2023Q3 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。
2023/12/29
ロシアのハッカーが新たなMASEPIEマルウェアでウクライナをサイバー攻撃
- bleepingcomputerより
- ウクライナのCERT-UAによると、ロシアが背後にいるAPT28が新たな「MASEPIE」マルウェアでウクライナを攻撃している様です。
- フィッシングメールを用いて被害者を悪意のある Web リソースにリダイレクトし、JavaScript を使用してWindows ショートカット ファイル (LNK) をドロップさせてPowerShell コマンドを起動させ、「MASEPIE」と呼ばれる新しい Python マルウェア ダウンローダーをダウンロードする様です。
2023/12/16
ロシア対外情報局(SVR)がJetBrains TeamCityの脆弱性(CVE-2023-42793)を世界的に悪用しているとCISAが注意喚起
- CISA Advisoryより
- FBI、CISA、NSA、ポーランド軍事防諜局 (SKW)、CERT ポルスカ (CERT.PL)、および英国の国家サイバーセキュリティセンター (NCSC) は、ロシア対外情報局 (SVR) のサイバー攻撃者 (APT 29: Dukes、CozyBear、NOBELIUM/Midnight Blizzard としても知られる) がJetBrains TeamCityの脆弱性 CVE-2023-42793 を大規模に悪用していることを観測し、共同で注意喚起を行っています。
- SVRは2020年のSolarWindsのインシデントの際にも同様の動きを示していたとのことで、今回も注意が必要な様です。
- 詳しい情報は、CISA Advisoryを見てください。
2023/12/13
ウクライナ最大の携帯電話会社Kyivstarがサイバー攻撃を受けてダウン
- bleepingcomputerより
- 2,500万人以上のモバイルおよびホームインターネット加入者にサービスを提供するウクライナ最大の電気通信サービスプロバイダーであるKyivstarは、モバイルおよびデータサービスに影響を与えるサイバー攻撃を受けたそうです。
- Kyivstar の停止がウクライナ全地域のインターネット アクセスに影響を及ぼし、爆撃の到来に関するタイムリーな通知を得るために人々が使用する空襲警報ネットワークに支障をきたしているとNetBlocksが報告しています。
2023/12/08
ロシア軍ハッカー、NATO部隊を標的に
- bleepingcomputerより
- ロシアの APT28 軍事ハッカーは、Microsoft Outlook のゼロデイ エクスプロイトを利用して、NATO 緊急展開軍団を含む複数の欧州 NATO 加盟国を標的にしている模様です。
海軍請負業者Austal USA、データ漏洩後のサイバー攻撃を認める
- bleepingcomputerより
- 造船会社であり、米国国防総省(DoD)と国土安全保障省(DHS)の請負業者でもあるAustal USAは、サイバー攻撃を受けたことを認め、現在、事件の影響を調査しているとの事です。
- Hunters International ランサムウェアグループが Austal USA に侵入し、侵入の証拠として一部の情報を漏洩したと主張しました。
ハッカーが Adobe ColdFusion エクスプロイトを使用して米国政府機関に侵入
- CISAのブログ(Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers)より
- CISAが、Adobe ColdFusionの脆弱性(CVE-2023-26360 )をハッカーが悪用して政府サーバーへの初期アクセスを取得していることについて警告しています。
- CISA によると、攻撃者(2023年6月に初めて観測されました)は、Adobe ColdFusionの脆弱性を悪用して、HTTP POST コマンドによりマルウェアを投下していたとのことです。
- TTP/IoC等はCISAのサイトを確認してください。
2023/11/30
JAXAにサイバー攻撃。ロケットや衛星などには影響なし
- itmediaより
- 今年の夏頃に、JAXAに攻撃があったとのこと。JAXAは、ロケットや衛星の運用に関わる宇宙関連技術の機微情報の漏えいはなかったとしています。
