2024Q1 国家が関係している攻撃等

2024.01.02

2024Q1 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2023Q4 国家が関係している攻撃等へのリンクはこちら

2024/03/26

米国財務省(OFAC)がロシアのダークウェブ市場と連携した仮想通貨取引所を制裁

  • bleepingcomputerより
  • 米財務省外国資産管理局(OFAC)は、OFAC指定のロシアのダークウェブ市場や銀行と連携したとして、仮想通貨取引所3社(Bitpapa IC FZC LLC, Crypto Explorer DMCC (AWEX), Obshchestvo S Ogranichennoy Otvetstvennostyu Tsentr Obrabotki Elektronnykh Platezhey (TOEP))に制裁を課しました。

米国財務省(OFAC)がAPT31(中国が背後に居る脅威アクター)に制裁

2024/03/24

Microsoftがロシア企業に対する50以上のクラウド製品へのアクセスを停止へ

  • bleepingcomputerより
  • Microsoftは、EU規制当局が昨年12月に発令した対ロシア制裁要件の一環として、ロシア企業に対する50以上のクラウド製品へのアクセスを3月末までに制限する計画との事です。
  • アクセスできなくなる製品はこちらのtass.ruに載っています

2024/03/23

APT29がWineLoaderマルウェアでドイツの政党を狙う

2024/03/21

アメリカ合衆国環境保護庁とホワイトハウスが水道システムに侵入するハッカーを警告

  • bleepingcomputerより
  • EPAのPDFはこちら
  • 米国家安全保障問題担当補佐官ジェイク・サリバン氏と環境保護庁(EPA)長官マイケル・レーガン氏は、ハッカーが国内の水道部門全体の重要インフラを「攻撃」していると知事らに警告しているとの事です。こちらも別記事で紹介したいと思います。

米国国防総省が2016 年以来 50,000 件の脆弱性報告書を受け取る

  • bleepingcomputerより
  • 米国国防総省サイバー犯罪センター (DC3) は、2016 年 11 月の開始以来、5,635 人の研究者から提出された 50,000 件の脆弱性報告書を処理するというマイルストーンに達したと発表した模様です。
  • こちらは別記事で紹介したいと思います。

CISA・FBI・NSAが中国のVolt Typhoonから保護するためのTipsを紹介

  • CISAのAdvisoryより
  • CISA/FBI/NSAが中国のVolt Typhoonからシステムを保護するためのアクションを紹介しています。
  • Volt Typhoonに関してはこちらを参照してください。

中国のAPT「Earth Krahang」

  • トレンドマイクロのブログより
  • 中国と連携しているAPT「Earth Krahang」が2022年以来世界中の複数の政府機関をターゲットとしたキャンペーンを展開している様です。特に東南アジアに重点を置いていますが、ヨーロッパ、アメリカ、アフリカもターゲットにしていると見られています。
  • 公開サーバーを悪用し、スピアフィッシングメールを送信してバックドアを配信している模様です。

2024/03/15

フランス失業庁のデータ侵害、4,300万人に影響

  • bleepingcomputerより
  • フランスのTravail(失業者の登録、経済的援助の提供、求職支援を担当するフランス政府機関)が、ハッカーが同社のシステムに侵入し、推定4,300万人の個人情報が漏洩または悪用される可能性があると警告しています

2024/03/09

Microsoftが1月のAPT29(NOBELIUM)による攻撃で盗まれたアカウントを利用してソースコードにアクセスされたらしい

  • Microsoftのブログ
  • MSが1月にAPT29(Midnight Blizzard )にやられた攻撃の続報。盗んだ情報使ってソースコードにアクセスされたらしいです。

2024/03/08

Playランサムウェアグループによりスイスの65,000 件の政府文書が流出

  • bleepingcomputerより
  • スイスの国家サイバーセキュリティセンター(NCSC)が、2023年5月23日のXplain(政府部門、行政単位、さらには国の軍隊に向けたスイスのテクノロジーおよびソフトウェア ソリューションのプロバイダー)に対するPlayランサムウェアグループの攻撃が数千の連邦政府の機密ファイルに影響を与えたことを明らかにしました。
  • こちらがNCSCの情報になります。

