セキュリティ簡易情報 オーストラリア信号局(ASD)は先週金曜日、攻撃者が未修正のCisco IOS XEデバイスに「BADCANDY」と呼ばれるインプラントをインストールし、自身のマルウェアが削除されたことを検知して再インストールできると警告しました。
ASDの勧告によると、正体不明の攻撃者がCVE-2023-20198の影響を受けるCiscoデバイスを探しており、これは2018年に発見され、CVSSスコア10.0と評価された脆弱性で、攻撃者がCiscoのIOS XEソフトウェアのWeb UI機能を悪用してシステムを制御できるものです。この脆弱性は悪名高いSalt Typhoonグループのお気に入りでもあります。
ASDによれば、感染したデバイスを再起動すればBADCANDYは削除されますが、「再起動しても脅威アクターが行った追加の操作は元に戻らず、最初に悪用された脆弱性も修正されない」と警告しています。
さらに悪いことに、再起動は攻撃者に対し、より強力なハッキングが必要だと警告することにもなりかねません。
「ASDは、攻撃者がBADCANDYインプラントが削除されたことを検知し、デバイスを再度悪用していると考えています」と勧告は述べています。「このことは、再悪用を防ぐためにCVE-2023-20198へのパッチ適用が必要であることをさらに強調しています。」– サイモン・シャーウッド
防衛請負業者の元幹部、ロシアへのサイバー・ツール販売を認める
防衛請負業者の元幹部が、クレムリンと取引のあるロシア企業に秘密のエクスプロイトを販売した罪を認めました。
ピーター・ウィリアムズは、ワシントンD.C.で防衛請負業者L3Harrisのサイバー子会社Trenchantのゼネラルマネージャーとして働いていたオーストラリア国籍の人物で、先週営業秘密窃盗の2件を認めました。これは1週間前に逮捕・起訴されたことを受けてのことです。
米司法省によると、ウィリアムズは米国政府および一部の同盟国向けにのみ販売が許可されていた、少なくとも8つの「機密かつ保護されたサイバーエクスプロイトコンポーネント」を含む国家安全保障重視のソフトウェアを、名前の明かされていないロシアのサイバーツール仲介業者に販売していました。
ウィリアムズは、ロシアの共謀者と書面契約まで交わすほど大胆で、盗まれた秘密に対して最大400万ドル相当の暗号通貨と、ロシアによるエクスプロイト利用のための継続的なサポートを約束されていました。裁判資料によれば、彼は犯罪によって約130万ドルの支払いを受けており、それで高級時計やハンドバッグ、宝石、衣類、ワシントンD.C.の住宅などを購入していました。これらはすべて米国政府に没収することに同意しています。
ウィリアムズが直面する各罪状には最長10年の刑罰が科されます。裁判資料によると、司法省はウィリアムズに11年3カ月の服役を求めています。
司法省は、ウィリアムズが逮捕後に協力したことを量刑の理由に挙げていますが、彼はTrenchantの内部調査員と数カ月間協力しつつ、同社が国家安全保障関連ソフトウェアの流出に気付いた後もロシアへの秘密販売を続けていました。
国家がOmnissaへのサプライチェーン攻撃の背後にいる可能性
Palo Alto Networksは、新たな危険なWindowsマルウェアについて警告しており、国家的なアクターがOmnissa(旧VMware)のWorkspace ONEエンドポイント管理およびアプリケーション配信スイート内にコマンド&コントロールチャネルを作るために使用していると疑っています。
このマルウェアは、ソフトウェアの旧名(AirWatch API for MDM)にちなんでAirstalkと名付けられ、攻撃者はAPIを使ってChromeのクッキー、閲覧履歴、ブックマークを流出させたり、感染デバイスのライブスクリーンショットを取得したりしています。
Palo Altoは、このマルウェアにPowershell版と.NET版があることを発見し、どちらも検知を回避できるものの、.NET版の方が高度だと述べています。
Palo Altoは、マルウェアの配布方法については詳述していません。執筆時点でOmnissaのセキュリティ勧告にはこの問題のパッチについて言及がありません。
Google、Chromeで常にHTTP警告を表示する方針に
HTTPSの普及率が約95%で頭打ちとなる中、Googleは世界で最も人気のあるブラウザが、常に安全でないHTTP接続を要求するサイトを警告すべきだと決定しました。
来年10月にリリースされるChrome 154から(つまり準備期間は1年あります)、Chromeの「常に安全な接続を使用」設定がデフォルトでオンになり、ユーザーが初めて通常のHTTPページにアクセスすると、たとえ安全な接続の間の一時的な遷移であっても、ブラウザが警告を出し、続行するかどうかを尋ねます。
「今日、多くのプレーンテキストHTTP接続はユーザーにまったく見えません。なぜならHTTPサイトが即座にHTTPSサイトにリダイレクトされる場合があるからです」とGoogleはアップデートで述べています。「HTTPナビゲーションは、ほとんどのChromeユーザーにとって依然として日常的に発生しています。」
Googleは、これによりChromeユーザーに多少の不便が生じることを認めていますが、同社はそれが正当な理由であると考えています。
もちろん、これはデフォルト設定なので、1年後に新しいChromeの仕様が導入されても、危険を承知でブラウジングしたい場合はオフにするだけで済みます。
いいえ、LastPassはあなたが死んでいるかどうか確認していません
パスワードマネージャーLastPassのユーザーで、「あなたが死んでいないことを確認してください」というメールを受け取った場合、この新しいフィッシングキャンペーンに騙されないでください。
LastPassは、ユーザーに警告を出しており、家族の誰かがアカウントへのアクセスを得るために死亡証明書を提出したと通知するメッセージを装ったフィッシングメールが出回っています。メールは、ログインという形で生存証明の提出を求めており、当然ながら本物のLastPassのURLではなくフィッシングドメインに誘導します。
LastPassによると、これらのメールの背後にいるグループは、ユーザーの保管庫に保存された暗号通貨アカウントの認証情報を狙っているようで、同じグループが過去にもLastPassユーザーを標的にしていました。キャンペーンの背後にある最初のフィッシングサイトはすでに閉鎖されたと同社は述べていますが、それだけでキャンペーンが終わることはほとんどないため、「あなたは死んでいますか?」というメッセージには注意し、削除してください。
WhatsAppのチャットをパスキーで保護
Metaの暗号化チャットアプリWhatsAppは、多くの機密性の高いやり取りに利用されており、ザッカーバーグのチャットサービスはクラウドに保存されるバックアップファイルの暗号化を提供しています。これらの秘密はパスワードまたは暗号化キーで保護されます。
今回、Metaはユーザーが生体認証パスキーでバックアップを保護できるようにしました。
「パスキーを使えば、パスワードや面倒な64桁の暗号化キーを覚える代わりに、指紋・顔・画面ロックコードでチャットバックアップを暗号化できます」とWhatsAppチームは先週ブログ投稿で述べました。
この新機能は今後「数週間から数カ月」にかけて段階的に展開される予定です。パスワードからキーに切り替えるには、WhatsAppを開いて「設定 > チャット > チャットバックアップ > エンドツーエンド暗号化バックアップ」に進み、画面の指示に従ってください。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/02/cyber_exec_pleads_guilty_to/
