チェック・ポイント・リサーチ・チームによる2023年10月2日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
チェック・ポイントの研究者は、人気のあるファイル共有プログラムDropboxを悪用したフィッシング・キャンペーンを検知しました。このフィッシング・キャンペーンは、Dropboxの正規ページを利用して被害者に公式メールを送信し、受信者を認証情報を盗むページにリダイレクトさせるというものです。
-
日本の大手エンターテインメント企業であるソニーと、日本の大手通信事業者であるNTTドコモが、先週ランサムウェア攻撃の被害にあいました。脅威グループ「ransomed.vc」がこの2つの攻撃の責任を負い、両社に数百万ドルの身代金を要求しています。このグループは、要求が満たされない場合、侵害で流出したデータを販売または漏洩すると脅迫しています。
-
アメリカのコングロマリット、Johnson Controlsがランサムウェアの被害にあいました。ランサムウェアグループDark Angelsは同社に身代金5,100万ドルを要求しており、攻撃中に25TB以上のデータを流出させたとしています。アメリカ国土安全保障省は、Johnson Controlsが同省の建物の請負業者であることから、同省の施設に関する情報がこの攻撃で流出したかどうかを調査していると報じられています。
-
香港の暗号通貨取引所Mixinは、同社のネットワークが侵害され、2億ドルが盗まれたことを明らかにしました。同社の声明によると、脅威アクターは窃盗を行うために同社のクラウドプロバイダに属するデータベースを攻撃することでアクセス権を獲得したといいます。
-
ロシアの航空券予約ベンダであるLeonardoのサービスが、分散型サービス拒否(DDoS)攻撃によって中断されました。その結果、国営アエロフロート航空を含むロシアの複数の航空会社が予約リクエストを処理できなくなりました。ウクライナのハクティビスト集団「IT Army of Ukraine」がこの攻撃の犯行を主張しています。
-
クウェート財務省は、同省のネットワークがサイバー攻撃を受けたことを認めました。同省は、職員の財務データには影響はなかったとしています。ランサムウェアグループのRhysidaが責任を負い、身代金として40万ドルを要求しています。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware_Win_Rhysida; Ransomware.Wins.Rhysida; Ransomware.win.honey]に対する防御機能を備えています。
Check PointのThreat Emulationは、この脅威[Trojan.Wins.SmugHTM.A]に対する防御機能を備えています。
脆弱性及びパッチについて
-
チェック・ポイントの研究者は、WEB3 のソーシャルメディア・プラットフォーム Friend.tech に影響を及ぼす複数の重大な脆弱性を発見しました。これら一連の脆弱性により、攻撃者は同社が所有するデータベース値へのアクセスや変更、有料機能へのアクセスを許してしまう可能性があります。
-
GoogleとMozillaは、両社のインターネットブラウザ製品に影響する重大なヒープバッファオーバーフローの脆弱性に対処するアドバイザリを公開しました。CVE-2023-5217が割り当てられたこの脆弱性は、libvpxライブラリのVP8ビデオエンコーディング機能に関連しており、このライブラリを使用しているすべての製品に影響を及ぼす可能性があります。Google は、商用スパイウェア ベンダによるこの脆弱性の悪用を認識していると述べています。
-
Eximメール転送エージェントに6つの脆弱性(CVE-2023-42114-9)が報告されており、このうち4つは重大とみなされ、リモートでコードを実行される可能性があります。Eximは、このうち3つの脆弱性については修正プログラムを開発したとしていますが、2つのリモートコード実行の不具合については依然としてパッチが適用されていません。研究者らは、世界中で少なくとも25万台のEximメールサーバに脆弱性があると推定しています。
-
ソフトウェア・プロバイダである Progress は、同社のファイル転送製品 WS_FTP に影響する 2 つの重大な脆弱性を公表しました。脆弱性CVE-2023-40044とCVE-2023-42657は、WS_FTPサーバーの基礎となるオペレーティング・システム上でリモート・コード実行を可能があります。Progressは、同様のMOVEit管理ファイル転送製品も開発しており、こちらは今年初めにCl0pランサムウェアギャングによる広範な攻撃で侵害されました。
サイバー脅威インテリジェンスレポート
-
スペインの航空宇宙企業の従業員を標的にしたキャンペーンが発見されました。北朝鮮のAPTグループLazarusは、被害者との信頼関係を築くためにMetaのリクルータになりすまし、「リクルート」プロセスの一環として悪意のあるバックドアを含む「コーディング・チャレンジ」を提供しました。
-
米国と日本の安全保障機関は、中国の脅威アクターグループBlackTechの活動を詳述した共同報告書を発表しました。このグループは、Ciscoルータを標的として初期アクセスを取得し、ターゲット環境での永続性を維持することにより、米国と日本で組織を攻撃しています。
-
中国のAPTグループ「Budworm」が、アジア諸国の政府および中東の通信会社を標的としていることが確認されました。このグループは、正規のINISafeWebSSOアプリケーションでDLLのサイドローディングを行い、多目的バックドアとして機能するマルウェアSysUpdateを展開しています。
-
GitHubの何百ものリポジトリを侵害した、未知の脅威アクターによるキャンペーンについて、サイバー研究者が説明しています。脅威アクターは所有者の個人アクセストークンを使ってアクセスし、GitHubの自動セキュリティ機能であるDependabotを装って悪意のある情報窃取コードを実行しました。
-
サイバー研究者らは、Windows プラットフォームを標的とする情報窃盗ツールを内蔵した RAT、ZenRAT を分析しました。このマルウェアは、BitWarden パスワード・マネージャの悪意のあるインストーラーによって配布されます。
