中国関連APTアクターGroundPeonyが台湾の政府機関を標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 中国関連APTアクターGroundPeonyが台湾の政府機関を標的に

Threat Report

Silobreaker-WeeklyCyberDigest

中国関連APTアクターGroundPeonyが台湾の政府機関を標的に

佐々山 Tacos

佐々山 Tacos

2023.08.25

ウィークリー・サイバーダイジェスト

中国関連APTアクターGroundPeonyが台湾の政府機関を標的に

2023年3月と4月、nao_secの研究者は、中国との関連が指摘される高度持続的脅威アクター「GroundPeony」が、スピアフィッシングメールを使って台湾の政府機関を狙い、Cobalt Strikeとカスタムマルウェアを配布しようとしているのを観測した。マルウェアを配布するための正規Webサイトの悪用、URLの難読化、多段階のローダーの使用など、さまざまな戦術が観測された。

Zimbra Collaborationのユーザー狙った大規模フィッシングキャンペーンが見つかる

Zimbra Collaborationのユーザーのアカウント認証情報を標的とした大規模なフィッシングキャンペーンを、ESETの研究者が発見した。このキャンペーンは遅くとも2023年4月から続いている。標的の多くはポーランド、エクアドル、イタリアに所在する。フィッシングメールにはHTMLファイルが含まれており、このファイルを開くと、標的となった組織用にカスタマイズされた偽のZimbraのログインページがブラウザに表示される。その後、入力された認証情報が収集されて、HTTPS POSTリクエストを介して攻撃者のC2に送信される。

米軍の請負業者Belcanが機微データ含むKibanaインスタンスを公開状態に

2023年5月15日、Cybernewsの研究者は、米軍の同請負業者が所有するオープンなKibanaインスタンスを発見した。このインスタンスには、管理者のEメール、bcryptでハッシュ化されたパスワード、ユーザー名などの機微な情報が含まれていた。これらの情報によって脅威アクターが顧客の機微な情報にアクセスできるようになった可能性がある。その後、データは保護されている。

2023年8月24日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

New York City Department of Finance(米国)

2023年8月17日、同徴税局が誤って職員の個人データを当該職員らに共有した。漏洩したデータは住所、携帯電話番号および個人メールアドレス。(〜1,800)

Respublikinė Vilniaus Psichiatrijos Ligoninė(リトアニア)

NoEscapeが、同精神病院を自身のリークサイトに追加した。攻撃者は、合計37GBのデータを所有していると主張している。これには業務上の機密情報や、患者と職員の個人を識別できる情報が含まれる。

Raleigh Housing Authority(米国)

Black Bastaランサムウェアグループが、同組織から盗んだと主張するデータのリークを開始した。同データには政府発行のID、金銭関連文書、社会保障カードなどが含まれる。

auDA(オーストラリア)

NoEscapeランサムウェアグループが、個人情報を含む15GBの機微データを所有していると主張している。同非営利組織は、データ侵害の発生を否定している。

ドイツ連邦弁護士連合会

NoEscapeランサムウェアグループが、同連合会のメールサーバーを暗号化したと主張し、自身が抽出したと主張する160GBのデータをリークすると脅している。

教育省(米国)

有名なハッカーフォーラムのあるユーザーが、データベースを売りに出した。盗まれた情報にはID、ユーザーID、ユーザー名、携帯番号などが含まれると言われている。

セイコーNPC株式会社(日本)

BlackCatランサムウェアグループが、同社に対する攻撃について自身によるものだと主張した。同グループは重役のパスポートのコピーを含む12件のファイルを、自身のリークサイト上で共有している。

関連記事:セイコーも被害か:BlackCat/ALPHVランサムウェアとは?

