2024Q2 国家が関係している攻撃等

2024Q2 国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2024Q1 国家が関係している攻撃等へのリンクはこちら

2023Q4 国家が関係している攻撃等へのリンクはこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2024/06/28

中国の脅威アクター「ChamelGang」が防御者の注意をそらすためにランサムウェアを使用

• bleepingcomputerより
• 各国のサイバースパイグループは、攻撃の特定をより困難にし、防御者の注意をそらすため、またはデータ盗難の二次的な目的として金銭的報酬を得るために、戦術としてランサムウェアを使用しています。ChamelGangも同様の攻撃を行っていることがわかりました。

2024/06/20

米国商務省、ロシア製Kasperskyソフトウェアを米国顧客に提供禁止に

• 米国商務省の記事より
• (悲報）Kaspersky製品が米国で使用禁止になる模様です。。。
• 「カスペルスキー ソフトウェアを利用している個人および企業は、サイバーセキュリティの適用範囲が不足している可能性があるため、個人データやその他の機密データが悪意のある者にさらされることを制限するために、新しいベンダーに速やかに移行することが強く推奨されます。 既存のカスペルスキー製品およびサービスを使用し続ける個人および企業は、最終決定に基づいて法的罰を受けることはありません。 ただし、カスペルスキーの製品やサービスを使い続ける個人や企業は、サイバーセキュリティとそれに伴うリスクをすべて引き受けることになります。」

2024/06/18

パキスタンを拠点とする脅威アクター”UTA0137″がLinuxマルウェアをDISCORDの絵文字で操作

• VOLEXITYのブログより
• パキスタンを拠点とする攻撃者”URA0137″がDISCORDの絵文字で操作するLinuxマルウェア”DISGOMOJI”を使用していることが判明しました。
• 攻撃者が利用できる絵文字もブログに記載されています。

中国のサイバースパイアクター「Velvet Ant」がBIG-IPのマルウェアを長期間に渡って使用

• SYGNIAのブログより
• 2023 年後半、大規模な組織が重大なサイバー攻撃の被害を受けました。 この攻撃に対する Sygnia のフォレンジック調査により「Velvet Ant」が約３年間に渡り長期的に存在し、BIG-IPアプライアンスをC&Cとして利用していた事がわかりました。

2024/06/12

中国のハッカーが世界中の20,000のFortiGateシステムに侵入

• bleepingcomputerより
• オランダ軍事情報保安局（MIVD）が、中国のサイバースパイ活動の影響は「これまで知られていたよりもはるかに大きい」と警告しています。
• MIVD が 2 月に総合情報安全保障局 (AIVD) との共同報告書で明らかにしたように、中国のハッカーは 2022 年から 2023 年の間の数カ月にわたって FortiOS/FortiProxy のリモート コード実行の重大な脆弱性 ( CVE-2022-42475 ) を悪用していた模様です。
• MIVDの報告はこちらになります。

2024/06/06

中国の支援する脅威アクターがサイバースパイで協力

• bleepingcomputerより
• 中国が支援する脅威アクターが、2022年からクリムゾン・パレスとして追跡されているスパイ活動で政府機関を標的にしているとの事です。
• Sophosが「BackdoorDiplomacy」、「REF5961」、「Worok」、「TA428」、APT41 サブグループ Earth Longzhi などの既知の中国の脅威グループに関連する 3 つのアクティビティ クラスターを特定しました。
• 後で別記事でまとめる予定です。

2024/05/30

米国が911 S5ボットネットを解体

• bleepingcomputerより
• 米国司法省と国際パートナーは、911 S5 Proxy Botnetを解体し、その管理者である中国人のYunHe Wang氏（35）をシンガポールで逮捕したとの事です。
• こちらは別のブログでまとめる予定です。

Microsoftが北朝鮮と「FakePenny」ランサムウェアグループを結びつける

• bleepingcomputerより
• Microsoftのブログはこちら　
• MicrosoftがMoonSleet(Storm-17)として以前から追跡してきた北朝鮮のハッカー集団が、数百万ドルの身代金要求につながったFakePennyランサムウェア攻撃に関係していると発表しました。

2024/05/26

中国の「Unfading Sea Haze」2018 年以来南シナ海地域の軍および政府機関を標的に

• bleepingcomputerより
• BitDefenderによると「Unfading Sea Haze」と呼ばれる脅威アクターが、南シナ海諸国の高レベル組織を標的とした一連のサイバー攻撃に関与していることがわかりました。

2024/05/18

ノルウェー国家サイバーセキュリティセンター (NCSC)がSSL VPNをIPSec IKEv2に置き換えることを推奨

• bleepingcomputerより
• ノルウェー　NCSCのサイトはこちら
• NCSCが攻撃が多いSSL VPNをIPSec UKEv2に置き換えることを推奨している様です。
• 個人的にはSSL VPN機器を売ってきた経験もあるので、ちょっとびっくりな状況ですね。

Turla（ロシアが背後にいる脅威アクター）が新たなLunarマルウェアでヨーロッパの政府を攻撃

• bleepingcomputerより
• ESETの研究者が欧州政府の海外外交機関を侵害するために使用されていた、LunarWeb/LunarMail という新たな２つのバックドアを発見しました。 これらのマルウェアは、中東に在外公館を置く欧州諸国の外務省への侵入に使用され、少なくとも 2020 年から活動を続けている様です。
• こちらも別記事でまとめようかと思います。

