チェック・ポイント・リサーチ・チームによる2023年6月26日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

 今週のTOP サイバー攻撃とセキュリティ侵害について

• ハワイ最大の大学であるハワイ大学は、キャンパスのひとつがランサムウェア攻撃を受けたことを明らかにしました。この攻撃の影響は大学から公表していませんが、攻撃の責任を負ったランサムウェアギャングのNoEscapeは、大学のネットワークから65GBの機密データを流出させたと主張しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.NoEscape]に対する防御機能を備えています。

• マンチェスター大学が6月9日、システムの一部に不正アクセスされ、データ漏洩に見舞われたことを明らかにしまし、現在は脅威アクターが三重の恐喝戦術を使い始めました。同大学の学生や職員は、身代金を支払うよう同大学に圧力をかけるため、個人データを売ったり、公開したりすると脅迫するメールを受け取っています。

• ランサムウェアグループのBlackCat（ALPHV）がアメリカの整形外科クリニックBeverly Hills Plastic Surgeryに侵入し、この攻撃で患者情報を流出させたと主張しています。同グループは、身代金の要求に応じなければ、患者の手術前後の写真やその他の機密個人情報を流出させると脅しています。このグループは、今年2月にアメリカの医療機関LVHNを攻撃した際にも、患者の写真や医療記録を流出させています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.BlackCat,Ransomware_Linux_BlackCat]に対する防御機能を備えています。

• 米国の2大公的年金基金システムであるCalPERSとCalSTRSは、ランサムウェア・ギャングのCl0pの MOVEit Transfer攻撃の影響を受けたとの通知を掲載しました。カリフォルニア州を拠点とする年金基金は、米国エネルギー省、BBC、ブリティッシュ・エアウェイズなど、この攻撃の影響を受けた100以上の組織のリストに加わりました。米国の被害者の中には、この攻撃の結果、集団訴訟でProgress Software社を訴えることを選択した者もいます。

Check PointのIPSブレード、Harmony EndpointとThreat Emulationは、この脅威[(Progress MOVEit Transfer Multiple Vulnerabilities); Webshell.Win.Moveit, Ransomware.Win.Clop, Ransomware_Linux_Clop; Exploit.Wins.MOVEit]に対する防御機能を備えています。

• 世界最大級の航空会社であるアメリカン航空とサウスウエスト航空は、サードパーティベンダであるPilot Credentialsのハッキングに関わる事件により、データ漏洩に対処していると表明しました。4月末に発生したこの情報漏洩では、両航空会社のパイロットおよび士官候補生の採用プロセスにおいて、約9,000人の応募者に関する書類の不正入手が含まれていました。これに関わらず、航空会社自身のネットワークやシステムへの影響はありません。

脆弱性及びパッチについて

• Appleは、3つのゼロデイ脆弱性（CVE-2023-32434、CVE-2023-32435、CVE-2023-32439）に対応するセキュリティパッチをリリースしました。これらの脆弱性は、「Operation Triangulation（三角測量作戦）」と名付けられた、ロシア国民に影響を与える広範なiPhoneキャンペーンで悪用されました。

• Zyxel Networks は、Zyxel NAS デバイスにおける重大な事前認証コマンドインジェクションの脆弱性 CVE-2023-27992 に関するアドバイザリを公開しました。攻撃者は、パッチが適用されていないデバイスにおいて、認証を必要とせずにリモートでコマンドを実行できる可能性があります。

• ISC は、DNS ソフトウェア・ツールセット BIND 9 の複数のバージョンに影響する 3 つの脆弱性にパッチを適応しました。深刻度が「高」に設定されたこれらの脆弱性は、リモートの攻撃者にサービス拒否を引き起こす可能性があります。

• VMwareは、同社のvCenter ServerおよびCloud Foundation製品に影響を及ぼすメモリ破壊の脆弱性5件に対処しました。脆弱性の一部は、ネットワークにアクセスできる悪意のある行為者によって悪用され、影響を受ける製品上で任意のコードを実行される可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイントの研究者は、ヨーロッパの医療機関を狙った巧妙なマルウェアを発見しました。この攻撃は、中国の国家支援APTグループであるCamaro Dragon（Mustang Panda）によるものと考えられています。この脅威は、制限されたネットワークを狙うために、最初のアクセス・ベクトルとして悪意のあるUSBドライブを使用し、ペイロードには、感染したホストに接続された追加のUSBドライブをさらに感染させるモジュールが含まれています。このように、マルウェアは攻撃者の当初の意図を超えて伝播し、世界中の数十の組織に誤って感染させたと考えられています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[APT.Wins.MustangPanda; APT.Wins.MustangPanda.ta]に対する防御機能を備えています。

• ウクライナは、著名な政府機関や軍用機のメンテナンス組織に影響を与えるスパイウェアキャンペーンに遭遇しました。このキャンペーンは、ロシアのGRUに所属するAPT28（Fancy Bear）によるものと考えられています。攻撃者は、Roundcubeメールサーバにアクセスし、被害者から情報を引き出すための3つのエクスプロイトを含む電子メールを送信しました。

• macOSマルウェア「Jokerspy」の分析結果が発表されました。脅威アクターは、オープンソースとカスタムメイドのツールの両方を使用し、最終的に被害者のmacOSプラットフォームへの完全なバックドアアクセスを確立します。このキャンペーンのターゲットの中には、日本の著名な暗号通貨取引所も含まれていました。

• サイバー研究者は、北朝鮮の攻撃的なサイバー戦略を決定するために、既知の北朝鮮国家支援APTグループの活動を分析しました。グループの主な焦点はスパイ活動と金融窃盗であり、主な標的は韓国と米国でした。