エネルギーインフラに迫る中国/ロシアハッカーの脅威：FBIが警告

ウィークリー・サイバーダイジェスト

エネルギーインフラに迫る中国/ロシアハッカーの脅威：FBIが警告

米連邦捜査局（FBI）が発表した民間業界向けのアラートには、世界のエネルギー供給の変化により、重要なエネルギーインフラを標的にする中国やロシアのハッカーが増加する可能性が高いことを警告する内容が記されている。また要因として、米国の液化天然ガス輸出の増加、米国に有利な世界の原油サプライチェーンの変化、ロシアのエネルギー供給に対する西側からの継続的な圧力、中国の原油輸入への依存などが挙げられている。

npmを利用してルートキットr77を配布するタイポスクワッティングキャンペーン

ルートキットr77を配布するためにnpmプラットフォームを狙うタイポスクワッティングキャンペーンを、ReversingLabsの研究者が発見した。このキャンペーンは2023年8月末に始まった。ReversingLabsがルートキット機能を持つ悪意あるオープンソースパッケージを発見したケースは今回が初めて。このパッケージはDiscordボットをダウンロードするために使用されるが、このボットは最終的なペイロードを配信するDiscordRAT 2.0のコピーであることが判明した。

ハッカーグループSiegedSecがFBI関連サイトの認証情報とされるものを販売

SiegedSecが、Law Enforcement Enterprise Portal（LEEP）のアカウント認証情報をダークウェブに掲載したと報じられている。侵害された認証情報には、アカウント名とパスワードが含まれるとされている。

＜その他のSiegedSec関連ニュース＞

北大西洋条約機構（NATO）

SiegedSecが、NATOの機密扱いでない複数Webサイトから8GBのデータを盗んだとされている。このグループは3,000件超の文書へのリンクを共有しており、そのほとんどはNATO標準化事務所から持ち出されたものだと言われている。

ペマラン県（インドネシア）

ハッカーグループSiegedSecが同自治体のサーバーにアクセスしたと主張し、2つのデータベースにアクセスしたとされている。侵害されたデータにはID、ユーザー名、ハッシュ化されたパスワード、認証キー、Eメールなど数千のユーザーデータが含まれると言われている。

2023年10月05日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Francesca’s Acquisition（米国）

2023年1月、権限を持たない者が同社のシステム上の特定の情報にアクセスしていた。漏洩した可能性のあるデータには、氏名、社会保障番号、運転免許証番号、金融口座情報、医療情報、健康保険情報が含まれる。（58,000）

モーテル ワン（ドイツ）

AlphVランサムウェアグループが、同ホテルチェーンをリークサイトに追加し、約6TBのデータを盗んだと主張した。このデータには過去3年分の予約確認情報が含まれ、氏名、住所、予約日などが流出したとされている。同社はその後データ侵害を認め、影響は限定的であるとした。

McLaren Health Care Corporation（米国）

AlphVランサムウェアグループが、6TB超のデータを盗んだと主張している。この中には、米国市民数百万人分の医療データや個人データ、および同社の業務に関する動画資料が含まれているとされる。

TaxReturnWala（インド）

「Hacking」という名のユーザーが、ハッカーフォーラム上でインドの納税者のデータを公開した。盗まれたデータにはログイン認証情報が含まれるとされる。

O.R.タンボ地域（南アフリカ）

ハッキンググループFive Familiesが、同地域のメインドメインから機微データを入手したとされる。同グループはデータをリークしない代わりに身代金を要求している。

新リュブリャナ銀行（スロベニア）

技術的なミスにより、同行の多数のユーザーの口座に関する詳細が流出した。モバイルウォレットToshlは、影響を受けた口座の数は同行が開示したものよりも多い可能性があると述べ、過去1年間の取引明細から口座名義人を特定できる可能性があると付け加えた。

インド国家海運ポータル

同プラットフォームで、一般に公開されているJavaScriptファイルを介して機微情報が流出した。複数のAWS S3バケットも公開状態となっており、それらには特定のスタッフの個人データや請求書、内部文書が含まれていた。

欧州電気通信標準化機構（フランス）

ハッカーらがサイバー攻撃中にオンラインメンバーのリストを盗んだ。

Builders Mutual Insurance Company（米国）

2023年12月14日、同社のコンピューターネットワークへの不正アクセスにより、氏名、社会保障番号、医療情報、健康保険情報、労災情報が流出した。（64,761）

Cornerstone Home Lending（米国）

ある種のサイバー攻撃と思しきインシデントで、消費者情報が漏洩した。流出した情報には、氏名、社会保障番号、金融口座情報、住所が含まれる可能性がある。

API Financial Solutions（米国）

2023年6月28日、権限のない者が特定のファイルにアクセスした。流出した可能性のあるデータには、氏名、社会保障番号、運転免許証番号、パスポート番号、金融口座情報が含まれる。（71,000）

