CyberAttack – Page 27 – IoT OT Security News

Xerox 子会社 XBS のデータ侵害：一部の顧客の個人情報が流出していた

Xerox says subsidiary XBS U.S. breached after ransomware gang leaks data

2024/01/02 BleepingComputer — Xerox Business Solutions (XBS) の米国部門がハッカーに侵害され、一定数の個人情報が流出した可能性があることが、親会社である Xerox Corporation の声明で明らかになった。XBS はドキュメント・テクノロジーとサービスを専門としており、プリンター／複写機／デジタル印刷システムや、関連するコンサルティングやサプライ・サービスなど、さまざまな商品を提供している。

iOS のゼロデイ脆弱性 CVE-2023-32434：PoC エクスプロイトが登場

CVE-2023-32434 Exploited: PoC Unlocks Full Command of iOS Devices

2024/01/02 SecurityOnline — iOS のゼロデイ脆弱性 CVE-2023-32434 の、PoC (Proof-of-Concept) エクスプロイトが公開された。Apple は、2023年6月に iOS 16.5.1／iPadOS 16.5.1 をリリースして、すでに２つのゼロデイ脆弱性に対処している。それらの脆弱性 CVE-2023-32434 (Kernel における整数オーバーフローの脆弱性)／CVE-2023-32439 (WebKit におけるメモリ破損の脆弱性) は、アプリケーションがカーネル特権を用いて、任意のコードを実行する可能性があるという、厳しい現実を突きつけるものだ。これは単なる専門的な表現ではなく、攻撃者がシステムのコアに深く侵入して、デバイスを完全に制御するという、顕著な兆候を示している。

DLL ハイジャックに WinSxS 悪用の新たな手法：Windows 10／11 保護をバイパス

New Variant of DLL Search Order Hijacking Bypasses Windows 10 and 11 Protections

2024/01/01 TheHackerNews — DLL (Dynamic Link Library) の検索順序をハイジャックする、新しい亜種に関する情報が、セキュリティ研究者たちにより公開された。この手口を悪用する脅威アクターたちは、Microsoft Windows 10／11 を実行するシステム上でセキュリティをバイパスし、コード実行を可能にする。サイバーセキュリティ企業 Security Joes は、「信頼できる WinSxS フォルダに一般的に取り込まれる実行可能ファイルを、古典的な DLL 検索順序のハイジャック手法で悪用する」と、The Hacker News に共有した最新レポートで説明している。

OpenOffice／LibreOffice の４つの脆弱性が FIX：PoC エクスプロイトも提供

Patch Up Your OpenOffice: Four Vulnerabilities You Don’t Want to Ignore

2023/12/31 SecurityOnline — オープンソースの Office Suite の領域において、Apache OpenOffice は、ワードプロセッシングからデータベース管理にいたるまで、その包括的な機能が高く評価され、不動の地位を築いている。数多くの言語による利用が可能であり、さまざまなコンピューター・システムとの互換性を持つ万能スイートは、長い間において、信頼性と効率性で信頼を得てきた。しかし、脆弱性と言うものは、最強のソフトウェアにも脆弱性は存在するもの、Apache OpenOffice も例外ではない。

暗号資産を狙う Scam-as-a-Service：20%〜30% の手数料で悪意のサービスを提供

Beware: Scam-as-a-Service Aiding Cybercriminals in Crypto Wallet-Draining Attacks

2023/12/30 TheHackerNews — 暗号通貨ウォレットを流出させるフィッシング攻撃の増加について、サイバー・セキュリティ研究者たちが警告している。Check Point の研究者である Oded Vanunu／Dikla Barda／Roman Zaikin は、「これらの脅威は、Ethereum から Binance Smart Chain／Polygon／Avalanche などにいたる 20種類の幅広い blockchain ネットワークを標的としており、暗号通貨のウォレットを抜き取る手口が特徴的だ」と述べている。

