北朝鮮関連アクターDiamond Sleetのサプライチェーン攻撃で、日本含む複数国のデバイスに影響 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮関連アクターDiamond Sleetのサプライチェーン攻撃で、日本含む複数国のデバイスに影響

Threat Report

Silobreaker-WeeklyCyberDigest

北朝鮮関連アクターDiamond Sleetのサプライチェーン攻撃で、日本含む複数国のデバイスに影響

山口 Tacos

山口 Tacos

2023.11.24

ウィークリー・サイバーダイジェスト

北朝鮮関連アクターDiamond Sleetのサプライチェーン攻撃で、日本含む複数国のデバイスが影響受ける

2023年10月、マイクロソフトの研究者は、北朝鮮の脅威アクターDiamond Sleetによるサプライチェーン攻撃を発見した。この攻撃では、サイバーリンクが開発したインストーラーの悪意あるバージョンが使われており、「LambLoad」として追跡されているこのインストーラーには細工が加えられ、第2段階のペイロードをダウンロード、復号、およびロードする悪意あるコードを含むようになっていた。これまでのところ、この活動により、日本、台湾、カナダ、米国を含むさまざまな国々の100台以上のデバイスが影響を受けている。

ヤマハ・モーター・フィリピンをINC Ransomランサムウェアが標的に

同社がINC Ransomにランサムウェア攻撃を受けた。この攻撃により、従業員の個人情報が侵害された。(501)

トヨタファイナンシャルサービスをMedusaランサムウェアが攻撃

ヨーロッパとアフリカの一部システムで不正アクセスが発覚。Medusaランサムウェアグループは、同社をリークサイトに掲載し、盗まれたとされるデータのサンプルデータを公開した。これには財務文書、スプレッドシート、購入請求書などが含まれる。

関連記事:Medusaランサムウェアグループが勢いを増す 世界各地の企業が標的に

2023年11月23日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Donald W. Wyatt Detention Facility(米国)

Playランサムウェアグループは、プライベートかつ個人的な機密データ、顧客文書、契約書などを盗んだと主張している。

PeakMed Colorado(米国)

2023年7月24日から8月30日の間に、権限のない者がある従業員の認証情報へのアクセスを入手し、同社のシステムにログインした。侵害された可能性のある情報には、氏名、住所、社会保障番号、生年月日などが含まれる。

Cinfed Federal Credit Union(米国)

同信用組合の企業ネットワークに対し、2023年9月22日から9月25日にかけて不正なアクセスがあった。侵害された可能性のある情報は、氏名、社会保障番号、金融口座情報など。(>58,000)

国立電気通信監視センター(バングラデシュ)

バングラデシュの同情報機関のデータベースにより、名前、職業、血液型、両親の名前、電話番号、自動車の登録情報などが公開状態となった。

ベトナム郵便

オープンなKibanaインスタンスから2億2,600万件のログが露出した。これらにはセキュリティログや職員のメールアドレスが含まれる。

Rock Valley Physical Therapy(米国)

同クリニックの職員が患者に健康保険ネットワークへの加入を告知するEメールを作成した際、CC欄に誤って患者のメールアドレスを記載した。

リバーズカジノ(米国)

複数のハッカーが同社のシステムにアクセスし、従業員、顧客、オンラインスポーツブックの顧客の個人情報を盗んだ。侵害されたデータには、氏名、電話番号、メールアドレス、生年月日などが含まれる。

Stanley Steemer(米国)

権限のない者が、同社のコンピューターシステムの一部に保存されていた消費者の機微情報にアクセスした。侵害されたデータには、氏名、社会保障番号、運転免許証番号などが含まれる。(66,978)

Recology Inc(米国)

あるサイバー攻撃により、消費者や従業員のデータが侵害された可能性がある。

キブ治安状況追跡(米国)

コンゴ民主共和国の人権侵害を記録する同組織から、犠牲者や同国で活動するジャーナリストと活動家の個人情報が流出した。侵害されたサーバーからは、名前、場所、電話番号などを含むスプレッドシート165件を含む数百もの文書が漏洩した。(80,000)

Systems East Inc(米国)

電子決済ソリューションプロバイダーのネットワーク上の特定のシステムに身元不明の人物がアクセスし、暗号化されたデータベースをコピーした。侵害されたデータには、決済カードの所有者の氏名、カード番号、有効期限が含まれる。(209,328)

PruittHealth(米国)

NoEscapeランサムウェアのオペレーターが、同医療施設のITシステムを標的にしたと主張している。同グループは1.5TBの機微データを盗んだと主張し、これをリークすると脅している。

WellLife Network(米国)

あるサイバー攻撃により、氏名、生年月日、人口動態情報、その他の個人情報や健康情報などのデータが侵害された。INC Ransomは同組織を被害者リストに加えた。(~501)

The Walker School(米国)

