オーディオテクニカがLockBitのリークサイトに追加される

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

オーディオテクニカがLockBitのリークサイトに追加される（日本）

LockBitランサムウェアは、同機器メーカーを自身のリークサイトに追加し、支払い期限を2023年3月26日と提示した。

脅威アクターYoroTrooperがCIS諸国の政府・エネルギー部門を標的に

遅くとも2022年6月から続いている複数のスパイ活動およびデータ窃取キャンペーンをCisco Talosの研究者が分析し、これらのキャンペーンはYoroTrooperという新たな脅威アクターによるものだと指摘している。YoroTrooperは独立国家共同体（CIS）諸国の政府とエネルギー部門をターゲットにしているほか、2つの国際組織も被害者として確認された。このグループは、初期感染にフィッシングメールを使用し、添付のアーカイブ文書に隠されたLNKファイル経由でマルウェアを配布する。同グループのツールには、Stinkスティーラーなど、Pythonベースのカスタムかつオープンソースの情報スティーラーが含まれる。これらのスティーラーは、NuitkaフレームワークおよびPyInstallerによって実行ファイル内にまとめられている。また、AveMaria、LodaRAT、Meterpreterなどのコモディティマルウェアを利用してリモートアクセスが実現される。

「ドイツ銀行から盗まれたとされるデータを所有している」とハッカーが主張

BreachForumsのユーザー「Alliswell」が、LockBitランサムウェアグループによって同銀行から盗まれたとされる60GBのデータを所有していると主張した。このデータには、工員の情報のほか、シティバンクの口座やHSBCの高位幹部の口座2件の詳細が含まれているという。

2023年3月16日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

Cerebral Inc

同社のモバイルアプリケーションおよびWebサイトにおけるトラッキング技術の使用により、顧客情報が侵害された。侵害された可能性のある情報には、氏名、電話番号、メールアドレス、生年月日、IPアドレス、臨床情報などが含まれる。（3,179,835）

米国

AT&T

匿名のマーケティングベンダーがサイバー攻撃を受け、無線通信のアカウントに関連するデータが流出した。被害を受けたデータは、資格を決定するために使用される情報を含むと言われており、「何年も前のもの」とされている。機密性の高い個人データや財務情報にはアクセスされていない。（~9,000,000）

ブラジル

Grupo Hospitalar Vida

LockBitランサムウェアは、同社を自身のリークサイトに追加し、身代金の支払い期限を16日間と提示した。

米国

ZOLL Medical

2023年2月2日もしくはその日の前後に、同院の患者データが攻撃により侵害される結果となった。侵害された可能性のあるデータには、氏名、住所、生年月日、社会保障番号などが含まれる。（1,004,443）

米国

Florida Medical Clinic

2023年1月9日もしくはその日付近に発生したランサムウェアインシデントにより、個人情報を含む94,132件のファイルが侵害された。そのうちの95%は個人の氏名のみを含むものだった。残りのファイルには、医療情報、電話番号、メールアドレス、生年月日、住所が含まれており、115件の社会保障番号も侵害された。

米国

The Bone & Joint Clinic

同社は2023年1月16日に「ネットワーク障害」の被害にあった。侵害された可能性のあるデータには、氏名、生年月日、社会保障番号、自宅住所、電話番号、医療情報などが含まれる。

米国

California Secretary of State

1908年から1979年にかけて実施された同州の強制不妊手術プログラムに関する個人情報が、2022年12月に不注意で1人の研究者に共有された。侵害された情報には、氏名、生年月日、家族史、家族の病歴、医療情報などが含まれる。

米国

Codman Square Health Center

2022年11月、ランサムウェア攻撃により、権限を持たない者によるアクセスが可能となり、同会社のネットワークから複数のファイルが抜き取られた。侵害された可能性のあるデータには、氏名、住所、保護対象保健情報が含まれる。

チリ

FONASA National Health Fund

BlackCatランサムウェアは、最近の攻撃の実行を主張し、証拠として複数のスクリーンショットを提供した。侵害された可能性のあるデータには、医療受給者の氏名と住所、従業員の氏名、身分証明書、署名が含まれる。

ペルー

Autoridad para la Reconstrucción con Cambios

2023年3月9日もしくはその日付近に、Dark Powerという新たな脅威アクターが、同復興当局を自身のリークサイトに追加し、Tox経由で同ファイルをダウンロードするには連絡を入れるようにユーザーを誘った。

エクアドル

保健省

脅威アクターKelvinSecurityは、2023年3月5日に「COVID-19」と呼ばれるデータベースを人気フォーラムに投稿した。侵害された可能性のあるデータには、氏名、性別、生年月日、電話番号、民族、国籍、予防接種の詳細などが含まれる。同省は侵害の事実を否定している。

米国

ハワイ州保健局

攻撃者は、非アクティブ化されていなかった元外部医療認証者のアカウントを使用し、1998年から2023年の間に死亡した個人に属する記録にアクセスした。同データには、氏名、社会保障番号、住所、性別、生年月日、死亡日、死亡場所、死因が含まれていた。（3,400）

