| 事件発生日 | 2023年4月19日 |
|---|---|
| 被害者名 | PaperCut |
| 被害サマリ | 印刷管理ソフトウェアのPaperCutが、すべてのOSプラットフォームで、アプリケーションサーバとサイトサーバの両方を対象とした認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219により、攻撃に悪用されている。PaperCutは、これらの脆弱性が報告された後、アップデートを行うことを推奨している。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 脆弱性を悪用 |
| マルウェア | 不明 |
| 脆弱性 | PaperCut MF/NGのすべてのバージョンで認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219が悪用された。 |
| CVE | ZDI-CAN-18987 / PO-1216 |
|---|---|
| 影響を受ける製品 | PaperCut MF/NGのバージョン8.0以降 |
| 脆弱性サマリ | 認証されていないリモートコード実行の脆弱性 |
| 重大度 | 高 (CVSS v3.1 score: 9.8) |
| RCE | 有 |
| 攻撃観測 | あり |
| PoC公開 | 不明 |
| 事件発生日 | 2023年2月上旬から |
|---|---|
| 被害者名 | ウクライナ政府と軍関係者、ウクライナのウェブメールユーザー数百人 |
| 被害サマリ | ロシアの軍事情報機関と関係のあるエリートハッカーによるフィッシング攻撃により、ウクライナ政府のウェブサイトが標的となり、ユーザーのクレデンシャル情報が収集された。 |
| 被害額 | 不明(予想:数十万ドルから数百万ドル) |
| 攻撃者名 | ロシアの軍事情報機関と関係のあるエリートハッカー達 (APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit, Sofacyなど) |
|---|---|
| 攻撃手法サマリ | 反射型クロスサイトスクリプティング(XSS)攻撃を使用したウクライナ政府のウェブサイトへの侵入、フィッシング、情報の窃取及びウクライナ政府・軍関係者などのウェブメールユーザーへスプーフィングを使用したフィッシング攻撃。 |
| マルウェア | なし |
| 脆弱性 | Ciscoのルーターにある古い脆弱性(Jaguar Toothというマルウェアをデプロイする)等 |
| 事件発生日 | 2023年4月19日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Blind Eagleとして知られるサイバー・スパイ集団が、NjRATリモートアクセストロイのデプロイメントに至る新しいマルウェア攻撃を実施したと報告されている。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | Blind Eagle (APT-C-36)として知られるスペイン語を使用する攻撃者グループ |
|---|---|
| 攻撃手法サマリ | カスタムマルウェア、ソーシャルエンジニアリング、スピアフィッシング攻撃など複数の高度な攻撃手法を使用している。 |
| マルウェア | NjRATリモートアクセストロイ |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年4月19日 |
|---|---|
| 被害者名 | Google Chromeの利用者 |
| 被害サマリ | Google Chromeに存在するinteger overflowの脆弱性(CVE-2023-2136)が悪用されることによって、リモート攻撃者は、レンダラープロセスを乗っ取り、クラフトされたHTMLページを介してサンドボックスから脱出することができる。Googleによる救済策がなされた。 |
| 被害額 | 不明(予想:数百万ドル) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | integer overflowの脆弱性を用いた攻撃 |
| マルウェア | 不明 |
| 脆弱性 | integer overflowの脆弱性(CVE-2023-2136) |
| CVE | CVE-2023-2136 |
|---|---|
| 影響を受ける製品 | Google Chrome |
| 脆弱性サマリ | Google Chromeにおける整数オーバーフローの脆弱性(CVE-2023-2136)が発見された。 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | インドの政府機関に勤務するLinuxユーザー |
| 被害サマリ | パキスタンを拠点とする高度持続攻撃(APT)グループである「Transparent Tribe」が、インド政府機関が使用する2要素認証(2FA)ツールを騙って、新しいLinuxバックドア「Poseidon」を送り込んだ。攻撃には、偽装されたインド政府のWebサイトが使用されていた。Poseidonには、キーストロークの記録、スクリーンショットの撮影、ファイルのアップロード/ダウンロード、さまざまな方法でシステムをリモート管理するなど、広範な機能がある。 |
