2022Q4 サイバー攻撃関連

2022/12/30

Royal ランサムウェアグループが Intrado のインシデントの犯行を主張

• bleepingcomputerより
• Royalランサムウェアグループが、アメリカの通信会社 Intrado に対するサイバー攻撃の犯行を主張しているそうです。
• Intradoからは正式な発表は未だ無い状態です。

Lake Charles Memorial Health System (“LCMHS”)に対するHiveランサムウェア攻撃

• bleepingcomputerはこちら
• LCMHSの発表はこちら
• 2022/10/21 に、ルイジアナ州レイク チャールズで最大の医療複合施設であるLake Charles Memorial Health System (“LCMHS”)がランサムウェアの被害にあったとの情報です。
• 内部調査により、ハッカーが LCMHS のネットワークに不正にアクセスし、機密ファイルを盗んだことが明らかになりました。
• Hive ランサムウェア グループは、2022/11/15にデータリークサイトに LCMHS を掲載し、犯行を主張しているとの事です。
• 病院系がランサムウェアに狙われるケースが増えています。関係する方々は充分気をつけましょう。

EarSpyというサイドチャネル盗聴手法

• bleepingcomputerより
• 研究論文はこちら(PDF)
• EarSpyというAndroid デバイス向けの盗聴手法が研究者により明らかになったとのことです。
• モバイル デバイスのイヤースピーカーからの残響によって引き起こされるモーションセンサーデータをキャプチャすることで盗聴が可能とのこと。
• 従来から概念上はあったそうですが、イヤースピーカーは音量が小さすぎて無理という結論でした。しかし最近のスマートフォンは、数年前のモデルに比べてより強力なスピーカーを使用しており、音質が大幅に向上し、振動が強くなっていることから、盗聴が可能になったという事です。
• 2020年に研究者が開発したラウドスピーカーと「 Spearphone 」アプリを使用したところ、発信者の性別とIDの精度は99％に達し、音声認識は80％の精度に達したとの事です。なかなかすごいですね。

4億人分のTwitterデータが販売されているという情報

• bleepingcomputerより
• Ryushiと呼ばれる人物が、4億人分のTwitterデータを販売しているという情報です。
• フォーラムの投稿には有名人、政治家、ジャーナリスト、企業、政府機関のサンプル データが含まれているとのことです。詳しい情報は該当記事を確認してください。

2022/12/23

LastPassが8月のインシデントの調査結果を公表。クラウドストレージで顧客のvaultデータが盗まれていたことが明らかに

• LastPassのブログより
• LastPassが2022年8月に起きたインシデントの調査結果をブログで公表しました。
• これによると、LastPassの顧客のvaultデータが盗まれていたことが判明したとのことです。
• インシデントの際に、攻撃者は暗号化されたストレージ コンテナから顧客のvaultデータのバックアップをコピーすることが出来る状態になっていたとのことです。このストレージコンテナは、ウェブサイトの URL などの暗号化されていないデータ・ウェブサイトのユーザー名などの完全に暗号化された機密フィールドの両方を含んだ独自のバイナリ形式で保存されています。
• 脅威アクターは、総当たり攻撃を使用して取得したvaultデータのコピーを解読しようとする可能性があります。
• 今回の件を悪用したフィッシングの可能性も考えられます。LastPassの方から電話やメール等で「個人情報を確認して下さい」とのメッセージは出さないとのことなので、この様なメールは無視して下さい。
• まずはLastPassを使用されている方はパスワードを変更しておいたほうが良さそうです。その際にはパスワード文字数を最低でも12文字以上にするなど、LastPassのブログにあるベストプラクティスに従いましょう。

2022/12/20

PlayランサムウェアグループがドイツホテルチェーンH-Hotelsへの攻撃を主張

• bleepingcomputerより
• Playランサムウェアグループ(TrendMicro社の説明ページ)がH-Hotels(h-hotels.com)に対するサイバー攻撃の犯行声明を出したそうです。
• セキュリティインシデントは2022/12/11に発生したとの事。
• ランサムウェアグループは、クライアントのドキュメント、パスポート、ID などの個人データを盗んだと主張しているそうです。詳細はBleepingComputerの記事を確認して下さい。

