今週の気になるセキュリティニュース - Issue #109

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

ドイツ、ウクライナなど欧米の法執行機関の協力により、DoppelPaymer ランサムウェアの犯罪者グループを摘発

(3/6) Germany and Ukraine hit two high-value ransomware targets | Europol

During the simultaneous actions, German officers raided the house of a German national, who is believed to have played a major role in the DoppelPaymer ransomware group. Investigators are currently analysing the seized equipment to determine the suspect’s exact role in the structure of the ransomware group. At the same time, and despite the current extremely difficult security situation that Ukraine is currently facing due to the invasion by Russia, Ukrainian police officers interrogated a Ukrainian national who is also believed to be a member of the core DoppelPaymer group. The Ukrainian officers searched two locations, one in Kiev and one in Kharkiv. During the searches, they seized electronic equipment, which is currently under forensic examination.

(3/6) Core DoppelPaymer ransomware gang members targeted in Europol operation


JALスマイルキャンペーン」の国内線航空券タイムセール開始直後からアクセスが集中し、JAL Webサイトにつながりにくくなったため、その後タイムセールを中止

(3/9) 「JALスマイルキャンペーン」国内線航空券タイムセールの販売中止について|プレスリリース|JAL企業サイト


米司法省が NetWire マルウェアの販売サイトを差し押え、管理者を逮捕

(3/9) Central District of California | Federal Authorities Seize Internet Domain Selling Malware Used to Illegally Control and Steal Data from Victims’ Computers | United States Department of Justice

(3/9) Who’s Behind the NetWire Remote Access Trojan? – Krebs on Security


さくらインターネットの一部サービスで障害

(3/10) メンテナンス・障害情報・機能追加|さくらインターネット公式サポートサイト


攻撃、脅威

Mandiant が SonicWall SMA に感染するマルウェアの活動について報告

(3/6) Suspected Chinese Campaign to Persist on SonicWall Devices, Highlights Importance of Monitoring Edge Devices | Mandiant

Mandiant, working in partnership with SonicWall Product Security and Incident Response Team (PSIRT), has identified a suspected Chinese campaign that involves maintaining long term persistence by running malware on an unpatched SonicWall Secure Mobile Access (SMA) appliance. The malware has functionality to steal user credentials, provide shell access, and persist through firmware upgrades. Mandiant currently tracks this actor as UNC4540.


Emotet が 3/7 からメール送信を再開

(3/7) Emotet Sending Malicious Emails After Three-Month Hiatus

(3/7) Emotet malware attacks return after three-month break

(3/8 更新) マルウェアEmotetの感染再拡大に関する注意喚起

2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。

また、最新のEmoCheckでEmotetを検知できないケースも確認しているため、検知手法の更新の可否も含めて調査を行い、ツールのアップデートなどの進捗があれば適宜情報を更新いたします。引き続き警戒いただき、対策や対応時には本注意喚起やFAQの最新の情報をご参照ください。

(3/8 更新) Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構


脆弱性

Microsoft Word の脆弱性 CVE-2023-21716 の PoC が発見者によって公開

(3/6) Proof-of-Concept released for critical Microsoft Word RCE bug


CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+2 個の脆弱性を追加

(3/7) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

(3/10) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(3/9 更新) VMSA-2022-0027.1

Updated advisory with information that VMware has received reports of exploitation activities in the wild involving CVE-2021-39144.

(3/10) CISA warns of critical VMware RCE flaw exploited in attacks

(3/11) CISA warns of actively exploited Plex bug after LastPass breach


Fortinet が 3/7 に公開した脆弱性 CVE-2022-41328 について詳細を報告

(3/9) Analysis of FG-IR-22-369 | Fortinet Blog

Fortinet published a CVSS Medium PSIRT Advisory (FG-IR-22-369 / CVE-2022-41328) on March 7th, 2023. The following write-up details our initial investigation into the incident that led to the discovery of this vulnerability and additional IoCs identified during our ongoing analysis.


その他

NICT が 2022年第 4四半期の NICTER観測統計を公開

(3/7) NICTER観測統計 - 2022年10 月~12月 - NICTER Blog


NTTドコモが 3月下旬から dアカウントにおいて「パスキー認証」を提供すると発表

(3/8) dアカウント 「パスキー認証」の提供開始について | お知らせ | NTTドコモ


総務省が「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

(3/8) 総務省|報道資料|「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表