2024Q3 サイバー攻撃関連

ここでは実際に2024Q3に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2023Q4サイバー攻撃関連トピックはこちら

2024Q2 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2024Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報はこちら

2023Q3 マルウェア・ランサムウェア情報はこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2024/09/28

Storm-0501がハイブリッド クラウド環境をターゲットに

• Microsoftのブログより
• Microsoftの調査によると、Storm-0501としてMicrosoftがトラッキングしているランサムウェア攻撃グループがハイブリッドクラウド環境に攻撃を拡大しているようです。
• こちらも別途ブログにまとめたいと思います。

2024/09/27

KIAのディーラーポータルに脆弱性が見つかる。車両のナンバープレートを使って、2013年以降に製造された数百万台の自動車を盗難可能

• bleepingcomputerより
• セキュリティ研究者は 、2024年6月11日に発見された起亜自動車ウェブポータルの脆弱性の悪用により「アクティブなKIAコネクトサブスクリプションの有無に関係なく」リモートハードウェアを搭載したKIA自動車を30秒以内に制御できる可能性があることを明らかにしたそうです。

2024/09/26

CISAのアラート。脅威アクターが洗練されていない手法で OT/ICS を攻撃している模様

• CISAのアラートより
• 脅威アクターは洗練されていない手段で OT/ICS を悪用し続けているとの事です。
• CISAはこちらにあるPDF(親ロシア・ハクティビストの攻撃からOTを守る)の推奨を元にこの攻撃から防御するように呼びかけています。

AutoCanadaがランサムウェア攻撃に。従業員のデータが漏洩した可能性があるとのこと

• bleepingcomputerより
• カナダの自動車ディーラー「AutoCanada」がランサムウェア攻撃に遭い、従業員のデータが漏洩した可能性があるとのことです。
• 攻撃者は「Hunters International」ランサムウェアグループとのことです。

2024/09/25

カンザスウォータープラントがサイバー攻撃に遭う

• bleepingcomputerより
• カンザス州カウリー郡の小都市アーカンソーシティは、日曜日の朝に検知されたサイバー攻撃を阻止するため、週末に水処理施設を手動運転に切り替えることを余儀なくされたとのことです。

標的型攻撃に生成AIを利用したマルウェアが使用される

• HP Wolf Securityより
• HP Wolf Securityの四半期レポートによると、生成AIで作成されたマルウェアが幾つか確認されている模様です。

国際ネットワーク送金の大手マネーグラムがサイバー攻撃に遭う

• bleepingcomputerより
• 送金大手マネーグラムは金曜日以降、システム障害やサービス不足に関する顧客からの苦情に対応した後にサイバー攻撃を受けたことを認めたそうです。

2024/09/24

Telegramは今後、法執行機関の要請があった場合には電話番号・IPアドレスなどの情報を法執行機関と共有

• bleepingcomputerより
• Telegramが法執行機関の要請により、ユーザがプラットフォームの規則に違反している場合にはIPアドレスや電話番号などを法執行機関と共有するようになるそうです。
• ユーザーがプラットフォームの利用規約に違反した刑事事件の容疑者であることを確認する有効な裁判所命令を受け取った後にのみ、そのような要求に従うことになるとの事です。以前はテロ容疑者が関与していた場合にのみ共有が行われていた模様。

漏洩した Kryptina コードに基づく新しいLinux用の Mallox 亜種

• bleepingcomuterより
• Mallox ランサムウェアグループのアフィリエイト (TargetCompany としても知られる) が、Kryptina ランサムウェアをわずかに修正したバージョンを使用して Linux システムを攻撃していることが発見されました。
• SentinelLabs によると、このバージョンは、トレンドマイクロの研究者によって昨年 6 月に報告されたものなど、Linux をターゲットとする他の Mallox 亜種とは別のものであるとのことです。

Androidマルウェア「Necro」の新バージョン。1,100万台のデバイスに感染の模様　

• bleepingcomputerより
• Android 用 Necro マルウェア ローダーの新バージョンが、悪意のある SDK サプライ チェーン攻撃により、Google Play を通じて 1,100 万台のデバイスにインストールされている模様です。

