チェック・ポイント・リサーチ・チームによる2024年3月11日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Ivanti製品の脆弱性が最近悪用された結果発生した侵害を受け、2つのシステムをオフラインにしました。影響を受けたシステムには、米国の機密インフラと化学セキュリティ・データを保持しているInfrastructure Protection GatewayとChemical Security Assessment Toolが含まれる可能性があります。

Check PointのIPSブレードは、この脅威[Ivanti Authentication Bypass (CVE-2023-46805), Ivanti Command Injection (CVE-2024-21887), Ivanti Server-Side Request Forgery (CVE-2024-21893)]に対する防御機能を備えています。

• Microsoftは、1月に報告されたロシア系脅威行為アクターMidnight Blizzard（別名Nobelium）による同社システムへの侵入について、その背後にあるさらなる影響を明らかにしました。報道によると、Midnight Blizzardは、Microsoft社の企業メールシステムから流出した情報を利用して、Microsoft社のソースコードリポジトリや内部システムの一部に不正アクセスし、あるいは不正アクセスを試みているといいます。

• Playランサムウェアグループは、ITベンダーXplainへの攻撃で犯行声明を出し、機密データを含む65,000のスイス政府文書を流出させました。スイス当局は、流出した130万ファイルのうち5％が連邦政府機関に関連するもので、主に連邦司法省と警察、さらに連邦国防省、市民保護省、スポーツ省が影響を受けていることを発見しました。流出したファイルには、個人情報、技術的な詳細、パスワードが含まれていました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.PlayB;Ransomware.Wins.Rhysida]に対する防御機能を備えています。

• Rhysidaランサムウェア集団がシカゴのLurie 小児病院を標的にし、600GBの機密データを盗んだと主張し、60BTC（370万ドル）の身代金を要求しました。この攻撃により病院の運営が混乱し、病院をオフラインとなり、患者の治療に影響を与えました。システム復旧の努力にもかかわらず、重大な混乱が続いており、サービス提供やデータへのアクセスに影響が出ています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Rhysida;Ransomware.Wins.PLAY.A]に対する防御機能を備えています。

• Stormousランサムウェア集団がDuvel Moortgat醸造所を攻撃し、88ギガバイトのデータを盗んだ後、ベルギーとアメリカのサーバを停止させて生産を停止させました。同社には身代金の支払い期限として3月25日が与えられています。

Check PointのThreat Emulationは、この脅威に対する防御機能を備えています。

• 金融サービス会社Paysignは、"emo "という名の脅威行為アクターがダークウェブ・フォーラムでデータベースを販売すると主張したことを受けて、報告されたデータ侵害を調査しています。流出したとされるデータベースには、顧客のフルネーム、住所、生年月日、電話番号、口座残高を含む124万2575件の記録が含まれています。

• カナダ金融取引報告分析センター（FINTRAC）は、サイバーインシデントに見舞われ、企業システムの予防的シャットダウンを余儀なくされました。この攻撃によってFINTRACの情報システムや機密システムが危険にさらされることはありませんでしたが、連邦政府のパートナーとの協力により、業務の復旧と防御の強化が図られました。

脆弱性及びパッチについて

• QNAP は、同社の NAS ソフトウェアに重大な脆弱性があり、認証バイパスの欠陥 (CVE-2024-21899) により不正なリモートアクセスが可能であるとして、アラートを発行しました。他の2つの脆弱性(CVE-2024-21900とCVE-2024-21901)は認証されたアクセスを必要とするためリスクは低いですが、CVE-2024-21899は複雑性が低いため、重大なセキュリティ上の懸念があります。影響を受ける製品には、QTS、QuTS heroなどがあり、これらのリスクを軽減するためのアップデートが提供されています。

• JetBrains 社は、すべてのオンプレミス版 TeamCity に存在する 2 つの重大な脆弱性 (CVE-2024-27198 および CVE-2024-27199) に関するアドバイザリを公開しました。これらの欠陥により、HTTP(S) アクセスを持つ認証されていない攻撃者が認証チェックを回避し、TeamCity サーバの管理者権限を取得する可能性があります。

Check PointのIPSブレードは、この脅威[JetBrains TeamCity Authentication Bypass (CVE-2024-27198)]に対する防御機能を備えています。

• サイバー研究者らは、Black BastaおよびBl00dy Ransomwareギャングを含む脅威アクターグループによって、CVE-2024-1708およびCVE-2024-1709として追跡されているConnectWise ScreenConnectソフトウェアの重大な脆弱性の悪用を発見しました。これらの脆弱性により、影響を受けたシステムへの不正アクセスや制御が可能になるため、緊急のセキュリティアップデートが必要です。

Check PointのIPSブレードは、この脅威[ConnectWise ScreenConnect Remote Code Execution (CVE-2024-1708), ConnectWise ScreenConnect Authentication Bypass (CVE-2024-1709)に対する防御機能を備えています。

• VMwareは、VMware ESXi、Workstation、Fusionに存在する、コードの実行やサンドボックスのエスケープを許す重大な脆弱性（CVE-2024-22252～CVE-2024-22255）を修正するセキュリティアップデートをリリースしました。これらの脆弱性は、CVSSスコアが9.3までの深刻度のもので、複数の製品およびバージョンに影響を及ぼしています。

• Cisco 社は、同社の Secure Client ソフトウェアに影響を及ぼす重大なセキュリティ上の欠陥 (CVE-2024-20337) に対処するためのパッチを共有しました。この脆弱性が悪用されると、攻撃者がブラウザ内で任意のスクリプトコードを実行したり、有効な SAML トークンを含むブラウザベースの機密情報にアクセスしたりできる可能性があります。攻撃者はこのトークンを使用して、影響を受けるユーザーの権限でリモートアクセス VPN セッションを確立できる可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、Ivanti Connect Secure VPN、Magento、Qlik Sense などのサーバに存在する1Dayの脆弱性を悪用する、金銭目的の脅威アクター Magnet Goblin を追跡しています。このアクターは、新しい Linux バージョンの NerbianRAT と WARPWIRE JavaScript 認証情報窃取ツールを展開し、エクスプロイトが迅速に導入されることを証明しています。

• APTグループEarth Kapreによる攻撃事例を研究者が分析したところ、脅威アクターは攻撃プロセスの後段でImpacketとWindows Program Compatibility Assistantサービスを使用していました。同グループは、ロシア、ドイツ、ウクライナ、英国、スロベニア、カナダ、オーストラリア、米国の組織を標的としたフィッシングキャンペーンを積極的に実施しています

• サイバー研究者は、保存されたXSSの脆弱性を悪用し、Popup Builder WordPressプラグインを標的とした新しいマルウェアキャンペーンを発見しました。3,300以上のウェブサイトが感染しており、プラグインのカスタムJSまたはCSSセクションに悪意のあるコードが見つかり、不正なリダイレクトやマルウェアの挿入につながっています。