| 事件発生日 | 2023年1月18日から2023年2月28日(不明な場合は予想) |
|---|---|
| 被害者名 | GoAnywhere MFTユーザー |
| 被害サマリ | ゼロデイの脆弱性をついた攻撃により、GoAnywhere MFTのMFTasSカスタマーから機密情報を盗み出し、ランサムウェアによる攻撃を実施した。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | GoAnywhere MFTのゼロデイ脆弱性を利用した攻撃により、不正なユーザーアカウントを作成してファイルを盗み出し、ランサムウェアを利用した攻撃を行う。 |
| マルウェア | 不明 |
| 脆弱性 | GoAnywhere MFTのCVE-2023-0669(CVSSスコア:7.2) |
| CVE | なし |
|---|---|
| 影響を受ける製品 | ChatGPTと他の生成型のAIプラットフォーム |
| 脆弱性サマリ | ChatGPTは、従業員が貼り付けたテキストを保護できない |
| 重大度 | なし |
| RCE | なし |
| 攻撃観測 | なし |
| PoC公開 | なし |
| 事件発生日 | 2022年11月以降 |
|---|---|
| 被害者名 | アフリカの通信サービスプロバイダー |
| 被害サマリ | 中国に関連するサイバー攻撃者グループ「Daggerfly」が、プラグインやマルウェアなどを使用してアフリカの通信サービスプロバイダーに侵入した。攻撃者は、このキャンペーンの主目的が情報収集であったことを示すプラグインを使用した。この攻撃グループは2014年以来、中国周辺の国や、国内の人権や民主主義活動家などを対象にエスピオナージ活動を行っている疑いがある。 |
| 被害額 | 不明(予想:数百万ドル) |
| 攻撃者名 | Daggerfly/Bronze Highland/Evasive Panda |
|---|---|
| 攻撃手法サマリ | スピアフィッシング攻撃によるMgBotマルウェアの使用、Cobalt Strikeの使用、KsRemoteと呼ばれるAndroidリモートアクセス・トロイの使用、BITSAdminとPowerShellなどのLotLツールの使用が特徴的 |
| マルウェア | MgBot、PlugXローダー、KsRemote、Cobalt Strike |
| 脆弱性 | 不明 |
| 事件発生日 | 2022年から2023年 |
|---|---|
| 被害者名 | 人権活動家やデモクラシー支持者、ジャーナリスト、反体制派など |
| 被害サマリ | イスラエルのスパイウェアメーカーNSOグループが、少なくとも3つの新規の「ゼロクリック」エクスプロイトを使用して民間社会の標的にPegasusを実行するためにiOS 15およびiOS 16を悪用。悪用されたPegasusは、メッセージ、場所、写真、通話履歴などのデバイス内に保存された機密情報をリアルタイムで抽出可能。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | NSOグループ |
|---|---|
| 攻撃手法サマリ | ゼロクリックとゼロデイエクスプロイトの悪用 |
| マルウェア | Pegasus |
| 脆弱性 | iOS 15およびiOS 16の複数の脆弱性を利用 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Microsoft Defender |
| 脆弱性サマリ | Microsoft DefenderのアップデートによりLSA Protectionが取り外され、代わりにKernel-mode Hardware-enforced Stack Protectionが追加され、ユーザーが混乱することになった。 |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | 報告あり |
| PoC公開 | 不明 |
| 事件発生日 | 2023年1月下旬~2月3日(CVE-2023-0669の脆弱性の発覚日) |
|---|---|
| 被害者名 | 100以上の企業 |
| 被害サマリ | GoAnywhere MFTの脆弱性CVE-2023-0669を悪用した攻撃により、Clopランサムウェアのグループによってデータを盗まれた |
| 被害額 | 不明(予想) |
| 攻撃者名 | Clopランサムウェアのグループ |
|---|---|
| 攻撃手法サマリ | GoAnywhere MFTの脆弱性CVE-2023-0669を悪用 |
| マルウェア | Clopランサムウェア |
| 脆弱性 | GoAnywhere MFTの脆弱性CVE-2023-0669 |
| CVE | CVE-2023-0669 |
|---|---|
| 影響を受ける製品 | GoAnywhere MFT |
| 脆弱性サマリ | GoAnywhere MFTにおけるクリティカルな遠隔コード実行の脆弱性 (CVE-2023-0669) がCloplランサムウェアグループによって悪用され、100以上の企業からデータを盗まれた。 |
| 重大度 | 高 |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 有 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | BYOVD攻撃により、AuKillと呼ばれるマルウェアが使用され、システムのセキュリティソリューションが無効化され、バックドアおよびランサムウェアが展開された。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | 不明。国家支援型ハッキンググループから犯罪的目的によるランサムウェアグループまで様々な脅威アクターがこの攻撃手法を使用している。 |
|---|---|
| 攻撃手法サマリ | AuKillと呼ばれるマルウェアによる、Bring Your Own Vulnerable Driver(BYOVD)攻撃。利用されたマルウェアは合法的なドライバーを最初にドロップし、システムのセキュリティソリューションを無効化し、ランサムウェアを展開する。 |
| マルウェア | AuKill |
| 脆弱性 | 不明 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | イギリスの組織(NCSCの警告による) |
| 被害サマリ | 国家を支援するロシアのハッカーが新しいクラスに移行し、DDoS攻撃を実行して主要なエンティティを狙っている。今後、より有害な攻撃に移行する可能性があると警告されている。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 国家を支援するロシアのハッカー |
|---|---|
| 攻撃手法サマリ | DDoS攻撃 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年4月19日 |
|---|---|
| 被害者名 | PaperCut |
| 被害サマリ | 印刷管理ソフトウェアのPaperCutが、すべてのOSプラットフォームで、アプリケーションサーバとサイトサーバの両方を対象とした認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219により、攻撃に悪用されている。PaperCutは、これらの脆弱性が報告された後、アップデートを行うことを推奨している。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 脆弱性を悪用 |
| マルウェア | 不明 |
| 脆弱性 | PaperCut MF/NGのすべてのバージョンで認証なしのリモートコード実行の脆弱性であるZDI-CAN-18987 / PO-1216及び認証なしの情報開示アドレスZDI-CAN-19226 / PO-1219が悪用された。 |
| CVE | ZDI-CAN-18987 / PO-1216 |
|---|---|
| 影響を受ける製品 | PaperCut MF/NGのバージョン8.0以降 |
| 脆弱性サマリ | 認証されていないリモートコード実行の脆弱性 |
| 重大度 | 高 (CVSS v3.1 score: 9.8) |
| RCE | 有 |
| 攻撃観測 | あり |
| PoC公開 | 不明 |