チェック・ポイント・リサーチ・チームによる2024年7月1日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• BlackSuitランサムウェアグループが南アフリカの国立保健研究所(NHLS)を襲い、Mpoxが流行する中、検査結果の伝達を妨害しています。攻撃者はバックアップを含むシステムセクションを削除し、手動での結果伝達を余儀なくさせました。攻撃にもかかわらず、研究所はサンプルの処理を続けていますが、システム復旧のタイミングは不明です。
  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.BlackSuite, Ransomware.Wins.BlackSuit, Ransomware_Linux_BlackSuit]に対する防御機能を備えています。

• TeamViewerは、ロシアの諜報機関とつながりのあるAPT29と思われる国家支援グループによるハッキングを確認しました。今回の侵入では、TeamViewerのシステムへの不正アクセスが行われましたが、攻撃者は同社の製品環境や顧客データには到達していないとみられています。

• 高級ファッション小売業者のニーマン・マーカスは、約65,000人に影響するデータ漏洩を報告し、盗まれたデータは「Sp1d3r」として知られるハッカーによってアンダーグラウンド・フォーラムで販売されました。流出したデータには、氏名、連絡先、生年月日、ギフトカード番号などが含まれています。この事件は、さまざまな組織に影響を及ぼしているSnowflake関連の広範なサイバー攻撃の一部です。

• 当初、米連邦準備制度理事会（FRB）が関与しているとされていたデータ流出事件は、Evolve Bank & Trustへのものであることが明らかになりました。LockBitランサムウェアグループは、身代金を支払わなければ30TBの機密銀行情報を公開すると脅迫しました。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.LockBit; Ransomware.Wins.Lockbit.ta]に対する防御機能を備えています。

• Brain Cipherランサムウェアがインドネシアの国立データセンタを攻撃し、政府のサーバを暗号化し、入国審査やパスポートコントロールなどのサービスを妨害しました。攻撃者は800万ドルを要求しましたが、政府は支払いを拒否しました。Brain CipherはLockBit 3.0暗号化ソフトの改良版を使用しており、二重の恐喝を目的としたデータ漏洩サイトを立ち上げています。

• ウクライナの軍事情報機関および関連ハッカー集団が、クリミア半島でロシアが運営するインターネット・プロバイダを標的としたDDoS攻撃を仕掛け、重大なサービス中断を引き起こしたと非難されています。このDDoS攻撃は主に現地のプロバイダであるミランダ・メディアに影響を与え、インターネットが断続的に利用できなくなり、同地域の重要な通信チャネルに影響を与えました。

• 米ドルト大学は、BianLianグループによるデータ漏洩の被害に遭い、3TBの機密文書が流出しました。この攻撃により、膨大な量の個人および組織データが漏洩し、影響を受けた個人と大学の運営に重大なリスクが生じました。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.BianLian]に対する防御機能を備えています。

脆弱性及びパッチについて

• MOVEit Transfer および MOVEit Gateway の SFTP サービスおよび MOVEit Gateway の SFTP 機能に影響する 2 つの重大な脆弱性が公開されました。この脆弱性（CVE-2024-5805 および CVE-2024-5806）は、不正アクセスや認証情報の盗難を引き起こす可能性があります。これらの脆弱性に対するベンダー提供のパッチは利用可能であり、緊急対応が推奨されています。CVE-2024-5806 についてはエクスプロイト（PoC）が利用可能です。

  Check PointのIPSは、この脅威[Progress MOVEit Transfer Authentication Bypass (CVE-2024-5806)]に対する防御機能を備えています。

• GitLabは、悪意のある攻撃者が別のユーザーのIDでCI/CDパイプラインを実行する可能性のある重大な欠陥（CVE-2024-5655）を含む、14件のセキュリティ脆弱性に対するパッチを発行しました。この脆弱性はCVSSスコア9.6で、GitLab Community EditionとEnterprise Editionの様々なバージョンに影響します。

• 研究者らは、Ollama AI基盤プロジェクトに深刻なリモートコード実行の脆弱性(CVE-2024-37032)を特定しました。この脆弱性は、不適切な入力検証により、任意のファイルの書き込みやリモートでのコード実行を許す可能性があります。

• 研究者らは、産業環境で一般的に使用されている10万ドルのEmerson Rosemount 370XAガスクロマトグラフに欠陥を発見しました。この欠陥は、物理的なアクセスなしに遠隔操作することを可能にし、不正確な測定値や業務の中断につながる可能性があります。

サイバー脅威インテリジェンスレポート

• 研究者らは、中国のAPTグループと疑われるChamelgangが、金銭的な利益と混乱を狙ってCatBランサムウェアを使用し世界中の重要なインフラを標的にしていることを分析しました。キャンペーンはヘルスケアや航空などのセクターに影響を与え、インドのAIIMSやブラジルの大統領府を巻き込んだ顕著な事件がありました。さらにChamelgangは、BestCryptやBitLockerのような既存のツールを活用し、主に米国の製造業を中心に様々な業界に影響を与えています。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[APT.Wins.ChamelGang, Ransomware.Wins.Catb.ta, Ransomware.Win.CatB]に対する防御機能を備えています。

• 研究者らは、公開されている Cobalt Strike の Malleable C2 プロファイルを悪用してサイバー攻撃を行っている脅威アクターを特定しました。公開コード リポジトリでホストされているこれらのプロファイルにより、攻撃者は Cobalt Strike の通信方法をカスタマイズして検出を回避できます。分析により、修正されたプロファイルを利用した複数のCobalt Strikeサンプルが明らかになりました。

• 研究者らは、2023年4月からシンガポールを標的とした様々なフィッシング詐欺において、中国語を話すと思われる脅威アクターによってCraxs Ratマルウェアが利用されていたことを詳述しています。このRATは偽のAndroidアプリを悪用し、銀行の認証情報を侵害し、デバイスを制御することが確認されています。Spymaxから派生し、脅威アクター「EVLF」によってCraxs Ratへと進化したこのマルウェアは、正規ブランドを模倣した偽造アプリを介して配布されていました。このRATは完全なリモートアクセスを容易にし、EVLFのTelegramチャンネルを通じて販売されたバージョンでは機能が拡張されています。