AuthN AuthZ – Page 9 – IoT OT Security News

Smishing Triad というスミッシング・キャンペーン：米国市民を標的に展開されている

Resecurity has identified a large-scale smishing campaign, tracked as Smishing Triad, targeting the US Citizens

2023/09/04 SecurityAffairs — これまでの郵便事業に対するサイバー攻撃の事例では、英国／ポーランド／スウェーデン／イタリア／インドネシア／日本などの国々で被害が発生している。この犯罪グループは Royal Mail／New Zealand Postal Service (NZPOST)／Correos (Spain)／Postnord／Poste Italiane／Italian Revenue Service (Agenzia delle Entrate) になりすましていた。また、以前においても、Fedex や UPS を狙うという同様の詐欺が確認されている。

Microsoft Windows の TLS 1.0／1.1 プロトコルがまもなく無効化に

Microsoft reminds users Windows will disable insecure TLS soon

2023/09/03 BleepingComputer — セキュアではない Transport Layer Security (TLS) 1.0／1.1 プロトコルが、今後の Windows リリースのおいて間もなく無効になることを、Microsoft はユーザーに再告知した。TLS 通信プロトコルは、クライアント／サーバ・アプリケーションを通じて、インターネットにアクセスする際や、そこで情報を交換する際に、盗聴／改竄／メッセージ偽造からユーザを守るために作られたものである。オリジナルの TLS 1.0 仕様は 1999 年に、その後継である TLS 1.1 は 2006 年に発表されており、すでに 20年近く使用されている。

Chrome エクステンションによる平文パスワードの窃取：大量の Web サイトが脆弱な状態

Chrome extensions can steal plaintext passwords from websites

2023/09/02 BleepingComputer — Chrome Web Store にアップロードされた PoC エクステンションは、Web サイトのソースコードから平文のパスワードを盗むためのものであり、ウィスコンシン大学マディソン校の研究チームが作成したものである。Web ブラウザのテキスト入力フィールドを調査した結果として、Chrome エクステンションを支える粗視化 (coarse-grained) 許可モデルが、最小特権と完全仲介の原則に違反していることが明らかになったという。さらに研究者たちは、Google や Cloudflare のポータルなど含む多数の Web サイトにおいて、数百万人のビジターたちが、Web ページの HTML ソースコード内にパスワードを平文で保存していることを発見した。そして、それらの情報の不正な取得が、悪意のエクステンションを介して可能なことが判明した。

Okta ユーザーを欺くソーシャル・エンジニアリング：Super Admin アカウントが狙われている

Social Engineering Attacks Target Okta Customers To Achieve A Highly Privileged Role

2023/09/02 SecurityAffairs — Okta が顧客に発している警告は、この数週間で観察されている、管理者権限への昇格を目的としたソーシャル・エンジニアリング攻撃に関するものだ。この攻撃は、IT サービス・デスクのスタッフを騙して、高度な権限を持つユーザーが登録した、すべての多要素認証 (MFA) 要素をリセットするよう促すものである。なお、現時点において同社は、この攻撃を実施した脅威アクターを特定していない。Okta の顧客組織 (テナント) において、高度な特権ロールを獲得した脅威アクターは、横方向への移動を行い、また、防御回避の斬新な手法を採用している。

Microsoft SQL がターゲット：FreeWorld ランサムウェアを展開する脅威アクターたち

Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware

2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア／RAT ペイロード／クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。

VMware の SSH 認証バイパスの脆弱性 CVE-2023-34039：PoC エクスプロイトが登場

Exploit released for critical VMware SSH auth bypass vulnerability

2023/09/01 BleepingComputer — VMware の Aria Operations for Networks 分析ツール (旧 vRealize Network Insight) に存在する SSH 認証バイパスの脆弱性について、PoC エクスプロイト・コードが公開された。この脆弱性 CVE-2023-34039 は、ProjectDiscovery Research のセキュリティ・アナリストにより発見され、その報告を受けた VMware は、8月30日 (水) にリリースしたバージョン 6.11 でパッチを適用した。

