ION GroupがランサムウェアLockBitによる攻撃受ける

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

ION GroupがランサムウェアLockBitによる攻撃受ける（アイルランド）

2023年1月31日、ランサムウェアLockBitによる攻撃が発生した。現在、この攻撃の影響について判定するための調査が行われている。

Google FiでTモバイルへのサイバー攻撃に関連するデータ侵害が発生（米国）

Tモバイル社に対する最近のサイバー攻撃に関連する可能性のある侵害により、電話番号、アカウントステータス、SIMカードのシリアル番号などが漏洩した可能性がある。

PoSマルウェアPrilexに、非接触型決済をブロックするオプションが加わる：銀行・金融

PoSマルウェアPrilexの3つのバージョンを、カスペルスキーの研究者が確認した。これらのバージョンは非接触型決済をブロックすることができる。同マルウェアには、NFCベースの取引でしばしば生成される固有のIDまたはカード番号を利用して非接触型の取引をブロックするオプションが追加されている。Prilexがこのような取引を検知してブロックすると、PINパッドに偽のエラーメッセージが表示され、ユーザーにカードを挿入するよう促す。これによりマルウェアは、GHOST攻撃や暗号の操作などの手法を用いて取引データを取得することができる。また、Prilexは、カードに高額な取引限度額が設定されている場合のみカードデータのキャプチャを指定するというルールをベースにしたファイルを実装することも可能。

2023年2月2日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

インド

Solar Industries India

ランサムウェアグループ「BlackCat」は、同爆発物製造業者をリークサイトに追加し、2TBのデータを盗んだと主張した。この中には、兵器に関する機密文書や、従業員や顧客の個人情報などが含まれているとされている。

米国

DuoLingo

ハッカーが、公開されたAPIからEメール、電話番号、受講コースなどを含むデータを入手したと述べた。DuoLingoはその後、侵入やハッキングは発生せず、当該記録は、公開のプロフィール情報をスクレイピングすることによって得られたものであると主張した。（2,600,000）

米国

Lutheran Social Services of Illinois

2022年1月27日に発生したランサムウェア攻撃により、氏名、生年月日、社会保障番号、金融口座情報、運転免許証番号、生体情報などを含むデータが流出した可能性がある。（184,000）

米国

チャーター・コミュニケーションズ

脅威アクターである「IntelBroker」は、2023年1月26日にハッキングフォーラムに同社を追加し、顧客名、アカウント番号、住所などを盗んだと主張した。同社はその後、同社のサードパーティベンダーの1社がセキュリティ侵害に遭ったと公表した。（550,000）

フィリピン

教育省

「Pigeon」と名乗るハッカーは、同省のAzure Active Directoryダッシュボードにアクセスし、デバイスデータやグループデータなど、複数の種類のデータへのアクセスを取得したと主張した。（~1,400,000）

米国

ストラトフォード大学

2022年8月26日、同大学がランサムウェアの攻撃を受けたことにより、データ漏洩が発生した。漏洩した可能性のあるデータには、氏名、電話番号、住所およびメールアドレス、生年月日、学生証番号、パスポート番号、および社会保障番号が含まれる。（78,692）

英国

JD スポーツ・ファッション

サイバーインシデントにより、2018年11月から2020年10月までに取引があった、JD Sports、Size?、Millets、Blacks、Scotts、MilletSportブランドの顧客データが流出したことが判明した。流出したデータは、氏名、請求先住所、配送先住所、メールアドレス、電話番号、注文内容、ペイメントカードの下4桁で構成されている。（10,000,000）

カナダ

Westmont Hospitality Group

「ALPHV」ランサムウェアギャングは、2022年12月に同社に侵入し、262GBのデータを取得したと主張している。このデータには、財務および企業文書、顧客データ、従業員契約書、アーカイブまたは企業メールなどが含まれる。

米国

ターゲット・コーポレーション

脅威アクター「IntelBroker」は、ハッカーフォーラムに顧客情報のデータベースを掲載した。伝えられるところによると、同データベースの中には氏名、店舗の住所、取引情報、RedCardsに関する情報などが含まれている。（800,000）

