CyberAttack – Page 64 – IoT OT Security News

Morgan Stanley のサードパーティ Accellion にデータ侵害が発生

Morgan Stanley reports data breach after vendor Accellion hack

2021/07/08 BleepingComputer — 投資銀行の Morgan Stanley は、サードパーティ・ベンダーである Accellion FTA サーバーに攻撃者が侵入したことで、同社顧客の個人情報を盗み出されたことを報告した。Morgan Stanley は、投資銀行業務／証券業務／資産運用／投資管理サービスを提供する、世界有数の金融サービス企業である。米国の多国籍企業である同社の顧客には、41カ国以上の企業／政府／団体／個人が含まれている。

電子メール疲れがサイバー犯罪のドアを開くという悲しい現実

Email fatigue among users opens doors for cybercriminals

2021/07/07 BleepingComputer — リモートワークへの大規模な移行に伴い、以前にも増して重要なビジネス・データが、電子メールで共有されるようになってきた。１日に何百通ものメールを受け取るユーザーもあり、それらを整理することに疲れ果てている。このようにメールの量が急増していることを考えると、メール疲れがさらに深刻化するのも無理もない。残念なことに、このような疲労感により、悪意のメールをクリックしてしまう可能性が高まる。これが、マルウェアの 94％がメールで配信される理由である。メール攻撃に関する最新の事例を調べることは、従業員の受信箱を悪用する多様な手口を把握するだけでなく、増大する脅威に対抗するための第一歩となる。

British Airways のデータ侵害で記録的な弁償金が支払われる

British Airways agrees to pay victims of record-breaking data breach

2021.07/07 DailySwig — British Airways (BA) は、42万人以上の顧客の個人情報が流出したインシデントにおいて、法廷外での和解に達した。被害者たちの代理人である国選法律事務所 PGMBM との合意に基づき、BA は数千人の請求者に対して非公開の金額を支払う。ただし、この解決策は、航空会社側の責任を認めるものではない。

Kaseya VSA ゼロデイ攻撃に便乗する Cobalt Strike バックドアとは？

Fake Kaseya VSA security update backdoors networks with Cobalt Strike

2021/07/07 BleepingComputer — Kaseya ランサムウェア攻撃が続いていることを利用して、脅威アクターたちは新たな被害者なりそうな企業をターゲットにして、Kaseya VSA セキュリティ・アップデートを装った Cobalt Strike ペイロードを送信するという、スパム・キャンペーンを展開している。Cobalt Strike とは、合法的なペネトレーション・テストツールおよび、脅威エミュレーション・ソフトウェアだが、その一方では、攻撃者が侵入後のタスクで悪用することもあれば、侵害されたシステムへのリモートアクセスを可能にする、ビーコンを展開するためにも悪用される。

Microsoft 365 の新機能による侵害されたオンプレ AD アカウントのロックの実現

Microsoft 365 to let SecOps lock hacked Active Directory accounts

2021/07/06 BleepingComputer — Microsoft が、Defender for Identity のアップデートを行い、侵害されたユーザーのActive Directory アカウントをロックすることで、SecOps (security operations) チームによる攻撃のブロックが可能となる模様だ。Microsoft Defender for Identity (旧Azure ATP：Azure Advanced Threat Protection ) は、オンプレミスの Active Directory のシグナルを活用することで、登録されている組織を標的とした、高度な脅威や、漏洩したID、悪意のインサイダー活動などを検知／分析するクラウド・セキュリティ・サービスだ。

ロシアン・ハッカーに対する具体的なアクションを求める米政府

US warns of action against ransomware gangs if Russia refuses

2021/07/06 BleepingComputer — ホワイトハウスの Press Secretary である Jen Psak は、ロシア政府が拒否した場合、米国はロシアのサイバー犯罪者グループに対して行動を起こすと述べている。Psak は、フロリダ州の IT 企業 Kaseya に対する REvil ランサムウェア攻撃は、誰の仕業だと判明したわけではなく、特にロシア政府との関連性が判明したわけでもない、と付け加えている。

