チェック・ポイント・リサーチ・チームによる2023年10月16日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• LockBitランサムウェアギャングが、数十億ドル規模のIT製品およびサービスの再販業者CDWに対する攻撃疑惑に対する犯行声明を出しました。。このランサムウェアは8000万ドルの身代金を要求し、従業員バッジ、監査、コミッション支払いデータなどを含むと言われる盗難データを公開すると脅迫しています。同社は被害を受けたサーバを隔離しており、そのサーバは顧客向けではないと主張しています。

Check PointのHarmony EndpointおよびThreat Emulationは、この脅威[Ransomware.Win.Lockbit; Gen.Win.Crypter.Lockbit; Ransomware.Wins.LockBit.ta; Ransomware_Linux_Lockbitに対する防御機能を備えています。

• 800店舗以上のコンビニエンスストアとガソリンスタンドを展開するアメリカのチェーン店、Kwik Trip社のITシステムがランサムウェア攻撃の可能性により混乱し、その結果、同社の顧客から多数の障害が報告されました。この攻撃は、Kwik Rewardsプラットフォーム、注文・決済システム、同社のオフィスの電子メールおよび電話システムに影響を及ぼしています。

• スペイン第３位の航空会社であるエア・ヨーロッパは、データ漏洩に見舞われ、同社の非公開の顧客の機密情報が流出しました。脅威アクターは同社のWebポータルをハッキングし、カード番号、有効期限、オンライン決済の承認に使用されるCVVセキュリティコードなどのクレジットカード情報を盗み出しました。

• 米国の大手製造会社Simpson Manufacturing社は、同社のITインフラに混乱をもたらしたサイバー攻撃を公表しました。悪意のある活動が検出された時点で、同社は予防措置として侵害されたシステムをシャットダウンしました。犯行声明を出している脅威アクターは、まだいません。

• ビデオゲームプラットフォーム「Steam」を運営する米Valve社は、攻撃者がマルウェアを配布するために一部のゲームを改ざんしたことを確認しました。おそらく、感染したPCのブラウザからセッションCookieを盗み出すマルウェアを使用して、Steamの開発者アカウントを乗っ取ることで行われたものと思われます。Valve社は新たな予防措置として、Steamのデフォルトブランチでビルドを更新したい開発者アカウントに対して、SMSベースの2要素認証を導入しました。

• 対イスラエル戦争の一環として、複数のハクティビスト・グループがイスラエルのウWebサイトや組織を標的にしています。グループの主張のほとんどは確認されていませ

  んが、イスラエルの複数の看板がハッキングされ、ハマス寄りのメッセージを表示されたことや、侵入されたOnoアカデミックカレッジへの侵害などの成功例が確認されています。カレッジへの侵害では従業員、学生、元学生などの約25万件の記録がテレグラムに公開され、同カレッジはその後、システムをオフラインにする必要が生じました。

脆弱性及びパッチについて

• サーバとのデータ転送に使用され、信頼性の高いコマンドラインツールであるCurlにセキュリティ上の欠陥が発見されました。2つの欠陥のうち、より深刻な欠陥であるCVE-2023-38545は、SOCKS5ヒープベースのバッファオーバーフローの脆弱性で、cURLツールとlibcurlライブラリの両方に影響します。パッチがリリースされています。

Check PointのIPSおよびHarmony Endpointは、この脅威[cURL libcurl Heap Buffer Overflow (CVE-2023-38545) cURL libcurl Heap Buffer Overflow (CVE-2023-38545); Exploit_Linux_CVE-2023-38545]に対する防御機能を備えています。

• MicrosoftとAdobeは、2023年10月のパッチチューズデーレポートを公開しました。Microsoftは、「Skype for Business」における特権昇格の不具合（CVE-2023-41763）、「WordPad」における情報漏洩の不具合（CVE-2023-36563）、ゼロデイDDoS攻撃手法である「HTTP/2 Rapid Reset」（CVE-2023-44487）など、3件のゼロデイ脆弱性に対処しました。Adobeは、Adobe Bridge、Adobe Commerce、Adobe Photoshopの13件の脆弱性に対処するため、3件のセキュリティアドバイザリを発表しました。

Check PointのIPSは、この脅威[HTTP/2 Denial of Service (CVE-2023-44487)]に対する防御機能を備えています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、少なくとも2021年から活動している進行中のキャンペーン「Stayin’ Alive」を明らかにしました。このキャンペーンはアジアで展開されており、主に電気通信業界や政府機関を標的としています。このキャンペーンでは、スピアフィッシング・メールを利用して、DLLのサイドローディング方式を利用したアーカイブ・ファイルを配信しています。

Check PointのHarmony Endpoint、Threat EmulationおよびAnti-Botは、この脅威[Loader.Win.ToddyCat, Trojan.Wins.ToddyCat.ta, APT.Wins.ToddyCat.Q, Trojan.WIN32.ToddyCat.A]に対する防御機能を備えています。

• チェック・ポイント・リサーチは（CPR）、ReadyToRun（R2R）コンパイル済みの.NETバイナリに埋め込まれた隠しコードを実行する新しい手法であるR2R stompingを紹介しています。CPRでは、リバース・エンジニアやセキュリティ研究者の作業に影響を与える可能性のあるR2Rストンプの実装について説明し、R2Rストンプされたアセンブリをリバース・エンジニアするためのテクニックを詳しく解説しています。

Check PointのThreat EmulationおよびHarmony Endpointは、この脅威に対する防御機能を備えています。

• 米FBIとCISAは、#StopRansomwareキャンペーンに基づき、ランサムウェア・アズ・ア・サービス（RaaS）モデルで動作するAvosLockerランサムウェアに警告を発し、潜入する共同サイバーセキュリティ勧告を発表しました。ここでは技術的な詳細と、緩和と防御を支援するグループのTTPに焦点を当てています。

Check PointのHarmony Endpoint、Threat EmulationおよびAnti-Botは、この脅威[Ransomware.Wins.Avoslocker.ta.A, Gen.Win.Crypter.AvosLocker.B, Ransomware.Win.AvosLocker.B, Ransomware_Linux_AvosLocker]に対する防御機能を備えています。