8月14日〜20日までのセキュリティインシデントの概要

2021/08/25 セキュリティーニュース
logo

8月14日から20日までの期間に、情報セキュリティの世界で多くの興味深いインシデントが発生しました。「悪意のある広告を使用したスマートホームへの世界初の攻撃」、「T-Mobile加入者1億人のデータ盗難」、 「FBIのテロリストのリストのリークなど」。 詳細は下記のセキュリティインシデントをご一読ください。

 


■悪意のある広告を使用した家庭用IoTデバイスへの世界初のサイバー攻撃
イスラエルの情報セキュリティ会社GeoEdgeは、悪意のある広告を使用した家庭用IoTデバイスへの世界初のサイバー攻撃の検出を公表しました。 今年の6月から、同社の専門家チームがIoTスマートホームデバイスへの悪意のある広告を使用した攻撃(いわゆるマルバタイジング攻撃)を調査しています。 これらは、オンライン広告を使用してWi-Fi接続されたホームデバイスにマルウエアをサイレントインストールする世界初の攻撃です。


 

■偽情報「ロシアとの長期的な作戦」
アメリカの情報セキュリティ会社RecordedFutureのInsiktGroup部門の専門家は、Operation SecondaryInfektionと呼ばれる偽情報「ロシアとの長期的な作戦」と呼ばれるものについて報告しました。  Insikt Groupは、2020年4月に最初に報告し、現在、戦術、技術、手順(TTP)分析などの新しい詳細な報告をリリースしています。


 

■日本の暗号通貨取引所Liquidをハッキング
先週、サイバー犯罪者は日本の暗号通貨取引所Liquidをハッキングしました。 サイバー攻撃の結果、ビットコイン、イーサリアム、XRP、TRXの資産が7,400万ドル盗まれました。取引所の代表者によると、専門家は資産の動きを追跡し、盗まれた資金を凍結して所有者に返すために他の取引所と協力して対応しています。 ハッカーは、違法に入手した資金の一部を他の口座に移すことができました。


 

■マイクロソフトのWebブラウザの脆弱性を悪用したエクスプロイト
情報セキュリティ会社Volexityのセキュリティ研究者は、マイクロソフトのWebブラウザの脆弱性を悪用したエクスプロイトを使用した北朝鮮のハッカーグループによる攻撃を記録しています。  InkySquidと呼ばれるハッカーグループが、韓国の新しいサイトをハッキングし、そこに悪意のあるコードを挿入することに成功しました。 このエクスプロイトは、正規のコード内に隠された難読化されたJavascriptコードをダウンロードするもので、InternetExplorerブラウザに対する攻撃で2020年から使用されています。 同じ攻撃手法が第1世代のEdgeユーザーに対して使用されましたが、悪用された脆弱性が異なります。


 

■Web攻撃フレームワークを発見
仮名Imp0rtp3を使用しているセキュリティ研究者は、中国政府が資金提供したハッカーによって開発されたとされるWeb攻撃フレームワークを発見しました。 研究者によると、Tetrisと呼ばれるツールを使用して、政治的反対者を追跡するために58のサイトの脆弱性を悪用しました。 それらの57は人気のある中国のポータルであり、もう1つはアメリカの新聞ニューヨークタイムズのサイトです。  Tetrisは、脆弱性を悪用するだけでなく、正規のブラウザ機能を使用して、キーボードのキーストロークを記録し、使用されているオペレーティングシステムとジオロケーションデータの詳細を盗み、Webカメラを使用して被害者の顔のスナップショットを撮ります。


 

■ハッカーが米国国勢調査局のサーバーに侵入
先週知られるようになりましたが、2020年1月11日、ハッカーが米国国勢調査局のサーバーに侵入しました。 攻撃者は、Citrix Application Delivery Controller(ADC)の重大なゼロデイ脆弱性(CVE-2019-19781)を悪用しましたが、バックドアのインストールに失敗しました。


 

■ランサムウェア攻撃
今週はランサムウェア攻撃のニュースがなかったわけではありません。 ブラジル政府は、ランサムウェアを使用した国庫のコンピューターシステムへのサイバー攻撃を報告しました。 ブラジル経済省の代表によると、サイバー攻撃の影響を排除するための最初の措置が直ちに講じられました。 最初の評価では、国庫の構造化システムに毀損はありませんでした。

ランサムウェアHiveのオペレーターは、非営利のメモリアルヘルスシステムのコンピューターシステムをハッキングし、暗号化し、手動モードへの切り替えを余儀なくさせたとされています。 メモリアルヘルスシステムは、オハイオ州とウェストバージニア州(米国)にある3つの病院(マリエッタメモリアル病院、セルビー総合病院、シスターズビル総合病院)、外来サービス、診療所の小さなネットワークです。 攻撃は臨床的および財政的混乱をもたらし、緊急手術とX線検査を中止せざるをえませんでした。

