top of page

CISAがジュニパー製デバイスの脆弱性について重大な警告を発出

1. ObjCShellzマルウェアでmacOSマシンをハッキングしたBlueNoroffが非難される


北朝鮮と関連づけられたBlueNoroff APTグループが、RustBucketキャンペーンに類似した新たに特定されたmacOSを標的としたマルウェア「ObjCShellz」を持って現れました。BlueNoroffに関連する以前に関連づけられた疑わしいドメインに接続するMach-Oバイナリを調査中に発見され、ObjCShellzはObjective-Cでコーディングされ、攻撃者のコマンドアンドコントロール(C2)サーバーからのコマンドを実行するためのリモートシェルとして機能しています。


マルウェアの初期アクセス手法はまだ明確ではありませんが、ソーシャルエンジニアリングの戦術を通じて拡散される可能性が示唆されています。暗号通貨に関連するドメインへの焦点は、仮想通貨取引所セクター内での潜在的な標的を示唆しています。


このような攻撃を防ぐためには、異常検出機能を備えた堅牢なネットワークモニタリングツールを導入し、エンドポイントセキュリティを強化し、さらにユーザーがソーシャルエンジニアリングの試みを認識し抵抗できるようにするための徹底的なトレーニングセッションを実施することが推奨されています。



2. CISA、アクティブ・エクスプロイトに対するジュニパー製デバイスのセキュリティ確保に向けた早急な対応を要請


CISA(サイバーセキュリティおよびインフラストラクチャセキュリティ庁)は、現在リモートコード実行攻撃で悪用されている4つの脆弱性(CVE-2023-36844からCVE-2023-36847)に対処するため、連邦機関にJuniperデバイスのセキュリティを強化するよう警告を発表しました。これらの脆弱性はJuniperのJ-Webインターフェースに存在し、特定のリクエストを組み合わせて認証なしで任意のファイルをアップロードすることで、事前認証なしでのリモートコード実行を可能にし、重大なリスクをもたらします。


Juniperのセキュリティ更新が公開された直後に悪用の試みが検出され、それと同時にプルーフ・オブ・コンセプト(PoC)のエクスプロイトが公表されました。ShadowServerのデータによれば、オンラインに公開されている脆弱なJuniperデバイスは1万台以上あり、特に韓国で顕著な集中が見られます。


管理者には、JunOSを最新のリリースにアップグレードしてデバイスをすぐに保護するよう勧告されています。最小の予防措置として、J-Webを無効にするか、J-Webインターフェースへのインターネットアクセスを制限して攻撃ベクトルを排除することも推奨されています。



3. PyPI上のPythonパッケージでBlazeStealerマルウェアが発見される


セキュリティの専門家たちは最近、Python Package Index(PyPI)リポジトリ内に一連の悪意のあるPythonパッケージを発見しました。これらのパッケージは無害な難読化ツールを装っていますが、実際にはBlazeStealerとして知られるマルウェアを含んでいます。この取り組みは2023年1月に始まり、以下の8つのパッケージを含んでいます:Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvance、Pyobfuse、およびpyobfgood。


これらのパッケージに埋め込まれたBlazeStealerマルウェアは、被害を受けたホストでさまざまな有害なアクションを実行できます。これには、パスワードやスクリーンショットなどの機密情報の収集、任意のコマンドの実行、ファイルの暗号化、およびMicrosoft Defender Antivirusの無効化が含まれます。さらに、マルウェアはDiscordボットを使用して、ハッカーと感染したシステムとのコミュニケーションを合理化しています。ソフトウェア開発において慎重なオープンソースの取り組みと、革新と厳格なパッケージの審査をバランスよく行うことは、強靭で安全な開発エコシステムのために重要です。



4. 中国のハッカーがカンボジアの24の組織に極秘スパイ攻撃を開始


セキュリティの専門家たちは、2つの中国の国家ハッキンググループによる洗練されたサイバー攻撃を検知しました。これらの攻撃は、カンボジア政府の24の重要な組織を標的にしています。これらの組織は、国防、選挙監視、人権、金融、政治、通信など、機密データを含む重要なセクターを包括しています。観察されたサイバーキャンペーンは、価値ある政府ネットワークへの持続的なアクセスを求める広範なスパイ活動の一部であると考えられています。


特筆すべきは、ハッカーが活動をカンボジアの営業時間に合わせ、中国の黄金週間や『特殊労働日』の休日に合わせて行動を調整したことで、その拠点が中国にあることを示唆しています。攻撃者は、クラウドストレージサービスを装ったサブドメインをホストするサーバーに悪意のあるSSL証明書を使用し、データの不正な持ち出しを正当化する可能性があり、検出を回避するために選択的なIPフィルタリングや欺瞞的なポート戦略を展開しました。


定期的にSSL証明書をモニタリングおよび検証し、高度な異常検出ツールを導入し、定期的にIPフィルタリングのルールを見直して更新することが推奨されています。これにより、このような高度な脅威に対するセキュリティ防御を強化できます。



5. VMware、Cloud Directorのパッチ未適用の重大な脆弱性に関する注意喚起を発表


VMwareは、未修正の重大な脆弱性に対するユーザーへの警告を発表しました。この脆弱性は、認証セーフガードを回避しようとする悪意のある存在による悪用のリスクをもたらします。VMware Cloud Director Appliance 10.5の更新版では、ネットワークアクセス権を持つ悪意のあるハッカーがポート22(SSH)またはポート5480(アプライアンス管理コンソール)で認証を行う際に、ログイン制限を回避するセキュリティ上の脆弱性が存在しています。


重要なのは、この回避がポート443(VCDプロバイダーおよびテナントのログイン)では発生しないということです。さらに、この脆弱性はVMware Cloud Director Appliance 10.5の新規インストールには存在しません。この欠陥は、以前のバージョンからバージョン10.5にアップグレードされたインスタンスに影響を与えます。

VMwareはまだこの欠陥に対するパッチをリリースしていませんが、代わりにシェルスクリプト(「WA_CVE-2023-34060.sh」)の形でワークアラウンドを提供しています。

閲覧数:1回0件のコメント

最新記事

すべて表示

2023年、GitHubユーザーから1280万件の認証秘密が流出

1. WogRATマルウェア、aNotepadを悪用してWindowsおよびLinuxシステムを秘密裏に攻撃 最近発見されたマルウェア「WogRAT」は、悪意のあるコードを保存・取得するための秘密のチャネルとしてオンライン・メモ帳プラットフォーム「aNotepad」を利用し、WindowsとLinuxの両方のシステムに重大な脅威をもたらします。このマルウェアは2022年後半から活動しており、主に日

LockBitランサムウェア、高度な暗号化ツールで進化

1. ムスタング・パンダのサイバー兵器庫 アジアを標的とする高度なDOPLUGS亜種 中国に関連する脅威行為者である、Mustang Pandaは、DOPLUGSとして知られるPlugXバックドアのカスタマイズバージョンを使用して、複数のアジア諸国への攻撃を強化しています。この亜種は主にPlugXコマンドモジュールのダウンローダーとして機能し、主に台湾とベトナムを標的としています。攻撃の連鎖は通常

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

Comentários


bottom of page