ロシアグループSandworm、今年5〜9月にウクライナの通信プロバイダー11組織を侵害 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ロシアグループSandworm、今年5〜9月にウクライナの通信プロバイダー11組織を侵害

Threat Report

Silobreaker-WeeklyCyberDigest

ロシアグループSandworm、今年5〜9月にウクライナの通信プロバイダー11組織を侵害

Yoshida

Yoshida

2023.10.20

ウィークリー・サイバーダイジェスト

ロシアグループSandworm、今年5〜9月にウクライナの通信プロバイダー11組織を侵害

ロシアの国家支援型ハッキンググループSandwormが、2023年5月から9月にかけてウクライナの11の通信サービスプロバイダーを侵害したことを、CERT-UAが明らかにした。攻撃者は、侵害されたシステムにバックドアを展開し、最終的に、特にMikrotikの機器を狙ってサービス中断を引き起こすことを目的としたスクリプトを展開した。このスクリプトはまた、バックアップをワイプし、復旧を阻止することも目的としていた。特定されたバックドアには、PoseidonとPoemgateが含まれる。

NTTビジネスソリューションズの顧客情報900万件を元派遣社員が流出させる(日本)

元派遣社員が900万件の顧客情報を流出させたと報じられた。流出した情報は氏名、住所、電話番号など。この流出により、福岡の自動車税納税者のデータにも影響が出ている。(140,000)

D-Linkでデータ侵害、従業員がフィッシング被害に遭ったのち(台湾)

従業員がフィッシング攻撃の被害に遭った後、攻撃者が同社のネットワークにアクセスした。侵害されたデータには、氏名、Eメール、住所、電話番号などが含まれるとされている。

2023年10月19日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

フィリピン科学技術省

同省のポータル「OneExpert」がデータリークの被害に遭った。その後2023年10月8日、Facebook上で同Webサイトのものと同様の、技術専門家およびユーザーの個人情報がリークされた。

Mulkay Cardiology Consultants(米国)

2023年10月9日、NoEscapeランサムウェアのアクターは、ニュージャージー州の同クリニックから盗んだとされるデータのリークを開始した。データには、保護対象保健情報を含む患者の記録が含まれると言われている。

西ベンガル州政府(インド)

あるセキュリティ研究者が最近、Webポータルe-Districtでバグを発見した。このバグにより氏名、写真などを含む、土地証書に関する申請書の中の個人情報が流出した。

イスラエル国防軍およびシャバク(イスラエル)

イスラエルの軍隊であるイスラエル国防軍と、同国の治安機関シャバクの個人情報がダークウェブ上で宣伝されていた。このデータには電話、写真、個人情報、軍人のソーシャルメディアアカウントへのアクセスが含まれると言われている。

アスヴェル・バスケット(フランス)

NoEscapeランサムウェアが、同バスケットボールチームをリークサイトに追加し、32GBのデータを盗んだと主張した。これには、パスポートやIDカードといった選手の個人情報のほか、財務、税金、契約、予算などに関する機微文書が含まれるとされている。

シアトル住宅公社(米国)

NoEscapeランサムウェアが、158GBのデータを盗んだと主張した。これにはパスポート、IDカード、運転免許証などの個人情報や、同意書、契約書、その他の機密事項に関する文書が含まれるとされている。

デカトロン(フランス)

2023年9月7日、あるハッカーが同スポーツ用品小売業者から盗まれた情報をハッカーフォーラム上でリークした。これには、従業員の個人を識別できる情報が含まれると言われている。(8,000)

エドワーディアン・ホテルズ・ロンドン(英国)

BlackBastaランサムウェアグループは最近、エドワーディアン・ホテルズ・ロンドンを含む複数の被害組織をリークサイトに追加した。証拠として、パスポートや銀行口座情報を示すと思われるスクリーンショットがいくつか投稿された。

Shadow PC(フランス)

ある脅威アクターが、有名なハッカーフォーラム上で盗まれた顧客データを販売していると主張した。侵害されたデータには、顧客のフルネーム、Eメールアドレス、生年月日、請求先住所、クレジットカードの有効期限が含まれる。(533,624)