情報セキュリティ会社HeimdalSecurityの専門家は、攻撃された環境でまれではあるが厄介なデータ暗号化技術を使用するランサムウェアの新しいファミリを発見しました。 専門家によると、ほとんどのランサムウェアのようにエンドポイント上のファイルを暗号化する代わりに、DeepBlueMagicは企業サーバー上のハードドライブを攻撃します。

 ハッカーフォーラムの1つで、機密データの7 GBのアーカイブが公開されました。これは、おそらく台湾のコンピューター機器メーカーであるGIGABYTEのものです。  ransomEXXランサムウェアオペレーターによる最近の攻撃の後にデータ漏洩が発生したことは注目に値します。 アーカイブは元々、おそらくGIGABYTEがランサムウェアの支払いを拒否した後、ransomEXXの公開Webサイトに投稿されました。


 

■暗号通貨マイニング用のマルウェアをインストール
HolesWarmと呼ばれる新しいボットネットのオペレーターは、暗号通貨マイニング用のマルウェアをインストールするために、20を超える脆弱性を悪用してWindowsおよびLinuxサーバーをハッキングしています。  Tencentのサイバーセキュリティ専門家の報告によると、攻撃は主に中国全土で記録されましたが、今後数か月以内に、犯罪者はおそらく世界中のシステムにハッキングし始めるでしょう。 ボットネットオペレーターは、Docker、Jenkins、Apache Tomcat、Apache Struts、Apache Shiro、Apache Hadoop Yarn、Oracle WebLogic、Spring Boot、Zhiyuan OA、UFIDA、Panwei OA、YonyouGRP-U8などのソフトウェアの脆弱性を悪用します。


 

■データ侵害について
毎週のセキュリティインシデントの従来の見出しは、データ侵害です。 たとえば、米国最大の燃料パイプライン事業者であるコロニアルパイプラインは、5月のDarkSideランサムウェアのサイバー攻撃の影響を受けた人々に通知を送信します。 同社は、攻撃中に、DarkSideのオペレーターが、とりわけ、5,810人から個人情報を含む文書を収集および抽出できたことを「最近知った」と述べた。 盗まれたデータには、姓名、連絡先情報、健康情報(保険を含む)、納税者番号、軍隊手帳、社会保障番号などが含まれます。

アメリカの大手通信事業者であるT-Mobileは、ハッカーがT-Mobileサーバーがハッキングされ、約1億人の加入者の個人情報を含むデータベースが盗まれたと発表した後、データ漏洩を調査しています。 リークの最初の報告は、8月14日土曜日にハッカーフォーラムの1つに掲載されました。 ハッカーはT-Mobileデータベースを6ビットコイン(約$ 280,000)の価格で売りに出しました。 彼によると、データベースには生年月日、運転免許証番号、3000万人の社会保険番号が含まれています。 身代金要求はハッカーの標的ではありませんでした。 攻撃者によると、彼は復讐のためにT-Mobileサーバーをハッキングしました。

未知のハッカーが、CISで最も人気のある麻薬流通サイトの1つであるLegalizerをハッキングしました。 攻撃者は、氏名、電話番号、住所と居住国、パスポートデータなど、匿名化されたサイトの作成者に関する情報を含むサイトへのリンクを提供しました。 ハッカーはまた、プライベートメッセージでの通信の例を示しました。この例では、とりわけ、ユーザー自身のニックネームが示されています。 伝えられるところによると、現時点では、フォーラムチームの各メンバーはお互いを指差して、お互いを創設者を呼んでいます。

Raccoon情報スティーラーの作成者は、誤って自分に関する情報を情報セキュリティの専門家に「漏らし」ました。 テスト中に、開発者はテストコンピューターをマルウェアに感染させ、そのデータはHudson RockCavalier情報セキュリティプラットフォームによって取得されました。

セキュリティ研究者のボブ・ディアチェンコ氏は、バーレーンのIPアドレスでFBIの指名手配テロリストデータベースのコピーが発見されたと報告しました。 公開されたElasticsearchクラスターには190万件のレコードが含まれていたと彼は語った。 このクラスターがデータベース全体のどの部分を構成しているかは不明ですが、これがデータベース全体である可能性が高いとDyachenko氏は言っています。 漏洩した情報には、氏名と氏名、TSCリストのID、市民権と性別の情報、生年月日、パスポート番号、パスポートが発行された国、および飛行禁止IDが含まれます。


記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida