HOYAの米国システムにランサムウェア攻撃　「Astro Team」が犯行を主張

ウィークリー・サイバーダイジェストについて

マキナレコードが取り扱う「Silobreaker」による脅威レポートのサマリーを、毎週金曜日に翻訳・更新しています。過去1週間で話題になったデータ漏えいインシデントや、業界ごとのセキュリティ関連トピック、マルウェア・脆弱性・攻撃手法のトレンドなどを取り上げています。

以下、翻訳です。

2021年4月22日

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発表されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

脆弱なプロダクトのトレンド

このテーブルでは、ここ１週間において、脆弱性との関連でオープンソースおよびダークウェブ上で普段より多く言及されたプロダクトを示しています。

データ流出

今週報告されたデータ流出の一部を示しています。

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

日本

HOYAビジョンケア

この眼鏡メーカーは、米国にある同社のシステムを標的としたランサムウェア攻撃を受けた。アクター「Astro Team」は、財務情報、Eメール、パスワードなど、300GBの同企業の機密データを盗んだと主張している。

米国

Geico

この自動車保険会社は、攻撃者が他の情報源から入手した情報を利用して、同社のオンライン販売システムサイト経由で顧客の運転免許証番号にアクセスしたと述べた。このデータがアクセスされたのは、2021年1月21日から3月1日の間だった。

Vermont Health Connect

この医療機関のクライアント情報がネットワーク内の他のユーザーに流出した。バグが原因と思われる問題で、これによりサイト訪問者が自分のアカウントで他の顧客の情報を閲覧できるようになっている。2020年11月から2021年2月の間に10件の漏洩が記録された。顧客の名前、治療プラン、年収、生年月日、その他のデータが漏洩した。

Planned Parenthood of Metropolitan Washington DC

権限を持たないアクターが、2020年8月27日から2020年10月8日の間にこのクリニックのネットワークにアクセスした。漏洩に含まれる情報は、氏名、住所、生年月日、財務情報、社会保障番号など。

Med-Data

この医療費請求ベンダーは、患者の個人的な健康情報がネット上に公開されているという通知を受けて、データ侵害を発見した。元従業員が患者のデータを個人フォルダに保存し、後に公開サイトにアップロードしていた。この情報漏洩により、サンアントニオのUniversity Health、Houston Memorial Hermann Health System、シカゴ大学医学部、ウィスコンシン州ワウサウのAspirus、イリノイ州ピオリアのOSF Healthcareの患者データが影響を受けた。（135,908）

Codecov

調査の結果、2021年1月31日から定期的にBash Uploaderスクリプトに不正な変更が加えられていたことが判明した。顧客のCIランナーを経由した認証情報、トークン、鍵、および、これらの認証情報、トークン、鍵を介してアクセス可能なサービス、データストア、アプリケーションコードが影響を受けた可能性がある。

Houston Rockets

「Babuk」ランサムウェアグループが、500GBのデータを盗んだと主張している。同グループは攻撃の証拠として、盗み取ったファイルのスクリーンショットを公開した。TechNaduは、これらのファイルには、契約書、顧客情報、秘密保持契約書などが含まれているようだと報告した。

Chesterfield County Public Schools

この学区の学校が、保護者から要求された文書に含まれる個人情報を適切に再編集しなかった。COVID-19の陽性反応が出たすべての生徒とスタッフの名前が、誤って保護者に公開された。

Eversource Energy

同社は、クラウドサーバーの設定ミスが原因で顧客の個人情報が流出したことを公表した。流出したデータには、氏名、住所、電話番号、社会保障番号、サービスアドレス、アカウント番号などが含まれていた。

Apple

「REvil」ランサムウェアのオペレーターは、ノートブックメーカーのQuanta Computerから入手したと主張するAppleのデータをリークする、と脅迫した。この脅威アクターは、すべてのAppleデバイスの図面と、Appleの従業員や顧客の個人データを所有していると主張している。

GiveSendGo

英ガーディアン紙は、活動家団体「Distributed Denial of Secrets」がジャーナリストに共有したこのキリスト教系クラウドファンディングサイトのデータ流出により、現役の警察官や公務員が極右活動家の資金調達に寄付していたことが明らかになったと報じた。

Braman Motors

Local 10は、この企業がランサムウェア攻撃の標的になったと報じた。ある従業員は、顧客情報を含むすべてがこのインシデントによる危険にさらされていると述べた。同社は公式声明のなかで、Braman社はネットワーク故障に遭っており、これについて現在も調査中だと主張している。

マルタ

マルタ国民党

「Avaddon」ランサムウェアのオペレーターは、同組織がグループの身代金要求に応じなかったため、党のデータをリークした。攻撃者は、職員の文書、顧客の個人データ、党の財務データを所有していると主張している。

インド

Domino’s

セキュリティ研究者のSourajeet Majumder氏は、ある脅威アクターが2015年から2021年の間に同社の13TBのファイルにアクセスしたと主張していることを報告した。この販売者は、250人の従業員に関連する情報のほか、1億8,000万件の注文情報と100万枚のクレジットカード情報を保有していると主張している。この情報には、配送先の住所、電話番号、氏名、メールアドレスなどが含まれているとされる。

スペイン

Phone House Spain

「Babuk」ランサムウェアは、盗んだ情報に対して600万ドルをこの企業に要求した。このグループは続いて、攻撃の対象となったとされるデータベースのスクリーンショットを公開した。