Meduza Stealer の新バージョン：106種類のブラウザと 107 種類の暗号通貨ウォレットに対応

New Version Of Meduza Stealer Released In Dark Web

023/12/29 SecurityAffairs — クリスマス・イブの夜に Resecurity の HUNTER 部隊は、透視型パスワード・スティーラーである Meduza の作者が、新バージョン 2.2 をリリースしたことを発見した。重要かつ主要な変更点には、より多くのソフトウェア・クライアント (ブラウザ／ウォレット・ベース) のサポートに加えて、アップグレードされたクレジットカード (CC) グラバーがある。そして、各種プラットフォーム上でパスワード・ストレージ・ダンプし、認証情報とトークンを抽出するための高度なメカニズムである。これら機能を総合する Meduza は、サイバー犯罪者による ATO (account takeover)／オンライン・バンキング情報窃取／金融詐欺において、Azorult／Redline／Racoon／Vidar Stealer の強力なライバルになるだろう。

MSIX App Installer Protocol がデフォルトで OFF：マルウエア配布の武器にされている

Microsoft Disables MSIX App Installer Protocol Widely Used in Malware Attacks

2023/12/29 TheHackerNews — 12月28日 (木) に Microsoft が発表したのは、ms-appinstaller プロトコル・ハンドラを悪用し、複数の脅威アクターがマルウェアを配布したことで、ms-appinstaller プロトコル・ハンドラを、デフォルトで再無効化するというものだ。Microsoft の Threat Intelligence Team は、「現時点の ms-appinstaller プロトコル・ハンドラの実装を、脅威アクターたちが悪用し、ランサムウェアの配布につながる可能性のあるマルウェアの、アクセス・ベクターとしていることが確認された」と述べている。

Apache OFBiz の新たな脆弱性：懸念される Atlassian Confluence への攻撃

Apache OFBiz RCE flaw exploited to find vulnerable Confluence servers

2023/12/28 BleepingComputer — Apache OFBiz に存在する、深刻な認証前リモート・コード実行の脆弱性だが、すでに公開されている PoC エクスプロイトを用いる活発な悪用が観測されている。Apache OFBiz (Open For Business) はオープンソースの企業資源計画システムであり、電子商取引の在庫／注文の管理／人事業務／会計業務などで、数多くの企業に利用されている。

Panasonic の航空機通信システム：インシデントから１年を経て個人情報漏洩が判明

Panasonic discloses data breach after December 2022 cyberattack

2023/12/27 BleepingComputer — 航空機向けの機内通信とエンターテインメントのシステムを手掛ける Panasonic Avionics Corporation は、1 年以上前の 2022 年 12 月に発生した企業ネットワーク侵入の後に、多数の個人に影響を与えるデータ侵害に至っていたことを明らかにした。同社の企業ネットワーク上のデバイスの一部に侵入した攻撃者は、影響を受けた組織と個人から収集された情報に、不正アクセスしたとされる。

CISA KEV 警告 23/12/21：QNAP NVR の CVE-2023-47565 の積極的な悪用

CVE-2023-47565 Flaw in QNAP NVR Devices Exploited in the Wild

2023/12/27 SecurityOnline — QNAP の VioStor Network Video Recorder (NVR) 機器に存在する深刻な脆弱性を、先日に Akamai の Security Intelligence Response Team (SIRT) が発見した。洗練された監視ソリューションが増加するデジタル社会の中で、刻々と差し迫るサイバー・セキュリティのリスクを、この積極的に悪用されている脆弱性が再認識させている。

Yakult の豪法人にデータ侵害：DragonForce が 95 GB のデータ取得を主張

Yakult Australia confirms ‘cyber incident’ after 95 GB data leak

2023/12/27 BleepingComputer — 乳飲健康飲料メーカーである Yakult Australia は、サイバー・インシデントが発生したことついて、 BleepingComputer への声明で認めている。同社におけるオーストラリアとニュージーランドの IT システムが、その影響を受けている。サイバー攻撃を主張する DragonForce は、Yakult が所有する 95GB のデータを流出させたとのことだ。1935年に日本で発明され、現在では世界中で販売されている Yakult は、生きたバクテリア入りの発酵加糖乳飲料であり、消化と免疫システムをサポートするために飲まれている。

Linux SSH サーバに対する攻撃の調査：脆弱なパスワードがブルートフォースの標的に！

Experts Analyzed Attacks Against Poorly Managed Linux SSH Servers

2023/12/27 SecurityAffairs — AhnLab セキュリティ緊急対応センター (ASEC：AhnLab Security Emergency Response Center) の研究者たちが警告しているのは、管理の不十分な Linux SSH サーバが、DDoS ボットや CoinMiners のインストールを目的とした、攻撃の標的になっていることだ。

