事件発生日 | 2023年4月27日 |
---|---|
被害者名 | タジキスタンの政府高官、電気通信サービス、公共サービスのインフラストラクチャ |
被害サマリ | 政府関係者やその他の高利値な組織がターゲット |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者名 | ロシア語を話すサイバースパイグループ("Nomadic Octopus"と呼ばれる) |
---|---|
攻撃手法サマリ | フィッシング攻撃やマルウェア利用による侵入、攻撃者によるターゲットサーバーへのアクセス、リモートコード実行によるデータ窃取等を利用したサイバースパイ行為 |
マルウェア | Delphiベースに作成されたマルウェア「Octopus」やTelegramモバイルアプリの代替バージョンに偽装したOctopusなど |
脆弱性 | 公に認知された脆弱性を悪用して攻撃を実行 |
事件発生日 | 不明 |
---|---|
被害者名 | 不特定の組織 |
被害サマリ | 組織がLimeRATマルウェアに感染され、データ盗難、DDoSボットネットの形成、クリプトマイニングの支援がされた |
被害額 | 不明(予想:数十万ドル以上) |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | オブフスケーションとエンクリプションの使用、Base64アルゴリズムとAESアルゴリズムの利用 |
マルウェア | LimeRAT |
脆弱性 | 不明 |
事件発生日 | 2023年4月27日 |
---|---|
被害者名 | 不明 |
被害サマリ | RTM Lockerが、初めてLinuxを含むマシンに侵入してランサムウェアを配信した。Linux、NASおよびESXiホストを感染させ、Babukランサムウェアのリークされたソースコードに触発されたと見られている。感染したホスト上で実行されているすべての仮想マシンを終了してから、暗号化プロセスを開始することにより、ESXiホストを特定している。攻撃者グループは、2025年に活動を始めたサイバー犯罪グループRead The Manual(RTM)のルーツを持ち、高いプロファイルを持つ標的からは距離を置いている。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者名 | 不明。RTMグループのルーツが見つかっている。 |
---|---|
攻撃手法サマリ | ランサムウェア |
マルウェア | RTM Locker |
脆弱性 | 不明 |
事件発生日 | 不明(2023年4月13日より早い) |
---|---|
被害者名 | PaperCutサーバーを利用する顧客 |
被害サマリ | Cl0pおよびLockBitランサムウェアを配信するために利用されたPaperCutの脆弱性(2023-27350およびCVE-2023-27351)が悪用された。第三者からの不正アクセスによって、周辺の重要な情報が盗まれた可能性がある。 |
被害額 | (不明) |
攻撃者名 | Lace Tempest(金銭目的のグループ。国籍などの特徴は不明) |
---|---|
攻撃手法サマリ | PaperCutの脆弱性を悪用して、TrueBot DLLを配信し、Cobalt Strike Beaconイムプラントを配置。WMIを使用してネットワーク内で横断移動し、MegaSyncファイル共有サービスを通じて関連ファイルを外部に流出。 |
マルウェア | Cl0p、LockBit |
脆弱性 | PaperCutの脆弱性(2023-27350およびCVE-2023-27351) |
事件発生日 | 2023年4月 |
---|---|
被害者名 | PaperCut |
被害サマリ | 不特定のサイバー犯罪者が、PaperCutの脆弱性を悪用し、ClopとLockBitのランサムウェアを使用して企業データを盗んだ。 |
被害額 | 不明(予想:数百万ドル) |
攻撃者名 | ClopとLockBitのランサムウェアグループ(Lace Tempestとも呼ばれる) |
---|---|
攻撃手法サマリ | PaperCutの脆弱性(CVE-2023-27350およびCVE-2023-27351)を悪用した攻撃。攻撃者は企業データを盗むためにTrueBotマルウェアを導入し、後にCobalt Strikeビーコンを使用してデータを盗んで拡散した。また、ファイル共有アプリのMegaSyncを使用した。Clopランサムウェアグループは以前、FTA zero-day脆弱性、GoAnywhere MFTのzero-day脆弱性を悪用してデータを盗んでいると報告されている。 |
マルウェア | ClopとLockBitのランサムウェアおよびTrueBotマルウェア |
脆弱性 | CVE-2023-27350およびCVE-2023-27351の脆弱性 |
事件発生日 | 不明(脆弱性の修正が4月19日に発表された) |
---|---|
被害者名 | PaperCut Application Server |
被害サマリ | ClopおよびLockBitのランサムウェアグループがPaperCutサーバーの脆弱性を悪用して、コーポレートデータを窃取していた。 |
被害額 | 不明 |
攻撃者名 | ClopおよびLockBitのランサムウェアグループ |
---|---|
攻撃手法サマリ | 脆弱性の悪用 |
マルウェア | TrueBot、Cobalt Strikeビーコンなど |
脆弱性 | PaperCut Application Serverの複数の脆弱性(CVE-2023–27350、CVE-2023–27351) |
事件発生日 | 2023年4月19日 |
---|---|
被害者名 | PaperCut |
被害サマリ | 不明。ClopランサムウェアグループがPaperCutサーバーへの攻撃を実行した。TrueBotマルウェアやCobalt Strikeビーコンを使用し、MegaSyncファイル共有アプリケーションを用いたデータ窃盗も行われた。 |
被害額 | 不明(予想:数百万ドル以上) |
攻撃者名 | Clopランサムウェアグループ |
---|---|
攻撃手法サマリ | 脆弱性を攻撃してPaperCutサーバーに侵入し、TrueBotマルウェアやCobalt Strikeビーコンを使用したデータ窃盗を行った。 |
マルウェア | TrueBotマルウェア、Cobalt Strikeビーコン |
脆弱性 | PaperCut Application Serverの脆弱性(CVE-2023-27350、CVE-2023-27351) |
事件発生日 | 不明 |
---|---|
被害者名 | 300百万人以上(ウクライナ国民や欧州諸国民) |
被害サマリ | 個人情報(パスポート情報、納税者番号、出生証明書、運転免許証、銀行口座情報)が流出した。 |
被害額 | 不明(予想:数千万ドル~数億ドル) |
攻撃者名 | ウクライナ人男性1名 |
---|---|
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
事件発生日 | 不明 |
---|---|
被害者名 | 不明 |
被害サマリ | Google Authenticatorの2FAコードがクラウドサーバに同期された際、エンドツーエンドの暗号化がされていない可能性がある |
被害額 | 不明 |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | Google Authenticatorの2FAコードがクラウドサーバに同期された際のエンドツーエンド暗号化の欠如 |
マルウェア | 特定されていない |
脆弱性 | エンドツーエンド暗号化が欠如した点に起因するセキュリティ上の脆弱性 |
CVE | なし |
---|---|
影響を受ける製品 | Google Authenticator |
脆弱性サマリ | Google Authenticatorのクラウドバックアップ機能がエンドトーエンドの暗号化を提供していないため、Googleが意図しない第三者によって2FA QRコード中の秘密が取得される可能性がある。 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | なし |
CVE | CVE-2023-30839 |
---|---|
影響を受ける製品 | PrestaShop (version 8.0.3 以前) |
脆弱性サマリ | PrestaShopは、不正なアクセス権限を持つバックオフィスユーザーによってSQLデータベースに書き込み、更新、または削除される脆弱性を修正しました。 |
重大度 | 高 (CVSS v3.1スコア:9.9) |
RCE | 不明 |
攻撃観測 | なし |
PoC公開 | 不明 |