CyberAttack – Page 9 – IoT OT Security News

大規模ブルートフォース・キャンペーンを検出：米中の 4,000 社以上の ISP が標的

Over 4,000 ISP IPs Targeted in Brute-Force Attacks to Deploy Info Stealers and Cryptominers

2025/03/04 TheHackerNews — 侵害済のホストに情報窃取や暗号通貨マイニングなどのツールを展開する、大規模なエクスプロイト・キャンペーンのターゲットとして、中国と米国西海岸の ISP (Internet Service Providers) が攻撃されている。この悪意のアクティビティにより、データの流出が容易になるだけではなく、標的システム上で永続性を確立するための、各種のバイナリも配信されたと、調査を実施した Splunk Threat Research Team は述べている。

VMware ESXi／Workstation／Fusion の脆弱性 CVE-2025-22224／22225／22226 が FIX：悪用を観測

CVE-2025-22224, CVE-2025-22225, CVE-2025-22226: Critical VMware Vulnerabilities Exploited

2025/03/03 SecurityOnline — Broadcom 傘下の VMware が公開したのは、VMware ESXi／Workstation／Fusion の複数の脆弱性を詳述する、重大なセキュリティ・アドバイザリ (VMSA-2025-0004) である。このアドバイザリでは、脆弱性 CVE-2025-22224／CVE-2025-22225／CVE-2025-22226 は、深刻なセキュリティ・リスクをもたらすものであり、すでに一部は悪用されていると警告している。

AWS のミスコンフィグを狙う未知の脅威アクター：SES／ WorkMail を悪用するフィッシング活動を検知

Hackers Exploit AWS Misconfigurations to Launch Phishing Attacks via SES and WorkMail

2025/03/03 TheHackerNews — Amazon Web Services (AWS) 環境を標的にして、疑いを持たないターゲットにフィッシング・キャンペーンを展開する脅威アクターたちの存在を、Palo Alto Networks Unit 42 の調査結果が明らかにしている。Unit 42 が TGR-UNK-0011 という名前で追跡する、この活動クラスターは、JavaGhost として知られるグループと重複しているという。そして、TGR-UNK-0011 は、2019年から活動していることが知られている。

CISA KEV 警告 25/03/03：Windows の CVE-2018-8639 と Cisco の CVE-2023-20118 を登録

CISA tags Windows, Cisco vulnerabilities as actively exploited

2025/03/03 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は連邦政府機関に対して、Cisco および Windows システムの脆弱性を悪用した攻撃から、システムを保護するよう警告した。CISA は、これらの欠陥が実際に悪用されているとし、KEV (Known Exploited Vulnerabilities) カタログに登録したが、悪意の活動と背後で操る人物については、具体的な詳細は提供していない。

Paragon の脆弱性 CVE-2025-0289 などが FIX：BYOVD を用いるランサムウェア攻撃を確認

CVE-2025-0289: Paragon Partition Manager Flaw Exploited in BYOVD Ransomware Attacks

2025/03/03 SecurityOnline — Paragon Partition Manager の BioNTdrv.sys ドライバーに存在する、深刻な脆弱性のクラスターがランサムウェア攻撃で積極的に悪用されていると、先日の CERT/CC 脆弱性ノートが警告している。この脅威アクターは、BYOVD (Bring Your Own Vulnerable Driver) の手口により、システム・レベルへの権限昇格を実現しているという。

Crime-as-a-Service の急速な成長：闇マーケットでは 24,000人が攻撃ツールを販売

Online crime-as-a-service skyrockets with 24,000 users selling attack tools

2025/03/03 HelpNetSecurity — iProov によると、AI ベースのテクノロジーの成長により新たな課題が生じ、リモート ID 検証システムは攻撃に対して、以前より脆弱になっているという。革新的で簡単にアクセスできるツールが提供され、脅威アクターたちは一夜にして洗練され、新しい手法を用いる脅威ベクターが増加している。

