チェック・ポイント・リサーチ・チームによる2025年1月6日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• チェック・ポイントは、米財務省がサイバー攻撃を受け、職員のワークステーションや機密文書が流出した事件について詳しく説明しました。このサイバー攻撃は、中国の国家的脅威に起因するもので、サード・パーティ・プロバイダである BeyondTrust のセキュリティ・キーを使用した不正なリモート・アクセスが原因でした。攻撃者はBeyondTrustのリモート・サポート・ソフトウェアの2つの脆弱性、 CVE-2024-12356（APIアクセスの重大な欠陥）とCVE-2024-12686（トークン管理の脆弱性）を悪用しました。
• 日本最大の携帯電話会社、NTTドコモが分散型サービス妨害（DDoS）攻撃を受け、ニュース、ビデオストリーミング、モバイル決済、ウェブメールなど、複数のサービスが12時間にわたって中断させられました。犯行声明をだしている攻撃者はまだいません。
• 英国の写真会社DEphotoがセキュリティ侵害に遭いました。この攻撃の背後にいる脅威アクターは、同社の顧客50万人以上の個人情報を流出させたと主張しており、その中には、完全な未修正の支払いカード情報を含む1万5000件以上の記録が含まれています。同社は、データが流出したことを顧客に通知し始めています。
• Chromeの拡張機能開発者を標的としたキャンペーンにより、少なくとも35のブラウザ拡張機能が危険にさらされました。脅威アクターは拡張機能の開発者認証情報を取得し、悪意のあるバージョンに置き換えることを目的としています。侵害された拡張機能は、合わせて250万人以上のユーザーが使用されていました。
• ランサムウェア集団「Space Bears」が、フランスの軍や諜報機関の通信を保護するフランスの大手ハイテク企業Atos社へのサイバー攻撃の責任を主張しました。この集団は、同社の内部データベースを侵害し、機密データを漏らすと脅迫したと主張しています。Atos社は、同社が管理するインフラに侵入された事実はなく、機密データの流出もなかったとして、これらの主張を根拠のないものとして否定しました。
• マルセイユやナントを含むフランスの複数の都市のウェブサイトがDDoS攻撃の被害に遭い、広範囲にわたってウェブサイトの停止やサービスの中断が発生しました。この攻撃は23の自治体サイトに影響を与え、数百万人のユーザが一時的にアクセスできなくなりました。この攻撃に関し、親ロシア派のハクティビスト・グループNoName057(16)が犯行声明を出しました。
• イランと関係のあるハクティビスト集団Handalaは、CRMソリューション・プロバイダでありMicrosoft 365 Dynamicsの再販業者でもあるReutOne社を通じてイスラエル企業を標的としたサプライチェーン攻撃の犯行声明を出しました。同グループは、イスラエル、フランス、ウクライナの複数の企業の個人情報を含むデータベースへのアクセスを主張しています。研究者は、この攻撃にはシステムデータを収集し、不正アクセスとデータ流出を可能にする悪意のあるソフトウェア更新が関与していることを明らかにしました。
  
  

脆弱性及びパッチについて

• Windows Lightweight Directory Access Protocol (LDAP)の境界外読み取りの脆弱性CVE-2024-49113を狙った、概念実証のエクスプロイト「LDAPNightmare」が公開されました。このエクスプロイトにより、パッチが適用されていないWindowsサーバ上でLocal Security Authority Subsystem Service（LSASS）をクラッシュさせ、システムの再起動を引き起こす可能性があります。同じエクスプロイトチェーンを変更して、CVSSスコア9.8のCVE-2024-49112に対応するリモートコード実行を実現できます。
• 新たに確認された脆弱性「DoubleClickjacking」は、ダブルクリックのシーケンスを利用してユーザとのやり取りを操作することで、主要なウェブサイトにおける既存のクリックジャッキング対策を回避します。この脆弱性により、攻撃者はダブルクリックのプロセス中にユーザを密かにリダイレクトすることで、UIの操作やアカウントの乗っ取りを行うことが可能となり、事実上すべての主要なウェブアプリケーションに影響を及ぼす可能性があります。
• Progress Software Corporation は、WhatsUp Gold ネットワーク監視プラットフォームの 3 つの脆弱性に対応したアドバイザリを発行しました。このうち2つの脆弱性（CVE-2024-12106およびCVE-2024-12108）は、クリティカルとみなされています。1つ目の脆弱性は、認証されていない攻撃者がLDAP設定を行うことを可能にし、2つ目の脆弱性は、WhatsUp Goldサーバーの完全なリモート乗っ取りを可能にします。

サイバー脅威インテリジェンスレポート

• Gh0st RATと機能を共有する新たなバックドア「PLAYFULGHOST」が、フィッシングメールやSEOポイズニングを介して配布され、LetsVPNのようなトロイの木馬化されたVPNアプリケーションを介してユーザのシステムを侵害します。このマルウェアにより、攻撃者はキー入力、スクリーンショット、音声記録、システム情報などの機密データを収集することが可能になり、不正アクセスやデータ漏洩につながる可能性があります。

訳者注：SEOポイズニングは、脅威アクターが悪意のあるWebサイトの検索順位を高め、消費者にとってより本物に見えるようにするために使用する手法

Check PointのHarmony EndpointとThreat Emulationは、この脅威[RAT.Win.Gh0st; Trojan.Wins.Gh0st.ta.*)]に対する防御機能を備えています。

• 研究者は、イーサリアム開発エコシステムに不可欠な2つのコンポーネントであるNomic FoundationとHardhatプラットフォームを標的とした悪意のあるnpmキャンペーンを発見しました。このキャンペーンには、正規のプラグインになりすましてデータを盗むコードを注入し、秘密鍵やニーモニックなどの機密情報を流出させ、イーサリアムのスマートコントラクトを活用してコマンド・アンド・コントロール・サーバのアドレスを動的に取得する20の悪意のあるパッケージが含まれています。
• 研究者は、Telegramアプリのプレミアムバージョンを装ったFireScamという新しいAndroidマルウェアを特定しました。ロシアのRuStoreアプリマーケットを模倣したフィッシングサイトを通じて配布されたFireScamは、ドロッパーモジュールを使用して悪意のある「Telegram Premium.apk」をインストールします。その後、通知を監視し、クリップボードデータにアクセスし、SMSサービスを傍受するための広範な許可を要求します。
• 研究者は、被害者のコンピュータを不正に遠隔操作することができる高度な C# マルウェア NonEuclid RAT を発見しました。このマルウェアは、アンチウイルスのバイパス、権限の昇格、動的 DLL ローディングなどの高度な回避テクニックを使用します。NonEuclid RAT には、重要なファイルを標的としたランサムウェア暗号化も含まれており、アンダーグラウンドのフォーラムやソーシャルメディアで宣伝されています。