KillnetとAnonymous Sudan、国際金融公社（IFC）を標的にしたと主張

ウィークリー・サイバーダイジェスト

KillnetとAnonymous Sudan、国際金融公社（IFC）を標的にしたと主張

ロシア関連のハクティビスト、KillnetとAnonymous Sudanは、ワシントンDCに本部を置く国際金融公社（IFC）を標的にしたと主張している。IFCのWebサイトは2023年6月21日の朝にダウンしていたとされるが、その後稼働を再開している。またKillnetは最近、欧州投資銀行（EIB）、IBAN、SWIFT、欧州中央銀行（ECB）など、ヨーロッパの主要な金融機関を狙った攻撃も行っていると主張した。ECBとSWIFTはいずれもシステムは正常に稼動していると述べた一方、EIBはWebサイトの可用性に影響を与えるサイバー攻撃に遭っていることを認めた。

新たなDDoSボットネット「Condi」がTP-Link製ルーターの重大な脆弱性を悪用して拡散（CVE-2023-1389）

TP-Link製ルーターArcher AX21の重大な脆弱性CVE-2023-1389を悪用して拡散する新しいDDoSボットネット「Condi」の最近のサンプルを、Fortinetの研究者が発見した。2023年5月にCondiのサンプル数の増加が記録されており、ボットネットを拡大しようとする動きが活発になっていたことが示唆されている。C2との通信に使用されるCondiのバイナリプロトコルは、当初Miraiによって実装されたものの修正バージョン。

BlackByteランサムウェア、ヤマハの米子会社をリークサイトに追加

BlackByteランサムウェアグループが、ヤマハ・コーポレーション・オブ・アメリカを自身のリークサイトに追加した。

2023年6月22日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

Leidos Insurance Company

Diligent Corporationが提供するソフトウェアにおける脆弱性の悪用に関連する不正アクセスが2件発生し、2022年9月30日頃に侵入が開始された。漏洩した可能性のあるデータには、氏名、社会保障番号、運転免許証番号、金融口座情報、保護対象保健情報および納税者情報が含まれる。

インド

Granules India

LockBitランサムウェアが、同製薬大手を自身のリークサイトに追加し、盗まれたとされるデータの一部を公開した。同社はまだこのランサムウェア攻撃を確認していないが、2023年5月にサイバーセキュリティインシデントが発生したことを開示した。

ニュージーランド

スマートペイ・ホールディングス

同社は2023年6月9日に終わる週にランサムウェア攻撃の標的となった。同社の調査により、オーストラリアおよびニュージーランドで顧客データが盗まれたことが確認された。

米国

Pearland ISD

同学区が、2022年11月にネットワーク内で異常な動きを発見した。調査により、氏名、生年月日、住所、社会保障番号、運転免許証または州発行の身分証明書番号、金融口座情報などを含む個人情報が侵害されたと判定された。

英国

Kisco Senior Living

BlackByteランサムウェアが、同ヘルスケアプロバイダーを自身のリークサイトに追加した。また同グループは、盗まれたとされるデータのスクリーンショットも共有した。

米国

Reddit

BlackCatランサムウェアが、2023年2月に発生したサイバー攻撃について犯行声明を出し、圧縮されたデータ80GBを盗んだと主張した。

アイルランド

Public Appointment Service

管理上のミスにより、求職者が別人の氏名および別人が通知を希望した職務リストを含む可能性のあるメッセージを受け取った。このメッセージは取り消される前に529人に開封された。（15,471）

米国

Mondelez Global LLC

2023年2月27日、同社のシステムへの不正アクセスが発見された。攻撃者は氏名、社会保障番号、生年月日、退職金の積立計画に関する情報および雇用情報にアクセスすることができた。（51,110）

米国

PEO Sisterhood

2023年4月14日頃、データ侵害およびランサムウェア攻撃を示唆する可能性のある、同団体のシステムへの不正アクセスが発見された。漏洩したデータには氏名、社会保障番号、生年月日、住所、電話番号およびメールアドレスが含まれる。（294,000）

米国

Atrium Health Wake Forest Baptist

従業員のメールアカウントに関わるフィッシングインシデントにより、データ侵害が発生した。漏洩した可能性のある情報には、氏名、生年月日、社会保障番号、健康保険情報などが含まれる。

プエルトリコ

FirstBank Puerto Rico

Mortgage Industry Advisory Corporation（MIAC）に保存されていたデータが、2023年4月5日から4月6日の間に不正アクセスの標的となった。影響を受けたデータの種類はまだ確認されていない。MIACにおける侵害により他の金融機関も影響を受け、社会保障番号が流出したことが報告された。

