| 事件発生日 | 2023年4月22日(攻撃の脅迫ポータルが立ち上がった日) |
|---|---|
| 被害者名 | 製薬、保険、資産管理、および製造企業 |
| 被害サマリ | RA Groupと名乗る新しいランサムウェアグループによって、被害者の詳細と盗まれたデータがダークウェブ上のデータリークサイトに公開され、典型的な「ダブル・エクスターション」戦術が使用されました。 |
| 被害額 | 不明(予想:1億ドル) |
| 攻撃者名 | RA Groupと呼ばれる新しいランサムウェアグループ(国籍・特徴不明) |
|---|---|
| 攻撃手法サマリ | RA Groupは、Babukランサムウェアの流出したソースコードをベースにした暗号化ソフトウェアを使用しています。攻撃対象の組織ごとにカスタムの身代金要求書を作成しており、また、被害者名に基づいてランサムウェアを名前付けています。 |
| マルウェア | 不明(暗号化ソフトウェアはBabukランサムウェアの流出したソースコードをベースにしている) |
| 脆弱性 | 不明 |
| CVE | CVE-2023-22601, CVE-2023-22600, CVE-2023-22598, CVE-2023-32346, CVE-2023-32347, CVE-2023-32348, CVE-2023-2586, CVE-2023-2587, CVE-2023-2588 |
|---|---|
| 影響を受ける製品 | Sierra Wireless, Teltonika Networks, InHand Networksが提供するクラウド管理ソリューション |
| 脆弱性サマリ | 製品のクラウド管理プラットフォームに、11の脆弱性が見つかり、リモートコード実行と何十万台ものデバイスとOTネットワークの完全な制御が可能になる。 |
| 重大度 | 不明 |
| RCE | 有 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2023年4月22日以降 |
|---|---|
| 被害者名 | アメリカと韓国の複数の企業(製造業、財産管理、保険、医薬品) |
| 被害サマリ | 新興ランサムウェアグループのRA Groupによる攻撃で、データを暗号化して身代金を要求し、3社の企業に加えて1社が被害を受けた |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | RA Group(国籍不明) |
|---|---|
| 攻撃手法サマリ | 暗号化とデータ漏洩の二重脅迫を実施するランサムウェア攻撃 |
| マルウェア | Babukベースの独自のバリアント |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | 高度情報処理技術の企業 |
| 脆弱性サマリ | 高度情報処理技術の企業はSaaSセキュリティに苦戦している |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2022年中旬から2023年第1四半期まで |
|---|---|
| 被害者名 | 南アジアおよび東南アジアに所在する政府、航空、教育、およびテレコムセクター |
| 被害サマリ | 高度にターゲットされたキャンペーンにより、新しいハッキンググループによって攻撃された。Symantecによって、この活動は「Lancefly」と呼ばれる昆虫をテーマにした名前で追跡され、攻撃は「Merdoor」と呼ばれる「強力な」バックドアを使用して行われていた。従って、このキャンペーンの最終目標は、ツールと被害者パターンに基づいて、インテリジェンス収集とされている。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 中国政府と関連するグループに帰結する可能性がある。 |
|---|---|
| 攻撃手法サマリ | フィッシングルア、SSHブルートフォース、またはインターネットで公開されたサーバーの悪用を使用したと疑われている。シンメトリックおよび非対称キーを使用し、Lanceflyの攻撃は、MerdoorおよびZXShellなどの完全機能を備えたマルウェアを使用していた。ZXShellは、2014年10月にCiscoによって初めて記録されたルートキットであり、このルートキットの使用は過去にAPT17(オーロラパンダ)やAPT27(BudwormまたはEmissary Pandaとしても知られる)などの中国人アクターにリンクされていた。ZXShellルートキットのソースコードは公開されているため、複数の異なるグループによって使用される可能性がある。 |
| マルウェア | Merdoor、ZXShellルートキット、PlugX、ShadowPad |
| 脆弱性 | 情報なし |