Buffalo VR-S1000 VPN ルーターの脆弱性が FIX：PoC エクスプロイトも公開

The Urgent Need to Patch Buffalo’s VR-S1000 VPN Router

2023/12/27 SecurityOnline — デジタル時代に入り、中小企業のインターネットへの依存度はますます高まっている。そして、このようなインターネットへの依存に伴い、サイバー脅威に対する脆弱性も高まっている。最近、Buffalo の VPN ルーター VR-S1000 BroadStation Pro に複数のセキュリティ脆弱性が発見されたことは、サイバー・セキュリティへの警戒が極めて重要であることを浮き彫りにしている。

Apache OFBiz の脆弱性 CVE-2023-50968／CVE-2023-51467 が FIX：直ちにパッチを！

CVE-2023-51467: Apache OFBiz Pre-Authentication RCE Vulnerability

2023/12/26 SecurityOnline — Apache OFBiz は、企業プロセスの自動化のためのオープンソース製品である。この OFBiz に含まれるのは、ERP／CRM／Eビジネス／Eコマース／サプライチェーン管理／製造資源計画のための、フレームワーク・コンポーネントとビジネス・アプリケーションである。OFBiz は、信頼性が高く、安全であり、スケーラブルなエンタープライズ・ソリューションの基盤と出発点を提供する。しかし、前日に Apache OFBiz に２件の脆弱性が見つかったことで、厳重な警戒がユーザーに強いられている。

Barracuda ESG におけるゼロデイ脆弱性 CVE-2023-7102：エクスプロイトも観測？

CVE-2023-7102: A zero-day flaw affects Barracuda Email Security Gateway

2023/12/25 SecurityOnline — 複雑なサイバー・セキュリティの世界において、いまの Barracuda Networks が直面しているのは、Spreadsheet::ParseExcel ライブラリに存在する、２つのゼロデイ脆弱性 CVE-2023-7102／CVE-2023-7101 という難題である。これらの脆弱性は、サードパーティ・ライブラリ Spreadsheet::ParseExcel の任意のコード実行 (ACE：Arbitrary Code Execution) の欠陥に起因するものであり、中国の脅威アクター UNC4841 による悪用が確認されている。また、この脆弱性は、同社の Email Security Gateway (ESG) デバイスを標的として、メールに添付されたファイル (Excel 形式) を介して悪用されていたことが、Barracuda と Mandiant の共同調査で判明している。

2023年11月のランサムウェア攻撃件数：LockBit 活動再開などにより過去最高を記録

Ransomware Leak Site Victims Reached Record-High in November

2023年10月は低調だったランサムウェアだが、11月には活動を再開するグループが増え、過去最高の被害者数を記録したことが、Corvus Insurance の調査により判明した。Corvus Threat Intel の 2023年12月18日のレポートでは、11月にリークサイトに投稿された新たなランサムウェア被害者が、484件も報告されている。

Xeinadin への LockBit 攻撃：1.5 TB の顧客データを盗んだと主張

Lockbit Ransomware Gang Claims To Have Breached Accountancy Firm Xeinadin

2023/12/23 SecurityAffairs — LockBit ランサムウェアは、Xeinadin 会計事務所をハッキングしたと主張し、盗み出したとするデータを公表すると脅迫している。Xeinadin は、英国／アイルランドに 60,000 以上の顧客を抱える会計事務所である。2021年には、英国有数のプライベート・エクイティ投資家である Exponent から推薦を受けて、同国 Top-20 に入る会計事務所となった。

OpenSSH の脆弱性 CVE-2023-51385／CVE-2023-6004 が FIX：直ちにアップデートを！

CVE-2023-51385 and CVE-2023-6004 – A Dual OpenSSH Threat

2023/12/23 SecurityOnline — 最近のことだが、セキュアなネットワーキングにおける重要コンポーネントである OpenSSH が、手ごわい難題に直面している。現在はパッチが適用されているセキュリティ脆弱性 CVE-2023-51385 (CVSS：9.8) が、セキュアチャネル・オペレーションの根幹を脅かしていたのだ。この脆弱性は、9.6p1 未満の全バージョンの OpenSSH に影響を及ぼす。