- 記事には「通常業務用のネットワークを構成する一部の機器に23年6月、セキュリティ上の脆弱性が見つかっており、これを利用した攻撃を受けた可能性がある。」とあります。
- 6月と言うと、VMWare/Cisco/ASUS/Fortinet/Zyxel製品辺りが脆弱性出ていましたので、その辺なんでしょうかね。詳細が出てきたら更新します。
露出したUnitronics PLCを用いてハッカーが米国の水道施設に侵入
- CISAより
- CISAはUnictronics PLC(プログラマブル ロジック コントローラー)の製品を標的にして上下水道に侵入を行ったようです。水道施設ではすぐにシステムを手動に切り替えたため、問題は発生しなかったとのこと。
- 「Unictronics PLCのデフォルトのパスワード「1111」が使用されていないことを確認し、使われていた場合には変更してください」等の対応策も記載されています。しかし1111とはびっくりですね。。。
2023/11/29
ウクライナ諜報機関、ロシア連邦航空輸送局「Rosaviatsia」をハッキングしたと主張
- bleepingcomputerより
- ウクライナ国防省直下の諜報機関は、ロシアの航空部門の破綻を暴露するためにロシア連邦航空輸送局「Rosaviatsia」をハッキングしたと主張している様です。
スロベニア最大の電力会社HSEがランサムウェア被害に遭う
- bleepingcomputerより
- スロベニアの電力会社Holding Slovenske Elektrarne (HSE)が、11月24日にランサムウェア被害を阻止したということです。ITシステムはロックされたが復旧した模様。今の所、身代金の要求は来ていない様です。
- 攻撃はRhysida ランサムウェアグループによるものの可能性が高いとのことです。
北朝鮮のLazarusグループがMagicLine4NXのゼロデイ脆弱性をサプライチェーン攻撃に使用
- bleepingcomputerより
- LazarusグループがMagicLine4NXのゼロデイ脆弱性をサプライチェーン攻撃に使用したようです。
- 攻撃には「Dream Magic」というコード名が付けられています。詳しい情報はAhnLabのPDFで見ることが出来ます。
2023/11/22
GamaredonのUSBドライバマルウェアがウクライナを超えて拡散
- bleepingcomputerより
- Gamaredonが使用するLittleDrifter と呼ばれる最近発見されたワームが米国、ウクライナ、ドイツ、ベトナム、ポーランド、チリ、香港で侵害の兆候が確認されているそうです。このことから、Gamaredonが LittleDrifter の制御を失い、意図しないターゲットに到達したことが示唆されています。
2023/11/14
BiBiマルウェアLinux/Windowsをターゲットにしていると警告
- bleepingcomputerより
- イスラエルのCERTが、Linux と Windows システムの両方のデータを破壊する BiBi マルウェア(データワイパー型マルウェア)について警告しています。
- イスラエルのCERTのリンクはこちらになります。
2023/11/13
イランのハッカーがイスラエルのテクノロジー企業にマルウェア攻撃を開始
- bleepingcomputerより
- イランのImperial Kitten(Tortoiseshell、TA456、Crimson Sandstorm、Yellow Liderc としても知られている)がイスラエルの輸送、物流、テクノロジー企業をターゲットにしたマルウェアキャンペーンを展開している様です。
- これは、イラン国軍の一部門であるイスラム革命防衛隊 (IRGC) と関連のある脅威アクターであり、少なくとも 2017 年から活動を続けているとの事です。
- Microsoft Excelの添付ファイルを擬したマルウェアのサンプルも紹介されています。
2023/11/10
ロシアが背後に居るSandwormがウクライナに物理的な攻撃を仕掛ける
- Mandiantのブログより
- ロシアが背後に居る脅威アクターSandwormが、ICTやOTへの攻撃を駆使してウクライナの重要インフラを標的に物理的な破壊につながるインシデントを発生させていたそうです。
- LotLテクニックにより変電所のブレーカーを落としてミサイル攻撃を同時にかける、などしていた模様。
- 詳しいレポートはMandiantのブログを確認してください。
2023/11/04
ロシアのAPT28がフランスの多数の組織インフラに侵入したとのCERT-FRレポート