2024/09/22

ディズニー、7月の大規模データ侵害を受けてSlackを廃止

• CNBCのニュースより
• ディズニーが、7月のデータ侵害を受けてSlackを廃止する模様です。CNBCが入手したディズニーの最高財務責任者ヒュー・ジョンストン氏のメモによると、ディズニーの事業部門のほとんどは、ディズニーの次の会計四半期末までにSlackの利用から撤退する予定だという事です。

DELLから情報漏えい。一部盗まれた従業員のデータがダークウェブで公開される

• bleepingcomputerより
• Dellは、脅威アクターが 10,000 人以上の従業員のデータを漏洩したことでデータ侵害が発生したという最近の主張を調査していることを認めた模様です。
• セキュリティチームが現在調査中とのことです。

2024/09/20

Operation Kaerb

• Group-IBのサイトより
• Operation Kaerbというサービスとしてのフィッシング プラットフォーム iServer の首謀者の逮捕が行われた模様です。
• こちらも別記事で纏めます。

GreyNoise が新たなインターネット ノイズの嵐を明らかに: 秘密のメッセージと中国とのつながり

• GreyNoiseのブログ
• GreyNoise Intelligence は2020年1月以来、「ノイズ ストーム」として知られる、なりすましトラフィックの大規模な波を追跡しているそうです。こちらに関するレポートが出ています。
• これもどこかでまとめる予定です（まとめるものが溜まってきた・・）

GitHubでマルウェアプッシュのキャンペーン。「github-scanner.com」。

• bleepingcomputerより
• GitHubでマルウェアプッシュのキャンペーンとのこと。bleepingcomputerに画像も載っていますので気をつけましょう。

2024/09/19

ユーロポールが”Ghost”暗号化メッセージプラットフォームを摘発

• bleepingcomputerより
• ユーロポールと9カ国の法執行機関は、麻薬密売やマネーロンダリングなどの組織犯罪に利用されていた「ゴースト」と呼ばれる暗号化通信プラットフォームの解体に成功しました。
• Ghost は、高度なセキュリティと匿名化機能を備え、暗号通貨によるサブスクリプションの購入を可能にし、3 つの暗号化層と、送信者と受信者のデバイスから証拠を消去するメッセージ自己破壊システムを備えていました。
• プレスリリースはこちらになります。

2024/09/18

RansomwareギャングがMicrosoft Azureツールをデータ盗難に使用

• bleepingcomputerより
• BianLian や Rhysida などのランサムウェア ギャングは、Microsoft の Azure Storage Explorer や AzCopy を使用して、侵害されたネットワークからデータを盗み、Azure Blob Storage に保存することが増えているそうです。
• 検知・対応する側としては頭の痛い状態ですね。

CISA＋FBIがWebアプリケーションからXSS脆弱性をセキュアバイ・デザインの形で取り除くように注意喚起

• CISAのサイトより
• CISA と FBI がクロスサイト スクリプティングの脆弱性の排除に関する Secure by Design アラートをリリースしています。
• CISA/FBIのアラートはこちらになります。

2024/09/15

FBIとCISAが誤情報（フェイクニュース）に惑わされないように呼びかけ

• FBI/CISAの発表より
• 連邦捜査局（FBI）とサイバーセキュリティ・インフラセキュリティ庁（CISA）は、米国の有権者登録データがサイバー攻撃で侵害されたという誤った主張について国民に警告しています。
• 両機関は、悪意のある者が国民の「世論」を操作し、米国の民主制度に対する信頼を損なう目的で偽情報を拡散していると指摘しています。

Port of SeattleがRhysidaランサムウェアグループにより攻撃された模様

• bleepingcomputerより
• シアトルの港と空港を監督する米国政府機関シアトル港は9/13に、過去3週間にシステムに影響を与えたサイバー攻撃の背後にはRhysidaランサムウェアグループによる攻撃があったことを認めたとの事です。

WebLogicを標的とするマルウェア「Hadooken」

• AquaBlogより
• Weblogicを標的とするマルウェア「Hadooken（波動拳）」が見つかった模様です。アタックフローなども載っているので参考にしてください。