Windows Hyper-V の CVE-2025-21333：2025年1月 Patch Tuesday での対応と PoC のリリース

Windows Hyper-V Zero-Day CVE-2025-21333: PoC Drops, SYSTEM Access Exposed

2025/03/02 SecurityOnline — サイバー攻撃で積極的に悪用されている、Windows Hyper-V のゼロデイ脆弱性 CVE-2025-21333 (CVSS：7.8) の PoC エクスプロイトが、セキュリティ研究者である Alessandro Iandoli により公開された。この脆弱性の悪用に成功した攻撃者は、影響を受ける Windows デバイス上で SYSTEM 権限を取得できるという。

QR Phishing が増加している：身を守るため知っておくべきことは？

The Rise of QR Phishing: How Scammers Exploit QR Codes and How to Stay Safe

2025/03/02 HackRead — QR コードは日常的に便利なものとなり、スキャンするだけで Web サイト／決済プラットフォーム／デジタル・メニューへの素早いアクセスを実現している。しかし、QR コードの人気が高まるにつれ、その悪用の試行へと向けて、サイバー犯罪者の関心も高まっている。”QR Phishing” および “Quishing” と呼ばれる、それほど新しくはないが、あまり知られていないフィッシング攻撃が増加している。この QR フィッシングによりユーザーが騙され、悪意のコードのスキャンへと至り、個人情報の窃取／マルウェアのインストール／詐欺サイトへのリダイレクトなどが引き起こされる。

Nakivo Backup & Replication の脆弱性 CVE-2024-48248 が FIX：悪用が容易な任意のファイル読み取り

Nakivo Fixes Critical Flaw in Backup & Replication Tool

2025/02/28 DarkReading — データ保護／バックアップを提供する Nakivo は、2024年9月の時点でセキュリティ・ベンダーからセキュリティ問題について通知を受けた後に、自社製品に潜む深刻な脆弱性を秘密裏に修正したようだ。

Krpano 360° の脆弱性 CVE-2020-24901 を悪用：検索結果を操作する大規模な XSS キャンペーン

Over 350 High-Profile Websites Hit by 360XSS Attack

2025/02/28 HackRead — 360XSS と呼ばれるキャンペーンは、Krpano の XSS の脆弱性を悪用することで検索結果を乗っ取り、政府／大学／報道などの 350 以上の Web サイトでスパム広告を配信するものだ。

LLMjacking という新しいサイバー犯罪：Azure AI Abuse スキームを操る脅威アクターを追跡

Microsoft Exposes LLMjacking Cybercriminals Behind Azure AI Abuse Scheme

2025/02/28 TheHackerNews — Microsoft は 2025年2月27日 (木) に、GenAI サービスへの不正アクセスにより不快かつ有害なコンテンツを作成する、Azure Abuse Enterprise スキームを背後で操る４人の人物の正体を明かした。この LLMjacking と呼ばれるキャンペーンは、Microsoft Azure OpenAI サービスなどの各種 AI サービスを標的にするものである。Microsoft は、このサイバー犯罪ネットワークを Storm-2139 として追跡している。

CrowdStrike の 2025 Global Threat Report：高度化する犯罪グループを数値で分析する

Unpatched Vulnerabilities Attract Cybercriminals as EDR Visibility Remains Limited

2025/02/27 gbhackers — CrowdStrike 2025 Global Threat Report によると、サイバー攻撃者たちの集団は、合法的なビジネスの業務効率を模倣し、高度に組織化されたプロ組織へと進化している。このレポートが強調するのは、2024年のサイバー脅威の状況が大きく変化し、高度な戦術を採用する攻撃者が、GenAI などの最新テクノロジーを活用して、そのアクティビティを拡大している状況である。

台湾を攻撃する Silver Fox APT：Winos 4.0 マルウェアと洗練された手口とは？

Silver Fox APT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations

2025/02/27 TheHackerNews — 台湾で新たに発見された攻撃キャンペーンは、同国の国税局を装うフィッシング・メールに潜ませた、Winos 4.0 という名のマルウェアにより、企業を狙うものだ。2025年1月に、この攻撃を検出した Fortinet FortiGuard Labs は、悪意のゲーム関連アプリケーションを介していた、それまでの攻撃チェーンからの脱却を示していると指摘している。

