Booking[.]com認証情報がインフォスティーラーVidarを使って盗まれる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Booking[.]com認証情報がインフォスティーラーVidarを使って盗まれる

Threat Report

Silobreaker-WeeklyCyberDigest

Booking[.]com認証情報がインフォスティーラーVidarを使って盗まれる

山口 Tacos

山口 Tacos

2023.12.08

ウィークリー・サイバーダイジェスト

ホテルのBooking[.]com認証情報がインフォスティーラーVidarを使って盗まれる

2023年10月、SecureWorksの研究者は、インフォスティーラーVidarを使用してホテルのBooking[.]com認証情報を盗む攻撃を確認した。攻撃者はサイトの管理ポータルへのアクセスを達成したことにより、今後の予約を閲覧したり、宿泊客に直接メッセージを送ったり、最終的に支払われた宿泊料を盗んだりすることができるようになっていた。このインシデントは、Booking[.]comの顧客や登録ホテルをターゲットにしたより広範な詐欺キャンペーンの一部である可能性が高い。なお、Booking[.]com自体のシステムは侵害されていないと考えられている。

新たな脅威アクター「AeroBlade」が米国の航空宇宙業界を標的に

2022年9月頃から活動しているこれまで知られていなかった脅威アクター「AeroBlade」を、BlackBerryの研究者が発見した。このグループはスピアフィッシングメールを使用して米国の航空宇宙業界の組織を標的にするが、その目的は商業・競合戦略的なサイバースパイ行為であると考えられている。

ハッカーグループCyberNiggersメンバーがコロニアル・パイプラインを侵害したと主張

ハッカーグループCyberNiggersの一員である「comradbinski」が、コロニアル・パイプラインのデータ侵害について犯行声明を出した。侵害されたデータには、請求詳細、秘密鍵および公開鍵、パスワードなどが含まれるという。

2023年12月7日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

ヘンダーソンビル市(米国)

権限のない者が同市のシステムに侵入し、2021年1月1日以前に雇用された職員の個人データへのアクセスを獲得した。同市は他のシステムや顧客データに影響はないと考えている。

Honey Birdette(オーストラリア)

8Baseランサムウェアグループが2023年11月28日にサイバー攻撃を行ったと主張している。侵害されたデータには、請求書、領収書、会計記録、個人データ、証明書、雇用契約書、機密情報が含まれるとされている。

WeMystic(ポルトガル)

あるオープンなMongoDBデータベースにより、レコード1,330万件を含む34GBのデータベースが公開状態になった。このレコードには、名前、メールアドレス、生年月日、IPアドレス、性別、星座、ユーザーシステムデータが含まれていた。このデータベースはその後閉鎖されたが、少なくとも5日間はアクセス可能な状態だった。

Berglund Management Group(米国)

権限のないサードパーティが、同社のネットワークに侵入し、限られた量の個人情報にアクセスした。このインシデントが最初に検知されたのは2023年5月。侵害されたデータには名前と社会保障番号が含まれる。(51,514)

化学遺産財団(米国)

2023年11月26日、NoEscapeランサムウェアグループはフィラデルフィア州の同財団を被害者リストに加え、22GBのデータを抜き取ったと主張した。

Sprinter(スペイン)

あるサイバーセキュリティ侵害により、攻撃者は同社の注文データベースにアクセスできた他、特定の情報を抜き取ることができた。侵害された可能性のあるデータには、ユーザー名、氏名、配送先および請求先住所、メールアドレス、電話番号などが含まれる。

Securities America(米国)

権限のない者が、氏名、社会保障番号、住所、生年月日、運転免許証番号、金融口座番号を含む消費者の機微情報にアクセスできた。このデータ侵害は、同社に金融専門家を登録するMcCord LLCのデータ侵害に関連している。ただし、同LLCはSecurities Americaの関連会社ではない。

Tipalti(カナダ)

AlphVランサムウェアのオペレーターが同社をリークサイトに掲載し、2023年9月8日以降、複数のシステムで持続性を維持していると主張。RobloxやTwitchを含む従業員と顧客に関する情報の他、265GBを超える業務上の機密データを抜き取ったと付け加えた。

Ongoing Operations(米国)

同社へのランサムウェア攻撃により、約60の信用組合がサービスに支障をきたしている。サードパーティのクラウドITプロバイダーが2023年11月26日に標的にされたと報じられており、攻撃には脆弱性Citrix Bleedが悪用されたとの報告もある。

Pacific Cataract and Laser Institute/PCLI(米国)

