チェック・ポイント・リサーチ・チームによる2023年3月13日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ワシントンD.C.居住者56,000人以上（非公開の上院議員、下院議員を含む）の機密個人情報が、ダークウェブフォーラムに流出したことが明らかになりました。流出は、ワシントンD.C.の企業や住民が利用する健康保険市場「D.C. Health Link marketplace」が侵害された後に発生しました。

• ランサムウェアグループ「Medusa」と「Vice Society」は、2月のランサムウェア攻撃で、それぞれミネアポリス公立学校とウエストバージニア州バークレー郡の学校から盗まれた機密データを流出させました。昨年、Vice Societyグループはロサンゼルス統一学区を標的にしています。

Check PointのThreat Emulationは、この脅威[Trojan.Wins.ViceSociety.*, Ransomware.Wins.Medusalocker.*]に対する防御機能を備えています。

• イスラエルの国家サイバー総局は、イスラエル有数の大学であるTechnionへのサイバー攻撃の背後に、イラン情報セキュリティ省に所属することで知られるイランのAPTグループ「MuddyWater」が関与していると断言しました。この攻撃は通常のランサムウェア攻撃として偽装され、同大学の活動に大きな支障をきたしていました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。

• アメリカの通信大手AT&Tは、サードパーティのマーケティングベンダで発生したデータ侵害により、一部の情報が流出したことを900万人の顧客に通知しました。AT&Tによると、機密性の高い財務情報や個人情報は、今回の情報漏洩で影響を受けませんでした。

• 3ヶ月間、活動が観察されなかった後、新しいEmotetマルウェアキャンペーンが検出されました。悪意のある電子メールメッセージで配信されるEmotetは、被害者のネットワークへの感染に成功すると、さまざまな追加マルウェア（ランサムウェアを含む）を展開することができます。

Check PointのHarmony Endpoint、Threat Emulation、IPSとAnti-Botは、この脅威[Trojan.Wins.Emotet.*; Worm.Win.Emotet.*; Emotet Exploit Kit Landing Page; Emotet Maldoc Download Page; Dropper.Win.GenDrop.la.E; Trojan.Win32.Emotetに対する防御機能を備えています。

• カナダ最大級のエンジニアリング会社の１つであるBlack & McDonald社がランサムウェア攻撃を受けました。カナダ国防省の著名な請負業者である同社は、この攻撃の影響を明らかにしていません。

脆弱性及びパッチについて

• Googleは、3月のAndroidのセキュリティアドバイザリを公開しました。このパッチには、Androidのシステムや様々なコンポーネントに影響を与える多数の脆弱性の修正が含まれています。脆弱性の中には、パッチが適用されていないAndroid端末において、リモートでコードが実行される可能性がある重大なものも含まれています。

• Ciscoは、同社のルータ製品の多くに影響を及ぼすサービス拒否の脆弱性「CVE-2023-20049」に対応するセキュリティパッチを公開しました。この脆弱性により、リモートの攻撃者が不正なパケットを送信することで、ルータのラインカードがリセットされ、サービス拒否状態が引き起こされます。

• Fortienetは、多くの製品に影響を及ぼすヒープバッファアンダーフローの脆弱性CVE-2023-25610をカバーするアドバイザリを公開しました。この脆弱性は重大であり、パッチが適用されていないFortinet製品では、サービス拒否またはリモートコード実行につながる可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイントの研究者は、中国のAPTグループSharpPandaによるサイバースパイキャンペーンを明らかにしました。このキャンペーンは、東南アジアの政府機関を標的としており、Soulフレームワークを利用して、被害者のネットワークへのアクセスを確立し、情報を流出させています。

Check PointのThreat EmulationとAnti-Botは、この脅威[Trojan.WIN32.SharpPanda]に対する防御機能を備えています。

• チェック・ポイント・リサーチによると、Remcosトロイの木馬は、フィッシング攻撃を通じてウクライナの政府機関を標的とする脅威アクターによって使用されていることが報告され、2022年12月以来、初めてトップ10リストに返り咲きました。一方、Emotet トロイの木馬とFormbook Infostealerは、それぞれ2位と3位を獲得してランキングを上昇させました。

• Googleの広告を悪用し、正規のプログラムを装った悪質なドロッパーをユーザにダウンロードさせるキャンペーンが複数確認されています。あるキャンペーンでは、最終段階のペイロードがRedLineステーラーであり、別のキャンペーンではUrsnifまたはVidarに誘導されました。

Check PointのThreat Emulationは、この脅威[Trojan.Wins.RedLineStealer.ta.A/B/E and Infostealer.Win.RedLine.A-D)]に対する防御機能を備えています。

• インドとパキスタンのAndroidユーザをターゲットにしたキャンペーンの分析結果が発表されました。対象者はメッセージングアプリで恋愛詐欺に遭い、より安全だと思われるアプリでチャットするよう説得され、その結果、リモートアクセス型のトロイの木馬であることが判明しました。

• SonicWall Secure Mobile Accessデバイスを標的とした中国のキャンペーンが発見されました。このキャンペーンでは、脅威アクターは、ファームウェアのアップグレード後もSonicWallセキュリティアプライアンスでの持続性を維持できる高度なマルウェアを使用していました。このマルウェアにより、認証情報の窃取とデバイスへのシェルアクセスが可能になりました 。