GitHub上に偽のPoCエクスプロイトを配布するレポジトリが存在、中にはマルウェア含むものも | Codebook|Security News
Codebook|Security News > Articles > Threat Report > GitHub上に偽のPoCエクスプロイトを配布するレポジトリが存在、中にはマルウェア含むものも

Threat Report

Silobreaker-WeeklyCyberDigest

GitHub上に偽のPoCエクスプロイトを配布するレポジトリが存在、中にはマルウェア含むものも

山口 Tacos

山口 Tacos

2022.10.28

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

GitHub上に偽のPoCエクスプロイトを配布するレポジトリが存在、中にはマルウェア含むものも

イラン原子力庁をハクティビストグループBlack Rewardが攻撃

Hiveランサムウェア、タタ・パワーから盗まれたとされるデータをリーク

 

2022年10月27日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Defense Health Headquarters

米国保健福祉省の公民権局は、現在、同政府機関へのハッキングまたはITインシデントの疑いがある件に関し、調査を行っている。(1,279)

米国

Advocate Aurora Health

同医療機関で、患者の個人情報が流出するデータ侵害が発生した。流出した可能性のある情報は、IPアドレス、予約情報、Advocate Aurora Healthの所在地への近さ、保険情報など。(3,000,000)

オーストラリア

EnergyAustralia

同電力会社は、2022年9月30日にサイバー攻撃の被害に遭い、マイアカウント顧客プラットフォームに影響が及び、住宅および小規模企業の顧客アカウントがアクセスされた。流出した可能性のある情報は、氏名、住所、Eメールアドレス、電気・ガス料金、電話番号、クレジットカードの最初の6桁と最後の3桁など。(323)

シンガポール

Carousell

2022年10月14日、Eコマースプラットフォームにデータ侵害が発生し、ユーザーの個人情報が流出した。流出した情報には、Eメールアドレス、携帯電話番号、生年月日が含まれる。(1,950,000)

英国

Pendragon

同自動車ディーラーグループは、ハッカーにデータベースの5%を盗まれるサイバー攻撃を受けた。攻撃者はLockBit 3.0に関連していると言われており、5,400万ポンドの身代金を要求している。同攻撃者はその後、秘密データをダークウェブで公開すると脅した。

イラン

原子力庁

同庁の子会社のメールサーバーが外国からハッキングされた。その後、原子力発電所に関する運用データがネット上に公開された。イランのハクティビストグループ「Black Reward」は、この攻撃の犯行声明を出し、10万件以上のメッセージと合計50GB以上のファイルからなる324の受信箱を抜き取ったと主張している。

ジャマイカ

Massy Jamaica

2022年9月19日、ランサムウェア「Hive」のオペレーターが、同スーパーマーケットチェーンから窃取されたとされるデータを公開した。同社は、個人情報を含むデータ流出が発生したことを確認した。これには、Massy Jamaicaの従業員や契約者の氏名、住所、納税者登録番号、署名、動画や写真などが含まれるとされている。

英国

Kingfisher Insurance

同社は2022年10月にLockBitランサムウェアのリークサイトに追加され、同社のITシステムに対する攻撃の標的となった。攻撃者は1.4TBの企業データを盗んだと主張しているが、同社はアクターがそれほどのデータを盗むことはできなかったと述べている。盗まれたデータには、従業員や顧客の個人情報などが含まれているとされる。

英国

Simplify Group

2021年11月に同社に対して行われたサイバー攻撃により、過去と現在の従業員に関する情報が含まれる特定のファイルが流出した。これには、銀行口座情報、連絡先、生年月日、健康・医療情報のほか、納税者番号や国民保険番号などが含まれる。

米国

Kenosha Unified School District

2022年10月23日、ランサムウェアグループ「Snatch」は、同学区をリークサイトに追加した。どのような情報が盗まれた可能性があるかは公表されていない。

アルゼンチン

保健省

ハッカーが公務員の個人アカウントに侵入し、チェーンメールを送信した後、同省のコンピューターシステムが攻撃された。このインシデントにより、HIVに感染している人の秘密データが流出した。

米国

Midland Information Technology Consortium

2022年10月20日、同社はランサムウェアの攻撃を受け、顧客のインターネットやEメールサービス、電話回線に影響が出た。情報漏洩があったかどうか、またその内容について確認するため、現在調査中。

インド

タタ・パワー

ランサムウェア「Hive」のオペレーターは、同社から窃取されたとされるファイルをTorのリークサイトに流出させた。データの中には、契約書、財務・ビジネス文書、エンジニアリングプロジェクト、Aadhaarカード番号など従業員の個人を特定できる情報が含まれている模様。

英国

See Tickets

同チケット発券サービスは、2019年6月25日から2022年1月8日の間に発生した、注文のチェックアウトページにJavaScriptスキマーが注入されたことによるデータ侵害を公表した。権限のない者によって、氏名、住所、郵便番号、支払いカード番号、カード有効期限、CVV番号など、顧客の個人情報およびクレジットカード情報が盗まれた可能性がある。