LockBitランサムウェアグループは一時的に同社を被害者リストに追加したが、2023年12月1日に削除した。PCLIは、あるサイバー攻撃によって同社の通信システムとコンピューターに障害が発生したことを確認した。

Great Valley School District(米国)

ペンシルベニア州の同学区が2023年10月31日〜11月10日の間にサイバー攻撃を受けた。Medusaランサムウェアグループが犯行声明を出している。侵害されたデータは生徒と職員に影響を与えたと言われており、氏名、住所、生年月日、電話番号、メールアドレスと平文のログインパスワードが含まれるとされている。

Butte School District (米国)

2023年11月4日に初めて確認されたサイバー攻撃により、社会保障番号を含むデータが侵害され、職員900人の個人情報が影響を受けた。一部学生の個人情報も侵害された可能性がある。(900)

New Relic(米国)

権限のないアクターが盗み出した認証情報とソーシャルエンジニアリングを使い、同社のステージング環境にアクセスするサイバーセキュリティインシデントが最近発生した。このインシデントにより、同アクターは特定の顧客データを閲覧できた。

セントジョンズ川水管理区域(米国)

2023年12月1日、名称不明のランサムウェアグループがセントジョンズ川水管理区域を被害者リストに加え、盗んだデータのサンプルを提供した。

ホーチミン電力公社(ベトナム)

BlackCatランサムウェアグループは、ベトナム電力総公社の同子会社を被害者リストに加えたと報じられている。同グループは自身の主張の証拠として、同公社から抜き取ったとされる84件のデータサンプルを公開している。

MIRLE Group(台湾)

2023年11月15日、LockBitランサムウェアグループは、台湾を拠点とする同自動化ソリューション企業を被害者リストに加えた。

ザ・ハーシー・カンパニー(米国)

同社は、2023年9月上旬にあるフィッシングキャンペーンの標的となったことを明らかにした。漏洩したデータには、姓名、健康情報、医療情報などが含まれる。(2,214)

デポー大学(米国)

Black Suitランサムウェアグループは2023年11月30日、インディアナ州の同大学への攻撃について犯行声明を出し、214GBのデータを抜き取ったと主張した。特定の個人に関する一部のデータが漏洩しており、これらには個人情報が一部含まれる。

Henry County School District(米国)

BlackSuitランサムウェアグループは2023年11月4日、ジョージア州の同学区のシステムに障害を発生させ続けているランサムウェア攻撃について自身によるものだと主張した。同グループのリストには、135GBのZIPアーカイブファイルへのダウンロードリンクが含まれていたが、サンプルは含まれていなかった。

HTC Global Services(米国)

同社があるサイバー攻撃の被害に遭ったことを発表した。AlphVランサムウェアグループは過去に、盗まれたとされるデータのスクリーンショットとともに同社をリークサイトに追加していた。侵害されたデータには、パスポート、連絡先リスト、メール、機密文書が含まれるとされている。

複数(イスラエル)

Cyber Toufanグループは、保健省、ソーダストリーム、Back2Schoolプロジェクトを標的にしたと主張し、政府部門から盗まれたとされるデータをリークすると脅している。漏洩した可能性のあるデータは様々だが、おそらく氏名、メールアドレス、住所、電話番号などが含まれると思われる。

Austal USA(オーストラリア)

Hunters Internationalは、同社をハッキングし、不特定のデータを盗んだと主張している。同グループは同社をダークウェブサイトに掲載し、数日のうちに最大43件のサンプルを公開すると脅迫した。同社はサイバー攻撃を確認したが、個人情報や機密情報にはアクセスされなかったと述べている。

Aboriginal Family Support Services(オーストラリア)

2023年11月27日に発生したデータ侵害により、支払い明細書や身分証明書を含む個人情報が流出した可能性がある。

ビッグ・ブラザーズ・ビッグ・シスターズ・オブ・アメリカ(米国)

2023年3月28日、権限のない者が同団体のネットワーク上の機微な消費者データにアクセスした。侵害されたデータには、氏名、社会保障番号、生年月日、運転免許証番号、州発行のID番号、金銭関連情報、メールアドレス、パスワードのほか、医療情報や健康保険情報が含まれる。

East River Medical(米国)

2023年8月31日から9月20日の間に、権限のない者が消費者の機微情報にアクセスした。侵害されたデータには、患者の氏名、社会保障番号、連絡先、保険情報、医療情報が含まれる。(>605,000)

Deutsche Energie-Agentur GmbH(ドイツ)