台湾

Hotai Motor

保護されていないデータベースから、フルネーム、電話番号、メールアドレス、住所、運転免許証の写真、一部修正されたクレジットカード情報、顧客の本人確認書類など、iRentの顧客データが流出した。（100,000）

米国

ヒルトン・ホテルズ

IntelBrokerは、ヒルトン・ホテルズ・オナーズ・プログラムに参加している個人の情報を含むとされる2017年のデータベースを掲載しており、伝えられるところによると、そこには名前、住所、オナーズIDなどが含まれている。（3,700,000）

カナダ

オカナガンカレッジ

ランサムウェアグループ「Vice Society」は、住所や組合の苦情、戦略文書などを含むデータをリークサイトに公開した。同グループは以前、同大学からログイン情報、パスワード、社会保障番号、クレジットカード番号などのデータを入手したと主張していた。

米国

Atlantic General Hospital

メリーランド州の同病院は、2023年1月30日に、詳細不明のランサムウェア事象によりネットワーク障害が発生したと述べた。

ブラジル

Instituto Federal Do Pará

BlackCatランサムウェアが、職員や学生の個人情報が写っているとされる流出ファイルのスクリーンショットとともに、同機関をリークサイトに追加した。

オーストラリア

オーストラリア国立図書館

ユーザーの同国立図書館やTroveのログイン情報が流出した。これには、ユーザー名とパスワードが含まれていた。（~300）

米国

Indianapolis Housing Agency

2022年9月のランサムウェア攻撃で、個人情報が流出した。流出したデータには、氏名、住所、生年月日、社会保障番号が含まれる。（212,910）

フランス

Appui Santé Nord Finistère

同協会がランサムウェアによるものと疑われる攻撃を受けた。これにより、個人情報の機密性に影響が及ぶ可能性がある。一部のアーカイブが削除されたほか、同協会はアーカイブデータおよびアカウント管理会社にアクセスできなくなった。

ロシア

Convex

ハッキンググループCAXXIIは、ロシア政府がGreen Atomというプロジェクトのもとで大規模な国内監視活動を行っていることを明かす内容だとされる128GBのドキュメントをダンプした。データには、住所、個人的な連絡先、MySQLやFTPのパスワード、銀行口座、パスポートなど、数千人の市民に関する情報が含まれている。

米国

Nantucket Public Schools

1月31日、ランサムウェアの攻撃を受けて、Nantucketのすべての公立学校が休校となった。

オーストラリア

Mount Lilydale Mercy College

不正アクセスにより、保護者のクレジットカード情報（CVV番号を含まない）が流出したことが確認された。（~400）

米国

PBS KVIE

LockBitランサムウェアは、2023年1月30日に同社をリークサイトに追加した。同グループは、盗まれたとされるデータを2023年2月13日に流出させる、と脅迫した。

米国

Morgan Hill Unified School District

2022年9月11日から10月11日にかけて、職員のメールアカウントへの不正アクセスが発生した。どのような種類のデータが影響を受けた可能性があるかは、まだ不明。

英国

Arnold Clark

2022年12月23日、Playランサムウェアの攻撃により情報漏洩が発生した。漏洩した可能性のあるデータには、氏名、連絡先、生年月日、自動車情報、パスポートや運転免許証などの身分証明書、銀行口座情報が含まれるほか、一部の限られたケースでは国民保険番号が含まれる。

米国

San Benito Consolidated Independent School District

2022年4月8日から10月10日にかけて発生したKarakurtのランサムウェア攻撃により、現在および過去の職員と学生の秘密情報に影響を与えるデータ侵害が発生した。（21,653）

カナダ

Running Room Canada

2022年11月19日から2023年1月18日の間に、同社のオンラインショップのチェックアウトに権限のないグループがアクセスした。攻撃者は、Eメール、名前、住所、電話番号、クレジットカード情報など、サイトに入力された特定の情報をスキミングした可能性がある。

