Google広告を利用してAWSのログイン情報を狙うマルバタイジングキャンペーン

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

テクノロジー：Google広告を利用してAWSのログイン情報を狙うマルバタイジングキャンペーン

Google広告を利用してAmazon Web Services（AWS）のログイン情報を狙うマルバタイジングキャンペーンを、SentinelOneの研究者が発見した。AWSに関連する悪質な広告は、あるホップドメイン（攻撃者が管理するBloggerサイト）に繋がっている。この最初のホップは、その後、第2のドメインにホストされているページへリダイレクトされるが、この2つ目のサイトが実際の認証情報窃取用フィッシングページとなっている。そして被害者が認証情報を入力すると、正規のAWSログインページに誘導する最後のリダイレクトが行われる。このキャンペーンで使用されたblogspotとフィッシングサイトでは、キャンペーンとは無関係の実在するWebサイトからコピーされたソースコードが繰り返し使用されている。フィッシングのドメインはCloudflareで保護されていたが、サービスの悪用を理由にCloudflareはこのアカウントを閉鎖した。

重要インフラ：北朝鮮による医療含む重要インフラ関連組織狙ったサイバー攻撃について、米韓が共同勧告

米国と韓国が発行した共同勧告には、北朝鮮が両国の重要なインフラ事業体（医療分野を含む）への攻撃から「不特定の額」の暗号通貨収入を得ていると警告する内容が記載されている。この活動には、一般に公開されているランサムウェア種のほか、私的に開発されたMauiランサムウェアやH0lyGh0stランサムウェアなどが使用されている。支払われた身代金は、米国および韓国政府に対する攻撃的なサイバー作戦など、北朝鮮の国家レベルの優先事項や目的の達成に直接役立てるために使用されている。

Playランサムウェア、A10 Networksをリークサイトに追加（米国）

2023年1月23日に発生したPlayランサムウェアの攻撃により、人事、財務、法務関連のデータが漏洩した。その後、Playランサムウェアグループは、2023年2月9日に同社を自身のリークサイトに追加し、個人データや技術文書などを盗んだと主張している。

2023年2月16日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

チリ共和国

General Treasury of the Republic of Chile

ハッカーが財務省の同機関のサーバーに持続的にアクセスし、全データベースの内容を入手したと主張。証拠としてスクリーンショット数枚が掲載され、その中の1枚には氏名、生年月日、国籍などの個人情報が含まれているものとみられる。

米国

モデスト警察署

モデスト警察署はネットワーク上で不審な動きを検知した。一部の報道ではランサムウェアの攻撃とされている。

台湾

Phihong Technology

2023年2月9日、LockBitグループが自身のリークサイトに同社を追加した。同グループは、従業員や顧客の個人を特定できる情報を含む機密文書を盗んだと主張している。

米国

Mount Saint Mary College

2022年12月に発生したランサムウェア攻撃を受け、 Vice Societyランサムウェアグループのリークサイトに同大学が追加された。これにより個人情報が流出した可能性がある。

米国

Reddit

Redditの従業員1名がフィッシング攻撃の被害に遭い、認証情報が流出した。漏洩したデータには、同社とやり取りのある人数百名と現在および過去の従業員の連絡先情報のほか、特定の広告主の情報などが含まれている。

米国

The Arc of Essex County

ランサムウェアグループのLockBitは、2023年2月26日を支払い期限とする文言と共に、同児童障害者向けサービスを自身のリークサイトに追加した。

パキスタン

パキスタン医科学研究所

パキスタン公衆衛生カードプログラムのデータが、2022年に同病院から盗まれた。現在、同カードデータは複数の場所に安全に保管されていると報告されている。

インド

Slick

データベースの設定ミスにより、学童を含むユーザーのデータが流出した。流出した可能性のあるデータは、氏名、携帯電話番号、生年月日、プロフィール写真など。

イスラエル

イスラエル工科大学

2023年2月12日、DarkBitと名乗る新たな脅威アクターが、同大学に対するランサムウェア攻撃の犯行声明を出した。

米国

B&G Foods

Daixin Teamは、2023年2月4日に発生したサイバー攻撃でデータを抜き取ったと主張した。これには、企業の内部文書や、生年月日、電話番号など一部の従業員データが含まれる。

複数

LockBitは、メキシコのAvante TextilとブラジルのPolitrizを自身のリークサイトに追加した。またコロンビアのメデジン政府も追加し、名前、電話番号、メールアドレスなどを含む複数のファイルを証拠としてアップロードした。