コロニアル・パイプライン(米国)

2023年10月14日、RansomedVCグループが、同社から5GB相当のデータを盗んだと主張した。データには内部ファイルや写真が含まれているとされる。コロニアル・パイプラインはこれらの主張を否定し、データは無関係なサードパーティにおけるデータ侵害によって流出したものと思われると述べている。

Morrison Community Hospital(米国)

AlphVランサムウェアグループが、イリノイ州の同病院をリークサイトに追加し、5TBのデータを盗んだと主張した。これには職員情報、バックアップ、個人を特定できる情報の文書などが含まれるとされている。

Cook County Health(米国)

権限のない個人が、同局の外部ベンダーであるPerry Johnson & Associatesのシステムにアクセスした。このデータ侵害により、氏名、生年月日、住所などのCCHの患者に関する個人情報が漏洩した。

Encore Pharmacy(米国)

フロリダ州の同薬局の業務用メールアカウントの1つが、不正アクセスを受けた。流出した可能性のある情報には、氏名、社会保障番号、連絡先などが含まれる。

カンザス州最高裁判所(米国)

2023年10月13日、同最高裁判所は、ランサムウェア攻撃を受けた可能性があることを理由に、少なくとも今後2週間は州内の裁判所のシステムが紙ベースで運用される可能性が高いことを明らかにした。

Frazier & Deeter(米国)

権限のない者が、同会計事務所のコンピューターネットワーク上の特定のファイルにアクセスした。これにより氏名、社会保障番号、金融口座情報など、消費者の機微情報が流出した。

Frax Outsourcing(米国)

2022年11月2日から11月15日の間に、権限のない者が特定の消費者情報にアクセスした。これには氏名、社会保障番号、住所などが含まれる。

QSI Banking(米国)

BlackCatランサムウェアグループは、被害者のリストに同社を追加した。漏洩したデータには、財務情報、顧客情報、開発情報、個人情報、業務情報が含まれると報じられている。この侵害により、Wesbanco Bank、First Financial Bank、Stock Yards Bank & Trust Companyなど、さらに複数の銀行が影響を受けている。

TrueCoin(米国)

TrueUSDの顧客が、サードパーティベンダーにおけるデータ侵害の影響を受けた可能性がある。TrueCoinは、自社のシステムは影響を受けていないと主張した。漏洩したデータには、氏名、Eメールアドレス、電話番号が含まれる。

Havaist Taşımacılık(トルコ)

あるサイバー攻撃により、個人に関する情報への不正アクセスが発生した。(77,000)

アビッドエクスチェンジ(米国)

2023年10月13日、同金融サービス会社は、2023年3月2日に発生したデータ侵害を公表した。これは2023年5月にRansomHouseが、同社の機微データをリークした後のことである。(6,495)

シー・ディー・ダブリュー(米国)

同テクノロジー企業が、「Sirius Federalの内部サポートのみに特化した、隔離された数台のサーバー上のデータに関連するITセキュリティ問題」について調査していると述べた。シー・ディー・ダブリューは、ダークウェブ上で特定のデータをリークしたと述べたLockBitランサムウェアのアクターの主張を認識していると付け加えた。

香港バレエ団

あるランサムウェア攻撃で、ハッカーらが個人ユーザーの詳細を含む特定のファイルにアクセスしているのが確認された。

Henwood Family Dentistry(米国)

権限のない者が特定の機微情報にアクセスした。漏洩したデータには、個人を特定できる情報、連絡先情報、健康保険情報、歯科治療に関する情報が含まれる。(7,300)

Cerebral Palsy Associations of New York State(米国)

LockBitランサムウェアは、ニューヨークの同非営利団体をリークサイトに追加し、身代金の支払い期限を6日後に設定した。

Ampersand TV(米国)

同テレビ広告販売・テクノロジー会社が、ランサムウェアインシデントに見舞われたことを認めた。攻撃がいつ発生したのかは不明のまま。

DNA Micro(米国)

