チェック・ポイント・リサーチ・チームによる2024年1月29日における週次のサイバーセキュリティ脅威レポートの抄訳です
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
ロシア系のAPT29(別名Cozy Bear、Midnight Blizzard)によるMicrosoftへの攻撃に関する報道を受けて、Hewlett-Packard Enterpriseも同じ脅威アクターから攻撃を受けたことを認めました。Microsoftが侵入を検知したのは1月12日で、パスワード・スプレー攻撃が開始されたのは2023年11月でしたが、HPEの調査では、APT29は2023年5月以降も同社のシステム上での永続性を維持することができたという証拠が指摘されています。セキュリティの専門家は、このサイバースパイ攻撃のグループによって電子メールシステムも侵害されたことを確認する企業がさらに増えると予想しています。
-
ランサムウェア集団のLockBitが、ウォール街の貸株貸付会社EquiLendに対する最近の攻撃に関して犯行声明を出しました。この攻撃により、EquiLendのプラットフォームとその他の自動化ソリューションがオフラインになり、担当者は復旧に数日かかると述べました。BlackRock、JPMorgan、その他の大手企業が所有する同社への攻撃は、プラットフォームがクラッシュによる手動プロセスへの切り替えを余儀なくされた金融市場関係者に「限定的な」影響を与えたと言われています。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.LockBit.ta*; Ransomware.Win.Lockbit; Gen.Win.Crypter.Lockbit.AI, Ransomware_Linux_Lockbit]に対する防御機能を備えています。
-
ウクライナ最大のオンライン銀行Monobankが3日間にわたるDDoS攻撃を受けました。この攻撃により、モバイル専用の銀行業務の一部が中断されました。攻撃者は公式には特定されていませんが、この攻撃はロシアのハクティビストによって実行されたと推定されています。
-
Naftogaz、郵便サービス、鉄道サービス、運輸局DSBTなど、ウクライナの複数の国営企業がサイバー攻撃を受け、サービスの中断につながりました。攻撃はデータ・インフラを標的とし、郵便の遅延、ウェブサイトのオフライン化、貨物配送のための国境通過システムの混乱といった業務上の問題を引き起こしました。ロシアのハクティビスト・グループ、National Cyber Armyは、DSBTの攻撃の犯行声明を出しましたが、影響を受けた他の団体については言及していません。
-
遺伝子検査プロバイダの23andMe社は、5ヶ月間気づかれなかったクレデンシャル・スタッフィング攻撃を確認しました。このサイバー攻撃は4月に始まり、9月まで気づかれませんでしたが、100万人のアシュケナージ系ユダヤ人と400万人の英国居住者の健康レポートと生の遺伝子型データが侵害され、現在サイバー犯罪フォーラムで流出しています。
-
親ウクライナのハクティビスト集団「BOチーム」が、「プラネタ」として知られるロシアの研究センターに対する攻撃の犯行声明を出しました。ウクライナの国防情報局(GUR)によると、この攻撃により国営プラネタのデータベースと貴重な機器が破壊され、地球観測衛星からのデータが侵害されたといいます。
脆弱性及びパッチについて
-
Appleは、AppleのWebKitに存在するゼロデイ脆弱性(CVE-2024-23222)に対処するためのセキュリティアップデートをリリースしました。この欠陥は、iPhone、Mac、Apple TVに影響を与える可能性があり、影響を受けるデバイス上で任意のコードが実行される可能性があります。この脆弱性は実際に活発に悪用されています。さらに、Appleは複数の製品(iOS、iPadOS、macOS、Safari、watchOS、tvOSを含む)のセキュリティアップデートをリリースし、サイバー脅威アクターが影響を受けるシステムを制御することを可能にする脆弱性に対処しています。
-
Junos SRX および EX シリーズデバイスに、認証されていないルート権限によるリモートコード実行 (RCE) やサービス拒否攻撃が可能な致命的な脆弱性 CVE-2024-21591 (CVSS スコア: 😎 が発見されました。積極的な悪用は確認されていませんが、Junos OS に対する過去の攻撃やこの脅威の重大性から、影響を受けるデバイスには早急にパッチを適用することが強く推奨されます。
-
研究者は、オープンソースの継続的インテグレーションおよび継続的デプロイメントソフトウェアとして広く利用されている Jenkins に、重大かつ深刻度の高い脆弱性を特定しました。致命的な脆弱性(CVE-2024-23897)は、認証されていない攻撃者がJenkinsのサーバーから任意のデータを読み取ることを可能にします。深刻度の高い脆弱性(CVE-2024-23898)は、クロスサイト・ウェブソケット・ハイジャックの問題で、攻撃者は被害者を騙してリンクをクリックさせることでコマンドを実行することが可能です。
Check PointのIPSは、この脅威[Jenkins Information Disclosure (CVE-2024-23897)]に対する防御機能を備えています。
サイバー脅威インテリジェンスレポート
-
チェック・ポイントによると、QRコードを利用したフィッシング攻撃の増加が報告されています。このような攻撃は、多くの電子メール・セキュリティ・ソリューションにQRコードによる保護機能が含まれていないため、通常は成功しており、サイバー犯罪者は既存の保護機能を回避するために適応しています。例えば、攻撃者は様々なオペレーティングシステム用に異なるリダイレクトを使用し、複数の難読化およびアンチリバースエンジニアリングのテクニックを使用しています。
-
北朝鮮に関連するAPTグループScarCruftによる最近のキャンペーンをサイバー研究者が観測しました。同グループは最近、韓国のメディアや研究機関を標的として、悪意のある文書を介して配信されるRokRATを使用しています。この調査では、サイバーセキュリティ部門が標的にされている可能性があるという証拠も明るみに出ました。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Technique.Win.EmbedExeLnk; Trojan.Wins.SusLNK; Injector.Win.RemoteThread; Technique.Win.MalOfficeVBA; Exploit.Win.MalChildren]に対する防御機能を備えています。