| 事件発生日 | 2023年4月4日 |
|---|---|
| 被害者名 | 米国の企業(名称不明) |
| 被害サマリ | 新種のランサムウェア「Rorschach」によって220,000のファイルが4分30秒で暗号化され、既存のランサムウェアの機能を統合するなど、ランサムウェアの攻撃手法が進化した。 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | DLLサイドローディングを用いたランサムウェアの展開など、様々な高度な手法を使用したと見られる。 |
| マルウェア | Rorschach、Babukランサムウェアのソースコードと類似していることが判明している。 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年4月4日 |
|---|---|
| 被害者名 | 不特定のChromium系ブラウザ利用者 |
| 被害サマリ | 偽装したGoogle Drive拡張機能「Rilide」を介して、個人情報を抽出、仮想通貨取引所から資金を盗み出し、偽の2段階認証画面を表示して騙し取るなどの悪意ある行為を行っていた。 |
| 被害額 | 不特定 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Chromium系ブラウザを対象にしたマルウェア「Rilide」を開発して使用していた。 |
| マルウェア | Rilide |
| 脆弱性 | 不明 |
| 事件発生日 | 不明(2022年9月以降) |
|---|---|
| 被害者名 | パレスチナの組織 |
| 被害サマリ | パレスチナの組織をターゲットにした攻撃であり、クレデンシャル情報の盗難とデータの持ち出しを行った。 |
| 被害額 | 不明(予想される被害額は記事からは見当たらない) |
| 攻撃者名 | Arid Viper、Mantis、APT-C-23、Desert Falcon |
|---|---|
| 攻撃手法サマリ | スピアフィッシングのEメールや偽のソーシャルクレデンシャルを使って、マルウェアをデバイスにインストールして情報を盗んだ。 |
| マルウェア | ViperRat、FrozenCell(VolatileVenom)、Micropsiaなど |
| 脆弱性 | 報告されていない |
| CVE | なし |
|---|---|
| 影響を受ける製品 | SaaSアプリケーション |
| 脆弱性サマリ | 公開されたリンクを通じて、SaaSアプリケーション内の機密情報が漏洩する危険性がある。 |
| 重大度 | 不明 |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | なし |
| 事件発生日 | 不明(至少中旬から) |
|---|---|
| 被害者名 | eFile.com |
| 被害サマリ | IRSが承認したeFile.comにおいてJSマルウェアが存在した。このマルウェアが長期間存在しており、この期間にサイトを訪れたユーザーに被害が及んだ可能性がある。 |
| 被害額 | 不明 |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | JSマルウェア |
| マルウェア | 'popper.js'他、複数のマルウェアが使用された可能性がある |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Microsoft OneNote for Microsoft 365 on devices running Windows |
| 脆弱性サマリ | OneNoteがマルウェアの配信経路として悪用されることを防ぐため、危険な拡張子を含む埋め込みファイルを自動的にブロックする |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | 不明 |
| PoC公開 | なし |
| 事件発生日 | 2023年3月 |
|---|---|
| 被害者名 | 3CXおよびその顧客企業 |
| 被害サマリ | ソーラーウィンズやカセイアに似たサプライチェーン攻撃によって、3CXの開発環境が汚染され、顧客企業に送られたトロイの木馬による情報窃取およびマルウェア感染が行われた。一部の暗号通貨企業が旨く標的とされた。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | ラビリンス・チョリマ (Labyrinth Chollima)。ラザルス・グループの一部とされる北朝鮮の国家攻撃組織。 |
|---|---|
| 攻撃手法サマリ | サプライチェーン攻撃。トロイの木馬のひとつ「Gopuram」を使用し、攻撃者の指示を受けることで、被害者のファイルシステムに接続し、プロセスを作成し、最大8個のインメモリモジュールを起動する。 |
| マルウェア | Gopuram、ICONIC Stealer、d3dcompiler_47.dll |
| 脆弱性 | CVE-2023-29059 |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 複数のNATO加盟国の政府関係者、政府職員、軍人、外交官等 |
| 被害サマリ | ロシアのWinter VivernおよびTA473と呼ばれるハッカーグループが、Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性を悪用し、攻撃対象機関のWebメールポータルをターゲットにした攻撃により、政府関係者等のメールボックスからメールを窃取された。 |
| 被害額 | 不明 |
| 攻撃者名 | ロシアのWinter VivernおよびTA473と呼ばれるハッカーグループ |
|---|---|
| 攻撃手法サマリ | Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性を悪用し、Acunetixツールの脆弱性スキャナを利用して脆弱なZCSサーバーを探し、送信者を偽装したフィッシングメールを受信者に送信し、CVE-2022-27926の脆弱性を悪用するか、受信者が自分たちにそれらの資格情報を提供するように誘導した。攻撃が行われると、URLにはJavaScriptスニペットが含まれており、第二段階のペイロードがダウンロードされ、Cross-Site Request Forgery (CSRF)攻撃が行われ、Zimbraユーザーの資格情報およびCSRFトークンが窃取される。その後、犯罪者は、侵害されたWebメールアカウントから機密情報を取得したり、交換されたメールを追跡したり、より多くのフィッシング攻撃を実行して攻撃対象組織の浸透を拡大する可能性がある。 |
| マルウェア | 利用されていない。 |
| 脆弱性 | Zimbra Collaboration (ZCS)のクロスサイトスクリプティングの脆弱性 (CVE-2022-27926)。 |