Literacy – Page 18 – IoT OT Security News

Microsoft Entra ID (Azure AD) で権限を昇格させる方法：専門家たちが手口を解明

Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege

2023/08/28 TheHackerNews — Microsoft Entra ID (旧 Azure Active Directory) アプリケーションに関連する問題として、放棄された返信 URL の悪用により特権昇格が生じるケースがあることを、サイバー・セキュリティ研究者たちが発見した。Secureworks の CTU (Counter Threat Unit) は、「この放棄された URL の悪用に成功した攻撃者は、認証コードを自分自身にリダイレクトし、不正に入手した認証コードをアクセストークンと交換できる。その後に攻撃者は、中間層のサービスを介して Power Platform API を呼び出し、昇格した権限を取得する」と、先週に発表したテクニカル・レポートの中で述べている。

Flax Typhoon という中国ハッカー：政府組織／教育機関／製造業／IT 分野などを攻撃 – Microsoft

Microsoft: Stealthy Flax Typhoon hackers use LOLBins to evade detection

2023/08/25 BleepingComputer — 政府組織／教育機関／製造業／情報技術などの分野を、スパイ目的で狙う新たなハッキング・グループ Flax Typhoon を、Microsoft が特定した。この脅威アクターは、ほとんどマルウェアには依存せずに、被害者ネットワークへのアクセスを獲得／維持している。つまり、LOLBin (living-off-the-land binaries) や正規のソフトウェアを、オペレーティング・システム上で既に利用可能なコンポーネントとして好んで使用している。

QakBot というマルウェア：ユニークな感染チェーンで検知を回避 – HP Wolf

Creative QakBot Attack Tactics Challenge Security Defenses

2023/08/25 InfoSecurity — 2023 Q2 に最も活発だったマルウェア・ファミリーの１つとして、QakBot が挙げられていることが、HP Wolf の最新レポート Threat Insights Report Q2 2023 により判明した。同社の分析によると、セキュリティ・ポリシーや検知ツールを回避するために、サイバー犯罪者たちは攻撃の手法を多様化させている。その一例として、“building blog style attacks” を利用して、キャンペーンを実行していることが確認されているという。

Barracuda ESG のゼロデイ脆弱性 CVE-2023-2868 はパッチの効果なし – FBI 警告

Urgent FBI Warning: Barracuda Email Gateways Vulnerable Despite Recent Patches

2023/08/25 TheHackerNews — 米国連邦捜査局 (FBI) は、先日に公開された Barracuda の Networks Email Security Gateway (ESG) アプライアンスの脆弱性に関して、パッチは適用されているが、中国のハッキング・グループと思われる集団から、侵害されるリスクにさらされていると警告している。また、修正パッチは「効果がない」と判断した FBI は、「活発な侵入を観察し続けており、すべての Barracuda ESGアプライアンスは侵害されており、このエクスプロイトに対して脆弱であると考えている」と述べている。

Web ブラウザ・エクステンションの問題：その半数以上が高リスクであるという調査結果

More Than Half of Browser Extensions Pose Security Risks

2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。

ランサムウェア攻撃の統計値：各セキュリティ企業のレポートを比較してみた

Cybersecurity Companies Report Surge in Ransomware Attacks

2023/08/23 SecurityWeek — いくつかのサイバー・セキュリティ企業が、この数週間において、それぞれのランサムウェア・レポートを発表しているが、その大半において攻撃の大幅な増加が示されている。ランサムウェア攻撃は、サイバー犯罪グループに大きな利益をもたらし続けているが、サイバー・セキュリティ企業の最新したレポートによると、その量と巧妙さの両方が増加しているという。そこで SecurityWeek では、一連のレポートを分析し、最も重視すべき傾向を要約してみた。

Google Chrome Check for Extension：マル・エクステンションを判定してくれる

Google Chrome to warn when installed extensions are malware

2023/08/20 BleepingComputer — Google がテストしている Chrome の新機能は、インストールされたエクステンションが Chrome Web Store から削除された場合に、ユーザーに警告を表示するためのものである。Chrome Web Store では、問題のあるエクステンションなどが次々と公開され、ポップアップ広告やリダイレクト広告を介して宣伝されている。これらのエクステンションは、詐欺師や脅威アクターにより作成され、不要な広告の挿入／検索履歴の追跡／アフィリエイト・ページへのリダイレクトなどを行い、さらに深刻なケースでは、Gmail や Facebook のアカウント窃盗などにも悪用される。

