Threat Report

Silobreaker-WeeklyCyberDigest

Bitcoin[.]orgサイトをハッカーが乗っ取る

Tamura

2021.10.01

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

情報ソースは、弊社マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する脅威レポート（英語）で、これを翻訳してお届けしています。

主なニュース3つをピックアップ

Bitcoin[.]orgサイトをハッカーが乗っ取る

Zixのメール装うフィッシングが確認される　Office 365、Google Workspace、Exchangeなどが標的

ホテルなど狙う新たなサイバースパイグループFamousSparrowが発見される

以下、翻訳です。

2021年9月30日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

イリノイ州医療・家族サービス局および福祉局

2020年11月24日、同州のIntegrated Eligibility Systemに問題が発見された。アカウントから削除された世帯員が、引き続き情報にアクセスできる可能性があった。漏洩した可能性のある情報は、氏名、住所、ケース番号、社会保障番号、医療情報、財務情報など。

英国

国防省

アフガン人移住・支援政策（ARAP）チームが送信したEメールには、メールアドレスと一部の個人名が含まれており、すべての受信者がこれらを見ることができた。（55）

米国

United Health Centers

2021年8月に発生したVice Societyランサムウェアの攻撃により、21拠点全てが影響を受けた。この攻撃で盗まれたとされる、慎重に取り扱うべき情報が入った多数のファイルがネット上に流出した。漏洩した情報の中には、患者の給付金情報、財務書類、患者の検査結果、監査情報などがある。

スペイン

Grupo GSS

同社は、2021年9月18日にContiランサムウェアの被害に遭った。サービスが中断され、コールセンターやカスタマーサポートの自動通話サービスに連絡がつかなくなった。Contiは2021年9月28日に70個ほどのファイルをダンプしており、少なくとも1つのファイルには従業員の個人情報が含まれていると考えられる。

米国

Clubhouse、Facebook

ハッカーが、Clubhouseデータベースからスクレイピングした電話番号と、ユーザーのFacebookプロフィールを組み合わせたデータベースを販売している。このデータには、名前、電話番号、Facebookのプロフィールリンクなどが含まれている。（38億）

マレーシア

ABX Express Enterprise

Dresorden Groupが同社に対してサイバー攻撃を行い、サーバーのデータを消去して、企業財務データや配送情報を含む数千万件の顧客記録など、200GBのファイルを盗んだとされている。

米国

Council on Aging of Southwestern Ohio

2021年7月27日、未知のアクターによって従業員のメールアカウントが狙われ、アクセスされた。攻撃者は、顧客の氏名、生年月日、住所、メディケイド番号、医療情報を含む可能性のあるファイルにアクセスした。

米国

FarFaria

38GBの個人情報を含む、保護されていないMongoDBデータベースが発見された。公開状態となったデータの中には、Eメール、認証トークン、暗号化されたパスワード、サインイン情報、ソーシャルメディアトークン、関連情報が含まれていた。（290万）

オランダ

Blue Sky Group

2021年8月、悪意あるアクターが企業のメールアカウントにアクセスした。漏洩した可能性のある情報には、氏名、生年月日、保険証書番号、従業員番号、銀行口座情報、年金額が含まれる。

米国

Stonington Schools

2021年9月27日、同学区がランサムウェア攻撃の標的となった。この攻撃の性質と起源、および情報漏洩の有無を確認するための調査が進行中。

メキシコ

ゲノム医科学研究所

CoomingProjectは、新型コロナの研究を行う同センターに対してサイバー攻撃を行ったと主張した。この攻撃で、50GBのデータが盗まれたとされている。また、新型コロナ患者の氏名、生年月日、Eメール、電話番号などが記載されたレコード400行を含むデータベースも公開した。（400）

米国

Robinwood Orthopaedic Specialty Center

同センターは、2021年9月13日、ランサムウェアグループGrooveのリークサイトに被害者として掲載された。同アクターは、この医療機関から盗まれたとされる医療ファイルや医療記録に関連するフォルダのスクリーンショットを投稿した。

米国

Lufkin Independent School District

テキサス州のこの学区は、2021年9月25日に発覚したランサムウェア攻撃で標的となった。攻撃を止めるために複数のシステムが停止された。データが漏洩したかどうかについては調査中。

米国

Hawaii Payroll Services LLC

2021年2月15日から2月16日にかけて、同社のサーバーに権限のない人物がアクセスした。この攻撃により、ランサムウェアが展開された。社会保障番号、生年月日、フルネーム、銀行口座情報など、顧客の個人情報が漏洩した可能性がある。（~4,500）

米国

Oath Keepers

あるハッカーが、この民兵組織から盗み取ったとされる約5GBのデータを活動家グループDistributed Denial of Secretsに提供した。このデータには、会員のEメールアドレスリストが含まれていた。いくつかのアカウントには、名前、住所、電話番号、IPアドレスが紐づけられていたと報告されている。また、金融情報、パスワード、復号鍵などの慎重に取り扱うべき情報も流出した可能性がある。（38,000）

マレーシア

MyIdentity

31.8GBのデータを含むデータベースがネット上で購入可能になっている。侵害された可能性のある情報は、1979年から1998年までの生年ごとにグループ分けされた氏名、Eメールアドレス、携帯電話番号、住所など。（4,000,000）

