サイバー犯罪フォーラム上で中国人の個人情報を大量に含むデータセットが売りに出される

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

サイバー犯罪フォーラム上で中国人の個人情報を大量に含むデータセットが売りに出される

未知の脅威アクターが、ロシアに関連するサイバー犯罪フォーラム上で、大規模なデータセットを販売するために投稿を行った。これには、中国のユーザーの個人情報が含まれるとされる。データサンプルは、このデータセットに氏名、国民識別番号、自宅住所、携帯電話番号、性別、銀行カード番号が含まれていることを示唆している。（630,000,000）

Anonymous Sudanが複数のイスラエル政府サイトにサイバー攻撃

2023年4月24日、イスラエルのメディアは、ハッカーグループAnonymous Sudanが、複数のイスラエル政府のWebサイトに対して大規模なサイバー攻撃を行ったと報じた。これには、モサドや国家保険院などのサイトが含まれる可能性がある。同グループは自身のTelegramチャンネルで、分散型サービス拒否（DDoS）攻撃によりイスラエル政府の中枢2サイトをダウンさせたと宣言し、これらは大規模なサイバー攻撃の準備的措置であると付け加えた。

KubernetesのRBACを悪用するキャンペーン「RBAC Buster」

脅威アクターらがKubernetesのロールベースアクセス制御（RBAC）を悪用してKubernetesクラスタに永続的なバックドアを作成し、そのリソースをモネロのクリプトマイニング目的でハイジャックするのを、Aqua Securityの研究者が確認した。RBAC Busterと名付けられたこのキャンペーンは、少なくとも60のクラスターを盛んに狙っていると考えられている。

2023年4月27日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

Shields Health Care Group

同医療サービス提供業者は、2022年3月7日から3月21日にかけて、不正行為の被害にあった。攻撃者は、氏名と運転免許証番号または運転免許証以外のIDカード番号を取得することができた。（>2,300,000）

チリ

Cementos Bío Bío SA

2023年4月9日、BlackByteランサムウェアは、同セメントメーカーを自身のリークサイトに追加した。同攻撃者は約200GBのファイルを抜き取ったと主張し、ファイルの暗号化も実施したことを認めた。同社のカスタマーポータルでは、サービスの「断続的な停止」が通知された。

メキシコ

国家水委員会（Conagua）

同国家水委員会は、2023年4月13日にランサムウェア攻撃を受け、国家レベルのさまざまなデリゲーションやサブディレクトリのシステムに影響があったことを報告した。過去15年分のすべてのファイルが暗号化されたと報告されている。ニュースで報道されたスクリーンショットからは、このインシデントがBlackByteによる攻撃であったことが示唆されている。

メキシコ

ユカタン州政府

BlackCatランサムウェアは、同政府に対する最近のサイバー攻撃は自身が実行したものだと主張した。同攻撃者は証拠として、INE文書やユカタン州政府からの誓約書を含む、複数のサンプルを掲載した。

ペルー

Euromotors

LockBitランサムウェアは2023年4月10日、同社を自身のリークサイトに追加し、2023年4月17日に144MBのファイルとファイルツリーのリストをダンプした。複数のデータサンプルには、メールの氏名、社内文書、従業員の個人情報が含まれる。

米国

Fincantieri Marinette Marine

2023年4月12日、同造船会社はランサムウェア攻撃を受け、ネットワーク上の大量のデータが使用不可能となった。この攻撃は、同造船所のコンピュータ数値制御（CNC）の製造機械に指示を与えるためのデータを含むサーバーを標的とし、造船所全体の生産を遅延させた。

米国

District Court of Illinois

Everestランサムウェアグループは、自身のリークサイトに同裁判所を追加し、そのネットワークへの完全なアクセスを得たと主張した。同グループは、職員の1人を介して無制限のアクセスを得たとし、これには機密文書や機微データへのアクセスが含まれると主張した。またアクセスの証拠としてスクリーンショットを提供した。

米国

アメリカ法曹協会（ABA）

2023年3月6日頃、権限を持たない第三者がABAのネットワークにアクセスした。同攻撃者は、2018年以前の旧ABAサイトまたは2018年以降のABAキャリアセンターのオンラインアカウントにアクセスするためにユーザーが使用したと思われる、ユーザー名とハッシュ化およびソルト化されたパスワードを取得していた。（1,466,000）