AlphVランサムウェアグループは、1万6,526件のファイルを含む3.67GBのデータを抜き取ったと主張している。侵害されたデータには、財務データ、人事記録、銀行情報などが含まれるとされる。

Yakima Valley Radiology (米国)

Karakurtの脅威アクターらが、9.31GBのデータを抜き取ったと主張している。侵害されたデータには、財務報告書、連絡先を含む顧客リスト、15年分の患者リストなどが含まれるとされている。

UCH Logistics(英国)

Black Bastaランサムウェアグループが895GBのデータを抜き取ったと主張している。侵害されたデータには、従業員のファイル、アカウント、人事記録などが含まれると報告されている。

Endocrine & Psychiatry Center(米国)

テキサスを拠点とする同組織は最近、サイバー攻撃の被害に遭ったと発表した。DataBreaches[.net]は、ファイル68万3,000件分の患者の個人情報を含む、安全ではないBLOBが存在することを2023年3月20日に同組織へ通知していたと述べている。(28,531)

Mount Graham Regional Medical Center(米国)

あるランサムウェア攻撃により、消費者の機微情報が影響を受けた。侵害されたデータには、氏名、社会保障番号、住所などが含まれる。

複数

Marriott社の請負業者であるGuestTek社とMilestone社の従業員アカウントが、ケンタッキー在住のJesse Kipf氏にハッキングされたと報じられた。これにより、同氏はMarriott社の顧客の個人情報データにアクセスしたと報じられている。Marriott社はデータ侵害に遭ったことを否定している。

アイダホ国立研究所(米国)

SiegedSecはユーザー、職員、市民の機微データを盗んだと主張している。盗まれたデータには、フルネーム、社会保障番号、銀行口座情報、住所が含まれると言われており、SiegedSecは証拠としてサンプルデータをリークしている。同研究所は、Oracle HCMシステムをサポートするサーバーに影響を与えるデータ侵害が発生したことを確認した。

Autonomous Flight Technologies(米国)

同社がBlackCatランサムウェアのリークサイトに追加された。同グループは抜き取ったデータを外国に売却したと主張している。

不明(トルコ)

2023年9月10日、あるハッキングフォーラム上の脅威アクターが、トルコ国民の予防接種記録をリークしたと主張した。このデータは2015年から2023年までの情報であり、ワクチンの種類、接種回数、接種日、生年月日、医師の完全なトルコ国民識別番号などが含まれる。(~190,000)

Southland Integrated Services(米国)

2023年10月16日から10月18日にかけて、権限のない者が同組織のITネットワークにアクセスした。このインシデントにより、氏名、住所、生年月日、ワクチン接種状況、社会保障番号など、特定の患者情報が流出した。

Southwest Behavioral Health Center(米国)

ユタ州の同行動医療プロバイダーが、ハッキングやITインシデントによるデータ侵害に見舞われた。これにより、保護対象保健情報を含むと考えられている消費者の機微データが流出した。(17,147)

HSKS Greenhalgh Chartered Accountants and Business Advisors(英国)

LockBitは従業員情報、財務書類、顧客データベースなど168GBのデータを盗んだと主張している。流出したデータの中には、米国の患者に関する情報も含まれていた。

Rusnak Auto Group(米国)

2023年6月13日から6月16日の間に、同社のネットワークへの不正アクセスが発生した。これにより、氏名や社会保障番号を含む消費者の機密情報が漏洩した。

U.S. Drug Mart Inc(米国)

同社のシステムへの不正アクセスにより、消費者の機微データが流出した。これには氏名、生年月日、社会保障番号、住所、運転免許証番号、健康情報が含まれる。(>12,940)

Sabre Insurance Company(英国)

LockBitランサムウェアグループは、同保険会社をデータリークサイトに追加し、盗まれたとされるデータを2023年11月30日に公開すると脅迫した。

TmaxSoft(韓国)

流出したKibanaダッシュボードは容量が2TBであり、これにより従業員の名前、Eメール、電話番号、契約番号、および送信された添付ファイルの内容、送信されたバイナリのメタデータなどの情報が公開状態となっている。Cybernewsは、このデータが最初に発見されたのは2021年6月だと述べた。

Warren General Hospital(米国)

同院のコンピューターネットワークへの不正アクセスが2023年9月に発生した。攻撃者は氏名、住所、生年月日、社会保障番号、金融口座情報などを含む患者の機密情報を含む特定のファイルにアクセスした。(168,921)

Owens Group(英国)

LockBitランサムウェアのオペレーターは、同トラック運送会社から盗んだと主張するファイルをリークした。これには財務情報のほか、住所、電話番号、支払い情報、契約書などの顧客の詳細情報が含まれる。

Crystal Lake Health Center(米国)

Hunters Internationalは、ミシガン州の同医療施設をダークウェブの投稿に掲載し、137.6GBの機微データを盗んだと主張した。

FEAM Aero(米国)

