チェック・ポイント・リサーチ(CPR)チームによる2024年11月11日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ジョージア州ベインブリッジのMemorial Hospital and Manorが電子医療記録システムへのアクセスを失わせるランサムウェア攻撃の被害に遭いました。Embargoというランサムウェア集団が犯行声明を出し、11月8日までに1.15テラバイトの盗んだとされるデータを流出させると脅迫しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.Embargo.*; Ransomware.Win.Embargo.*]に対する防御機能を備えています。

• 英国法務省の委託を受けて囚人護送サービスを運営する企業Serco社は、サイバー攻撃により囚人護送車の追跡システムとパニックアラームが無効化されたことを明らかにしました。この事件は、DHLのような他の企業にも影響を与え、追跡ソフトウェアを提供するMicrolise社へのサイバー攻撃が原因でした。

• 米国で窓用ブラインドやシェードを販売するSelectBlinds社は、20万人以上の顧客のクレジットカード情報や個人情報が盗まれたデータ侵害を認めました。ハッカーは同社のウェブサイトにマルウェアを埋め込み、9ヶ月間チェックアウトページのデータスクレイピングを可能にしたと報告されています。漏洩した情報には、ユーザ名、パスワード、氏名、電子メール、配送先住所、請求先住所、電話番号、支払いカード情報などが含まれています。

• 米ワシントン州裁判所システムがサイバー攻撃を受け、司法情報システム、ウェブサイト、関連サービスが停止しました。裁判所運営事務局（AOC）は不正な活動を検知し、システムの安全性を確保するため、積極的にシステムをオフラインにしセキュリティを確保しました。

• フランスの多国籍企業シュナイダーエレクトリックは、HellCatランサムウェアによる社内プロジェクト追跡プラットフォーム（Atlassian Jiraシステム）への不正アクセスを確認しました。この結果、40GBのデータが盗まれ、その中には40万行のユーザ情報、75,000のユニークなメールアドレス、従業員と顧客のフルネームが含まれていたといいます。

• Nokiaは、カスタマイズされたソフトウェア・アプリケーションのソース・コードがハッカー・フォーラムに流出するというセキュリティ侵害がサードパーティ・ベンダに発生したことを確認しました。同社は、自社のシステムやデータはこの事件の影響を受けていないと述べています。

• テキサス州を拠点とする油田サプライヤー、Newpark Resourcesは、10月末に発覚したランサムウェア攻撃により、特定の社内情報システムやビジネス・アプリケーションへのアクセスが制限され、混乱に陥いりました。

• アイルランドのサウスイースト工科大学（SETU）は、ウォーターフォード・キャンパスでの授業延期につながったサイバー攻撃に対処しています。同大学は、現在のところデータ漏洩の証拠はないが、Wi-Fiと電話が使えない状態であると述べています。

脆弱性及びパッチについて

• Cisco社は、URWB（Ultra-Reliable Wireless Backhaul）アクセス・ポイント用の産業用統合ワイヤレス・ソフトウェアに重大な脆弱性（CVE-2024-20418）を公表しました。この脆弱性の CVSS スコアは 10.0 です。認証されていないリモートの攻撃者が root 権限でコマンドインジェクション攻撃を実行する可能性があります。この欠陥は、Webベースの管理インターフェイスへの入力の不適切な検証に起因しています。

• Hewlett Packard Enterprise (HPE) は、Aruba Networking Access Point の 2 つの重大な脆弱性 (CVE-2024-42509 および CVE-2024-47460) に対処するため、Instant AOS-8 および AOS-10 ソフトウェアのアップデートをリリースしました。これらの欠陥により、リモートの攻撃者は、特別に細工したパケットを UDP ポート 8211 経由で Aruba の Access Point 管理プロトコル (PAPI) に送信することで、認証されていないコマンドインジェクションを実行できます。

• 2024年11月の Android セキュリティ・アップデートは、特に、悪用が活発な2つのゼロデイ脆弱性（CVE-2024-43093 および CVE-2024-43047）に対処しています。これらの脆弱性が悪用されると、Android デバイスに特権の昇格、リモートでのコード実行、および不正アクセスが発生する可能性があります。今回のアップデートは、これらの重大な欠陥がもたらすリスクを軽減し、デバイスのセキュリティを強化します。

   

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、「CopyRh(ight)adamantys」と名付けられた、著作権侵害をテーマにした最新のRhadamanthysステイラー（0.7）を展開するフィッシング・キャンペーンを明らかにしました。このキャンペーンは、主にエンターテインメント／メディアやテクノロジ／ソフトウェア分野のさまざまな企業になりすまし、米国、欧州、東アジア、南米などの地域ごとにターゲットごとにコンテンツや言語を変えています。この窃盗団の新バージョンは、AIを駆使したテキスト認識を謳っているが、分析によると、最新のAIエンジンではなく、OCRに典型的な古典的な機械学習を使っていることが判明しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[InfoStealer.Wins.Rhadamanthys.ta.V, InfoStealer.Wins.Rhadamanthys.*]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、パキスタン系の脅威グループ APT36（Transparent Tribe）がインドに対する標的型攻撃で使用している、巧妙なリモート・アクセス・ツール（RAT）である ElizaRAT が進化し続けていることを明らかにしました。このキャンペーンでは、Google Drive、Telegram、Slackなどのクラウドプラットフォームをコマンド＆コントロールに活用し、正規のネットワークトラフィックに紛れ込ませることで回避を強化しています。ElizaRATの主な追加機能には、新たな回避テクニック、セカンドステージペイロード、ApoloStealerコンポーネントが含まれます。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Win.ElizaRAT.B/C/D, RAT.Wins.Eliza.ta.A/B/C/D]に対する防御機能を備えています。

• 研究者は、Foxit PDF EditorやAutoCADのような一般的なソフトウェアのアクティベータを装ったSteelFoxトロイの木馬と呼ばれる犯罪ソフトウェアバンドルを分析しました。実行されると、ステラーと暗号通貨マイナーの両方のマルウェアを含むバンドルが配信されます。このトロイの木馬は、シェルコーディングや脆弱なドライバの悪用など、検知を回避し特権を昇格させるための高度なテクニックを採用しています。