チェック・ポイント・リサーチ・チームによる2022年7月11日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 「ChinaDan」と特定された匿名のハッカーが、上海国家警察（SHGA）から10億人の中国国民の機密データを含むデータベースを盗み出し、10ビットコイン（約20万ドル）で売り出すと申し出ています。彼は、名前、住所、出生地、国民ID番号、携帯電話番号、犯罪記録など、22テラバイト以上のデータを盗んだとされています。この出来事は、過去最大のデータ流出と考えられます。

• ロシアのスパイグループ「APT 29」（別名：Cozy BearまたはNobelium）が、イタリアを標的としたフィッシング攻撃に関連していることが明らかになりました。APTグループは、悪意のあるHTMLドロッパーEnvyScoutを使用して、DLLハイジャックを実行しています。同グループは、少なくとも2014年からスパイ活動を実施しています。

• TrickBot ギャングは、ロシアの侵攻中、ウクライナをターゲットにすることにシフトしています。サイバー研究者は、IcedID、CobaltStrike、AnchorMail、Meterpreterを使用して、4月中旬から6月中旬にかけて行われたTrickbotギャングによる少なくとも6つのキャンペーンがあることを指摘しています。

Check PointのThreat Emulation、Harmony EndpointおよびAnti-Botは、これら脅威に対する防御機能を備えています。

• 悪意のある攻撃者によって、メキシコ連邦電力委員会（CFE）のデータベースが公開され、1400万件以上の顧客記録があることが判明しました。
• マンガ閲覧プラットフォーム「Mangatoon」が、Elasticsearchサーバの脆弱な認証に起因するデータセキュリティ侵害の被害に遭い、2300万アカウントの個人情報が流出しました。

• 米国のサイバーセキュリティおよび諜報機関は、北朝鮮の国家が支援するサイバーアクターがMauiランサムウェアを使用して、複数の医療・公衆衛生（HPH）機関の医療サービスを担うサーバを暗号化することに対して警告する共同勧告を発表しています。

• 米国のサイバーセキュリティおよび諜報機関は、北朝鮮の国家が支援するサイバーアクターがMauiランサムウェアを使用して、複数の医療・公衆衛生（HPH）機関の医療サービスを担うサーバを暗号化することに対して警告する共同勧告を発表しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomeware.Win32.Maui]に対する防御機能を備えています。

• 「0mega」と名付けられた新しいランサムウェアギャングが、二重恐喝攻撃手法を使用し世界中の組織を標的にしています。このランサムウェアは、暗号化されたファイルの名前に「.0mega」という拡張子を付け、「DECRYPT-FILES.txt」という名前のカスタマイズされた身代金要求書を作成します。この作戦は2022年5月に開始され、数百万ドルの身代金を要求しています。

脆弱性及びパッチについて

• 新たに観測されたフィッシングキャンペーンでは、最近公開されたFollinaセキュリティの脆弱性（トラック番号CVE-2022-30190）を利用して、Windowsシステム上でRozenaというバックドアを配布しています。

Check PointのIPS、Threat EmulationおよびHarmony Endpointは、この脅威[Microsoft Support Diagnostic Tool Remote Code Execution (CVE-2022-30190); Exploit.Win.Follina*]に対する防御機能を備えています。

• Googleは、Android版ChromeのWebRTCコンポーネントに存在する、リモートでのコード実行やDoS攻撃に利用される可能性のある脆弱性（CVE-2022-2294）を積極的に突くためのパッチをリリースしました。WebRTC（Web Real-Time Communications）は、プラグインのインストールやネイティブアプリのダウンロードを必要とせず、ブラウザ上でリアルタイムの音声・映像通信機能を提供するコンポーネントです。

• Microsoftは、以前に公開された、攻撃者がWindowsサーバをNTLMリレー攻撃のターゲットとして使用できる「ShadowCoerce」の脆弱性に対してパッチを適用しました。

• オープンソースのPythonベースのWebフレームワークであるDjangoは、その新しいリリースにおいて、CVE-2022-34265としてトラックされる深刻度の高いSQLインジェクションの脆弱性の修正を発表しました。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、Amazon関連のフィッシング攻撃に関する最近の調査結果を共有しています。 2021年6月には、Amazon Prime Dayに関連するフィッシングメールの大幅な増加と、「Amazon」という用語で作成された疑わしい新しいドメインが観察されました。

Check PointのHarmony Email & Officeは、この脅威に対する防御機能を備えています。

• サイバー研究者は、OrBitと呼ばれる新しいLinuxマルウェアを発見しました。このマルウェアは、高度な回避技術を実装し、主要な機能をフックすることによってマシン上で永続性を獲得し、SSHを介してリモートアクセス機能を脅威アクターに提供し、認証情報を収集し、TTYコマンドをログに記録します。

• サイバー研究者は、企業ネットワークへの攻撃において、WindowsとLinuxのVMWare ESXiサーバの両方を暗号化することができる新しいランサムウェアファミリー「RedAlert（別名：N13V）」を発見しました。

• Raspberry Robinとして追跡されている脅威クラスタに関連する一連のサイバー攻撃について、サイバー研究者は警告を発しました。このキャンペーンは、USBデバイスまたは共有フォルダを介して拡散するワームにより、感染したQNAP（Network Attached Storage、NAS）デバイスをステージャーとして利用し、特別に細工したMicrosoftリンク（LNKファイル）を使って被害者を感染させます。