Threat Report

Silobreaker-WeeklyCyberDigest

北朝鮮のLazarus脅威グループが防衛産業標的にスパイ活動、サプライチェーン攻撃能力も向上

山口 Tacos

2021.10.29

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

北朝鮮のLazarusグループが防衛産業標的にスパイ活動、サプライチェーン攻撃能力も向上

クリーム・ファイナンス、フラッシュローン攻撃で2億6,000万ドル相当の資金失う

パプアニューギニア財務省の統合財務管理システムがランサムウェア攻撃の標的に

2021年10月28日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Central Indiana Orthopedics

Griefランサムウェアのオペレーターが同社を攻撃してダークウェブ上の自身のリークサイトに掲載し、証拠として盗み取ったファイルを掲載した。データの中には、氏名付きの患者の薬物スクリーニングパネルを含む検査報告書、患者とのやりとりに関するさまざまなスプレッドシートが確認された。

英国

Polar Media Solutions

Safety Detectiveの研究者は、同社が所有する保護されていないElasticSearchサーバーを発見した。その中には260万件超のレコードが含まれているが、これらは、InstagramやTikTokのソーシャルメディアプロフィールからスクレイピングされた約3.6GB相当のデータ。侵害された可能性のある情報には、氏名、ユーザー名、メールアドレス、電話番号、位置情報などが含まれている恐れがある。

台湾

Gigabyte Technology

AvosLockerのOnionサイトに盗まれたファイルのサンプルが掲載されており、その中には、パスワードやユーザー名などの情報、従業員の給与明細、1,500人超の就職希望者の情報、および他の有名企業のデータなどが含まれている。この流出データには、2021年5月からの最近のデータが含まれている。

ロシア

モスクワ交通警察

現在、あるハッカーが、モスクワの運転者に関するレコード5,000万件を含むデータベースを、アンダーグラウンドのフォーラムで販売している。データには、氏名、生年月日、電話番号、VINコード、ナンバープレートの番号などが含まれている。

米国

Tech Etch

同社は、2021年8月20日にランサムウェア攻撃の標的となった。元社員または現社員の個人情報が、異なるサーバー上のメール記録からコピーされたかどうかは不明。漏洩した可能性のあるデータには、氏名、住所、社会保障番号、生年月日、個人の医療情報などが含まれる。

EMI Health

権限のない攻撃者が2021年7月29日から8月10日の間に同社のネットワークにアクセスし、システム上にマルウェアを展開した。この攻撃者は、会員の氏名、社会保障番号、運転免許証番号、住所、生年月日、および一部の医療情報を含む会員情報が記載された文書も入手した。

イタリア

The Italian Society of Authors and Publishers

Everestグループが、同組織に対するランサムウェア攻撃の犯行声明を出した。同グループは、顧客データ、財務書類、パスポート番号、運転免許証などを盗んだとされており、その中にはイタリアの有名人の情報も含まれている。同グループは現在、データをネット上で販売している。

米国

Wiggin and Dana

同社に対するサイバー攻撃により、特定ファイルが不正アクセスされた可能性がある。漏洩した可能性のある情報には、氏名、生年月日、社会保障番号、金融機関口座情報、医療情報、政府発行のID番号などがある。

コリー地域教育学区

同学区は、2021年10月16日にランサムウェア攻撃の標的となった。1995年以降の生徒と職員の情報が流出した可能性がある。これには、氏名、住所、電話番号、社会保障番号、成績証明書情報が含まれる。

SCUF Gaming International

同社のWebサイトが、2021年2月3日にハッキングされていた。2021年2月3日から3月16日の間に、クレジットカードで支払いを行った顧客の情報が盗まれた。漏洩した可能性のあるデータには、カード所有者名、メールアドレス、請求先住所、クレジットカード番号、有効期限、CVV番号が含まれている。（32,645）

シンガポール

Fullerton Health

Fullerton Healthでは、同社のベンダーであるAgape Connecting Peopleが使用していたサーバーが侵害されたことにより、データ流出が発生した。漏洩した可能性のある情報には、氏名、IDカード番号、銀行口座情報、雇用主情報、病歴、顧客の子供に関する個人情報などがある。（~400,000）

米国

センティネラバレーユニオン高校学区

2021年6月22日に発生したマルウェア・インシデントで、権限のない人物が現在および過去の職員や学生に関するデータにアクセスした。漏洩した可能性のある情報には、氏名、社会保障番号、金融機関口座、健康保険情報、医療情報などが含まれる。

タイ

Central Restaurants Group

Desorden Groupが同社からデータを盗んだと主張しており、その証拠としてデータをネット上に掲載した。このデータには、ミスタードーナツの会員カードの詳細、従業員の詳細情報、日計売上記録、ベンダーの購入注文の詳細などが含まれている。2,000件超のレコードに、ユーザー名、メールアドレス、電話番号などの情報が含まれていた。

カナダ

移民・難民・市民権省

同政府機関は、避難を求めている約200人のアフガニスタン国民のメールアドレスを含むメールを、誤って受信者を難読化せずに送信した。流出したデータには、氏名やメールアドレスのほか、場合によっては顔写真も含まれていた。（~200）

タイ

Centara Hotels & Resorts

Desorden Groupは、同社に対してサイバー攻撃を行い、400GB超のデータを盗んだと主張している。漏洩した可能性のある情報には、氏名、予約情報、電話番号、Eメールアドレス、パスポート番号などがある。

