新生BreachForumsをライバルフォーラムOnniForumsがハッキング | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新生BreachForumsをライバルフォーラムOnniForumsがハッキング

Threat Report

Silobreaker-CyberAlert

新生BreachForumsをライバルフォーラムOnniForumsがハッキング

佐々山 Tacos

佐々山 Tacos

2023.06.20

新生BreachForumsをライバルフォーラムOnniForumsがハッキング

創設者「pompompurin」の逮捕を経て閉鎖されていた人気ハッキングフォーラムのBreachForums。後継フォーラムを名乗る数々の非公認フォーラムが登場したのち、サイバー犯罪グループSkinnyHuntersの管理下で6月12日に「本物」とされるBreachForumsが復活したと報じられていた。しかしそんな新生BreachForumsに、早くもハッキングおよびユーザーデータのリークという試練が降りかかっているようだ。

フォーラムOnniForumsのユーザー「DataBroker」が犯行声明・データリーク

報道によると、フォーラムOnniForumsの管理者「DataBroker」はBreachForumsをハッキングしたと主張し、同フォーラムから盗み出したデータベースを共有しているという。このデータベースには、ユーザー名、パスワード、暗号ソルト値、ログインキー、ユーザーのメールアドレス、各ユーザーが行った投稿数、各ユーザーが開始したスレッド数、その他のユーザーアクティビティデータなど、ユーザー4,700人分の情報が含まれるとされる。なおCybernewsのリサーチチームによれば、このデータベースに含まれる情報が復活版BreachForumsに登録したユーザーに関する情報であることは確認済みだという。

OnniForumsの管理者は過去にExposedフォーラムのハッキングにも関与か

OnniForumsの管理者は先日、旧BreachForums閉鎖後に出現した複数の代替フォーラムのうちの1つである「Exposed」のハッキングも行っていたとされる。その後Exposedのオーナー「Impotent(ImpotentDude)」は同フォーラムの所有権を売りに出すと主張していたが、DataBreaches.netの特派員は、この売り出しはフォーラムがハッキングされた事実を隠蔽するための措置だったと指摘していた。

ShinyHuntersはハッキングに関する声明を発表か

以下のツイートによると、ハッキング被害を受け、新たに復活版BreachForumsの管理を担うようになったとされるShinyHuntersが声明を発表したものとみられる。ツイート内の画像からは、ShinyHuntersがユーザーにこの件について謝罪するとともにパスワードのリセットを呼びかけ、攻撃者のバックエンドに関するURLとみられるものを掲載している様子が伺える。また、競合フォーラムからのDDoSに四六時中対処しなければいけないことなどへの言及も見受けられる。

BreachForumsをめぐる状況は目まぐるしく変化

「pompompurin」の逮捕以降、BreachForumsをめぐる状況は目まぐるしく変化しており、今後もその動向が注目される。なお、同フォーラムが辿ってきたこれまでの経緯などについては、以下の特集記事も参照されたい:「復活」が報じられたBreachForums、これまでの経緯を振り返る

 

(情報源:Cybernews ”New BreachForums site hacked by rivals”、DataBreaches.net ”The reincarnation of BreachForums: A cyberdrama in three acts”)

6月20日:その他の注目ニュース

ハッカーグループ、OnlyFansの偽写真を使用し情報窃取マルウェアを仕掛ける

Bleeping Computer – Jun 19 2023 17:14

OnlyFansの偽コンテンツやアダルトな誘い文句を利用し、リモートアクセス型トロイの木馬「DcRAT」をインストールさせるマルウェアキャンペーンが行われているとの報道。DcRATにより、脅威アクターは感染したデバイス上でデータや認証情報を盗んだりランサムウェアを展開したりできるようになるという。OnlyFansは、有料会員がアダルトモデル、著名人、ソーシャルメディア上のインフルエンサーのプライベートな写真、ビデオ、投稿にアクセスできるコンテンツサブスクリプションサービス。感染経路は不明だが、悪意のあるフォーラムの投稿、インスタントメッセージ、マルバタイジングなどが考えられる。疑わしいソース、特にプレミアム/有料コンテンツへの無料アクセスを提供するソースからアーカイブや実行可能ファイルをダウンロードする際には、注意を払うことが重要だ。

KeePassXCの脆弱性:CVE-2023–35866

Medium Cybersecurity – Jun 19 2023 10:16

オープンソースのパスワードマネージャーとして広く使われているツール「KeePassXC」の脆弱性CVE-2023–35866について、 CyberCitizen.techが注意喚起している。この脆弱性は、KeePassXC-Databaseのセキュリティ設定を変更する際に、マスターパスワードや設定された2段階目の認証要素による確認がなされないことに関連しているという。これはつまり、同データベース(オープン)にアクセスできる人物であれば誰もが適切な認証プロセスを踏むことなく、重要なセキュリティ設定を変更することができる状態だということ。CyberCitizen.techはこの問題に対処するための措置として、重要な設定変更時にはマスターパスワードによる確認を義務付けるようにすることなど、いくつかの対策を提案している。

アップデートされたAndroid用スパイウェアGravityRATが、WhatsAppのバックアップファイルを盗んでいるのが見つかる

Cyware – Jun 19 2023 12:48

2022年8月以降、Android用スパイウェアのGravityRATのアップデート版が、メッセージングアプリBingeChatおよびChaticoを介して配布されているのが発見された。ESETは、このキャンペーンがパキスタンとの関連が疑われるグループSpaceCobraによるものだと考えている。同社の研究者によると、悪意のあるBingechatアプリは、Android用の正規のオープンソース・インスタントメッセージングアプリOMEMO IMのトロイの木馬化されたバージョンであるとのこと。このアプリの登録は招待制で、攻撃者は被害者に特定の時間枠内に有効な認証情報を入力するよう要求するという。登録が成功すると、Bingechatは連絡先、位置情報、電話、SMS、ストレージ、通話ログ、カメラおよびマイクにアクセスする許可を要求するようだ。またGravityRATの新バージョンはWhatsApp上のバックアップファイルを抜き取り、すべての連絡先を削除し、すべての通話ログを削除するという。さらに、jpg、jpeg、log、png、PNG、JPG、JPEG、txt、pdf、xml、doc、xls、xlsx形式のメディアファイルやドキュメントファイルを盗み出すそうだ。GravityRATの新機能は主にモバイルデバイスのユーザーをターゲットとして設計されているため、ユーザーは、信頼できないソースやサードパーティーのソースからダウンロードされたアプリに常に警戒する必要がある。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