Jabberに中間者攻撃、少なくとも約3か月分の通信内容が傍受される

ウィークリー・サイバーダイジェスト

Jabberに中間者攻撃、少なくとも約3か月分の通信内容が傍受される（ロシア）

2023年7月18日から10月18日にかけて、同インスタントメッセージングサービスの管理者らが、暗号化されたTLSトラフィックをJabberのドイツのサーバー経由で傍受する中間者攻撃を検知した。

Metaの警察ポータルへのアクセスがハッカーフォーラム上で売りに出される

セキュリティ研究者のAlon Gal氏は、脅威アクターがBreach Forums上でMetaの警察ポータルへのアクセスを販売しているのを観測した。Metaはソーシャルエンジニアリング攻撃の被害に遭い、これにより攻撃者はポータルへアクセスできるようになったか、法執行機関の認証情報を入手した可能性が高いと、Gal氏は述べている。

イランのスパイグループCrambusが中東の政府を標的に

2023年2月から9月にかけて、イランのスパイグループCrambusによる、中東の政府を標的としてファイルやパスワードを盗むキャンペーンをシマンテックの研究者が観測した。ある事例では、PowerShellベースのバックドアPowerExchangeが使用されたが、これはこれまでCrambusと結び付けられていなかった。この侵入ではバックドアTokel、トロイの木馬Dirps、インフォスティーラーClipogなど、これまで知られていなかったマルウェアも展開された。

2023年10月26日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

US Claims Solutions（米国）

2023年10月17日、Knightランサムウェアグループが、同保険会社を被害者リストに追加した。同グループは600GBの機微データを抜き取ったと主張しており、12日以内に身代金を支払わなければデータをリークすると同社を脅した。

Wishbone Medical（米国）

2023年10月13日、インディアナ州の同医療機器メーカーが、消費者の機密情報が流出したデータ侵害を公表した。

カシオ計算機株式会社（日本）

2023年10月12日、権限のない個人が、同社の教育用Webサーバーに不正にアクセスした。漏洩したデータには、顧客名、メールアドレス、居住国、購買情報、サービス利用情報が含まれる。

Sphero（香港）

2023年9月9日、あるハッカーが、同ロボットメーカーのデータベースをハッカーフォーラム上でリークした。フォーラムに投稿されたサンプルデータには、アカウントID番号、氏名、生年月日、職務などが含まれる。（>1,000,000）

BHI Energy（米国）

2023年10月18日、マサチューセッツ州の同ビジネスサービス会社が、データ侵害を公表した。漏洩した可能性のあるデータには、氏名、住所、生年月日、社会保障番号、健康情報が含まれる。（91,000）

セントルイス大学（米国）

2023年10月19日、ミズーリ州の同大学がデータ侵害を公表した。この侵害により、氏名、生年月日、社会保障番号、運転免許証番号、パスポート番号などの個人情報が流出した。

Cadre Services（米国）

AlphVランサムウェアのオペレーターは最近、ウィスコンシン州を拠点とする同社をリークサイトに追加し、100GBのデータを盗んだと主張した。共有されたスクリーンショットには、さまざまな種類の個人情報が含まれている。

Okta（英国）

権限のないアクターが、盗まれた認証情報へのアクセスを利用して、Oktaのケース管理システムにアクセスした。同アクターは、Oktaの特定の顧客が最近のサポートケースの一環としてアップロードしたファイルを閲覧することができた。

フィラデルフィア市（米国）

権限のないユーザーが、2023年5月25日から7月29日の間に、同市のメールアカウントにアクセスした可能性がある。流出した可能性のあるデータには、氏名、住所、生年月日などが含まれる。

Brookfield Global Relocation Services / BGRS（カナダ）

2023年10月20日、カナダ国防省は同社におけるデータ侵害を公表した。この侵害により、カナダ政府職員の情報が不正にアクセスされた。

Jaime S. Schwartz, M.D.（米国）

Hunters Internationalは、248,245件のファイルから成る1.1TBのデータを同整形外科から盗んだと主張している。同グループはその後、患者の氏名、住所、写真、動画をリークしている。同グループは、これは合計3回ある公開のうちの最初のものであると述べており、クリニックの患者に大量のメールを送る準備をしていると報じられている。

複数（フィリピン）

2023年10月3日、フィリピンのハッカーDiabloX Phantomが、フィリピンの少なくとも5つの政府機関を侵害し、大量のデータをダウンロードしたと主張した。これらの中にはフィリピン統計機構（PSA）、フィリピン国家警察のほか、科学技術省、労働雇用省技術教育技能教育庁、クラーク国際空港のWebサイトが含まれる。

Associated Wholesale Grocers / AWG（米国）

Playランサムウェアグループが同社への攻撃の犯行声明を出し、2023年10月22日に盗まれたとされるデータをリークすると述べた。このデータには、顧客文書、契約書、社会保障番号、パスポートなどが含まれると報じられている。