SapphireStealer という .NET 情報スティーラー：スパイ／ランサムウェア活動の入口に

SapphireStealer Malware: A Gateway to Espionage and Ransomware Operations

2023/08/31 TheHackerNews — .NET ベースのオープンソース情報窃取マルウェア SapphireStealer だが、その機能が強化されたことで、複数のエンティティにより悪用され、独自の亜種を生み出している。Cisco Talos の研究者である Edmund Brumaghin は、「SapphireStealer のような情報窃取マルウェアは、企業における認証情報などの機密情報を取得するために使用される可能性がある。また、そのアクセスが他の攻撃者に転売され、スパイ行為や恐喝型ランサムウェアなどが行われることも多々ある」と、The Hacker News に語っている。

Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避

Hackers Can Exploit Windows Container Isolation Framework to Bypass Endpoint Security

3023/08/30 TheHackerNews — マルウェア検出回避テクニックを活用する脅威アクターたちが、Windows Container Isolation Framework を操作することで、エンドポイント・セキュリティ・ソリューションを回避できる可能性が、新たな調査により判明した。この調査結果は、Deep Instinct のセキュリティ研究者である Daniel Avinoam が、８月の初めに開催された DEF CON セキュリティ・カンファレンスで発表したものだ。Microsoft のコンテナ・アーキテクチャ (Windows Sandbox) は、動的に生成されるイメージと呼ばれるものを用いて、それぞれのコンテナとホストの間でファイル・システムを分離し、また、システム・ファイルの重複を回避するものだ。

Akira ランサムウェア：Cisco ASA の SSL VPN へのブルートフォース攻撃を展開

Hacking campaign bruteforces Cisco VPNs to breach networks

2023/08/30 BleepingComputer — Cisco Adaptive Security Appliance (ASA) の SSL VPN を標的とし、多要素認証 (MFA) 未実施などのセキュリティ防御の不備を利用した、クレデンシャル・スタッフィング攻撃やブルートフォース攻撃が、ハッカーたちにより行われている。先週に BleepingComputer は、Akira ランサムウェア・ギャングがイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破していることを報告した。

日本の NISC におけるデータ侵害：2022年の秋から侵入されていた？

Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) has been infiltrated for months

2023/08/29 SecurityAffairs — 日本の National Center of Incident Readiness and Strategy for Cybersecurity (NISC) に、脅威アクターが９カ月も侵入していたことが判明した。Financial Time が報じたところによると、この中国につながるハッカーにより、機密データがアクセスした可能性があるという。

Phishing-as-a-Service の進化が止まらない：Microsoft が AiTM 攻撃を警告

Phishing-as-a-Service Gets Smarter: Microsoft Sounds Alarm on AiTM Attacks

2023/08/29 TheHackerNews — Phishing-as-a-Service (PhaaS) サイバー犯罪モデルの一部として、Adversary-in-The-Middle 攻撃が広まっていると、Microsoft が警告している。AiTM に対応した PhaaS プラットフォームの増加に加えて、PerSwaysion のような既存のフィッシング・サービスも、この AiTM 機能を組み込んでいると、同社は指摘している。Microsoft Threat Intelligence チームは、「この、PhaaS エコシステムにおける進化により、MFA 保護の回避を試みるフィッシング・キャンペーンを、攻撃者は大規模に展開できるようになる」と X (Twitter) への投稿で述べている。

Microsoft Entra ID (Azure AD) で権限を昇格させる方法：専門家たちが手口を解明

Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege

2023/08/28 TheHackerNews — Microsoft Entra ID (旧 Azure Active Directory) アプリケーションに関連する問題として、放棄された返信 URL の悪用により特権昇格が生じるケースがあることを、サイバー・セキュリティ研究者たちが発見した。Secureworks の CTU (Counter Threat Unit) は、「この放棄された URL の悪用に成功した攻撃者は、認証コードを自分自身にリダイレクトし、不正に入手した認証コードをアクセストークンと交換できる。その後に攻撃者は、中間層のサービスを介して Power Platform API を呼び出し、昇格した権限を取得する」と、先週に発表したテクニカル・レポートの中で述べている。

Kroll でデータ侵害が発生：社員が SIM スワッピング攻撃のターゲットに

Kroll Suffers Data Breach: Employee Falls Victim to SIM Swapping Attack

2023/08/26 TheHackerNews — Risk and Financial のアドバイザリー・ソリューションを提供する Kroll だが、8月25日 (金) に明らかにしたのは、同社の従業員の一人が高度に洗練された SIM スワッピング攻撃の被害に遭ったことである。このインシデントは、2023年8月19日に発生し、従業員の T-Mobile アカウントが標的にされたという。