Phishing トレンド 2024：状況を分析して 2025年の攻撃に備える

2024 phishing trends tell us what to expect in 2025

2025/02/27 HelpNetSecurity — リスク・アドバイザリー企業 Kroll によると、2024年のサイバー犯罪者たちが、標的とする組織へのイニシャル・アクセスを達成するために頻繁に用いた手口はフィッシングであり、この傾向は 2025年も続くようだ。

CISA KEV 警告 25/02/25：Zimbra の CVE-2023-34192 と Microsoft の CVE-2024-49035 を登録

CISA Flags Actively Exploited Zimbra (CVE-2023-34192) and Microsoft (CVE-2024-49035) Vulnerabilities

2025/02/25 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、２つの深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、警告を発している。この CISA の動きは、ユーザー組織のシステムに対して速やかにパッチを適用して、積極的な悪用のリスクを軽減する必要があることを強調している。

Have I Been Pwned に追加された 2億8,000万の漏洩アカウント：あなたも居るかもしれない

Have I Been Pwned adds 284M accounts stolen by infostealer malware

2025/02/25 BleepingComputer — Have I Been Pwned (HIBP) データ侵害通知サービスに追加されたのは、Telegram チャネルで発見された 2億8,400万件以上のアカウントだ。それらの情報は、情報窃盗マルウェアにより盗まれたものであると見られている。

Cisco の脆弱性 CVE-2023-20118 を積極的に悪用：PolarEdgeという名の洗練されたバックドア

Hackers Exploiting Cisco Small Business Routers RCE Vulnerability Deploying Webshell

2025/02/25 gbhackers — Cisco Small Business Router に影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2023-20118 が、Web シェルや高度なバックドア・ペイロードを展開するサイバー犯罪者の注目を集めている。

CISA KEV 警告 25/02/24：Adobe の CVE-2017-3066 と Oracle の CVE-2024-20953 を登録

Two Actively Exploited Security Flaws in Adobe and Oracle Products Flagged by CISA

2025/02/25 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的な悪用の証拠に基づき、Adobe ColdFusion および Oracle Agile Product Lifecycle Management (PLM) に影響を及ぼす、２つのセキュリティ欠陥を Known Exploited Vulnerabilities (KEV) カタログに登録した。

Confluence の脆弱性 CVE-2023-22527 の悪用と LockBit 展開：２時間で完了する脅威アクターの手口とは？

From Confluence Vulnerability (CVE-2023-22527) to LockBit Encryption: A Rapid Attack Chain

2025/02/24 SecurityOnline — DFIR Report のセキュリティ研究者たちが発見したのは、Confluence の深刻なリモート・コード実行の脆弱性 CVE-2023-22527 を悪用し、侵害の２時間後には LockBit ランサムウェアを展開するという、高度に調整された攻撃である。

Microsoft 365 アカウントが標的：130,000 台のデバイスで構成されるボットネットの脅威

A large botnet targets M365 accounts with password spraying attacks

2025/02/24 SecurityAffairs — 世界中の Microsoft 365 (M365) アカウントに対してパスワード・スプレー攻撃を仕掛けている、130,000 台のデバイスで構成されるボットネットの存在を、SecurityScorecard の研究者たちが発見した。この攻撃者は、多要素認証をバイパスすることで、ベーシック認証で保護されたアカウントをターゲットにしている。

Parallels Desktop のゼロデイと PoC エクスプロイト：FIX されたはずの CVE-2024-34331 とは？

Parallels Desktop 0-Day Exploit Enables Root Privileges – PoC Released

2025/02/24 gbhackers — Parallels Desktop 仮想化ソフトウェアの、深刻なゼロデイ脆弱性が公開された。７か月にわたり未解決の状況にある脆弱性が公開されたことになり、それを悪用する攻撃者は、macOS システムで権限をルート・レベルへと昇格できるようになる。以前に対処された権限昇格の脆弱性 CVE-2024-34331 に対する、既存のパッチを回避する２種類のバイパス方法が、PoC エクスプロイト・コードにより示されている。

