事件発生日 | 2023年5月1日 |
---|---|
被害者名 | 不明 |
被害サマリ | 攻撃者は500,000のデバイスを感染させ、情報窃取マルウェア(S1deload Stealer、SYS01stealer)のバリアントを配布しました。攻撃は、ファイル共有サイトのように見えるプロモーションされたソーシャルメディア投稿で行われました。投稿には、アダルト向け写真アルバムの無料ダウンロードを提供すると主張する広告が含まれていましたが、ZIPファイル内には、実際には実行可能ファイルが含まれていました。この実行可能ファイルをクリックすると、感染チェーンがアクティベートされ、セッションCookie、アカウントデータ、その他の情報を盗むスティーラーマルウェアが展開されます。この攻撃チェーンは、盗まれた情報を使用してさらに多くのスポンサー投稿を推進することで、より大規模にスケーリングされます。 |
被害額 | 不明 |
攻撃者名 | ベトナム人の脅威アクター |
---|---|
攻撃手法サマリ | 攻撃者は、広告を支払って「増幅」するために、サービスのプロモーションされたソーシャルメディア投稿(malverposting)を使用しました。攻撃は、偽の写真家アカウントとしてFacebookに新しいビジネスプロファイルページを提供することによって、Facebookのレーダーをかわしました。 |
マルウェア | S1deload Stealer、SYS01stealer |
脆弱性 | 不明 |
事件発生日 | 2023年5月1日 |
---|---|
被害者名 | ウクライナ政府機関 |
被害サマリ | ロシアのAPT28が、偽の "Windows Update" の件名をつけたフィッシングメールを使用して、ウクライナ政府機関を狙ったサイバー攻撃を実行した。 |
被害額 | 不明(予想不可) |
攻撃者名 | ロシアのAPT28(Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit、Sofacy とも呼ばれる) |
---|---|
攻撃手法サマリ | 偽の "Windows Update" の件名を使ったフィッシングメールを使用し、PowerShellスクリプトを利用してシステム情報を収集して、Mocky APIの指定URLに情報を送信する攻撃。 |
マルウェア | 特定されていない |
脆弱性 | 特定されていない |
事件発生日 | 不明 |
---|---|
被害者名 | ウクライナ政府機関など |
被害サマリ | ロシアのAPT28(通称Fancy Bear)の攻撃により偽装したWindowsアップデートガイドを送り、電子メールに添付されたPowerShellスクリプトを実行させ、情報収集を実施 |
被害額 | 不明(予想:数億円以上) |
攻撃者名 | ロシア政府が支援するAPT28 |
---|---|
攻撃手法サマリ | 偽装したWindowsアップデートガイドの送信と、PowerShellスクリプトを含む電子メールの送信による攻撃 |
マルウェア | 不明 |
脆弱性 | 不明 |
事件発生日 | 2023年3月28日以降(CVE-2023-27532の脆弱性が悪用されたため) |
---|---|
被害者名 | Veeam backup servers |
被害サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)が悪用され、外部からアクセス可能な状態にあった7,500程のサーバーに侵入された。侵入者によって、システム情報や認証情報が抜き取られた。最終的な目的は不明。 |
被害額 | 不明(予想) |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | Veeam Backup and Replicationソフトウェアに存在する高度の脆弱性(CVE-2023-27532)を悪用した攻撃を行ったとされている。攻撃者はFIN7と関連性があるとされている。 |
マルウェア | DiceLoader/Lizarバックドア |
脆弱性 | CVE-2023-27532 |
CVE | CVE-2023-1968, CVE-2023-1966 |
---|---|
影響を受ける製品 | Illumina MiSeqDx、NextSeq 550Dx、iScan、iSeq 100、MiniSeq、MiSeq、NextSeq 500、NextSeq 550、NextSeq 1000/2000、NovaSeq 6000 |
