| 事件発生日 | 2021年12月 |
|---|---|
| 被害者名 | 欧州、中東、アジアの電力送電と流通操作に関する機器メーカー |
| 被害サマリ | ロシアのサイバーセキュリティ企業であるRostelecom-Solarと関連のあるマルウェア「CosmicEnergy」によって、IEC-104に準拠するリモート端末装置が標的とされ、欧州、中東、アジアにある電力送電と流通に関する機器メーカーが攻撃された。 |
| 被害額 | 不明(予想:数百万ドル~数千万ドル程度) |
| 攻撃者名 | ロシアのサイバーセキュリティ企業Rostelecom-Solar、またはその関連企業 |
|---|---|
| 攻撃手法サマリ | マルウェア「CosmicEnergy」による攻撃。被害者ネットワークに侵入し、Piehop disruptionツールを使用して、MSSQLサーバーを侵害、IEC-104に準拠するリモート端末装置を制御。マルウェアはPythonベースであり、OTプロトコルの実装にオープンソースライブラリを使用し、過去に攻撃で使用された別のOTマルウェアであるIndustroyerやIndustroyer.V2、IronGate、Triton、Incontrollerなどと類似している。マルウェアの実際の起源は不明。 |
| マルウェア | CosmicEnergy |
| 脆弱性 | 不明 |
| 事件発生日 | 不明(記事の公開日:May 25, 2023) |
|---|---|
| 被害者名 | ゲーム企業、ゲームサーバー提供業者、オンラインストリーマー、ゲームコミュニティのその他のメンバー |
| 被害サマリ | Dark Frostと呼ばれるボットネットによるDDoS攻撃 |
| 被害額 | 不明(予想:数十万ドル~数百万ドル) |
| 攻撃者名 | 不明。報道によると、初心者のサイバー犯罪者が既に存在しているマルウェアを使用して簡単に攻撃を仕掛けている。 |
|---|---|
| 攻撃手法サマリ | Dark FrostボットネットによるDDoS攻撃。 |
| マルウェア | Mirai、Gafgyt、QBotなどの他のマルウェアのソースコードを盗んで構築された独自のボットネットである。マルウェア名は明らかにされていない。 |
| 脆弱性 | 明らかにされていない。 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 医療機関(詳細不明) |
| 被害サマリ | 医療機関内のWindows XPおよびWindows 7の古いシステムにCynetプロテクションが導入されていたが、USBキーにマルウェアが感染していたため、感染した画像がWindows 7の機械に送信された。しかし、Cynetプロテクションによってマルウェアが発見、隔離され、実行されることはなかった。 |
| 被害額 | 不明(予想:情報漏えいの可能性があるため、経済的影響は大きい) |
| 攻撃者名 | 不明(国籍や詳細不明) |
|---|---|
| 攻撃手法サマリ | USBキーを介したマルウェア感染 |
| マルウェア | 不明(記事中に明確な名称は記載されていない) |
| 脆弱性 | Windows XPおよびWindows 7の古いシステム |
| 事件発生日 | 2023年5月25日 |
|---|---|
| 被害者名 | United Arab Emirates (UAE)に関連する未公開の政府機関 |
| 被害サマリ | 疑わしいイランの攻撃者が、PowerExchangeと呼ばれるバックドアを使用して、被害者のMicrosoft Exchange Serverに侵入した。攻撃は、電子メールフィッシングを利用して初期アクセス経路を確立し、ZIPファイル添付ファイルに含まれる.NET実行可能ファイルを実行することによって侵入した。PowerExchangeは、PowerShellで書かれており、メールに添付されたテキストファイルを使用してC2通信を行う。被害者のExchange Serverに接続するためにドメイン資格情報をどのように入手したかは現在不明である。Exchange ServerからのC2通信は、忍び足のように浸透するため、ほとんどすべてのネットワークベースの検出および対策を回避することができる。 |
| 被害額 | 不明(予想:数十万ドル~数百万ドル) |
| 攻撃者名 | 疑わしいイランの脅威係数 |
|---|---|
| 攻撃手法サマリ | 電子メールフィッシングとPowerShellを利用したバックドアの使用 |
| マルウェア | PowerExchange |
| 脆弱性 | 不明 |
| CVE | CVE-2023-33009, CVE-2023-33010 |
|---|---|
| 影響を受ける製品 | ZyxelのいくつかのファイアウォールとVPN製品 |
| 脆弱性サマリ | 脆弱性は2つのバッファオーバーフローに存在し、認証なしで攻撃者が利用でき、DoSおよびリモートコード実行を引き起こす可能性がある。 |
| 重大度 | 高 (10.0) |
| RCE | 有 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 2021年以降 |
|---|---|
| 被害者名 | ポルトガルの金融機関 |
| 被害サマリ | ブラジル人ハッカーが長期間にわたりポルトガルの金融機関をターゲットに、情報窃取マルウェアPeepingTitleを使用して不正アクセスを試みた。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | ブラジル人ハッカー |
|---|---|
| 攻撃手法サマリ | フィッシングメールと偽のソフトウェアインストーラによるマルウェア感染を行い、PeepingTitleマルウェアで攻撃を実行した。 |
| マルウェア | PeepingTitle、Maxtrilha |
| 脆弱性 | 不明 |
| 事件発生日 | 不明(2021年から) |
|---|---|
| 被害者名 | ActivoBank、Caixa Geral de Depósitos、CaixaBank、Citibanamex、Santander、Millennium BCP、ING、Banco BPI、Novobancoなど、30のポルトガル政府および民間金融機関 |
| 被害サマリ | ブラジルのハッキンググループによって、40以上の脅威が配布された。攻撃手法には、Energias de Portugal、Portuguese Tax and Customs Authority(AT)を装ったフィッシングメール、ソーシャルエンジニアリング、偽装されたサイトが使用された。この攻撃は、Sentinel Labsによる報告で明らかになった。また、被害者が金融機関を選択した場合、Bando de Seguranca (BDS)やRedeBancoなどの偽の認証済みページに誘導され、口座情報を盗まれる。この攻撃は、"Operation Magalenha"と呼ばれている。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | ブラジルのハッキンググループ |
|---|---|
| 攻撃手法サマリ | Energias de Portugal、Portuguese Tax and Customs Authority(AT)を装ったフィッシングメール、ソーシャルエンジニアリング、偽装されたサイトが使用され、クレデンシャル情報が盗まれる。攻撃者は、'PeepingTitle'バックドアを各被害者システムに注入することにより、被害者システムで様々な操作を実行し、銀行口座の乗っ取りなどを行った。 |
| マルウェア | 'PeepingTitle'バックドア |
| 脆弱性 | 不明 |