チェック・ポイント・リサーチ・チームによる2024年8月5日における週次のサイバーセキュリティ脅威レポートの抄訳です
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
アメリカの献血センターOneBloodがランサムウェア攻撃の被害に遭い、同社のソフトウェアシステムに混乱が生じ、フロリダ州、ジョージア州、カロライナ州の350以上の病院の業務に影響が及びました。この攻撃により、同組織は業務能力が低下し、手作業で献血を処理せざるを得なくなり、在庫不足に陥っています。
-
アメリカの献血センターOneBloodがランサムウェア攻撃の被害に遭い、同社のソフトウェアシステムに混乱が生じ、フロリダ州、ジョージア州、カロライナ州の350以上の病院の業務に影響が及びました。この攻撃により、同組織は業務能力が低下し、手作業で献血を処理せざるを得なくなり、在庫不足に陥っています。
-
米オハイオ州コロンバス市はランサムウェア攻撃を受け、複数の市サービスが停止し、市の機密情報にアクセスされる可能性がありました。Rhysidaランサムウェアのギャングが犯行声明を出し、職員の認証情報、緊急サービスのデータ、市のカメラへのアクセスなどを含む6.5TBの疑わしいデータを漏洩すると脅しています。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Rhysida; Ransomware.Wins.Rhysida]に対する防御機能を備えています。
-
脆弱性及びパッチについて台湾の政府系研究機関が、中国の国家支援グループAPT41によるデータ侵害の被害に遭いました。この攻撃では、ShadowPadとCobalt Strikeマルウェアが使用され、研究データへの不正アクセスとコマンドの実行が行われました。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Trojan.Wins.APT41.ta.*; Trojan.Win.APT41; APT.Win.APT41; RAT.Wins.Shadowpad.*; RAT.Win.ShadowPad; Trojan.Wins.Cobaltstrike.tayc.*; Trojan.Wins.Cobaltstrike; Trojan.Win.Cobaltstrike]に対する防御機能を備えています。
-
ロシアの情報セキュリティ会社Avanpostは、400台以上の仮想マシンと物理ワークステーションを暗号化し、60TB以上のデータを破壊し、390GBの貴重な情報を流出させたサイバー攻撃を確認しました。この攻撃に関し、親ウクライナのハッカー集団Cyber Anarchy Squadが犯行声明を出しました。ハッカーたちは流出したとされるデータの一部をTelegramとMegaで共有しましたが、このデータの信憑性は確認されていません。
-
HSAのプロバイダーであるHealthEquityがデータ漏洩に見舞われ、430万人分の個人情報および保護されるべき医療情報が流出しました。漏洩したデータには、氏名、住所、社会保障番号、支払いカードの詳細、医療データなどが含まれています。
-
世界最大の銀生産会社Fresnillo PLCは、ITシステムとデータへの不正アクセスにつながるサイバー攻撃があったことを明らかにしました。この侵害にもかかわらず、事業運営に影響はなく、経営上・財務上の重大な影響は報告されていなません。
脆弱性及びパッチについて
-
チェック・ポイント・リサーチの調査によると、2万台以上のUbiquitiのカメラおよびルータに、公開されているUDPポート10001および7004が原因で増幅攻撃やプライバシーリスクの脆弱性があることが判明しました。この脆弱性(CVE-2017-0938)は、プラットフォーム名やIPアドレスなどの機密性の高いデバイス情報への不正アクセスを可能にするもので、テクニカル攻撃とソーシャルエンジニアリング攻撃の両方に悪用される可能性があります。
-
Microsoftは、VMware ESXiの脆弱性CVE-2024-37085が積極的に悪用されていると警告しています。この脆弱性は、Active Directoryの統合認証をバイパスすることで、ランサムウェアグループが管理者アクセス権を取得することを可能にするものです。Storm-0506やStorm-1175などのランサムウェアギャングは、この脆弱性を悪用してAkiraやBlack Bastaなどのランサムウェアを展開しています。
-
研究者らは、「EchoSpoofing」と名付けられたProofpointの電子メール保護サービスの重大なITWエクスプロイトを発見しました。この脆弱性は、Proofpointのインフラストラクチャを活用することで、SPFおよびDKIM認証を回避し、あたかもDisney、Nike、IBM、Coca-Colaといった信頼できるブランドからのメールであるかのように見せかけるものです。
サイバー脅威インテリジェンスレポート
-
研究者は、ソーシャルメディア・プラットフォームを悪用した巧妙な不正広告キャンペーンを明らかにしました。攻撃者はソーシャルメディアのページを乗っ取って人気のAIフォトエディタアプリを模倣し、偽のAIエディタサイトへの悪意のあるリンクを投稿してユーザを騙し、侵害されたエンドポイント管理ユーティリティをダウンロードさせます。Lumma Infostealerのようなペイロードが実行され、暗号通貨ウォレットファイル、ブラウザデータ、パスワードマネージャデータベースなどの機密データが流出します。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[InfoStealer.Wins.Lumma.ta.*; InfoStealer.Win.Lumma; Trojan.Wins.Lumma.ta.*; Trojan-Downloder.Win.Lumma]に対する防御機能を備えています。
-
リモートアクセス型トロイの木馬(RAT)の配信に TryCloudflare トンネルが悪用されるケースが増加していることが、研究者によって確認されました。攻撃者はCloudflareトンネルを使用して一時的なインフラを作成し、アカウントを作成せずにデータやリソースにリモートアクセスできるようにします。2024年2月から7月にかけて観測されたキャンペーンでは、Xworm、AsyncRAT、VenomRAT、GuLoader、RemcosなどのPythonベースのマルウェアをダウンロードするスクリプトを実行するURLや添付ファイルが含まれています。
Check PointのHarmony EndpointとThreat Emulationは、この脅威[Worm.Wins.Xworm; Worm.Win.XWorm; RAT.Win.Asyncrat; RAT.Win.Asyncrat.glmw; RAT.Wins.AsyncRAT.ta.*; RAT.Win.Venom; Dropper.Win.GuLoader; RAT.Win.Remcos; RAT.Wins.Remcos; RAT.Wins.Remcos.ta.*]に対する防御機能を備えています。
-
研究者らは、2022年2月以降、Androidを標的とした大規模なSMSスティーラーキャンペーンを発見し、10万7千以上のマルウェアサンプルを特定しました。このマルウェアはユーザを騙して欺瞞的なアプリをサイドロードさせ、様々な進化した方法でコマンド&コントロールサーバと通信することで、OTPを含むSMSメッセージを流出させます。このキャンペーンは、2,600 を超える Telegram ボットを使用し、60 を超えるグローバル ブランドをターゲットにし、113 か国の被害者に影響を与えています。
Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。
