2023Q2 サイバー攻撃関連

2023.04.11

ここでは実際に2023Q2に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

2023Q1サイバー攻撃関連トピックはこちら

2022Q4サイバー攻撃関連トピックはこちら

2023/06/27

UPSがデータ侵害を公表。SMSフィッシングで顧客情報が使用される

  • bleepingcomputerより
  • UPS(有名な運送会社)が、自社のオンライン荷物検索ツールを介して顧客情報が流出し、SMSフィッシングに使用された可能性があると公表しました。
  • 同社は受信者の名前とアドレス情報を含む SMS フィッシング メッセージの報告を受けているとの情報があります。
  • 過去にUPSを使用したことのある方はフィッシング詐欺に気をつけましょう。

2023/06/21

攻撃者がLinux SSHサーバをブルートフォースアタックで攻撃しTsunamiマルウェアに感染させる

  • bleepingcomputerより
  • Linux SSHサーバにブルートフォースアタック攻撃が盛んに行われているようです。
  • Tsunamiマルウェアに感染させる目的の様です。
  • 最終的にはマイニングが目的とのこと。
  • 詳しくはbleepingcomputerを参考にしてください

MOVEit侵害で何百万ものオレゴン州とルイジアナ州のIDが盗まれる

bleepingcomputerより

ルイジアナ州とオレゴン州は、Clopランサムウェア集団が MOVEit Transfer セキュリティ ファイル転送システムをハッキングして保存されているデータを盗んだ結果、何百万もの運転免許証がデータ侵害で流出したと警告しているそうです。

US政府がClopランサムウェアグループに10億円の賞金を掛けたという話も入っています

2023/06/06

MicrosoftがMOVEIt脆弱性を悪用した攻撃とClopランサムウェアグループの繋がりを指摘

2023/06/01

トヨタが更に26万人分の顧客情報漏えい

  • ITメディアより
  • 以下引用です。『トヨタ自動車は5月31日、子会社のトヨタコネクティッドに管理を委託していた国内約26万人分の顧客情報が、外部からアクセスできる状態になっていたと発表した。海外でも顧客の住所や氏名、電話番号、メールアドレスなどが外部へ公開状態になっていた。第三者による悪用などの被害は確認されていないという。』
  • しばらくトヨタや関連企業の動向が気になる所です。

2023/05/31

ABBがランサムウェア攻撃の影響を認める

  • bleepingcomputerより
  • スイスのハイテク多国籍企業と米国政府の請負業者である ABB は、同社の一部のシステムがランサムウェア攻撃の影響を受けたことを認めました。
  • 「ABBは、不正な第三者が特定のABBシステムにアクセスし、自己増殖しない一種のランサムウェアを展開し、特定のデータを流出させたと判断した」と同社はプレスリリースで述べています。

兵器メーカーのRheinmetalがBlackBastaランサムウェアによる攻撃を受ける

  • bleepingcomputerより
  • ドイツの兵器メーカーであるRheinmetalがBlackBastaランサムウェアによる攻撃をうけたようです。
  • 2023年5月20日土曜日、BlackBastaは、盗んだデータのサンプルを載せてラインメタルを恐喝サイトに掲載しました。
  • 公開されたデータ サンプルには、機密保持契約、技術図、パスポート スキャン、注文書が含まれます。
  • Rheinmetalははウクライナへの援助において重要な役割を担っており、ウクライナの国有戦車メーカーとの関係を強化しています。

CapCutの偽サイトがマルウェアをばらまく

  • bleepingcomputerより
  • Cybleの調査によると、CapCut(動画編集ソフト)のインストーラーを装ったマルウェアを配布する Web サイトが見つかったようです。
  • 偽のサイトは以下になります。
    • capcut-freedownload[.]com
    • capcutfreedownload[.]com
    • capcut-editor-video[.]com
    • capcutdownload[.]com
    • capcutpc-download[.]com

