チェック・ポイント・リサーチ・チームによる2024年12月9日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ルーマニア国家サイバーセキュリティ局（DNSC）は、ムンテニア州とトランシルバニア州の380万人以上にサービスを提供している同国のエネルギープロバイダElectricaグループに対するランサムウェア集団Lynxによるランサムウェア攻撃を公表しました。DNSCは、重要な電力供給システムに影響がなかったことを確認しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Lynx; Ransomware.Wins.Lynx]に対する防御機能を備えています。

• 米サウスカロライナ州最大級の信用組合であるSRP連邦信用組合がサイバー攻撃を受け、24万人以上の顧客の個人情報が流出しました。アクセスされた情報には、氏名、社会保障番号、運転免許証番号、生年月日、財務データなどが含まれます。Nitrogenランサムウェア集団が犯行声明を出し、650GBのデータを盗んだと主張しています。

• 米国の非営利団体Anna Jaques病院は、調査を終了し、ランサムウェア攻撃により30万人以上の患者の機密データがダークウェブ上に流出したことを確認しました。この攻撃は、2023年後半にMoney Messageグループによって行われ、社会保障番号、運転免許証、および機密の人口統計情報、医療情報、財務情報を含むファイルの流出と暗号化が行われました。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.MoneyMessage]に対する防御機能を備えています。

• ビットコインATM大手のByte Federalが11月にサイバー攻撃を受け、58,000人の顧客の個人情報が流出しました。脅威アクターはGitLabの脆弱性を悪用してByte Federalのシステムにアクセスし、氏名、住所、電話番号、政府発行のID、社会保障番号、取引状況、ユーザーの写真などを流出させました。

• 米国の心臓外科用医療機器メーカーArtivion社は、11月に発生したランサムウェア攻撃の被害に遭い、予防措置として一部システムのオフライン化を余儀なくされました。この攻撃は、ファイルを暗号化することで同社の配送・出荷システムを混乱させ、業務の遅延と予想される財務上の影響を引き起こしました。犯行声明を出したランサムウェア集団はまだいません。

• 自動車部品大手のLKQコーポレーションは、カナダ事業部のITシステムに不正アクセスするサイバー攻撃を受け、数週間にわたり業務に支障をきたしました。この事件により、被害を受けた部門に関連する個人のデータが漏洩した可能性があります。この攻撃について、責任を主張しているランサムウェア集団やその他の脅威アクターはいません。

• クリスピー・クリーム・ドーナツ・コーポレーションは、ITシステムへの不正アクセスを引き起こすサイバー攻撃を受け、顧客へのオンライン注文に支障をきたしました。この事件により、デジタル販売の損失と復旧費用により、重大な財務的影響を及ぼすと予想されています。

脆弱性及びパッチについて

• Microsoftの2024年12月パッチ・チューズデーは、10製品ファミリーにまたがる71件の脆弱性に対処しており、その中には16件の重大な問題と1件のゼロデイ脆弱性（CVE-2024-49138）が含まれています。このゼロデイ脆弱性は、Microsoft Windows Common Log File System（CLFS）ドライバ内の特権昇格の脆弱性です。最も影響を受ける製品は、58件のパッチを適用したマイクロソフト・ウィンドウズで、次いで拡張セキュリティ更新プログラム（ESU）、マイクロソフト・オフィスとなっています。

  Check PointのIPSブレードは、この脅威[Ra Microsoft Windows Common Log File System Driver Elevation of Privilege (CVE-2024-49138)nsomware.Wins.MoneyMessage]に対する防御機能を備えています。

• Googleは、Google Chromeのセキュリティアップデートをリリースし、2つの深刻度の高い脆弱性CVE-2024-12381とCVE-2024-12382に対処しました。1つ目の欠陥は、Chrome V8 JavaScriptエンジンの型混乱の脆弱性であり、2つ目はChromeの翻訳機能のuse after freeの脆弱性です。これらの脆弱性により、影響を受けるシステムを不正に制御される可能性があります。

• Appleは、同社製品のOSであるiOS 18.2とiPadOS 18.2の脆弱性に対処したセキュリティ勧告を発表しました。iOS向けのセキュリティパッチには、20以上のセキュリティ脆弱性の修正が含まれています。脆弱性の1つであるCVE-2024-54526は、個人情報へのアクセスにつながる可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、2024年11月の「Most Wanted Malware」レポートを発表し、IoTデバイスやウェブサーバなど複数のプラットフォームの脆弱性を悪用するMozi統合型ボットネット「Androxgh0st」の台頭を強調しました。モバイル端末向けマルウェアの脅威では、Jokerが依然として最も多く、AnubisとNecroがそれに続いています。Jokerは、SMSメッセージ、連絡先、デバイス情報を盗み出すと同時に、被害者をプレミアムサービスに無言で加入させます。

•  脅威アクターは、Microsoft Teams上でITサポートを装い、従業員を騙してリモートアクセスのためにAnyDeskをインストールさせました。攻撃者は登録爆撃を利用して、被害者の受信トレイを正規のスパムメールで溢れさせ、混乱を招き、助けを求めるよう仕向けました。アクセス権を獲得した後、彼らはDARKGATEマルウェアを含む複数の悪意のあるファイルを展開しました。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Trojan.Wins.DarkGate; Trojan.Win.DarkGate; Trojan.Wins.DarkGate.ta.*]に対する防御機能を備えています。

•  研究者は、マルウェアの保護に使用される新しいパッカー・アズ・ア・サービス（PaaS）「HeartCrypt」を分析しました。2023年7月から開発され、2024年2月に開始されたこのサービスは、LummaStealer、Remcos、Rhadamanthysなどのマルウェア・ファミリーに利用されています。HeartCryptの運営者は、1ファイルあたり20ドルを請求し、Windows x86と.NETのペイロードをサポートし、アンダーグラウンドのフォーラムやTelegramを通じて宣伝しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[InfoStealer.Win.Lumma; InfoStealer.Wins.Lumma.ta.*; Trojan.Wins.Remcos; RAT.Win.Remcos.glmw.*; RAT.Win.Remcos; InfoStealer.Wins.Rhadamanthys; InfoStealer.Wins.Rhadamanthys.ta.*]に対する防御機能を備えています。