チェック・ポイント・リサーチ・チームによる2023年6月12日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• Cl0pランサムウェアギャングは、管理型ファイル転送ツールを悪用した大規模な悪用に対する犯行声明を出しました。このギャングは、数百社のデータを漏洩する可能性のあるゼロデイSQLインジェクション脆弱性（CVE-2023-34362）を悪用しました。被害者の1つは給与計算サービスプロバイダーのZellisで、BBC、Boots、British Airwaysなど、英国とアイルランドのZellisの顧客8社の従業員の個人データが流出する事態となりました。今年初め、Cl0pは別の管理型ファイル転送ツールであるFortra GoAnywhereの脆弱性を利用し、大規模な悪用キャンペーンを行いました。

Check PointのIPSブレード、Harmony EndpointとThreat Emulationは、この脅威[MOVEit Transfer SQL Injection (CVE-2023-34362); Webshell.Win.Moveit, Ransomware.Win.Clop, Ransomware_Linux_Clop; Exploit.Wins.MOVEit]に対する防御機能を備えています。

• 日本の製薬大手エーザイは、ランサムウェア攻撃により同社の一部サーバが暗号化され、国内外のシステムがオフラインになったことを明らかにしました。同社によると、データ流出の可能性については現在調査中とのことです。

• スペインの銀行Globalcajaが、Playランサムウェアギャングによるランサムウェア攻撃の被害を受けました。脅威アクターは、顧客や従業員の書類、パスポート、契約書など、非公開の個人的な機密データにアクセスできると主張しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Play;Ransomware.Wins.PLAY]に対する防御機能を備えています。

• エストニアを拠点とする暗号通貨ウォレットサービスAtomic Walletは、サイバー攻撃により顧客のウォレットが侵害され、3500万ドル以上の損失が発生したことを確認しました。研究者は、北朝鮮国家に支援されたLazarus Groupがこの攻撃に関与していることを高い信頼性で示唆しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[APT.Win.Lazarus；APT.Wins.Lazarus]に対する防御機能を備えています。

• Pink Drainerハッキンググループは、約2,000のDiscordおよびTwitterアカウントを侵害するフィッシング攻撃に関連しており、そこから300万ドル以上を盗んでいます。被害者の中には、Evomos、Pika Protocol、OpenAI CTO、Orbiter Financeが含まれています。
•  親ウクライナ派のハクティビスト集団「Cyber Anarchy Squad」が、ロシアの通信事業者「Infotel JSC」に対して分散型サービス妨害（DDoS）攻撃を仕掛けたと犯行声明を出しました。

   

脆弱性及びパッチについて

• Googleは、Chrome Webブラウザのゼロデイ脆弱性を悪用したセキュリティアップデートを公開しました。この脆弱性（CVE-2023-3079）は、非常に深刻なものとして分類され、プログラムが扱っているデータ型を誤って解釈する可能性のある型の取り違え（type confusion）につながる可能性があります。攻撃者は、この欠陥を悪用して、不正にシステムにアクセスし、情報漏洩を行う可能性があります。

訳者注；型の取り違え(Type Confusion)とは型の取り違えによるメモリ破損の可能性がある脆弱性で、同じ領域に異なるタイプの変数でアクセスすることにより発生する矛盾、不具合を利用した脆弱性。

• Googleは、Androidの脆弱性56件に対するセキュリティパッチを配信しました。最も深刻な欠陥は、システムコンポーネントの重大なセキュリティ脆弱性で、HFPサポートが有効な場合、追加の実行権限が必要なく、Bluetooth経由でリモートでコードが実行される可能性があります。

• Cisco社は、同社のCisco Secure Clientソフトウェア（旧名称：AnyConnect Secure Mobility Client）に発見された深刻度の高い脆弱性（CVE-2023-20178）に対処しました。攻撃アクターは、Windowsのインストーラープロセスの特定の機能を悪用することで、この脆弱性を悪用することができます。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、北アフリカの標的に対して進行中の作戦に、これまで未公開の多段式バックドア「Stealth Soldier」が関与していることを確認しました。このバックドアは主に、ファイルの流出、画面やマイクの録画、キーストロークの記録、ブラウザ情報の盗み見といった監視機能を備えています。

Check PointのThreat Emulationは、この脅威[Trojan.Wins.StealthSoldier]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、2023年5月の脅威インデックスを発表し、最も流行しているマルウェアの第4位となったシェルコードベースのダウンローダGuLoaderの新バージョンにスポットを当てています。完全に暗号化されたペイロードと分析防止技術を備えた最新型は、Google Driveなどの有名なパブリック・クラウド・サービスに検出されずに保存することが可能です。一方、QbotとAnubisはそれぞれのリストで1位を獲得しており、教育/研究が引き続き最も悪用される業界でした。

• チェック・ポイント・リサーチは、夏期休暇に関連するオンライン・フィッシング詐欺について警告し、休暇に関連する詐欺の例と、暑い季節に警戒するためのヒントを提供しています。

• Cyclops groupという新しいランサムウェア（RaaS）プロバイダがダークウェブフォーラムで観察され、Windows、Linux、macOSプラットフォームに感染する機能を備えていることが判明しました。Cyclopsは、ランサムウェアサービスを提供するだけでなく、データ流出を目的とした別のバイナリも供給しています。

Check PointのThreat Emulationは、この脅威[Trojan.Wins.CyclopsBlink]に対する防御機能を備えています。

• HelloTeacherと名付けられたAndroidスパイウェアの新種が発見されました。このスパイウェアは、人気のメッセージングアプリケーションを装い、ベトナムの銀行ユーザをターゲットにしています。このスパイウェアは、写真のキャプチャや感染したデバイスの画面の記録など、データの流出機能を備えています。