チェック・ポイント・リサーチ・チームによる2023年2 月13日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• カリフォルニア州のオークランド市とモデスト市がランサムウェア攻撃の標的になり、前者ではサービスが、後者では警察ネットワークが機能停止に陥っています。また、カリフォルニア州では、ヘルスケア企業Heritage Provider Networkが12月に同社に対するランサムウェア攻撃で、300万人以上の患者の医療情報と個人情報が流出したことを確認しました。

• 英国の国会議員が、スピアフィッシング攻撃で自分のメールアカウントがハッキングされたことを明らかにしました。報告によると、この攻撃の背後にいる脅威アクターの主体は、最近、英国の政治家、ジャーナリスト、活動家を標的にしているロシア政府のAPTグループSeaborgiumであるとのことです。

• 数千台のVMware ESXiホストに影響を与えた大規模なランサムウェアキャンペーン「ESXiArgs」の背後にいるグループは、マルウェアの暗号化プロセスを更新しました。このマルウェアの更新バージョンは、復旧プロセスのトリガーとなる可能性があったファイルも暗号化するため、研究者が推奨していた復旧方法の可能性を阻んでいます。

Check PointのIPSは、この脅威[VMWare OpenSLP Heap Buffer Overflow (CVE-2019-5544; CVE-2021-21974)に対する防御機能を備えています。

• ソーシャルメディアプラットフォームのRedditで、従業員がフィッシング攻撃の被害に遭い、セキュリティ侵害が発生しました。同社の発表によると、内部文書やソースコードが盗まれたものの、ユーザー情報や認証情報には影響がなかったということです。

• イスラエルの主要大学である「イスラエル工科大学」（Technion）がランサムウェア攻撃の標的にされ、ネットワークの遮断と次期学期への期末試験の延期を余儀なくされたことが明らかになりました。犯人がこれまで知られていなかったグループであること、身代金請求書に非標準的なメッセージが含まれていたことから、この攻撃は政治的または個人的な動機による可能性がある疑いが持たれています。
• アメリカの食料品宅配会社「Weee!」は、100万人以上の顧客のアカウントを含むデータベースがオンラインフォーラムに流出し、セキュリティ侵害によって顧客情報が漏洩したことを確認しました。
• 米国と韓国の機関は、北朝鮮を発信源とする最近のランサムウェアの取り組みに警告を発しています。それによると、北朝鮮政府がスポンサーとなっているランサムウェア攻撃は、特にヘルスケア業界をターゲットとしており、さらなる悪意ある活動のための資金を生み出すために利用されています。
• カナダ最大の書籍小売業者であるIndigoは、サイバー攻撃を受けたため、ウェブサイトを閉鎖し、すべてのオンライン業務を停止することを余儀なくされました。顧客情報が侵害されたかどうかはまだ不明です。

脆弱性及びパッチについて

• マネージドファイル転送プラットフォーム「GoAnywhere」は、最近広く悪用されているゼロデイ・リモートコード実行脆弱性「CVE-2023-0669」に対応したバージョン7.1.2をリリースしました。この脆弱性を悪用したランサムウェア集団「Cl0p」は、130以上の組織からデータを流出させたと主張しています。

Check PointのIPSは、この脅威[GoAnywhere MFT Insecure Deserialization]に対する防御機能を備えています。

• OpenSSLプロジェクトは、複数のバージョンのOpenSSLに存在する8つの脆弱性の修正を含むセキュリティアドバイザリを公開しました。このうち、1件の脆弱性は、リモートの攻撃者にメモリの内容を読み取られ、サービス拒否を引き起こす可能性があるため、深刻度が高いと考えられます。

• Androidは、2月のセキュリティパッチをリリースしました。今回のパッチでは20件以上の脆弱性が修正され、その中にはリモートでコードが実行される可能性があるものも含まれています。 

  OpenSSLプロジェクトは、複数のバージョンのOpenSSLに存在する8つの脆弱性の修正を含むセキュリティアドバイザリを公開しました。このうち、1件の脆弱性は、リモートの攻撃者にメモリの内容を読み取られ、サービス拒否を引き起こす可能性があるため、深刻度が高いと考えられます。

サイバー脅威インテリジェンスレポート

• チェック・ポイントは、過去1年間のサイバー環境における重要な動きを検証した「2023年セキュリティ・レポート」を発表しました。チェック・ポイントが分析したトレンドとしては、ランサムウェア集団がデータの流出と恐喝にシフトしていること、国家が支援するハクティビズムの脅威が増大していること、2022年にクラウドベースのネットワークを標的とした攻撃の増加が観測されていることなどが挙げられます。

• チェック・ポイントの研究者は、脅威アクターがChatGPTの制限を回避して悪意のあるコンテンツを作成し、2019年の基本的なInfostealerマルウェアのコードを改良していることを発見しました。

• サイバー研究者は、サプライチェーン攻撃の試みに悪意のあるパッケージを使用した複数のキャンペーンを分析しました。Pypi（Python）キャンペーンでは、暗号通貨ウォレットのアドレスを置き換える450以上の暗号関連パッケージが作成され、別のキャンペーンでは、クレデンシャルを盗むマルウェアを配信する5つのパッケージが登録されました。また、リモートアクセス型のトロイの木馬を配布するnpm（Java）のキャンペーンも確認されています。

• ロシア系のAPTグループ「Nodaria」が使用する新たな情報窃取マルウェアが検出されました。ウクライナを標的としたキャンペーンで観測されたこのマルウェアは、高度な情報収集能力に加え、複数の回避技術を備えています。

• サイバー研究者は、傭兵APTグループ「Dark Caracal」による新たなキャンペーンを分析しました。このキャンペーンは、ラテンアメリカの十数カ国に影響を与え、700台以上のホストへの感染に成功しました。ペイロードは、様々なスパイウェアや遠隔操作の機能を持つリモート アクセス型トロイの木馬です。

• 「NewsPenguin」と名付けられた新たなAPTグループが発見されました。このグループは、高度なスパイウェアツールを使用して、パキスタンの組織を標的にしています。ペイロードは、パキスタンでの博覧会に関連するスピアフィッシングメールを使用して配信され、博覧会の来場者を標的としていました。