2024/03/07

米国がスパイウェア「プレデター」運営者を制裁

  • bleepingcomputerより
  • 米国が、政府関係者やジャーナリストを含む米国人を標的とする商用スパイウェア「プレデター」の開発と配布に関与した2人の個人と5つの団体に制裁を課したそうです。

2024/03/05

ウクライナがロシア国防省のサーバーをハッキングしたと主張

  • bleepingcomputerより
  • ウクライナ国防省の主要情報総局(GUR)は、ロシア国防省(ミノボロニー)のサーバーに侵入し、機密文書を盗んだと主張しています。ウクライナ政府の公式ドメインで公開されたプレスリリースでは、この攻撃はGURのサイバー専門家によって実行された「特別作戦」であると説明されています。
  • プレスリリースはこちらになります

2024/02/29

バイデン大統領がアメリカ国民の機密個人データを保護する大統領令を発行

LazarusがWindowsの脆弱性(CVE-2024-21338)を悪用

  • bleepingcomputerより
  • Lazarusが Windowsのゼロデイ脆弱性(CVE-2024-21338)を悪用してカーネル権限を取得して攻撃を行っている様です。
  • 4月のBlackHat AsiaでAVASTが詳細を発表するそうです。

LazarusがPyPIを悪用した攻撃を行っているとJPCERT/CCが警告

  • JPCERT/CCのブログより
  • JPCERT/CCが、Lazarusが不正なPythonパッケージをPyPIに公開していることを確認したそうです。こちらはどこかで別記事にしたいと思います。

ロシアのハッカーがUbiquiti製ルーターを乗っ取り、ステルス攻撃を開始

  • bleepingcomputerより
  • ロシアのAPT28がUbiquiti社製WifiルーターをのっとってStealth攻撃を行っている様です。

2024/02/27

APT29(ロシアが背後に居るとされている脅威アクター)がクラウドの攻撃に移行

ホワイトハウスがメモリセーフなプログラム言語への変更を促す

  • Office of the National Cyber Director:ONCDのレポートはこちら
  • ホワイトハウス国家サイバー局長室(ONCD)がテクノロジー企業に対し、メモリ安全性の脆弱性の数を減らしてソフトウェアのセキュリティを向上させるために、Rustなどのメモリ安全なプログラミング言語に切り替えるよう促した様です。

2024/02/20

北朝鮮のLAZARUSが世界の防衛部門を標的としたスパイ活動を進行中

  • bleepingcomputerより
  • ドイツの連邦情報局(BfV)と韓国の国家情報院(NIS)は本日の勧告で、北朝鮮政府が背後に居る脅威アクターLAZARUSが世界の防衛部門を標的としたサイバースパイ活動を進行中であると警告しています。
  • 協同勧告はこちらになります

2024/02/16

FBIがMoobotボットネットを妨害

Turlaが新しいTinyTurla-NG マルウェアを使用

  • Cisco Talosのレポートより
  • ロシアが背後に居る脅威アクター「Turla」が新しいTinyTurla Next Generation (TTNG)と呼ばれるバックドアを用いてポーランドの NGO をスパイしていた様です。

2024/02/07

中国の脅威アクターがオランダの軍事ネットワークに侵入

  • bleepingcomputerより
  • PDFはこちらから
  • オランダの軍事情報保安局(MIVD)によると、中国の脅威アクターが昨年オランダ国防省に侵入し、侵害されたデバイスにマルウェアを展開したとの事です。
  • 被害は限定的とのこと。
  • 最近、中国による攻撃が目立ってきていますのでどこかで纏めます。

