APTグループ「DangerousPassword」によるものと思われる暗号資産取引所への攻撃を、JPCERT/CCが観測 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > APTグループ「DangerousPassword」によるものと思われる暗号資産取引所への攻撃を、JPCERT/CCが観測

Threat Report

Silobreaker-WeeklyCyberDigest

APTグループ「DangerousPassword」によるものと思われる暗号資産取引所への攻撃を、JPCERT/CCが観測

佐々山 Tacos

佐々山 Tacos

2023.05.19

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

 

主なニュース3つをピックアップ

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

APTグループ「DangerousPassword」によるものと思われる暗号資産取引所への攻撃を、JPCERT/CCが観測

高度持続的脅威グループ「DangerousPassword」が行っていると思われる暗号資産取引所への攻撃を、JPCERT/CCが観測した。同グループは2019年6月から活動しており、以前はメールのLNK添付ファイルを使用して被害者をマルウェアに感染させていた。一方最新の活動ではLinkedInを使用してCHMファイルを配布したりmacOSを狙ったりなど、新たな感染手法を使用している。

Ducktailマルウェア、LinkedInを使ったソーシャルエンジニアリングでマーケティングや人事の担当者を標的に

マーケティングおよび人事担当者を標的としたDucktailマルウェアのキャンペーンを、Cybleの研究者が観測した。被害者を騙して悪意あるペイロードをダウンロード・実行させるために、LinkedInでのメッセージの送信を含むソーシャルエンジニアリングの手法が使用されている。Dropbox、Google Drive、Microsoft OneDriveなどのファイル共有サービスが、マルウェアをホストするのに使用される。ファイル共有のリンクをクリックすると、化粧品のPNGまたはJPG画像と、WordまたはPDFのアイコンを装った実行可能ファイルを含むZIPファイルへと誘導されるが、このファイルにはDucktailマルウェアが含まれている。

電子機器メーカー「サンミナ」のデータベースをハッカーが販売(米国)

ある脅威アクターが、同電子機器メーカーのものとされるデータベースを売りに出している。このデータセットには、従業員の氏名、メール、電話番号、役職などの個人的なデータが含まれる。(~50,000)

2023年5月18日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

 

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

OptimEyes AI

4chanの匿名ユーザーによるデータダンプには、ソースコードやハードコーディングされた認証情報を含む同社から盗まれたデータ、および日立エネルギー社のデータを含む顧客データが含まれているとされている。

スイス

ABB Ltd

2023年5月7日に発生したBlackBastaランサムウェアの攻撃により、業務に影響が出たと報告された。

インド

RenewBuy

ダークフォーラムのユーザーが、同オンライン配信プラットフォームをハッキングしたと主張し、ユーザーのデータを売りに出している。同データには、氏名、メールアドレス、Aadhaar番号などが含まれるとされる。(1,000,000)

シンガポール

WhizComms

権限を持たない第三者が、顧客の個人情報をスキャンした画像をダウンロードした。これには、国民登録番号カード、労働許可証、ビザ承認書類の画像が含まれる。(24,000)

不明

BlackCatランサムウェアは、ResultsCXネットワークと認証情報を使用して、Fortune 100に名を連ねるさまざまな企業への初期アクセスを獲得したという真偽不明の主張をしている。また同アクターは、これらの企業の個人が特定できる情報へ知らないうちにアクセスできたと主張している。

日本

トヨタ

2013年11月から2023年4月中旬までの間、ユーザーの車両データが公開されたままになっていた。公開された可能性のあるデータには、車両の位置情報、車両機器の識別番号などが含まれる。(2,150,000)

オーストラリア

Ambulance Victoria

新卒の救急隊員の薬物・アルコール検査結果が、職員用イントラネットで全職員が閲覧できる状態になっていた。流出したデータには、氏名、検査日、検査結果(陽性か陰性か)のほか、陽性の場合は検出された物質が含まれている。

米国

Richmond University Medical Center

ランサムウェアの攻撃により、2023年5月5日から継続的なネットワーク障害が発生した。同インシデントについて、影響の有無、影響を受けたデータを特定することを含め、引き続き調査が行われている。

米国

Uintah Basin Healthcare

データ侵害で、2012年3月から2022年11月の間に治療を受けた患者が影響を受けた。流出したデータには、氏名、生年月日、住所、社会保障番号、健康保険情報などが含まれる。