脆弱性サマリ | 1. UCSソフトウェアの10.0の深刻度を持つ脆弱性により、遠隔攻撃者が公開されたIPアドレスにバインドすることが可能になり、ネットワークトラフィックを傍受し、任意のコマンドをリモートで転送することができる。2. 特権の誤構成に関連した脆弱性により、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能になる。 |
重大度 | 高 |
RCE | 有 |
攻撃観測 | 未発生 |
PoC公開 | 無 |
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、IlluminaメディカルデバイスのUniversal Copy Service(UCS)ソフトウェアに影響を与える深刻な脆弱性に関する医療アドバイザリー警告を発行した。次の製品に影響を与える脆弱性があり、遠隔攻撃者は公開されたIPアドレスにバインドすることができ、ネットワークトラフィックを傍受し、リモートで任意のコマンドを転送できる。また、特権の誤構成に関連した脆弱性があり、遠隔で認証されていない悪意のあるアクターが、昇格された権限でコードをアップロードおよび実行することが可能である。これらの脆弱性の悪用は、オペレーティングシステムレベルで実行され、在庫の設定、構成、ソフトウェア、またはデータに影響を与えることができる。FDAによると、認可されていないユーザーはこれらの短所を兵器として利用することができ、臨床診断用に意図された器具のゲノムデータ結果に影響を与えることができる、なお、これらの脆弱性の悪用例は未知である。利用者は、潜在的な脅威を軽減するために、2023年4月5日にリリースされた修正を適用することが推奨されている。
事件発生日 | 2023年4月25日 |
---|---|
被害者名 | Americold |
被害サマリ | 冷凍倉庫・輸送会社のアメリコールド(Americold)がサイバー攻撃を受け、ネットワークがダウンした。アメリコールドは攻撃を抑止し、現在事件を調査中。事件によって業務に深刻な影響が及ぶ状態にある。 |
被害額 | 不明(予想不可) |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | 不明 |
マルウェア | 不明 |
脆弱性 | 不明 |
事件発生日 | 不明 |
---|---|
被害者名 | Yellow Pages Group |
被害サマリ | カナダのディレクトリ出版社であるYellow Pages Groupが、BlackBastaランサムウェアの攻撃を受け、データを盗まれたことが明らかになった。 |
被害額 | 不明(予想不可) |
攻撃者名 | 不明 |
---|---|
攻撃手法サマリ | BlackBastaランサムウェアによる攻撃 |
マルウェア | BlackBastaランサムウェア |
脆弱性 | 不明 |
事件発生日 | 2023年4月28日 |
---|---|
被害者名 | 不明 |
被害サマリ | ViperSoftXという情報窃盗マルウェアが、Chromeのブラウザ拡張子VenomSoftXをインストールし、被害者のウェブブラウジング情報、暗号通貨ウォレットの情報などを盗み集めている。最新版では、KeePassや1Passwordなどのパスワードマネージャーもターゲットに追加され、様々なブラウザを対象とするようになった。また、マルウェア検知を逃れるための改善も行われている。 |
被害額 | 不明(予想: 情報漏洩による損害や、暗号通貨の被害もあるため不明。) |
攻撃者名 | 不明。Trend Microによると、Australia、France、India、Italy、Japan、Malaysia、Taiwan、the United Statesが被害の50%以上を占めているとされた。 |
---|---|
攻撃手法サマリ | ViperSoftXは、ソフトウェアパッケージの中に隠れ、ブラウザ拡張子VenomSoftXをインストールすることで、被害者のウェブブラウジング情報や暗号通貨ウォレット情報を盗み取る。DLLサイドロードを使用して、信頼されたプロセスのコンテキストで実行することで、検知を回避する。また、Byte Mappingという新たなエンコーディング方式を採用し、解析を困難にする工夫がされている。 |
マルウェア | ViperSoftX |
脆弱性 | CVE-2023-24055の脆弱性による攻撃は確認されていないとされている。 |
CVE | CVE番号なし |
---|---|
影響を受ける製品 | KeePass、1Passwordなどのパスワード・マネージャー |
脆弱性サマリ | ViperSoftX情報窃取マルウェア、強化された暗号化や検出回避機能などにより、更に広範な対象に拡大 |
重大度 | なし |
RCE | 不明 |
攻撃観測 | 不明 |
PoC公開 | なし |