ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
主なニュース3つをピックアップ
中国のアダルトプラットフォームHjeddからユーザー情報流出
FBIやインターポールなど、世界中の情報機関等に関連する秘密情報がイスラエル企業から流出との報道
WordPressサイトに偽のDDoSプロンプト表示させる有害JavaScriptインジェクションが見つかる
2022年8月25日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
米国
Entrust
LockBitランサムウェアのアクターは、自身のデータリークサイトに同社を追加し、2022年8月19日に窃取されたとされるすべてのデータを流出させると恐喝した。同社は以前、2022年6月18日にサイバー攻撃を受け、社内システムから一部のファイルが持ち出されたことを公表している。
英国
Holdcroft Motor Group
2022年7月27日、同自動車ディーラーがランサムウェア攻撃を受け、ハッカーが従業員の個人情報を含む数年分のデータを窃取した。顧客情報には影響がなかったと報告されている。
カナダ
ウエストジェット航空
同航空会社のアプリに技術的な不具合があり、ユーザーが他のユーザーの個人情報を見ることができるようになった。20222年8月17日、あるユーザーがデータの流出を初めて発見した。
米国
Columbia River Mental Health Services
2021年5月14日から2022年4月8日の間に、同院の一部従業員のメールアカウントに不正アクセスがあった。特定の保護対象保健情報が巻き込まれた可能性がある。
中国
Airplane Accelerates VPN
同社が所有する626GBの公開Elasticsearchインスタンスから、ユーザーID、ユーザーの接続元および接続先のIPアドレス、ドメイン名、タイムスタンプなど57億件のエントリーが流出した。
米国
SFERRA Fine Linens
2022年4月14日から4月24日の間に、同社のサーバー上の特定のファイルが無許可でアクセスを受けた可能性がある。侵害された可能性のあるデータには、氏名、住所、生年月日、社会保障番号、運転免許証番号、口座情報、アカウントアクセス認証情報などが含まれる。
米国
Wabtec
LockBitは、2022年6月の同社に対するランサムウェア攻撃に関与したと主張している。攻撃を受けた当時、従業員は社内ネットワークにログインできなくなった。複数のWabtecの施設が影響を受けたと報告されている。
インドネシア
IndiHome
データ流出の可能性があり、IndiHomeの加入者の個人データが流出した可能性がある。氏名、メールアドレス、身分証明書番号などとともに閲覧履歴が流出し、違法サイトにアップロードされたと報じられている。同社はまだこの流出を確認していない。
中国
Hjedd
同プラットフォームでは、2022年7月以降、24GB以上のファイルとともにユーザーアカウントが流出した。流出したデータの中には、ユーザー名、電話番号、メールアドレス、Bcryptでハッシュ化されたパスワード、ユーザー間のメッセージなどが含まれる。(>14,000,000)
米国
Florida Springs Surgery Center
2022年5月25日から6月2日の間に、同医療センターはフィッシング攻撃を受けた。攻撃者は、個人情報、社会保障番号、運転免許証番号、口座情報、医療情報、保険情報、請求情報などを含む患者データにアクセスした。(2,203)
米国
Brasseler USA
同歯科メーカーがランサムウェア攻撃を受けてデータ侵害の被害に遭い、消費者情報が流出した。これには、氏名、社会保障番号、運転免許証番号、パスポート番号、デビットカードやクレジットカード番号などの金融口座情報、医療・保険情報などが含まれる。
米国
Overlake Medical Center & Clinics
2022年6月13日から6月14日にかけて、正体不明の第三者がスタッフ1名のメールアカウントにアクセスした。流出した可能性のあるデータは、氏名、生年月日、医療記録番号、健康保険情報など。(557)
フランス
South Francilien Hospital Center
同病院は、2022年8月21日にランサムウェア攻撃の標的となり、業務に大きな支障をきたした。どのようなデータが関与していた可能性があるかは、依然として不明。
英国
South Staffordshire Water
Clopランサムウェアのアクターが、同水道業者のデータダンプを投稿した。これには、パスポート、運転免許証、IP、メールIDなど、職員の個人を特定できる情報が大量に含まれているほか、企業データ、Excelシートに保存されたパスワードも含まれている模様。
米国
Mansfield Independent School District
2022年8月22日、ランサムウェアの攻撃により学区内の通信システムに障害が発生し、インターネット接続が必要なすべてのシステムで障害が発生した。どのようなデータが流出した可能性があるのか、現在調査中。
米国
