topic Re: 週次サイバーセキュリティ脅威レポート（2024年7月22日版）"モバイル向け位置情報アプリで情報侵害　チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート　等 in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2024年7月22日版）"モバイル向け位置情報アプリで情報侵害　チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート　等”

TakahiroS — Tue, 23 Jul 2024 01:40:01 GMT

チェック・ポイント・リサーチ・チームによる2024年7月22日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

American Bassett Furniture Industries社は、データファイルの暗号化と製造施設の閉鎖を招いたランサムウェア攻撃の被害に遭いました。同社の業務は大幅に混乱し、小売店と電子商取引プラットフォームは営業を続けているにもかかわらず、注文の処理能力に影響が出ています。まだ犯行声明を出しているランサムウェア集団はありません。
海外の位置情報安全アプリLife360とプロジェクト管理ツールTrelloが、それぞれのAPIの欠陥によるデータ漏洩の被害にあいました。Life360の情報流出では、メールアドレス、氏名、電話番号など44万2519人分の顧客の個人情報が流出し、Trelloの情報流出では、数百万人分のユーザのフルネーム、メールアドレス、役員会メンバーなど21.1GBのデータが流出しました。どちらの侵害も「emo」として知られる脅威アクターによって行われ、emoは盗んだデータをダークウェブのフォーラムで公開しました。
人道支援団体CAREインターナショナル、ノルウェー難民評議会、サウジアラビアのサルマン国王人道支援救援センターが、機密情報を収集するために設計されたAndroidスパイウェアを展開するサイバー攻撃の犠牲となりました。この攻撃は、OilAlphaとして知られる親フーシ派の脅威グループによるもので、正当な組織を装った悪質なアプリにより被害者のデータや認証情報が盗み出されました。

Check PointのHarmony Endpointは、この脅威[RAT.Wins.OilAlpha]に対する防御機能を備えています。
アメリカのボート販売業者MarineMaxがランサムウェア攻撃を受け、12万3000人以上に影響を及ぼすデータ漏洩に見舞われました。Rhysidaランサムウェアグループが犯行声明を出し、財務書類や個人情報を含むファイルを盗みました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.RansomHub; Ransomware.Wins.RansomHub.ta.*]に対する防御機能を備えています。
インドの暗号通貨会社WazirXは、データ侵害により同社の準備金のほぼ半分にあたる 2 億 3000 万ドルが失われたことを確認しました。この侵害はマルチシグウォレットを侵害し、SHIB、イーサリアム、Matic、Pepe、USDT、Galaトークンを含む200種類以上の暗号通貨の盗難につながりました。攻撃者は北朝鮮の関係者であると伝えられています。
ウクライナの防衛関連企業が UAC-0180 脅威グループによる攻撃を受けました。この攻撃では、悪意のある PDF リンクを含む ZIP ファイルが添付された電子メールが関連しています。感染経路の最後では、ブートローダーがATERAリモートコントロールプログラムのダウンロードと実行を促進します。
オーストラリアのヘルスケア企業MediSecureがランサムウェア攻撃を受け、約1290万人のオーストラリア人のデータ6.5TBが盗まれました。データには氏名、連絡先、医療に関する詳細が含まれています。まだいずれのランサムウェアグループも犯行声明を出していません。

脆弱性及びパッチについて

最近公開された重大なリモートコード実行の脆弱性CVE-2024-27348は、Apache HugeGraph-Serverに影響し、実際に活発に悪用されています。この欠陥は、Gremlinグラフ・トラバーサル言語APIに存在し、1.3.0以前のすべてのバージョンに影響し、攻撃者がサンドボックスの制限を迂回し、サーバを完全に制御できるようにします。

Check PointのIPSは、この脅威[Apache HugeGraph Server Remote Code Execution (CVE-2024-27348)]に対する防御機能を備えています。
SolarWindsは、Access Rights Manager（ARM）ソフトウェアのセキュリティアップデートをリリースし、13件の脆弱性に対応しました。「CVE-2024-23472」、「CVE-2024-28074」、「CVE-2024-23469」を含むクリティカルと評価された8件の不具合により、攻撃者は昇格した権限でファイルを読み込んだり、削除したり、コードを実行したりできる可能性があります。
Cisco の SSM On-Prem および SSM Satellite 製品には、攻撃者が任意のユーザまたは管理者パスワードを変更できる重大な脆弱性 CVE-2024-20419 が存在します。この脆弱性は、CVSS 評価で 10 と評価されており、ユーザによる操作や特権を必要としません。この脆弱性を悪用するには、細工した HTTP リクエストを送信し、侵害されたユーザ権限で Web UI または API にアクセスする必要があります。

