北朝鮮支援の組織が偽の研究プロジェクトで研究者を標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮支援の組織が偽の研究プロジェクトで研究者を標的に

Threat Report

Silobreaker-WeeklyCyberDigest

北朝鮮支援の組織が偽の研究プロジェクトで研究者を標的に

Tamura

Tamura

2021.01.29

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

 

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

 

米国

MyFreeCams

MyFreeCamsから流出したとされるデータベースが人気ハッカーフォーラム上で販売されているのが、サイバーニュースの調査員により発見された。このデータは、2020年12月にSQLインジェクション攻撃で同社のサーバーから盗まれたと報告されている。また、データベースには、ユーザー名やメールアドレス、MyFreeCamsトークンの金額、パスワードなど、プレミアム会員の記録が含まれており、2010年6月に発生したセキュリティインシデントに関連しているという。(2,000,000)

 

Einstein Healthcare Network

2020年8月10日、「一部の」従業員のメールアカウント内で不審な活動が検出された。調査の結果、2020年8月に不正な人物がアカウントにアクセスしていたことが判明した。アカウント内のEメールや添付ファイルには、氏名、生年月日、医療記録など、一部の患者の情報が含まれていた。一部のケースでは、社会保障番号や健康保険の情報も含まれていた。

 

Teespring

「ShinyHunters」は、Teespring のユーザーデータの2つのSQLアーカイブを公開フォーラム上で流出させた。1つ目のファイルには820万人分のメールアドレスが含まれており、2つ目のアーカイブには460万人分のハッシュ化されたメールアドレス、ユーザー名、名前、電話番号、自宅住所、FacebookID や OpenID が含まれている。ZDNet によると、情報には不完全なものが多く、パスワードも流出していないようだ。(8,200,000)

 

Bonobos

この小売業者のデータベースのクラウドバックアップからダウンロードした 70GB の SQL ファイルが「ShinyHunters」によって公開された。流出したデータには、住所、電話番号、クレジットカード番号の一部、パスワード履歴、注文情報などの顧客情報が含まれている。別の脅威アクターは、ログイン認証情報とペアになった158,000のSHA-256パスワードを解読したと主張している。(7,000,000)

 

MeetMindful

ユーザー情報を含む1.2GBのファイルが「ShinyHunters」によって公開された。氏名、メールアドレス、デート情報、ハッシュ化されたパスワード、FacebookのユーザーIDなどが含まれている。(2,280,000)

 

Facebook

Facebook ユーザーの電話番号を含むデータベースへのアクセスを、あるフォーラムで販売しているハッカーが、セキュリティ研究者のアロン・ガル氏により発見された。このデータベースには、米国、カナダ、英国、オーストラリア、その他15カ国のユーザーのデータが含まれていると報告されている。データには自動化された Telegram ボットを使ってアクセスすることができる。ユーザーは電話番号を入力すると、ユーザーのFacebook IDを受け取ることができ、逆もまた同様である。最初は編集済みの結果が返され、クレジットを購入するとフルの結果を見ることができる。Facebook によると、このデータは2019年8月に修正済みの欠陥に関連するものだという。(500,000,000)

 

 イリノイ州 クック郡

2020年9月26日、セキュリティ研究者のJeremiah Fowler氏は、323,277件以上の裁判記録を含むデータベースを発見した。流出された情報には、フルネーム、自宅住所、メールアドレス、事件番号、事件に関するプライベートな詳細が含まれていた。記録は移民裁判所、家庭裁判所、刑事裁判所のものと思われ、日付は2012年までさかのぼる。最新の記録は2020年のものである。

 

Ohio Department of Job and Family Services

不特定多数の脆弱性により、同庁のデータが流出した。脆弱性はその後パッチが当てられているが、漏えいした個人情報の詳細は公表されていない。(146)

 

PupBox Inc

Petco Health and Wellness Company の子会社である同社は、2020年10月2日に公表された長きにわたるデータ侵害の標的となった。攻撃者は不正なウェブサイトプラグインを使って個人情報を入手していた。影響を受けた可能性のあるデータには、名前、住所、メールアドレス、パスワード、クレジットカードの番号、有効期限、CVVが含まれている。(30,000)

 

Aprilaire

12億件のレコードを含む公開されたデータベースを、セキュリティ研究者の Jeremiah Fowler 氏が発見した。暗号化されていないデータ(Aprilaire のインターネット接続済みプロダクトから、リモートアクセスサーバーに送られたデータと考えられる)が、プレーンテキストで誰でも閲覧可能となっていた。公開されたレコードには、接続されたデバイスのデバイス ID、MacID、タイムスタンプ、IP アドレスが含まれている。(1,100,000)

 

ブラジル

組織名不明

ブラジル国民ほぼ全員の個人データを含めたデータベースが、PSafe の dfndr 研究室の研究者により発見された。このデータベースには、約4,000万社と1億400万台の車の詳細情報が含まれている。また、名前、生年月日、CPF番号、車両の詳細情報や企業名、商号、CNPJ番号、設立日などの企業データが含まれている。(220,000,000)

 

インド

BuyUcoin

暗号通貨取引所に関するデータベースが Kela Research and Strategy Ltd の研究者により発見された。流出したデータには、氏名、Eメール、携帯電話番号、暗号化されたパスワード、ユーザーウォレットの詳細、注文の履歴、銀行の詳細、PAN番号、パスポート番号、入金履歴などが含まれている。「ShinyHunters」が犯行の容疑者と考えられている。(325,000)

 

