中国関連スパイグループStorm-0558が政府機関など25組織のメールアカウントを侵害:マイクロソフトが報告 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 中国関連スパイグループStorm-0558が政府機関など25組織のメールアカウントを侵害:マイクロソフトが報告

Threat Report

Silobreaker-WeeklyCyberDigest

中国関連スパイグループStorm-0558が政府機関など25組織のメールアカウントを侵害:マイクロソフトが報告

佐々山 Tacos

佐々山 Tacos

2023.07.14

ウィークリー・サイバーダイジェスト

中国関連スパイグループStorm-0558が政府機関など25組織のメールアカウントを侵害:マイクロソフトが報告

マイクロソフトは、中国を拠点とするスパイ脅威アクター「Storm-0558」が顧客のEメールを標的としているのを観測した。2023年5月15日以降、このグループは政府機関や関連する消費者アカウントを含む約25の組織のEメールアカウントにアクセスした。Storm-0558は、Outlook Web Access in Exchange OnlineおよびOutlook[.]comを使用する顧客のEメールに偽造された認証トークンでアクセスすることにより、Eメールアカウントを狙おうとした。これを実現するため同グループは、不正に入手したMicrosoftアカウント(MSA)の消費者向け署名鍵を使用していたほか、トークン検証の欠陥を悪用してAzure ADユーザーになりすましていた。

LinuxカーネルやVMware Fusionの脆弱性に対する偽PoCがバックドアを配布(CVE-2023-35829、CVE-2023-20871)

QiAnXinの研究者は、Linuxカーネルの欠陥CVE-2023-35829およびVMware Fusionの脆弱性CVE-2023-20871に対するPoCだとされる複数のGitHubコードリポジトリを発見した。実際にはこれらのPoCは偽物で、被害者の情報の収集やSSH鍵の追加のために使用されるバックドア「Kworker」を配布するもの。これらのPoCは、セキュリティ・メディアやTwitter上の著名人によって報告・共有され、その結果、複数のセキュリティ研究者がバックドアを実行してしまったと報じられている。悪質なコードを含むリポジトリと関連するC2サーバーは、本稿執筆時点でもアクティブなままになっている。

イランアクターTA453、スピアフィッシングでバックドアGorjolEchoとNokNokを配布

イランに関連する脅威アクター「TA453」による継続的なスピアフィッシングキャンペーンを、Proofpointの研究者が分析した。このキャンペーンは、WindowsユーザーにはPowerShellバックドア「GorjolEcho」、macOSユーザーには「NokNok」を配布するもの。2023年5月以降、TA453は、マクロを含むMicrosoft Wordファイルやリモートテンプレートインジェクションではなく、LNKファイルをマルウェアの配布に使用するようになった。フィッシングルアーには複数のペルソナが使用されており、英国王立防衛安全保障研究所の職員になりすましたものも含まれる。

2023年7月13日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

インドネシア政府

ハッカー「Bjorka」が、ポータル「Imigrasi」への侵入に成功し、4GBのパスポート詳細情報を盗んだと主張している。侵害された情報には、ポータルに登録されている個人の氏名、パスポート番号、生年月日、パスポートの発行日と有効期限が含まれているとされる。(34,000,000)

米国

Genesis Energy

2023年5月30日、権限を持たない者が機微なデータにアクセスした。漏洩した情報には、現従業員および元従業員の氏名、住所、社会保障番号、扶養家族情報、医療保険情報が含まれる。

米国

National Institutes of Health Federal Credit Union

2023年4月11日、権限を持たない者が消費者の機微なデータへアクセスした。漏洩したデータには氏名と社会保障番号が含まれる。

米国

ZooTampa at Lowry Park

ハッカーグループBlackSuitが、リークサイトにフロリダの同動物園を掲載した。この動物園は最近、ネットワーク環境に影響を与えるセキュリティインシデントに見舞われたことを明らかにした。

米国

Tacoma-Pierce County Health Department

2018年11月18日頃、権限を持たないアクターがワシントン州の食品労働者カードのオンライントレーニングデータベースにアクセスした。侵害されたデータには、約150万件の固有レコードに関する氏名、郵便番号、生年月日、メールアドレスが含まれる。

カナダ

ペトロ・カナダ

2023年6月21日頃、権限を持たない第三者が同社のITネットワークにアクセスし、Petro-Points会員のアカウントに関連するデータを入手した。侵害されたデータには、氏名、生年月日、メールアドレス、電話番号などが含まれるとみられている。

