ウィークリー・サイバーダイジェスト
RansomedVCランサムウェアグループがSonyを侵害したと主張(日本)
RansomedVCランサムウェアグループが、同社のシステムを侵害したと主張している。攻撃者らは盗まれたとされるデータを売りに出しており、Sonyが支払いを拒否したことから同社に身代金は要求しないと述べている。
未知のアクター「Sandman APT」が中東、西ヨーロッパ、南アジアの電気通信業界を標的に
中東、西ヨーロッパ、南アジア亜大陸の電気通信プロバイダーを狙う未知のアクター「Sandman APT」による新たな脅威活動群を、SentinelLabsの研究者が特定した。この活動の特徴は、戦略的なラテラルムーブメントが行われる点とエンゲージメントが最小限に抑えられている(おそらく検知を逃れるため)点。Sandmanは、LuaJITプラットフォームを利用する新しいモジュール型バックドア「LuaDream」を展開している。このマルウェアの主な機能には、システム情報およびユーザー情報の抽出機能や、攻撃者提供のプラグインを管理する機能が含まれる。なお同プラグインは、マルウェアの機能を拡張するもの。
ジョンソンコントロールズから27TB超のデータを盗んだ:Dark Angelsランサムウェアが主張(米国)
Dark Angelsランサムウェアのアクターが、27TBを超える企業データを盗み出したと主張している。この窃取行為は、VMware ESXiサーバーを暗号化し、同社とその子会社の業務に支障をもたらした攻撃の中で行われた。
2023年9月28日
脆弱なプロダクト
このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。
データ漏洩・不正アクセス
*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。
Florida Department of Veterans Affairs(米国)
2023年9月5日、Snatchランサムウェアが同組織をリークサイトに追加した。攻撃者は自身の主張の証拠としてサンプルデータのパックを公開した。
Exail Technologies(フランス)
一般にアクセス可能な環境ファイルに、データベースの認証情報が含まれていた。このことにより、このデータベースへのアクセス情報を持つ攻撃者は、機微データを閲覧、修正、削除できた可能性がある。
ユナイテッドヘルスケアサービス(米国)
権限のない者が、機微な顧客データに不正にアクセスできる状態であった。侵害されたデータは保護対象保健情報であった可能性が高い。(315,915)
不明(イスラエル)
イスラエルの求職者を狙ったフィッシングキャンペーンにより、個人情報が盗まれ、流出した。漏洩した情報には、IDカードの写真、履歴書ファイルなどが含まれる。この攻撃はイランのハッカーによるものとされている。
フィリピン健康保険公社
Medusaランサムウェアによる攻撃で、フィリピン政府の同医療保険プログラムが影響を受けている。影響を評価し、侵害されたシステムを保護するための作業が現在進行中。
香港消費者協会
2023年9月20日、同組織に対するランサムウェア攻撃が検知された。攻撃者らは職員や顧客に関する情報、その他の内部文書を含む特定のデータを入手したと主張している。
レイクランド・コミュニティ・カレッジ(米国)
2023年3月7日から3月31日の間に、攻撃者らは完全な氏名と社会保障番号にアクセスした。Vice Societyランサムウェアグループは過去に、自身のデータリークサイトに同カレッジを掲載していた。(285,948)
オークランド工科大学(ニュージーランド)
Montiランサムウェアグループが、同大学から60GBのデータを盗んだと主張し、抽出したデータを来月初めにネット上にダンプすると脅している。同大学はサイバー攻撃の被害に遭ったことを確認した。
BMO Bank(米国)
権限のない者が、同社に預託された情報にアクセスできる状態であった。漏洩した可能性のあるデータには、氏名、社会保障番号、住所、生年月日が含まれる。
Jordan Valley Community Health Center(米国)
2023年3月9日から6月22日の間にネイティブ・アメリカンの患者の個人情報が盗まれた。漏洩した可能性のあるデータには、氏名、住所、メールアドレス、生年月日、人種が含まれる。
Virginia Department of Medical Assistance(米国)
ネットワークサーバーに関わるハッキングとITインシデントにより、個人の機微情報が侵害された。(1,229,333)
Pain Care Specialists(米国)