Anonymous による #OpFukushima オペレーション：福島原発の汚染水放出の計画に抗議

#OpFukushima: Anonymous group protests against the plan to dump Fukushima RADIOACTIVE wastewater into Pacific

2023/08/18 SecurityAffairs — ハッカー・グループである Anonymous は、#OpFukushima と呼ばれるオペレーションの一環として、日本の原発関連団体に対するサイバー攻撃を開始した。このキャンペーンは、福島原発の処理水を海に放出するという、日本政府の計画に抗議するために開始された。NTT Security Japan によると、IAEA (International Atomic Energy Agency) が報告書を公表した直後の 2023年7月から、攻撃が増加しているという。IAEA は、この処理水の放出は世界的な安全基準に適合していると、報告書で述べている。また、Anonymous は、東京電力の福島第一原子力発電所から処理水を放出することを、2021年に日本政府が正式に決定した後に、”ターゲット・リスト” を公開していたことも、NTT Security Japan は明らかにした。

AnonFiles が閉鎖：無料ファイル共有サービスを追い込んだ大量の不正利用とは？

AnonFiles Shuts Down After Massive User Abuse

2023/08/17 InfoSecurity −−− セキュリティ研究者たちに利用される一方で、攻撃者の人気も集めてしまった、匿名ファイル共有サービス AnonFiles が、膨大な数のユーザーに乱用していることを理由に閉鎖を決定した。 AnonFiles は、２年間にわたる運用の実績を持ち、オンラインで追跡されることを恐れる人々が、安心してファイルを共有できる環境を提供してきた。しかし、その一方では、悪意のハッカーたちが盗み出した、ログイン情報や個人識別情報 (PII) などのデータを共有するための環境にもなっていた。

NIST CSF 2.0 のドラフト版がリリース：ガバナンス項目の追加と対象の拡大

What’s New in the NIST Cybersecurity Framework 2.0

2023/08/15 DarkReading — およそ 10年前に導入が開始された、サイバー・セキュリティの技術的ガイダンスである NIST (National Institute for Standards and Technology) の、CSF (CSF：Cybersecurity Framework) ドラフト版が発表された。これまでの CSF の対象は、エネルギー／銀行／病院などの主要インフラだったが、今回のアップデートでは、あらゆる規模の組織にまで範囲が拡大されている。

Citrix ADC／Gateway の脆弱性 CVE-2023-3519：Mandiant がハッキング・スキャナーを提供

New CVE-2023-3519 scanner detects hacked Citrix ADC, Gateway devices

2023/08/15 BleepingComputer — Citrix NetScaler Application Delivery Controller (ADC)／NetScaler Gateway Appliance に存在する、CVE-2023-3519 脆弱性の悪用の有無を判定するスキャナを、Mandiant がリリースした。この深刻な Citrix の脆弱性は、ゼロデイとして 2023年7月中旬に発見されたものであり、脆弱なデバイス上で認証なしでリモート・コード実行が可能であるため、広範囲で積極的に悪用されている。

米国政府によるクラウド攻撃の分析：Microsoft ハッキングを受けて活動を開始

US Cyber Safety Board to Review Cloud Attacks

2023/08/14 SecurityWeek — 8月11日 (金) に米国政府は、DHS (Homeland Security) のサイバー安全審査委員会 (CSRB：Cyber Safety Review Board) が、クラウド環境を標的とした悪意の攻撃に関する審査を実施すると発表した。このイニシアティブは、政府／産業界／CSP (Cloud Service Provider) に対して、クラウドにおける ID 管理と認証を改善するための、提言を行うことに重点を置くという。

VPN 製品の大半に影響：TunnelCrack 攻撃でトラフィック・リークにいたる脆弱性とは？

Almost all VPNs are vulnerable to traffic-leaking TunnelCrack attacks

2023/08/14 HelpNetSecurity — 世の中に出回っている大半の VPN 製品に影響を及ぼす複数の脆弱性が、攻撃者に悪用されていることが、研究者たちにより発見された。その悪用に成功した攻撃者たちにより、トラフィック盗聴／情報窃取／デバイス攻撃などが行われる可能性があるという。ニューヨーク大学の Nian Xue と、ニューヨーク大学アブダビ校の Yashaswi Malla／Zihang Xia／Christina Pöpper、そして、KU ルーヴェン大学の Mathy Vanhoef は、「私たちが検証した攻撃方式では、コンピューティング・コストが掛からないため、適切なネットワークア・クセスさえあれば誰もが実行可能であり、それぞれの環境で用いられている VPN プロトコルには非依存である」と主張している。