不明

34GBのキャッシュの流出により、世界中の数十万人の個人を監視しているストーカーウェアの内部構造が明らかに。流出したデータは、ほぼ同一の多数のストーカーウェア・アプリによって侵害されたAndroid携帯電話やタブレット端末からのもの。キャッシュには、2019年初頭以降に侵害されたすべてのデバイスに関する詳細な記録を含む、ストーカーウェアオペレーションの中核データベースが含まれている。流出したデータには、通話ログ、テキストメッセージ、粒度の細かい位置情報、およびその他の個人的なデバイスデータが含まれている。

オーストラリア

Australian Clinical Labs

同社がサイバー攻撃を受け、個人情報が流出した。これには、個人の医療・健康記録、氏名、クレジットカード番号などが含まれる。また、子会社のMedlabのデータも以前ダークウェブに流出したことがあった。同データはその後削除された。(223,000)

米国

Davenport Community Schools

脅威アクター「Karakurt」は、攻撃により845GB分の学生の個人情報などを盗んだと主張し、同学区をリークサイトに追加した。同グループは証拠を公表していない。

米国

WakeMed

2018年3月から2022年5月にかけて、同病院がMeta社のピクセルトラッカーを不適切に使用したことにより、一部の患者のデータがMeta社に転送された可能性がある。該当するのは、メールアドレス、電話番号、その他の連絡先、コンピュータのIPアドレス、緊急連絡先など、MyChart患者ポータルおよび予約管理ページに入力された情報に関するもの。

ヘルスケアに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、ヘルスケア関連の攻撃タイプ

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

銀行・金融

悪意あるWebサイト上で宣伝されているモバイルショッピングアプリの中に隠された2つのバンキング型トロイの木馬を、Doctor Webが発見した。このアプリは、マレーシアのユーザーのオンラインバンキング口座を標的としている。現在のところ、メイバンク、HLB Connect、CIMB Group、パブリック・バンク、およびその他のマレーシアの銀行が標的となっているが、このリストは変更または拡大される可能性がある。ユーザーが購入を行おうとすると、アプリは、名前、住所、携帯電話番号、身分証明書番号に加え、場合によっては生年月日などの個人情報を要求する。次に、ユーザーは、支払いを行うための銀行を選択するよう求められ、その後、オンラインバンキングのログイン情報を入力するよう促される。すべての情報はC2サーバーに送信され、ユーザーには支払いに失敗した旨を伝えるエラーメッセージが表示される。

教育

ここ数か月、マイクロソフトの研究者は、脅威アクターVice Societyが、世界中(特に米国)の教育部門を狙ったランサムウェア・恐喝キャンペーンに携わっている様子を観測している。2021年6月から活動しているVice Societyは、BlackCatやQuantumLockerといった様々なペイロードを長期にわたって使用しており、最新のペイロードとしてはZeppelinの亜種とRedAlertを使っている。一部のケースでは、同グループはランサムウェアを展開せず、盗んだデータのみを用いて被害者を恐喝した。このグループは、SystemBCやPortStarterなどのコモディティ型バックドア、PowerShellスクリプトのほか、Rclone、Megasync、WMIC、PsExecといった再利用された正規ツールなど、他のランサムウェアアクターがよく使う戦術、技術、手順を使用する。

テクノロジー:itHub上に偽のPoCエクスプロイトを配布するレポジトリが存在、中にはマルウェア含むものも

GitHub上で様々な脆弱性に対する偽の概念実証(PoC)エクスプロイトを提供する数千のリポジトリが存在し、その中にはマルウェアを含むものもあることを、Leiden Institute of Advanced Computer Scienceの研究者が発見した。研究者は、正規のPoCを取得する代わりにマルウェアに感染してしまう可能性は10.3%にも及ぶと判断した。観測されたマルウェアの中には、Houdini RAT、情報窃取型マルウェア、Cobalt Strikeなどが含まれる。

ヘルスケア

サイバー犯罪グループ「Daixin Team」が2022年6月以降、医療・公衆衛生部門を中心とする米国企業を積極的に標的にしていると警告する内容の共同アドバイザリーを、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁が発表した。同グループは、電子カルテなどの医療サービスに用いられるサーバーに対してランサムウェアを展開し、個人データや患者の保健情報を抜き取る。同グループは、パッチが適用されていない脆弱性を悪用したり、漏洩した認証情報を使ったりして、初期アクセスに仮想プライベートネットワークサーバーを使用する。

暗号資産

広範かつ高度で活発なクリプトマイニングキャンペーン「PURPLEURCHIN」を、Sysdigの研究者が発見した。このフリージャッキングキャンペーンは、GitHub、Heroku、Buddy Worksなどのクラウドおよび継続的インテグレーション/デプロイ(CI/CD)サービスプロバイダーのトライアルアカウントを使用して、クラウドオペレーションの構築、実行、拡張、運用を行っている。標的となっている暗号資産は、Tidecoin、Onyx、Sugarchain、Sprintなど。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(21 October 2022 – 27 October 2022)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