2024Q3 国家が関係している攻撃等

2024Q3 国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2024Q2 国家が関係している攻撃等へのリンクはこちら

2024Q1 国家が関係している攻撃等へのリンクはこちら

2023Q4 国家が関係している攻撃等へのリンクはこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2024/09/27

米国財務省、ロシアの違法仮想通貨取引所とサイバー犯罪者に対して連携した措置を講じる

• プレスリリースより
• 財務省の金融犯罪取締ネットワーク（FinCEN）は、ロシアのSergey Sergeevich Ivanovと関係のあるロシアの仮想通貨交換業者であるPM2BTCを、ロシアの違法金融に関連した「マネーロンダリングの主要な懸念事項」として特定する命令を出しました。
• Sergey Sergeevich Ivanov はロシアのマネーロンダリング容疑者で、「UAPS」という名前で過去約 20 年間にわたり、ランサムウェア攻撃者、IAB、ダークネットマーケットベンダー、その他の犯罪者のために数億ドル相当の仮想通貨を洗浄してきたと思われます。

2024/09/25

米国、中国とロシアからのコネクテッドカー技術の禁止を提案

• bleepingcomputerより
• 米国が中国とロシアのコネクテッドカー技術に関連する潜在的な脅威から米国の国家安全保障を守るための新たな対策案を発表しました。
• Bluetooth、衛星、セルラー、Wi-Fiモジュールなどの「車両接続システム」（VCS）と、車両の自律走行を可能にする「自動運転システム」（ADS）を対象としている様です。

2024/09/19

中国が背後にいる脅威アクターがルータやIoTデバイスをBotネットで利用していたとするJoint Security Advisory

• IC3のサイトより
• 連邦捜査局（FBI）、サイバー国家ミッションフォース（CNMF）、国家安全保障局（NSA）は、中華人民共和国（PRC）とつながりのあるサイバーアクターが、悪意のある活動のために設置された侵害ノードのネットワーク（「ボットネット」）を作成する目的で、小規模オフィス/ホームオフィス（SOHO）ルーター、ファイアウォール、ネットワーク接続ストレージ（NAS）、IoTデバイスなど、インターネットに接続された数千台のデバイスを侵害していると評価しています。
• FBI、CNMF、NSA、および同盟パートナーは、これらのアクターとそのボットネット活動によってもたらされる脅威を強調し、危険にさらされているデバイスのベンダー、所有者、およびオペレーターに、デバイスが侵害されてボットネットに参加しないように更新して保護することを奨励するために、この共同サイバーセキュリティアドバイザリを公開しています。

2024/09/10

ロシア軍ハッカーCadet Blizzard/GRU第29155部隊が重要施設の攻撃に関与

• bleepingcomputerより
• Cadet Blizzard/GRU第29155部隊（2022年にデータウィスパーマルウェアを展開したことで知られている）がウクライナ及び支援国の重要施設攻撃に関与したとして、国防省が指名手配を行っています。
• こちらも別記事でまとめる分量になります。

2024/09/02

Cicada3301ランサムウェアグループがVMWare ESXiを標的に

• bleepingcomputerより
• Cicada3301 RaaS は、6/6頃から活動を開始しているランサムウェアグループのようです。
• Truesecの解析によるとALPHV/BlackCat の間に重要な重複があることが明らかになり、元ALPHV のメンバーが関わってフォークしてできた可能性が示されています。
• こちらも別記事でまとめる予定です。

GitHubのコメントの悪用で修正を装いマルウェアがプッシュされる

• bleepingcomputerより
• GitHubのコメントがLumma Stealer（情報を盗むマルウェア）配布のために悪用されているとのことです。
• 現在のキャンペーンでは、bleepingcomputerが確認したすべてのコメントのパスワードは「changeme」だったそうです。気をつけましょう。

北朝鮮のDEV-0139(Citrine Sleet)がChromeのゼロデイ脆弱性を悪用してルートキットを展開

• Microsoftのブログより
• Microsoftの観察によると、DEV-0139（北朝鮮が背後にいる脅威アクター）がChromeのゼロデイ脆弱性（CVE-2024-7971）を悪用してルートキットを展開している模様です。

2024/08/29

Peach　Sandstorm（イランが支援する脅威アクター）がTicklerを用いて米国を攻撃

• Microsoftのブログより
• 2024年4月〜7月にかけて、Peach Sandstorm（イランが支援する脅威アクター）がTickler と名付けた新しいカスタム多段階バックドアを展開していることを観察したそうです。
• Tickler は、米国とアラブ首長国連邦の衛星、通信機器、石油、ガス、連邦政府と州政府の部門の標的に対する攻撃に使用されているとのこと。
• こちらも別記事でまとめる予定です。

