2024Q1 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。
脅威動向に関する情報はこちら(外部サイト)もご参照下さい
2024/05/10
ポーランド政府のネットワークがロシア軍のハッカー(APT28)の攻撃に遭っている模様
- bleepingcomputerより
- ポーランドは、ロシア軍事情報局(GRU)に関連する国家支援の脅威アクターATP28がポーランド政府を標的にしていると発表しています。
- ポーランドCERTの記事はこちらになります。
2024/05/08
英国、国防省の給与データがデータ侵害で流出したことを確認
- bleepingcomputerより
- 英国政府は05/07/2024に、攻撃者が最近国防省に侵入し、軍の支払いネットワークの一部にアクセスしたことを確認しました。
- 侵害されたホストには、主に名前と銀行口座の詳細情報と、住所の情報も一部入っていた模様です。 27万件の給与記録が流出したと推定されています。
2024/05/05
APT24(イランが支援している脅威アクター)がソーシャルエンジニアリングを利用して侵入
- bleepingcomputerより
- APT24(イランが支援している脅威アクター)がソーシャルエンジニアリングを利用して西側および中東のターゲットの企業ネットワークとクラウド環境に侵入している様です。
- APT42 の活動を追跡している Google の脅威アナリストは、攻撃者がメールを使用して「Nicecurl」と「Tamecat」にターゲットを感染させていると報告しています。
2024/05/04
NATOとEU、ドイツ、チェコに対するロシアのサイバー攻撃を非難
- bleepingcomputerより
- NATOとEUがAPT28によるサイバースパイ活動に対して正式に非難声明を出した模様です。
- EUの声明はこちらになります。
- 詳しい情報は別記事で纏める予定です。
2024/05/01
「Muddling Meerkat」が中国のグレート ファイアウォール (GFW) を介してDNSを操作
- Infobloxの記事より
- Muddling Meerkatが、中国によって広められた高度なDNSアクティビティを利用して、従来のセキュリティ対策を回避し、世界中のネットワークを調査しているそうです。
- こちらは別記事でまとめようと思います。
2024/04/24
米国財務省が、米国企業や政府機関を標的とするイランのサイバー攻撃者を制裁対象に
- 米国財務省の発表より
- 米国財務省外国資産管理局(OFAC)は本日、イラン・イスラム革命防衛隊サイバー電子司令部(IRGC-CEC)に代わって悪意のあるサイバー活動に関与した2社と4人の個人を制裁対象としたとの事です。
- こちらは米国司法省のプレスになります。「米国企業を標的とした複数年にわたるサイバー攻撃でイラン人4人を起訴」との事です。
北朝鮮のハッカー集団が韓国の防衛産業企業に侵入
- bleepingcomputerより
- 韓国の警察庁が、北朝鮮のハッカー集団が防衛産業企業を標的にして貴重な技術情報を盗んでいることについて緊急警告を発したとの事です。
ロシアのAPT28がGooseEggと呼ばれるツールを用いてWindows Spoolerの脆弱性を侵害
- APT28は「少なくとも 2020 年 6 月以降、おそらく早ければ 2019 年 4 月以降」このツールを使用して CVE-2022-38028 脆弱性を悪用していたとのことです。
ロシアのSandwormがウクライナの20の重要な組織を標的にする
- bleepingcomputerより
- CERT-UAの報告はこちら
- CERT-UAの報告書によると、ロシアのSandwormがウクライナ国内の約20の重要インフラ施設の運用を妨害しようとしていた様です。
2024/04/21
MITREがIvantiの脆弱性をつかれ国家が関係しているハッカーに侵入されたと発表
- MITREのニュースより
- MITREによると、研究、開発、プロトタイピングに使用される共同ネットワークであるネットワーク実験・研究・仮想化環境 (NERVE) 上で不審なアクティビティが検出された後、海外国家が支援する脅威アクターによる侵害が確認されたそうです。
- MITRE は、Center for Threat-Informed Defense を通じてインシデントに関する最初の詳細を公開しました。
- こちらによると、2024年4月にMITRE が研究およびプロトタイピング ネットワークの 1 つに侵入されたことを確認したとの事です。
- 2024 年 1 月以降、攻撃者は当社のネットワークを偵察し、 Ivanti Connect Secure の 2 つのゼロデイ脆弱性 を通じて当社の仮想プライベート ネットワーク (VPN) の 1 つを悪用し、セッション ハイジャックを使用して当社の多要素認証を回避。その後、ラテラルムーブメント(水平移動)でVMWareインフラを侵害した模様です。
- 事件の当時(1月)、Ivantiの対応は行っていましたがVMWareの方は水平移動が検出されていなかったため、VMWareは大丈夫だと信じていたとの事です。
- この特定の事件の詳細を超えて、MITRE は業界全体のサイバーセキュリティを強化するという公益の使命に取り組んでいます。情報は更新されていくそうですので、どこかで記事にまとめたいと思います。
2024/04/18
ロシアのSandwormがハクティビストを装い水道施設への攻撃
- bleepingcomputerより
- Mandiantによると、Sandwormが(APT44)がハクティビストを装い水道施設への攻撃をおこなっている様です。
- 細かい情報は、別の記事に纏める予定です。