チェック・ポイント・リサーチ・チームによる2024年12月9日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ルーマニアの憲法裁判所は、機密指定を解除された情報により、右派候補のカリン・ジョルジェスク氏に有利なロシアの干渉を行っていたことが明らかになったため、大統領選挙の第1回投票を無効としました。この干渉には、TikTokでの洗練されたソーシャルメディアキャンペーンが関与しており、ジョルジェスク候補の宣伝に38万1000ドルが費やされ、適切な情報開示がなされないまま、選挙インフラを標的としたサイバー攻撃が行われ、票の再集計が行われました。この無効決定により、決選投票は延期されました。

• ペイロードがLockBit 3.0に基づいているBrain Cipherランサムウェアグループは、Deloitte UKのシステム侵害の責任を主張し、機密情報を含む1TBの圧縮データが盗まれた主張しました。Deloitteはこの主張を否定し、この攻撃はDeloitteのネットワークの外部にある単一のクライアントのシステムが関与した可能性が高いと主張しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Lockbit.*, Ransomware.Wins.Lockbit.ta＊]に対する防御機能を備えています。

• 燃料サプライチェーンを監督するコスタリカの国営企業Refinadora Costarricense de Petróleo（RECOPE）は、11 月にランサムウェア攻撃を受けたことが検知されました。これにより、同社は手作業への切り替えを余儀なくされ、デジタル決済システムが混乱し、燃料の流通が複雑化しました。こうした困難にもかかわらず、RECOPEは十分な燃料備蓄を国民に保証しました。

•  米国政府のエネルギー産業請負業者であるENGlobal Corporationは、11月に発見されたランサムウェア攻撃により、特定のデータファイルが暗号化され、ITシステムへのアクセスが制限されたことを報告しました。現在のところ、この攻撃を主張するランサムウェア集団はおらず、財務実績への潜在的影響は評価中です。

•  通信大手 BT グループの会議部門がランサムウェア攻撃の試みに遭いました。Black Basta グループは、財務記録、秘密保持契約、個人文書など約 500 GB のデータを盗んだと主張しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.BlackBasta.*, Ransomware.Wins.BlackBastat.ta＊]に対する防御機能を備えています。

•  ウクライナの情報機関HURは、ロシア最大の銀行のひとつであるロシアのGazprombankに対してDDoSを実行したことを確認しました。これにより、ユーザはサービスへのアクセスが困難になりましたが、これはロシアのウクライナ戦争活動に関連する金融活動を妨害することを目的とした妨害行為でした。

• StoliグループUSAは、2024年8月のランサムウェア攻撃によりITインフラが著しく破壊され、手作業を余儀なくされ、財務報告にも支障をきたしたため、連邦破産法第11条の適用を申請しました。同社は約8400万ドルの負債を抱えており、システムの完全復旧は2025年第1四半期以降になると見込まれています。

脆弱性及びパッチについて

• 新たに発見されたWindowsのゼロデイ脆弱性により、攻撃者は、ユーザにWindowsエクスプローラで悪意のあるファイルを表示させることで、NTLM認証情報を取得することができます。この欠陥は、Windows 7およびServer 2008 R2から最新のWindows 11 24H2およびServer 2022までのすべてのWindowsバージョンに影響します。Microsoftはまだ公式な修正プログラムをリリースしていませんが、0patchプラットフォームは非公式なマイクロパッチを共有しています。

• Progress WhatsUp Gold バージョン 2023.1.0 およびそれ以前のバージョンには、リモートでコードが実行される重大な脆弱性 (CVE-2024-8785) があり、認証されていない攻撃者が Windows レジストリキーを変更することで、任意のコードが実行される可能性があります。現在、概念実証 (PoC) エクスプロイトが公開されているため、管理者は、このリスクを軽減するために、バージョン 24.0.1 に更新することを強く推奨します。

• Veeamは、深刻度スコアが10段階中9.9の重大なリモート・コード実行の欠陥(CVE-2024-42448)を含む、サービス・プロバイダ・コンソール(VSPC)の2つの脆弱性を修正するセキュリティ・アップデートをリリースしました。この脆弱性により、攻撃者はVSPC管理エージェントを介して、パッチを適用していないサーバ上で任意のコードを実行することができます。もう一つの深刻度の高い脆弱性（CVE-2024-42449）は、攻撃者が NTLM ハッシュを盗み出し、VSPC サーバ上のファイルを削除することを可能にします。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、2024年初頭にESXiベアメタル・ハイパーバイザ・サーバを主な標的とした、Rustで記述されたAkiraランサムウェアの最新亜種の設計と制御フローを分析しました。レポートでは、このバージョンのランサムウェアのユニークな機能を分析し、複雑なアセンブリを作成するために Rust のイディオム、定型コード、コンパイラ戦略がどのように使用されているかを示しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware_Linux_Akira_C/D, Ransomware.Wins.Akira.G/H]に対する防御機能を備えています。

• 米FBIとCISAは、中国に関連するSalt Typhoonによる米国システムへの継続的なアクセスが検出されたことから、通信インフラを防御するためのガイダンスを発表しました。この攻撃により、中国国家関連グループは広範なメタデータの流出、通話音声やテキストメッセージの傍受を可能にし、特に米国政府に関連する個人をターゲットにしています。

•  研究者は、中国に拠点を置く脅威アクターによる、中国の米国組織を標的にしたサイバー侵入を発見しました。攻撃者は、正規のアプリケーションやImpacket、FileZilla、PowerShellのようなツールでDLLサイドローディングを使用し、データや電子メールを流出させました。4カ月間にわたるキャンペーンで、複数のコンピュータが侵害されました。

• 研究者らは、Secret Blizzard (Turla)として知られるロシアの国民国家アクターが、スパイ活動を促進するために、国家支援およびサイバー犯罪者の両方を含む他の6つの脅威アクターのインフラを活用していることを報告しました。この攻撃者は、特に南アジアにおいて、バックドアを配備し、標的に関する情報を収集するために他の脅威アクターが使用するインフラを特に標的としています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Win.Turla.*, APT.Wins.Turla.*, Backdoor.WIN32.Turla.*, APT.Wins.Turla.ta.*, Trojan.Win.Turla.*]に対する防御機能を備えています。