| 事件発生日 | 2023年3月28日 |
|---|---|
| 被害者名 | Microsoft 365のOutlookの一部のユーザー |
| 被害サマリ | Outlookのバグにより、一部のMicrosoft 365グループユーザーがOutlookデスクトップクライアントでグループのメールボックスやカレンダーにアクセスできなくなった。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Outlookのバグによる障害 |
| マルウェア | 不明 |
| 脆弱性 | 認証コードの不備 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | マルウェアの"Atomic"が50種類以上の暗号通貨関連の拡張機能やデスクトップウォレットからパスワード、クッキー、クレジットカード情報などを盗み出すことができる |
| 被害額 | 不明(予想不能) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | マルウェアによる情報窃取 |
| マルウェア | "Atomic"(別名"AMOS") |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | macOS |
| 脆弱性サマリ | 新しいmacOS情報窃取マルウェア「Atomic」が50種類の仮想通貨ウォレットを狙う |
| 重大度 | 不明 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | なし |
| 脆弱性サマリ | 「!password20231#」のような複雑なパスワードも簡単に攻撃される可能性がある |
| 重大度 | なし |
| RCE | なし |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2023年4月27日 |
|---|---|
| 被害者名 | タジキスタンの政府高官、電気通信サービス、公共サービスのインフラストラクチャ |
| 被害サマリ | 政府関係者やその他の高利値な組織がターゲット |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | ロシア語を話すサイバースパイグループ("Nomadic Octopus"と呼ばれる) |
|---|---|
| 攻撃手法サマリ | フィッシング攻撃やマルウェア利用による侵入、攻撃者によるターゲットサーバーへのアクセス、リモートコード実行によるデータ窃取等を利用したサイバースパイ行為 |
| マルウェア | Delphiベースに作成されたマルウェア「Octopus」やTelegramモバイルアプリの代替バージョンに偽装したOctopusなど |
| 脆弱性 | 公に認知された脆弱性を悪用して攻撃を実行 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不特定の組織 |
| 被害サマリ | 組織がLimeRATマルウェアに感染され、データ盗難、DDoSボットネットの形成、クリプトマイニングの支援がされた |
| 被害額 | 不明(予想:数十万ドル以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | オブフスケーションとエンクリプションの使用、Base64アルゴリズムとAESアルゴリズムの利用 |
| マルウェア | LimeRAT |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年4月27日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | RTM Lockerが、初めてLinuxを含むマシンに侵入してランサムウェアを配信した。Linux、NASおよびESXiホストを感染させ、Babukランサムウェアのリークされたソースコードに触発されたと見られている。感染したホスト上で実行されているすべての仮想マシンを終了してから、暗号化プロセスを開始することにより、ESXiホストを特定している。攻撃者グループは、2025年に活動を始めたサイバー犯罪グループRead The Manual(RTM)のルーツを持ち、高いプロファイルを持つ標的からは距離を置いている。 |
| 被害額 | 不明(予想:数百万ドル) |
| 攻撃者名 | 不明。RTMグループのルーツが見つかっている。 |
|---|---|
| 攻撃手法サマリ | ランサムウェア |
| マルウェア | RTM Locker |
| 脆弱性 | 不明 |
| 事件発生日 | 不明(2023年4月13日より早い) |
|---|---|
| 被害者名 | PaperCutサーバーを利用する顧客 |
| 被害サマリ | Cl0pおよびLockBitランサムウェアを配信するために利用されたPaperCutの脆弱性(2023-27350およびCVE-2023-27351)が悪用された。第三者からの不正アクセスによって、周辺の重要な情報が盗まれた可能性がある。 |
| 被害額 | (不明) |
| 攻撃者名 | Lace Tempest(金銭目的のグループ。国籍などの特徴は不明) |
|---|---|
| 攻撃手法サマリ | PaperCutの脆弱性を悪用して、TrueBot DLLを配信し、Cobalt Strike Beaconイムプラントを配置。WMIを使用してネットワーク内で横断移動し、MegaSyncファイル共有サービスを通じて関連ファイルを外部に流出。 |
| マルウェア | Cl0p、LockBit |
| 脆弱性 | PaperCutの脆弱性(2023-27350およびCVE-2023-27351) |
| 事件発生日 | 2023年4月 |
|---|---|
| 被害者名 | PaperCut |
| 被害サマリ | 不特定のサイバー犯罪者が、PaperCutの脆弱性を悪用し、ClopとLockBitのランサムウェアを使用して企業データを盗んだ。 |
| 被害額 | 不明(予想:数百万ドル) |
| 攻撃者名 | ClopとLockBitのランサムウェアグループ(Lace Tempestとも呼ばれる) |
|---|---|
| 攻撃手法サマリ | PaperCutの脆弱性(CVE-2023-27350およびCVE-2023-27351)を悪用した攻撃。攻撃者は企業データを盗むためにTrueBotマルウェアを導入し、後にCobalt Strikeビーコンを使用してデータを盗んで拡散した。また、ファイル共有アプリのMegaSyncを使用した。Clopランサムウェアグループは以前、FTA zero-day脆弱性、GoAnywhere MFTのzero-day脆弱性を悪用してデータを盗んでいると報告されている。 |
| マルウェア | ClopとLockBitのランサムウェアおよびTrueBotマルウェア |
| 脆弱性 | CVE-2023-27350およびCVE-2023-27351の脆弱性 |
| 事件発生日 | 不明(脆弱性の修正が4月19日に発表された) |
|---|---|
| 被害者名 | PaperCut Application Server |
| 被害サマリ | ClopおよびLockBitのランサムウェアグループがPaperCutサーバーの脆弱性を悪用して、コーポレートデータを窃取していた。 |
| 被害額 | 不明 |
| 攻撃者名 | ClopおよびLockBitのランサムウェアグループ |
|---|---|
| 攻撃手法サマリ | 脆弱性の悪用 |
| マルウェア | TrueBot、Cobalt Strikeビーコンなど |
| 脆弱性 | PaperCut Application Serverの複数の脆弱性(CVE-2023–27350、CVE-2023–27351) |
| 事件発生日 | 2023年4月19日 |
|---|---|
| 被害者名 | PaperCut |
| 被害サマリ | 不明。ClopランサムウェアグループがPaperCutサーバーへの攻撃を実行した。TrueBotマルウェアやCobalt Strikeビーコンを使用し、MegaSyncファイル共有アプリケーションを用いたデータ窃盗も行われた。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | Clopランサムウェアグループ |
|---|---|
| 攻撃手法サマリ | 脆弱性を攻撃してPaperCutサーバーに侵入し、TrueBotマルウェアやCobalt Strikeビーコンを使用したデータ窃盗を行った。 |
| マルウェア | TrueBotマルウェア、Cobalt Strikeビーコン |
| 脆弱性 | PaperCut Application Serverの脆弱性(CVE-2023-27350、CVE-2023-27351) |