| 事件発生日 | 2022年8月 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 情報窃取マルウェア「Typhon」が新バージョン「Typhon Reborn V2」にアップグレードしたことが、開発者自身がダークウェブで発表した。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 情報窃取マルウェアによる攻撃 |
| マルウェア | Typhon、Typhon Reborn V2 |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Typhon info-stealer |
| 脆弱性サマリ | Typhon info-stealerの開発者は、Typhon Reborn V2と銘打った新しいバージョンをリリースした。新バージョンは、CPUID、アプリケーション、プロセス、デバッガ/エミュレーションチェック、ジオロケーションなどのより広範な評価を行い、研究者のコンピュータ上の模擬ホストではなく、被害者の環境で動作していることを確認するためのプロセスを実装しました。また、データ収集機能の拡大やファイル「グラバー」機能の追加を行いました。 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | なし |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | Nexxスマートデバイスのユーザー(4万台以上) |
| 被害サマリ | ハッカーがNexxガレージドアをリモートで開けることができる脆弱性が発見され、マルウェアを使って家のアラームやスマートプラグを無効化できると判明。サービスに関連付けられた少なくとも2万のアカウントに約4万台のデバイスがあると見積もられている。 |
| 被害額 | 不明(予想:被害額は存在しないが、事業者によって修復費用が発生する可能性がある) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Nexx Cloudが新しいデバイスに対して汎用パスワードをセットすることに起因する不適切なアクセス制御や認証コントロールの利用などの、脆弱性を利用して攻撃する方法 |
| マルウェア | 不明 |
| 脆弱性 | ハードコードされた汎用資格情報、有効期限のないオープンAPI、MQTTを介したAPIリクエストの不適切なアクセス制御、デバイスの過去の履歴や情報を取得したり変更したりできる不適切なアクセス制御、承認ヘッダーのトークンとデバイスIDを相関させる不適切な入力検証など |
| 事件発生日 | 2023年4月5日 |
|---|---|
| 被害者名 | ポルトガル人の暗号通貨ユーザー |
| 被害サマリ | SEOポイズニング技術を使用して、"WhatsApp web"を検索するユーザーを誘惑し、マルウェアがホストされている不正ドメインに誘導した。ClipperマルウェアであるCryptoClippyが使われ、被害者のクリップボードから暗号通貨アドレスを監視し、それを脅威グループが管理するウォレットアドレスに置き換え、被害者がトランザクションを行う際には、脅威グループに直接暗号通貨が送られていた。 |
| 被害額 | 約983ドル |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | SEOポイズニング攻撃 |
| マルウェア | CryptoClippy(クリッパーマルウェア) |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | バイオメトリック認証による攻撃は困難だが、完全には安全ではなく、他の認証方法と組み合わせることが望ましい。 |
| 被害額 | 不明(予想:被害額はない) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | バイオメトリック認証を欺く攻撃は可能だが、そのためには高度なテクニックが必要。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | バイオメトリック認証システム |
| 脆弱性サマリ | バイオメトリック認証では完璧ではなく、攻撃者がバイオメトリック認証を迂回する方法があるという指摘がある。 |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2023年4月5日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 未知の攻撃者によって、悪意のある自己解凍アーカイブ(SFX)ファイルが使用され、常駐型バックドアアクセスを試みられた。 |
| 被害額 | 不明(予想:数十万ドル以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 自己解凍アーカイブ(SFX)ファイルを使用したバックドア攻撃。悪意ある機能は非表示で、脆弱性を利用してパスワードを入手することで、バックドアへアクセス。 |
| マルウェア | WinRAR |
| 脆弱性 | Windowsレジストリにデバッガプログラムを設定し、WindowsのアクセシビリティアプリケーションであるUtility Manager (utilman.exe)を介してパスワードで保護されたSFXファイルを実行することで実行された。 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 韓国および米国の政府関係者、軍人、シンクタンク、政策立案者、研究者 |
| 被害サマリ | 北朝鮮政府支援の脅威アクターによる攻撃。被害者が北朝鮮政策に関する専門知識を有する者であり、偽ログインページを利用したクレデンシャルの収集などの攻撃手法が使用されていた。また、Googleアカウントのセキュリティアラートを装い、BabySharkのようなマルウェアを含むPayloadをGoogle Driveにホストしている。更に、Google Chromeの偽の拡張機能を使用して機密データを盗む技術も使用されている。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 北朝鮮政府支援の脅威アクター |
|---|---|
| 攻撃手法サマリ | 偽ログインページの使用、Googleアカウントのセキュリティアラートを装い、Google Driveにマルウェア付きPayloadをホスト、偽のChrome拡張機能を使用して機密データを盗む技術の使用 |
| マルウェア | BabySharkなど |
| 脆弱性 | 不明 |
| 事件発生日 | 不明(Threat actor behind Typhon Reborn V2が1月31日にXSSのロシア語ダークウェブフォーラムに投稿) |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Typhon Reborn V2は、ハイジャックされたクリップボードのコンテンツ、スクリーンショットのキャプチャ、キーストロークのロギング、暗号ウォレット、メッセージング、FTP、VPN、ブラウザ、ゲームアプリのデータの盗難など多様な機能を持つ情報盗難マルウェアであり、Telegram APIを使用して盗難データを攻撃者に送信することができる。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | Typhon Reborn V2の開発者は不明。 |
|---|---|
| 攻撃手法サマリ | Typhon Reborn V2は、分析を回避し、検出を減らすための改良された能力を備えており、フック、無数のポインタ、「適当な」エンコードなどの多様なテクニックを使用している。 |
| マルウェア | Typhon Reborn V2は、XMRig仮想通貨マイナーを含む情報盗難マルウェアである。また、Pythonを使ったCreal Stealerという別の情報盗難マルウェアも存在している。 |
| 脆弱性 | 攻撃で利用された脆弱性は不明。 |