サイバー脅威インテリジェンスレポート

チェック・ポイント・リサーチは、イランの APT グループ「MuddyWater」の最近の活動について報告しています。同グループは10月7日以降、イスラエルに対する活動を大幅に活発化させており、並行してサウジアラビア、トルコ、アゼルバイジャン、インド、ポルトガルの被害者を標的としています。このグループはBugSleepと名付けられた新しいカスタムバックドアを使用しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[APT.Wins.MuddyWater.ta*; APT.Win.MuddyWater]に対する防御機能を備えています。
チェック・ポイント・リサーチは、2024年第2四半期のサイバー攻撃動向レポートを発表しました。同レポートによると、2024年第2四半期における世界のサイバー攻撃は前年同期比で30%増加し、1組織あたり週平均1,636件に達しました。最も増加したのは教育／研究セクターで、53％増の3,341件を記録しました。アフリカでは週平均2,960件と最も多く、ラテンアメリカでは前年比で攻撃数が53％増加しました。
研究者らは、2024年パリ・オリンピックを標的としたサイバー脅威の増加について分析し、フランスの組織に関連するダークネット活動が大幅に増加し、2023年後半以降、脅威が80%から90%増加していることを明らかにしました。主な懸念事項としては、フィッシング詐欺、チケットの不正販売、フランスでの検出件数の59％を占めるRacoonのようなインフォスティーラの使用などが挙げられます。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[InfoStealer.Win.Raccoon; InfoStealer.Wins.Raccoon]に対する防御機能を備えています。
Google Playストアで250以上のおとりアプリと悪意のある「邪悪な双子」アプリを組み合わせた大規模な広告詐欺行為「Konfety」が、研究者らによって発見されました。このスキームでは、アプリIDを詐称して広告詐欺やマルウェアのサイドロードを行い、毎日最大100億件の広告リクエストを生成しています。

Re: 週次サイバーセキュリティ脅威レポート（2024年7月22日版）"モバイル向け位置情報アプリで情報侵害　チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート　等

the_rock — Tue, 23 Jul 2024 02:36:50 GMT

Probably not the most accurate translation, but super interesting read @TakahiroS san.

Andy

English translation:

Weekly Cybersecurity Threat Report (July 22, 2024) "Data breaches in mobile location-based apps - Check Point Research's Q2 2024 cyberattack trend report, etc."
This is an excerpt from the weekly cybersecurity threat report for July 22, 2024 by the Check Point Research team.

Click below for the original English version.

https://research.checkpoint.com/2024/22nd-july-threat-intelligence-report/

This week's TOP cyberattacks and security breaches

American Bassett Furniture Industries was the victim of a ransomware attack that encrypted data files and shut down its manufacturing facilities. The company's operations have been significantly disrupted, affecting its ability to process orders, despite its retail stores and e-commerce platform remaining open. No ransomware group has yet claimed responsibility.

Overseas location-based security app Life360 and project management tool Trello have been victims of data leaks due to flaws in their respective APIs. The Life360 breach exposed personal information of 442,519 customers, including email addresses, names, and phone numbers, while the Trello breach exposed 21.1GB of data, including full names, email addresses, and board members for millions of users. Both breaches were perpetrated by a threat actor known as "emo," who published the stolen data on dark web forums.

Humanitarian organizations CARE International, the Norwegian Refugee Council, and the King Salman Humanitarian Aid and Relief Center in Saudi Arabia fell victim to a cyberattack that deployed Android spyware designed to collect sensitive information. The attack was attributed to a pro-Houthi threat group known as OilAlpha, where malicious apps masquerading as legitimate organizations stole victims' data and credentials.

Check Point's Harmony Endpoint has protection against this threat [RAT.Wins.OilAlpha].

American boat retailer MarineMax suffered a ransomware attack and a data breach affecting more than 123,000 people. The Rhysida ransomware group claimed responsibility and stole files containing financial documents and personal information.

Check Point's Harmony Endpoint and Threat Emulation have defenses against this threat [Ransomware.Win.RansomHub; Ransomware.Wins.RansomHub.ta.*].