ウルグアイ

Thomas J. Schandy

Avos Lockerは同社を自身のリークサイトに追加し、100GB分のデータを保有していると主張した。証拠としてリークされたファイルには、履歴書や労働契約書などが含まれる。

米国

カリフォルニア州オークランド市

2023年2月8日のランサムウェアの攻撃により、同市は全システムをオフラインにせざるを得なくなった。緊急サービスの中枢には影響がなかった。

米国

Highmark Inc

2022年12月13日から12月15日にかけて、従業員1名のメールアカウントがフィッシング攻撃で漏洩し、データ侵害が発生した。攻撃者は、購入者の氏名、社会保障番号、金融口座情報、保険情報、保護対象保健情報へのアクセスを獲得した。（~300,000）

米国

Garrison Women’s Health

同医療機関は、2022年12月12日頃、自身のITベンダーの1つであるGlobal Network Systemsが第三者による不正アクセスを受けたことにより、データ侵害に遭った。漏洩した可能性のあるデータには、予約記録や個人の医療情報などが含まれる。（4,158）

マレーシア

ペナン州政府

ハッカーが、同政府の公式サイトから盗まれたとされるデータをBreachForums上に投稿した。同データは60万行以上からなり、ユーザー名、パスワード、フルネーム、メールアドレス、セキュリティ関連のキーなどが含まれているとされる。州執行評議員のZairil Khir Johari氏は、流出したデータは古いデータベースを出どころとするものであると述べた。

米国

CentraState Medical Center

2022年12月、医療供給者に対するランサムウェア攻撃により、同センターの機微な患者情報が盗まれた。これには、氏名、住所、生年月日、社会保障番号、健康保険情報、医療記録、患者のアカウント番号が含まれる。

インド

PokerBaazi

同社のサーバーの設定ミスにより、6GBを超えるデータが2か月以上にわたって公開状態になった。公開状態だったデータには、名前、メールアドレス、位置情報、OAuthトークン、内部ログが含まれると報告されている。

米国

Regal Medical Group

同医療機関が、複数の提携医療グループに影響を与えるランサムウェア攻撃を受けた。これらの提携医療グループは、Lakeside Medical Organization、Affiliated Doctors of Orange County、Greater Covina Medical Groupを含む。流出した可能性のあるデータは、氏名、電話番号、社会保障番号、住所、生年月日、診断・治療情報など。（3,300,000）

米国

Edmonds School District

同学区では、2023年1月16日から1月31日の間に権限を持たないアクターが情報へのアクセスに成功し、データ侵害が発生した。漏洩した可能性のある情報は、氏名、社会保障番号、運転免許証番号、生年月日、学生証番号、財務・医療情報、および指導要録を含む。

アイルランド

Munster Technological University

ALPHVが、同大学を自身のリークサイトに追加し、その後、盗まれたとされる6GB超のデータを漏洩させた。伝えられるところによると、同データには、職員の医療診断と学生の銀行口座情報が含まれるとのこと。

米国

Bridgewater-Raritan Regional School District

2022年12月10日から12日にかけてのデータ侵害により、同学区の保険制度に加入している学区職員等の氏名と社会保障番号が流出した。

米国

The Center for Autism and Related Disorders（CARD）

2023年1月24日、あるサードパーティベンダーの誤操作により、特定の介護士が無関係の患者に対するサービスの請求書を受け取るという事案が発生した。流出した情報は、氏名、CARDの内部参照番号、支払い履歴を含む。

米国

ペプシ・ボトリング・ベンチャーズ

2022年12月23日、同社でネットワーク侵入が発生し、情報窃取型マルウェアがインストールされた。漏洩したデータには、フルネーム、住所、金融口座情報、運転免許証番号、社会保障番号などが含まれる。

トンガ

Tonga Communications Corporation

ランサムウェアグループ「Medusa」が、同国営企業に対する攻撃の犯行声明を出した。この攻撃では、同社のシステムの一部が暗号化され、アクセスがロックされた。

複数

ランサムウェアグループ「LockBit」が、自身のダークウェブのリークサイトに、新たに被害を受けた会社3社を追加した。これには、アルゼンチンの石油・ガス会社「Grupo Albanesi」、インドの化学メーカー「SRF」、およびアメリカのコンビニエンスストアチェーン「CEFCO」が含まれる。

ブラジル

CSE

アケル・ソリューションズの子会社である同社が、サイバー攻撃により影響を受けた。同攻撃のハッカーは、同社のITシステムにアクセスし、特定のファイルを暗号化し、データへのアクセスをロックしたと主張している。