Nissan Australia のデータ侵害：Akira ランサムウェアが 100GB のファイルを盗んだと主張

Akira Ransomware Gang Claims The Theft Of Sensitive Data From Nissan Australia

2023/12/22 SecurityAffairs — Akira ランサムウェアは、Nissan Australia に侵入し、同社から約 100GB のファイルを盗んだと主張している。Nissan が身代金の支払いを拒否したことで、Akira は、プロジェクトデータ／顧客情報／パートナー情報／NDA などの盗み出したとする文書を漏らすと脅している。

Chameleon という Android マルウエア：バイオメトリック・プロンプトをバイパス

Chameleon Android Malware Can Bypass Biometric Security

2023/12/22 SecurityWeek — Chameleon という Android バンキング型トロイの木馬のは、新しいバイパス機能を備えており、その標的地域を拡大していると、オンライン詐欺検出会社 ThreatFabric が報告している。この、2023年初頭から活動しているマルウェアは、オーストラリアとポーランドのモバイル・バンキング・アプリケーションを標的化するところから始まり、その後にはイギリスとイタリアにまで、その侵害の範囲を広げている。

悪意の VPN Chrome エクステンション：すでに 150万回インストールされている

Fake VPN Chrome extensions force-installed 1.5 million times

2023/12/22 BleepingComputer — VPN (Virtual Private Networks) を装う悪意の Chrome エクステンションが、150万回もダウンロードされていることが判明した。この悪意のエクステンションは、ブラウザ・ハイジャッカー／キャッシュバック・ハックツール／データ・スティーラーとしての、３つの機能を有しているという。この悪質なエクステンションを発見した ReasonLabs によると、それらのエクステンションは、Grand Theft Auto／Assassins Creed／The Sims 4 などの、人気ビデオゲームの海賊版に隠されたインストーラーを介して、多数のサイトから拡散しているという。

米国２位の保険会社 First American：インシデントによりシステムをオフラインに

First American takes IT systems offline after cyberattack

2023/12/21 BleepingComputer — 今日、米国第２位の保険会社と称される First American Financial Corporation が、サイバー攻撃の影響を食い止めるために、システムの一部をオフラインにした。同社の Web サイトには、「First American はサイバー・セキュリティー・インシデントに遭遇した。弊社は特定のシステムをオフラインにし、可能な限り早急に、通常の業務に戻れるよう取り組んでいる」と記されており、この記事が掲載される前に、公式 Web サイトがオフラインになった。

CloakQuest3r：Cloudflare などで保護された真の IP アドレスを明らかにする

CloakQuest3r: Uncover the true IP address of websites safeguarded by Cloudflare & Others

2023/12/21 SecurityOnline — CloakQuest3r は、Cloudflare などのサービスにより保護されている Web サイトの、真の IP アドレスを発見するために作成された、綿密かつ強力な Python ツールである。このツールの主な目的は、Cloudflare の保護シールドに隠れている Web サーバの実際の IP アドレスを正確に識別することにある。そして、この追跡における重要な技術として、サブドメイン・スキャンが採用されている。

Magecart キャンペーンの現状：不正な WordPress プラグインでカード情報を窃取

Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft

2023/12/22 TheHackerNews — 不正な WordPress プラグインを使用して偽の管理者アカウントを作成し、悪意の JavaScript コードを注入して、クレジットカード情報を窃取するキャンペーンが発見された。このスキミング行為は、ｅコマース・サイトを標的とした Magecart キャンペーンの一環である。Sucuri のセキュリティ研究者である Ben Martin は、「このプラグインには、他の多くの悪意の WordPress プラグインと同様に、ファイルの先頭に正規のものを装うための、いくつかの偽情報が含まれている。今回の場合は、このプラグインが “WordPress Cache Addons” であると主張するコメントが含まれていた」と述べている。

BidenCash ダークウェブ・マーケット：190万枚のクレカ情報を無料で提供

BidenCash darkweb market gives 1.9 million credit cards for free

2023/12/21 BleepingComputer — BidenCash という名前の、窃盗クレジットカード情報のマーケット・プレイスがある。その運営者が、サイバー犯罪者たちへの宣伝のために、190万枚のクレジットカード情報をストアで無料配布しているという。新たなマーケット・プレイスである BidenCash は、ダークウェブとクリアネットの両方で、2022年の初頭に立ち上げられた。そこでは、フィッシングやｅコマースサイト・スキマーにより盗まれた、クレジットカードやデビットカードが販売されているという。