Kimusyky（北朝鮮が背後にいる脅威アクター）の新たなLinux Backdoorを使った攻撃

• bleepingcomputerより
• Kimsuky（北朝鮮が背後にいる脅威アクター）が新たなLinux Backdoorを用いて韓国に攻撃を行っている様です。
• こちらは別記事でまとめようと思います。

2024/05/10

ポーランド政府のネットワークがロシア軍のハッカー（APT28）の攻撃に遭っている模様

• bleepingcomputerより
• ポーランドは、ロシア軍事情報局（GRU）に関連する国家支援の脅威アクターATP28がポーランド政府を標的にしていると発表しています。
• ポーランドCERTの記事はこちらになります。

2024/05/08

英国、国防省の給与データがデータ侵害で流出したことを確認

• bleepingcomputerより
• 英国政府は05/07/2024に、攻撃者が最近国防省に侵入し、軍の支払いネットワークの一部にアクセスしたことを確認しました。
• 侵害されたホストには、主に名前と銀行口座の詳細情報と、住所の情報も一部入っていた模様です。 27万件の給与記録が流出したと推定されています。

2024/05/05

APT24(イランが支援している脅威アクター)がソーシャルエンジニアリングを利用して侵入

• bleepingcomputerより
• APT24(イランが支援している脅威アクター)がソーシャルエンジニアリングを利用して西側および中東のターゲットの企業ネットワークとクラウド環境に侵入している様です。
• APT42 の活動を追跡している Google の脅威アナリストは、攻撃者がメールを使用して「Nicecurl」と「Tamecat」にターゲットを感染させていると報告しています。

2024/05/04

NATOとEU、ドイツ、チェコに対するロシアのサイバー攻撃を非難

• bleepingcomputerより
• NATOとEUがAPT28によるサイバースパイ活動に対して正式に非難声明を出した模様です。
• EUの声明はこちらになります。
• 詳しい情報は別記事で纏める予定です。

2024/05/01

「Muddling Meerkat」が中国のグレート ファイアウォール (GFW) を介してDNSを操作

• Infobloxの記事より
• Muddling Meerkatが、中国によって広められた高度なDNSアクティビティを利用して、従来のセキュリティ対策を回避し、世界中のネットワークを調査しているそうです。
• こちらは別記事でまとめようと思います。

2024/04/24

米国財務省が、米国企業や政府機関を標的とするイランのサイバー攻撃者を制裁対象に

• 米国財務省の発表より
• 米国財務省外国資産管理局（OFAC）は本日、イラン・イスラム革命防衛隊サイバー電子司令部（IRGC-CEC）に代わって悪意のあるサイバー活動に関与した2社と4人の個人を制裁対象としたとの事です。
• こちらは米国司法省のプレスになります。「米国企業を標的とした複数年にわたるサイバー攻撃でイラン人4人を起訴」との事です。

北朝鮮のハッカー集団が韓国の防衛産業企業に侵入

• bleepingcomputerより
• 韓国の警察庁が、北朝鮮のハッカー集団が防衛産業企業を標的にして貴重な技術情報を盗んでいることについて緊急警告を発したとの事です。

ロシアのAPT28がGooseEggと呼ばれるツールを用いてWindows Spoolerの脆弱性を侵害

• APT28は「少なくとも 2020 年 6 月以降、おそらく早ければ 2019 年 4 月以降」このツールを使用して CVE-2022-38028 脆弱性を悪用していたとのことです。

ロシアのSandwormがウクライナの20の重要な組織を標的にする

• bleepingcomputerより
• CERT-UAの報告はこちら
• CERT-UAの報告書によると、ロシアのSandwormがウクライナ国内の約20の重要インフラ施設の運用を妨害しようとしていた様です。

2024/04/21

MITREがIvantiの脆弱性をつかれ国家が関係しているハッカーに侵入されたと発表

• MITREのニュースより
• MITREによると、研究、開発、プロトタイピングに使用される共同ネットワークであるネットワーク実験・研究・仮想化環境 (NERVE) 上で不審なアクティビティが検出された後、海外国家が支援する脅威アクターによる侵害が確認されたそうです。
• MITRE は、Center for Threat-Informed Defense を通じてインシデントに関する最初の詳細を公開しました。
• こちらによると、2024年4月にMITRE が研究およびプロトタイピング ネットワークの 1 つに侵入されたことを確認したとの事です。
• 2024 年 1 月以降、攻撃者は当社のネットワークを偵察し、 Ivanti Connect Secure の 2 つのゼロデイ脆弱性 を通じて当社の仮想プライベート ネットワーク (VPN) の 1 つを悪用し、セッション ハイジャックを使用して当社の多要素認証を回避。その後、ラテラルムーブメント（水平移動）でVMWareインフラを侵害した模様です。
• 事件の当時（1月）、Ivantiの対応は行っていましたがVMWareの方は水平移動が検出されていなかったため、VMWareは大丈夫だと信じていたとの事です。
• この特定の事件の詳細を超えて、MITRE は業界全体のサイバーセキュリティを強化するという公益の使命に取り組んでいます。情報は更新されていくそうですので、どこかで記事にまとめたいと思います。

2024/04/18

ロシアのSandwormがハクティビストを装い水道施設への攻撃

• bleepingcomputerより
• Mandiantによると、Sandwormが（APT44）がハクティビストを装い水道施設への攻撃をおこなっている様です。
• 細かい情報は、別の記事に纏める予定です。