| 事件発生日 | 2023年3月12日 |
|---|---|
| 被害者名 | PharMerica |
| 被害サマリ | 医療データ約5,815,591件が流出 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | Money Message |
|---|---|
| 攻撃手法サマリ | ランサムウェアによる攻撃 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 不明(2018年から実施されていた可能性あり) |
|---|---|
| 被害者名 | 政府、航空、通信機関(South and Southeast Asia 地域) |
| 被害サマリ | Lancefly は、APT(高度持続型攻撃)グループであり、高度なサイバー諜報任務を中心に活動しており、政府、航空、通信機関をターゲットとして標的型攻撃を実行していた。Merdoor マルウェアを使用した攻撃により、キーロギングや通信監視などを行っていた。また、ZXShell rootkit による攻撃も実施された。 |
| 被害額 | 不明 |
| 攻撃者名 | Lancefly |
|---|---|
| 攻撃手法サマリ | 標的型攻撃、キーロガーの使用、通信監視、ZXShell rootkit による攻撃などを行っていた。 |
| マルウェア | Merdoor マルウェアなどを使用していた。 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月12日 |
|---|---|
| 被害者名 | airBalticの一部の旅客 |
| 被害サマリ | 内部技術問題により、airBalticの一部の旅客の予約情報が他の旅客に漏洩した。被害者には、名前が異なる他の顧客宛に誤ったメールが送信された。漏えいは小規模なものであり、金融や支払い関連の情報が漏れたわけではない。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 技術問題に起因する事故であり、攻撃者による攻撃ではない。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年4月22日(攻撃の脅迫ポータルが立ち上がった日) |
|---|---|
| 被害者名 | 製薬、保険、資産管理、および製造企業 |
| 被害サマリ | RA Groupと名乗る新しいランサムウェアグループによって、被害者の詳細と盗まれたデータがダークウェブ上のデータリークサイトに公開され、典型的な「ダブル・エクスターション」戦術が使用されました。 |
| 被害額 | 不明(予想:1億ドル) |
| 攻撃者名 | RA Groupと呼ばれる新しいランサムウェアグループ(国籍・特徴不明) |
|---|---|
| 攻撃手法サマリ | RA Groupは、Babukランサムウェアの流出したソースコードをベースにした暗号化ソフトウェアを使用しています。攻撃対象の組織ごとにカスタムの身代金要求書を作成しており、また、被害者名に基づいてランサムウェアを名前付けています。 |
| マルウェア | 不明(暗号化ソフトウェアはBabukランサムウェアの流出したソースコードをベースにしている) |
| 脆弱性 | 不明 |
| CVE | CVE-2023-22601, CVE-2023-22600, CVE-2023-22598, CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587, CVE-2023-2588 |
|---|---|
| 影響を受ける製品 | Sierra Wireless, Teltonika Networks, InHand Networksが提供するクラウド管理ソリューション |
| 脆弱性サマリ | 製品のクラウド管理プラットフォームに、11の脆弱性が見つかり、リモートコード実行と何十万台ものデバイスとOTネットワークの完全な制御が可能になる。 |
| 重大度 | 不明 |
| RCE | 有 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2023年4月22日以降 |
|---|---|
| 被害者名 | アメリカと韓国の複数の企業(製造業、財産管理、保険、医薬品) |
| 被害サマリ | 新興ランサムウェアグループのRA Groupによる攻撃で、データを暗号化して身代金を要求し、3社の企業に加えて1社が被害を受けた |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | RA Group(国籍不明) |
|---|---|
| 攻撃手法サマリ | 暗号化とデータ漏洩の二重脅迫を実施するランサムウェア攻撃 |
| マルウェア | Babukベースの独自のバリアント |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | 高度情報処理技術の企業 |
| 脆弱性サマリ | 高度情報処理技術の企業はSaaSセキュリティに苦戦している |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2022年中旬から2023年第1四半期まで |
|---|---|
| 被害者名 | 南アジアおよび東南アジアに所在する政府、航空、教育、およびテレコムセクター |
| 被害サマリ | 高度にターゲットされたキャンペーンにより、新しいハッキンググループによって攻撃された。Symantecによって、この活動は「Lancefly」と呼ばれる昆虫をテーマにした名前で追跡され、攻撃は「Merdoor」と呼ばれる「強力な」バックドアを使用して行われていた。従って、このキャンペーンの最終目標は、ツールと被害者パターンに基づいて、インテリジェンス収集とされている。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 中国政府と関連するグループに帰結する可能性がある。 |
|---|---|
| 攻撃手法サマリ | フィッシングルア、SSHブルートフォース、またはインターネットで公開されたサーバーの悪用を使用したと疑われている。シンメトリックおよび非対称キーを使用し、Lanceflyの攻撃は、MerdoorおよびZXShellなどの完全機能を備えたマルウェアを使用していた。ZXShellは、2014年10月にCiscoによって初めて記録されたルートキットであり、このルートキットの使用は過去にAPT17(オーロラパンダ)やAPT27(BudwormまたはEmissary Pandaとしても知られる)などの中国人アクターにリンクされていた。ZXShellルートキットのソースコードは公開されているため、複数の異なるグループによって使用される可能性がある。 |
| マルウェア | Merdoor、ZXShellルートキット、PlugX、ShadowPad |
| 脆弱性 | 情報なし |
| 事件発生日 | 2023年4月 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | MichaelKorsという新しいランサムウェアがLinuxおよびVMware ESXiシステムを標的にした。VMware ESXiハイパーバイザーへの攻撃は、ハイパーバイザージャックポットティングとして知られる手法で実行される。これまでに、Royalをはじめとするいくつかのランサムウェアグループがこの手法を採用してきた。また、ContiやREvilなど10のランサムウェアファミリーが2021年9月にBabukの露出ソースコードを利用してVMware ESXiハイパーバイザー向けのロッカーを開発したとの解析結果も出ている。 |
| 被害額 | 不明(予想:ランサムウェアの要求額に応じた個々の被害額が生じたと推定される) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | MichaelKorsというランサムウェアを使用して攻撃する。 |
| マルウェア | MichaelKorsランサムウェア |
| 脆弱性 | VMware ESXiにおいて、セキュリティツールの欠如、ESXiインターフェイスの適切なネットワークセグメンテーションの欠如、ESXiに対する既知の脆弱性(2020年9月以降更新されていない)などが攻撃に利用された。 |
| 事件発生日 | 2023年5月15日 |
|---|---|
| 被害者名 | Microsoft SQL (MS SQL)サーバーの管理不良者たち |
| 被害サマリ | CLR SqlShellマルウェアによる攻撃で、暗号通貨の採掘やランサムウェアの展開が行われた。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | 不明、一部関連が指摘されている攻撃者グループはLemonDuck、MyKings(DarkCloudまたはSmominru)、Vollgar |
|---|---|
| 攻撃手法サマリ | CLR SqlShellマルウェアによる攻撃で、xp_cmdshellコマンドを使用してMS SQLサーバーにマルウェアをインストールする。 |
| マルウェア | CLR SqlShell, Metasploit, MrbMiner, MyKingsとLoveMinerのような暗号通貨マイナー、バックドア、プロキシウェア |
| 脆弱性 | MS SQLサーバーに対する不十分な管理 |