脅威アクター「Neo_Net」、世界の銀行狙った攻撃で数十万ユーロを盗み出す | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 脅威アクター「Neo_Net」、世界の銀行狙った攻撃で数十万ユーロを盗み出す

Threat Report

Silobreaker-WeeklyCyberDigest

脅威アクター「Neo_Net」、世界の銀行狙った攻撃で数十万ユーロを盗み出す

山口 Tacos

山口 Tacos

2023.07.07

ウィークリー・サイバーダイジェスト

脅威アクター「Neo_Net」、世界の銀行狙った攻撃で数十万ユーロを盗み出す

2021年6月から2023年4月にかけて世界的に著名な銀行(特にスペインとチリのもの)の顧客を標的にしていた脅威アクター「Neo_Net」の活動を、セキュリティ研究者Pol Thillが調査した。Neo_Netは比較的単純なツールを使って35万ユーロ(約38万ドル)を盗み、被害者数千人の個人を特定できる情報を侵害した。このキャンペーンの攻撃は複数の段階で構成されており、金融機関になりすました送信者IDの使われた標的型SMSフィッシング・メッセージから始まっていた。これらの攻撃は、Neo_Netの専有スミッシング・アズ・ア・サービスプラットフォームである「Ankarex」 が利用したもので、多くのアフィリエイトにも提供されている。またアフィリエイトらは、Neo_Netのフィッシング・パネル、スミッシング・ソフトウェア、Android向けトロイの木馬など広範なインフラをレンタルしている。

中国のアクターがHTMLスマグリング用いてPlugXを展開する攻撃で欧州の外務省や大使館を標的に

Check Pointの研究者はここ数か月間、ヨーロッパ内の外務省や大使館を標的とした、中国の脅威アクターによるキャンペーンを追跡してきた。「SmugX」と名付けられたこのキャンペーンは、遅くとも2022年12月から行われています。同脅威アクターはHTMLスマグリングを利用してPlugXの新しい亜種を展開する。ペイロード自体は以前の亜種と類似しているが、その配布手法により検出率は低くなっている。この亜種はXORではなくRC4暗号を使用する。

脆弱なSSHサーバー狙う新たなプロキシジャッキングキャンペーンが見つかる

2023年6月、Akamaiの研究者は、脆弱なSSHサーバーを標的とし、Dockerサービスを起動させて金銭目的で被害者の帯域幅を共有するプロキシジャッキングキャンペーンを発見した。このキャンペーンでは、侵害されたWebサーバーを利用して必要な依存関係を配布し、競合するインスタンスが積極的に検索されて削除される。攻撃者は、検出を回避するためにさまざまな難読化技術を採用している。

2023年7月6日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

英国

国民保健サービス

マンチェスター大学へのランサムウェア攻撃により、200の病院にわたる主要な外傷患者やテロ攻撃後に治療を受けた人々のレコードが侵害された。侵害されたデータには、NHS番号と患者の郵便番号の最初の3文字が含まれる。(1,100,000)

インド

ピラマルグループ

BianLianランサムウェアが、2023年6月28日にサイバー攻撃を行ったとされた後、870GBのデータにアクセスしたと主張した。侵害された可能性のあるデータには、金銭関連情報、他社の会計情報、個人情報などが含まれる。

米国

Henrietta Johnson Medical Centre

2023年4月5日に発生したサイバー攻撃の後、同センターのネットワークプロバイダーであるDelaware Health Networkで侵害が発生した。侵害された可能性のある患者データには、氏名、生年月日、健康保険情報などが含まれる。(>500)

米国

ルーズベルト大学

2023年5月1日、権限を持たない者が、FAFSAの申請書を提出した学生および入学希望者の情報を含むファイルにアクセスした。侵害された可能性のあるデータには氏名、住所、社会保障番号および運転免許証番号が含まれる。(47,877)

米国

シティ・トレンズ

2023年1月14日頃に発生したサイバー攻撃により、消費者、従業員および従業員候補の個人情報に対する不正アクセスが発生した。侵害された情報には氏名、社会保障番号および金融口座情報が含まれる。

米国

Econsult Solutions

データ侵害により、納税証明書や社会保障番号を含む従業員の金銭関連情報が漏洩した。

米国

Lebanon School District

2023年6月15日に起きたランサムウェア攻撃により、同学区は予防措置として複数のシステムのシャットダウンを余儀なくされた。

米国

Lumberton ISD

Rhysidaランサムウェアがデータ侵害への関与を主張し、300GBのデータを盗んだとされている。同データにはW-9ファイル、社会保障番号、テキサス州の運転免許証、パスポートなどが含まれていた。

Granules India

同社が、過去に報道された2023年5月に発生したサイバー攻撃について、あるランサムウェアグループが関与を主張したことを明らかにした。同社は以前、LockBitランサムウェアのリークサイトに追加されていた。

