-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート(英語)で、これを翻訳してお届けしています。
過去1週間で話題となった「脆弱なプロダクト」「データ漏洩事例」「マルウェア/脆弱性/攻撃手法」「業界ごとのニュース」を取り上げています。
以下、翻訳です。
2021年8月19日
Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
コロニアル・パイプライン
同社は最近、「DarkSide」ランサムウェアのオペレーターが個人情報を含むデータを収集し、抜き取っていたことを発見した。漏洩した文書には、氏名、連絡先、生年月日、社会保障番号などの政府発行のID、および健康関連情報が含まれていた。(5,810)
エクアドル
Corporación Nacional de Telecomunicaciones (CNT)
「Holistic-K1ller」というエイリアスのもと活動するハッカーが、「RansomEXX」ランサムウェアのオペレーターによってCNTから盗まれたとされる11.23GBのデータへのMegaリンクを「RaidForums」で共有した。このデータには、CNTの従業員の慎重に扱うべき情報、顧客の名前や連絡先などが含まれていた。
米国
Chase Bank
この銀行のオンライン・バンキング・ポータルおよびアプリの欠陥により、会員が他の顧客の個人情報を閲覧することが可能になっていた。2021年5月24日から7月14日の間に、明細書、取引一覧、氏名、口座番号などのデータが公開状態になっていた可能性がある。
ベラルーシ
政府
ベラルーシの匿名のハッカーグループが、同国の市民ステータスシステムに侵入したことが報告されている。
アラブ首長国連邦
Moorfields Eye Hospital
「AvosLocker」のオペレーターが、英国とドバイにあるMoorfieldsの病院から60GB超のデータを盗んだと主張している。同アクターは、患者の名前と電話番号が記載されたスプレッドシートを含む、ドバイの病院のファイルの一部を投稿した。
米国
Memorial Health System
同組織は、2021年8月15日に情報技術(IT)インシデントが発生し、運営に関わるITアプリケーションへのユーザーアクセスを停止したと述べた。BleepingComputerは、今回のサイバー攻撃の背後には「Hive」ランサムウェアのオペレーターがいるようだと指摘した。同グループが名前、社会保障番号、生年月日などの患者情報を含むデータベースを盗んだことが証拠によって示されている。(200,000)
ブラジル
国庫庁
ブラジル政府は、2021年8月13日に国庫庁がランサムウェア攻撃を受けたことを明らかにした。経済省は、サイバー攻撃は封じ込められ、国庫庁の構造に関わるシステムには被害がなかったと発表した。
パキスタン
連邦歳入庁(FBR)
FBRが運営する同国最大のデータセンターがサイバー攻撃の標的となり、データセンターの仮想環境に影響が及ぼされた。このFBRのデータベースには、国民の財産、収入、支出のデータや、個人や企業の取引に関するデータが含まれている。また、Pakistan Revenue Automation Limitedもダウンし、侵害されているとのこと。
ニュージーランド
Phoenix Services
「LockBit 2.0」のオペレーターが、2021年7月にこの不動産管理会社から盗んだとするデータを公開すると脅迫した。
ニュージーランド
Inline Plumbing
クライストチャーチのこの会社が、LockBit 2.0グループのデータ流出サイトに掲載されていた。
米国
ノースカロライナ州情報技術局、人事局
65,000人の認証済みユーザーがアクセスできる州のイントラネットサイトに、名前と社会保障番号を含むファイルが誤ってアップロードされた。このファイルは、2021年5月14日から7月30日までアクセス可能だった。(84,860)
米国
T-Mobile
2021年8月14日、ハッカーフォーラムのユーザーが、3,000万人分のデータが含まれるとされるデータベースを宣伝した。同社は、最近のサイバー攻撃で、氏名、生年月日、社会保障番号、運転免許証番号などの顧客データが盗まれたことを認めた。(~40,000,0000)
イスラエル
バル=イラン大学
