エルメネジルド ゼニアにランサムウェア攻撃か　「RansomEXX」が犯行主張

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート（英語）で、これを翻訳してお届けしています。

過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。

以下、翻訳です。

2021年8月12日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

ルクセンブルク

代議院

ルクセンブルク代議院が、公的な請願の署名者の氏名と住所を誤ってウェブサイトで公開した。このデータは、少なくとも2021年6月から2021年8月2日までアクセス可能だった。（24,000）

米国

ケンタッキー大学

同大学は自身のウェブサイトに脆弱性を発見した。この脆弱性により、権限のない人物が教育学部のデータベースのコピーを不正に取得できた可能性がある。このデータベースには、学生と教員の氏名やメールアドレスが含まれていた。（335,000）

米国

Ibex Limited

Ibexは、2020年10月に開示されていたサイバー攻撃により、特定の従業員とその家族に関連する情報に影響を与えた可能性のあるデータ侵害が発生したことを報告した。調査の結果、脅威アクターが2020年7月27日から8月17日の間にデータにアクセスした可能性があることが判明した。（24,000）

台湾

Gigabyte Technology

このメーカーは2021年8月3日にサイバー攻撃を受け、少数のサーバーが被害を受けた。「RansomEXX」ランサムウェアのオペレーターがこの攻撃の背景にいると見られており、盗んだとする112GBのデータを流出させると脅迫した。この中には、Gigabyteの内部ネットワークとAmerican MegatrendsのGitリポジトリのデータが含まれている。

イタリア

エルメネジルド ゼニア

「RansomEXX」ランサムウェアのオペレーターが、この高級ファッションメーカーから20.74GBのデータを盗み、43件のアーカイブを流出させたと主張している。

米国

Vision for Hope

同社は、2021年2月14日から4月2日にかけて、権限のないアクターがVision for Hopeの従業員が所有するEメールアカウントにアクセスしていたことを明らかにした。このアカウントには、氏名、生年月日、社会保障番号、金融口座データ、診療情報、診断情報などが含まれていた。

シンガポール

StarHub

この通信会社は、2021年7月6日にサードパーティのデータダンプサイトで同社顧客の個人情報を発見した。発見されたファイルには、2007年以前から加入しているStarHubの加入者の携帯電話番号、Eメールアドレス、IDカード番号が含まれていると報告されている。漏洩の原因は不明。（57,191）

米国

Transamerica Corporation

この保険会社で、2021年6月14日に行われたウェブサイトのバージョンアップの際に、設定ミスによるデータ流出が発生した。一部の顧客が、他社の退職金拠出に関する情報にアクセスすることができていた。アクセスされた可能性のある情報には、氏名、住所、社会保障番号、生年月日、退職金制度の財務内容が含まれる。

米国

ニューヨーク市教育局

同局は、市内の公立学校の生徒および同局職員の学業成績と経歴データが誤って流出したことを明らかにした。公立学校の少なくとも1人の生徒が、慎重に扱うべきデータの含まれたGoogleドライブにアクセスすることができていた。（3,100）

米国

イリノイ州警察

同州警察は、銃器所有者識別（FOID）カードのポータルがサイバー攻撃の標的となったことを認めた。FOIDカード所有者の個人情報が侵害された可能性がある。（2,000）

韓国

シャネル・コリア

この会社は、2021年8月5日から8月6日にかけて、同社のデータベースの一部が侵害されたのち、一部の顧客の個人情報が盗まれたと発表した。データベースに保存されていた個人情報には、顧客の氏名、誕生日、電話番号、住所、性別、Eメールアドレス、商品購入リストなどが含まれていた。

米国

SeniorAdvisor

WizCaseの研究者は、設定ミスのあるAmazon S3バケットを発見した。このバケットは、見込み客とされた個人の名前、Eメール、電話番号を公開していた。このデータは、2002年から2013年の間のものと思われる。また、このバケットには約2,000件の匿名のレビューが含まれており、これらがレビューを書いた人の個人情報と紐づけられている可能性がある。（3,000,000）

米国

Greenway Health

ダークウェブフォーラムのユーザーが、2021年7月15日に同社のデータを暗号化し、その攻撃の証拠として746MBのデータを公開したと主張している。そのファイルには、個人の個人情報が含まれていた。Greenwayは、同社ではなく、Greenwayの元顧客が攻撃の標的となったと述べている。

米国

Charlotte-Mecklenburg Schools

2021年8月6日、同校は「数百人」の保護者にメールを送信し、医療情報や保護者の電話番号、そしてその他の慎重に取り扱うべき学生データを流出させた。（3,000）

ドイツ

Crytek

同社は、2020年10月にランサムウェア攻撃の標的となったことを認めた。この攻撃は、これまで「Egregor」の攻撃者によるものとされていた。この攻撃では文書が盗まれ、その後流出した。流出した情報には、氏名、役職名、会社名、勤務先住所、電話番号などが含まれていた。