Web ブラウザ・エクステンションの問題：その半数以上が高リスクであるという調査結果

More Than Half of Browser Extensions Pose Security Risks

2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。

Openfire Server への攻撃：約 3,000 台の未パッチ・サーバが標的になっている

3,000 Openfire Servers Exposed to Attacks Targeting Recent Vulnerability

2023/08/23 SecurityWeek — Openfire の脆弱性 CVE-2023-32315 に対するパッチが適用されていない、3,000台以上のサーバに対する新たな悪用方法により、その多くが攻撃にさらされていることが、VulnCheck の報告で明らかになった。Ignite Realtime が管理する Openfire は、XMPP プロトコルを使用し、Javaで書かれた、クロスプラットフォームのリアルタイム・コラボレーション・サーバであり、Web インターフェイスによる管理をサポートしている。

Akira ランサムウェア：Cisco VPN 製品を標的として組織に侵入している

Akira ransomware targets Cisco VPNs to breach organizations

2023/08/22 BleepingComputer — Akira ランサムウェアが、Cisco VPN 製品を攻撃ベクターとして企業ネットワークに侵入し、データ窃取を行った後に暗号化するという証拠が増えている。Akira ランサムウェアは、2023年3月以降に検出された新しいランサムウェアであり、その後に、VMware ESXi 仮想マシンを標的とする Linux 暗号化ツールも開発している。

Ivanti Sentry の深刻な脆弱性 CVE-2023-38035 が FIX：Apache HTTPD 認証がカギ

Ivanti warns of new actively exploited MobileIron zero-day bug

2023/08/21 BleepingComputer — 8月21日に、米国の IT ソフトウェア会社 Ivanti は、Sentry API 認証バイパスの脆弱性が悪用されているとして、顧客へ向けて警告を発した。 Ivanti Sentry (旧 MobileIron Sentry) は、Microsoft Exchange Server のようなエンタープライズ ActiveSync サーバや、Sharepoint サーバのようなバックエンド・リソースのゲートキーパーとして機能するものであり、Kerberos Key Distribution Center Proxy (KKDCP) サーバとしても機能する。

Bronze Starlight という中国の APT：Ivancy VPN の証明書をマルウェアの署名に悪用

Hackers use VPN provider’s code certificate to sign malware

2023/08/19 BleepingComputer — Bronze Starlight として知られる中国系の APT (Advanced Persistent Threat) グループが、Ivacy VPN プロバイダーの有効な証明書で署名したマルウェアを用いて、東南アジアのギャンブル業界をターゲットにしていることが確認された。有効な証明書を悪用することの主なメリットは、セキュリティ対策やシステム・アラートによる検知を回避し、正規のソフトウェアやトラフィックに紛れ込める点にある。このキャンペーンを分析した SentinelLabs は、その証明書について、Ivacy VPN のシンガポールのベンダーである PMG PTE LTD のものだと見ている。

世界中の Zimbra メール・サーバに危機：フィッシング・キャンペーンが成功を収めている

Phishing campaign steals accounts for Zimbra email servers worlwide

2023/08/17 BleepingComputer — 世界中の Zimbra Collaboration メール・サーバから、認証情報を盗み出そうとするフィッシング・キャンペーンが、遅くとも 2023年4月以降から進行している。ESET のレポートによると、一連のフィッシング・メールは、世界中の組織に対して送信されており、特定の組織や分野に焦点を当てたものではないという。このオペレーションの背後にいる脅威アクターについては、現時点では不明だとされる。

AnonFiles が閉鎖：無料ファイル共有サービスを追い込んだ大量の不正利用とは？

AnonFiles Shuts Down After Massive User Abuse

2023/08/17 InfoSecurity −−− セキュリティ研究者たちに利用される一方で、攻撃者の人気も集めてしまった、匿名ファイル共有サービス AnonFiles が、膨大な数のユーザーに乱用していることを理由に閉鎖を決定した。 AnonFiles は、２年間にわたる運用の実績を持ち、オンラインで追跡されることを恐れる人々が、安心してファイルを共有できる環境を提供してきた。しかし、その一方では、悪意のハッカーたちが盗み出した、ログイン情報や個人識別情報 (PII) などのデータを共有するための環境にもなっていた。