米国

消費者金融保護局

ある職員が、消費者の個人を識別できる情報を個人的なメールアカウントにメール送信した。これには名前、口座番号が含まれ、50もの金融機関に影響を与える可能性がある。局内関係者は、2023年2月14日にこの侵害を初めて知ったと伝えられている。（256,000）

インド

Angel One

同株式仲介会社がデータ侵害に見舞われ、氏名、メールおよび携帯電話番号を含む同社のユーザーの個人データが漏洩した。

オランダ

Royal Vopak

同タンク貯蔵会社が、マレーシアにある同社のPengerang Independent TerminalsがITインシデントによる影響を受け、一部のデータへの不正アクセスが生じたことを明らかにした。同インシデントは、BlackCatランサムウェアに関連しており、主要なビジネス情報に影響を及ぼしたと報告されている。

ケニア

Naivas

同小売大手がランサムウェア攻撃の標的にされたが、同社のシステムは保護されている状態で、再び稼働していると報告されている。同社は、盗まれたデータの悪意ある使用は確認していないと述べたが、引き続きフィッシングの試みに警戒するよう顧客に呼びかけた。

カナダ

Gateway Casinos & Entertainment Ltd

2023年4月16日、あるランサムウェアの攻撃により、同社はオンタリオ州の14の施設を一時的に閉鎖せざるを得なくなった。顧客や従業員の個人情報が影響を受けたかどうかについて判定するための調査が、現在も続いている。

米国

サンバーナーディーノ郡の保安官事務所

2023年4月7日に発生したネットワークの障害が、後にマルウェアに関連していることが確認された。情報筋が地元メディアに語ったところによると、この攻撃では同事務所のシステムの多くも暗号化されたが、同事務所はデータを復元することができたという。

米国

アラスカ鉄道

ハッカーらが、2022年12月25日に同社の内部ネットワークシステムのデータにアクセスした。漏洩した可能性のあるベンダーや現在および過去の従業員に関するデータは、氏名、生年月日、社会保障番号、銀行情報など。（7,413）

Yellow Pages Canada

Black Bastaランサムウェアが、2023年3月15日以降に発生した攻撃の後、機微データをリークした。リークされたデータは、身分証明書、税務書類、売買契約書など。

米国

Lake Dallas Independent School District

Royalランサムウェアが、同学区を自身のリークサイトに追加した。同アクターは、職員と生徒の個人情報を数ギガバイト分取得したと主張している。

米国

Clarke County Hospital

Royalランサムウェアが、アイオワ州の同病院への攻撃について犯行声明を出した。同アクターは、従業員120人および患者数百人の詳細情報を取得したとされている。

米国

Engineering Compliance Construction Inc

APLHVランサムウェアが、同社を自身のリークサイトに追加した。この攻撃者がシステムデータにアクセスしたかどうかは、依然として不明。

Fullerton India

LockBitランサムウェアが、600GBの機微データを盗んだと主張している。これにはローン契約、口座状況、銀行契約、国際送金、金銭関連書類および個人の顧客情報が含まれる。

オランダ

Stichting Kabeeltelevisie Pijnacker

2023年4月22日、あるランサムウェアの攻撃により、すべてのサービスが完全に停止した。その後、インターネットおよびテレビサービスは一部復旧している。

米国

Pembina County Hospital

2023年4月21日、ランサムウェアAvosLockerが同病院を自身のリークサイトに追加した。盗まれたとされるデータには、秘密保持契約書および患者や従業員に関する情報が含まれると言われている。

米国

StaffScapes

2023年2月、Eメールが侵害されたのち、権限のない者が同社の環境にアクセスした。氏名や社会保障番号を含む個人情報や機微情報が同アクターに流出した可能性がある。（>4,500）

米国

Astral Brands

2023年3月23日、同美容企業が、2022年9月以降の同社のネットワークシステムへの不正アクセスを発見した。この侵害により、氏名、クレジットカードおよび金融口座番号、生年月日、社会保障番号、パスポートなどを含む個人の個人情報が流出した可能性がある。（1,884）

