中国の国家支援型アクター「Volt Typhoon」が米国の重要インフラを標的に

ウィークリー・サイバーダイジェストについて

サイバーセキュリティに関する1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

中国の国家支援型アクター「Volt Typhoon」が米国の重要インフラを標的に

グアムや米国内の重要なインフラ組織を標的とする中国の国家支援型脅威アクター「Volt Typhoon」を、マイクロソフトの研究者が発見した。このグループは通常、スパイ活動や情報収集を重点的に行っており、今回観測されたキャンペーンでは、侵害後の認証情報へのアクセスやネットワークの発見に注力している。このキャンペーンは、ステルス性が高く標的をかなり絞ったものと説明されており、Volt Typhoonはliving-off-the-land（環境寄生型）技術とハンズオンキーボード活動以外の手法をほぼ利用していないとされる。

BlackCatランサムウェアが菓子メーカーのオリオンを攻撃、1TB以上のデータを窃取か

BlackCatランサムウェアが、韓国人と中国人の従業員に関する機密文書、秘密保持契約書など、1TB以上のデータを盗んだとされている。攻撃者は証拠として数枚のスクリーンショットを投稿した。

ロシアの脅威グループAPT28、フィッシング技術を使ってウクライナの市民社会を標的に

ロシアの脅威グループAPT28が、複数のフィッシング技術を使用してウクライナの市民社会を標的にしているのを、Sekoiaの研究者が観測した。この活動の中では、マン・イン・ザ・ブラウザの手法を使用した認証情報の採取も行われている。ウクライナのシンクタンクであるCentre for Defence Strategiesが送信元であるかのように見せかけたHTML添付ファイルによって偽のログインウィンドウが作成されるが、これにはUKR[.]NETの偽ログインページを埋め込むためのiframeが含まれている。PipedreamやWebフックなどのHTTP Webフックサービスは、盗まれた認証情報の回収のために使用されてきた。

2023年5月25日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

Viking Coca-Cola

Black Bastaランサムウェアが、同メーカーを自身のリークサイトに追加し、データを盗んだと主張した。同アクターは、取得したデータの種類を公表しなかった。

イタリア

Asl 1 Abruzzo

同腫瘍治療院ネットワークがデータ侵害に見舞われ、盗まれたデータがダークウェブ上で公開されたと報じられている。漏洩した情報には病理学に関する情報や治療に関する情報が含まれる。

米国

ジェンテックス

同社が、数か月前にデータ侵害を受けたことを認めた。同社は初めに、2023年4月にDunghillランサムウェアのリークサイトに追加されており、同アクターは5TBの盗難データを盗んだと主張していた。これにはメール、顧客文書および社会保障番号などの従業員の個人情報が含まれる。（10,000）

米国

BNYメロン

同行のサードパーティのITシステムが不正アクセスを受けた後、データ侵害が発生した。これにより、氏名や社会保障番号などの機微な顧客情報が流出した。

米国

Great Expressions Dental Centers

2023年2月17日、権限のない者が同センターのコンピューターシステムにアクセスした。漏洩した患者情報には氏名、生年月日、電話番号、社会保障番号、金融口座情報などが含まれる。

米国

University of Missouri Health Care

2021年7月から2023年3月の間に、職員が736件の医療関連レコードにアクセスした。これにより氏名、生年月日、診療記録番号、および少数の診療情報と臨床情報の両方か一方などのデータが流出した可能性がある。

米国

インディアナ大学

保護されていないAzure StorageのBLOB2件には、130万件以上の公開状態のファイルが含まれており、これには機密のBeginning College Student Engagement Surveyを出どころとするデータが含まれていた。これには学歴や成績、性的指向、人種、民族などに関する回答が含まれる。

米国

Hammon Lumber

2023年3月30日頃、同社がLockBitランサムウェアのリークサイトに追加された。リークされたのは230GBのデータだと言われている。

イタリア

ルックスオティカ

2023年4月と5月に、ハッカーが米国とカナダの顧客の個人情報のレコード3億件を含むデータベースを公開した。同社は、この侵害により氏名、Eメール、住所、電話番号、生年月日が影響を受けたことを認めた。（70,000,000）

