Threat Report

Silobreaker-CyberAlert

Darksideは単一グループではなくRaaS

Tamura

2021.05.13

サイバーアラートについて

マキナレコードが取り扱うOSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成する、サイバーセキュリティ関連記事のダイジェストを翻訳し、ほぼ毎日更新しています。データ漏えいインシデントの実例や、マルウェア・脆弱性・ハッカーグループの動向、現在進行中のサイバー攻撃などを取り上げています。

各記事の末尾に情報源のサイトへのリンク（赤字）が貼られています。

（リンク先のほとんどが英語のニュースサイト、ブログ、ツイッター投稿ですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。）

以下、翻訳です。

2021年5月12日

マルウェア・脅威アクタートレンド

表の見方（訳者注）

「Name」：マルウェアおよび脅威アクターの名称

「Heat 1」：過去24時間のニュースにおける注目度（*）を４段階で示します。

「Heat 7」：過去１週間のニュースにおける注目度（*）を４段階で示します。

*過去30日間の平均と比較して高ければ赤が増え、低ければ青が増えます。

「Vol 1」：過去24時間に出された記事の中で、言及された回数を示します。

「Vol 7」：過去１週間に出された記事の中で、言及された回数を示します。

データ流出

退役軍人20万人の医療記録が公開状態となったが、これらは抜き取られたのか？

Office of Inadequate Security – May 11 2021 22:45

Becky Bracken氏による報告：約20万人の米軍退役軍人の医療記録が詰まったデータベースが流出した…

侵害された場合の支払金を約束するセキュリティ製品の保証書は必ず読むこと

GossiTheDog – Twitter – May 11 2021 07:51

ペンシルべニア州の保健局が訴えられる　接触者追跡アプリのデータ流出受け調査が浮上

Office of Inadequate Security – May 11 2021 12:21

Jessica Davis氏が、最近報告されたInsight Globalに関連するデータ流出について、予想通りの続報を書いている。

「Groupe Reorev」がランサムウェアアクター「LV」によるデータ流出の被害に

Seclists.org – Data Loss – May 11 2021 15:11

5月11日、Destry Winant氏が投稿

hxxps://www[.]technadu[.]com/groupe-reorev-breached-lv-ransomware-actors/270239/

「LV」と呼ばれる新たなランサムウェアグループは、Groupe Reorev から400GBの機密データを盗んだと主張している。…

ハッカー集団

「DarkSide」への対応

Security Boulevard – RSS – May 11 2021 20:15

Brian Krebs氏は先日、「DarkSide」と、コロニアル・パイプラインを停止させたこのランサムウェア集団についての詳細を検証した。DarkSideはランサムウェアの機能をパッケージ化し、サービスとして提供している集団である。他のランサムウェア集団は…

ロシアのハッカー集団「DarkSide」の信じ難い詳細がポツポツと明らかに

BGR – May 11 2021 23:49

今週末にロシアの犯罪組織が米国の主要燃料パイプラインに対して行ったようなハッキング、データ流出、ランサムウェア攻撃は、終わりが見えないほど立て続けにニュースの見出しを飾っているが、こうした見出しの中でよくありがちな悪者の描かれ方は...

パイプラインの攻撃後、「DarkSide」のハッカーはたた金儲けがしたかっただけだと言及

TechRadar.com – May 11 2021 10:21

「DarkSide」は将来的に標的を選別することを約束。

米国の主要燃料パイプラインの一つを操業停止させたランサムウェアグループ「DarkSide」がプレスリリースを発表し、自分たちは政治的ではなく、社会に迷惑をかけずに金儲けをしたいだけだと主張した。

ランサムウェア集団「DarkSide」は今、怯えているに違いない

Graham Cluley – May 11 2021 12:58

ランサムウェアの攻撃を受けて米国東海岸のコロニアル・パイプラインに生じた障害は、当然ながら大きなニュースで、ジョー・バイデン大統領自身が積極的に関心を持っていることを公言しており、また、このような攻撃を受けた場合には…

