ロシアのサイバースパイFancy Bearがウクライナのエネルギー施設にフィッシング攻撃

ウィークリー・サイバーダイジェスト

ロシアのサイバースパイFancy Bearがウクライナのエネルギー施設にフィッシング攻撃

ロシアのサイバースパイグループFancy Bearがウクライナの不特定のエネルギー施設を標的とするのを、CERT-UAが特定した。標的のシステムへの初期アクセスにはフィッシングメールが使用されたが、これらのメールには偽の政府文書やソフトウェア勧告ではなく、女性に関連する画像やメッセージが含まれていた。

Sandwormの新たなAndroidマルウェア「Infamous Chisel」についてファイブアイズが報告

ファイブアイズ諸国のサイバーセキュリティ機関は、ロシアの脅威グループSandwormが使用する新しいAndroidマルウェア「Infamous Chisel」の詳細を伝える共同勧告を発表した。この新しいマルウェアは、ウクライナの軍事関係者を標的としたサイバースパイキャンペーンで使用されている。このキャンペーンは以前、2023年8月にウクライナのセキュリティ機関によって公表されていた。

英軍基地にフェンス提供のZaun社、LockBitにデータ盗まれる

同メーカーは、2023年8月5日から8月6日にかけてLockBitランサムウェアの攻撃の標的となり、10GBのデータがダウンロードされたことを明らかにした。アクセスされた可能性のあるデータには、過去のEメール、注文、図面、プロジェクトファイルなどが含まれる。LockBitは2023年8月13日に同社をリークサイトに追加した。

2023年9月7日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Levare International（アラブ首長国連邦）

2023年8月31日、ランサムウェアMedusaのオペレーターが、Levare Internationalから同グループが盗んだとされる1TBのデータのリークを開始すると主張した。漏洩した可能性のあるデータは、姓名、住所、社会保障番号、銀行関連の詳細。

LogicMonitor（米国）

同社はデフォルトパスワードの使用により、少数の顧客がハッキングを受けたことを認めた。

ベッタファイ（米国）

ダークウェブフォーラム上のあるハッカーが、金融関連企業ベッタファイのデータベースに不正アクセスしたと主張している。またユーザー名、メール、およびベッタファイのプラットフォームに紐付けられたハッシュ化されたパスワードを所有していると主張している。（270,000）

Sourcegraph（米国）

2023年8月28日、ある攻撃者が、同社のWebサイト上の特定のデータへ不正に管理者権限でアクセスした。侵害されたデータには、有料会員のライセンスキー、氏名、メールアドレス、およびコミュニティユーザーのSourcegraphアカウントのメールアドレスが含まれる。

Cigna Health（米国）

コネティカット州の同保険会社が所有する、170億件超のレコードを含むパスワードで保護されていないデータベースにより、医療提供者のデータが公開状態となった。これには病院名や医師名、所在地住所、電話番号などが含まれる。

安全性評議会（米国）

同非営利団体が、特定のWebディレクトリを不注意で流出させた。これには、2,000の企業や政府機関が所有する10,000件のメールと認証情報が含まれる。

Chambersburg Area School District（米国）

ペンシルベニア州の同学区は、ランサムウェア攻撃によって最近のIT問題が引き起こされたことを認めた。

シドニー大学（オーストラリア）

2023年8月31日、同大学は、ごく一部の留学生と志願者に影響するデータ侵害を公表した。

不明

2023年8月31日、あるハッカーが、2つのデータ侵害ハッキングフォーラム上で、オーストラリアのパスポート100件を開始価格700ドルで売りに出した。販売者は氏名、生年月日、パスポート番号などのパスポート情報を含むサンプルのExcelファイルを投稿した。

Fenn Termite & Pest Control（米国）

8Baseランサムウェアが、同社を自身のリークサイトに追加し、機密データにアクセスしたと主張した。これには請求書、領収書、会計文書、個人データなどが含まれると報告されている。

ピザハット・オーストラリア

脅威グループShinyHuntersが、同社のAmazon Web Servicesサーバーにアクセスし、顧客の注文を含む3,000万件超のレコードや顧客に関する情報を抜き取ったと主張している。証拠として提供された2つのサンプルには、氏名、メールアドレス、住所、クレジットカード番号などのデータが含まれていた。（>1,000,000）

TissuPath Pathology（オーストラリア）

同社のサードパーティのサプライヤーのうち1社を経由したサプライチェーン攻撃により、2011年から2020年の間にTissuPath宛てに発行された病状照会に影響を及ぼすデータ侵害が発生した。漏洩した情報には、氏名、生年月日、性別、住所、携帯電話番号、メディケアカード番号などが含まれる。

