3CX製ソフトウェアへのサプライチェーン攻撃で、WindowsとmacOSのユーザーが標的に

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

3CX製ソフトウェアへのサプライチェーン攻撃で、WindowsとmacOSのユーザーが標的に（テクノロジー）

デジタル署名済みかつトロイの木馬化されたバージョンの3CX製VoIPデスクトップクライアントが、進行中のサプライチェーン攻撃で顧客を標的にするために使用されていることを、CrowdStrikeとSophosの研究者が確認した。攻撃者は、侵害された3CXの同ソフトフォンアプリを使用するWindowsユーザーとmacOSユーザーの双方をターゲットにしており、アクターが制御するインフラへのビーコン送信、第2段階ペイロードの展開、ハンズオンキーボードアクティビティ、対話型コマンドシェルの起動などの悪意ある活動を行っている。Crowdstrikeは、この攻撃には北朝鮮の国家支援型ハッキンググループであるLabyrinth Chollimaが関与していると推測しているが、Sophosは、このアトリビューションを高い確度で確認することはできないと述べている。SophosとSentinelOneの研究者はさらに、このサプライチェーン攻撃でダウンロードされているデスクトップアプリケーションも特定した。なおSentinelOneはこのサプライチェーン攻撃キャンペーンをSmoothOperatorと名付けている。

オープンAI、データ漏洩受けChatGPTを一時オフラインに（米国）

オープンソースライブラリの脆弱性によりデータ流出が発生したため、同社は2023年3月20日にChatGPTをオフラインにした。流出した可能性のあるデータには、姓名、メールアドレス、請求先住所、クレジットカード番号の下4桁とカードの有効期限が含まれる。

イタリアトヨタでデータ侵害、マーケティングツールの認証情報が公開状態に

2023年2月14日、Cybernewsの研究者らが、同社の公式サイトでホストされている環境設定ファイルを発見した。同ファイルは、2021年5月21日以降の同社のセールスフォース製Marketing CloudおよびMapbox APIのシークレットを公開状態にしていた。この情報は、トヨタの顧客の電話番号やメールアドレスにアクセスするため、攻撃者によって悪用される可能性がある。

2023年3月30日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

InfraGard

FBIのInfraGardデータベースのメンバーの個人情報は、2022年12月にハッカー「USDoD」によって同データベースが侵害されてから3か月以上経った今も、ダークウェブ上で活発に流通している。同流出データには、機密性の高い情報は含まれていないが、米国内の有力企業幹部の個人情報や連絡先が含まれていると報告されている。（>87,000）

複数

Clopランサムウェアグループは、Fortra社のセキュアファイル転送ツール「GoAnywhere」のリモートコード実行の欠陥（CVE-2023-0669）を悪用して標的とされた、さらなる被害者の名前を挙げた。被害者の中には、トロント市、英国のVirgin Redリワードクラブと年金保護基金、米国の多数のヘルスケア関連企業、およびRio Tinto Groupが含まれる。さらに、侵害が確認された被害者にはProcter & Gamble、Grupo Vanti、クラウン・リゾーツ、Medex Healthcare、Vumacam、Axis Bank、Pluralsight、Munich REも含まれるほか、タスマニア政府は現在、被害に遭った可能性について調査中。

複数

Anonymous Sudanは、エールフランス航空をハッキングしたと主張し、盗んだとされるデータを3,000ドルで販売すると提示している。同グループはさらに、Air Guyane、シャレール航空、Finist’air、トランサヴィア航空、フライング・ブルーロイヤルティプログラムへの攻撃を主張している。

インド

複数

政府機関やその他の組織、数百万人の市民が所有する機微データの窃盗と販売に関与した疑いで、サイバラバード警察は、ギャングの一員と思われる7名を逮捕した。同グループは、携帯電話番号、メールID、PANカードデータ、支払いカードデータなどを含む、140種類以上の情報を販売した。（168,000,000）

米国

ショアラインコミュニティカレッジ

ワシントン州の同カレッジは、ランサムウェアによるものとみられる攻撃の標的にされ、リモートワークへの移行を余儀なくされた。同インシデントは2023年3月20日に始まり、大学のWebサイトに影響を与え、キャンパスのWiFiにアクセスできない状態となった。

米国

クローガー

同社で、一部のPostal Prescription Services（PPS）患者の氏名とメールアドレスが、内部エラーにより誤ってクローガー社の食料品側の事業と共有され、プライバシー侵害が発生した。 同インシデントは、2014年7月から2023年1月13日までにオンラインPPSアカウントを作成した患者に影響を与える。（82,466）