イタリア

BMW Italy

同社のWebサイト上の保護されていない環境により、ビジネスおよび顧客データを流出させた可能性があった。BMW Italyが収集した顧客データには、氏名、住所、電話番号、メールアドレス、車両の詳細などが含まれる。その後、同データは保護されている。

パキスタン

Institute of Space Technology

同大学は、ランサムウェアMedusaのブログに追加され、同グループから最大50万ドルの身代金を要求された。同グループは証拠として、パスポート、給与明細書、分析の詳細などの機密情報を含むサンプルを掲載した。

米国

University of North Carolina at Chapel Hill

同大学が、1099雑所得支払調書を誤って複数の宛先に送付したことにより、職員の個人情報が流出した。流出したデータには、氏名、住所、社会保障番号、納税者番号などが含まれる。（1,025）

米国

PeopleGrove

社内のデータベースをホストする保護されていないサーバーが、パスワードなしでアクセスできるようになっていた可能性がある。同データベースには、メールアドレス、電話番号、住所、履歴書など、数ギガバイトもの暗号化されていない個人情報が含まれていた。

米国

Wilkes-Barre Career and Technical Center

2023年3月8日、ランサムウェアの疑いがある攻撃で、同校および同校の加盟学区の一部の給与データが格納されているとされるサーバーが標的となった。

米国

Cosentino Group

Webサイトの設定ミスにより、脅威アクターがオブジェクトを直接参照する脆弱性を介し、顧客情報にアクセスすることができた。侵害された可能性のあるデータには、氏名、メールアドレス、電話番号と並び、自宅の住所が含まれている。同サイトはその後、保護されている。

米国

Berkeley County Schools

Vice Societyランサムウェアは、同学区を自身のリークサイトに追加し、2023年2月の攻撃で盗んだと主張するデータを流出させた。流出したデータを分析したところ、過去何年にも及ぶ個人情報や生徒の機密情報など、学区が以前に公表した以上の情報が含まれていることが判明した。

米国

ロサンゼルス市住宅政策課

過去にLockBitランサムウェアが自身による攻撃だと主張した「複雑な」サイバー攻撃により、ファイルが暗号化された。侵害された可能性のある情報は、氏名、社会保障番号、生年月日、パスポートや運転免許証の番号、及びクレジットカードやデビットカードの番号など。

米国

Ring

ALPHVランサムウェアは、Amazon傘下の同社をリークサイトに追加し、盗まれたとされるデータを流出させると脅した。Ringは攻撃を受けたことを否定し、サードパーティベンダーでのランサムウェア攻撃を調査中であると付け加えた。

ロシア

Gamaleya Research Institute

ハッカーグループKelvinSecurityが、新型コロナワクチン「スプートニク」の開発に関連する機密情報にアクセスしたと主張し、300件以上の文書をハッカーフォーラムに投稿した。この文書には、ワクチンの臨床試験参加者の死亡に関する情報が含まれている模様。

英国

Bishop Luffa School

Medusaランサムウェアが、英国の同中学校から盗んだとするサンプルデータ（生徒のフルネームや職員の個人データなど）をアップロードした。同ランサムウェアグループは、10万ドルの身代金を要求している。

ベトナム

複数

脅威アクターKernelwareは、PetroVietnam、Long Son Petrochemicals、およびPOSCO Engineering & Constructionから盗まれたとされるデータをBreachForumsに投稿した。リークデータに含まれるデータには従業員情報が含まれているとされる。

英国

マーシャルアンプ

BlackBastaランサムウェアのオペレーターが、同音楽機器メーカーをリークサイトに追加した。どのようなデータが侵害された可能性があるかについては不明のまま。

米国

アリゾナ州経済安全保障局発達障害部門

元職員が、特定の会員の記録を保有していた。この記録には、氏名、住所、電話番号、 医療費削減システムID番号などの情報が含まれる。（850）

米国

Rubrik

攻撃者がFortra製品GoAnywhere MFTの脆弱性CVE-2023-0669を悪用し、非本番のIT環境にアクセスした。侵害されたデータは、社内の販売情報に関するもの。同社はClop ランサムウェアのリークサイトにも掲載されており、証拠として盗まれたデータのサンプルがリークされている。

フィンランド

Keuda Group

LockBitランサムウェアの攻撃により、Keudaのワークステーションとサーバーの60％が感染した。感染したマシンには、学生やスタッフの社会保障番号などの個人情報も含まれていた。データが流出したかどうかは不明。

オーストラリア

IPH Ltd

ある文書管理システムで不正アクセスが検出された。この中には、同社の本社とメンバー企業であるSpruson & Ferguson（Australia）とGriffith Hackの2社の一部の顧客文書と通信文書が含まれていた。

米国

Independent Living Systems

2022年6月から7月にかけて、ある脅威アクターが特定のシステムに不正にアクセスし、一部の情報を取得した。漏洩した可能性のあるデータには、氏名、社会保障番号、納税者番号、医療情報、健康保険情報が含まれる。（4,226,508）

オーストラリア

Latitude Financial

攻撃者が盗まれたログイン情報を使用してベンダーに対するサイバー攻撃を行い、アクセスに成功したと報じられている。この攻撃者は、他のサービスプロバイダー2社が保有する個人顧客情報（運転免許証のコピーを含む）にアクセスすることができた。

