ここでは実際に2024Q4に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。
マルウェア・ランサムウェアに関する記事もこちらに統合しました(ランサムウェア攻撃という様に、最近では不可分になってきたため)
2024Q2 マルウェア・ランサムウェア(Malware/Ransomware) 情報
2024Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報はこちら
脅威動向に関する情報はこちら(外部サイト)もご参照下さい
2024/12/03
ロシアがHydraMarket(Darkweb)の首謀者に終身刑を宣告
- bleepingcomputerより
- ロシア当局は、現在閉鎖されているダークウェブプラットフォーム「HydraMarket」の背後にいる犯罪グループのリーダーに終身刑を言い渡したとの事です。
2024/11/29
UKの病院ネットワークがサイバー攻撃により医療措置が遅延する
- bleepingcomputerより
- NHS財団トラストの一部である英国の大手医療プロバイダーであるウィラル大学教育病院(WUTH)が、サイバー攻撃を受け、システム障害を引き起こし、予約や予定されていた処置の延期につながった模様です。
- 発表はこちらになります。
Linux用のUEFI Bootkitマルウェア「Bootkitty」が発見される
- bleepingcomputerより
- 研究者がLinux用の初のUEFI Bootkitマルウェア「Bootkitty」を発見した模様です。こちらのマルウェアはUbuntu上で動作する模様です。
「SaltTyphoon」がT-Mobile製品を標的にした攻撃を行っていた模様
- T-Mobileのブログより
- T-Mobileが、中国に関連した脅威アクター「Salt Typhoon」による高度に連携した一連のサイバー攻撃に関しての報告を行っています。
- こちらも別記事でまとめる予定です(溜まってるなー)
「NachoVPN」攻撃によりPaloAlto/SonicWallに悪意のあるアップデートがされる可能性
- bleepingcomputerより
- 「NachoVPN」と呼ばれる攻撃により、パッチが適用されていないPaloAltoおよび SonicWall SSL-VPN クライアントが不正な VPN サーバーに接続すると、悪意のあるアップデートがインストールされる可能性があるとのことです。
- NachoVPN攻撃の説明はこちらになります。
ロシアのRomComグループがFirefox/Windowsのゼロデイ脆弱性を悪用
- bleepingcomputerより
- ロシアのRomComグループがFirefoxの脆弱性(CVE-2024-9680: Use After Free)やWindowsの脆弱性(CVE-2024-49039)を悪用しているとのことです。
Blue Yonder(食料品店のサプライチェーン)がランサムウェアの攻撃に
- bleepingcomputerより
- パナソニックの子会社であるBlue Yonderがランサムウェア攻撃にあい、同社のサービスに重大な混乱が生じ、英国の食料品店チェーンにも影響が出ていると警告しています。
- StarBucksにも影響があった模様です。
Earth Estries(別名Salt Typhoon)が新たにGhostSpiderマルウェアを使用してバックドア通信を行う
- TrendMicroのブログより
- 2023 年以降、 Earth Estries (別名 Salt タイフーン、FamousSparrow、Ghostemperor、UNC2286) は、最も攻撃的な中国の高度持続的脅威 (APT) グループの 1 つとして台頭し、主に米国、アジアの電気通信や政府機関などの重要な産業をターゲットにしています。
- Trend Microの調査によるとEarth EstriesはGHOSTSPIDERというバックドア用のマルウェアを使用しているようです。
- こちらもどこかでまとめたいと思います。
2024/11/23
Linuxマルウェア「WolfsBane」
- bleepingcomputerより
- 新たなバックドアの「WolfsBane」が発見された模様です。こちらも後で情報を更新します。
CISAがBianLianランサムウェアグループの情報をアップデート
MicrosoftがDigitalDefenseReport2024を公開
- PDFがこちらからダウンロードできます。
- コレに関してはじっくり読んで取り上げたいと思います。
BlueSky が暗号通貨詐欺に
- bleepingcomputerより
- Twitter/Xから流れてきてユーザ数が増加しているBlueSkyに、暗号通貨詐欺も流れ込んできている模様です。
