SonicWallのSMA100が認証情報スティーラーの標的に、中国関連アクターが関与か | Codebook|Security News
Codebook|Security News > Articles > Threat Report > SonicWallのSMA100が認証情報スティーラーの標的に、中国関連アクターが関与か

Threat Report

Silobreaker-WeeklyCyberDigest

SonicWallのSMA100が認証情報スティーラーの標的に、中国関連アクターが関与か

山口 Tacos

山口 Tacos

2023.03.10

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

SonicWallのSMA100が認証情報スティーラーの標的に、中国関連アクターが関与か(テクノロジー)

中国との関連が疑われる脅威アクター「UNC4540」が認証情報窃取マルウェアを使ってSonicWall製デバイスSMA100を狙っているのを、MandiantとSonicWallの研究者が確認した。このマルウェアは2021年にデプロイされた可能性が高く、攻撃者は複数のファームウェアアップデートにより持続的なアクセスを行っていると考えられている。現時点では初期アクセスベクターは不明。攻撃ではbashスクリプトを使用してSQLコマンドが実行され、認証情報が盗み出されるほか、TinyShellバックドアを含むさらなるコンポーネントが実行される。また、新たなファームウェアアップデートを常にチェックすること、ZIPファイルにバックドアを設置すること、およびアプライアンスのバイナリを変更することにより、持続性が確保される。

米国上院・下院の関係者の個人データがハッキングフォーラムで売りに出される:DC Health Link(米国)

同社での情報漏洩の後、米国上院・下院の関係者の機微な個人データがハッキングフォーラムに出品された。このデータベースには、氏名、生年月日、住所、メールアドレス、電話番号、社会保障番号などが含まれているとされる。(170,000)

トヨタの顧客関係管理プラットフォームに脆弱性、顧客データへのアクセスが可能な状態に:日本

認証バイパスの脆弱性により、メキシコの顧客の個人情報へのアクセスが可能な状態となっていた。漏洩した可能性のあるデータは、氏名、住所、電話番号、メールアドレス、納税者番号、車両所有履歴など。この脆弱性はその後修正されている。

2023年3月9日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

 

米国

GunAuction

ハッカーグループが同社のWebサイトに侵入し、氏名、自宅住所、メールアドレス、プレーンテキストのパスワード、電話番号などの機微な個人データを流出させた。同データは、特定の個人を、特定の武器売買と結びつけることを可能にするとされている。(550,000)

米国

Hatch Bank

2023年1月29日、ハッカーグループは同社が使用するFortra製のセキュアファイル共有プラットフォーム「GoAnywhere MFT」の脆弱性を悪用した。侵害された情報には、氏名や社会保障番号などが含まれる。(139,493)

米国

チックフィレ

クレデンシャルスタッフィング攻撃により、複数の顧客アカウントが侵害された。これによりハッカーグループは保存されている特典残高を使用し、名前、メールアドレス、保護された支払いカード番号などを含む個人情報にアクセスすることができた。

米国

College of the Desert

2022年7月のマルウェア攻撃により、不特定の個人情報が不正アクセスの対象となった可能性がある。(~800)

米国

モデスト市警察

2023年2月3日に発生したランサムウェア攻撃により、社会保障番号や運転免許証番号などを含む、何名かの個人情報が漏洩した可能性がある。

英国

Vesuvius

ランサムウェアグループVice Societyが、攻撃を実行したと主張し、盗まれたとされるファイルを自身のリークサイトで公開した。

スペイン

Zurcal Group

Stormousランサムウェアは、2023年2月24日にTelegramチャンネル上で、同会社を名指しで標的にしたと主張した。同攻撃者グループは、最初に請求書や図面の画像をリークし、その後、納税者番号を含むファイルを証拠としてさらに流出させた。

ブラジル

Associação de Advogados de São Paulo

同協会が、2023年1月に発生した情報侵害でのデータ流出を否定した後、Ragnar Lockerランサムウェアは200GBの盗まれたとされるファイルをリークした。その一部には個人情報が含まれる。