LinkedIn ユーザーは御用心：大規模なアカウント・ハイジャック・キャンペーンが発生

LinkedIn users targeted in account hijacking campaign

2023/08/16 HelpNetSecurity — 複数の LinkedIn ユーザーが、アカウント乗っ取りキャンペーンの標的にされ、アカウントからロックアウトされている。最近になって Cyberint の調査チームが気づいたことは、LinkedIn アカウントの乗っ取りについて、各種の SNS 上の会話が大幅に増加していることだった。Google Trends によると、”LinkedIn account hacked 2023″ や “LinkedIn account recovery appeal “といった検索クエリが爆発的に増加しており、5000% 以上の伸びを示しているという。

米国政府によるクラウド攻撃の分析：Microsoft ハッキングを受けて活動を開始

US Cyber Safety Board to Review Cloud Attacks

2023/08/14 SecurityWeek — 8月11日 (金) に米国政府は、DHS (Homeland Security) のサイバー安全審査委員会 (CSRB：Cyber Safety Review Board) が、クラウド環境を標的とした悪意の攻撃に関する審査を実施すると発表した。このイニシアティブは、政府／産業界／CSP (Cloud Service Provider) に対して、クラウドにおける ID 管理と認証を改善するための、提言を行うことに重点を置くという。

ハッキング・フォーラムの認証情報 10万件が流出：インフォ・スティーラーが活躍する別の世界

Over 100K hacking forums accounts exposed by info-stealing malware

2023/08/14 BleepingComputer — 研究者たちが発見した 120,000 の感染したシステムには、サイバー犯罪フォーラムにおける認証情報が含めているという。研究者たちによると、これらのコンピュータの多くはハッカーのものだという。データを分析したところ、ハッキング・フォーラムへのログインに使用されるパスワードは、政府組織で用いられている一般的な Web サイトのパスワードよりも強力であることが判明した。

Exchange をハッキングする中国の Storm-0558：米政府と Microsoft が共同で分析

US cyber safety board to analyze Microsoft Exchange hack of govt emails

2023/08/11 BleepingComputer — 米国土安全保障省の CSRB (Cyber Safety Review Board) は、米政府機関で使用される Microsoft Exchange アカウントが、最近になって中国からハッキングされていることを受け、クラウド・セキュリティの実践について詳細な審査を実施することを発表した。CSRB は官民が協力する機関であり、重大な事象に対する理解を深め、根本的な原因を見極め、サイバー・セキュリティに関する情報に基づく提言を行うための、詳細な調査の実施を目的として設立された。

EvilProxy という PhaaS：大規模なクラウド・アカウント乗っ取りに利用されている

EvilProxy used in massive cloud account takeover scheme

2023/08/09 SecurityAffairs — Microsoft 365 アカウントの窃取を狙う EvilProxy が、100以上の組織へ向けて 12万通のフィッシング・メールを送信していることが確認された。それにより、クラウド・アカウントの侵害が、過去５ヶ月間に急増していることを、Proofpoint が発見した。攻撃の大半は、高位の幹部を標的としていた。研究者たちは、このキャンペーンは全世界の 100以上の組織／150万人の従業員を対象としていると推定している。被害者の約 39% はＣレベルのエグゼクティブであり、そのうち 17% は最高財務責任者 (CFO) であり、9% は最高経営責任者 (CEO) だったという。

Spring WebFlux の深刻な脆弱性 CVE-2023-34034 が FIX：PoC エクスプロイトも登場

High-Severity Access Control Vulnerability Found in Spring WebFlux

2023/08/09 InfoSecurity — Spring Security の最新バージョンに、新たな脆弱性 CVE-2023-34034 (CVSS：9.8) が見つかった。Spring Security は Java ベースの Spring フレームワークの不可欠なパートであり、強固な認証とアクセス制御に対応している。その幅広いユーザー・ベースにより、このセキュリティ上の脆弱性が悪用されると、壊滅的な結果につながる可能性が生じる。

Microsoft VS Code に脆弱性：悪意のエクステンションに認証トークン窃取の構造的な欠陥？

Malicious extensions can abuse VS Code flaw to steal auth tokens

2023/08/08 BleepingComputer — Microsoft のコード・エディターおよび開発環境である、VS Code (Visual Studio Code) に脆弱性により、Windows／Linux／macOS のクレデンシャル・マネージャーに保存されている認証トークンの取得を、悪意のエクステンションに許す可能性があることが発見された。これらのトークンは、Git／GitHub などのコーディング・プラットフォームや、各種のサードパーティ・サービスおよび API との統合に使用されるものだ。そのため、これらのトークンの窃取により、組織のデータ・セキュリティに深刻な影響が生じ、不正なシステム・アクセスやデータ侵害などにいたる可能性があるという。

