チェック・ポイント・リサーチ・チームによる2024年1月1日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ドイツの病院ネットワークKatholische Hospitalvereinigung Ostwestfalen（KHO）がサイバー攻撃の被害に遭い、ビーレフェルト、レダ・ヴィーデンブリュック、ヘルフォルトの病院のシステムを混乱させるサイバー攻撃の被害に遭いました。 Lockbit ランサムウェア グループが攻撃の犯行声明を出しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.LockBit.ta*; Ransomware.Win.Lockbit; Gen.Win.Crypter.Lockbit.AI, Ransomware_Linux_Lockbit]に対する防御機能を備えています。

• イラン系のグループ「ホームランド・ジャスティス」が、アルバニア議会、地元通信会社2社、アルバニアのフラッグ・キャリアなど、アルバニアの著名な組織数社に対するサイバー攻撃の犯行声明を出しました。この攻撃は、アルバニアがイランの反体制派組織ムジャヘディーン・エ・ハルクを庇護していることに関連している可能性がある。  アルバニア当局は、ワン・アルバニア社と国会に対し、攻撃を軽減するための支援を行っていることを確認しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Wiper.Win.GenericWiper.F; Trojan.Wins.HomeLandJusticeWiper.*]に対する防御機能を備えています。

• 20カ国以上で運営されている欧州最大の駐車場アプリ運営会社EasyPark Groupは、欧州の未確認の数のEasyParkユーザの個人情報に影響を与えたデータ侵害を認めました。データには、氏名、電話番号、自宅住所、電子メールアドレス、IBANまたはクレジットカード番号の一部が含まれます。

• 機内エンターテインメント・システムのサプライヤであるPanasonic Avionics社は、同社のネットワーク環境の特定のシステムに影響を与えたデータ侵害を確認しました。脅威アクターは、未確認の数の従業員および顧客の個人情報および健康情報にアクセスしました。

• アメリカの大手エンターテインメント企業National Amusements（パラマウントとCBSの親会社）が、8万2000人以上の個人情報および財務情報に影響を与えるデータ流出を公表しました。流出したデータには、氏名、金融口座番号、クレジットカード番号、デビットカード番号、PINコードが含まれます。

• オハイオ州の宝くじシステムがクリスマスイブにサイバー攻撃を受け、同社のウェブサイトがダウンし、顧客が599ドル以上の賞金を現金化することができなくなりました。DragonForce ランサムウェア グループが犯行声明を出し、この攻撃により約 600 GB のデータが漏洩したとされており、このデータには社会保障番号 (SSN) や生年月日 を含む従業員と登録者の 300 万件以上の個人情報が含まれています。
  
  

脆弱性及びパッチについて

• UNC4841と名付けられた中国の脅威アクターが、Barracuda Email Security Gateway Appliance（ESG）のゼロデイ任意コード実行脆弱性（CVE-2023-7102）を悪用しています。この脅威アクターは、サードパーティライブラリであるSpreadsheet::ParseExcel内の欠陥を利用して、特別に細工されたExcelメール添付ファイルを展開し、限られた数のESGデバイスを標的としています。Spreadsheet::ParseExcelは、ESGアプライアンス内のAmavisウイルススキャナーで使用されているオープンソースライブラリです。

Check PointのIPSは、この脅威[Barracuda Email Security Gateway Remote Code Execution (CVE-2023-7102)]に対する防御機能を備えています。

• Google Cloudは、Kubernetes Engine（GKE）の2つの脆弱性（GCP-2023-047）を解決しました。この脆弱性は、すでにKubernetesクラスタにアクセスできる脅威アクターによって悪用される可能性があり、その結果、脅威アクターは権限を強化させることができます。このアクセスにより、データの窃取、悪意のあるポッドのデプロイ、オペレーションの妨害が可能になる可能性があります。

• Apache は、Apache OFBiz の認証前リモートコード実行の脆弱性(CVE-2023-51467)に対するパッチをリリースしました。この脆弱性により、攻撃者は認証を迂回して単純なサーバーサイドリクエストフォージェリ (SSRF) を実行することができます。Apache OFBiz は、オープンソースのエンタープライズ リソース プランニング システムであり、多くの製品（JIRA など）のコードベースで使用されています。
  
  
  

サイバー脅威インテリジェンスレポート

• サイバー研究者たちは、北朝鮮のKimsukyグループの攻撃セグメントの1つに焦点を当てています。同グループの最近の手口は、AppleSeedと名付けられたショートカットタイプのバックドア型マルウェアを継続的な使用が含まれています。このバックドアは、感染したシステムの制御、追加マルウェアのインストール、キーロギング、スクリーンショットの撮影、さらにはユーザーのシステムからの情報窃取などに使用される可能性があります。
  

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Trojan.Wins.Appleseed.ta.*; APT.Wins.APT37_Kimsuky; APT.Win.Kimsuky]に対する防御機能を備えています。

• Meduzaインフォステーラの新バージョン（2.2）がダークウェブ上でリリースされました。この更新版インフォステーラは、より広範なソフトウェアクライアントのサポート、改良されたクレジットカードグラバー、様々なプラットフォーム上でダンプされたパスワードを保存するための高度なメカニズムなど、強化された機能で注目を集めています。

Check PointのThreat Emulationは、この脅威[InfoStealer.Wins.Meduza]に対する防御機能を備えています。

• Storm-0569、Storm-1113、Sangria Tempest、Storm-1674など、金銭的な動機に基づく脅威グループが、ms-appinstallerプロトコルハンドラ（MSIXファイル）を悪用して、悪意のある署名付きソフトウェアをユーザに配信していることが確認されています。