Threat Report

Log4j

Silobreaker-WeeklyCyberDigest

VMware vCenterサーバーにおけるLog4jの脆弱性をランサムウェアContiが利用

Tamura

2021.12.24

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

VMware vCenterサーバーにおけるLog4jの脆弱性をランサムウェアContiが利用

Google WorkspaceとMicrosoft 365のユーザー狙ったフィッシング、ファイザー装うドメインから発信

Adobe Flash Player、YouTube Adblockerなど装うバンキングマルウェアS.O.V.A.

2021年12月23日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

ニュージーランド

Finite Recruitment

同社がContiのリークサイトに掲載され、アクターは財務情報、契約書、雇用契約書、パスポートの詳細、顧客データベースなど、300GBのデータを盗んだと主張している。データベースには、顧客の電話番号や住所も含まれていた。その後、Contiのオペレーターは12,000件超のファイルを流出させた。

英国

Gumtree.com Ltd

同社が、広告のHTMLソース内に販売者の個人を識別できる情報を流出させていたことが判明した。各広告で漏洩したデータには、販売者の苗字、メールアドレス、郵便番号、GPS位置情報が含まれている。

米国

McMenamins Inc

同社は2021年12月13日にContiランサムウェアの攻撃を受け、サーバーやワークステーションが暗号化された。企業データや文書が盗まれたが、顧客データも侵害されたかどうかは不明。

ドイツ

Hellmann Worldwide

脅威グループRansomEXXが、同社から抜き取った70.64GBのデータを自身のリークポータルで公開した。ファイルには、認証情報、書状、契約書、注文書などが含まれていた。

米国

Tackle Warehouse、Running Warehouse、 Tennis Warehouse,、 Skate Warehouse

2021年11月29日、これらの系列オンラインショップ4店は、サイバー攻撃により顧客の個人情報が盗まれたことを認めた。漏洩した可能性のある情報には、氏名、金融口座番号、クレジットカードおよびデビットカード番号、完全なCVV番号、Webサイトのアカウントパスワードが含まれる。（1,813,224）

イスラエル

Lametayel、Tiuli

ハッカーグループSharp Boysが、両社に対するサイバー攻撃の犯行声明を出した。同グループは、ユーザー名、Eメール、電話番号、パスワードなど、ユーザーの個人情報を盗んだと主張している。（3,000,000）

英国

Dacoll

Clopランサムウェアのオペレーターが同社を標的にし、伝えられるところによると英国のPolice National Computerからデータを盗み出してダークウェブに流出させたという。盗まれたファイルには、同国のナンバープレート自動認識システムから抜き取られた画像や、個人情報、個人の記録などが含まれていると考えられる。その後、内務省の広報担当者は、記録へのアクセスはなかったと述べ、盗まれたデータへのリンクは同アクターのTorリークブログから削除された。（13,000,000）

米国

ICV Digital Media

同社に属する、誰もがアクセス可能なバケットが発見された。このバケットには4TB超の顧客データが含まれていた。影響を受けた企業は、24 Hour Fitness、American Association of Immunologists、Abbott Laboratories、Deloitte、FireEyeなど。

米国

Baylor Scott & White Medical Center

この医療施設は、2020年に2回にわたって職員が患者の記録に無許可でアクセスした可能性を受け、データ流出の報告を行った。漏洩した可能性のある情報は、氏名、生年月日、自宅住所およびEメールアドレス、電話番号、医療記録番号など。（883）

ドイツ

ゼンハイザー

同社に属するAmazon Web Services S3バケットが、誰もがアクセス可能な状態になっていることが判明した。このバケットには、2015年から2018年の間に収集された顧客の個人データが含まれていた。公開状態になったデータの中には、氏名、メールアドレス、電話番号、自宅住所などが含まれていた。（28,000）

南アフリカ

Basil Read Holdings

同社は、ランサムウェア攻撃を受けて全システムをオフラインにした。この攻撃は、2021年12月15日に初めて発覚した。これにより、管理機能に一部遅れが生じたが、同社の業務は影響を受けずに継続されたと報告されている。

ドイツ

CompuGroup Medical SE & Co. KGaA

同社は、2021年12月20日にランサムウェア攻撃の標的となり、一部の社内システムの稼働に影響が及んだ。同社は、影響が広がるのを防ぐため、サービスの主要部分を隔離した。

不明

窃取されたメールとパスワード数百万件のキャッシュが発見された。これらは、サードパーティーがアクセスすることのできる、侵害済みクラウドストレージに保管されていた。これらの認証情報は、既知および未知の漏洩データセットが混在したもの。2億5千万件超の認証情報が新しいものであることがわかった。

カナダ

Big White Ski Resort

2021年9月10日以前のいずれかの日時に、同社のサーバーへの不正侵入が発生した。漏洩した可能性のある情報には、氏名、住所、銀行情報、電子資金、送金手配、CRA（カナダ歳入庁）の事業者番号など、個人情報および企業情報が含まれる。

米国

Monongalia Health System

同医療システムと、その関連病院であるMonongalia County General Hospital CompanyとStonewall Jackson Memorial Hospitalは、2021年5月10日から8月15日の間に複数のメールアカウントへの不正アクセスがあったと発表した。漏洩した可能性のある情報は、氏名、住所、生年月日、医療記録番号、医療・臨床治療情報などであり、社会保障番号も含まれている恐れがある。

