2023Q3 国家が関係している攻撃等

2023.07.12

2023Q2 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2023Q2 国家が関係している攻撃等へのリンクはこちら

2023Q1 国家が関係している攻撃等へのリンクはこちら

2022Q4 国家が関係している攻撃等へのリンクはこちら

2023/09/30

北朝鮮が背後に居るLazarusグループがLightlessCanマルウェアを用いて航空宇宙産業に侵入

  • ESETのブログより
  • 北朝鮮の「Lazarus」グループが、例のLinkedInを利用した「ドリームジョブ作戦(良い雇用条件を持ち出して標的に接触し情報を盗み出す)」を用いてスペインにある航空宇宙会社に新しい「LightlessCan」バックドアを使用してハッキングしたことがわかりました。
  • 細かいIoCなどはESETのブログに載っていますので参考にしてください。

2023/09/29

中国のハッカーによるマイクロソフトへの侵害により、米国国務省の電子メール60,000通が盗まれる

  • bleepingcomputerより
  • reuterのリンクはこちら
  • 今年5月のインシデントになります。マイクロソフトメールプラットフォームに侵入した中国のハッカーらが米国国務省のアカウントから数万件の電子メールを盗むことに成功したと、上院職員が水曜日ロイターに語っています。 この職員は国務省のIT当局者らによる説明会に出席し、当局者らは議員に対し、国務省の10のアカウントから6万通の電子メールが盗まれたと話したと述べたそうです。 職員が電子メールで共有した説明の詳細(匿名)によると、被害者のうち9人は東アジアと太平洋地域で勤務しており、1人は欧州で勤務していたとのこと。

2023/09/28

日米共同のサイバーセキュリティ勧告で中国の「BlackTech」ハッカーがCiscoデバイスに侵入してバックドアをインストールしていると警告

  • bleepingcomputerより
  • 報告書はこちら
  • 日米のサイバーセキュリティ勧告で、中国の「BlackTech」ハッカーがネットワークデバイスに侵入して企業ネットワークにアクセスするためのカスタムバックドアをインストールしていると警告しています。
  • BlackTech (別名 Palmerworm、Circuit Panda、Radio Panda) は、少なくとも 2010 年以来、日本、台湾、香港を拠点とする組織に対してサイバースパイ攻撃を行っていることで知られる、国家支援による中国の APT グループ (高度持続的脅威) です。BlackTech がターゲットとするセクターには、政府、産業、テクノロジー、メディア、エレクトロニクス、電気通信、防衛産業が含まれます。
  • 報告書に目を通しておきましょう。

2023/09/24

英国の海外領土バミューダ政府が同国への攻撃をロシアと結びつける

  • bleepingcomputerより
  • 英国の海外領土バミューダ政府は同国の全省庁のITシステムに影響を与えたサイバー攻撃を、ロシアを拠点としたハッカーによるものと関連付けました。
  • このインシデントの調査は現在も進行中の様です。

2023/09/15

イランが背後に居る脅威アクターPeach Sandstorm (HOLMIUM)による攻撃

  • Microsoftのブログより
  • Microsoftによると、イランが背後に居るPeach Sandstormが2023年に各国に侵入して情報を盗み出している様です。
  • Peach Sandstormは航空、建設、防衛、教育、エネルギー、金融サービス、ヘルスケア、政府、衛星、電気通信分野を標的としてきました。
  • TTPなどもMicrosoftのブログに載っていますので参考にしてください。

2023/09/13

国家重要インフラ (CNI) を標的とする”Redfly”

  • Symantecのブログより
  • Symantecが Redfly と呼ぶ脅威アクターグループが、今年初めから6か月間、アジアの国内電力網を侵害するためにスパイ活動を行っていたようです。
  • IoC等はSymantecブログに載っていますので参考にしてください。

2023/09/08

MSによる中国・北朝鮮ハッカーの分析

  • MS Blogより
  • 中国と北朝鮮、サイバー能力を磨きながら攻撃を行っている様です。
  • 中国はプロパガンダなどのDisinformationを行っているとのこと
  • 北朝鮮は外貨獲得も一つのモチベーションになっている様です。

Google TAGによる北朝鮮のキャンペーン分析

  • Google Blogより
  • Google TAGが、北朝鮮の脅威アクターによる、セキュリティ研究者を対象としたキャンペーンの情報を共有しています。
  • 北朝鮮の攻撃者は X (旧 Twitter) などのソーシャル メディア サイトを利用してターゲットとの関係を構築し、X経由でWhatsapp等に交流の場を移行、最終的に悪意の有るコードをターゲットに送るようです。
  • IoCなどもGoogle Blogに出ていますので参考にしてください。

