チェック・ポイント・リサーチ・チームによる2024年6月10日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 病理学サービスプロバイダーの Synnovis は、保健社会福祉省、NHS を含むロンドンのいくつかの主要病院の手続きや運営に影響を及ぼしたランサムウェア攻撃を経験しました。Qilin (旧 Agenda) ランサムウェア集団がこの攻撃の責任を主張しました。

   Check PointのThreat Emulationは、この脅威[Ransomware.Win.Agenda; Ransomware.Wins.Qilin]に対する防御機能を備えています。

• ソーシャルメディア大手のTikTokは、有名なTikTokアカウントを狙ったサイバー攻撃の被害に遭いました。脅威アクターはTikTokのダイレクトメッセージ機能のゼロデイ脆弱性を悪用し、ゼロクリックでアカウントを乗っ取ることができました。被害者にはCNNやソニーなどの有名アカウントも含まれています。影響を受けたアカウントの数、攻撃者の身元、マルウェアの詳細は依然として不明です。

• ニューヨーク・タイムズがサイバー攻撃の被害に遭い、同社のGitHubリポジトリから社内ソースコードとデータが漏洩しました。盗まれたデータは約270GBのファイルで、ITドキュメントやインフラツールなどが含まれています。同社によると、この攻撃による社内システムや業務への影響はないといいます。

• Disneyのコンフルエンス・サーバがオンラインゲーム「クラブ・ペンギン」のファンによってハッキングされ、2.5GBの社内データが流出したとされています。盗まれたデータには、古いクラブペンギンの文書や、社内の開発者ツール、戦略、認証情報といった最近のDisneyの企業情報が含まれています。Disney社はまだこの情報侵害を確認していません。

• ダラスに拠点を置く通信会社Frontier Communicationsは、4月に75万人以上の米国住民の個人情報に影響を与えたランサムウェア攻撃があったことを確認しました。ランサムウェア集団のRansomHubがこの攻撃の責任を主張しています。

Check PointのThreat Emulationは、この脅威[Ransomware.Wins.RansomHub.ta.*]に対する防御機能を備えています。

• ウェブベースのサービスであるClarity.fmは、個人および企業の電子メールアドレス、支払い詳細などを含む約15万5000件の記録が流出したデータ侵害を公表しました。Mark Cuban、 Eric RiesおよびBrad Fieldを含む121,000人のメンバーのプロフィールが影響を受けました。

※訳者注；Mark Cuban、Eric Ries、Brad Fieldは米国の著名な実業家や起業家ら

• 眼科医療業界向けパフォーマンス ソリューション プロバイダーである Eye Care Leaders は、自社のデータベースへの不正アクセスが発生したことを確認しました。この侵害により、複数のクライアントの診療所が影響を受け、患者名、連絡先、健康保険情報などの機密情報が漏洩しました。

脆弱性及びパッチについて

• PHP は、PHP for Windows の新しい RCE 脆弱性 CVE-2024-4577 を修正しました。この欠陥は 5.x 以降のすべてのバージョンに影響し、認証されていない攻撃者が CVE-2012-1823 を含む以前の保護を回避し、CGI 引数インジェクション攻撃を通じて任意のコードを実行できるようになります。

Check PointのIPSは、この脅威[PHP CGI Argument Injection (CVE-2024-4577)]に対する防御機能を備えています。

• Progress Software は、リモートの攻撃者が認証をバイパスして不正な管理者アカウントを作成することを可能にする Telerik Report Server の重大な脆弱性を修正するアップデートをリリースしました。この脆弱性（CVE-2024-4358）のCVSSスコアは9.8で、2024 Q1までのバージョンに影響します。

• Progress Software は、リモートの攻撃者が認証をバイパスして不正な管理者アカウントを作成することを可能にする Telerik Report Server の重大な脆弱性を修正するアップデートをリリースしました。この脆弱性（CVE-2024-4358）のCVSSスコアは9.8で、2024 Q1までのバージョンに影響します。

Check PointのIPSは、この脅威[Progress Telerik Report Server Remote Code Execution]に対する防御機能を備えています。

• Zyxel は、Zyxel NAS デバイスのサポート終了モデルで見つかった重大なコマンド インジェクションおよびリモート コード実行の脆弱性に対するセキュリティ パッチを発行しました。これらの脆弱性の一部 (CVE-2024-29972-6) を悪用すると、細工された HTTP POST リクエストを通じてオペレーティング システム コマンドを実行できる可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、BoxedApp製品の概要と悪意のある目的での悪用を明らかにしました。この調査では、パッカーの悪意のある使用を静的に検出するために使用できるYaraシグネチャを使用して、関連するパックされたバイナリ構造を詳細に分析しています。

• 研究者らは、主に米国の教育分野をターゲットとするFogと呼ばれる新しいランサムウェアの亜種を詳しく調査しました。このランサムウェアは、侵害されたVPN認証情報を悪用してアクセスし、PsExecのようなツールを展開し、VMDKファイルを暗号化し、Windows Defenderを無効にすることに重点を置いています。

• 研究者らは、TargetCompanyランサムウェアグループが特にESXi環境を標的として使用する新しいLinuxマルウェアの亜種を特定しました。このマルウェアは、カスタムシェルスクリプトを使用してペイロードをダウンロードおよび実行し、データの冗長性を確保するために被害者の情報を2つのサーバに送信する機能を有します。

Check PointのThreat Emulationは、この脅威[Ransomware.Wins.TargetCompany]に対する防御機能を備えています。

• 研究者らは、偽のブラウザアップデートを使用してユーザを欺き、悪意のあるペイロードをダウンロードして実行させる新たなキャンペーンを明らかにしました。このキャンペーンでは認証情報と暗号通貨の盗難に焦点を当てた BitRAT と Lumma Stealer を配信します。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[RAT.Win.BitRat; InfoStealer.Win.Lumma; InfoStealer.Wins.Lumma.ta.*]に対する防御機能を備えています。