米国

PillPack

2023年4月2日から4月6日の間に、権限を持たない人物が顧客のメールアドレスとパスワードを使用してPillPackのアカウントにログインした。このアクターは19,032件のアカウントへのログインに成功したが、そのうち3,614件のアカウントには処方箋情報が含まれていた。

米国

Peachtree Orthopedics

2023年4月20日、権限を持たない者が同社のコンピューターネットワーク内の限られたシステムにアクセスした。侵害された可能性のあるデータは、氏名、住所、生年月日、運転免許証番号、社会保障番号など。2023年5月12日、Karakurtはアトランタの同整形外科をリークサイトに追加し、194GBのデータを盗んだと主張した。

米国

South Texas Health System

2023年1月9日頃、業務提携先がフィッシング攻撃の被害に遭い、Edinburgの同院の施設が影響を受けた。侵害されたデータには、氏名、患者のアカウント番号や医療記録番号のほか、一部の治療情報などが含まれていた可能性がある。病院経営会社であるUHS of Delawareも、テキサス州民13万人分の同様の情報に影響を与える侵害について報告した。なお両者はいずれもユナイテッド・ヘルス・サービス社の傘下にある。

米国

Shore Regional High School District

LockBitランサムウェアが、2023年5月18日にニュージャージー州の同学区をリークサイトに追加し、身代金の支払い期限を2023年5月19日と提示した。

米国

ディッシュ・ネットワーク

最近発生したランサムウェア攻撃により、現在および過去の従業員とその家族が所有する機密記録および機微情報が影響を受けた。これはBlack Bastaランサムウェアによる攻撃だと考えられている。（296,851）

米国

Solutran

データ侵害により、同社の会員企業の従業員が影響を受けた。漏洩したデータには、氏名、クレジットカード、デビットカード、ベネフィットカードの番号が含まれる可能性がある。

米国、カナダ

複数

Snatchランサムウェアのアクターが、ニューヨーク州医師会およびカナダ看護協会をリークサイトに追加した。

フランス

Mazars Group

BlackCatランサムウェアがリークサイトに同社を追加し、700GBのデータを盗んだと主張した。これには、契約書、財務記録、その他の機微データが含まれているとされる。

ドイツ

ラインメタル

2023年5月22日、同メーカーは2023年4月に検知されたサイバー攻撃がBlack Bastaランサムウェアによる攻撃だったことを認めた。このインシデントによる影響を受けたのは同社の民間事業のみだった。

インド

保険情報局

ランサムウェア攻撃により、約30台のサーバーシステムが暗号化された。侵害されたデータには、機密情報とファイアウォールのログからのデータ16GB分が含まれる。

米国

Advisor Group

同社は2021年12月23日、データ侵害に遭った。これは、サードパーティーベンダーであるRR Donnelly & Sonsで発生したサイバーセキュリティインシデントに起因するもの。侵害されたデータには、氏名、住所、社会保障番号など、Advisor Groupの消費者の個人情報が含まれる。

米国

Apria Healthcare LLC

データ侵害により、患者や職員の個人情報が影響を受けた。侵害された可能性のある情報には、個人情報、医療情報、健康保険情報、金銭関連情報が含まれるほか、一部の限られたケースでは社会保障番号が含まれる。

英国

複数

英国の複数の議会が、Capitaでの最新の侵害の影響を受けたことを明らかにしている、この侵害は、保護されていないAmazon Web Servicesのバケットに起因するもの。影響を受けた議会には、コルチェスター市議会、コベントリー市議会、Adur & Worthing議会、Rochford District議会、ダービー市議会、サウス・スタッフォードシャー議会が含まれる。

米国

Clarke County Hospital

同病院は、2023年4月14日にデータ侵害が発生し、現在および過去の患者の個人情報が流出した可能性があることを認めた。これには、氏名、住所、生年月日、健康保険情報、医療情報などが含まれる。侵害の公表は、Royalランサムウェアが2023年4月24日にリークサイトに同院を掲載したことを受けてのもの。

