2021年7月31日から8月6日までの期間のセキュリティインシデントの概要

2021/08/09 セキュリティーニュース
logo

■概要
中国のハッカーによるロシア政府機関に対する攻撃、イタリアへのハッカー攻撃に関するテロの疑いについての調査、Solarmarker情報スティーラーの再来-2021年7月31日~8月6日までに発生したセキュリティインシデントについて、ご一読ください。


 

■著名なジャーナリストや政治活動家の監視
先週最も注目を集めたニュースの1つは、イスラエルのNSOグループの商用スパイウェアPegasusを使用した著名なジャーナリストや政治活動家の監視でした。 監視は、中東の権威主義政権の政府によって実施されました。


 

■米国郵政公社によるソーシャルメディアユーザの監視
米国郵政公社はまた、ソーシャルメディアユーザーの大規模な監視で非難されています。 非営利の人権団体ElectronicFrontier Foundationによると、米国郵政公社は「インターネット秘密作成プログラム」と呼ばれる先導を開始しました。このイニシアチブは、Facebook、Twitter、Parlerなどのソーシャルネットワーク上の大量のユーザー投稿を分析して、彼らが話していることや共有しているものを追跡します。


 

■中国ハッカーグループによる攻撃
サイバーセキュリティ研究チームCyber​​easonNocturnusは、大規模な通信会社のネットワークをハッキングすることを目的とした3つの悪意のあるサイバースパイ活動を検出しました。 総称してDeadRingerとして知られる悪意のあるキャンペーンは、東南アジアの企業を標的としています。 専門家によると、攻撃は中国政府に関連しているとされる3つのサイバー犯罪グループ(APT)によって組織化されました。

さまざまな国の政府機関に対する多数の攻撃で知られる中国のハッカーグループART31が、ロシアの企業を初めて攻撃しました。 サイバー犯罪者は被害者にフィッシングメールを送信しました。このメールには、特定の政府機関のドメインを模倣した偽のドメインへのリンクが含まれていました。 リンクを開くと、リモートアクセス型トロイの木馬がシステムにロードされ、感染したデバイスに悪意のあるライブラリが作成され、特別なアプリケーションがインストールされました。

報道されているように、2020年のロシア当局に対する一連のサイバー攻撃は、中国政府が資金提供したいくつかのハッカーグループによって実行された可能性があります。 攻撃では、BlueTravellerトロイの木馬の新しいバージョンであるWebdav-Oマルウェアが使用されました。 専門家によると、ロシアの政府機関は、TA428とTaskMastersの2つのグループ、または複数のユニットを組み合わせた1つのグループのいずれかによって攻撃されました。

中国と関係があるとされるサイバー犯罪グループが、東南アジアの4つの重要なインフラストラクチャ組織を攻撃しました。 ノートンライフロックの情報セキュリティ専門家によると、攻撃者は自動プロセス制御システム(APCS)に関心を持っている可能性があります。 専門家によると、悪意のあるキャンペーンはおそらく2020年11月に始まり、少なくとも2021年3月まで続きました。 攻撃者の主な目的は、インテリジェンスを収集することでした。


 

■ロシアのハッカーが米国連邦検察官の電子メールをハッキング
次に、米国司法省は、「ロシアのハッカー」がアメリカの検察官からデータを盗んだと非難しました。 SolarWindsを攻撃したとして告発されたロシアのサイバー犯罪グループが、米国連邦検察官からの電子メールをハッキングしたとされています。


 

■ランサムウェア攻撃について
今週、ランサムウェア攻撃のニュースがなかったわけではありません。シリコンバレーのベンチャーキャピタルであるAdvancedTechnology Ventures(ATV)は、ランサムウェア攻撃で一部の個人投資家の個人情報が盗まれたと報告しました。メイン州司法長官(米国)への手紙の中でATVの代表者によると、今年の7月、同社はコンピューターシステムがランサムウェアに感染していることを発見しました。調査の結果によると、犯罪者が企業の機密データの一部を盗んだことが判明しました。

イタリアのエネルギー会社ERGは、ICTインフラストラクチャを破壊したランサムウェアサイバー攻撃について報告しました。

また、国際的な鉄鋼サプライヤーであるMacsteelが、南アフリカの物流会社Transnetと同時にサイバー攻撃の被害者であることが判明しました。 事件は今年7月末に発生し、Macsteelは2営業日以内にITシステムをオンラインに戻すことができました。 重要な情報(個人データでも機密データでもない)の漏洩については触れられいていません。

未知の人物が、スウェーデンのスキンケア製品Oriflameメーカーのサーバーから盗んだ80万を超えるファイルをパブリックドメインで公開しています。特に、2.5万以上のスキャンされジョージア市民の文書のコピーと、70万以上のカザフスタン市民の文書のコピーがあり、 ドキュメントはJPG形式で表示されます。 ハッカーによると、4 TBのデータ(1300万を超えるファイル)を自由に使用できます。


 

■医療機関へのサイバー攻撃
イタリアのラツィオ大都市圏での予防接種プログラムに関連する公式ポータルサイトがハッキングされました。 サイバー攻撃により、コロナウイルスワクチン接種の記録は一時停止されました。 この事件に関して、ローマ検察庁はテロの疑いについて調査を行っています。

教育機関や医療機関は、新たな悪意のある資格情報の盗難キャンペーンの犠牲になっています。 攻撃中、犯罪者は被害者のシステムに.NETinfostealerとSolarmarkerと呼ばれるキーロガーを感染させます。 Cisco Talosの専門家によると、Solarmarkerと呼ばれる悪意のあるキャンペーンは2020年9月に始まりました。
 


記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida

■まとめ

ハッカーによる攻撃を国に対する攻撃とみなす国が多くなりました。
自社の事のみをモニタリングしているだけでは、攻撃されたことには気づけるが、事前に攻撃を察知し、予防することができません。
弊社ではモニタリングをし、情報を収集し、報告するサービスを提供していますので、ご利用ください。