ExchangeのゼロデイProxyNotShellを使用した標的型攻撃をマイクロソフトが観測 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ExchangeのゼロデイProxyNotShellを使用した標的型攻撃をマイクロソフトが観測

Threat Report

Silobreaker-WeeklyCyberDigest

ExchangeのゼロデイProxyNotShellを使用した標的型攻撃をマイクロソフトが観測

山口 Tacos

山口 Tacos

2022.10.07

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

ExchangeのゼロデイProxyNotShellを使用した標的型攻撃をマイクロソフトが観測

イランの道徳警察所属とされる人物の個人情報をハッカーグループが公開

RansomEXX、フェラーリから6.99GB分のデータを盗んだと主張

 

2022年10月6日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

NJVC

2022年9月28日、同社がALPHVランサムウェアのリークサイトに追加された。同グループは大量の資料を持っていると主張し、これを12時間おきに段階的に流出させると脅した。ALPHVは、どのようなデータが盗まれたかを公表しなかった。

香港

シャングリ・ラ グループ

2022年5月から6月にかけて、同ホテルグループ8施設の顧客の個人情報を含むデータベースに、脅威アクターがアクセスした。このデータベースには、宿泊客の連絡先情報が含まれていると報告されている。ただし、この個人情報(生年月日、パスポート番号、クレジットカード情報を含む)は暗号化されていたと、同社は主張している。

ガーナ

Electricity Company of Ghana

同社の中央データベース・システムが未知のアクターに侵害されたといわれている。情報筋によると、攻撃者はシステムにランサムウェアを展開したとのこと。

パラグアイ

DLS Motors Paraguay

Avos Lockerは同社をリークサイトに追加し、データ50GB分を抜き取ったと主張した。ファイル数点が証拠として提供された。

エクアドル

Universidad Internacional del Ecuador

2022年9月21日、LockBitのオペレーターが同大学をリークサイトに追加した。ファイル213,605点とデータ150GB分を持っていると主張している。ExcelのテンプレートとDNI文書のサンプルがサイトに掲載された。

グアテマラ

外務省

脅威アクターVSOPは、同省をリークサイトに追加し、ニューヨークの同国領事館に関するファイルを掲載した。確認されたファイルには、面会の約束、パスポート、2014年5月以降の被拘禁者や国外退去者に関する報告書が含まれている。

ブラジル

Mimoso do Sul

2022年9月29日、同自治体はサイバー攻撃により一部のデータベースが侵害されたことを発表した。このインシデントにより、一部サービスが機能停止に陥った。

インド

Swachhata Platform

脅威アクター「LeakBase」は、同プラットフォームのユーザーの個人情報を含むとされる6GBのデータベースを共有した。漏洩した可能性のあるデータは、ユーザー名、メールアドレス、パスワードハッシュ、携帯電話番号、ワンタイムパスワードなど。(16,000,000)

イラン

道徳警察

2022年10月2日、ハッカーグループ「3ackd0or」が、イランの道徳警察に所属しているとされる人物の写真や個人情報を公開した。リークされた情報は、住所、出生証明書番号、誕生日、両親の名前、出身地など。また同グループは、準軍事的なボランティア民兵組織であるBasijのメンバーの写真と個人情報も公開した。

ロシア

Unisoftware

ロシアの組織「National Republican Army」のハッカーたちが、同社のネットワークに対してランサムウェア攻撃を実行し、データを盗んだと主張している。これには、銀行口座と個人口座の認証情報や、慎重に扱うべき従業員情報など、同社の全データのコピーが含まれているとされている。

タイ

The Icon Group

Desorden Groupは、同社をハッキングし、161GBのデータベースとファイルを盗んだと主張している。これらのファイルには、フルネーム、IDカード番号、銀行口座番号、住所などの個人情報が含まれているとされている。(264,128)

米国

The Coeur Group

2022年6月7日から2022年7月12日の間に、従業員のメールアカウントが侵害された。漏洩した可能性のある患者データは、氏名、生年月日、住所、保険情報など。一部の個人においては、クレジットカード情報と社会保障番号も影響を受けた可能性がある。(2,020)

香港

Aoyuan Healthy Life Group

PT_Moishaは、同社を狙ったと主張しており、200GB分のファイルが抜き取られたとされている。文書のサンプルには、パスポート、IDカード、財務書類などのコピーが含まれている。

オーストラリア

Virgin Mobile 、Gomo

最近Singtel Optusで発生したデータ侵害により、Virgin MobileとGomoの元顧客の個人情報が流出した。この侵害により影響を受けたのは、氏名、住所、Eメール、および生年月日。

