2021年3月27日~4月2日までのセキュリティインシデントの概要

2021/04/03 セキュリティーニュース
logo

先週の目立ったセキュリティインシデントとして、新しいランサムウェア攻撃、サイバースパイウェア、クリプトマイナー、米国国務省からの情報漏洩、サプライチェーンへの攻撃が発生しました。2021年3月27日~4月2日までの情報セキュリティの世界におけるインシデントについてご一読ください。

ロンドン教育機関へのランサムウェア攻撃
著名なロンドンの学校のハリス連盟は、ランサムウェアのオペレーターによって攻撃されました。サイバー攻撃により、ロンドン中の小学校と中等学校のITシステム、メールサーバー、電話回線がシャットダウンされました。このインシデントは2021年3月27日に発生し、英国の教育機関に対するこれまでに知られている最大のランサムウェア攻撃です。

イタリアのメンズウェアブランドへのランサムウェア攻撃
イタリアのプレミアムメンズウェアブランドBoggiMilanoは、ランサムウェアRagnarokを使用したサイバー攻撃を受けました。会社の代表者はサイバー攻撃の事実を確認し、調査が現在進行中であると述べました。彼らの意見によると、このインシデントは会社の運営に重大な影響を与えませんでしたが、サイバー犯罪グループがダークネットのブログで報告したように、人事部門からの文書や従業員の給与に関する情報など、40GBの企業データが盗まれました。

医療機関へのランサムウェア攻撃
サイバー犯罪者は、バックグラウンドインテリジェント転送サービス(BITS)と呼ばれるWindowsオペレーティングシステムの正当なコンポーネントを使用して、マルウェアを密かにインストールすることに成功しました。 2020年、病院、医療センター、および養護施設は、KEGTAPバックドアを広める絶え間なく変化するフィッシングキャンペーンに苦しみ、Ryukランサムウェア攻撃への道を開きました。 FireEye Mandiant社は最近、KEGTAPがBITSコンポーネントを使用して存続できるようにするこれまで知られていなかったメカニズムを発見しました。

ランサムウェア攻撃者の新しい手法
Clopランサムウェアのオペレーターは、被害者への新たな影響力を見出しました。現在、被害企業のクライアントにメールを送り、影響を与えるように依頼しています。機密データが公開されないようにするには、被害企業にランサムウェアの支払いを説得する必要があります。

REvilによる攻撃手法
サイバー犯罪者によると、メディアとの協力のおかげで、サイバー犯罪グループのパートナーはREvilに対する信頼を高め、大企業は恐怖を強めています。そのおかげで、彼らは強奪者と交渉する意欲が高まっています。 REvilは追加の広告を必要とせず、メディアで攻撃に成功したことを言及するだけで他の犯罪グループを追い抜くことができます。ランサムウェアの開発者によると、1つのネットワークからの平均収入は1,000万ドルです。

REvilの開発者が収益を計算している間、ランサムウェアZiggyのオペレーターは、すべての戦利品を犠牲者に返すことにしました。サイバー犯罪者は2月に活動を停止する意向を発表し、今では彼らが引き起こした損害を補償する準備ができていることも知られています。 Ziggyオペレーターに身代金を支払った人は誰でも、ビットコインの支払いとコンピューターIDを確認する電子メールを送信するだけです。その後、約2週間で暗号通貨ウォレットに返金されます。

北朝鮮、イラン、中国サイバー犯罪グループによる攻撃
昨年、サイバーセキュリティの専門家をだまして悪意のあるサイトに誘導しようとした北朝鮮のハッカーが、サイバー攻撃を再開しました。今年の1月、Googleの脅威分析グループの情報セキュリティスペシャリストのチームが、ソーシャルネットワークを使用してセキュリティ研究者を攻撃する北朝鮮のハッカーによる悪意のあるキャンペーンを明らかにしました。サイバー犯罪者は、情報セキュリティの専門家に脆弱性を共同で調査するように提案し、コンピューターをマルウェアに感染させようとしました。攻撃は、ZINCと呼ばれる北朝鮮のサイバー犯罪グループに関連していました。現在、Googleの専門家は、架空の情報セキュリティ会社のWebサイトと、グループによって作成されたTwitterおよびLinkedInプラットフォームのアカウントを発見しました。