CyberPower と Dataprobe の複数の脆弱性：データセンター運用に生じるリスクとは？

Multiple Flaws in CyberPower and Dataprobe Products Put Data Centers at Risk

2023/08/14 TheHackerNews — CyberPower のPowerPanel Enterprise Data Center Infrastructure Management (DCIM) プラットフォームおよび、Dataprobe の iBoot Power Distribution Unit (PDU) に、複数のセキュリティ脆弱性が存在する。それらが悪用されと、システムへの認証なしでのアクセスが引き起こされ、標的とされる環境で壊滅的な損害が発生する可能性がある。９件の脆弱性 (CVE-2023-3259〜CVE-2023-3267) の深刻度は CVSS 6.7〜9.8であり、悪用に成功した脅威アクターによる、データセンター全体のシャットダウンや、データセンターのデプロイメント侵害、データの窃取といった、大規模な攻撃が仕掛けられる可能が生じる。

Windows カーネルの脆弱性 CVE-2023-32019：無効から有効に切り替わったパッチとは？

Microsoft enables Windows Kernel CVE-2023-32019 fix for everyone

2023/08/14 BleepingComputer — Microsoft は、Windows カーネルに存在する情報漏えいの脆弱性に対する修正を、デフォルトで ON にするよう方針を変更した。この修正は、Windows に変更を加える可能性があるとして、これまで無効にされていたものだ。この脆弱性 CVE-2023-32019 は、CVSS 値は 4.7 だが、Microsoft は Important と評価している。このバグは、Google Project Zero のセキュリティ研究者 Mateusz Jurczyk により発見されたものであり、認証された攻撃者が特権プロセスのメモリにアクセスし、情報を引き出すことを可能にするものだ。

Exchange をハッキングする中国の Storm-0558：米政府と Microsoft が共同で分析

US cyber safety board to analyze Microsoft Exchange hack of govt emails

2023/08/11 BleepingComputer — 米国土安全保障省の CSRB (Cyber Safety Review Board) は、米政府機関で使用される Microsoft Exchange アカウントが、最近になって中国からハッキングされていることを受け、クラウド・セキュリティの実践について詳細な審査を実施することを発表した。CSRB は官民が協力する機関であり、重大な事象に対する理解を深め、根本的な原因を見極め、サイバー・セキュリティに関する情報に基づく提言を行うための、詳細な調査の実施を目的として設立された。

十分な脅威インテリジェンス・プログラムを導入している企業は僅か 22％ – OPSWAT 調査

#BHUSA: Only 22% of Firms Have Mature Threat Intelligence Programs

2023/08/10 InfoSecurity — サイバーセキュリティ・ソリューション・プロバイダー OPSWAT の、最新レポートが発表された。このレポートによると、脅威インテリジェンス・プログラムが十分な企業は 22％に過ぎないという。8月9日にラスベガスで開催された Black Hat USA で、この調査結果が同社から発表された。マルウェアの検出と対応を専門とする、従業員 50人以上の組織の IT専門家 300人以上を対象に、この初調査は実施されたという。

Moq OSS プロジェクトでの出来事：営利を目的とした依存性の利用という問題

2023/08/09 BleepingComputer — オープンソース・プロジェクト Moq だが、最新リリースにおいて物議を醸す依存性が秘密裏に含まれていることで、厳しい批判を浴びている。NuGet ソフトウェア・レジストリで配布されている Moq は、１日に10万回以上もダウンロードされる存在であり、トータルでは 4億7600万回以上もダウンロードされている。そして、今週にリリースされた Moq の 4.20.0 には、SponsorLink という別のプロジェクトがひっそりと取り込まれていた。

世界を襲う中国系ハッカー RedHotel：３年間で日本などの 17カ国を攻撃

China-Linked Hackers Strike Worldwide: 17 Nations Hit in 3-Year Cyber Campaign

2023/08/09 TheHackerNews — 中国の国家安全部 (MSS：Ministry of State Security) に関連するハッカーたちが、2021〜2023年にかけて、アジア／ヨーロッパ／北米などの 17カ国に攻撃を仕掛けてきたことが判った。サイバー・セキュリティ企業 Recorded Future は、この一連の攻撃について、RedHotel (以前は Threat Activity Group-22／TAG-222) として追跡している国家グループによるものであり、Aquatic Panda／Bronze University／Charcoal Typhoon／Earth Lusca／Red Scylla (または Red Dev 10) などの活動群と重複していると述べている。

