チェック・ポイント・リサーチ・チームによる2023年11月6日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ボーイング社は、サイバー攻撃により同社の部品および流通事業に影響を与えたことを認め、法執行機関と協力して調査を行っていることを明らかにしました。今週初め、ランサムウェア・グループのLockBitがボーイング社を被害者ページに加え、大量のデータを盗んだと主張しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Lockbit,;Ransomware_Linux_Lockbit]に対する防御機能を備えています。

• 15,000人以上のアメリカン航空のパイロットを代表する労働組合であるAPA（Allied Pilots Association）が、ランサムウェア攻撃を受け、APAのシステムの一部が暗号化されました。現在のところ、この攻撃でパイロットの個人情報が漏洩したかどうかは明らかになっていません。

• ドイツのITプロバイダであるSüdwestfalen IT社に対するランサムウェア攻撃により、同社はランサムウェアの拡散を防ぐためにサーバをシャットダウンしたため、ドイツ国内の70以上の市町村が広範囲にサービス障害が発生しました。攻撃の背後にいるグループはまだわかっていません。

• シンガポールを拠点とし、50近い公的医療機関を統括するSynapxeが、長期にわたる分散型サービス妨害（DDoS）攻撃を受けました。この攻撃は約7時間続き、インターネット接続に障害をもたらし、ユーザはシンガポール総合病院を含む医療機関のウェブサイトにアクセスできなくなりました。

• BlackCat（ALPHV）ランサムウェアは、ヘルスケアソリューションプロバイダであるHenry Schein社に侵入し、給与データや株主情報を含む35TBのデータを盗んだと主張しています。一部の業務に支障が出ているものの、同社の管理ソフトウェアには影響がないと述べています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.BlackCat,;Ransomware_Linux_BlackCat]に対する防御機能を備えています。

• カナダ最大の公共図書館システムであるトロント公共図書館がランサムウェア攻撃を受け、全館閉鎖とオンラインサービスの停止を余儀なくされました。ランサムウェア集団「Black Basta」の犯行がこの攻撃に関与していると見られています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.BlackBasta]に対する防御機能を備えています。

• ランサムウェアグループDaixin Teamは、カナダのオンタリオ州で5つの病院を運営するカナダ企業TransFormから流出した情報の流出を開始しました。このランサムウェアグループは、病院の患者の個人情報や医療情報を含む560万件の記録データベースを盗んだと主張しています。

脆弱性及びパッチについて

• Atlassianは、Confluence Data Center およびServerの全バージョンに存在する重大な脆弱性 (CVE-2023-22518) に対処するため、緊急のセキュリティアドバイザリを発表しました。同社は、攻撃者がこの欠陥を悪用し、重大なデータ損失を引き起こす可能性があるため、インターネットに公開された Confluence インスタンスに直ちにパッチを適用するように呼びかけています。

• Apache ActiveMQ に脆弱性（CVE-2023-46604）が明らかになり、パッチが適用されていないバージョンではリモートでコードが実行される可能性があります。この脆弱性は、HelloKittyランサムウェアグループによって積極的に悪用され、被害者のシステムにランサムウェアを展開させています。

Check PointのIPSとThreat Emulationは、この脅威[Apache ActiveMQ Remote Code Execution (CVE-2023-46604), Ransomware.Wins.HelloKitty.ta]に対する防御機能を備えています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、イラン情報安全保障省（MOIS）に関連する脅威アクターである Scarred Manticore が現在行っているスパイ活動の実態を明らかにしました。この攻撃は、Windows サーバにインストールされた高度なパッシブ型マルウェアのフレームワークである LIONTAIL を利用しています。現在のキャンペーンは、中東の著名な組織を標的としており、政府、軍事、通信部門に焦点を当てています。

Check PointのIPS、Threat EmulationおよびHarmony Endpointは、この脅威[Backdoor.WIN32.Liontail.A/B, APT.Wins.Liontail.C/D]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、イスラエルとハマスの戦争に関連して進展しているサイバー事件について、最近のレビューを発表しました。この数週間で、親パレスチナ派のハクティビスト・グループが、イスラエル以外にもその活動範囲を広げ、主にイスラエルの同盟国として認識されている国々を標的としていることが明らかになりました。これらのサイバー作戦は、情報提供と報復効果を目的としていますが、報告されている被害は限定的です。注目すべきは、ターゲットの選択が、地政学的な出来事の進展に加え、グループが以前から確立している利益によって設定されていることです。

• サイバー研究者たちは、感染したLinuxシステムを完全に消去できるワイパーで、イスラエル企業を標的としているBiBi-Linuxを分析しました。その後の調査により、同じマルウェアのWindows版も発見されました。このグループは、イスラエルとハマスの戦争の勃発とともにイスラエルの組織への攻撃を開始しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware_Linux_Bibi, Ransomware.Win.BiBiWiper.A, Trojan.Wins.Generic.R, Trojan.Wins.IronSwords.ta.G]に対する防御機能を備えています。

• サイバー研究者たちは、ロシア関連の脅威グループPensive Ursa（別名Turla、Uroburos）が使用するステルス性の高い高度な.NETバックドアであるKazuarの新しいアップグレードされた亜種を観測しました。Kazuar マルウェアは通常、第2段階のペイロードとして使用され、堅牢なコードと文字列の難読化と保護を示します。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Trojan.Win.Kazuar.A]に対する防御機能を備えています。