CISAがSamsungデバイスのASLR保護バイパス脆弱性(CVE-2023-21492)を悪用した攻撃を警告

  • bleepingcomputerより
  • CISA が、Android アドレス空間レイアウトのランダム化 (ASLR) 保護をバイパスする攻撃に使用される Samsung デバイスに影響を与えるセキュリティ上の脆弱性について警告しました。 ASLR は、主要なアプリと OS コンポーネントがデバイスのメモリに読み込まれるメモリ アドレスをランダム化する Android セキュリティ機能です。
  • この欠陥 ( CVE-2023-21492 ) は、Android 11、12、および 13 を実行している Samsung モバイル デバイスに影響を及ぼし、ログ ファイルに機密情報が挿入されることが原因です。
  • CISAのアラートはこちらになります。

Dishネットワークがランサムウェア攻撃による被害を受け身代金を支払った可能性

  • bleepingcomputerより
  • アメリカのテレビプロバイダーであるDishネットワークは、2月にランサムウェア攻撃を受けた後、身代金を支払った可能性が高いとされています。
  • なお、このインシデントでは顧客データは影響を受けていないとの事です。

UNC3944がSIMスワッピング攻撃を利用してMicrosoft Azure管理者アカウントをハイジャック。シリアルコンソールを悪用。

  • bleepingcomputerより
  • Mandiantのレポートはこちら
  • Mandiant によって「UNC3944」として追跡されている金銭目的のサイバーギャングが、フィッシング攻撃と SIM スワッピング攻撃を利用して Microsoft Azure 管理者アカウントをハイジャックし、仮想マシンへのアクセスを取得しています。
  • 攻撃者は Azure シリアル コンソールを悪用して永続化のためにリモート管理ソフトウェアをインストールし、ステルス監視のために Azure Extensions を悪用します。
  • Mandiant の報告によると、UNC3944 は少なくとも 2022 年 5 月から活動しており、そのキャンペーンは Microsoft のクラウド コンピューティング サービスを使用して被害組織からデータを盗むことを目的としています。

重要インフラへの攻撃でロシアのランサムウェアアフィリエイトが起訴される

  • bleepingcomputerより
  • 米国司法省は、米国全土の被害者を標的にした3件のランサムウェア作戦に関与したとして、ミハイル・パブロビッチ・マトヴェーエフ(ワザワカ、ウホディランサムワール、m1x、ボリセルシンとしても知られる)という名前のロシア人を起訴したそうです。
  • マトヴェーエフ氏とロシア関連のランサムウェア亜種 (Hive、LockBit、Babak など) との関連は、世界的な影響と多大な経済的損失のため、法執行機関の注目を集めています。
  • FBI特別捜査官ジェームズ・E・デネヒー氏は「マトヴェーエフは関連会社として複数のランサムウェア亜種を担当しており、米国企業や重要インフラを積極的に標的にしている」と述べています。
  • therecordにインタビュー記事があり、なかなかおもしろいです。「すべてのランサムウェア グループが突然サイバー セキュリティの専門家になり、現在サイバー セキュリティの専門家となっている人々がネットワークへの侵入テストを始めれば、ランサムウェアは終わるでしょう。」とは、なかなか良い指摘だと思います。

フィラデルフィア・インクワイアラー(新聞)の業務がサイバー攻撃で中断

2023/05/15

CapitaがBlack Bastaの被害に遭いデータ漏洩の可能性

  • bleepingcomputerより
  • Capitaが47 万人の会員・旧会員の個人情報が盗まれた可能性があることを明らかにしました。
  • 本件に関しては、Black Basta がデータを盗んだと主張しているそうです。

