チェック・ポイント・リサーチ・チーム(以降CPRと記載)による2022年5月9日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
- ウクライナIT軍は、ロシア政府が使用する「国家アルコール会計情報システム(EGAIS)」と呼ばれるポータルへのアクセスを制限すためにDDoS攻撃を実行し、ロシアのアルコール流通を妨害しました。
-
親ウクライナの脅威アクターは、侵害されたDocker Engineのハニーポットを使用して、15万回以上ダウンロードされた2つのDockerイメージを実行し、サービス運用妨害(DoS)攻撃を開始しました。この攻撃は、ウクライナ政府が支援するウクライナIT軍のターゲットリストに含まれているロシアとベラルーシのWebサイトを標的としています。
- サイバー研究者は、中国の人民解放軍戦略支援部隊(PLA SSF)と連携した中国系のハッキンググループが、ロシアの複数の政府機関や防衛産業の企業を攻撃していることを発見しました。
- 「UNC3524」としてトラックされる新たなAPTグループは、企業の電子メールアカウントを侵害し、企業の開発、M&A、大規模の企業取引、ITセキュリティに関連するコンテンツを通じて財務情報を取得しています。 UNC3524は、被害者の環境において検知されず、サイバースパイ活動を行う可能性のある、高度な脅威アクターであると思われます。
-
中国国家が支援するAPTアクターWinnti(別名:APT41、BARIUM、Blackfly)は、特許、著作権、商標などの知的財産資産の窃盗活動を行っています。同グループは、2019年よりこれらのサイバースパイ活動を実施しています。
Check PointのThreat Emulationは、この脅威[Backdoor.Win32.Winnti]に対する防御機能を備えています。
Check PointのHarmony EndpointとThreat Emulationは、これらの脅威[RAT.Win.PlugX; Trojan.Win32.PlugX; Backdoor.WIN32.Plugx; RAT.Wins.ShadowPad; Backdoor.Win32.Shadowpad]に対する防御機能を備えています。
脆弱性及びパッチについて
- Googleは、積極的に悪用されているLinuxカーネルの脆弱性CVE-2021-22600を修正するAndroidアップデートをリリースしました。この脆弱性はメモリの破壊、最終的にDoS攻撃や任意のコード実行につながる可能性のあるものです。
- F5 は、同社の BIG-IP ネットワークデバイスおよびモジュールに、ネットワークアクセス権を持つ未認証の攻撃者がリモートコード実行による攻撃を可能とする欠陥について警告を発表しました。CVE-2022-1388としてトラックされ、iControl REST認証をバイパスする非公開のリクエストを許可する可能性があります。
- Ciscoは、Enterprise NFV Infrastructure Softwareに見つかった3つのセキュリティ上の欠陥にパッチを適応しました。CVE-2022-20777, CVE-2022-20779, CVE-2022-20780 としてトラックされ、これらは攻撃者が VM から API コールを送信し、ルートレベルの特権で NFVIS ホスト上で実行し、ホストを完全に侵害することができる脆弱性です。
- IoT製品で一般的な標準Cライブラリのドメインネームシステム(DNS)コンポーネントに、パッチが適用されていない欠陥が公開されました。CVE-2022-30295としてトラックされ、これは攻撃者は対象となるデバイスに対してDNSポイズニング攻撃を実行することを可能にするものです。
サイバー脅威インテリジェンスレポート
Check PointのHarmony EndpointとThreat Emulationは、これらの脅威[(Ransomware.Win32.Conti); (Ransomware.Win.Revil.ja; Ransomware.Win32.REvil.TC; Trojan.Win32.Sodinokibi); (Ransomware.Win.Lockbit Ransomware.Win32.LockBit. lockbit.TC)]に対する防御機能を備えています
Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Win.Lazarus]に対する防御機能を備えています。
