2022.09.16 02:18:34
Threat Report
日本含む世界のエネルギー関連企業が北朝鮮グループLazarusの標的に

ウィークリー・サイバーダイジェストについて
サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。
主なニュース3つをピックアップ
日本含む世界のエネルギー関連企業が北朝鮮グループLazarusの標的に
QNAP製NASデバイスのゼロデイを狙ったDeadboltランサムウェアの攻撃が増加(CVE-2022-27953)
ポルトガル軍関連機関へのサイバー攻撃で盗まれたNATOの機密文書、ダークウェブ上で販売される
2022年9月15日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。
ポルトガル
Armed Forces General Staff of Portugal
この政府機関がサイバー攻撃を受け、これによりNATOの機密文書が盗まれたとされている。ハッカーはその後、盗まれた資料のサンプルをダークウェブに掲載し、ファイルの販売を申し出た。
インド
KN Modi Foundation
ハッカー集団が、同財団からデータを窃取し、削除したとされている。同グループは、データ窃取にマルウェアLockBit Blackを使用したと報告されている。
米国
Henderson & Walton Women’s Center
ハッカーが従業員のEメールアカウントにアクセスした後、同社はデータ侵害の被害に遭った。侵害された可能性のある個人情報には、生年月日、社会保障番号、医療情報、運転免許証番号、健康保険情報などが含まれる。(>34,000)
米国
Radiology Ltd
2021年12月17日から12月24日の間に患者情報への不正アクセスが発生し、同社はデータ侵害の被害に遭った。侵害された可能性があるデータは、氏名、生年月日、社会保障番号、健康保険情報など。
米国
Gateway Diagnostic Imaging
2021年12月17日から12月24日の間に患者情報への不正アクセスが発生し、同社はデータ侵害の被害に遭った。侵害された可能性があるデータは、氏名、生年月日、社会保障番号、健康保険情報など。
米国
NorthStar Healthcare Consulting
2022年4月20日、同社は、ハッカーが従業員のEメールアカウントにアクセスしたことを発見した。漏洩した可能性のあるデータは、氏名、メディケイド識別番号、生年月日、連絡先、処方箋、処方者名、アピール番号、診断名など。(18,354)
米国
First Street Family Health
同組織がサイバー攻撃の被害に遭った。この攻撃は、2022年7月5日の時点で始まっていた可能性がある。このインシデントにより、患者の健康情報がアクセスを受ける、または窃取される事態が発生し、電子カルテのバックアップデータが「自動削除」された。流出した可能性のあるデータは、連絡先情報、生年月日、社会保障番号、診断名など。(7,310)
米国
Alegria Family Services
BianLianランサムウェアの運営者は、同ケアセンターをリークサイトに追加し、内部記録、人事関連ファイル、顧客データを取得したと主張した。現時点では、BianLianは同ケアセンターのデータを流出させていない。同社は、BianLianが同社の現在のファイルと、6年前以降のすべてのアーカイブファイルと記録を含むクラウドベースのバックアップをロックすることに成功したことを確認した。
米国
サフォーク郡
2022年9月9日、ニューヨーク州にある同郡の長官であるSteve Bellone氏によると、同郡は、サイバー侵入が検知されたことを受け、郡のコンピューターシステムへのランサムウェア攻撃が発生した可能性について調査しているとのこと。
米国
Bardstown Connect
2022年9月2日、同インターネットサービスプロバイダがランサムウェアの攻撃を受け、サービスがオフラインになった。バーズタウン市長のDick Heaton氏は、市は身代金を支払っておらず、この攻撃に関する調査は現在も進行中であると述べている。
米国
ロサンゼルス統一学区
Vice Societyは、2022年9月3日の週末に発生した同学区に対するランサムウェア攻撃の犯行声明を出した。さらに、ランサムウェアで暗号化する前に、ネットワークから500GBのデータを抜き取ったと主張している。
英国
Eurocell
同メーカーは、第三者によるシステムへの不正アクセスを経験した後、データ侵害に見舞われた。流出した可能性のある現在および過去の従業員に関するデータに含まれるのは、生年月日、近親者、銀行口座、国民保険、納税者番号など。
米国
U-Haul
同社は、顧客契約検索ツールがハッキングされた後、データ侵害の被害に遭った。攻撃者は、2021年11月5日から2022年4月5日の間に、一部の顧客のレンタル契約情報にアクセスした。流出したデータには、顧客の氏名、運転免許証や州の身分証明書番号などが含まれている。
