チェック・ポイント・リサーチ・チーム(以降CPRと記載)による2022年3月7-13日における週次のサイバーセキュリティ脅威レポートの抄訳です。オリジナルの英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
・この度、CPRは、Conti Ransomwareギャング関連で流出したチャット情報を分析し、同グループが物理的なオフィスや人事・財務部門などを持つハイテク企業に近い経営を行っていることについての分析と洞察を明らかにしました。
また、同グループの主要メンバーおよび関連の組織構造を明らかにする詳細なコネクション・マップを公開しました。
なお、Check Point Harmony Endpoint と Threat Emulation は、この脅威(Ransomware.Win32.Conti)に対する防御機能を提供します
・Fancy Bear(別名:APT28、ロシア系)、Ghostwriter(別名:UNC1151、ベラルーシ系)、Mustang Panda(別名:TA416、中国系)など様々なAPTグループが、ウクライナ、ポーランド、その他のヨーロッパの組織を対象に、異なる様々なフィッシングキャンペーンを行ってきました。
・中国に属する国家的なAPT41グループ(別名Wicked Panda)は、過去6ヶ月間、脆弱なWebアプリケーションを悪用して米国政府のネットワークに侵入することに成功しています。脆弱性には、Log4Shellや、CVE-2021-44207を追跡したUSAHerdsアプリのゼロデイ欠陥が含まれています。
チェック・ポイントの IPS は、この脅威に対する防御策を提供しています(Apache Log4j Remote Code Execution (CVE-2021-44228))
・ルーマニアのガソリンスタンドチェーンRompetrolがHiveランサムウェアに感染し、データ保護のためにウェブサイトとスタンドのFill&Goサービスの停止を余儀なくされました。Hiveの一味は、復号と引き換えに200万ドルの身代金を要求しており、盗まれたデータを流出させないよう求めています。
チェック・ポイントの Harmony Endpoint は、この脅威に対する防御策を提供します
・英国のフェリー事業者Wightlinkが侵入され、バックオフィスのITシステムに影響を与え、一部の顧客と従業員のデータに影響を及ぼしています。
・国家が支援するイランのAPTグループMuddyWaterは、トルコやアジア諸国を標的としたサイバー攻撃に関与しており、悪意のある文書を使用して最終的にリモートアクセス型トロイの木馬に感染させています。また、アラビア半島では、「SloughRAT」と呼ばれるマルウェアを利用したキャンペーンが活発に行われています。
チェック・ポイントの Harmony Endpoint と Threat Emulation は、この脅威(Trojan.Win32.Muddywater)に対する保護機能を備えています
脆弱性及びパッチについて
・CVE-2022-0847 (別名「Dirty Pipe」) として追跡されている特権昇格の不具合は、Linux カーネル バージョン 5.8 以上に発見され、パッチが適用されています。
・「TLStorm」と呼ばれる3つの重大なセキュリティゼロデイ脆弱性(CVE-2022-22805, CVE-2022-22806, CVE-2022-0715)は、攻撃者がAPC無停電電源装置(UPS)を制御し、データ損失、障害、または物理的な被害につながる可能性があります。
・マイクロソフトは、Azure Automation サービスに存在する重大な欠陥にパッチを適用しました。AutoWarpと名付けられたこの脆弱性により、他のAzureの顧客データに不正にアクセスされ、制御を乗っ取られる可能性がありました。
サイバー脅威インテリジェンスレポート
・チェック・ポイント・リサーチは、2022年2月のトップ・マルウェア・レポートで、Emotetが再び最も流行しているマルウェアで、世界中の組織の5%に影響を与えていることを明らかにし、TrickBotは2位から6位に転落していることを発表しました。このチャートに含まれるいくつかのマルウェアは、現在、ロシアとウクライナの紛争をめぐる国民の関心を利用して、悪質なメールキャンペーンを展開しています。
チェック・ポイントの Harmony Endpoint と Threat Emulation は、これらの脅威に対する防御策を提供します
・中国系のAPTグループであるMustang Panda(別名TA416)は、少なくとも2020年半ばからヨーロッパの外交官を攻撃しており、最新のフィッシングキャンペーンでは、現在のウクライナの地政学的状況を利用した新しいルアーテーマを使用しています。
・サイバー犯罪者は、ウクライナとロシアの紛争を悪用する別の方法を発見しました。ウクライナを支援するサイバーオペレーターにマルウェアを提供し、ロシアのターゲットを攻撃するツールであると主張しますが、実際にはダウンロードすると、ペイロードが直接受信者にさまざまな種類のマルウェアを感染させます。
・「Escobar」と名付けられたAndroidバンキング型トロイの木馬「Aberebot」の新種には、Google Authenticatorの多要素認証コードを盗み出すためのモジュールが含まれています。このマルウェアは、アンダーグラウンドフォーラムでサービスとして提供されています。
・BazarLoader マルウェアは、一般的なフィッシングメールや悪意のある文書とは異なり、Webサイトの連絡フォームを通じて配布されるようになりました。
Check Point Harmony Endpoint と Threat Emulation は、この脅威に対する防御策を提供します
i以上