2023/09/05

ドイツ金融庁がDoS攻撃を受ける

  • bleepingcomputerより
  • ドイツ連邦金融監督庁(BaFin)は同庁のウェブサイトに対して金曜日からDDoS攻撃が加えられていると発表しました。 BaFin はドイツ連邦財務省の一部で、2,700 の銀行/800 の金融/700 の保険サービスの監督を担当しています。

2023/08/27

フランス政府機関のデータ侵害で1000万人分の情報が流出

  • bleepingcomputerより
  • フランス政府の失業登録・財政支援機関であるポール・エンプロワが、1,000万人の個人データが漏洩したデータ侵害について報告しました。
  • 報告はこちらになります。
  • 同庁は影響を受ける人の数を明らかにしていませんが、影響を受ける人は1,000万人と推定されている様です。

2023/08/15

英国政府が「vote registration site(有権者登録サイト)」は詐欺ではないと繰り返し説明

  • bleepingcomputerより
  • 英国の住民は 、有権者登録のためHouseholdResponse.comにアクセスするよう求められています。このドメインは公式とはまったく異なるものに見え、詐欺と間違える人が非常に多いものとなっています。
  • 「2023年に議会が選挙人登録/確認を、信頼できる.govサイトではなく.comで行うよう要求しているのは本当にスキャンダラスだ」とロンドンを拠点とするソフトウェア開発者のプラナイ・マノーチャ氏はソーシャルメディアを通じて語っているそうです。
  • 政府関連はgovなどわかりやすいものにしてほしいですね。

2023/08/12

米国サイバー安全委員会、Microsoft Exchangeによる政府電子メールのハッキングを分析へ

  • bleepingcomputerより
  • 米国政府機関が使用する Microsoft Exchange アカウントに対する最近の中国によるハッキング(Storm-0558等)を受けて、米国サイバー安全委員会(CSRB)はクラウドセキュリティの詳細な審査を実施する計画を発表しました。
  • これらの勧告は CISA と現米国政府に転送され、政府のシステムとアカウントを保護するためにどのような措置を講じるべきかを決定します。
  • CSRBの報告はこちらになります。

2023/08/11

「MoustachedBouncer」が、敵対的中間者 (AitM) 攻撃を使用して、ベラルーシの外国大使館をハッキング

  • bleepingcomputerより
  • ESETのレポートはこちら
  • ESETによると、「MoustachedBouncer」という名前のサイバースパイ集団が、ISP に対して敵対的中間者 (AitM) 攻撃を使用して、ベラルーシの外国大使館をハッキングしているのが観察されたそうです。
  • 脅威アクターは少なくとも 2014 年から活動しており、2020 年以降ベラルーシの ISP で AitM を使用していると考えられています。
  • 詳しいTTP等はESETのレポートに載っていますので参考にしてください。

2023/08/09

英国選挙管理委員会のデータ侵害で8年分の有権者情報が流出

  • bleepingcomputerより
  • 英国選挙管理委員会は、2014年から2022年の間に英国で有権者登録をした人の個人情報が流出している事を明らかにしました。
  • 同委員会の公表によると、最初に攻撃を検知したのは2022年10月だったが、その後、脅威アクターがそれよりずっと早い2021年8月にシステムに侵入していたことがわかったとのことです。
  • 選挙管理委員会によると漏洩した有権者情報には以下が含まれると述べています。
    • 委員会の電子メール システムに含まれる個人データ:
      • 名前、名前、姓。
      • 電子メール アドレス (個人用および/またはビジネス用)。
      • ウェブフォームまたは電子メールに含まれる場合は自宅の住所。
      • 連絡先電話番号 (個人および/または会社)。
      • 個人データを含む可能性のあるウェブフォームおよび電子メールのコンテンツ。
      • 委員会に送信された個人的な画像。
    • 選挙人名簿の記載事項に含まれる個人データ:
      • 名前、名、姓
      • レジスターエントリの自宅住所
      • その年に選挙権年齢に達する日。

2023/08/08

北朝鮮のハッカー”ScarCruft”がロシアのミサイルメーカーに侵入

  • bleepingcomputerより
  • SentinelLabの記事はこちら
  • 北朝鮮のハッカーグループ”ScarCruft”がロシアのミサイルメーカー”Mashinostroyeniya”に対するサイバー攻撃に関与していたとのことです。
  • SentinelLabの調査によると”ScarCruft”はOpenキャロットと呼ばれる Windows バックドアの使用と並行してミサイルメーカーの内部ITインフラに侵入を行っていたとのこと。
  • IoCやTTP等の詳しい情報はSentinelLabの記事を参照してください。