米国

Bank of Eastern Oregon

2022年9月8日から9月14日にかけて、権限のない第三者が職員のメールアカウント2件にアクセスした。これらのアカウントには、顧客の秘密情報が含まれていた。

米国

The Members Trust of the Southwest Federal Credit Union

権限のない第三者が消費者の個人情報にアクセスした。これには、氏名、住所、社会保障番号、運転免許証番号、金融口座情報、保護対象保康情報が含まれる。

米国

Jefferson County Health Department

サイバー攻撃により、権限を持たない者が患者の秘密情報にアクセスした。これには、氏名、社会保障番号、特定の医療情報が含まれる。

米国

Satellite Healthcare

権限のない第三者が、患者の秘密情報にアクセスした可能性がある。これには、氏名、金融口座情報、保護対象保健情報が含まれる。

米国

Matco Tools Corporation

2022年3月1日頃、権限を持たない者が消費者の秘密情報にアクセスした。このインシデントにより、氏名や社会保障番号などが漏洩した。（14,342）

重要インフラに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

テクノロジー

脅威アクターらが最近ハイテク業界で解雇が相次いでいることに乗じて偽の求人ポータルを使って求職者を狙い、情報を盗み出そうとしていることを、Zscalerの研究者が観測した。現在行われているある詐欺では、正規の求人を使ってLinkedInのユーザーを狙っているが、応募のためのリンクは攻撃者が管理する求人ポータルにつながっている。そして、応募者は、個人情報に関するアンケートへの記入と身分証明書のコピーを要求される。その後、偽のSkype面接が行われてから、被害者は入社手続きのように思えるプロセスを行うことになる。このプロセスの間に、被害者はIT機器の送料を要求される恐れがある。また、この詐欺師は、社会保障番号や銀行口座の情報も要求する。

政府

戦略的情報を得ることを目的に大使館や大使を狙うキャンペーンの一環としてマルウェアドロッパーGraphicalNeutrinoを使用する脅威アクターBlueBravoを、Insikt Groupの研究者が特定した。この活動には、ロシアの対外情報庁との関連が指摘されるAPT29およびNOBELIUMが採用している戦術、技術、手順との重複が見られる。これには、EnvyScoutの活動で見られたのと同様のGraphicalNeutrinoのステージングと展開（HTMLスマグリング技術が使用されている）が含まれる。さらに、BlueBravoは、Trello、Firebase、Dropboxなどのオンラインサービスをかつて使用していたのと同様に、合法のビジネスホスティングサービスであるNotionを使用して、自らの活動を不明瞭にさせている。

ヘルスケア

ロシアのハッカーグループKillnetは最近、米国の少なくとも14の病院のWebサイトなどに対し、複数の分散型サービス拒否（DDoS）攻撃を実行した。また、同グループのTelegramチャンネルには、米国の医療セクターにおけるさらなる標的のリストが投稿された。この攻撃を受けて、米国保健医療セクター・サイバーセキュリティ調整センター（HC3）がこの脅威についての警告を発し、かつて存在したContiのような他の親ロシア派グループが支援を提供する可能性があることなどを伝えた。これにより、Killnetの標的となった組織は、恐喝の手段としてのランサムウェア攻撃やDDoS攻撃を受ける可能性がある。

重要インフラ

脅威アクターUAC-0010が、ウクライナの公的機関や重要な情報インフラに対する標的型攻撃でGammaLoadおよびGammaSteelスパイウェアを使用していた最近のキャンペーンについて、ウクライナ国家特殊通信・情報保護局（SSCIP）が詳しく報告した。SSCIPは、この活動はクリミアにあるウクライナ保安局の元役員によって行われていると評価した。攻撃者は検出不能な状態を維持しようと、着実に戦術を改善し、スパイウェアを修正している。現在進行中のこの活動では、初期アクセスベクターとしてスピアフィッシングメールが使用され、多段階のダウンロード手法が使われている。最終的なペイロードは、感染したホストの制御を維持するために使用される。なおPowerShellペイロードは3種類確認されている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(27 January – 02 February 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/