米国

Atlantic International University

2023年4月24日、ある脅威アクターが、同大学から盗まれたとされるデータをTelegram上でリークした。漏洩したデータには、学生の個人情報が含まれていると言われている。Medusaランサムウェアは当初、2023年4月7日に同大学をリークサイトに追加していた。

米国

IMA Financial Group

同社は、2022年10月にコンピューターネットワーク内での異常な活動を検知した。攻撃者は、社会保障番号、運転免許証の詳細、パスポート番号、クレジットカードデータ、および医療記録や保険情報の入った秘密ファイルを含むフォルダにアクセスした。（941）

マレーシア

Agensi Kaunseling dan Pengurusan Kredit

同社は当初2023年3月20日にIT障害に見舞われた後、データ侵害に遭い、身代金の要求を受けた。ALPHVランサムウェアのアクターは、2023年4月25日に同社をリークサイトに追加し、150万件超のファイルをダウンロードしたと主張した。

イタリア

IRCCS MultiMedica

2023年4月27日、LockBitグループが同病院をリークサイトに追加した。この日の前日、ミラノとセスト・サン・ジョバンニのMultiMedicaの病院では、サイバー攻撃によりすべての外来診療、救急外来業務、および報告書の収集が停止されていた。

複数

LockBitは最近、Magnolia Care Centerをリークサイトに追加した。Keystone Smiles Community Learning CenterとOlympia Community Unit School District 16も標的になっていたが、LockBitはその後、盗まれたデータを削除し、復号ツールを提供したと主張している。

インド

All India Council for Technical Education

2023年4月26日、Mysterious Team Bangladeshが自身のTelegramチャンネルで、同政府機関を攻撃したと主張した。この攻撃者はまた、部局名、メールアドレス、ログイン認証情報およびその他のユーザー情報といった同機関から盗まれたとされるデータをダウンロードするためのリンクを掲載した。

スイス

ベルニナ・インターナショナル株式会社

2023年4月25日、ALPHVランサムウェアのアクターが同縫製会社を自身のリークサイトに追加し、200GB分のデータを盗んだと主張した。これには、顧客、クライアント、従業員のデータのほか、秘密保持契約、図面や開発、銀行のデータなどが含まれているとされている。

銀行・金融に関連して言及されたランサムウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のランサムウェアを示しています。

暗号資産

AnyDeskのようなソフトウェアの偽ダウンロードなどのマルバタイジングキャンペーンを通じて配信される新しいマルウェア「LOBSHOT」を、Elastic Securityの研究者が発見した。このマルウェアは金銭獲得目的で利用されているものとみられ、バンキング型トロイの木馬や情報窃取機能を採用して暗号資産ウォレットを狙っている。LOBSHOTには隠しVirtual Network Computingコンポーネントが含まれており、感染したマシンに直接かつ監視されることなくアクセスすることが可能。

銀行・金融

クレジットカード情報を盗むためにFedExのパッケージ配送になりすますフィッシングキャンペーンを、Netskopeの研究者が発見した。このキャンペーンでは、クラウドサービスのTrustedFormとPAAY 3DSを悪用して被害者の追跡や情報収集が行われ、盗まれたクレジットカード情報がそれぞれ検証される。フィッシングメールやテキストメッセージには、FedExを模したWebサイトにリダイレクトするリンクが含まれている。同サイトは個人情報やクレジットカード情報の入力を促し、信頼性を高めるために配送の再配達に関する質問をする。

テクノロジー

さまざまなペイロードをダウンロードし実行するために使用される新しいmacOSマルウェア「RustBucket」を、Jamfの研究者が発見した。このマルウェアは、Lazarus Groupのサブグループとして活動していると考えられる北朝鮮の国家支援グループ、BlueNoroffのものと考えられている。同マルウェアは、PDFビューアーアプリを装った悪意あるAppleScriptファイルとして配布され、その実行は分析を妨げるために複数の段階を経て行われる。C2サーバーとの通信は、特定のPDF（今回観測されたケースではベンチャーキャピタル企業になりすましたものだった）が読み込まれた時点で初めて開始される。最終的なペイロードは、Rustで書かれたアドホック署名付きのトロイの木馬で、最初の実行時にいくつかのシステムReconコマンドを実行する。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(21 – 27 April 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/