マルウェア

ランサムウェア「Avaddon」の攻撃が増加中

Heimdal Security Blog – May 11 2021 14:42

BankInfoSecurity – May 11 2021 19:40

問題のランサムウェアキャンペーンは、米国および世界の幅広い分野の組織を対象としており、FBIが先週発表したTLP:GREENフラッシュアラートによると、「Avaddon」の関係者が侵害しようとしているのは…

「Darkside」は単一グループではなくランサムウェア・アズ・ア・サービス　 @KimZetter がツイート

KimZetter – Twitter – May 11 2021 12:47

daveaitel – Twitter – May 11 2021 12:56

@KimZetterが次のようにツイート。

「『Darkside』は単一のグループではないことへの注意喚起。『Darkside』はランサムウェア・アズ・ア・サービスです – つまり、ランサムウェアとそのインフラの開発者が存在し、『レンタルされた』ランサムウェアを用いて攻撃を実行して、支払われた身代金の一部を『Darkside』開発者たちと共有する手下/パートナーが存在するということです」

脆弱性

CVE-2021-20313　ImageMagickに欠陥

CVEnew – Twitter – May 11 2021 23:45

ImageMagick（バージョン7.0.11より前）における欠陥が発覚した。TransformSignature における計算シグネチャーが可能な場合に、暗号鍵流出の恐れ。この脆弱性による最大の脅威は、データの機密性に対するもので….

CVE-2021-31205　Windows SMBクライアントのセキュリティ機能バイパスの脆弱性

CVEnew – Twitter – May 11 2021 20:45

CVE-2021-31205　Windows SMBクライアントのセキュリティ機能バイパスの脆弱性

hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-31205

CVE-2021-31172　 Microsoft SharePoint のなりすましの脆弱性

CVEnew – Twitter – May 11 2021 20:45

本 CVE ID は、CVE-2021-26418、 CVE-2021-28478とは別のものである。

hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-31172

CVE-2021-28478　Microsoft SharePoint のなりすましの脆弱性

CVEnew – Twitter – May 11 2021 20:45

本 CVE ID は、CVE-2021-26418、CVE-2021-31172とは別のものである。

hxxps://cve[.]mitre[.]org/cgi-bin/cvename.cgi?name=CVE-2021-28478

進行中のキャンペーン

「Roaming Mantis」がスミッシングキャンペーンを発展させ、標的に合わせ形を変えて実行

Cyware – May 11 2021 20:28

現在進行中の中国語話者グループによるスミッシングキャンペーンは、「MoqHao」、「SpyAgent」、「FakeSpy」などの異なるモバイルマルウェアを利用し、アジア諸国の Android ユーザーを一貫して狙っている。このキャンペーンは最近、新たな Android マルウェア「SmsSpy」を用いて、日本のユーザーを狙っている。

熟練サイバー集団がステルス性のツールセットを考案

Cyware – May 11 2021 20:28

サイバー犯罪者たちは、相当なレベルのステルス性を維持し、知名度の高い標的のネットワークに侵入するため、自らのツールセットを進化させ、調整する。こうした活動の一つである「TunnelSnake」は現在進行中のAPTキャンペーンであり、受動的なバックドアを利用し、…

重要インフラが攻撃を受ける

DDoS Attacks – May 11 2021 15:32

重要インフラを狙った最近の複数のサイバーインシデントは、サイバー犯罪者による攻撃の影響を受けないオープンソサイエティは存在しないことを証明している。米国の重要エネルギーパイプラインで最近起こった操業停止は、氷山の一角に過ぎない。重要インフラは…

「DarkSide」ランサムウェアグループを深掘り

Krebs on Security – May 11 2021 16:37

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

翻訳元 : Cyber Alert
https://www.silobreaker.com/silobreaker-cyber-alert-12-may-2021/

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

【参考】Silobreaker ご案内ページ（弊社Webサイト）

https://machinarecord.com/silobreaker/