| 事件発生日 | 2022年中旬から2023年第1四半期まで |
|---|---|
| 被害者名 | 南アジアおよび東南アジアに所在する政府、航空、教育、およびテレコムセクター |
| 被害サマリ | 高度にターゲットされたキャンペーンにより、新しいハッキンググループによって攻撃された。Symantecによって、この活動は「Lancefly」と呼ばれる昆虫をテーマにした名前で追跡され、攻撃は「Merdoor」と呼ばれる「強力な」バックドアを使用して行われていた。従って、このキャンペーンの最終目標は、ツールと被害者パターンに基づいて、インテリジェンス収集とされている。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 中国政府と関連するグループに帰結する可能性がある。 |
|---|---|
| 攻撃手法サマリ | フィッシングルア、SSHブルートフォース、またはインターネットで公開されたサーバーの悪用を使用したと疑われている。シンメトリックおよび非対称キーを使用し、Lanceflyの攻撃は、MerdoorおよびZXShellなどの完全機能を備えたマルウェアを使用していた。ZXShellは、2014年10月にCiscoによって初めて記録されたルートキットであり、このルートキットの使用は過去にAPT17(オーロラパンダ)やAPT27(BudwormまたはEmissary Pandaとしても知られる)などの中国人アクターにリンクされていた。ZXShellルートキットのソースコードは公開されているため、複数の異なるグループによって使用される可能性がある。 |
| マルウェア | Merdoor、ZXShellルートキット、PlugX、ShadowPad |
| 脆弱性 | 情報なし |
| 事件発生日 | 2023年4月 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | MichaelKorsという新しいランサムウェアがLinuxおよびVMware ESXiシステムを標的にした。VMware ESXiハイパーバイザーへの攻撃は、ハイパーバイザージャックポットティングとして知られる手法で実行される。これまでに、Royalをはじめとするいくつかのランサムウェアグループがこの手法を採用してきた。また、ContiやREvilなど10のランサムウェアファミリーが2021年9月にBabukの露出ソースコードを利用してVMware ESXiハイパーバイザー向けのロッカーを開発したとの解析結果も出ている。 |
| 被害額 | 不明(予想:ランサムウェアの要求額に応じた個々の被害額が生じたと推定される) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | MichaelKorsというランサムウェアを使用して攻撃する。 |
| マルウェア | MichaelKorsランサムウェア |
| 脆弱性 | VMware ESXiにおいて、セキュリティツールの欠如、ESXiインターフェイスの適切なネットワークセグメンテーションの欠如、ESXiに対する既知の脆弱性(2020年9月以降更新されていない)などが攻撃に利用された。 |
| 事件発生日 | 2023年5月15日 |
|---|---|
| 被害者名 | Microsoft SQL (MS SQL)サーバーの管理不良者たち |
| 被害サマリ | CLR SqlShellマルウェアによる攻撃で、暗号通貨の採掘やランサムウェアの展開が行われた。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | 不明、一部関連が指摘されている攻撃者グループはLemonDuck、MyKings(DarkCloudまたはSmominru)、Vollgar |
|---|---|
| 攻撃手法サマリ | CLR SqlShellマルウェアによる攻撃で、xp_cmdshellコマンドを使用してMS SQLサーバーにマルウェアをインストールする。 |
| マルウェア | CLR SqlShell, Metasploit, MrbMiner, MyKingsとLoveMinerのような暗号通貨マイナー、バックドア、プロキシウェア |
| 脆弱性 | MS SQLサーバーに対する不十分な管理 |
| 事件発生日 | 2021年3月 |
|---|---|
| 被害者名 | Ubiquiti |
| 被害サマリ | 元Ubiquiti社員が匿名のハッカーを装い、会社に侵入し機密データを窃取。50ビットコイン(当時約200万ドル)の身代金要求を行ったが、会社は警察に通報。容疑者はVPN接続でトレースされ、逮捕された。 |
| 被害額 | $4億(時価総額の損失) |
| 攻撃者名 | Nickolas Sharp(元Ubiquiti社員) |
|---|---|
| 攻撃手法サマリ | VNP接続を使用してエクスターノン、機密データ窃取 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月6日以降 |
|---|---|
| 被害者名 | Advanced Custom Fieldsプラグインを使用しているWordPressサイト |
| 被害サマリ | 高度な悪意のある攻撃者によって、WordPress Advanced Custom Fieldsプラグインの脆弱性CVE-2023-30777が悪用され、サイトの機密情報が盗まれ、攻撃者に特権が昇格される被害が発生した。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明、国籍などの特徴も報じられていない |
|---|---|
| 攻撃手法サマリ | Proof of Concept (PoC) 攻撃に利用され、ログイン済のユーザーが悪意のコードを実行することで、高い権限で被害サイトにアクセスできるレフレクテッドクロスサイトスクリプティング(XSS)脆弱性が悪用された。 |
| マルウェア | 不明 |
| 脆弱性 | Advanced Custom FieldsプラグインのCVE-2023-30777が悪用された。 |
| 事件発生日 | 2023年5月6日以降 |
|---|---|
| 被害者名 | WordPressのAdvanced Custom Fieldsプラグインを使用するウェブサイトオペレーター |
| 被害サマリ | WordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777)が攻撃者によって悪用され、攻撃者は高い特権を得ることができる。 |
| 被害額 | 不明(予想:数千万円以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Advanced Custom Fieldsプラグインに存在したXSS脆弱性を悪用 |
| マルウェア | 不明 |
| 脆弱性 | WordPressのAdvanced Custom Fieldsプラグインに存在したXSS脆弱性(CVE-2023-30777) |
| 事件発生日 | 2022年中旬以降 |
|---|---|
| 被害者名 | Microsoft 365を使用する事業者(主に製造、医療、技術企業) |
| 被害サマリ | Phishing-as-a-service(PhaaS)不正プラットフォーム「Greatness」を使用したMicrosoft 365のビジネスユーザーへのフィッシング攻撃。高度なログイン画面を作成し、ユーザーからIDとパスワード、タイムベースのワンタイムパスワード(TOTP)を収集し、アフィリエイトのTelegramチャンネルに不正アクセスして情報を盗む。 |
| 被害額 | 不明(予想:被害の具体的な金額情報は報道されていないが、フィッシング攻撃により企業の重要情報が漏えいしたことが示唆されている。) |
| 攻撃者名 | 不明(攻撃者の国籍などは不明) |
|---|---|
| 攻撃手法サマリ | Phishing-as-a-serviceプラットフォーム「Greatness」を使用したMicrosoft 365のビジネスユーザーへの高度なフィッシング攻撃。被害者には本物そっくりのログイン画面が表示され、IDとパスワード、タイムベースのワンタイムパスワード(TOTP)を収集し、アフィリエイトのTelegramチャンネルに不正アクセスして情報を盗む。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | ABB |
| 被害サマリ | スイスのABB社がBl00dyランサムウェアの攻撃を受け、ネットワークと工場が影響を受けた。 |
| 被害額 | 不明 |
| 攻撃者名 | Bl00dy Ransomwareグループ |
|---|---|
| 攻撃手法サマリ | 不明のランサムウェア攻撃 |
| マルウェア | Bl00dyランサムウェア |
| 脆弱性 | 不明 |