2024/11/21
GhostTap攻撃
- ThreatFabricより
- モバイルユーザを標的とした新たな攻撃として「GhostTap攻撃」が見つかった模様です。
- こちらも別記事でまとめる予定です。
Fordが顧客データ漏洩を受けて侵害疑惑を調査
- bleepingcomputerより
- Fordは攻撃者がハッキングフォーラムで 44,000 件の顧客記録を漏洩したと主張し、データ侵害を受けたとの疑惑を捜査しています。
D-Linkが脆弱性が出ているEoL製品について廃棄を勧める
- D-LinkのAdvisoryより
- DSR-150/DSR-150N/DSR-250/DSR-250N/DSR-500N/DSR-1000N: すべての H/W リビジョン / すべての F/W バージョン – サポート終了 / サービス終了になっているので、脆弱性が出ていますが廃棄してください、とのことです。
- こちらはJapanSecuritySummitUpdateの記事にまとめると思います。
Helldown ランサムウェアが Zyxel VPN の欠陥を悪用してネットワークに侵入
- SEKOIAのブログより
- Sekoia の脅威検出および調査 (TDR) チームは、ソーシャル メディアの監視を通じて、 LinuxシステムをターゲットとしたHelldownランサムウェアの亜種を特定したそうです。
- こちらも長くなりますので別記事でまとめる予定です。
中国の攻撃者BrazenBambooがFortiClientを悪用するマルウェアDEEPDATAを作成して認証情報を盗む
- Voltexityのブログより
- BrazenBamboo が2024年7月に修正されたWindowsの FortiClient の脆弱性を悪用し、DEEPDATA 経由で VPN 認証情報を盗んでいるとの報告です。
- こちらも別記事でまとめる予定です。
米国の宇宙関連企業大手Maxarがデータ侵害を公開
- bleepingcomputerより
- 米国の衛星メーカーMaxar Space Systemsにハッカーが侵入しデータが侵害されたとの情報が公開されました。
2024/11/15
GitHubへのコードコミットによる攻撃
- bleepingcomputerより
- 最近では、AI および機械学習のスタートアップである Exo Labs の GitHub リポジトリが攻撃の標的となっています。
- EXO Labsの共同創設者Alex Cheema氏は、EXOのGitHubリポジトリに提出された「無害に見える」コード変更について全員に警告している模様です。
T-Mobileが中国のハッカーによる侵入を認める
- WSJより
- 中国による通信ネットワークへの大規模な侵入でT-Mobileがハッキングされた模様です。
- 「T-Mobileはこの業界全体にわたる攻撃を注意深く監視しており、現時点ではT-Mobileのシステムとデータは重大な影響を受けておらず、顧客情報への影響の証拠もありません」と同社の広報担当者は述べています。
2024/11/13
Amazonが昨年のMOVEitによるデータ侵害を認める
- bleepingcomputerより
- 2023年5月のMOVEit攻撃で盗まれたとされるデータがハッキングフォーラムに流出したことを受け、アマゾンは従業員情報に関わるデータ侵害を認めた。
- Nam3L3ss は他の 25 社のデータも漏洩しました。ただし、一部のデータは、ランサムギャングの漏洩サイトや、公開された AWS および Azure バッカーなど、他のソースから取得されたものであると彼らは述べています。
- あちこちで記事になっていますね。これもまとめます。
Halliburtonが8月のランサムウェア攻撃で3,500万ドルの損失
- bleepingcomputerより
- ハリバートンは、8月のランサムウェア攻撃によりITシステムが停止し、顧客との接続が遮断され、3,500万ドルの損失が発生したことを明らかにしています。
2024/11/10
Void Arachne は Winos 4.0 C&C フレームワークで中国語ユーザーを標的に
- TrendMicroより
- TrendMicroは4 月初旬に新しい脅威グループ (Void Arachne と呼んでいます) が中国語を話すユーザーをターゲットにしていることを発見しました。
- 詳しい内容はレポートを確認してください。
新たなSteelfoxトロイの木馬が重要なデータを盗み仮想通貨マイニングを行う
- Kasperskyのレポートより