米国

United Services Automobile Association

サードパーティのサービス供給会社の従業員がアクセス認証情報を誤って共有し、2022年12月20日から2023年5月18日の間、会員の個人情報への不正アクセスが可能な状態となった。侵害された情報には、氏名、運転免許証番号、銀行口座番号などが含まれる可能性がある。(~19,000)

米国

Mount Desert Island Hospital

2023年4月28日から5月7日の間に、同院のネットワークに対する不正アクセスが発生した。侵害された可能性のあるデータには氏名、住所、生年月日、社会保障番号、医療記録などが含まれる。Snatchランサムウェアグループは、2023年6月5日に同院を自身のリークサイトに追加した。(24,180)

米国

複数

BlackCatランサムウェアが、Coachella Valley Collection Service、Kansas Joint & Spine Specialists、およびBarts Health NHS Trustを自身のリークサイトに追加した。同グループは各組織からそれぞれ575GB、467GB、および7TBのデータを盗んだとされる。漏洩した可能性のあるデータは従業員の個人情報、社会保障番号、ローンデータなど。

中国人民大学

同大学が、データ侵害で一部の学生の情報が盗まれたことを確認した。これは、Weiboユーザーであり元学生の人物が学生情報を入手し、それらの写真に基づいて人物の外見を評価するWebサイトを作成したと主張したことを受けてのものである。盗まれたデータには氏名、IC番号、および生年月日と出生地が含まれると言われている。

米国

John & Kira’sおよびSmithfield Speciality Food

双方の会社が、WebホスティングプロバイダーのCommerceV3で発生したデータ侵害の影響を受けた。漏洩した可能性のある顧客データには氏名、請求先住所、メールアドレスおよびペイメントカード情報が含まれる。

オーストラリア

オプタス

オーストラリア情報委員会(OAIC)が、オーストラリアの法律事務所HWL Ebsworthに対するBlackCatランサムウェアによる最近の攻撃で、2021年に開始されたオプタスへの調査に関するデータが影響を受けたことを確認した。

米国

ARx Patient Solutions

2022年3月、権限のないサードパーティが従業員のメールアカウントにアクセスした。このデータ侵害で氏名、生年月日、医療情報などを含む個人データが漏洩した可能性がある。

米国

アリゾナ医療費削減システム

2023年5月11日、同社が、システムエラーにより生じたメディケイドの会員に影響を及ぼす個人情報の侵害を発見した。漏洩した情報には氏名、住所および社会保障番号の下4桁が含まれる。(2,632)

米国

ランシング・コミュニティ・カレッジ

2022年12月25日から2023年3月15日の間、攻撃者らが学内のコンピューターシステムにアクセスし、氏名および社会保障番号を含むデータを盗んだ。このサイバー攻撃は2023年3月に最初に報告された。当時、同大学はオンラインコースを一時停止し、学内のWiFiを一時的にシャットダウンした。(758,000)

TAPポルトガル航空

ハッキンググループGhostSecが、ポルトガルの同航空会社から350GBのデータを盗んだと主張した。同グループは25万ドルの身代金を要求し、1週間以内にデータをリークすると脅迫した。

複数

研究者らが、複数の人気ソーシャルメディア・プラットフォームのものを含む一連のデータベースが流出した疑惑を確認した。TikTokのデータベースが、ハッキングフォーラム上で宣伝された。これには2022年のデータ178GBが含まれるとされる。また、1,700万件を超えるレコードを含むInstagramのデータベース、およびYahooのメールアカウントのデータベースも宣伝された。

メキシコ

Instituto Mexicano de la Juventud

攻撃者らが、ダークウェブ上で同政府機関のものと報告されているデータベースを宣伝した。同アクターらは3,000件超のレコードとともに、Webサイトの同データベースへの完全なアクセスを販売していると主張した。

スイス

Swiss Review

2023年5月3日、同誌の購読者に関する情報を含む盗まれたデータセットがダークネット上に公開された。このデータリークは、2023年3月にノイエ・チュルヒャー・ツァイトゥングとCHメディアという出版社に対するフィッシング攻撃によって生じた。このデータセットには、軍、連邦警察および国境の隊員を含む、海外在住のスイス人のメールアドレスと住所が42万5,000件以上含まれている。

米国

タウンスクエア・メディア

脅威アクターが、過去1年以内に作成された同社のサーバーやワークステーションを出どころとするファイルを含む251GBのデータを盗んだとされている。証拠として、盗まれたデータのスクリーンショットがいくつか提供された。

ポルトガル

Luna Hotels & Resorts

同ホテルチェーンが、Medusaランサムウェアグループのリークサイトに追加された。このグループは、盗まれたとされるデータを1週間以内にリークすると脅迫した。攻撃者は10万ドルの身代金を要求し、期限を延長する追加オプションも提示した。

フランス司法省

Kromsecとして知られるハッカーグループが、Telegramチャンネル上で、フランスの判事や弁護士の職務上のメール、電話番号、住所、IBANの詳細情報などの機微情報をリークしたと主張している。(1,120)