南アフリカ

複数

公務員調整交渉評議会、一般公共サービス部門交渉協議会、安全・セキュリティ部門交渉協議会は、2023年2月24日から2月28日の間にランサムウェア攻撃を受けた。

米国

オークランド市

Playランサムウェアは、2023年3月1日に同市を自身のリークサイトに追加し、2023年3月4日に盗まれたとされるデータのリークを開始した。侵害された可能性のあるデータには、身分証明書、個人データ、人権侵害を証明するとされる情報などが含まれる。

米国

デンバー公立学区

2022年12月から2023年1月にかけて、権限を持たないアクターが同学区のネットワークからデータを盗み出した。侵害された可能性のあるデータには、氏名、社会保障番号、指紋、銀行口座やクレジットカード番号、学生証番号、運転免許証番号、パスポート番号などが含まれる。

米国

テネシー州立大学

2023年3月1日、同大学がランサムウェアの攻撃の影響を受けたことを学生に通知した。このインシデントにより、大学は学内のすべてのインターネットアクセスを停止したが、学生は自身のメールアカウントや学内のコンピューター室にアクセスすることができた。

カナダ

Medavieブルークロス

2022年11月に発生したサイバー攻撃で、攻撃者が同社の子会社であるManaged Health Care Services Inc.のサーバーにアクセスし、顧客データが影響を受けた。

米国

Preferred Home Care of New York

同ケアプロバイダーが、患者と従業員の個人データに影響を与えた2021年の侵害をめぐって和解に達した。このデータには、機微な健康情報と社会保障番号などの識別子が含まれていた。ランサムウェアグループ「REvil」は以前、同社に対する攻撃へ関与したと主張していた。(92,283)

米国

The Chautauqua Center

システムアップグレード中のエラーにより、保護対象保健情報が公開状態となり、他の事業者がアクセスできるようになった。漏洩したデータには、氏名、一次診断および関連する原因情報、任意追加保険情報などが含まれる。その後、データは保護されている。(747)

米国

ベライゾン

2023年1月に盗まれたとされる情報を含む、一般公開されたデータダンプが、クリアウェブで宣伝された。漏洩した可能性のある情報は、苗字、顧客ハッシュ、使用統計、契約状況、デバイスの種類など。(~9,000,000)

ドイツ

ハンブルク応用科学大学

ランサムウェアグループVice Societyが、同大学を自身のリークサイトに追加した。同大学は、ユーザー名、「暗号論的にセキュアな」パスワード、メールアドレス、携帯電話番号など「大量のデータ」がコピーされたと述べた。

米国

ウェインズボロ市

BianLianランサムウェアグループは、同地方自治体のネットワークに侵入し、約350GBのデータを取得したと主張している。漏洩した可能性のあるデータは、警察に関するファイルで、報告書、犯罪捜査、職員の個人データなどが含まれるという。

インド

HDFC Bank

ハッカーが、7.5GBの盗んだとされるデータをアンダーグラウンドのフォーラムに投稿した。このデータには、フルネーム、生年月日、電話番号、メールアドレス、住所、金銭関連情報などが含まれるという。

スペイン

Hospital Clinic de Barcelona

2023年3月5日に発生したランサムウェアの攻撃により、コンピューターシステムがオフラインとなり、すべての文書が紙ベースで行われることとなったほか、手術や予約がキャンセルされた。この攻撃にはRansom Houseグループが関与していると言われているが、要求は何もなされていない。

米国

Northeast Surgical Group

2023年1月、BianLianランサムウェアが、同社を自身のリークサイトに追加し、2023年2月にデータがリークされた。漏洩した可能性のあるデータは、氏名、住所、社会保障番号、生年月日、医療・治療情報など。(15,298)

オランダ

Attent Zorg en Behandeling

Qilinランサムウェアグループが、パッチが適用されていない脆弱性を悪用して同組織を侵害し、数百ギガバイトのデータを盗んだと主張した。このデータの一部は、同アクターのリークサイトで公開された。漏洩した情報は、社内の機密情報、給与明細、秘密保持契約書、パスポートのコピーなど。

スペイン

グラナダ市議会

GhostSecが、SQLインジェクション攻撃を用いて7GBのデータベースにアクセスし、その後売却したと主張した。ハッカーらが提供したデータサンプルには、一部の個人の個人情報や仕事に関する情報のほか、ユーザー名やパスワードが含まれていた。