LockBitランサムウェアグループは、膨大な量のデータを盗んだと主張し、今後48時間以内にその一部をリークし始めると脅迫した。盗まれたとされるデータのサンプルには、複数の米国パスポート、社会保障カード、整備士ライセンスなどが含まれていた。

不明(スペイン)

グアルディア・シビル(スペインの治安警察)は、ボーダフォンの顧客に対し、同社のパートナー企業の1つへの不正アクセスに関わるセキュリティーインシデントを警告した。これにより、ボーダフォンの特定の顧客の個人情報および銀行情報が流出した。流出したのは、氏名、連絡先番号、Eメール、住所など。

タージ・ホテルズ(インド)

2023年11月5日、BreachForums上のある脅威アクターが、同ホテルグループに関する完全なデータセットと引き換えに5,000ドルを要求した。このデータベースには、住所、会員ID、携帯電話番号、およびその他個人を特定できる情報が含まれているとされる。同データは2014〜2020年のものと報じられている。(1,500,000)

イケア・イスラエル

パレスチナのハッカーグループCyber Toufanは同社を標的にし、顧客の名前、番号、パスワードハッシュ、Eメールをリークしたと主張している。(400,000)

ニューヨーク市弁護士会(米国)

ハッカーらが同協会のシステムに侵入し、2022年12月2日から12月24日まで内部ファイルへのアクセスを所有していた。この攻撃で会員と職員のデータが流出した。(>27,000)

プリサイスリー・ソフトウェア(米国)

権限のない者が、同社のコンピューターネットワークへのアクセスに成功した。漏洩したデータには、氏名、住所、生年月日、社会保障番号、運転免許証番号、パスポート番号、健康保険情報などが含まれる。このインシデントは、2023年8月13日から8月16日の間に起こったと報告されている。

Kansas Judicial Branch(米国)

2023年10月のサイバーセキュリティインシデントにより、ハッカーが機密データを含む機微ファイルを盗み出すというデータ侵害が発生した。これにはOffice of Judicial Administrationのファイル、地方裁判所で控訴中の事件記録、およびその他のデータが含まれる模様。いくつかのサービスは引き続きオフラインとなっている。

フィデリティ・ナショナル・ファイナンシャル(米国)

現在進行中のサイバーセキュリティインシデントにおいて、権限のないサードパーティーが特定のシステムにアクセスし、特定の認証情報を取得した。同社は最近、AlphVランサムウェアのリークサイトに追加された。

政府に関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連の脅威アクターを示しています。

政府関連の脅威アクター

 

暗号通貨

Palo Alto Networks Unit 42の研究者は最近、求職者を標的とする2つの別々のキャンペーンを発見した。これらのキャンペーンには北朝鮮関連の国家支援型脅威アクターが関与しているとの指摘があり、攻撃者は、雇用者を装ってソフトウェア開発者を狙うか、求職者を装う。また新たに特定されたマルウェア「BeaverTail」と「InvisibleFerret」によって、暗号通貨の窃取など、さまざまなタイプの窃盗が可能になっているほか、侵害された標的はさらなる攻撃のためのステージング環境として使用される場合がある。

銀行・金融

​​ラテンアメリカ、特にブラジルのユーザーを狙うべく設計された新たな悪意あるGoogle Chrome拡張機能「ParaSiteSnatcher」を、トレンドマイクロの研究者が発見した。このフレームワークにより、脅威アクターは機微情報のモニタリング、操作、抜き取りを行えるようになる。このフレームワークは、Google Chrome APIをオペレーションおよびC2通信に利用しており、ブラジル銀行とブラジル連邦貯蓄銀行のURLからデータを盗み出す。また、インスタントペイメントエコシステムであるPIX上で行われるトランザクションや、Boleto Bancarioを通じて行われる決済を開始したり、操作したりすることも可能。さらに、個人と企業のブラジルの納税者番号やクッキーを抽出する性能も持つ。

政府

4組の脅威アクターらがZimbra Collaborationのゼロデイ脆弱性CVE-2023-37580を悪用し、複数の政府機関からEメールデータ、ユーザー認証情報、認証トークンを盗み出しているのを、Googleの研究者が観測した。同脆弱性のパッチはそれ以後にリリースされているが、ほとんどの悪用活動は、2023年7月5日に最初のホットフィックスがGitHubで公開された後に観測された。正式なパッチが利用可能となったのは2023年7月25日。

銀行・金融

金融詐欺用データの窃取を目的としたソーシャルメディアメッセージを使ってインドのユーザーを標的にする進行中のモバイルバンキング型トロイの木馬キャンペーンを、マイクロソフトの研究者が観測した。攻撃者は、WhatsAppやTelegramのようなプラットフォーム上で、銀行、政府サービス、公共事業などの合法的な組織になりすまし、ユーザーを騙して悪意あるアプリをインストールさせようとする。このアプリは、インストールされたのち、様々な種類のユーザー情報を抜き取る。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(17 – 23 November 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