Magento1 の欠陥を利用するクレジットカードスキマーで Costway ウェブサイトに被害 | ウィークリー・サイバーダイジェスト – 2021年1月29日〜2月4日 | Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog > Articles > NEWS > Magento1 の欠陥を利用するクレジットカードスキマーで Costway ウェブサイトに被害 | ウィークリー・サイバーダイジェスト – 2021年1月29日〜2月4日

Magento1 の欠陥を利用するクレジットカードスキマーで Costway ウェブサイトに被害 | ウィークリー・サイバーダイジェスト – 2021年1月29日〜2月4日

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

 

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

 

米国

Comcast

セキュリティ研究者のJeremiah Fowlerが、同社から盗み出されたデータベースを発見された。データベースのサイズは477.95GBで、1,507,301,521件の記録が含まれている。暴露されたデータには、技術ログ、Comcast の開発チームのメールアドレスとハッシュ化されたパスワード、エラーログ、アラート、ジョブスケジューリングの記録などが含まれていた。データベースは現在保護されている。

 

DriveSure

Risk Based Securityの研究者が、同社のものと主張する複数のデータベースを販売する脅威アクターを発見した。そのデータは、2020年12月19日にダンプされたと報告されている。合計で、ディーラーや在庫情報、収益データ、レポート、クレーム、顧客データに関連する機密データベース91件が流出した。影響を受けた個人情報には、氏名、住所、電話番号、32万3,825件のユニークユーザーのメールアドレス、9万3,063件のbcryptハッシュ化されたパスワードなどが含まれている。

 

Washington State Auditor

アクセリオンのファイル転送サービスの欠陥により、ワシントン州監査官事務所(SAO)のデータが漏えいしたとアクセリオンが通知した。不正アクセスは2020年12月下旬に発生したと報告されている。SAOによると、影響を受けたデータには、氏名、社会保障番号、銀行口座番号など、雇用保険局の情報が含まれているそうだ。また、他の州機関や一部の地方自治体のファイルも影響を受けたと報告されている。(1,470,000)

 

Minnesota Ramsey County

2020年12月2日頃に同社のベンダーであるNetgain Technology LLCに対しランサムウェア攻撃が実行され、データが漏えいした可能性があると、米国家族健康課よりクライアントに通知された。このデータには、氏名、住所、生年月日、電話番号、口座番号、健康保険や医療情報、少数の社会保障番号などが含まれているようだ。 (8,700)

 

Florida Healthy Kids Corporation

Florida KidCare申請者のアドレス数千件が不正アクセスされ、改ざんされていたことが判明した。2013年11月以降、ホスティングプラットフォームに「重大な脆弱性」があったことが、サイバーセキュリティの専門家により発見された。流出した可能性のあるデータには、氏名、生年月日、電話番号、住所、社会保障番号などが含まれている。

 

UScellular

攻撃者は2021年1月4日、店舗のコンピューターを介して「Customer Retail Management」システムにアクセスすることに成功した。小売店舗の多くの従業員が、リモートアクセスを可能にするソフトウェアをダウンロードしてしまったと報告されている。影響を受けた情報は、名前、住所、PINコード、携帯電話番号などだ。

 

Wind River Systems

同社は、2020年9月29日前後に、外部からファイルがダウンロードされたことを明らかにした。このインシデントは、人事記録のデータなどといった個人情報に影響を与えた。影響を受けた情報には、生年月日、社会保障番号、パスポートまたはビザ番号、健康情報、金融口座情報などがある。

 

Metromile

サンフランシスコを拠点とする自動車保険のスタートアップである同社は、自社Webサイトに掲載された見積フォームと申請プロセスにバグがあったため、ハッカーが免許証番号を入手できたと公表した。このインシデントの調査は今も続いている。

 

ブラジル

Enel

オサスコ市の顧客に、個人情報に影響を与えるデータ侵害が発生したことが知らされた。これには、氏名、CPF番号、電話番号、消費データなどが含まれる。侵害がどのようにして発生したのかは不明のままである。(300,000)

 