Microsoft Active Directory への攻撃経路：セキュリティ向上のために知っておくべきことは？

Understanding Active Directory Attack Paths to Improve Security

2023/08/08 TheHackerNews — 1999年に導入された Microsoft AD (Active Directory) は、Windows ネットワークにおけるデフォルトの ID／アクセス管理サービスであり、全てのネットワーク・エンドポイントに対するセキュリティ・ポリシーの割当／実施を担っている。それによりユーザーは、ネットワーク上の様々なリソースにアクセスできるようになる。そして数年前に Microsoft は、AD のパラダイムを拡張するクラウドベースの Azure Active Directory を発表し、クラウドとオンプレミスの両方に IDaaS (Identity-as-a-Service) ソリューションを提供した。2023年7月11日付で、このサービスは Microsoft Entra ID に名称変更されたが、分かりやすくするために、この記事では Azure AD と呼ぶことにする。

VPN 依存というリスキーなギャンブル：ネットワークへのアクセス権は危険

VPNs remain a risky gamble for remote access

2023/08/04 HelpNetSecurity — Zscaler の最新レポートによると、VPN がもたらすリスクとネットワーク・セキュリティについて、ユーザー組織は深い懸念を表明している。このレポートが強調するのは、VPN の脆弱性を悪用する脅威の高まりを受けて、組織におけるセキュリティ態勢の再評価を進め、また、ゼロトラスト・アーキテクチャへと移行すべきだという点だ。

LOLBAS という難題：Microsoft Office がステルス性マルウェア・ローダーになり得る

Hackers can abuse Microsoft Office executables to download malware

2023/08/03 BleepingComputer — LOLBAS ファイル (Windows に存在し、悪用される可能性のある正規のバイナリやスクリプト) のリストには、Microsoft の電子メール・クライアント Outlook や、データベース管理システム Access の主要な実行ファイルが、まもなく含まれることになる。Microsoft Publisher アプリケーションのメイン実行ファイルに関しては、リモート・サーバからペイロードをダウンロードできることが、すでに確認されている。なお、LOLBAS とは、Living-off-the-Land Binaries and Scripts の略であり、Windows OS でネイティブのもの、また、Microsoft からダウンロードされた、署名付きファイルのことを指す。

Hot Topic 小売チェーンで情報漏洩：５ヶ月も続いたクレデンシャル・スタッフィング攻撃

Retail chain Hot Topic discloses wave of credential-stuffing attacks

2023/08/01 BleepingComputer — 米国のアパレル販売店である Hot Topic は、2023年2月7日〜6月21日にかけて複数のサイバー攻撃を受け、機密情報の漏洩が報じたと顧客に通知している。SimilarWeb のデータによると、Hot Topic は、カウンター・カルチャーの衣料品／アクセサリー／ライセンス音楽などを扱う小売チェーンであり、全米に 675店舗を展開している。

Canon インクジェット・プリンターの問題：初期化しても Wi-Fi 接続設定が消去されない

Canon warns of Wi-Fi security risks when discarding inkjet printers

2023/07/31 BleepingComputer — Canon の SOHO インクジェット・プリンターの初期化時に、デバイスのメモリに保存された Wi-Fi 接続設定が消去されず、データへの不正アクセスを許す脆弱性が存在すると警告されている。この脆弱性の悪用が、修理技術者／一時的なユーザー／デバイスの将来の購入者により行われると、プリンタ・メモリが抜き取られて Wi-FI ネットワークの接続情報を取得され、影響を受けるユーザーにリスクをもたらされる可能性がある。