イランのハッカーグループがランサムウェアを駆使して米国政府組織を攻撃

• CISAのAdvisoryより
• FBIとCISAがイランのハッカーグループによる攻撃に対してアドバイザリを出しています。
• こちらは別記事でまとめる予定です。

2024/08/22

米国、イランのハッカーによる大統領選挙への影響力拡大活動を警告

• CISA+ODIN+FBIの声明
• イランの支援するハッカーがトランプ前大統領の選挙陣営を侵害する活動したりSNSを通じたその他の取り組みを行っているとして、CISA+ODIN+FBIが声明を出しています。

LazarusがWindowsドライバのゼロデイ脆弱性(CVE-2024-38193)を悪用してrootkitをインストール

• bleepingcomputerより
• 北朝鮮の Lazarus ハッカー グループが、Windows AFD.sys ドライバーのゼロデイ欠陥を悪用して特権を昇格し、標的のシステムに FUDModule ルートキットをインストールしていました。

2024/08/13

韓国、北朝鮮のハッカーが偵察機の技術データを盗んだと発表

• bleepingcomputerより
• 韓国の与党、国民の力党（PPP）は、北朝鮮のハッカーが同国の主力戦車であるK2戦車や偵察機「白頭」や「金剛」に関する重要な情報を盗んだと主張した。
• PPPは、北朝鮮がこの情報を利用して軍事監視を回避し、戦場で優位に立つことを懸念しており、国家の安全を守るためのより強力な措置を緊急に導入するよう求めている。

ウクライナ保安局を装ったハッカーの攻撃でウクライナ政府のPC100台が感染

• ウクライナ保安局 (SSU) になりすました攻撃者は、悪意のあるスパムメールを使用して、同国の政府機関に属するシステムを標的にし、侵害しました。
• 月曜日、ウクライナのコンピュータ緊急対応チーム (CERT-UA) は、攻撃者が 100 台以上のコンピュータを AnonVNC マルウェアに感染させることに成功したことを明らかにしました。

中国のAPT31やAPT27がロシア政府を標的に

• Kasperskyのブログより
• 中国が背後にいるAPT31, APT27が、ロシアの政府機関や IT 企業の数十台のコンピューターに対して標的型サイバー攻撃を活発に行われていることがKasperskyによって確認されました。
• これも面白い話ですので別記事で纏めます。

2024/08/10

ロシアが「Signal」へのアクセスをブロック

• bleepingcomputerより
• ロシアが国内から暗号メッセージングサービス「Signal」へのアクセスをブロックしたそうです。
• Twitterのポストはこちらです。

2024/08/07

北朝鮮のハッカーがVPNアップデートの脆弱性を用いてマルウェアをインストール

• bleepingcomputerより
• 北朝鮮のKimsuky (APT43) とAndariel (APT45)がVPNのアップデートの脆弱性を用いてマルウェアをインストールしていた模様です。
• AhnLabのレポートが公開されています。

UKが「Russian Coms」をテイクダウン

• bleepingcomputerより
• 英国の国家犯罪庁(NCA)は、犯罪者が180万件以上の詐欺電話をかけるために使用する主要な発信者IDスプーフィングプラットフォームであるRussian ComsをTake Downしました。
• 彼らのターゲットには、英国、米国、ニュージーランド、ノルウェー、フランスを含む107カ国以上の人々が含まれていました。

CISA・FBIが「DDoS 攻撃が選挙プロセスのセキュリティや完全性に影響を与えることは無い」としてアラートを出す

• CISA/FBIのアラートより
• CISA/FBIが「DDoSがアクセスを妨げる可能性があるが選挙プロセスのセキュリティや完全性に影響を与えることは無い」としてアラートをだしています。
• 11月の選挙に向けて色々動いている感じですね。

2024/07/26

アメリカがMauiランサムウェアに関連した北朝鮮ハッカーに関する情報提供に1,000万ドルを提示

• 国務省のサイトより
• 米国の重要インフラを標的にした北朝鮮の悪意のあるサイバー攻撃者に関する情報に対して報酬を提供するという事です。
• 本件でRIM JONG HYOK氏がFBIから指名手配されています。
• こちらも別記事でまとめるかもしれません。

2024/07/25

KnowBe4、北朝鮮のハッカーを誤って雇用、情報窃取攻撃に直面

• bleepingcomputerより
• アメリカのサイバーセキュリティ企業KnowBe4は、同社が最近主任ソフトウェアエンジニアとして採用した人物が、同社のデバイスに情報窃取をインストールしようとした北朝鮮の国家関係者であることが判明したと発表したとの事です。
• こちらにKnowBe4 CEOのコメントが載っています。

