LinkedInを狙った大規模アカウント乗っ取りキャンペーン | Codebook|Security News
Codebook|Security News > Articles > Threat Report > LinkedInを狙った大規模アカウント乗っ取りキャンペーン

Threat Report

Silobreaker-WeeklyCyberDigest

LinkedInを狙った大規模アカウント乗っ取りキャンペーン

Yoshida

Yoshida

2023.08.18

ウィークリー・サイバーダイジェスト

LinkedInを狙った大規模アカウント乗っ取りキャンペーン

LinkedInを標的としたアカウントハッキングキャンペーンを、Cyberintの研究者が観測した。このハッキングの結果、多くのアカウントがセキュリティ上の理由でロックアウトされるか、最終的に攻撃者に乗っ取られた。攻撃者は、漏洩した認証情報を使うか総当たり攻撃を行うことによってアカウントを侵害しようとしたものとみられ、強力なパスワードまたは2要素認証が使われているために複数回乗っ取りを試みる必要があったアカウントに関しては、一時的にロックされる結果となった。一部のユーザーは、アカウントを取り戻すのと引き換えに身代金を支払うよう圧力をかけられている。

「カシオのユーザーデータを流出させた」と脅威アクターが主張(日本)

ある脅威アクターが、2011年7月までのユーザーデータから成るデータベースを流出させたと主張している。同アクターは、このデータベースはライブのリモートデスクトップサービスサーバーから最近ダンプされたと主張している。影響を受ける可能性がある人数は476,420人。

ベラルーシ国内の外国大使館がAiTM攻撃用いるスパイ活動の標的に

ベラルーシ国内の外国大使館に対してスパイ活動を行う新たに特定された脅威アクター「MoustachedBouncer」について、ESETの研究者が詳しく報告した。同グループの活動は2014年から2022年まで行われており、2020年には、利用する手法をAiTM(Adversary-in-the-Middle)攻撃へと切り替えたことが確認されている。このAiTM攻撃は、SORMのような合法の傍受システムを介して実施されていた可能性がある。MoustachedBouncerはベラルーシの利害に合った活動を行っていると中程度の確度で評価されているほか、確度は低いがWinter Vivernと密接に協力しているとも考えられている。

2023年8月17日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

カリフォルニア州エルサリート(米国)

影響を受ける人数:不明

LockBitランサムウェアグループが、さらなる14の他の被害者とともに、同市を自身のリークサイトに追加した。機微情報が侵害されたかどうかを判定するための調査が進行中。

Alberta Dental Service Corporation(カナダ)

影響を受ける人数:~1,470,000

ランサムウェア攻撃を受けた後、同社はデータ侵害に見舞われた。侵害された個人情報は氏名と住所、および一部の個人の銀行情報。

ZESA Holdings(ジンバブエ)

影響を受ける人数:不明

2023年8月9日、Everestランサムウェアグループが、同国営企業を攻撃したと主張した。影響を受けたインフラにはZETDC、ZENT、Powertel、ICS、IPMP、Smartvend、およびさまざまなOracleサーバーが含まれるとされる。さらに同グループは、数テラバイト分の機微データにアクセスし、同データを抽出したと主張した。

Loren D. Stark Company(米国)

影響を受ける人数:不明

2022年10月18日に発生したサイバー攻撃で標的にされた後、同社はデータ侵害に見舞われた。侵害された消費者情報は、氏名および社会保障番号。

不明(インドネシア)

影響を受ける人数:不明

ハッカーグループThreatSecがインドネシア政府に制御されているデータセンターに侵入したと主張した。同アクターは、犯罪歴といった機微な詳細情報を含む26万行分のMongoDBデータにアクセスしたとされる。

The Belt Railway Company of Chicago(米国)

影響を受ける人数:不明

2023年8月10日、同入換専業鉄道会社が、Akiraランサムウェアのリークサイトに追加された。攻撃者は、盗まれたデータ85GBを所有していると主張している。

複数(インド)

影響を受ける人数:不明

BreachForums上の脅威アクターが、インドの食品加工業省に関連づけられている4.5GBの機微データを流出させたと主張した。また同アクターは、インドの保健家族福祉省のプライベート情報1.9GBへのアクセスも行ったと主張した。

陸運高速道路省(インド)

影響を受ける人数:不明

脅威アクターが、同省のIntegrated Road Accident Databaseのソースコードとされるものを共有した。これにはホスト名、データベース名、およびパスワードを含む複数の機微なアセットが含まれていた。その後同アクターは、ユーザー1万人分のデータのサンプルを共有した。

Cumbria Police(英国)

