| 事件発生日 | 2023年6月15日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | ランサムウェアのウォレットアドレスからマイニングプールを介して、$19.1 millionが4つのランサムウェアウォレットアドレスから、$14.1 millionが3つのマイニングプールから、多くの資金が仲介ウォレットとプールのネットワークを介して送信された。これは、資金の出所を曖昧にし、ランサムウェアからではなくマイニングから得た資金であるとして被害額を洗浄するのに役立つ。 |
| 被害額 | $33.2 million |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | クラウドマイニングサービスをいたずらに使うことにより、ランサムウェアグループが資金を洗浄していることが確認された。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2022年8月以降 |
|---|---|
| 被害者名 | Androidユーザー |
| 被害サマリ | 最新版のGravityRATが拡散され、トロイの木馬化されたチャットアプリ"BinchChat"を使ってAndroidデバイスを感染させ、WhatsAppのバックアップファイルを盗むマルウェアであることが判明した。 |
| 被害額 | 不明 |
| 攻撃者名 | SpaceCobra(インドに焦点を絞って攻撃を行うマルウェアグループ) |
|---|---|
| 攻撃手法サマリ | トロイの木馬化されたチャットアプリの不正配信による攻撃 |
| マルウェア | GravityRAT |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月27日 |
|---|---|
| 被害者名 | MOVEit Transferを使用した企業・機関 |
| 被害サマリ | Clop ransomwareによって、ファイルがサーバから盗まれた。被害者の一部はClopによってリストされ、要求された金額が支払われなければ、2023年6月21日にデータがリークされる予定。 |
| 被害額 | 不明(予想:不明) |
| 攻撃者名 | Clop ransomware gang |
|---|---|
| 攻撃手法サマリ | MOVEit Transferのゼロデイ脆弱性を悪用してファイルを盗み、被害者に金銭を要求している。 |
| マルウェア | Clop ransomware |
| 脆弱性 | MOVEit Transferのゼロデイ脆弱性 |
| 事件発生日 | 2022年10月10日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | 中国系のUNC4841グループによって、Barracuda Email Security Gateway(appliances)のパッチ済みのゼロデイ脆弱性を攻撃された私的、公共セクターを含めた少なくとも16か国の組織が被害に遭った。攻撃手法は、UNC4841グループが添付ファイルを含むメールを送り、そのメールに含まれる不完全な添付ファイルの検証による遠隔コードインジェクションに乗じ、SALTWATER、SEASIDE、およびSEASPYの3種類のマルウェアをバラクーダの偽装モジュールまたはサービスとして送りつけ、任意のコマンドを実行していた。 |
| 被害額 | 不明(予想:数十億円以上) |
| 攻撃者名 | UNC4841グループ(中国系) |
|---|---|
| 攻撃手法サマリ | UNC4841グループが添付ファイルを含むメールを送り、そのメールに含まれる不完全な添付ファイルの検証による遠隔コードインジェクションに乗じ、SALTWATER、SEASIDE、およびSEASPYの3種類のマルウェアをバラクーダの偽装モジュールまたはサービスとして送りつけ、任意のコマンドを実行していた。また、SANDBARというカーネル・ルートキットとSEASPRAY、SKIPJACKというBarracuda Luaモジュールも使用していた。 |
| マルウェア | SALTWATER、SEASIDE、SEASPY |
| 脆弱性 | CVE-2023-2868 |
| 事件発生日 | 2023年5月3日 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Vidarマルウェアの脅威は引き続き存在し、その背後にある脅威アクターはインフラストラクチャーを改良しているようだ。 |
| 被害額 | 不明(予想不可) |
| 攻撃者名 | MoldovaおよびRussiaに基盤を置くプロバイダーに偏りを持つ、国籍不明の脅威アクター |
|---|---|
| 攻撃手法サマリ | Vidarマルウェアを使用し、フィッシングキャンペーン、クラックされたソフトウェア、または偽Google広告といった手法で感染を広げ、被害者の個人情報を収集する。 |
| マルウェア | Vidarマルウェア、Arkeiマルウェア |
| 脆弱性 | 不明 |
| 事件発生日 | 2022年10月10日以降 |
|---|---|
| 被害者名 | Barracuda ESG(電子メールセキュリティゲートウェイ) |
| 被害サマリ | 中国のハッカーグループが、Barracuda ESG Appliancesの脆弱性を利用してデータ盗難攻撃を行った。被害者のデバイスを無償で交換するように要求されたが、これは脆弱性を利用したマルウェアによる深刻な感染が懸念されたためである。 |
| 被害額 | 不明 |
| 攻撃者名 | 中国のハッカーグループ(UNC4841) |
|---|---|
| 攻撃手法サマリ | Barracuda ESGの電子メール添付ファイルスキャンモジュールにあるCVE-2023-2868のゼロデイ脆弱性を悪用し、デバイスにリモートコード実行を行った攻撃。 |
| マルウェア | Saltwater、Seaspy、Seasideなどのマルウェアを使用した攻撃があった。 |
| 脆弱性 | Barracuda ESGの電子メール添付ファイルスキャンモジュールにあるCVE-2023-2868のゼロデイ脆弱性が攻撃に利用された。 |
| 事件発生日 | 2022年6月以降 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Androidリモートアクセス型トロイのGravityRATが更新され、メッセージングアプリBingeChatおよびChaticoの偽装により、狭くターゲットされた攻撃キャンペーンの一部として悪用され、WhatsAppバックアップを流出させ、ファイルを削除するように指示を受けることができるようになった。攻撃者は、軍事関係者やジャーナリスト、浪漫的な関係を望む女性などのフィクションの人物を演じて、FacebookやInstagramで潜在的なターゲットに接触し、彼らを誘惑して、ろくでなしのWebサイトを介してダウンロード・インストールさせる模様。 |
| 被害額 | 不明(予想:特定できず) |
| 攻撃者名 | 不明(攻撃はパキスタンに拠点を有すると疑われている) |
|---|---|
| 攻撃手法サマリ | 偽装されたメッセージングアプリを使った攻撃 |
| マルウェア | GravityRAT(別名:SpaceCobra) |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年5月24日 |
|---|---|
| 被害者名 | オープンソースプロジェクト利用者 |
| 被害サマリ | サードパーティーによってアマゾンS3バケットが乗っ取られ、マルウェアが提供されたことで、ユーザーID、パスワード、ローカルマシンの環境変数、ローカルホスト名が盗まれた。多数のパッケージが影響を受け、ユーザーは感染したバイナリをダウンロードしてしまった。 |
| 被害額 | 不明(予想:被害の種類上、金銭的被害はない) |
| 攻撃者名 | 不明(サードパーティー) |
|---|---|
| 攻撃手法サマリ | サードパーティーによるアマゾンS3バケットの乗っ取りによるマルウェアの提供 |
| マルウェア | 不明 |
| 脆弱性 | アマゾンS3バケットの未使用設定 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Amazon S3 |
| 脆弱性サマリ | 使用されなくなったAmazon S3バケットを利用したサプライチェーン攻撃で、マルウェアをダウンロードさせる |
| 重大度 | 高 |
| RCE | 無 |
| 攻撃観測 | 有 |
| PoC公開 | 不明 |