カナダ

Colliers International Group

この不動産会社は、2020年11月に発見されたサイバー攻撃の標的となった。「Nefilim」ランサムウェアのオペレーターが犯行声明を出し、自らのサイトに同社を掲載し、同社からファイルを盗んだと主張した。同社は、データが実際に盗まれたかどうかについて言及しなかった。

 

Living Realty

マーカムにある不動産会社の Living Realty は、2020年11月にサイバー攻撃の標的となった。攻撃者がアクセスしたのは、購入・販売の契約書、ローンの承諾書類、小切手、運転免許証、パスポート情報、社会保険番号などだ。影響を受けた情報は、報道によると、少なくとも5年以上前のものだという。

 

オーストラリア

Australian Securities and Investments Commission(ASIC)

ファイルおよび添付ファイルの転送に使用されるAccellionソフトウェアに関連するインシデントが、ASICによって発見された。このインシデントは、オーストラリアのクレジット・ライセンス申請に関連する文書を含むサーバーへの不正アクセスに関係しており、ASIC は「一部の限られた情報」が不正アクセスされた可能性があると述べている。

 

オランダ

政府の COVID-19 データベース

オランダ国民のデータを映したコンピューター画面の写真が、 Snapchat、 Wickr、Telegram といったアプリ上で宣伝されていることを、RTL Nieuws のレポーター Daniel Verlaan 氏が確認した。影響を受けたデータには、自宅住所、メールアドレス、電話番号、国民の BSN ナンバーが含まれている。Verlaan は今回のデータが、オランダ保健所のシステム CoronIT と、 DDG(原文ママ)の接触追跡システム HPzone Light から来たものであると断定した。

 

香港

Dairy Farm Group

「REvil」ランサムウェアの攻撃者が同社のネットワークを侵害し、2021年1月14日ごろにデバイスを暗号化し、3,000万ドル身代金を要求したとされている。同アクターは、内部メールと、Active Directory Users and Computers MMC のスクリーンショットを攻撃の証拠として提供した。同社は攻撃を認めたが、攻撃に関連するデータ盗難について認識していない。

 

ブルガリア

Casualino JSC

人気オンラインカード・ボードゲームサイトの VIPGames[.]com に属する誰でもアクセスできるサーバーを、WizCase の研究者が特定した。30GB を超えるデータが公開され、そこには2,300万件のレコードが含まれていた。公開されたデータには、ユーザー名、Eメール、デバイス情報、IP アドレス、ハッシュ化されたパスワード、 Facebook のIDなどが含まれていた。(66,000)

 

 

政府に関連して言及されたアクター

このチャートは政府に関連して、先週トレンドとなったアクターを示しています。

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

政府

「Anonymous Malaysia」を名乗るアクターが、6年間の休止ののち、マレーシア政府サイトへの攻撃を Facebook 投稿で脅迫した。同グループはさらに、政府がデータ漏えい対策のためもっと努力するよう要求した。セキュリティ専門家の Kevin Reed 氏は、このグループによる複数の攻撃(分散型サービス拒否関連の公算が最も高い)を想定すべきだと考えている。

 

小売

Ebay や Best Buy ギフトカードの形でお金を送るようユーザーを騙そうとする進行中のキャンペーンを、Abnormal Security の研究者が確認した。Ebay の本物の請求書に見えるよう作られたメールは、かなり標的を絞ったものと判明しており、被害者の名前が記載されている。研究者によると、悪質なリンクや添付ファイルはメール内に存在していないものの、代わりに今回の攻撃はソーシャルエンジニアリングのテクニックを頼りに、攻撃者と関わりを持つようユーザーを説得しているという。

 

教育

BBCによると、支援の必要な学生に英国政府が提供したノートパソコンの一部に 「Gamarue.I 」が含まれていることが判明した。報道によると、このマルウェアはロシアのサーバーと通信しているものと見られる。Bradford Council の Education and Learning の関係者 Marium Haque 氏は、予防のため学校がネットワークをチェックすることを推奨している。

 

テクノロジー

Googleの脅威分析グループ(TAG)の研究者は、北朝鮮政府が支援する組織による、脆弱性の修復や研究に従事する研究者を標的にしたキャンペーンが進行中であることを発見した。このアクターグループは、自らの信頼性を高めるため、複数のTwitterアカウントとブログを開設した。このブログでは、信憑性が確認されているある「ゲスト」研究者による記事や、攻撃者達によって書かれた偽のエクスプロイトが掲載されている。研究者はメール、Twitter、Telegram、Discord、Keybase、LinkedInを介して連絡を受けた。同攻撃者は、研究プロジェクトに取り組むようターゲットを誘った後、脆弱性を悪用するためのソースコードと、Visual Studio のビルドイベントを介して実行される DLL ファイルを含む Visual Studio プロジェクトを送信した。DLLはカスタムマルウェアで、攻撃者が制御するC2との通信を開始する。

 

医療

多数のTwitterユーザーが、英国国民健康サービス(NHS)からの招待を装いワクチンの接種が決定したことを利用者に知らせる、偽のメールを受信したと報告している。メールには、招待の承諾または辞退を求める2つのリンクが含まれており、いずれかのオプションをクリックすると、ワクチン情報を含むNHSのフィッシングページが表示され、ターゲットは再度、承諾または拒否を求められる。その後、攻撃者は、名前、住所、母親の旧姓、携帯電話番号、クレジットカード情報、銀行情報などを入力させる。このようなメールは複数出回っているが、どれも似たようなテーマのものだ。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-22-28-january-2021/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