米国

Oyate Health Center

2021年8月31日から9月8日の間に同薬局を利用した患者に関するデータが、誤って地元の非営利団体に共有された。流出したデータには、処方箋に関連する氏名、カルテ番号、受診日、診断コードなどが含まれる。

米国

ASAS Health

2023年1月26日に発生したサイバーセキュリティインシデントにより、氏名、生年月日、住所、社会保障番号などを含む個人情報が流出した。(25,527)

米国

複数

BianLianランサムウェアグループは、Synergy Hematology Oncology Medical Associatesから200GB、Mercy Homeから553GB、Earlens Corporationから2TB、North Shore Medical Labsから60GBのデータを盗んだと主張している。

米国

Essen Medical Associates

AlphVランサムウェアグループは、2.6TBのデータを取得していると主張し、自身のリークサイトで窃取したとされるデータのリークを開始した。同団体は、最初に2023年4月6日に同リークサイトに追加された。

米国

Methodist Family Health

2023年3月4日に発生したデータ侵害により、フルネーム、生年月日、診療情報、口座番号などが流出した。同センターは、2023年3月8日にAvos Lockerのリークサイトに追加されたが、その後削除された。(5,259)

米国

ガストン・カレッジ

Snatch Teamランサムウェアのアクターが、2023年2月のランサムウェア攻撃は自身によるものだと主張した。同アクターはその後、盗まれたとされる150GB以上のファイルをリークした。

米国

マーサー大学

ハッカーらが、学生、保護者および職員の機微情報を盗み出した。これには、社会保障番号や運転免許証番号などが含まれる。Akiraランサムウェアはその後、同校を自身のリークサイトに追加した。

マレーシア

マラ工科大学

同大学が、Google Sheetsのドキュメントに含まれていた志願者の国民識別番号とメールアドレスを不注意により公開状態にした。同ドキュメントは、同大学のWebサイト上の保護されていないリンクとして共有されていた。(11,891)

米国

マサチューセッツ州ローウェル

ランサムウェアPlayが、盗まれたとされるデータ5GBを自身のリークサイトにリークした。これには、個人データや機密データ、職員や顧客の情報および財務や税に関する文書などが含まれると言われている。

米国

Brightly

ハッカーらが、同社のオンラインプラットフォームSchoolDudeのデータベースにアクセスした。また氏名、メールアドレス、アカウントのパスワード、電話番号、学区名を盗んだと思われる。

イスラエル

不明

Anonymous Sudanが、イスラエル国民のものとされるデータをリークし、このデータは情報スティーラーによって侵害されたと主張した。The Cyber Expressは、流出したメールアドレスのうち1件がインフォスティーラーの攻撃による影響を受けたと思われると判定した。

米国

運輸省

同省が、現在および過去の職員の個人情報に影響を与えるデータ侵害に見舞われた。同侵害は、特に交通費給付を行うTRANServeを処理するシステムで発生した。(237,000)

米国

Lake County Health Department and Community Health Center

イリノイ州の同局で、職員のメールアカウントに脅威アクターがアクセスしたことによるセキュリティ侵害が発生した。このメールアカウントには、2012年4月23日から2023年3月6日の間に保健当局によって調査された、報告義務のある伝染病またはクラスターもしくはアウトブレイクの一部である病気にかかった可能性のある郡住民の匿名加工された情報が含まれる。漏洩した可能性のあるデータには、氏名、住所、郵便番号、生年月日、電話番号、メールアドレス、医療データなどが含まれる。

米国

イリノイ州医療・家族サービス局

この2組織は、州のApplication for Benefits Eligibility(ABE)システムのManage My Case(MMC)ポータル内でのデータ侵害に見舞われた。漏洩したデータには、氏名、社会保障番号、受給者識別番号、住所、電話番号、収入情報が含まれる。

米国

Discord

VoIPツールのDiscordが、サードパーティのサポートエージェントのアカウントが侵害されたことによるデータ侵害に遭った。この侵害により、エージェントのサポートチケットキューが漏洩したが、これにはメールアドレス、Discordサポートとやり取りされたメッセージ、チケットの一部として送信された添付ファイルなどのユーザー情報が含まれている。