Fortinetがデータ漏洩を認める。攻撃者は440GBのデータを盗んだと主張。

• bleepingcomputerより
• Fortinetのブログはこちら
• FortinetがMicrosoft Sharepointサーバからデータ流出した模様です。このインシデントが影響した顧客ベースは0.3%未満であり、顧客を標的とした悪意のある活動には至っていない模様。
• “Fortibitch”と名乗る攻撃者が440GBを盗んだとしてダークウェブ上で情報が出回っている模様です。

PIXHELL攻撃により攻撃者がLCDスクリーンのノイズから情報を盗み出す

• bleepingcomputerより
• 実際の攻撃動画へのリンクがこちらにあります。

RansomHubランサムウェアがTDSSKillerを使用してEDRを停止させる

• Bleepingcomputerより
• ,RansomHub ランサムウェア ギャングは、Kaspersky の正規ツールである TDSSKiller を使用して、ターゲット システム上のエンドポイント検出と応答 (EDR) サービスを無効にし、LaZagneを用いて保存されている認証情報を盗み出そうと試みていることが観測されているようです。

NoNameランサムウェアギャングがRansomHubマルウェアを攻撃に使用

• bleepingcomputerより
• NoName ランサムウェア ギャングは、3 年以上にわたり暗号化ツールを使用して世界中の中小企業をターゲットにして評判を築こうとしており、現在は RansomHub のアフィリエイトとして活動している可能性があります。 このギャングは、Spacecolon マルウェア ファミリとして知られるカスタム ツールを使用し、ブルート フォース手法でネットワークにアクセスしたり、EternalBlue (CVE-2017-0144) や ZeroLogon (CVE-2020-1472) などの古い脆弱性を悪用したりして、それらを展開します。
• RansomHubに関してはこちらを参照してみてください。

2024/09/10

レンタカー事業者のAVISが情報漏えい

• bleepingcomputerより
• アメリカのレンタカー大手AVISが、8月に未知の攻撃者が同社のビジネスアプリケーションの1つに侵入し、個人情報の一部を盗んだことを顧客に通知したそうです。 メイン州司法長官への別の提出書類 によると、この侵害で299,006人の情報が漏洩した模様です。

2024/09/05

Revival Hijackサプライチェーン攻撃により22,000 個の PyPI パッケージが脅かされる

• bleepingcomputerより
• 「Revival Hijack」は、PyPI プラットフォームから削除されたパッケージの名前で新しいプロジェクトを登録する攻撃です。これにより攻撃者は悪意の有るコードをアップデートに見せかけて開発者にプッシュすることが出来ます。
• なかなか（変な話ですが）攻撃者も頭が良いなーと思います。

Halliburtonがサイバー攻撃被害を認める

• bleepingcomputerより
• 石油・ガス大手のHalliburtonが、証券取引委員会（SEC）への提出文書の中で、ランサムウェア集団「RansomHub」に関連した最近の攻撃でデータが盗まれたことを認めている模様です。
• RansomHubに関しては別サイトの記事で纏めていますので公開したらリンクを貼ろうと思います。

Transport for London(ロンドン交通局)がサイバー攻撃に

• bleepingcomputerより
• ロンドン交通局でサイバー攻撃インシデントが発生している模様です。
• こちらにTfLからの情報が出ています。
• 2024/09/15追記：UKで本件に絡んでティーンエイジャーが逮捕された模様です。

2024/09/02

RansomHub ランサムウェアグループのアドバイザリ

• CISA+FBIのサイトより
• CISA+FBIの「Stopランサムウェア」でRansomHubランサムウェアグループのアドバイザリが出ています。
• 後ほど、別記事でまとめる予定です。

2024/08/29

BlackSuitランサムウェアグループ、Young Consultingをデータ侵害。95万件以上のデータを搾取

• bleepingcomputerより
• Young Consulting (雇用主のストップロス市場に特化したアトランタに本拠を置くソフトウェア ソリューション プロバイダーであり、保険会社、ブローカー、サードパーティの管理者によるストップロス保険契約の管理、マーケティング、引受、管理を支援)は、2024/04/10に BlackSuit ランサムウェア攻撃で情報が漏洩した 954,177 人にデータ侵害通知を送っているとの事です。
• 氏名、社会保障番号 (SSN)、生年月日、保険請求情報などの情報が漏洩しているとのこと。

