ウィークリー・サイバーラウンド・アップ
AkiraランサムウェアグループがTietoevryを攻撃、スウェーデンで複数サービスが停止
BleepingComputer – January 21, 2024
ITおよび企業向けクラウドホスティングサービスを提供するフィンランドのTietoevryが19日夜、スウェーデンにある同社データセンターの一部を標的としたランサムウェア攻撃に見舞われた。背後にAkiraランサムウェアグループの関与が疑われるこの攻撃により、スウェーデンでは複数の顧客がサービス停止に直面。Tietoevryのクラウド給与計算・人事管理システムPrimulaも影響を受けた。Primulaはスウェーデンのさまざまな政府機関や大学・高等教育機関で使用されている。
Midnight BlizzardがHPEのメールアカウントを侵害
BleepingComputer – January 24, 2024
Hewlett Packard Enterprises(HPE)は、Microsoft Office 365を使った同社のEメール環境がロシア系ハッカーグループMidnight Blizzardに侵害され、サイバーセキュリティチームやその他の部門からデータが盗まれたことを明らかにした。このデータ侵害について、HPEは2023年12月12日に報告を受けており、同年5月に攻撃者のアクセスがあったことを認識していた。今回のインシデントは、同じ時期にMidnight Blizzardが同社のSharePointサーバーにアクセスし、ファイルを盗んだデータ侵害に関連していると考えられている。ただし、マイクロソフト社が最近公表した同グループによるセキュリティ侵害と関連があるかどうかはわかっていない。
【HPEがOffice 365メール環境への不正アクセス被害公表】ヒューレット・パッカード エンタープライズによると、昨年5月以降にサイバーセキュリティ部門等の受信箱からデータが盗まれた模様。ロシアの国家アクターMidnight Blizzard/Cozy Bearが実行犯と考えられているhttps://t.co/b4H9j85Nvv
— Machina Record (@MachinaRecord) January 24, 2024
メキシコの銀行や暗号通貨プラットフォームがAllaKore RATで2021年から狙われていた
Blackberryの研究者は、金銭的動機に基づくキャンペーンで、オープンソースのリモートアクセスツールAllaKore RATを用いて、メキシコの高収益の銀行や暗号通貨取引所が標的にされていることを観測した。脅威アクターは、銀行のクレデンシャルや一意の認証情報など盗んだ情報をC2に送り返すことができるように、AllaKore RATを大幅に修正していた。アクターが送りつける囮には、IDSEのソフトウェアアップデートに関する文書やメキシコ社会保障協会の決済システムSIPAREなど、政府が持つ本物のリソースが含まれている。このキャンペーンは遅くとも2021年後半から行われてきた。
ScarCruft APTが新たな感染チェーンをテストし、サイバーセキュリティの専門家らを狙う
SentinelLabs – January 22, 2024
SentinelLabsの研究者は、北朝鮮の高度持続型脅威(APT)グループとされるScarCruftが、メディア組織や北朝鮮問題に関する著名な専門家を標的としていることを観測した。ScarCruftは、Kimsukyグループに関する技術的な脅威調査レポートを囮として利用するなど、さまざまなマルウェア感染チェーンをテストしていることが確認されている。これらの文書はスピアフィッシングメールで送信されており、メールには9件の文書を含むアーカイブファイルが添付されていた。同グループが計画するキャンペーンでは脅威関連の研究者、サイバー対策関連組織、その他サイバーセキュリティの専門家など、技術的な脅威インテリジェンスレポートを利用する者がターゲットにされている可能性が高い。
過去に漏れた情報から成るレコード260億件の大規模漏洩データ見つかる
セキュリティ研究者のBob Diachenko氏とCybernewsの研究者は、260億件のレコードを含むあるオープンインスタンスを特定した。このレコードは合計12TBの情報から成る。多くのレコードは過去の情報漏洩が出どころとみられ、Tencent QQから流出したレコードが14億件と最も多くなっている。この流出データには、さまざまなアプリケーションのログイン認証情報のほか、米国、ブラジル、ドイツ、フィリピン、トルコなどの多様な政府機関の記録が含まれる。
ランサムウェアグループ別の記事数
2024年1月19日〜25日までの期間における、ランサムウェアグループ別の記事数分布を示したグラフです。
脆弱性
過去1週間の間にトレンドとなった脆弱性には、以下のようなものがありました。
CVE | ソフトウェア | CVSS基本値 | CVSS現状値 | |
---|---|---|---|---|
CVE-2024-23222 | Safari | 6.3 | 6.0 | |
関連記事:Apple fixes first zero-day bug exploited in attacks this year | ||||
CVE-2023-34048 | vCenter Server | 9.8 | 9.4 | |
関連記事:Chinese Espionage Group UNC3886 Found Exploiting CVE-2023-34048 Since Late 2021 | ||||
CVE-2024-0204 | GoAnywhere MFT | 9.8 | – | |
関連記事: PoC released for critical authentication bypass flaw in Fortra GoAnywhere MFT | ||||
CVE-2023-22527 | Confluence Server | 9.8 | 9.4 | |
関連記事: Hackers start exploiting critical Atlassian Confluence RCE flaw | ||||
CVE-2023-46604 | Apache ActiveMQ | 9.8 | 9.4 | |
関連記事: Apache ActiveMQ vulnerability exploited with Godzilla webshell |
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。