| 事件発生日 | 2023年4月 |
|---|---|
| 被害者名 | 企業のネットワーク |
| 被害サマリ | 新たなマルウェアツールキット「Decoy Dog」が発見され、その被害は主に企業のネットワークに及んでいる。ツールキットは逃避を目的としており、戦略的ドメインエイジングやDNSクエリドリブリングといった技術を使用して検知を回避している。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明。関連する過去の攻撃では、中国の国家主導のグループによる攻撃が確認されていたが、今回の攻撃については、そのような報告はない。 |
|---|---|
| 攻撃手法サマリ | DNSトンネリングという手法を用い、クエリとレスポンスをC2として悪意のコードを送信する方法が用いられた。また、攻撃で利用されるDNSビーコン行動は、定期的に行われるまれなDNSリクエストのパターンに従い、侵入を検知されにくくしている。 |
| マルウェア | Pupy RATと呼ばれるオープンソースのトロイの木馬がツールキットの主要な構成要素であり、DNSトンネリングを使用して送信される。ツールキットがその他のマルウェアを利用しているかは不明。 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年3月26日 |
|---|---|
| 被害者名 | Western Digital |
| 被害サマリ | Western Digitalはサイバー攻撃を受け、10TBのデータが盗まれた。被害者は2週間にわたってMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerおよびそれらに関連するモバイル、デスクトップ、Webアプリを含むクラウドサービスを停止した。また、攻撃者は、会社の署名鍵で署名されたファイル、リストに載っていない法人用電話番号、他の内部データのスクリーンショットなど、盗まれたデータのサンプルを共有した。攻撃者は、ランサムウェアではなく、ALPHVランサムウェア攻撃グループとは関係がないと述べた後、サイト上に急かす警告を掲載し、もし身代金が支払われなかった場合、Western Digitalのデータを流出させることを示唆した。 |
| 被害額 | 不明(予想:被害総額1億5000万ドル) |
| 攻撃者名 | ALPHVランサムウェア攻撃グループ(別名BlackCat) |
|---|---|
| 攻撃手法サマリ | サイバー攻撃による不正アクセスとデータ盗難 |
| マルウェア | ALPHVランサムウェア(攻撃とは関係ないとされる) |
| 脆弱性 | 不明 |
| CVE | [CVE番号|なし] |
|---|---|
| 影響を受ける製品 | なし |
| 脆弱性サマリ | 実時間で横方向運動に対する保護が不可欠であるが、現在のセキュリティスタックにはその機能はなく、とりわけ多要素認証(MFA)とサービスアカウント保護が欠けている。Silverfortのプラットフォームが脅威アクターに立ち向かい、横方向運動保護を実現する。 |
| 重大度 | なし |
| RCE | 無 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2023年5月1日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 攻撃者は500,000のデバイスを感染させ、情報窃取マルウェア(S1deload Stealer、SYS01stealer)のバリアントを配布しました。攻撃は、ファイル共有サイトのように見えるプロモーションされたソーシャルメディア投稿で行われました。投稿には、アダルト向け写真アルバムの無料ダウンロードを提供すると主張する広告が含まれていましたが、ZIPファイル内には、実際には実行可能ファイルが含まれていました。この実行可能ファイルをクリックすると、感染チェーンがアクティベートされ、セッションCookie、アカウントデータ、その他の情報を盗むスティーラーマルウェアが展開されます。この攻撃チェーンは、盗まれた情報を使用してさらに多くのスポンサー投稿を推進することで、より大規模にスケーリングされます。 |
| 被害額 | 不明 |
| 攻撃者名 | ベトナム人の脅威アクター |
|---|---|
| 攻撃手法サマリ | 攻撃者は、広告を支払って「増幅」するために、サービスのプロモーションされたソーシャルメディア投稿(malverposting)を使用しました。攻撃は、偽の写真家アカウントとしてFacebookに新しいビジネスプロファイルページを提供することによって、Facebookのレーダーをかわしました。 |
| マルウェア | S1deload Stealer、SYS01stealer |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月1日 |
|---|---|
| 被害者名 | ウクライナ政府機関 |
| 被害サマリ | ロシアのAPT28が、偽の "Windows Update" の件名をつけたフィッシングメールを使用して、ウクライナ政府機関を狙ったサイバー攻撃を実行した。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | ロシアのAPT28(Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit、Sofacy とも呼ばれる) |
|---|---|
| 攻撃手法サマリ | 偽の "Windows Update" の件名を使ったフィッシングメールを使用し、PowerShellスクリプトを利用してシステム情報を収集して、Mocky APIの指定URLに情報を送信する攻撃。 |
| マルウェア | 特定されていない |
| 脆弱性 | 特定されていない |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | ウクライナ政府機関など |
| 被害サマリ | ロシアのAPT28(通称Fancy Bear)の攻撃により偽装したWindowsアップデートガイドを送り、電子メールに添付されたPowerShellスクリプトを実行させ、情報収集を実施 |
| 被害額 | 不明(予想:数億円以上) |
| 攻撃者名 | ロシア政府が支援するAPT28 |
|---|---|
| 攻撃手法サマリ | 偽装したWindowsアップデートガイドの送信と、PowerShellスクリプトを含む電子メールの送信による攻撃 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年3月28日以降(CVE-2023-27532の脆弱性が悪用されたため) |
|---|---|
| 被害者名 | Veeam backup servers |
| 被害サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)が悪用され、外部からアクセス可能な状態にあった7,500程のサーバーに侵入された。侵入者によって、システム情報や認証情報が抜き取られた。最終的な目的は不明。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)を悪用した攻撃を行ったとされている。攻撃者はFIN7と関連性があるとされている。 |
| マルウェア | DiceLoader/Lizarバックドア |
| 脆弱性 | CVE-2023-27532 |
| CVE | CVE-2023-1968, CVE-2023-1966 |
|---|---|
| 影響を受ける製品 | Illumina MiSeqDx、NextSeq 550Dx、iScan、iSeq 100、MiniSeq、MiSeq、NextSeq 500、NextSeq 550、NextSeq 1000/2000、NovaSeq 6000 |
| 脆弱性サマリ | 1. UCSソフトウェアの10.0の深刻度を持つ脆弱性により、遠隔攻撃者が公開されたIPアドレスにバインドすることが可能になり、ネットワークトラフィックを傍受し、任意のコマンドをリモートで転送することができる。2. 特権の誤構成に関連した脆弱性により、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能になる。 |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 未発生 |
| PoC公開 | 無 |
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、IlluminaメディカルデバイスのUniversal Copy Service(UCS)ソフトウェアに影響を与える深刻な脆弱性に関する医療アドバイザリー警告を発行した。次の製品に影響を与える脆弱性があり、遠隔攻撃者は公開されたIPアドレスにバインドすることができ、ネットワークトラフィックを傍受し、リモートで任意のコマンドを転送できる。また、特権の誤構成に関連した脆弱性があり、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能である。これらの脆弱性の悪用は、オペレーティングシステムレベルで実行され、在庫の設定、構成、ソフトウェア、またはデータに影響を与えることができる。FDAによると、認可されていないユーザーはこれらの短所を兵器として利用することができ、臨床診断用に意図された器具のゲノムデータ結果に影響を与えることができる、なお、これらの脆弱性の悪用例は未知である。利用者は、潜在的な脅威を軽減するために、2023年4月5日にリリースされた修正を適用することが推奨されている。