Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
TakahiroS
Employee
Employee

週次サイバーセキュリティ脅威レポート (2024年4月29日版)”中国ハッカーが独フォルクスワーゲンから機密文書を搾取 Ciscoデバイスらを標的にしたArcaneDoorキャンペーンに注意  等”

チェック・ポイント・リサーチ・チームによる2024429日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

 

今週のTOP サイバー攻撃とセキュリティ侵害について

  • ドイツは、2010年以来、中国のハッカーによって組織されたフォルクスワーゲンを標的にした巧妙な国家支援のハッキング・キャンペーンを明らかにしました。攻撃者はVWのネットワークに何度も侵入し、電気自動車や水素自動車の技術革新など、自動車技術にとって重要な数千もの文書の抽出に成功しました。「チャイナチョッパー」や「プラグX」など、使用された手口やツールから中国を示す証拠があるが、政府の直接的な関与はまだ確認されていません。

  • Medusaランサムウェアは、オハイオ州北東部近隣保健局(Northeast Ohio Neighborhood Health)へのサイバー攻撃の犯行声明を出し、保護された医療情報や個人を特定できる情報を含む51GBの機密データを流出させました。Medusaは、United HealthcareOptumChange Healthcareに関連する患者に影響を与えるデータの販売や公開を防ぐために25万ドルの身代金を要求しています。

  • ArcaneDoorと名付けられたキャンペーンが、Ciscoの境界デバイスを悪用して世界中の政府機関のネットワークを標的にしていることが判明しました。このキャンペーンは、Ciscoのファイアウォールだけでなく、他のベンダーのデバイスに影響を及ぼす可能性のある、まだ発見されていない初期アクセスの脆弱性を悪用するもので、セキュリティ研究者は中国が原因としています。Ciscoは、この攻撃で使用された脆弱性の一部に対するいくつかの修正プログラムを公開しています。

  • スウェーデンのアルコール小売独占企業Systembolagetに物流を提供する物流会社Skanlogがランサムウェア攻撃を受け、スウェーデンのアルコール販売量の15%が中断されましたSkanlogの声明によると、中央業務システムがランサムウェア攻撃の影響を受け、配送ができなくなったといいます。

  • ハクティビスト集団ベラルーシのサイバーパルチザンは、ベラルーシKGBのネットワークにアクセスし、86百以上の内部ファイルを取得したと主張しました。この行動は、国家安全保障を脅かしたとしてKGB長官が彼らを非難したことに対するものだと言われています。以前、国営メディアを無力化し、ベラルーシ鉄道に影響を与えたことを含め、このグループの活動は、政治的抑圧に反対することを目的としています。

  • 北朝鮮のAPTグループであるLazarusKimsukyAndarielは、202210月から20237月にかけて、韓国の防衛関連企業83社に対して大規模なサイバースパイ活動を行い、約10社から機密データの抽出に成功しました。これらの作戦には、マルウェアの使用や脆弱性の悪用による情報の流出が含まれ、韓国の防衛技術的優位性に影響を与えました。

  • 正体不明の攻撃者がチェコのニュースサービスに侵入し、スロバキアのピーター・ペレグリーニ大統領の暗殺未遂に関するフェイクニュースを掲載しました。この偽報道はすぐに撤回されましたが、政治的緊張を作り出すことを目的とした偽情報戦術の一環でした。

 

脆弱性及びパッチについて

  • Rapid7 の研究者が CrushFTP に認証されていない致命的なゼロデイ脆弱性(CVE-2024-4040)発見しました。この脆弱性は、ユーザによる操作なしに、サーバ上で任意のコードをリモートで実行することを可能にします。この脆弱性は現在活発に悪用されており、パッチが提供されています。

  • Googleは、4つの脆弱性の修正を含むChromeのセキュリティパッチを公開しました。このうち、「ANGLE」バックエンドには、被害者のマシン上で任意のコードを実行される可能性がある「型の混乱」の脆弱性(CVE-2024-4058)が含まれています。

  • Flowmon製品に影響を及ぼす重大な脆弱性(CVE-2024-2389)の概念実証がリリースされました。この脆弱性は、不適切なアクセス制御を特徴とし、無許可のリモート攻撃者がネットワークトラフィックデータを操作することを可能にし、データ侵害につながる可能性があります。この脆弱性には現在パッチが適用されていません。

 

サイバー脅威インテリジェンスレポート

  • 研究者らは、ロシアに関連する脅威アクターAPT28(別名Fancy BearForest BlizzardSofacySTRONTIUM)と、Windows Print SpoolerサービスのCVE-2022-38028を悪用するために使用されるカスタムツールGooseEgg分析しました。調査の結果、このツールは標的のシステム内で資格情報の窃取と特権的な操作を可能にし、主に米国、欧州、中東の政府機関やNGOセクターに影響を与えていることが明らかになりました。

  • 研究者らは、アジア数カ国にわたってソーシャルメディアや金融データを盗むことを専門とする「CoralRaider」と呼ばれるベトナム起源の脅威アクターの活動を明らかにしました。RotBotXClient stealerと名付けられたQuasarRATのカスタマイズされた亜種を利用するこの脅威アクターは、特に欺瞞的なTelegramボットと洗練されたマルウェア展開戦略を通じて、資格情報の窃盗と金融詐欺を指揮しています。

  • 研究者らは、当初モバイルプラットフォーム向けに設計されたLightSpyマルウェアの新たな亜種が、現在macOSデバイスを標的としていることを確認しました。この亜種はシステムの脆弱性を悪用してスパイ活動を行い、macOSユーザに対するサイバー脅威がエスカレートしていることを示しています。解析の結果、暗号化されたペイロードや動的なモジュールのロードなど、洗練された手法が明らかになりました。

  • 研究者らは、ToddyCat APT グループのトラフィック・トンネリングおよびデータ抽出ツールの技術的側面について詳述しました。その分析では、ネットワークのセキュリティ対策を迂回し、主にアジアの政府組織などの標的組織から機密データを抽出するために使用される、リバースSSHトンネリングツールとSoftEther VPNツールの2つの主要ツールに焦点を当てています。

 

 

0 Kudos
0 Replies
Upcoming Events

    CheckMates Events