2024Q4 国家が関係している攻撃等

2024.10.09

2024Q4 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。


2024Q3 国家が関係している攻撃等へのリンクはこちら

2024Q2 国家が関係している攻撃等へのリンクはこちら

2024Q1 国家が関係している攻撃等へのリンクはこちら

2023Q4 国家が関係している攻撃等へのリンクはこちら

脅威動向に関する情報はこちら(外部サイト)もご参照下さい

2024/12/31

ホワイトハウスが米国の通信会社の9件目の攻撃をSalt Typhoonに結びつける

  • Bloombergのニュースより
  • ホワイトハウス当局者は、数十カ国に影響を与えた中国のハッキング活動で侵害された通信会社のリストに、9番目の米国通信会社を追加しました。
  • SaltTyphoonの件は、別のブログ(CyberTrust社の方)にまとめる予定です。

2024/12/19

CISA/FBIがMobileメッセージをSignalのようなEnd-to-End暗号化のものに変えるように推奨

  • bleepingcomputerより
  • CISA/FBIの発表はこちら
  • CISA がモバイル通信のベスト プラクティス ガイダンスを発表しています。このなかで、MobileメッセージをSignalのような暗号化されたものに変えるように推奨しています。

2024/12/17

CISAとEPIが水道施設のHMI(ヒューマンインターフェース)の露出を制限する共同声明

  • CISAのサイトより
  • CISA と環境保護庁 (EPA) は、「 インターネットに公開された HMI は上下水道システムにサイバーセキュリティのリスクをもたらす」を 発表しました。この共同ファクトシートは、上下水道システム (WWS) 施設に対し、ヒューマン マシン インターフェイス (HMI) の露出を制限し、悪意のあるサイバー活動から HMI を保護するための推奨事項を提供します。 HMI を使用すると、運用テクノロジの所有者とオペレータは、プログラマブル ロジック コントローラに接続された監視制御システムとデータ収集システムを読み取ることができます。脅威アクターは、サイバーセキュリティ制御なしで WWS セクターの電力会社で露出した HMI を悪用する可能性があり、その結果、運用に影響が生じ、被害者が手動運用に戻らざるを得なくなります。

ロシアがViberを禁止に

  • bleepingcomputerより
  • ロシアが、世界中で数億人が使用している暗号化メッセージングアプリ「Viber」を、同国の法律に違反しているとしてブロックした模様です。
  • Viberは知らなかったので、少し調べてみます。

ロシアのGamaredonが新たなマルウェアでAndroidを狙う

  • bleepingcomputerより
  • Gamaredonが「BoneSpy」と「PlainGnome」という 2 つの Android スパイウェア ファミリを使用して、モバイル デバイスをスパイし、データを盗んでいたことが判明したとのことです。

2024/12/12

TurlaがStorm-0156 のマルウェアとサーバーをハイジャックして攻撃

  • Microsoftのブログより
  • TurlaがパキスタンのStorm-0156のマルウェア・インフラをハイジャックして攻撃を隠していた模様です。面白いのでこちらでも紹介します。

2024/12/10

ルーマニアの発電所がランサムウェアにやられる

  • bleepingcomputerより
  • ルーマニアの電力供給主要企業のElectrica Groupが、現在「進行中」のランサムウェア攻撃を調査しているところだとのことです。
  • 2024/12/12追記:Lynxランサムウェアが犯行声明を出した模様です。
  • IoCはこちらになります
  • こちらは後でまとめます。

2024/12/07

ロシアのNo Name057がサイバー攻撃により英国陸軍のウェブサイトなどを無効化

  • DailyDarkwebより
  • ロシアのグループNo Name057が関与した組織的なサイバー作戦で、英国軍に関連する複数の公式ウェブサイトがオフラインになったと伝えられています。
  • 対象となるプラットフォームには次のものが含まれます。
    • イギリス陸軍の公式ウェブサイト。
    • イギリス海軍の公式ウェブサイト。
    • イギリス空軍の公式ウェブサイト。
    • リバプールのマージー トンネルの公式ウェブサイト。

ルーマニアの選挙システムが85,000以上のサイバー攻撃の標的に

  • bleepingcomputerより
  • ルーマニア情報局の機密解除された報告書によると、同国の選挙インフラが8万5000件以上のサイバー攻撃の標的となっていたとのことです。

ロシアのプログラマがFSBによりAndroidマルウェアを埋め込まれる

中国の通信ハッキング活動で数十カ国が打撃を受けた模様(米国発表)

  • NBCニュースより
  • ジョージア州シーアイランド—国家安全保障局長官は日曜、中国による大手通信会社3社へのハッキング事件は捜査中だが、この件について議論するのはまだ「時期尚早」であると述べたとの事です。
  • この件は、もう少し詳しい情報が判明したら更新します。