オーストラリア

メディバンク

同社のプロパティマネージャーがMOVEitにおける侵害の影響を受けた後、スタッフに関する情報を含むファイルが侵害された。影響を受けたデータには、氏名、メールアドレスおよび電話番号が含まれる。

BreachForums

新たに再開されたBreachForumsが、ライバルのハッキングフォーラムにハッキングされ、約4,700人のメンバーの個人情報を含むデータベースを公開されたと報じられている。漏洩した可能性のあるデータには、ユーザー名、パスワード、暗号化ソルト値、メールアドレスなどが含まれる。（4,700）

米国

The Hatcher Agency

2023年2月14日、権限を持たない者が同社のITネットワークの一部にアクセスした。これにより氏名、社会保障番号、運転免許証番号、連絡先などを含む消費者の機密情報が流出した。（9,500）

米国

Parker Wellbore

機微な消費者データが、権限を持たない者でも利用できる状態になっていた。これには氏名、社会保障番号、運転免許証番号、政府発行の身分証明書番号、金融口座情報、ペイメントカード番号および医療情報が含まれる。

DiscoverEU

DiscoverEUのWebサイトに脆弱性があり、誰でもAPIを通じてアカウントを作成し、ダッシュボード上の登録情報を取得することができた。表示されるデータは氏名、メールアドレス、出身国など。（245,971）

オーストラリア

ナショナルオーストラリア銀行

BlackCatランサムウェアによるHWL Ebsworthへの最近の攻撃により、一部の顧客データが影響を受けた可能性がある。同行は「大多数の」顧客には影響が及ばない旨と、同行のシステムは依然として安全である旨を述べた。

マン島政府

内閣府の上級職員が、2022年4月1日から2023年3月22日までの間に、540件以上の情報公開（FOI）請求内の個人情報にアクセスした。アクセスされた情報は、請求の詳細、請求者の氏名、住所、連絡先に関するもの。この侵害により、20の別々の公的機関に影響が及んでいる。

米国

Mammoth Energy

BlackCatランサムウェアが、データベース、Dynamics GP、個人ファイルなど、かなりの量のデータを盗んだと主張した。

複数

Group-IBの研究者は、過去1年間に不正なダークウェブマーケットプレイスで取引された情報窃取マルウェアのログから101,134件のChatGPTの認証情報を発見した。ChatGPTアカウントを含むログの大部分はインフォスティーラーRaccoonによって侵害されていたほか、VidarやRedlineスティーラーのログからも認証情報が発見された。

インド

Square Yards

設定ミスのあるGoogle Cloud Storageバケットに、賃貸契約当事者、テナント、現従業員、求職者の機微データを含む約3億5,000万件のファイルが含まれていた。公開状態となったデータは、パスポート、銀行取引明細書、給与明細書など。バケットはその後保護されている。

米国

Gen Digital

マネージドファイルシステムMOVEit Transferに対する最近のClopランサムウェアによる攻撃で、従業員情報が侵害された。漏洩したデータには、氏名、住所、生年月日、業務用Eメールアドレスが含まれる。

カナダ

Metro Vancouver Transit Police

同機関は、MOVEitを狙った攻撃の被害者となり、186件のファイルが流出したことを明らかにした。

米国

Telos

Clopランサムウェアのアクターは、バージニア州の同サイバーセキュリティ・プロバイダーをリークサイトに追加した。同社は、このインシデントがClopによるMOVEit Transferの広範な悪用に関連していることを認めている。

米国

Blue Sage Capital

8Baseランサムウェアは、テキサス州の同プライベートエクイティ会社をリークサイトに追加し、同社の機微データにアクセスできたと主張した。これには、保険証書、財務文書、内部記録、ローンや付随契約、契約書が含まれる。

米国

Vincera Institute

2023年4月29日、ランサムウェア攻撃によりデータ侵害が発生した。侵害された可能性のある情報には、氏名、連絡先、社会保障番号、生年月日、病歴、治療記録、保険情報などが含まれる。

米国

ハワイコミュニティカレッジ

同カレッジが、2023年6月13日のランサムウェア攻撃に関する通知を受け取った。ハワイ大学の他のキャンパスへの影響はない。

ニュージーランド

ウェリントン市議会

同市議会が、交通事故に巻き込まれた個人の氏名や医療情報を含む個人情報を不注意により漏洩させた。このデータは同市議会がWaka Kotahi（ニュージーランド交通公社のサイト）から抽出したもので、1,876件の事故に関するものだった。（4,224）

