2021年12月9日~15日までのセキュリティインシデントの概要

2021/12/17 セキュリティーニュース
logo

今週のインシデントの概要

「WordPressに対するサイバー攻撃の波」、「Rustプログラミング言語を使用した最初のサイバーランサムウェアグループの出現」、「Hellmann Worldwide Logistics、Kronos、Volvoに対するランサムウェア攻撃」、「Log4jの脆弱性による広がるパニック」等、その他のセキュリティインシデントについてご一読ください。

Log4jの脆弱性の発見

近年の情報セキュリティの世界で最も注目を集めたイベントは、人気のあるロギングユーティリティLog4j(CVE-2021-44228)の脆弱性の発見でした。脆弱性を悪用することにより、インターネットを介してサーバーとアプリケーションを制御できるようになります。 Log4Shellと呼ばれるこの問題は、ユーティリティが広範囲に使用されているため、悪化しています。これは、ほとんどすべての主要なエンタープライズJavaベースのアプリケーションとサーバーに存在します。

専門家によると、ハッカーはすでにLog4Shellを攻撃に悪用しています。 Netlab 360の専門家によると、ハッカーはLog4Shellを使用して、脆弱なデバイスにマルウェアMiraiとMuhstikをインストールします。 Microsoft Threat Intelligence Centerによると、この脆弱性はCobaltStrikeのインストールにも悪用されました。

Log4Shellを介して攻撃されたほとんどのデバイスはLinuxを実行していますが、Bitdefenderは、ハッカーがこの脆弱性を利用してKhonsariランサムウェアをWindowsシステムに配信し、Orcus Remote Access Trojan(RAT)をダウンロードしようとする試みも記録しています。 次に、MandiantとCrowdstrikeは、中国政府で働いているサイバー犯罪者がすでにLog4Shellの脆弱性に関心を持っていると報告しました。

自動車メーカーボルボへのサイバー攻撃

もう1つの注目すべき事件は、自動車メーカーのボルボのR&Dデータ侵害です。 同社はリークをすぐには認めなかった。 当初、当社はこの事件を「潜在的なサイバー攻撃」と表現しましたが、漏洩したデータは今年11月30日という早い時期にオンラインで漏洩し始めました。 ボルボは今週、攻撃が行われ、当初の予想よりもはるかに危険である可能性があることを認めました。

世界最大のロジスティクス企業へのランサムウェア攻撃

世界最大のロジスティクス企業の1つであるHellmannWorldwide Logisticsは、サイバーランサムウェアの犠牲になっています。予防措置として、同社は中央データセンターへのすべての接続を直ちに切断しました。

ブラジル保険省へのランサムウェア攻撃

大規模なランサムウェアサイバー攻撃は、ブラジル保健省のWebサイトを標的にしました。インシデントの結果、何百万人もの市民がCOVID-19に対する予防接種に関するデータへのアクセスできなくなりました。攻撃は12月10日金曜日に始まり、公衆衛生システムにおける市民の行動を追跡するConecteSUSを含む、ブラジル保健省のすべてのWebサイトが停止しました。特に、ユーザーはConecteSUSアプリを介してCOVID-19に対する予防接種のデジタル証明書にアクセスできなくなりました。 Lapsus $ Groupによる攻撃であると声明を出しました。ハッカーによると、彼らは保健省から50 TBのデータを盗み、盗んだデータを削除しました。

Kronos社へのランサムウェア攻撃

HRソリューションメーカーのKronosもランサムウェアの被害者になっています。この攻撃により、Kronosのクラウ​​ドサービスが数週間無効になった可能性があります。このインシデントは、Kronos PrivateCloudを使用するUKGソリューションに影響を及ぼしました。

ランサムウェアグループRevilは新しい攻撃グループ結成

高く評価されているREvilの参加者は、サイバー犯罪の分野を離れることはなく、新しいグループであるALPHV(BlackCat)を結成したようです。 ALPHVは、Rustプログラミング言語を使用した最初のサイバーランサムウェアグループです。 新しいマルウェアは2つの地下フォーラムで宣伝されており、実際の攻撃ですでに使用されています。 マルウェアの機能には、Windows、Linux、およびVMWareeSXIを実行しているシステム上のデータを暗号化する機能が含まれます。 アフィリエイトには、最終的な収益の80%から90%の範囲の収入が利用者に提供されます。