インド

Zivame

顧客データの販売を、脅威アクターらが宣伝した。このデータには、名前、Eメール、電話番号、住所が含まれるとされる。（1,500,000）

米国

On Demand Staffing Inc

Carvin Softwareが自身の顧客に代わってデータ侵害を公表した。これは、ODSの顧客データへの不正アクセスを伴う2023年2月22日から3月9日にかけてのサイバー攻撃を受けての措置。侵害されたデータには、氏名、社会保障番号、金融口座情報などが含まれる。

米国

Morris Hospital

Royalランサムウェアが、2023年5月22日に同医療施設をリークサイトに追加した。同グループは現在のところ、身代金要求メモや支払い期限を提供していない。

米国

Chattanooga State Community College

Snatchランサムウェアのアクターが、2023年5月6日に発生した同カレッジへのサイバー攻撃の犯行声明を出した。

米国

Harvard Pilgrim Health Care

この医療機関は、親組織であるPoint32Healthへのランサムウェア攻撃による影響を受けていた。3月28日から2023年4月17日の間に、Harvard Pilgrimのシステムから、氏名、住所、電話番号、生年月日、社会保障番号などのデータがコピーされ、持ち出された。

米国

フィラデルフィア・インクワイアラー紙

Cubaランサムウェアは、2023年5月13日のサイバー攻撃ののち、同新聞をリークサイトに追加した。同グループは、財務文書やソースコードなど、さまざまな機微データを盗んだと主張している。同紙は、リークデータが自身のものであることを否定している。

米国

Voxx Electronics

2023年5月24日、BlackCatランサムウェアグループが同社をリークサイトに追加し、大量の機微データを盗んだと主張した。このデータには、銀行や財務記録などの個人データ、顧客やパートナーの機密文書などが含まれているとされる。

ロシア

Evotor

公開状態となった環境ファイルに、RedisとZendeskのデータベース、トークン、認証情報が含まれていた。脅威アクターがこれらを悪用し、企業の機微データや顧客とのやり取りにアクセスする可能性がある。

米国海兵隊

2023年5月9日に暗号化されていないEメールによって侵害が発生し、兵員の個人情報が流出した。この情報には、氏名、社会保障番号の下4桁、連絡先情報、口座番号およびABA番号が含まれる。（39,000）

重要インフラに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のマルウェアを示しています。

政府

脅威グループUAC-0063によるスパイ活動の一環としての政府機関に対するサイバー攻撃について、CERT-UAが警告した。この侵入セットでは、メールのフィッシングルアーを利用してさまざまな悪意あるツールが展開される。このグループは、モンゴル、カザフスタン、キルギスタン、イスラエル、インドなどの組織に関心を抱いている。観測されたマルウェアにはHATVIBEが含まれるが、同マルウェアはLOGPIEキーロガー、CHERRYSPYバックドア、ファイル抜き取りのためのSTILLARCHまたはDownExの投下に使われる。

暗号資産

マルチチェーン詐欺を専門とする詐欺ベンダー「Inferno Drainer」に関連する複数のフィッシングインシデントを、ScamSnifferの研究者が発見した。Inferno Drainerはこれまでに、4,888人の被害者から約590万ドル相当の暗号資産を盗んでいる。これには、Mainnet、Arbitrum、Polygon、BNBといった複数のブロックチェーンの資金が含まれる。この暗号フィッシングサービスはTelegram Messengerで宣伝されており、請求料金は盗まれた資産の20%とフィッシングサイト作成料の30%。2023年3月27日以降、Inferno Drainerは少なくとも689のフィッシングサイトを作成し、Pepe、OpenSea、MetaMaskなど229のブランドをターゲットにしている。

テクノロジー

2023年5月19日、Barracudaは、同社のEmail Security Gateway（ESG）アプライアンスの一部でゼロデイ脆弱性を発見した。同社はこの脆弱性（CVE-2023-2868）が、顧客の一部のESGアプライアンスで悪用され、不正アクセスにつながったと判断した。なお、調査対象は同社のESG製品に限定されており、顧客の企業ネットワークは調査対象外。このため、影響を受けた組織は、自社の環境をレビューし、攻撃者の脅威がさらに拡大しなかったかを確認する必要がある。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(19 – 25 May 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/