チェック・ポイント・リサーチ・チームによる2024年8月26日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米国の大手油田サービス企業Halliburtonがサイバー攻撃を受け、侵入を阻止するために一部システムをオフラインにせざるを得なくなりました。ハッカーが同社のシステムの一部にアクセスしたため、外部業者の協力を得て調査が続いています。この攻撃の犯行声明を出したグループはありません。

• 米国の半導体メーカーであるMicrochip Technology社は、サイバー攻撃により同社のサーバの一部と業務が中断されたことを報告しました。不審な動きを検知した同社は、影響を受けたシステムを隔離し、特定のサービスを停止し、外部のサイバーセキュリティ専門家による調査を開始しました。このインシデントは製造に影響を及ぼし、操業が通常レベルを下回り、同社の注文処理能力に影響を及ぼしました。攻撃の全範囲と影響は依然として不明であり、攻撃者の身元も不明です。

• 米オレゴン動物園は、10万人以上の来園者の個人情報と支払い情報が流出したことを明らかにしました。脅威アクターは6ヶ月以上にわたって動物園のオンライン決済プラットフォームにアクセスし、動物園のオンライン・チケット・システムからトランザクションをリダイレクトし、クレジットカードの全情報を盗んでいました。

• 米オハイオ州コロンバスの市当局は、ランサムウェア集団が地元検察庁から盗んだデータをダークウェブ上に流出させたことを受け、犯罪被害者や目撃者に警戒を怠らないよう警告しました。Rhysidaランサムウェアグループは、7月に同市を襲い、190万ドルのビットコインを要求したが、同市が支払いを拒否した後、6.5テラバイトのデータを公開しました。流出した情報には機密性の高い個人情報も含まれており、虐待的な状況から逃れる個人にとっては特に危険なものとなっています。

• ハッカーたちは、ウクライナの大手オンライン銀行のひとつであるMonobandに対して大規模な分散型サービス妨害（DDoS）攻撃を仕掛けました。この攻撃は3日間に及び、1秒間に75億回という前例のないリクエスト量であったが、同行の中核業務には影響はありませんでした。攻撃の目的は、ウクライナの軍隊のための資金調達のための、最近の軍事行動以来、利用が拡大している人気のあるプラットフォームを混乱させることであったようです。

• 研究者は、著名なユダヤ教宗教家を標的としたイランのハッカーに関連すると思われるフィッシング・キャンペーンを特定しました。攻撃者は、イランのグループAPT42（別名TA453）に関連していると思われ、Institute for the Study of War（ISW）からのなりすましメールを使用して、被害者を偽のポッドキャストに招待し、最終的に悪意のあるGoogleDriveのリンクを介してBlackSmithというマルウェアを配信しました。

脆弱性及びパッチについて

• Cisco社は、macOS向けのMicorosoftアプリケーションに8つの脆弱性があることを報告しました。Micorosoftのアプリケーションは、悪意のあるライブラリを挿入することで、権限とユーザから付与された権限を取得し、脅威アクターがこれを悪用する可能性があります。これにより、脅威アクターは被害者のマイク、カメラ、画面録画、ユーザー入力、保存データなどにアクセスできるようになります。

• Wordfence は、WordPress プラグイン Lightspeed Cache に CVE-2024-28000 として追跡されている重大な脆弱性を公開しました。500万以上のウェブサイトで使用されており、6.3.0.1までのプラグインバージョンには、ロールシミュレーション機能の管理ミスによる特権昇格の脆弱性があります。

  Check PointのIPSは、この脅威[WordPress LiteSpeed Cache Plugin Privilege Escalation (CVE-2024-28000)]に対する防御機能を備えています。

• 研究者は、Microsoft Copilot Studio に深刻度の高いサーバー側リクエスト フォージェリ (SSRF) の脆弱性 (CVE-2024-38206) を発見しました。この脆弱性により、内部サービス データとテナント間情報への不正アクセスが可能になります。この脆弱性により、Copilot の HTTP リクエストを操作して、機密インスタンス メタデータや Cosmos DB を含む Microsoft の内部インフラストラクチャにアクセスできるようになります。

サイバー脅威インテリジェンスレポート

• 研究者らは、AndroidとiOSの両プラットフォームにおいて、プログレッシブ・ウェブ・アプリケーション（PWA）やWebAPKを介してモバイルユーザを狙う新たなフィッシング手法を発見しました。この手法では、サードパーティのインストールに関する従来の警告を表示することなく、ユーザを騙して正規のバンキング・アプリケーションを模倣したフィッシング・アプリケーションをインストールさせます。チェコを中心に、ハンガリーやグルジアでも確認されているこのフィッシング・キャンペーンは、様々な配信メカニズムを通じてソーシャル・エンジニアリングを利用しています。いったんインストールされると、これらのアプリは機密性の高いバンキングの認証情報を取得し、別の脅威アクターが管理するさまざまなコマンド・アンド・コントロール・サーバーに送信します。

• 研究者らは、MoonPeakと呼ばれる新たに開発されたリモート・アクセス型トロイの木馬を使用する、UAT-5394として知られる国家支援を受けた北朝鮮の脅威アクターを特定しました。オープンソースのXenoRATから進化したこのマルウェアは、クラウドサービスから攻撃者が所有するシステムへの、より広範なインフラシフトの一部を形成しています。

• 研究者らは、コロンビア、エクアドル、チリ、パナマなどの中南米諸国を標的とした、APT-C-36としても知られるBlindEagleの新たなキャンペーンについて報告をしています。このグループは、政府機関や金融機関を装ったフィッシングメールを使用してマルウェアを配信しています。その戦術には、スパイ活動や金銭窃盗用にカスタマイズした njRAT や AsyncRAT などの一般に入手可能なリモート アクセス トロイの木馬 (RAT) の使用が含まれます。

• Qilin ランサムウェア グループは、カスタム スティーラーを展開して Google Chrome ブラウザに保存されているアカウント認証情報を収集するという新しい戦術を導入しました。多要素認証（MFA）を欠いた侵害されたVPN認証情報を介してネットワークにアクセスした後、グループポリシーオブジェクト（GPO）を使用して、ドメインに接続されたすべてのマシンにスティーラを拡散し、ログインしているすべてのユーザーから認証情報を盗む可能性があります。