| CVE | なし |
|---|---|
| 影響を受ける製品 | Ubiquiti Edge OS routers |
| 脆弱性サマリ | Russia's Main Intelligence Directorate of the General Staff (GRU)によって使用されるSOHOルーターのMoobotマルウェアに感染したbotnet。 |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | 有 |
| PoC公開 | 無 |
| 事件発生日 | 2024年2月15日 |
|---|---|
| 被害者名 | アメリカおよびその同盟国の政府機関、軍事機関、セキュリティおよび企業組織 |
| 被害サマリ | ロシアの主要情報総局(GRU)の軍事部門であるGRU Military Unit 26165(別名:APT28、Fancy Bear、Sednit)が、小規模オフィス/ホームオフィス(SOHO)ルーターを使用して、アメリカおよびその同盟国を標的としたスピアフィッシングおよび認証情報窃取攻撃を行っていました。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | ロシアの主要情報総局(GRU) ミリタリーユニット26165(別名:APT28、Fancy Bear、Sednit) |
|---|---|
| 攻撃手法サマリ | スピアフィッシングおよび認証情報窃取攻撃 |
| マルウェア | Moobot |
| 脆弱性 | 不明 |
| 事件発生日 | 2024年2月15日 |
|---|---|
| 被害者名 | OpenAI |
| 被害サマリ | OpenAIの人工知能チャットボット、ChatGPTを悪用していた国家支援の脅威集団からのアカウントを削除。脅威集団は、ロシア、北朝鮮、中国、イランの攻撃者で、ChatGPTを悪用し、様々な悪意ある目的での活動に利用していた。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | Forest Blizzard (ロシア)、Emerald Sleet (北朝鮮)、Crimson Sandstorm (イラン)、Charcoal Typhoon、Salmon Typhoon (中国) |
|---|---|
| 攻撃手法サマリ | ChatGPTを悪用して、軍事作戦に関連する衛星やレーダーテクノロジーの調査、北朝鮮に関する研究とスピアフィッシングのコンテンツ生成、ソーシャルエンジニアリングのサポートや回避手法の開発、ツーリング開発やサイバーセキュリティツールの理解、情報収集のための広範な問い合わせなどに使用していた。 |
| マルウェア | 報告には明示されていない |
| 脆弱性 | 報告には明示されていない |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Ivanti Connect SecureおよびPolicy Secure |
| 脆弱性サマリ | Ivanti Connect SecureおよびPolicy Secureの数千のエンドポイントが、認証バイパス、サーバーサイドリクエストフォージェリ、任意のコマンド実行、およびコマンドインジェクションの問題により脆弱性を抱えています。 |
| 重大度 | 高〜深刻 |
| RCE | 不明 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2023年12月18日から2024年1月27日まで |
|---|---|
| 被害者名 | ポーランドの非政府組織 |
| 被害サマリ | ロシアのTurlaという脅威行為者によるキャンペーンで、小規模なバックドアであるTinyTurla-NGが使用された。WordPressを利用したウェブサイトが感染のコマンド・アンド・コントロール(C2)エンドポイントとして悪用され、PowerShellやコマンドプロンプトを通じてコマンドを実行し、ファイルのダウンロード・アップロードも行った。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | ロシアの国家に関連した脅威行為者・Turla(別名:Iron Hunter、Pensive Ursa、Secret Blizzard、Snake、Uroburos、Venomous Bear) |
|---|---|
| 攻撃手法サマリ | 小規模なバックドアであるTinyTurla-NGを使用して、感染したシステム上で不正なアクセスを試みる。コマンド・アンド・コントロール(C2)エンドポイントとしてWordPressを利用し、PowerShellやコマンドプロンプトを通じてコマンドの実行とファイルのダウンロード・アップロードを行う。 |
| マルウェア | TinyTurla-NG |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | なし |
| 脆弱性サマリ | Automated vulnerability scanners have limitations in detecting logic flaws, incomplete coverage, and advanced attack techniques. |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| CVE | なし |
|---|---|
| 影響を受ける製品 | 不明 |
| 脆弱性サマリ | Turla hackersによる新しいバックドアTinyTurla-NG |
| 重大度 | 不明 |
| RCE | 不明 |
| 攻撃観測 | 不明 |
| PoC公開 | なし |
| 事件発生日 | 2024年2月15日 |
|---|---|
| 被害者名 | ポーランドの非政府組織 (NGO) |
| 被害サマリ | ロシアのハッカーグループTurlaが新しいマルウェアTinyTurla-NGを使用して、ターゲットのネットワークにアクセスを維持し、機密データを盗み出しました。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | Turlaハッカーグループ(ロシアの連邦保安庁と関連) |
|---|---|
| 攻撃手法サマリ | ウェブサイトを介してのコマンド&コントロール (C2) と悪意のあるPowerShellスクリプトの使用 |
| マルウェア | TinyTurla-NG |
| 脆弱性 | WordPressの古いバージョンの脆弱性を利用 |
| 事件発生日 | 2024年2月15日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Ivanti Pulse Secureのファームウェアには、多数の脆弱性が存在しており、セキュリティの課題が再び浮き彫りになった。Ivanti Connect Secure、Policy Secure、ZTAゲートウェイには、様々なマルウェア(ウェブシェル、スティーラ、バックドアなど)を配信するために、脆弱性が悪用されている。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 不明 |
| マルウェア | 様々なマルウェアを利用 |
| 脆弱性 | CVE-2023-46805、CVE-2024-21887、CVE-2024-21893、CVE-2024-22024など |
| CVE | CVE-2024-21887, CVE-2024-21893, CVE-2024-22024 |
|---|---|
| 影響を受ける製品 | Ivanti Connect Secure, Policy Secure, ZTA gateways |
| 脆弱性サマリ | Ivanti Pulse Secureのファームウェアには多くの脆弱性が存在し、11年前のバージョンのLinuxおよび古いライブラリが使用されている。 |
| 重大度 | 不明 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | 有(CVE-2024-22024に関して) |
| 事件発生日 | 2024年2月15日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 新しいQbotマルウェアのバリアントが、偽のAdobeインストーラーポップアップを使用してユーザーを騙し、マルウェアを展開することが確認された。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 新しいQbotバリアントは、偽のAdobeインストーラーポップアップを使用し、ユーザーに虚偽のインストールプロンプトを表示させることで、マルウェアを展開している。 |
| マルウェア | Qbot |
| 脆弱性 | 不明 |