ルクスエア(ルクセンブルク)

2023年8月18日、国営の同航空会社がデータ流出を公表した。2020年11月から2023年7月4日の間にフライトが中止された人々のデータに、ハッカーらがアクセスしたと報じられている。

NHSテイサイド(英国)

2023年8月16日、従業員情報を含むEメールが、NHSテイサイドの企業平等チームの従業員に誤って共有された。漏洩したデータは連絡先の詳細情報、近親者およびその他の個人情報が含まれるとされている。

バンカーヒルコミュニティカレッジ(米国)

2023年5月23日、同カレッジが特定のシステム上で不正なアクティビティを検知した。漏洩した可能性のある学生、応募者および職員に関するデータには、氏名、住所、生年月日、社会保障番号などが含まれる可能性がある。

Morris Hospital & Healthcare Centers(米国)

2023年4月4日、権限のない者が、同院から外部のクラウドストレージプラットフォームにファイルをエクスポートした。漏洩したレコードには氏名、住所、生年月日、社会保障番号、診療記録番号、アカウントの番号および診断コードが含まれる可能性がある。

フロリダ州 ガズデン(米国)

2023年8月21日、法執行機関がガズデン郡の裁判所記録に関わるデータ侵害について調査を行っていると、2nd Judicial Circuitが発表した。影響を受けたレコードの中には、個人を識別できる情報も含まれる。同日、Gadsen Emergency Medical Servicesがデータ侵害の被害に遭ったことを明らかにし、氏名、生年月日、医療面接番号または搬送番号などの患者データが侵害されたとしている。

複数

ハッカーグループKittenSecが、パナマとチリにある組織の国民データ、およびイタリア法務省を出どころとするデータを公開していると主張した。

複数

Clopランサムウェアグループが、最近複数の企業を自身のリークサイトに追加した。これらの企業には、ニュアンス・コミュニケーションズ、Gesa Credit Union、パンアメリカンライフ、中信銀行国際、ボストン・グローブ紙、Arburg GmbH + Co KG、および債権回収代行会社IC Systemが含まれる。

不明(エルサルバドル)

2023年8月16日、FocalLeaksが人気のハッキングフォーラム上で114GBのデータベースを売りに出した。同データベースには氏名、DUI(公式身分証明書)、生年月日、住所、電話、メールおよび顔写真のHD画像といった510万件のレコードが含まれると言われている。

不明(イスラエル)

2023年8月21日、イスラエル国家サイバー総局が、国内の7件の出会い系Webサイトで機微データが流出しているのを発見したことを明らかにした。

The Bad God(ベトナム)

ダークウェブユーザー「Serk3t」が、同ファッションブランドから盗まれた40万件超の顧客レコードを所有していると主張している。

Absolute Dental Services(米国)

2023年8月22日、同歯科技工所がデータ侵害を発表した。侵害されたデータは患者ごとに異なるが、生年月日、診療日、顔写真などが含まれていた可能性がある。

バージニア州医療支援サービス部/DMAS(米国)

2023年8月9日、バージニア州DMASは、機微な消費者データが不正アクセスを受けていたことを発見したのち、データ侵害を発表した。(423,000)

国防省(南アフリカ)

2023年8月21日、Snatchランサムウェアグループは、同軍事機関のリークサイトエントリーを更新し、1.6TBのデータを盗んだと主張した。これには、契約書、内部のコールサイン、個人データなどが含まれているとされる。

不明(イラン)

あるハッカーが、イランの600の研究所のデータを含むとされるデータベースを宣伝している。このデータベースには、姓名、電話番号などを含む6,500万件のレコードが含まれていると言われている。

PeopleCert(英国)

ダークウェブのユーザー「temp221212」が、同認定プロバイダーから86,516個のコンテナを抜き取ったと主張している。侵害されたデータには、氏名、生年月日のほか、パスポートや運転免許証の表面と裏面の画像などが含まれると報告されている。

ミネソタ大学(米国)

同大学が、2023年7月21日に初めて発覚したデータ侵害についての調査が行われていることを認めた。名称不明のハッカーが、社会保障番号を含む1980年代後半以降のデータにアクセスしたと主張している。

Duolingo(米国)

2023年8月22日、VX-Undergroundの研究者は、スクレイピングされたユーザーデータが2.13ドルという価格でハッキングフォーラム「Breach」の新バージョンにアップロードされているのを観測した。このデータ内には、公開されているログイン情報や実名と、メールアドレスやDuolingoのサービスに関連する内部情報などの非公開情報が混在している。(2,600,000)

Tucson Unified School District(米国)