Discordがセキュリティ侵害に遭いデータ漏洩

  • bleepingcomputerより
  • Discordは、サードパーティのサポートエージェントのアカウントが侵害された後に発生したデータ侵害についてユーザーに通知しています。
  • Discordは影響を受けたユーザーに送ったメッセージで、「あなたの電子メールアドレス、カスタマーサービスメッセージの内容、あなたとDiscordの間で送信された添付ファイルが第三者に漏洩した可能性がある」と述べているそうです。

TOYOTAの車位置情報(200万人分)が過去10年間に渡って流出

  • TOYOTAのリリースはこちら
  • トヨタ自動車は、2013年11月6日から2023年4月17日までの10年間に、自社のクラウド環境で215万台の顧客の車両位置情報が流出したことを明らかにしました。
  • TOYOTAの説明によると、データ侵害はデータベースの設定ミスが原因で、パスワードなしで誰でもそのコンテンツにアクセスできるようになったことが原因とのことです。
  • トヨタコネクティッドのサイトに詳しい情報が載っています。

ABBグループがBlack Bastaランサムウェア被害に

2023/05/08

Western Digitalが3月の攻撃で顧客データの盗難があったことを認める

  • bleepingcomputerより
  • Western Digitalが3月にALPHVランサムウェアグループによる攻撃を受けた際の話です。
  • 「調査によると、2023 年 3 月 26 日またはその前後に、第三者がオンラインストアの顧客の個人情報を含むデータベースのコピーを取得したことがわかりました」と述べています。

2023/05/05

ダラス市がRoyalランサムウェアグループの攻撃に合う

  • bleepingcomputerより
  • ダラス市がRoyalランサムウェアグループの攻撃に合い、一部のITシステムをシャットダウンしているとのことです。
  • ランサムウェア攻撃の疑いがあるため、月曜日の朝から市警察の通信と IT システムがシャットダウンされたとの事です。
  • ダラス郡警察のウェブサイトも、セキュリティ インシデントにより一部がオフラインでしたが、その後復元されました。

T-Mobileが2023年で二回目のデータ漏洩を明らかに

  • bleepingcomputerより
  • 「悪意のある人物が 2023 年 2 月下旬から 3 月の間に少数の T-Mobile アカウントから限られた情報にアクセスした」との事です。
  • T-Mobile によると、攻撃者は通話記録や影響を受けた個人の個人金融口座情報にはアクセスできなかったそうです。

ALPHVランサムウェアグループがWestern Digitalのサイバー攻撃への対応をからかう

  • bleepingcomputerより
  • ALPHV(BlackCat)ランサムウェアグループが、Western Digitalの内部メールとビデオ会議のスクリーンショットを公開しました。これは、Western Digitalが侵害に対応したと言っていた後も、同社のシステムに引き続きアクセスしていた可能性が高いことを示しています。
  • 2023/03/26 Western Digitalはサイバー攻撃を受けました。ランサムウェアは展開されず、ファイルの暗号化等はありませんでした。
  • これに対応してWestern DigitalはMy Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS 5、SanDisk ibi、SanDisk Ixpand Wireless Chargerを2週間シャットダウンしました。
  • しかし、ALPHVランサムウェアグループは攻撃に対するWestern Digitalの対応に関連して、対応後の電子メール、ドキュメント、およびビデオ会議の 29 枚のスクリーンショットを公開したそうです。
  • Western Digitalでは公開されたドキュメント等に関して真偽の程を調査中とのことです。

2023/05/03

G7に向けてDNS水攻め攻撃が行われている

2023/04/27

PaperCutサーバへの攻撃の背後にClop/LockBit ランサムウェアグループ

  • bleepingcomputerより
  • PaperCutサーバへの攻撃の背後にClop/LockBitランサムウェアグループが居るというMicrosoftの調査結果です。

2023/04/25

KuCoinのTwitterアカウントがハイジャックされる。

  • bleepingcomputerより
  • KuCoin(2017年にシンガポールで設立された「Kucoin Co.,Limited」が運営する仮想通貨取引所)のツイッターアカウントがハイジャックされ、仮想通貨詐欺に使用されたそうです。
  • 詳しい情報はリンク先のニュースを確認してください。

