Dole（ドール）にランサムウェア攻撃か、北米の生産がストップ

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Dole（ドール）にランサムウェア攻撃か、北米の生産がストップ（米国）

ドールがサイバー攻撃を受けた。このインシデントに詳しい関係者は、ランサムウェアが関与していると述べた。ドールは、北米の生産工場の操業と、食料品店への食品の出荷を一時的に停止している。

チェックアウトページからの情報窃取狙うMagecartキャンペーン（小売）

チェックアウトページから秘密情報を盗み出そうとする巧妙なMagecart（Webスキミング）キャンペーンを、Akamaiの研究者が発見した。攻撃者は、標的となったWebサイトの脆弱性を悪用し、Googleタグマネージャーのコードスニペットに似た有害なインラインJavaScriptコードを注入していた。これにより攻撃者は、有名なベンダーを悪意あるコードの隠れ蓑とし、正規のスクリプトに見せかけることができる。悪意あるコード全体はC2通信にWebSocket接続を使用しており、高度に難読化されている。

ドイツの複数空港にDDoS攻撃、Anonymous Russiaが犯行声明（重要インフラ）

2023年2月16日、ドイツのデュッセルドルフ、ハノーファー、ドルトムント、エルフルト・ワイマール、ニュルンベルク、バーデンバーデンの各空港が分散型サービス拒否（DDoS）攻撃を受け、一時的にWebサイトが利用できない状態になった。空港の他のシステムは影響を受けなかった。この攻撃に関して、その後、Anonymous RussiaがTelegramチャンネルを通じて犯行声明を出した。

2023年2月23日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

英国

Succession Wealth

2023年2月8日、同社がサイバー攻撃の標的になったことが判明した。顧客情報への侵害の有無は不明である。

米国

アトラシアン

ハッカーグループSiegedSecが、Telegram上で、数千人の従業員記録が含まれているとされる同社のデータを流出させた。同社はサードパーティベンダーでの侵害について認めたが、その後、顧客データは侵害されていないと主張した。

複数

LockBitランサムウェアの運営者は、メキシコの企業「Financiera Reyes」から盗まれたとされるデータを流出させた。その中には個人情報を含む文書も含まれていた。LockBitはスペインの企業「Montibello」も追加したが、証拠となるようなデータはリークされなかった。両社は、このリークデータとされるものにまだ対処していない。

ブルガリア

MyQRCode

Webサイトの設定ミスにより、フルネーム、役職、メールアドレス、電話番号などを含む128GBのデータが同社から流出した。毎日新しい記録で頻繁にデータが更新されているため、漏洩は続いているものとみられる。同社は、この漏洩にまだ対処していない。（67,000）

米国

ファニン郡

ジョージア州の同郡がランサムウェア攻撃を受け、政府の業務に影響が及び、コンピューターシステムをオフラインにせざるを得なくなった。9-1-1オペレーションや緊急通報など必要不可欠なサービスは影響を受けていない。

英国

Amazon

2022年5月に招待メールを通じて、英国の倉庫作業員の個人メールアドレスが不注意により流出した。同社は、顧客データは含まれていないと断言している。（>1,000）

米国

Reventics

Royalランサムウェアは、2022年12月に発生した攻撃は自身によるものであると主張し、その証拠として16GBのファイルを自身のリークサイトに投稿した。Royalは、これは抜き取ったファイル総量の10%に過ぎないと主張した。侵害された可能性のあるデータには、姓名、生年月日、医療機関名と住所、医療保険名などが含まれる。（1,027）

米国

Edgepark Medical Supplies

2022年11月、同社のマーケティングプロバイダーでハッキングインシデントが発生した。侵害された可能性のあるデータには、患者の氏名、メールアドレス、電話番号、プロバイダー情報、診断、出産予定日、健康保険情報などが含まれる。（54,509）

米国

mscripts

クラウドサーバーが6年間保護されないまま放置され、Costco Wholesale Corporation、Meijer、Giant Eagle Inc、Banner Health、Brookshire Brothersの薬局の患者データが流出した。侵害された可能性のあるデータには、処方箋や健康保険の情報、生年月日、電話番号、住所などが含まれる。（66,372）

英国

Liverpool University Hospitals NHS Foundation Trust

氏名、性別、民族、住所、国民保険番号、給与など、スタッフの個人情報が、数百人の管理職に誤って出回った。（14,000）

米国

Paul Smith’s College

2022年8月に権限を持たない者が同大学のコンピューターシステムにアクセスした。同攻撃者は、氏名や社会保障番号など、学生や職員が所有する情報にアクセスすることができた。

米国

Des Moines Public Schools

ランサムウェアの攻撃によりデータが侵害され、どのような情報が影響を受けたのかや、誰が影響を受けたのかについて調査が進められている。

ポルトガル

Aguas do Porto

LockBitランサムウェアグループは、同社を自身のリークサイトに追加したが、証拠となるサンプルはまだ公表されていない。同社は、侵害により影響を受け調査中であるが、水の供給と衛生には影響がないことを明らかにした。

米国

Lehigh Valley Health Network

BlackCatランサムウェアによる攻撃で同社が標的になった。同インシデントによる業務への支障は出ておらず、ペンシルバニア州にある1つの医師診療所をサポートするネットワークが標的となった模様。現在、BlackCatのリークサイトでの通知はない。

中国

Cutout[.]pro

同アプリのサイトで、オープンなElasticsearchインスタンスを介して、ユーザーが作成したコンテンツが流出した。これには、2,200万件のログエントリ、顧客のユーザー名や画像、さらにユーザーのクレジット数などの情報が含まれていた。公開されたインスタンスはその後保護されている。