米国

Summit Consolidated Group

2022年11月7日、権限を持たない第三者が、氏名や社会保障番号を含む消費者の機微データにアクセスした。この侵害は2023年5月30日に初めて発見された。

英国

Orrick, Herrington & Sutcliffe (UK)

2023年3月7日、権限を持たない第三者が同社のITネットワークにアクセスし、消費者の機微な情報を盗み出した。侵害されたデータには、氏名、社会保障番号、生年月日、住所が含まれる。

バングラデシュ政府

2023年6月27日、ある研究者が、バングラデシュ政府のWebサイトが国民数百万人の個人情報を流出させていることを発見した。これにはフルネーム、電話番号、メールアドレス、国民ID番号などが含まれる。これらのデータはその後保護されている。

パキスタン

国家データベース登録局

パキスタン公会計委員会は現在、国家データベース登録局(NADRA)が流出元とみられる国民の個人情報の侵害について調査している。インターネット上で公開されていたこのデータには、軍関係者の情報も含まれている。

米国

Advanced Medical Management LLC

2023年6月29日、サードパーティベンダーによって管理されていた同ヘルスケアサービスのITネットワークの一部が不正アクセスの対象となった。攻撃者は2023年5月10日から5月13日の間に、氏名、住所、社会保障番号などを含む保護対象保健情報の保存された特定のデータベースにアクセスした。(319.485)

ドイツ

ドイツ銀行

同銀行とその子会社であるPostbankは、外部の口座切り替えサービスプロバイダーでのセキュリティインシデントの影響で、データ侵害に見舞われた。影響を受けた個人の数は現在のところ不明だが、流出したデータには氏名とIBAN番号が含まれている。このデータ侵害は、サービスプロバイダーであるMajorel社へのMOVEit Transferを悪用した攻撃に起因するものではないかと疑われている。

イタリア

Luigi Vanvitelli Hospital

同病院が2023年7月1日にランサムウェア攻撃を受け、主に分析室で使用されるソフトウェアが被害を受けた。攻撃者は大学教授、医師、マネージャー、職員のEメールパスワードを盗んだと報じられている。

バングラデシュ

Bangladesh Krishi Bank

ALPHVランサムウェアのアクターが、2023年6月21日に同銀行を侵害し、財務データ、行員データ、SQLバックアップを含む170GB以上の機微データを盗んだと主張している。同アクターはまた、サーバーと保存されたデータすべてを暗号化し、同銀行のシステム内にバックドアを設置したとも主張している。

米国

HCA Healthcare

2023年7月4日、ハッカーが外部ストレージから盗まれ患者データをオンラインフォーラムに掲載した。データには氏名、メールアドレス、電話番号、生年月日、住所などが含まれている。(~11,000,000)

ルクセンブルグ

Majorel

2023年7月10日、同銀行口座切り替えサービス・プロバイダーは、MOVEit Transferを悪用した攻撃の影響を受けたことを認めた。その後、ING Bank、Comdirect、Barmerなど、複数の企業がMajorelでの侵害の影響を受けたことが確認されている。

カナダ

SkillsPEI

2023年6月13日、雇用プログラムにおいて、Eメールが不注意により誤ったアドレスに送信され、データ侵害が発生した。影響を受けたのは、生年月日、住所、学歴、職歴、社会保険番号などを含む個人情報だった。(5,600)

ケイマン諸島

Cayman Islands National Roads Authority

2023年4月4日、同政府当局が個人情報を含む特定の文書をWebサイト上に公開した。その後、情報は修正されている。

米国

Kansas Medical Center

8baseランサムウェアは、2023年6月18日に同医療機関を攻撃し、2023年7月11日にデータをダウンロードしたと主張している。データには、内部文書、財務文書、個人文書のほか、患者や職員のデータも含まれていると報じられている。

米国

Ventura County Credit Union

権限を持たない者が2022年10月20日から12月15日の間に複数の職員のEメールアカウントにアクセスした。漏洩した個人情報には、氏名、金融口座情報、社会保障番号が含まれる。(81,900)

インド

インドステイト銀行

2023年7月8日、「@sbi_data」というハンドルネームのTelegramチャンネルが、インドの同銀行の行員の個人情報を含むファイルを投稿した。これには通帳、氏名、住所、連絡先、PAN番号、口座番号などが含まれる。このファイルはその後、他のTelegramチャンネルにも共有されている。(12,000)

マレーシア

テレコム・マレーシア

同社は、Unifi顧客の一部の特定情報に関わるデータ侵害を公表した。これには氏名、MyKadまたはパスポートの番号、連絡先が含まれる。同社は、この侵害はその後収束したと主張している。