Kaseya を襲った REvil ランサム被害が拡大している

REvil is increasing ransoms for Kaseya ransomware attack victims

2021/07/04 BleepingComputer — REvil ランサムウェア・ギャングは、金曜日の Kaseya ランサムウェア攻撃における身代金の要求額を増やしている。REvilのようなランサムウェア・ギャングが攻撃を行う際には、財務情報や、サイバー・セキュリティ保険契約、盗み出したデータなどを分析することで、被害者の支払い能力を確かめる。そして、暗号化したデバイス数や、盗み出したデータ量をもとに交渉を行い、被害者が支払えると思われる金額を、身代金として提示する。

Kaseya のゼロデイ脆弱性が FIX の直前に REvil に悪用されてしまった

Kaseya was fixing zero-day just as REvil ransomware sprung their attack

2021/07/04 BleepingComputer — オンプレミスの Kaseya VSA Server に侵入するために使用されたゼロデイ脆弱性は、金曜日に生じた REvil ランサムウェア・ギャングの大規模な攻撃に対応するために、まさに修正されている最中にあった。この脆弱性は、Dutch Institute for Vulnerability Disclosure (DIVD) のセキュリティ研究者により、少し前から Kaseya に開示されており、顧客に提供されるパッチは検証の段階にあった。

スウェーデンのスーパーマーケット Coop が Kaseya 攻撃により 500店舗を閉鎖

Coop supermarket closes 500 stores after Kaseya ransomware attack

2021.07/03 BleepingComputer — スウェーデンのスーパーマーケット Coop は、MSP (managed service providers) を標的とした REvil ランサムウェアのサプライチェーン攻撃の影響を受け、約500店舗を閉鎖しました。7月2日の夜に、MSP と顧客をターゲットにした REvil ランサムウェア・ギャングが、Kaseya VSA (remote patch management and monitoring uite) を介して大規模なサプライチェーン攻撃を行ったことで、このスーパーマーケット・チェーンは店舗を閉じることになった。

米ケミカル Brenntag が DarkSide ランサムウェアに盗まれた情報とは？

US chemical distributor shares info on DarkSide ransomware data theft

2021/07/03 BleepingComputer — 世界有数の化学製品流通企業である Brenntag は、2021年4月下旬に同社の北米部門が狙われた攻撃の際に、DarkSide ランサムウェアにより盗み出されたデータの内容について、追加の情報を公開した。ICIS が発表した世界の化学製品通業 Top-100 レポートによると、Brenntag は北米の売上高で第2位となっている。

REvil ランサムウェアは MSP サプライチェーン攻撃により 200社に影響を及ぼす

REvil ransomware hits 200 companies in MSP supply-chain attack

2021/07/02 BleepingComputer — Kaseya へのサプライチェーン攻撃により、大規模な REvil ランサムウェア攻撃が報道されたが、複数の MSP (managed service provider) と顧客にも影響が及んでいる。7月2日の午後から REvil は、Kaseya VSA サプライチェーン攻撃と同じ思われる方法で、数千の顧客を持つ 8社の大規模 MSP をターゲットにしている。Kaseya VSA はクラウド・ベースの MSP プラットフォームであり、顧客に対してパッチ・マネジメントやクライアント・モニタリングを提供している。

NSA : Russian GRU ハッカーたちは Kubernetes を悪用してブルートフォースを仕掛ける

NSA : Russian GRU hackers use Kubernetes to run brute force attacks

2021/07/01 BleepingComputer — National Security Agency (NSA) は、ロシアの国家に支援されるハッカーたちが。米国のネットワークから電子メールやファイルを盗むために、ブルートフォース攻撃を行っていると警告している。NSA は、7月1日に発表した勧告のにおいて、Russian GRU の 85th Main Special Service Center (GTsSS) の軍事ユニット 26165 が、2019年から Kubernetes のクラスターを悪用することで、米国政府や国防総省などの組織にパスワード・スプレー攻撃を行っていると述べた。

プーチン大統領の電話討論 TV 番組が DDoS でグチャグチャにされたらしい

Hackers hit a televised phone-in between President Putin and citizens at a TV show

2021/06/30 SecurityAffairs — ロシアのプーチン大統領が、国民からの質問にリアルタイムで答える TV の放送中に、ハッカーたちが国営放送 Rossiya 24 のネットワークに対して、大規模なサイバー攻撃を仕掛けた。このプーチン大統領が出演する電話討論会の番組は、約４時間におよぶ長いものだったが、大規模な DDoS 攻撃が仕掛けられたことで、遠隔地との通話に何度も接続障害が発生した。

