パキスタンのグループAPT36がインドの教育セクターを狙ってCrimson RATを配布

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

パキスタンのグループAPT36がインドの教育セクターを狙ってCrimson RATを配布

パキスタンを拠点とする脅威グループAPT36が悪意あるMicrosoft Office文書のクラスタ経由で教育セクターにCrimson RATを配布していることを、SentinelOneの研究者が確認した。この活動は、以前に報告されたインド亜大陸の教育セクターを狙ったAPT36の活動の一部。悪意ある文書はフィッシングメール経由で配布され、悪意あるOfficeマクロや埋め込み技術OLEを使ってCrimson RATを仕込む。さまざまなアンチ解析や難読化技術を用いた複数のCrimson RATの実装が確認された。

ロシアアクターAPT28がCisco IOSルーターにカスタムマルウェア「Jaguar Tooth」を展開（CVE-2017-6742）

ロシアの国家支援型脅威アクター「APT28」が、Cisco IOSルーターにカスタムマルウェア「Jaguar Tooth」を展開していることについて、米国と英国のサイバーセキュリティ当局およびシスコの研究者が警告している。この活動は、高度な技術を持つ敵対者のより広範なトレンド（ネットワークインフラを狙って諜報活動を行ったり、将来の破壊的な攻撃に備えたりする傾向）の一部である。APT28は、脆弱なSNMPコミュニティ文字列を使用して、公開されているCiscoルーターをスキャンにより探す。このグループは、認証不要のリモートコード実行の欠陥（CVE-2017-6742）を悪用して、古いファームウェアバージョンを実行しているCisco IOSルーターのメモリに直接Jaguar Toothを注入する。同脆弱性のパッチはリリース済みで、公開されているエクスプロイトコードが存在している。インストールされると、Jaguar ToothはルーターからTrivial File Transfer Protocol （TFTP）によってデバイス情報を抽出し、デバイスへの認証不要のバックドアアクセスを提供する。

POSシステム大手NCRにランサムウェア攻撃、「Aloha」に障害発生

最近起きた同社のPOSシステム「Aloha」に影響を与えた障害は、2023年4月13日のランサムウェア攻撃により発生したものだった。BlackCatランサムウェアは、NCRの顧客の認証情報を盗んだと主張し、身代金を支払わなければ公開すると脅した。

2023年4月20日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

Jefferson Area Board for Aging

同組織はサイバーセキュリティインシデント被害を受け、FBIがランサムウェア攻撃であることを確認した。現在までに、同局は個人のデータが漏洩した証拠を確認していない。

米国

MetaMask

2021年8月1日から2023年2月10日の間に、第三者サービスを通じてカスタマーサポートチケットを提出したユーザーが、データ侵害の影響を受けた。侵害された情報にはメールアドレスが含まれるが、その他の個人情報にも影響が及ぶ可能性がある。（7,000）

英国

Evide Impact

2023年3月29日に発生したランサムウェア攻撃により、被害者、生存者、加害者、および同社のサービスを利用しているその他組織や個人のデータに影響が出た。侵害された可能性のあるデータには、氏名、住所、連絡先、メールアドレス、生年月日、人種などが含まれる。（2,000）

米国

Enzo Biochem

2023年4月6日に発生したランサムウェア攻撃により、同社のITシステムが侵害され、データ流出が発生した。漏洩の影響については、現在も調査が続いている。

米国

Retina & Vitreous of Texas

権限を持たないアクターが、2023年2月1日、氏名、住所、診断・治療情報、健康保険情報などを含む患者に関する情報にアクセスした。BianLianランサムウェアは、その後、盗まれたとされる170GBのファイルをダンプした。（35,766）

ドイツ

Siemens Metaverse

同社のプラットフォームは、ComfyAppのユーザー認証情報とエンドポイント、WordPressユーザーのセット、バックエンドと認証エンドポイントなどを含む機微情報を流出させていた。

