週次サイバーセキュリティ脅威レポート（2024年7月29日版）”サイバーセキュリティ企業で身分偽装した北朝鮮エンジニアを雇用　2024年Q2のブランド・フィッシング・ランキング　等”

TakahiroS — Tue, 30 Jul 2024 05:42:30 GMT

チェック・ポイント・リサーチ・チームによる2024年7月29日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

ロサンゼルス上級裁判所は、ランサムウェア攻撃を受けてネットワークのシャットダウンを余儀なくされました。米国最大である同裁判所は、攻撃を受けて数日間、全36か所の裁判所を閉鎖しました。この攻撃について、ランサムウェア集団は公式に犯行声明を出していません。
米国のサイバーセキュリティ企業KnowBe4は最近、新しく雇われた主任ソフトウェア・エンジニアが、情報窃取マルウェアをインストールしようとしている北朝鮮の国家活動家であることを発見しました。同社は、データ漏洩が発生する前にこの悪質な活動を検知しました。
米国の民間救急会社Acadian Ambulanceがランサムウェア攻撃を受けました。脅威アクターであるDaixin Teamは、1000万人の患者の個人データと医療データを流出させたと主張し、700万ドルの身代金を要求しています。

Check PointのHarmony Endpointは、この脅威に対する防御機能を備えています。
ウクライナの中央情報局は、ロシアの銀行システムを標的としたサイバー攻撃に成功したと発表しました。同局によると、ロシアの主要銀行のデータベースにアクセスし、クレジットカード取引をブロックし、ATMからの現金引き出しを停止させたといいます。ウクライナはまた、ロシアの携帯電話やインターネットのプロバイダ数社を妨害したと主張しています。
ベラルーシの国家支援を受けたハッカーグループGhostWriter（UAC-0057）は、最近のキャンペーンでウクライナの組織や地方政府機関を標的にPicassoLoaderマルウェアを使用しました。研究者によると、ハッカーは被害者を感染させるためにCobalt Strike Beaconも使用していたとのことです。このフィッシングメールは、ウクライナの地方統治改革を目指すUSAIDのHoverlaプロジェクトに関連していました。キャンペーンの具体的な目的は不明ですが、GhostWriterは通常、サイバースパイ活動に関与していることが多いようです。
「SeleniumGreed」と名付けられた現在進行中の暗号通貨マイニング・キャンペーンが、公開されているSelenium Gridサービスを悪用しています。Seleniumは広く使われているテストフレームワークで、クラウド環境の30%で使用されています。脅威アクターはSelenium WebDriver APIを活用してPythonをリバースシェルで実行し、修正されたXMRigマイナーをダウンロードするスクリプトを展開します。
中東のある金融機関が、親パレスチナ派のハクティビスト・グループSN_BLACKMETAによる6日間にわたる分散型サービス妨害（DDoS）攻撃を受け、100時間に及ぶ混乱に見舞われました。この攻撃はグループのTelegramチャンネルで事前に告知されていました。攻撃の激しさにもかかわらず、攻撃者は同機関のサービスに大きな影響を与えることはできませんでした。
ドイツの欧州議会議員（MEP）が、電子メールのリンクを装った攻撃で、自分の携帯電話がCandiru社製と思われる商用スパイウェアに狙われたことを明らかにしました。この欧州議会議員は、ヴィクトール・オルバン首相率いるハンガリー政府を批判しており、またハンガリーがスパイウェアを使用していることが知られていることから、ハンガリー政府を疑っています。

脆弱性及びパッチについて

研究者は、広く利用されているフラッシュカードアプリケーションであるAnkiに、複数のゼロデイ脆弱性（CVE-2024-32484、CVE-2024-29073、CVE-2024-32152、CVE-2024-26020）を発見しました。これらには、Webサーバ、LaTeXコンテンツ処理、およびメディアホスティングサービスを悪用した、任意のファイル読み取りやリモートコード実行が含まれます。
運用管理のためのクラウド・コンピューティング・プラットフォームを提供するソフトウェア会社であるServiceNowは、重大な脆弱性2件と中程度の脆弱性1件（CVE-2024-4879、CVSS 9.3、CVE-2024-5217、CVSS 9.2、CVE-2024-5178、CVSS 4.0）を公表しました。重大な欠陥は、Nowプラットフォームにおいて認証されていない攻撃者にリモートでコードを実行させるものであり、中程度の脆弱性は、管理者ユーザーがWebアプリケーションサーバ上の機密ファイルに不正アクセスすることを可能にするものです。

サイバー脅威インテリジェンスレポート

チェック・ポイント・リサーチは、「Stargazers Ghost Network」と名付けられたGitHubアカウントのネットワークが、フィッシング・リポジトリを通じてマルウェアや悪意のあるリンクを配布していることを明らかにしました。2022年8月以降、脅威グループStargazer Goblinによって運営されているこのネットワークは、洗練されたDaaS（Distribution as a Service）モデルとして機能しています。このグループは3,000を超えるアカウントを使用し、悪意のあるリポジトリにスターを付けたり、フォークしたり、サブスクライブすることで、正当性の錯覚を作り出しています。このネットワークは、Atlantida StealerやRedLineなど、さまざまなマルウェア・ファミリーを配布し、大きな利益を得ています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[InfoStealer.Win.Atlantida.*, Trojan.WIN32.AtlantidaStealer*, InfoStealer.Wins.Lumma.ta*, InfoStealer.Win.Lumma*, Injector.Win.RunPE.C, Loader.Wins.GoBitLoader.A, Trojan.Wins.Imphash.taim.LV, InfoStealer.Wins.Redline.ta.BY]に対する防御機能を備えています。
チェック・ポイント・リサーチは、2024年第2四半期の最新のブランド・フィッシング・ランキングを発表しました。今年第 2 四半期、Microsoft はフィッシング攻撃で最も模倣されたブランドであり、全体の57%と半数以上を占めました。Appleは10%で2位となり、2024年第1四半期の4位から順位を上げました。一方、アディダス、WhatsApp、インスタグラムが2022年以来初めてトップ10入りしました。
チェック・ポイント・リサーチは、確立された攻撃チェーンでは一般的に使用されていない、非定型のAPIを使用したプロセス・インジェクションの手法について詳細を説明しています。この手法では、比較的新しい Windows API が使用されており、実行中のプロセスにシェルコードをインジェクションすることができます。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Behavioral.Win.ImageModification.C, Behavioral.Win.ImageModification.F]に対する防御機能を備えています。
チェック・ポイント・リサーチは、暗号通貨詐欺の巧妙化の傾向について分析しています。この詐欺の手口は、正規のブロックチェーン・プラットフォームとして人気の高い Uniswap V3 や Safe.global のユーザーを標的としています。

topic 週次サイバーセキュリティ脅威レポート （2024年7月29日版）”サイバーセキュリティ企業で身分偽装した北朝鮮エンジニアを雇用 2024年Q2のブランド・フィッシング・ランキング 等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2024年7月29日版）”サイバーセキュリティ企業で身分偽装した北朝鮮エンジニアを雇用 2024年Q2のブランド・フィッシング・ランキング 等”

topic 週次サイバーセキュリティ脅威レポート（2024年7月29日版）”サイバーセキュリティ企業で身分偽装した北朝鮮エンジニアを雇用　2024年Q2のブランド・フィッシング・ランキング　等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2024年7月29日版）”サイバーセキュリティ企業で身分偽装した北朝鮮エンジニアを雇用　2024年Q2のブランド・フィッシング・ランキング　等”