2024/08/27

シアトル-タコマ空港のITシステムがサイバー攻撃によりダウン

• bleepingcomputerより
• シアトル・タコマ国際空港が8/24にサイバー攻撃によりシステムダウンした模様です。
• 現時点では攻撃者グループに関する情報は出ていません。

2024/08/26

Linuxマルウェア「sedexp」が二年間検出を回避

• bleepingcomputerより
• 「sedexp」という名前のステルス Linux マルウェアは、MITRE ATT&CK フレームワークにまだ含まれていない永続化技術を使用することで、2022 年以来検出を回避しています。
• このマルウェアは、Aon Insurance 傘下のリスク管理会社 Stroz Friedberg によって発見され、オペレーターがリモート アクセス用のリバース シェルを作成して攻撃をさらに進めることができるようになります。

USの大手石油企業Halliburtonがサイバー攻撃に遭う

• bleepingcomputerより
• 世界最大手のUS　Halliburton社は、今週初めに自社システムの一部を停止させる原因となったサイバー攻撃を認めたそうです。
• こちらに詳しい情報があります。

QilinランサムウェアがGoogle Chromeに格納されている認証情報を盗み出していることが発見される

• Sophosのブログより
• ソフォスの X-Ops チームはGoogle Chromeに格納されている認証情報がQilinランサムウェアグループによって盗み出されていることを確認しました。
• Qilinランサムウェアグループのネットワークへの最初のアクセスからその後の移動までの攻撃者の滞在時間は 18 日間です。
• 細かい手法はSophosのブログに有りますので参照してください。興味深い内容ですので、どこかでまとめるかもしれません。

2024/08/22

Cannon Desing Corp. が2023年のデータ流出を認める

• bleepingcomputerより
• CannonDesignが2023年初旬にAvos Locker ランサムウェアグループによる攻撃を受けたことを認めています。

TOYOTAがサードパーティによるデータ流出

• bleepingcomputerより
• TOYOTAアメリカ支社がサードパーティから240GBのデータ流出があったことを認めています。

2024/08/19

National Public Dataがデータ侵害。社会保障番号が漏洩

• bleepingcomputerより
• National Public Dataが2024年4月と夏頃に特定のデータが漏洩したと発表しています。
• 漏洩は4月にUSDoDを名乗る攻撃者が、NPDから盗んだとされる29億件の記録を350万ドルで売却すると持ちかけたことから判明したとされています。

2024/08/13

FBIがRadar/Dispossessorランサムウェアグループを摘発。インフラを差し押さえる

• bleepingcomputerより
• FBIは8/12に、国際共同捜査の結果Radar/DispossessorランサムウェアオペレーションのサーバーとWebサイトを押収したと発表しました。

Xコンテンツの偽情報。ウクライナ戦争や日本の地震を囮に使っている。

• X ユーザーの「 Slava Bonkus 」と「 Cyber​​ TM 」が追跡しているように、詐欺師たちは現在、ウクライナ軍のクルスク侵攻に関するセンセーショナルな情報や、日本の南海トラフ地震に関する警告を含むふりをした投稿を作成し始めています。

米国の27億件の個人情報がハッカーフォーラムに漏洩

• bleepingcomputerより
• 米国人の約 27 億件の個人情報記録がハッキング フォーラムで漏洩し、名前、社会保障番号、すべての既知の住所、および可能性のある別名が暴露されました。
• このデータは、身元調査、犯罪記録の取得、私立探偵に使用する個人データへのアクセスを収集および販売する会社、National Public Data からのものであるとされています。
• 本件は話が大きくなりそうですので別記事で纏めます。

2024/08/09

Cisco SSMのバグを狙ったエクスプロイトが流通。管理者パスワードの変更が可能に

• bleepingcomputerより
• シスコは、パッチが適用されていない Cisco Smart Software Manager On-Prem（Cisco SSM On-Prem）ライセンス サーバ上のユーザ パスワードを攻撃者が変更できる最大重大度の脆弱性に対するエクスプロイト コードが利用可能になったことを警告しています。
• 脆弱性に関してのPSIRTからの情報はこちらになります。