AlphVランサムウェアが、オレゴン州の同医療プロバイダーをリークサイトに追加し、ネットワークを暗号化して150GBを超える機微データを盗んだと主張した。これには患者や従業員の医療記録、社会保障番号などが含まれると言われている。
Lake Region Healthcare、Mountrail County Medical Center(米国)
両医療機関が、サードパーティプロバイダーであるDMSHealth Technologiesに端を発するデータ侵害を明らかにした。漏洩した可能性のあるデータには、氏名、生年月日、診療日、医師名、検査の種類が含まれる。(>1,390)
複数(米国)
何千ものDICOMサーバーが、設定ミスによってインターネット上に公開された状態となっている。このことにより患者名、生年月日、疾患情報などを含む、多数の国の患者データが流出した。
Clarion(米国)
Alphvランサムウェアは2023年9月23日、同グローバルメーカーをリークサイトに追加し、機密データを所有していると主張した。これには、同社の顧客のエンジニアリング情報および顧客データが含まれる。
Hillsborough County Public Schools(米国)
フロリダ州の同学区は、サイバーセキュリティ侵害により生徒の保護対象情報が不正にアクセスされたことを確認した。この情報には氏名、生年月日、同学区の生徒の識別番号などが含まれる。(254)
Oak Valley Hospital District(米国)
2023年4月21日から7月18日の間に、権限のない者がカリフォルニア州の同院のシステムにアクセスした。同アクターは氏名、健康保険情報などといった患者情報を含むファイルにアクセスすることができた。
Leekes(ウェールズ)
2023年9月17日、同家具チェーンはNoEscapeランサムウェアのリークサイトに追加され、攻撃者らは130GBのデータを盗んだと主張した。
Progressive Leasing(米国)
サイバー攻撃により、個人を特定できる大量の情報が影響を受けたと考えられている。これには顧客やその他の個人の社会保障番号が含まれる。(40,000,000)
MNGI Digest Health(米国)
AlphVランサムウェアグループが、リークサイトに同医療施設を掲載した。同グループは、自身の主張を裏付けるために診断テストの画像をいくつかアップロードした。
Waterloo Media(米国)
NoEscapeランサムウェアが、同社から50GBのデータを抜き取ったと主張している。
フレア航空(カナダ)
公開された環境ファイルから、企業データが少なくとも7か月間流出状態になっていた。団体旅行予約のための少なくとも1つのサブドメインが、名前、メールアドレス、電話番号、フライトの詳細などを含むユーザーのプライベート情報を収集していた。
Conduent(米国)
名称不明の脅威アクターが、SMSフィッシング攻撃ののちに同社のEメール、チャットルーム、重要データへ不正にアクセスしたとされる。この侵害により、機微な顧客の契約書やデータベースエントリなどが漏洩したと報じられている。
クウェート財務省
Rhysidaランサムウェアグループは、2023年9月18日に同省を攻撃したと主張した。同グループはリークサイトに同省を追加し、主張を裏付ける証拠として一連の文書を公開した。
Pelmorex(カナダ)
LockBitランサムウェアが、同社のネットワークからデータベースを入手したとされている。このデータベースには、同社のデジタルサーバーへのアクセスコードが含まれるという。攻撃者はダークウェブのリークサイトでデータをリークする意向を表明している。同社によると、現在のところ、攻撃者は一般に入手可能な情報への限定的なアクセスを得たと考えられているとのこと。
DarkBeam(英国)
保護されていないElasticsearchとKibanaのインターフェイスに、38億件超のレコードが含まれていた。これにより、過去に報告された、あるいは報告されていない漏洩データ内のユーザーEメールとパスワードが公開状態となった。
LCS Financial Services(米国)
2023年2月24日、権限を持たない何者かがコンピューターネットワークにアクセスした。このアクターは、消費者の機密情報を含むファイルにアクセスし、削除することができた。
Community First Medical Center(米国)
2023年7月のある時点で、不正アクセスが発生した。アクターは患者の機密情報を含む特定のファイルにアクセスすることができた。これには氏名や社会保障番号が含まれる可能性がある。
Kokoro(英国)
英国の複数の慈善団体が、ハッカーにデータを盗まれたと支援者に通達している。これは、同ハッカーがサードパーティサプライヤーであるKokoroのWebサーバーに侵入した後のことだったという。影響を受けた慈善団体には、Shelter、RSPCA、Dogs Trust、Battersea Dogs and Cats Home、Friends of the Earthが含まれる。侵害された可能性のあるデータには、氏名、住所、メールアドレス、過去の寄付に関する情報が含まれる。