カナダ

PORTpass

この民間の新型コロナワクチン接種証明アプリは、ユーザーのプロフィールをインターネット上に公開した。公開されたデータの中には、運転免許証やパスポートの写真のほか、Eメールアドレス、氏名、血液型、電話番号などが含まれていた。報道によるとこれらの情報は暗号化されておらず、平文で閲覧可能だったとのこと。

ベルギー

TiteLive

同社のITシステムがランサムウェア攻撃の標的となり、ヨーロッパの数百の書店で業務が中断された。

米国

McAllen Surgical Specialty Center

2021年5月14日にランサムウェア攻撃が検知された。漏洩した可能性のある情報は、氏名、住所、社会保障番号、勤務日、健康保険情報、医療記録など。（29,277）

ブラジル

不明

2021年9月19日、PSafeの研究者は、同国の住民の個人情報を含むレコードを公開しているWebサイトを発見した。流出したのは、氏名、ITIN番号、住所、生年月日、収入、1億900万件の雇用者識別番号、自動車のナンバープレート、Eメール、電話番号など。このサイトはインターネット上で自由にアクセス可能。（426,000,000）

米国

Cadence Health

匿名のハッカーが同社からファイルを盗み取った。漏洩した可能性のある患者情報は、患者の電話診断のメモ、病歴、処方箋情報など。（281,000）

米国

Forward Air

同社は、Evil Corpによるランサムウェア攻撃を受けたのち、2020年11月から2020年12月の間に同社のシステムがアクセス可能な状態になっていたことを認めた。同グループはHadesランサムウェアという名称で活動している。漏洩した可能性のある情報は、現在および過去の従業員の氏名、住所、社会保障番号など。

銀行・金融に関連して言及されたモバイルマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、銀行・金融関連のモバイルマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

英国の王立裁判所・審判所サービスは、県裁判所の執行官になりすました詐欺師が、支払いが必要であることを偽って知らせるメールを配布していることについて、ユーザーに警告した。このEメールには、王立裁判所・審判所サービスのアイコン画像が添付されており、支払いのための銀行口座の詳細が記載されている。メールが届いた後、詐欺師から電話がかかってくることが多い。

テクノロジー

Zixのメール装うフィッシングを確認：Office 365、Google Workspace、Exchangeなどが標的

Armorbloxは、Office 365、Google Workspace、Exchangeなどの複数の顧客環境を標的とした、クレデンシャル・フィッシングキャンペーンを観測した。このメールは、悪用されたFull Gospel Baptist Churchの正規ドメインから送信されている。このキャンペーンは、メール暗号化企業であるZix社を装って行われており、ユーザーに「安全な」メッセージを閲覧するよう勧めている。メッセージのリンクをクリックすると、HTMLファイルのインストールが促され、サイトブロッカーでブロックされたページへと遷移される。このキャンペーンは、標的をかなり絞って行われる。標的は、高位の役職を含み、複数の部署から意図的に選ばれ、同じ部署の従業員を2名以上標的にすることはない。

銀行・金融

インドコンピュータ緊急対応チームは、Drinikマルウェアを利用した活発なAndroidバンキングトロージャンのキャンペーンについて、ユーザーに警告を発した。被害者は、インド国税庁を装ったフィッシングサイトに誘導するSMSを受信する。このサイトはその後、個人情報の入力を促した後、悪意あるAPKのダウンロードを開始する。このアプリは、保留中の税還付についてユーザーに虚偽の通知をし、ユーザーが事前に送信した情報に基づいて、個人用にカスタマイズされたモバイルバンキングのオーバーレイを作成する。その後、被害者は銀行口座の認証情報を入力するよう促され、その認証情報を詐欺師が取得する。

小売・観光

ホテルなど狙う新たなサイバースパイグループFamousSparrowが発見される

ESETの研究者は、FamousSparrowという新しいサイバースパイグループを発見した。FamousSparrowは2019年8月以降、主にホテルを標的としてきた。他にも、12か国の政府、国際機関、エンジニアリング企業、法律事務所などが標的となっている。FamousSparrowは2021年3月、Microsoft Exchangeの脆弱性「ProxyLogon」を利用して、世界中のExchangeメールサーバーを乗っ取った。また、Microsoft SharepointやOracle Operaにおけるリモートコード実行の欠陥も悪用され、さまざまなカスタムツールが展開されている。カスタムツールの中には、DLLの検索順序のハイジャックによってロードされる新たなバックドア「SparrowDoor」や、「Mimikatz」の2つのカスタムバージョンがある。また、SparklingGoblinに関連する「Motnug」ローダーや、DRBControlに関連するドメインの使用も確認された。しかし、FamousSparrowは別の脅威アクターであると、研究者たちは考えている。

暗号資産

Bitcoin[.]orgサイトをハッカーが乗っ取る

2021年9月23日、ハッカーがBitcoin[.]orgのウェブサイトを乗っ取り、ユーザーに対し、攻撃者が管理するウォレットにビットコインを送って、見返りとして2倍の金額を受け取るよう勧めた。プレッシャーをかけるため、The Bitcoin Foundationになりすまし、このオファーが先着1万ユーザー限定であると通知した。攻撃者は17,000ドル余りを得たと報告されている。サイトのレジストラであるNamecheapは、問題が解決するまでドメインを一時的に無効にした。この攻撃がどのように行われたかはまだ不明で、DNSハイジャックではないかとの憶測もある。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。