2023/04/16

NCRがBlackCat/ALPHV ランサムウェアギャングの被害に

  • bleepingcomputerより
  • NCR は、BlackCat/ALPHV ギャングが犯行を主張しているランサムウェア攻撃に見舞われた後、Aloha POS プラットフォームが停止し、頭を悩ませています。
  • 同社の製品の 1 つであるホスピタリティ サービスで使用される Aloha POS プラットフォームは、水曜日以降、顧客がシステムを利用できずに機能停止に見舞われているとのことです。

2023/04/13

Hyundaiがサイバー攻撃に遭いイタリアとフランスの顧客の情報が漏洩

  • bleepingcomputerより
  • Hyundaiがサイバー攻撃に遭い、イタリアとフランスの顧客の情報が漏洩した模様です。
  • 以下の情報が漏洩した模様
    • メールアドレス
    • 物理的なアドレス
    • 電話番号
    • 車番号
  • Hyundaiは専門家と一緒に調査に当たり、追加のセキュリティ対策が実装されるまで、影響を受けたシステムをオフラインにしたとのことです。

2023/04/12

英国犯罪記録局がポータルの問題の背後にあるサイバー事件を確認

  • bleepingcomputerより
  • 英国の刑事記録局 (ACRO) は、1 月 17 日以降に発生したオンライン ポータルの問題が「サイバーセキュリティインシデント」に起因するものであることを確認しました。 ACRO は、犯罪記録情報の管理、要求に応じた犯罪記録の提供、およびこれらの記録の外国との共有を担当する英国の法執行機関です。

Medusa ランサムウェアがキプロスのオープン大学への攻撃を主張

  • bleepingcomputerより
  • Medusa ランサムウェア ギャングは、Open University of Cyprus (OUC) に対するサイバー攻撃を主張しており、組織の運営に深刻な混乱を引き起こしました。
  • 同大学は、3 月 27 日に発生したサイバー攻撃に関する発表を発表しました。この攻撃により、いくつかの中央サービスと重要なシステムがオフラインになりました。

台湾のPC部品メーカMSIがMoney Messageランサムウェアに攻撃される

  • bleepingcomputerより
  • 台湾の PC 部品メーカー MSI (Micro-Star International) は、同社のネットワークが「Money Message」ランサムウェアギャングの攻撃に遭い、ソースコードが流出したと発表しました。
  • Money Message は現在、MSI が身代金の支払い要求を満たさない限り、盗まれたとされるこれらすべての文書を約 5 日以内に公開すると脅迫しています。
  • 現在MSIは調査を進めているようです。

新たなダークウェブ市場STYXが金融詐欺に焦点を当てる

  • bleepingcomputerより
  • STYX と呼ばれる新しいダークウェブ マーケットプレイスが今年初めに開始され、違法なサービスや盗まれたデータを売買するための盛んなハブになりつつあるようです。
  • セキュリティ企業のResecurityの調査によると、STYXは金融詐欺全般に焦点を当てているようです。
  • 詳しい情報はbleepingcomputerの記事を確認してください。

2023/04/11

ちょっと溜め過ぎていたので、小出しに少しずつ出していきます。

中国の原子力エネルギー企業を標的としたBitter APTキャンペーン

  • PolySwarm ブログより
  • Bitter APTはT-APT-17とも呼ばれており、CISCOの解析では2013年から活動。南アジアのグループだそうで、中国やバングラディッシュのエネルギー系企業を標的としてきています
  • 脅威アクターは、北京のキルギス大使館からのものを装って会議参加の誘いを掛けるフィッシング キャンペーンを行っている様です。メールにはRARファイルが含まれており、RARファイルを開くと感染、という仕組みです。
  • PoliSwarmブログにIoC等が載っていますので参考にしてください。
タイトルとURLをコピーしました