欧州

European Volleyball Confederation

BleepingComputerは、セキュリティ研究者のボブ・ディアチェンコ氏により発見されたAzureストレージブロブと同団体を関連付けている。流出したデータには、バレーボール選手やスポーツジャーナリストが所有する身分証明書やパスポートなどが含まれていた。

 

英国

UK Research and Innovation

評議会などで使われる、BBSRCというエクストラネットと英国リサーチオフィスのポータルが、サイバー攻撃の影響を受け、第三者によりデータが暗号化された。エクストラネットが侵害されたことで、助成金申請書や審査情報が流出した可能性があることを明らかにした。

 

British Mensa

同組織は、役員クラスの従業員の資格情報を通じてハッキングされたと報告されている。Forbesが入手した緊急会議の情報によると、一部社員のパスワードがプレーンテキストで保存されていたことが明らかになり、Mensa の個人データはPastebinにも一時的に掲載されていたと報告されている。

 

Foxtons

Foxtons Group の顧客データがネット流出したと報じられている。流出データには、16,000件のペイメントカード情報の詳細、住所、非公開のやりとりが含まれている。漏えいデータは、2010年以前の顧客にのみ影響を与えると言われている。しかしリークに関与したアクターは、暴露したのが盗まれた全記録の1%に過ぎないと主張しており、残りのデータは現在取引されているとを警告した。

 

Serco

英国NHSの「Test and Trace」サービスに関与するベンダーが、「Babuk」ランサムウェア攻撃の標的となった。同社は、今回の事件でNHSのサービスに影響はなかったとSky Newsに伝えている。

 

メキシコ

不明

Cybleの研究者は、メキシコ居住者に関する4,200万件の記録を所有していると主張する脅威アクターを発見した。6.14GBのデータセットには、CURPと呼ばれる国の識別番号を持つファイルが含まれている。これらのファイルの日付は2009年から2011年までのものだ。

 

パキスタン

Bykea

Safety Detectivesの研究者たちは、同社プロダクションサーバーの情報がネットに公開されていることを発見した。これにより、4億件以上のレコードを含む200ギガバイトのデータにアクセスできるようになっていた。これらのデータには、同社顧客の氏名、電話番号、メールアドレスのほか、同社運転手の氏名、電話番号、住所、国民IDカード、運転免許証番号などが含まれていた。漏えいータには他にも、さまざまなGPS座標、APIログ、ユーザーIDなどが含まれていた。

 

インド

Bihar Police Subordinate Services Commission

CloudSEKの研究者は、インド国民の個人情報を宣伝する脅威アクターを特定した。販売されているデータには、取引ID、フルネーム、家族の名前、携帯電話番号、メールアドレス、生年月日などが含まれている。このデータは、2019年12月22日に行われた警察の試験に関連しているようだ。(500,000)

 

Airtel India

セキュリティ研究者の Rajshekhar Rajaharia 氏は、フルネーム、電話番号、Aadhaar 番号、住所など、250万件の顧客記録を発見した。これらの記録を漏えいしたのは「Red Rabbit Team」で、同アクターは3ヵ月以上前にAirtelのサーバーのウェブシェルを標的にしていた。

 

オーストラリア

Oxfam Australia

BleepingComputerは、Oxfamに関連する個人の連絡先および寄付者情報を含むとされるデータベースを宣伝する脅威アクターを観察した。データベースのサンプルは、名前、メールアドレス、電話番号、および寄付額が含まれていた。(1,700,000)

 

米国、メキシコ

EscortReview

2021年1月31日、このサイトの盗まれた vBulletin フォーラムのデータベースへのリンクを脅威アクターが投稿した。これには、名前、メールアドレス、MD5ハッシュ化パスワード、IPアドレス、任意選択の生年月日、Skypeアカウント名が含まれ、Cybleによれば、最新のデータは2018年9月のものだ。(472,695)

 

フィリピン

フィリピン国家警察

2021年2月3日、アクター「Phantom Troupe」が フィリピン国家警察アカデミー(PNP Academy)のサイトを狙い、ユーザーの個人データを取得したと主張した。公式サイトは、最近のPNP論争の画像に置き換えられた。(23,000)

 

 

