| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | BianLianランサムウェアグループの攻撃により、米国とオーストラリアの重要インフラへの攻撃が自民主的データ窃取攻撃に切り替えたことが確認された。攻撃は2022年6月から続いており、2023年1月以降、ランサムウェアの復号が可能になり、攻撃は完全にデータ窃取に移行した。攻撃は、有効なリモートデスクトッププロトコル(RDP)の資格情報(最初のアクセスブローカーから購入されたり、フィッシングで取得されたりすることがある)を使用しており、ゴー言語で書かれたカスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドラインなどを用いて、ファイル転送プロトコル(FTP)、Rcloneツール、Megaファイルホスティングサービスを介して、被害者のデータを流出させる。攻撃は、Sophosセキュリティ製品による不正操作保護を無効にするために、PowerShellとWindowsコマンドシェルを利用して、ウイルス対策ツールの関連する実行プロセスを無効化する。 |
| 被害額 | 不明(予想:被害額は不明であるため、推定できません) |
| 攻撃者名 | BianLianランサムウェアグループ(国籍などの特徴は不明) |
|---|---|
| 攻撃手法サマリ | 有効なリモートデスクトッププロトコル(RDP)の資格情報を使用してアクセス。カスタムバックドア、商用リモートアクセスツール、ネットワーク偵察のコマンドライン、PowerShell、Windowsコマンドシェルを利用して攻撃を行う。詳細はMitigations section of this advisoryを参照。 |
| マルウェア | BianLianランサムウェア |
| 脆弱性 | 不明 |
| 対象 | [システムやアプリケーション全般] |
|---|---|
| 目的 | [システムを安定的かつセキュアに保つためにパッチを適用するためのプラットフォーム導入が必要] |
| 必要な情報 | [OSやアプリケーションの情報、現行バージョンの情報、パッチグループ、パッチの依存関係] |
| ライフサイクル管理 | [CI/CDプロセスと組み合わせた場合、パッチライフサイクルは自社アプリケーションの開発過程の一部となる。古いパッチを取り外し新しいパッチを適用する処理が必要な場合がある] |
| パッチテスト | [閉じた環境でパッチをテストして影響を確認することが必要。エラーが抑制されていないことが確認できるログレベルも必要。] |
| パッチデプロイ | [認証済みのパッチを全てのシステムにデプロイできる方法が必要。実行前・実行後にスクリプトを実行することもできる。] |
| 信頼性 | [信頼性のあるアップローダー・パブリッシャーを知り、信頼できるパッチのリポジトリを使うことが必要。複数のリポジトリを使うことでもよい。] |
| パッチの優先度 | [人手で設定する必要がある場合、CID、緊急対応、責任ベンダーのパッチの使用が最適な管理を提供する。] |
| 更新方法のアーキテクチャ | [スキャンするアプローチ(エージェント/エージェントレス)どちらにも対応していることが望ましい。] |
| 第三者アプリケーションのサポート | [デスクトップやラップトップなど、サードパーティー製アプリケーションを更新することができるプラットフォームが必要。Adobe、Microsoftなどの主要プレイヤーなどにも対応できることが理想的] |
| 事件発生日 | 2023年5月17日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | UNC3944という脅威グループがマイクロソフトAzure Serial Consoleを悪用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃を行った。この攻撃は従来の検出方法を回避し、脆弱性を介して攻撃者にVMを完全に乗っ取る権限を与えた。 |
| 被害額 | (予想)不明 |
| 攻撃者名 | UNC3944 (Roasted 0ktapusとも呼ばれる) |
|---|---|
| 攻撃手法サマリ | Microsoft Azure Serial Consoleを使用して、第三者のリモート管理ツールを犯罪の環境内にインストールする攻撃。SIMスワッピング攻撃を利用し、SMSフィッシングメッセージを送って特権ユーザーの認証情報を入手。それに続いて、2要素認証(2FA)トークンを攻撃者がコントロールするSIMカードに受信するようにSIMスワップを行う。 |
| マルウェア | STONESTOP、POORTRY |
| 脆弱性 | Azure VM拡張機能、Azure Network Watcher、Azure Windows Guest Agent、VMSnapshot、Azure Policy Guest configurationに関する脆弱性。 |
| CVE | CVE-2023-27217 |
|---|---|
| 影響を受ける製品 | Belkin Wemo Mini Smart Plug (V2) |
| 脆弱性サマリ | Smart Plugに付随するコンパニオンアプリが30文字以下の名前制限を設けているが、この制限がファームウェア側でも適用されていないため、悪意のあるコマンドが実行される脆弱性がある。 |
| 重大度 | 不明 |
| RCE | 有(不特定の攻撃者から任意のコマンドを実行される可能性がある) |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | パキスタンおよび中国にある様々な機関および企業 |
| 被害サマリ | 国家支援を受けたSideWinderハッカー集団によるサイバー攻撃が発生し、金融機関、政府または法執行機関、電気通信企業、eコマース企業、大手メディア企業が被害に遭った可能性がある。 |
| 被害額 | 不明(予想:数十万ドル以上) |
| 攻撃者名 | 国家支援を受けたSideWinderハッカー集団 |
|---|---|
| 攻撃手法サマリ | 標的型スピアフィッシング攻撃 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月17日 |
|---|---|
| 被害者名 | 数千人の病院、学校、行政支援機関など |
| 被害サマリ | LockBit、Babuk、Hiveのランサムウェアの開発、配信に加担したとされ、$4億の被害額を出した。 |
| 被害額 | $2億 |
| 攻撃者名 | ロシア人、Mikhail Pavlovich Matveev(ウゾウォカ、m1x、ボリセルシン、Uhodiransomwar)としても知られる。 |
|---|---|
| 攻撃手法サマリ | ランサムウェアを用いた攻撃 |
| マルウェア | LockBit、Babuk、Hiveのランサムウェア |
| 脆弱性 | 不明 |
| 事件発生日 | 不明(UNC3944が少なくとも2022年5月以降に活動を開始したと推定されている) |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | UNC3944によって、Microsoft Azureの管理者アカウントがPhishingやSIM swapping攻撃によって乗っ取られ、その後Azure Serial Consoleを悪用してリモート管理ソフトウェアをインストールされ、Azure Extensionsを悪用して監視が行われた。 |
| 被害額 | 不明 |
| 攻撃者名 | UNC3944とMandiantによって特定された犯罪組織で、財政上の動機から活動しているとされる。 |
|---|---|
| 攻撃手法サマリ | PhishingやSIM swapping攻撃によってMicrosoft Azureの管理者アカウントを乗っ取り、Azure Serial Consoleを悪用してリモート管理ソフトウェアをインストール、さらにAzure Extensionsを悪用して監視が行われ、その後にVPNを介してデータが盗まれた。 |
| マルウェア | 報道記事に記載はない。 |
| 脆弱性 | Azure Serial Consoleの脆弱性が悪用された。 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | なし |
| 脆弱性サマリ | 新しい.zipと.movドメインがフィッシングやマルウェア攻撃のために悪用される可能性がある |
| 重大度 | なし |
| RCE | なし |
| 攻撃観測 | 発表後、既にフィッシング攻撃のページが発見されている |
| PoC公開 | なし |