| 事件発生日 | 記事に記載なし |
|---|---|
| 被害者名 | 不特定多数のWindowsシステムの利用者 |
| 被害サマリ | 『EvilExtractor』という名称のオールインワンスティーラーマルウェアが、FTPサービスを通じてWindowsシステムからデータとファイルを盗み出す攻撃が行われている。被害者のブラウザデータや情報などを盗んで攻撃者のFTPサーバーにアップロードすることが主な目的であり、多数のWebブラウザからパスワードとクッキーを盗むためのモジュールがあり、また、キーストロークを記録し、対象システム上のファイルを暗号化するランサムウェアとしても機能する。 |
| 被害額 | 記事に記載なし(予想:不特定多数の被害があると予想されるため、被害額の算出は困難である) |
| 攻撃者名 | Kodexというユーザー名を使用して、サイバー犯罪フォーラムであるCrackedなどで販売されている |
|---|---|
| 攻撃手法サマリ | FTPサービスを通じてデータとファイルを盗むオールインワンスティーラーマルウェアを使用した攻撃 |
| マルウェア | EvilExtractor |
| 脆弱性 | 記事に記載なし |
| 事件発生日 | 2023年4月14日 |
|---|---|
| 被害者名 | PaperCut |
| 被害サマリ | 既存の脆弱性が悪用され、約1800のサーバーが攻撃に遭い、ロシアの犯罪グループによるマルウェアTrueBotを含む遠隔管理・メンテナンスソフトウェアがインストールされた。 |
| 被害額 | 不明(予想不能) |
| 攻撃者名 | ロシアの犯罪グループ Silence と、その関連グループ TA505 および Evil Corp |
|---|---|
| 攻撃手法サマリ | PaperCutの既存の脆弱性(CVE-2023-27350、CVSSスコア-9.8)を悪用した攻撃。 |
| マルウェア | TrueBot および Cl0p ランサムウェア(配布手法に使用) |
| 脆弱性 | CVE-2023-27350 |
| CVE | CVE-2023-27350 |
|---|---|
| 影響を受ける製品 | PaperCut MF、NG |
| 脆弱性サマリ | 未修正のサーバーに対する攻撃が繰り返されている |
| 重大度 | 高 (CVSSスコア9.8) |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 中古ルーターから企業の機密情報が漏えい、ネットワーク侵入に悪用される可能性 |
| 被害額 | 不明(予想:情報漏洩による損失額は数千万円以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 中古ルーターから機密情報を収集し、企業ネットワークに不正アクセス |
| マルウェア | なし |
| 脆弱性 | ルーターから撤去するデータ消去手順が実施されていないことによる脆弱性 |
| 事件発生日 | 2022年4月上旬 |
|---|---|
| 被害者名 | 企業および大規模組織 |
| 被害サマリ | 国家主導の脅威アクターによるマルウェアツールキット「Decoy Dog」の使用により、実行ツールである「Pupy RAT」を使用した遠隔操作による情報の窃取や情報漏えいが発生した。 |
| 被害額 | 不明(予想不能) |
| 攻撃者名 | 国家主導の脅威アクター |
|---|---|
| 攻撃手法サマリ | DNSトラフィックを解析することで不審なアクティビティを検出し、Pupy RATを使用した遠隔操作を行う。また、他のユーザーとの活動を混ぜるためにDNSクエリードリブリングを使用する。 |
| マルウェア | Decoy DogおよびPupy RAT |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | GitHubの開発プラットフォーム |
| 脆弱性サマリ | GitHubがプライベート脆弱性報告を導入したことで悪用される可能性がある |
| 重大度 | 不明 |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 不明(記事投稿日: April 22, 2023) |
|---|---|
| 被害者名 | 個人及び企業のユーザーデータを意図する攻撃 |
| 被害サマリ | Kodex社が59ドル/月で販売しているEvilExtractorというツールを使い、EUおよび米国で、情報盗用のランサムウェアや証明書抽出ツール、Windows Defender回避ツールを搭載した攻撃が増加している。 |
| 被害額 | 不明(未報告) |
| 攻撃者名 | Kodex社が販売するEvilExtractorに使用される犯罪者 |
|---|---|
