チェック・ポイント・リサーチ・チームによる2024年9月2日における週次のサイバーセキュリティ脅威レポートの抄訳です
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
米カリフォルニア州に拠点を置くPatelco Credit Unionは、ランサムウェア攻撃によるデータ流出により、72万6千人の顧客および従業員の機密個人情報が流出したことを確認しました。漏洩したデータには、氏名、社会保障番号、運転免許証番号、生年月日、電子メールアドレスが含まれています。RansomHubギャングがこの攻撃の犯行声明を出しています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.RansomHub; Ransomware.Wins.RansomHub.ta.*]に対する防御機能を備えています。
-
Young Consulting (現 Connexure)がランサムウェア攻撃によるデータ漏洩に見舞われ、950万人以上の医療保険情報が流出しました。RoyalギャングのリブランドであるBlackSuitランサムウェア・グループがこの攻撃の責任を主張しています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.LockBit.*; Ransomware.Wins.Lockbit.ta.*; Ransomware_Linux_Lockbit]に対する防御機能を備えています。
-
加トロント地区教育委員会(TDSB)がランサムウェア攻撃の被害に遭い、2023/2024年度からの不特定多数の生徒の個人情報が流出しました。ランサムウェア集団「LockBit」がこの攻撃の犯行声明を出しました。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.LockBit.*; Ransomware.Wins.Lockbit.ta.*; Ransomware_Linux_Lockbit]に対する防御機能を備えています。
-
米シアトル・タコマ国際空港はサイバー攻撃を受け、ITシステムの停止が続き、予約チェックインに支障をきたし、フライトに遅れが出ました。この障害は、手荷物取り扱い、フライト情報ディスプレイ、構内端末などの重要なサービスに深刻な影響を及ぼし、何千人もの旅行者に大幅なち円が発生しました。
-
カナダの空港駐車場サービスPark'N Flyは、不正なリモートVPNアクセスを受け、約100万人の顧客に影響を与えるデータ漏洩に見舞われました。漏洩したデータには、フルネーム、電子メールアドレス、物理的住所、アエロプラン番号、CAA番号が含まれていますが、財務情報は含まれていません。犯行声明を出した脅威アクターはまだいません。
-
米国の小売業者Dick's Sporting Goods社が、機密情報を含むシステムの一部に不正アクセスされるサイバー攻撃の被害に遭いました。漏洩したデータの内容は明らかにされておらず、業務への支障は報告されていません。
-
アイルランドのフォタ野生動物公園がサイバー攻撃を受け、2024年5月12日から8月27日の間にオンラインでチケットを購入した顧客から決済カードのアカウント番号が盗まれました。ユーザ名、パスワード、電子メールアドレスを含むユーザアカウント情報がアクセスされた可能性があります。この侵害の影響を受けた多くの個人は、フィッシング攻撃を受けたと報告しています。
脆弱性及びパッチについて
-
WPML (WordPress Multilingual) プラグインに致命的な脆弱性 CVE-2024-6386 (CVSS スコア: 9.9) があり、100万以上の WordPress サイトがリモートコード実行攻撃にさらされる可能性があります。この欠陥により、Contributorレベル以上のアクセス権を持つ認証済みユーザが、Twig テンプレートを介して任意の PHP コードを注入し、実行することが可能になります。この脆弱性はバージョン 4.6.13 で修正されました。
Check PointのIPSは、この脅威[WordPress WPML Plugin Server-Side Template Injection (CVE-2024-6386)]に対する防御機能を備えています。
-
Googleは、Chromeのヒープ破壊の脆弱性CVE-2024-7965が、実際に活発に悪用されていることを認めました。この脆弱性は、V8 JavaScriptおよびWebAssemblyエンジンの不適切な実装に起因するもので、Chromeの最新の128リリースで対処されています。
-
Micorosoftは、Microsoft 365 CopilotにおけるASCII密輸の脆弱性を修正しました。この問題は、目に見えないUnicode文字を使用して、電子メールの多要素認証(MFA)コードなどのクリック可能なリンクを通じてユーザの機密データを盗み出すことに関係していました。
-
SonicWallは、次世代ファイアウォールにおいて、不適切なアクセス制御によりデバイスへの不正アクセスを許してしまう重大な脆弱性CVE-2024-40766(CVSSスコア:9.3)に対処しました。この欠陥は、SonicOS 7.0.1-5035およびそれ以前のバージョンを実行しているSonicWall Firewall Gen 5、Gen 6、およびGen 7デバイスに影響し、特定の条件下でファイアウォールがクラッシュする可能性があります。
サイバー脅威インテリジェンスレポート
-
研究者らは、AresLoaderグループの新しいMalware-as-a-Service(MaaS)であるManticoraLoaderに関する情報を共有しました。Windows Serverを含むWindows 7以降と互換性のあるManticoraLoaderは、高度な難読化と情報収集を特徴とし、洗練された回避技術を使用し、侵害されたシステム上に常駐します。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Trojan-Downloader.Windows.Ares Loader; Trojan-Downloader.Wins.Ares Loader)]に対する防御機能を備えています。
-
Micorosoftは、イランのAPT33が少なくとも2024年7月から使用している新しいマルウェア「Tickler」について報告をしました。多段階のC/C++バックドアであるTicklerは、追加のペイロードを配信し、米国とUAEの政府機関に加え、航空、石油、ガスセクターを標的にしています。
-
研究者は、情報収集を目的とした「Voldemort」と名付けられたカスタムマルウェアを使用したスパイキャンペーンを発見しました。このキャンペーンでは、世界の税務当局に巧妙になりすまし、Googleシートや保存された検索ファイルを悪意のある操作に使用するなど、斬新なコマンド・アンド・コントロールの手口で世界中のさまざまな業界を標的としていました。
-
研究者は、中国のDingTalkとWeChatのユーザに属する機密データを収集するHZ RatバックドアのmacOS亜種を特定しました。このマルウェアはWindows版の機能を複製しており、ペイロードの配信にシェルスクリプトを利用し、シェルコマンドの実行やファイルの書き込みなどのコマンドをサポートしています。
