チェック・ポイント・リサーチ・チームによる2022年10月10日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 21州に140の病院と1,000以上の施設を持つ米国第2位の非営利病院チェーンであるCommonSpirit Healthは、サイバーセキュリティの事故により、全米で医療サービスに支障をきたす事態に見舞われました。アイオワ州、ネブラスカ州、テネシー州、ワシントン州の施設が影響を受けました。攻撃の内容はまだ不明ですが、ランサムウェアによる攻撃の可能性があります。

• ロシア語を話す脅威グループKillnetは、コロラド州、ケンタッキー州、ミシシッピ州など、米国のさまざまな州政府のウェブサイトをダウンさせる攻撃を行ったと主張しています。
• 世界最大の暗号通貨取引所であるBinanceは、Binance Smart Chainがハッキングされ、約5億7000万ドル相当の暗号コインが盗まれたと発表しました。
• RansomEXXランサムウェアグループは、イタリアの高級スポーツカーメーカーであるフェラーリの7GBを超えるデータを盗んだと主張しています。盗まれたデータには、契約書、請求書、社内情報、修理マニュアルなどが含まれていると言われています。フェラーリの広報担当者は、データ流出を確認していますが、ランサムウェアの攻撃による被害は否定しています。

Check PointのThreat Emulationは、この脅威[Ransomware.Wins.Ransomexx]に対する防御機能を備えています。

• コロンビアの国立食品医薬品監視研究所（INVIMA）がサイバー攻撃を受け、重要な医薬品の輸入許可を管理するためのシステムや、ウェブサイトへのアクセスが不能になったことが明らかになりました。

• 米国アリゾナ州ツーソン市は、5月中に発生したデータ漏洩により、123,500人以上の個人情報が流出したことを公表しました。流出したデータには、氏名、社会保障番号、運転免許証、州身分証明書番号、パスポート番号などが含まれています。

• 台湾のチップメーカーADATAが、RansomHouseギャングによって仕掛けられたランサムウェア攻撃の被害に遭ったとされています。脅威アクターは1TBのデータを入手したと主張していますが、同社は、流出したファイルは2021年5月に発生したランサムウェア攻撃によるものであるとし、今回の侵害を否定しています。

• ロシアの小売チェーンである「DNS」（Digital Network System）は、「NLB Team」と呼ばれるグループによって、同社に属するとされるデータが人気のハッキングフォーラムに流出したわずか数時間後に、データ侵害の影響を受けたと発表しました。流出したデータはまだ確認されていませんが、推定数百万の DNS 顧客と従業員の情報が含まれていると推定されます。

脆弱性及びパッチについて

• 米国NSA、CISA、FBIは、中華人民共和国（PRC）国家支援の脅威アクターが米国政府および重要インフラネットワークを標的とするために2020年以降に使用した上位CVEを含む共同アドバイザリーを発表しました。

Check PointのIPSは、レポート内で述べられているすべての脆弱性に対する防御機能を備えています。

• Zimbra Collaboration Suite (ZCS) の重大なゼロデイ RCE 脆弱性は、現在、悪用されています。この脆弱性は、CVE-2022-41352としてトラックされ、ZimbraのWebルートを上書きし、Webルートにシェルコードを埋め込んでリモートでコードを実行させ、ユーザの個人アカウントにアクセスさせることが可能です。
• フォーティネットは、FortiOSおよびFortiProxyに重大なセキュリティ上の欠陥（追跡番号：CVE-2022-40684）があることを公表しました。この欠陥は、管理インターフェイスにおける認証バイパスの脆弱性で、リモートの攻撃者がパッチの適用されていないデバイスにログインすることができる可能性があります。フォーティネットは、脆弱性のある製品をアップデートするよう勧告しています

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、複数の著名なマルウェアファミリに関連していることから、最近注目を集めているBumblebee loaderの活動に関する調査結果を発表しました。感染したスタンドアロンコンピュータにはバンキング型トロイの木馬や情報窃取ツールが、組織のネットワークにはCobaltStrikeのようなより高度なポストエクスプロイト・ツールが感染する可能性があります。

Check PointのHarmony EndpointおよびThreat Emulation は、この脅威[Trojan-Downloader.Win.Bumblebee; Trojan-Downloader.Wins.Bumblebeeに対する防御機能を備えています。

• 「AppMilad」と呼ばれるイランのハッキンググループが、VPNアプリに偽装した新しいRatMilad Androidスパイウェアを使用し、主に中東の企業をターゲットとした大規模なキャンペーンを行っていることがサイバー研究者により明らかになりました。このマルウェアは、被害者のデバイスにインストールされた後、ファイル操作、音声録音、アプリケーションの権限変更など、さまざまな悪意のあるアクションを実行することができます。

• LilithBotは、Eternity（別名：EternityTeam、Eternity Project）と呼ばれる脅威グループに関連するマルウェアで、ダークウェブ上でLilithBotをMalware-as-a-Service (MaaS) として販売していることがサイバー研究者によって明らかにされています。LilithBotは、情報を盗み出し、ZIPファイルとしてコマンド・アンド・コントロールにアップロードすることができる高度な機能を備えています。
• サイバー研究者は、BlackByteランサムウェアギャングが使用する「Bring Your Own Driver」と呼ばれる新しい手法を観測しました。この手法は、悪用可能な脆弱性を持つ正規の署名付きドライバーを悪用し、標的システムを攻撃するものです。

Check PointのThreat Emulationは、この脅威[Ransomeware.Win.BlackByte]に対する防御機能を備えています。