アリゾナ州の同学区が、2023年1月下旬に発生したランサムウェア攻撃によるデータ侵害の発生を認めた。(~29,000)

Ambulance Victoria(オーストラリア)

同組織のイントラネットサイトの特定セクションへのアクセス制限が不注意で解除され、全職員がデータを閲覧できるようになった。漏洩した情報には、医療情報、志願書、新型コロナ検査結果など、スタッフの個人情報が含まれる。

複数(オーストラリア)

2023年4月に発生したブリスベンのテレマーケティング会社Pareto Phoneへのハッキング攻撃が、The Cancer Council、Canteen、The Fred Hollows Foundationでのデータ侵害につながった。(~4,300)

Government Employees Insurance Company/ガイコ(米国)

ガイコがMOVEit Transferに関するセキュリティ上の問題を公表したが、「ガイコのシステムで侵害が発生した形跡はない」と主張した。その後、従業員らはこの侵害で自らの個人情報が流出したと主張している。

Stockwell Harris Law(米国)

2023年8月22日、Lockbitランサムウェアグループは同社を被害者リストに加え、自らが盗んだと主張する法律関連データをダンプした。

Helsinki and Uusimaa Hospital District(フィンランド)

2021年のハッキングの疑いがあるインシデントにおいて、元看護師が患者の個人情報にアクセスしていた。さらに別の2件の小規模な侵害インシデントでは、他の患者の医療記録への不正アクセスがあった。(>900)

雇用局(フランス)

政府の同雇用機関は、サービスプロバイダーの1社で侵害が発生したことによるデータ侵害に見舞われた。侵害されたデータには、姓、名、社会保障番号が含まれる。(6,000,000)

North East BIC(英国)

2023年8月22日、ALPHVランサムウェアグループは、同レンタルスペース会社を被害者リストに追加し、317GBのデータを抜き取ったと主張した。侵害されたデータには、従業員の個人データ、履歴書、運転免許証、社会保障番号などの社内データや顧客文書が含まれていると報告されている。

Advance America(米国)

Advance America Cash Advance Centers of MontanaとAdvance America Cash Advance Centers of Vermontで、消費者の機微な情報が権限を持たない者によるアクセスを受け、データ侵害が発生した。

Fatal Model(ブラジル)

同エスコート・サービスの保有するパスワードで保護されていない2つのデータベースから、1,800万件以上のレコードが流出した。これには、メールアドレス、アカウントの詳細、デバイス情報、検証用画像など、顧客やエスコート役に関する情報が含まれる。

重要インフラに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、重要インフラ関連の攻撃タイプ

 

小売

セキュリティ研究者のXavier Mertens氏は最近、ドイツの小売業者Zalandoが送信元であるかのように装ったフィッシングメールを発見した。このメールは最終的にリモートアクセスツール(RAT)のNetSupport Managerを配布する。メールには、難読化されたJavaScriptファイルを含む悪意あるZIPファイルが含まれており、これがPowerShellスクリプトを投下して実行する。このスクリプトは、LOLBin(living-off-the-land binary)のBitsAdmin、またはスタンドアロンの実行ファイルを使用して、マルウェア実行ファイルを含む追加ファイルをダウンロードする。

ヘルスケア

米国ヘルスセクターサイバーセキュリティコーディネーションセンターが、米国の公衆衛生および民間医療セクターの組織を標的とする中国のサイバー脅威アクターについてまとめたホワイトペーパーを発表した。APT10、APT18、APT22、APT27、APT41のような脅威アクターは、医療セクターを盛んに狙い続ける可能性が高いと考えられている。攻撃は通常、医療技術や医療に関連する知的財産の窃取を伴う。

重要インフラ

金銭的な動機を持つ脅威アクター「Scattered Spider」が最近の活動で重要インフラ組織を標的としていることを、Trellixの研究者が観測した。このグループは以前にも電気通信関連組織やビジネスプロセスアウトソーシング組織を標的にしていた。Scattered Spiderは攻撃の中で、TelegramやSMSフィッシング、SIMスワッピング、MFA疲労攻撃など、さまざまなソーシャルエンジニアリング戦術を活用し続けており、IT担当者になりすますケースも観測されている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(18 – 24 August 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