- CERT-FRより
- CERT-FR が2021 年以降の APT28による攻撃のレポートを出しています。
- 2022 年 3 月から 2023 年 6 月にかけて、APT28 は、現在 CVE-2023-23397 として追跡されている当時のゼロデイ脆弱性を悪用する電子メールを Outlook ユーザーに送信していた様です。
- また、Follinaも同時期に悪用を行っていたとのこと。
- その他、APT28に関するTTP/IoCも書いてありますので、PDFを読んでおいたほうが良いと思います。PDFはCERT-FRのサイトからダウンロード出来ます。
ロシア連邦の産業部門と政府部門に対する攻撃
- Kasperskyブログより
- Kaspersky Threat Intelligence によると、2023年6月のロシア組織での調査を行った際にデータ搾取を目的とした多数の悪意の有るプログラムが発見されたそうです。同様のプログラムがロシア連邦の他のいくつかの政府機関や業界組織でも発見されており、これらの分野で活動している組織からデータを盗むことが攻撃者の主な目的であったと推測されています。
- 詳しい情報はKasperskyブログを参考にしてください。
2023/10/25
ロシアのハッカーがRoundcube Webmailの脆弱性(CVE-2023-5631)を悪用して政府機関を攻撃
- bleepingcomputerより
- Winter Vivernというロシアのハッカー グループが、少なくとも 10 月 11 日以来、ヨーロッパの政府機関やシンクタンクを標的とした攻撃で Roundcube Webmail のゼロデイ脆弱性(CVE-2023-5631)を悪用している様です。
2023/10/24
「TetrisPhantom」という脅威アクターが、侵害されたセキュア USB ドライブを使用してAPACの政府システムを標的に
- bleepingcomputerより
- セキュリティ研究者は、APAC 地域の政府をターゲットとして少なくとも数年にわたって実施されている攻撃キャンペーンにおいて、安全な USB デバイスに展開された UTetris アプリケーションのトロイの木馬化バージョンを発見しました。
- Kasperskyのレポートはこちらになります。
イランのハッカーグループが中東政府ネットワークに8か月間潜伏
- bleepingcomputerより
- イランのハッカー集団は、OilRig (APT34) が中東政府のネットワークに属する少なくとも 12 台のコンピューターに侵入し、2023 年 2 月から 9 月までの 8 か月間アクセスを維持したことを追跡しました。
- 詳しい情報はシマンテックのブログを確認してください。
北朝鮮のハッカーがTeamCityの重大な欠陥(CVE-2023-42793)を悪用してネットワークに侵入
- Microsoftのブログより
- 2023 年 10 月初旬以来、Microsoft は、2 つの北朝鮮国家の脅威アクター、Diamond Sleet と Onyx Sleet が、JetBrains TeamCity サーバーの複数のバージョンに影響を与えるリモート コード実行の脆弱性である CVE-2023-42793 を悪用していることを観察しているそうです。
- 詳しい情報はMicrosoftのブログを参照してください。
ロシアのサンドワームハッカーが5月以降、ウクライナの通信会社11者に侵入
- bleepingcomputerより
- 「サンドワーム」として追跡されている国家支援のロシアハッカーグループは、2023年5月から9月にかけてウクライナの通信サービスプロバイダー11社を侵害したそうです。
- CERT-UAが攻撃の詳細について報告しています。
- IoC等も載っていますので参考にしましょう。
2023/10/13
ToddyCat ハッカーが「使い捨て」マルウェアを使用してアジアの通信会社を標的に
- CheckPointのブログより
- 「ToddyCat」として知られる中国の攻撃者が2021年からアジア全土の政府機関や通信サービスプロバイダーをターゲットにしており、検出を回避するためにさまざまな「使い捨て」マルウェアを使用している様です。
- この攻撃者は、悪意のある添付ファイルを含むスピア フィッシング メッセージを利用して、さまざまなマルウェアやバックドアをダウンロードします。
- 詳しい情報はCheckPointのブログに載っていますので参照してください。
