Salesforceのゼロデイを悪用してFacebookアカウントを狙うフィッシングキャンペーンが見つかる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Salesforceのゼロデイを悪用してFacebookアカウントを狙うフィッシングキャンペーンが見つかる

Threat Report

Silobreaker-WeeklyCyberDigest

Salesforceのゼロデイを悪用してFacebookアカウントを狙うフィッシングキャンペーンが見つかる

Yoshida

Yoshida

2023.08.04

ウィークリー・サイバーダイジェスト

Salesforceのゼロデイ脆弱性を悪用してFacebookアカウントを狙うフィッシングキャンペーンが見つかる

SalesforceのEメールサービスとSMTPサーバーのゼロデイ脆弱性を悪用して有用なFacebookアカウントを標的にする巧妙なフィッシングキャンペーンを、Guardioの研究者が発見した。「PhishForce」と名付けられたこの脆弱性をFacebookのウェブゲームプラットフォームの問題と連鎖させることで、送信者の検証を行うSalesforceのセーフガード機能とをバイパスしてフィッシングメールを大量送信することが可能になる。同キャンペーンで使用されるフィッシングキットはFacebookのアカウント情報を盗むためのもので、2要素認証をバイパスするメカニズムを備えている。

「Bluenet」ランサムウェア:Killnetと繋がりを持つとされる新たなハッカー集団

2023年7月4日から活動していると思われる新たなハッカー集団「Bluenet」ランサムウェアを、Cyber Expressが特定した。この集団は、親ロシア派グループのKillnetやUsersecと繋がりを持つとされている。Bluenetは、米ミサイル防衛局やロサンゼルス国際空港など、米国の軍事拠点や商業空港に攻撃を仕掛けたと主張している。

DepositFilesの環境設定ファイルが公開状態に 多様な認証情報が流出

公開状態でホストされた同社の環境設定ファイルから、Redisデータベース、決済サービス、Twitter、Facebook、VKontakteの認証情報、およびAbuse and Supportのメール認証情報が流出した。さらに流出した情報には、Google AppのIDおよびシークレット、ペイメントウォールのシークレットキーなどが含まれる。

2023年8月3日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

米国

HRM Enterprises Inc

権限のないアクターがHRMのシステムにアクセスしたと報じられた後、同社はCommerce V3で発生したデータ侵害の影響を受けた。これにより、HRM関連企業であるHartville HardwareおよびLehman’sの2種類のEコマースのWebサイトで買い物をした顧客のペイメントカード情報が影響を受けた。(43,092)

カナダ

ゲルフ大学

同大学が、Fortra社製GoAnywhere MFTにおける侵害の影響を受けた。漏洩した可能性のあるデータは、氏名、学生IDおよび生年月日。

米国

McAlester Regional Health Center

Karakurtランサムウェアグループが、同センターを自身のリークサイトに追加し、126GB超のデータを盗んだと主張した。これには患者のDNAの記録、医療情報、個人に関する文書、財務・会計データなどが含まれるとされる。

米国

Regional Family Medicine

2023年8月1日、Karakurtランサムウェアグループが、同クリニックのデータをリークすると脅迫した。同グループは社会保障番号、メディカルレポート、銀行取引明細書などを含む、医療スタッフに関する5GB超のSQLデータを盗んだと主張している。

インド

Nippon India Mutual Funds

プログラミングの脆弱性により、同投資信託の特定の機微データが流出した。これには投資家の氏名、携帯番号、メールID、フォリオ番号、PAN番号などのような情報が含まれる。

米国

Chattanooga Heart Institute

2023年3月8日から3月16日の間、同機関のネットワークへの不正アクセスが発生した。Karakurtランサムウェアのオペレーターは、過去に同機関を自身のリークサイトに掲載していた。漏洩した可能性のあるデータは、氏名、郵送先住所およびメールアドレス、電話番号、生年月日、運転免許証番号、社会保障番号など。(170,450)

米国

BankCard USA

同金融機関が、2023年6月に発生した攻撃を受け、BlackCatランサムウェアに5万ドルの身代金を支払ったと報じられた。同グループは、200GB超のデータを所有していると主張していた。BankCard USAは同リークサイトから削除されたものの、サンプルファイルの一部は同機関が身代金を支払う1か月以上前からアクセス可能な状態だった。

インド

IIIT-Delhi’s Portal for Health Informatics

脅威アクター「UsNsA」が、英語のフォーラム上で、同ヘルスケアポータルのものとされるデータベースを宣伝した。データベースはメール、氏名、健康記録などを含む合計1.8GBの機微情報から成っていた。

