Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
TakahiroS
Employee
Employee

週次サイバーセキュリティ脅威レポート (2022年3月28日版)

チェック・ポイント・リサーチ・チーム(以降CPRと記載)による

2022328日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

 

今週のTOP サイバー攻撃とセキュリティ侵害について 

・MicrosoftOktaNVIDIASamsungUbisoftなどを含む大企業は、Lapsus$ハッキンググループによって侵害されています。 このサイバーギャングは、主要なテクノロジー企業や政府から盗取した機密情報を公開することで最もよく知られています。 現時点で侵入経路や手順は明らかにされていませんが、最近の進展で、英国の警察はハッキングの背後にいる疑いのある16歳から21歳の7人のティーンエイジャーを逮捕したと発表しました。

・建設、不動産、政府部門のフランスの組織は、オープンソースのパッケージインストーラChocolateyによるSerpentバックドアの配信の標的とされました。 サイバー脅威アクターは、履歴書をテーマにした件名と、GDPR情報を含むと主張するマクロ対応文書、さらにバックドアのインストールに使用される漫画の画像を用いたステガノグラフィを活用しました。

・中国語を話すAPT(Advanced Persistent Threat:高度で継続的な脅威)グループのScarabは、HeaderTipマルウェアを利用し、紛争開始以来ウクライナを標的としてきました。 彼らのキャンペーンは、ペイロードを含むソーシャルエンジニアリングされたルアードキュメントを含むフィッシングメールが一般的に利用されています。

チェック・ポイントのHarmonyエンドポイントおよびTreat Emulationはこの脅威(Ransom.Win32.Scrab;Technique.Win.MalScript.la.B)に対する保護機能を備えています。

 

・ロシア最大の食肉生産者の1つであるMiratorg Agribusiness Holdingは、大規模なサイバー攻撃に苦しんでいます。 サイバー攻撃者はWindows BitLockerを使用して、被害者のITシステムをフルボリュームで暗号化し、身代金を要求しました。 この攻撃により、数日間配送が中断されました。

・中国のAPT攻撃者は、東南アジア、主に台湾、フィリピン、香港のギャンブル会社をターゲットにした“OperationDragonCastling”と呼ばれる新しいキャンペーンにリンクされています。 攻撃者のTTPTactics, Techniques, Procedures)には、WPS OfficeにおけるCVE-2022-24934脆弱性に対するリモートコード実行が含まれます。 これらの攻撃は、既知のグループにまだリンクされていません。

・サイバー研究者は、10万人以上のユーザーによってインストールされている”Craftsart Cartoon Photo Tools”と呼ばれる悪意のあるAndroidアプリケーションを発見しました。 このアプリケーションは、被害者をFacestealerと呼ばれるAndroidトロイの木馬に感染させ、ロシアで登録されているドメインと通信によって、最終的にFacebookのクレデンシャルを盗みます。

チェック・ポイントのHarmony Mobileはこの脅威(Trojan.Win32.Facestealer)に対する保護機能を備えています。

 

・モルガンスタンレーの顧客アカウントは、ビッシング(*)の手法により、ソーシャルエンジニアリング攻撃で侵害されました。 ハッカーは自分の銀行口座に送金することに成功しました。

*訳者注;「ビッシング」とは詐欺やサイバー攻撃の手法の一つで、ディープフェイク技術など巧妙に作成された音声により標的の人物から電話によりクレジットカード番号やパスワード等の機密情報を聞き出す手法

 

脆弱性及びパッチについて

・Googleは、実際に悪用されているChromeの重大度の高いゼロデイ脆弱性にパッチを適用する緊急アップデートをリリースしました CVE-2022-1096としてトラックされ、これはV8 JavaScriptエンジンのタイプの混乱の脆弱性であり、脅威の攻撃者が範囲外のメモリアクセスを実行する可能性があります。

・ソフォスは、ファイアウォールにおいてCVE-2022-1040としてトラックされた重大な脆弱性を修正しました。 この欠陥は、ソフォスファイアウォール バージョン18.5MR3以前においてユーザポータルおよびweb admin領域での認証バイパスに関するものです。 悪用された場合、攻撃者が認証をバイパスして任意のコードを実行する可能性があります。

・VMwareは、Carbon Black App Control Platform2つの重大なセキュリティ脆弱性にパッチを適用しました OSコマンドインジェクションの欠陥であるCVE-2022-22951は、サーバ上でコマンドを実行するために利用される可能性があり、CVE-2022-952は、ファイルアップロードの欠陥で、影響を受けるWindowsインスタンス上でハッカーにコードを実行させる可能性があります。

・米国CISAは、組織に対するサイバー攻撃で悪用された既知の脆弱性カタログに66の欠陥を追加しました

・一部のホンダとアキュラの車のモデルは、近くの悪意のある攻撃者がキーから車に送信されたRF信号をキャプチャし、それらを再送信して近距離から制御することにより、車のロックを解除してエンジンを始動させる「リプレイ攻撃」に対して脆弱です

 

サイバー脅威インテリジェンスレポート

・CPRは、中国のIPアドレスからのサイバー攻撃が、NATO加盟国に対して116%、全世界に対しては72%増加したことを発見しました。 これらの攻撃は特定の驚異者に起因するものではありませんが、この傾向は、ハッカーがロシアとウクライナの紛争の中で、ハッカーが中国のIPをリソースとしてサイバー攻撃を仕掛ける傾向が強まっていることを示しています。

・サイバー研究者は、北朝鮮の国家支援を受けた2つのサイバー脅威アクターがCVE-2022-0609としてトラックされるChromeのリモートコード実行の欠陥を悪用していることを発見しました。 このキャンペーンは、米国の組織、IT、暗号通貨、フィンテックセクターを対象としています。

チェック・ポイントのIPSはこの脅威(Google Chrome Use After Free[CVE-2022-0609])に対する保護機能を備えています。

 

・中国のAPTグループであるMustang Panda(別名TA416)は、東南アジアの外交官、研究部門、ISPに対して、現在進行中のスパイ活動のツールセットに新しい亜種を導入しました。 Hodurと呼ばれる新しいカスタムローダーは、同様のRAT機能を共有するKorplugの亜種です。

・米国政府は、最近西側諸国によって施行された経済制裁に対応して、ロシアからの潜在的なサイバー攻撃の可能性があるとして、企業に警告を発しました

・FBIは、2021年に649の重要なインフラストラクチャがランサムウェアの攻撃に見舞われたと報告しています

0 Replies