コグニザント（米国）

2023年5月30日から6月3日の間に、ネットワークセキュリティインシデントが発生した可能性がある。漏洩した可能性のあるデータは、氏名、住所、メールアドレス、電話番号、生年月日、社会保障番号、銀行口座番号など。（192,000）

North Mississippi Health Services（米国）

2023年7月に発生したメールによるフィッシング攻撃により、患者の個人情報が影響を受けた可能性がある。侵害された情報には、氏名、生年月日、主治医の氏名、診断名や診療方針/転帰先決定の情報などが含まれる。

アユシュ省（インド）

2023年8月14日、「Tanaka」という名の脅威アクターが、ジャールカンド州の同省からデータベースを流出させたと主張した。7.3MBのデータベースには、個人を特定できる情報や医療診断データ、および医師の個人データを含む32万件超の患者に関するレコードが含まれている。

レンズカート（インド）

同社のSpring Bootアプリケーションにおける設定ミスにより、顧客の機微データが流出した。これにはアーダールカードデータ、PANカード、写真、運転免許証などが含まれる。

Freecycle Network（米国）

同非営利団体がユーザー名、ユーザーID、メールアドレス、およびパスワードを含む会員の個人情報に関わるデータ侵害に見舞われた。

Newton Media A.S.（チェコ）

BlackCatランサムウェアグループが、同メディアを自身のリークサイトに追加した。同社は過去に、2023年8月24日〜8月25日の間に発生したハッキング攻撃を公表していた。

Just Kids Dental（米国）

あるランサムウェア攻撃により、患者、顧客、および従業員の個人のレコードが流出した。漏洩した可能性のあるデータは、氏名、住所、メールアドレス、電話番号、社会保障番号、医療に関する詳細など。（129,623）

Simplicia（フランス）

「Nationalist」として活動するハッカーフォーラム上のユーザーが、従業員の個人情報を所持していると主張している。同データには従業員の氏名、国民識別番号、顧客IDなどが含まれると報告されている。（152,000）

Tapsi（イラン）

ハッカーらが同社のインフラを侵害し、ユーザーおよびドライバーの機微情報を盗み出した。（33,000,000）

UnitedHealthcare（米国）

2022年12月1日から2023年1月25日の間に、ブローカーのポータルへの不正アクセスののち、特定のルイジアナ州居住者の個人健康情報が侵害された。侵害された可能性のあるデータには、氏名、会員ID、医療保険プランの種類、居住国・州が含まれる。

DOIT Consultants（カナダ）

RagnarLockerランサムウェアグループは、脆弱性を悪用して同IT企業のネットワークにアクセスしたと主張している。この攻撃者は、影響を受けたと主張する同社の顧客の詳細なリストを公表していると報じられている。

ベトン（フランス）

この都市は、2023年8月30日夜から31日にかけてサイバー攻撃の標的となった。その後、Medusaランサムウェアのオペレーターがこの攻撃の犯行声明を出し、盗んだとされるデータを2023年9月14日までに流出させると脅迫した。

Jules B（英国）

Medusaランサムウェアグループは、同ファッション小売業者をリークサイトに追加した。

複数

Playランサムウェアのオペレーターは最近、リークサイトにMajestic Spice、Bordelon Marine、Master Interiors Inc、キッカーランド、Precisely Holdings、Markentrainer Werbeagenturの6社を追加した。

AIS Thailand

2023年8月31日、ハッカーグループDesordenが、同社を標的にして198GBのデータを盗んだと主張した。これには顧客データのほか、音声録音ファイルや通話記録も含まれているとされる。これらの顧客には、アジアンプロパティ株式会社、ロレアル、SC・アセット、DHL、Lazada、SCG、ユニリーバ、Singer Thai、Jaymart、セントラル・グループなどが含まれると言われている。

NXPセミコンダクターズ（オランダ）

2023年7月11日、同チップメーカーのオンラインポータルに接続されたシステムから、権限のない者が「基本的な個人情報」にアクセスした。この侵害は、NXPのオンラインアカウントを持つ顧客に影響を与える。侵害された可能性のあるデータには、氏名、メールアドレス、住所、電話番号などが含まれる。

Firmdale Hotels（英国）

Playランサムウェアグループは2023年9月4日、このホテルチェーンをリークサイトに追加し、機微なデータにアクセスできたと主張した。これには、顧客や従業員の文書、契約書、ID、パスポート、財務情報などが含まれるとされている。

シー・ディー・ダブリュー（米国）

LockBitランサムウェアのアクターが、同社を標的にしたと主張した。同アクターは2023年9月21日を期限とし、盗まれたとされるデータがすべて公開される前に要求に応じるよう求めた。