高度な攻撃をしかけるハッカーグループ

情報セキュリティ企業であるアクセンチュアセキュリティのスペシャリストは、今年の第3四半期に活動を強化した非常に専門的なハッカーのグループについて報告しました。カラクルトと名乗る金銭的に利益のあるハッカーは、2021年6月に2つのドメインを登録し、Twitterページを開始したときに研究者の注目を集めました。このグループの主な活動はデータの盗難と恐喝ですが、ファイル暗号化ソフトウェアは使用していません。ハッカー自身によると、2021年9月から11月にかけて、40以上の被害者のネットワークをハッキングし、盗んだファイルをWebサイトに公開しました。

イランのAPTグループMuddyWaterによるサイバー攻撃

ノートンライフロックは、中東およびアジアの他の地域の通信事業者、IT企業、公益事業者を対象としたイランのAPTグループMuddyWaterによるサイバースパイキャンペーンを発表しました。ノートンライフロックの研究者が過去6か月にわたって追跡した新しいキャンペーンでは、攻撃者はイスラエル、ヨルダン、クウェート、ラオス、パキスタン、サウジアラビア、タイ、アラブ首長国連邦の複数の組織を標的にしています。攻撃では、合法的なツール、実地での戦術、および公開されているマルウェアサンプルが使用されました。

フィッシング攻撃

Agent Teslaマルウェアの新しい亜種が、進行中のフィッシングキャンペーンで使用されています。 フォーティネットの専門家によると、攻撃者は「注文」の詳細を含むメールを韓国のユーザーに送信しているとのことです。 電子メールには、悪意のあるMicrosoftPowerPointドキュメントが含まれています。

160万のWordPressサイトに対する巨大な攻撃

今週のWordfenceのアナリストは、160万のWordPressサイトに対する巨大な攻撃の波を記録しました。 攻撃は16,000のIPアドレスから発生します。 攻撃者は4つのWordPressプラグインと15のEpsilonFrameworkテーマを攻撃しており、そのうちの1つについてはセキュリティパッチがまだリリースされていません。

MikroTik製デバイスを悪用した攻撃

DDoS攻撃、トラフィックトンネリング、C&Cなどを実行するために使用されるMikroTikデバイスは、攻撃者の間でお気に入りになりました。自宅で作業するユーザーの数が増えるにつれ、犯罪者が従業員の自宅のデバイスと企業のデバイスおよびリソースの両方にアクセスできるようにする、簡単に検出が可能な脆弱なデバイスが多数あります。 MikroTikデバイスには脆弱性が含まれており、多くの場合、管理者の資格情報が組み込まれています。さらに、MikroTikの自動更新機能が有効になることはめったにないため、多くのデバイスがパッチを受信することはありません。また、非常に複雑なカスタマイズインターフェイスを備えているため、ユーザーは間違いを犯しやすくなっています。これらすべてが、10年以上前にサポートの有効期限が切れた何千もの脆弱なEOLデバイスがインターネット上で発見される原因になっています。

TP-Link製のホームルーターの脆弱性を悪用した攻撃

Darkボットネット(MANGAとも呼ばれます)のオペレーターは、人気のあるTP-Link TL-WR840N EU V5(CVE-2021-41653)ホームルーターのリモートコード実行の脆弱性を悪用しています。 TP-Linkは、2021年11月12日のファームウェアアップデート(TL-WR840N(EU)_V5_211109)のリリースに関する問題を修正しました。この脆弱性を発見したセキュリティ研究者のMatekKamilloは、RCEの脆弱性を悪用するPoCコードを公開し、攻撃者がルーターを攻撃に使用できるようにしました。フォーティネットの専門家によると、ダークキャリアはTP-Linkがファームウェアアップデートをリリースしてからわずか2週間後に攻撃を開始しました。

サイバー攻撃で450万のPYRトークン(総額は1億300万ドル以上)を引き出し

ハッカーは、Vulcan Forged NFTマーケットプレイスのユーザーの148ウォレットにアクセスし、450万のPYRトークンを引き出しました(総額は1億300万ドル以上)。 市場からのメッセージによると、攻撃者はユーザーの秘密鍵を入手する可能性があります。

暗号通貨取引プラットフォームAscendEXへのサイバー攻撃

以前はBitMaxとして知られていた暗号通貨取引プラットフォームAscendEXは、12月11日にサイバー攻撃を受けたとTwitterで報告しました。 分析会社のPeckShieldによると、サイバー攻撃の結果、7,700万ドル相当の資産が暗号通貨取引所のホットウォレットから盗まれました。そのうち、6,000万ドルはイーサリアム、920万ドルはBSC、850万ドルはポリゴンです。