3つのKibanaインスタンスに設定ミスがあり、顧客の機微なデータが公開状態となった。漏洩したデータには、名前、住所、電話番号などが含まれる。(820,000)

Boise Rescue Mission Ministries(米国)

2023年10月16日、AlphVランサムウェアグループはアイダホ州の同ホームレスシェルターを被害者リストに加えた。このグループは、社会保障番号、生年月日などを含む職員情報を抜き取ったと報告されている。

クラーク郡学区(米国)

最近発生したサイバーセキュリティインシデントで、権限を持たない者が一部の生徒、保護者、職員の限られた個人情報にアクセスした。

BMW Munique Motors(ブラジル)

Knightランサムウェアグループが、同社への攻撃の犯行声明を出し、盗まれたとされるデータのダウンロードリンクはカウントダウンが終わり次第公開されると述べた。

Crum & Forster(米国)

権限を持たない者が、消費者の機密データを含む同社のネットワークの一部にアクセスすることができた。侵害された可能性のあるデータには、氏名や社会保障番号が含まれる。(14,000)

Super SA(オーストラリア)

かつての外部サービスプロバイダーでのデータ侵害により、氏名、住所、生年月日が侵害された可能性がある。

Atlas Healthcare CT(米国)

2023年1月20日のデータ侵害により、同社が運営する3つの施設の老人ホームの入居者とリハビリ患者が影響を受けている。侵害された可能性のあるデータには、氏名、住所、生年月日、社会保障番号、医療・健康保険情報などが含まれる。

AIDS Alabama(米国)

2021年10月11日から2022年8月9日の間にデータ侵害が発生し、氏名、住所、社会保障番号、医療診断などが侵害された可能性がある。(1,922)

23andMe(英国、ドイツ)

「Golem」という名のハッカーが、BreachForumsで、盗まれた23andMeの遺伝子データのプロファイルを追加でリークした。これには、英国の人々のデータ4,011,607行分と、ドイツの人々のデータ139,172行分が含まれている。

The Newtron Group LLC(米国)

2023年8月2日から8月3日にかけて、権限を持たない者が同社のコンピューターネットワークにアクセスした。流出した可能性のあるデータには、氏名、生年月日、社会保障番号、運転免許証番号、パスポート番号、金融口座情報などが含まれる。(39,000)

重要インフラに関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の脅威アクターを示しています。

重要インフラ

2022年9月、カスペルスキーの研究者は、Lazarus Groupに関連するMATAバックドアのアップデート版が、東ヨーロッパの石油・ガスおよび防衛部門の組織を狙うために使用されていることを特定した。このフィッシングキャンペーンは2022年8月から2023年5月にかけて行われ、新世代のMATAが3種類使われていた。これには、MataDoorと呼ばれるMATAの第4世代と第5世代が含まれ、いずれもゼロから作成されている。

暗号資産

公開されたJupyter Notebookを標的とする新たなクリプトジャッキングキャンペーンを、Cado Securityの研究者が特定した。このキャンペーンには、Qubitstrikeと名付けられた新しいマルウェアが関与している。このマルウェアは比較的高度なC2インフラを持ち、Discordのボット機能を活用して侵害されたノード上でコマンドを発行する。ペイロードはコードホスティングプラットフォームのCodeberg上でホストされている。

政府

スパイ目的でロシアとベラルーシの公共/政府組織を標的にしている新たな脅威グループ「Sticky Werewolf」を、BI[.]ZONEの研究者が発見した。このグループの活動は2023年4月から行われており、少なくとも30件の攻撃が観測されている。

ヘルスケア

米国保健セクター・サイバーセキュリティ調整センターは、複数の業界を標的にしているNoEscapeランサムウェアについて、ヘルスケア部門に警告を発した。NoEscapeは2023年5月に出現したランサムウェア・アズ・ア・サービス・グループで、Avaddonのリブランドであると考えられている。このランサムウェアの背後にいる脅威アクターは、マルウェアとインフラはゼロから構築されたと主張している。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(13 – 19 October 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