チェック・ポイント・リサーチ・チームによる2022年9月12日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
Check PointのThreat EmulationおよびHarmony Endpointは、この脅威に対する防御機能を備えています。
Check PointのIPSおよびThreat Emulationは、この脅威[Apache Log4j Remote Code Execution (CVE-2021-44228)); APT.Win.Lazarus]に対する防御機能を備えています。
-
イランに関連した複数のサイバー攻撃により、7月以降アルバニア政府のシステムに障害が発生し、一部のオンラインサービスの停止を余儀なくされています。これを受けて、アルバニア政府はイランとの外交関係を停止し、職員に24時間以内の帰国を命じました。週末に発生した最新の攻撃は、同一人物によるものとされ、アルバニア警察のコンピュータシステムを標的とし、当局は入国管理データの追跡に使用しているTIMSシステムのオフライン化を余儀なくされました。
- ポルトガル軍参謀本部(EMGFA)を標的としたサイバー攻撃により、NATOの機密文書が盗まれ、現在ダークウェブで購入することができます。
- 米国最大の学区の1つであるロサンゼルス統一学校区(LAUSD)が、ランサムウェアの攻撃を受け、ITシステムへのアクセスが不能となる被害に遭いました。二重恐喝方式で知られるランサムウェア集団「Vice Society」がこの攻撃を主張しています。
-
インターコンチネンタルホテルズグループPLC(IHG)は、ハッカーが同社のシステムにアクセスし、IHGの予約チャネルやその他のアプリケーションを妨害するサイバー攻撃の被害に遭ったと発表しました。
-
アウトドアウェアのThe North Faceは、8月上旬にクレデンシャルスタッフィング攻撃の標的になったことを発表し、漏洩した可能性のあるアカウントについて顧客に通知しました。ハッカーは、購入履歴情報、住所、電話番号、生年月日などにアクセスした可能性があります。
-
イラン国家系のAPTグループ「Nemesis Kitten」は、脆弱性やliving-off-the-land(LotL)ツールを活用して被害者のシステムを暗号化し、復号化キーと引き換えに数千ドルを要求しています。
*訳者注 LotL:システム上に備わっているネイティブツールを使用して、Anti-Virusやサンドボックスの解析によるマルウェアの検出を回避する手法
脆弱性及びパッチについて
- 米国CISAは、現在 Moobot ボットネットによって悪用されている CVE-2022-28958 および CVE-2022-26258 の 2 つの D-Link セキュリティ欠陥を含む 12 の脆弱性をカタログに追加しました。これらの欠陥により、脅威アクターがリモートでコードを実行し、侵害されたデバイスを乗っ取ることができるようになります。米国連邦政府機関では、3週間以内にパッチを適用する必要があります。
Check PointのIPSは、この脅威[D-Link DIR-820L Command Injection (CVE-2022-26258)]に対する防御機能を備えています。
- 台湾のNASプロバイダであるQNAPは、Photo Stationアプリケーションの欠陥を悪用して、インターネットに接続されたQNAP NASを暗号化するDeadBoltランサムウェアが同社ユーザを攻撃していると警告しています。QNAPはこの脆弱性にパッチを適用し、NASデバイスをインターネットに直接接続しないようユーザに推奨しています。
Check PointのThreat Emulationは、この脅威[Ransomeware.Wins.deadbolt]に対する防御機能を備えています。
- WordPressプラグインBackupBuddyのゼロデイ脆弱性が現在悪用されており、これまでに約500万回の試行が行われています。この欠陥は、CVE-2022-31474としてトラックされ、未認証のハッカーがWordPressインストールで読み取ることができるサーバ上の任意のファイルのコンテンツをダウンロードし、閲覧することができる可能性があります。
Check PointのIPSは、この脅威[WordPress BackupBuddy Plugin Arbitrary File Read (CVE-2022-31474)]に対する防御機能を備えています。
- HP は、「HP Support Assistant」に新たな脆弱性が存在することを警告するアドバイザリを公開しました。CVE-2022-38395 としてトラックされるこの脆弱性により、侵害されたデバイスでFusionが HP Performance Tune-up を起動すると、脅威アクターが特権を昇格させることが可能になります。
サイバー脅威インテリジェンスレポート
-
「Shikitega」 と呼ばれる新しいマルチステージ Linux マルウェアが報告されており、脅威アクターは Linux エンドポイントと IoT デバイスを完全に制御し、永続的な暗号通貨マイナーをドロップすることが可能になります。
-
元Contiランサムウェア集団のCobalt Strikeインフラストラクチャは、現在他の複数のランサムウェア集団に利用されていますが、反戦メッセージに関連した分散型サービス拒否(DDoS)攻撃を受け、その運用に支障をきたしています。
-
Contiランサムウェアのメンバーは現在、バンキングマルウェアを活用したランサムウェア作戦に参加することが知られている初期アクセスブローカーグループであるUAC-0098の一部になっているように見えます。この金銭目的の脅威アクターは最近、政府やヨーロッパの非営利団体を含むウクライナの団体を標的にすることで、その目的を変えてきています。
- 米国CISA、FBI、Multi-State Information Sharing & Analysis Centerは、教育分野を不当に狙うランサムウェア集団「Vice Society」に関する共同警告を発表しました。