- 2024 年 8 月、Kasperskyチームが新しいクライムウェア バンドルを特定し、「SteelFox」と名付けました。この脅威は、シェルコーディングを含む高度な実行チェーンを介して配信され、Windows のサービスとドライバーを悪用します。 Foxit PDF Editor や AutoCAD などの人気のあるソフトウェアを模倣して、フォーラムの投稿、トレント トラッカー、ブログを通じて拡散します。また、スティーラー マルウェアを使用して、被害者のクレジット カード データと感染したデバイスの詳細を抽出します。
ワシントンの司法情報システムが停止
- bleepingcomputerより
- 11/03より当局がネットワーク上で「不正行為」が検出されたと発表して以来、ワシントン州全域の裁判所システムがダウンしているとの事です。
2024/11/05
Nokia、ハッカーがコードを盗んだという話があり調査を開始
- bleepingcomputerより
- Nokiaは、ハッカーが同社の盗んだソースコードを販売していると主張したことを受けて、サードパーティベンダーが侵害されたかどうかを調査しているとの事です。
DocuSign の Envelopes API を悪用して本物の偽の請求書を送信
- bleepingcomputerより
- 脅威アクターがDocuSign の Envelopes API を悪用し、Norton や PayPal などの有名ブランドになりすまして、本物のように見える偽の請求書を作成して大量配布しています。
- 攻撃者は、正規のサービスを使用して、実際の DocuSign ドメイン docusign.net から送信される電子メールのセキュリティ保護をバイパスします。
- 目標は、ターゲットに文書に電子署名させ、それを使用して会社の請求部門から独立して支払いを承認できるようにすることです。
小さなQEMUのLinuxバックドアを送り込むフィッシング
- bleepingcomputerより
- 「CRON#TRAP」と名付けられた新たなフィッシングキャンペーンは、企業ネットワークへのステルスアクセスを可能にするバックドアが組み込まれたLinux仮想マシンでWindowsを感染させるとの事です。
コロンバス市、7月のランサムウェア攻撃で50万人に影響があったとの発表
- bleepingcomputerより
- オハイオ州コロンバス市は、2024 年 7 月のサイバー攻撃でランサムウェアグループが個人情報と金融情報を盗んだことを 50 万人の個人に通知しているとのことです。
FreeBSDをターゲットとしたInterlockランサムウェアオペレーション
- bleepingcomputerより
- 2024年9月に見つかったInterlock という名前の比較的新しいランサムウェア オペレーションは、FreeBSD サーバーをターゲットとする暗号化プログラムを作成するという珍しいアプローチを採用して、世界中の組織を攻撃しているそうです。
- こちらも別記事でまとめる予定です(そろそろ動かないと・・、今週中にはなんとか)。
LAの公営住宅局「ロサンゼルス住宅局(HACLA)」がCactusに攻撃される
- bleepingcomputerより
- 米国最大の公営住宅当局の一つであるロサンゼルス市住宅局(HACLA)は、Cactusランサムウェア集団によりITネットワークがサイバー攻撃を受けたことを認めたそうです。
2024/11/02
LastPass、顧客データを盗もうとする偽のサポートセンターを警告
- bleepingcomputerより
- 脅威アクターは、偽の LastPass カスタマー サポート番号を使用して 5 つ星のレビューを残すことで、同社のユーザー ベースの大部分をターゲットにしようとしています。
- レビューでは、アプリで問題が発生したユーザーに対し、ベンダーとは関係のない LastPass オンライン カスタマー サービス (805-206-2892) に連絡するよう促しています。
- こちらも別記事でまとめる予定です。
ソフォスが5 年以上にわたる中国拠点の脅威グループに関するレポートを公開
- Sophos X-Opsのレポートより
- Sophos X-Ops が、境界デバイスをターゲットとする中国を拠点とするグループを追跡する 5 年間の調査を発表しています。読み応えがあります。
- こちらも別記事でまとめる予定です。
中国のハッカーがQuad7 botnetを利用して認証情報を侵害しているとMicrosoftの調査
- bleepingcomputerより
- Microsoft は、中国の攻撃者が、ハッキングされた SOHO ルーターから侵害された Quad7 ボットネットを使用して、パスワード スプレー攻撃で資格情報を盗んでいると警告しています。
- こちらは別記事でまとめる予定です。
2024/10/30
米国司法省、RedLineとMETA Infostearsに対する国際的な取り組みを発表
- justice.govより
