ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Analyst On Demand
Incident Response
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Newsletter
  • ニュースハイライト
2025年1月のニュースまとめ
2025.01.31

今回の記事では2025年1月のニュースまとめをお届けします。



🔍 UAE政府の主要機関のKas****アカウントがダークウェブで販売中


• 1月1日、ダークウェブのフォーラムBreachForumsに、UAEの主要政府機関のIT部門が使用するロシアのサイバーセキュリティ企業Kas******製品に関連するアカウントアクセスが販売されている投稿が公開されました。


• 脅威アクター「Corps」は、これらのアカウントへのアクセスが完全な管理者権限を提供し、セキュリティプロトコルの監視、変更、無効化が可能であると主張しました。また、IT部門のメールアカウントへのアクセスも販売されており、両方で1万ドルが要求されています。


• S2W XARVISのプロファイリングツール「Dark Spider」によれば、脅威アクター「Corps」は、イスラエル、サウジアラビア、モロッコなどの国々で金融機関や石油・ガス業界の民間企業を標的にしたサイバー攻撃を行ってきたとされています。



🔍 シンガポールのSaaS企業へのアクセスがプロフェッショナルな「初期アクセスブローカー」によって販売


• シンガポールのSaaS(Software as a Service)企業の内部システムへのアクセスがロシアのダークウェブフォーラムXSSで1,500ドルで販売されているのが発見されました。


• 脅威アクター「netcut」によれば、被害者の本社はシンガポールに本拠を置くSaaS専業企業で、世界に5つのオフィスがあり、収益は190万ドルです。


• S2Wのダークウェブ監視ツールは、「netcut」をプロフェッショナルな「初期アクセスブローカー」として識別しており、2024年12月にXSSハッキングフォーラムに参加して以来、5つの企業の内部システムへのアクセスを販売してきたと報告されています。



🔍 オンライン給与プラットフォームの管理者アカウントが5,000テザー(USDT)で販売


• 1月6日、給与管理プラットフォーム「Paychex」の管理者アカウントがロシアのダークウェブハッキングフォーラムXSSで販売されているのが発見されました。


• 脅威アクターは、この管理者アカウントを悪用することで、従業員の給与情報へのアクセスや支払いの傍受が可能であると主張しました。


• 脅威アクターの声明に基づくと、プラットフォームのサイバーセキュリティシステムは不十分であり、管理が不注意であることが判明しました。



🔍 北朝鮮の秘密のミサイル作戦基地の位置情報がダークウェブで販売中


• 1月7日、ダークウェブフォーラム「OnniForums」にユーザー「ssteve」が、北朝鮮の10の秘密ミサイル作戦基地に関するデータを販売する投稿をアップロードしました。


✓ 販売データ:ミサイル作戦基地の正確な位置や、作戦に関連する重要人物の詳細な身元情報が含まれています。さらに、作戦基地に関する包括的な理解のための追加情報も提供されるとされています。


• 脅威アクター「ssteve」は、同日に「OnniForums」に参加したことが確認されました。



🔍 米国のサイバーセキュリティ企業のファイアウォールアクセスがプロフェッショナルな初期アクセスブローカーによって販売


• 1月17日、ダークウェブフォーラム「BreachForums」に、米国のサイバーセキュリティ企業のファイアウォールホスティングサーバーへのアクセスが1,000ドルで販売される投稿が公開されました。


• 脅威アクター「miyako」は、最上級の管理者アクセスであるrootアカウントを販売していると主張しました。被害企業の名前は公開されていませんが、収益が8億ドルの企業であると説明されています。


• S2Wのプロファイリングツールによると、脅威アクター「miyako」は昨年8月にフォーラムに参加して以来、200件以上の投稿をアップロードしており、内部システムへのアクセス販売を専門とする「初期アクセスブローカー」として特定されています。



🔍 多国籍IT企業HPEの内部データがダークウェブで販売中


• 「Hewlett Packard Enterprise」の内部データが、初期アクセスブローカー「IntelBroker」によってBreachForumsで漏洩したとされています。


✓ Hewlett Packard Enterprise:HPから2015年に分社したグローバルITエンタープライズソリューション企業


• 脅威アクターは、データにソリューションのソースコード、サーバーアクセス認証情報、ユーザーデータ、さまざまな証明書が含まれていると開示しました。


• 「IntelBroker」は、暗号通貨Moneroを使用してデータを販売しています。



🔍 Telegramチャンネルから45,000台のデバイスが脅威アクターグループに利用される


• 1月21日、Telegramチャンネル「Laneh | Dark」の運営者が、世界中の45,000台のデバイスの通信プロトコルへのアクセスを主張するメッセージをアップロードしました。


• 運営者は、アクセスにはLinuxおよびWindowsサーバー、多国籍監視カメラ、監視制御およびデータ取得(SCADA)システムが含まれていると述べました。


• 一部のCCTV画像には「ONVIF」のようなキーワードが含まれており、ONVIFプロトコルの脆弱性が悪用された可能性を示唆しています。 (ONVIF:ネットワークセキュリティカメラなどの機器間の通信を可能にするための標準プロトコル)


• 運営者は、45,000台のデバイスへの無許可アクセスが行われたが、悪意のある意図はないと述べました。



🔍 世界中の政府機関および企業システムへのVPNアクセスがダークウェブで無料で共有


• 15,000件のグローバルファイアウォールソリューション「FortiNet」のアクセス認証情報がダークウェブフォーラム「BreachForums」で配布されているのが発見されました。


• 脅威アクター「Belsen_Group」は、これらのアカウントを使用して、複数の国々の政府機関や企業ネットワークに侵入し、機密情報を抽出したと述べました。


✓ 侵害データ:IPアドレス、パスワード、設定情報


• 脅威アクターは、特定のオンニオンページで盗まれたデータを無料で提供しています。「Belsen_Group」は、今後もさまざまなデータを盗んで漏洩することを投稿で宣言しました。



以上、1月のニュースまとめをお届けしました。


私たちの記事がためになった方や続きが気になる方は是非フォローお願いします!

📬 Darkpedia: https://s2w.inc/ja/resource/detail/418

脅威分析概要レポート
「Kimsuky」グループのマルウェア「Babyshark」キャンペーン
2025.01.22
前へ
脅威分析レポート
北朝鮮が支援する「KONNI」グループのマルウェア「LINKON」に関する分析レポート
2025.02.14
次へ
一覧