CISA KEV 警告 25/02/21：Microsoft Power Pages の脆弱性 CVE-2025-24989 を登録

U.S. CISA adds Microsoft Power Pages flaw to its Known Exploited Vulnerabilities catalog

2025/02/23 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Power Pages の脆弱性 CVE-2025-24989 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

中国政府によるインターネット検閲と民間企業の関与：SentinelOne が分析する漏洩データとは？

Leaked Files Tie Chinese Cybersecurity Firm to Government Censorship

2025/02/21 HackRead — 中国の著名なサイバー・セキュリティ企業 TopSec で生じたデータ漏洩により、同社の業務の詳細が明らかになり、また、中国政府によるインターネット検閲への関与が懸念されている。

Ivanti ICS の脆弱性 CVE-2025-0282 を悪用：SPAWNCHIMERA マルウェアの洗練度とは？

SPAWNCHIMERA Malware Exploits Ivanti Buffer Overflow Vulnerability by Applying a Critical Fix

2025/02/21 gbhackers — SPAWNCHIMERA マルウェア・ファミリが、Ivanti Connect Secure のバッファ・オーバーフロー脆弱性 CVE-2025-0282 を悪用していることが、最近の JPCERT/CC の調査により確認されている。

Salt Typhoon が悪用した Cisco の脆弱性：2018年から NVD で警告されていた

Salt Typhoon hackers exploited stolen credentials and a 7-year-old software flaw in Cisco systems

2025/02/20 NextGov — 2025年2月20日に Cisco が明らかにしたのは、ハッキング・グループ Salt Typhoon が、米国などの通信システムの宝庫に侵入した、大規模なハッキング・キャンペーンに関する情報である。

CISA KEV 警告 25/02/20：Palo Alto CVE-2025-0111 と Craft CMS CVE-2025-23209 を登録

CVE-2025-0111 & CVE-2025-23209: Palo Alto Firewalls and Craft CMS Under Active Attack

2025/02/20 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、２件の脆弱性の実際の悪用の証拠を挙げながら、Known Exploited Vulnerabilities (KEV) カタログに追加した。それらの脆弱性は、Palo Alto PAN-OSファイアウォールの CVE-2025-0111 と、Craft CMS の CVE-2025-23209 であり、ユーザー組織に対して深刻なリスクをもたらすものだ。

Palo Alto の脆弱性 CVE-2025-0111 が FIX：CVE-2025-0108／CVE-2024-9474 と連鎖？

Palo Alto Networks warns that CVE-2025-0111 flaw is actively exploited in attacks

2025/02/20 SecurityAffairs — Palo Alto Networks が発する警告は、脆弱性 CVE-2025-0111 を、既知の脆弱性 CVE-2025-0108／CVE-2024-9474 と、新たに発見された脆弱性 CVE-2025-0111 を連鎖させる脅威アクターが、PAN-OS ファイアウォールを侵害している状況に関するものだ。

Snake Keylogger というマルウェア：Chrome／ Edge／Firefox ユーザーが標的

Snake Keylogger Targets Chrome, Edge, and Firefox Users in New Attack Campaign

2024/02/19 gbhackers — Snake Keylogger (別名 404 Keylogger) の新たな亜種が、Google Chrome／Microsoft Edge／Mozilla Firefox などの Web ブラウザのユーザーを、ターゲットにしていることが判明した。FortiGuard Labs は、高度な AI／ML を搭載した最先端のマルウェア検出プラットフォーム FortiSandbox v5.0 (FSAv5) を使用して、この脅威を特定したという。

