チェック・ポイント・リサーチ・チームによる2022年7月18日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 既知のサイバーセキュリティ企業になりすまし、企業ネットワークを標的にしたコールバックフィッシング・キャンペーンが観測されました。これは標的のネットワークにおける脅威の疑いについて電子メールで記載されており、企業に電話をかけて、調査のためにネットワークに入れるよう求めるものです。この作戦は、Contiグループのベテランを数人雇っているQuantumランサムウェアギャングによって行われているとの指摘もあります。
• セキュリティ研究者は、Automation Direct社のプログラマブルロジックコントローラ「DirectLogic」の脆弱性(トラック番号CVE-2022-2033）を利用したパスワード回復ツールにより、一般的な産業制御システムにSalityマルウェアを感染させる試みを明らかにしました。

• サイバー研究者は、ジャーナリストや報道機関を標的にし、またそれらを装った国家レベルのハッカー集団の活動を網羅した報告書を発表しました。

• 64ビットWindowsシステム向けに作成されたC/C++コンソールベースのランサムウェア「Lilith」が、一般的な二重の強奪方法を使用しており、南米に拠点を置く大規模建設グループが最初の犠牲者としてリストにのりました。
• 強力な新型ボットネットであり、5067台の端末から2600万リクエスト/秒のピークを記録した史上最大のDDoS攻撃（2022年6月）の運営元であるMantisは、この1カ月間でCloudflareの顧客に対して3,000回以上のDDoS攻撃を行ったと報告されています。
• Uniswap（人気のある分散型暗号通貨取引所）に対する高度なフィッシング攻撃により、脅威アクターは被害者のウォレット内のすべてのUniswap v3 LPトークンを換金し、800万ドル相当のイーサリアムを盗み出しました。
• 2022年3月から活動し、「Luna Moth」と名付けられた新しい洗練されていないハッカー集団は、フィッシング攻撃を頼りに、既成のツール（AteraやSplashtopなど）を配信してデータを盗み、ファイルを暗号化せずに非公開なまま身代金を要求しています。
• Google Playストアの8つのAndroidアプリケーションから、Androidユーザを密かにプレミアムサービスに加入させ、300万回以上インストールされた新しいマルウェア「Autolycos」が発見されました。

Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。

• サイバー研究者は、被害者から完全なIDを盗もうとするPayPalのユーザを対象としたフィッシングキットを発見しました。

脆弱性及びパッチについて

• Microsoftは、84件のセキュリティ脆弱性に対するパッチをリリースしました。そのうちの1件は、Windowsのクライアント/サーバ・ランタイム・サブシステム（CSRSS）において、活発に悪用され、深刻度が高く、特権の昇格を招くゼロデイ脆弱性です。この脆弱性は、CVE-2022-22047としてトラックされ、悪意のある攻撃者がSYSTEM権限を獲得することが可能であり、米国CISAは連邦政府機関に3週間以内にこのパッチを適用するよう要請しています。

Check PointのHarmony Endpoint、Threat EmulationおよびIPSは、この脅威[Exploit.Win.CVE-2022-22047.*; Microsoft Windows Client/Server Runtime Subsystem Elevation of Privilege (CVE-2022-22047)]に対する防御機能を備えています。

• Retbleed と呼ばれる投機的実行攻撃は、多数の古い AMD および Intel マイクロプロセッサに影響を及ぼし、機密情報の抽出に使用される可能性があります (CVE-2022-29900 および CVE-2022-29901)。

•  サイバー研究者は、攻撃者がサンドボックスの制限を回避してシステム上でコードを実行することができるmacOSの脆弱性（CVE-2022-26706）を発見しました。
• 最近のホンダ車の一部には、キーフォブサブシステムの一部として、脆弱なローリングコード機構（CVE-2021-46145）があり、車のロックを解除したり、遠隔でエンジンを始動することが可能です。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチの調べによると、2022年6月、最も流行しているモバイルマルウェアとして、5月末に停止したFluBotに続き、MaliBotという新しいAndroidバンキングマルウェアが3位となりました。Emotetは依然として全体的に最も流行しているマルウェアであり、Snake Keyloggerは、先月8位に登場して以来、活動が増加して3位にランクインしています。
• 2021年6月から活動領域の端にとどまりつつも、中小企業をターゲットに活動を続けている北朝鮮系のランサムウェア「H0lyGh0st」について、サイバー研究者によりその実態が明らかになりました。

Check PointのAnti-Virusは、この脅威[H0lyGh0st.TC*]対する防御機能を備えています。

• Qakbotマルウェア（別名：Qbot）は、検知の回避率を高めることを目的に新しい手法を採用しており、配信ベクトルの変換、コードの難読化の改善、攻撃チェーンの多層化、複数のURLや未知のファイル拡張子を使用してペイロードを配信することなどが挙げられます。

Check PointのHarmony Endpoint、Threat EmulationとAnti-Botは、この脅威[Trojan.Wins.Qbot.*, qbot.TC.*, Banking.Win32.Qbot.TC.*, Trojan.Win32.Qakbot.TC.*対する防御機能を備えています。

• 悪意のある攻撃者は、大規模なキャンペーンでDigiumのソフトウェアを使用したElastix VoIP電話を標的にしており、おそらくCVE-2021-45461としてトラックされるFreePBXモジュールのRCE脆弱性を悪用していると思われます。

• 2021年9月以降、中間者（adversary-in-the-middle：AiTM）サイトを利用した大規模な金銭的動機によるフィッシングキャンペーンが1万以上の組織を攻撃しており、サイトでの認証をスキップさせ、多要素認証が有効であってもOffice 365の認証プロセスを乗っ取ることを可能にしています。