top of page

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる


新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であり、敵対者がホストを侵害するための戦略を多様化させるための持続的な努力が明らかになっています。


感染しやすいDockerホストへの伝播方法は明確ではありませんが、攻撃はDocker APIを介して2つの悪意のあるコンテナを展開し、9HitsとXMRigのDocker Hubライブラリからイメージを取得することを含んでいます。 9Hitsコンテナは、指定されたサイトを訪問することで攻撃者にクレジットを生成し、2番目のコンテナはXMRigマイナーをホストし、侵害されたホストでリソース枯渇を引き起こします。この進化する脅威を緩和するために、即時の隔離、徹底した調査、定期的なパッチ適用、およびDockerセキュリティのベストプラクティスへの遵守が重要です。



2.アップル、2024年攻撃に悪用された初のゼロデイ脆弱性を解消


2024年最初のゼロデイ脆弱性であるCVE-2024-23222が、WebKitブラウザエンジンで発見され、Appleが迅速に対処しました。このタイプの混乱に関する欠陥は、クラフトされたWebコンテンツを操作することで任意のコードを実行することができます。サイバーセキュリティ・インフラストラクチャ庁(CISA)は、継続的な悪用が理由で、Apple WebKitのゼロデイをその既知の悪用された脆弱性カタログに追加しました。


影響を受ける製品には、iPhone、iPad、Mac、およびApple TVが含まれます。Appleは、この脆弱性に対処するための更新(iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、macOS Ventura 13.6.4、macOS Monterey 12.7.3、tvOS 17.3、Safari 17.3)をリリースし、ユーザーにパッチを迅速に適用することを推奨しています。企業は攻撃や関与する脅威アクターに関する詳細を開示せずに、問題を認識しています。



3.マイクロソフトの最高幹部の電子メールがロシアに関連する脅威行為者によって漏洩


マイクロソフトは、ロシアのAPTグループであるMidnight Blizzardによる国家レベルの攻撃を開示し、サイバーセキュリティおよび法務の幹部からの電子メールと添付ファイルの盗難が明らかにしました。この攻撃は2023年11月末に始まり、2024年1月12日に発見されました。Midnight Blizzardはパスワードスプレー攻撃を使用して非生産テストテナントアカウントに侵入し、その後、高位の幹部を含む限られた数のマイクロソフト社内の電子メールアカウントにアクセスしました。


侵害されたアカウント数や具体的にアクセスされた情報は開示されませんでしたが、マイクロソフトは自社製品にセキュリティの欠陥が悪用された証拠はなく、クライアント環境、生産システム、ソースコード、またはAIシステムへのアクセスの証拠も見つかりませんでした。企業は現在、影響を受けた従業員に通知しています。



4.Kasseikaランサムウェア、ウイルス対策ドライバを悪用してセキュリティツールを無効化


Kasseikaランサムウェアグループは、フィッシングメールを利用してリモート管理ツールを展開し、MicrosoftのSysinternals PsExecを使用して悪意のあるバッチスクリプトを実行するために、Bring Your Own Vulnerable Driver(BYOVD)攻撃技術を採用しました。スクリプトは「Martini.exe」プロセスを終了し、「Martini.sys」ドライバを展開し、991のセキュリティツールを無効にします。


プロセスとサービスを終了した後、「smartscreen_protected.exe」というランサムウェアのペイロードが開始され、ChaCha20およびRSAアルゴリズムを使用してファイルを暗号化します。Kasseikaは、72時間以内に50ビットコインの支払いを要求し、期限後24時間ごとに50万ドルの料金を請求すると脅しています。リスクを軽減するためのセキュリティ対策には、管理権限の制限、定期的なセキュリティ製品の更新、安全なデータバックアップ、および安全な電子メールやウェブサイトの習慣の実践が含まれます。



5.Ivanti Connect SecureおよびPolicy Secure Gatewayにおけるデュアルゼロデイの脅威


CISAは、Ivanti Connect SecureおよびIvanti Policy Secureの2つのゼロデイ脆弱性(CVE-2023-46805およびCVE-2024-21887)の積極的な悪用に対応して緊急指令を発行しました。これらの欠陥は、認証のバイパスとコマンドの注入を容易にするものであり、12月以来積極的に悪用され、さまざまなセクターで世界中のエンティティに影響を与えています。これらの脆弱性により、ハッカーは横断的に移動し、データを持ち出し、持続的なアクセスを確立することができます。


疑わしい中国支援のグループ、UTA0178/UNC5221が、16,200以上のICS VPNアプライアンスを標的にし、Webシェル、さまざまなマルウェアストレイン、および暗号マイナーを展開しています。組織は迅速にIvantiの緩和策を実施し、CISAに侵害を報告し、事件分析を実施し、回復手順に従って侵害された製品をリセットするよう促されています。








閲覧数:11回0件のコメント

最新記事

すべて表示

2023年、GitHubユーザーから1280万件の認証秘密が流出

1. WogRATマルウェア、aNotepadを悪用してWindowsおよびLinuxシステムを秘密裏に攻撃 最近発見されたマルウェア「WogRAT」は、悪意のあるコードを保存・取得するための秘密のチャネルとしてオンライン・メモ帳プラットフォーム「aNotepad」を利用し、WindowsとLinuxの両方のシステムに重大な脅威をもたらします。このマルウェアは2022年後半から活動しており、主に日

LockBitランサムウェア、高度な暗号化ツールで進化

1. ムスタング・パンダのサイバー兵器庫 アジアを標的とする高度なDOPLUGS亜種 中国に関連する脅威行為者である、Mustang Pandaは、DOPLUGSとして知られるPlugXバックドアのカスタマイズバージョンを使用して、複数のアジア諸国への攻撃を強化しています。この亜種は主にPlugXコマンドモジュールのダウンローダーとして機能し、主に台湾とベトナムを標的としています。攻撃の連鎖は通常

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

コメント


bottom of page