週次サイバーセキュリティ脅威レポート（2022年4月25日版）”ハッカーがフィッシングで最も悪用するブランドは？、今週もPegasusの被害が”

TakahiroS — Fri, 06 May 2022 06:33:51 GMT

チェック・ポイント・リサーチ・チーム（以降CPRと記載）による2022年4月25日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

ロシアの国家が支援する脅威APTアクターGamaredon（別名Shuckworm）は、おそらく感染したコンピューターでの永続性を維持させるために、少なくとも４種類のPterodoバックドアの亜種を使用してウクライナの組織を標的にしています。このグループは、少なくとも2014年以降、ウクライナでサイバースパイ活動を展開しています。
サイバー研究者は、カタルーニャ（スペイン）の少なくとも65人の著名な犠牲者をターゲットにした新しいスパイウェア作戦を発見し、そのうちの63人がNSOのスパイウェアPegasusに、数人がCandiruに感染していることを明らかにしました。ターゲットには、政治家、議員、市民団体のメンバーなどが含まれ、時にはその家族も含まれていました。これらエクスプロイトは、HOMAGEと呼ばれる新たに公開されていないiOSのゼロ・クリックの脆弱性によってもたらされたものです。
悪意のあるキャンペーンとして、マイクロソフトのプロモーションページを模倣したウェブサイトを通じて、偽のWindows 11アップグレードを利用し、ユーザを誘い込んでいます。ファイルには、「Inno Stealer」と呼ばれる新しい情報を盗み出すツールが含まれており、WebブラウザのCookieや保存された認証情報、暗号ウォレット内のデータ、ファイルシステムからのデータを収集することを可能とします。

Check Pointの Anti-Virus は、この脅威に対する防御機能を備えています。

ProxyShellの欠陥に対して脆弱なMicrosoft Exchangeサーバが、Cobalt Strikeを含む様々なバックドアを使って、Hiveランサムウェアによって攻撃されています。サイバー攻撃者は、ランサムウェアを展開し、組織内のファイルを暗号化する前に、ネットワーク上で広範に検索活動を実行しました。

Check PointのHarmony Endpoint、Threat EmulationおよびIPSは、この脅威(Ransomware.Win.Hive; Trojan.Win32.Cobalt Strike Beacon.TC; Microsoft Exchange Server Remote Code Execution (CVE-2021-34473); VER0 Microsoft Exchange Server Remote Code Execution (CVE-2021-34523); Microsoft Exchange Server Security Feature Authentication Bypass (CVE-2021-31207))に対する防御機能を備えています。

Dockerサーバは、Linuxプラットフォーム上で暗号通貨をマイニングするために、LemonDuckボットネットによって活発なターゲットとなっています。この操作は、ウォレットアドレスを隠したプロキシプールを通じて匿名で実行されており、Alibaba Cloudの監視サービスを狙うことで検知を回避しています。

Check PointのAnti-Virusは、この脅威(Torojan.Win32.Lemonduck.TC)に対する防御機能を備えています。

米国FBIは、収穫および植え付け期間中にランサムウェア攻撃のリスクが高まるとして、食品・農業（FA）団体に向けた警告を発しました。
米国CISA、FBI、および財務省は、北朝鮮の脅威APTグループである「Lazarus」が、従業員に対しソーシャルエンジニアリングを使用して、ブロックチェーンおよび暗号通貨セクターの企業を標的にしていることを警告しています。

Check PointのThreat Emulationは、この脅威(Backdoor.Wins.Lazarus)に対する防御機能を備えています。

脆弱性及びパッチについて

CPRは、世界のモバイル機器の3分の2に関連する、ALAC(Apple Lossless Audio Codec)オーディオ・フォーマットの脆弱性「ALHACK」を特定し、リモート・コードの実行に利用される可能性があることを明らかにしました。この脆弱性は、2大モバイル・チップセット・メーカであるMediaTekとQualcommのチップを搭載したAndroidスマートフォンに影響を与えるものです。

Check Pointの Harmony Mobileは、この脅威に対する防御機能を備えています。
CPRは、Everscaleブロックチェーンウォレットの脆弱性を特定しました。この脆弱性が悪用された場合、攻撃者は被害者のウォレットとその後の資金を完全にコントロールすることができるようになります。この脆弱性は、Ever Surfとして知られるEverscaleのウェブ版ウォレットで発見されました。Ever Surfは、Google Play StoreおよびAppleのApp Storeで入手でき、Everscaleブロックチェーン・ネットワーク用のクロスプラットフォーム・メッセンジャー、ブロックチェーン・ブラウザ、および暗号ウォレットです。
Atlassianは、Jira および Jira Service Management 製品に関して、Seraph の認証バイパスに関する重大な欠陥があるとして警告を発しました。CVE-2022-0540 としてトラックされるこの欠陥は、リモートのハッカーに HTTP リクエストで認証をバイパスできるようにする可能性があります。
QNAPは、ネットワーク接続型ストレージのファームウェアに関連した致命的な不具合を修正するパッチをリリースしました。バッファオーバーフローの脆弱性 CVE-2022-22721 と、Apache HTTP Server の mod_sed に存在する境界外書き込みの脆弱性 CVE-2022-23943 に対応するためです。
Lenovoは、UEFI（Unified Extensible Firmware Interface）に影響を及ぼす3つの欠陥（CVE-2021-3970、CVE-2021-3971およびCVE-2021-3972）についてのアドバイザリを公開しました。

サイバー脅威インテリジェンスレポート

CPRは、2022年第1四半期のブランド・フィッシング・レポートを発行し、ハッカーが最も模倣するブランドを明らかにしました。ソーシャルメディア・プラットフォームのLinkedInは、全世界のフィッシング攻撃の52%に関連しており、ランキングの1位となっています。運輸会社のDHLは、14％のフィッシング詐欺で2位となりました。

米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ当局は、ロシアの支援を受けたグループが、ウクライナの地域内外の組織に対して攻撃を行う可能性があることを警告する共同アドバイザリを発表しました。これは、ロシアに課された経済的コストや、米国、その同盟国、パートナーから提供された物資支援への対応として発生する可能性があります。

数ヶ月間活動を停止していたREvil ランサムウェアギャングのTorリークサイトが、新たに立ち上げられたRaaSオペレーションにリダイレクトされています。この作戦の背後にいる人物は明らかではありませんが、新しいサイトにはREvilの以前の被害者と新しい被害者のリストが含まれています。

Check Pointの Harmony EndpointとThreat Emulationは、この脅威（(Ransomware.Win.Revil.ja;Ransomware.Win32.REvil.TC; Trojan.Win32.Sodinokibi ) に対する防御機能を備えています。

※訳者注；REvilはRaaSを行っているロシアのハッカー集団

topic 週次サイバーセキュリティ脅威レポート （2022年4月25日版）”ハッカーがフィッシングで最も悪用するブランドは？、今週もPegasusの被害が” in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2022年4月25日版）”ハッカーがフィッシングで最も悪用するブランドは？、今週もPegasusの被害が”

topic 週次サイバーセキュリティ脅威レポート（2022年4月25日版）”ハッカーがフィッシングで最も悪用するブランドは？、今週もPegasusの被害が” in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2022年4月25日版）”ハッカーがフィッシングで最も悪用するブランドは？、今週もPegasusの被害が”