米国

Southern Association of Independent Schools

パスワードで保護されていないデータベースに、2012年から2023年までの68万件のレコードが含まれていた。これには、学生および教師に関する複数の種類の記録、健康情報、教師の身元調査および社会保障番号、財務予算などが含まれる。

米国

MHMR Authority of Brazos Valley

一部の職員および現在と過去の患者の、個人情報および保護対象保健情報が、2022年11月5日に発生した侵害の影響を受けた可能性がある。MHMRは過去に、Hiveランサムウェアのリークサイトに掲載されていた。漏洩した可能性のあるデータは、氏名、社会保障番号、金融口座情報、医療情報および健康情報など。

米国

ジャックスタックバーベキュー

同レストランが、CommerceV3で発生した侵害の影響を受けた。流出した情報は氏名、請求先住所、メールアドレス、および金銭関連情報。

米国

CRC Insurance Services

2023年1月18日、複数の従業員がメールによるフィッシング攻撃の標的となった。このことにより、権限のない者が消費者の機微情報にアクセスし、ダウンロードすることができた。

米国

バレー・ナショナル・バンク

消費者の機密データに権限のない者がアクセスできる状態だった後、同金融機関がデータ侵害に見舞われた。侵害された情報は氏名、社会保障番号および住所。

米国

Arizona’s Empowerment Scholarship Account

学生の氏名、障害カテゴリーを含む数千の個人情報のデータポイントが、同プログラムの金融ベンダーであるClassWalletを通じてアクセス可能な状態だった。ClassWalletは、この侵害の原因が自身によるものであることを否定した。

米国

New England Life Care

2023年5月24日頃、権限のない第三者が患者の機密情報にアクセスした。

米国

Hospital Corporation of America

患者の機密情報が盗まれて販売されていると、権限を持たないアクターがあるオンラインフォーラムで主張した。侵害された患者情報には、氏名、生年月日、メールアドレス、電話番号、患者の診療日などが含まれる。

台湾

Eastern Media International

RAランサムウェアが、身代金の支払いを拒否したとされる同社を被害者リストに追加した。このグループはまた、リークサイトにInsurance Providers Groupも追加した。

米国

ノースキングスタウン

ロードアイランド州のこの町は、2023年4月に内部ネットワークで異常な動きを発見した。侵害された可能性のあるデータには、氏名、住所、社会保障番号、運転免許証番号が含まれる。(103,000)

米国

Paramedic Billing Services

2023年5月15日から5月23日にかけて、権限を持たない何者かが同社のコンピューターシステム上のファイルを閲覧し、コピーした。侵害された情報には、氏名、社会保障番号、医療情報、金融口座情報などが含まれる。

米国

Everlast

カードスキミング攻撃により、名前、Eメール、住所、電話番号、クレジットカード番号、有効期限、カード認証番号などのデータが影響を受けた。

米国

Synergy

2022年12月15日に同社のシステムが侵害され、氏名、生年月日、署名、保険証書などのデータが漏洩した可能性がある。(58,000)

米国

Fidelity Life Association

権限を持たない何者かが消費者の機微な情報にアクセスした。侵害された可能性のあるデータには、氏名、住所、社会保障番号が含まれる。

米国

Discovery at Home

従業員がフィッシングメールの被害に遭い、個人の保健情報を誤って渡してしまった。侵害された可能性のあるデータには、氏名、住所、生年月日、医療情報などが含まれる。

米国

Hot Topic

2023年2月7日から6月21日の間に、複数のクレデンシャルスタッフィング攻撃により氏名、メールアドレス、注文履歴、電話番号、生年月日、配送先住所、および保存済みペイメントカードの下4桁が漏洩した可能性がある。

カナダ

Health Employers Association of BC

2023年5月9日から6月10日にかけて、ハッカーがHealth Match BC、BC Care Aide and Community Health Worker Registry、Locums for Rural BCを含むバンクーバーの組織のサーバーでホストされている3つのWebサイトを標的としたと報告されている。この侵害により、パスポートデータ、運転免許証、生年月日、社会保険番号に紐づけられた労働者のEメールアドレスが影響を受けている。(24,000)

米国

MW Components

2023年3月1日から3月26日にかけて、権限を持たない何者かが同社のITネットワーク上の特定のファイルにアクセスした。侵害された可能性のあるデータには、氏名、社会保障番号、運転免許証番号、金融口座情報、健康保険情報、医療情報が含まれる。

米国

フラッグスター銀行

2021年1月20日から22日にかけて、権限を持たない何者かが顧客の機密情報にアクセスした。侵害されたデータには、氏名や社会保障番号が含まれる可能性がある。(~ 1,400,000)