米国

フォートワース

SiegedSecのハッカーが、政府ネットワークから盗まれたとされるデータの別のバッチを投稿した後、テキサス州の同市は2度目となるハッキングの被害を否定した。2023年7月3日に公開されたデータには、フォートワースのDepartment of Transportation & Public Worksを出どころとする40GBのデータが含まれていた。

米国

インディアナ大学

2023年7月4日、インディアナ大学所有のデータベースがリークフォーラム上に投稿された。このデータベースには、2023年からのファイルを含む24万8,300件超のレコードが含まれており、流出したデータにはフルネームやメールアドレスが含まれる。このデータは、学生や職員に影響を与える可能性が最も高い。

フィリピン国家警察

パスワードなしでアクセス可能な、設定ミスのあるストレージバケットに160万件のファイルが含まれていた。これにはパスポートと国民IDの写真、結婚証明書と死亡証明書、および退職した職員のPNPカードが含まれていた。

米国

Imagine360

同社は、Citrix社およびFortra社のサードパーティ製ファイル共有プラットフォーム内での異常なアクティビティに関連して、2つの別々のデータ侵害に見舞われたことを明らかにした。調査の結果、2023年1月28日から1月30日の間に両プラットフォームからファイルがコピーされたことが判明した。漏洩したデータには氏名、医療情報、健康保険情報および社会保障番号が含まれる。

日本

東京工業大学

2023年6月28日に、在学生約1万人分の個人情報が他の学生に送信されたメールに添付された後、日本の同大学はデータ侵害を開示した。このデータには、氏名およびメールアドレスが含まれる。(~10,000)

米国

PlainsCapitalBank

テキサス州の同行が、進行中のMOVEit Transferの悪用の一環としてデータ侵害に見舞われた。この侵害により、社会保障番号および口座番号を含む顧客の個人データが影響を受けている。

複数

米国教員保険年金協会(TIAA)が、サードパーティの監査プロバイダーであるPension Benefit InformationのMOVEitを狙ったClopランサムウェアによる攻撃の影響を受けた。TIAAにおけるその後の侵害はさらに、コネチカット州のトリニティ・カレッジとバーモント州のミドルベリー・カレッジにも影響を与えた。

ベラルーシ国立大学

ハクティビストが学生の認証情報を用いてシステムにアクセスした後、3TBのデータが暗号化され、同大学のコンピューターとサーバーから消去された。ユーザー認証とネットワークセキュリティを管理するドメインコントローラーもシャットダウンされた。

フランス国家警察

2023年7月4日、ハッキンググループVulzSecが、同警察を攻撃したと主張した。同グループは、機微データを侵害し流出させたとされている。これには、7,092件のブランチコードおよびBourg-de-Péageの著名な警官30人のプロフィールが含まれるとされる。

オーストラリア

Atherfield Medical & Skin Cancer Clinic

2023年6月29日、同ヘルスケアプロバイダーが、あるリークサイトに追加された。リークされたデータには、患者の個人情報や健康情報、および医師の銀行関連の詳細情報が含まれていた。

インド

ClearMedi Health

2023年7月3日、8Baseが、インドの同ヘルスケアプロバイダーから盗んだと主張するデータをリークした。リークされたファイルには身分証明書、金銭関連書類、健康保険などの患者データが含まれると言われている。

中国

Tigo

VX-undergroundは、AndroidとiPhone向けのライブビデオとチャットのメッセンジャーアプリであるTigoが、誤って1億人を超えるユーザーのメッセージをオンライン上に流出させたと報じた。侵害の原因は明らかになっていない。

米国

HCAヘルスケア

テネシー州の同ヘルスケアプロバイダーを出どころとする患者データが、ハッキングフォーラム上で出品されている。このデータは17件のファイルに分かれており、合計2,700万行以上から成る。販売者は、HCAヘルスケアに対し不特定の要求に応じるよう期限を設け、2023年7月10日までとした。

政府に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、政府関連の攻撃タイプ

法律

主に米国の法律事務所やヘルスケア関連組織および投資会社を標的とした活発なGuLoaderのキャンペーンを、Morphisecの研究者が追跡している。GuLoaderはフィッシングメールを介して配布され、難読化されたVBScriptとPowerShellを使用して最終的にRemcos RATを配布する。

重要インフラ

2023年6月28日、正体不明のハッカー集団がロシアの衛星通信プロバイダーDozor-Teleportを攻撃したと主張した。民間軍事会社ワグネルとのつながりを持つと主張するこの攻撃者は、攻撃中に盗まれたとされる674件のファイルを投稿した。その後、Dozor-Teleportはクラウドインフラを侵害する攻撃の被害に遭ったことを認めた。また、ハッカーグループSiegedSecは、Trimble netR9を含む米国中のさまざまな衛星受信機や産業用制御システムへの攻撃を行ったと主張している。このサプライチェーン攻撃により、同グループはハリバートン、シェル、ヘリックス・エナジー、オーシャニアリングといった企業が使用するアカウントにアクセスすることができたとされている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(30 June – 06 July 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