脆弱性

CVE	CVE-2022-36327, CVE-2022-36326, CVE-2022-36328, CVE-2022-29840
影響を受ける製品	Western DigitalのMy Cloudシリーズの古いFirmwareのデバイス
脆弱性サマリ	最新のFirmwareで修正可能な脆弱性で、リモートでコード実行を許可可能
重大度	高
RCE	有
攻撃観測	不明
PoC公開	不明

脆弱性は、CVE-2022-36327、CVE-2022-36326、CVE-2022-36328、CVE-2022-29840である。脆弱性は、古いFirmwareのMy Cloudデバイスを対象にしている。この脆弱性は、最新のFirmwareで修正でき、リモートでコードの実行を許可する可能性がある。この問題は、Western Digitalが6月15日以降クラウドサービスを提供しないと警告することによって、ユーザーを保護しようとする措置を取ったものである。最新のFirmwareが入っているデバイスは、ローカルアクセス経由で引き続きデータにアクセスできる。

- 米ルイジアナ州とオレゴン州の運転免許更新機関が、ransomwareグループによってデータが盗まれたことを警告した。
- 彼らはMOVEit Transferシステムをハックして個人データを盗んでいたClop ransomware操作によって攻撃された。
- 2023-34362として追跡される、CVEと呼ばれるゼロデイ脆弱性を使用して、5月27日にMOVEit Transferサーバーを攻撃し始めた。
- Louisiana OMVによると、被害者はすべてのルイジアナ州民になる可能性がある。
- 公式に被害を受けた人に通知されている州の機関に加えて、Clopはすでにこれまでに多くの企業、連邦政府機関、州政府機関のデータ侵害を引き起こしている。

被害状況

事件発生日	2022年12月14日
被害者名	不明
被害サマリ	Linuxシステムにバックドア型マルウェアChamelDoHが侵入、情報漏えい、リモートアクセスとファイルの操作が可能であった。
被害額	不明（予想）

攻撃者

攻撃者名	ChamelGang
攻撃手法サマリ	DNS-over-HTTPS（DoH）トンネリングを利用したC＆C
マルウェア	ChamelDoH
脆弱性	不明

被害状況

事件発生日	2022年の情報が分析されたレポート
被害者名	クレジットカードの顧客、暗号資産のオーナー、組織の攻撃対象
被害サマリ	サイバー犯罪者によるクレジットカード不正利用、暗号資産誘拐や流出、組織への攻撃
被害額	記事中には明言されず（予想）

攻撃者

攻撃者名	国籍や特徴は記載されていない
攻撃手法サマリ	クレジットカード不正利用、暗号資産誘拐や流出、Ransomeware-as-a-service
マルウェア	記事中には言及されていない
脆弱性	記事中には言及されたが、攻撃に利用された脆弱性の詳細は明らかにされていない

記事タイトル：Activities in the Cybercrime Underground Require a New Approach to Cybersecurity

脆弱性

CVE	なし
影響を受ける製品	なし
脆弱性サマリ	記事で報じられたサイバー犯罪に関する現状と問題点
重大度	なし
RCE	なし
攻撃観測	記事で報じられた攻撃事例とその傾向
PoC公開	なし

この記事では、サイバー犯罪者の攻撃手法がどのように進化しているか、クレジットカード詐欺、暗号通貨、AI、サービス提供に関する情報を伝えている。クレジットカード詐欺が減少している理由には、認証や不正検知の改善とeコマースセキュリティの向上が挙げられる。暗号通貨は、匿名性が高いため、サイバー犯罪者にとっての支払い手段に選ばれることが多く、また、AIの使用が一般的になることで、サイバー犯罪に参入しやすくなっている。サービス提供は、サイバー犯罪者がさらに多くの人々にサービスを提供できることを可能にしている。この記事はCybersixgillの専門家によって書かれ、Cybersixgillの攻撃面管理（ASM）とサイバー脅威インテリジェンス（CTI）の重要性についても議論している。エラーが発生しました。
記事ファイル名:../articles/20230616 111200_752a24c992081384e13bcd4801b30caf4b369c4663c97d8b9a57e1aa4607f6b1.json

被害状況

事件発生日	2020年8月から2023年3月まで
被害者名	複数のターゲット
被害サマリ	ロシアのRuslan Magomedovich Astamirov容疑者が、アメリカ、アジア、ヨーロッパ、アフリカを含む複数の国においてLockBitランサムウェアを展開し、少なくとも5回の攻撃を行ったとされる。マルウェアは被害者のデータを暗号化し、身代金を要求する手法を利用していた。
被害額	不明(予想)

攻撃者

攻撃者名	Ruslan Magomedovich Astamirov(ロシア国籍)
攻撃手法サマリ	ロシアのRuslan Magomedovich Astamirov容疑者が、LockBitランサムウェアを被害者のデータを暗号化し、身代金を要求する手法を利用して展開したとされる。
マルウェア	LockBit
脆弱性	不明