米国

FMC Services LLC

同社で、許可されていない第三者が消費者データにアクセスしたことにより、データ侵害が発生した。侵害された特定の現在および過去の患者のデータには、氏名、住所、社会保障番号、生年月日、および保護対象保健康情報が含まれる。(233,948)

米国

ウィリアム・ケリー大学

9月30日、同大学がランサムウェア攻撃を受けた。この攻撃により通信障害が起き、同校のWebサイト、ソーシャルメディア、Wi-Fi、Eメールが利用できなくなった。

米国

ロサンゼルス統一学区

2022年10月2日、Vice Societyランサムウェアグループは、2022年9月の同学区に対するランサムウェア攻撃で盗まれたデータおよび文書をリークした。リークされたファイルの一部の名称が、秘密情報を含んでいることを示唆している可能性がある。ある法執行機関の情報筋は、リークされた文書には、生徒の極秘信頼学的評価、契約書、法的文書などが含まれていると警告した。

イタリア

フェラーリ

RansomEXXは、同自動車メーカーに侵入し、内部文書、データシート、修理マニュアルなど、6.99GB分のデータを盗んだと主張している。フェラーリは、ネット上で出回っている文書が本物であることを確認したが、システム侵害やランサムウェアについては認識していないと述べた。

ロシア

Digital Network System Retail

同社は、顧客と従業員の個人情報が流出するデータ侵害の被害に遭った。同社は漏洩した情報の詳細を明らかにしていない一方で、ハッカーはユーザーのパスワードや決済カードのデータを窃取していないと述べている。以前、ある脅威アクターがBreachedフォーラムで、同社から盗まれたとされる氏名、ユーザー名、Eメールアドレス、電話番号などのデータを流出させたことがあった。(16,000,000)

オーストラリア

Telstra Corp

同社は、第三者機関が侵入を受けたことにより、2017年にさかのぼる従業員データの一部が流出し、データ侵害を受けた。漏洩した現・元従業員のデータには、氏名やメールアドレスなどが含まれる。(30,000)

ニュージーランド

Pinnacle Midlands Health Network

2022年9月28日に発生したサイバー攻撃により、複数のPrimary Health Care Ltdの診療所および地域オフィスへ影響が及んだ。同社は、このインシデントで特定のデータや情報がアクセスされたかどうかを確認することはできなかった。しかし、アンドリュー・リトル保健相は、この攻撃でデータが流出したことを確認した。同社が保有するデータには、個人情報が含まれている。

インド

Highrich

18.2GBのデータが含まれる保護されていないAmazon Web Servicesにより、Eメール、電話番号、MD5で暗号化されたパスワードなど20万件以上のエントリが公開状態となった。このデータベースには、Eメール、顧客名、住所、購入商品など、47万件の顧客注文の詳細も含まれている。

カナダ

Simex Defence

2022年10月1日、ランサムウェア集団「BlackCat」は、防衛関係の供給を行う同企業をリークサイトに追加した。Simexのマーケティングおよび事業開発の主任であるFares Hamade氏は、この攻撃で文書がコピーされたかどうかを明らかにしなかった。

米国

CHI Health

親会社のCommonSpirit Healthは、全国の設備に影響を及ぼす「ITセキュリティインシデント」の被害者となった。これにはCHIの電子カルテやその他のシステムが含まれる。

米国

アリゾナ州、ツーソン市

攻撃者は2022年5月17日から5月31日の間に同市のネットワークにアクセスし、ファイル数件を流出させた。流出した可能性のあるデータは、氏名、社会保障番号、運転免許証または州の身分証明書番号、パスポート番号など。(123,513)

米国

NextLabs

2022年10月3日、0megaランサムウェアは、同社から窃取したとされるデータ298GBを公開した。これには、従業員の詳細、財務予算、コンサルティング・ライセンス契約、保険の詳細、株主報告書、ソフトウェアなどの秘密情報が含まれている。

米国

Tessie Cleveland Community Services

同社は、2022年6月17日から6月30日の間に不明のアクターが複数の従業員のEメールアカウントをハッキングしたことによるデータ侵害の被害に遭った。漏洩した可能性のある患者情報には、氏名、人口統計学的詳細、健康保険識別番号、限定診療データ、一部の社会保障番号などがある。(9,747)

米国

Neurology Center of Nevada

2022年7月17日、同社に対するサイバー攻撃により、一部のシステムがアクセス不能になった。流出した可能性のある患者データは、氏名、社会保障番号、生年月日、性別、運転免許証など。(11,700)