EvilProxy という PhaaS：大規模なクラウド・アカウント乗っ取りに利用されている

EvilProxy used in massive cloud account takeover scheme

2023/08/09 SecurityAffairs — Microsoft 365 アカウントの窃取を狙う EvilProxy が、100以上の組織へ向けて 12万通のフィッシング・メールを送信していることが確認された。それにより、クラウド・アカウントの侵害が、過去５ヶ月間に急増していることを、Proofpoint が発見した。攻撃の大半は、高位の幹部を標的としていた。研究者たちは、このキャンペーンは全世界の 100以上の組織／150万人の従業員を対象としていると推定している。被害者の約 39% はＣレベルのエグゼクティブであり、そのうち 17% は最高財務責任者 (CFO) であり、9% は最高経営責任者 (CEO) だったという。

Microsoft VS Code に脆弱性：悪意のエクステンションに認証トークン窃取の構造的な欠陥？

Malicious extensions can abuse VS Code flaw to steal auth tokens

2023/08/08 BleepingComputer — Microsoft のコード・エディターおよび開発環境である、VS Code (Visual Studio Code) に脆弱性により、Windows／Linux／macOS のクレデンシャル・マネージャーに保存されている認証トークンの取得を、悪意のエクステンションに許す可能性があることが発見された。これらのトークンは、Git／GitHub などのコーディング・プラットフォームや、各種のサードパーティ・サービスおよび API との統合に使用されるものだ。そのため、これらのトークンの窃取により、組織のデータ・セキュリティに深刻な影響が生じ、不正なシステム・アクセスやデータ侵害などにいたる可能性があるという。

Microsoft Active Directory への攻撃経路：セキュリティ向上のために知っておくべきことは？

Understanding Active Directory Attack Paths to Improve Security

2023/08/08 TheHackerNews — 1999年に導入された Microsoft AD (Active Directory) は、Windows ネットワークにおけるデフォルトの ID／アクセス管理サービスであり、全てのネットワーク・エンドポイントに対するセキュリティ・ポリシーの割当／実施を担っている。それによりユーザーは、ネットワーク上の様々なリソースにアクセスできるようになる。そして数年前に Microsoft は、AD のパラダイムを拡張するクラウドベースの Azure Active Directory を発表し、クラウドとオンプレミスの両方に IDaaS (Identity-as-a-Service) ソリューションを提供した。2023年7月11日付で、このサービスは Microsoft Entra ID に名称変更されたが、分かりやすくするために、この記事では Azure AD と呼ぶことにする。

npm に新たな悪意のパッケージ：開発者たちをサプライチェーン攻撃に組み込む

Malicious npm Packages Found Exfiltrating Sensitive Data from Developers

2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。

VPN 依存というリスキーなギャンブル：ネットワークへのアクセス権は危険

VPNs remain a risky gamble for remote access

2023/08/04 HelpNetSecurity — Zscaler の最新レポートによると、VPN がもたらすリスクとネットワーク・セキュリティについて、ユーザー組織は深い懸念を表明している。このレポートが強調するのは、VPN の脆弱性を悪用する脅威の高まりを受けて、組織におけるセキュリティ態勢の再評価を進め、また、ゼロトラスト・アーキテクチャへと移行すべきだという点だ。

LOLBAS という難題：Microsoft Office がステルス性マルウェア・ローダーになり得る

Hackers can abuse Microsoft Office executables to download malware

2023/08/03 BleepingComputer — LOLBAS ファイル (Windows に存在し、悪用される可能性のある正規のバイナリやスクリプト) のリストには、Microsoft の電子メール・クライアント Outlook や、データベース管理システム Access の主要な実行ファイルが、まもなく含まれることになる。Microsoft Publisher アプリケーションのメイン実行ファイルに関しては、リモート・サーバからペイロードをダウンロードできることが、すでに確認されている。なお、LOLBAS とは、Living-off-the-Land Binaries and Scripts の略であり、Windows OS でネイティブのもの、また、Microsoft からダウンロードされた、署名付きファイルのことを指す。

Rilide という最凶の Chrome エクステンション：PowerPoint ファイルなどがルアー

Chrome malware Rilide targets enterprise users via PowerPoint guides

2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome／Edge／Brave／Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。