同大学の事務局は、2021年8月15日のサイバーセキュリティインシデントが、「研究用のコンピュータネットワークの限られた部分」に影響を与えたと述べた。攻撃者はデータを暗号化したり、消去したりしているとのこと。
リトアニア
外務省
RaidForumsのハッカーが、同省から盗まれた160万件超のEメールおよび文書を近々販売すると述べた。同省は「情報サイバー攻撃」を認めたが、それ以上の詳細は明らかにしていない。リトアニア大統領府は、文書が盗まれたことを認めており、その一部は機密扱いのもの。
米国
Electromed
この医療機器メーカーに対するサイバー攻撃により、患者および従業員のデータが盗まれた。このインシデントで、詳細不明の保護対象保健情報が流出した可能性がある。(47,200)
米国
Catholic Health
この医療機関は、CaptureRxのデータ流出の影響を受けたことを発表した。2021年2月6日にアクセスされたファイルから、患者の氏名、生年月日、処方箋情報などのデータが盗まれた。(17,002)
米国
ブルックリン教育局
ある学生グループが、同局のGoogle Driveの共有設定の誤設定により、他の生徒の授業内容や大学の推薦状のほか、教員の給与情報、社会保障番号、電話番号、住所などへのアクセスが可能になっていたことを発見した。(3,100)
米国
Destination Maternity
2021年3月16日から4月13日の間に、権限のない人物が従業員データを含む同社のシステムにアクセスしていた。影響を受けるデータには、現在および過去の従業員の氏名、住所、社会保障番号が含まれる可能性がある。(93,776)
米国
ニューヨーク州立大学研究財団
同財団は、2021年5月22日から7月9日の間にネットワーク上で行われた不正なアクティビティについて、個人に通知している。今回流出したデータには、氏名と社会保障番号が含まれていた。(46,734)
インド
Pine Labs
「BlackMatter」ランサムウェアグループは、同社から100GBのデータを盗んだと主張しており、攻撃の証拠としていくつかのファイルをアップロードした。盗まれたファイルには、複数のインドの銀行との契約書、財務報告書のほか、電話、名前、Eメールなどの連絡先情報のレコードが含まれている模様。(500,000)
米国
ニューメキシコ大学病院(UNM Health)
2021年5月2日、権限のないサードパーティーがUNM Healthのネットワークにアクセスした。この攻撃者は、患者の氏名、住所、生年月日、医療情報、および一部の社会保障番号を含むファイルを入手した可能性がある。(637,252)
米国
インディアナ州保健局
同局は、COVID-19接触追跡のオンライン調査に参加した州民のデータにセキュリティ会社UpGuardが「不正アクセス」した、と主張している。情報には、氏名と住所、および、性別、民族、人種に関わるデータが含まれている。UpGuardの広報担当者は、調査の過程で流出した情報を確認したと述べた。(750,000)
ベラルーシ
政府
「The Cyber Partisans」グループが、ベラルーシ国民全員の個人情報が含まれる政府のデータベースにアクセスしたと報告されている。そのデータには、パスポート写真、自宅の住所、職場の住所などが含まれていた。同グループはまた、10年前の緊急電話の履歴を盗んだり、監視カメラの映像や警官の職歴を含む警察のデータベースをハッキングしたり、政権の支持者や反対派の通話を盗聴したりしたとのこと。
英国
ForHousing and Liberty
この公営住宅グループは、2021年7月26日に発見されたランサムウェア攻撃の標的となった。この攻撃の結果、少量のデータが侵害され、後にダークウェブで公開された。
米国
Eskenazi Health
「Vice Society」ランサムウェアのオペレーターが、同社に対する最近の攻撃に自身が関与していることを認めた。このグループは、大量の慎重に扱うべきデータを盗んだと主張しており、DataBreaches[.]netは、同グループのデータリークサイトにアップロードされた患者データに関連するいくつかのファイルを発見した。
米国
テロリスト・スクリーニング・センター
