RapperBotがDDoS機能とクリプトマイナー機能を1つのボット内に統合

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

RapperBotがDDoS機能とクリプトマイナー機能を1つのボット内に統合（暗号資産）

Intel x64マシンに対してクリプトジャッキングを実行するRapperBotの新しいサンプルを、Fortinetの研究者が発見した。このサンプルは、2023年1月から行われているキャンペーンで使用されたものであり、主にDDoS攻撃の実行に注力していたRapperBotの活動の幅が拡大したことを示している。過去のサンプルでは、マルウェアのバイナリと一緒に、モネロマイナーであるXMRigが別個に展開されていた。しかしのちに、この2つの機能（DDoS機能および暗号資産マイナー機能）は1つのボット内に統合された。

PaperCutの脆弱性CVE-2023-27350、イランのAPTグループにも悪用される（テクノロジー）

CVE-2023-27350として追跡されているPaperCut MF/NGの未パッチの脆弱性を悪用するさらなる脅威アクターを、マイクロソフトの研究者が観測した。これには、Mango SandstormやMint Sandstormのようなイランの国家支援型グループが含まれる。Mint Sandstormは、日和見的な理由で脆弱なデバイスを狙っていると思われる。Mango Sandstormの活動は依然として低調で、攻撃者は過去の侵入で使用したツールを使ってC2インフラに接続している。

関連記事：Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用（CVE-2023-27350、CVE-2023–27351）

イラン外務省の多数のサイトやオンラインサービスをハクティビストグループが制御

2023年5月7日、ハクティビストグループ「Uprising till Overthrow」が210以上のWebサイトとオンラインサービスを制圧した。同グループは、身分証明書、省のやり取りに関する情報、電話番号などを入手してその後リークしたと主張している。同省はハッキングが行われたことを認めたが、報道は誇張されていると主張している。

2023年5月11日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

Unique Imaging

Trigonaランサムウェアが、同社のネットワークに6か月間アクセスしていたと主張している。同アクターは、自身の主張を裏付けるためにデータを提供した。これには処方箋、臨床結果、その他の患者の保護対象保健情報を含むスキャンしたPDFファイル数百件が含まれる。

オーストラリア

Crown Princess Mary Cancer Centre

2023年5月4日、ランサムウェアグループMedusaが、Westmead Hospitalに属する同がん治療センターを自身のリークサイトに追加し、盗まれたとされるデータをリークすると脅迫した。

米国

Veridian

ハッカーらが、すでに保有していた顧客データを使って、同信用組合のオンライン申込システムを攻撃した。同攻撃者は、氏名、住所、社会保障番号、生年月日、口座番号やローン番号など、さらなる顧客データにアクセスした可能性がある。（~13,000）

米国

University Urology

同泌尿器科医院が、2023年2月1日頃に自身の環境内で不審な動きを検知した。攻撃者は、氏名、住所、生年月日、医療情報などを含む患者の個人的な健康情報にアクセスした。（56,816）

米国

マサチューセッツ州ローウェル

Playランサムウェアが、2023年4月24日に発生した同市への攻撃は自身によるものだと主張した。Playは、個人データ、パスポート、政府ID、財務書類、予算、部門ファイルなどを含む非公開の量のデータを盗んだと主張している。

米国

メトロポリタン・オペラ

2022年9月30日から2022年12月6日の間に、悪意のあるアクターが同オペラの一部のシステムにアクセスした。同アクターは、金融口座番号やクレジットカードまたはデビットカード番号などの顧客の機微情報を、口座のセキュリティコード、アクセスコード、パスワード、およびPINと組み合わせて取得することができた。（45,000）

米国

ブルーフィールド・カレッジ

AvosLockerがファイル1.2TBを盗み出し、データのサンプルをリークしたと主張した。このグループは同大学の緊急放送システムを乗っ取り、学生や職員に彼らのデータが盗まれた旨、身代金を支払わない限りすぐに公開される旨の警告をSMS形式のメッセージやEメールで送信した。

