今週の気になるセキュリティニュース - Issue #114


podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


3CX への侵入事件について続報

(4/11) 3CX Security Update 11 April 2023 | Mandiant Initial Results

Based on the Mandiant investigation into the 3CX intrusion and supply chain attack thus far, they attribute the activity to a cluster named UNC4736. Mandiant assesses with high confidence that UNC4736 has a North Korean nexus.


(4/13) 議会ソリューションサービス 一時停止に係るお詫び|株式会社フューチャーイン



NTTセキュリティが Chrome の偽エラー画面からマルウェアを配布する攻撃キャンペーンについて報告

(4/11) 改ざんされたWebサイトからGoogle Chromeの偽エラー画面を使ってマルウェアを配布する攻撃キャンペーンについて, Rintaro Koike

SOCでは2022年11月頃から、Google Chromeのエラー画面を装ったWebページからマルウェアを配布する攻撃キャンペーンを観測しています。2023年2月頃から活発化し、非常に広い範囲でマルウェアダウンロードが確認されており、十分に注意が必要です。本稿では、攻撃キャンペーンの概要とマルウェアについて紹介します。

Microsoft が CVE-2022-21894 の脆弱性を悪用する BlackLotus の攻撃に対する調査ガイドを公開

(4/11) Guidance for investigating attacks using CVE-2022-21894: The BlackLotus campaign - Microsoft Security Blog

This guide provides steps that organizations can take to assess whether users have been targeted or compromised by threat actors exploiting CVE-2022-21894 via a Unified Extensible Firmware Interface (UEFI) bootkit called BlackLotus.

KasperskyWindows のゼロデイ脆弱性を悪用する Nokoyawa ランサムウェアの攻撃活動について報告

(4/11) Nokoyawa ransomware attacks with Windows zero-day | Securelist

In February 2023, Kaspersky technologies detected a number of attempts to execute similar elevation-of-privilege exploits on Microsoft Windows servers belonging to small and medium-sized businesses in the Middle East, in North America, and previously in Asia regions. These exploits were very similar to already known Common Log File System (CLFS) driver exploits that we analyzed previously, but we decided to double check and it was worth it – one of the exploits turned out to be a zero-day, supporting different versions and builds of Windows, including Windows 11. The exploit was highly obfuscated with more than 80% of the its code being “junk” elegantly compiled into the binary, but we quickly fully reverse-engineered it and reported our findings to Microsoft. Microsoft assigned CVE-2023-28252 to the Common Log File System elevation-of-privilege vulnerability, and a patch was released on April 11, 2023, as part of April Patch Tuesday.

Citizen Lab がイスラエルの QuaDream 社のスパイウェアによる攻撃活動について報告

(4/11) Sweet QuaDreams: A First Look at Spyware Vendor QuaDream’s Exploits, Victims, and Customers - The Citizen Lab

Based on an analysis of samples shared with us by Microsoft Threat Intelligence, we developed indicators that enabled us to identify at least five civil society victims of QuaDream’s spyware and exploits in North America, Central Asia, Southeast Asia, Europe, and the Middle East. Victims include journalists, political opposition figures, and an NGO worker. We are not naming the victims at this time.

(4/11) DEV-0196: QuaDream’s “KingsPawn” malware used to target civil society in Europe, North America, the Middle East, and Southeast Asia - Microsoft Security Blog

Microsoft Threat Intelligence analysts assess with high confidence that a threat group tracked by Microsoft as DEV-0196 is linked to an Israel-based private sector offensive actor (PSOA) known as QuaDream. QuaDream reportedly sells a platform they call REIGN to governments for law enforcement purposes. REIGN is a suite of exploits, malware, and infrastructure designed to exfiltrate data from mobile devices.

Cloudflare が 2023年第 1四半期の DDoS threat report を公開

(4/11) DDoS threat report for 2023 Q1

Kaspersky北朝鮮の攻撃者グループ Lazarus の攻撃キャンペーンについて報告

(4/12) Following the Lazarus group by tracking DeathNote campaign | Securelist

JPCERT/CC が暗号資産交換業者を標的とする攻撃活動について報告

(4/13) 暗号資産交換業者を標的とするParallax RAT感染を狙った活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

JPCERT/CCでは、2023年2月ごろに、暗号資産交換業者に対してマルウェアParallax RATを感染させようとする攻撃を確認しました。この攻撃は、スパムメールを暗号資産交換業者の社員に対して送信し、マルウェアに感染させようとするものでした。


ApplemacOS Monterey 12.6.5, macOS Big Sur 11.7.6, iOS 15.7.5 / iPadOS 15.7.5 をリリース。すでに悪用が確認されている脆弱性の修正を含む。

(4/10) Apple security updates - Apple Support

CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+1+2 個の脆弱性を追加

(4/10) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(4/11) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(4/13) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

Microsoft が 2023年 4月の月例パッチを公開。すでに悪用が確認されている脆弱性の修正を含む。

(4/11) 2023 年 4 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28252 Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。 詳細は、CVE-2023-28252 を参照してください。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28250 Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性 および CVE-2023-21554 Microsoft Message Queuing のリモートでコードが実行される脆弱性は、CVSS 基本値が 9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各 CVE のページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。

(4/11) Zero Day Initiative — The April 2023 Security Update Review

(4/11) QueueJumper: Critical Unauthenticated RCE Vulnerability in MSMQ Service - Check Point Research

Check Point Research recently discovered three vulnerabilities in the “Microsoft Message Queuing” service, commonly known as MSMQ. These vulnerabilities were disclosed to Microsoft and patched in the April Patch Tuesday update. The most severe of these, dubbed QueueJumper by CPR (CVE-2023-21554), is a critical vulnerability that could allow unauthenticated attackers to remotely execute arbitrary code in the context of the Windows service process mqsvc.exe.

(4/14) CVE-2023-21554: MSMQ - Censys

GoogleChrome のゼロデイ脆弱性を修正

(4/14) Chrome Releases: Stable Channel Update for Desktop


Windows の LAPS (Local Administrator Password Solution) がデフォルトで Windows に組み込まれる

(4/11) By popular demand: Windows LAPS available now! - Microsoft Community Hub

Welcome to the new and improved Windows LAPS! That's Local Administrator Password Solution. We've been listening to your feedback and requests, and the day is finally here for both cloud and on-premises environments.

We're very happy to announce that new LAPS capabilities are coming directly to your devices starting with today's April 11, 2023 security update for the following Windows editions:

(お知らせ) 今年の CODE BLUE は 11/8,9 に開催

(4/12) 日本最大級のサイバーセキュリティ国際会議『CODE BLUE 2023』11月8日・9日の2日間 赤坂インターシティAIRにて2019年ぶりリアル限定開催|CODE BLUE実行委員会 のプレスリリース

(お知らせ) Hardening Designers Conference 2023 が 5/18〜5/20 に開催

(4/14) Hardening Designers Conference 2023 - Hardening Project | Doorkeeper