BlackSuitランサムウェアグループ（Royal）に関してのFBI/CISAのアドバイザリが更新

• CISAのサイトより
• 8/7にCISA は連邦捜査局 (FBI) と協力して、共同サイバーセキュリティ勧告 #StopRansomware: Royal Ransomware、 #StopRansomware: BlackSuit (Royal) Ransomware の更新をリリースしました。KADOKAWAを襲ったとされているランサムウェアグループです。
• BlackSuitランサムウェアグループに関してはこちらに纏めています。こっちも更新が必要ですね。

CMOON　USBワームがロシアを標的に

• bleepingcomputerより
• CMOONというUSBワームがロシアを標的にしているとの事です。
• 画像も相まって、あの「C-MOON」にしか見えません（笑）

2024/08/08

INCランサムウェアグループが米国マクラーレンヘルスケア病院を攻撃

• bleepingcomputerより
• 2024/08/06にINCランサムウェアグループによる攻撃を受けて米国のマクラーレンヘルスケア病院のITシステムがストップしたとのことです。
• INC Ransomは、2023年7月に浮上したランサムウェア・アズ・ア・サービス（RaaS）オペレーションであり、それ以来、公共部門と民間部門の両方の組織をターゲットにしています。

2024/08/07

フランスのグラン・パレがオリンピック中のサイバー攻撃を開示

• bleepingcomputerより
• フランスのGrand Palais Réunion des musées nationaux（Rmn）は、2024年8月3日土曜日の夜にサイバー攻撃を受けたと警告しています。 Grand Palais Rmnは、フランスのいくつかの博物館や文化遺産の管理を担当する機関です。展覧会、文化プログラム、運営など、博物館の運営のさまざまな側面を監督しています。 研究所自体はパリの史跡であり、展示ホールであり、現在、フェンシングやテコンドー競技など、オリンピックの一部である主要な美術展や文化イベントを開催しています。

Hunters Internationalランサムウェアグループが、新しいSharpRhinoマルウェアでITワーカーを標的に

• bleepingcomputerより
• Hunters Internationalランサムウェアグループは、SharpRhinoと呼ばれる新しいC#リモートアクセストロイの木馬（RAT）でITワーカーをターゲットにし、企業ネットワークを侵害しています。 このマルウェアは、ハンターズインターナショナルが最初の感染を達成し、侵害されたシステムの特権を高め、PowerShellコマンドを実行し、最終的にランサムウェアペイロードを展開するのに役立ちます。
• 詳しい情報がQuorumCyberのサイトに載っていますので参考にしましょう。

電子製造サービスプロバイダーのKeytronicが、5月のランサムウェア攻撃の損害を明らかに

• bleepingcomputerより
• 電子製造サービスプロバイダーのKeytronicは、5月のランサムウェア攻撃により1700万ドル以上の損失を被ったことを明らかにしました。

Magniberランサムウェア攻撃の急増は、世界中のホームユーザーに影響を与える

• bleepingcomputerより
• 大規模なMagniberランサムウェアキャンペーンが進行中であり、世界中のホームユーザーのデバイスを暗号化し、復号するために1000ドルの身代金が要求されている模様です。

Linux KernelへのSLUBStick攻撃

• Usenixの論文より
• SLUBStickというLinux Kernelへの新たな攻撃手段が出た模様です。
• こちらは別記事で紹介します。

Facebookの偽AI広告がパスワードを盗むマルウェアをプッシュ

• bleepingcomputerより
• TrendMicroが、脅威アクターがソーシャルメディアページをハイジャックし、人気のあるAIフォトエディタを模倣するように名前を変更し、偽のウェブサイトへの悪意のあるリンクを投稿するマルバタイジングキャンペーンを発見したとのことです。
  

悪意のあるPyPiパッケージがStackExchangeオンラインQAで宣伝される

• bleepingcomputerより
• 脅威アクターは、悪意のあるPythonパッケージをPyPIリポジトリにアップロードし、StackExchangeオンラインQAプラットフォームを利用して宣伝を行いました。

攻撃者がTryCloudflareを用いてRATを配布

• bleepingcomputerより
• 研究者は、通常リモートアクセストロイの木馬(RAT)を提供するマルウェアキャンペーンで、Cloudflare Tunnelサービスをますます悪用している脅威アクターに警告しています.