Iran Telecom
APT IRANグループが、Iran TelecomとIrancellのデータベース内のデータ4TB分にアクセスしてこれを抜き取ったと主張した。同グループは、自らの主張を証明するために、侵入時の動画と抜き取ったデータをアップロードすると脅している。
ミネソタ大学(米国)
同大学は、最近のセキュリティインシデントにより、1989年から2021年の間に同大学に関係していた学生、志願者、教職員の個人情報が流出したことを認めた。侵害された可能性のある情報には、氏名、連絡先情報、社会保障番号、生年月日、給与情報などが含まれる。
ChildFund New Zealand
2023年4月のPareto Phoneへのサイバー攻撃により、寄付者の個人連絡先情報が影響を受けた。侵害された可能性のあるデータには、氏名、住所、電話番号、参照番号が含まれる。
ZenLedger(米国)
「Sing」として活動するダークウェブ上のアクターが、ZenLedgerのものとされるデータを15,000ドルで売りに出すと発表した。Singの主張によると、このデータは同社が公開しているデータベースではなく、IDやメールアドレス、氏名などを含んでいるとのこと。
ホスピタリティに関連して言及された攻撃タイプ
このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、ホスピタリティ関連の攻撃タイプを示しています。
ホスピタリティ
ホスピタリティ業界に対して高度な情報スティーラーを配布する巧妙かつ革新的なソーシャルエンジニアリング攻撃を、Cofenseの研究者が観測した。このキャンペーンでは、ホスピタリティ業界のメールアドレスを誘い出して応答させるため、偵察メールやインスタントメッセージが使用される。その後、RedLine、Vidar Stealer、Stealc、Lumma Stealer、Spidey Botなどのマルウェアを配信するために、さらなるフィッシングメールが使われる。このメールには、予約リクエスト、予約変更、特別なリクエストなどに関する誘い文句が用いられており、セキュアメールゲートウェイやEメールセキュリティ分析をバイパスするために複数の手法が使用される。
政府
東南アジアのある国における異なる複数の政府機関を標的にした一連のスパイ攻撃を、Palo Alto Networks Unit 42の研究者が特定した。この活動は同時期に発生したが、3組の別の脅威アクターによって実行されており、その活動群はそれぞれ異なるツール、手口、インフラによって特徴付けることができる。観測された手法やツールと、長期にわたる持続的な偵察が行われていることからは、これらの攻撃がStately Taurus、Alloy Taurus、Gelsemiumの3組のAPTグループによるものであることが示唆されている。
銀行・金融
2023年8月、ThreatFabricの研究者は、Android向けバンキング型トロイの木馬「Xenomorph」の新しいサンプルが、数か月の休止期間を経て配布キャンペーンで使用されているのを確認した。この新たな活動は、主に米国やスペイン、およびその他のヨーロッパ諸国を標的にしている。Xenomorphはアップデートされ、アンチスリープ、ミミック、クリックポイント機能を含むいくつかの新しいコマンドが追加されている。配布キャンペーンでは、被害者を騙して悪意あるAPKをインストールさせるため、Google Chromeのアップデートを装うフィッシングページが使用される。
テクノロジー
中国関連の脅威アクターBlackTechによるルーターのファームウェアを狙った活動について詳述した共同勧告を、米国と日本の当局が発表した。BlackTechは、日本や米国にある企業の本社を、海外子会社の拠点が持つルーターを侵害することによって標的にする。政府、産業、テクノロジー、メディア、エレクトロニクス、電気通信、日米軍の支援組織など、さまざまなセクターが狙われている。BlackTechは、BendyBear、Bifrose、BTSDoor、FakeDead、Flagpro、FrontShell、IconDown、PLEAD、SpiderPig、SpiderSpring、SpiderStack、WaterBearなどのカスタムマルウェアのペイロードやリモートアクセスツールを使用する。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
https://codebook.machinarecord.com/6077/