影響を受ける人数:不明

2023年3月6日、人為的なミスにより、すべての警察官と警察職員の役割に応じた給与および手当に関する情報が、自身のWebサイトにアップロードされていたのを同警察が発見した。データには氏名や役職も含まれていた。

Cummins Behavioral Health Systems(米国)

影響を受ける人数:157,688

同ヘルスケアプロバイダーが、2023年2月2日から3月9日の間にサイバー攻撃に見舞われた。また身代金メモも発見したが、暗号化されたデータはなかったと述べた。侵害された可能性のあるデータは氏名、住所、生年月日、運転免許証番号または州発行のID番号、社会保障番号、金融口座情報など。

MDP FM Ltd(英国)

影響を受ける人数:不明

セキュリティで保護されていないAmazon S3バケットにより、16,000件の機微文書が流出した。これにはパスポート、ビザ、国民ID、運転免許証、出生証明書、銀行取引明細書などの従業員に関する個人情報が含まれる。

Pennsylvania Child Care Works(米国)

影響を受ける人数:11,687

2023年6月26日から6月27日の間、自身のWebサイトが不正アクセスの標的となった後、政府の同プログラムがデータ侵害に見舞われた。

Roberto Polizzi Plastic Surgery Clinic(ブラジル)

影響を受ける人数:不明

2023年7月26日、ハッカーグループThesnake02が、同形成外科クリニックから患者のプライベート情報1.25GBを盗み出したと報じられている。これには、金銭関連書類と患者の裸の画像、およびWhatsAppメッセージ、連絡先の詳細情報、CV、運転免許証、CPF IDなどが含まれる。

Rapattoni Corporation(米国)

影響を受ける人数:不明

2023年8月9日、同ソフトウェア企業が、物件情報や共同データサービスMultiple Listing Serviceに影響を与えるランサムウェア攻撃に見舞われた。同サービスは全国の不動産会社に利用されている。

Shemaroo Entertainment(インド)

影響を受ける人数:不明

ハッカーフォーラムのユーザーが、同社のものとされるデータを売りに出している。漏洩したデータセットには1,640万件のユーザーエントリが含まれていて、メールアドレス、パスワード、電話番号などが流出しているとされる。

Moovit(イスラエル)

影響を受ける人数:不明

同交通機関アプリにおける3件の脆弱性により、電話番号、メールアドレス、自宅住所、およびクレジットカードの下4桁を含むユーザーの登録情報を収集できるようになっていた。その後これらの欠陥は修正された。

Levare International(米国)

影響を受ける人数:不明

2023年7月25日、Medusaランサムウェアグループが分散型サービス拒否攻撃で、テキサス州ヒューストンにある同エンジニアリング企業のオフィスを標的にした。Medusaは1TB超の機微文書を盗んだと報じられており、これには産業プロジェクト、行政文書、パスポート、社会保障番号などが含まれるとされる。

National Institute of Social Services for Retirees and Pensioners(アルゼンチン)

影響を受ける人数:不明

Rhysidaランサムウェアが、被害者を掲載する自身のサイトに同公的健康保険機関を追加し、身代金25ビットコインの支払いのための6日間の期限を設定した。同グループは身分証明書の画像を含む、盗まれたとされるデータのサンプルを公開した。

複数

影響を受ける人数:不明

LockBitランサムウェアがZaun Limited、Roxcel Trading、Meaf Machines、Max Rappenglitz、Luterkort Advokatbyra、St. Mary’s School Waverl、Siam Premier、Majan Printing & PackagingおよびDIFC Courtsを自身のリークサイトに追加した。

Discord(米国)

影響を受ける人数:760,000

BreachedForumsのユーザー「Akhirah」が、Discord[.]ioのデータベースを売りに出し、証拠として数件のユーザーレコードを共有した。Akhirahは、データベースにはユーザーID、Eメール、名前、ソルト化・ハッシュ化されたパスワード、トークン、住所などの情報が含まれていると主張した。

United Healthcare Services(米国)

影響を受ける人数:398,319

ネットワークサーバーを狙ったハッキングインシデントが発生し、個人情報に影響が出た。

Coastal Orthopedics(米国)

影響を受ける人数:不明

2023年6月11日頃、同院のネットワーク上で不審な動きが検出された。これにより、氏名、社会保障番号、誕生日、住所、金融口座情報、医療記録など、現在および過去の患者の個人情報が漏洩した。

HUB International Ltd(米国)

影響を受ける人数:不明

2022年12月から2023年1月にかけて、同社のネットワークの一部からファイルが無許可でコピーされた。侵害された可能性のあるデータには、氏名、社会保障番号、運転免許証番号、パスポート番号、金融口座情報などが含まれる。