米国

複数

2022年12月2日、Arizona Priority CareおよびAZPC Clinicsが、サイバー攻撃を受けた。同攻撃では、系列企業に関するデータを抽出するためにマルウェアが使用された。漏洩した可能性のあるデータは、氏名、生年月日、住所、治療日および治療情報、サービス承認番号、医療保険番号を含む。（10,978）

米国

Brooks Rehabilitation

ユーザーが同社のWebサイト経由で情報を提供した際に、追跡技術ベンダーらは個人を特定できる健康情報を取得することができた。漏洩した可能性のあるデータは、氏名、電話番号、メールアドレス、IPアドレスなどを含む。（~1,554）

米国

Minuteman Senior Services

2022年11月21日から30日にかけて、何者かが同社の従業員のメールアカウントにアクセスした。漏洩した可能性のあるデータは、氏名、住所、生年月日、健康保険情報などを含む。

米国

Xavier University of Louisiana

同大学が、2022年11月に発生したランサムウェア攻撃を受け、データ侵害を受けた。同攻撃者は、フルネームや社会保障番号などの機密情報にアクセスした。（44,312）

中国

複数

Telegram上で宣伝されていた検索ボットが、435GBのデータベースを有していたとされる。同データベースは、Eコマースや速達プラットフォームに関する45億件分の個人情報を含む。流出の原因や、どの宅配業者に関するデータなのかは、不明のまま。

マレーシア

マレーシア政府

元運輸大臣が、新しく始まったMyJPJアプリのセキュリティ機能が貧弱であるため、3,300万人分（1,600万人分の運転免許保持者を含む）の国民データが危険にさらされていると発言した。

米国

カリフォルニアノースステート大学

同大学が、証拠としていくつかのファイルと共に、ランサムウェアグループ「AvosLocker」のリークサイトに追加された。同ファイルは、大学の全職員393人分の源泉徴収票を含む。また、攻撃者は、名前、社会保障番号、生年月日、住所、メールなど、すべての学生の入学データを盗んだとも主張した。

米国

Dorben Group

2023年2月7日、ハッカーフォーラム上で同社の顧客の詳細情報が流出した。流出したデータベースは2022年9月のものとされ、顧客のフルネーム、メール、電話番号、住所を含む。（790,000）

重要インフラに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の攻撃タイプを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政府

南米の外交機関を標的とした活動群を、マイクロソフトが確認した。これは、「DEV-0147」と呼ばれる中国に拠点を置くサイバースパイアクターによる活動とされる。この活動は、従来ヨーロッパやアジアの政府機関やシンクタンクを標的としていた同グループによるデータ抜き取りオペレーションの拡大版。DEV-0147は、ShadowPadやQuasarLoaderなど、実績あるハッキングツールを使用してターゲットに侵入し、持続性を確立する。侵入後に行われるのは、オンプレミスのIDインフラの悪用や、Cobalt Strikeの使用といった活動。初期アクセスの手法は、フィッシングを仕掛けることや、パッチ未適用のアプリケーションを狙うことなどであると思われる。

ヘルスケア

Clopランサムウェアグループは、GoAnywhere MFTの最近修正されたゼロデイ脆弱性（CVE-2023-0669）を悪用して、米国のヘルスケアプロバイダーを含む130以上の組織からデータを盗んだと主張している。このグループにとっては、被害者のネットワーク内でラテラルムーブメントを行ってランサムウェアを展開することも可能だったが、その主張によると、侵害されたサーバーからドキュメントを盗むのみにとどめたとのこと。現時点で確認されている被害者には、米国最大の病院チェーンの1つであるテネシー州のCommunity Health Systemsが含まれている。

暗号資産

正体不明のアクターがランサムウェアMortalKombatと、マルウェアLaplas ClipperのGo言語版亜種を展開し、個人や中小企業、および大規模組織から暗号通貨を盗んだり身代金の支払いを要求したりしていることを、Cisco Talosの研究者が観測した。MortalKombatは2023年1月に初めて観測されたランサムウェアで、被害者とのやり取りにqTOXを使用する。同ランサムウェアは、コードの類似性、クラス名、および特定の文字列から、Xoristファミリーに属しているだろうと高い確度で評価されている。またLaplas Clipperの作者は、実行可能ファイルおよびDLLとして利用可能なC++版亜種など、新しい亜種を積極的に作成している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(10 – 16 February 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/