チェック・ポイント・リサーチ・チームによる2024年6月24日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• BlackSuitランサムウェアグループは、自動車業界向けにITとデジタルマーケティングソリューションを提供する大手のプロバイダであるCDK Global社の業務を妨害し、米国とカナダ全域のSaaSプラットフォームを標的にしました。このインシデントにより、業務に大きな混乱が生じ、車両販売やディーラーサービスに影響が出ました。2023年5月に登場したBlackSuitランサムウェアは、以前Royalランサムウェアとして知られていた作戦の継続版または新バージョンであると報告されています。

• フィリピンを拠点とする大手医療保険専門会社（MHO）のMaxicareは、国家プライバシー委員会（NPC）に重大なデータ漏洩を報告し、機密性の高い顧客データへの不正アクセスが明らかになりました。この情報侵害により、多数の保険加入者の個人情報が流出する可能性があり、プライバシーとセキュリティに関する重大な懸念が高まっています。

• 大手メーカーであるCrown Equipment社は、サイバー攻撃による業務停止に追い込まれ、フォークリフトの機能と製造に世界的な影響を及ぼしています。攻撃方法、影響を受けたデータ、このインシデントに関与した脅威アクターなどの業務停止に関する詳細は明らかにされていません。

• 米テキサス州専門教育者協会（ATPE）は、同協会の会員、従業員およびその扶養家族40万人以上の個人情報が流出したデータ侵害事件を公表しました。漏洩したデータには、社会保障番号、生年月日、住所が含まれています。ATPEの従業員のみを対象としたデータ流出には、パスポート番号、運転免許証番号、財務情報、医療記録も含まれていました。犯行声明を出している脅威アクターはまだいません。

• 仏ANSSI（全国情報処理システム・セキュリティ庁）は、ロシア情報庁（SVR）に関連するNobeliumが、フィッシングやCobalt Strikeをインストールしようとする試みを通じて、フランスの外交関係者を標的にしていることを報告しました。これらの活動には、フランスの公的機関や大使館への侵害も含まれていますが、重大な侵害は警戒を怠らないスタッフによって防がれています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[APT.Win.APT29; APT.Wins.Nobelium]に対する防御機能を備えています。

• 英国を拠点とするTotal Fitnessは、データ侵害に遭い、パスワードなしでアクセス可能な約 50 万人の写真が公開されました。この事件は、オープンで安全でないAmazon S3バケットに関係していました。同社はこの事故を認め、データを保護したましたが、情報漏洩の影響の全容はまだ不明です。

   

脆弱性及びパッチについて

• PrestaShop の pkfacebook モジュールに存在する致命的な SQL インジェクションの脆弱性 (CVE-2024-36680) が、eコマースサイトにカードスキマーを展開するために活発に悪用されています。この欠陥により、攻撃者はデータベースクエリを操作し、無防備なユーザーからクレジットカード情報を盗むことができます。

• 研究者らは、ヒープオーバーフローおよびローカル特権の昇格の問題（CVE-2024-37079、CVE-2024-37080、およびCVE-2024-37081）を含む、VMware vCenter Serverにおける複数の重大な脆弱性を特定しました。これらの欠陥により、攻撃者はリモートでコードを実行したり、rootに特権を昇格させたりすることが可能で、バージョン7.0および8.0が影響を受けます。

• D-Link は、同社の多くの無線ルータ製品に影響する深刻度の高い脆弱性 (CVE-2024-6045) に対処したアドバイザリーを公開しました。ルータには、非公開の工場テスト用バックドアが含まれており、隣接するネットワークの攻撃者が管理者認証情報を取得したり、指定された URL に Telnet アクセスを強制したりすることが可能です。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、Android 端末に対するスパイ活動やランサムウェア攻撃を可能にするオープンソースのリモート管理ツール Rafel RAT について分析をしました。このマルウェアは、さまざまなキャンペーンで使用されており、特に軍事分野を含む著名な組織を標的としています。標的となった被害者の多くは、米国、中国、インドネシアの人々でした。このツールの機能には、データの流出、監視、デバイスの完全な制御が含まれ、プライバシーとセキュリティの重大な侵害につながります。

Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。

• 研究者らは、中国のスパイグループに関連するツールを使用して、アジアの通信事業者を標的とした長期的なスパイ活動を発見しました。このキャンペーンでは、Coolclient、Quickheal、Rainydayのようなバックドアを導入し、クレデンシャルの窃盗や監視を行い、少なくとも2021年以降、通信事業者や関連部門に影響を及ぼしていました。

• 研究者らは、中国との関連が疑われるサイバースパイ行為者であるUNC3886について深く掘り下げた情報を共有し、複数のゼロデイ脆弱性と高度なマルウェアを使用して世界的な戦略組織を標的としていたことを明らかにしました。彼らの手法には、VMwareやFortinet製品の欠陥を悪用すること、REPTILEやMEDUSAのようなルートキットを展開して永続化すること、C&Cに公開プラットフォームを使用することなどが含まれていました。

• 研究者らは、マルウェアを組み込んだ MSI ファイルを使って中国語圏のユーザーをターゲットにした Void Arachne 脅威グループによるキャンペーンを分析しました。正規のソフトウェアを装ったファイルには、システムを侵害することができる悪意のあるWinosペイロードを含んでいます。このキャンペーンは、SEOポイズニングとソーシャルメディアを活用して拡散し、中国におけるVPN技術への関心の高まりを悪用しています。