米FBI運営の物理脅威情報共有ネットワーク「InfraGard」のデータベースをハッカーが販売 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 米FBI運営の物理脅威情報共有ネットワーク「InfraGard」のデータベースをハッカーが販売

Threat Report

Silobreaker-WeeklyCyberDigest

米FBI運営の物理脅威情報共有ネットワーク「InfraGard」のデータベースをハッカーが販売

佐々山 Tacos

佐々山 Tacos

2022.12.16

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

米FBI運営の物理脅威情報共有ネットワーク「InfraGard」のデータベースをハッカーが販売

北朝鮮のハッキンググループKimsukyによる新たなEメールキャンペーン

マイクロソフトの正規の署名付きドライバを脅威アクターが悪用

 

2022年12月15日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

フランス

Ambulances des Trois Cantons

ペイルホラードの救急車サービスが、2022年12月6日にランサムウェア攻撃を受けた。このインシデントにより電話回線が影響を受け、すべてのファイルと、2022年12月12日以降の予約スケジュールが失われた。

米国

CommonSpirit Health

同非営利団体は、2022年9月16日から10月3日にかけてのランサムウェア攻撃で、ハッカーが患者の個人データにアクセスしたことを認めた。漏洩が確認されたデータは、氏名、住所、電話番号、生年月日、内部固有IDなど。(623,774)

コソボ

Avicena Medical Laboratory

サイトの認証管理が不十分だったことが判明した。この不備により、推定166,000件のレコードが公開状態となった。公開状態となったデータの中には、国民ID番号や姓名といった患者の個人情報と医療情報が含まれていた。

オーストラリア

Telstra

「データベースの取り付け不良」によって、顧客の詳細情報がオンラインのWhite Pages上とディレクトリ・アシスタンス経由で一般に公開された。この流出により、顧客の名前、電話番号、住所が公開された。(130,000)

カナダ

COVAXon

2021年11月に、オンタリオ州の新型コロナワクチン管理システムからデータが盗まれた。名前と電話番号のみに影響が及んだケースがほとんど。(360,000)

メキシコ

ハリスコ州議会

2022年12月6日に発生したPlayランサムウェアの攻撃により、サーバー14台が暗号化されたと報じられており、影響を受けたデータの多くが立法、法律、行政関連のものだったといわれている。これまでのところ、Playランサムウェアグループのリークサイトに同機関の記載はない。

スペイン

レケナ市議会

2022年11月27日のランサムウェア攻撃により、同議会はシステムの停止を強いられ、給与支払いシステムが影響を受けた。ランサムウェアグループ「BlackCat」が犯行声明を出し、多数のファイルをリークした。

アルゼンチン

複数の組織

複数の組織が、2022年12月初旬に発生したサイバー攻撃について公表した。公表した組織は、国家統計センサス局(INDEC)、Automovil Club Argentino、Cetrogarなど。INDECとCetrogarに対する攻撃はいずれもランサムウェア関連で、CetrogarはPlayランサムウェアに攻撃された可能性がある。

米国

Knox College

Hiveランサムウェアのオペレーターが、コンピューターシステムに障害を発生させたランサムウェア攻撃の犯行声明を行った。攻撃者は重要なインフラとデータを暗号化したと主張している。また、盗んだと主張する慎重に扱うべき個人情報(医療記録や社会保障番号など)をリークすると脅迫した。

米国

Uber

サードパーティベンダーのTeqtivityが所有するAmazon Web Servicesのバックアップサーバーに、脅威アクターがアクセスした。この攻撃者は、同プラットフォームを利用する企業のデバイス情報とユーザー情報(氏名、業務用メールアドレス、勤務地の詳細など)にアクセスすることに成功した。

米国

カリフォルニア州財務庁

2022年12月12日、LockBitランサムウェアのオペレーターが、同政府機関からデータ76GB分を盗んだと主張した。データには、データベースや機密データ、財務文書、「性的訴訟」などが含まれるとされている。同グループは、2022年12月24日を過ぎたら盗まれたファイルを公開するとした。