フランス

La Malle Postale

同運輸会社が所有する誰もがアクセス可能なデータストアで、4GBを超える顧客の個人データが公開状態になっていた。これには、顧客の名前、Eメール、電話番号が含まれる。

米国

San Diego Unified School District

2022年10月25日に発覚した同学区に対するハッキングにより、生徒の氏名や医療情報などが影響を受けた可能性がある。

米国

Academy Mortgage Corporation

BlackCatランサムウェアが同社をリークサイトに追加し、同社から盗まれた26点のファイルを所有していると主張した。

米国

Fontainebleau Florida Hotel

2022年8月30日から9月2日にかけて、権限を持たない者が同ホテルのコンピューターシステムにアクセスし、消費者データを侵害した。攻撃者は、氏名、社会保障番号、金融口座情報など、個人の機密情報にアクセスした。(18,653)

米国

Val Verde Unified School District

2022年1月22日から5月10日の間に、権限を持たないアクターが「限られた量の情報」にアクセスした。この侵害により、個人を特定できる情報が漏洩した。

米国

Amtel LLC

同社は、2023年4月19日にネットワーク内の不審な動きに対して警告を受けた後、データ侵害に遭った。権限を持たない者が、氏名や社会保障番号など、現在および過去の従業員の機微情報にアクセスした。(17,835)

米国

Pike Nurseries

LockBitランサムウェアは、同園芸会社をリークサイトに追加し、2023年5月28日に機微データを公開すると脅した。

イスラエル

Atid Group

ハッカーグループ「Sharp Boys」が、学生の個人データを含むデータベースを宣伝している。このデータには、氏名、身分証明書、住所、軍関連データなどが含まれている。(500,000)

バングラデシュ

Telerad Bangladesh

SiegedSecのアクターがこの遠隔放射線診断関連企業に侵入し、文書、データベースファイル、ソースコードなどの機微情報にアクセスしたとされている。

ラトビア

エアバルティック

2023年5月12日、技術的なミスにより、一部の顧客の予約情報が他の顧客宛にメールで送信される事態が発生した。流出した可能性のあるデータには、氏名、生年月日、メールアドレスが含まれる。

インドネシア

Bank Syariah Indonesia

2023年5月13日、LockBitランサムウェアグループが、1.5TBのデータを盗んだと主張した。盗まれたデータには、顧客や行員の連絡先、財務書類、顧客のカード情報、パスワードが含まれるとされる。(15,000,000)

米国

Renew by Andersen

2018年1月から2023年1月19日にかけて発生した侵害により、顧客データが流出した。これには、氏名、住所、社会保障番号などが含まれる。(13,464)

米国

Retirement Clearinghouse

権限を持たない者が従業員のメールアカウントにアクセスした。侵害された情報には、氏名、Matrix Trust CompanyのIRA口座番号、社会保障番号が含まれる。(10,509)

米国

Credit Control Corporation

2023年3月2日から3月7日にかけてのサイバー攻撃により、氏名、住所、社会保障番号、アカウント情報などが影響を受けた。この侵害は、主に同社のサービスを利用している医療機関に影響を与えている。(286,699)

米国

Asian Health Services

2023年2月7日から2月13日にかけて、権限を持たない者が従業員のメールアカウントにアクセスし、氏名、生年月日、電話番号、医療記録番号、およびその他の保護対象保健情報を取得した。

インド

KD Hospital

2023年5月13日、アーメダバード市の同病院がランサムウェア攻撃を受け、オンラインサーバーの全データが暗号化された。

米国

ScanSource Inc

2023年5月14日に初めてランサムウェア攻撃が発見された。

中国

チャイナデイリー

LockBitランサムウェアは、中国の同英字新聞をリークサイトに追加した。同グループは、2023年5月22日までに身代金を支払わなければ、盗まれたとされるデータを公開すると脅迫した。

フランス

Lacroix Group

このメーカーは、2023年5月12日にサイバー攻撃を受け、フランス、ドイツ、チュニジアの施設を停止させた。同社は、一部の現地のインフラが暗号化されていたことを明らかにしており、このインシデントがランサムウェア攻撃であったことが示唆されている。

トルコ

Boyner Büyük Mağazacılık

2023年4月28日から5月6日の間に、有効な認証情報を用いてSMS送信パネルへの不審なログインが行われた後、データ侵害により顧客の通信・取引データが漏洩した。(2,313,962)