インドネシア

インドネシア入管総局

「Bjorka」として活動するハッカーが、インドネシアに入国した外国人のビザ情報を流出させ、取引したと主張している。データベースにはインドネシア入管総局から盗まれた情報が含まれているという。(9,000,000)

米国

Town of Cornelius

2023年7月11日、同町の警察署のコンピューターがランサムウェア攻撃を受けた。職員は現場のコンピューターや固定電話にアクセスできなくなっている。また重要なデータや文書が保存されているストレージデータベースも影響を受けている。

タイ

Internet Thailand Pcl

同社のハイパーバイザー管理システムがランサムウェア攻撃を受けた。これによりクライアントが影響を受け、Bangkok Postのものを含むいくつかのWebサイトが一時的にアクセス不能になった。同社は、顧客のシステムの95%はその後復旧し、バックアップとシステム復旧により身代金を支払う必要はなくなったと述べている。(300)

米国

Gates Corporation

デンバーの同メーカーは、2023年2月11日にランサムウェア攻撃を受けた。これにより、氏名、住所、生年月日、社会保障番号などを含むデータが侵害された可能性がある。(11,090)

米国

Nucor Corporation

同鉄鋼メーカーは、5月26日から2023年6月1日にかけて、特定の社内ITシステムへの不正アクセスを受けた。侵害された可能性のある情報には、氏名、銀行口座番号、ABA番号、口座への入金額が含まれる。

米国

Charles George Department of Veterans Affairs Medical Center

2023年7月7日、アッシュビルの同医療センターがデータ侵害を公表した。この侵害は、2023年5月のEメールのやり取りで、3人の受信者へ個人情報が不注意で流出した後に発生している。(1,541)

米国

Smyser Kaplan & Veselka

テキサス州のこの会社のサーバーに保存されていた情報が、2022年9月26日に不正アクセスを受けた可能性がある。これにより、氏名や社会保障番号が流出した可能性がある。

英国

Roys of Wroxham

この独立系小売チェーンは2023年7月4日、ランサムウェア攻撃の標的となった疑いがある。同社は、ITセキュリティインシデントにより混乱が生じたと述べた。

米国

Panorama Eyecare

2023年7月12日、LockBitはこのコロラド企業をリークサイトに加え、同社の顧客4社から798GBの患者データを抜き取ったと主張した。

米国

D’Youville University

2023年2月8日、権限を持たない者が同大学のコンピューターネットワークにアクセスし、学生の機密情報を含むファイルを持ち出した。侵害された情報には、氏名および社会保障番号が含まれる。

重要インフラに関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連のマルウェアを示しています。

 

過去1週間にトレンドとなった、重要インフラ関連のマルウェア

銀行・金融

被害者から銀行情報を盗むために使用される「Letscall」と呼ばれるFakecallsに似たスパイウェアアプリの新しいグループを、ThreatFabricの研究者が発見した。Letscallは現在韓国のユーザーを標的としているが、世界中のユーザーにまで標的を広げる能力を有している。このスパイウェアアプリは、Google Playストアを模倣したフィッシングページを介してダウンロードされ、その後、nanoHTTPDを使用して最終的なペイロードをドロップする。このマルウェアは携帯電話からデータを抜き取り、ピアツーピアのボイスオーバーIP(VoIP)ネットワークとWebRTCを利用して、被害者の銀行になりすました偽のコールセンターに発信電話をリダイレクトする。

政府

リトアニア・ヴィリニュスでのNATO首脳会議の開催前に、複数の研究者が悪意ある活動を観測した。その1つが、ウクライナ世界会議(UWC)になりすまして悪質な文書を配布する、RomComの仕業と思われるフィッシングキャンペーン。マイクロソフトの研究者も、ロシアを拠点とするサイバー犯罪者グループStorm-0978による同様の活動について詳述しており、Storm-0978はバックドアRomComをヨーロッパと北米の防衛・政府機関にスパイ目的で配布していた。このグループは、マイクロソフト製品におけるリモートコード実行のゼロデイ脆弱性CVE-2023-36884を悪用し、ウクライナ世界会議に関連するルアーを使用して攻撃を行った。またこれとは別の活動群においては、親ロシア派のハクティビストグループ「NoName」が、ヴィリニュスの交通や観光に関連するWebサイトをダウンさせたと主張した。リトアニア当局は、複数のサービスに影響を与えた攻撃について認めている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(07 – 13 July 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