米国

連邦保安局

ある脅威アクターが、盗まれたとされるデータ350GB分をロシア語フォーラムで販売している。これには、パスポートや身分証明書のコピー、市民の監視に関する情報、受刑者、ギャングリーダー、カルテルに関する情報、証人保護を受けている個人の情報などが含まれているとされる。連邦保安局はこれより前に、攻撃者が職員の個人情報にアクセスしたことを確認済み。

米国

NorthStar Emergency Medical Services

2022年9月16日頃、権限を持たないアクターが同医療機関のネットワークにアクセスした。漏洩した可能性のあるデータは、氏名、社会保障番号、生年月日、患者ID番号、メディケイドまたはメディケアの番号など。（82,450）

米国

Essendant

LockBitランサムウェアが、最近の攻撃の犯行声明を出した。同社では2023年3月6日にネットワークが停止し、広範囲に混乱が生じた。LockBitは、2023年3月18日を身代金の支払い期限とした。

米国

Beaver Medical Group

2023年1月24日、同社は、権限のないアクターがフィッシング攻撃に成功した後、従業員のワークステーションにアクセスしたことを発見した。当該アカウントに保存されていたヘルスプラン情報には、氏名、会員ID番号、ヘルスプラン名、保険料支払額が含まれていた。

米国

AllCare Plus Pharmacy

2022年4月14日にフィッシングインシデントが発生し、一部の従業員のメールアカウントが侵害される事態に発展した。攻撃者は、氏名、住所、生年月日、社会保障番号、金銭関連情報などの患者情報を含む特定のアカウントにアクセスした。（5,971）

銀行・金融に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のマルウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

脅威アクターHadoken Security Groupによって開発されたAndroid向けバンキング型トロイの木馬Xenomorphの新しい亜種「Xenomorph.C」を、ThreatFabricの研究者が発見した。この最新バージョンは、詐欺チェーン全体を自動化する新機能を備えている。またこのマルウェアには、Cookieスティーラー性能や、400以上の金融機関と複数の暗号資産ウォレットを対象としたターゲットリストの更新版も追加された。Xenomorph.Cには自身を宣伝するための専用Webサイトが存在するが、このことは同マルウェアがマルウェア・アズ・ア・サービスになりつつあることを示唆している可能性がある。

暗号資産

米連邦捜査局（FBI）が、暗号資産投資スキームの急増について警告している。このスキームに関与する犯罪者は基本的に国外に拠点を置いており、2022年に20億ドル以上を被害者から詐取した。このスキームではソーシャル・エンジニアリングが利用され、通常、恋愛詐欺や信頼詐欺から始まって投資詐欺に発展する。脅威アクターは架空の人物像を使用し、マッチングアプリやソーシャルメディア、職業関連のネットワーキングサイト、および暗号化メッセージングアプリを通じて個人をターゲットにする。被害者との信頼関係が構築されると、攻撃者は最終的に不正なWebサイトやアプリを利用するように仕向ける。

ヘルスケア

医療業界に対するサイバー攻撃におけるデータ抜き取りについて警告する内容のセキュリティアドバイザリを、米国保健セクター・サイバーセキュリティ調整センターが発表した。侵害通知の詳細によると、2022年下半期に2,850万件のレコードが流出し、通年で4,400万件以上の患者レコードが流出したとされる。2022年には、少なくとも24件の医療組織へのランサムウェア攻撃が発生し、米国の289の病院の運営者に影響が及び、これらの攻撃のうち70%で秘密データが抜き取られた。連邦政府の記録ではさらに、2010年から2022年にかけて、医療部門での侵害により3億8,500万件の患者レコードが流出したことや、医療関連企業に対するハッキングインシデントが過去5年間に急増していることも示されている。

テクノロジー

Mandiantの研究者は、北朝鮮の脅威アクターUNC2970による進行中のキャンペーンを観測した。このキャンペーンは遅くとも2022年6月から続いており、西側諸国のメディアやテクノロジー企業（特にセキュリティ研究者）が標的となっている。UNC2970はスピアフィッシングの戦術を用い、LinkedInでリクルーターを装って被害者に接触し、やり取りが成立すると会話の場をWhatsAppに移行する。このキャンペーンでは大規模なツールセットが使用される。このツールセットには、DLLダウンローダーのLIDSHOTを反射的に注入するために使用されるTightVNCのトロイの木馬化したバージョン（LIDSHIFTと呼ばれる）が含まれる。また、TOUCHKEY、HOOKSHOT、TOUCHMOVE、SIDESHOWなどのキーロガーやバックドアをドロップするために使われるTOUCHSHIFTドロッパーなど、新しいカスタムツールも利用される。加えて、さらなるオペレーションを可能にするため、BYOVD戦術が使われる。この戦術では、インメモリドロッパーであるLIGHTSHIFTを使用してLIGHTSHOWを配布し、カーネルメモリに対して任意の読み取りおよび書き込み操作が実行される。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(10 – 16 March 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/