チェック・ポイント・リサーチ・チーム（以降CPRと記載）による2022年6月6日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 最近公開されたMicrosoft Officeの脆弱性「Follina」（CVE-2022-30190）を悪用し、欧米の政府機関を狙ったフィッシングキャンペーンが、無所属の脅威アクターによって開始されています。

Check PointのIPS、Threat EmulationとHarmony Endpointは、この脅威[Microsoft Support Diagnostic Tool Remote Code Execution (CVE-2022-30190); Exploit.Win.Follina*)に対する防御機能を備えています。

• Microsoftは、レバノンを拠点とする脅威アクターとイランに関連する脅威アクターが連携して、イスラエルの組織を標的とした悪意のある活動を無効化しました。この攻撃活動は、データ抽出とコマンド＆コントロールのためにOneDriveクラウドストレージプラットフォームを悪用したものでした。Microsoftは、攻撃者が作成した20以上の悪意のあるOneDriveアプリケーションを停止させたと主張しています。

• コスタリカの公衆衛生サービスがHiveランサムウェアの攻撃を受け、コンピュータシステムを停止させられました。Hiveランサムウェアグループは、感染したサーバーのロックを解除するために500万ドルのビットコインを要求してきました。この攻撃は、この政府および他の関連団体へのContiランサムウェア攻撃と関連している可能性があります。

Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。

• イラン政府が支援するハッカーが、昨年の夏、ボストン小児病院を攻撃し、サービスを停止させる計画を立てたとFBIが主張しています。所属や動機はまだ不明です。

• LuoYuと名付けられた中国語圏のAPTは、WinDealerと呼ばれる情報窃取マルウェアを高度な攻撃のツールとして使用しています。このマルウェアは、正規のアプリケーションの自動更新を通じて配信され、攻撃者は、感染したWindowsシステムからデータを検索して送信したり、バックドアをインストールして持続性を維持し、ファイルを操作し、任意のコマンドを伝搬および実行できるようになります。

Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。

• 米国の制裁措置後、Evil Corpグループは既知のツールから距離を置き、現在はLockBitランサムウェアを使用するようになりました。これは、OFAC規制(*)を回避し、被害者の身代金支払いを保証するためのものです。

Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。

*訳者注；アメリカ政府が外交・安全保障上の目的から、制裁対象の国・団体・個人の資産凍結や制裁対象との取引禁止を求める措置                                                                                                                                             

• 主にSMSベースのフィッシングによって世界的に広がる悪名高いモバイルマルウェアの脅威であるFluBotが、合同の法執行活動によって停止されたと欧州警察庁が発表しました。

Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。

脆弱性及びパッチについて

• サイバー研究者は、Microsoft Officeのゼロデイ脆弱性を明らかにし、被害者のマシン上でリモートコード実行を可能にする可能性があることを発表しました。「Follina」と呼ばれるこの脆弱性は、Wordのリモートテンプレート機能を使用して、リモートサーバーからHTMLファイルを取得し、MSProtocol URIスキームを使用してPowerShellを実行することができます。

Check PointのIPS、Threat EmulationとHarmony Endpointは、この脅威[Microsoft Support Diagnostic Tool Remote Code Execution (CVE-2022-30190); Exploit.Win.Follina*)に対する防御機能を備えています。

• CPRは、Android携帯電話に搭載されているUNISOCチップのファームウェアに、遠隔地の攻撃者が不正なパケットを介して端末の無線通信を妨害できる脆弱性があることを発見しました。

Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。

• Atlassian Confluence および Data Center サーバに影響を及ぼす重大な脆弱性 (CVE-2022-26134) は、実際に悪用されていましたが、パッチが適用されました。悪用に成功すると、リモートの攻撃者が新しい管理者アカウントを作成し、コマンドを実行し、サーバを乗っ取ることができるようになります。

Check PointのIPSは、この脅威[Atlassian Confluence Remote Code Execution (CVE-2022-26134)]に対する防御機能を備えています。

• GitLabは、重大なアカウント乗っ取りの脆弱性（トラック番号：CVE-2022-1680）に対するパッチを発行します。このセキュリティ上の欠陥により、悪意のある行為者は、ユーザ名と電子メールを通じて任意のユーザを招待し、認証情報を変更し、最終的にアカウントを乗っ取ることができるようになります。

サイバー脅威インテリジェンスレポート

• CPRは、何万ものおとりの中にC&Cサーバを隠す手法で知られるXloader infostealerの現行バージョンを分析しました。過去1年間にリリースされた2つの新バージョンでは、このマルウェアの作者がこれらの技術をさらに改良し、確率論の実験を行った結果、C&Cサーバの発見がさらに困難になっていることが判明しています。

Check PointのThreat EmulationとAnti-Botは、この脅威に対する防御機能を備えています。

• Contiランサムウェアオペレーションの流出したチャットを分析しているサイバー研究者は、Contiの開発者がIntelファームウェアを悪用する概念実証（PoC）コードを作成していたことを発見しました。Contiの運用はシャットダウンされている可能性がありますが、Contiのエンジニアは、ファームウェアの新しい未知のエクスプロイトを開発できる他のマルウェア運用に移行しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomeware.Win32.Contiに対する防御機能を備えています。

• サイバー研究者は、ITおよびOTネットワークを標的としたIoT（R4IoT）機器向けランサムウェアの概念実証（PoC）を開発しました。