2024/02/06

米国、商用スパイウェアに関連する人々へのビザ発禁を発表

2024/02/03

ウクライナで、PurpleFox マルウェアが数千台のコンピュータに感染

  • bleepingcomputerより
  • ウクライナのコンピュータ緊急対応チーム (CERT-UA) が、国内の少なくとも 2,000 台のコンピュータに感染した PurpleFox マルウェア キャンペーンについて警告しています。
  • PurpleFox (または「DirtyMoe」) は、 2018 年に初めて発見されたモジュール式の Windows ボットネット マルウェアで、ルートキット モジュールが付属しており、デバイスを再起動しても隠れて存続することができます。これは、侵害されたシステム上でより強力な第 2 段階のペイロードを導入するダウンローダーとして使用でき、オペレーターにバックドア機能を提供し、分散型サービス拒否 (DDoS) ボットとしても機能します。

2024/01/30

ウクライナのハッカーによる攻撃で、ロシアの研究センターから2ペタバイトのデータが消去される

  • bleepingcomputerより
  • ウクライナ国防省の主要情報総局は、親ウクライナのハクティビストがロシア宇宙水文気象学センター、別名「プラネタ」(планета)(宇宙衛星データとレーダーやステーションなどの地上情報源を使用して、天気、気候、自然災害、極端現象、火山監視に関する情報と正確な予測を提供する州の研究センター)に侵入し、2ペタバイトのデータを消去したと主張しているそうです。
  • 戦争なのでしょうがないかもしれませんが、研究データが消去されるのはいたたまれませんね。。

MicrosoftがAPT29によるExchangeサーバへの攻撃手法を明らかに

  • Microsoftのブログより
  • MicrosoftがAPT29によるExchangeサーバへの攻撃の手口を公開しています。
  • 本件については、別のところでも触れたいと思います。

APT29がHPEのメールなどデータを盗難

  • bleepingcomputerより
  • Hewlett Packard Enterprise (HPE) が、Midnight Blizzard(APT29)として知られるロシアのハッカーグループが同社の Microsoft Office 365 電子メール環境にアクセスし、サイバーセキュリティ チームやその他の部門からデータを盗んだことを明らかにしました。
  • SECへの提出はこちらになります。
  • 筆者も元HPEですので、本件については注目しています。

2024/01/24

オーストラリアがメディバンクのデータ侵害の背後にあるREvilハッカーを制裁

  • bleepingcomputerより
  • オーストラリア政府が2022年のメディバンク・ハッキングの責任者と考えられる、REvilランサムウェア・グループのメンバー「Aleksandr Gennadievich Ermakov」に対する制裁を発表したそうです。
  • 記者会見がこちらになります

2024/01/11

中国が背後にいるハッカーUNC3886が2年前からVMWareの脆弱性(CVE-2023-34048)を悪用していたという話

  • bleepingcomputerより
  • 中国が背後にいるハッカーUNC3886が2年前からVMWareの脆弱性(CVE-2023-34048)を悪用していたという話がMandiantの調査から判明した様です。

親ウクライナ派のハッカーがキエフスター攻撃への報復としてロシアのISPに侵入

  • bleepingcomputerより
  • 下の方にもある、ロシアハッカーによるKyivStarへの攻撃の報復として、親ウクライナの「ブラックジャック」というハッカーがロシアのISPであるM9comに攻撃を行った様です。
  • 攻撃者はM9com のインターネットサービスを妨害しただけでなく、同社から機密データを盗んだと主張しています。

2024/01/09

トルコのハッカーSea TurtleがオランダのISPや通信会社に攻撃を拡大

  • bleepingcomputerより
  • Sea Turtleとして追跡されているトルコが支援する脅威アクターが、オランダの通信会社、メディア、インターネットサービスプロバイダー(ISP)、クルド人のウェブサイトに焦点を当てて攻撃を拡大しているそうです。
  • どこかで纏めようと思います。

2024/01/05

ロシアのハッカーがKyivStarへの攻撃で数千のシステムを消去

タイトルとURLをコピーしました