チェック・ポイント・リサーチ・チームによる2022年11月28日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ロシアをテロ支援国家と宣言する投票を受け、欧州議会のウェブサイトが攻撃されました。親ロシア派のハクティビストグループである「Anonymous Russia」と「Killnet」が攻撃を担当し、DDoS（分散型サービス拒否）状態が続いているとのことです。
• ウクライナの組織が、ロシア軍のサイバースパイグループSandworm（別名Redmond、IRIDIUM）との関連が指摘されるランサムウェア攻撃の犠牲になっています。このグループは、「RansomBoggs」と名付けられた新しいマルウェアを使用しており、ドメインコントローラからのPowerShellスクリプトによって配布されています。RansomBoggsは、ランダムなキーを使用してCBCモードのAES-256でファイルを暗号化し、暗号化されたファイルに「.chsch」という拡張子を追加します。
• ランサムウェアギャング「Ragnar Locker」が、ベルギーのアントワープにある地方警察組織「Zwijndrecht police」の所有する盗難データを公開しました。このデータは、Zwijndrecht市に起因するもので、数千の車のナンバー、罰金、犯罪報告ファイル、捜査報告書など、大量の個人情報を含んでいます。
• スポーツベッティング会社DraftKingsが侵入され、アクティブなユーザアカウントから約30万ドルの資金が失われました。脅威アクターは、ユーザーのパスワードを変更し、別の電話番号で2要素認証を有効にして、個人の銀行口座情報を取得することに成功しました。
• Cincinnati State Collegeを含む米国の複数の大学が、感謝祭の休暇中にランサムウェア攻撃の犠牲となりました。脅威アクターは、大学の財政援助サービス、ネットワーク印刷、VPNツール、入学申請プラットフォーム、成績証明書交換、成績評価ツールなどを停止させました。教育機関を標的としたランサムウェア攻撃は、最近観測された継続的な傾向の一部です。

Check PointのThreat Emulationは、この脅威[Trojan.Win.ViceSociety.*]に対する防御機能を備えています。

• Black Basta ランサムウェアグループは、米国、カナダ、英国、オーストラリア、およびニュージーランドの組織を標的としたキャンペーンを展開しています。このグループは、QakBot (AKA QBot, Pinkslipbot) バンキング型トロイの木馬を使用して環境に感染し、ランサムウェアを落とすためのバックドアをインストールします。悪用に成功すると、ランサムウェアグループは、ブラウザ情報、キーストローク、および認証情報を含む被害者の財務データを盗むことができます。

Check PointのThreat Emulationは、この脅威[Trojan.Wins.Qbot;Banker.Wins.Qbot]に対する防御機能を備えています。

脆弱性及びパッチについて

• Google は、Web ブラウザ Chrome のアップデートを公開し、活発に悪用されている新たなゼロデイ脆弱性にパッチを適用しました。CVE-2022-4135としてトラックされているこの脆弱性は、ヒープベースのバッファオーバーフローのバグとしてGPUコンポーネントに存在し、プログラムのクラッシュや任意のコードの実行に使用され、意図しない動作につながる可能性があります。

• サイバー研究者は、Zoho ManageEngine製品において、最近パッチが適用されたSQLインジェクションの脆弱性を観測しています。この脆弱性は、CVE-2022-40300と呼ばれ、脅威アクターが細工したリクエストをターゲットサーバーに送信し、SYSTEM権限で動作するデータベースサービスのセキュリティコンテキストで任意のSQLコードを実行させることができます。
• Microsoftは、インド北部の電力網を管理する7つの施設に対する攻撃と、さまざまなIoTデバイスや一般的なソフトウェア開発キット（SDK）のベンダーが使用している脆弱なコンポーネント「Boaウェブサーバ」を結びつけました。悪用に成功すると、攻撃者はファイルから情報を収集することで、ネットワークへのサイレントアクセスを可能にすることができます。

サイバー脅威インテリジェンスレポート

• サイバー研究者は、コールバック型フィッシングと電話指向型攻撃配信（TOAD）を利用して、法律分野や小売分野の複数の被害者から数十万ドルを強奪したランサムウェアキャンペーン「Luna Moth」について調査しました。

• 「Aurora」と名付けられた新しいGoベースの情報窃盗犯の技術的分析が公開されました。このマルウェアは、ブラウザや暗号通貨アプリから機密情報を盗み出し、ディスクから直接データを流出させ、追加のペイロードをロードします。

• サイバー研究者は、複数の種類のファイルを暗号化して使用不能にし、被害者のマシンからDiscordトークンを盗み、暗号化されたファイルを回復するために身代金の支払いを要求する「AXLocker」という新しいランサムウェアツールに関して深い研究を行いました。

Check PointのThreat Emulationは、この脅威[Ransomeware.Win.TouchTrapFiles.A]に対する防御機能を備えています。

• サイバー研究者は、主にLinuxオペレーティングシステム上で動作するように設計された「RansomExx」ランサムウェアの新しい亜種を発見しました。このランサムウェアは、DefrayX脅威アクターグループによって運営されており、AES-256を使用してファイルを暗号化し、暗号化キーの保護にRSAが使用されています。

Check PointのThreat Emulationは、この脅威[Ransomeware.Wins.Ransomexx]に対する防御機能を備えています。

• 「VenomSoftX」と名付けられた情報窃取型のGoogle Chromeブラウザ拡張が、Windowsマルウェアによって展開され、ユーザがウェブを閲覧する際に暗号通貨やクリップボードの内容を窃取していることが明らかになりました。このChrome拡張機能は、JavaScriptベースのRATおよび暗号通貨ハイジャッカーとして機能するWindowsマルウェア「ViperSoftX」によってインストールされています。