2022年に悪用された脆弱性 Top-12：Five Eyes／FBI／CISA／NSA の共同勧告

FBI, CISA, and NSA reveal top exploited vulnerabilities of 2022

2023/08/03 BleepingComputer — Five Eyes のサイバー・セキュリティ当局は、CISA／NSA／FBI と共同で、2022年に最も悪用された 12件の脆弱性リストを発表した。米国／英国／豪州／カナダ／ニュージーランドの５カ国からなるサイバー・セキュリティ当局は、世界中の組織に対し、これらのセキュリティ上の脆弱性に対処し、パッチ管理システムを導入して、潜在的な攻撃にさらされる機会を最小限に抑えるよう呼びかけた。2022年に脅威アクターたちは、新たに公表された脆弱性よりも、古いとされる脆弱性に対して、攻撃を集中させる傾向を強め、特にパッチが適用されずにインターネット上に露出したままのシステムを標的としてきた。

AWS の SSM Agent を悪用するシナリオ：高スティルス性 RAT の構築が可能

Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan

2023/08/02 TheHackerNews — Windows および Linux 環境上でリモート・アクセス・トロイの木馬として、AWS Systems Manager Agent (SSM Agent) を実行させることが可能な、Amazon Web Services (AWS) の新たなポスト・エクスプロイト手法を、サイバー・セキュリティ研究者たちが発見した。Mitiga の研究者である Ariel Szarf と Or Aspir は、「この SSM Agent は、Admin によるインスタンス管理で使用される正当なツールだが、SSM Agent がインストールされたエンドポイント上で、高特権のアクセスを獲得した攻撃者が、悪意の活動を継続的に実行することも可能にする」と、The Hacker News と共有したレポートで述べている。

CVSS と CISA KEV だけに頼らない脆弱性管理：EPSS という新たな指標が登場

Relying on CVSS alone is risky for vulnerability management

2023/07/31 HelpNetSecurity — Rezilion によると、脆弱性の優先順位付けを CVSS のみに依存する管理の手法は、最善ではないことが判明しているようだ。実際のところ、それぞれの脆弱性のリスクを評価するために、CVSS の深刻度スコアのみに依存することは、脆弱性をランダムに選択して修復することに変わりないという。よりスケーラブルで効果的な優先順位の決定戦略を可能にするためには、さらなるコンテキストが必要となる。このコンテキストには、標的環境の内部的な情報源 (資産に関する重要性／緩和策／到達可能性) だけでなく、外部的な情報源も必要になる。

積極的に悪用された 41 件のゼロデイ脆弱性 – 2022年調査 Google TAG

In 2022, more than 40% of zero-day exploits used in the wild were variations of previous issues

2023/07/30 SecurityAffairs — Google Threat Analysis Group (TAG) の Maddie Stone が、野放し状態のゼロデイ脆弱性について執筆する、2022年のイヤー・イン・レビューが公表された。これは、2019／2020／2021 年に続く、４年目のレビューでもある。研究者たちは 2022年において、アクティに悪用された 41 件のゼロデイ欠陥を開示したが、これは2014年半ばに追跡を開始して以来、２番目の記録となった。ちなみに、最悪だったのは、2021 年の 69 件である。

Google が提案する WEI API：大反対する Vivaldi／Brave／Firefox などの言い分は？

Browser developers push back on Google’s “web DRM” WEI API

2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi／Brave／Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。

Android マルウェアの新たな手口：OCR を悪用してキャプチャ画像から機密情報を窃取

New Android Malware CherryBlos Utilizing OCR to Steal Sensitive Data

2023/07/29 TheHackerNews — CherryBlos という新たな Android マルウェアが、OCR 技術を悪用することで、写真に保存された機密データを収集していることが確認された。Trend Micro によると、SNS プラットフォーム上の偽の投稿を介して配布される CherryBlosは、暗号通貨ウォレット関連の認証情報を盗む機能を備えており、事前に定義された形式に一致する文字列を、被害者がクリップボードにコピーした際に、ウォレット・アドレスを置き換えるクリッパーとして動作する。

Windows ローカル検索の悪用：攻撃者のサーバからトロイの木馬をダウンロード

Hackers Abusing Windows Search Feature to Install Remote Access Trojans

2023/07/28 TheHackerNews — Windows の正規の検索機能が、脅威アクターたちにより悪用されている。その結果として、リモート・サーバから AsyncRAT／Remcos RAT などのリモート・アクセス型トロイの木馬がダウンロードされ、標的とされるシステムが危険にさらされている。Trellix によると、この新しい攻撃手法は、”search-ms:” URI プロトコル・ハンドラを悪用しているようだ。URI プロトコル・ハンドラとは、デバイス上でアプリや HTML リンクが、カスタム・ローカル検索を起動するための機能であり、”search:” アプリケーション・プロトコルは、Windows 上でデスクトップ検索アプリケーションを呼び出すためのメカニズムである。