PsMapExec というポスト・エクスプロイト・ツール：Active Directory 環境の評価に活用

PsMapExec: Active Directory post-exploitation tool

2023/12/21 SecurityOnline — 人気ツール CrackMapExec に、強くインスパイアされた PowerShell ツールがある。私の場合だと、Linux にアクセスすることは少なく、また、この CrackMapExec を使用する機会が、あまりにも頻繁にある。PsMapExec は、Active Directory 環境を評価し、侵害するためのポスト・エクスプロイト・ツールとして使用できるものだ。

サイバー攻撃の 86% は暗号化チャネルを介して到達する：HTTPS 攻撃は前年比で 24% 増

86% of cyberattacks are delivered over encrypted channels

2023/12/21 HelpNetSecurity — HTTPS を介した脅威は 2022年から 24%増加し、暗号化されたチャネルを標的にするサイバー犯罪の手口の巧妙化が、Zscaler により明らかにされた。２年連続で最も標的とされた業界は製造業であり、それに続く教育機関と政府機関は、前年比で攻撃増加率が最も高くなっている。その他の暗号化チャネルを介した攻撃タイプと比べて、悪意の Web コンテンツやマルウェアのペイロードなどの配信が多く見受けられ、すべてのブロックされた攻撃全体の 78% を、広告スパイウェア・サイトとクロスサイト・スクリプティング攻撃が占めていた。

Outlook の脆弱性 CVE-2023-35384／CVE-2023-36710：連鎖によるゼロクリック攻撃が可能

Microsoft Outlook Zero-Click Security Flaws Triggered by Sound File

2023/12/20 DarkReading — 今週に Akamai の研究者たちが公開したのは、Microsoft Outlook の２つの脆弱性の詳細だ。これらの脆弱性の連鎖を成功させた攻撃者は、影響を受けたシステム上で、ユーザーの操作なしで任意のコード実行が可能になる。珍しいことに、これらの脆弱性は、どちらもサウンド・ファイルを使って引き起こされる。

Apache Struts の脆弱性 CVE-2023-50164：Cisco ISE 3.0 以下では緊急対応が必須

Apache Struts (CVE-2023-50164) RCE Vulnerability Affects some Cisco Products

2023/12/19 SecurityOnline — Apache Struts で発見された深刻な脆弱性が、Cisco Systems の製品にも影響を及ぼしていることが明らかになった。この問題は、パス・トラバーサルの脆弱性 CVE-2023-50164 であり、サイバー界に波紋を広げ、各界に警鐘を鳴らしている。

Oracle WebLogic の脆弱性 CVE-2020-14883：8220 Gang がマルウェア配布に悪用

8220 Gang Exploiting Oracle WebLogic Server Vulnerability to Spread Malware

2023/12/19 TheHackerNews — 8220 Gang に関連する脅威アクターが、Oracle WebLogic Server の RCE 脆弱性 CVE-2020-14883 (CVSSスコア：7.2) を悪用して、マルウェアを拡散していることが確認された。Imperva は、先週に発表されたレポートで、「この脆弱性の悪用に成功した、リモートの認証された攻撃者が、ガジェット・チェーンを悪用することで、コードを実行することを可能にするものだ。Oracle WebLogic Server にも影響を与える、認証バイパスの脆弱性 CVE-2020-14882 と連鎖させる悪用が一般的であるが、漏洩／窃取した認証情報や、脆弱な認証情報が使用される場合もある」と詳述している。

GitHub の gists／commits 機能：マルウェアのホストに悪用されている

Unsung GitHub Features Anchor Novel Hacker C2 Infrastructure

2023/12/19 DarkReading — ある GitHub アカウントが、このサイトの２つのユニークな機能を悪用して、ステージ２のマルウェアをホストしていることを、研究者たちが発見した。この、パブリックなサービスが、不正行為の拠点としてハッカーに再利用されることが、最近になって増えてきている。ハッカーたちは、コード・リポジトリやファイル共有サービスにマルウェアを格納し、メッセージング・アプリから Command and Control (C2) を実行することに加えて、SaaS (Software-as-a-Service) プラットフォームを悪用することで、想像もつかないような手口で悪事を働くことがある。