AVRecon ボットネットの標的は SOHO ルーター：不正なプロキシを増殖してサーバー犯罪を支援

AVRecon Botnet Leveraging Compromised Routers to Fuel Illegal Proxy Service

2023/07/31 TheHackerNews — AVReconと呼ばれるボットネットの詳細が明らかになった。このボットネットは、遅くとも 2021年5月以降における、複数年にわたるキャンペーンの一環として、侵害した SOHO ルーターを悪用していることが確認されている。７月の初めに AVRecon は、Lumen Black Lotus Labsにより公開されたマルウェアであり、追加コマンドを実行し、被害者の帯域幅を盗み、他の脅威アクターが利用できるようするという、違法なプロキシ・サービスだと思われる。また、その規模は QakBot を上回り、世界20カ国に存在する 41,000台を超えるノードに侵入していという。

MikroTik RouterOS の深刻な脆弱性 CVE-2023-30799：50万台以上にハッキングの可能性

Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million Devices to Hacking

2023/07/26 TheHackerNews — MikroTik RouterOS に深刻な権限昇格の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者が、リモートで任意のコードを実行し、脆弱なデバイスを完全に制御する可能性がある。VulnCheck は 7月25日のレポートで、この脆弱性 CVE-2023-30799 (CVSS：9.1) により、合計で約 140万台の RouterOS システムが、Web／Winbox インターフェイスを介して悪用の危険にさらされると明らかにした。

VMware の深刻な脆弱性が FIX：Cloud Foundry API 管理者クレデンシャルへのアクセス

VMware fixes bug exposing CF API admin credentials in audit logs

2023/07/25 BleepingComputer — VMware の Tanzu Application Service for VMs (TAS for VMs) および Isolation Segment に存在する、情報漏えいの脆弱性が修正された。TAS for VMは、オンプレミス／パブリック／プライベート・クラウド (vSphere／AWS／Azure／GCP／OpenStack など) にまたがるアプリケーションを、ユーザー企業がデプロイする際の自動化を促進するものだ。この脆弱性 CVE-2023-20891 は、7月25日に Vmware が対処したものであり、パッチを適用していないシステムにおいて、Cloud Foundry API の管理者認証情報に対して、低権限のリモート攻撃者によるアクセスを許すものとなっている。

Microsoft プラットフォームを攻撃する Azure AD 偽造トークン： Outlook 以外にも拡大している

Azure AD Token Forging Technique in Microsoft Attack Extends Beyond Outlook, Wiz Reports

2023/07/21 TheHackerNews — Microsoft のＥメールインフラに対する、中国の APT である Storm-0558 の攻撃だが、これまで考えられていたよりも、広範囲に及んでいることが、最近になって分かってきた。この攻撃の対象となっているのは、OneDrive／SharePoint／Teams などの個人アカウント認証をサポートする全てのアプリケーション、および、”Login with Microsoft functionality” をサポートするユーザー・アプリケーション、そして、特定の条件下でのマルチテナント・アプリケーションなどである。

Lazarus が開発者を狙っている：悪意の GitHub プロジェクトに御用心

GitHub warns of Lazarus hackers targeting devs with malicious projects

2023/07/20 BleepingComputer — GitHub が警告しているソーシャル・エンジニアリング・キャンペーンは、ブロックチェーン／暗号通貨／オンライン・ギャンブル／サイバー・セキュリティなどの分野の、開発者のアカウントを標的とし、彼らのデバイスにマルウェアに感染させるものだ。このキャンペーンは、北朝鮮国家支援のハッキング・グループ Lazarus と関連づけられている。Microsoft が Jade Sleet と呼び、CISA が TraderTraitor と呼ぶ、この脅威アクターの手口を詳述したレポートは、2022年に米国政府から発表されている。このハッキング・グループは、暗号通貨企業やサイバー・セキュリティ研究者たちを標的とした、サイバースパイ活動や暗号通貨の窃取を行ってきた。

Web 会議ツール Apache OpenMeetings の深刻な脆弱性 CVE-2023-29032 など

Apache OpenMeetings Web Conferencing Tool Exposed to Critical Vulnerabilities

2023/07/20 TheHackerNews — Web 会議ソリューションである Apache OpenMeetings に、複数のセキュリティ上の脆弱性が存在することが明らかになった。その悪用に成功した攻撃者により、管理者アカウントの制御を奪取され、サーバ上で悪意のコードを実行される可能性があるという。Sonar の Vulnerability Researcher である Stefan Schiller は、「攻撃者は、アプリケーションを想定外の状態に追い込み、管理者アカウントなどの、各種のユーザー・アカウントを乗っ取ることができる」と、The Hacker News と共有したレポートの中で述べている。