| 攻撃手法サマリ | フィッシング攻撃によって、gzip圧縮実行可能ファイルを添付して送信し、開封したターゲットに独自で開発したPython実行可能プログラムの.NETローダーを起動し、EvilExtractorを実行させる。 |
| マルウェア | EvilExtractor、KK2023.zip、Confirm.zip、MnMs.zip、zzyy.zip |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 (BumbleBeeマルウェアが2022年4月に発見されたことは判明している) |
|---|---|
| 被害者名 | 企業のユーザー |
| 被害サマリ | Google AdsやSEO poisoningを通じ、Zoom、Cisco AnyConnect、ChatGPT、Citrix Workspaceなどの人気ソフトウェアをダウンロードしようとするユーザーに対し、BumbleBeeマルウェアを配信、感染させていた。BumbleBeeマルウェアはランサムウェア攻撃を行うとともに、ネットワークへの侵入や権限の昇格を可能にするものである。 |
| 被害額 | 不明(予想:数百万ドル以上) |
| 攻撃者名 | 不明。ただし、BumbleBeeマルウェアがContiチームによって開発されたと考えられており、この攻撃も同グループが関与している可能性が高い。 |
|---|---|
| 攻撃手法サマリ | Google AdsやSEO poisoningを活用した手法により、人気ソフトウェアをダウンロードする際にBumbleBeeマルウェアを感染させるものである。 |
| マルウェア | BumbleBeeマルウェア |
| 脆弱性 | N/A |
| 事件発生日 | 2022年9月~11月 |
|---|---|
| 被害者名 | 未公開 |
| 被害サマリ | Trading Technologiesが開発したX_TRADERアプリケーションがトロイの木馬に感染され、3CXだけでなく、電力とエネルギー部門の2つの重要なインフラ組織や、金融取引に関与する2つの他のビジネスも影響を受けた。 |
| 被害額 | (予想)不明 |
| 攻撃者名 | 北朝鮮のネクサスアクターであるUNC4736、Lazarus、Hidden Cobraなどの北朝鮮に関連するグループ。 |
|---|---|
| 攻撃手法サマリ | トロイの木馬に感染させたX_TRADERアプリケーションを使用して標的に侵入。 |
| マルウェア | VEILEDSIGNAL、SimplexTeaなど |
| 脆弱性 | 不明 |
| CVE | CVE-2023-28432 |
|---|---|
| 影響を受ける製品 | MinIO |
| 脆弱性サマリ | MinIOは、クラスターデプロイメントの場合に、環境変数、つまりMINIO_SECRET_KEYおよびMINIO_ROOT_PASSWORDを含むすべての環境変数を返すため、情報開示の問題がある。 |
| 重大度 | 7.5 (高) |
| RCE | 無 |
| 攻撃観測 | あり |
| PoC公開 | 不明 |
| CVE | CVE-2023-27350 |
|---|---|
| 影響を受ける製品 | PaperCut MFおよびPaperCut NG |
| 脆弱性サマリ | PaperCut print managementソフトウェアには、認証をバイパスし、任意のコードを実行することができる深刻なリモートコード実行の問題がある。 |
| 重大度 | 9.8 (高) |
| RCE | 有 |
| 攻撃観測 | あり |
| PoC公開 | 不明 |
| CVE | CVE-2023-2136 |
|---|---|
| 影響を受ける製品 | Google Chrome |
| 脆弱性サマリ | Google ChromeのSkia 2Dグラフィックスライブラリには、悪意のあるHTMLページを介してサンドボックス逃避を行うことができる問題がある。 |
| 重大度 | TBD |
| RCE | 不明 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | LockBitがApple Silicon encryptorをテストし、NCRがランサムウェアの攻撃を受けたことが報告された。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | LockBitおよびBlackCat/ALPHVなどのランサムウェアグループ |
|---|---|
| 攻撃手法サマリ | Action1 RMMを悪用する、脆弱性を悪用する、ドメインマルウェアの配信などを行う。 |
| マルウェア | LockBit、Trigona、Domino、Rorschach、Phobos、VoidCrypt、CrossLock、STOP、Grixba、VSS Copying Tool、BlackBitなどのランサムウェア |
| 脆弱性 | CVE-2023-0669などの脆弱性を悪用 |