ドマサ（スロバキア）

あるハッカーフォーラムの脅威アクターが、ユーザー名、パスワード、フルネーム、Eメールアドレス、電話番号、居住市などを含むデータベースをリークしたと主張した。（1,379）

Jeevess Ayurveda（インド）

あるハッカーフォーラムの投稿で、脅威アクターが250万行超のデータを含むデータベースをリークしたと主張した。

AllCare Pharmacy（アイルランド）

Lorenzランサムウェアグループが、盗まれたとされるデータの一部を7件共有し、その主張を裏付けるためにサンプルを追加した。侵害されたデータには、顧客の機微情報や社会保障番号を含む機密ファイルが含まれる。

PTV Telecom（スペイン）

データ侵害により、盗まれた情報の一部がネット上に流出した。影響を受けるのは、Eメールとテキストメッセージによる通知を受け取った顧客のみ。侵害されたデータには、氏名、住所、電話番号、Eメール、ID番号、生年月日、国籍などがある。

Rock County Public Health Department（米国）

Cubaランサムウェアが、2023年9月29日の攻撃の犯行声明を出した。同グループは盗まれたデータの量を明らかにしなかったが、財務文書や税務情報などが含まれていると述べた。

大都市圏交通委員会（米国）

同政府機関の保有するAWSバケットの設定ミスにより、26,000件超のファイルが公開状態になった。これらのファイルには、フルネーム、自宅住所、車のナンバーなど、ユーザーの個人情報を含む駐車許可証が含まれている。許可証の日付は2016年から2021年の間だった。

Eastern Connecticut Health Network（米国）

親会社であるProspect Medical Holdingsに対するサイバー攻撃により、従業員と患者の機密情報が影響を受けた。侵害されたデータはさまざまだが、氏名、住所、生年月日、診断、検査結果、投薬、治療情報、保険情報などが含まれる。（24,130）

複数（インド）

ハッカーグループThreatSecが、インドの5つの組織（IISER コルカタ校、Inspirox India、Kumari Online、Prasanta Chandra Mahalanobis Mahavidyalaya、VTinfocom）から64,128件のファイルを盗んだと主張した。侵害されたデータには、個人情報やその他のゆすりに使える可能性のあるデータが含まれていると報告されている。

バングラデシュ

同国のスマートNID（国民ID）カード保持者の個人情報がTelegramチャンネルで流出した。10桁のNID番号をボットチャンネルに入力すると、名前、性別、両親の名前、電話番号、住所、写真などさまざまな情報が提供される。

Really Simple Systems

パスワードで保護されていないデータベースに300万件以上のレコードが含まれていた。公開状態となったファイルのうち、限られた数のファイルが他のさまざまな企業のものであった一方、それ以外のファイルには医療記録、身分証明書、不動産契約書、信用報告書などが含まれていた。

DRA Global（オーストラリア）

一部の個人情報が権限を持たない個人によるアクセスを受けた可能性がある。この件に関する調査は現在も継続中。

重要インフラに関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の脅威アクターを示しています。

政府

東南アジア諸国連合（ASEAN）のメンバーである政府機関を標的とした新しい侵入セット「REF5961」を、Elastic Securityの研究者が観測した。この侵入セットは新たに特定された3つのバックドアで構成されており、これらはそれぞれEAGERBEE、DOWNTOWN、RUDEBIRDと名付けられている。標的となった環境の中には、以前にも 「REF2924」という侵入セットの標的になったものがあり、両侵入セットの背後にいる脅威アクターは中国関連のアクターであると考えられている。

銀行・金融

これまで知られていなかったAndroidバンキング型トロイの木馬「GoldDigger」を、Group-IBの研究者が検出した。GoldDiggerは、2023年6月からベトナムの金融組織を標的にしている。このマルウェアは主に、ユーザーアカウントにアクセスし、バンキングの認証情報を盗むことを目指す。GoldDiggerは、スミッシングまたは従来のフィッシングによって配布されている可能性が高く、偽のGoogle Playアプリケーションやベトナムの現地エネルギー会社のWebサイト、またはベトナム政府のポータルを装っている。

電気通信

APTグループ「Budworm」がカスタムツール「SysUpdate」のアップデート版を使用していることを、シマンテックの研究者が観測した。この新バージョンは、2023年8月に中東の電気通信組織とアジアの政府を狙って情報収集を行うために使用された。SysUpdateは、正規のINISafeWebSSOアプリケーションを使用したDLLサイドローディングによって実行されることが観測された。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(29 September – 05 October 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

https://codebook.machinarecord.com/6077/