分散型取引所SushiSwapにサプライチェーン攻撃 ウォレット置き換えで300万ドル相当流出 | ウィークリー・サイバーダイジェスト – 2021年9月17日〜9月23日 | codebook - セキュリティ情報専門News - by MachinaRecord

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > NEWS > 分散型取引所SushiSwapにサプライチェーン攻撃 ウォレット置き換えで300万ドル相当流出 | ウィークリー・サイバーダイジェスト – 2021年9月17日〜9月23日

分散型取引所SushiSwapにサプライチェーン攻撃 ウォレット置き換えで300万ドル相当流出 | ウィークリー・サイバーダイジェスト – 2021年9月17日〜9月23日

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。

過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュースを取り上げています。

 

以下、翻訳です。

 

2021年9月23日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

 

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

米国

ラボック郡

これまで一般公開されていなかった一部の裁判記録が、郡の新しいソフトウェアシステムを通じて誰でもアクセス可能となった。記録の中には、秘密保持命令、刑事事件、民法・家族法関連の記録が含まれる。

 

米国

Alaska Department of Health and Social Services(DHSS)

2021年5月のデータ流出で、DHSSのITインフラに保存されていたデータが盗まれた可能性がある。これには、フルネーム、生年月日、社会保障番号、住所、運転免許証番号、医療情報、財務情報などが含まれている可能性がある。

 

米国

Directions for Living

現在および過去の顧客の個人健康情報が保存されたサーバーが、2021年7月17日にランサムウェア攻撃の標的となった。

 

米国

Texoma Community Center

同センターで、現在および過去の顧客・従業員の情報に影響を与える情報漏洩が発生した。盗まれた情報は個人によって異なるが、氏名、生年月日、メール、医療情報、固有のバイオメトリックデータ、各種法的文書などが含まれる可能性がある。また、社会保障番号、運転免許証番号、金融機関の口座情報、クレジットカードやデビットカードの番号などが流出した人もいる。

 

米国

Austin Cancer Center

2021年8月4日の同社システムへの不正アクセスの結果、マルウェアが配信された。このインシデントにより、患者の氏名、住所、生年月日、医療情報が流出した。また、社会保障番号やクレジットカード番号が流出した人も、少数ながらいる可能性がある。

 

米国

Blick Art

Magecartのスキミング攻撃により、2020年3月11日から12月15日の間に同社サイトで商品を購入した顧客に影響が及んでいる。影響を受けるユーザーデータは、氏名、クレジットカードおよびデビットカードの番号、CVV、カードの有効期限など。

 

米国

Metabolic Maintenance

2020年5月から2021年7月にかけて攻撃が発生し、顧客の氏名、住所、決済カードの全情報を含む患者データに被害が及んだ。

 

ベルギー

Offrea[.]be

2021年5月28日にOffreaデータベースが攻撃された後、RaidForumsのユーザーがユーザー記録とログイン情報を投稿した。流出した情報は、メールアドレス、住所、IPアドレスなど。
(503,000)

 

日本

SushiSwap

GitHub上で「AristoK3」を名乗る匿名のコントラクターが、同取引所に対してサプライチェーン攻撃を実行した。 このアクターは、悪意のあるコードのコミットをSushiコードリポジトリに送りつけることでauctionWalletアドレスを自らのウォレットのアドレスに置き換え、約300万ドル相当のイーサリアムを盗んだ。

 

米国

Simon Eye Management

2021年5月12日から5月18日の間に、特定の従業員アカウントへの不正アクセスが発生した。被害を受けた可能性のある情報は、氏名、病歴、治療・診断情報、健康保険情報、社会保障番号、金融口座情報など。

 

インド

タミル・ナードゥ州政府

同政府が2021年9月17日にランサムウェア攻撃の標的となった。この攻撃は、セキュリティデータには影響を与えなかったと報告されている。影響を受けたファイルの大半がバックアップ済みだった。

 

英国

Concept Resourcing

2021年9月14日、同社の求人応募者と顧客の多くに、同社のメールソフトを使用したメールが送信された。このメールは、ユーザーが「デジタル・コロナウイルス・パスポート」を申請できると謳い、NHSの偽サイトへのリンクを添付していたが、その後削除された模様。

 

米国

共和党州知事協会

Hafniumが2021年2月から3月の間に同協会のMicrosoft Exchangeメールサーバーにアクセスし、個人を特定できる情報を流出させた。この情報には氏名や社会保障番号などが含まれているが、今回の情報流出は現在も調査中で、他のデータも流出したり盗まれたりしたかどうかは依然として不明。(~500)