PickMe（スリランカ）

同ライドヘイリングプラットフォームで、約400万人の顧客記録に影響を与えるデータ侵害が発生したとされる。流出したデータは2020年のものと考えられており、これにはメールアドレス、電話番号（重複なし）、ハッシュ化されたパスワードが含まれている。PickMeは同データ侵害に関する主張を否定し、データの安全性を保証した。

Trust Benefit Technologies（米国）

カリフォルニア州にある同社は、権限のない者が同社のコンピューターシステムの一部にアクセスできたことを確認した。漏洩した可能性のあるデータには、氏名、社会保障番号、生年月日が含まれる。

香港郵政

データ侵害により、登録されたメールアドレス7,249件が流出した。

First Judicial Circuit Court of Florida（米国）

最近のサイバー攻撃により、個人情報に関するデータ侵害が発生した。

Wescom Credit Union（米国）

カリフォルニア州を拠点とする同信用組合は、同社のベンダーであるバラクーダネットワークス社でのデータセキュリティインシデントの後、データ侵害を公表した。漏洩した可能性のあるデータには氏名と社会保障番号が含まれる。

ProMach Inc（米国）

2023年9月8日、権限のないサードパーティが同社のIT環境にアクセスした。同アクターは給与、源泉徴収、福利厚生の登録データなど、機微な個人データを含む人事関連ファイルにアクセスすることができた。

コロンビア特別区選挙管理委員会（米国）

コロンビア特別区選挙管理委員会（DCBOE）は、最近公表されたデータ侵害により、すべての登録有権者の個人情報が影響を受けた可能性があると発表した。これにより、生年月日、運転免許証番号、一部の社会保障番号、連絡先情報が流出した可能性がある。

ミシガン大学（米国）

2023年8月23日から8月27日の間に、ハッカーらが同大学のサーバーに不正にアクセスした。漏洩した可能性のあるデータには、氏名、社会保障番号、運転免許証やその他の政府発行のID番号などが含まれる。

Fellowship Village（米国）

2023年7月27日から8月9日の間に、権限のない者が同施設のシステムに不正にアクセスした。漏洩した可能性のあるデータには、氏名、住所、社会保障番号などが含まれる。

CoinFlip（米国）

2023年8月7日、権限のない者が同社の特定のシステムに不正にアクセスした。漏洩した情報にはフルネーム、生年月日のほか、運転免許証、州発行のIDカード、またはパスポート番号のいずれかが含まれる。（36,646）

Airbnb（米国）

「Sheriff」という名の脅威アクターが、ダークウェブフォーラム上でAirbnbユーザーのデータを掲載した。侵害されたデータには、名前、メールアドレス、居住国、都市などが含まれるとされている。（1,200,000）

セイコーNPC株式会社（日本）

2023年10月25日、日本の同多国籍企業が、ランサムウェア攻撃の被害に遭ったことを確認した。この攻撃により6万件の個人情報が流出し、セイコーグループ株式会社、セイコーウオッチ株式会社、セイコーインスツル株式会社が影響を受けた。漏洩した情報には、従業員や顧客の氏名、住所、電話番号などが含まれる。

医療に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、医療関連の脅威アクターを示しています。

銀行・金融

メキシコとスペインの被害者を標的とする新たなバージョンのバンキング型トロイの木馬Grandoreiroを、Proofpointの研究者が特定した。このような標的の狙い方はアメリカ大陸では一般的であるが、スペインを標的とした最近のクラスターは、過去の攻撃と比較して頻度や量において異例である。Grandoreiroはオーバーレイを使用して銀行の認証情報を盗むが、2023年8月に観測されたキャンペーンでは、同じバージョンでスペインとメキシコの両方のオーバーレイが使用されていた。これにより脅威アクターは、マルウェアを改造することなく、複数の地域のユーザーを標的にすることができる。このキャンペーンはTA2725と関連付けられたが、同グループはブラジルのバンキングマルウェアとフィッシングを利用してブラジルとメキシコの組織を標的とすることで知られる。

ホスピタリティ

Cofenseの研究者は最近、ホスピタリティの顧客に新しいマルウェア「Complaint Stealer」を配信する一連のフィッシングキャンペーンがエスカレートしているのを観測した。キャンペーンは2023年10月中旬から始まり、宿泊施設やスタッフの行動に関連する話題を利用して情報窃取型マルウェアを配布していた。このマルウェアは暗号通貨ウォレット、プログラム、ブラウザの認証情報を標的としており、AutoITやPKWAREといった正規のソフトウェアを悪用することが多い。

小売

脅威アクターらがバージョン1.5.5.1のOpenCartにおける認証バイパスの問題を悪用し、PHPベースのクレジットカードスキマーを注入していることを、Sucuriの研究者が確認した。このマルウェアは、顧客の名前、住所、電話番号、クレジットカード情報を傍受する。データは、cURL経由で抽出用ドメインに抽出されるか、Eメールで攻撃者に送信される。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(20 – 26 October 2023)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界