| 事件発生日 | 2023年4月 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | MichaelKorsという新しいランサムウェアがLinuxおよびVMware ESXiシステムを標的にした。VMware ESXiハイパーバイザーへの攻撃は、ハイパーバイザージャックポットティングとして知られる手法で実行される。これまでに、Royalをはじめとするいくつかのランサムウェアグループがこの手法を採用してきた。また、ContiやREvilなど10のランサムウェアファミリーが2021年9月にBabukの露出ソースコードを利用してVMware ESXiハイパーバイザー向けのロッカーを開発したとの解析結果も出ている。 |
| 被害額 | 不明(予想:ランサムウェアの要求額に応じた個々の被害額が生じたと推定される) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | MichaelKorsというランサムウェアを使用して攻撃する。 |
| マルウェア | MichaelKorsランサムウェア |
| 脆弱性 | VMware ESXiにおいて、セキュリティツールの欠如、ESXiインターフェイスの適切なネットワークセグメンテーションの欠如、ESXiに対する既知の脆弱性(2020年9月以降更新されていない)などが攻撃に利用された。 |
| 事件発生日 | 2023年5月15日 |
|---|---|
| 被害者名 | Microsoft SQL (MS SQL)サーバーの管理不良者たち |
| 被害サマリ | CLR SqlShellマルウェアによる攻撃で、暗号通貨の採掘やランサムウェアの展開が行われた。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | 不明、一部関連が指摘されている攻撃者グループはLemonDuck、MyKings(DarkCloudまたはSmominru)、Vollgar |
|---|---|
| 攻撃手法サマリ | CLR SqlShellマルウェアによる攻撃で、xp_cmdshellコマンドを使用してMS SQLサーバーにマルウェアをインストールする。 |
| マルウェア | CLR SqlShell, Metasploit, MrbMiner, MyKingsとLoveMinerのような暗号通貨マイナー、バックドア、プロキシウェア |
| 脆弱性 | MS SQLサーバーに対する不十分な管理 |
| 事件発生日 | 2021年3月 |
|---|---|
| 被害者名 | Ubiquiti |
| 被害サマリ | 元Ubiquiti社員が匿名のハッカーを装い、会社に侵入し機密データを窃取。50ビットコイン(当時約200万ドル)の身代金要求を行ったが、会社は警察に通報。容疑者はVPN接続でトレースされ、逮捕された。 |
| 被害額 | $4億(時価総額の損失) |
| 攻撃者名 | Nickolas Sharp(元Ubiquiti社員) |
|---|---|
| 攻撃手法サマリ | VNP接続を使用してエクスターノン、機密データ窃取 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月6日以降 |
|---|---|
| 被害者名 | Advanced Custom Fieldsプラグインを使用しているWordPressサイト |
| 被害サマリ | 高度な悪意のある攻撃者によって、WordPress Advanced Custom Fieldsプラグインの脆弱性CVE-2023-30777が悪用され、サイトの機密情報が盗まれ、攻撃者に特権が昇格される被害が発生した。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明、国籍などの特徴も報じられていない |
|---|---|
| 攻撃手法サマリ | Proof of Concept (PoC) 攻撃に利用され、ログイン済のユーザーが悪意のコードを実行することで、高い権限で被害サイトにアクセスできるレフレクテッドクロスサイトスクリプティング(XSS)脆弱性が悪用された。 |
| マルウェア | 不明 |
| 脆弱性 | Advanced Custom FieldsプラグインのCVE-2023-30777が悪用された。 |
| 事件発生日 | 2023年5月6日以降 |
|---|---|
| 被害者名 | WordPressのAdvanced Custom Fieldsプラグインを使用するウェブサイトオペレーター |
| 被害サマリ | WordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777)が攻撃者によって悪用され、攻撃者は高い特権を得ることができる。 |
| 被害額 | 不明(予想:数千万円以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Advanced Custom Fieldsプラグインに存在したXSS脆弱性を悪用 |
| マルウェア | 不明 |
| 脆弱性 | WordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777) |