2020.07.03

ウィークリー・サイバーダイジェスト – 2020年6月26日〜7月2日

NEWS

概要

 

Silobreakerのウィークリー・サイバーダイジェストは、脅威レポートの定量的な概説で、毎週木曜日に発行されます。 レポートは、受賞歴のあるインテリジェンス製品であるSilobreaker Onlineを使用して作成されています。

 

脆弱なプロダクトのトレンド

このテーブルでは、ここ1週間において、脆弱性との関連で普段より多く言及されたプロダクトを示しています。

データ漏洩と侵害

今週報告された漏洩と侵害の一部を示しています。

*()内の数字は影響が及んだ人数です。不明の場合は記述を省略。

 

イスラエル

Preen.me

脅迫アクターが、10万人を超えるアフィリエイト・インフルエンサーの情報を身代金の「人質」にしたと主張している。同アクターは「Pastebin」上に、インフルエンサー250人分の記録を共有した。その中には、ソーシャルメディアのリンク、自宅住所、Eメールアドレス、名前などが含まれる。インフルエンサーの記録を(一旦)伏せたにもかかわらず、この脅威アクターは「Preen.Me」のアプリケーション「ByteSizedBeauty」を使用した個人の記録、253,051件を漏洩した。これには、住所、生年月日、FacebookのID、URL、友達リストなどが含まれる。(>100,000人)

 

韓国

LG エレクトロニクス

「Maze」ランサムウェアのオペレーターは、同社に属していると考えられるファイルのスクリーンショットを投稿した。同オペレーターは大手通信会社向けに開発されたLG製品のソースコードを入手したと主張し、スクリーンショットはその会社がAT&Tである可能性を示唆している。

 

米国

When Georgia Smiled

vpnMentorの研究者は、誤って設定された「Amazon Web Services S3」バケットを発見し、そこには家庭内暴力防止アプリ「Aspire News App」からのデータが含まれていた。これは現在保護されている。漏洩したデータには、被害者の氏名と自宅住所、緊急事態の詳細、虐待者の名前や経歴などの個人を特定できるデータを含んだ、4,000を超える音声録音が含​​まれていた。

 

Columbus Metro CU

「Maze」ランサムウェアのオペレーターは、攻撃の証拠として機密性の高い「Columbus Metro CU」のデータを公開した。これには、メンバーのデータ、住所、社会保障番号が含まれる。身代金の金額は明らかにされていない。

 

Lollicupstore

セキュリティ研究者のJeremiah Fowler氏は、誰でもデータを編集、ダウンロード、削除できる、公開されたデータベースを発見した。Lollicupstore社はその後、データベースを保護した。これには、顧客名、出荷関連データ、Eメールアドレスなど、112,723,640件のレコードが含まれていた。また、内部ログ、Eメール、eコマース「Magento」のプロダクションログなどの社内記録も存在し、それらの一部は支払いの記録と見られる。

 

Star Tribune

Cyble Incの研究者は、DarkWeb上で「Star Tribune」のユーザーレコード230万件を宣伝している、信頼性の高いアクターを発見した。データには、ユーザー名とパスワード、メールアドレス、名前、住所、電話番号、性別が含まれる。(2,300,000人)

 

Iowa Total Care Inc

このマネジドケア組織の従業員が、誤って請求データを含むExcelスプレッドシートをより大きなプロバイダー組織に送信し、保護された健康情報を流出させた。これには、名前、メディケイドID番号、生年月日、手順と診断コードが含まれていた。(11,581人)

 

Xerox Corporation

Mazeランサムウェアオペレーターは、同社のネットワークを侵害して100GBを超えるファイルを盗んだと、BleepingComputerに伝えた。攻撃の証拠として、同オペレーターは、2020年6月24日と25日のネットワーク共有、身代金の要求文章、およびディレクトリリストを示す10枚のスクリーンショットを公開した。

 

Chicken Express

Geminiの研究者は、2019年5月から2020年3月の間に、少なくとも56か所の同社店舗でペイメントカードの侵害が発生したと報告した。2019年8月2日以降、カード情報はDarkWebで販売されている。インシデントはリモートハッキングに関連していると見られる。この侵害により、約165,000枚のペイメントカードが盗まれた。

