チェック・ポイント・リサーチ・チームによる2024年3月4日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• UnitedHealthグループは、子会社がランサムウェア集団ALPHVの攻撃を受けたことを確認しました。この攻撃では6テラバイトのデータが盗まれ、薬局と保険会社の重要な仲介者であるChange Healthcareは2月21日にシステムの切断を余儀なくされました。この混乱は世界中の米軍の診療所や病院に影響を及ぼし、手作業による処方処理が必要となりました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.BlackCat.ta.*;Ransomware.Win.BlackCat]に対する防御機能を備えています。

• AIを活用した写真・動画編集サービス「Cutout.Pro」がデータ流出を起こし、2000万人のユーザーの個人情報が流出しました。サイバー犯罪者がハッキングフォーラムで公表したこの情報流出には、メールアドレス、ハッシュ化されたパスワード、IPアドレスなどが含まれていました。流出したにもかかわらず、Cutout.Proは公式声明を発表してませんが、流出したデータは独立した情報源によって検証されています。

• Rhysidaランサムウェア集団がシカゴのLurie 小児病院を標的にし、600GBの機密データを盗んだと主張し、60BTC（370万ドル）の身代金を要求しました。この攻撃により病院の運営が混乱し、病院をオフラインとなり、患者の治療に影響を与えました。システム復旧の努力にもかかわらず、重大な混乱が続いており、サービス提供やデータへのアクセスに影響が出ています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Rhysida;Ransomware.Wins.Rhysida]に対する防御機能を備えています。

• 米国の法律事務所Houser LLPは、32万5千人以上の個人情報が流出したデータ侵害を報告しました。2023年5月に発見されたこの情報漏洩には、特定のファイルの暗号化が含まれていました。漏洩したデータには、社会保障番号、金融口座情報、医療データが含まれます。

• ウォルマートのクラウドソーシング・デリバリー・サービス「Spark」がサイバー攻撃を受け、ドライバーの機密データが流出しました。この侵害は、おそらくクレデンシャル・スタッフィングかフィッシングによるもので、200以上のSparkドライバーのアカウントに影響を与えました。攻撃は2023年12月初旬から2024年2月初旬の間に発生し、社会保障番号、運転免許証番号、連絡先が漏洩しました。ウォルマートは影響を受けた個人に通知し、パスワードをリセットし、機密データにアクセスするためのセキュリティ機構を追加しました。

• サイバー研究者は、SPIKEDWINEと名付けられた巧妙なサイバースパイキャンペーンを確認しました。この作戦は、インド大使からの招待状を装った悪意のあるPDFを通じて、ヨーロッパの外交官を標的としています。このキャンペーンは、これまで文書化されていなかったバックドア「WINELOADER」を採用し、高度な戦術・技術・手順（TTP）を利用し、地政学的な関係を悪用しています。SPIKEDWINEは、国家的行為者によって組織されたと考えられています。

脆弱性及びパッチについて

• 米CISA とその国際的なパートナーは、サイバー脅威者が Ivanti Connect Secure および Ivanti Policy Secure ゲートウェイの以前に特定された脆弱性を悪用しているという警告を発表しました。これらの脆弱性（具体的には、CVE-2023-46805、CVE-2024-21887、CVE-2024-21893）は、サポートされているすべてのバージョンに影響し、脅威アクターが認証を回避し、悪意のあるリクエストを作成し、昇格した権限で任意のコマンドを実行する可能性があります。

Check PointのIPSブレードは、この脅威[Ivanti Authentication Bypass (CVE-2023-46805), Ivanti Command Injection (CVE-2024-21887), Ivanti Server-Side Request Forgery (CVE-2024-21893)]に対する防御機能を備えています。

• サイバー研究者らは、Black BastaおよびBl00dy Ransomwareギャングを含む脅威アクターグループによって、CVE-2024-1708およびCVE-2024-1709として追跡されているConnectWise ScreenConnectソフトウェアの重大な脆弱性の悪用を発見しました。これらの脆弱性により、影響を受けたシステムへの不正アクセスや制御が可能になるため、緊急のセキュリティアップデートが必要です。

Check PointのIPSブレードは、この脅威[ConnectWise ScreenConnect Remote Code Execution (CVE-2024-1708), ConnectWise ScreenConnect Authentication Bypass (CVE-2024-1709)に対する防御機能を備えています。

• 300万台のAnycubic製3Dプリンタが未知の行為者によってハッキングされました。プリンタは警告文を作成し、AnycubicのMQTTサービスに不特定の重大なリモートアクセスの脆弱性があることを顧客に知らせ、攻撃者が顧客の3Dプリンタに「接続し、制御する」ことができるようになると言われています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチによると、Web アプリケーション・プログラミング・インタフェース（API）を狙った攻撃が増加しており、2023年1月と比較すると、毎週世界中の4.6組織に1組織が影響を受けているといいます。Web API は、ソフトウェア・アプリケーション間の重要な通信を容易にする一方で、認証の回避、不正なデータ・アクセス、その他の悪意のある行為を引き起こす可能性のある、広範な攻撃対象となります。

Check PointのIPSブレードは、この脅威に対する防御機能を備えています。

• サイバー研究者らは、中東の航空宇宙、航空、および防衛産業を標的とした、イランの脅威アクターUNC1549と疑われるによる継続的なスパイ活動を確認しました。このキャンペーンでは、高度なソーシャルエンジニアリングと、MINIBIKEおよびMINIBUSバックドアを含むマルウェアが使用されており、Microsoft Azureクラウドインフラストラクチャをコマンド＆コントロールに活用しています。

• WordPress ウェブサイトを標的とし、管理者アカウントを侵害する SocGholish 感染が急増していることをサイバー研究者が観測しています。SocGholish 感染は、正規のブラウザアップデートを装い、リモートアクセス型トロイの木馬を配布することで知られています。このマルウェアは長年にわたるキャンペーンの一環であり、その活動は顕著に増加しており、感染件数は前年度の2倍に増加しています。