Stayin’ Alive:アジアの電気通信業界と政府機関狙うスパイキャンペーン | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Stayin’ Alive:アジアの電気通信業界と政府機関狙うスパイキャンペーン

Threat Report

Silobreaker-WeeklyCyberDigest

Stayin’ Alive:アジアの電気通信業界と政府機関狙うスパイキャンペーン

Yoshida

Yoshida

2023.10.13

ウィークリー・サイバーダイジェスト

Stayin’ Alive:アジアの電気通信業界と政府機関狙うスパイキャンペーン

アジアの電気通信業界および政府機関を標的とした進行中のスパイキャンペーンを、Check Pointの研究者が観測した。「Stayin’ Alive」と名付けられたこのキャンペーンは、遅くとも2021年から行われている。被害者はまず、DLLのサイドローディング技術を用いるアーカイブファイルを含むスピアフィッシングメールを送りつけられる。このキャンペーンでは特に、Audinate製ソフトウェアDante Discoveryの脆弱性CVE-2022-23748が悪用されている。キャンペーンで使用されているツールは、この地域で活動する中国との繋がりを持つアクター「ToddyCat」と関連している。

Lorenzランサムウェアに連絡を取った人々の氏名やメールアドレスが流出

セキュリティ研究者「htmalgae」が、Lorenzランサムウェアグループのダークウェブの被害者に関するブログからバックエンドのコードが流出しているのを発見した。これにより、過去2年間に同グループに接触したすべての人物の詳細が流出した。流出したデータには、氏名、Eメールアドレスなどが含まれる。

遺伝子検査企業23andMeから盗まれたデータ、ハッカーフォーラムで売りに出される(米国)

サイバー攻撃により、同社の一部のユーザーのデータが侵害された。ハッカーはその後BreachForums上にデータのサンプルをリークし、ユーザープロフィールの販売を開始した。侵害された情報には、表示名、性別、生年などが含まれる。

2023年10月12日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Melbourne Royal Women’s Hospital(オーストラリア)

サイバー犯罪者らが、従業員の個人メールアカウントをハッキングした後、個人の患者データにアクセスした。この従業員は予約や治療を調整するために、患者の詳細を自身の個人的なメールアカウント宛にメール送信したと報告されている。(192)

不明(香港)

先月、ハッカーが5件の社会福祉サービスグループと学校のWhatsAppアカウントを侵害した後、香港の居住者のデータが流出した。流出したデータには利用者、保護者、生徒の氏名、携帯電話番号が含まれる。(900)

Suncoast Community Health Centers(米国)

2023年10月4日、LockBitランサムウェアグループが、フロリダの非営利の同地域医療センターをリークサイトに追加した。漏洩したデータには、社会保障番号、パスポート、財務記録などが含まれると報告されている。

移民局(ドミニカ共和国)

2023年9月14日にサイバーセキュリティインシデントが発生し、データ侵害が起きた。流出した可能性のあるデータには、氏名、住所、生年月日が含まれる。

フィリピン健康保険公社(米国)

2023年10月5日、Medusaランサムウェアのオペレーターが同組織から盗んだとされるデータのリークを開始した。データには氏名、住所、生年月日などが含まれると言われている。

Tata Tele Business Services(インド)

LockBitランサムウェアグループが、Tataグループの同子会社をダークウェブポータルに掲載した。同投稿によると、攻撃中に抽出されたファイルは2023年10月14日に公開される予定とのこと。

ゴンドマール(ポルトガル)

同市がサイバー攻撃を受け、職員らはシステムをオフラインにすることを余儀なくされた。Rhysidaランサムウェアはこの攻撃の犯行声明を出し、同市から盗まれたとされるパスポートやその他の財務書類のサンプルをリークサイト上で共有している。

連邦労使関係局(米国)

2023年9月20日、INCランサムウェアグループは同組織をリークサイトに追加した。同グループは、個人情報を含むとされる29GBのデータを抽出したと主張している。

DC Board of Elections(米国)

RansomedVCが同選挙管理委員会をリークサイトに追加し、米国の有権者に関する60万行分の情報を入手したと主張した。同グループは、これを1人の買い手に売却する予定。この情報には、氏名、社会保障番号の一部、運転免許証番号などが含まれているとされる。

OrthoAlaska(米国)

権限のない者が消費者の機微情報にアクセスした。データ侵害は2022年10月12日に発生したと報じられている。(176,203)

ライカモバイル(英国)

2023年9月のサイバー攻撃で、攻撃者が顧客の個人情報にアクセスした。漏洩した可能性のあるデータには、氏名、生年月日、住所などが含まれる。

ナビコグループ(英国)