インド

Global Pravasi Rishta Portal

インド外務省が所有し、インド政府が国外居住者と連絡を取るために使用していた同ポータルから、慎重に扱うべきユーザーデータが漏洩していた。これにより、氏名、居住国、メールアドレス、職業の状況、電話番号、パスポート番号が平文のまま公開された。

米国

Vevor

同小売大手が数テラバイトのデータベースを公開状態にしていた。流出した慎重に扱うべきユーザーデータは、氏名、住所、メールアドレス、電話番号、注文情報、支払い情報の一部、支払いログ、その他追跡情報など。

ベルギー

アントワープ市

Playランサムウェアのオペレーターが、同市のベンダーであるDigipolisに対する最近の攻撃の犯行声明を出した。攻撃者は同市をリークサイトに追加し、攻撃中に個人情報、パスポート、ID、財務関連文書などデータ557GB分を盗んだと主張した。攻撃者はまだデータをリークしていない。

米国

Sequoia

2022年9月22日から10月6日の間にクラウドストレージに保存されていた、慎重に扱うべき顧客情報にハッカーがアクセスした。漏洩した可能性のあるデータは、氏名、自宅住所、生年月日、性別、社会保障番号、政府発行の身分証明書など。

パキスタン

Konext

ストーカーウェアXnspyに、ユーザーからデータを盗むために簡単に悪用できる一般的なセキュリティ欠陥が含まれていることが判明した。公開状態となったデータは、固有のiCloudメールアドレスおよびパスワードや、認証トークンなど。また、ストーカーウェアに関わるKonextの開発者と従業員の名前、メールアドレス、スクランブルされたパスワードも公開状態となった。(60,000)

米国

InfraGard

2022年12月10日、BreachForums上のハッカーが、連邦捜査局(FBI)が運営する物理的脅威情報共有ネットワーク「InfraGard」のユーザーデータベースを宣伝した。ハッカーによると、このデータベースには名前や連絡先といったメンバーに関する情報のほか、メール47,000件が含まれているとのこと。(80,000)

オーストラリア

TPG Telecom

同社がホストし、iiNetとWestnetの法人顧客向けメールアカウントを運用するMicrosoft Exchangeサービスで、データ侵害が発生した。狙いは、これらのアカウントに含まれる暗号資産と金銭関連情報だった模様。

米国

San Gorgonio Memorial Hospital

2022年10月29日から11月10日にかけて、カリフォルニア州の同病院のコンピューターネットワークに不正アクセスした者がいた。このアクターは、氏名、住所、生年月日、医療記録番号、社会保障番号など、慎重に扱うべき患者情報にアクセスした。

インド

Covid Vaccine Intelligence Network(CoWIN)

Nazila Blackhatと名乗るハッカーが、インド政府のCoWINポータルへのアクセス権を持っていると主張し、同プラットフォームの管理者アクセス権や、医療従事者の秘密データを販売しようとした。同ハッカーは証拠として、個人情報が写されたものを含む、複数のスクリーンショットを共有した。セキュリティ研究者のSunny Nehra氏は、ハッカーの主張は虚偽のようだと述べ、スクリーンショットにはメインのCoWINサイトではなく、他の地域の一部のCoWINユーザーのデータまたはローカルデータベースが写っているのではないかと推察した。

米国

国際卓球連盟

国際卓球連盟のデータが、3年間にわたって誰もがダウンロードできる状態になっていた。このデータには、馬龍氏や樊振東氏など、数百人のプロ選手の情報が含まれているという。

米国

Gemini Trust Company

同暗号資産取引所のサードパーティーベンダーで、2022年12月13日かそれ以前に、ハッキングインシデントによるデータ侵害が発生したものとみられる。ハッカーは、Geminiの顧客のメールアドレスと電話番号の一部を含む、570万行分以上の情報にアクセスしたと報じられている。

カナダ

2NetworkIT

同社は2022年12月8日にランサムウェアCubaによる攻撃を受けた。2NetworkITはその後、影響を受けたサービスを復旧させている。同社のオーナーであるMarc Villeneuve氏は、1日分のEメールとデータを失っただけだと述べたが、Cubaランサムウェアのオペレーターは、財務文書、銀行員とのやり取り、税務文書、ソースコードを盗んだと主張した。

