北朝鮮グループLazarus、マルウェアAppleJeus使った最新キャンペーンで狙うのは暗号資産ユーザー・組織か | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮グループLazarus、マルウェアAppleJeus使った最新キャンペーンで狙うのは暗号資産ユーザー・組織か

Threat Report

Silobreaker-WeeklyCyberDigest

北朝鮮グループLazarus、マルウェアAppleJeus使った最新キャンペーンで狙うのは暗号資産ユーザー・組織か

山口 Tacos

山口 Tacos

2022.12.09

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

北朝鮮グループLazarus、マルウェアAppleJeus使った最新キャンペーンで狙うのは暗号資産ユーザー・組織か

Hive Social、サイトの脆弱性を理由にサービスを一時停止

Webスキミングに新たなテクニック:Cockpitを狙うものなど

 

2022年12月8日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

Hive Social

2022年11月30日、同ソーシャルメディアプラットフォームはサービスを一時的に停止した。これは、同サイトには、ユーザーアカウントに保存されているすべてのデータへの攻撃者によるアクセスを可能にする脆弱性が含まれているというZerforschungからのセキュリティアドバイザリの警告を受けての対応。これらのデータには、プライベート投稿やメッセージ、共有メディア、削除されたダイレクトメッセージなどが含まれる。

米国

Receivables Performance Management

同社は、2021年4月8日に攻撃者が最初に同社のサーバーにアクセスした後、5月12日にランサムウェア攻撃を受けた。この攻撃により、社会保障番号を含む個人情報が流出した。攻撃者は、窃取したデータをもう所有していないと報告されている。(3,766,573)

米国

フロリダ州歳入局

同政府機関のWebサイト上にオブジェクトを直接参照する欠陥があり、納税者の秘密情報が流出した。これには、氏名、自宅および会社の住所、銀行口座および支店番号、社会保障番号などが含まれる。この問題はその後修正された。

フランス

Andre Mignot Hospital

2022年12月3日、Versailles Hospital Centerに属するフランスの同病院がサイバー攻撃の標的となり、コンピュータシステムの停止を余儀なくされた。この攻撃はランサムウェアによるものである可能性が高いが、病院側からはまだ確認されていない。

United Reporters

同ネットワークが、現在取り沙汰されているギリシャの監視スキャンダルと関連のあるスパイウェアPredatorを取り上げた直後に、流出が発生したと伝えられている。流出したデータには財務データも含まれている。

ウルグアイ

運輸公共事業省

2022年10月17日、同省はPLAYランサムウェアによる攻撃の標的となった。攻撃者は80GBのデータを盗んだと主張し、証拠として5GB分を公開した。同省は攻撃者とのやり取りを否定しており、盗まれたデータは同省が利用できる情報の約0.03%に相当すると推定している。

ブラジル

Plascar Participações Industriais SA

2022年11月30日、Vice Societyがリークサイトに同社を追加した。同ランサムウェアグループは、同社から650GBのデータを流出させたと主張している。

インド

Three Cube IT Lab

ダークウェブ上の投稿で、同社から盗まれたとされる秘密データが宣伝されている。攻撃者は、同社のシステムにアクセスすることで、同社の病院の顧客のデータにもアクセスすることに成功した。

インド

Sree Saran Medical Centre

現在、ダークウェブでは、この病院の患者の個人を特定できる情報が販売されている。これには、氏名、保護者名、生年月日、医師の詳細、住所情報などが含まれる。

米国

CoinTracker

2022年12月1日、同ソフトウェア会社は、CoinTracker利用者のメールと紹介リンクのリストがネット上に流出しているのを発見した。その他の個人情報、財務情報は流出していない。この流出は、同社のサービスプロバイダーの1社で発生した大規模なデータ漏洩が原因であると言われている。