被害状況

事件発生日	2023年6月16日
被害者名	不明
被害サマリ	同社のMOVEit Transferアプリケーションに関する脆弱性が明らかになった。Clopサイバー犯罪グループは同アプリケーションに対する攻撃で多数の企業を標的とし、被害を拡大している。27社が攻撃されたとされ、うち米国エネルギー省などの政府機関も含まれる。攻撃者はClopサイバー犯罪グループとされる。
被害額	不明（予想：大規模な被害が発生しているため、数百万ドル以上）

攻撃者

攻撃者名	Clopサイバー犯罪グループ（国籍や所在地は不明）
攻撃手法サマリ	SQLインジェクションによる脆弱性を利用した攻撃
マルウェア	不明
脆弱性	MOVEit TransferアプリケーションのSQLインジェクション脆弱性

脆弱性

CVE	未割り当て
影響を受ける製品	MOVEit Transfer
脆弱性サマリ	SQLインジェクションによる特権昇格と環境への権限なしアクセスの可能性
重大度	高
RCE	不明
攻撃観測	有
PoC公開	不明

2023年6月16日、Progress Softwareは、MOVEit Transferアプリケーションに影響を与える3番目の脆弱性を開示しました。この脆弱性はSQLインジェクション脆弱性で、「特権昇格と環境への権限なしアクセスの可能性」があります。クライアントは、パッチが用意されるまで、MOVEit Transferのポート80と443でHTTPおよびHTTPSトラフィックをすべて無効にするように求められています。この開示は、Progressがアプリケーションのデータベースコンテンツへのアクセスを可能にするために武器化できるSQLインジェクション脆弱性を明らかにした1週間後に行われました。この脆弱性は、Clopランサムウェアグループによるゼロデイ攻撃で利用されたCVE-2023-34362と一緒になっています。

被害状況

事件発生日	2023年5月27日
被害者名	チリ軍（Ejército de Chile）
被害サマリ	Rhysidaランサムウェアにより、約36万件のチリ軍文書が盗まれ、被害者に身代金を要求された。30％がリークされた。
被害額	不明（予想：身代金の支払い金額）

攻撃者

攻撃者名	Rhysidaランサムウェア・グループ
攻撃手法サマリ	フィッシング攻撃でCobalt Strikeなどのコマンド・アンド・コントロール（C2）フレームワークを使用し、ChaCha20アルゴリズムを利用したランサムウェアを展開。
マルウェア	Rhysidaランサムウェア
脆弱性	不明

脆弱性:
CVE番号: なし
影響を受ける製品: MOVEit Transfer
脆弱性サマリ: SQL injection
重大度: 不明
RCE: 不明
攻撃観測: あり
PoC公開: あり。あるセキュリティ研究者がTwitterにPoCエクスプロイトコードを公開。

プログレスは、MOVEit Transferの顧客に、今日オンラインで新しいSQL Injection（SQLi）脆弱性に関する情報が共有された後、環境へのすべてのHTTPアクセスを制限するよう警告した。この新しい重大なセキュリティバグに対するパッチはまだ利用できないが、パッチが現在テストされており、「まもなく」リリースされる予定であると同社は発表した。Progressは、MOVEit Transferに脆弱性があることを発見し、「昇格特権と環境への潜在的な不正なアクセスにつながる可能性がある」と述べた。PoC情報が公開されているため、MOVEit TransferのHTTPおよびHTTPSトラフィックを一時的に停止することがProgress社の強い推奨事項である。FTP/sプロトコルは引き続き機能するため、ユーザーはWeb UIを介してアカウントにログインできなくなるが、ファイル転送は引き続き可能である。脆弱性についての詳細は明らかにされていないが、少なくとも1人のセキュリティ研究者が、新しいMOVEit TransferゼロデイバグのPoCエクスプロイトコードの情報をTwitterで共有している。Progressは、新しい警告に先立ちアドバイザリを公開したが、弱点はリサーチャーによって同社に開示された可能性がある。

被害状況

事件発生日	2020年8月から2023年3月
被害者名	不明
被害サマリ	LockBitランサムウェアに感染された被害者のネットワークを攻撃した。被害者はアメリカおよび外国においていた。
被害額	不明（予想：数百万ドル以上）

攻撃者

攻撃者名	ロシア人 Ruslan Magomedovich Astamirov
攻撃手法サマリ	LockBitランサムウェアを利用した攻撃
マルウェア	LockBitランサムウェア
脆弱性	不明

被害状況

事件発生日	2023年6月15日
被害者名	不明
被害サマリ	ランサムウェアのウォレットアドレスからマイニングプールを介して、$19.1 millionが4つのランサムウェアウォレットアドレスから、$14.1 millionが3つのマイニングプールから、多くの資金が仲介ウォレットとプールのネットワークを介して送信された。これは、資金の出所を曖昧にし、ランサムウェアからではなくマイニングから得た資金であるとして被害額を洗浄するのに役立つ。
被害額	$33.2 million

攻撃者

攻撃者名	不明
攻撃手法サマリ	クラウドマイニングサービスをいたずらに使うことにより、ランサムウェアグループが資金を洗浄していることが確認された。
マルウェア	不明
脆弱性	不明