REvil ランサムウェアが開発した Linux Encryptor は VMware ESXi VM を標的にする

REvil ransomware’s new Linux encryptor targets ESXi virtual machines

2021/06/28 BleepingComputer — REvilランサムウェアが、Linux の暗号化ツールを使用することで、Vmware ESXi の仮想マシンをターゲットにし始めている。企業におけるバックアップ／デバイス管理／リソース使用の効率化などために、仮想マシンへの移行が進んでいることから、仮想マシン上のストレージを暗号化する独自のツールを、ランサムウェア・ギャングが作成するケースが増えている。

米国の証券組織 FINRA の名を語るフィッシング攻撃が多発している

US brokerage firms warned of ‘FINRA Support’ phishing attacks

2021/06/24 BleepingComputer — FINRA Support を装ったフィッシング攻撃が続いているとして、米国の証券業界を規制する FINRA から証券会社に対して警告が発せられた。FINRA (Financial Industry Regulatory Authority) は、米国で活動している全ての取引所市場と証券会社を規制する、政府公認の非営利団体だ。投資家を保護するという役割の一環として、FINRA は全米の 624,000社以上のブローカーを監督し、１日で何十億にも達するマーケット・イベントを分析している。

Zyxel の Firewall と VPN が攻撃されたという警告

Zyxel warns customers of attacks on its enterprise firewall and VPN devices

2021/06/24 SecurityAffairs — ネットワーク機器ベンダーの Zyxel が、同社のエンタープライズ・ファイアウォールおよび VPN サーバーを標的とした一連の攻撃について、顧客に対する警告を発した。この攻撃における脅威アクターは、オンプレミスの ZLD ファームウェアを実行する、USG / ZyWALL / USG FLEX / ATP / VPN シリーズを標的としている。なお、Nebulacloud management mode を実行している機器は影響を受けないと、同社は述べている。

悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる

Malicious PyPI packages hijack dev devices to mine cryptocurrency

2021/06/22 BleepingComputer — 今週のこと、複数の悪意のパッケージが PyPI の Python Project リポジトリに取り込まれ、開発者のワークステーションを暗号マイニング・マシンに変えてしまった。すべての悪意のパッケージは、同じアカウントで公開されており、正規の Python Project 名を誤魔化して使うことで、開発者を騙して何千回もダウンロードさせてた。

ランサムウェア攻撃への準備：リカバリーのための５つの Step

5 Critical Steps to Recover From a Ransomware Attack

2021/06/21 TheHackerNews — ビジネスを混乱させるハッカーたちが、悪意の活動で資金を得るための効果的なツールとして、ランサムウェアを利用するケースが増えている。サイバー・セキュリティ企業である Group-IB が、最近に実施した分析によると、ランサムウェアによる攻撃は 2020年に倍増しているが、Cybersecurity Ventures の予測によると、2021年には 11秒ごとにランサムウェア攻撃が発生するとのことだ。

ADATA の 700 GB データリークは Ragnar Locker というランサム・ギャングの仕業だ

ADATA suffers 700 GB data leak in Ragnar Locker ransomware attack

2021/06/21 BleepingComputer — ランサムウェア Ragnar Locker の一味が、台湾のメモリストレージ・チップメーカーである ADATA から盗み出した、700GB以上のアーカイブ・データのダウンロード・リンクを公開した。ADATA の機密ファイルが含まれているとされる 13個のアーカイブ・セットは、しばらくの間、クラウドベースのストレージ・サービスで公開されていた。

韓国原子力研究院が VPN の欠陥を悪用した攻撃に遭っている

South Korea’s Nuclear Research agency hacked using VPN flaw

2021/06/19 BleepingComputer — この５月に韓国原子力研究院 (KAERI : Korea Atomic Energy Research Institute) は、VPN の脆弱性を悪用する北朝鮮の脅威アクターにより、内部ネットワークがハッキングされたと明らかにした。韓国原子力研究所（KAERI）は、同国における原子力の研究と応用を目的とした、政府が出資する機関である。