ヘルスケアに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連のマルウェアを示しています。

過去1週間にトレンドとなった、ヘルスケア関連のマルウェア

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

ヘルスケア

米国保健福祉省は、ヘルスケア関連組織に対し、現在行われているランサムウェアグループRoyalによる攻撃についての警告を発した。このグループは、米国のヘルスケア関連組織を標的としていると考えられており、組織を侵害するたびに、盗まれたとされるデータをすべて流出させたと主張してきた。同グループは、ソーシャルエンジニアリングを利用して被害者企業を騙し、ソフトウェアプロバイダーや配送サービスを装ったコールバック型フィッシング攻撃により、リモートアクセスソフトウェアをインストールさせる。

暗号資産

リモートアドミニストレーションツール(RAT)「Chaos」を活用した暗号資産マイニング攻撃を、トレンドマイクロの研究者が観測した。この攻撃の流れには、競合するマルウェアを終了させ、Linuxデバイス上の暗号資産マイニングのパフォーマンスに影響を与えるリソースを停止させるという工程が含まれる。Chaos RATは、UNIXのタスクスケジューラファイルを変更することで持続性を獲得しており、今回のケースでは、Pastebinから10分ごとに自身をダウンロードしている。その後、マイナーXMRigとその設定ファイル、「competition killer」をループさせるシェルスクリプト、Chaos RATなど、追加のペイロードがダウンロードされる。Chaos RATは、Go言語でコンパイルされたバイナリで、リバースシェル、ファイルのダウンロード・アップロード・削除、スクリーンショットの取得などを実行できる。

政府:北朝鮮のハッキンググループKimsukyによる新たなEメールキャンペーン

北朝鮮のハッキンググループKimsukyによる新しいEメールキャンペーンでは、外国政府における影響力を有している人々が標的になっている。その目的は、北朝鮮に関する西側諸国の政策の方向性をよりよく理解することにある。同キャンペーンでは、他の研究機関を模倣して、北朝鮮に関する研究者やその他の専門家に政策に対する意見を求めたり、報告書の執筆やコメントを求めたりする試みが行われている。複数の専門家がKimsukyの攻撃者アカウントに情報を提供したことから、攻撃者の目論見は成功しているものとみられる。Kimsukyのようなグループは、通常、標的をマルウェアに感染させて秘密情報を盗むことが知られているため、このキャンペーンからは、戦術が転換されたことが示されている。

テクノロジー:マイクロソフトの正規の署名付きドライバを脅威アクターが悪用

有名な脅威アクターが、現在行われている侵入活動において、マイクロソフトの正規の署名付きドライバを悪用していることを、SentinelLabs、Mandiant、およびSophosの研究者が確認した。有害ドライバとそのローダー(それぞれ「POORTRY」、「STONESTOP」)は、アンチウイルスおよびエンドポイント検出・対応プロセスを終了させるように設計されている。それぞれ異なる脅威アクターとの関連が指摘されている複数の異なるマルウェアファミリーが、上記のプロセスを利用して署名されていることが確認された。これには、UNC3944、Cubaランサムウェア、Hiveランサムウェアが含まれる。

重要インフラ

最近、実際に使用されるMalloxランサムウェアのサンプル数が急増していることをCybleの研究者が観測した。このことから、このマルウェアが活発であり、急速に広がっていることが示唆されている。詳細不明の.NETローダーを配信するために、スパムメールが使用されている。このローダーは、リモートサーバーから暗号化された有害コンテンツをダウンロードしてそれをローダーのメモリ内で復号し、実行する。同有害コンテンツの実行は、実際のペイロードがディスクに保存されるという工程を経ずにメモリ内で行われるが、これはアンチウイルスによる検出を回避するため。その後、ローダーは、ランサムウェアのバイナリをメモリ内でダウンロード・復号してから実行する。このランサムウェアは、実行時に多数のサービスやプログラム、およびGPS関連プログラムを停止させることから、重要なインフラを扱う組織が標的にされている可能性が示されている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(09 – 15 December 2022)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