韓国

PowderRoom

同ビューティプラットフォームが所有する一般にアクセス可能なデータベースで、約140GBの顧客データが1年以上にわたって公開状態になっていた。これには、氏名、電話番号、自宅住所、メールアドレス、Instagramのユーザー名のほか、認証やWebサイトへのアクセスに使用される100万件のトークンが含まれている。（~1,000,000）

米国

Associates in Dermatology

同皮膚科クリニックネットワークの患者の保護対象保健情報が、同社の関連会社の1つであるVPN Solutionsに対するランサムウェア攻撃により流出した。侵害された可能性のある情報には、姓名、住所、社会保障番号、生年月日、持病、治療情報、健康保険証番号などが含まれる。

パナマ

Fabrega Molino

同社は、パスポート情報を含む113GBのファイルを盗んだと主張するBlackCatランサムウェアに標的とされた。同社のWebサイトに掲載された声明では、「独立したセキュリティインシデント」が検出された旨に関する詳しい説明がなされた。

メキシコ

Vazquez Nava Consultores y Abogados

Medusaランサムウェアは、自身の主張を裏付けるいくつかの証拠と共に、同社を自身のリークサイトに追加した。同ファイルには、個人を特定できる情報を含む人事データが含まれている模様。

プエルトリコ

プエルトリコ上下水道局

2023年3月24日、Vice Societyランサムウェアのアクターが、自身のリークサイトに同局を追加し、パスポート、運転免許証などを含む盗まれた文書のサンプルを共有した。その後同局は、攻撃が発生し顧客および局員のデータが漏洩したことを確認した。

インド

サンファーマ

2023年3月24日、ランサムウェアグループAlphVが、盗まれたとされるデータのスクリーンショットとともに、自身のリークサイトに同製薬会社を掲載した。AlphVは17TB超分のデータを取得したと主張しており、その中には従業員や研究内容などの情報が含まれると言われている。

米国

アワー・レディー・オブ・ザ・レイク大学

2022年8月30日頃のサイバー攻撃で、同大学のコンピューターネットワークが侵害された。同大学は、教職員ら、学生、志願者に関わる個人情報のうち「少数」が標的となったシステムから削除され、流出した可能性があると発表した。流出した可能性のある情報は、社会保障番号、運転免許証番号、生年月日、自宅住所など。

米国

iD Tech Camps

2023年2月、サイバー犯罪フォーラム上で、あるハッカーが2023年1月3日に同子供向けコンピューターキャンプ企業を攻撃し、ユーザーレコードを盗んだと主張した。これには、名前、生年月日、平文で保存されているパスワード、約41万5千件の一意のメールアドレスが含まれるとされている。（~1,000,000）

オーストラリア

Latitudeグループ

ハッカーらが、オーストラリアおよびニュージーランド在住者の運転免許証790万枚、パスポート番号53,000件、および顧客記録600万件超を盗み出した。この攻撃は当初、数十万人に影響を与えたと考えられていた。（14,000,0000）

米国

Endocrine and Psychiatry Center

匿名のセキュリティ研究者が、テキサス州の患者の個人情報を含むファイル約68万3千件を発見した。DataBreaches[.]netは、このファイルは同社のものである可能性があると述べている。この文書には、患者の摂取量評価、検査結果、診療記録請求、保険情報フォームなどが含まれていた。

米国

ルーメン・テクノロジーズ

同テクノロジー企業は、別個のサイバーセキュリティインシデント2件を発見した。1件目は一部の企業顧客へのサービスを低下させ続けているランサムウェア攻撃で、2件目はある侵入者が社内のITシステムにアクセスしてマルウェアをインストールし、少数のデータを盗むことを可能にしたことに関連するものだった。

オランダ

オランダ鉄道

同鉄道会社が、顧客の個人データがデータ侵害に巻き込まれた可能性があるとして、顧客へ注意喚起を行った。この鉄道会社と密接に連携しているリサーチ会社Blauwのソフトウェアサプライヤーを通じて、外部の者が顧客情報にアクセスした。流出した可能性のある情報には、氏名、メールアドレス、電話番号などが含まれるが、金銭関連データやパスワードは侵害されなかった。（~780,000）