サイバーセキュリティの専門家は北朝鮮のサイバー犯罪者の標的になっていますが、イスラエルの医学研究者はイランのハッカーから攻撃を受けています。この攻撃は、2020年後半に開始された長期的なマルウェアキャンペーンの一部です。フィッシング攻撃の一環として、サイバー犯罪者は医療専門家をだましてOneDriveクラウドサービスページを装った偽のWebサイトに誘導し、資格情報を盗みます。

同時に、インドのエネルギー部門と重要なインフラストラクチャに対する悪意のあるキャンペーンに関連する中国のハッカーグループRedEchoは、2021年2月末にその運用が開示された後、一部のドメインをシャットダウンしました。

日本製造業への攻撃
Kaspersky Labの専門家は、サイバー犯罪者がバックドアを使用して日本の製造業からデータを盗む複雑な悪意のあるキャンペーンについて報告しました。研究者によって「A41APT」と呼ばれる悪意のあるキャンペーンには、SodaMaster、P8RAT、FYAntiなどの3つのペイロードを配信するために、これまで文書化されていないマルウェアを使用したサイバー犯罪グループAPT10(Stone PandaおよびCicadaとも呼ばれる)による複数の攻撃が含まれます。

米国へのサイバー攻撃
今週の最大のニュースの1つは、米国国務省からの何千もの公式メールの盗難でした。事件は昨年発生したものの、一般には報告されていません。ハッキングは、おそらくロシアに関連するハッカーが国務省のメールサーバーに侵入したのは6年ぶりのことです(最初は2014年に発生しました)。

ソーラーウィンズのサプライチェーンへの攻撃の背後にいるハッカーは、ドナルド・トランプ政権下の国土安全保障長官代理と国土安全保障省の職員から、外国からの脅威を防ぐ責任のある電子メールを盗みました。

Mobiwik暗号通貨ウォレットからの情報漏洩

もう1つのデータ漏えいは、決済システムとMobiwik暗号通貨ウォレットの350万人のユーザーのデータのダークネットでの公開でした。データ漏えいは、今年2月にセキュリティ研究者のRajshekharRajahariya氏によって最初に発見されました。おそらく、6TBの本人確認データと350GBのmysqlダンプがWebにリークされました。 Mobiwikは当時、Rajsekharの報告を否定しましたが、盗まれたデータへのリンクが3月29日にダークネットで見つかりました。ユーザーによると、データは1.5ビットコイン(約86,000ドル)で販売されていました。

 

ドイツ政治家へのハッキング
アメリカ人だけでなく、ドイツの政治家もハッカーの被害者でした。未知のサイバー犯罪者は、連邦議会の少なくとも7人のメンバーと地方議会の31人のメンバーのコンピューターにアクセスしようとしました。ドイツの法執行機関は、活動がロシアに関連しているゴーストライターグループがハッキングを試みていると疑っています。

 

DockerHubライブラリへの暗号通貨マイナーを挿入
パロアルトネットワークスのユニット42のセキュリティ研究者であるAvivSasson氏は、DockerHubライブラリの30個のコンテナで2,000万回以上ダウンロードされた暗号通貨マイナーを発見しました。

 

PHPGitリポジトリへのハッキング
サイバー犯罪者は、2つの悪意のあるコミットを挿入してコードベースを変更するために、公式のPHPGitリポジトリにハッキングしました。

攻撃者は、PHP開発者のRasmusLerdorf氏とNikitaPopov氏を装ったコミットを追加しました。ハッカーは悪意のある活動を隠そうとし、実装された変更を単純な誤植の修正として渡しました。実際、彼らはPHPソースコードを変更して、リモート管理されたバックドアを実装しました。