| CVE | なし |
|---|---|
| 影響を受ける製品 | |
| 脆弱性サマリ | Twitterの謎のバグが、以前に認証済みだったアカウントにブルーチェック復活の機会を与えた |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | 不明 |
| PoC公開 | なし |
| 事件発生日 | 2023年4月 |
|---|---|
| 被害者名 | 企業のネットワーク |
| 被害サマリ | 新たなマルウェアツールキット「Decoy Dog」が発見され、その被害は主に企業のネットワークに及んでいる。ツールキットは逃避を目的としており、戦略的ドメインエイジングやDNSクエリドリブリングといった技術を使用して検知を回避している。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明。関連する過去の攻撃では、中国の国家主導のグループによる攻撃が確認されていたが、今回の攻撃については、そのような報告はない。 |
|---|---|
| 攻撃手法サマリ | DNSトンネリングという手法を用い、クエリとレスポンスをC2として悪意のコードを送信する方法が用いられた。また、攻撃で利用されるDNSビーコン行動は、定期的に行われるまれなDNSリクエストのパターンに従い、侵入を検知されにくくしている。 |
| マルウェア | Pupy RATと呼ばれるオープンソースのトロイの木馬がツールキットの主要な構成要素であり、DNSトンネリングを使用して送信される。ツールキットがその他のマルウェアを利用しているかは不明。 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年3月26日 |
|---|---|
| 被害者名 | Western Digital |
| 被害サマリ | Western Digitalはサイバー攻撃を受け、10TBのデータが盗まれた。被害者は2週間にわたってMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerおよびそれらに関連するモバイル、デスクトップ、Webアプリを含むクラウドサービスを停止した。また、攻撃者は、会社の署名鍵で署名されたファイル、リストに載っていない法人用電話番号、他の内部データのスクリーンショットなど、盗まれたデータのサンプルを共有した。攻撃者は、ランサムウェアではなく、ALPHVランサムウェア攻撃グループとは関係がないと述べた後、サイト上に急かす警告を掲載し、もし身代金が支払われなかった場合、Western Digitalのデータを流出させることを示唆した。 |
| 被害額 | 不明(予想:被害総額1億5000万ドル) |
| 攻撃者名 | ALPHVランサムウェア攻撃グループ(別名BlackCat) |
|---|---|
| 攻撃手法サマリ | サイバー攻撃による不正アクセスとデータ盗難 |
| マルウェア | ALPHVランサムウェア(攻撃とは関係ないとされる) |
| 脆弱性 | 不明 |
| CVE | [CVE番号|なし] |
|---|---|
| 影響を受ける製品 | なし |
| 脆弱性サマリ | 実時間で横方向運動に対する保護が不可欠であるが、現在のセキュリティスタックにはその機能はなく、とりわけ多要素認証(MFA)とサービスアカウント保護が欠けている。Silverfortのプラットフォームが脅威アクターに立ち向かい、横方向運動保護を実現する。 |
| 重大度 | なし |
| RCE | 無 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2023年5月1日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 攻撃者は500,000のデバイスを感染させ、情報窃取マルウェア(S1deload Stealer、SYS01stealer)のバリアントを配布しました。攻撃は、ファイル共有サイトのように見えるプロモーションされたソーシャルメディア投稿で行われました。投稿には、アダルト向け写真アルバムの無料ダウンロードを提供すると主張する広告が含まれていましたが、ZIPファイル内には、実際には実行可能ファイルが含まれていました。この実行可能ファイルをクリックすると、感染チェーンがアクティベートされ、セッションCookie、アカウントデータ、その他の情報を盗むスティーラーマルウェアが展開されます。この攻撃チェーンは、盗まれた情報を使用してさらに多くのスポンサー投稿を推進することで、より大規模にスケーリングされます。 |
| 被害額 | 不明 |
| 攻撃者名 | ベトナム人の脅威アクター |
|---|---|
| 攻撃手法サマリ | 攻撃者は、広告を支払って「増幅」するために、サービスのプロモーションされたソーシャルメディア投稿(malverposting)を使用しました。攻撃は、偽の写真家アカウントとしてFacebookに新しいビジネスプロファイルページを提供することによって、Facebookのレーダーをかわしました。 |
| マルウェア | S1deload Stealer、SYS01stealer |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月1日 |
|---|---|
| 被害者名 | ウクライナ政府機関 |
| 被害サマリ | ロシアのAPT28が、偽の "Windows Update" の件名をつけたフィッシングメールを使用して、ウクライナ政府機関を狙ったサイバー攻撃を実行した。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | ロシアのAPT28(Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit、Sofacy とも呼ばれる) |
|---|---|
| 攻撃手法サマリ | 偽の "Windows Update" の件名を使ったフィッシングメールを使用し、PowerShellスクリプトを利用してシステム情報を収集して、Mocky APIの指定URLに情報を送信する攻撃。 |
| マルウェア | 特定されていない |
| 脆弱性 | 特定されていない |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | ウクライナ政府機関など |
| 被害サマリ | ロシアのAPT28(通称Fancy Bear)の攻撃により偽装したWindowsアップデートガイドを送り、電子メールに添付されたPowerShellスクリプトを実行させ、情報収集を実施 |
| 被害額 | 不明(予想:数億円以上) |
| 攻撃者名 | ロシア政府が支援するAPT28 |
|---|---|
| 攻撃手法サマリ | 偽装したWindowsアップデートガイドの送信と、PowerShellスクリプトを含む電子メールの送信による攻撃 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年3月28日以降(CVE-2023-27532の脆弱性が悪用されたため) |
|---|---|
| 被害者名 | Veeam backup servers |
| 被害サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)が悪用され、外部からアクセス可能な状態にあった7,500程のサーバーに侵入された。侵入者によって、システム情報や認証情報が抜き取られた。最終的な目的は不明。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)を悪用した攻撃を行ったとされている。攻撃者はFIN7と関連性があるとされている。 |
| マルウェア | DiceLoader/Lizarバックドア |
| 脆弱性 | CVE-2023-27532 |