週次サイバーセキュリティ脅威レポート（2024年6月3日版）”DMM Bitcoinでデータ侵害　チェックポイントのリモートアクセスVPNの脆弱性について　等”

TakahiroS — Tue, 04 Jun 2024 01:49:00 GMT

チェック・ポイント・リサーチ・チームによる2024年6月3日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

悪名高いサイバー犯罪組織ShinyHuntersが、チケット販売・流通会社Ticketmasterとサンタンデール銀行のデータをサイバー犯罪フォーラムで売りに出しました。この不正アクセスにより、数百万人の顧客の個人情報が流出した可能性があります。この犯罪集団は、大手クラウドストレージ会社 Snowflake の従業員 1 人から盗んだ認証情報を使用して Ticketmaster とサンタンデール銀行にアクセスしたと推測されています。
研究者らは、1つのISPのネットワーク全体で60万台以上のSOHOルータがオフラインにされ、影響を受けたデバイスがハードウェアベースで交換されるというマルウェア攻撃を発見しました。解析の結果、この攻撃は Chalubo RAT を使用して行われ、高度な難読化技術を特徴とし、ハードウェアの恒久的な無効化を目的としていたことが明らかになりました。このインシデントは、小規模な町や開発が遅れている地域でのサービスを著しく混乱させました。
日本の仮想通貨取引所DMM Bitcoinは、4,502.9BTC（3億800万ドル）の損失をもたらしたデータ侵害を確認しました。この事件は最大規模の仮想通貨強盗事件の一つと言われており、資金が複数のウォレットに移動されています。盗まれた資産を追跡し、影響を受けた当事者に通知するための調査が進行中です。
米国の処方箋管理会社Sav-Rx社は最近、280万人以上の米国人に影響を及ぼす重大なデータ漏洩を公表しました。この事件は2023年に発生し、Sav-Rx社のシステムから個人情報が盗まれました。同社は、機密性の高い個人情報が漏洩したことを確認しましたが、漏洩したデータに支払い情報は含まれていないと断言しています。
世界最大のオークションハウスであるクリスティーズが、ランサムウェア集団「RansomHub」の侵入を受けました。この攻撃により、クリスティーズの顧客50万人分の機密情報が流出した可能性があり、ニューヨークでの春のオークション開始直前にウェブサイトが閉鎖されました。

Check PointのThreat Emulationは、この脅威[Trojan.Wins.Imphash.taim.JI, Trojan.Wins.Imphash.taim.HQ]に対する防御機能を備えています。

シアトル公共図書館がランサムウェア攻撃を受け、ワイヤレスネットワーク、職員・利用者用コンピュータ、オンラインカタログなどのデジタルサービスが利用できなくなりました。同図書館の27の分館では、本やCDの貸し出しは手動で行われています。
英BBC年金基金が不正アクセスを受け、加入者の個人情報が盗まれる事件が発生しました。不正アクセスは、詐欺目的で加入者の機密データを悪用しようとするサイバー犯罪者によって行われました。

脆弱性及びパッチについて

チェック・ポイントは、実環境で悪用された高スコアのゼロデイ脆弱性 (CVE-2024-24919) について警告を発しました。この脆弱性は、リモートアクセス VPN コミュニティの IPsec VPN を備えたセキュリティゲートウェイとモバイルアクセスソフトウェアブレードに影響を及ぼします。。この脆弱性を悪用されると、リモートアクセス VPN またはモバイルアクセスが有効になっているインターネット接続ゲートウェイ上の特定の情報に脅威アクターがアクセスできる可能性があります。

Check PointのIPSは、この脅威[Check Point VPN Information Disclosure (CVE-2024-24919)]に対する防御機能を備えています。

TP-Linkは、ゲーミングルータ「C5400X」にリモートでコードが実行される重大な脆弱性（CVE-2024-5035）を修正しました。この脆弱性は、ネットワークサービスポート経由でアクセス可能な「rftest」バイナリの不適切な入力処理に起因しています。

サイバー脅威インテリジェンスレポート

チェック・ポイント・リサーチ(CPR)は、Nullsoft Scriptable Install System（NSIS）をベースとする悪意のあるパッカー・グループについて調査し、検出を回避してマルウェアのペイロードを配信するメカニズムを明らかにしました。この技術的分析において CPR は、ローダー、スティーラー、リモート・アクセス・トロイの木馬など、複数のマルウェア・タイプを特定することで、パッカーの柔軟性とサイバー環境における持続的な脅威を浮き彫りにしました。

Check PointのThreat Emulationは、この脅威[Packer.Win.NSISCrypter.*, Trojan.Win.Shellcode.F, Trojan.Win.Shellcode.G]に対する防御機能を備えています。

欧州刑事警察機構（Europol）は、国際的な法執行機関と連携し、ドロッパー型マルウェアのエコシステムを標的に、「オペレーション・エンドゲーム（Operation Endgame）」と名付けられたボットネットに対する破壊的作戦を実施しました。この作戦は、Trickbot、IcedID、SystemBC、Pikabot、Smokeloader、Bumblebeeを含む100のマルウェアサーバのインフラを破壊し、ドロッパーマルウェアの配布に関与した重要人物を逮捕しました。報告によると、割り込みマルウェアの多くは、BlackBasta、Revil、Contiを含む複数のランサムウェア・グループによって定期的に使用されています。
研究者らは、暗号通貨マイニングマルウェアを展開する中国に関連した脅威アクターであるWater Sigbin（8220 Gang）の難読化戦術に関する情報を共有しました。このグループは、PowerShellスクリプトと、URLの16進エンコードやPowerShellスクリプトの.NETリフレクションテクニックによるファイルレス実行などの高度なエンコード手法を使用して、Oracle WebLogicの脆弱性（CVE-2017-3506およびCVE-2023-21839）を悪用していました。

Check PointのIPSは、この脅威[Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271), Oracle WebLogic Server Improper Access Control (CVE-2023-21839)]に対する防御機能を備えています。

研究者らは、特にセキュリティが不十分でインターネットへの露出度が高い運用技術 (OT) デバイスを標的とした攻撃が増加していることを確認しました。これらの攻撃は、特にIRGC傘下のCyberAv3ngersのような国家に支援されたグループによるもので、様々なセクターにわたるOTシステムの脆弱性を示しています。

topic 週次サイバーセキュリティ脅威レポート （2024年6月3日版）”DMM Bitcoinでデータ侵害 チェックポイントのリモートアクセスVPNの脆弱性について 等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2024年6月3日版）”DMM Bitcoinでデータ侵害 チェックポイントのリモートアクセスVPNの脆弱性について 等”

topic 週次サイバーセキュリティ脅威レポート（2024年6月3日版）”DMM Bitcoinでデータ侵害　チェックポイントのリモートアクセスVPNの脆弱性について　等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2024年6月3日版）”DMM Bitcoinでデータ侵害　チェックポイントのリモートアクセスVPNの脆弱性について　等”