MagecartのJavaScript版マルウェアがOpenCart狙いクレジットカード情報を採取

ウィークリー・サイバーダイジェスト

MagecartのJavaScript版マルウェアがOpenCart狙いクレジットカード情報を採取

OpenCartのEコマース向け決済モジュールからクレジットカード情報を採取するMagecartのJavaScript版亜種を、Sucuriの研究者が特定した。このマルウェアは主に、クレジットカード番号、有効期限、CVV、名前、住所、国などのクレジットカード情報を盗み出す。また、被害者のカードのユーザーエージェント、メールアドレス、IPアドレス、電話番号も取得する。

オランダの土地登記所でデータ侵害、国内の全住宅所有者の住所が公開状態に

RTL Nieuwsの調査により、オランダの土地登記所Kadasterにおけるデータ侵害が発見された。この侵害では、オランダ国内のすべての住宅所有者の住所が公開状態になっていた。

新たなAndroid向けバンキング型トロイの木馬「MMRat」が東南アジアのユーザーを標的に

2023年6月下旬から東南アジアのユーザーを標的にしている、完全に検出不能な新しいAndroid向けバンキング型トロイの木馬「MMRat」を、Trend Microの研究者が発見した。このマルウェアは銀行詐欺を行うために使用することができるが、これにはユーザーが入力した情報や画面の内容をキャプチャし、被害者のデバイスを遠隔操作するという手法が用いられる。ほとんどのサンプルは、公式アプリストアを装った一連の同様のフィッシングページからダウンロードされている。

2023年8月31日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

イリノイ州公衆衛生部（米国）

権限のない者による機微情報へのアクセス後、2023年8月18日、イリノイ州公衆衛生部はデータ侵害を公表した。（126,000）

レンドインベスト（英国）

ロンドンの同住宅ローン融資会社は、外部の者が特定の顧客情報を利用できるようになっていたことを明らかにした。影響を受けた個人の正確な人数は、まだ確認されていない。レンドインベストは、同データはもう公開されていないことも付け加えた。

Ohio History Connection（米国）

同非営利団体が、2023年7月初旬にランサムウェア攻撃の被害に遭っていたことを開示した。この攻撃では同団体の内部データサーバーが狙われており、現職員および元職員の個人情報が侵害された可能性がある。この情報には氏名、住所、小切手の画像、W-9レポートが含まれる可能性がある。（〜7,600）

Milan Eye Center（米国）

2023年8月23日、ジョージア州にある同アイケアプロバイダーは、権限のない者が氏名、社会保障番号、住所、電話番号などの機微情報にアクセスした可能性があることを明らかにした。漏洩したデータは、同プロバイダーのベンダーiMedicWare Incによって管理されている過去の患者記録に関連している。

CentroMed（米国）

サンアントニオを拠点とする同院は、2023年6月9日に権限のない者が同院のシステムにアクセスしたことを公表した。侵害された情報は、氏名、住所、生年月日、社会保障番号など。（350,000）

アメリカン・エキスプレス（米国）

2023年8月25日、同金融サービス大手はインド在住の元従業員が従業員データにアクセスしたことを確認した。この侵害は、サードパーティの給与計算プロバイダーへのアクセスが不注意により同元従業員の手に渡った後に生じた。漏洩した可能性のあるデータには、銀行口座の詳細情報、氏名、住所などが含まれると言われている。

オズワルド・クルーズ財団（ブラジル）

NoEscapeランサムウェアグループが、同組織が所有する500GBの機微データにアクセスしたと主張している。

ロンドン警視庁（英国）

同警視庁が、自身のサプライヤーのうちの1つが不正アクセスを受けたことに関連して発生した可能性のあるデータ侵害について現在調査を行っていると述べた。このサプライヤーは、警察官と職員の氏名、ランク、写真、セキュリティ・クリアランスのレベル、および給与番号を保有していたと報じられている。

