今週の気になるセキュリティニュース - Issue #118


podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


米司法省が 13の DDoS 攻撃代行サービス (booter/stresser) を一斉摘発

(5/8) Central District of California | Federal Authorities Seize 13 Internet Domains Associated with ‘Booter’ Websites that Offered DDoS Computer Attack Services | United States Department of Justice

As part of an ongoing initiative targeting computer attack “booter” services, the Justice Department today announced the court-authorized seizure of 13 internet domains associated with these DDoS-for-hire services.

(5/9) Feds Take Down 13 More DDoS-for-Hire Services – Krebs on Security

富士通Japan が自治体向けに提供するコンビニ交付サービスの印刷障害に関する続報

(5/9) 川崎市様における証明書誤交付ついて : 富士通Japan株式会社


(5/9) 当社「コンビニ交付」システムに対するデジタル庁様からのご要請について : 富士通Japan株式会社

(5/12) 徳島市様における「Fujitsu MICJET コンビニ交付」での印刷障害について : 富士通Japan株式会社


米司法省がロシアの攻撃者グループ Turla が利用する Snake マルウェアのネットワークを摘発

(5/9) Eastern District of New York | Justice Department Announces Court-Authorized Disruption of the Snake Malware Network Controlled by Russia's Federal Security Service | United States Department of Justice

The Justice Department today announced the completion of a court-authorized operation, codenamed MEDUSA, to disrupt a global peer-to-peer network of computers compromised by sophisticated malware, called “Snake”, that the United States Government attributes to a unit within Center 16 of the Federal Security Service of the Russian Federation (FSB). For nearly 20 years, this unit, referred to in court documents as “Turla,” has used versions of the Snake malware to steal sensitive documents from hundreds of computer systems in at least 50 countries, which have belonged to North Atlantic Treaty Organization (NATO) member governments, journalists, and other targets of interest to the Russian Federation. After stealing these documents, Turla exfiltrated them through a covert network of unwitting Snake-compromised computers in the United States and around the world.

(5/9) Hunting Russian Intelligence “Snake” Malware | CISA

Dragos が自社への侵入事案について報告

(5/10) Deconstructing a Cybersecurity Event | Dragos

On May 8, 2023, a known cybercriminal group attempted and failed at an extortion scheme against Dragos. No Dragos systems were breached, including anything related to the Dragos Platform.

警視庁が SIMスワップによる不正送金事件を摘発

(5/11) スマホ乗っ取り「SIMスワップ」で不正送金 警視庁摘発 - 日本経済新聞

(参考) SIMスワップ詐欺による暗号資産口座への不正送金事案についてまとめてみた - piyolog


(5/12) クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて | ニュース | TOYOTA Connected


(5/12) クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト


新たな Akira ランサムウェアの攻撃活動に関する報告

(5/7) Meet Akira — A new ransomware operation targeting the enterprise

(5/9) Akira Ransomware is “bringin’ 1988 back” – Sophos News

CyberArk がファイルを部分的に暗号化するランサムウェアに対する復旧ツールを公開

(5/8) White Phoenix: Beating Intermittent Encryption

Recently, a new trend has emerged in the world of ransomware: intermittent encryption, the partial encryption of targeted files. Many ransomware groups, such as BlackCat and Play, have adopted this approach. However, intermittent encryption is flawed. In this blog post, I will introduce White Phoenix, a tool my team built that takes advantage of the fact that those files aren’t entirely encrypted and can, in the right circumstances, salvage some content from the unencrypted parts of the files. While we will primarily focus on BlackCat, it’s important to note that White Phoenix is also effective against other ransomware.

Fortinet が AndoryuBot の攻撃活動について報告

(5/8) AndoryuBot – New Botnet Campaign Targets Ruckus Wireless Admin Remote Code Execution Vulnerability (CVE-2023-25717)b| FortiGuard Labs

In April, FortiGuard Labs observed a unique botnet based on the SOCKS protocol distributed through the Ruckus vulnerability (CVE-2023-25717). This botnet, known as AndoryuBot, first appeared in February 2023. It contains DDoS attack modules for different protocols and communicates with its command-and-control server using SOCKS5 proxies. Based on our IPS signatures trigger count (Figure 1), this campaign started distributing the current version sometime after mid-April.