2022/12/17

Columbiaのエネルギー企業EPMがBlackCat/ALPHVランサムウェア攻撃を受ける

• bleepingcomputerより
• コロンビア最大のエネルギー・水・ガスの企業であるEmpresas Públicas de Medellín (EPM) が12/12に攻撃を受け、オンラインサービスが停止したそうです。
• 攻撃の背後にはBlackCat/ALPHVランサムウェアがおり、身代金メモも確認されているようです（メモなどの情報はBleepingComputerの記事にあります）。
• 詳しい情報はBleepingComputerの記事を確認して下さい。

FBIによる注意喚起。BEC詐欺により大量の食品や食材が盗まれている

• FBIの注意喚起（PDF）
• FBI・FDA OCI(食品医薬品局犯罪捜査局)・USDA(米国農務省 ) は、 最近ビジネス電子メール侵害(BEC)を使用して、数十万ドル相当の食品や食材が盗まれた事例を観測したとのことです。
• 同PDFにはTTP（Webアドレスやメールアドレスで小文字の「l」 の代わりに数字の「1」が使用されていたり、.govが.orgになっているなど）が紹介されています。
• いずれ日本にも波及してくると思われますので、参考にしましょう。

フィッシング攻撃の変化。Facebookへのリンクで検知を逃れる

• bleepingcomputerの記事より
• フィッシング攻撃する側もよく考えている様でして、「Facebookへのリンクを挟むことで、検知を逃れる」という手法が見つかっているとのことです。
• メールのサンプル等はBleepingComputerの記事に載っています。くれぐれも「Facebookのリンク等も含めて、メールに含まれるリンクはクリックしない（必要な際には充分気をつける）様にしましょう。

Social Bladeがデータベースを侵害される。ハッカーが盗んだデータを売買

• BleepingComputerの記事はこちら
• ユーザ向けのメール
• 2022/12/14に、「攻撃者がデータベースの情報をエクスポートし、それをハッカーフォーラムで販売しようとした」というデータ侵害の通知を受けたそうです。投稿された盗難データのサンプルから、Social Bladeでそれらが実際のデータであることを確認したとの事です。
• 攻撃者は、Social BladeのWeb サイトの脆弱性を利用してデータベースにアクセスしたようです。
• 漏洩したデータにはクレジットカード情報は含まれていないが
  • メールアドレス
  • IP アドレス
  • パスワード ハッシュ
  • ビジネス API ユーザーのクライアント ID とトークン
  • 接続されたアカウントの認証トークン
  • 住所
• 等の個人情報が含まれていたようです。アカウントのパスワードハッシュが漏洩していますが、パスワードはプレーン テキストで保存されていないため、パスワードは引き続き安全との事（当然、安全性を高めるためにパスワードの変更をしてもOKとの事）です。
• また、BleepingComputerの取材によると、認証トークンが悪用された形跡はないとの事です。
• ユーザにはメールで通知が行っている様ですので、引き続きSocial Bladeの情報を待つことになります。

2022/12/16

MirrorFace(中国系?)グループが日本の政治団体を標的に。Becky!等から認証情報を盗み出す(ESET情報)

• bleepingcomputerより
• ESETのレポート（一次情報）
• ESETの調査によると、中国語を話しているMirrorFaceグループ（新たな脅威グループと見られる）が日本の政治関連の団体を標的に動いている様です。
• 標的はメディア、防衛関連企業、シンクタンク、外交機関、および学術機関の模様。
• Operation LiberalFaceという作戦が紐付けられています。
• 特定の日本の政党の広報部門からの公式通信を装い、参議院選挙に関連して支援を要望するメールがスピアフィッシングメールとして送られました。ESETのサイトには画像が紹介されています。党名は伏せられていますが、「都道府県連所属の各級議員におかれましても」と拡散を呼びかけています。「SNSで選挙に参加しよう」という文言も見えます。ターゲットに表示される囮の文書も「事務連絡」として「参議院比例代表選出議員の選挙における・・」と書かれています。
• MirrorFaceが使用している「LODEINFO(JPCERTでも注意喚起されている)」の新バージョンがダウンロードされる様です。
• 認証情報を盗んだりしますが、日本特有のBecky!からも情報を盗み出す様です。
• TTP/IoC等はESETのブログに公開されていますので参考にして下さい。皆様も気をつけましょう。