Bahamas Medical & Surgical Supplies

8Baseランサムウェアのアクターは、Bahamas Medical & Surgical Suppliesを2023年8月24日に侵害したと主張した。盗まれたデータには請求書、領収書、会計情報などが含まれると言われている。

スカイルート・エアロスペース（インド）

8Baseランサムウェアのアクターが、同社を自身のリークサイトに追加し、財務記録、機密文書、および個人情報を抜き取ったと主張した。

クロール（米国）

2023年8月25日、クロールは、あるサイバー脅威アクターがSIMスワッピング攻撃で、従業員のTモバイルUSのアカウントを標的にしたことを明らかにした。このことにより、攻撃者は暗号通貨企業FTX、BlockFi、Genesisに関連する破産申立人の個人データにアクセスすることが可能になった。漏洩したデータの中には、氏名、住所、メールアドレスなどがある。

WebDetetive（ブラジル）

名称不明のハッカーが同スパイウェア会社を標的にし、複数の脆弱性を悪用したことによりWebDetetive社のサーバーを侵害してユーザーデータベースにアクセスすることが可能になったと報じられている。これにより、同ハッカーはすべてのダッシュボードのレコードを列挙してダウンロードし、スパイウェアネットワークから被害者のデバイスを完全に削除することができた。

Byju’s（インド）

セキュリティ研究者のBob Diachenko氏は、Byju’sが使用している設定ミスのあるApache Kafkaサーバーを特定した。このサーバーでは、200万件のレコードが公開状態となっていた。漏洩したデータは学生に影響を与えるもので、名前、電話番号、住所、EメールIDなどが含まれる。

Edmonds School District（米国）

2023年8月24日、Akiraランサムウェアグループがワシントン州の同学区を被害者リストに追加した。侵害された情報には、生徒の個人文書、職員情報、財務記録、会計データが含まれる。

Prince George’s County Public Schools（米国）

メリーランド州の同学区は、2023年8月初めにサイバー攻撃を受け、個人情報が盗まれてネット上に流出した後、データ侵害を公表した。（4,500）

AmeriBen（米国）

2023年8月23日、アイダホ州の同サードパーティ保険管理者は、消費者情報が不正アクセスの対象となったことを公表した。流出した情報には氏名、健康保険情報、医療情報が含まれる。

Blue Cross and Blue Shield of Illinois / BCBSIL（米国）

2023年8月14日、BCBSILはサードパーティの1つであるHCSC Insurance Services Companyに起因するデータ侵害を公表した。この侵害は、氏名、住所、メールアドレス、電話番号などを含む消費者の機微情報への不正アクセスを伴うものであった。

PurFoods LLC（米国）

同食品製造会社が、2023年1月16日から2月22日の間に起きたデータ侵害について発表した。侵害されたデータには、生年月日、運転免許証、金融口座などが含まれる。

複数

2023年8月28日、Akiraランサムウェアグループは、ジャスパー・ハイスクール、Voss Enterprises、Divvies、Culter Smith PC、Penny Publications LLCなど、複数の組織を被害者リストに追加した。侵害されたデータは、機微な顧客データ、従業員の詳細、機密文書、財務記録、生徒の機密データなど多岐にわたる。

Riverside Group Ltd（英国）

この企業は、数百のテナントに影響を与えるデータ侵害について公表した。グループメールに誤ってテナントのメールアドレスが記載され、受信者がこれらを閲覧できる状態になっていたことにより、この侵害が発生した。

Kendrion（オランダ）

このメーカーは最近、業務システムへの不正アクセスを伴うサイバーセキュリティインシデントを公表した。以後、同社は予防措置としてシステムをシャットダウンしている。この攻撃について、LockBitランサムウェアのオペレーターが犯行声明を出した。

フォーサイス郡（米国）

AlphVランサムウェアグループが、ジョージア州の同郡をリークサイトに追加し、盗まれたとされるデータ350GB分を公開すると脅迫した。侵害されたデータには、社会保障番号や運転免許証番号が含まれる。