米国
OakBend Medical Center
同医療センターは、2022年9月1日にランサムウェアの標的となり、すべてのシステムをオフラインにした。Daixin Teamは、この攻撃の犯行声明を出し、患者と従業員のデータを含む120万件のレコードを含む約3.5GBのデータを抜き取ったと主張している。
米国
シスコシステムズ
2022年9月11日、シスコはYanluowangランサムウェアのアクターが2022年5月の攻撃で窃取されたファイルの内容をダークウェブに投稿しているのを確認した。Yanluowangのリーダーによると、同グループは秘密文書、技術的な回路図、ソースコードなど55GBのデータを窃取したとのこと。同アクターは証拠を提示しておらず、シスコは侵入者がソースコードにアクセスしたり、抜き取ったりした可能性を否定している。
米国
Napa Valley College
2022年6月に発生したランサムウェア攻撃を受け、同大学は、このインシデントで限られた件数の個人情報が許可されていない第三者によるアクセスを受けた可能性があることを発見した。これには、姓名、社会保障番号、およびその他のデータ要素が含まれていた可能性がある。(~8,000)
インドネシア
政府
政治・法務・安全保障担当のマフッドMD調整大臣は、最近のデータ流出事件で影響を受けた政府最高機密文書はなかったと述べた。原因となったハッカー、Bjorkaは以前、大統領のデータをハッキングし、大統領の書簡や情報機関の最高機密文書を入手したと主張していた。
ポルトガル
TAPポルトガル航空
2022年9月12日、ランサムウェアグループRagnar Lockerは、顧客の個人データを公開した。これには、名前、住所、生年月日、国籍などが含まれる。Ragnar Lockerは、顧客約150万人分の個人情報を保有しているとして、さらなるデータを公開すると脅迫した。(150,000)
アルゼンチン
ブエノスアイレス市議会
2022年9月11日に発生したランサムウェア攻撃により、内部のオペレーティングシステムが侵害され、WiFi接続が停止された。2022年9月13日時点で、同議会のWebサイトはオフラインの状態が続いていた。
フィリピン
フィリピン航空
2022年8月に同社のITサービスプロバイダーであるAccelyaがAlphVランサムウェアによる攻撃を受け、データ流出が発生した。同航空会社は、サイバー攻撃により、2015年から2017年までのMabuhay Miles会員の個人データが流出したことを明らかにした。これには、氏名、生年月日、国籍、性別、入会日、ティアレベル、ポイント残高などが含まれる。
米国
Medical Associates of the Lehigh Valley
2022年7月3日に初めて発見されたランサムウェア攻撃により、データ流出が発生した。影響を受けた可能性のあるデータには、住所、メールアドレス、生年月日、社会保障番号、医療情報などと並んで、患者の氏名が含まれる。(75,268)
米国
The Physicians Spine and Rehabilitation Specialists of Georgia, PC
同組織は、最近公表されたデータ侵害にランサムウェアが関与しているかどうかは明らかにしなかったが、攻撃者が特定の記録を盗んだと主張していることには言及した。窃取された可能性のある情報は、名前、連絡先、生年月日、社会保障番号、医療情報など。(39,765)
米国
InSpecs EyeWear
同社は、LockBit 3.0のデータリークサイトに追加された。攻撃者は証拠として、患者の記録とドライブディレクトリの画像を掲載した。ファイルがどのくらい古い、または新しいものなのかはまだ不明。
米国
TennCare
コンピューターシステムの更新により、テネシー州のメディケイド受給者の個人情報が誤って公開された可能性がある。ある世帯に属する少数の人々が、彼らの一部の情報を含む別の世帯の個人に関する情報を見ることができた可能性がある。(1,700)
インド
IPCAラボラトリーズ
恐喝グループRansomHouseは、同社から500GB分のデータを盗み出したと主張している。報道によると、同グループのダークウェブリークサイトで公開されている盗まれたとされるデータの一部には、従業員の記録や医療研究に関連する秘密資料、元従業員の情報や内部監査報告書などが含まれているとのこと。
米国
TIC International Corporation
同社では2022年3月30日、Contiランサムウェアの攻撃により、ネットワークが遮断される事態が発生した。この攻撃で、消費者の秘密情報を含む文書がアクセスを受けた。これには、氏名、住所、社会保障番号などが含まれる可能性がある。
カナダ
カナディアン・ソーラー