米国

サウスイースタン大学

BianLianランサムウェアは、ルイジアナ州の同大学を自身のリークサイトに掲載し、150GBのファイルを保有していると主張した。同ファイルは、103のパーツに分けられ流出したと見られている。また同ファイルには、会計、マーケティング、財務、教育、ビジネスのデータが含まれているとされている。

CH Media

Playランサムウェアのアクターが、2023年4月24日までに身代金を支払わなければ、同スイス企業から盗まれた個人情報や機密情報をダンプすると脅迫した。

Coles Financial Services

Latitude Finance Servicesに対するサイバー攻撃で、顧客の過去のクレジットカード情報が盗まれた。

米国

コムスコープ

Vice Societyランサムウェアグループは、数千人の従業員の個人情報を含む、盗まれたとされるデータを公開した。このデータには、氏名、住所、メールアドレス、個人に関する番号、社会保障番号、銀行口座情報、パスポートやビザ書類のスキャンが含まれる。

米国

マーフィー・オイル

ハッカーグループSiegedSecが同社をハッキングしたと主張した。同グループはこの攻撃を「小さなリーク」と表現した。ハッキングされた情報には、メール、名前、部署、車両データなど、従業員に関するレポートや情報が含まれるとされる。

ナイジェリア

Leadway Assurance Company

ランサムウェアグループALPHVが、同社の複数の子会社とともに、同社を自身のリークサイトに追加した。同グループは、顧客の個人情報を含むデータベース15件、従業員のパスポート1,000件超および契約書、秘密保持契約書などを盗んだと主張している。

ブラジル

Valid Certificadora

新たなランサムウェア「CrossLock」が、同社を攻撃し、機微データを暗号化して盗み出したと主張した。同データには顧客情報が含まれる。

米国

Pineland Learning Center

LockBitが、同校から64GBのデータを盗んだと主張し、主張の証拠としていくつかのファイルを投稿した。これには、生徒や職員の個人情報と思われるものが含まれる。

米国

Uniondale Union Free School

Medusa ランサムウェアが、いくつかのファイルとともに、ニューヨークの同学区を自身のリークサイトに追加した。

英国

Capita

Black Bastaランサムウェアが、シェフィールドの教師に関するデータや顧客の銀行口座情報など、同社から盗まれたとされる文書のリークを開始した。

米国

ボールウィン

ミズーリ州の同都市では、2023年3月16日に「ネットワークセキュリティインシデント」が発生し、影響を受けるシステムは予防措置としてシャットダウンされた。ランサムウェアRoyalは、2023年4月18日にこの都市を自身のリークサイトに追加した。影響を受けた個人情報や機密情報の有無を含め、不正行為の規模はまだ判明していない。

フィリピン

不明

保護されていないデータベースに、フィリピンの法執行機関に雇用された、あるいは雇用を希望した個人に関連すると思われるレコード1兆2,794億3,700万件が含まれていた。同レコードには、パスポート、出生証明書、結婚証明書、運転免許証、成績証明書、セキュリティクリアランス文書などの公的書類のスキャン情報を含む、個人を識別できる情報が含まれていた。公開状態となっていたデータベースは、その後保護されている。

日本

Saipress

2023年4月17日、ランサムウェアグループSnatchが、同社から盗まれたとされるデータをリークした。リーク情報が掲載された投稿には、同社のデータに関するスクリーンショットを含む4つのファイルが含まれていた。Saipressは、2022年11月20日に初めて同グループのリークサイトに追加されていた。

米国

Little Rock School District

同学区が、最近のサイバー攻撃でハッカーにアクセスされた可能性のある情報には、氏名、住所、社会保障番号、金融口座情報や州および政府の識別番号、また少数の医療情報などが含まれることを確認した。同学区は以前、攻撃を終わらせるために、名称不明のサードパーティに少なくとも25万ドルを支払っていた。

米国

Crown Point Schools

同学区が、2022年11月のサイバーセキュリティ侵害時に、一部のデータにアクセスされたことを明らかにした。影響を受けた可能性のあるデータの種類を特定するため、調査が引き続き行われている。

