2021年7月24日~30日までに発生したセキュリティインシデントの概要

2021/08/03 セキュリティーニュース
logo

ProxyLogonの脆弱性による新たな攻撃、運送会社へのサイバー攻撃、サイバーランサムウェアグループDoppelPaymerの復活、DarkSideおよびREvilグループの「相続人」の登場は、情報セキュリティの世界におけるインシデントのほんの一部です。 2021年7月24日~7月30日までに発生したインシデントについてご一読ください。


■ランサムウェア攻撃グループDoppelPaymerが再活動
ほぼ完全に活動を停止してから2か月後、DoppelPaymerグループはランサムウェアの分野に戻りました。ハッカーはグループのブランドを変更し、グループの名前をGriefまたはPayまたはGriefに変更しました。伝えられるところによると、ハッカーはメキシコの1つを含む5つの組織からデータを盗みました。専門家によると、DoppelPaymerとGriefは、同じ暗号化ファイル形式と同じ配布チャネルであるDridexボットネットを使用していました。攻撃者がGriefをランサムウェアサービス(RaaS)のように見せようとしたにもかかわらず、DoppelPaymerとの類似点を無視することはできません。

LockBitグループは、DoppelPaymerに加えて、ランサムウェアの改善にも取り組んでいます。 研究者は、Active Directoryグループポリシーを使用してWindowsドメインを暗号化する機能など、多くの改善が加えられた新しいバージョンのランサムウェアを発見しました。 新しいバージョンのLockBitは、以前はランサムウェアEgregorで使用されていた機能、つまりネットワークに接続されているすべてのプリンターで身代金メモを印刷する機能も備えていました。


 

■新しいランサムウェアグループの登場
今週、新しいサイバーランサムウェアグループもサイバー犯罪の分野に参入し、話題になり、現在は機能していないDarksideとREvilの後継者であると主張しました。 BlackMatterは現在パートナーを探しており、すでにExploitおよびXSSハッカーフォーラムに関連する発表を投稿しています。 広告によると、このグループは、年間収益が1億ドル以上の大企業にのみ関心があります。


■南アフリカの国営企業であるトランスネットがランサムウェア攻撃の被害
デスキティランサムウェアの被害者は、南アフリカの国営企業であるトランスネットであり、ダーバンやケープタウンなど、南アフリカの主要な港を運営しています。 会社の代表者によると、この攻撃はTPTのビジネスプロセスと機能を混乱させ、機器とデータに損害を与えました。 感染したシステムに残された身代金メッセージの中で、ハッカーは1TBの個人データ、財務諸表、その他の文書を含む会社のファイルを暗号化したと主張しました。


■イラン鉄道を麻痺させたサイバー攻撃
今月初めにイランの鉄道を麻痺させたサイバー攻撃は、以前考えられていたようなランサムウェアではなく、システムに保存されているすべてのデータを消去するMeteorワイパーを使用して実行されました。 このインシデントはMeteorの最初の使用であり、専門家はまだ既知のサイバー犯罪グループと関連付けることができていません。



 

■Microsoft Exchange ServerのProxyLogonの脆弱性を悪用したサイバー攻撃
東南アジア諸国への攻撃で知られる中国のサイバー犯罪グループは、Microsoft Exchange ServerのProxyLogonの脆弱性を悪用して、攻撃を受けているシステムをこれまで知られていなかったリモートアクセストロイの木馬(RAT)に感染させます。 情報セキュリティ会社のパロアルトネットワークスのユニット42の一部門は、攻撃をPKPLUGサイバー犯罪グループ(別名Mustang PandaおよびHoneyMyte)に起因すると考えました。 専門家は、Thorと呼ばれるPlugXモジュラーマルウェアの新しい亜種を特定しました。これは、エクスプロイト後のツールとして侵害されたサーバーの1つに配信されました。


■Windows11のインストーラーを装ったマルウェア
Windows 11オペレーティングシステムはまだ正式にリリースされていませんが、ダウンロードして事前に知っておくことができます。もちろん、これは、新しいOSを装ってマルウェアをすり抜けようとするサイバー犯罪者によって使用されます。危険なマルウェアは、カスペルスキーのスペシャリストによって86307_windows11ビルド2196.1×64activator.exeというファイルで検出されました。重さは1.75GBで、おそらくオペレーティングシステムのインストールファイルですが、起動するとウイルスが解凍され、その後アドウェアや不要なプログラムがコンピュータに表示されます。


■ソーシャルネットワークのFacebookとInstagramを悪用し、機密情報を盗む
イランのハッカーは、防衛および航空宇宙の従業員と請負業者を対象としたサイバースパイ活動で、18か月間エアロビクスインストラクターになりすました。犯罪者は被害者のシステムをマルウェアに感染させ、資格情報やその他の機密情報を盗みました。少なくとも2019年から実施されているキャンペーン中、攻撃者はソーシャルネットワークのFacebookとInstagramを使用しました。専門家は、このキャンペーンを、イラン政府の支援を受け、イスラム革命防衛隊のイラン軍に関連するグループTA456(べっ甲としても知られる)に関連付けました。