MOVEit の脆弱性 CVE-2023-34362：Delta Dental で 700万人分の情報流出

MOVEit Vulnerability Hits Delta Dental: 7 Million Records Exposed

2023/12/18 InfoSecurity — Delta Dental of California と関連会社が公表したのは、Progress Software のファイル転送ソフトウェア MOVEit の脆弱性 CVE-2023-34362 に関連するセキュリティ・インシデントに遭遇した後に、データ侵害が発生していることである。12月14日にメイン州司法長官に提出された情報漏えいの届け出には、保護されている医療情報に対して、無許可の脅威アクターがアクセスしたと記されている。

Adobe EM Form の脆弱性 CVE-2023-50164 が FIX：Struts 由来のバグにパッチ修正を！

Adobe’s Critical Response: Patching the CVE-2023-50164 Vulnerability in AEM Forms

2023/12/18 SecurityOnline — Adobe は、広く使用されている Web フォーム作成ツール Adobe Experience Manager Forms のパッチ・アップデートをリリースし、新たに発見されたセキュリティ脆弱性に対処した。この緊急アップデートは、深刻な脆弱性への直接的な対応であり、サイバーセキュリティに対する Adobe のコミットメントを裏付けるものである。

インフォ・スティーラーが台頭した 2023年：一般的なマルウェアとの違いは？

Info Stealers And How To Protect Against Them

2023/12/18 SecurityAffairs — インフォ・スティーラーとは、その名の通り、その他のマルウェアと同様に企業や個人のユーザーを麻痺させる可能性があるものだ。この種のマルウェアを、どのように防御すればよいのだろうか。インフォ・スティーラーは、情報窃盗とも呼ばれ、被害者のコンピュータやネットワークから機密情報や個人情報を密かに収集するように設計された、悪意のマルウェアの一種である。それらのマルウェアは、ログイン情報／財務情報／個人情報などの貴重なデータを盗むことを目的として作成されている。

SMTP スマグリングの最新テクニック：DMARC などの防御を潜り抜けていく

Novel SMTP Smuggling Technique Slips Past DMARC, Email Protections

2023/12/18 DarkReading — インターネットの創世記から電子メールの送信に使用されてきた、数十年前のプロトコルを悪用する新たな標的型フィッシング攻撃により、組織や個人が危険にさらされている。この手法を用いる攻撃者は、DMARC (Domain-based Message Authentication, Reporting and Conformance) などの電子メール保護を回避できるという。

Comcast で発生した Citrix Bleed CVE-2023-4966 侵害：3500万人以上の個人情報が漏えい

Xfinity discloses data breach affecting over 35 million people

2023/12/18 BleepingComputer — 12月18日に Comcast Cable Communications が明らかにしたのは、Xfinity 事業のシステムから、顧客の機密情報が窃取されたことである。その原因は、10月の時点で、同社の Citrix Server で発生した不正侵入にあるという。同社が 10月25日に発見したのは、10月16日〜10月19日において、同社のネットワーク上で悪意の活動が行われていた証拠である。Citrix Bleed と呼ばれる深刻な脆弱性 CVE-2023-4966 に対処したセキュリティ・アップデートが、Ctrix からリリースされてから、およそ２週間後の出来事だった。

米国のモバイル詐欺が 32% も急増：バンキング・マルウェアが蔓延

32% Surge in US Mobile Fraud! Banking Malware Run Rampant as Market Booms

2023/12/18 SecurityOnline — 急速に進化するモバイル・バンキングの世界において、洗練されたバンキング・トロイの木馬による執拗な脅威という、増大する危険に光を当る新たなレポートが公表された。Zimperium が詳述する 2023 Mobile Banking Heists Report は、モバイル・バンキング・アプリケーションを狙った金融詐欺が、劇的にエスカレートしている状況を明らかにしている。

Atlassian Companion App の脆弱性 CVE-2023-22524：PoC エクスプロイトが登場

Atlassian Companion Update Now! PoC for CVE-2023-22524 Puts Businesses on High Alert

