チェック・ポイント・リサーチ・チームによる2024年10月28日における週次のサイバーセキュリティ脅威レポートの抄訳です
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
- メキシコ全土で13の空港を運営するGrupo Aeroportuario del Centro Norte(OMA)は、身代金を支払わなければ3TBの盗まれたデータを漏らすと脅迫するランサムウェア集団「RansomHub」にハッキングされました。この攻撃により端末の情報画面は混乱し、OMAはバックアップシステムの起動を余儀なくされたが、業務や財務への重大な悪影響はまだ報告されていません。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.RansomHub; Ransomware.Wins.RansomHub.ta.*]に対する防御機能を備えています。
-
大手保険会社の第三者管理者であるLandmark Admin社は、今年5月から6月にかけて、不正なネットワークアクセスとデータの暗号化により、80万人以上の個人に影響を与えるデータ漏洩に見舞われました。この情報流出により、氏名、社会保障番号、パスポート番号、医療情報など、機密性の高い個人情報や財務情報が流出しました。
-
ヘルスケア大手のHenry Schein社は、2023年に発生したランサムウェア攻撃により機密データが盗まれ、製造、流通、eコマース・プラットフォームの業務に影響が出たことを確認しました。BlackCatランサムウェアグループがこの攻撃の責任を主張しています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.BlackCat; Ransomware.Wins.BlackCat.ta.*; Ransomware.Wins.Blackcat]に対する防御機能を備えています。
-
米FBIとCISAは、中国政府系グループ「Salt Typhoon」によるAT&T、Verizon、Lumen Technologiesなど複数の米通信会社への侵入を調査しています。攻撃は盗聴に使われるシステムを標的とし、トランプ前大統領、ハリス副大統領、複数の著名政治家の端末を標的としました。
-
United Healthの子会社Change Healthcareが、ロシア語を話すランサムウェア集団「BlackCat」によるランサムウェア攻撃で、1億人分の個人情報と医療データが漏洩したことを認めました。健康保険の詳細、医療記録、社会保障番号などの機密情報が流出しました。この情報流出により、2200万ドルの身代金が支払われ、継続的な損失は24億5000万ドルに上ると推定され、米国の医療データ流出としては過去最大となりました。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.BlackCat; Ransomware.Wins.BlackCat.ta.*; Ransomware.Wins.Blackcat]に対する防御機能を備えています。
-
スイスの専門学校Berufsbildungszentrum(BBZ)は、ファイアウォールのセキュリティギャップを悪用して複数のITシステムへのアクセスを遮断するランサムウェア攻撃の被害に遭いました。捜査当局は現在、個人情報が漏洩したかどうかを調査しています。この攻撃は、ヨーロッパ全土でドイツ語圏の教育機関を標的としたサイバー攻撃の大きな攻撃の一部です。
脆弱性及びパッチについて
-
米CISA は、Cisco ASA および FTD の重大なサービス拒否の脆弱性である CVE-2024-20481 と、RoundCube Webmail のクロスサイトスクリプティングの脆弱性である CVE-2024-37383 について、緊急アドバイザリを発行しました。1つ目の脆弱性は深刻度9.8と評価され、細工されたHTTPリクエストによってシステムクラッシュを引き起こし、2つ目の脆弱性は深刻度6.5と評価され、悪意のあるスクリプトインジェクションによってデータ盗難やセッションハイジャックを引き起こす可能性があります。
Check PointのIPSは、この脅威[RoundCube Webmail Stored Cross-Site Scripting (CVE-2024-37383)]に対する防御機能を備えています。
-
Lazarus Groupは、偽のDeFiゲームサイトを通じてGoogle Chromeのゼロデイ脆弱性(CVE-2024-4947)を悪用し、暗号通貨ユーザーを標的としていました。ChromeのV8エンジンのこの欠陥により、彼らは被害者のブラウザを制御し、認証トークンやパスワードなどの機密データにアクセスすることができました。
Check PointのIPSは、この脅威[Google Chrome Type Confusion (CVE-2024-4947)]に対する防御機能を備えています。
-
Fortinetは、FortiGateファイアウォールの管理に使用されるFortiManagerの重大な脆弱性(CVE-2024-47575)にパッチを適用しました。この脆弱性は「FortiJump」と呼ばれ、ゼロデイ攻撃で悪用され、サーバへの不正アクセスや、設定ファイルや認証情報などの機密データの流出を可能にしました。
-
VMware は、vCenter Server および VMware Cloud Foundation 製品における重大な脆弱性 2 件 (CVE-2024-38812 および CVE-2024-38813) を修正しました。これらの脆弱性により、攻撃者はリモートでコードを実行し、昇格した権限を得ることができる可能性があります。
サイバー脅威インテリジェンスレポート
-
Amazonは、政府機関や軍事組織からWindowsの認証情報とデータを盗むことを目的とした不正なリモート・デスクトップ・プロトコル(RDP)ファイルを展開するフィッシングキャンペーンの一環として、ロシアのAPT29グループによって悪用されたインターネットドメインを特定しました。これらの悪意のあるRDP接続により、攻撃者は被害者の共有リソースにアクセスし、データを盗み出す可能性がありました。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Win.APT29; APT.Wins.APT29.ta.*; APT.Wins.CozyBear; APT.Wins.Nobelium]に対する防御機能を備えています。
-
Qilin.Bと名付けられたQilin(別名Agenda)ランサムウェアの新たな亜種が研究者により発見されました。この亜種は、高度な暗号化技術と強化された防御回避能力を備えており、WindowsとLinuxの両方のシステムを標的として二重の恐喝スキームを企てています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.Qilin; Ransomware.Win.Agenda]に対する防御機能を備えています。
-
研究者は、Tetradeグループに分類されるブラジルのバンキング型トロイの木馬Grandoreiroを分析しました。脅威アクターはこのトロイの木馬を利用し、銀行機関のセキュリティ対策を迂回し、世界各地の被害者のコンピュータを通じて不正なバンキング業務を行っています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Banker.Win.Grandoreiro; Banker.Wins.Grandoreiro]に対する防御機能を備えています。