P2PInfect という新種のワーム：Redis サーバの脆弱性 CVE-2022-0543 が狙われている

New P2PInfect worm malware targets Linux and Windows Redis servers

2023/07/23 BleepingComputer — 7月11日にセキュリティ研究者たちは、インターネットに公開された Windows／Linux 上で動作する Redis インスタンスを標的とする、自己拡散機能を備えた新しい P2P マルウェアを発見した。Lua サンドボックス・エスケープの脆弱性 CVE-2022-0543 が放置されている Redis サーバに、この Rust ベースのワーム (P2PInfect と命名) が侵入することも、Unit 42 の研究者たちは発見した。この２週間において、インターネットに公開された 307,000 台以上の Redis サーバが発見されているが、P2PInfect の攻撃に対して潜在的に脆弱なのは 934 インスタンスに過ぎないと、研究者たちは述べている。

RDP は便利だが RCE が怖い：脅威アクターたちが一点突破を狙う脆弱性とは？

A Few More Reasons Why RDP is Insecure (Surprise!)

2023/07/20 TheHackerNews — Remote Desktop Protocol (RDP) が、ずっと昔から存在しているように見えるとしたら、わずか数年の間に栄枯盛衰を繰り返す多くのテクノロジーに比べて、それはそうだと納得できる。RDP 4.0 として知られる初期バージョンは、1996年に Windows NT 4.0 Terminal Server エディションの一部としてリリースされた。それにより、ネットワーク接続を介するユーザーが、Windows ベースのコンピューターにリモート・アクセスし、操作できるようになった。その後の数十年の間に、 RDP は Windows ベースのシステムにおける、リモート・アクセスや管理で広範に利用されるプロトコルとなった。RDP が果たす役割により、リモートワーク／IT サポート／システム管理などが実現されてきた。そして、さまざまなリモート・デスクトップや VDI (Virtual Desktop Infrastructure) ソリューションの基盤となっている。

Microsoft がクラウド・ロギング機能を拡張：中国政府に支援される Storm-0558 攻撃への対応

Microsoft Expands Cloud Logging to Counter Rising Nation-State Cyber Threats

2023/07/20 TheHackerNews — 7月19日 (水) に Microsoft が発表したのは、同社の電子メール・インフラを狙う最近のスパイ攻撃キャンペーンを受けて、ユーザー組織におけるサイバー・セキュリティ・インシデントの、調査を促進して可視化を高めるための、クラウド・ロギング機能を拡張するというものだ。同社は、国家に支援されるサイバー犯罪が進化し、また、攻撃の頻度が増加していることにダイレクトに対応するために、この変更を行うと述べている。この変更は、2023年9月から。すべての政府機関および民間企業の顧客に展開される予定だ。

エンタープライズ・セキュリティにおけるマクロ・シフトを探る – Scale 調査

Exploring the macro shifts in enterprise security

2023/07/20 HelpNetSecurity — Scale の 2023 Cybersecurity Perspectives Survey によると、ランサムウェア攻撃とデータ侵害の成功件数は昨年１年間で 30％減少したが、ユーザー組織から報告されたセキュリティ・インシデントの種類は増加した。実際のところ、71％の組織が３種類以上のセキュリティ・インシデントを経験しており、前年比で 51％増となっている。特にクラウドの状況が急速に進化し、人手不足が続いている中で、ネットワークを保護するための困難な戦いに、セキュリティ・チームは直面し続けている。

JumpCloud で APT データ侵害：顧客データの漏洩により深刻化している

JumpCloud Confirms Data Breach By Nation-State Actor

2023/07/18 InfoSecurity — ID およびアクセス管理のソリューション・プロバイダーである JumpCloud は、国家を標的とする脅威アクターによる、セキュリティ侵害の標的になったことを、2023年7月12日に明らかにした。この侵害は 6月27日に、社内のオーケストレーション・システムで異常なアクティビティが検出されたことで明らかになった。このインシデントは、6月22日に脅威アクターが開始したスピア・フィッシング・キャンペーンにより、JumpCloud インフラの特定のセクションに不正アクセスは発生したというものだ。

