チェック・ポイント・リサーチ・チームによる2023年7 月24 日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 中国の脅威行為アクター「Storm-0558」によるものとされているMicrosoft Exchangeメールアカウントのスパイキャンペーンは、駐中国米国大使のメールアカウントにアクセスし、数十万件の米国政府の個人メールを侵害させたと報告されています。研究者らは、このキャンペーンで使用された手法は、OneDriveやAzure環境など、他のMicrosoftサービスのユーザアカウントも標的にしていた可能性があると警告しています。

• 米国フロリダ州のタンパ総合病院は、サイバー攻撃により同病院の患者120万人分の機密情報が流出したと発表しました。データには、氏名、住所、社会保障番号といった個人を特定できる詳細情報のほか、病歴や治療情報が含まれています。ランサムウェアグループの「Snatch」が犯行声明を出し、データをリークサイトに掲載しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomeware.Win.Snatch]に対する防御機能を備えています。

• 米 化粧品大手エスティローダーは、サイバーセキュリティ事件で同社のネットワークが第三者によってアクセスされ、攻撃者によってデータが盗まれたと発表しました。Black Cat (ALPHV)とCl0pという2つの別々のランサムウェアグループが、それぞれ同社を侵害したと主張しており、身代金を支払わなければ、流出したデータを公開すると脅しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.BlackCat, Ransomware.Win.Clop, Ransomware_Linux_Clop]に対する防御機能を備えています。

• ノルウェーの鉱山・リサイクル企業であるTOMRA社は、脅威アクターが同社のシステムにアクセスしたことを発見し、ネットワークの一部と一部のオフィスのシャットダウンを余儀なくされました。同社は、身代金の要求やデータの暗号化については認識していないと主張しています。

• ソフトウェア開発プラットフォームGitHubは、同プラットフォーム上でテクノロジー企業の従業員を標的としたソーシャルエンジニアリングキャンペーンを発見しました。GitHubによると、北朝鮮のAPTグループであるLazarusは、ユーザの信頼を得て共有リポジトリ上で「共同作業」を行うことを目的としており、実行されるとマルウェアが配信されるといいます。

• マルウェア共有プラットフォームVirusTotalは、同サイトの顧客5,000人以上の情報を含むリストがオンラインで共有されていたことが明らかになり、公開謝罪文を掲載しました。VirusTotalによると、リストは従業員の人為的ミスにより流出したといいます。

脆弱性及びパッチについて

• Citrix社は、同社のADCおよびゲートウェイ製品に影響を及ぼす、認証されていないリモート・コード実行の重大なゼロデイ脆弱性CVE-2023-3519に対処したセキュリティ勧告を発表しました。セキュリティ研究者らによると、この脆弱性はすでに中国のAPTグループによって悪用されているほか、ダークウェブ上で悪用コードが購入可能になっているとの情報もあります。

Check PointのIPSブレードは、この脅威[Citrix NetScaler Remote Code Execution (CVE-2023-3519)APT.Wins.HorsseShell]に対する防御機能を備えています。

• Adobeは、Adobe ColdFusionの3つの脆弱性に対応した緊急セキュリティアップデートをリリースしました。これらの脆弱性のうち、リモートでコードが実行される重大な脆弱性「CVE-2023-38204」と、セキュリティバイパスの重大な脆弱性「CVE-2023-38205」が悪用されています。

• Oracleは、7月の重要パッチ勧告をリリースしました。今月のパッチには、幅広いオラクル製品に影響を与える500以上のセキュリティ脆弱性の修正が含まれています。

• Atlassianは3つの深刻度の高いリモートコード実行の脆弱性に対処したセキュリティアドバイザリをリリースしました。脆弱性のうち 2 つは Confluence DC&S に、3 つ目は Bamboo に影響します。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、悪意あるFacebook広告や不正なアカウントを介して拡散している新たな情報窃取ツール「BundleBot」について分析しました。このマルウェアは、自己完結型の dotnet バンドル（シングル・ファイル）形式を悪用し、セキュリティ・ツールによる検出が困難な単一の大きなバイナリ・ファイルを生成します。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[InfoStealer.Win.FakeGoogleAI, InfoStealer.Wins.BYOSDownloader]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、人気の生成 AI サービスを装った数十万人のフォロワーを持つ複数の Facebook 詐欺ページを発見しました。数ステップの感染経路を経て、被害者は情報窃取ツールをダウンロードさせられ、オンライン・パスワードや暗号ウォレット、ブラウザに保存されているあらゆる情報を抜き取られます。

• チェック・ポイントの研究者らは、NPMレジストリから削除された後もユーザに配信されている悪意のあるNode Package Manager（NPM）パッケージを特定しました。被害者の認証情報を取得することを目的としたこのパッケージは、依然として人気あるCDN「jsdelivr」を介して依然としてユーザに配信されていました。

• ウクライナのCERTは、同国の国防軍を標的とした進行中のスパイウェアキャンペーンを発見しました。同機関は、このキャンペーンをロシア連邦保安庁に所属する脅威行為アクターとして知られるTurlaによるものだとしています。このキャンペーンで使用された最初の感染経路は、悪意のある添付ファイルを含むスピアフィッシングメールであり、最終的にバックドアペイロードを配信されることになります。