チェック・ポイント・リサーチ・チームによる2024年8月19日における週次のサイバーセキュリティ脅威レポートの抄訳です
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
米国大統領候補ドナルド・トランプ氏の選挙キャンペーンが、イランの脅威アクターによって内部通信がハッキングされ、流出したとされています。これは、Microsoftが以前確認したイランのグループによる関連スピアフィッシング攻撃と一致しており、米国選挙への外国からの干渉に対する懸念が高まっています。
-
ルクセンブルクを拠点とするOrion SAは、ビジネスメール詐欺(BEC)により、約6,000万ドルの不正送金が発生し、多額の財務的損失を被ったと報告しました。この詐欺は、巧妙なフィッシング手法でOrionの従業員を欺き、犯罪者が管理する口座への送金を承認させるというものでした。
-
米ミシガン州フリント市は、ランサムウェア攻撃により内部ネットワークが侵害され、市営サービスの中断に対処しています。FBIと州司法長官は、決済システムに影響を与え、デジタルサービスの停止につながったこの事件を調査しています。
-
暗号通貨会社のUnicoinは、ハッカーがグーグルG-Suiteアカウントに侵入し、ユーザのパスワードを変更し、約4日間アクセスをブロックしたと報告しました。同社は、従業員データの不一致の可能性を含め、侵害の全影響を調査中です。
-
自称ウクライナの親ロシア派ハクティビスト集団Bereginiが、ポーランドのアンチ・ドーピング機関POLADAをサイバー攻撃し、敵対国の支援を受けた疑いが持たれています。この攻撃により、ポーランドの選手の医療記録や検査履歴を含む5万件以上の機密ファイルが流出しました。POLADAは影響を受けた選手に通知し、法執行機関やサイバーセキュリティ機関と協力してシステムの安全確保と侵害の調査を行っています。
-
オーストラリアの金鉱採掘会社であるEvolution Mining社は、ランサムウェア攻撃が同社のITシステムに影響を及ぼしていることを明らかにしました。同社は攻撃を食い止め、外部のサイバーフォレンジック専門家と協力して調査を進めています。具体的なランサムウェアのグループや恐喝金に関する詳細は明らかにされていません。
-
スイスを拠点とする製造業者のSchlatterグループは、サイバー攻撃によりITシステムに重大な障害が発生したことを明らかにしました。不正アクセスを伴うこのインシデントでは、漏洩した可能性のあるデータの詳細や攻撃者は特定されていません。
-
ランサムウェア集団RansomHubが、豪タスマニア州の企業Hudson Civil Engineeringに侵入し、112GBのデータを盗んだと主張しています。これにより同集団による、McDowall AffleckとKempe Engineeringを含む攻撃を受けたオーストラリアのエンジニアリングおよび建設会社のリストに同社加わることとなりました。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Win.RansomHub; Ransomware.Wins.RansomHub.ta.*]に対する防御機能を備えています。
脆弱性及びパッチについて
-
チェック・ポイント・リサーチの調査によると、攻撃者が任意のコマンドを実行したり、機密データにアクセスしたりすることを可能にする Server-Side Template Injection (SSTI) 脆弱性の増加が確認されています。最近の例としては、Atlassian Confluence や CrushFTP といった有名なプラットフォームが挙げられます。データの盗難や評判の低下といったリスクをもたらすこの脆弱性は、重大な CVE が増加しており、組織に深刻な影響を与える可能性があることを強調しています。
Check PointのIPSは、この脅威[Python Server-Side Template Injection, Java Server-Side Template Injection, PHP Server-Side Template Injection, Ruby Server-Side Template Injection, Node.js Server-Side Template Injection, Expression Language Server-Side Template Injection]に対する防御機能を備えています。
-
Microsoft社の8月のパッチ・チューズデーは、同社製品の90の脆弱性に対処しました。このうち6件はゼロデイ脆弱性であり、現在活発に悪用されている(深刻度の高いCVE-2024-38178およびCVE-2024-38193を含む)が含まれていました。今回のパッチには、Windows TCP/IP、Azure Stack、Azure Health Bot、Reliable Multicast Transport Driver、Windows Network Virtualization、Line Printer Daemon Serviceの8件の重大な脆弱性の修正が含まれています。
Check PointのIPSは、この脅威[Microsoft Scripting Engine Memory Corruption (CVE-2024-38178), Microsoft Windows Ancillary Function Driver for WinSock Elevation of Privilege (CVE-2024-38193)に対する防御機能を備えています。
- SolarWinds は、同社の Web Help Desk ソフトウェアに存在する Java のデシリアライゼーション RCE に関する重大な脆弱性(CVE-2024-28986)に対するパッチをリリースしました。この欠陥により、認証されていないコマンドの実行が可能になり、セキュリティ上のリスクが生じる可能性がありますが、テストでは認証なしで脆弱性が再現されたことはありません。
サイバー脅威インテリジェンスレポート
-
チェック・ポイント・リサーチ(CPR)は、ブラウザのデータ、TelegramやDiscordのインスタント・メッセンジャーのセッション、暗号通貨を窃取することが可能で、すでに攻撃キャンペーンで使用されている新しいマルウェア「Styx Stealer」を分析しました。CPRはこの調査で、Styx Stealerの開発者がAgent Teslaの脅威アクターの1人とつながっていることを発見しました。さらに、開発者のミスにより彼らのコンピュータからデータが流出したため、この操作に関する大量の情報が得られました。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[InfoStealer.Wins.PhemedroneStealer.*]に対する防御機能を備えています。
-
チェック・ポイント・リサーチは、2024年7月28日にベネズエラで実施された大統領選挙を受け、Anonymous Venezuela や Cyber Hunters などのハクティビスト・グループが、ベネズエラ政府に対する攻撃を実行したことを発見しました。#OpVenezuelaキャンペーンには、ニコラス・マドゥロ政権による選挙不正の告発に駆り立てられたDDoS攻撃やハッキングの試みが含まれています。
-
チェック・ポイント・リサーチは、機密データの宝庫でありながらサイバーセキュリティ対策が不十分な学校や大学がサイバー犯罪者の格好の標的になっていると警告しています。同ブログでは教育・研究分野を狙った攻撃の傾向を詳しく説明し、2024年にはこの分野が世界で最も狙われ、1組織あたり週平均3,086件の攻撃があったことを明らかにしています。