米国

Rochester Public Schools

同校が、2023年4月に発生した最近のサイバー攻撃がランサムウェアの攻撃であったことを確認した。職員および少数の学生の個人情報が影響を受けている。

カナダ

コンステレーション・ソフトウェア

脅威アクターが少数のシステムを侵害し、個人情報と業務データを盗むことができた。ALPHVランサムウェアはその後、1TB以上のファイルを盗み出したと主張している。証拠として、ビジネス情報を含むいくつかの文書がリークされた。

香港

OT&P Healthcare

ある脅威アクターが、同社のITシステムにアクセスした。この侵害によってどのような情報が流出したのか、どれだけの個人が影響を受けているのかを判定することも含め、現在も同インシデントに関する調査が続いている。

英国

キャピタ

ファイル655GBを含む保護されていないAWSバケットにより、ソフトウェアファイル、サーバーイメージ、Microsoft Excelスプレッドシートなどが公開状態となった。同侵害は、Black Bastaランサムウェアによる最近の攻撃とは関係がないと考えられている。

フランス

Vocalcom

Playランサムウェアのアクターが、2023年5月3日に同社を自身のリークサイトに追加した。同グループは、パスポート、顧客データ、技術情報などの個人情報や機密情報にアクセスしたと主張した。

ブラジル

不明

あるハッキングフォーラム上の投稿で、ブラジル人ユーザーのクレジットカード情報の販売について宣伝されている内容のものがある。これには、CVV番号を除くすべてのカードデータが含まれる。販売者は、クレジットカード49万枚分のカード情報を所有していると主張した。

マン島

Isle of Man Energy

全顧客のインボイスが、サードパーティのeBillingシステムによって1人の個人に送信された。このインボイスには、氏名、住所、顧客番号が記載されている。

米国

フェアーファックス郡学区

2022年12月19日前後に、権限のないユーザーが同学区のビジネスメールアカウント2つにアクセスした。侵害された可能性のあるデータには、氏名、住所、特定の医療情報が含まれる。

米国

Meade Tractor

Royalランサムウェアが、2023年4月に発生した同社へのサイバー攻撃の犯行声明を出した。このグループの主張が行われたのは、BlackBastaランサムウェアが同社をハッキングしたと主張してリークサイトに攻撃の詳細を掲載してからわずか1週間後のことだった。

米国

Movement School、Socrates Academy

Bl00dyランサムウェアグループが、両教育機関への攻撃の犯行声明を出した。攻撃者は主張の証拠として、財務や税金に関する情報を含むとされる盗まれたデータを掲載した。

米国

Relentless Church

同教会がランサムウェア攻撃を受けた。主任牧師のJohn Gray氏によると、サービスやプログラムは通常通り進めるつもりであるとのこと。

米国

American College of Pediatricians

保護されていないGoogle Driveのデータベースで、10,000点以上の文書が公開状態になっていた。公開状態となったデータの中には、財務・納税記録、会員名簿に加え、10年以上にわたるEメールのやり取りが含まれている。

スイス

複数組織

ノイエ・チュルヒャー・ツァイトゥング紙に対するPlayランサムウェアの攻撃が、Blick、Tamedia、SonntagsBlickなど、スイスの他の報道グループにも影響を及ぼすことが判明した。BlickとSonntagsBlickの購読者データが侵害されたほか、Tamediaの購読者の配送先住所も流出した。

米国

Transformative Healthcare

ALPHVランサムウェアが、企業データ1TB分を盗んだと主張している。これには、パートナーの詳細、医療および救急隊員のレポート、患者の記録、請求情報、連絡先リスト、およびその他の機微なデータが含まれていると報告されている。第1弾のリークとして50GB分のデータがリリースされている。

米国

KLC Network Services

Playランサムウェアが、包括的な従業員プロファイルを含む秘密データにアクセスしたと主張した。これには、極秘情報にアクセスするためにポリグラフ検査を受けた従業員の個人情報や許可証が含まれている。

米国

シスコ

同社は、米国およびカナダにおけるビジネス、顧客、従業員のデータに影響を与えるデータ侵害に見舞われた。これらのデータには、氏名、社会保障番号、アカウント番号などが含まれる。なお、事業運営や顧客サービスは影響を受けていない。

インド

MedPlus Health Services

同医薬品小売チェーンから盗まれたとされるデータベースを、脅威アクター0x3a0がサイバー犯罪フォーラムに掲載した。このデータベースには、利用者や従業員、Webログインユーザーの個人を特定できる情報と認証情報が入っているとされ、これには、氏名、メールアドレス、ログイン認証情報、連絡先などが含まれていると報告されている。（85,804）