IDOR 脆弱性がデータ漏洩に悪用されている：ACSC／CISA／NSA が共同勧告

Cybersecurity Agencies Warn Against IDOR Bugs Exploited for Data Breaches

2023/07/28 TheHackerNews — オーストラリアおよび米国のサイバーセキュリティ機関が、共同サイバー・セキュリティ・アドバイザリを発表した。同アドバイザリは、脅威アクターにより悪用される可能性のある、Web アプリケーションのセキュリティ脆弱性を警告するものだ。この脆弱性には、Insecure Direct Object Reference (IDOR) と呼ばれる特定のクラスのバグが含まれる。これはアクセス制御の脆弱性の一種であり、ユーザーから提供された入力または識別子を追加の検証なしに、データベース・レコードなどの内部リソースに、アプリケーションがダイレクトにアクセスする場合に発生する。

Nitrogen というキャンペーン：Google／Bing の広告を介してマルウェアを展開

New Nitrogen malware pushed via Google Ads for ransomware attacks

2023/07/26 BleepingComputer — Nitrogen マルウェアによる、イニシャル・アクセス・キャンペーンは、Google や Bing などの検索広告で偽ソフトウェア・サイトを宣伝し、疑念を持たないユーザーたちに、Cobalt Strike やランサムウェアのペイロードに感染させていくものだ。Nitrogen マルウェアの目的は、企業ネットワークへのイニシャル・アクセスを脅威アクターたちに提供し、データ窃取やサイバー・スパイ活動を行わせ、最終的に BlackCat／ALPHV ランサムウェアを展開させることにある。7月26日に Sophos が発表したレポートには、Nitrogen キャンペーンに関する詳細な説明として、AnyDesk／Cisco AnyConnect VPN／TreeSize Free／WinSCP などの一般的なソフトウェアになりすまし、主に北米の技術組織や非営利組織をターゲットにしている状況が記されている。

FraudGPT という悪意の生成 AI ツール：月額 $200 で ChatGPT の代替品

New AI Tool ‘FraudGPT’ Emerges, Tailored for Sophisticated Attacks

2023/07/26 TheHackerNews — WormGPT の足跡をたどる脅威アクターたちは、さまざまなダークウェブ・マーケットプレイスや Telegram チャンネルで、FraudGPT と名付けたサイバー犯罪生成 AI ツールを宣伝している。7月25日 (火) に発表されたレポートの中で、Netenrich の Security Researcher である Rakesh Krishnan は、「これは AI ボットであり、スピアフィッシング・メールの作成／クラッキングツールの作成／カーディングなどの攻撃に特化したものだ」と述べている。Netenrich によると、このサービスは遅くとも 2023年7月22日以降において、月額 $200 (半年 $1,000／1年 $1,700) で提供されているという。

Decoy Dog マルウェア：DNS を悪用する APT たちが好むツールキットとは？

Decoy Dog Malware Upgraded to Include New Features

2023/07/25 InfoSecurity — 今日に発表された Infoblox の脅威レポートにより、Decoy Dog という RAT ツールキットの最新情報が公開された。この Decoy Dog は、2023年4月に発見・公開されたものであるが、DNS を Command and Control (C2) に使用するという特徴を持ち、以前に考えられていたよりも巧妙なことが判明しており、現在進行中の国家によるサイバー攻撃で使用されている疑いがある。そのツールキットを Infoblox を公開した後に、背後で操る脅威アクターは迅速に対応し、侵害したデバイスへのアクセスを維持するためにシステムを適応させている。

JumpCloud ハッキング：北朝鮮の RGB に属する脅威アクターが関与か？

North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder

2023/07/25 TheHackerNews — 北朝鮮の General Bureau (RGB) に所属する活動家たちが、JumpCloud のハッキングに関与しているようだ。Google 傘下の Mandiant は、UNC4899 という名前で追跡している脅威アクターに起因する活動だとしている。このグループは、ブロックチェーンと暗号通貨セクターを攻撃してきた Jade Sleet／TraderTraitor として監視されている、クラスターと重複している可能性が高いようだ。また、UNC4899 は APT43 とも重なっている。APT43 とは、北朝鮮 (DPRK) に関連する別のハッキング・グループであり、2023年3月の初旬に、標的とした企業から暗号通貨を吸い上げるための、一連のキャンペーンを実施していることが明らかになっている。