米国

Minneapolis Public Schools

ランサムウェア「Medusa」が、同学区をリークサイトに追加し、100万ドルの身代金を支払わなければ盗まれたデータを流出させると脅した。攻撃者はその後、職員の納税申告書、医療貯蓄口座の引き出し、ベンダーとの契約書、求職者の履歴書など、職員や学生の個人データにアクセスする様子を撮影した動画を投稿している。

インド

HDB Financial Services

ハッカーが、2022年5月から2023年2月までのローン情報から成る7.5GBの顧客データをBreachedフォーラムに投稿した。漏洩した可能性のあるデータは、氏名、生年月日、電話番号、メールアドレスなど。

カナダ

Black & McDonald

2023年2月、同エンジニアリング会社が、ランサムウェアの攻撃の標的にされた。オンタリオ・パワー・ジェネレーションは、このインシデントで機微情報が侵害された証拠はないと述べた。Black & McDonaldは、この攻撃を公に認めていない。

ロシア

Voskhod Research

個人データや生体認証の処理、電子パスポートの発行に使用されるデータベースに、ある脅威アクターが侵入した可能性がある。ハッカーは、パスポートデータベースの「数十%」にアクセスした可能性がある。盗まれたとされる情報は、カザフスタンやベラルーシの一部の国民にも影響を及ぼしている。

ヘルスケアに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、ヘルスケア関連の攻撃タイプ

 

各業界の週間概況

各業界に関わる先週のニュースや情報です。

 

政府

Mustang Pandaとの関連が指摘される新しいカスタムバックドア「MQsTTang」を、ESETの研究者が分析した。このバックドアは、2023年1月上旬から行われている進行中のキャンペーンの一部。このキャンペーンの被害者は、ブルガリアとオーストラリアの不特定の組織や台湾の政府機関で、おそらくヨーロッパとアジアの政治関連組織や政府組織も被害に遭っている。このマルウェアはRARアーカイブを介して配布され、おそらくスピアフィッシングによって配布される。攻撃者は、被害者マシン上で任意のコマンドを実行することができ、レジストリのRunキーを作成することで持続性を確保する。

銀行・金融

資金を盗むためにメキシコの銀行のATMを狙う新種のマルウェア「FiXS」を、Metabase Qの研究者が分析した。初期感染ベクターは不明だが、FiXSはPloutusマルウェアと同様の攻撃方法を用いると考えられている。この手法では、攻撃者はATMに外部キーボードを接続する。FiXSは、CEN XFS APIをサポートするすべてのATMを狙うために使用できる。FiXSの出所は不明だが、同マルウェアには、その起源がロシアにあることを示唆するメタデータが含まれている。

小売・ホスピタリティ

RedLine Stealerを使用してホスピタリティ業界を狙うスピアフィッシングキャンペーンを、トレンドマイクロの研究者が発見した。フィッシングメールは、被害者を誘導してDropboxのリンクをクリックさせようとするが、この際、DropboxのリンクへリダイレクトするBitlyで短縮されたURLも使用される。ダウンロードされたZIPファイルにより、パディングされたキャビネットファイル、PowerShellスクリプト、およびMSILファイル・PEファイル・イメージファイルからなる4段階の実行チェーンが開始される。RedLine Stealerは最終的に実行可能ファイルに注入され、そこでシステム情報のほか、ブラウザ、暗号資産ウォレット、VPNアプリケーション、およびインストール済みアプリケーション(Discordなど)のデータを収集する。

暗号資産

安全に実装されていないRedisをXMRigを使って狙う新しいクリプトジャッキングキャンペーンが、Cado Labsの研究者によって発見された。このキャンペーンは、無料かつオープンソースのコマンドラインファイル転送サービス「transfer[.]sh」を利用する。キャンペーンでは、初期アクセス獲得のためにcronジョブのエクスプロイトを利用してRedisの安全でない実装が悪用され、これを使って任意のコードが実行される。このスクリプトは、ハードウェアを確実に有効活用できるようにするための準備作業を行ってから、pnscanとXMRigのバイナリを取得してカスタムXMRigの設定をディスクに書き込む。このキャンペーンで使用される戦術と技術は、過去に、クラウドに特化したグループWatchDogとTeamTNTとの関連を指摘されたことがある。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(03 – 09 March 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