米国

ブリストル・コミュニティ・カレッジ

2022年12月14日から12月23日の間に、同校でネットワークへの不正アクセスが発生した。漏洩したデータには、氏名や社会保障番号などが含まれる。（56,400）

韓国

国立ソウル大学病院

2021年5月から6月にかけて、北朝鮮のハッカーが同病院のネットワークを侵害し、現・元職員のものを含む個人の機微な医療情報や個人情報を盗み出した。（831,000）

スイス

バーゼル市教育局

BianLianが、2023年1月のランサムウェア攻撃で盗まれたとされるデータを掲載した。同局は現在、同グループによってリークされた1.2TBのデータについて調査を行っている。

米国

オレゴン州カリー郡

2023年4月26日に発生したRoyalランサムウェアによる攻撃で、メールサービスを含む同郡の多くのシステムとデータが使用できなくなった。

米国

Skybound Entertainment

ハッカーが、同社から盗まれたとされるデータをアンダーグラウンドフォーラムで宣伝している。これには、名前、電話番号、Eメール、パスワード、自宅住所などの、SkyboundのWebサイト上の全ユーザーのデータが含まれていると言われている。Skyboundは、2023年4月7日頃に流出元のデータベースを閉鎖したと報じられている。

ポーランド

Komputronik

ハッカーが、最近購入を行った個人の電話番号を盗むことに成功した。Komputronikは、電話番号以外の個人情報は影響を受けていないと主張した。

米国

NationsBenefits Holdings LLC

同社は、2023年1月のFortra製品GoAnywhere MFTに対するClopランサムウェアによる攻撃の影響を受けた。攻撃者は、Aetna、Elevance Health、UAW Retiree Medical Benefits Trustのプランなど、ヘルスプランの会員の保護対象保健情報にアクセスした。漏洩したデータには、名前、住所、電話番号、生年月日、社会保障番号などが含まれる。（3,037,303）

関連記事：Clopランサムウェアの脅威：組織を安全でセキュアな状態に保つには？

ヘルスケアに関連して言及されたランサムウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連のランサムウェアを示しています。

重要インフラ

インド鉄道ケータリング・アンド・ツーリズム公社（IRCTC）は、IRCTCを装った悪質なAndroidアプリについてユーザーに警告を発した。このアプリには、スパイウェア「SpyNote」が含まれているとされる。このAPKファイルは、WhatsAppやTelegramなどのメッセージングプラットフォーム上で出回っており、攻撃者は広範囲にフィッシングリンクを送り、ユーザーにこれをダウンロードさせるよう仕向ける。SpyNoteは、監視や遠隔操作を可能にする「Accessibility Service」を有効にするよう被害者に繰り返し要求するほか、さまざまな種類の情報も盗み出す。

政府

北朝鮮の国家支援型APTであるKimsukyが現在進行中のスピアフィッシングキャンペーンにおいてReconSharkと名付けられた新しいBabySharkコンポーネントを特定のターゲットに配布していることを、SentinelLabsが確認した。この中には、Korea Risk Groupのスタッフをはじめ、米国、ヨーロッパ、アジアの政府部門や研究部門の組織/個人も含まれる。ReconSharkは、独自の実行命令とサーバー通信方式を使って、偵察ツールとして機能する。同マルウェアは感染したプラットフォームに関する情報を抜き取り、Windows Management Instrumentationを使用してプロセスやバッテリーの情報を照会する。またこのマルウェアは、多段式にさらなるペイロードを展開することも可能。

銀行・金融

drIBANと名付けられたWebインジェクションキットを、Cleafyの研究者が分析した。drIBANは、イタリアの法人銀行顧客に対する銀行詐欺行為に使用されている。このWebインジェクションキットは強力なAutomatic Transfer Systemエンジンを搭載しており、このエンジンを脅威アクターらは、金融機関が採用している本人確認の仕組みを回避するために活用している。同キットは、主にWebページのコンテンツをリアルタイムで変更するマンインザブラウザ攻撃を行うために使用される。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(5 – 11 May 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/