バンキング OSS サプライチェーン攻撃：銀行員を装う脅威アクターが悪意の npm パッケージを展開

Banking Sector Targeted in Open-Source Software Supply Chain Attacks

2023/07/24 TheHackerNews — 銀行業界を初めて標的とする、オープンソース・ソフトウェアのサプライチェーン攻撃が、サイバー・セキュリティの研究者たちにより発見された。Checkmarx は先週に公開したレポートで、「これらの攻撃では、被害者である銀行の Web 資産に悪意の機能を追加することで、特定のコンポーネントを標的にするといった、高度なテクニックが使用されている」と述べている。

AI を悪用する６つの攻撃パターン：Google による分類と解説とは？

Google Categorizes 6 Real-World AI Attacks to Prepare for Now

2023/07/21 DarkReading — Google の研究者たちは、現実の AI システムに対して起こり得る６つの攻撃スタイルを特定し、それらの一般的な攻撃ベクターが独特の複雑性を示すことを発見した。今週に発表した報告書の中で、Google の AI 専門レッドチームは、この急成長するテクノロジーに対する各種の脅威を、すでに発見していることを明らかにした。その内容は、ChatGPT や Google Bard などの、生成 AI 製品を駆動する LLM (large language models) を、攻撃者が悪用する方法が主体となっている。

Microsoft プラットフォームを攻撃する Azure AD 偽造トークン： Outlook 以外にも拡大している

Azure AD Token Forging Technique in Microsoft Attack Extends Beyond Outlook, Wiz Reports

2023/07/21 TheHackerNews — Microsoft のＥメールインフラに対する、中国の APT である Storm-0558 の攻撃だが、これまで考えられていたよりも、広範囲に及んでいることが、最近になって分かってきた。この攻撃の対象となっているのは、OneDrive／SharePoint／Teams などの個人アカウント認証をサポートする全てのアプリケーション、および、”Login with Microsoft functionality” をサポートするユーザー・アプリケーション、そして、特定の条件下でのマルチテナント・アプリケーションなどである。

Lazarus が開発者を狙っている：悪意の GitHub プロジェクトに御用心

GitHub warns of Lazarus hackers targeting devs with malicious projects

2023/07/20 BleepingComputer — GitHub が警告しているソーシャル・エンジニアリング・キャンペーンは、ブロックチェーン／暗号通貨／オンライン・ギャンブル／サイバー・セキュリティなどの分野の、開発者のアカウントを標的とし、彼らのデバイスにマルウェアに感染させるものだ。このキャンペーンは、北朝鮮国家支援のハッキング・グループ Lazarus と関連づけられている。Microsoft が Jade Sleet と呼び、CISA が TraderTraitor と呼ぶ、この脅威アクターの手口を詳述したレポートは、2022年に米国政府から発表されている。このハッキング・グループは、暗号通貨企業やサイバー・セキュリティ研究者たちを標的とした、サイバースパイ活動や暗号通貨の窃取を行ってきた。

Web 会議ツール Apache OpenMeetings の深刻な脆弱性 CVE-2023-29032 など

Apache OpenMeetings Web Conferencing Tool Exposed to Critical Vulnerabilities

2023/07/20 TheHackerNews — Web 会議ソリューションである Apache OpenMeetings に、複数のセキュリティ上の脆弱性が存在することが明らかになった。その悪用に成功した攻撃者により、管理者アカウントの制御を奪取され、サーバ上で悪意のコードを実行される可能性があるという。Sonar の Vulnerability Researcher である Stefan Schiller は、「攻撃者は、アプリケーションを想定外の状態に追い込み、管理者アカウントなどの、各種のユーザー・アカウントを乗っ取ることができる」と、The Hacker News と共有したレポートの中で述べている。

RDP は便利だが RCE が怖い：脅威アクターたちが一点突破を狙う脆弱性とは？

A Few More Reasons Why RDP is Insecure (Surprise!)

