チェック・ポイント・リサーチ・チームによる2022年8月29日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• モンテネグロは大規模なサイバー攻撃を受け、複数の政府サービスに影響を与えました。 一部の情報源によると、重要なインフラ、交通、通信に影響を及ぼす可能性があるとのことです。 モンテネグロの治安当局は、攻撃は組織的で持続的であると主張しており、ロシアによって行われたことを確信をもって結論付けています.

• Python Package Index (PyPi) のライブラリの開発者が、フィッシングキャンペーンの被害にあっています。攻撃者は、PyPiからの公式メッセージに見せかけたメールを送り、セキュリティ保護対策を実施するために開発者の認証情報を要求していると思われます。PyPiは、同社のプラットフォームを狙った初のフィッシング攻撃であると主張しており、被害を受けたライブラリには悪意のあるコードが挿入されていました。
• フランスの病院CHSFがランサムウェアの攻撃を受け、1000万ドルを要求されました。同病院は、重篤でない患者を迂回させ、コンピュータシステムの助けを借りずに患者の治療を行うことを余儀なくされています。フランス警察によると、この攻撃の背後にはLockbitランサムウェアグループが存在するとのことです。

Check PointのHarmony EndpointとThread Emulationは、この脅威[Ransomeware.Win.Lockbit]に対する防御機能を備えています。

• イラン系の脅威グループであるMercuryは、ここ数週間、複数のイスラエル組織を標的にしています。このグループは、組織への初期アクセスを得るためにSysAidプラットフォームのLog4j-2の脆弱性を悪用し、複数のツールを展開し、感染した環境において永続性を確立し、横方向に拡散しています。

Check PointのIPSは、この脅威[Apache Log4j Remote Code Execution (CVE-2021-44228); Apache Log4j Remote Code Execution (CVE-2021-44832); Apache Log4j Remote Code Execution (CVE-2021-45046))]に対する防御機能を備えています。

• パスワード管理ソフトの開発で人気の高いLastPassは、同社の環境に侵入され、ソースコードの一部が盗まれたことを発表しました。LastPassは、ユーザのマスターパスワードは同社の環境には保存されていないため、ユーザー情報の漏洩はないとしています。

• Plexストリーミングサービスは、同社のデータベースが侵害され、同サービスの加入者1500万人以上のユーザ名、電子メールアドレス、ハッシュ化されたパスワードが流出したことを確認しました。Plexは、この流出を受けて顧客に対してパスワードのリセットを実施しました。

• ドミニカ共和国の農務省がQuantumランサムウェアの攻撃を受けています。

脆弱性及びパッチについて

• Atlassian は、Bitbucket Server および Data Center の重要な脆弱性にパッチを適用しました。この脆弱性により、アクセス権限または読み取り権限を持つ攻撃者が、Bitbucket リポジトリ上で任意のコードを実行できる可能性があります。
• GitLabは、Import from GitHub APIのエンドポイントを経由してリモートでコードが実行される重要な脆弱性に対するセキュリティ修正を含む、GitLab CEおよびEEの新バージョンを公開しました。
• Ciscoは、同社製品に影響を及ぼすソフトウェアの脆弱性に対するセキュリティパッチを公開しました。一部の脆弱性を悪用されると、攻撃者がユーザのシステムにリモートアクセスを取得できる可能性があります。
• Mozillaは、FirefoxおよびThunderbirdの複数の脆弱性に対応したセキュリティアップデートを公開しました。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、「Google Translate Desktop」やその他のフリーソフトを模倣してPCを感染させる、活発な暗号通貨マイニングキャンペーンを発見しました。Nitrokodというトルコ語を話す団体が作成したこのキャンペーンは、2019年以降、11カ国で111,000件のダウンロードを記録しています。

Check PointのHarmony Endpointは、この脅威に対する防御機能を備えています。

• CloudFlareとTwilioに影響を与えた最近のフィッシングキャンペーンの調査では、130以上の組織で9000以上のアカウントが被害を受けていることが明らかになりました。脅威アクターは、盗まれた認証情報を悪用して、高度なサプライチェーン攻撃を行いました。

• ランサムウェアの新種「BlueSky」および「Black Basta」の脅威を詳述したレポートが発表されました。2022年から活動しており、アナリストはこれらの脅威が今後数カ月で人気が高まると予測しています。

Check PointのAnti-VirusとThreat Emulationは、これらの脅威に対する防御機能を備えています。

• APT29 (Cozy Bear, Nobelium) が使用するポストコンパイル手法が、サイバー研究者によって発見されました。「MagicWeb」と名付けられたこの手法は、被害を受けた環境で正規のDLLを変更し、AD FSサーバをバイパスさせ、攻撃者が任意のユーザとして、任意のクレームでサインインできるようにするものです。

• イランのグループ APT35 (Charming Kitten) が使用するスパイウェアツール Hyperscrape の解析結果が公開されました。このツールは、ターゲットのセッションまたは認証情報にアクセスした後、ユーザのメールアカウントの自動スクレイピングを可能にし、特にGmail、Yahooメール、Outlookをターゲットにしています。

Check PointのAnti-VirusとThreat Emulationは、これらの脅威[HackTool.Win32.HYPERSCRAPE.TC]に対する防御機能を備えています。

• サイバー研究者は、北朝鮮に関連するAPTグループ「Kimsuky（Thallium）」が使用するマルウェア「GoldDragon」の技術的な分析結果をまとめました。スピアフィッシングで配信されるこのペイロードは、高度に標的化されており、あらかじめ設定されたメールアドレスからアクセスされた場合にのみダウンロードされます。ターゲットの中には、韓国の外交官、教授、研究者などが含まれています。