VirusTotal からリークした個人情報：米国とドイツの諜報機関などの職員 5,600 人が被害

VirusTotal leaked data of 5,600 registered users

2023/07/18 HelpNetSecurity — VirusTotal がデータ流出に見舞われ、登録ユーザー 5,600人の氏名と電子メール・アドレスが流出した。この流出したデータには、米国とドイツの諜報機関などの職員に関する情報も含まれていると報じられている。Google 傘下の VirusTotal は、疑わしいファイルや URL を分析する人気のオンライン・サービスであり、ウイルス対策エンジンや Web サイト・スキャナーを通じて、マルウェアや悪意のあるコンテンツを検出している。

Google Cloud Build の深刻な脆弱性：MOVEit 悪用のような問題を生じる恐れ

Google Cloud Build bug lets hackers launch supply chain attacks

2023/07/18 BleepingComputer — クラウド・セキュリティ企業 Orca Security が発見した、Google Cloud Build サービスの重大な設計上の欠陥は、攻撃者を特権へとエスカレートさせ、Google Artifact Registry コード・リポジトリへの、ほぼ完全なアクセスを提供する可能性があるというものだ。この Bad.Build と名付けられた欠陥を悪用する脅威アクターたちは、Google Cloud Build の CI/CD (continuous integration and delivery) サービスのアカウントになりすまし、アーティファクト・レジストリに対して API コールを実行し、アプリケーション・イメージを制御することが可能になる。たとえば、悪意のコードの注入や、脆弱なアプリの作成などを行った後に、顧客の環境内に悪意のあるアプリをデプロイした攻撃者が、サプライチェーン攻撃を仕掛ける可能性が生じてくる。

Azure AD 署名キーが盗まれた方法：依然として不明だと Microsoft が公表

Microsoft still unsure how hackers stole Azure AD signing key

2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。

暗号化されたクラウド・データは 45% に過ぎない：ハッカーの標的は SaaS／Storage に集中

Only 45% of cloud data is currently encrypted

2023/07/13 HelpNetSecurity — Thales によると、2022年にクラウド環境でデータ漏洩を経験した企業は 39％であり、前年に報告された 35％を上回っている。さらに、調査対象の 55％がクラウド・データ漏洩の主な原因として、人為的ミスを挙げている。その一方で、クラウドに保存される機密データのレベルが、劇的に高まっていることを多くの企業が報告している。クラウドに保存されているデータの40％以上が、機密データに分類されると、75％の企業が回答した。ハッカーの主な標的として挙げられるのは、38％の SaaS (Software as a Service) と、36％がクラウド・ストレージである。

GitHub がパスワードレス認証を導入：Passkeys のベータ版が公開されている

GitHub goes passwordless, announces passkeys beta preview

2023/07/12 BleepingComputer — 7月12日に GitHub は、パブリック・ベータ版でパスワードレス認証のサポートを導入し、ユーザーがセキュリティ・キーから Passkeys にアップグレードできるようにしたと発表した。この Passkeys は、コンピュータ／タブレット／スマートフォンなどの個々のデバイスに紐づけられ、クレデンシャルの盗難や漏えいの試みを防止する。それによりフィッシング攻撃からユーザーを保護し、データ侵害の可能性を最小限に抑える上で、重要な役割を果たす。

Microsoft Account コンシューマ署名キーの悪用：中国由来のハッカーが米政府の Eメールを侵害

Chinese hackers forged authentication tokens to breach government emails

2023/07/11 HelpNetSecurity — Microsoft Account (MSA) のコンシューマ署名キーを取得した高度なハッカーが、偽造した認証トークンを介して、政府の組織や機関の電子メール・アカウントにアクセスしていたことが、Microsoft により公表された。このインシデントに関連付けられる脅威アクターは、Microsoft が Storm-0558 と呼ぶ、中国を拠点とする敵対者である。この脅威アクターは、情報収集のために電子メール・システムにアクセスする、スパイ行為に重点を置いているとされる。

Barracuda Email Gateway Defense に問題：アカウントにサインインできない

Barracuda working on fix for ongoing Email Gateway login issues

2023/07/07 BleepingComputer — メール／ネットワークのセキュリティ企業である Barracuda は、無効なログイン・エラーが発生し、Email Gateway Defense アカウントにサインインできないという問題に対して、継続して修正に取り組んでいる。The link to login is invalid (ログインへのリンクが無効) エラーが表示される、サインイン問題の根本的な原因は特定されているという。同社によると、この既知の問題は、現在の予測スケジュールに従って、来週の金曜日までに対処される予定である。