top of page

LazarusのハッカーがLog4jの脆弱性経由で新しいRATを展開

1. WordPress、ウェブサイトをRCE攻撃にさらすPOPチェーンの重大な欠陥にパッチを適用


WordPressはバージョン6.4.2をリリースしました。このバージョンでは、重要なリモートコード実行(RCE)の脆弱性が修正されています。この脆弱性は、別の脆弱性と組み合わせると、攻撃者が対象のウェブサイトで任意のPHPコードを実行することを可能にします。この脆弱性は、WordPressコアバージョン6.4内のWP_HTML_Tokenクラスで見つかりました。これはブロックエディタでHTML解析を向上させるものですが、同時にProperty Oriented Programming(POP)チェーンの脆弱性を作成しています。


この欠陥を悪用するには、PHPのunserialize()関数を介して逆シリアル化されたオブジェクトのすべてのプロパティを制御する必要があり、これにより ' _wakeup()'などのマジックメソッドに送信される値を操作することで、アプリケーションのフローに潜在的な影響を与える可能性があります。 RCEは直接コアで悪用できませんが、特定のプラグインと組み合わせると、特にマルチサイトの設定では重大なリスクが発生し、ユーザーに注意が喚起されています。ユーザーはWordPressを最新バージョン6.4.2にアップデートして、これらの脆弱性を軽減するようにアドバイスされています。



2. Log4jの悪用: LazarusグループがDLangベースのRATを展


CVE-2021-44228としても知られる「Log4Shell」の持続的な悪用が、Lazarusハッキンググループによって行われ、DLangプログラミング言語で書かれた3つの新しいマルウェアファミリーが導入されました。Log4jの以前にパッチされたRCEの欠陥であるにもかかわらず、この脆弱性は特に公然とされたVMWare Horizonサーバーに影響を与え、重大なセキュリティリスクのままです。シスコタロスによる「Operation Blacksmith」と名付けられた調査によれば、LazarusはNineRAT、DLRAT、およびBottomLoaderを展開し、それぞれTelegram APIを使用してコマンドと制御、システム情報の収集、およびPowerShellベースのペイロードの実行を行っています。


DLangの使用は、Lazarusの戦術の変化を示しており、おそらく検出を回避することを意図している可能性があります。シスコはまた、LazarusがNineRATで収集したデータを他の脅威グループと共有する可能性があると示唆しており、即時のLog4jのアップデート、ネットワークのセグメンテーション、アクセス制御の強化、および最小権限の原則の遵守がリスクを軽減するために必要であることを強調しています。



3. CVE-2023-50164: Apache Struts 2 に新たな致命的な RCE 脆弱性を発見


Struts 2オープンソースのWebアプリケーションフレームワークにおける重大なセキュリティの欠陥が特定され、これに対応してApacheがセキュリティアドバイザリを発行しました。この脆弱性はRCEのリスクを抱えています。Strutsは、企業向けのWebアプリケーションに対してモデル-ビュー-コントローラー(MVC)アーキテクチャを採用するJavaフレームワークであり、不適切な「ファイルのアップロードロジック」から生じる脆弱性の影響を受けやすいです。


この欠陥は、不正なパスのトラバーサルを可能にし、悪意のあるファイルがアップロードされ、任意のコードが実行される悪用のシナリオを引き起こす可能性があります。実世界の攻撃で脆弱性が悪用されたと示す証拠がないにもかかわらず、以前のセキュリティの欠陥、特にCVSSスコアが10.0のCVE-2017-5638を武器化することに成功した脅威アクターがいたことを強調することは重要です。Strutsをバージョン2.5.33および6.3.0.2以上にアップデートすることで、リスクを軽減できる可能性があります。



4. マイクロソフトのパッチ・チューズデーは、AMDのゼロデイを含む34の脆弱性に対処


12月のパッチTuesdayで、Microsoftは34の脆弱性に対処するセキュリティアップデートをリリースしました。その中には8つの重大なRCE(リモートコード実行)のバグも含まれています。このパッチは、特定のAMDプロセッサに影響を与え、仕様上のリークのリスクを引き起こす既知のゼロデイの脆弱性、CVE-2023-20588を解決します。AMDが以前に対処策を示唆していたにもかかわらず、Microsoftの更新がこの除算ゼロの脆弱性に対する修正を提供し、影響を受けるAMDプロセッサ上の機密データを保護するためのベストプラクティスの遵守の重要性を強調しています。


このパッチは、特権昇格、情報開示、サービスの拒否、およびスプーフィングなどのさまざまな脆弱性カテゴリも対象としています。ユーザーへの推奨事項には、定期的なソフトウェアのアップデート、強力なパスワードの使用、二要素認証の有効化、および重要なデータのバックアップなど、追加のセキュリティ対策が含まれています。



5. ロシアのAPT28ハッカー、13カ国を標的に進行中のサイバースパイ活動


ロシアのAPT28脅威ハッカー(ITG05とも呼ばれる)は、「HeadLace」と呼ばれるカスタムのバックドアを展開し、進行中のイスラエル-ハマスの紛争に関連する誘因を利用して、マルウェアを世界中に広めています。研究者は、ハンガリー、トルコ、オーストラリア、およびウクライナを含む少なくとも13か国を対象にしたこのキャンペーンを明らかにしました。


この作戦では、学術、財政、外交機関の本物の文書を誘因として使用し、特に人道的支援の割り当てに関与するヨーロッパの組織を標的にしています。WinRARの脆弱性(CVE-2023-38831)を利用して、HeadLaceバックドアを伝播させています。このキャンペーンは、その適応性と公共の脆弱性の悪用に特徴があり、サイバー脅威のランドスケープが継続的で動的であることを強調しています。ITG05の洗練されたかつ進化する戦術がもたらすリスクを緩和するためには、用心深さと積極的なセキュリティ対策が不可欠です。



閲覧数:0回0件のコメント

最新記事

すべて表示

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる 新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であ

エージェント・テスラ、MSエクセルの欠陥を悪用したフィッシング攻撃を継続中

1. Nimベースのマルウェアを配信するためのおとりMicrosoft Word文書 最近のフィッシング・キャンペーンでは、Microsoft Wordの添付ファイルをおとりとして使用し、Nimでプログラムされたバックドアを配信している。セキュリティアナリストは、NimzaLoader、Nimbda、Dark Powerランサムウェアなどの事例を挙げ、攻撃者がNimに移行していることを示しながら、

bottom of page