2021年7月19日、セキュリティ研究者のBob Diachenko氏は、パスワードや認証なしでアクセス可能な、同センターに属する監視リストを特定した。このリストには190万件のレコードがあり、氏名、性別、生年月日、パスポート番号、発行国などのデータが含まれていた。
重要インフラに関連して言及された攻撃タイプ
このチャートは、重要インフラに関連して先週話題となった攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
Cisco Talosの研究者は、トロイの木馬「Neurevt」の新バージョンを発見した。これは、メキシコのオンラインバンキングユーザーを標的にするために、バックドアとインフォスティーラーが組み合わされたもの。Neurevtは、メキシコの主要な金融機関のURLが複数埋め込まれたPEファイルをドロップする。これらのURLは、ウェブページのパネルやウェブサイト上のテキストボックスにアクセスして、認証情報や二要素認証トークンを盗み出すために使用される。同マルウェアはOS、ユーザーアカウント情報、銀行ウェブサイトの認証情報にアクセスしたり、スクリーンショットをキャプチャしたり、C2サーバに接続したりして、知的財産や個人情報を盗み出すことができる。
重要インフラ
Trend Microの研究者は、パキスタン軍を装った偽装メールアドレスから送信された2通のメールが関与するスピアフィッシング・キャンペーン「Confucius」を発見した。1通目のメールには、パキスタンの本物の新聞記事をコピーした内容が含まれており、2通目のメールには、スパイウェア「Pegasus」に関する警告と思われるものが記載されている。2通目のメールには、Cuttlyのリンクと「購読をやめる(unsubscribe)」のリンクが含まれており、いずれもパスワードで保護された悪意のあるWord文書のダウンロードにつながる。最後のペイロードは、様々な拡張子を持つ文書や画像を盗むことができる.NET DLL。研究者は、同じペイロードがパキスタン防衛住宅局を装った別のキャンペーンでも配布されていることを観測した。2021年4月の同様のキャンペーンは、連邦歳入庁になりすましていた。
仮想通貨
日本の登録済み仮想通貨取引所であるリキッドは、セキュリティ侵害に見舞われたことを2021年8月19日に公表した。同社はハッカーと関係のある4つのブロックチェーンアドレスを明らかにした。The Blockによると、このハッカーは最近8千万ドル以上に相当する通貨を受け取ったという。リキッドは仮想通貨の入出庫を停止し、侵害されたホットウォレットからコールドウォレットに通貨を移した。
教育
ある大学のStudent Services Team(学生サービスチーム)に所属する個人の本物のEメールを使用して学生の認証情報を取得する攻撃者を、Abnormal Securityの研究者が確認した。ユーザーは、セキュリティインシデントのためにアカウントを更新する必要があり、アカウントがロックされるまで48時間の猶予がある旨を通知される。このメッセージには、ダミーのリンクと、ユーザーをフィッシングサイトに誘導する2つのリンクが含まれている。フィッシングサイトでは、ユーザーの名前、メールアドレス、学籍番号、パスワードが要求される。
政府
2021年2月から行われているスロバキアを標的としたAPTキャンペーンを、IstroSecの研究者が発見した。同キャンペーンのマルウェアサンプルの中には、スロバキアの国家安全保障当局であるNBUに言及し、同国政府を有望な標的として見なしていたものもあった。また、チェコの標的にも少なくとも1つのサンプルが送信されていた。ペイロードの中には、Microsoft Word文書を装うファイルが添付されたフィッシングメールによって配信されたものもあったと見られる。この攻撃では最終的にCobalt Strike Beaconが配信される。ESETの研究者は、このキャンペーンをロシアのアクター「Dukes」によるものとした。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/weekly-cyber-digest-13-19-august-2021/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。
【参考】Silobreaker ご案内ページ(弊社Webサイト)
https://machinarecord.com/silobreaker/