英国

Lagan Specialist Contracting Group

同社は最近、サイバーインシデントに見舞われた。同社はLockBitグループのリークサイトに追加された。同グループは、同社に対し、身代金の支払いについて2023年2月28日を期限とした。

インド

RailYatri

ハッカーが、インドの鉄道乗車券を発券するプラットフォームから盗まれたデータを、BreachForums上にリークした。これには、メールアドレス、フルネーム、性別、電話番号、位置情報が含まれる。（31,062,673）

複数

データセンター企業であるGDSホールディングスとSTテレメディア・グローバル・データセンターズに属する認証情報が、Breachedフォーラム上で公開された。公開したハッカーは、これらの会社の顧客2,000人分の認証情報にアクセスしたとされる。顧客に含まれるのは、アリババ、アマゾン、アップル、BMW AG、ゴールドマン・サックス、ファーウェイ、ウォルマート、マイクロソフトなど。漏洩した可能性のある情報は、メール、携帯電話、IDカードを参照した記録、顧客データベースなどを含む。

米国

Aviacode

ランサムウェアグループ0megaが、同アクターが盗んだと主張する同社の200GBのデータをダンプした。同データは同社の従業員の給与情報のほか、場合によってはパスワードを含む。同ダンプファイルには、契約者の名前、住所、生年月日、政府から発行されたIDなどの詳細、および解雇された従業員の身元調査に関する詳細も含まれていた。

中国

OyeTalk

同社のアプリが使用するデータベースが、公にアクセス可能なまま放置され、ユーザーのプライベートデータや会話が公開状態となった。これらは、500MB以上の暗号化されていないチャット、ユーザー名、国際移動体装置識別番号を含む。

米国

国防総省

マイクロソフトの政府機関向けクラウドAzureでホストされているサーバーの設定に誤りがあり、記入済みのアンケート用紙などのファイルが公開状態となった。これらのファイルには、セキュリティ・クリアランスを受けようとしている個人の機微な情報や健康情報が含まれる。

米国

DAT Freight & Analytics

同社の少数の顧客アカウントで異常な行動が確認された。侵害の正確な内容は不明だが、顧客はパスワードのリセットを余儀なくされている。

カナダ

Sobeys

2022年11月に名称不明の第三者が同社のサーバーにアクセスし、当時、これはBlack Bastaランサムウェアとして報告された。Sobeysは、この攻撃に誰が関与しているのかやランサムウェアが関与しているかどうかについては明言していないが、顧客や従業員の個人情報に影響があったことを確認した。

米国

レイクウッド市

BlackCatランサムウェアが、同市をリークサイトに追加し、250GB相当以上のデータを盗んだと主張している。同アクターは、データをダウンロードするためのリンクを共有した（同データについて、被害者との交渉は不可能だと言及している）。また、被害を受けた可能性のある企業に対して、同市を訴えるように促した。

米国

テイジン・オートモーティブ・テクノロジーズ

2022年12月1日、同社の従業員に対するフィッシング攻撃が成功し、ランサムウェア攻撃が発生した。侵害された現従業員と元従業員のデータには、連絡先、生年月日、社会保障番号、健康保険契約情報、および一部の銀行情報が含まれる。（25,464）

オーストラリア

The Good Guys

以前のサードパーティサプライヤーの権限のないユーザーによって、同社の顧客の詳細情報が不正にアクセスされた。漏洩した可能性のあるデータは、氏名、住所、電話番号、メールアドレスを含むほか、一部の顧客については、暗号化されたパスワード、生年月日を含む。

カナダ

Future Buildings

ランサムウェアグループ「ALPHV」が、150GBの機微データを盗んだと主張しており、その証拠としてスクリーンショットがリークサイトに掲載されている。漏洩した可能性のある情報は、顧客、パートナー、従業員の個人情報を含む。

政府に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

政治

中国関連のさまざまな高度持続的脅威（APT）アクターの活動について警告する内容の共同アドバイザリを、欧州ネットワーク情報セキュリティ庁（ENISA）とCERT-EUが発表した。APT27、APT30、APT31、Ke3chang、GALLIUM、Mustang Pandaを含むこれらのアクターは最近、EU内の企業や政府に対して悪質なサイバー活動を行っていた。

ヘルスケア

新たな脅威アクター「Hydrochasma」を、シマンテックの研究者が発見した。同アクターは遅くとも2022年10月以降、アジアの海運会社や医療研究所を標的としてきた。このキャンペーンの目的はおそらくインテリジェンス収集で、同グループはCOVID-19関連の治療やワクチンに関わる産業に関心を抱いている可能性がある。Hydrochasmaは、環境寄生型（living-off-the-land）攻撃のほか、Fast Reverse ProxyやMeterpreterなどのオープンソースのツールのみを利用している。観測されたすべてのツールからは、同グループが持続的かつ検知されにくいアクセスの獲得を目的としていることが示唆されている。また、特権を昇格させたり、ラテラルムーブメントを行おうとする取り組みも見受けられた。

テクノロジー

2020年以降、東南アジアの電気通信、テクノロジー、メディア部門を標的にしている新たなハッキンググループ「Earth Zhulong」を、トレンドマイクロの研究者が特定した。このグループは、中国とのつながりがあるハッキンググループ「1937CN」に関連している可能性が高く、初期アクセスにはマクロが有効化されたドキュメントを含むフィッシングメールを使用する。同グループは、ShellFangと名付けられたカスタムシェルコードローダーを展開し、ShellFangはHTTPS Cobalt Strikeビーコンを配布する。感染したホストで見つかった他のツールには、Python向け情報窃取型マルウェアや、Go言語マルウェア「MACAMAX」などがある。また、このグループは、ネットワーク侵入ツール「EarthWorm」も使用していた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(17 – 23 February 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/