チェック・ポイント・リサーチ・チームによる2023年7月3日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• LockBit ランサムウェア グループは最近、Apple や Qualcomm などのテクノロジー大手にサービスを提供する世界最大の受託チップ製造会社である台湾の半導体製造会社 (TSMC) をハッキングした犯行声明を出しました。 TSMCは、Lockbitによる侵害を否定しましたが、同グループが同社のITハードウェアサプライヤの1つであるKinmax Technologyに侵害したことを認めました。 要求された身代金は7,000万ドルで、知られている限り史上最大の身代金要求の1つです。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Lockbit]に対する防御機能を備えています。

• Cl0pランサムウェアはダークウェブのリークサイトを更新し続けており、MOVEit攻撃の影響を受けた新たな被害者をいくつか追加しています。これらの被害者の中には、ヨーロッパのメーカーであるSchneider Electric社とSiemens Energy社、さらにアメリカの大学UCLAが含まれています。

Check PointのIPSブレード、Harmony EndpointとThreat Emulationは、この脅威[(Progress MOVEit Transfer Multiple Vulnerabilities); Webshell.Win.Moveit, Ransomware.Win.Clop, Ransomware_Linux_Clop; Exploit.Wins.MOVEit]に対する防御機能を備えています。

• アナリストらは最近、ALPHV（BlackCat）ランサムウェアの新たな感染経路を発見しました。彼らは、GoogleとBingの両方の検索エンジンで不正なページを宣伝する広告を観察しました。この攻撃には、ファイル転送用のオープンソースのWindowsアプリケーションであるWinSCPのクローンウェブページが含まれていました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.BlackCat]に対する防御機能を備えています。

• Microsoft社によって、ロシアの国家グループ「Midnight Blizzard」（以前は「Nobelium」として知られていました）に起因する、認証情報を盗む攻撃の急増が確認されました。これらの侵入は、発信元IPアドレスを隠すために居住型プロキシ・サービスを利用しており、特に政府機関、ITサービス・プロバイダ、非政府組織（NGO）、防衛組織、および重要な製造部門を標的としています。

Check PointのIPSブレードとThreat Emulationは、この脅威[Roundcube Webmail Command Injection (CVE-2020-12641), Roundcube Webmail Cross-Site Scripting (CVE-2020-35730); APT.Wins.Nobelium]に対する防御機能を備えています。

• 北朝鮮のAPT「Lazarus」に関連するグループ「Andariel」による新たなキャンペーンをサイバー研究者らが発見しました。このキャンペーンは、Log4jの脆弱性を悪用して初期アクセスを獲得し、RATとバックドアツールをまとめてダウンロードすることを可能にします。

Check PointのIPSブレード、Harmony EndpointとThreat Emulationは、この脅威[Apache Log4j Remote Code Execution (CVE-2021-44228); APT.Win.Lazarus; APT.Wins.Lazarus]に対する防御機能を備えています。

脆弱性及びパッチについて

• ハッカーは、20万以上のWordPressサイトで利用されているUltimate Memberプラグインのすべてのバージョンに存在するパッチ未適用の脆弱性（CVE-2023-3460、CVSSスコア：9.8）を積極的に悪用しています。彼らの目的は、密かに管理者アカウントを生成することです。

• サイバー研究者は、最近パッチが適用された VMware Aria Operations for Logs (旧 vRealize) の重大なリモートコード実行の脆弱性 CVE-2023-20864 を分析しました。

Check PointのIPSブレードは、この脅威[VMware Aria Operations for Logs Insecure Deserialization (CVE-2023-20864)]に対する防御機能を備えています。

• 米国政府は、Medtronic社の心臓モニターデータ管理システム、特に Paceart Optima 内の Paceart Messaging Service コンポーネントに存在する重大な脆弱性（CVE-2023-3122）に関する警告を発表しました。この欠陥が悪用されると、リモートでコードが実行されたり、サービス運用妨害（DoS）攻撃を受ける可能性があります。この脆弱性に対するパッチは利用可能です。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、GPT-4 のセキュリティおよび安全性について調査し、その制限を回避する方法を明らかにしました。研究者らは「ダブル・バインド・バイパス」と名付けられた新たなメカニズムを発表し、GPT-4の内部的な動機付けとそれ自体とを衝突させることを明らかにしました。

• チェック・ポイント・リサーチは、人気のメッセージング・アプリケーション「Telegram」の悪意ある修正バージョンを確認しました。この悪意あるアプリケーションは、被害者をさまざまな有料サービスに登録させたり、アプリ内購入を実行させたり、ログイン情報を盗み出すことができるTriadaトロイの木馬をインストールします。

• サイバー研究者たちは、Rhysida ランサムウェアによって行われた操作の包括的な分析を行いました。このブログ記事は、マルウェアのペイロードに関する技術的な洞察を提供するだけでなく、チリ軍から盗まれたファイルのグループによる開示について掘り下げ、Rhysidaランサムウェアグループが採用した活動とテクニックに光を当てています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。

• セキュリティ研究者らは、MuddyWaterと呼ばれるイランの国家支援グループによって運営されている新しいコマンド＆コントロールフレームワークを発見しました。このフレームワークはPhonyC2と名付けられ、Technion Instituteへの攻撃に使用されたとされています。研究者らは、このコマンド＆コントロールフレームワークはカスタムメイドで、継続的に開発されており、少なくとも2021年以降、MuddyWaterグループによって使用されてきたと主張しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[APT.Win.MuddyWater; APT.Wins.MuddyWater]に対する防御機能を備えています。