米サイバーセキュリティ・インフラセキュリティ庁（CISA）は6月17日、TP-Link製ルーターの脆弱性「CVE-2023-33538」が実際の攻撃で悪用されているとして注意を呼びかけた。CISAはこの脆弱性をKEV（Known Exploited Vulnerabilities）カタログに追加し、米国の連邦機関に対して7月7日までの対処を義務付けている。

CVE-2023-33538はCVSSスコア8.8のコマンドインジェクション脆弱性で、攻撃者が悪用に成功すると、標的ルーター上で任意のシステムコマンドを実行される恐れがある。影響を受けるモデルは以下の通り：

• TL-WR940N V2 / V4
• TL-WR841N V8 / V10
• TL-WR740N V1 / V2

これらはすでに公式サポートが終了しており、修正パッチの提供予定はないとみられている。なお、現時点で本脆弱性を用いた攻撃の詳細な手法や攻撃者、被害規模などに関する公式情報は明らかになっていない。

利用中のユーザーには、早急な機器の交換やネットワーク構成の見直しが推奨される。

高度なソーシャルエンジニアリングを用いた「ClickFix」マルウェアに新種「LightPerlGirl」登場

セキュリティ企業Todylの研究者は6月17日、ClickFixマルウェアの新たな亜種「LightPerlGirl」を確認したと発表した。同マルウェアは、「Copyright (c) LightPerlGirl 2025」という記述から名付けられたもので、内部にはロシア語の文字列も確認されているが、出自や攻撃キャンペーンの全容は現在も調査中だ。

ClickFixは、ソーシャルエンジニアリングによりユーザー自身にLOLBINS（Living-off-the-Land Binaries）を使ってマルウェアを実行させる手法。今回のケースでは、感染源となった正規のWordPressサイト（旅行関連）を訪れたユーザーに対し、CloudflareのCAPTCHA画面を模倣したポップアップを表示。次のようなステップを誘導することで悪性コードを実行させていた：

1. 「Windowsキー」＋「Rキー」で「ファイル名を指定して実行」ダイアログを開く
2. 表示されたテキストをコピー＆ペースト
3. 「OK」ボタンをクリックして実行

この手順により、ユーザーのクリップボードに難読化されたPowerShellスクリプトが貼り付けられ、C2（コマンド＆コントロール）サーバーと通信するよう設計されていた。解析の結果、Lummaスティーラーが最終的にダウンロードされる仕組みであることが判明している。

被害者がアクセスしたサイトのテーマが高級リゾート旅行だったことから、Todylは訪問者に企業経営層などの富裕層が含まれる可能性が高いと指摘。こうした個人の私用端末は企業ネットワークに比べセキュリティ対策が脆弱であるため、マルウェア感染に気づかれにくい。

SecurityWeekは、「LightPerlGirlの真の脅威は、個人端末の感染を起点に企業ネットワークへと被害が波及するリスクにある」と強調している。企業においては、BYOD端末への対策やEDRの導入拡大が一層求められる状況だ。

引用元記事：https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/39399/