米国

ユナイテッド・パーセル・サービス（UPS）

同社のオンライン荷物検索ツールを攻撃者が悪用し、2022年2月から2023年4月にかけて、カナダに住む顧客の配達情報にアクセスした。これには、個人の連絡先情報が含まれる。これらの情報はその後、現在進行中のSMSフィッシングキャンペーンに利用された。このキャンペーンは、荷物の配達前に受取人に支払いを要求するというもの。

ドイツ

BIG Direkt Gesund

Black Bastaランサムウェアがドイツの同保険会社に対する攻撃の犯行声明を出した。この攻撃は、同社のITサービスプロバイダーであるBitmarckが2023年4月下旬に侵害された後に発生したと報告されている。

日本政府

日本のメディアは、似たような名前を持つ国民数人が、他の個人用に発行されたマイナンバーカードを受け取っており、中には他人の記録に紐づけられたカードを受け取っている者もいると報じた。

米国

カリフォルニア州職員退職年金基金

同組織は、サードパーティーであるPBI Research Services社におけるデータ侵害の影響を受けたことを通知された。これにより、退職者の個人情報が侵害された。（769,000）

アルゼンチン

国家安全保障会議

2023年6月19日、Medusaランサムウェアグループが同組織から盗んだとされる1.5TBのデータをリークした。盗まれたデータには、認証情報を含む個人データ、従業員ファイルなどが含まれているという。

米国

複数

Fortra GoAnywhere MFTを狙ったClopランサムウェアによる攻撃の結果、IntelliHARTxと取引のあるさらに多くの医療機関が影響を受けた。これには、ケープジラードのSoutheast Health、University of Toledo Medical Center、CoxHealthが含まれる。侵害されたデータはさまざまで、氏名、生年月日、社会保障番号、医療記録、保険情報などが含まれる可能性がある。

米国

Atlanta Women’s Health Group

ハッキングインシデントにより、患者の機密情報が不正アクセスを受けた。侵害されたデータには、氏名や保護対象保健情報が含まれる。（>33,000）

米国

iOttie

同社Webサイトへのスキマー攻撃により、個人情報や完全なペイメントカード情報を含む顧客データが侵害された。悪意あるコードは、2023年4月12日から6月2日の間に存在していた。

重要インフラに関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の脅威アクターを示しています。

政府

ロシアの脅威アクターShuckwormによる、ウクライナを狙った継続的なキャンペーンを、シマンテックの研究者が分析した。同グループは絶えずその戦術や検出回避ツールを変更しているが、初期アクセスに悪意ある添付ファイル付きのフィッシングメールを使用することが知られている。また最近では、カスタム・バックドアであるPterodoをUSBメモリ経由で拡散することも観測されている。USBドライブは、おそらくラテラルムーブメントに使用され、エアギャップされたマシンに到達するために使用される可能性がある。最近の標的は、セキュリティサービス、軍事関連組織、政府組織など。

政府

中東およびアフリカの政府機関を標的とする新しいスパイ活動クラスター「CL-STA-0043」を、Palo Alto Networksが特定した。その巧妙さと被害者の特徴から、同グループが高度な能力を持つ、おそらく国家型のAPTアクターであろうことが示唆されている。このグループが使用した新しい防御回避テクニックには、インメモリVBSインプラントを使用してWebシェルを密かに実行するものや、PowerShellスクリプトを使用して新しいネットワークプロバイダーを登録するという珍しいクレデンシャル窃取テクニックなどがある。また、このグループは、選抜された少数のターゲットに対する新しいMicrosoft Exchangeメール抜き取りテクニックやYassoと名付けられた新しい侵入ツールセット、および特権昇格のためのJuicyPotatoNGとSharpEfsPotatoを使用した。

暗号資産

2022年半ばから2023年初頭にかけて、相互に関連する半ダース以上のインシデントを引き起こした脅威グループ「Muddled Libra」を、Palo Alto Networks Unit 42の研究者が調査した。このグループは、価値の高い暗号資産関連機関や個人にサービスを提供する大規模なアウトソーシング企業を標的としている。この几帳面な敵対者は、ソフトウェアオートメーション業界、ビジネス・プロセス・アウトソーシング（BPO）業界、テレコミュニケーション業界、テクノロジー業界の組織に対する脅威である。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(16 – 22 June 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/