チェック・ポイント・リサーチ・チームによる2022年7月4日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• イランの製鉄所がサイバー攻撃を受け、生産停止に追い込まれたと報じられています。この攻撃は、過去にイランの鉄道システムを攻撃したハッカー集団「Gonjeshke Darande」が行ったとされています。チェック・ポイント・リサーチは、今回の攻撃の一部で使用されたマルウェアのサンプルを発見・分析し、過去にイランを標的とした攻撃で使用されたツールと関連づけました。
• 先週、ノルウェーとリトアニアの両国が大規模なDDoS攻撃の被害を受けました。これらの攻撃は、各国のウクライナ支援を思いとどまらせることを目的に、別々の親ロシア派のハッカーグループによって行われたと推測されます。
• 米国の書籍出版グループ、マクミラン社はサイバー攻撃を受けITシステムをシャットダウンしました。マクミラン社の広報担当者によると、攻撃者は同社のネットワーク内のファイルを暗号化し、注文、出荷、配送の遅延を引き起こしました。
• イラン系のハッカー集団「SharpBoys」が、10万人以上のイスラエル国民の個人情報および金融情報を流出させました。この情報は、イスラエルの観光産業に関連する複数のウェブサイトのハッキングによって入手されたものです。
• 米国のチップメーカー大手AMDが、ハッカー集団RansomHouseの複数のパートナーによって、450GBのデータを盗み出されました。RansomHouseによると、彼らはAMDが恐喝料を支払うのを待つのではなく、関心を持つ第三者にデータを売るつもりだということです。
• IISバックドア「SessionManager」の活動を詳細に説明したレポートが公開されました。SessionManagerは、ExchangeサーバーのProxyLogonの脆弱性を悪用して配信されるIIS用の悪質なモジュールです。サイバー研究者によると、このバックドアは、数十のNGO、政府、軍事、産業組織へのスパイ行為に使用されているとのことです。

Check PointのIPSとAnti-Virusは、この脅威[Microsoft Exchange Server Remote Code Execution (CVE-2021-34473); Backdoor.Win32.SessionManager.TC.*, Backdoor.Win64.BadIIS.*]に対する防御機能を備えています。

• サイバー研究者は、Linuxシステムを標的としたクリプトマイニングキャンペーンにおいて、新たに発見された脆弱性と新機能が使用されていることを確認しました。このキャンペーンでは、Atlassian ConfluenceとOracle WebLogicの脆弱性を悪用して、Linuxサーバにアクセスすることが可能になっています。

Check PointのIPSとAnti-Virusは、この脅威[Atlassian Confluence Remote Code Execution (CVE-2022-26134), Oracle WebLogic Server Remote Code Execution (CVE-2019-2725)に対する防御機能を備えています。

脆弱性及びパッチについて

• Zoho ManageEngine ADAudit Plusに重大な脆弱性が発見されました。この脆弱性により、攻撃者は一連の欠陥を悪用して、リモートでコードを実行することが可能になります。ManageEngineは、この脅威をカバーするセキュリティパッチを発行しています。

Check PointのIPSは、この脅威[Zoho ManageEngine ADAudit Plus Remote Code Execution (CVE-2022-28219)]に対する防御機能を備えています。

• Jenkinsは、多くのJenkins配信プラグインに影響を与える数十の新しい脆弱性を含むセキュリティアドバイザリをリリースしましたが、そのうち4つだけがパッチが適用されています。

• Mozillaは、Firefoxブラウザのバージョン102をリリースしました。このバージョンでは、20以上のセキュリティの脆弱性に対する修正が含まれています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、夏本番を迎えるにあたり、脅威アクターが旅行に関連した誘い文句でフィッシング攻撃を仕掛けてくることを警告しています。

• Ransomware-as-a-ServiceグループのLockbitは、同社のランサムウェアのバージョン3.0をリリースしました。新機能として、バグ懸賞金プログラムがあり、同グループのランサムウェアにセキュリティ上の欠陥を発見できた人に金銭的な報酬が約束されています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomeware.Win.Lockbit]に対する防御機能を備えています。

• サイバー研究者は、ZuoRATと呼ばれる、ルータを標的としてローカルエリアネットワークにアクセスする新しいマルウェアを発見しました。ZuoRATは、攻撃者が感染したルータを列挙し、中間者（Man-in-the-middle）攻撃を行い、ルータのLAN内にあるホストにトロイの木馬をダウンロードすることを可能にします。このマルウェアの精巧さから、サイバー研究者は国家レベルのアクターによって作成されたのではないかと推測しています。

• Androidマルウェア「Flubot」の詳細な活動年表が公開されました。この複雑なAndroidマルウェアのインフラは2022年6月に停止されましたが、研究者は、C&Cドメインを再確立できれば再浮上する可能性が高いと考えています。

Check PointのHarmony Endpointは、この脅威に対する防御機能を備えています。

• 料金不正請求 Android マルウェアの脅威について詳述した記事が公開されました。このタイプのマルウェアは、ユーザの電話料金に直接加算されるサービスにこっそり加入する機能を悪用し、金銭的な認証が不要になるようにするものです。