Sturm, Ruger & Co Inc
ベンダーであるFreestyle Solutions Inc.がマルウェアの攻撃を受け、同企業のデータ流出が発生した。2020年9月21日から2022年2月3日の間、一部のShopRugerの顧客の決済カード情報に権限を持たない者がアクセスできる状態になっていた。その他の漏洩した同社のデータには、姓名、配送先住所、Eメールアドレス、請求先住所が含まれる。
米国
North Dakota Workforce Safety & Insurance
2022年6月28日、従業員がフィッシングメールの悪質な添付ファイルを開封し、同社がサイバー攻撃を受けた。攻撃は1台のコンピュータに限られたが、攻撃者は個人データへのアクセスを獲得した。(182)
ギリシャ
DESFA National Natural Gas System Operator
同社は、ハッカーがネットワークへの侵入を試みた後、限定的な範囲のデータ漏洩とITシステムの停止に見舞われた。攻撃の試みはほとんど阻止されたが、一部のファイルやデータにアクセスされた可能性がある。Ragnar Lockerは、その後、データリークサイトに、窃取されたとされるデータのリストと、少量のファイル一式を掲載した。
イスラエル
Cellebrite
Haaretzは、連邦捜査局やインターポールなど、世界中の情報機関、防衛機関、法執行機関に関連する秘密情報が同社から流出したと報じた。情報は2015年から2017年までのもので、Cellebrite社の役員や取締役のメール、社内でのやりとり、顧客とのやりとり、請求書、契約書など約50万件が含まれている。
米国
Onyx Technology
同医療機関は、サーバーが2022年3月29日から6月28日の間に「削除またはアクセス」された可能性があることを発見した。漏洩した可能性のある情報は、氏名、生年月日、住所、電話番号、iCare会員ID番号など。(96,814)
米国
カリフォルニア州矯正リハビリテーション局(CDCR)
CDCRは、2021年12月以降のファイル転送システムの1つにおいて、不審な動きを発見した。流出した可能性のあるデータは、2020年6月から2022年1月の間に新型コロナ検査を受けた個人の個人情報。また、精神衛生サービス供給システムの収監者のデータも流出した可能性があり、これには、氏名、CDCR番号、メンタルヘルス治療情報、社会保障番号、運転免許証番号などが含まれる。
米国
Plex
同社は現在、データ侵害の可能性がある事象について調査しており、すべてのアカウントのパスワードリセットを要求している。Eメール、ユーザー名、暗号化されたパスワードといった一部のデータに第三者がアクセスしたことが判明した。決済データは影響を受けなかった。
カナダ
BRP Inc
特定の従業員およびサプライヤーのデータが、権限を持たない第三者によるアクセスを受け、ダークウェブ上に流出した。RansomEXXランサムウェアグループは、データリークサイトに同社を掲載し、盗まれたとされるファイル29.9GB分を掲載した。これには、秘密保持契約書、パスポートとID、材料供給契約書、契約更新書類などが含まれている。慎重に扱うべき顧客データは影響を受けていない模様。
スペイン
Accelya Group
同社は、自社データの一部が2022年8月15日にAlphVランサムウェアのリークサイトに掲載されたことを明らかにした。同脅威アクターは、盗まれたデータにはEメールや労働者の契約書などが含まれると主張している。
米国
ワシントン州ケント市
同市の職員が、市の全職員に関する2020年のW-2(賃金・納税証明書)情報を含むファイルを、別の市の職員に不注意で開示した。報道によれば、受信者は、個人的なメールアカウントでこの情報を受信し、インシデントを同市に報告したとのこと。漏洩した情報には、フルネーム、住所、社会保障番号、給与情報などが含まれる。
ドミニカ共和国
Instituto Agrario Dominicano
2022年8月18日、同政府機関がランサムウェア攻撃の標的になった。この攻撃には、Quantumランサムウェアのオペレーションが関与していたと報じられている。同グループは、1TBを超えるデータを盗んだと主張している。
インド
複数組織
銀行口座番号、保有者の名前と残高、取引の種類、宛先、金額といった機密性が極めて高い情報を含む3,350万件超のレコードから成る24GBの公開データセットを、Cybernewsの研究者が発見した。これには、200以上のインドの銀行を入手源とする記録が含まれている。このデータセットには、中央捜査局に関連する、インド国内の金融詐欺捜査についての情報も含まれていた。
米国
Orion Innovation
2022年8月23日、LockBitランサムウェアグループが自らのリークサイトに同社を追加した。どれくらいの量のデータが盗まれた可能性があるかは不明。
パキスタン
証券取引委員会
2022年7月27日のインシデントで、この金融規制当局が所有する秘密データが盗まれた。流出したデータベースには、特定の企業の最高経営責任者やその身分証明書、メールアドレス、居住地住所、財務情報などの個人情報が含まれていた。
英国
政府