 

米国

Amax OEM

ランサムウェアグループのContiが、同サーバーメーカーへの攻撃を主張。この侵入に関する情報は一切公表されていない。

 

マレーシア

Exabytes

2021年9月18日に何者かがランサムウェア攻撃を行った。予備調査によると、顧客データの流出はないが「画像ファイルが暗号化されている」とのこと。

 

英国

国防省

アフガニスタンから英国への移住を希望する個人のメールアドレスが、同省が送信したメールの全受信者に漏洩した。名前と、それに関連するプロフィール写真も閲覧可能だった。(250)

 

米国

Epik

「アノニマス・グループ」によるデータ流出で、顧客と顧客以外のメールアドレスなど180GBが流出した。漏洩した可能性のあるデータには、氏名、電話番号、住所、購入履歴、パスワードも含まれる。顧客以外のデータは、EpikがドメインのWHOIS記録をスクレイピングし、その記録を保存した際に入手されたもの。WHOIS関連の流出したデータファイルには、約16GBのデータが含まれており、ユーザーのメールアドレス、IPアドレス、ドメイン、住所、電話番号などが漏洩している。(15,003,961)

 

フランス

CMA CGM

2021年9月20日に発生したサイバー攻撃により、顧客情報が流出した。漏洩した情報は、姓名、雇用主、役職、メールアドレス、電話番号など。

 

米国

NEW Cooperative

同社は、2021年9月18日の週末、BlackMatterランサムウェア攻撃の標的となった。攻撃者は、慎重に扱うべき従業員の情報、財務文書、パスワードマネージャー「KeePass」のデータベースなど、合計1,000GBのデータを盗んだと主張している。

 

マレーシア

Sunway Group

ALTDOSは、同社をハッキングしてデータを盗んだと主張した。報告によると、盗まれたデータの一部はSunwayの学校に関するものであり、生徒や保護者の氏名、メールアドレス、電話番号などの情報が流出した可能性があるとのこと。(1,000)

 

エルサルバドル

National Civil Police of El Salvador

FocaLeaksは、エージェントのデータと、同警察が使用する「Imperium」プラットフォームへのアクセスを獲得したと主張している。報告によると、このプラットフォームには犯罪捜査や市民の記録が保存されており、その中には国内の全個人の情報(階級、電話番号、メールアドレス、ナンバープレート情報、身分証明書など)が含まれているという。(37,000)

 

米国

Marketron

同社はBlackMatterのランサムウェア攻撃の標的となり、全顧客が影響を受けた。同社のシステムの一部が攻撃中に無効化され、また一部は予防措置として停止させられた。(6,000)

 

米国

EventBuilder

ウェビナープランナーのEventBuilderに属するデータを格納する公開されたMicrosoft Azure blobに、Microsoftイベント登録者の個人情報(氏名、メールアドレス、電話番号など)を含むレコード「数十万件」が含まれている可能性がある。

 

タイ

公開されたElasticsearchデータベースに、過去10年間にタイを訪れた外国人旅行者のデータが含まれている。漏洩したデータは、旅行者の名前、パスポート番号、到着日など。(106,000,000)

 

米国

Crystal Valley

同協同組合は、2021年9月19日にランサムウェア攻撃を受けた。同組合の全システムが停止しているため、日常業務に支障が出ている。

 

米国

ポタワトミー郡

同郡は、2021年9月17日にサイバー攻撃の標的となった。この攻撃では複数のサーバーが侵入を受け、その結果、特定のシステムにアクセスできなくなった。影響を受けた可能性のあるデータを特定するための調査が続いている。

 

イスラエル

Voicenter

脅威アクターDeusは、同社をランサムウェア攻撃の標的にしたと主張し、身代金を支払わなければ15TBの盗難データを公開すると脅迫している。盗まれたデータには、同社以外の8,000の組織(同社の顧客であるMobileye、Partner、Gett、My Heritageなど)の情報も含まれていると報告されている。アクターはすでにデータの一部をリークしており、その中にはセキュリティカメラやウェブカメラの映像、IDカード、写真、WhatsAppのメッセージやメール、電話の通話記録などが含まれている。

 