Fortinet が RapperBot の攻撃活動について報告

(5/9) RapperBot DDoS Botnet Expands into Cryptojacking | FortiGuard Labs

FortiGuard Labs has encountered new samples of the RapperBot campaign active since January 2023. RapperBot is a malware family primarily targeting IoT devices. It has been observed in the wild since June 2022. FortiGuard Labs reported on its previous campaigns in August 2022 and December 2022. Those campaigns focused on brute-forcing devices with weak or default SSH or Telnet credentials to expand the botnet’s footprint for launching Distributed Denial of Service (DDoS) attacks.

ESET が "APT Activity Report Q4 2022­–Q1 2023" を公開

(5/9) ESET APT Activity Report Q4 2022­–Q1 2023 | WeLiveSecurity

Sophos が "The State of Ransomware 2023" を公開

(5/10) The State of Ransomware 2023 – Sophos News


Microsoft が 2023年 5月の月例パッチを公開。すでに悪用が確認されている脆弱性の修正を含む。

(5/9) 2023 年 5 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

  • 悪用を確認 : CVE-2023-29336 Win32k の特権の昇格の脆弱性
  • 公開を確認 : CVE-2023-29325 Windows OLE のリモートでコードが実行される脆弱性
  • 悪用および公開を確認 : CVE-2023-24932 セキュア ブートのセキュリティ機能のバイパスの脆弱性

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24932 セキュア ブートのセキュリティ機能のバイパスの脆弱性は、脆弱性からシステムを保護するために、更新プログラムの適用に加え、追加の手順を実行する必要があります。詳細については、CVE-2023-24932 および CVE-2023-24932 に関連するセキュア ブート マネージャーの変更に関するガイダンス をご参照ください。

(5/9) Guidance related to Secure Boot Manager changes associated with CVE-2023-24932 | MSRC Blog | Microsoft Security Response Center

(5/9) Zero Day Initiative — The May 2023 Security Update Review

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+7 個の脆弱性を追加

(5/9) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2023-29336 Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation up to SYSTEM privileges.

(5/12) CISA Adds Seven Known Exploited Vulnerabilities to Catalog | CISA

CISA と FBI が共同で、PaperCut の脆弱性 CVE-2023-27350 を悪用する活動に関する注意喚起

(5/11) CISA and FBI Release Joint Advisory in Response to Active Exploitation of PaperCut Vulnerability | CISA

CISA and FBI have released a joint Cybersecurity Advisory (CSA), Malicious Actors Exploit CVE-2023-27350 in PaperCut MF and NG. This joint advisory provides details related to an exploitation of PaperCut MF/NG vulnerability (CVE-2023-27350). FBI observed malicious actors exploit CVE-2023-27350 beginning in mid-April 2023 and continuing through the present. In early May 2023, FBI observed a group self-identifying as the Bl00dy Ransomware Gang attempting to exploit vulnerable PaperCut servers against the Education Facilities Subsector. The advisory further provides detection methods for exploitation and details known indicators of compromise (IOCs) related to the group’s activity.


Twitter が認証ユーザ向けに暗号化 DM 機能を提供

(5/10) About Encrypted Direct Messages – DMs | Twitter Help

(5/11) Twitter’s Encrypted DMs Are Deeply Inferior to Signal and WhatsApp | WIRED

Android 端末でマイナンバーカードの電子証明書と同等の機能がサポート

(5/11) Google Japan Blog: Android でマイナンバーカードの機能をより便利に

本日、デジタル庁が提供する Android 向けマイナポータルアプリがアップデートされ、Android 端末* にてマイナンバーカードの電子証明書と同等の機能がサポートされるようになりました。スマートフォン用の電子証明書Android 端末に登録することで、マイナンバーカードを持ち歩くことなく、スマートフォンだけで各種行政サービスがより便利に利用できるようになります。

IPA が「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年1月~3月]」を公開

(5/11) サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年1月~3月]