欧州連合のサイバーセキュリティ機関(CERT-EU)は木曜日、ハッキンググループ TeamPCP がヨーロッパ委員会での大規模な最近のデータ漏洩の背後にいたと述べました。
CERT-EU は、ハッカーがブロックの Amazon Web Services(AWS)アカウントに侵入し、委員会が使用する圧縮データ約92ギガバイトを盗んだと述べました。機関からの新しいレポートによると、データには名前、メールアドレス、一部のメールコンテンツが含まれており、漏洩は3月19日に発生したと述べています。
秘密の Amazon API キーの悪用に依存していたこのハッキングは、委員会の Europa.eu プラットフォームに関与していました。このプラットフォームは AWS クラウドインフラストラクチャ上に存在し、EU 加盟国がブロック機関に属するウェブサイトをホストするために使用されています。レポートによると、42 の内部クライアントと少なくとも 29 の EU 機関に属するデータが盗まれた可能性があります。
レポートによると、データセットには「送信メール通信に関連した」ファイルが少なくともほぼ 52,000 個含まれており、合計 2.2 ギガバイトでした。CERT-EU は、これらのメッセージのほとんどが自動化されており、ほとんどまたはコンテンツがなかったと考えていますが、場合によってはバウンスバック通知が個人データ露出のリスクをもたらす可能性があります。
レポートによると、委員会のサイバーセキュリティ担当者は、3月24日に「Amazon API の潜在的な悪用、潜在的なアカウント侵害、および異常なネットワークトラフィックの増加」に関する通知を受け取ったときに、漏洩を認識しました。
CERT-EU は、ハッカーが Trivy サプライチェーン侵害を通じて初期アクセスを取得したと高い信頼性で考えており、これはハッキンググループ TeamPCP に帰属しています。
レポートによると、脅威アクターは侵害された AWS API キーの「管理権」も取得し、それは「ヨーロッパ委員会に属する他の AWS アカウントへの横方向の移動を許可する可能性がある」述べており、現在そのような移動の兆候はないと述べています。
3月28日、盗まれたデータは ShinyHunters のダークウェブサイトに現れました。このインシデントは、サイバー犯罪組織がハッキングからお金を稼ぐために一緒に働く最新の例である可能性があります。
CERT-EU によると、ShinyHunters は「メールサーバ、データベース [原文ママ]、機密文書、契約、およびはるかに多くの機密材料のデータダンプを盗んだ」と主張しています。
研究者たちは、ハッキングが Trivy 侵害に帰属するのは、そのタイミング、対象とされたリソース、および委員会が「関連期間中に Trivy の侵害されたバージョンを無意識のうちに使用していたという事実によるものと信じており、これは通常のソフトウェア更新チャネルを通じて受け取ったものです。」
Mercor のスポークスパーソンによると、TeamPCP は最近の LiteLLM サイバー攻撃の背後にいると考えられており、これは Mercor および数千の他の組織に影響を与えました。
Aqua Security によると、ハッキンググループは「ワーム駆動型ランサムウェア、データ流出、および暗号化マイニングキャンペーン」に関連付けられています。
翻訳元: https://therecord.media/european-commission-cyberattack-teampcp