米国

CareSource

同社の個人を特定できる情報40GB分を、Cl0pランサムウェアグループがリークした。これには、氏名、住所、生年月日、Eメール、電話番号、処方された薬、リスクグループ、患者の治療内容などが含まれるとされている。

米国

Parathon

Akiraランサムウェアグループが、560GBの従業員データを流出させたと主張した。これには契約書、従業員の個人情報、機密文書などが含まれると報告されている。

米国

Mondee

機微な顧客情報を含むデータベースが公開状態となり、1.7TBのデータが侵害された。これには、フライトやホテル関連の旅程、暗号化されていないクレジットカード番号、氏名、性別、生年月日、住所などが含まれる。

フランス

バーガーキング

バーガーキング・フランスのWebサイトにおいて、一般にアクセス可能な環境ファイルから機微な情報が公開された状態になっていた。これにより、同サイト経由で求人に応募した個人が影響を受けた可能性がある。

米国

Paycom Payroll

同社は2023年5月28日から6月2日にかけて不正アクセスを受けた。侵害された可能性のあるデータには、氏名、社会保障番号、運転免許証番号または州発行のID番号、生年月日、パスポート情報、雇用許可証情報が含まれる。

米国

LifeWorks Wellness Center

2023年5月20日頃、一部の企業サーバーへの不正アクセスが発生した。侵害された可能性のあるデータには、氏名、社会保障番号、クレジットカード番号、医療情報が含まれる。

英国

West Oaks School

2023年7月31日、LockBitランサムウェアグループは、特別な教育を必要とする子供たちのための学校をダークネットサイトに掲載した。LockBitは、身代金が支払われない場合、盗まれたデータは2週間後に公開されることになるとアナウンスした。

北アイルランド

ストーモント

北アイルランドの行政府が、「宛先」フィールド機能を使用したことによりメールマガジン購読者のEメールを流出させた。また、ストーモントのPatient and Client Councilは、不注意によりCC機能を使って15人にEメールを送ってしまった。このメールには個人情報は含まれていなかったが、該当者は他の受信者も自身と同じく性同一性障害の経験者であろうと推測できた可能性がある。(266)

米国

Progressive Casualty Insurance Company

2023年5月18日以前に、権限を持たない人物が従業員の機微なデータにアクセスした。侵害された情報には、氏名、住所、運転免許証番号、州発行のID番号、Eメールアドレス、電話番号、生年月日などが含まれる可能性がある。

米国

ロチェスター大学

2023年5月27日、消費者の機微なデータへの不正アクセスがあった。当該データには社会保障番号が含まれる。(88,025)

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

政府

ロシアの脅威アクターBlueBravoがヨーロッパの政府機関に対するスパイ活動の一環として使用している新しいマルウェア「GraphicalProton」を、Insikt Groupの研究者が特定した。このマルウェアはISOファイルやZIPファイルの中に仕組まれており、新たに特定された複数の侵害済みドメインを利用して配布される。GraphicalProtonはGraphicalNeutrinoと似たようなローダーとして機能するが、C2通信にはNotionではなくOneDriveを使用する。

銀行・金融

Bank Mellat、Bank Saderat、Resalat Bank、およびイラン中央銀行の顧客を標的とした4つのクレデンシャルハーベスティングアプリを、Sophosの研究者が発見した。うちほぼすべてのアプリは、同じ証明書(おそらく盗まれたもの)を使って署名されており、さまざまなクラスと文字列を共有している。マルウェアのサンプルの一部には、他のバンキング/暗号資産アプリを列挙したハードコード済みのリストが含まれており、今後このキャンペーンがさらに進化する可能性があることが示唆されている。アプリは2022年12月から2023年5月にかけて、C2サーバーやHTMLフィッシングページとして採用された比較的新しい大量のドメインを使って配布された。

暗号資産

トレンドマイクロの研究者は、暗号資産の認証情報や資金を盗んだり、詐欺を行ったりすることを目的とした2つの新しいAndroidマルウェアをGoogle Playストアで発見した。このうちの1つであるCherryBlosは人工知能ツールやコインマイナーを装っており、Telegram、Twitter、YouTubeで宣伝されるAPKとして、Google Playで配布されている。またもう一方のFakeTradeは31種の詐欺アプリで構成され、ショッピングに関する話題や金儲けに関する誘い文句を使い、ユーザーを騙して広告を見せたり、有料サブスクリプションに同意させたり、アプリ内ウォレットに資金を補充させたりする。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(21 – 27 July 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