ベトナム

Bkav Corporation

2021年12月19日、あるデータ売買サイトにユーザーの個人データが公開された。ユーザー「seasalt123」は、Breport[.]vnからデータを入手したと主張した。漏洩した可能性のあるデータには、メールアドレスや電話番号が含まれる。（~ 200）

アルバニア

内国歳入庁

現地メディアは、国民データを含むMicrosoft ExcelファイルがWhatsAppや他のメディアポータルを通じてネット上に出回っていると報じた。報道によると、このファイルには、氏名、ID番号、月給、役職、雇用主名が含まれているとのこと。（657,138）

米国

Orthopaedic Institute of Western Kentucky

2021年6月24日から7月8日の間に、権限のないアクターが複数の職員のメールアカウントにアクセスした。攻撃者は、氏名や社会保障番号を含む保護対象保健情報にアクセスしたか、またはこれらを閲覧した可能性がある。（107,000）

銀行・金融業界に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

暗号資産

最近発見されたボットネットPhorpiexが、Twiztと名付けられた新しいボットの亜種を配布していることが判明した。Twiztは、ブロックチェーン内の暗号資産ウォレット30件超を標的にしており、過去1年間に969件の取引をハイジャックして約50万ドル相当を盗んだ。Twiztはピアツーピアモードで稼働できるため、アクティブなC2が必要ない。ボットネットは96か国で侵害済みデバイスを保持しており、ほとんどの被害者はエチオピア、ナイジェリア、インドに位置している。Phorpiexが対応している暗号資産は、ビットコイン、イーサリアム、ドージコイン、ダッシュ、モネロ、ジリカなど。

テクノロジー：VMware vCenterサーバーにおけるLog4jの脆弱性をランサムウェアContiが利用

ランサムウェアContiのオペレーターがパッチ未適用のVMware vCenterサーバーにおけるLog4jの脆弱性を利用し、侵入したネットワークからラテラルムーブメントを行っていることが確認されている。また、多くの国家型アクター（APT10、Turla、URSNIFのオペレーター、Grizzly Steppeキャンペーンに関与したアクター、上記脆弱性をDrovorubの配信に利用しているAPT28など）がLog4jの脆弱性を利用していることが確認されている。さらに、ほとんど活動していないランサムウェア「TellYouThePass」も未知のアクターによって配信されており、その他にもバンキングマルウェア「Dridex」、Linux向けランサムウェア、マルウェア「Dofloo」がインストールされている。Googleの研究者はApache Log4jの脆弱性の影響を調査し、35,863のJavaパッケージが影響を受けていることを指摘した。またベルギー国防省は2021年12月16日、Log4Shellが関係する同省システムへのサイバー攻撃を発見した。

銀行・金融：Adobe Flash Player、YouTube Adblockerなど装うバンキングマルウェアS.O.V.A.

バンキングマルウェアS.O.V.A.の最新サンプルをThreatMarkの研究者が分析した。サンプルは、Adobe Flash Player、InPost、DPD、YouTube Adblockerなど、さまざまなアプリケーションに偽装していた。ユーザーはアプリをクリックするとアクセシビリティを許可するよう指示され、その後、マルウェアは音声の録音、連絡先へのアクセス、電話の発信と管理、ファイルへのアクセス、SMSメッセージの送信と閲覧の許可を自らに自動付与する。S.O.V.A.の主要な機能の1つに、WebViewとCookieManagerを通じて行われるクッキーの窃取がある。新しい機能は暗号資産、ウォレット、アプリに焦点を当てており、暗号資産ウォレットに類似したテキストが検出された際にクリップボードを変更するなどの機能を備えている。研究者によると、新バージョンのマルウェアは、デバイスの場所や特定のアプリケーションのインストール有無など、特定の条件を満たすと起動しない。

重要インフラ

Earth Centaurが2020年7月以降、輸送業界の組織や輸送関連の政府機関を標的にしていることを、トレンドマイクロの研究者が確認した。同グループは、侵害された標的の文書や情報へのアクセスを試みるが、研究者はまだ実際の被害を発見していない。攻撃者は脆弱なInternet Information ServicesとExchangeサーバーの脆弱性をエントリーポイントとして使用したのち、Webシェルをインストールする。また、ChiserClinet、HTShell、SmileSvr、およびカスタマイズド・バージョンのLilith RATとGh0st RATなど、カスタマイズされた第2ステージバックドアを複数使用する。

ヘルスケア：Google WorkspaceとMicrosoft 365のユーザー狙ったフィッシング、ファイザー装うドメインから発信

Inkyの研究者は、2021年8月15日から12月13日の間に、Google WorkspaceとMicrosoft 365のユーザーを標的としたフィッシング・キャンペーンを発見した。約410通のフィッシングメールは、見積もり依頼詐欺の一部として検出され、ファイザー社が管理しているように見せかけた複数のドメインから発信されていた。一部のメールは、Gmail、Outlook、Ziggoのフリーメールアカウントから送信されていた。フィッシングメールの多くは、受信者に高価な機器の供給への入札を要求するものだった。メールにはPDFファイルが添付され、添付ファイルにもメール自体にも悪意のあるリンクやマルウェアは含まれていなかった。その代わり、被害者が攻撃者と接触して手続きを最後まで行った場合、攻撃者は被害者の銀行口座情報やその他の認証情報を取得するか、代金を支払わずに商品を奪ってブラックマーケットで転売していた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。