チェック・ポイント・リサーチ・チーム(以降CPRと記載)による2022年6月6日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
- 最近公開されたMicrosoft Officeの脆弱性「Follina」(CVE-2022-30190)を悪用し、欧米の政府機関を狙ったフィッシングキャンペーンが、無所属の脅威アクターによって開始されています。
Check PointのIPS、Threat EmulationとHarmony Endpointは、この脅威[Microsoft Support Diagnostic Tool Remote Code Execution (CVE-2022-30190); Exploit.Win.Follina*)に対する防御機能を備えています。
Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。
-
イラン政府が支援するハッカーが、昨年の夏、ボストン小児病院を攻撃し、サービスを停止させる計画を立てたとFBIが主張しています。所属や動機はまだ不明です。
-
LuoYuと名付けられた中国語圏のAPTは、WinDealerと呼ばれる情報窃取マルウェアを高度な攻撃のツールとして使用しています。このマルウェアは、正規のアプリケーションの自動更新を通じて配信され、攻撃者は、感染したWindowsシステムからデータを検索して送信したり、バックドアをインストールして持続性を維持し、ファイルを操作し、任意のコマンドを伝搬および実行できるようになります。
Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。
- 米国の制裁措置後、Evil Corpグループは既知のツールから距離を置き、現在はLockBitランサムウェアを使用するようになりました。これは、OFAC規制(*)を回避し、被害者の身代金支払いを保証するためのものです。
Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。
*訳者注;アメリカ政府が外交・安全保障上の目的から、制裁対象の国・団体・個人の資産凍結や制裁対象との取引禁止を求める措置
- 主にSMSベースのフィッシングによって世界的に広がる悪名高いモバイルマルウェアの脅威であるFluBotが、合同の法執行活動によって停止されたと欧州警察庁が発表しました。
Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。
脆弱性及びパッチについて
- サイバー研究者は、Microsoft Officeのゼロデイ脆弱性を明らかにし、被害者のマシン上でリモートコード実行を可能にする可能性があることを発表しました。「Follina」と呼ばれるこの脆弱性は、Wordのリモートテンプレート機能を使用して、リモートサーバーからHTMLファイルを取得し、MSProtocol URIスキームを使用してPowerShellを実行することができます。
Check PointのIPS、Threat EmulationとHarmony Endpointは、この脅威[Microsoft Support Diagnostic Tool Remote Code Execution (CVE-2022-30190); Exploit.Win.Follina*)に対する防御機能を備えています。
- CPRは、Android携帯電話に搭載されているUNISOCチップのファームウェアに、遠隔地の攻撃者が不正なパケットを介して端末の無線通信を妨害できる脆弱性があることを発見しました。
Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。
Check PointのIPSは、この脅威[Atlassian Confluence Remote Code Execution (CVE-2022-26134)]に対する防御機能を備えています。
- GitLabは、重大なアカウント乗っ取りの脆弱性(トラック番号:CVE-2022-1680)に対するパッチを発行します。このセキュリティ上の欠陥により、悪意のある行為者は、ユーザ名と電子メールを通じて任意のユーザを招待し、認証情報を変更し、最終的にアカウントを乗っ取ることができるようになります。
サイバー脅威インテリジェンスレポート
Check PointのThreat EmulationとAnti-Botは、この脅威に対する防御機能を備えています。
- Contiランサムウェアオペレーションの流出したチャットを分析しているサイバー研究者は、Contiの開発者がIntelファームウェアを悪用する概念実証(PoC)コードを作成していたことを発見しました。Contiの運用はシャットダウンされている可能性がありますが、Contiのエンジニアは、ファームウェアの新しい未知のエクスプロイトを開発できる他のマルウェア運用に移行しました。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomeware.Win32.Contiに対する防御機能を備えています。
- サイバー研究者は、ITおよびOTネットワークを標的としたIoT(R4IoT)機器向けランサムウェアの概念実証(PoC)を開発しました。