チェック・ポイント・リサーチ・チームによる2023年2 月20 日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• チェック・ポイント・リサーチは、リモートアクセスやデスクトップ監視を目的としたAutoItベースのバックドア「OxtaRAT」の新バージョンを使用した、アルメニアの企業に対するキャンペーンを確認しました。この脅威は、ラチン回廊をめぐるアゼルバイジャンとアルメニアの緊張が高まる中、数年前からアゼルバイジャンの人権団体や反体制派、独立系メディアを標的にしています。

Check PointのThreat EmulationとAnti-Botは、この脅威[Trojan.Win.OxtaRAT.A; Trojan.WIN32.OxtaRAT]に対する防御機能を備えています。

• Webホスティング企業のGoDaddyは、攻撃者がソースコードを盗み、同社のサーバにマルウェアを仕掛けるというセキュリティ侵害を報告しています。同社は2022年末に共有ホスティング環境「cPanel」への侵入を発見しましたが、攻撃者は数年前からネットワークにアクセスしていたようです。

• オーストラリアのソフトウェア会社Atlassianは、脅威アクターが盗んだ従業員の認証情報を使ってサードパーティベンダーのデータにアクセスし、データ漏洩が発生しました。顧客データは安全に保たれていますが、従業員のデータが漏洩した疑いがあります。ハッキンググループSeigedSecは功績を認め、Telegramで盗まれたデータを共有しています。

• スカンジナビア航空は、同社のウェブサイトおよびモバイルアプリが数時間にわたって停止し、連絡先、過去および未来のフライト、クレジットカード番号の下4桁を含む顧客データが流出したサイバー攻撃について、乗客に警告を発しました。

• オークランド市は、ランサムウェアの攻撃により市のITシステムをオフラインにせざるを得なくなったことに対処するため、地域非常事態宣言を発表しました。

• 米国の大手医療機関であるCommunity Health Systems社は、Fortra社のファイル転送プラットフォーム「GoAnywhere MFT」のゼロデイ脆弱性を狙った最近の攻撃の影響を受けたことを確認し、この侵害により約100万人の患者の個人情報が流出したことを明らかにしました。

• ESXiArgsランサムウェアの大規模なキャンペーンは拡大を続けており、最近ではフランス、ドイツ、オランダ、英国、ウクライナに所在する500台以上のホストが被害に遭いました。

• MortalKombatランサムウェアとLaplasクリッパーは、最近の金銭目的のキャンペーンで観察され、ランサムウェアは復号化ツールを提供することで被害者から金銭を強要し、Laplasは暗号トランザクションをハイジャックすることで暗号通貨を窃取するために使用されています。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Xorist.*]に対する防御機能を備えています。

脆弱性及びパッチについて

• Hyundai自動車とKIAは、盗難を可能にする簡単なハッキングの脆弱性がある複数の車種に対して、緊急のソフトウェア・アップデートを実施しました。米国運輸省は、800万台以上のHyundaiおよびKIA車がこのセキュリティ欠陥の影響を受けており、ハッキングにより少なくとも14件の自動車事故と8件の死亡事故が発生していると公表しています。

• Microsoftは、最新のパッチチューズデーにおいて、合計77件の不具合に対するセキュリティ更新プログラムをリリースしました。9件の脆弱性は、脆弱なデバイス上でリモートでコードが実行されるため「Critical」に分類され、3件の脆弱性は攻撃で活発に悪用されています（CVE-2023-21823、CVE-2023-21715、およびCVE-2023-23376）。

Check PointのIPSは、これらの脅威[Microsoft Windows Graphics Component Elevation of Privilege (CVE-2023-21823); Microsoft Office Security Feature Bypass (CVE-2023-21715); Microsoft Windows Common Log File System Driver Elevation of Privilege (CVE-2023-23376) etc.]に対する防御機能を備えています。

• Fortinetは、FortiNACおよびFortiWeb製品のセキュリティアップデートをリリースしました。これは、不正な攻撃者が認証なしで任意のコードを実行したり、コマンドを実行したりすることができる2つの重大な脆弱性（CVE-2022-39952およびCVE-2021-42756）に対処するものです。

• Appleは、iOS、iPadOS、macOS、およびSafariブラウザの緊急セキュリティアップデートを共有し、実際に活発に悪用されていると主張されているゼロデイ脆弱性（CVE-2023-23529）を修正しました。

サイバー脅威インテリジェンスレポート

• Check Point のCloudGuard Spectralは、JavaScriptオープンソース・パッケージの主要レジストリであるNPM上で悪意のあるクリプト・マイニング・パッケージを検出しました。このパッケージは、ユーザの同意なしにマシンを使用して暗号通貨をマイニングするクリプトジャッキングを有効にしていました。

• サイバー研究者は、「Earth Kitsune」と名付けられた高度な脅威アクターによるキャンペーンで使用される新しいバックドア「WhiskerSpy」を特定しました。このアクターは、北朝鮮に関心のある個人をターゲットにしており、水飲み場型攻撃を通じて、北朝鮮の親サイトへの訪問者から犠牲者を選択しています。

• 13種類の脆弱性を悪用してLinuxベースのサーバやIoTデバイスを狙うDDoS攻撃に使用されるMiraiボットネットの新種（追跡番号「V3G4」）が発見されました。このマルウェアは、2022年7月から12月にかけて、3つのキャンペーンで発見されました。

Check PointのIPSは、これらの脅威[Atlassian Confluence Remote Code Execution (CVE-2022-26134); Airspan AirSpot 5410 Command Injection (CVE-2022-36267); Draytek Vigor Command Injection (CVE-2020-8515); FreePBX callmenum Remote Code Execution, etc.]に対する防御機能を備えています。

• MicrosoftのIISウェブサーバに展開される新しいマルウェア「Frebniis」が発見されました。このマルウェアは、Webリクエストを経由して送信されるコマンドを実行することで、静かに動作します。