- 司法省は、オランダ、ベルギー、ユーロジャスト、その他のパートナーと協力して、数百万台の被害者のコンピュータを標的にしてきた世界で最も蔓延している情報窃取者の 1 つである RedLine Infostealer / Meta Infostealerに対する国際的な破壊活動を発表しました。
2024/10/29
Free(フランスの2番めに大きなISP)がデータ侵害
- bleepingcomputerより
- フランスの大手インターネットサービスプロバイダー(ISP)であるFreeは先週末、ハッカーが同社のシステムに侵入し、顧客の個人情報を盗んだことを認めたとのことです。
2024/10/28
Fog/Akira ランサムウェアグループがSonicWallの脆弱性(CVE-2024-40766)を攻撃
- bleepingcomputerより
- Fogランサムウェアグループ、Akiraランサムウェアグループが、8月に修正されたSonicWallの脆弱性(CVE-2024-40766)を狙った攻撃を行っている模様です。
Black Basta ランサムウェアグループがMicrosoftのサポートを装ってフィッシング
- ReliaQuestのレポートより
- Black BastaランサムウェアグループがMSのサポートを装ってフィッシングを行っている模様です。
- 下記のようなTeamsChatのテナントが見つかっている模様です。
- securityadminhelper.onmicrosoft[.]com
- supportserviceadmin.onmicrosoft[.]com
- supportadministrator.onmicrosoft[.]com
- cybersecurityadmin.onmicrosoft[.]com
- 下記のようなTeamsChatのテナントが見つかっている模様です。
2024/10/23
WinReg攻撃
- Akamaiの発表より
- WinReg攻撃というMS-RPCを狙った攻撃が見つかった模様です。
Internet Archiveが盗まれた認証情報で再度攻撃を受ける
- bleepingcomputerより
- Internet Archiveが先日も攻撃を受けましたが、再度攻撃を受けている模様です。
2024/10/20
Ciscoがデータ侵害を受ける
- Ciscoのブログより
- Ciscoの調査に基づき、システムへの侵害がなかったことを確信しているとのことです。
- Ciscoは、問題のデータが一般向けの DevHub 環境上にあると判断しています。これは、顧客が必要に応じて使用できるソフトウェア コードやスクリプトなどを提供してコミュニティをサポートできるシスコ リソース センターです。
- 調査の現段階では、パブリックダウンロードが許可されていない少数のファイルが公開されている可能性があると判断しました。 現時点では、機密の PII や財務データなどの機密情報が含まれているのは確認されていませんが、確認のため調査を続けているとのことです。
- 2024/11/05追記:https://sec.cloudapps.cisco.com/security/center/resources/october_15_2024
- 「Ciscoは、クラウドベースのサービスやその他のエンタープライズ製品を含む当社のシステムに侵害がなかったと確信しています。 当社は、問題のデータが当社の公開 DevHub サイトでホストされていたと判断しました。このサイトは、顧客や他の DevHub ユーザがソフトウェア コードやスクリプトなどを公開してコミュニティをサポートできるCiscoリソース センターです。」
ESETが侵害を受けイスラエルパートナーにデータワイパーが送信される
- bleepingcomputerより
- ハッカーはイスラエルのESETの独占パートナーに侵入し、ウイルス対策ソフトウェアを装ったデータワイパーを押しつけて破壊的な攻撃を行うフィッシングメールをイスラエルの企業に送信した。
- データ ワイパーは、コンピュータ上のすべてのファイルを意図的に削除し、通常はパーティション テーブルを削除または破損してデータの回復を困難にするマルウェアです。
- 10月8日に始まったフィッシングキャンペーンでは、ESETのロゴが入った電子メールが正規のeset.co.ilドメインから送信され、イスラエル部門の電子メールサーバーが攻撃の一環として侵害されたことが示された。
Nidecがサイバー攻撃を受けた事を認める
- Nidecのベトナム子会社が8月にサイバー攻撃を受けていた模様です。
- 発表はこちらになります。
- こちらは別記事でまとめる予定です。多分、サイバートラストかな。
北朝鮮のITハッカーが雇用主を騙してデータを盗難
- bleepingcomputerより
- 西側企業をだまして雇わせようとする北朝鮮のIT専門家らは、組織のネットワークからデータを盗み、漏洩しないよう身代金を要求しているとの調査結果です。
