チェック・ポイント・リサーチ・チームによる2023年2 月6 日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• チェック・ポイント・リサーチは、時価総額10,941,525ドルのDingo crypto Tokenを詐欺であると指摘しました。このトークンの背後にいる脅威者は、そのスマートコントラクトにバックドア機能を追加し、手数料を操作していました。具体的には、トークンのスマートコントラクトコード内の「setTaxFeePercent」関数を使い、売買手数料を99％という驚くべき数値に操作していたのです。この関数はすでに47回使用されており、Dingo Tokenの投資家はすべての資金を失うリスクがある可能性があります。

• 米国の通信・モバイルインターネットサービスであるGoogle Fiは、T-Mobileのデータ侵害事件の一部として、同社の顧客データが侵害され、電話番号、SIMシリアルカード番号、サービスプラン詳細など3,700万件以上の顧客記録が流出したことを発表しました。

• 親ロシア派のハクティビストグループであるKillNetは、複数のDDoS攻撃により、米国の医療セクターに対して大規模な作戦を開始しました。

• 英国の金融ソフトウェア会社であるION Groupが、ランサムウェア集団「LockBit」によるランサムウェア攻撃の被害に遭ったことが明らかになりました。この脅威アクターは、ION Marketsの一部門であるION Cleared Derivativesを標的とし、そのサービスの一部に影響を及ぼしました。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomeware.Win.Lockbit]に対する防御機能を備えています。

• フランスの雑誌「Charlie Hebdo」の顧客20万人以上の個人情報が流出したデータ侵害事件の背後に、NEPTUNIUMと名乗るイランの国家的アクターがいることが判明しました。この脅威アクターは、流出したとされるデータを20BTC（約34万ドル）で売りに出していました。

• フロリダ州のTallahassee Memorial HealthCareがサイバー攻撃を受け、IT システムを混乱させる被害を受けています。関係者はランサムウェアによる攻撃を疑っていますが、この攻撃の性質は確認されていません。

Check PointのThreat Emulationは、この脅威[Ransomeware.Wins.PLAY.A]に対する防御機能を備えています。

• ヨーロッパ最大級の自動車小売業者であるArnold Clark社が、Playランサムウェアの攻撃を受けています。脅威アクターは、氏名、連絡先、生年月日、車両情報、パスポートまたは運転免許証、国民保険番号、銀行口座の詳細など467GBのデータを保有していると主張しています。

• 英国のスポーツウェア販売会社であるJD Sportは、約1千万人の顧客に影響を与えるデータ侵害を発表しました。流出したとされるデータは、2018年11月から2020年10月までに行われた顧客のオンライン注文で、フルネーム、Eメール、電話番号、請求書の詳細、配送先住所などが含まれています。

• Nantucket US Public Schoolsは、ランサムウェアの攻撃を受け、すべての生徒と職員のデバイス、および学校のセキュリティシステムが停止しました。

脆弱性及びパッチについて

• VMwareは、VMware vRealize Log Insightに影響する脆弱性にパッチを適応しました。これらの脆弱性が連鎖すると、ルート権限でリモートコードを実行される可能性があります。

   Check PointのIPSは、この脅威[VMware vRealize Log Insight Information Disclosure (CVE-2022-31711); VMware vRealize Log Insight Directory Traversal (CVE-2022-31706)]に対する防御機能を備えています。

• フランスのコンピュータ緊急対応チーム（CERT-FR）は、VMware ESXiサーバを新しいESXiArgsランサムウェアキャンペーンに感染させるために悪用される脆弱性（CVE-2021-21974）が積極的に悪用されていると警告を発表しています。この攻撃は、これまでに数千台の仮想マシンに影響を及ぼしており、その3分の1はフランスでホストされているものです。

Check PointのIPSは、この脅威[VMWare OpenSLP Heap Buffer Overflow (CVE-2019-5544)]に対する防御機能を備えています。

• Atlassian は Jira Service Management Server および Data Center のバージョン 5.3.0 から 5.5.0 に影響する重要なセキュリティ欠陥 (CVE-2023-22501) にパッチを適用しました。この欠陥が悪用されると、攻撃者が他のユーザーになりすまし、影響を受けるシステムにリモートアクセスできるようになる可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、マルウェアの検知回避を支援するサービスとして提供されているシェルコードベースのパッカー「TrickGate」について解説しています。2016年7月に初めて観測されたTrickGateは、Cerber、Trickbot、Maze、Emotet、REvil、Cobalt Strike、AZORult、Formbook、AgentTeslaなどのトップマルウェアファミリーによって使用されてきました。

Check PointのThreat EmulationとHarmony Endpoint for Linux and Containers Runtime Securityは、この脅威[Injector.Win.RunPE; Injector.Wins.Guanyin; Ransomware_Linux_Cerber_*; Ransomware_Linux_REvil_*; HackTool_Linux_CobaltStrike_*]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、信頼性と拡張性に優れたマルウェアの配布経路としてパッケージ・レポジトリを活用し、脅威アクターが配布している2つの悪意あるコード・パッケージ「Python-drgn」と「Bloxflip」を公開しました。

• サイバー研究者は、2022年10月に初めて観測された二重の恐喝テクニックを使用する「Trigona」ランサムウェアの分析結果を発表しました。このランサムウェアは、そのファイル名に「._locked」という拡張子を追加します。

Check PointのHarmony Endpointは、この脅威[ｒansomeware.ｗin.honey]に対する防御機能を備えています。

• イランの国家ハッキング グループ OilRig (別名 APT34) は、ユーザの資格情報を盗み、侵害されたメールボックス アカウントを悪用できる新しいバックドアを使用して、中東の組織を標的にしています。

Check PointのThreat Emulationは、この脅威[ATP.Wins.APT34]に対する防御機能を備えています。

• サイバー研究者は、Linuxマシンを標的としたMiraiボットネット経由で拡散する新しいボットネット「Medusa」を発見しました。Medusaボットネットは、DDoS攻撃、ブルートフォース攻撃、および侵害されたマシン上のファイルを暗号化し、そのファイル名に「.medusastealer」拡張子を追加するランサムウェア攻撃を行う機能を備えています。