中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した

The return of TA402 Molerats APT after a short pause

2021/06/18 SecurityAffairs — TA402 APT グループ (別名：Molerats と Gaza Cybergang) だが、2ヶ月間の活動停止の後に復活し、中東の政府機関や同地域に関心を持つグローバルな政府機関を標的としている。Molerats は、政治的な動機を持ちアラビア語を話すハッカー集団であり、2012年から活動している。2018年当時に同集団の活動を監視していた Kaspersky は、きわめて類似した攻撃手法を MENA 地域で発見した。

Eggfree という英国のケーキ屋がデータ侵害でクレカ情報を盗まれた

Eggfree Cake Box suffer data breach exposing credit card numbers

2021/06/17 BleepingComputer — Eggfree Cake Box は、脅威アクターにより Web サイトがハッキングされ、クレジットカード番号が盗まれるという、データ侵害に遭ったことを公表した。Eggfree Cake Box は、鶏卵を使わない生クリーム・ケーキを販売する、英国内に 164 店舗を有するチェーン店だ。

Carnival クルーズ船にデータ侵害が生じて被害が広がりそうだ

Carnival Cruise hit by data breach, warns of data misuse risk

2021/06/17 BleepingComputer — 世界最大のクルーズ船会社である Carnival Corporation は、同社の IT システムの一部が攻撃され、顧客／従業員／乗組員の個人情報や財務情報などデータが侵害されたことを公表した。Carnival は、S&P500 と FTSE100 の両株価指数に組み込まれており、約150カ国に15万人以上の従業員を擁し、毎年約1,300万人の顧客にレジャー旅行を提供している。

監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている？

UNC2465 cybercrime group launched a supply chain attack on CCTV vendor

2021/06/17 SecurityAffairs — ランサムウェア Darkside の系列組織である UNC2465 が、CCTV (Closed Circuit Television) ベンダーに対してサプライチェーン攻撃を行っていたことが、Mandiant の研究者により発見された。この UNC2465 は、FireEye/Mandiant が追跡している UNC2628 と UNC2659 という別系列グループと同様に、Darkside グループの主要な構成員と考えられている。

中国とロシアの選択肢：戦略と軍事の関係を強化して G7 と NATO に対峙

China, Russia have ‘no choice’ but to strengthen strategic and military ties in face of G7 and Nato, observer says

2012/06/16 SCMP — 欧米諸国と対峙しているモスクワと北京は、米ロ首脳会談の結果にかかわらず、同盟関係を強化する可能性が高いとの見方がある。米国のバイデン大統領は、水曜日にジュネーブで行われるロシアのプーチン大統領との会談で、クレムリンと西側諸国の関係悪化について議論し、論争の的になる問題を提起すると予想されている。

ポーランドの政府と要人が正体不明のサーバー攻撃に遭っている

Poland institutions and individuals targeted by an unprecedented series of cyber attacks

2021/06/16 SecurityAffairs — ポーランド議会は、同国の組織や個人を襲った前例のないサイバー攻撃について、非公開の審議を行っている。政府報道官の Piotr Mulle が予想していた通り、Mateusz Morawiecki 首相は、攻撃に関連する秘密文書を提示して、攻撃の詳細を説明しなければならなかった。

アラビア語ニュース・チャンネル Al Jazeera がサイバー攻撃を未然に防ぐ

Al Jazeera detected and blocked disruptive cyberattacks

2021/06/11 SecurityAffairs —今週のこと、カタール政府が出資するアラビア語ニュース・チャンネル Al Jazeera は、同社のニュース配信プラットフォームの一部を破壊し、乗っ取ろうとする、一連のサイバー攻撃を阻止したと発表した。

2010 年の Santa Cruz DDoS 攻撃に関わったとして米国人男性が起訴された

US man accused of 2010 DDoS attack on Santa Cruz government arrested

2021/06/16 DailySwig — 2010年に発生した Santa Cruz 郡政府への DDoS 攻撃において、その背後にいたとされる米国人男性が、出廷しないままに 9年が経過し拘束された。Christopher Doyon (56歳) は Mountain View の出身で、今月初めに Mexico City で逮捕された。2011年に釈放された後、2012年2月の状況説明会に出頭しなかった罪に問われ、6月15日 (火) に連邦裁判所に出廷した。そして、いまは、2010年のサイバー攻撃に関連する複数の罪と、出頭しなかったことに関連する更なる罪に問われている。

