チェック・ポイント・リサーチ・チームによる2024年12月30日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• Clopランサムウェアギャングは、CleoのSecure File Transfer製品のゼロデイ脆弱性（CVE-2024-50623）を悪用し、データ盗難の疑いで66社を恐喝しています。攻撃者は、被害者の身元を公表する前に身代金交渉を開始する48時間を被害者に与えています。この事件は、Accellion FTA、GoAnywhere MFT、MOVEit Transferなどのプラットフォームにおけるゼロデイ欠陥を悪用したClopの過去の事例を反映したものです。

Check PointのHarmony Endpoint、Threat EmulationとIPSは、この脅威[Ransomware.Win.Clop; Ransomware.Wins.Clop; Ransomware.Wins.Clop.ta.* ; Cleo Arbitrary File Upload (CVE-2024-50623)]に対する防御機能を備えています。

• ピッツバーグ地域交通局（PRT）は先週、ランサムウェア攻撃を受け、鉄道システムとカスタマーサービス業務に支障をきたしました。交通サービスは通常通りの運航を再開しましたが、コネクトカードの処理など一部の利0用者サービスには影響が残っています。法執行機関とサイバーセキュリティの専門家が関与する調査は進行中で、データの盗難や攻撃を行ったグループについてはまだ確認されていなません。
• Cyberhavenは、Chrome ブラウザ拡張機能の悪意のあるアップデートが配布されるというサイバー攻撃の被害に遭いました。侵害された拡張機能は、認証セッションやクッキーを含むユーザーの機密情報を流出させることができました。
• フォルクスワーゲンの自動車ソフトウェア子会社であるCariad社は、ITアプリケーションの設定ミスにより、機密性の高い地理位置情報を含む80万台の電気自動車のデータを流出させました。流出したデータには、VW、Seat、Audi、Skodaの車両の詳細が含まれ、46万台分の正確な位置情報と匿名化されたユーザデータが含まれていました。Chaos Computer Clubがこの脆弱性を特定し、Amazonのクラウドストレージに保存されたテラバイト単位の無防備な顧客情報へのアクセスが可能になりました。
• 日本航空は、国内線および国際線に遅延を引き起こしたサイバー攻撃の後、通常の運航を再開しました。この攻撃は、分散型サービス妨害（DDoS）攻撃を示すネットワーク・トラフィックの急激な急増を伴うもので、外部システムとのデータ通信に影響を与えました。顧客情報の流出はなく、飛行の安全性は損なわれませんでした。
• 家電アクセサリ・メーカーのZAGG Inc.は、顧客の支払いカード情報が流出するデータ侵害を公表しました。この情報漏洩は2024年10月から11月にかけて発生し、同社のeコマース・プラットフォームであるBigCommerceが提供するサードパーティ製アプリケーションであるFreshClickアプリに悪意のあるコードが注入されたことが原因でした。
• 欧州宇宙機関（ESA）の公式グッズショップがハッキングされ、顧客のカード情報を盗むために偽の決済ページが表示されました。

脆弱性及びパッチについて

• Apache Traffic Control バージョン 8.0.0 および 8.0.1 に、CVSS 評価で 9.9 とされる致命的な SQL インジェクションの脆弱性 (CVE-2024-45387) が発見されました。この欠陥により、特定のロールを持つ特権ユーザが、細工された PUT リクエストを介してデータベース内で任意の SQL コマンドを実行できてしまいます。この問題はバージョン 8.0.2 で修正されています。

Check PointのIPSは、この脅威[Apache Traffic Control SQL Injection (CVE-2024-45387)]に対する防御機能を備えています。

• JavaネットワークアプリケーションフレームワークであるApache MINAに、最大CVSSスコア10.0の重大な脆弱性(CVE-2024-52046)が発見されました。この脆弱性は、ObjectSerializationDecoderがJavaのネイティブなデシリアライゼーションプロトコルを適切なセキュリティ対策なしに使用していることに起因しており、攻撃者は悪意のあるシリアル化データを送信することでリモートコードを実行することが可能です。
• Palo Alto Networks は、PAN-OS ソフトウェアに現在悪用されるサービス運用妨害 (DoS) の脆弱性 (CVE-2024-3393) を公表しました。この欠陥により、認証されていない攻撃者が悪意のあるパケットを送信し、影響を受けるファイアウォールを強制的に再起動またはメンテナンスモードにし、ファイアウォール保護を中断させることができます。この問題は、DNS Security ロギングが有効なデバイスに影響し、PAN-OS 10.1.14-h8、10.2.10-h12、11.1.5、および 11.2.3 のバージョンでパッチが適用されています。
• Four-Faith ルータ モデル F3x24 および F3x36 に、OS コマンドインジェクションの脆弱性(CVE-2024-12856)が存在することが確認されました。デフォルトの認証情報を介して悪用されると、認証されていない OS コマンドが実行される可能性があります。15,000台以上のインターネット接続機器が危険にさらされており、少なくとも2024年11月初旬以降、積極的に悪用されていることが示唆されています。

Check PointのIPSは、この脅威[Four-Faith F3x Series Command Injection (CVE-2024-12856)]に対する防御機能を備えています。

サイバー脅威インテリジェンスレポート

• 研究者は、北朝鮮に関連するContagious Interviewキャンペーンで使用される新しいマルウェア「OtterCookie」を観測しました。この金銭目的のキャンペーンは、幅広い被害者を標的としており、日本でも活発に活動しています。OtterCookieはSocket.IOを介して通信し、暗号通貨キーを含む機密データを流出させるためにシェルコマンドを実行し、その機能を強化するためにクリップボードのデータ収集を使用します。
• 研究者は、Paper Werewolf（別名GOFFEE）クラスタの活動が活発化していることを確認しており、2022年以降、ロシアの組織を標的とした少なくとも7つのキャンペーンを実施していることを明らかにしました。フィッシングPowerShellとPowerRAT、および悪意のあるマクロを含む電子メールを使用して、グループはITインフラストラクチャを無効にし、アカウントの資格情報を変更するなどのスパイ活動や破壊的な操作を行います。武器には、カスタムインプラント、リバースシェル、クレデンシャルハーベスティング用の悪意のあるIISモジュールなどがあります。
• 研究者らは、D-Link デバイスの長年の脆弱性を悪用し、HNAP インターフェース経由で悪意のあるコマンドを実行する Mirai の亜種「FICORA」や Kaiten の亜種「CAPSAICIN」などのボットネットの活動の増加を分析しました。