中国のハッカー「Evasive Panda」が新しいバージョンのMacma macOS バックドア を使用

• bleepingcomputerより
• 「Evasive Panda」として追跡されている中国のハッカーグループが、Macma バックドアと Nightdoor Windows マルウェアの新バージョンを使用していることが発見されました。
• Symantec脅威インテリジェンスチームのレポートに詳しい内容が載っています。

BreachForums v1 のデータ漏洩によりフォーラムメンバーの情報が流出

• bleepingcomputerより
• 2022 年からあるハッキング フォーラム BreachForums v1 の非公開メンバー情報がオンラインに漏洩した模様です。
• Emo という名前の有名な脅威アクターが、BreachForums 1.0 のメンバー 212,414 人の個人情報を漏洩したとのこと。
• 流出したデータには、フォーラムメンバーのユーザーID、ログイン名、メールアドレス、登録IPアドレス、サイト訪問時に最後に使用したIPアドレスが含まれていたとのことです。
• こちらも別記事で纏めたいと思います。

FrostyGoop マルウェア攻撃により、冬の間ウクライナの暖房が遮断される

• bleepingcomputerより
• 2024年1月のサイバー攻撃では、ロシア関連のマルウェアが使用され、ウクライナのリヴィウで氷点下の気温の中、600以上の集合住宅の暖房が2日間遮断された模様です。
• LB.UAによるとハッカーの攻撃によりリヴィウ地区は暖房もお湯も使えなくなったとのこと。
• こちらも参照してください。

ロサンゼルス高等裁判所がランサムウェア攻撃により停止

• bleepingcomputerより
• 米国最大の法廷であるロサンゼルス郡高等裁判所は7/22に、7/19のランサムウェア攻撃で影響を受けたシステムを復旧するため、裁判所の全36か所を閉鎖したとの事です。
• 現時点ではどのランサムウェアグループによる攻撃かは判明していない模様です。

2024/07/17

APT40（中国が背後にいる）が攻撃のためにSOHOルータを使用しているとして共同声明が出される

• bleepingcomputerより
• 中国が背後にいるAPT40がスパイ活動を行うためにSOHOルーターをハイジャックしたとして、共同声明が出されています。こちらは別記事でまとめようと思います。

2024/07/13

中国が背後にいるAPT41がDodgeBoxとMoonWalkで新たな回避テクニックを導入

• The Hacker Newsより
• 中国が背後にいるAPT41が、StealthVector の新しい亜種 （DodgeBox）とMoonWalkと呼ばれるバックドアで共通して、多くの回避テクニックを新たに入れているという事です。

2024/07/11

JPCERTが北朝鮮のKimsukyの活動について注意を呼びかける

• JPCERTのサイトより
• JPCERT/CCは、2024年3月にKimsukyと呼ばれる攻撃グループによる日本の組織を狙った攻撃活動を確認したそうです。サイトにはIoCやTTPなどが載っているので参考にすると良いでしょう。

2024/07/10

司法省がロシア政府運営の秘密ソーシャルメディアボットファームを破壊する連邦、国際、民間セクターのパートナー間の取り組みを主導

• 米国司法省の記事より
• 司法省は本日、2つのドメイン名を押収し、米国内外に偽情報を拡散するAI強化ソーシャルメディアボットファームを構築するためにロシアの攻撃者が使用していた968個のソーシャルメディアアカウントを捜索したと発表しました。

2024/07/09

CloudSorcererというAPTがロシア政府のデータを盗み出す

• Kasperskyのブログより
• CloudSorcererという、ロシア政府機関をターゲットにした新しい APTが出現しているようです。
• Kasperskyは2024 年 5 月に、ロシア政府機関を標的とした新たな高度持続的脅威 (APT) を発見しました。 これは、Microsoft Graph、Yandex Cloud、Dropbox クラウド インフラストラクチャを介したステルス監視、データ収集、流出に使用される高度なサイバースパイ活動ツールです。これをCloudSorcererと名付けています。
• 興味深いのでどこかでまとめると思います。

TeamViewerへの攻撃、Midnight Blizzard（ロシアが背後にいる）によるものの可能性

• bleepingcomputerより
• リモートマネジメントソフトウェアの「TeamViewer」が先週ネットワーク侵害に遭いましたが、Midnight Blizzard（APT29）が背後にいる可能性があるとの事です。
• こちらは別途ブログでまとめたいと思います。