イタリア

ブレシア、カゼッレ・トリネーゼ、ローの各自治体

ランサムウェア「DoppelPaymer」のオペレーターが、攻撃を受けたこれらの自治体が自身の要求した身代金の支払いを拒否した後、これら自治体から盗んだとされるデータをリークした。

英国

Celsius

この暗号通貨企業は、攻撃者が提携サードパーティーのメール配信システムにアクセスしたことを明らかにした。これには一部の顧客の名前が掲載されていた。顧客は、Celsiusの公式連絡を装ったメッセージで連絡を受け、不正なサイトで情報を開示するよう促されていた。

オーストラリア

スウィンバーン大学

2013年に開催された複数のイベントの登録情報が、この大学のサイトから流出した。まだ公表されたばかりのこのインシデントは、スタッフ5,200人、学生100人、その他の参加者200人に影響を与えている。流出したデータには、氏名、Eメールアドレス、および一部の電話番号が含まれている。（5,500）

中国

不明

Cyble Incの研究者は、「RaidForums」で中国市民に関連する機密情報を含む13億件のレコードを宣伝している脅威アクターを確認した。これらのデータは、Dungeon Fighter Online、Tencent QQ、Shunfeng Express、JD[.]com、Sina Weibo[.]comを通じて入手されたと報告されている。また、このアクターは、自動車の所有者のデータや市民のID番号も所持していると主張している。データの中には、EメールのIDとパスワード、電話番号のほか、フルネームや住所、生年月日なども含まれている。

フランス

Cegos Group

通信教育・トレーニングプロバイダーである同社は、2021年4月15日にランサムウェアの攻撃を受けた。同社は、このインシデントで個人情報が漏洩したかどうかを現在も調査している。

その他

Ultimate Anonymity Services

正体不明の研究者が、盗まれたRDP認証情報を扱うこの最大のマーケットプレイスから、137万9,609台のWindows RDPサーバーのログイン名とパスワードを収集した。このデータは、2018年末以降にUltimate Anonymity Servicesで販売されたアカウントのIPアドレス、ユーザー名、パスワードを密かに収集して得られたもの。この情報は他の研究者の手にも渡っている。

銀行・金融に関連して言及された脅威アクター

このチャートは、先週トレンドとなった銀行・金融に関連する脅威アクターを示しています。

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

インドの政府当局は、ATMに対するマンインザミドル（MiTM）攻撃が増加していると警告した。セキュリティ機関の報告によると、攻撃者は対象となるATMのネットワークケーブルにアクセスし、「ATM Switch」の現金引き出し拒否メッセージを承認メッセージに変更することで現金を引き出す。脅威アクターは、ATM機とATM構内のルーターやスイッチとの間に、「ATM Switch」の応答を変更できる装置を挿入して攻撃を行う。その後、攻撃者は制限されたカードを使って引き出し要求を送信する。

政府

Anomaliの研究者はウクライナの政府関係者を狙うキャンペーンを確認した。これは、テンプレートインジェクションを利用してリモートのテンプレートDOTファイルをダウンロードしようとする悪意のあるDOCXファイルを利用したもの。このキャンペーンは、2021年1月から3月下旬にかけて実施された。研究者は、このキャンペーンがロシアの支援を受けるグループ「Primitive Bear」によるものであるとしている。このサイバー犯罪組織は、スピアフィッシングによってファイルを拡散した可能性がある。

小売、観光

Dhaka Tribune紙は、バングラデシュで人気のEコマースプラットフォーム「Daraz」を装った新たなマルウェアが拡散されていることを報じた。このマルウェアは、Facebook Messenger、WhatsApp、Viberを介して拡散され、「Daraz」の綴りを微妙に変更した「Darez」からの無料ギフトを提供するという偽りのメッセージを使用している。このメッセージには、ユーザーの連絡先、写真、位置情報、IPデータなどを収集する感染経路へのリンクが含まれている。このマルウェアの詐欺により、ユーザー1名がいくらかの暗号通貨を失ったと報告されている。

テクノロジー

FireEyeの研究者は、脅威アクターがPulse Secure VPNデバイス上の複数の関連する欠陥を悪用していると報告した。これらの欠陥により、アクターが単一および多要素の認証を回避してバックドアアクセスを獲得することが可能になる。この攻撃者はアップグレードしても持続し、webshellを使用してアクセスを維持する。FireEyeは、今回の攻撃がサプライチェーンの問題であることを示す証拠はないと強調している。狙われた組織等は、防衛、政府、金融などの分野で活動している。初回感染経路は、既知の欠陥とCVE-2021-22893として追跡されているゼロデイ欠陥との組み合わせを介するもの。この攻撃に関連する欠陥については緩和策が発出されており、最終的なパッチは2021年5月上旬にリリースされる予定。

暗号通貨

Group-IBの研究者は、「Lazarus BTC Changer」と名付けられたキャンペーンを特定した。このキャンペーンは、Sancsecの研究者が以前報告した「clientToken=」キャンペーンと関連している。Eコマース事業者を標的とするこれらのキャンペーンは同じインフラを共有しており、どちらも北朝鮮の「Lazarus」グループとの繋がりがある。ターゲットサイトから銀行カードを入手する代わりに、このグループは暗号通貨の支払いを狙い始めた。改良されたスキマーが、意図された支払いアドレスを同グループのBTCアドレスにすり替えた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-16-22-april-2021/

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/