2023/12/18 SecurityOnline — Atlassian Confluence Data Center／Server でのファイル編集を拡張するためのオプションである、Atlassian Companion App デスクトップ・アプリケーションに、深刻な脆弱性が発見された。この脆弱性 CVE-2023-22524 (CVSS ：9.6) は、最新のソフトウェアにおけるリモート・コード実行 (RCE) に関する、複雑な課題とリスクを浮き彫りにしている。

QakBot の再来：新たなフィッシング・キャンペーンで再び配布されている

Qbot malware returns after this summer’s law enforcement disruption

2023/12/17 BleepingComputer — QakBot マルウェアが、新たなフィッシング・キャンペーンで再び配布されていることが発見された。2023年8月に、Operation Duck Huntと呼ばれる多国籍法執行機関が、QakBot 管理者のサーバにアクセスし、そのインフラを破壊している。それ以来、QakBot の活動は停止していたが、またしても復活したことになる。

Mirai ボットネット Infectedslurs：FXC／QNAP の Router／NVR のゼロデイ脆弱性を悪用

Infectedslurs Botnet Targets QNAP Viostor Nvr Vulnerability

2023/12/17 SecurityAffairs — 2023年11月の時点で Akamai は、InfectedSlurs という新たな Mirai ベースの DDoS ボットネットが、２つのゼロデイ脆弱性を活発に悪用して、Router や NVR (Network Video Recorder) 機器に感染していることを警告していた。このボットネットが研究者たちに発見されたのは 2023年10月だったが、遅くとも 2022年から活動していたと見られている。専門家たちは、これらの２つの脆弱性を個々の製造元に報告していたが、2023年12月に修正プログラムがリリースされる予定だという。 C

SharePoint の脆弱性 CVE-2023-29357／CVE-2023-24955：連鎖の PoC が発表された

PoC Released for SharePoint Pre-Auth RCE Chain (CVE-2023-29357 & CVE-2023-24955)

2023/12/16 SecurityOnline — Microsoft SharePoint Server の２つの脆弱性を研究する、STAR Labs の研究者 Nguyễn Tiến Giang (Jang) の詳細な調査結果が注目を集めている。2023年3月にバンクーバーで開催された Pwn2Own コンテストでは、劇的なデモンストレーションが行われていた。Jang が公開したのは、Microsoft SharePoint Server における２つの脆弱性 CVE-2023-29357／CVE-2023-24955 を連鎖させるエクスプロイト・チェーンである。

JetBrains TeamCity の脆弱性 CVE-2023-42793：ロシアの APT29 が標的にしている

Russian hackers target unpatched JetBrains TeamCity servers

2023/12/14 HelpNetSecurity — 米国／英国／ポーランドのサイバー・セキュリティ機関と法執行当局の警告によると、2023年9月以降においてロシア政府に支援されたハッカー集団が、JetBrains TeamCity の脆弱性 CVE-2023-42793 を悪用しているとのことだ。この攻撃では、インターネットに露出した、パッチ未適用の JetBrains Team Cityサーバが標的にされているという。ロシアの APT29 (別名 CozyBear／Midnight Blizzard) は、ロシア対外情報庁 (SVR) に関連していると考えられ、2013年から活動しているグループである。

GambleForce ハッキング・グループ：Joomla の脆弱性 CVE-2023-23752 などを悪用している

New Threat Actor Uses SQL Injection Attacks to Steal Data From APAC Companies

2023/12/14 SecurityWeek — 脅威ハンティング・インテリジェンス企業 Group-IB のレポートによると、2023年9月以降において新たな脅威アクターが、８カ国 (主に APAC) の 24の組織を標的としているという。この、GambleForce と名付けられたハッキング・グループは、SQL インジェクションを使用し、ギャンブル／旅行／小売／行政などの分野の組織で利用される、Joomla CMS (Content Management System) の脆弱性を悪用して、ユーザー認証データなどの機密情報を盗んできた。

Mallox ランサムウェアの脅威：MS-SQL & ODBC の古い脆弱性を狙い続けている

Mallox ransomware Exploits Old Flaws in MS-SQL & ODBC

2013/12/14 Penetration Testing — マルウェア・ファミリーや脅威アクター・グループが絶え間なく入れ替わるという、進化し続けるサイバー環境の中で、Mallox ランサムウェアは手強い敵として浮上している。SentinelOne のセキュリティ専門家たちは、Mallox の主なアクセス取得方法を解明し、最新のペイロードを包括的に分析することで、このグループの最新の活動に焦点を合わせている。2021年に初めて確認された、TargetCompany とも呼ばれてきた Mallox は、一貫してランサムウェア領域のダークホースとして、企業データの着実な漏えいを達成してきた。