インド

Central Board of Higher Education Delhi

ハクティビストグループTeam Mysterious Bangladeshは、同組織を侵害したと主張し、すでに盗まれたデータのスクリーンショットを共有し2004年から2022年までの学生のデータをリークすると脅迫した。漏洩したデータには、氏名、Aadhaar番号、IFSCコードなどが含まれている。

米国

Travis Central Appraisal District

テキサス州の同行政機関は、2022年12月5日にRoyalランサムウェアによるものと考えられる攻撃の標的となった。このランサムウェア攻撃により、電話回線とオンラインチャットシステムが遮断された。

米国

Dallam Hartley Counties Hospital District

テキサス州の同組織は、2022年9月28日にランサムウェア攻撃の標的となった。同インシデントにより、氏名、社会保障番号、健康保険情報、人口統計学的詳細、一部の医療情報など、保護対象保健情報が窃取された。(70,000)

米国

Mena Regional Health System

アーカンソー州の同組織は、2021年10月30日に患者データが権限のない個人によって抜き取られたことを明らかにした。漏洩したデータには、患者の名前、社会保障番号、生年月日、運転免許証、政府発行の身分証明書、金融口座の詳細、医療情報などが含まれる。(84,814)

米国

CCA Health California

現在および過去の医療保険制度の加入者が、2022年5月4日に発生したデータ侵害について通知を受けた。攻撃者は、名前、社会保障番号、生年月日、連絡先、パスポート番号などのデータへアクセスまたは窃取した。(~15,000)

ベルギー

アントワープ

同市では、デジタルプロバイダーであるDigipolis社がランサムウェアの疑いがある攻撃を受けたことにより、デジタルサービスの障害が発生した。

米国

Rackspace

同クラウド企業は、自らがホストするMicrosoft Exchange環境をやむなく停止することにつながった最近のセキュリティインシデントが、ランサムウェアの攻撃によるものであることを認めた。どのランサムウェアグループが関与しているのかや、秘密データが盗まれたかどうかについては、まだ不明。

米国

Hudson County Schools of Technology

2022年12月5日、同学区内のサーバーがオフラインになり、生徒が早退させられる事態が発生した。同学区は障害の原因を確認しなかったが、セキュリティ研究者のBrett Callow氏は、ランサムウェアの可能性があると指摘した。

米国

Adams-Friendship Area School District

同区は、2022年11月15日頃に自身の環境内で不正な活動を検知した。2022年12月7日、ランサムウェアRoyalがこの攻撃の犯行声明を出し、同区をリークサイトに追加した。同グループは、その主張の証拠をまだ示してない。

インド

CloudSEK

ある脅威アクターが、従業員のJiraアカウントに関する盗まれた認証情報を使用して、同社のConfluenceサーバーにアクセスした。Confluence wikiから、製品ダッシュボードのスクリーンショットや顧客3社の名前と発注書などの内部情報が抜き取られたが、CloudSEKのデータベースは侵害されなかったと報告されている。

オーストラリア

LJ Hooker

ランサムウェアALPHVのオペレーターは2022年11月30日、LJ Hooker Palm Beachを自らのデータリークサイトに追加し、従業員と顧客のデータ375GB分を盗んだと主張した。攻撃者は、侵害されたとされるユーザー名とパスワードのスクリーンショットを掲載した。また、同グループは、スタッフのパスポートの詳細や、損益計算書の一部や不動産売買契約書も公開した。

フランス

Intersport

2022年12月5日、Hiveランサムウェアのオペレーターが、一部の顧客の個人情報をダークウェブ上に公開した。漏洩した可能性のあるデータには、パスポート、顧客情報のリスト、給与明細書が含まれる。

米国

Acuity Brands

2021年12月7日および12月8日に、権限のない個人が一部のシステムにアクセスし、ネットワークから一部のファイルをコピーした。このインシデントに関する調査中に、Acuity社は、2020年10月6日と10月7日に発生した上記とは無関係の不正アクセスインシデントを発見した。この不正アクセスでは、攻撃者が特定のファイルをコピーしようとしていた。現在および過去の従業員に関する漏洩した可能性のあるデータには、氏名、社会保障番号、金融口座情報、運転免許証番号などが含まれる。

