チェック・ポイント・リサーチ・チームによる2023年2月27 日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• スタンフォード大学で、経済学博士課程の入学情報を含むファイルが流出する事件が発生しました。897名の応募者の個人情報および健康情報が流出した可能性があります。

• アメリカの大手テレビ・衛星放送事業者であるDish Network社は、同社のウェブサイトやアプリで原因不明の障害が発生していました。その直後、同社の社員がデスクトップ上で不審な動きを検知し、サイバー攻撃として報告しました。

• カナダの通信事業者TELUSは、脅威アクターが従業員データとソースコードを盗み出し、サンプルをオンラインで共有したとされることから、データ侵害の可能性について調査しています。これまでのところ、企業や小売店の顧客データが盗まれたとの報告はありません。

• 新鮮な果物や野菜を生産・販売する米国の大手企業であるDole Food Companyは、ランサムウェア攻撃により業務に支障をきたしたことを確認しました。同社は、事件の規模を把握するために状況を確認するとともに、法執行当局に通知しています。

• ロシアの国家ハッカーが、2021年12月の時点で仕込まれていたバックドアを悪用して、ウクライナの複数の政府ウェブサイトを侵害したことが明らかになりました。ウクライナのコンピュータ緊急対応チームであるCERT-UAは、侵害されたサイトの1つでウェブシェルを発見した後、この攻撃を特定しました。このWebシェルにより、UAC-0056、Ember Bear、またはLorec53の名前で知られるハッカーは、さらにマルウェアをインストールすることができました。

• 現在進行中のマルウェアキャンペーンは、YouTubeとFacebookのユーザをターゲットに、S1deloadと呼ばれる新しい情報スティーラに感染させ、ソーシャルメディアのアカウントを乗っ取り、デバイスを使用して暗号通貨のマイニングを行います。

• 分散型金融（DeFi）投資プラットフォームであるForsageの創業者が、3億4千万ドルのねずみ講・マルチ商法を行ったとして起訴されました。

• 新しいサイバー犯罪者集団「Hydrochasma」は、COVID-19の研究所や海運会社を標的にしています。このグループは、オープンソースツールとliving off the land（*）戦術を駆使して、情報を盗み、検知を回避しています。研究者は2022年10月から彼らを追跡していますが、特定が困難であることが判明しています。

*(訳者注) living off the land攻撃とは；環境寄生/自給自足型攻撃とも呼ばれ、攻撃者がターゲットとなるシステムを侵害した後、更なる侵害のためにマルウェアやハックツールを追加で送り込むことなく、侵害したシステム内にBuilt-inとして存在するツールやバイナリを活用して攻撃を継続する手法

脆弱性及びパッチについて

• VMwareは、同社のCarbon Black App Control製品に影響を及ぼす重大なセキュリティ脆弱性（CVE-2023-20858、CVSSスコアは9.1）に対応するパッチをリリースしました。

• Oracle WebLogic Server 製品における CVE-2023-21839 の Proof of Concept がリリースされました。この脆弱性を利用すると、未認証の攻撃者が T3, IIOP を経由してネットワークにアクセスすることが可能になります。

• 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）は、「Known Exploited Vulnerabilities」カタログを更新し、現在活発に悪用されている3件のセキュリティ欠陥を掲載しました。このリストには、IBM Aspera Faspexにおけるコード実行の脆弱性（CVE-2022-47986、CVSSスコア：9.8）、Mitel MiVoice Connectにおける2つの脆弱性（コードインジェクションの脆弱性（CVE-2022-41223、CVSSスコア：6.8）、コマンドインジェクションの脆弱性（CVE-2022-40765、CVSSスコア：6.8）など、様々な脆弱性が含まれています。

サイバー脅威インテリジェンスレポート

• ロシア・ウクライナ戦争から1年が経過し、チェック・ポイント・リサーチは、ウクライナに対するサイバー攻撃が毎週44%減少する一方で、一部のNATO諸国に対するサイバー攻撃が57%近く増加した2022年９月を転機点と位置づけています。今年に対するさらなる分析では、ワイパーとハクティビズムが重要なトレンドとして挙げられています。

• パスワードクラッキングツール「NLBrute」を作成・販売した罪に問われているロシア人のDariy Pankovが、2022年10月に逮捕され、ジョージアから米国に送還されました。dpxakerとしても知られるPankovは、アクセス機器詐欺とコンピュータ詐欺の罪に問われており、最高で連邦刑務所に47年間収監される可能性があるとのことです。

• サイバー研究者は、政府機関を標的とした回避型のDiscordキャンペーンを使用する新たな脅威アクターを発見しました。PureCrypterダウンローダと侵害された非営利組織のドメインが、Redline StealerやPhiladelphia Ransomwareなどの様々な種類のマルウェアを配信するために使用されています。

• OpenAIがChatGPT Plusと呼ばれる有料のChatGPT階層を導入したように、脅威者は現在、いわゆる無料アクセスを提供し、悪意のあるアプリのダウンロードやフィッシングサイトへの訪問をユーザに誘い込んでいます。

• オランダ警察は、ランサムウェアの活動で18歳から21歳の男3人を逮捕しました。容疑者は、複数の国の大小の組織を恐喝し、その過程で250万ユーロを稼いだとされています。

• ランサムウェア「HardBit」がバージョン2.0に進化し、その運営者が身代金の支払いを最大化するために保険契約を操作していることが明らかになりました。攻撃者は被害者に保険の詳細を明かすように説得し、費用が完全にカバーされるように身代金の要求を調整することができます。

 Check PointのThreat Emulationは、この脅威[Virus.Wins.Neshta.M; Trojan.Wins.Imphash.P]に対する防御機能を備えています。