米国

Electromed Inc

同社は、権限のないアクターが同社システムにアクセスし、顧客や従業員のデータを盗んだと述べた。

米国

複数の学区

Databreaches[.]netの研究者は、「Pysa」ランサムウェアの被害を受けた多数のK12（幼稚園から高校まで）学区を特定した。攻撃は2020年と2021年に行われた。対象となる学校には、Affton学区、Gering Public Schools、Palos Community Consolidated学区118、Brookfield Public Schools、Winters Independent学区、Sheldon Independent学区、Logansport Community School Corporation、Zionsville Community Schoolsが含まれる。

アイルランド

アクセンチュア

この世界的なITコンサルタント企業は、「Lockbit 2.0」ランサムウェア攻撃の標的となったことを認めた。攻撃者は、6TBのデータを盗んだと主張し、5千万ドルを要求している。2021年8月11日、攻撃者はマーケティング資料を中心とした、盗んだファイルの一部を公開し、さらにデータを公開すると脅迫した。

シンガポール

OT Group

この不動産グループは、同社のITネットワークにアクセスしたと主張するメールをサードパーティから受信した。同社は現在、侵害の内容と程度を調査中。DataBreaches[.]netは、今回の侵害を報じた同サイトの報道に対するコメントを見ると、脅威アクター「ALTDOS」が犯行声明をしているように見える、指摘した。

テクノロジーに関連して言及されたランサムウェア

このチャートは、テクノロジー業界に関連して先週話題となったランサムウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

新しいラテンアメリカのバンキング型トロイの木馬「Warsaw」を、Segurança Informáticaが発見した。「Warsaw」は第二段階のペイロードとして「Horus Eyes RAT」のカスタマイズ版を使用する。このリモートアクセス型トロイの木馬は、被害者のデバイスを完全に制御することができる。.NETバンカーの「Warsaw」は、Santanderを模倣したオーバーレイ・ウィンドウを使用してユーザーを騙し、実行ファイルの形でPEファイルをダウンロードさせる。研究者は、Telegramボット作成者の名前「Banking171」が、2020年12月に発見されたブラジルのフィッシングネットワーク「ANUBIS」に関連する「Anubis171」と似ていることを発見した。両者に何らかのつながりがあるかどうかは不明だが、研究者らは、「Warsaw」の脅威アクターもブラジル出身であると指摘した。

テクノロジー

Crowdstrikeの研究者は、2017年5月以降に活動している犯罪者アクター「PROPHET SPIDER」が、Oracle WebLogicの欠陥を悪用して標的の環境にアクセスしていると報告した。「PROPHET SPIDER」は通常、Linuxシステムを侵害した後、侵害された認証情報を用いてTelnet、SSH、SMB経由でWindowsベースの環境に移行することを、研究者が確認した。2つのインシデントにおいて、「PROPHET SPIDER」への感染後に、ランサムウェア（「Egregor」および「MountLocker」ランサムウェア）がデプロイされていた。

小売・観光

RiskIQの研究者は、「Magecart Group 8」に使用されているインフラを特定した。 2016年から活動しているこのグループは、ホームセンターセクターを標的にしており、2017年にRiskIQが初めて報告したのと同じスキマーと技術を用いている。研究者は、同グループがFlowspec、JSC TheFirst、OVHなどの防弾ホスティングプロバイダーを使用した後、使用されない可能性のあるインフラをVelia[.]net、WorldSteam、Amazonなどの正規のホスティングサービスに移行していたことを発見した。RiskIQは、「Magecart Group 8」が使用したインフラの「量の膨大さ」から、同グループがスキミング活動に何度も成功していることが窺えると述べた。

暗号資産

クロスチェーンプロトコルのPoly Networkがサイバー攻撃の標的となり、攻撃者は6億1,100万ドルを盗み出した。The Block Researchによると、この攻撃は暗号化の問題が原因で生じたとのこと。この攻撃はトレーディングプールであるO3にも影響を与え、O3はクロスチェーンの機能を停止した。盗まれたトークンの中には、2億7,300万ドル相当のイーサリアム、Binance Smart Chainの2億5,300万ドル分のトークン、8,500万ドル相当のUSDCが含まれていた。攻撃者はその後、盗まれた資金の約半分を返却している。

政府

Lumen Technologiesの研究者は、「ReverseRat」の最新版を特定した。このリモートアクセス型トロイの木馬が初めて観測されたのは2021年6月で、その際はパキスタンの脅威アクターと思われる人物が使用していた。最近の攻撃では、アフガニスタンの少なくとも1つの政府機関やその他の組織のほか、ヨルダン、インド、イランの少数の組織が標的となった。このマルウェアはZIPファイルを介して配信され、このファイルには感染したWordPressサイトからHTAファイルを読み込むマイクロソフトのショートカットファイルが含まれている。このファイルは、デコードされて実行されると、悪意のあるペイロードとともに、国連のブリーフィングセッションと思われるものに言及するおとりのPDFを供給する。「ReverseRat」は、以前は「AllaKore」エージェントと並行してインストールされていたが、現在は「NightFury」と呼ばれる新しいエージェントが、「ReverseRat」がインストールされる前に実行される。このマルウェアは、マイクロソフトのさまざまなバイナリを使用しており、サイドローディング技術によって実行される。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/weekly-cyber-digest-06-12-august-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/