LockBit 3.0ランサムウェアのオペレーターが、同ソーラーテクノロジー企業をハッキングしたと主張した。同グループは、要求した身代金を同社が支払うまでの期限を2022年9月13日に設定した。
フランス
South Francilien Hospital Center
LockBit 3.0は、同病院を自身のリークサイトに追加し、100万件以上のファイルを盗んだと主張した。同グループは、要求した身代金を同病院が支払うまでの期限を2022年9月13日に設定した。
教育に関連して言及された攻撃タイプ
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、教育関連の攻撃タイプを示しています。
各業界の週間概況
各業界に関わる先週のニュースや情報です。
テクノロジー:QNAP製NASデバイスのゼロデイを狙ったDeadboltランサムウェアの攻撃が増加(CVE-2022-27953)
インターネット接続中にPhoto Stationを実行しているQNAP製NASデバイスのゼロデイ脆弱性(CVE-2022-27953)を標的としたDeadboltランサムウェアの攻撃が最近増加していることを、Censysの研究者が観測した。活動の増加は2022年9月2日に始まり、ユニークホストの数が7,748から13,802に増加した。さらに、2022年9月4日までにこの数は19,029にまで増加した。感染の大部分は米国で起こっており、2,472の固有ホストがDeadboltの兆候を示している。これに、ドイツとイタリアが続いている。最も多く狙われている自律システムは、HINET Data Communication Business Group、DTAG internet service provider operations、フランステレコムのオレンジなど。
教育
遅くとも2022年3月以降、米国の地方学区および大学を標的としている脅威アクター「Chiffon Herring」を、Abnormal Securityの研究者が確認した。同グループは、給与の転用の話題を使ったビジネスメール詐欺(BEC)攻撃に携わっている。同グループは、一般的にプリペイドカードに紐づけられているグリーン・ドットのアカウントを、代替アカウントとしてほぼ独占的に提供している。経営者になりすます典型的なBEC詐欺とは対照的に、このキャンペーンは教師や教授になりすますもの。同グループは、誰もが入手可能なEメールアドレスを偽装し、学部長に攻撃を仕掛けている。
銀行・金融
2021年末に始まったマレーシアの銀行顧客をターゲットにした偽のeショップキャンペーンが現在も続いていることを、Cybleの研究者が指摘した。標的となった銀行は、ホンリョン銀行、CIMB銀行、メイバンク、AM銀行、パブリックバンク、RHB Bank、オーバーシー・チャイニーズ銀行、バンク・ラクヤット、Bank Islam、Bank Simpanan Nasional、およびAgrobankなど。活動は2022年8月に活発化し、フィッシングドメインの登録数が増加した。脅威アクターは、さらに他の銀行や国々を狙い始める可能性があり、決済アプリケーションサイトになりすました新たなフィッシングサイトがベトナムのHDバンクを標的にしているのが観測された。
政府
2022年6月および7月、Secureworksの研究者は、ヨーロッパ、中東、南米の複数国の政府関係者のコンピューターを標的としたPlugXマルウェアキャンペーンを確認した。キャンペーンの複数の特徴から、このキャンペーンが、中国政府から支援されている可能性の高い脅威グループ「BRONZE PRESIDENT」によって実施されたことが示されている。PlugXは、おそらくフィッシングメールで配布され、RARアーカイブファイルに埋め込まれている。このファイルは、Windowsコンピューター上で開かれると、ドキュメントを装ったLNKファイルを表示させる。LNKと一緒にマルウェアを含む隠しフォルダがあり、一連のフォルダに埋め込まれているが、この目的はおそらく検知を回避するための試みの一環。LNKをクリックすると、正規のファイル、有害なDLL、および暗号化されたペイロードが実行される。
重要インフラ:日本含む世界のエネルギー関連企業が北朝鮮グループLazarusの標的に
世界中(ただし、主要なのは米国、カナダ、日本)のエネルギー供給会社を標的とするLazarus Groupの新しいキャンペーンを、Cisco Talosの研究者が発見した。このキャンペーンは、ターゲットとなる組織に侵入して長期的なアクセスを確立し、北朝鮮にとって有益なデータを抜き取ることを目的としている。この活動では、マルウェアVSingle、YamaBot、およびMagicRATが配布される。初期アクセスは、インターネットに接続されたVMWare Horizonサーバーの脆弱性「Log4Shell」を悪用することによって行われる。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。