南アフリカ

Debt-IN Consultants

同社は2021年4月にランサムウェア攻撃の標的となり、その結果、ランサムウェアアクターが南アフリカ国民の個人情報にアクセスすることとなった。データの一部は2021年9月中旬にダークウェブ上に流出し、その中には従業員と顧客との間の通話記録も含まれていた。 (1,400,000)

 

フランス

マクロン大統領

フランス大統領の「ヘルスパス」がネット上に流出し、ワクチン接種状況のほか、氏名と生年月日が公開状態となった。この1週間前には、ジャン・カステックス首相にも同様のインシデントが起きていた。(2)

 

米国

Marcus & Millichap Inc

BlackMatterランサムウェアが、サイバー攻撃中に同社のシステムから500GBのデータを盗んだと考えられている。同社は、すべての重要なシステムを復元することができた。どのようなデータが盗まれたのかは不明。

 

 

医療に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、医療関連のマルウェアを示しています。

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

ほぼ例外なくブラジルのみを標的とするためにサイバー犯罪者に使用され、メキシコやスペインでも時折キャンペーンが観測されるバンキングトロージャンNumandoを、ESETの研究者が分析した。攻撃者はこのマルウェアをスパムで拡散する。実行後、MSIインストーラーがインジェクターをサイドロードする正規のアプリケーションを実行し、インジェクターはペイロードを見つけ出して復号する。NumandoはDelphiで書かれているが、インジェクターはDelphiで書かれていない。Numandoのバックドア機能により、マウスやキーボードの操作のシミュレート、標的マシンの再起動やシャットダウン、オーバーレイウィンドウの表示、スクリーンショットの撮影、ブラウザプロセスの強制終了などを行うことができる。

 

政府

Cyjax社の研究者が、現在進行中のクレデンシャル収集キャンペーンを観測した。このキャンペーンでは、脅威アクターが偽のメールサーバーのログインポータルを利用し、APAC(アジア太平洋地域)およびEMEA(ヨーロッパ、中東、アフリカ)の複数の国の政府部局になりすましている。標的にされた政府の実際のドメインは、攻撃者のドメインのホスト名として完全利用されることが多い。最初の攻撃手段は現在のところ不明だが、フィッシングリンクが最も可能性の高い手法であると考えられている。今回のキャンペーンは、国家が支援する高度標的型脅威アクターによる情報収集活動の一環である可能性がある。ドメインの1つを分析した結果、Operation TrickyMouseに関連する可能性があることが判明したが、このOperation TrickyMouseはUNC1151やHadesと関連している。

 

テクノロジー

VMware vCenter Server 6.7および7.0に影響を与えるCVE-2021-22005を探すためのスキャンが活発に行われているのを観測したと、Bad Packetsが報告した。この重大な欠陥は、SolidLab LLCの研究者によって最近明らかにされたもので、ユーザーが操作を行わずとも、認証されていない攻撃者によってリモートで悪用される可能性がある。BleepingComputerは、現在、インターネット経由でアクセス可能となっており、脆弱な恐れのあるvCenterサーバーが数千台存在すると指摘した。また、VMware社は、エクスプロイトが一般に利用可能となるのは時間の問題であると警告し、直ちにパッチを適用するようユーザーに呼びかけている。

 

小売・観光

Cisco Talosの研究者が、コモディティ型マルウェアを使用して航空業界を狙うメールフィッシングキャンペーンを観測した。このメールには、航空業界の情報が記載されたPDFファイルとされるものへのリンクが含まれているが、実際にはそうではなくGoogle Drive上でホストされているVBSスクリプトにユーザーを誘導する。このスクリプトは、最終的にCyberGateまたはAsyncRATを配信するが、これらはさまざまなクリプターで偽装されている。攻撃者は被害者のクレデンシャルやクッキーを取得し、それらはダークウェブ上でより熟練したアクターに販売される。少なくとも3年間にわたって活発に行われているこのキャンペーンは、ナイジェリアのアクターに関連している可能性がある。

 

暗号資産

ハッカーがpNetworkのコードベースの欠陥を悪用し、バイナンススマートチェーンを標的として、277pBTC(1,200万ドルに相当)を盗んだ。pNetworkによると、他のブリッジは影響を受けておらず、他の資産はすべて安全とのこと。追加のセキュリティ対策実施のため、トランザクション処理に時間がかかることが予想されている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/weekly-cyber-digest-17-23-september-2021/

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

【参考】Silobreaker ご案内ページ(弊社Webサイト)

https://machinarecord.com/silobreaker/