週次サイバーセキュリティ脅威レポート（2022年5 月23日版）”日経グループでランサムウェアの被害　Contiが運用形態を変更か？　等”

TakahiroS — Wed, 25 May 2022 01:16:39 GMT

チェック・ポイント・リサーチ・チーム（以降CPRと記載）による2022年5月23日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

CPRは、国営の防衛コングロマリットであるRostec Corporationの一部であるロシアの少なくとも2つの研究機関を標的としたサイバースパイキャンペーンを公開しました。CPRが「Twisted Panda」と名付けたこの巧妙なキャンペーンは、中国の脅威者が行ったとされており、Mustang PandaやStone Panda（別名APT10）と関係がある可能性があるとされています。ハッカーは、マルチレイヤ・ローダーや「SPINNER」と呼ばれるバックドアなど、新しいツールを使用しました。
日本の金融ニュースである日経グループは、シンガポールの本社を襲ったランサムウェア攻撃の被害にあっています。同社は、攻撃の範囲を特定中で、被害を受けたサーバーに顧客情報が含まれていた可能性はあるものの、データの流出はなかったとしています。
ロシアの銀行サービス機関であるSberbankは、この1ヶ月間、親プロウクライナのハッカーによる継続的な攻撃の標的になっています。同銀行は最近、450GB/秒という、これまでに記録された最大の分散型サービス妨害拒否（DDoS）攻撃に見舞われました。
シカゴ公立学校は、2021年12月にテクノロジベンダの1つであるBattelle for Kids(*)に発生したランサムウェア攻撃を受け、6万人の職員と50万人の生徒の氏名、生年月日、性別、ID番号などのデータが流出する事態に陥いりました。

*訳者注；Battelle for Kidsは米国オハイオ州に本社を置く学校・学習関連のNPO団体
航空宇宙産業向けの高度なモーション&コントロール技術を専門とする米国の企業であるParker Hannifin Corporationは、Contiランサムウェア攻撃の被害に遭い、先月、ギャングが盗んだデータをオンラインで公開する事態となりました。盗まれたファイルには、金融口座情報、資格証明書、SSN（社会保障番号）など、現在および過去の従業員の機密データが含まれていました。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomeware.Win.Conti]に対する防御機能を備えています。

未知の脅威アクターが、カスタムPowerShell RATマルウェアを活用した新しいキャンペーンで、ドイツのウクライナ支援者を標的にしています。ハッカーは、ウクライナ紛争に関する独占的なニュースを含むと思われるウェブサイトで犠牲者を誘い、代わりにトロイの木馬化されたドキュメントを提供しています。

Check PointのAnti-VirusとAnti-Botは、この脅威[Trojan.Win32.PowerShell;Torojan.WIN32.Powershell]に対する防御機能を備えています。

脆弱性及びパッチについて

Appleは、MacおよびApple Watchデバイスのゼロデイ脆弱性を修正する緊急アップデートをリリースしました。CVE-2022-22675としてトラックされ、AppleAVDに範囲外の欠陥があり、カーネル権限で任意のコードを実行される可能性があります。
Ciscoは、既に悪用されているCVE-2022-20821としてトラックされるIOS XRのゼロデイ脆弱性向けパッチを発行しました。この欠陥により、リモートの認証されていないハッカーが、NOSiコンテナで実行されているRedisインスタンスに接続し、コードを実行される可能性があります。
VMwareは、Workspace ONE Access、Identity Manager、およびvRealize Automationに影響を及ぼす2つの脆弱性の修正プログラムをリリースしました。CVE-2022-22972およびCVE-2022-22973としてトラックされるこれらの欠陥は、企業ネットワークをバックドアするために利用される可能性があります。

サイバー脅威インテリジェンスレポート

Contiランサムウェア一味は、リーダーが業務の再編成を発表した後、インフラをオフラインにしたと言われています。このニュースは、Contiがコスタリカを恐喝し、同国政府が非常事態を宣言した数日後に発表されました。Contiのメンバーは、現在、より小規模なランサムウェアの遂行に移行し、ブランドを再構築しているとみられています。

Check PointのHarmony Endpoint, IPS, Anti-BotおよびThreat Emulationは、この脅威[Ransomeware.Win.Conti]に対する防御機能を備えています。

北朝鮮のAPTグループLazarusは、少なくとも2022年4月以降、重大なリモートコード実行の欠陥Log4J（CVE-2021-44228）を利用してVMware Horizonサーバを標的にしています。脅威アクターは、NukeSpedバックドアのインストールにつながるPowerShellコマンドを実行することで攻撃を継続していました。

Check PointのThreat EmulationとHarmony Endpointは、これらの脅威[Apache Log4j Remote Code Execution (CVE-2021-44228); Trojan.Win32.NukeSped; APT.Win.Lazarus]に対する防御機能を備えています。

脅威アクターは現在、WordPressのTatsu Builderプラグインのリモートコード実行の欠陥であるCVE-2021-25094を10万のウェブサイトに添付して大量に悪用しており、そのうち5万のサイトにはまだ脆弱性が残っています。
過去6ヶ月間、Linux XorDdoSマルウェアの活動において、254%の増加が確認されました。この急増は、明らかにトロイの木馬のさまざまな回避能力と持続性によるものです。XorDdosは2014年から知られており、Linuxシステムアーキテクチャを標的にしています。

Check PointのAnti-VirusとAnti-Botは、この脅威[Trojan.Win32.Xorddos]に対する防御機能を備えています。

フィッシング攻撃は、現在、チャットボットのようなWebアプリケーションを活用して、認証情報、クレジットカード情報およびその他の個人情報を収集しています。

topic 週次サイバーセキュリティ脅威レポート （2022年5 月23日版）”日経グループでランサムウェアの被害 Contiが運用形態を変更か？ 等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2022年5 月23日版）”日経グループでランサムウェアの被害 Contiが運用形態を変更か？ 等”

topic 週次サイバーセキュリティ脅威レポート（2022年5 月23日版）”日経グループでランサムウェアの被害　Contiが運用形態を変更か？　等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2022年5 月23日版）”日経グループでランサムウェアの被害　Contiが運用形態を変更か？　等”