Commission des services electriques de Montréal / CSEM（カナダ）

2023年8月30日、LockBitランサムウェアグループはこの電力組織をリークサイトに追加し、盗まれたとされるデータを同日中にリークすると脅迫した。CSEMは、2023年8月3日にランサムウェア攻撃が行われ、盗まれたデータの一部が公開されていたことを明らかにした。

パラマウント・グローバル（米国）

2023年8月11日、米国の同エンターテインメント企業は、ハッカーが同社のシステムにアクセスし、個人を特定できる情報を侵害したと発表した。侵害された情報には、氏名、生年月日、社会保障番号、運転免許証などが含まれる可能性がある。

Prime Therapeutics LLC（米国）

2023年7月11日、同社は、権限を持たないアクターがある従業員の携帯メールアカウントにアクセスしたことを発見したが、このアカウントには会員の保健情報文書が含まれていた。侵害されたデータには、氏名、住所、生年月日、会員ID番号、投薬情報が含まれる。

Alpha Automation and Robotics Ltda（ブラジル）

2023年8月30日、新たなハッカー集団「Five Families」が同オートメーション企業を攻撃したと主張し、盗まれたとされるデータ230GB分をリークすると脅した。侵害されたデータには、顧客データ、財務情報、内部文書などが含まれると報告されている。

Forever21（米国）

同ファッションブランドが、現従業員および元従業員が影響を受けたデータ侵害について公表した。侵害されたデータには、氏名、社会保障番号、生年月日などが含まれる。（537,207）

キャロウェイゴルフ（米国）

2023年8月1日前後に異常なシステム動作が発生し、Eコマースサービスが一時的に停止した。この侵害により、キャロウェイ、Odyssey、Ogio、Callaway Golf Preownedの特定の顧客が影響を受けている。侵害されたデータはユーザープロファイル情報に関連するもので、氏名、住所、メールアドレスなどが含まれる。

南アフリカ国防省

Snatchグループは、現在も国防省（DoD）のネットワークにアクセスできる状態である旨と、1.6TBのデータを抜き取った旨を主張している。

政府に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連の脅威アクターを示しています。

農業

建築会社を標的にした非常に巧妙な進行中のLockBitランサムウェアのキャンペーンについて、スペイン国家警察が警告している。被害者にはフィッシングメールが送られるが、その多くは写真会社を装った実在しないドメインから送信される。数通のメールがやり取りされたのち、LockBitのオペレーターは、提案された建築プロジェクトに関する指摘が含まれると思われる文書を含むアーカイブを送信する。

関連記事：LockBit 3.0のビルダー流出以後、新たなLockBit亜種が400種近く登場か

テクノロジー

Openfireにおける既に修正済みの深刻度の高い脆弱性CVE-2023-32315を悪用してKinsingマルウェアとモネロ向けの仮想通貨マイナーを展開する新たなキャンペーンを、Aqua Securityの研究者が観測した。2か月足らずの間に1,000件以上の攻撃が観測されている。世界中で少なくとも984台のサーバーが脆弱かつインターネットに接続されたままになっている。

政府

フィリピン、台湾、マレーシア、南アフリカ、ドイツ、米国の政府機関やテクノロジー業界の組織を標的としたEarth Estriesによる継続的なサイバースパイキャンペーンを、Trend Microが発見した。このグループは、管理者権限のある既存のアカウントを侵害し、Cobalt Strikeをインストールして追加のマルウェアを展開する。これには、カスタムバックドアのZingdoorやHemiGate、情報窃取型マルウェアのTrillClient、PlugX、Meterpreterステージャーなど、さまざまなバックドアやハッキングツールが含まれる。検出を回避するために、Earth EstriesはPowerShellダウングレード攻撃や斬新なDLLサイドローディングの組み合わせを使用する。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(25 – 31 August 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/