チェック・ポイント・リサーチ・チームによる2024年2月19日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ルーマニアの病院患者データ管理システムHipocrate IT Platformがランサムウェア攻撃を受け、ブカレストの20以上の病院のデータが暗号化されました。この攻撃により、病院スタッフは重要な患者データと経過を手作業で記録および追跡する必要が生じました。2月10日に初めて検知されたこの攻撃により、Hipocrateを使用していたルーマニアの別の79の病院がオフラインになりました。攻撃者はPhobosの亜種であるBackmydataランサムウェアを使用しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。

• ランサムウェア集団ALPHVは、フォーチュン500に名を連ねる企業プルデンシャル・ファイナンシャルが最近公表した情報漏洩に対する犯行声明を出しました。同社は従業員や契約社員のデータが漏洩したことを認めており、ALPHVは交渉が決裂した後、データをウェブサイトで無料で流出させると主張しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.BlackCat.ta*, Ransomware.Win.BlackCat]に対する防御機能を備えています。

• Facebookマーケットプレイス利用者のデータ20万件がサイバー犯罪フォーラムに流出しました。データには電話番号、電子メール、その他の個人情報が含まれています。流出者は、このデータベースはDiscordのユーザー「algoaston」がMetaのサードパーティプロバイダのシステムをハッキングして入手したと主張しています。

• ハッカー集団LulzSecは、フランスの社会保障機関（CAF）のアカウント60万件を侵害したと主張し、X（旧Twitter）で4つのアカウントのデータを証拠として共有しました。社会保障機関は、情報漏えいの主張に反論し、今後のクレデンシャル・スタッフィング攻撃を避けるためにパスワードを更新するよう利用者に勧告しました。

• FBIは、ロシア軍事諜報機関（GRU）と連携しているAPT28が使用するMoobotボットネットの摘発に着手しました。既知のサイバー犯罪グループが最初に構築したのは、Moobotマルウェアに感染したSOHOルータのネットワークでした。その後、GRUによってグローバルなサイバースパイ・プラットフォームとして再利用され、主にスピアフィッシングやクレデンシャル・ハーベスティング(*)・キャンペーンにおいて、米国とウクライナを含む同盟国に対する攻撃を隠蔽し、可能にするために使用されました。

*訳者注：クレデンシャルハーベスティング（Credential Harvesting)は、標的を欺くことによって、資格情報（ログインパスワードなど）を盗み取る攻撃

• サイバー研究者は、ロシア系グループTAG-70（別名Winter Vivern）によって組織されたサイバースパイキャンペーンを検出しました。この脅威アクターは、主にジョージア、ポーランド、ウクライナに加え、中央アジア、ヨーロッパの政府、軍、国家インフラを含む80以上の組織を標的にしました。ロシアとベラルーシに代わって行われたと思われるこの作戦は、少なくとも2020年12月から継続しています。このグループは、他のロシア関連のAPTと同様に、ウェブメールサーバのクロスサイトスクリプティング（XSS）の脆弱性を利用していました。

脆弱性及びパッチについて

• チェック・ポイント・リサーチは、#MonikerLink（CVE-2024-21413）と呼ばれるMicrosoft Outlookのリモート・コード実行（RCE）の脆弱性を発見しました。Microsoftは2月のパッチ・チューズデーでこの脆弱性に対処しました。この欠陥により、リモートの攻撃者は、Protected View プロトコルをバイパスする悪意のあるリンクを展開することが可能となり、認証情報の漏洩やRCE機能につながる可能性があります。

Check PointのIPSブレードは、この脅威[Microsoft Outlook Malicious Moniker Link Remote Code Execution (CVE-2024-21413)に対する防御機能を備えています。

• Microsoft社のパッチ・チューズデーには、73件の脆弱性に対するセキュリティ更新プログラムも含まれており、その中には、Windows SmartScreenおよびインターネット・ショートカット・ファイル（CVE-2024-21412およびCVE-2024-21351）における、積極的に悪用されているゼロデイ・セキュリティ機能バイパスの欠陥2件も含まれています。このうち5件の欠陥は、サービス拒否、リモート・コード実行、情報漏えい、権限昇格の脆弱性を含む重大なものでした。

• Adobeは、Adobe Commerce、Magento、Acrobat、Reader、3D Painter、FrameMakerなど、複数の製品のセキュリティアップデートを公開しました。これらの製品に存在する複数の脆弱性にはクリティカルスコアが与えられており、その中には任意のコード実行やセキュリティ機能バイパスの欠陥が含まれています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチが、バレンタインデーに関連した標的型攻撃の増加について報告しています。1月は、「Valentine」や「Love」を含む新規ドメインが前月比で39％、前年比で17％増加しました。これらのドメインの8件に1件は、悪質または危険なものであることが判明しています。さらに、週単位では、27組織に1組織がこれらの危険なウェブサイトへのアクセスの試みに直面していました。

• サイバー研究者らは、SameCoinと呼ばれるハマスに関連したワイパーマルウェアキャンペーンを分析しました。このワイパーは、WindowsおよびAndroidデバイスに感染し、イスラエル国家サイバー総局を装ったフィッシングメールを介して配布され、「セキュリティ更新プログラム」をダウンロードするよう被害者を誘惑します。このキャンペーンは、Windows用のローダー、ワイパー、タスクスプレッダー、Android用のAPKワイパーを含む、洗練された感染チェーンを採用しています。このキャンペーンは、ファイルの破壊や消去だけでなく、プロパガンダの拡散も目的としています。研究者らは、低品質のマルウェアの品質と精巧なソーシャル・エンジニアリングから、この作戦はハマスに関連するArid Viper APTグループ（別名APT-C-23、Desert Falcon）によるものであると考えています。

• 金銭的な動機を持つ高度なグループWater Hydra（別名DarkCasino）は、金融市場のトレーダに対するキャンペーンにおいて、Microsoft Defender SmartScreenバイパスの脆弱性（CVE-2024-21412）を積極的に悪用しています。このグループは、外国為替取引のフォーラムや株式取引のテレグラム・チャンネルでスピアフィッシング・キャンペーンを展開し、この欠陥を利用して悪意のあるMSIファイルを実行しました。