2022/12/15

Lockbitランサムウェアギャングがカリフォルニア財務省への攻撃を主張

• bleepingcomputerより
• カリフォルニア サイバーセキュリティ統合センター (Cal-CSIC)による発表
• Cal-CSICはカリフォルニア州財務省が対象となったサイバーセキュリティ インシデントに積極的に対応しているとの事です。この攻撃が特定されてすぐに、侵入の範囲を評価し封じ込めを行っているとのことです。
• 一方、bleepingcomputerによると、月曜日(12/12)にLockbitランサムウェアギャングが本件に対する犯行声明を出したとのことです。75GBのデータを盗み出しており、12/24までに身代金を支払うようにとのカウンターも設置されている様です。
• Cal-CSICの発表内容にはあまり詳細が載っていないため、今後の調査が進み次第更新されるのではないかと思われます。

14万を超えるOSSのNUGET, NPM, PyPIパッケージがフィッシングパッケージになっている

• bleepingcomputerより
• Checkmarxによる調査
• 144,000 を超える、フィッシングリンクが含まれているパッケージが同じ攻撃者によって NuGet、NPM、および PyPi に公開されているとの事です。
• 詳しい情報・グラフはCheckmarxの記事にありますが、2022-Q1だけ飛び抜けて133,527パッケージがPublishされるなど、明らかに異常な振る舞いをしています。
• NuGetパッケージは<az><1900-2022>のパターンのユーザ名でPublishされており、明らかに全てのが同じ攻撃者（グループ？）となっています。既にCheckmarx社によるNuGetセキュリティチームへの連絡で、このパターンのパッケージはダウンロードできなくなっている様です。
• この調査研究はCheckmarx と Illustriaの共同で行われた様です。
• OSSを攻撃ツールの一つとして使用するこのパターンは昨今多く見られるものです。今後OSSを使う上では、ソースやパッケージの中身の確認等も必須となってくると思われます。
• 個人的にはOSSをこういう攻撃に使われるのは迷惑な話だなーと思っています。

2022/12/14

Playランサムウェアオペレーションがベルギーアントワープ市への攻撃の犯行声明を出す

• bleepingcomputerより
• Playランサムウェアオペレーションがベルギーのアントワープ市への攻撃の犯行声明を出しているとのことです。
• 現在も混乱は続いており、市の行政サービスが未だに機能不全の状態の様です。
• 週末にEmsisoftの脅威アナリストがPlayランサムウェアの犯行声明に気づいたとのこと。
• 個人情報、パスポート、ID、財務関係の書類を含む 557 GB のデータを盗んだとの犯行声明が出されています。
• Playランサムウェアは比較的新しいランサムウェアオペレーションになります。2022年にアルゼンチンでも攻撃を行うなど、活動を広げている様です。

Twitterが11月のデータ流出を2021年6月のバグに起因するものと認める

• Twitterのプレスリリースより
• Twitterが、2022年11月に報道されたTwitterユーザデータの流出に関して、プレスリリースを更新しました。このデータ流出は2022年7月頃から度々話題になっています。
• これによると、2021年6月にコードを更新した際にバグが入ってしまったとの事。このバグは2022年1月にTwitterのバグ報奨金プログラムを通じて報告されており、すぐに修正されているそうですが、修正までの間にこのバグを利用してデータが流出していた模様です。
• 2022年7月にTwitterアカウント540万件の売買のニュースが上がっており、すぐに調査を行うと共に影響があった人物には連絡しているそうです。
• Twitterを利用するユーザに関しては2要素認証を有効にして不正ログインから防御するように呼びかけています。筆者としては、その他のTwitterに関係ないアプリに関してもなるべく他要素認証は有効にしておくことが現在は求められていると感じています。
• ただし電話番号入れてSMSで「別要素だー」みたいなのは避けといたほうが良いでしょう。最近SIMスワップ攻撃が流行っていますので。

UberLeaksを名乗る脅威アクターがUberから流出した情報を公開

• bleepingcomputerの記事より
• 12/10早朝、「UberLeaks」を名乗る脅威アクターがUber／Uber Eatsから盗まれたとされるデータを公開したそうです。データにはUberが使用しているモバイルデバイス管理製品（MDM）のソースコードも含まれているとのこと。
• BleepingComputerの取材によると、新たに漏洩したデータは、ソース コードやIT資産管理レポート、Windows ドメインのログイン名、電子メール アドレス等であり、顧客のデータは含まれていなそうです。
• Uberの9月の情報漏えい（Lapsus$が関係した）とは異なるデータが流出しているようです。