Paramount Plus(米国)

影響を受ける人数:37,000

ハッカーフォーラム上の脅威アクターが、Paramount Plus(パラマウントプラス)のWebサイト上のアカウントから情報を流出させたと主張している。

ノーフォーク警察、サフォーク警察(英国)

影響を受ける人数:1,230

両州の警察でデータ侵害が発生した。これは、技術的な問題が原因で、情報公開(FOI)請求に対する回答に犯罪被害者と目撃者の個人情報が含まれてしまったことによるもの。これらのデータは、2021年4月から2022年3月までの犯罪統計に関する18件の情報公開請求への回答に関するもの。

Postel SpA(イタリア)

影響を受ける人数:不明

2023年8月15日、Medusaランサムウェアのアクターが、100GBのデータを盗んだと主張して同ソフトウェア会社をリークサイトに追加した。同グループは証拠として、身分証明書や社内メールのコピーなど、いくつかのデータをリークした。

Tift Regional Health System(米国)

影響を受ける人数:180,142

この医療システムは、2022年8月16日頃に初めて不審な動きを発見した後、データ侵害を公表した。Hiveランサムウェアのオペレーターが以前、2022年7月にこの組織から1TBのデータを盗んだと主張していた。侵害された可能性のある情報には、社会保障番号、患者識別番号、運転免許証番号、医療情報、治療情報などが含まれる。

EP Global Production Solutions LLC(米国)

影響を受ける人数:471,000

同社は2023年6月30日、コンピューターネットワークの一部で不審なアクセスを確認した。ハッカーは、氏名、社会保障番号、住所といった消費者の機密データを含む特定のファイルにアクセスし、ダウンロードした。

Made by Apes(NFTプロジェクト)

影響を受ける人数:不明

新たに始動した同NFTプロジェクトで、APIの問題により意図せずユーザーデータが公開状態となっていた。この問題により、プロジェクトに登録した人々のプライベートな情報へのアクセスが可能となった。

オンタリオ酒類管理委員会(カナダ)

影響を受ける人数:不明

Conversion Digitalでのデータ侵害により、氏名、Eメールアドレス、生年月日、郵便番号、アエロプランの番号が影響を受けた可能性がある。

Mayanei Hayeshua Medical Center(イスラエル)

影響を受ける人数:不明

ハッキンググループ「Ragnar Locker」が、2023年8月8日に発生した侵害時に抜き取られたとされる機微な医療ファイルを公開すると脅迫した。これらのファイルには、ベンヤミン・ネタニヤフ首相、クネセト(イスラエルの国会)の議員、上級ラビ(ユダヤ教の指導者)、その他の著名人の医療情報が含まれているという。

銀行・金融に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連のマルウェアを示しています。

小売

Magento 2のショップを標的としたサーバーサイド・テンプレートインジェクションキャンペーン「Xurum」を、Akamaiの研究者が発見した。このキャンペーンでは CVE-2022-24086が悪用されるほか、攻撃者は脆弱性Dirty COW(CVE-2016-5195 )のエクスプロイトも利用して、Linux内での特権の昇格を試みる。活動は遅くとも2023年1月から観測されており、主な目的は被害者の注文内容から支払い統計データをチェックすることである模様。

法律

法律関連の用語を検索するWebユーザーを標的にするためにGootloaderが使用されるケースが急増していることを、Trustwaveの研究者が特定した。このキャンペーンは、主に米国、オーストラリア、カナダの英語を話すユーザーをターゲットにしているが、フランス語、スペイン語、ポルトガル語、ドイツ語、韓国語を話すユーザーも狙われている。検索エンジンの検索結果を操作して侵害されたWordPressサイトにユーザーを誘い込むために、SEOポイズニングが使用される。Gootloader は、JavaScriptファイルを含む ZIPアーカイブを介して配布されている。

銀行・金融

2023年6月、Zscalerの研究者は、ポルトガル語話者と思われる脅威アクターが、BX RATに大きな修正が加えられた亜種である「JanelaRAT」を使用してラテンアメリカの金融テクノロジー関連のユーザーを標的としているのを観測した。このマルウェアは、ラテンアメリカの銀行や金融機関から暗号資産や金融データを採取することを狙っている。JanelaRATはまた、伝達のためにウィンドウのタイトルをキャプチャする。このリモートアクセス型トロイの木馬は、ZIPアーカイブ内に送信されるVBScriptから始まる、中程度に複雑な複数段階の感染チェーンを採用している。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(11 – 17 August 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