Indian cryptocurrency company WazirX confirmed that a data breach caused the loss of $230 million, nearly half of the company's reserves. The breach compromised multi-sig wallets and led to the theft of over 200 cryptocurrencies, including SHIB, Ethereum, Matic, Pepe, USDT and Gala tokens. The attackers are reportedly affiliated with North Korea.

A Ukrainian defense-related company was attacked by the UAC-0180 threat group. The attack involves emails with ZIP file attachments containing malicious PDF links. At the end of the infection chain, the bootloader facilitates the download and execution of the ATERA remote control program.

Australian healthcare company MediSecure was hit by a ransomware attack, resulting in the theft of 6.5TB of data from approximately 12.9 million Australians. The data includes names, contact details, and medical details. No ransomware group has yet claimed responsibility.

About vulnerabilities and patches

The recently disclosed critical remote code execution vulnerability CVE-2024-27348 affects Apache HugeGraph-Server and is actively being exploited in the wild. The flaw exists in the Gremlin graph traversal language API and affects all versions prior to 1.3.0, allowing attackers to bypass sandbox restrictions and take full control of the server.

Check Point IPS has protection against this threat [Apache HugeGraph Server Remote Code Execution (CVE-2024-27348)].

SolarWinds has released a security update for its Access Rights Manager (ARM) software to address 13 vulnerabilities. Eight critical flaws, including CVE-2024-23472, CVE-2024-28074, and CVE-2024-23469, could allow attackers to read or delete files or execute code with elevated privileges.

Cisco's SSM On-Prem and SSM Satellite products contain a critical vulnerability, CVE-2024-20419, that could allow attackers to change any user or administrator password. The vulnerability is rated CVSS 10 and does not require user interaction or privileges. To exploit the vulnerability, an attacker must send a crafted HTTP request to access the Web UI or API with compromised user privileges.

Cyber Threat Intelligence Report

Check Point Research reports on recent activity from the Iranian APT group MuddyWater. Since October 7, the group has significantly increased its activity against Israel, while simultaneously targeting victims in Saudi Arabia, Turkey, Azerbaijan, India and Portugal. The group uses a new custom backdoor named BugSleep.

Check Point's Harmony Endpoint and Threat Emulation have defenses against this threat [APT.Wins.MuddyWater.ta*; APT.Win.MuddyWater].

Check Point Research has released its Cyber Attack Trends Report for Q2 2024. According to the report, global cyber attacks in Q2 2024 increased 30% year-on-year, reaching an average of 1,636 attacks per organization per week. The largest increase was in the education/research sector, which increased 53% to 3,341 attacks. Africa had the highest weekly average of 2,960 attacks, while Latin America saw a 53% increase in attacks compared to the previous year.

Researchers have analyzed the rise in cyber threats targeting the 2024 Paris Olympics, revealing a significant increase in darknet activity linked to French organizations, with threats increasing by 80% to 90% since the second half of 2023. Key concerns include phishing scams, ticket fraud, and the use of infostealers like Racoon, which account for 59% of detections in France.

Check Point's Harmony Endpoint and Threat Emulation have defenses against this threat [InfoStealer.Win.Raccoon; InfoStealer.Wins.Raccoon].

Researchers have discovered a large-scale ad fraud operation called "Konfety" on the Google Play Store that combines more than 250 decoy and malicious "evil twin" apps. The scheme spoofs app IDs to commit ad fraud and sideload malware, generating up to 10 billion ad requests daily.

topic Re: 週次サイバーセキュリティ脅威レポート （2024年7月22日版）"モバイル向け位置情報アプリで情報侵害 チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート 等 in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2024年7月22日版）"モバイル向け位置情報アプリで情報侵害 チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート 等”

Re: 週次サイバーセキュリティ脅威レポート （2024年7月22日版）"モバイル向け位置情報アプリで情報侵害 チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート 等

topic Re: 週次サイバーセキュリティ脅威レポート（2024年7月22日版）"モバイル向け位置情報アプリで情報侵害　チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート　等 in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2024年7月22日版）"モバイル向け位置情報アプリで情報侵害　チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート　等”

Re: 週次サイバーセキュリティ脅威レポート（2024年7月22日版）"モバイル向け位置情報アプリで情報侵害　チェック・ポイント・リサーチによる2024年Q2のサイバー攻撃動向レポート　等