北朝鮮関連のアクターUNC4899によるJumpCloudの侵害について、Mandiantが報告 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮関連のアクターUNC4899によるJumpCloudの侵害について、Mandiantが報告

Threat Report

Silobreaker-WeeklyCyberDigest

北朝鮮関連のアクターUNC4899によるJumpCloudの侵害について、Mandiantが報告

Yoshida

Yoshida

2023.07.28

ウィークリー・サイバーダイジェスト

北朝鮮関連のアクターUNC4899によるJumpCloudの侵害について、Mandiantが報告

最近発生したJumpCloudの侵害に関する詳細を、Mandiantの研究者が発表した。同研究者らは、この侵害は北朝鮮関連のアクターUNC4899によるものだとしている。このサプライチェーン侵害は、JumpCloudをダイレクトに狙った巧妙なスピアフィッシングキャンペーンの結果として始まった可能性が高い。2023年6月27日、悪意あるRubyスクリプトが下流の顧客のもとでJumpCloudエージェントを介して実行されたが、これには第2段階のペイロードをダウンロードして実行する指示が含まれていた。展開されたバックドアには、FULLHOUSE.DOORED、STRATOFEAR、TIEDYEなどがある。

ヤマハ・カナダ・ミュージック、Akiraランサムウェアのリークサイトに追加される

最近のサイバー攻撃により、不正アクセスとデータ窃盗が発生した。Akiraランサムウェアグループは2023年7月21日に、同社を自身のリークサイトに追加した。

関連記事:Akiraランサムウェア:「サイバー版の島鉄雄」が野に放たれる

アルプスアルパインの従業員データが侵害される(日本)

権限のない第三者によるアクセスにより、従業員に影響を与える可能性のあるデータ侵害が発生した。侵害されたデータは、氏名およびメールアドレス。(16,000)

Nimで書かれた新しいランサムウェア種、「Kanti」

Nimで書かれた新しいランサムウェア種「Kanti」を、Cybleの研究者が確認した。このマルウェアは特に暗号資産ユーザーをターゲットにしており、暗号資産ウォレット、特にビットコインに関連するファイル名を使用している。このマルウェアは、スパムメールやフィッシングサイトを通じてZIPファイルとして配布されると考えられている。

2023年7月27日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

ミシシッピ州ジョージ郡

2023年7月15日、ある職員が定期的なシステムアップデートのリマインダーを装ったフィッシングメールの被害に見舞われた。これにより、ハッカーはシステムを通じてラテラルムーブメントを行い、サーバーを暗号化することができた。

米国

Champion GSE

LockBitランサムウェアグループが、米国の同航空・航空宇宙部品メーカーを自身のリークサイトに追加し、14GBのデータを盗んだと主張した。

米国

Franklin Mutual Insurance Group

2023年7月13日、ニュージャージー州の同保険会社が、ランサムウェア攻撃の結果、消費者の機微情報に影響を及ぼすデータ侵害が発生したことを開示した。

米国

ユナイテッド・バンク

2023年6月30日、ウェストバージニア州の同行が、顧客の氏名および銀行口座番号が漏洩したデータ侵害を開示した。

米国

Lancaster Orthopedic Group

ペンシルベニア州の同ヘルスケアグループが、患者のプライベートデータが漏洩したデータ侵害について調査を実施していると報じられている。漏洩した可能性のある情報は、社会保障番号、治療計画および保険情報。(~2,000)

米国

ミネソタ大学

2023年7月15日、ダークウェブフォーラムのあるユーザーが、社会保障番号を盗んだと主張した。盗まれたデータのサンプル2件が証拠として提供された。(~7,000,000)

ブラジル、バーレーン

スズキ

スズキ公認ディーラー2社のWebサイトから機微情報が流出した。漏洩したデータはパスワード、秘密トークン、コンテンツ配信ネットワークGoChacheのエンドポイントとシークレット、MySQLデータベース、保護されていないSMTP認証情報、Laravelアプリのキーなど。

米国

Airbnb

Airbnbでは、電話番号だけでユーザーがアカウントにログインできることをペンシルベニア大学の学生が発見した。つまり、既存のアカウントに紐付けられた電話番号を入力し確認できるユーザーであれば、誰でもそのアカウントとアカウント内の機微データにアクセスできる状態になっているということ。

米国

MSXインターナショナル株式会社

2023年7月20日、ミシガン州の同ビジネスサービス企業がデータ侵害を開示した。流出した機密情報には、氏名および社会保障番号が含まれる。(>13,000)

米国

ライト・エイド

2023年7月20日、ペンシルベニア州の同ドラッグストアチェーンがデータ侵害を開示した。漏洩したデータは氏名、生年月日、住所、処方箋情報および限定的な保険情報。

米国

Buckingham County Public Schools

2023年6月20日、バージニア州の同学区の業務用メールアカウントが侵害された。侵害されたメールアカウントの情報には学生の氏名、医療記録および住所が含まれていた。(86)

ニュージーランド

Dunedin Hospital

2023年7月18日、Vera Haywood Centreから数十人の保護者に、脆弱な子供たちの氏名が書かれたメールがCC経由で誤って送信された。

エジプト保健・人口省

ハッカーらが200万件のレコードを盗んだと主張しており、これは現在ハッカーフォーラム上で宣伝されている。同データは2019年1月から2023年1月までのもので、氏名、電話番号、住所、医療処置、診断結果などの重要な患者情報が含まれると報じられている。

オーストラリア

内務省

中小企業調査の参加者に関する個人情報が、議会のWebサイト上で公開された。これには氏名、会社名、電話番号およびメールが含まれる。(>50)