2023年6月9日頃、外部の脅威アクターがSimrad Appsや多機能ディスプレイのデータベースを含むナビコグループの特定のITシステムに不正にアクセスした。侵害された情報には、氏名、自宅住所、メールアドレスなどが含まれる可能性がある。

Volex PLC

英国を拠点とする同ケーブルメーカーが、ITシステムとデータへの不正アクセスを伴うサイバー攻撃を受けたことを明らかにした。

エア・ヨーロッパ(スペイン)

2023年10月9日、スペインの同航空会社は、ハッカーらが顧客のクレジットカード情報にアクセスしたことを開示した。

Edmonds School District(米国)

2023年1月16日から1月31日の間に、同学区のコンピューターシステムへの不正アクセスが発生した。漏洩した可能性のあるデータには、氏名、社会保障番号、住所、金融口座情報、生年月日などが含まれる。

デ・ラサール大学

あるデータセキュリティインシデントにより、同大学のシステムが侵害された。予防措置として情報システムへのアクセスが制限され、全職員は直ちにGoogle Workspaceのパスワードを変更することを求められた。

Uttar Pradesh National Health Mission(インド)

Knightランサムウェアのアクターは、政府の同イニシアチブを標的にしたと主張した。同グループはその証拠としてスクリーンショットを掲載した。

エア・カナダ

BianLianランサムウェアグループが、2023年9月後半のサイバー攻撃の犯行声明を出し、210GBのデータを抜き取ったと主張した。侵害された情報には、従業員の個人データ、ベンダーやサプライヤーの情報、機密アカウントなどが含まれるとされている。

フィリピン統計機構

同機構はサイバー攻撃を受けたのち、データ侵害に見舞われた。侵害は地域ベースの監視システムに限定されているものとみられる。

Metro Transit St Louis(米国)

Playランサムウェアグループが、盗まれたとされるデータをリークすると脅迫した。これにはパスポート、社会保障番号、税金情報が含まれると言われている。Metro Transitは最近サイバー攻撃を公表したが、顧客データは侵害されなかったと主張した。

West Texas Gas(米国)

2023年5月、権限を持たない者が特定のファイルをコピーし、削除した。これには、氏名や社会保障番号などといった消費者の機密情報を含むファイルが含まれる。

バージニア大学(米国)

3rd Millennium Classroomsで最近発生したセキュリティ侵害により、学生および卒業生の情報が漏洩した。これにより、氏名や大学のEメールのほか、少数のケースでは社会保障番号の下4桁などの情報が流出した。

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

小売

少なくとも2週間にわたりMagentoおよびWooCommerceのWebサイトを標的としているMagecartのWebスキミングキャンペーンの3つのバリエーションを、Akamaiの研究者が発見した。このキャンペーンでは、食品および小売業界の大企業のものを含む、多様なWebサイトが狙われている。脅威アクターは、標的となったWebサイトの脆弱性を悪用して攻撃を開始する。このキャンペーンでは、Webサイトのデフォルトの404エラーページを操作することで悪意のあるコードを隠すという斬新な手法を含む、3種類の高度な隠蔽技術が使用されている。

重要インフラ

複数のハクティビストグループがイスラエルの重要インフラを標的にしている。標的の中には、同国の警報システムRedAlert、多様なエネルギー会社、イスラエルとパレスチナ双方のインターネットプロバイダーが含まれている。ロシア関連のハッカーはさらに、イスラエルの産業制御システムとグローバル衛星システムに対する複数の攻撃について犯行声明を出した。

郵便サービス

米国郵政公社(USPS)の顧客を狙ったフィッシング詐欺が増加していると、セキュリティ研究者のBrian Krebs氏が報告した。特定されたキャンペーンの1つには、SMSを使った大規模なフィッシングオペレーションの中でUSPSやその他の国際郵便サービスになりすまし、個人情報や財務データを盗み出そうとするものがある。

テクノロジー

Cloudflare、Google、AWSは、新たなゼロデイ脆弱性が脅威アクターによって悪用され、2023年8月にインターネット史上最大規模の分散型サービス拒否(DDoS)攻撃が行われたことを発表した。根源となった深刻度の高い脆弱性はCVE-2023-44487として追跡されており、HTTP/2を実装するすべてのWebサーバーに影響を与えると考えられている。「Rapid Reset」と名付けられたこの新たな攻撃手法は、ストリームの多重化に基づいて行われるもので、リクエストを送信しては即座にキャンセルするというパターンを繰り返すことでキャンセル機能を悪用する。この方法で実行された最大規模のDDoS攻撃は、ピーク時の規模が毎秒3億9,800万リクエストだった。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(6 – 12 October 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