バイデンからプーチンへ：16 の重要インフラ分野をサイバー攻撃から除外せよ

Biden says he gave Putin list of 16 sectors that should be off-limits to hacking

2021/06/16 CyberScoop — バイデン大統領は、水曜日にジュネーブで行われたロシアのプーチン大統領との会談において、エネルギー事業からから水道事業までの16の重要インフラ分野のリストを、悪意のサイバー活動の対象から除外すべきだと述べた。約３時間にわたるプーチン大統領との会談の後に、バイデン大統領は記者会見に臨み、「禁止事項についての具体的な理解に取り組み、いずれかの国で発生した特定のサイバー・インシデントをフォローアップ」ために、両政府のサイバーセキュリティ専門家に任務を課すことに合意したと述べた。

中国からの Pulse Secure を介したサイバー攻撃が重要産業を狙う？

Chinese cyberattack breached dozens of high-value entities using Pulse Secure networking tool

2021/06/15 SCMP — 中国が行ったとされるサイバー・スパイ活動は、これまでに認識されていた以上の範囲に及び、米国の重要産業のコンピュータに侵入するために、インターネット・セキュリティを強化するデバイスを悪用したと推測される。この４月に、Pulse Connect Secure ネットワーク・デバイスへのハッキングが明らかになったが、ようやくその範囲が明らかになった。

G7 からロシアへの要求：自国内のランサムウェア・ギャングを捕まえてくれ

G7 leaders ask Russia to hunt down ransomware gangs within its borders

2021/06/14 BleepingComputer — 重要な組織を標的としたサイバー攻撃が、グローバル規模で相次いでいることを背景として、G7 (Group of 7) 首脳はロシアに対して、同国内で活動していると思われるランサムウェア・ギャングを早急に排除するよう要請した。また、G7 加盟国は、エスカレートするランサムウェアの脅威に関して、世界的な課題として協力して取り組むことを表明した。

REvil ランサムウェアが米核兵器産業を攻撃した？

REvil ransomware hits US nuclear weapons contractor

2021/06/14 BleepingComputer — 米国の核兵器関連企業である Sol Oriens が、ランサムウェア REvil によるサイバー攻撃を受け、その際に盗まれたデータがオークションにかけられていると主張している。 Sol Oriens は自社の業務について、Department of Defense / Department of Energy Organizations / Aerospace Contractors などや、複雑なプログラムを遂行するテクノロジー企業を支援していると述べている。

APWG：フィッシング活動は継続して増加し 2021年 Q1 はワースト記録

APWG: Phishing maintained near-record levels in the first quarter of 2021

2021/06/13 SecurityAffairs — Anti-Phishing Working Group (APWG) が、2021年 Q1 の状況を示す新たな Phishing Activity Trends Report を発表した。このレポートよると、2021年 Q1 フィッシングは記録的なレベルを維持しており、フィッシング Web サイトの数は、2021年1月に 245,771件というピークを記録した。2月には、わずかに減少したことが確認されたが、3月には再び 20万件を超え、APWG 史上4番目の悪い月となった。

Codecov サイバー侵害の後に Bash Uploader から NodeJS への乗り換えが完了

Codecov ditches Bash Uploader for a NodeJS executable

2021/06/12 BleepingComputer — ソフトウェア・テストおよびコード・カバレッジを行う Codecov は、従来からの Bash Uploader に代わるクロス・プラットフォームのアップローダを発表した。この新しいアップローダは、Windows / Linux / macOS に対応した静的バイナリとして提供される。今回の発表は、改変された Codecov の Bash Uploader により顧客の CI/CD 環境から機密情報を収集するという、2ヶ月間に渡る Codecov サプライチェーン・インシデントを受けたものである。

フードサービス用品のサプライヤー Edward Don がランサムウェア攻撃に遭ったようだ

Foodservice supplier Edward Don hit by a ransomware attack

2021/06/10 BleepingComputer — フードサービス用品のサプライヤーである Edward Don は、ランサムウェア攻撃を受けたことで、被害の拡大を防ぐためにネットワークの一部をシャットダウンした。Edward Don は、キッチンやバーで用いる食器類などを提供する、最大級のディストリビューターだ。本日のことだが、Edward Don が今週の初めにランサムウェア攻撃を受け、電話システム／ネットワーク／電子メールなどに支障をきたしていることを、BleepingComputer は知ることになった。