同気候保護関連企業がサイバー攻撃を受け、システムをオフラインにすることを余儀なくされた。AlphVランサムウェアグループは同社を被害者リストに加え、暗号化されたバックアップ、標的となったESXi、2016年以降のロードされていないすべてのメールのやり取りなどを盗んだと主張した。

Cardiovascular Consultants Ltd(米国)

フレゼニウス メディカル ケアは、同社の子会社が2023年9月29日にセキュリティインシデントに見舞われたことを確認した。攻撃者は複数州にまたがる患者、元患者、保証人、スタッフ200人分のデータを盗み、暗号化した。Qilinランサムウェアは、2023年11月6日にもCardiovascular Consultants Ltdを標的にしたと主張しており、盗まれたとされるデータ205GBがダンプされていた。(>500,000)

サウサンプトン大学病院(英国)

2020年11月、ある情報公開サイトに個人情報が掲載された。漏洩したデータは、2016年から2019年の間にサウサンプトン大学病院の出産サービスを利用した患者に影響を及ぼすもので、氏名、住所、生年月日が含まれる。漏洩したデータは2023年10月31日に削除された。(112)

US Green Card Office Limited(英国)

安全対策が施されていないデータベースにより、移民多様化ビザプログラムの申請者のメールアドレス、MD5ハッシュ付きパスワード、氏名、性別、出生地、生年月日、電話番号などが公開状態となっていた。データベースの流出は2023年11月16日に確認され、その後データは保護された。(>350,000)

ウェストバージニア大学(米国)

2013年8月に雇用された職員の個人情報を含むファイルが、一般向けサイト上でアクセスできるようになっていた。漏洩したデータには、氏名、社会保障番号、生年月日、給与などが含まれる。ファイルは2023年9月29日に保護されるまで、2016年からアクセスできる状態だった。(7,000)

Addenbrooke’s Hospital(英国)

2020年と2021年に発生した2件のデータ侵害により、妊産婦とがん患者のプライベート情報が流出した。どちらの侵害も、情報公開法の要請に応じて誤って患者情報がエクセルのスプレッドシートに記載されたことが原因だった。漏洩したデータには、氏名、病院番号、一部の医療情報が含まれる。(22,073)

St. Landry School District(米国)

2023年7月下旬、ルイジアナ州の同学区を狙ったランサムウェア攻撃により、職員と生徒の個人情報が漏洩した。漏洩したデータの中には、フルネーム、生年月日、住所、社会保障番号などがある。(>16,200)

Advantis Global(米国)

2022年8月18日から10月24日の間に、権限のない者が消費者の機微情報にアクセスできた。

Hermon School Department(米国)

メイン州の同学区がランサムウェア攻撃の標的になっていたことがわかった。攻撃はソフトウェア提供元のPowerSchoolに集中しており、他の学校も影響を受けた可能性が高いと報告されている。流出した可能性のあるデータには、氏名と住所が含まれる。

銀行・金融に関連して言及された攻撃タイプ

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプを示しています。

過去1週間にトレンドとなった、銀行・金融関連の攻撃タイプ

 

銀行・金融

新しい巧妙なAndroidバンキングマルウェア「FjordPhantom」が東南アジアのユーザーを標的にするために使用されていることを、Promonの研究者が発見した。FjordPhantomは、アプリベースのマルウェアとソーシャルエンジニアリングを組み合わせて詐欺を行う。このマルウェアは、Eメール、SMS、およびメッセージングアプリを介して配布されている。そのモジュール設計によりさまざまなバンキングアプリを狙うことが可能になっており、組み込まれたバンキングアプリに応じてそれに適した攻撃が実施される。

テクノロジー

Cactusランサムウェアのオペレーターらが、初期アクセスのために一般公開されているQlik Senseのインストールを悪用していることを、Arctic Wolfの研究者が確認した。このキャンペーンでは、以前から公開されている脆弱性CVE-2023-41266、CVE-2023-41265、CVE-2023-48365が、コード実行を達成するために悪用されていると考えられている。

重要インフラ

2021年から存在しており、主にタイ国内の電気通信事業者を標的にしている新しいLinux向けリモートアクセス型トロイの木馬「Krasue RAT」を、Group-IBの研究者が発見した。Krasue RATは、3つの異なるオープンソースのLKMルートキットのコードを基にした複数の組み込みルートキットを有している。このマルウェアは、Real-Time Streaming Protocolメッセージを利用してこれを「alive ping」に見せかけるという、実際の攻撃ではあまり見受けられない戦術を用いる。このマルウェアは、アクセスを維持するために攻撃チェーンの後半で使用されると考えられている。

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 :  Weekly Cyber Digest(01 – 07 December 2023)

 


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