米国

QM Services

設定ミスにより、同社はメリーランド・インスティテュート・カレッジ・オブ・アートの特定の学生の個人情報および健康情報を流出させた。

米国

Northern California Fertility Medical Center

同社は、許可されていない第三者が同社のネットワークにアクセスして特定のファイルの暗号化を試みたことによるデータ侵害の被害に遭った。患者名、実施した超音波検査の状況、敷地内に保管されていた凍結保存された組織など、患者のデータが影響を受けた可能性がある。

オーストラリア

G4S

同社は、許可されていない第三者が同社のシステムにアクセスするサイバーインシデントに見舞われた。漏洩したデータには、従業員の氏名、住所、生年月日、連絡先、犯罪履歴証明書、健康診断結果、銀行口座の詳細などが含まれる。また、一部の従業員の給与明細、健康情報、その他の情報も漏洩した。

 

重要インフラに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のマルウェアを示しています。

過去1週間にトレンドとなった、重要インフラ関連のマルウェア

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

テクノロジー:ExchangeのゼロデイProxyNotShellを使用した標的型攻撃をマイクロソフトが観測

2022年8月、マイクロソフトの研究者は、Microsoft Exchange Server 2013、2016、および2019に影響を及ぼす、最近報告された2つのゼロデイ脆弱性を使用した限定的な標的型攻撃を観測した。「ProxyNotShell」と総称されるこれらの欠陥には、サーバーサイドリクエストフォージェリの欠陥(CVE-2022-41040)と、リモートコード実行の問題(CVE-2022-41082)が含まれる。単一の活動グループが初期アクセスに成功し、欠陥を連鎖させることによって、少数の標的型攻撃でExchangeサーバーを侵害した。これらの攻撃では、WebシェルChopperがインストールされ、ハンズオンキーボードによりアクセスが獲得された後、Active Directoryの偵察とデータの抜き取りが行われた。

小売・観光

サウジアラビア、アラブ首長国連邦、シンガポールのケンタッキーフライドチキン(KFC)とマクドナルドを標的とした、高度で精巧なフィッシングキャンペーンを、CloudSEKの研究者が発見した。このキャンペーンは、ユーザーのカード情報を盗み出そうとするもの。Google Playストアになりすましたドメインが、「KFC Saudi Arabia 4+」という名前のアプリ(Chrome用のブラウザベースのアプリ)をホストしている。インストールされると、ユーザーのデスクトップに同アプリのショートカットが作成され、それが開かれると、KFCを装ったフィッシングサイトを読み込むChromeアプリのウィンドウが表示される。

暗号資産

暗号資産関連の不正なサイトを狙う脅威アクター「Water Labbu」を、トレンドマイクロの研究者が発見した。このアクターは、被害者のウォレットからアクセス許可とトークン許容量を取得することで、暗号資産の窃取に成功している。Water Labbuは、分散型アプリケーション(DApp)を模倣した他の詐欺師のWebサイトを侵害し、有害なJavaScriptコードを注入する。被害者がこの不正なサイトに接続すると、JavaScriptコードは、標的のウォレットからほぼ無制限の量のステーブルコインUSDテザー(USDT)を送金するためのアクセス許可要求を送信する。

重要インフラ

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、防衛産業基盤(DIB)部門の組織の企業ネットワークにおいて、高度持続的脅威(APT)活動を観測した。この組織のネットワークは、複数のAPTグループによって侵害された可能性が高く、一部のアクターは、環境に対する長期的なアクセスを獲得していた。一部のアクターは、早くも2021年1月中旬に同組織のMicrosoft Exchange Serverへのアクセスを獲得したが、最初のアクセスベクターは不明のまま。APTアクターらは、2022年1月中旬まで同組織のシステムへのアクセスを維持したが、これにはおそらく正規の認証情報が使われていた。

銀行・金融

ブラジルの脅威アクターPrilexが、マルウェアをATMマルウェアからモジュール式のPOSマルウェアへとレベルアップし、PoSマルウェアPrilexを使用していることを、カスペルスキーの研究者が特定した。マルウェアは、単純なメモリスクレイピングを行うものから、PINパッドのハードウェアのプロトコルを直接操作する高度で複雑なマルウェアへと進化した。このマルウェアの最新バージョンの手法は、リプレイ攻撃から、店舗での支払いプロセスにおいて被害者のカードが生成する暗号を使用した不正な取引へと切り替わっています。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(30 September – 06 October 2022)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