米国

Deep 6 AI

88,521,320件のレコードを含む、保護されていないデータベースが発見された。合計で68.53GBのデータが公開状態になっていた。漏洩した可能性のある情報には、日付、ドキュメントタイプ、医師のメモ、エンカウンターID、患者ID、CSVファイルなどがある。

イスラエル

国防軍

Moses Staffハッカーグループは、入隊予定の個人やティーンエイジャーに関する慎重に扱うべき情報や、同国国防軍戦闘旅団の配備に関する詳細を含むファイルを公開した。公開されたデータには、氏名、メールアドレス、電話番号、居住地住所、階級、軍事的役割などが含まれている可能性がある。

米国

Throckmorton County Memorial Hospital

2021年9月7日にデータ漏洩が発見された。これにより、職員や患者の個人情報に影響が及ぼされる可能性がある。

全米ライフル協会

Griefランサムウェアのオペレーターは、攻撃の証拠として複数のファイルをネット上に投稿した。これらのファイルには、最近の助成金受領者のリスト、最近の助成金受賞者へのメールなどが含まれていた。

シンガポール

Protemps Employment Service

Desorden Groupが同企業に対してサイバー攻撃を行ったことで、データ漏洩が発生した。同グループは、40,000件の求職申し込みから個人データを盗んだと主張している。同社の主張によれば、影響を受けたのは本物の申し込み2,500件のみであり、残りは偽のアカウントだと考えられるとのこと。プロフィール300件のみに、学歴、給与、連絡先番号、住所などの完全な情報が含まれていた。

米国

ワシントンセントラル統一高校学区

ランサムウェアによるものと疑われる攻撃により、同学区のシステムが侵害された。個人情報が漏洩したかどうかを判断するための調査が進行中である。

パプアニューギニア

財務省

同局の統合財務管理システムがランサムウェア攻撃の標的となり、システムがアクセス不能になったと報告されている。

米国

Schreiber Foods

同社のコンピューターシステムが2021年10月22日にハッカーの標的となり、ウィスコンシン州を拠点とする工場と流通センターの業務が停止した。ハッカーは、システムを解除することと引き換えに身代金を要求したと報じられている。

銀行・金融業界に関連して言及されたモバイルマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間に話題となった、銀行・金融業界関連のモバイルマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー

Comms Council UKは、複数のVoIP（ボイスオーバーインターネットプロトコル）プロバイダーが、ここ数週間で同時多発的な分散型サービス拒否（DDoS）キャンペーンの標的となったことを明らかにした。同企業体は、この「前例のない」規模の攻撃は身代金を奪い取るために行われたものであり、プロのサイバーアクターによって行われたと思われると述べた。

銀行・金融

Quick Healの研究者は、銀行・金融業界のインドの中小企業を2021年初頭から標的としているJSOutProx RATキャンペーンを観測した。同マルウェアは、金融取引文書を装う圧縮ファイルが添付されたスピアフィッシングメールで配布される。攻撃の第2段階では、JSOutProx RATだけでなくNetwire RATが配布される。Netwire RATは、JSOutProx RATやAdwind RATと同様のパラメータやユーザーエージェント文字列を共有している。

重要インフラ

北朝鮮のLazarusグループが防衛産業標的にスパイ活動、サプライチェーン攻撃能力も向上

Lazarus脅威グループが、MATAマルウェアを防衛産業に対するサイバースパイ活動に使用していることが確認された。また、Lazarusグループは、BLINDINGCANの最新バージョンを使用してDeathNoteクラスターをアップデートし、サプライチェーン攻撃の能力も高めている。Lazarusはこの最新版クラスターを使用し、韓国の正規のセキュリティ・ソフトウェアからデプロイされた悪意のあるペイロードを用いて韓国のシンクタンクを狙ったほか、ラトビアのIT資産監視ソリューション・ベンダーも標的にした。

政府

CERT Polskaは、復号化された文字列に特定のバルト海地域およびNATOの組織のドメイン名が含まれているVidal Stealerのサンプルを発見した。これには、NATO Strategic Communications Centre of Excellence、ポーランド、エストニア、ラトビアの国境警備隊、リトアニアの内務省が含まれている。初回感染経路は現在のところ不明。研究者たちは、このキャンペーンにおいて攻撃者たちが、Raccoon、RedLineStealer、SmokeLoader、STOPランサムウェアなど、他の多くのマルウェアファミリーを使用していたことを発見した。

暗号資産

クリーム・ファイナンス、フラッシュローン攻撃で2億6,000万ドル相当の資金失う

クリーム・ファイナンスは、エクスプロイト攻撃により、自社のイーサリアムプールから2億6,000万ドル相当を失い、そのうち1億3,000万ドル相当を攻撃者が入手したことを公表した。攻撃者は68種の異なる資産が関わる取引でフラッシュローンを利用した模様。攻撃者は現在、RENのビットコインブリッジを利用して資金を洗浄している。クリーム・ファイナンスには、Binance Smart Chain、Polygon、Avalanche、Fantom全体で4億6,000万ドル相当のトータルバリューロックがあるが、これらの資金が同様に盗まれる危険にさらされているかどうかは不明。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。