| CVE | CVE-2022-21894, CVE-2023-24932 |
|---|---|
| 影響を受ける製品 | Windows OS |
| 脆弱性サマリ | Windows Secure BootをバイパスするUEFI bootkitであるBlackLotusによる攻撃が可能である。 |
| 重大度 | なし |
| RCE | 無 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | LinuxシステムおよびIoTデバイスの所有者 |
| 被害サマリ | Linuxホストが攻撃され、アクセスが得られた後、マルウェアを用いて不正に暗号通貨をマイニングされた。 |
| 被害額 | 不明(予想:膨大な量に上るため) |
| 攻撃者名 | asterzeuという名前のアクター |
|---|---|
| 攻撃手法サマリ | Linuxホストの攻撃、不正なマイニング活動、IRCボットの利用、およびDiamorphineおよびReptileと呼ばれるルートキットの利用 |
| マルウェア | ZiggyStarTux、Diamorphine、Reptile |
| 脆弱性 | Linuxホストの設定ミス、OpenSSHのパッチ済みバージョンの利用、およびSSHパスワードの乗っ取り |
| 事件発生日 | 2023年6月22日 |
|---|---|
| 被害者名 | Microsoft 365ユーザー |
| 被害サマリ | Microsoft 365のOutlookやTeamsが起動しない、凍結するなどの問題が発生し、ユーザーが業務に支障をきたしている。一部のユーザーはメールが遅れたり、有効なライセンスがないというエラーが表示される。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 不明 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年6月22日 |
|---|---|
| 被害者名 | Microsoft Teams(MSチーム) |
| 被害サマリ | Microsoft Teamsには、外部ソースからのファイルが制限されているため、攻撃者は外部アカウントを利用して簡単にマルウェアを納品することができる。攻撃者は、内部アカウントとして扱われるように内部と外部受信者IDを変更することができるため、既存のセキュリティ対策を回避できる。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明(英国のセキュリティサービス会社JumpsecのRed Teamメンバーによって発見された) |
|---|---|
| 攻撃手法サマリ | Microsoft Teamsの制限を克服することによる、外部アカウントを利用したマルウェア納品攻撃。 |
| マルウェア | 不明 |
| 脆弱性 | Microsoft Teamsの外部アクセス機能 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | BlackLotus UEFI bootkitマルウェアによる攻撃からシステムを保護する方法について、NSAがアドバイスを公開した。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | BlackLotus UEFI bootkitマルウェアを利用した攻撃 |
| マルウェア | BlackLotus UEFI bootkitマルウェア |
| 脆弱性 | Secure Bootバイパスに関する脆弱性 |
| 事件発生日 | 2023年6月22日 |
|---|---|
| 被害者名 | ウクライナ政府機関 |
| 被害サマリ | ロシアのサイバースパイであるAPT28が、ウクライナ政府機関のRoundcubeメールサーバーに侵入し、脆弱性(CVE-2020-35730、CVE-2020-12641、CVE-2021-44026)を悪用してサーバーに不正にアクセスし、メールや重要な情報を盗み出した。 |
| 被害額 | 不明(予想:数十万ドル〜数百万ドル) |
| 攻撃者名 | ロシアのサイバースパイであるAPT28(別名:BlueDelta、Fancy Bear) |
|---|---|
| 攻撃手法サマリ | 脆弱性を悪用した攻撃手法 |
| マルウェア | 特定されていない |
| 脆弱性 | CVE-2020-35730、CVE-2020-12641、CVE-2021-44026など |
| 事件発生日 | 2023年6月22日 |
|---|---|
| 被害者名 | ウクライナ政府機関のRoundcubeメールサーバーを使用している組織、プロセキュター事務所、および中央ウクライナ行政当局 |
| 被害サマリ | ロシアのAPT28サイバースパイによって、CVE-2020-35730、CVE-2020-12641、CVE-2021-44026の脆弱性が悪用され、Roundcube Webmailソフトウェアに不正なアクセスが許可されました。攻撃者は収集、ハーベスト、およびRoundcubeアドレス帳、セッションクッキー、およびRoundcubeデータベース内に保存された他の貴重な情報を盗むために悪意のあるスクリプトを使用しました。攻撃の主な目的は、ウクライナの侵攻を支援するための軍事情報を流出させることでした。 |
| 被害額 | 情報なし |
| 攻撃者名 | ロシアのAPT28サイバースパイ |
|---|---|
| 攻撃手法サマリ | CVE-2020-35730、CVE-2020-12641、CVE-2021-44026の脆弱性を悪用し、悪意のあるスクリプトを使用してRoundcubeメールサーバーを攻撃しました。 |
| マルウェア | 情報なし |
| 脆弱性 | CVE-2020-35730、CVE-2020-12641、CVE-2021-44026 |
| 事件発生日 | 2023年6月22日 |
|---|---|
| 被害者名 | D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear, and MediaTek |
| 被害サマリ | Miraiボットネットが、22個の脆弱性を狙ってD-Link、Arris、Zyxel、TP-Link、Tenda、Netgear、MediaTekのデバイスを攻撃し、分散型サービス拒否(DDoS)攻撃に利用された |
| 被害額 | 不明(予想:数十万ドル以上) |
| 攻撃者名 | Miraiボットネットの開発グループ |
|---|---|
| 攻撃手法サマリ | 脆弱性を悪用したDDoS攻撃 |
| マルウェア | Miraiボットネット |
| 脆弱性 | 22個の脆弱性(詳細は記事を参照) |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | インターネットに接続されたLinuxおよびIoTデバイス |
| 被害サマリ | 最近確認された暗号マイニングのキャンペーンにおいて、ブルートフォース攻撃でLinuxおよびIoTデバイスが乗っ取られ、トロイの木馬化されたOpenSSHパッケージが展開され、付け加えられた公開キーによるSSHアクセスが可能になり、情報が収集され、ラットやルートキットがインストールされ、他のマイナーを除去されることが報告された。 |
| 被害額 | 不明(予想:情報漏えい、暗号マイニングによる被害額があるため、数万ドル以上と推定される) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | ブルートフォース攻撃を使用してLinuxおよびIoTデバイスを乗っ取り、トロイの木馬化されたOpenSSHパッケージをデプロイすることで、SSHクレデンシャルを盗み、マルウェアを展開する。 |
| マルウェア | OpenSSHトロイの木馬、ZiggyStarTux IRCボット、ReptileおよびDiamorphineルートキット |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年6月22日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | インドとアメリカを標的にしたMULTI#STORMと呼ばれるフィッシング・キャンペーンが発生。ジャヴァスクリプトファイルを使用して、リモートアクセス型トロイのウイルスを侵入させた。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明(国籍、所属不明) |
|---|---|
| 攻撃手法サマリ | JavaScriptファイルのリンクを利用したフィッシング攻撃を実施し、受信者からパスワード保護ZIPファイルにアクセスさせて、リモートアクセス型トロイのウイルスを実行させた。 |
| マルウェア | Warzone RAT、 Quasar RAT などのリモートアクセス型トロイのウイルス |
| 脆弱性 | 不明 |