チェック・ポイント・リサーチ・チーム（以降CPRと記載）による2022年5月9日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ウクライナIT軍は、ロシア政府が使用する「国家アルコール会計情報システム（EGAIS）」と呼ばれるポータルへのアクセスを制限すためにDDoS攻撃を実行し、ロシアのアルコール流通を妨害しました。

• 親ウクライナの脅威アクターは、侵害されたDocker Engineのハニーポットを使用して、15万回以上ダウンロードされた2つのDockerイメージを実行し、サービス運用妨害（DoS）攻撃を開始しました。この攻撃は、ウクライナ政府が支援するウクライナIT軍のターゲットリストに含まれているロシアとベラルーシのWebサイトを標的としています。

• サイバー研究者は、中国の人民解放軍戦略支援部隊（PLA SSF）と連携した中国系のハッキンググループが、ロシアの複数の政府機関や防衛産業の企業を攻撃していることを発見しました。
• 「UNC3524」としてトラックされる新たなAPTグループは、企業の電子メールアカウントを侵害し、企業の開発、M&A、大規模の企業取引、ITセキュリティに関連するコンテンツを通じて財務情報を取得しています。 UNC3524は、被害者の環境において検知されず、サイバースパイ活動を行う可能性のある、高度な脅威アクターであると思われます。

• 中国国家が支援するAPTアクターWinnti（別名：APT41、BARIUM、Blackfly）は、特許、著作権、商標などの知的財産資産の窃盗活動を行っています。同グループは、2019年よりこれらのサイバースパイ活動を実施しています。

Check PointのThreat Emulationは、この脅威[Backdoor.Win32.Winnti]に対する防御機能を備えています。

• 英国のNational Health System（NHS）は、少なくとも2022年4月以降、メールアカウントを標的としたフィッシングキャンペーンの被害を受けています。NHSの2つのIPアドレスから1000件以上のフィッシングメッセージが送信され、これらはイングランドとスコットランドの139人の職員に属する乗っ取られたメールアカウントから配信されました。

• 中国のAPTアクターであるMoshen Dragonは、新たなサイバースパイキャンペーンで中央アジアの通信サービスプロバイダを標的にしています。脅威アクターは、5種類のShadowPadおよびPlugXマルウェアの亜種のDLLサイドローディングのためにセキュリティ製品を悪用しました。

Check PointのHarmony EndpointとThreat Emulationは、これらの脅威[RAT.Win.PlugX; Trojan.Win32.PlugX; Backdoor.WIN32.Plugx; RAT.Wins.ShadowPad; Backdoor.Win32.Shadowpad]に対する防御機能を備えています。

脆弱性及びパッチについて

• Googleは、積極的に悪用されているLinuxカーネルの脆弱性CVE-2021-22600を修正するAndroidアップデートをリリースしました。この脆弱性はメモリの破壊、最終的にDoS攻撃や任意のコード実行につながる可能性のあるものです。
• F5 は、同社の BIG-IP ネットワークデバイスおよびモジュールに、ネットワークアクセス権を持つ未認証の攻撃者がリモートコード実行による攻撃を可能とする欠陥について警告を発表しました。CVE-2022-1388としてトラックされ、iControl REST認証をバイパスする非公開のリクエストを許可する可能性があります。
• Ciscoは、Enterprise NFV Infrastructure Softwareに見つかった3つのセキュリティ上の欠陥にパッチを適応しました。CVE-2022-20777, CVE-2022-20779, CVE-2022-20780 としてトラックされ、これらは攻撃者が VM から API コールを送信し、ルートレベルの特権で NFVIS ホスト上で実行し、ホストを完全に侵害することができる脆弱性です。
• IoT製品で一般的な標準Cライブラリのドメインネームシステム（DNS）コンポーネントに、パッチが適用されていない欠陥が公開されました。CVE-2022-30295としてトラックされ、これは攻撃者は対象となるデバイスに対してDNSポイズニング攻撃を実行することを可能にするものです。

サイバー脅威インテリジェンスレポート

• セキュリティ研究者は、Conti、REvil、LockBitなど複数種類のランサムウェアに存在する脆弱性を利用したエクスプロイトを発見しました。これらの脆弱性を悪用することで、ファイルの暗号化を停止させることができます。

Check PointのHarmony EndpointとThreat Emulationは、これらの脅威[(Ransomware.Win32.Conti); (Ransomware.Win.Revil.ja; Ransomware.Win32.REvil.TC; Trojan.Win32.Sodinokibi); (Ransomware.Win.Lockbit Ransomware.Win32.LockBit. lockbit.TC)]に対する防御機能を備えています

• 米国国務省は、Contiランサムウェア一味につながる情報に対して1500万ドルの報奨金を提供しています。

• 米国財務省は、北朝鮮のハッキンググループ「Lazarus」がビットコインの取引元と取引先を難読化するために利用していた暗号通貨ミキサー「Blender.io」に制裁措置を発動しました。Lazarusグループは、人気オンラインゲーム「Axie Infinity」に関連する数億ドル相当の暗号通貨を盗み、不正収益をロンダリングした罪で告発されています。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Win.Lazarus]に対する防御機能を備えています。

• 米国FBIは、2016年以降、世界で430億ドルを突破したBEC（Business Email Compromise）詐欺について警告しています。