医療に関連して言及されたマルウェア

このチャートは医療に関連して、先週トレンドとなったマルウェアを示しています。

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

政府

匿名の情報源がロイター通信に対し、中国のハッカーと疑われる者が、米国農務省(USDA)内の給与支払機関であるNFCを狙うために、SolarWinds ソフトウェアの欠陥を利用したと情報提供した。ある情報源によれば、インフラストラクチャとハッキングツールは、中国の国家支援スパイグループによって過去に使用されたものだ。悪用された欠陥は、ロシアの脅威アクターが実行したとされている、広く報じられた SolarWinds Orion プラットフォームの侵害とは異なるものだ。

 

小売・ホスピタリティ

Malwarebytes の研究者は、フランス、英国、ドイツ、スペインの Costway ウェブサイトが、Magento1 の欠陥を利用するクレジットカードスキマーによって侵害されていることを発見した。Magento1 はすでにサポートが終了しているソフトウェアだ。さらなる分析により、Costway のサイトが2度侵害されたことが明らかになり、第2の攻撃者のスキマーは、最初の侵害で注入されたスキマーから、クレジットカード情報を収集していた。さらに、第2の攻撃者のスキマーは独自のフォームフィールドを作成しており、第1のスキマーが除去された場合に備えていた。研究者は、最初の攻撃者がコードをホストするために使用したカスタムドメインが、過去に見られたファミリーと関連があることを指摘し、グループが現在も「非常に活発」だと警告している。また研究者らは、Magento1を未だに使用している多くのサイトが、ここ数ヶ月間狙われていると述べており、RiskIQ は こうした攻撃を「Magecart Group 12」によるものだとしている。

 

テクノロジー

Citizen Lab および Motherboard による調査で、iPhone ユーザーを対象とした偽 WhatsApp アプリと、イタリアの監視サービス企業 Cy4Gate との間に存在しうる関係性が発覚した。Cy4Gate は、研究者によって発見された config ドメインが会社のものではないと述べた。攻撃は、ZecOps によって最初に検出され、Citizen Lab 研究者によるさらなる分析では、Whatsapp のダウンロードを宣伝していると思われるサイトが明らかになった。このダウンロードでは、Whatsapp ではなく、iPhone 用の特別な構成ファイルがインストールされる。アプリは被害者に関する情報を収集するように設計されている可能性がある。情報には UDI や IMEI などが含まれる。収集されるデータタイプに関するさらなる情報は、裏付けることができなかった。

 

銀行・金融

ZDNetは、インドのユーザーを対象としたマイクロローン(小口融資)アプリ詐欺が流行していると報告した。アプリは、ローン契約を利用して借り手の WhatsApp の連絡先にアクセスするとともに、複数の融資事業者を使用し、元々の融資額よりも多くの金額を標的のアカウントに入金するとされている。そして詐欺師は、借り手が当初予想したよりも何倍も大きい金額を取得するために債務回収業者を引き合いに出し、また報告によれば、ターゲットの偽ポルノ画像を製作して脅迫するという。Cashless Consumer は、住所を特定できず、脱法行為をしていると考えられるアプリを約1,000件特定した。また SaveIndia Foundation の研究者は、「数百」件の貸し手アカウントが海外から操作され、中国との関係があるということを突き止めた。

 

重要インフラ

ClearSky の研究者らは、2020年初期に発見された疑わしいネットワーク上の動きに関連する活動およびツールが、「Lebanese Cedar」に強く関係していると判断した。このグループは、2012年から活動しており、機密情報を盗むため、組織をターゲットとしている。研究者は、このグループが約250のサーバーを侵害し、米国、英国、エジプト、イスラエルなど、広範な国々の企業を攻撃していることを掴んだ。ターゲットの大部分は、ITおよび電気通信業界で活動している。攻撃者は、脆弱な Atlassian および Oracle 10g サーバーを狙い、修正されたJSPファイルブラウザをインストールして、「Explosive RAT」を展開した。グループは、レバノン政府または同国の政治的グループとつながっていると考えられる。ヒズボラのサイバー部門とつながっている可能性も確認されている。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-29-january-04-february-2021/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。