2023/08/05

Midnight Blizzard(別名APT29)がTeamsのフィッシング攻撃で政府組織を標的に

  • Microsoftのブログより
  • Microsoftによると、APT29(ロシアが背後にいるとされている脅威アクター)が、政府機関を含む世界中の数十の組織をTeamsフィッシング攻撃で標的にしたと発表しました。
  • 現在の調査によると、このキャンペーンが影響を及ぼした世界規模の組織は40未満で、政府、NGO、ITサービス、テクノロジー、製造業、およびメディア部門が標的となっている様です。
  • 具体的なIoC及びMSからの推奨事項がMSのブログに詳しく載っていますので参考にしてください。

2023/07/28

NATOがSiegedSecと呼ばれるハッキンググループを調査

  • bleepingcomputerより
  • NATOがSiegedSecと呼ばれるハッキンググループの調査を行っていることを認めました。これはCommunities of Interest (COI)のポータル「dnbl.ncia.nato.int」でのデータ盗難にSiegedSecが関与した可能性があるためです。
  • COI のポータル 「dnbl.ncia.nato.int」 は、NATO組織と加盟国のサポートに特化した、軍事同盟の非機密情報共有およびコラボレーションを行うポータルとなっています。
  • ハッカーグループ「SiegedSec」は、COI ポータルから盗まれた数百の文書であると主張するものを Telegram に投稿しています。
  • SiegedSecは「NATOに対するこのサイバー攻撃はロシアとウクライナの間の戦争とは何の関係もないことを強調したい。これはNATO加盟国に対する人権攻撃に対する報復である」とテレグラムで主張しているとのことです。

2023/07/21

ウクライナがボットファームを活動停止に。150,000のSIMが押収される

  • bleepingcomputerより
  • ウクライナ国家警察サイバー警察署は、約24カ所の捜索を経て、100人以上の個人に関連する別の大規模なボットファームを解体しました。
  • これらのボットは、ウクライナにおけるロシアの戦争を正当化するロシアのプロパガンダを推進したり、違法なコンテンツや個人情報を広めたり、その他さまざまな詐欺行為に使用されました。
  • コンピュータ機器、携帯電話、250以上のGSMゲートウェイ、および複数の携帯電話会社の約15万枚のSIMカードを押収したとの事です。

米政府、欧州のスパイウェアベンダーIntellexaとCytroxを禁止に

  • bleepingcomputerより
  • 米国政府は、米国の国家安全保障と外交政策上の利益に対するリスクを理由に、欧州の商用スパイウェアメーカーであるIntellexaとCytroxを禁止にした様です。
  • 米国国務省によると、これらの監視ツールの世界規模での配備は、政治的敵対者を威嚇し、反対意見を抑圧し、言論の自由を制限し、ジャーナリストや活動家の活動を追跡することを目的としているとのこと。
  • また、米国国務省は「商用スパイウェアの蔓延は、米国政府職員とその家族の安全を含め、明らかに増大する対諜報活動と安全保障上のリスクを米国にもたらしている」と述べています。

2023/07/16

Gamaredonが侵入後30分でデータ窃盗を開始

  • bleepingcomputerより
  • ウクライナのCERT(CERT-UA)が、Gamaredonについて警告を出しています。
  • Gamaredonについては過去にも何度もニュースに上がってきていますので、機会があればチェックしてみてください。

2023/07/13

RomComと呼ばれる攻撃者がNATO出席者をフィッシング攻撃で狙う

  • bleepingcomputerより
  • 「RomCom」と呼ばれる脅威アクターは、ウクライナを支援する組織と、リトアニアのビリニュスで開催されるNATO首脳会議のゲストをターゲットにしています。
  • BlackBerryの調査によると、フィッシング攻撃が行われているようです。
  • 詳しい情報はBlackBerryのサイトを確認してください。

SmugXと名付けられたキャンペーンにより欧州政府機関が狙われている

  • bleepingcomputerより
  • CheckPointの記事はこちら
  • チェックポイントリサーチは、ヨーロッパの政府機関をターゲットとした中国の脅威アクターによる標的型キャンペーンを明らかにしました。
  • このキャンペーンは、攻撃者が HTML ドキュメント内に悪意のあるペイロードを隠す手法である HTML Smuggling を利用しています。
  • 標的となっているのはウクライナやスウェーデン、英国、フランス、チェコ等です。
  • VirusTotalにアップロードされた標的がメールは以下のようなものになります。
    • ブダペストのセルビア大使館からの手紙。
    • 欧州連合理事会議長国のスウェーデンの優先事項を記載した文書。
    • ハンガリー外務省が発行した外交会議への招待状。
    • 10年以上の懲役刑を宣告された2人の中国人人権弁護士に関する記事。
  • CheckPointの記事にIoCなどの詳細情報が載っていますので参考にしてください。
タイトルとURLをコピーしました