英国

Fermanagh and Omagh District Council

2023年4月18日、北アイルランドの同行政区は、Evide Impactに対するランサムウェア攻撃により、同行政区のAspireプログラムのメンバーの個人データが影響を受けたことを明らかにした。（2,469）

米国

Tucson Unified School District

2023年4月18日時点で、ランサムウェアグループRoyalが、アリゾナ州の同学区から盗まれたとされる57GBのデータをリークしている。これには、現職員および元職員の社会保障番号数万件や、その他の機密ファイルが含まれると言われている。同学区は以前、サイバーセキュリティインシデントに見舞われたことを認めていた。

米国

Point32Health

2023年4月17日、同医療保険会社が会員、アカウント、ブローカーおよびプロバイダーへのサービスに使用するシステムに影響を及ぼすランサムウェア攻撃を発見した。影響を受けたシステムのほとんどは、同社のHarvard Pilgrim Health Care事業に関連している。

インド

ICICI Bank

設定ミスによって誰もがアクセスできる状態となったDigital Oceanのバケットには、360万件以上のファイルが含まれていた。これには、顧客の銀行口座の詳細、クレジットカード番号、フルネーム、生年月日、身分証明書、納税者番号などが含まれていた。また、現在の従業員や候補者の履歴書も存在していた。公開状態となったバケットへのアクセスは、2023年3月30日に完全に制限された。

ベネズエラ銀行

ランサムウェアグループLockBitが、同銀行を自身のリークサイトに追加した。LockBitは、盗まれた情報と思われるスクリーンショットを提供した。これには、銀行の内部業務や顧客データが含まれている可能性がある。

インド

RentMojo

同家具レンタルプラットフォームが、データベースの1つへの不正アクセスを伴うサイバー攻撃を受け、顧客データの侵害が発生したことを確認した。これには、顧客の個人を識別できる情報へのアクセスが含まれる。

重要インフラに関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の脅威アクターを示しています。

暗号資産

2022年10月に復活を遂げたMexalsによる、ルーマニアを拠点にしていると思われるクリプトジャッキングキャンペーンを、アカマイの研究者が分析した。このグループは SSHブルートフォースと長いペイロードのチェーンを使用し、最終的にモネロ向けクリプトマイナーXMRigをドロップする。Mexalsは新たな性能を備えるようになっており、これには、Secure Shell Protocolワームモジュールの使用、DiscordのWebフックへの報告増大、カスタムマイニングプールプロキシ、改良されたペイロード難読化、新しいLAN拡散モジュールが含まれる。

銀行・金融

オーストラリアとポーランドのユーザーを標的とする新しいAndroidバンキング型トロイの木馬「Chameleon」を、Cybleの研究者が確認した。このマルウェアは2023年1月から活動している。現時点ではその機能は限定的であり、開発の初期段階であると考えられている。同マルウェアは、侵害されたWebサイト、Discordの添付ファイル、およびホスティングサービスBitbucketを通じて配布される。また同マルウェアは、人気の暗号資産アプリ「CoinSpot」のほか、オーストラリアの政府機関やポーランドのIKO Bankになりすます。Chameleonは、ChatGPT、Google Chrome、Bitcoinなど、さまざまなソフトウェアやアプリケーションのアイコンを使って、ユーザーを感染させる。

政府

ポーランド軍防諜局とCERT Polskaは、ロシアの諜報機関に関連する現在も続く広範囲なスパイ活動を確認した。このキャンペーンは、NATO加盟国、欧州連合、さらに（他地域より少数ながらも）アフリカの外務省や外交機関から情報を収集することを目的としている。同キャンペーンの諸要素（インフラ、技術、ツールなど）は、APT29の以前の活動と一部または全部が重複している。ドロッパーのENVYSCOUT、ダウンローダーのSNOWYAMBERおよびQUARTERRIG、Cobalt Strikeビーコンステージャー「HALFRIG」といった一連のマルウェアを配布するため、フィッシングメールが使用されている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(14 – 20 April 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/