2021年12月16日〜22日までのセキュリティインシデントの概要

2021/12/27 セキュリティーニュース
logo

◆今週のセキュリティインシデントの概要

先週はLog4Shellの課題で持ちきりでした-人気のあるLog4jロギングライブラリの脆弱性であり、APTグループとランサムウェアオペレーターの両方で悪用されています。 さらに、「ハッカーはGrim Financeプラットフォームから3000万ドルを盗み」、「Phorpiexボットネットの新しい亜種は50万ドルの暗号通貨を盗み」、「最大の天然ガス供給業者の1つであるSuperiorPlusはランサムウェアの犠牲」になりました。情報セキュリティの世界におけるこれらのインシデントについてご一読ください。


◆Log4Shellの脆弱性悪用

Khonsariは、Log4Shellの脆弱性(CVE-2021-44228)を悪用した最初のランサムウェアでした。 実際、このマルウェアはランサムウェアではなくワイパー型であり、Minecraftサーバーを攻撃します。 スウェーデンのMinecraft制作会社であるMojangStudiosは先週、脆弱性を修正する緊急セキュリティアップデートをリリースしました。

 

悪名高いランサムウェアContiのオペレーターも、Log4Shellの脆弱性で武装しています。Log4Shellの脆弱性を悪用し 、VMware vCenter Serverの内部インストールにすばやくアクセスし、身代金を取得するために仮想マシンを暗号化します。 したがって、Contiはこの脆弱性を備えた最初の「トップエンド」サイバー犯罪グループになりました。

 

さらに、サイバー犯罪者はLog4Shellの脆弱性を悪用して、脆弱なデバイスをDridexバンキング型トロイの木馬またはMeterpreterシェルに感染させ始めました。 攻撃者は、Log4j RMI(Remote Method Invocation)エクスプロイトの亜種を悪用して、脆弱なデバイスに、ハッカーが制御するリモートサーバーからJavaクラスをロードして実行するように強制します。

 

Log4Shellの脆弱性は、ベルギー国防省への攻撃でも悪用されました。 国防省のスポークスマン、オリビエ・セヴェリン氏は、同庁がインターネットに接続されたコンピューターネットワークへの攻撃を発見したと述べた。 影響を受けた部分を隔離するために、適切な措置が迅速に講じられました。 誰がサイバー攻撃を仕掛けたのかは不明です。


◆ランサムウェア攻撃

最大の天然ガス供給業者の1つであるSuperiorPlusは、ランサムウェアを使用したサイバー攻撃の犠牲者であると報告しました。 事件は12月12日日曜日に始まったことが知られていますが、誰が攻撃の背後にいて、どのシステムが影響を受けたかは報告されていません。 SuperiorPlusは、「システムのセキュリティを向上させ、データと運用への影響を減らすための措置を講じています」 と報告しましたが、インシデントが運用に与える影響はまだ確立されていません。


◆イラン政府関連の攻撃

イラン政府関連のMuddyWaterAPTは、アジアの航空会社にバックドアを配備しました。 攻撃者は、C&Cオペレーション、特に通信とデータ転送にSlackメッセンジャーAPIを使用するAclipと呼ばれるPowerShellバックドアを配備しました。 ほとんどの場合、多くのイランのハッカーグループが同じ攻撃をされた環境に一度にアクセスできるため、他のサイバー犯罪者もこのオペレーションに関与した可能性があります。 さらに、イラン政府のハッカーは、少なくとも5年間、航空機業界を(主にスパイ目的で)攻撃してきました。


◆ロシアと関係があるとされるハッカーグループのClopによる攻撃

ロシアと関係があるとされるハッカーグループのClopは、英国の警察から盗まれたデータを売りに出しました。 英国の法執行官からの秘密情報は、「迷惑なセキュリティ違反」のためにロシアのIT専門家によって盗まれたとされています。 ハッカーは、警察のコンピューターへのアクセスを提供するDacoll社が身代金の支払いを拒否した後、一部のデータを公開することを決定しました。 Dacollは、ハッカーが要求した金額を明らかにしませんでした。


◆暗号通貨ユーザへの攻撃

エチオピア、ナイジェリア、インド、グアテマラ、フィリピンの暗号通貨ユーザーは、仮想コインを盗むTwiztと呼ばれるPhorpiexボットネットの新しい亜種に攻撃されています。 過去1年間で、攻撃者は500,000ドルを盗みました。新しいバージョンのマルウェアにより、ボットネットはアクティブなC&Cサーバーがなくても正常に動作し、ビットコイン、イーサリアム、ダッシュ、ドージコイン、ライトコイン、モネロ、リップル、ジリカなどのさまざまなブロックチェーンに関連付けられた35個のウォレットが空になります。

 

FantomOperaに基づいて立ち上げられた暗号通貨プラットフォームGrimFinanceがハッキングされました。 その結果、3000万ドル以上の暗号通貨がプラットフォームから盗まれました。ハッカーは、悪意のあるトークン契約を使用して、beforeDeposit()関数を介してプラットフォームのウォレットにアクセスしたと報告されています。


◆宗教団体への攻撃

米国の宗教の自由委員会のネットワークには、ハッカーにネットワークの完全な可視性と制御を提供するバックドアが含まれていました。 情報セキュリティ会社のアバストの専門家によると、問題について関連部門に通知する多くの試みは失敗しました。 米国の宗教の自由委員会は、世界中の宗教の自由の遵守を監視し、他の米国の団体や非政府組織と絶えず交流しています。


◆暗号通貨マイナーの犠牲

SEOツールを提供する会社であるSEOScoutの創設者であるJonnyPlatt氏は、冬休みの前夜に暗号通貨マイナーの犠牲になり、45,000ドルを失いました。AmazonWebServices(AWS)エントリがハッキングされ、数週間にわたってAWSサービスが使用されました。モネロ暗号通貨を採掘し、その結果、Platt氏には45,000ドルが請求されました。


◆39,000を超えるFacebookのフィッシングサイト

Meta Platforms(以前のFacebook)は、39,000を超えるフィッシングサイトを操作した攻撃者に対して、カリフォルニア州で連邦訴訟を起こしました。 これらのサイトは、Meta Platformsのデジタル資産に偽装されており、疑いを持たないユーザーをだまして資格情報を開示させています。 ソーシャルエンジニアリングスキームには、Facebook、Messenger、Instagram、WhatsAppのログインページを装った詐欺サイトの作成が含まれていました。 犠牲者はそれらの資格情報を入力するように促され、その後犯罪者によってログイン情報は盗まれました。 Meta Platformsは匿名の攻撃者に500,000ドルを要求しています。