Sitting Ducks攻撃により35,000以上のドメインがハイジャックされる

• bleepingcomputerより
• 脅威アクターは、いわゆるSitting Ducks攻撃でDNSプロバイダーまたはレジストラで所有者のアカウントにアクセスせずにドメインを主張することができます。
• InfobloxとEclypsiumは、2018年と2019年以来、Sitting Ducks（またはDucks Now Sitting – DNS）攻撃ベクトルを悪用する複数の脅威アクターを観察したと報告しています。
• 攻撃の概要はこちらにありますので、別記事で纏めると思います。

製薬大手のCencoraが２月に盗まれた患者の健康データを確認

• bleepingcomputerより
• 製薬大手のCencoraが、患者の保護された健康情報と個人を特定できる情報(PII)が2月のサイバー攻撃で暴露されたことを確認したとのことです。

FBIが暗号交換所の従業員を装った詐欺師について警告

• FBIのアラートより
• FBIが、資金を盗むために暗号通貨取引所の従業員になりすます詐欺師に警告しています。

脅威アクターが Authenticator の偽広告を介して Google になりすます

• MalwareByteの記事より
• Google Authenticatorの偽広告が出回っているようです。こちらは個別に注意喚起したいですね。

詐欺組織がFacebook広告経由で 600 以上の偽ウェブショップをプッシュ

• bleepingcomputerより
• 「ERIAKOS」と名付けられた悪質な詐欺キャンペーンにより、Facebook 広告を通じて 600 以上の偽 Web ショップが宣伝され、訪問者の個人情報や財務情報が盗まれている模様です。
• 詳しくはRecorededFutureのブログを確認したほうが良いでしょう。こちらも、別のサイトでブログ記事にする予定です。

Dark Angelsランサムウェアグループに7,500万ドルの身代金が支払われる。

• bleepingcomputerより
• ZscalerのPDFはこちら
• Zscaler ThreatLabzのレポートによると、フォーチュン50企業がランサムウェアグループ「Dark Angels」に対し、7,500万ドルという記録的な身代金を支払ったという話です。
• こちらもどこかでレポートにしたいですね。

2024/07/30

ProofPointの設定ミスを狙った「EchoSpoofing」がSPAM送信に使用されている

• labs.guard.ioより
• Proofpointの電子メール保護を利用して、何百万もの完全に偽装された電子メールを送信する大規模なフィッシングキャンペーン「EchoSpoofing」が行われている模様です。
• こちらも別記事で取り上げようと思います。

Acronis、サイバーインフラストラクチャのデフォルトパスワードが攻撃で悪用されたと警告

• Acronisのセキュリティアドバイザリより
• Acronis Infrastructureですが、デフォルトのパスワードの使用によるリモートコマンドの実行という脆弱性（CVE-2023-45249）があった模様です。

ロシア語を話す脅威アクターがランサムウェア収益の69%を占める

• bleepingcomputerより
• TRM Labsの研究によると、ロシア語を話す脅威アクターは、前年を通じてランサムウェアにリンクされたすべての暗号収益の少なくとも69%を占め、5000万ドルを超えた模様です。
• また、北朝鮮は2023年に10億ドル以上を盗んでいる様です。

2024/07/26

ServiceNowの脆弱性が既に悪用されているらしい

• bleepingcomputerより
• ServiceNow は、今月初めに CVE-2024-4879 、 CVE-2024-5178 、および CVE-2024-5217 の個別の情報で 3 つの脆弱性すべてに対する修正を公開しました。
• これらの脆弱性が既に悪用されている模様です。
• Resecurityの方でレポートが上がっています。

2024/07/25

3,000 を超える GitHub アカウントがマルウェア配布サービスで使用される

• bleepingcomputerより
• 「スターゲイザー ゴブリン」として知られる攻撃者が、GitHub 上の 3,000 を超える偽アカウントにより、情報を盗むマルウェアをプッシュするマルウェア Distribution-as-a-Service (DaaS) を作成していたとの事です。
• このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害された WordPress サイトを利用して、マルウェアを含むパスワードで保護されたアーカイブを配布します。 ほとんどの場合、マルウェアは、RedLine、Lumma Stealer、Rhadamanthys、RisePro、Atlantida Stealer などの情報窃盗プログラムです。