 

暗号資産に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、暗号資産関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、暗号資産関連の攻撃タイプ

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

暗号資産:北朝鮮グループLazarus、マルウェアAppleJeus使った最新キャンペーンの標的は暗号資産ユーザー・組織か

北朝鮮の脅威アクターLazarus Groupによる新たな活動を、Volexityの研究者が観測した。最新のキャンペーンでは、マルウェアAppleJeusを使って暗号資産ユーザーや組織を標的にしている可能性が高い。Lazarus Groupが、以前には見られなかったDLLサイドローディングの新しいバリエーションを含む、新たなテクニックを使用していることが確認された。AppleJeusは、自動暗号資産取引プラットフォームHaasOnlineのクローンであるBloxHolderと呼ばれるWebサイトを介して拡散されている。このサイトには、マルウェアがバンドルされているQTBitcoinTraderアプリ用のMSIファイルが含まれている。

小売:Webスキミングに新たなテクニック、Cockpitを狙うものなど

Webスキミング攻撃に新しいテクニックを使用している脅威アクターを、Jcramblerの研究者が発見した。これらのテクニックには、かつて人気のJavaScriptライブラリをホストしていた、現在は無効化されたドメインを制御するというものが含まれる。3組の脅威アクターによるキャンペーンが観測されており、そのうちの1つは、サービスの終了したJavaScriptライブラリCockpitを標的としており、ドメイン名を取得し、それを使って同じURL経由でスキミングスクリプトを提供するというもの。残りの2つのキャンペーンは、ECサイトを直接狙い、悪意のあるスクリプトをホームページに注入するもので、そのうちの1つはGoogleタグマネージャーを装い、文字列連結を利用して検知を回避していた。

重要インフラ

イランが出どころであるとみられる新しいランサムウェアBlackMagicを、Cybleの研究者が発見した。同グループは、二重恐喝を利用して被害者を狙っており、これまでに運輸・物流業界の10以上の被害者(いずれもイスラエルの被害者)の詳細を公開している。同グループには、政治的な動機があると疑われている。ランサムウェアのペイロードは64ビットのDLLファイルで、被害者のシステム上にドロップされ、rundll32を使用して実行される。このグループの身代金要求メモには、身代金支払いのための連絡先や暗号資産アドレスは記載されておらず、代わりに被害者のデータの宣伝に使用されるソーシャルメディアチャンネルへのリンクが含まれている。

テクノロジー

電気通信会社およびビジネスアウトソーシング会社を標的とした侵入キャンペーンを、CrowdStrikeが発見した。攻撃者は、モバイルキャリアのネットワークにアクセスし、SIMスワッピング攻撃を行おうとする。このキャンペーンは、2022年6月から続いている。IT担当者になりすまし、被害者にクレデンシャルハーベスティングサイトを訪問するよう説得したり、持続性獲得に使われる商用リモート監視・管理ツールを実行させたりするために、ソーシャルエンジニアリングの技術が使用されている。その他の手口としては、漏洩した認証情報を使用して組織のAzureテナントにアクセスしたり、ForgeRock OpenAMアプリケーションサーバーにおける脆弱性CVE-2021-35464を悪用したりするものがある。この攻撃は、金銭的な動機によるものと見られ、このキャンペーンは、低い確度で脅威アクターSCATTERED SPIDERによるものと指摘されている。

銀行・金融

ペルーの税務当局であるSUNATのモバイルアプリケーションを装ったバンキング型トロイの木馬Zanubisのサンプルを、K7 Securityの研究者が特定した。このアプリは、被害者のデバイスからデータを収集するために、アクセシビリティサービスとバッテリーの最適化の許可を求める。このトロイの木馬は、ターゲットとなるアプリケーションの上に画面オーバーレイを表示し、複数の銀行のログイン情報を取得する。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(02 – 08 December 2022)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