| 事件発生日 | 2023年6月5日 |
|---|---|
| 被害者名 | 北米、ラテンアメリカ、ヨーロッパの規模の異なる多数のウェブサイト利用者 |
| 被害サマリ | ネットセキュリティ企業Akamaiによって発見されたマルウェアキャンペーン。被害サイトはMagecartによるもので、個人情報やクレジットカード情報が不正に入手されている。更に、被害サイトが偽のC2サーバーとなっており、悪意のあるコードをリアルタイムで配信している。攻撃者は、様々な手口を使って犯行を隠しており、発覚が困難になっている。 |
| 被害額 | 不明(予想:莫大な被害額が出たと考えられる) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 被害サイトをハッキングし、そこにマルウェアを格納して利用する手口を用いている。 |
| マルウェア | MagecartスタイルのWebスキマー |
| 脆弱性 | Magento、WooCommerce、WordPress、Shopifyおよびその他の様々な脆弱性が利用されたものと考えられる。 |
| 事件発生日 | 2023年6月5日 |
|---|---|
| 被害者名 | スペイン語とポルトガル語を話す被害者 |
| 被害サマリ | ブラジルに拠点を置く攻撃者が、LOLBaSとCMDスクリプトを使用して、メキシコ、ペルー、ポルトガルのオンライン銀行口座を狙った攻撃を実施。脅威アクターは、課税や交通違反をテーマにしたルアー付きのポルトガル語とスペイン語の電子メールを送信し、HTML添付ファイルを使用して感染を引き起こしてシステムに不正アクセスする。被害者のMicrosoft Outlookおよびブラウザーのパスワードデータを盗み出すために、AutoItスクリプトをダウンロードし、収集した情報をHTTP POSTリクエスト方法で攻撃者のサーバーに転送します。 |
| 被害額 | 不明(予想:数百万ドルから数千万ドル) |
| 攻撃者名 | ブラジル人の脅威アクター |
|---|---|
| 攻撃手法サマリ | LOLBaS(living-off-the-land binaries and scripts)とCMDスクリプトを使用 |
| マルウェア | 特定されていない |
| 脆弱性 | 特定されていない |
| 事件発生日 | 2023年5月 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | TrueBotによるアクティビティの急増が発生した。TrueBotはダウンローダ・トロイのボットネットで、C&Cサーバを使用して侵害されたシステムの情報を収集し、その侵害されたシステムをさらに攻撃の発射点にする。最近のTrueBot感染では、Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8)とRaspberry Robinを配信ベクターとして利用している。TrueBotは侵害された組織のネットワークにとって特に厄介な感染症であり、ランサムウェアがネットワーク全体に急速に広がる方法に類似している。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | SilenceグループとされるEvil Corpとの関係が疑われる。 |
|---|---|
| 攻撃手法サマリ | TrueBotはダウンローダ・トロイのボットネットで、C&Cサーバを使用して侵害されたシステムの情報を収集し、その侵害されたシステムをさらに攻撃の発射点にする。最近のTrueBot感染では、Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8)とRaspberry Robinを配信ベクターとして利用している。 |
| マルウェア | TrueBot |
| 脆弱性 | Netwrix auditorの重大な欠陥(CVE-2022-31199、CVSSスコア:9.8) |
| 事件発生日 | 2023年6月2日 |
|---|---|
| 被害者名 | Atomic Walletのユーザー |
| 被害サマリ | Atomic Walletの複数のユーザーアカウントから、仮想通貨約3.5億ドル相当分が盗まれた。 |
| 被害額 | 約3.5億ドル (約386億円) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 不正アクセスによる仮想通貨盗難 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年6月2日(金) 21:45 UTC |
|---|---|
| 被害者名 | Atomic Walletのユーザー |
| 被害サマリ | Atomic Walletのウォレットから約35百万ドル相当の仮想通貨が盗まれた。 |
| 被害額 | 35百万ドル相当の仮想通貨 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 不明 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 米国政府機関 |
| 被害サマリ | Progress MOVEit Transfer managed file transferにあるSQLインジェクションの脆弱性を悪用した攻撃により、データが窃取された。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | SQLインジェクションを悪用 |
| マルウェア | N/A |
| 脆弱性 | Progress MOVEit Transfer managed file transferのSQLインジェクションの脆弱性 (CVE-2023-34362) |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | オンラインストアの顧客 |
| 被害サマリ | ハッカーたちは、信頼性の高いウェブサイトをハッキングし、悪意のあるコードをインジェクションして、マジックカートと呼ばれる手法を使ってオンラインストアの顧客からクレジットカード情報を収集しています。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | 不明(国籍などの特徴も不明) |
|---|---|
| 攻撃手法サマリ | 信頼できるウェブサイトをハッキングして、マジックカートと呼ばれる手法を使ってオンラインストアから顧客のクレジットカード情報を収集する。 |
| マルウェア | 不明 |
| 脆弱性 | オンラインストアのウェブサイトのデジタル商取引プラットフォーム(たとえば、マジェント、ウーマーズ、ワードプレス、ショッピファイなど)や、ウェブサイトで使用される脆弱なサードパーティ製サービスに対する脆弱性を突く。 |
| 事件発生日 | 2023年6月3日 |
|---|---|
| 被害者名 | オンラインセラー |
| 被害サマリ | オンラインコマースサイトのバックエンドにアクセスし、大規模な攻撃を行うためにVidar情報窃取マルウェアが送信される攻撃が発生。従業員の資格情報が盗まれたデータ流出も含まれる。 |
| 被害額 | 不明(予想:莫大な損失) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | オンラインストアの管理者に偽の苦情メールを送信し、偽のGoogleドライブに誘導してVidar情報窃取マルウェアをダウンロードさせる攻撃。 |
| マルウェア | Vidar情報窃取マルウェア |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | Zyxel(製品利用者全般) |
| 被害サマリ | ZyxelのVPNとファイアウォール製品が、CVE-2023-28771、CVE-2023-33009、およびCVE-2023-33010の脆弱性によって広範囲に攻撃された。 |
| 被害額 | 不明(予想:数百万ドル) |
| 攻撃者名 | 不明(攻撃が自動化されている可能性がある) |
|---|---|
| 攻撃手法サマリ | CVE-2023-28771の脆弱性を利用してマルウェアがリモートコマンドの実行を許可、またCVE-2023-33009およびCVE-2023-33010の脆弱性を利用することで、リモートコード実行またはサービス停止攻撃を行なう。 |
| マルウェア | 不明 |
| 脆弱性 | CVE-2023-28771、CVE-2023-33009、およびCVE-2023-33010 |
| CVE | CVE-2023-28771, CVE-2023-33009, CVE-2023-33010 |
|---|---|
| 影響を受ける製品 | Zyxel VPNとファイアウォールデバイス |
| 脆弱性サマリ | CVE-2023-28771は、悪意のあるパケットを通じて遠隔でコマンド実行できる。CVE-2023-33009とCVE-2023-33010は、バッファオーバーフローにより、デバイスに拒否サービス状態を課せるか、遠隔からコード実行を実行できる。 |
| 重大度 | 影響があり、脆弱性の情報が公開されている。アップデートを推奨。 |
| RCE | 有(CVE-2023-28771、CVE-2023-33009) |
| 攻撃観測 | 脆弱性が攻撃の標的になっている。 |
| PoC公開 | 不明 |