米国

Tri Counties Bank

同行がランサムウェア攻撃を受け、顧客の機密情報が流出した可能性がある。現在、このインシデントに関する調査が行われており、どのような顧客情報が流出したかは不明のまま。

米国

ワシントン郡の保安官事務所

同保安官事務所がランサムウェア攻撃を受け、2週間にわたり業務に支障が生じた。LockBitランサムウェアは後にこの攻撃に関する犯行声明を出し、身代金を支払わなければ数百人の職員の情報をリークすると同事務所を脅迫した。このグループは最終的に盗まれたとされるデータをダンプしたが、現時点ではファイルはダウンロードされていない模様。

英国

Tanbridge House School

2023年3月27日、Ransom Houseのリークサイトに同校が掲載された。同グループは、職員と生徒の個人を識別できる情報を含むデータの証拠をいくつか投稿した。同校は以前、データ侵害を示唆する証拠はないと述べていたが、Ransom Houseによる新たな犯行声明にはまだ対処していない。

BMW フランス

Playランサムウェアが、同社を自身のダークウェブのリークサイトに追加し、非公開の個人に関する機密データ、契約書、金銭関連情報、および顧客文書を盗んだと主張した。同アクターは、身代金を支払わなければ、今後2週間以内にデータを公開すると同社を脅迫した。

米国

NCB Management Services

2023年2月1日、同社がサイバー攻撃を受け、顧客の個人情報が盗まれる被害に遭った。この情報には、氏名、住所、電話番号、メールアドレス、生年月日、職位、給与額、運転免許証番号、社会保障番号、アカウント番号、クレジットカード番号などが含まれる。（494,969）

VodafoneZiggo

同社が、氏名やメールアドレスなどのデータを含む顧客データの侵害に遭った。この流出は、VodafoneZiggoと協業するBlauwのソフトウェアサプライヤーにおける侵害に関連している。（~700,000）

重要インフラに関連して言及されたランサムウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のランサムウェアを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

重要インフラ

Bitter APTによる中国の原子力部門を標的としたサイバースパイキャンペーンを、Intezerが確認した。このキャンペーンでは、アップデートされた第1段階のペイロードのほか、難読化の新しいレイヤーとソーシャルエンジニアリング用の新たな囮が使用されている。この活動は、遅くとも2021年から続いているBitter APTのキャンペーンの一環であると思われる。複数のソーシャルエンジニアリング技術を活用したフィッシングメールは、在中国キルギスタン大使館になりすまし、受信者に関連テーマのカンファレンスへの参加を呼びかける。添付されたRARファイルには、CHMファイルまたは数式エディターのエクスプロイトを含むExcelペイロードが含まれている。

暗号資産

2022年9月から続く、暗号資産ユーザーを標的とした一連のクリップボードインジェクション攻撃を、カスペルスキーの研究者が確認した。この手法では、マルウェアはクリップボード内のウォレットアドレスを検出すると、クリップボードコンテンツの一部を置き換える。この種のマルウェアの最近の動きは、トロイの木馬化したTorバンドルを作成することでTorブラウザを悪用しようとするもので、当初はロシア語圏のユーザーに配布された後、少なくとも世界52か国に拡散した。

銀行・金融

Emotetが米国内国歳入庁を装ったフィッシングメールで配布されていることを、Malwarebytesの研究者が観測した。これらのEメールにはW-9 納税申告書に見せかけたZIP添付ファイルが含まれており、開くと大容量のMicrosoft Word文書が表示される。この文書を開くとマクロが要求され、これを有効にするとEmotetがシステム上にダウンロードされる。

テクノロジー

Android、iOS、ChromeのゼロデイおよびNデイ脆弱性を利用して、高度に標的を絞った攻撃において被害者のデバイスに商用スパイウェアや悪意あるアプリをインストールするエクスプロイトチェーンを、Googleの研究者が複数発見した。また、アムネスティ・インターナショナルの研究者は、この攻撃群の1つに関連するドメインとインフラを特定した。最初のキャンペーンは2022年11月に確認され、SMSメッセージを使用して、イタリア、マレーシア、カザフスタンの被害者をターゲットにしていた。2022年12月に発見された2つ目のキャンペーンは、アラブ首長国連邦内のSamsung Internet Browserの最新バージョンを標的とするもので、被害者は、商用スパイウェアベンダーVaristonがエクスプロイトフレームワーク「Heliconia」用に作成したものと同じエクスプロイトページにリダイレクトされていた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(24 – 30 March 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/