同社によると、この新機能は 2023年3月から、Current／Monthly Enterprise／Semi-Annual Enterprise チャネルの、デスクトップ・ユーザーを対象に一般提供される予定だという。

Microsoft OneNote ファイルに要注意：新たなマルウェア配布が始まっている

Hackers now use Microsoft OneNote attachments to spread malware

2023/01/21 BleepingComputer — OneNote の添付ファイルをフィッシング・メールに使用する攻撃者たちが、被害者のマシンにリモート・アクセスに対応するマルウェアを感染させ、さらなるマルウェアのインストールや、パスワードの窃取、暗号通貨ウォレット侵害へとエスカレートさせようとしている。長年にわたり攻撃者たちは、電子メールに添付した Word／Excel ファイルに隠したマクロを起動させ、マルウェアをダウンロード／インストールするという方式で、マルウェアを配布してきた。しかし、2022年7月に Microsoft は、Office 文書に含まれるマクロをデフォルトで無効にし、マルウェアの配布に利用できないようにした。

iOS デバイスを汚染するアドウェア Vastflux：ピーク時で 120億／日のリクエスト

Massive ad-fraud op dismantled after hitting millions of iOS devices

2023/01/21 BleepingComputer — iOS を主体として展開された、Vastflux という名の大規模な広告詐欺作戦は、 120社のパブリッシャーから提供される 1,700件以上のアプリを偽装していたが、サイバー・セキュリティ企業 HUMAN の研究者たちにより阻止されたことが明らかになった。このオペレーション名は、広告配信テンプレート VAST と、単一のドメインに関連する大量の IP アドレスや DNS レコードを迅速に変更することで、悪意のあるコードを隠す回避手法 fast flux に由来しているという。HUMAN のレポートによると、ピーク時の Vastflux では 120億以上／日の入札リクエストが生成され、約 1100万台のデバイス (大半が iOS エコシステム) に影響を与えたとされている。

製造業の 76% に未パッチの深刻な脆弱性：マルウェア感染は 40% 以上

Critical Manufacturing Sector in the Bull’s-eye

2023/01/21 DarkReading — 製造業の４社に３社以上が、未パッチの深刻度の高い脆弱性をシステム内に抱えていることが、この分野に関する調査で明らかになった。SecurityScorecard による最新のテレメトリ測定では、これらの組織における深刻な脆弱性は、前年比で増加していることが示されている。同社の共同設立者／CEO である Aleksandr Yampolskiy は、「2022年において、我々のプラットフォーム上の製造業の IP アドレスから調べたところ、約 76% 組織でパッチが適用されていない CVE を発見された」と述べている。