イタリア

Azimut

2023年7月21日、BlackCatランサムウェアのオペレーターらが、同資産管理会社を自身のリークサイトに追加した。同グループは、500GB超のデータを盗んだと主張した。2023年7月24日、Azimutはサイバー攻撃を受けたことを開示し、顧客の機微データには影響がなかったと主張した。

ケニア標準局

Rhysidaランサムウェアアクターらが、同組織を自身のリークサイトに追加した。その後、同グループは盗まれた情報をオークションにかけており、そのデータの容量は739GBに上るとされる。これには職員のレコード、財務データ、および製品テスト情報が含まれる。

米国

The Mission Essential Group

オハイオ州にある同社が、2022年9月に特定のメールアカウントへの不正アクセスが発生したことを知らされた。漏洩した可能性のある消費者データには、氏名および社会保障番号が含まれる。

インド

Tjori

ダークウェブの「We Leak Database」と名付けられたデータリークチャンネルが、インドのEコマースポータルを出どころとするレコード100万件を所有していると主張している。これにはID、パスワード、氏名、メールアドレスなどが含まれるとされる。

マレーシア

ランヒル・ユーティリティズ

Desorden Groupが、2021年11月に同社を侵害し、その後2023年7月17日に同社のオンライン請求システムに侵入したと主張している。このことにより、同アクターは氏名、住所、IDカード番号、メールアドレスなどを含むと言われている個人データと共に、企業の機微情報を盗むことができたとされている。

西スコットランド大学

Rhysidaランサムウェアのオペレーターらが、同大学から盗まれたとされるデータのオークションへの出品を開始した。これは、同大学が身代金の支払いを拒否したことを受けてのことである。同大学は以前、2023年7月7日に「サイバーインシデント」に見舞われたことを認めていた。

ニュージーランド

Firearms Safety Authority

オークランドの銃器所有者の個人情報が不注意で流出した。Auckland Central Police Districtの銃器担当職員が銃器所有者にメールを送信した際、メールのBCC欄ではなくCC欄に、メールアドレスと氏名が明示された状態となっていた。(147)

米国

Family Vision of Anderson

同検眼病院が、2023年5月21日にランサムウェアの攻撃を受け、データ侵害に見舞われた。これにより、人口統計データ、健康情報および健康保険情報を含む患者の個人データが流出した。

カナダ

Northern Alberta Institute of Technology Students’ Association

同学生団体が、サードパーティープロバイダーの1つであるGallivanで発生したデータ侵害の影響を受けた。流出した学生情報にはID番号、氏名、メール、住所および生年月日が含まれる。

トルコ

Çelik Motor Ticaret Anonim Sirketi

2023年7月12日、同自動車会社が個人情報に影響を及ぼすデータ侵害を開示した。これにはID番号、氏名、姓およびメールが含まれる。(2,242)

米国

ハーシュ・ベドナー・アソシエイツ

2023年7月21日、BlackCatランサムウェアグループが、同デザイン会社を自身のリークサイトに追加し、1TBの機微データを盗んだと主張した。

米国

American United Life Insurance Company

2023年7月21日、インディアナ州にある同社が、権限のない者が氏名および社会保障番号を含む消費者の機微情報にアクセスしたことを開示した。

米国

Physicians Insurance A Mutual Company

Physicians Insurance A Mutual Company、その関連会社であるMedChoice Risk Retention Group Inc、および子会社であるExperix LLCが、機微情報が侵害された可能性のあるデータ侵害に見舞われた。流出したデータは氏名、社会保障番号、生年月日など。

米国

クイン・エマニュエル・アークハート・サリバン外国法事務弁護士事務所

2023年7月24日、同法律事務所が、データ侵害に繋がったランサムウェア攻撃を開示した。2022年5月13日から5月14日の間、未知の人物はまず同法律事務所のベンダーからデータにアクセスしたか、データを取得した。

米国

Life Management Center of Northwest Florida

2023年7月25日、問題行動の医療およびメンタルケア関連の同センターが、現在および過去の患者と従業員の個人情報および保護対象保健情報に関わるデータ侵害を開示した。侵害されたデータは氏名、社会保障番号、運転免許証など。

重要インフラに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の攻撃タイプを示しています。

 

銀行・金融

2023年上半期、Checkmarxの研究者らが、銀行部門を標的にするため悪意ある複数のNPMパッケージのインスタンスが使用されているのを観測した。この攻撃には、悪意ある機能を取り付けることで被害者のWeb資産の特定のコンポーネントを狙うなどの高度なテクニックが含まれていた。その他のテクニックとしては、被害者ごとにカスタマイズされたC2センターや、正規サービスの悪用があった。

産業・製造

カスペルスキーの研究者らが、東欧の産業組織に対する2022年の一連の攻撃について調査を行った。APT31によるこの攻撃は、データ抽出を行うための恒久的なチャネルの確立を目的とするもの。情報の抽出や次の段階のマルウェアの配布には、クラウドベースのデータストレージが使用された。次段階のマルウェアには、MeatBallバックドアおよびFourteenHiマルウェアが含まれる。

重要インフラ

Anonymous Sudanが、ケニアの重要インフラに対して複数の分散型サービス拒否(DDoS)攻撃を開始した。標的には電気通信事業者や現地の大学のWebサイト、医療機関およびeCitizenのような政府のオンラインサービスなどが含まれる。同グループは、さらなるDDoS攻撃を行うと脅している。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(21 – 27 July 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