CrowdStrikeの修正マニュアルと称した情報窃取マルウェア「Daolpu Stealer」がばら撒かれる

• bleepingcomputerより
• CrowdStrikeとWindowsの問題が先週世間を賑わせましたが、こちらの修正マニュアルと称してマルウェア（情報窃取型）「Daolpu Stealer」がばら撒かれている模様です。
• Daolpu Stealerは、「New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows」という名前の Microsoft リカバリ マニュアルを装った添付文書を運ぶフィッシングメールを通じて拡散すると考えられています。

ギリシャの土地登記局が400件のサイバー攻撃で侵害される

• bleepingcomputerより
• ギリシャの土地登記局が、同国のITインフラを狙った400件のサイバー攻撃の波を受け、限定的な範囲のデータ侵害を受けたと発表しました。
• 同庁によると、ハッカーは従業員の端末を侵害し、政府機関が保有する全データのおよそ0.0006％に相当する1.2GBのデータを盗むことに成功したという事です。個人情報は含まれていなかった模様です。
• 元の情報はこちらになります。

VMWare ESXiを標的にしたPlayランサムウェアの亜種が確認される

• TrendMicroのブログより
• VMWare ESXiを標的にした新たなPlayランサムウェアの亜種が確認された模様です。
• TrendMicroの調査によると、ランサムウェアペイロードやツールのホストアドレスなどからProlific Puma という名前の別の脅威アクターに関連していることがわかった模様です。
• こちらも別記事でまとめるかもしれません。

DDoS レンタルサービス 「DigitalStress」が摘発

• bleepingcomputerより
• DDoS レンタルサービス DigitalStress が、英国国家犯罪庁 (NCA) 主導の共同法執行作戦により 7 月 2 日に閉鎖されました。
• NCAのブログはこちらになります。
• こちらは別記事で纏めようと思います。

2024/07/22

ロシア人2名がLockBitランサムウェア攻撃への関与を認める

• bleepingcomputerより
• ロシア国籍のRuslan Magomedovich Astamirov氏(別名BETTERPAY、offtitan、Eastfarmer)とカナダ/ロシア国籍のMikhail Vasiliev氏((別名 Ghostrider、Free、Digitalocean90、Digitalocean99、Digitalwaters99、Newwave110)がLockBitランサムウェア攻撃に関わっていたことを認めたようです。

MediSecureが4月の攻撃で1290万人の個人情報が盗まれたことを明らかに

• bleepingcomputerより
• オーストラリアの処方箋配達サービスプロバイダーであるMediSecureが、4月のンサムウェア攻撃で約1,290万人の個人情報と健康情報が盗まれたことを明らかにしました。
• MediSecureは調査中に、攻撃者が6.5TBのデータを盗んだことを発見しました。その後、データはサーバーのバックアップから復元されたそうです。

2024/07/19

Trelloユーザの1500万のメールアカウントが流出

• bleepingcomputerより
• Trello アカウントに関連付けられた 1,500 万のメールアカウントがハッキングフォーラムで流出している模様です。
• emoという攻撃者がTrello REST APIの不具合を通じて集めたもののようです。

2024/07/12

CRYSTALRAYハッカーがSSH-Snakeツールを使用して1,500件のシステムに侵入

• bleepingcomputerより
• Sysdigの調査によると、CRYSTALRAY として知られる新たな脅威アクターが、SSH-SnakeというOSSを使用して1,500以上のシステムで認証情報を盗んでいるようです。

ダラス郡で2023年のランサムウェア攻撃により20万人のデータが流出

• bleepingcomputerより
• ダラス郡は、2023年10月に発生したPlayランサムウェア攻撃により個人データがサイバー犯罪者にさらされたことを20万人以上に通知しているそうです。

2024/07/10

富士通からマルウェア感染の件のプレスリリースが出ています

• 富士通のプレスリリースはこちら
• 「複製が可能であったファイルには一部の方の個人情報やお客様の業務に関連する情報が含まれており、それらの対象となるお客様には個別にご報告を行い、必要な対応を進めております。なお、現時点で個人情報やお客様の業務に関連する情報が悪用されたという報告は受けておりません。」とのことですので、対象となった顧客には個別の連絡が来るようです。またこのようなインシデントの際には便乗したフィッシングなどが行われる可能性がありますので、充分に気をつけてください。