 

地方自治体

トレンドマイクロの研究者は、米国の8つの都市のWebサイトが、2020年4月10日頃に始まった活発なキャンペーンで、Magecartスキマーに感染したことを発見した。JavaScriptベースのスキマーは、クレジットカードのデータのほか、名前や連絡先住所といった個人情報を抜き取ることが可能だ。影響を受けるすべてのサイトは、Click2Govを使用して構築されているようだ。

 

フランス

LogéalImmobilière

DoppelPaymerランサムウェアのオペレーターは、不動産会社に属する約1GBのデータを漏洩した。そこには、複数の機密書類および企業の運営に関わる書類が含まれている。

 

カナダ

OneClass

vpnMentorの研究者は、流出した「Elasticsearch」データベースを特定した。データベースのサイズは27GBで、8,972,251件のレコードを含んでいる。レコードには、名前、Eメールアドレス、電話番号など、個人を特定できる情報が含まれていた。研究者たちは、いくつかのデータは未成年者のものかもしれないと述べた。データベースは現在保護されている。(>1,000,000人)

 

Heartland Farm Mutual

この保険のスペシャリストは、従業員のEメールがサイバーセキュリティインシデントの標的にされているのを発見した。このインシデントで、「少数の個人」の個人情報が公開された可能性がある。Heartland Farm Mutualは、この情報が悪用されたことを示唆する証拠はなかったと付言した。

 

シンガポール

E27

同社は社員に対し、悪意のあるサイバー攻撃を受けたことを知らせた。ハッカーは、ソースコード、Eメール、パスワード、その他のドキュメントを盗んだと主張している。このグループは、自分たちを「Team Johnwick」と呼び、E27に対し、同社システムにアクセスするために利用した脆弱性を明らかするための「少額の寄付」を求めた。

 

オーストラリア

Lion Breweries

Sodinokibiランサムウェアのオペレーターは、同社に対する最近の攻撃の犯行声明を出し、同社から盗まれたデータを表示しているとされるスクリーンショットを、データ漏洩サイトに投稿した。攻撃者は、同社がゆすりの要求に応えないなら、会社の財務情報および顧客情報を公開するか、競売にかけるかすると、脅迫している。

 

インドネシア

Kreditplus

DarkWebマーケットプレイス上の信頼性の高いユーザーが、盗まれたデータベースを宣伝しており、Kreditplusの顧客に属する89万を超えるレコードを持っていると主張している。Cyble Incの研究者が報告した。データベース内のフィールドには、名前、Eメールアドレス、パスワード、電話番号などが含まれる。

 

インド

Delhi State Health Mission

Kerala Cyber Warriorsは、この組織のセキュリティの欠如を暴露するため、Webサイトをハッキングしたと述べた。2020年6月27日に行われた攻撃により、ハッカーは少なくとも8万人のCOVID-19患者のデータにアクセスできるようになった。インシデントによって公開される情報には、名前、住所、電話番号、検査結果などが含まれる。(80,000人)

 

LimeRoad

Cyble Incの研究者は、脅威アクターが本物の同社顧客データおよそ129万人分を販売しているようだと報告した。流出した情報には、氏名、電話番号、メールIDが含まれる。(1,290,000人)

 

南アフリカ

LogBox Inc

セキュリティ研究者のAnurag Sen氏が、この医療データ企業に属する公開されたデータベースを発見した。流出したデータには、何千ものユーザーのアカウントアクセス・トークンが含まれていた。これは、パスワードを必要とせずにユーザーのアカウントへのフルアクセスを許可するものだ。同社は通知を受けた後、このデータベースをオフラインにした。

 

複数の会社

データ漏洩ブローカーは、2020年に侵害された14社の記録を含むデータベースを販売している。これまでに報告された侵害は4件のみで、データベース上の新しい企業は複数のセクターで事業を行っている。データベースにはさまざまな情報が含まれているが、すべてにユーザー名とハッシュ化されたパスワードが含まれている。データベースには合計で132,957,579件のユーザーレコードが含まれている。

 