CISA KEV 警告 25/02/18：Palo Alto の CVE-2025-0108 と SonicWall のCVE-2024-53704 を登録

U.S. CISA adds SonicWall SonicOS and Palo Alto PAN-OS flaws to its Known Exploited Vulnerabilities catalog

2025/02/19 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Palo Alto PAN-OS の認証バイパスの欠陥 CVE-2025-0108 と、SonicWall SonicOS SSLVPN の不適切な認証の欠陥 CVE-2024-53704 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Microsoft APP-v Tool を LOLBin として悪用：中国の Mustang Panda が採用する検知回避チェーンとは？

Chinese hackers abuse Microsoft APP-v tool to evade antivirus

2025/02/18 BleepingComputer — 中国の APT ハッキング・グループ Mustang Panda が、Microsoft Application Virtualization Injector ユーティリティを LOLBin として悪用し、正規のプロセスに悪意のペイロードを挿入し、ウイルス対策ソフトウェアによる検出を回避していることが確認された。

FrigidStealer マルウェアに注意：偽のブラウザ・アップデートで macOS ユーザーを騙す

New FrigidStealer Malware Targets macOS Users via Fake Browser Updates

2025/02/18 TheHackerNews — Webインジェクションを悪用する、FrigidStealer という Apple macOS マルウェアを配信する新たなキャンペーンについて、サイバー・セキュリティ研究者たちが警告している。

Telegram を C2 として悪用：Golang ベースの新たなバックドアが発見された

New Golang-based backdoor relies on Telegram for C2 communication

2025/02/17 SecurityAffairs — C2 に Telegram を悪用する Golang ベースのバックドアを、Netskope Threat Labs が発見した。このマルウェアは、現在も開発中のようだが機能しており、クラウド・アプリの悪用により検出を回避している。この新しい Go バックドアは、ロシア起源である可能性があると、専門家たちは考えている。

Ivanti のゼロデイ脆弱性 CVE-2025-0282 が標的：SPAWNCHIMERA という高度なマルウェア

SPAWNCHIMERA: New Malware Exploits Ivanti Zero-Day Flaw (CVE-2025-0282)

2025/02/16 SecurityOnline — SPAWN マルウェア・ファミリーが大幅にアップグレードされ、高ステルス性のサイバー脅威 SPAWNCHIMERA として登場したことが、JPCERT/CC のサイバー・セキュリティ研究者たちにより報告された。この新たな亜種は、2025年1月に公開された Ivanti Connect Secure のバッファ・オーバーフロー脆弱性 CVE-2025-0282 を積極的に悪用している。この脆弱性が公開される以前において、SPAWNCHIMERA マルウェアによる攻撃が特定されたことが、彼らの戦術の大きな変化を表している。

ConnectWise／Fortinet／Exchange／Zimbra の脆弱性が標的：ロシアの BadPilot

CVE-2024-1709 and CVE-2023-48788: Exploits Fueling Russia’s BadPilot Campaign

2025/02/16 SecurityOnline — ロシア政府が支援するハッキング・グループ Seashell Blizzard (別名 APT44／Sandworm／BlackEnergy Lite) のサブグループが、複数年にわたって実行したサイバースパイ活動を、Microsoft Threat Intelligence が明らかにした。この、BadPilot として追跡されるアクティビティは、遅くとも 2021年から実行されており、エネルギー／通信／軍需／行政などの重要セクターに存在する、世界の組織を侵害してきたという。

SonicWall ファイヤウォールの脆弱性 CVE-2024-53704：PoC のリリース後に攻撃を検出

SonicWall firewall bug leveraged in attacks after PoC exploit release

2025/02/14 BleepingComputer — SonicWall ファイアウォールに影響を与える認証バイパスの脆弱性だが、PoC エクスプロイト・コードのリリースの直後から、攻撃者たちに狙われ始めている。SonicWall の SSLVPN 認証メカニズムで発見され、CISA により深刻度 Critical と分類された脆弱性 CVE-2024-53704 は、同社の Gen 6／7 ファイアウォールおよび、SOHO シリーズ・デバイスの複数のモデルで使用される、SonicOS バージョン 7.1.1-7058 以下／7.1.2-7019／8.0.0-8035 に影響を及ぼすものである。