2024/07/09

Shopifyがデータ侵害を否定。盗まれたデータをサードパーティのアプリにリンク

• bleepingcomputerより
• Shopifyのデータとされるものが脅威アクター「888」により売りに出されていた問題で「Shopifyのシステムではセキュリティインシデントは発生していない」とShopifyはBleepingComputerに語っています。
• 「報告されたデータ損失はサードパーティのアプリによって発生しました。アプリ開発者は影響を受けた顧客に通知する予定です。」との事です。

2024/07/06

CloudFlareが06/27のインシデント（BGPハイジャッキング）に関するレポートを公開

• Cloudflareのブログより
• CloudFlareが2024/06/27のBGPハイジャッキングに関するレポートを出しています。
• 後日、どこかでまとめる予定です。

Eldorado RaaSがVMWare ESXi / Windowsを対象に活動

• Group-IBの記事より
• Group-IBの調査によると、2024年3月、ランサムウェアフォーラム「RAMP」に新たなアフィリエイトプログラムの広告がEldorado RaaSにより掲載されたそうです。
• Eldorado は、Windows 用と Linux 用の 2 つのバージョンのマルウェアを保有しています。 ただし、この開発は独自のもので、以前に公開されたビルダーのソースには依存していない模様です。

2024/07/04

TwilloのAuthyが攻撃され、アップデートが必要に

• twilloのサイトより
• Twilloが、脅威アクターがセキュリティで保護されていないエンドポイントを用いて電話番号を盗み出していたことを特定できた様です。
• 予防措置として、すべての Authy ユーザーに対し、アプリを最新のバージョンにアップデートするようお願いしているとの事です。
• また、電話番号が漏れていた可能性が否定できないので、電話番号をフィッシング攻撃やスミッシング攻撃に使用される可能性があるため気をつけてほしい、との事です。

F1のFIA（国際自動車連盟）がフィッシング攻撃により個人データ侵害

• bleepingcomputerより
• FIA（国際自動車連盟）が、攻撃者がフィッシング攻撃で複数のFIA電子メールアカウントを侵害し、個人データにアクセスしたと発表したそうです。
• FIAの声明はこちらです。

Infostealer ログを使用して CSAM（児童性的虐待資料） コンシューマーを見つける

• RecordedFutureのブログより
• RecordedFutureが児童性的虐待資料 (CSAM) の消費者を特定するために、インフォスティーラー マルウェア データを分析したところ、3,300人のユーザが見つかったそうです。
• なるほど、こういう使い方もあったかーと思う反面、日本だと難しい問題になりそうだなと感じます。

ユーロポールが犯罪に使用されていた593のCobaltStrikeサーバを差し押さえる

• bleepingcomputerより
• ユーロポールが犯罪に使用されていた593のCobaltStrikeサーバをTakeDown(差し押さえ)したそうです。

2024/07/03

プルデンシャル銀行で250万人の個人情報漏洩の可能性

• bleepingcomputerより
• プルデンシャル・ファイナンシャルは、2月のデータ侵害で250万人以上の個人情報が侵害されたことを明らかにしたとのことです。
• ALPHV/Blackcatランサムウェアグループが２月に犯行声明を出している様です。

2024/07/02

ルーターメーカーのMerckuのヘルプデスクポータルがMetaMaskフィッシングメールを送信

• bleepingcomputerより
• カナダのルーター メーカーである Merckuのヘルプデスクポータルがフィッシングメールを送信していた模様です。
• 詳しい情報はbleepingcomputerの記事に載っています。

2024/07/01

偽のITサポートページがマルウェアに感染させる

• eSentireのブログより
• eSentire の 脅威対応ユニット (TRU) が、偽の IT サポート Web サイトを通じて「Vidar Stealer」に感染させる事例を公開しています。

Infosys McCamish Systems(IMS)がLockbitによるデータ侵害に遭う

• bleepingcomputerより
• Infosys McCamish Systems (IMS) は、今年初めにLockBitランサムウェアによる攻撃を受け、600 万人を超える個人情報が影響を受けたと明らかにしました。IMSはバンク・オブ・アメリカや金融業界を顧客にするコンサルティング会社です。