| 事件発生日 | 2023年5月21日 |
|---|---|
| 被害者名 | Augusta市 |
| 被害サマリ | BlackByteランサムウェアによるサイバー攻撃により、Augusta市のコンピュータシステムがシャットダウン。攻撃者は10GBのデータを流出させ、個人情報や契約、予算割当などの機密情報が含まれていた。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | BlackByteランサムウェアグループ |
|---|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
| マルウェア | BlackByteランサムウェア |
| 脆弱性 | 不明 |
| 事件発生日 | 2021年12月(公開時期) |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | COSMICENERGYと名付けられたマルウェアが、EU、中東、アジアで電力送電と配電の操作によく利用されるIEC 60870-5-104(IEC-104)と呼ばれるデバイスを備えたシステムを穿ち、故障を引き起こすよう設計されたものであることが判明した。公開当時、「野生」の環境で使用された証拠はなかった。 |
| 被害額 | 不明(予想:莫大な損失を引き起こす可能性がある) |
| 攻撃者名 | 不明(ロシア関与説あり) |
|---|---|
| 攻撃手法サマリ | マルウェアによるシステムへの侵入と、IEC-104と呼ばれるデバイスを備えたシステムへのアクセス、そして「PIEHOP」と「LIGHTWORK」の2つの実行ファイルの送信によってRTUsへの遠隔操作を行う。 |
| マルウェア | COSMICENERGY |
| 脆弱性 | IEC 60870-5-104 (IEC-104)や、Microsoft SQL Serverの脆弱性を利用した攻撃が行われる可能性がある。 |
| 事件発生日 | 2023年5月26日 |
|---|---|
| 被害者名 | Barracuda |
| 被害サマリ | BarracudaのEmail Security Gateway(ESG)アプライアンスが、リモートコードインジェクション脆弱性(CVE-2023-2868)を悪用された被害が発生した。攻撃者はメールの添付ファイルに.tar形式を使用し、不完全な入力検証によってリモートからシステムコマンドを実行することができた。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | リモートコードインジェクションの脆弱性を悪用 |
| マルウェア | 不明 |
| 脆弱性 | CVE-2023-2868 |
| CVE | CVE-2023-2868 |
|---|---|
| 影響を受ける製品 | BarracudaのEmail Security Gateway appliances:バージョン5.1.3.001から9.2.0.006 |
| 脆弱性サマリ | 特定の.tape archivesファイルに対して、攻撃者は特定の書式でファイル名をフォーマットし、Perlのqxオペレーターを介してシステムコマンドを実行することができる |
| 重大度 | 不明 |
| RCE | 有 |
| 攻撃観測 | あり |
| PoC公開 | なし |
| 事件発生日 | 2023年5月25日 |
|---|---|
| 被害者名 | 報道されていない |
| 被害サマリ | スパイウェア「Predator」を介して、ジャーナリスト、欧州高官、Meta幹部らに対する監視活動に利用された。このスパイウェアは、通話録音、メッセージアプリからの情報の取得、アプリの隠蔽、インフィルトリートしたAndroid端末でのアプリ実行の防止など、様々なスパイ行為を行うことが可能。 |
| 被害額 | 不明 |
| 攻撃者名 | イスラエル企業Intellexaが開発および販売 |
|---|---|
| 攻撃手法サマリ | GoogleのThreat Analysis Groupによって2022年5月に公開された5つのAndroidゼロデイ脆弱性を悪用することで、Predatorスパイウェアを介してステルス的な攻撃を行う。 |
| マルウェア | Predatorスパイウェア |
| 脆弱性 | Googleが2022年5月に公開した、Androidの5つの未解決脆弱性 |
| 事件発生日 | 2023年5月25日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | RPMSGファイルを使用したフィッシング攻撃により、Microsoft 365の認証情報が盗まれた |
| 被害額 | 不明(予想:数万ドルから数十万ドル) |
| 攻撃者名 | 不明(特徴:RPMSGファイルを使用した高度な手法で、ターゲットを調べていると見られる) |
|---|---|
| 攻撃手法サマリ | RPMSGファイルを使用したフィッシング攻撃 |
| マルウェア | なし |
| 脆弱性 | なし |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | D-Link |
| 被害サマリ | D-View 8ネットワーク管理スイートには2つの致命的な欠陥があり、リモート攻撃者が認証をバイパスし、任意のコードを実行できます。これにより、攻撃者はシステムの完全な乗っ取りを行って情報を盗み出すことができます。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明(情報なし) |
|---|---|
| 攻撃手法サマリ | 認証をバイパスすると、任意のコードを実行できます。これにより、攻撃者はシステムの完全な乗っ取りを行って情報を盗み出すことができます。 |
| マルウェア | 特定されていない |
| 脆弱性 | D-View 8のバージョン2.0.1.27以前に影響を受けます。CVE-2023-32165とCVE-2023-32169が存在し、それぞれリモートコード実行と認証バイパスの問題があります。 |
| CVE | CVE-2023-32165、CVE-2023-32169 |
|---|---|
| 影響を受ける製品 | D-View 8 ソフトウェア |
| 脆弱性サマリ | リモートの攻撃者が認証をバイパスし、任意のコードを実行する危険がある(RCE)。深刻なセキュリティ脅威。 |
| 重大度 | 高(CVSSスコア: 9.8) |
| RCE | 有 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2021年12月 |
|---|---|
| 被害者名 | 欧州、中東、アジアの電力送電と流通操作に関する機器メーカー |
| 被害サマリ | ロシアのサイバーセキュリティ企業であるRostelecom-Solarと関連のあるマルウェア「CosmicEnergy」によって、IEC-104に準拠するリモート端末装置が標的とされ、欧州、中東、アジアにある電力送電と流通に関する機器メーカーが攻撃された。 |
| 被害額 | 不明(予想:数百万ドル~数千万ドル程度) |
| 攻撃者名 | ロシアのサイバーセキュリティ企業Rostelecom-Solar、またはその関連企業 |
|---|---|
| 攻撃手法サマリ | マルウェア「CosmicEnergy」による攻撃。被害者ネットワークに侵入し、Piehop disruptionツールを使用して、MSSQLサーバーを侵害、IEC-104に準拠するリモート端末装置を制御。マルウェアはPythonベースであり、OTプロトコルの実装にオープンソースライブラリを使用し、過去に攻撃で使用された別のOTマルウェアであるIndustroyerやIndustroyer.V2、IronGate、Triton、Incontrollerなどと類似している。マルウェアの実際の起源は不明。 |
| マルウェア | CosmicEnergy |
| 脆弱性 | 不明 |