モーリシャス

Seacom

Seacomは2023年5月初めにサイバーセキュリティインシデントを公表したが、その範囲は同社のホスティング環境に限定されており、少数の顧客にのみ影響を及ぼしている。Medusaランサムウェアはリークサイトにおいて、この攻撃がHostAfricaを標的としたものであると誤表示した可能性がある。

米国

Triad Business Bank

2023年1月24日から1月27日にかけて、権限を持たない者が行員のメールアカウントにアクセスし、氏名や社会保障番号を取得した。(8,235)

米国

Franklin County Public Schools

2023年5月15日にランサムウェア攻撃が発生し、一部のシステムがオフラインになった。現在も調査は継続中。

インド

Leverage EDU

一般にアクセス可能なAmazon S3バケットの設定ミスによって約24万件の機微なファイルが公開状態となり、誰もが生徒の個人情報にアクセスできるようになった。公開状態となったデータは、パスポート、金銭関連書類、証明書、試験結果、電話番号、住所など。

米国

複数組織

2023年5月17日、Village Bank、シスコ(Sysco)、Collins Electrical Construction、Kline & Specter、Puma Biotechnologyがデータ侵害を公表した。Kline & Specterのデータ侵害は、2023年3月13日に起こったランサムウェア攻撃によるものだった。(~ 150,000)

米国

Fertility Specialists Medical Group

2023年3月20日頃、権限を持たない第三者が同社のネットワーク上に保存されている患者の機密データに不正にアクセスした。侵害されたデータには、氏名、生年月日、住所、保護対象保健情報が含まれる。

米国

ウィットワース大学

2022年7月29日に外部からのハッキングの後、データ侵害が発生した。影響を受けたデータには社会保障番号が含まれる。(65,593)

英国

South Lanarkshire Council

同評議会は、2023年4月11日にwhatdotheyknow[.]comからの情報開示請求に応じる際、不注意により職員の個人情報を共有してしまった。流出したデータには、氏名、給与等級、勤務先、国民保険番号が含まれる。

米国

Premom App

妊活アプリ「Premom」の開発者は、ユーザーを欺き、中国に拠点を置く2社を含む第三者と機密性の高い個人情報を共有していたとして米国連邦取引委員会に訴訟を提起された。Premomはまた、AppsFlyerとGoogleにもユーザーの機微な保健データを開示した。

米国

The Heritage Group

2023年1月、権限を持たない者が同社のITネットワークにアクセスし、現・元社員およびその扶養家族の機微情報が漏洩した。これには、氏名、住所、社会保障番号などが含まれる可能性がある。

米国

Rainbow Grocery

カードスキミング攻撃によるデータ侵害で、2023年2月10日から2月26日の間に同社のPINパッドを使用した顧客が影響を受けている。

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプ

銀行・金融

Anonymous Sudanが、アラブ首長国連邦の多数の銀行を標的にしたと主張している。攻撃手段はおそらく分散型サービス拒否(DDoS)攻撃。報じられているところによると、標的には、ファースト・アブダビ・バンク、RAKBANK、マシュレク銀行のオンラインバンキングポータルが含まれるとのこと。

テクノロジー

Cybernewsの研究者は最近、CheckMateランサムウェアグループの新しい活動を発見した。この活動では、Server Message Block(SMB)における保護の弱い共有が標的となっている。攻撃者は、大規模スキャンを使用して脆弱なSMB共有を発見し、アクセス獲得のためにブルートフォース攻撃で認証情報を取得する。そして最終的に、AES暗号を使用して被害者のデータを暗号化する。同脅威アクターは、SMB共有に対して1日あたり50〜100回のブルートフォース攻撃を成功させている。

政府

中国の国家支援型APT「Camaro Dragon」によって実施されたヨーロッパの外務関連機関に対する一連の標的型攻撃を、Check Pointの研究者が観測した。このグループは、以前報告されたMustang Pandaの活動とも共通点を有している。Camaro Dragonは、TP-Link製ルーターに対して使用するためにカスタマイズされたファームウェア・イメージを使用していた。このインプラントは、Horse Shellと名付けられたカスタムMIPS32 ELFバックドアや、攻撃者に感染済みデバイスへのシェルを提供するパッシブバックドアなど、複数の悪意あるコンポーネントを備えている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(12 – 18 May 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