Barry Plant（オーストラリア）

2023年9月2日、AlphVランサムウェアのオペレーターが同不動産会社をリークサイトに追加した。Barry Plantの関係者はその後、攻撃はブラックバーンの事務所に限定されていると述べている。

Tisher Liner FC Law（オーストラリア）

AlphVランサムウェアのアクターが、リークサイトに同法律サービス会社を追加した。

Maiden Erlegh School（英国）

同校が「巧妙な」サイバー攻撃の標的にされ、これによりITシステムに技術的な問題が引き起こされた。この攻撃にはランサムウェアが関与していると言われている。

複数

Cactusランサムウェアグループは、新たな被害者である5組織をダークウェブのリークサイトに追加した。これらには、Seymours Licences Limited、Groupe Promotrans、MINEMAN Systems、Maxxd Trailers、マルフリグ・グローバル・ フーズが含まれる。

Associates in Pediatric Dentistry（米国）

この歯科医院では、2023年1月27日から2月8日の間に、メールアカウントへの不正アクセスが発生した。侵害された可能性のある患者データには、氏名、住所、連絡先情報、生年月日、治療・診断情報、健康保険情報などが含まれる。

Janssen CarePath（米国）

権限を持たないアクターが同医療会社の患者データベースを侵害した。漏洩した情報には、連絡先情報、生年月日、健康保険情報、投薬や関連疾患に関する情報などが含まれる。

Cyperport（香港）

Trigonaランサムウェアグループは最近、同ビジネスパークをリークサイトに追加し、400GB以上のデータを盗んだと主張した。Cyperportは、権限を持たない者が同社のコンピューターシステムの一部に侵入する攻撃があったことを認めた。

Seville City Council（スペイン）

2023年9月5日、同自治体はランサムウェアが関与したと思われるサイバー攻撃を受けた。この攻撃は行政を麻痺させ、バーチャルオフィス、電話、緊急サービス、税務署の徴収サービスに影響を与えている。

LADBible Group（英国）

メディアパブリッシャーが所有する4GBのデータを含む保護されていないElasticsearchインスタンスから、従業員のEメール、従業員のソーシャルメディアプロフィールへのリンク、従業員のデバイスID、および特定のビジネス情報が流出した。データはその後保護されている。

セーバー（米国）

Dunghill Leakランサムウェアグループは、同オンライン旅行会社に対する攻撃の犯行声明を出し、1.3TBのデータを盗んだと主張した。このデータには、航空券の売り上げや乗客回転率、従業員の個人データ、企業の財務情報が含まれているとされる。

See Tickets（英国）

2023年5月、同社のEコマースサイトで異常な動きが発見された。ハッカーはクレジットカードのスキミングを行うマルウェアを使用した可能性が高く、これにより2023年2月28日から7月2日の間に同サイトでの購入に使用された名前、住所、ペイメントカード情報にアクセスすることができた。（323,000）

ヘルスケアに関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ヘルスケア関連の攻撃タイプを示しています。

市民社会

SuperBearと名付けられた新しいリモートアクセス型トロイの木馬を、Interlabの研究者が発見した。このトロイの木馬は、特定の組織の活動家から送られたと称するEメールを通じてジャーナリストに配布される。このマルウェアは、市民社会団体を標的とした新たなキャンペーンで使用されていると考えられている。このマルウェアの主な攻撃活動では、プロセスやシステムデータの抜き取り、シェルコマンドのダウンロード・実行、DLLのダウンロード・実行などが行われる。

暗号資産

暗号資産関連の詐欺師が政府所有のURLを侵害してMetaMaskユーザーを標的にしているのを、コインテレグラフが観測した。インド、ナイジェリア、エジプト、コロンビア、ブラジル、ベトナムなどの政府公式Webサイトが、偽のMetaMaskサイトにリダイレクトしているのが見つかっている。偽のWebサイトは、最終的にMetaMaskウォレットをプラットフォーム上の様々なサービスにリンクするようユーザーに促す。

テクノロジー

Meta BusinessとFacebookのアカウントを標的とした、主にベトナムを発信源とする進行中のキャンペーンを、WithSecureの研究者が調査した。同社のレポートには、最近活動が活発化しているDUCKTAILのオペレーションや、新たな脅威であるDUCKPORTに関する内容が含まれる。キャンペーンでは通常、Redlineのようなコモディティマルウェアやカスタムマルウェアが使われる。被害者は、Facebook、LinkedIn、フリーランスサイト、WhatsApp、Eメール、ドライブバイコンテンツやプロモーションコンテンツなど、さまざまなプラットフォームを通じて狙われる。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(1 – 7 September 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/