| 被害額 | 不明(予想:数十億円以上) |
| 攻撃者名 | パキスタンを拠点とする高度持続攻撃(APT)グループ「Transparent Tribe」 |
|---|---|
| 攻撃手法サマリ | 偽装されたインド政府のWebサイトを通じたソーシャルエンジニアリング攻撃を使用。偽のログインページを出現させ、背後でバックドアのペイロードをダウンロードして、ユーザーのシステムを侵害する。 |
| マルウェア | PoseidonおよびCrimsonRAT、LimePadなど |
| 脆弱性 | 不明 |
| CVE | CVE-2023-2136 |
|---|---|
| 影響を受ける製品 | Google Chrome |
| 脆弱性サマリ | Google ChromeにおけるSkiaの高度演算に関する整数オーバーフローによる任意のコード実行の可能性 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | 企業向けSaaSアプリケーション |
| 脆弱性サマリ | SaaSアプリケーション同士の間において、OAuthトークンを介した悪意のある攻撃を受け、企業の機密情報にアクセスされるリスクがある。 |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Playランサムウェアグループが、カスタムツール「Grixba」と「VSS Copying Tool」を使用して、攻撃の効果を高めるためにシャドウボリュームコピーのデータ窃盗を行っている。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | Playランサムウェアグループ |
|---|---|
| 攻撃手法サマリ | Playランサムウェアグループは、GrixbaとVSS Copying Toolという2つのカスタムツールを使用して、コンピューターネットワーク内のユーザーやコンピューターを列挙し、VSSからファイルを簡単にコピーして、ロックされたファイルを迂回している。 |
| マルウェア | Playランサムウェア(グループ名と同じ) |
| 脆弱性 | 不明 |
| 事件発生日 | 2021年 |
|---|---|
| 被害者名 | ヨーロッパの一部の機関、米国政府機関、ウクライナの250人程度 |
| 被害サマリ | ロシアのサイバースパイ集団APT28が、Ciscoのネットワーク機器の脆弱性を悪用して、攻撃対象の情報収集とマルウェアの配置を行った。 |
| 被害額 | 不明(予想:数十億円以上) |
| 攻撃者名 | ロシアのサイバースパイ集団APT28(またはFancy Bear、Forest Blizzard、FROZENLAKE、Sofacy) |
|---|---|
| 攻撃手法サマリ | Cisco IOSおよびIOS XEソフトウェアのSimple Network Management Protocol(SNMP)サブシステムにあるバッファオーバーフロー状態を利用したCVE-2017-6742の脆弱性を武器化して、Ciscoルーターに非永続的なマルウェアJaguar Toothを配置し、デバイス情報を収集し、認証されていないバックドアアクセスを有効にした。 |
| マルウェア | Jaguar Tooth |
| 脆弱性 | CVE-2017-6742 |
| CVE | CVE-2017-6742 |
|---|---|
| 影響を受ける製品 | Cisco IOSおよびIOS XEソフトウェア |
| 脆弱性サマリ | 「Simple Network Management Protocol(SNMP)」にあるバッファオーバーフローによる「Jaguar Tooth」と呼ばれるマルウェアの配信と、脆弱性を突くための不正なバックドアアクセスを許可するよう設計された」 |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| 事件発生日 | 2023年3月 |
|---|---|
| 被害者名 | 不明。報告された被害はアメリカ、ヨーロッパ、アジアの企業などが含まれる。 |
| 被害サマリ | 合計459件のランサムウェア攻撃が実施され、Cloプランサムウェアグループが最も活発だった。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | Clopランサムウェアグループおよび他のランサムウェアグループ |
|---|---|
| 攻撃手法サマリ | CVE-2023-0669を悪用するゼロデイ攻撃など |
| マルウェア | Clop、LockBit 3.0、Royal、BlackCat(ALPHV)、Bianlian、Play、Blackbasta、Stormous、Medusa、Ransomhouse |
| 脆弱性 | FortraのGoAnywhere MFT secure file transferツールのCVE-2023-0669 |