 

■西側諸国のインフラに関する機密文書がメディアに掲載
7月26日月曜日に、5つの秘密文書がメディアで発表されました。これは、西側諸国のインフラストラクチャに対するイランのサイバー攻撃の計画を示したとされています。イランや他の国々によるインフラストラクチャへの攻撃の報告がマスコミに頻繁に掲載されていますが、メディアがサイバー攻撃の計画を概説したイスラム革命防衛隊のサイバー部門の内部文書を入手したのはこれが初めてです。文書によると、サイバー攻撃の1つは貨物船のバラスト水システムで計画されており、不可逆的な損害を引き起こす可能性があります。別の攻撃は、いくつかのガソリンスタンドの自動ゲージで計画されました。


■人​​気のあるCheckbox Surveyツールの脆弱性を悪用したサイバー攻撃
中国に関連しているとされるサイバー犯罪グループTG1021(またはPraying Mantis)は、人​​気のあるCheckbox Surveyツールの脆弱性を悪用して、米国の組織に攻撃を仕掛けました。攻撃中に、犯罪者はチェックボックス調査ツールの逆シリアル化の脆弱性(CVE-2021-27852)を悪用しました。この脆弱性は認証なしでリモートで悪用される可能性があり、Checkbox Survey 6アプリケーションに影響を及ぼします。この脆弱性はバージョン7.0(2019年にリリース)には存在しませんが、古いバージョンはサポートされなくなり、修正されません。


■被害者のデバイスにマルウェアを配信するスパムキャンペーン
マイクロソフトのセキュリティ専門家チームは、HTML密輸技術を使用して電子メールセキュリティシステムをバイパスし、被害者のデバイスにマルウェアを配信するスパムキャンペーンを数週間続けていることを発見しました。 HTMLの密輸により、攻撃者はHTML5とJavaScriptを使用してユーザーのデバイス上の悪意のあるファイルを収集できます。



 

■LemonDuckマルウェアの拡散について
Microsoftはまた、LemonDuckマルウェアの拡散についてユーザーに警告しました。 専門家によると、コンピューターに接続すると、LemonDuckはMonero暗号通貨をマイニングするためのボットネットネットワークを即座に作成します。 このマルウェアは、フィッシングメール、USBフラッシュドライブ、およびセキュリティの脆弱性を介してコンピュータに侵入します。 ほとんどの場合、WindowsおよびLinuxオペレーティングシステムに基づくデバイスの所有者はそれに苦しんでいる、とマイクロソフトは警告した。


■SmartVotingプロジェクトに登録された11万1000通以上のユーザーの電子メールがネットワークに漏洩
反汚職財団(FBK、ロシアでは過激派組織およびNGO外国代理人として認められている)の支持者の個人データが再びパブリックドメインに表示されました。 SmartVotingプロジェクトに登録された11万1000通以上のユーザーの電子メールがネットワークに漏洩しました。


■2021年6月にハッカーのグループによって盗まれたFIFA21のソースコードが投稿
RAIDフォーラムで、ユーザーの1人が751ギガバイトのファイルを投稿しました。 彼は、これが2021年6月にハッカーのグループによって盗まれたFIFA21のソースコードであると述べています。 どうやら、Electronic Artsからお金を手に入れようと必死で、ソースコードの購入者を見つけられなかったため、強奪者たちはそれを無料でアクセスできるようにしました。



 

■東京オリンピックのチケット所有者やボランティアの資格情報が漏洩
サイバー犯罪者は、東京2020夏季パラリンピックのチケット所有者、およびイベントのボランティアの資格を侵害しました。 共同通信によると、盗まれたクレデンシャルは、イベントのウェブサイトでボランティアやチケット所有者を承認するために使用され、名前、住所、銀行口座番号などの情報が開示されるリスクがあります。


■Clubhouseの38億の電話番号に関する情報がダークネットで売りに出された
Clubhouseの電話番号の完全なデータベースが今週ダークネットで売りに出されました。 データベースには、同期された連絡先リストからのClubhouseメンバーとユーザーの両方の38億の電話番号に関する情報が含まれています。


■ペガサスのスパイウェアによる世界中の高官への攻撃
イスラエルの企業NSOGroupは、ペガサスのスパイウェアが多くの政治家の電話をハッキングするために使用されたことを繰り返し否定しています。 しかし、WhatsAppのCEOであるWillCathcartがTheGuardianに語ったように、政府は2019年に、米国の同盟国である国家安全保障当局を含む世界中の高官を攻撃するためにペガサスソフトウェアを使用したとされています。


■Kubernetesクラスターへの攻撃
セキュリティベンダーのIntezerは、攻撃者がArgo Workflowsエンジンを使用して、Kubernetesクラスターに攻撃を仕掛け、クリプトマイナーを展開するサイバー攻撃について警告しています。 Intezerの専門家は、テクノロジー、金融、ロジスティクスの各セクターの組織で使用されている脆弱なコンテナをいくつか特定しました。