2024Q2 国家が関係している攻撃等

2024Q1 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2024Q1 国家が関係している攻撃等へのリンクはこちら

2023Q4 国家が関係している攻撃等へのリンクはこちら

脅威動向に関する情報はこちら(外部サイト)もご参照下さい

2024/05/30

米国が911 S5ボットネットを解体

  • bleepingcomputerより
  • 米国司法省と国際パートナーは、911 S5 Proxy Botnetを解体し、その管理者である中国人のYunHe Wang氏(35)をシンガポールで逮捕したとの事です。
  • こちらは別のブログでまとめる予定です。

Microsoftが北朝鮮と「FakePenny」ランサムウェアグループを結びつける

  • bleepingcomputerより
  • Microsoftのブログはこちら 
  • MicrosoftがMoonSleet(Storm-17)として以前から追跡してきた北朝鮮のハッカー集団が、数百万ドルの身代金要求につながったFakePennyランサムウェア攻撃に関係していると発表しました。

2024/05/26

中国の「Unfading Sea Haze」2018 年以来南シナ海地域の軍および政府機関を標的に

  • bleepingcomputerより
  • BitDefenderによると「Unfading Sea Haze」と呼ばれる脅威アクターが、南シナ海諸国の高レベル組織を標的とした一連のサイバー攻撃に関与していることがわかりました。

2024/05/18

ノルウェー国家サイバーセキュリティセンター (NCSC)がSSL VPNをIPSec IKEv2に置き換えることを推奨

  • bleepingcomputerより
  • ノルウェー NCSCのサイトはこちら
  • NCSCが攻撃が多いSSL VPNをIPSec UKEv2に置き換えることを推奨している様です。
  • 個人的にはSSL VPN機器を売ってきた経験もあるので、ちょっとびっくりな状況ですね。

Turla(ロシアが背後にいる脅威アクター)が新たなLunarマルウェアでヨーロッパの政府を攻撃

  • bleepingcomputerより
  • ESETの研究者が欧州政府の海外外交機関を侵害するために使用されていた、LunarWeb/LunarMail という新たな2つのバックドアを発見しました。 これらのマルウェアは、中東に在外公館を置く欧州諸国の外務省への侵入に使用され、少なくとも 2020 年から活動を続けている様です。
  • こちらも別記事でまとめようかと思います。

Kimusyky(北朝鮮が背後にいる脅威アクター)の新たなLinux Backdoorを使った攻撃

  • bleepingcomputerより
  • Kimsuky(北朝鮮が背後にいる脅威アクター)が新たなLinux Backdoorを用いて韓国に攻撃を行っている様です。
  • こちらは別記事でまとめようと思います。

2024/05/10

ポーランド政府のネットワークがロシア軍のハッカー(APT28)の攻撃に遭っている模様

  • bleepingcomputerより
  • ポーランドは、ロシア軍事情報局(GRU)に関連する国家支援の脅威アクターATP28がポーランド政府を標的にしていると発表しています。
  • ポーランドCERTの記事はこちらになります。

2024/05/08

英国、国防省の給与データがデータ侵害で流出したことを確認

  • bleepingcomputerより
  • 英国政府は05/07/2024に、攻撃者が最近国防省に侵入し、軍の支払いネットワークの一部にアクセスしたことを確認しました。
  • 侵害されたホストには、主に名前と銀行口座の詳細情報と、住所の情報も一部入っていた模様です。 27万件の給与記録が流出したと推定されています。

2024/05/05

APT24(イランが支援している脅威アクター)がソーシャルエンジニアリングを利用して侵入

  • bleepingcomputerより
  • APT24(イランが支援している脅威アクター)がソーシャルエンジニアリングを利用して西側および中東のターゲットの企業ネットワークとクラウド環境に侵入している様です。
  • APT42 の活動を追跡している Google の脅威アナリストは、攻撃者がメールを使用して「Nicecurl」と「Tamecat」にターゲットを感染させていると報告しています。

2024/05/04

NATOとEU、ドイツ、チェコに対するロシアのサイバー攻撃を非難

2024/05/01

「Muddling Meerkat」が中国のグレート ファイアウォール (GFW) を介してDNSを操作

  • Infobloxの記事より
  • Muddling Meerkatが、中国によって広められた高度なDNSアクティビティを利用して、従来のセキュリティ対策を回避し、世界中のネットワークを調査しているそうです。
  • こちらは別記事でまとめようと思います。

2024/04/24

米国財務省が、米国企業や政府機関を標的とするイランのサイバー攻撃者を制裁対象に

  • 米国財務省の発表より
  • 米国財務省外国資産管理局(OFAC)は本日、イラン・イスラム革命防衛隊サイバー電子司令部(IRGC-CEC)に代わって悪意のあるサイバー活動に関与した2社と4人の個人を制裁対象としたとの事です。
  • こちらは米国司法省のプレスになります。「米国企業を標的とした複数年にわたるサイバー攻撃でイラン人4人を起訴」との事です。

北朝鮮のハッカー集団が韓国の防衛産業企業に侵入

  • bleepingcomputerより
  • 韓国の警察庁が、北朝鮮のハッカー集団が防衛産業企業を標的にして貴重な技術情報を盗んでいることについて緊急警告を発したとの事です。

ロシアのAPT28がGooseEggと呼ばれるツールを用いてWindows Spoolerの脆弱性を侵害

  • APT28は「少なくとも 2020 年 6 月以降、おそらく早ければ 2019 年 4 月以降」このツールを使用して CVE-2022-38028 脆弱性を悪用していたとのことです。

ロシアのSandwormがウクライナの20の重要な組織を標的にする

2024/04/21

MITREがIvantiの脆弱性をつかれ国家が関係しているハッカーに侵入されたと発表

  • MITREのニュースより
  • MITREによると、研究、開発、プロトタイピングに使用される共同ネットワークであるネットワーク実験・研究・仮想化環境 (NERVE) 上で不審なアクティビティが検出された後、海外国家が支援する脅威アクターによる侵害が確認されたそうです。
  • MITRE は、Center for Threat-Informed Defense を通じてインシデントに関する最初の詳細を公開しました。
  • こちらによると、2024年4月にMITRE が研究およびプロトタイピング ネットワークの 1 つに侵入されたことを確認したとの事です。
  • 2024 年 1 月以降、攻撃者は当社のネットワークを偵察し、 Ivanti Connect Secure の 2 つのゼロデイ脆弱性 を通じて当社の仮想プライベート ネットワーク (VPN) の 1 つを悪用し、セッション ハイジャックを使用して当社の多要素認証を回避。その後、ラテラルムーブメント(水平移動)でVMWareインフラを侵害した模様です。
  • 事件の当時(1月)、Ivantiの対応は行っていましたがVMWareの方は水平移動が検出されていなかったため、VMWareは大丈夫だと信じていたとの事です。
  • この特定の事件の詳細を超えて、MITRE は業界全体のサイバーセキュリティを強化するという公益の使命に取り組んでいます。情報は更新されていくそうですので、どこかで記事にまとめたいと思います。

2024/04/18

ロシアのSandwormがハクティビストを装い水道施設への攻撃

  • bleepingcomputerより
  • Mandiantによると、Sandwormが(APT44)がハクティビストを装い水道施設への攻撃をおこなっている様です。
  • 細かい情報は、別の記事に纏める予定です。
タイトルとURLをコピーしました