LockBit が ALPHV／BlackCat／NoEscape のアフィリエイトたちを勧誘

LockBit ransomware now poaching BlackCat, NoEscape affiliates

2023/12/13 BleepingComputer — LockBit ランサムウェア・オペレーションは、BlackCat／ALPHV と NoEscape における最近の騒動の後に、そのアフィリエイトと開発者を募り始めている。その背景には、NoEscape と BlackCat／ALPHV ランサムウェア・オペレーションの Tor ウェブサイトが、先週に突然アクセス不能になったというインシデントがある。

Apache Struts 脆弱性 CVE-2023-50164：PoC エクスプロイトがリリース

Hackers are exploiting critical Apache Struts flaw using public PoC

2023/12/13 BleepingComputer — Apache Struts の深刻なリモートコード実行の脆弱性 CVE-2023-50164 が FIX されたが、公開されている PoC エクスプロイト・コードに依存する攻撃を、ハッカーたちが仕掛けようとしている。ShadowServer スキャン・プラットフォームによると、脅威アクターたちの動きは始まったばかりだが、その悪用の試みに用いられている少数の IP アドレスを、研究者たちは観測しているという。

OAuth アプリに関する Microsoft の警告：侵害されたアカウントで悪意のアプリを作成

Microsoft: OAuth apps used to automate BEC and cryptomining attacks

2023/12/12 BleepingComputer — Microsoft の警告は、金銭目的の攻撃者が OAuth アプリケーションを使用して、BEC 攻撃やフィッシング攻撃を自動化し、スパムをプッシュし、クリプト・マイニング用の VM を展開しているというものだ。OAuth (Open Authorization の略) とは、資格情報の代わりにトークンベースの認証と認可を介して、ユーザー定義のアクセス許可に基づいた、サーバ・リソースへの安全な委任アクセスを、アプリ対して許可するためのオープン・スタンダードである。

PyPI リポジトリ汚染：116 件の悪意の Python パッケージが発見された

PyPI Poisoned: 116 Malicious Packages Target Windows and Linux

2023/12/12 SecurityOnline — ESET の最新調査により、Python Package Index (PyPI) における脅威の動向が明らかになった。公式リポジトリ内における依存関係を悪用する形で、Windows／Linux を標的とする悪質なコードが大量に展開され、悪意の Python プロジェクトが網の目のように張り巡らされている状況が、この調査で判明した。

Sophos の脆弱性 CVE-2022-3236：EOL デバイスを狙う積極的な攻撃を観測

Sophos backports RCE fix after attacks on unsupported firewalls

2023/12/12 BleepingComputer — Sophos の脆弱性 CVE-2022-3236 を悪用する攻撃が、積極的に行われていることが発見され、販売が終了している EOL (end-of-life) 製品のファームウェア・バージョン向けにも、セキュリティ・アップデートのバックポートが余儀なくされている。この問題は、Sophos Firewall の User Portal と Webadmin におけるコード・インジェクションの脆弱性に起因するものであり、リモートコード実行にいたる可能性がある。

Blacksmith という APT オペレーション：Log4J の脆弱性を Lazarus が狙っている

Operation Blacksmith: Lazarus Exploits Log4J Flaws To Deploy Dlang Malware

2023/12/12 SecurityAffairs — 北朝鮮に関連する APT グループ Lazarus が、Log4j の脆弱性を悪用して、これまで文書化されていなかった RAT (remote access trojans) を展開するという、新たなハッキング・キャンペーンを操っている。Cisco Talos の研究者たちは、このキャンペーンを “Operation Blacksmith” として追跡しているが、この国家に支援される脅威アクターは、少なくとも３種類の新たな DLang ベースのマルウェア・ファミリーを採用している。それらのマルウェアのうち２系統は RAT であり、NineRAT と DLRAT という名前で追跡されている。また、NineRAT は、C2 通信のために Telegram のボットとチャンネルに依存している。