2024/11/29

アフリカの大規模な摘発作戦「Serengeti」により1,000人以上のサイバー犯罪者が逮捕

  • インターポールとアフリカ諸国の法的機関が「セレンゲティ作戦」として、世界中で1億9,300万ドル近い経済的損失を引き起こした大規模なサイバー犯罪活動に関与した疑いで1,000人以上を逮捕したとのことです。この作戦は9月2日から10月31日までインターポールとアフリポールによってランサムウェア、ビジネス電子メール侵害(BEC)、デジタル恐喝、オンライン詐欺の背後にいる犯罪者をターゲットにしたものとして実行されたとのことです。
  • こちらも別記事でまとめたいですね。

2024/11/23

APT28が「最近隣攻撃」でロシアからWi-Fi経由で米国企業に侵入

  • Volexityのブログより
  • APT28が2022年に「最近傍攻撃(Nearest Neighbor Attack)」という攻撃を行っていたという話です。
  • こちらは別記事でまとめる予定です。

2024/11/15

中国による米国の電気インフラに対するスパイ活動に対するFBI/CISAの声明

  • CISA・FBIの声明より
  • FBI・CISAの声明が発表されました。
  • 「商用電気通信インフラを標的とした中華人民共和国(PRC)に対する米国政府の継続的な調査により、広範かつ重大なサイバースパイ活動が明らかになりました。
  • 「具体的には、中国関連の攻撃者が複数の電気通信会社のネットワークを侵害し、顧客の通話記録データの盗難、主に政府や政治活動に関与している限られた数の個人のプライベート通信の侵害を可能にしたことを確認しました。調査が進むにつれて、これらの侵害に対する理解が深まると予想されます。」
  • こちらは別記事でまとめる予定です。

MicrosoftがCVE-2024-43451(ウクライナで攻撃に使用された脆弱性)にパッチを当てた模様

  • ロシアのハッカーが、ウクライナの組織を標的とした進行中のゼロデイ攻撃として、最近パッチが適用された Windows の脆弱性を悪用していました。
  • このセキュリティ上の欠陥 ( CVE-2024-43451 ) は、ClearSky セキュリティによって報告された NTLM ハッシュ開示スプーフィングの脆弱性で、攻撃者が制御するリモート サーバーへの接続を強制することで、ログイン ユーザーの NTLMv2 ハッシュを盗むために悪用される可能性があります。

2024/11/13

VoltTyphoonがボットネットを立て直している模様

  • SecurityScorecardより
  • Cisco RV320/325 ルータと Netgear ProSafe ルータを通してボットネットを再構築している模様です。
  • こちらは別の記事でまとめます。

2024/10/31

FBIが米国大統領選挙に対して詐欺の注意喚起

  • FBIのサイトより
  • FBIは、2024年の米国総選挙を悪用して複数の種類の金融詐欺計画を実行する詐欺師について国民に警告しているとのことです。
  • こちら、別記事でまとめる予定です。

2024/10/29

ロシアのUNC5812がWindows/Androidマルウェアでウクライナ軍を標的に

  • bleepingcomputerより
  • ロシアの脅威グループ「UNC5812」によって実行された、Windows および Android マルウェアを使用したウクライナ軍新兵を標的としたハイブリッド スパイ活動/影響力キャンペーンが明らかになりました。
  • Google の脅威インテリジェンスによると、このキャンペーンは Web サイトと専用の Telegram チャネルとともに「民間防衛」のペルソナになりすまして、研究者らが「Sunspinner」と名付けた偽の採用回避アプリを通じてマルウェアを配布しました。
  • こちらも別記事でまとめる予定です。

FBI/CISAが米国のTelecom系への中国からの攻撃に対してJoint Statementを出す

  • CISAの記事より
  • FBI/CISAが中国と関係のあるアクターによる商用Telecomインフラへの不正アクセスを調査しているということです。
  • こちらは別記事でまとめる予定です。

2024/10/15

FBI/NSA/NCSC-UKなどがAPT29に関して共同声明

  • プレスリリースはこちら
  • FBI/NSA/NCSC-UKなどがAPT29に関して共同声明を出しています。
  • こちらもどこかでまとめたいと思います。

2024/10/10

ロシアのDr.Webへの攻撃に親ウクライナのハクティビストが関与

  • bleepingcomputerより
  • 親ウクライナのハクティビストのグループが、ロシアのセキュリティ会社Doctor Web(Dr.Web)への9月の侵害に対する犯行声明を出したそうです。
  • 詳しくはReliaQuest社のブログを確認してください。

2024/10/09

GoldenJackalという脅威アクターが国家のエアギャップシステムに侵入

  • ESETのブログより
  • ESET Researchは、GoldenJackalとして知られるサイバースパイ活動の脅威アクターが使用する、エアギャップシステムを突破するための2つの別々のツールセットを分析しました。
  • この攻撃はヨーロッパの政府組織に対するもので、政府や外交機関を標的とするサイバースパイ活動を目的としたAPT グループ GoldenJackal によるものであると考えられており、2022 年 5 月から 2024 年 3 月まで行われました。
  • 面白いのでどこかでまとめたいと思います。

タイトルとURLをコピーしました