2023/07/20 TheHackerNews — Remote Desktop Protocol (RDP) が、ずっと昔から存在しているように見えるとしたら、わずか数年の間に栄枯盛衰を繰り返す多くのテクノロジーに比べて、それはそうだと納得できる。RDP 4.0 として知られる初期バージョンは、1996年に Windows NT 4.0 Terminal Server エディションの一部としてリリースされた。それにより、ネットワーク接続を介するユーザーが、Windows ベースのコンピューターにリモート・アクセスし、操作できるようになった。その後の数十年の間に、 RDP は Windows ベースのシステムにおける、リモート・アクセスや管理で広範に利用されるプロトコルとなった。RDP が果たす役割により、リモートワーク／IT サポート／システム管理などが実現されてきた。そして、さまざまなリモート・デスクトップや VDI (Virtual Desktop Infrastructure) ソリューションの基盤となっている。

Microsoft がクラウド・ロギング機能を拡張：中国政府に支援される Storm-0558 攻撃への対応

Microsoft Expands Cloud Logging to Counter Rising Nation-State Cyber Threats

2023/07/20 TheHackerNews — 7月19日 (水) に Microsoft が発表したのは、同社の電子メール・インフラを狙う最近のスパイ攻撃キャンペーンを受けて、ユーザー組織におけるサイバー・セキュリティ・インシデントの、調査を促進して可視化を高めるための、クラウド・ロギング機能を拡張するというものだ。同社は、国家に支援されるサイバー犯罪が進化し、また、攻撃の頻度が増加していることにダイレクトに対応するために、この変更を行うと述べている。この変更は、2023年9月から。すべての政府機関および民間企業の顧客に展開される予定だ。

AI と Open Source の関係：半数以上のプロジェクトで脆弱なパッケージが使用されている

Half of AI Open Source Projects Reference Buggy Packages

2023/07/20 InfoSecurity — AI テクノロジー・スタック全体で、オープンソースが役割を拡大しているが、大半のプロジェクト (52％) ではマニフェスト・ファイルを用いて、既知の脆弱な依存関係が参照されていると、Endor Labs は指摘している。セキュリティ・ベンダーである Endor Labs の最新レポート State of Dependency Management によると、ChatGPT の API はリリースから僅か５ヶ月で、”多様な問題領域”にまたがる 900件の npm／PyPI パッケージで使用されており、これらのパッケージの 70% は真新しいものだという。しかし、あらゆるオープンソース・プロジェクトと同様に、脆弱な依存関係に伴うセキュリティ・リスクは管理される必要があると、Endor Labs は警告している。

エンタープライズ・セキュリティにおけるマクロ・シフトを探る – Scale 調査

Exploring the macro shifts in enterprise security

2023/07/20 HelpNetSecurity — Scale の 2023 Cybersecurity Perspectives Survey によると、ランサムウェア攻撃とデータ侵害の成功件数は昨年１年間で 30％減少したが、ユーザー組織から報告されたセキュリティ・インシデントの種類は増加した。実際のところ、71％の組織が３種類以上のセキュリティ・インシデントを経験しており、前年比で 51％増となっている。特にクラウドの状況が急速に進化し、人手不足が続いている中で、ネットワークを保護するための困難な戦いに、セキュリティ・チームは直面し続けている。

JumpCloud で APT データ侵害：顧客データの漏洩により深刻化している

JumpCloud Confirms Data Breach By Nation-State Actor

2023/07/18 InfoSecurity — ID およびアクセス管理のソリューション・プロバイダーである JumpCloud は、国家を標的とする脅威アクターによる、セキュリティ侵害の標的になったことを、2023年7月12日に明らかにした。この侵害は 6月27日に、社内のオーケストレーション・システムで異常なアクティビティが検出されたことで明らかになった。このインシデントは、6月22日に脅威アクターが開始したスピア・フィッシング・キャンペーンにより、JumpCloud インフラの特定のセクションに不正アクセスは発生したというものだ。

VirusTotal からリークした個人情報：米国とドイツの諜報機関などの職員 5,600 人が被害

VirusTotal leaked data of 5,600 registered users

2023/07/18 HelpNetSecurity — VirusTotal がデータ流出に見舞われ、登録ユーザー 5,600人の氏名と電子メール・アドレスが流出した。この流出したデータには、米国とドイツの諜報機関などの職員に関する情報も含まれていると報じられている。Google 傘下の VirusTotal は、疑わしいファイルや URL を分析する人気のオンライン・サービスであり、ウイルス対策エンジンや Web サイト・スキャナーを通じて、マルウェアや悪意のあるコンテンツを検出している。

Azure AD 署名キーが盗まれた方法：依然として不明だと Microsoft が公表

Microsoft still unsure how hackers stole Azure AD signing key

2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。