複数のWebサイト

Lucy Securityは、945のWebサイトから盗まれ、DarkWebに漏洩した、アーカイブ済みのSQLファイルを特定した。ファイルを含む2つのデータベースは、2020年6月1日と6月10日に公開され、合計約150 GBが含まれていた。漏洩の背後にいるアクターは、より多くのデータベースを持っていると主張し、それらを共有したり、最高入札者に販売したりすることを計画しているという。流出した情報には、氏名、電話番号、ハッシュ化されたパスワードとハッシュ化されていないパスワード、IPアドレスとEメールアドレス、住所などが含まれる。(14,000,000人)

 

 

各業界の週間概況

 

先週の各業界に関わるニュースと情報です。

 

銀行・金融

Trustwaveの研究者は「GoldenSpy」について報告した。これは、中国の銀行からの要求で、Aisino Corporationの「Intelligent Tax」ソフトウェアを装ってインストールされていることが判明している。研究者は今回、Intelligent Taxソフトウェアによってダウンロードされた新しいファイルが、GoldenSpyのすべての痕跡を除去、削除することを発見した。研究者らは、「GoldenSpy」の背後にある脅威アクターが、Trustwaveが提供した削除指示に従っていたことを発見した。研究者たちは、この開発がキャンペーンの減速を意味するものではないと考えている。

 

重要なインフラ

パロアルトネットワークスユニット42の研究者は、2020年1月に初めて確認された「EKANS」ランサムウェアが、欧米のターゲットに対して使用されていることを観測した。Golangで書かれたランサムウェアは、スピアフィッシングの添付ファイルを介して一般的に配信される。同ランサムウェアは、産業用制御システムやウイルス対策のプロセスやサービスを停止させたり、バックアップを無効にしたりすることができる。また、ランサムウェアはネットワークを利用して、ターゲットデバイスに接続されたリソースを暗号化しようとしている。

 

政府

Elastic社の研究者らは、2020年のマレーシア政治的危機をフィッシングのルアーとして利用し、マレーシア政府関係者を狙ったキャンペーンが進行中であることを観測した。被害者たちは、マレーシアのブロガーによる合法的な放送の広告を装ったルアー画像を送られた。このキャンペーンでは、リモートテンプレート、VBAコード回避、DDLサイドロードのテクニックを利用して、バックドアや第二段階の移植を提供している。コードとTTPに類似性があることから、研究者はこのキャンペーンがAPT40に関連している可能性があると考えている。

 

教育

米連邦捜査局は、コロナウイルスの流行期間中にランサムウェア攻撃が増加しているとして、K12の学校に警告する民間企業通知を発行した。警告によると、ランサムウェアの運営者、特に「Ryuk」ランサムウェアの背後にあるものは、リモートデスクトッププロトコル接続を標的にしているという。

 

暗号通貨

Group-IBの研究者は、SMSメッセージを通して拡散するビットコイン投資詐欺を特定した。各ターゲットには、地元の有名人が仮想通貨で大金持ちになったという捏造話を含む、地域限定のフェイクニュースサイトにリダイレクトさせるショートリンクが記載されたメッセージが送信されている。偽ニュースサイトのURLには、ターゲットの名前、メールアドレス、電話番号が含まれている。ニュースサイトのどこかをクリックすると、ターゲットの個人情報がすでに入力されたビットコイン投資プラットフォームにリダイレクトされる。この詐欺では、248,926セットの個人情報を使用している。ターゲットのうち147,610人は英国、82,263人はオーストラリア、4,149人は南アフリカのユーザーだという。このキャンペーンは他にも多くの国のユーザーを対象としている。暴露された情報の出所は現在のところ明らかになっていない。

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


 

本レポートの情報源について

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

 

翻訳元 : Threat Summary

https://www.silobreaker.com/threat-summary-26-june-02-july-2020/


SILOBREAKERについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンスの専門家を支援する強力なツールです。
企業、業界、脅威、情報漏洩、攻撃者、脆弱性、地政学的動向等、いまウェブ上で語られているあらゆる事故や事象などのトピックをSilobreakerは可視化します。
可視化により、必要な情報を即座に発見し分析することが出来るようになるため、文脈上の関連性の検証や解釈が省力化され、意志決定速度や生産性を向上させることができます。

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。