2022/12/10

カタールでのワールドカップに関係した、イスラエル・パレスチナ地域への攻撃

• AlienVaultのPulseより
• Wechatのブログはこちら
• 現在カタールで行われているワールドカップの様な世界の関心事は、標的型攻撃にとっても利用できる良い機会になっています。
• 今回も、アラビア語のユーザを狙った標的型攻撃が観測されたそうです。攻撃はワールドカップのアプリに偽装して行われ、イスラエルとパレスチナを中心に1,000台を超える感染デバイスが発見されたとのこと。
• IoCや攻撃方法などは、Wechatのブログに詳しく載っていますので参考にしましょう。
• Wechatのブログにも載っていますが、この様な攻撃を防ぐには下記の様な事に気をつけて下さい。
  • デバイス及びソフトウェアは最新の状態に保つ
  • ウイルス対策アプリをインストールする
  • テキストや電子メールで受け取ったメッセージのリンクは容易に開かない

ランサムウェア攻撃に見舞われたRackspaceが、これを利用したフィッシング詐欺について注意喚起

• Rackspaceのブログより
• bleepingcomputerの記事はこちら
• 先日ランサムウェア攻撃の被害にあったRackspaceからの注意喚起
• このような攻撃被害の後では、サイバー犯罪者が攻撃の事実を悪用してフィッシング詐欺を行うのが一般的なため、フィッシング詐欺や詐欺メールの見分け方等を書いています。
• 「Rackspace からの電子メールには特殊文字や数字を含まないドメイン名 @rackspace.com のみが含まれる」との事です。
• また、正当なサポートセンターとのやり取りでは、ログイン資格情報や、社会保障番号、運転免許証などの個人情報の要求は無いそうです。騙されない様に！！

2022/12/09

CommonSpirit Healthがランサムウェア攻撃を受ける

• CommonSpirit Healthのブログより
• 2022/10/02に、米国で140 の病院と 1,000 を超えるケア サイトを提供しているCommonSpirit Healthがランサムウェア攻撃を受けたと発表しました。
• 調査によると、攻撃者が個人情報を含むファイルを含む特定のファイルにアクセスしたことが判明しています。アクセスされた個人情報の個人に対しては個別に案内を出しているそうです。これまで個人情報が悪用された形跡はないとのこと。
• ランサムウェア攻撃を発見した直後、迅速に該当システムや電子医療記録 (EHR) や患者のポータルシステムをオフラインにするなど、既存のプロトコルに従ってインシデントの保存・調査を開始したそうです。Dignity Health、Virginia Mason Medical Center、TriHealth、Centura Health、および関連システムへの影響は無かったとのことです。
• 攻撃の情報はこちらの患者向けの説明が詳しいです。2022/09/16から2022/10/03までの期間、個人情報へのアクセスが行われたとのことです。
• ランサムウェア「Hive」に関するFBI/CISAのアドバイザリは2022/12/06にも触れましたが、医療系施設がランサムウェアの標的になっています。日本でも気をつけたほうが良さそうです。

2022/12/08

インドのサイバーセキュリティ会社CloudSEKがサイバー攻撃を受ける

• CloudSEKのブログより
• ブログによると、ConfluenceにアクセスするためのJiraパスワードが侵害されたとのこと。データベースやサーバへのアクセス侵害は無かったが、顧客名やスクリーンショット、3社のPurchase Order等のデータは盗まれた模様。
• 脅威アクター名は「sedut」との事で、現在被害調査中の模様です。

ヨーロッパを標的とした投資詐欺グループ「CryptosLabs」の分析が公開

• GroupIBのプレスリリースより
• フランス、ベルギー、ルクセンブルグ等の国々を標的とした投資詐欺グループ「CryptosLabs」の分析結果がGroupIB社のサイトで公開されています。
• これによると、被害者を投資詐欺グループのポータルに誘い込むために、40のヨーロッパで有名な仮想通貨・フィンテック・銀行等になりすましていた様です。被害額は約4億8,000万ユーロ（日本円で約690億円）になるとの事です。
• 詳しい情報や被害に合わない方法に関しては、GroupIBの記事に載っています。

Amnesty International Canadaが中国系ハッカーによる侵害を受ける

• Amnesty International Canadaのニュースリリースより
• Amnesty International Canada(アムネスティ・インターナショナル　カナダ支部）が中国政府が支援していると思われるハッカーにより侵害を受けたとの事です。
• 2022/10/05にシステムに怪しい動きを検知。早速システムの保護と調査に乗り出し、サイバーセキュリティ企業のSecureworks社にフォレンジック調査を依頼したそうです。
• Secureworks社のフォレンジック調査員によると、TTPが中国政府が背後にいる脅威アクターのものと一致しているとのこと。
• データの流出は確認されていないそうですが、事務局長は「（概略）世界的に人権を擁護する組織のため、この様な攻撃の標的になるリスクは十分認識しているし、この様な攻撃には屈しない」と述べています。