- SecureWorksの記事はこちらになります。
BianLianランサムウェアグループがボストンの小児保険医を攻撃したと主張
- bleepingcomputerより
- BianLian ランサムウェア グループは、ボストン小児保健医 (BCHP) に対するサイバー攻撃を行ったと主張し、身代金が支払われなければ盗まれたファイルを漏洩すると脅迫しています。
イランのハッカーが重要インフラへのアクセスを販売するブローカーとして活動
- bleepingcomputerより
- CISAの勧告はこちら
- イランのハッカーがIABとして活動しているようで、CISAが勧告を発行しています。
- アメリカのサイバー防衛庁(CISA)が発行した勧告には、イランのハッカーがネットワークを侵害し、追加のアクセスポイントを提供するデータを収集するために使用した最新の活動と手法が記載されています。
2024/10/15
ポケモンゲームを手掛けるゲームフリーク社がサイバー攻撃に
- こちらのまとめより
- ゲーム関係は全く疎いので気づきませんでしたが、先週末から騒ぎになっている模様です。あちこちでまとめが出来ています。
- こちらもどこかでまとめると思います(が、ゲーム関係疎いのでまとめられないかもな・・)
Fidelityがサイバー攻撃
- bleepingcomputerより
- Fidelityが8月17-19日にサイバー攻撃によるデータ侵害を受けていた模様。77,000人の顧客の個人情報が流出した模様です。攻撃者は未だ特定されていません。
UndergroundランサムウェアグループがCASIOへの攻撃を主張
- bleepingcomputerより
- Undergroundランサムウェアグループが、10/05に発生したCASIOへの攻撃を主張している模様です。
- Undergroundランサムウェアグループに関しては、こちらにまとめています。
2024/10/10
Internet Archiveが攻撃される
- bleepingcomputerより
- Internet Archive の「The Wayback Machine」は、攻撃者が Web サイトに侵入し、3,100 万件の一意のレコードを含むユーザー認証データベースを盗んだ事を明らかにしました。
- データベースには 3,100 万件の一意の電子メール アドレスがあり、その多くが HIBP(Have I Been Pwned) データ侵害通知サービスに登録しているということです 。データは間もなく HIBP に追加され、ユーザーが自分の電子メールを入力して、自分のデータがこの侵害で漏洩したかどうかを確認できるようになります。
2024/10/09
Phissing-As-A-ServiceのMambaがMicrosoft 365を標的に
- bleepingcomputerより
- Mamba 2FA と呼ばれる新興のサービスとしてのフィッシング (PhaaS) プラットフォームが、巧妙に作成されたログイン ページを使用した AiTM 攻撃で Microsoft 365 アカウントをターゲットにしていることが観察されています。
カシオが攻撃された模様
- カシオのサイトより
- 10/05にカシオがサイバー攻撃を受けた模様です。「10月5日に、当社のネットワークが第三者による不正アクセスを受けたことを確認しました」とのことです。
- 続報があり次第更新します。
2024/10/06
“perfctl”という新たなLinuxマルウェアがLinuxサーバを標的に
- Aqua Blogより
- Aqua Nautilus の研究者が、過去3-4年に渡って20,000 種類を超える構成ミスを積極的に探索してきたLinux マルウェア”perfctl”について解説しています。実際、その規模を考慮すると、攻撃者は世界中で数百万人をターゲットにしており、潜在的な被害者数は数千人と強く信じられており、このマルウェアではどの Linux サーバーも危険にさらされる可能性があるようです。
- Aqua Blogに攻撃のフロー図も公開されていますので参考にしてください。
2024/10/01
JPCERTによりWindowsEventLogに残ったランサムウェア攻撃の痕跡解析方法
- JPCERTブログより
- JPCERTブログで、各ランサムウェア実行時にWindowsイベントログに記録されるログについて紹介します。
AFPがサイバー攻撃に
- bleepingcomputerより
- AFPがサイバー攻撃に遭った模様です。この攻撃は世界中の報道に影響を与えていないが、一部の顧客サービスに影響を与えている模様です。
- AFPのITスタッフはフランスのサイバーセキュリティ庁(ANSSI)と協力して攻撃を軽減し、その影響を解決しようとしています。詳細が入り次第ブログでまとめます。