SocGholish マルウェアの脅威：武器化された ZIP を侵害済みの Web サイトからドロップ

SocGholish Malware Dropped from Hacked Web Pages using Weaponized ZIP Files

2025/02/14 gbhackers — SocGholish マルウェア・フレームワークによる一連のサイバー攻撃では、正規のブラウザ更新を装う悪意の ZIP ファイルを配信するために、すでに侵害された Web サイトが悪用されていることが判明している。

Astaroth という Phishing Kit：Gmail／Yahoo／Office 365 などの 2FA を容易に突破

Astaroth 2FA Phishing Kit Targets Gmail, Yahoo, Office 365, and Third-Party Logins

2025/02/14 gbhackers — Astaroth という新たな Phishing-Kit により、2FA メカニズムが回避されることが判明し、サイバー・セキュリティの分野における重大な脅威として浮上してきた。2025年1月の時点で、サイバー犯罪ネットワークに登場してきた Astaroth は、セッション・ハイジャックやリアルタイムで認証情報の傍受といった高度な手法を用いて、Gmail／Yahoo／Office 365 だけではなく、他のサードパーティ・ログインなどのプラットフォームのアカウントを侵害する。

Salt Typhoon の標的は Cisco の CVE-2023-20198／20273：止まらないテレコム・ハッキング

Salt Typhoon Targeting Old Cisco Vulnerabilities in Fresh Telecom Hacks

2025/02/14 SecurityWeek — 中国政府が支援する APT グループ Salt Typhoon は、最近のテレコムに対する攻撃において、Cisco デバイスに存在する２つの既知の脆弱性を悪用していると、Recorded Future が報じている。

PostgreSQL ゼロデイ脆弱性 CVE-2025-1094：BeyondTrust を介した米財務省侵害の原因か？

Rapid7 Flags New PostgreSQL Zero-Day Connected to BeyondTrust Exploitation

2025/02/13 SecurityWeek — 2月13日 (木) に Rapid7 のセキュリティ研究者たちにより、PostgreSQL に新たなゼロデイ脆弱性が発見されたが、BeyondTrust リモート・サポート製品に対する一連の攻撃において、この欠陥は重要な構成要素だったようだ。

ThinkPHP の CVE-2022-47945 と ownCloud の CVE-2023-49103：古い脆弱性への攻撃を観測

macOS の脆弱性 CVE-2024-54531 が FIX：KASLR バイパスによるシステム構造の暴露を PoC で証明

macOS Security Breach: CVE-2024-54531 PoC Published, Attackers Can Bypass KASLR

2025/02/12 SecurityOnline — Apple Silicon プロセッサ上で動作する macOS で、Kernel Address Space Layout Randomization (KASLR) を回避する攻撃の手法を、高麗大学のセキュリティ研究者たちが明らかにした。この攻撃は “SysBumps” と呼ばれるものであり、macOS システム・コールの投機的実行の脆弱性を悪用するものである。具体的に言うと、権限を必要としない攻撃者が、カーネル・アドレスを推測できるものであり、macOS の最も基本的なセキュリティ防御の１つを突破するものだ。

CISA KEV 警告 25/02/11：Microsoft Windows と Zyxel DSL CPE OS の脆弱性４件を登録

U.S. CISA adds Microsoft Windows, Zyxel device flaws to its Known Exploited Vulnerabilities catalog

2025/02/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、４件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。その内訳は、Zyxel DSL CPE OS のコマンド・インジェクション脆弱性 CVE-2024-40890／CVE-2024-40891、および、Microsoft Windows の Storage Link Following の脆弱性 CVE-2025-21391、そして、Windows の Ancillary Function Driver for WinSock のヒープバッファ・オーバーフロー脆弱性 CVE-2025-21418 である。

Subscribe to continue reading