ベルギーのアントワープ（アントウェルペン）の都市サービスがサイバー攻撃によりダウン

• HLNの記事より
• 12/5-6にかけて、アントワープのITパートナーであるDigipolisのサーバがサイバー攻撃の被害に空い、都市サービスに影響が出ました。
• 市の電子メールサービス、身分証発行、高齢者居住ケアサービスなどに影響が出ている様です。港湾局や警察にも影響が出ている様で、かなり自体としては深刻な状況です。

脅威アクター　DEV-0139がTelegramを用いて仮想通貨投資会社を標的に

• Microsoftセキュリティ脅威インテリジェンスグループのブログより
• Microsoftが「DEV-0139」と名付けた脅威アクターがTelegramを用いた攻撃で、仮想通貨投資会社を標的にしているさまです。
• DEV-0139は、暗号通貨の情報交換に使われるTelegramチャネルに参加し、標的を見つけた上で信頼を得、悪意のあるマクロが仕込まれているExcelファイルを送るそうです。
• Microsoft社のブログにIoCや詳細情報が載っています。また、Microsoft Defenderを用いて該当の脅威コンポーネントを検知できるようです。
• 仮想通貨を狙う攻撃としてはLazarusグループ(北朝鮮が背後にいる脅威アクター)があります。DEV-0139と、最近「applejeus」というマルウェアを使用している脅威グループ（Lazarusグループに結びつけられている）が同じ脅威アクターなのではないかという推測も出ています。
• 2021年頃から仮想通貨市場が標的になっていますので、仮想通貨に関連する方々は気をつけたほうが良いでしょう。

2022/12/07

Rackspaceがランサムウェア攻撃を受ける

• Rackspaceのプレスリリースより
• Rackspaceが12/02にランサムウェア攻撃を受け、サービスを一時停止した様です。
• このインシデントは「Hosted Exchange」サービスにのみ限定されているそうです。
• 情報の更新はこちらのRackspaceのブログで逐次されています。利用している方はブログの方を追いかけたほうが良さそうです。

2022/12/06

フランスでベルサイユの病院施設がサイバー攻撃の被害を受ける

• ラジオ・フランス・アンテルナショナルの記事より
• フランス保健省によると、パリ近郊のベルサイユにある「ヴェルサイユ – オピタル・アンドレ・ミニョ総合病院」が、週末にサイバー攻撃にあったそうです。結果として手術をキャンセルし、一部の患者を移送しなければならなかった模様です。
• 地域保健機関（ARS）によると、電話、インターネット、コンピューター システム等が遮断されたとの事です。攻撃者は身代金を要求しており、所謂ランサムウェアグループの仕業であると思われます。
• ランサムウェアグループは未だ判明しておらず、パリの検察庁が捜査にあたっている模様です。
• フランスでは今年に入って病院をターゲットとしたランサムウェア攻撃が幾つか発生しているそうです。
• USのFBI/CISAが共同で出したアドバイザリによると、ランサムウェア「Hive」（2021 年 6 月に最初に発見されたランサムウェアで、Ransomware as a Service(RaaS)として提供されている。2022 年に開発言語をGoLang から Rustへの切り替えた）が病院・ヘルスケアを標的とした攻撃で使われており、2022年11月時点で世界中で1,300社以上の企業を攻撃／約1億米ドルの身代金を稼いでるということです。
• 日本でも医療機関をターゲットとしたランサムウェア攻撃が頻発していますので（大阪総合医療センター／徳島　半田病院　／静岡　田沢医院）、医療関係機関は攻撃に備える必要があります。

新たなBYOF(Bring your own Filesystem)攻撃がLinuxのPRootを悪用

• Sysdig社のブログから
• Sysdig社では、LinuxのPRoot（jailやchrootと同じ様な、ファイルシステム上のサンドボックス機能を提供するツール）を悪用してCryptomining等の攻撃を行っているとの調査結果を明らかにしました。
• Sysdig社のブログには、IoC及びFalcoによる検知方法などが載っていますので、攻撃を検知するための参考にしましょう。