経費を請求する一部の公務員の名前が誤って政府のWebサイトに掲載され、1週間後に削除された。
ロシア
Tinkoff Bank、OTPbank、Rosgosstrakh Bank
2022年8月23日、親ウクライナ派ハクティビストグループ「2402Team」は、Tinkoff Bank、OTPbank、Rosgosstrakh Bankなどのロシアの銀行から約500GB分の情報を流出させたと主張した。これには、金融部門向けのソフトウェアに関する情報も含まれている。
テクノロジーに関連して言及された脅威アクター
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、テクノロジー関連の脅威アクターを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
銀行・金融
Escanorと名付けられた新しいリモートアクセス型トロイの木馬(RAT)がダークウェブやTelegramで宣伝されていることを、Resecurityの研究者が発見した。このRATにはAndroid版とWindows版があり、HVNCモジュールと、Microsoft OfficeやAdobe PDF文書を武器化するためのエクスプロイトビルダーも一緒に提供されている。モバイル版は現在、オンラインバンキングの顧客をターゲットに、ワンタイムパスワードコードを傍受して認証情報を盗むために使用されている。被害者の大半は、米国、カナダ、UAE、サウジアラビア、クウェート、バーレーン、エジプト、イスラエル、メキシコ、シンガポールに居住している。
重要インフラ
Go言語ランサムウェアBianLianを、Cybleの研究者が分析した。メディア・エンターテインメント、製造業、エネルギー・公共事業、ヘルスケアなどの業界の組織を含む、少なくとも9つの組織がBianLianの標的になっている。同ランサムウェアのオペレーションでは、身代金が支払われなければ盗まれたデータをリークすると脅すという、二重恐喝戦術が用いられている。同ランサムウェアは、より高速に暗号化を行うため、そしてリバースエンジニアリングを困難にするために、複数のスレッドを作成する。暗号化の後、BianLianはマシンから自身を削除し、暗号化されたファイルとランサムノート(身代金を要求するメモ)だけを残す。ランサムノートには、身代金交渉に使用するTOX MessengerのIDと、リークサイトへのOnion URLが記載されている。
テクノロジー:WordPressサイトに偽のDDoSプロンプト表示させる有害JavaScriptインジェクションが見つかる
Sucuriの研究者は最近、WordPressサイトに影響を与える有害なJavaScriptインジェクションを発見した。このインジェクションにより、Cloudflareの対分散型サービス拒否(DDoS)保護に関する偽ポップアップが表示されるようになる。このプロンプトをクリックすると、有害ISOファイルのダウンロードが開始され、その後、Webサイトへのアクセス用の検証コードを取得するためにISOを開くようユーザーに要求するメッセージが表示される。ISOは、検証コードを返す一方で、リモートアクセス型トロイの木馬(RAT)NetSupportの配信とRaccoonStealerのインストールも行う。
小売・ホスピタリティ
2022年、Proofpointの研究者は、金銭的動機を持つ脅威アクターTA558による、ホスピタリティ、ホテル、および旅行関連組織を標的とした活動の大幅な増加を観測しました。TA558は最近、Eメールキャンペーンでマクロ対応ドキュメントを使用するのをやめ、代わりにURLや、RAR、ISOの添付ファイルなどのコンテナファイルを使用してマルウェアを配布するようになった。このグループは、少なくとも15種類のマルウェアペイロード(通常はLoda RAT、Revenge RAT、AsyncRAT、Vjw0rmといったリモートアクセス型トロイの木馬)をインストールしようと試みる。
暗号資産
クリプトジャッカーのステルス性は、検出を回避するためにliving-off-the-land(環境寄生)型バイナリを使用することによって高められていると、マイクロソフトが指摘した。メモ帳実行ファイルは、クリプトジャッカーが使用するメインの正規システムバイナリであり、ExplorerとAddInUtilがそれに続く。今回確認されたキャンペーンの1つでは、クリプトジャッカーMehcryptのアップデート版が使用されていた。Mehcryptは、すべてのルーチンを1つのスクリプトにまとめ、攻撃チェーンの後半でC2に接続する。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Threat Summary
https://www.silobreaker.com/alerts/weekly-cyber-digest/weekly-cyber-digest-19-25-august-2022/
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
https://codebook.machinarecord.com/6077/