Daily Security Info - 2024/07/23
Tools
N/A
malware campaign
いわゆるdreamjob系の攻撃。
security report
N/A
cybercrime topics
N/A
日々のニュース要約
米国、浄水施設を侵害したロシアのハクティビストに制裁を課す
要約
米政府がロシアのサイバー犯罪者に制裁を課す
「サイバー・アーミー・オブ・ロシア・リボーン(CARR)」の主要メンバーである2人を制裁
Yuliya PankratovaとDenis Degtyarenko
サイバー攻撃は主に水処理施設やエネルギー施設などの重要インフラを狙った
CARRは、2022年から活動を開始。ウクライナ及びウクライナな支援国家に対してDDoS攻撃を実施。2024年1月には米国のエネルギー会社のSCADAシステムへの侵入、テキサス州の貯水ユニットを操作するなどの攻撃も行った。
IOCの列挙
IOC情報なし
推奨事項
重要インフラのセキュリティ強化
不審な活動の即時報告
攻撃防止のための継続的な監視
その他
なし
ChatGPTの推奨事項
重要インフラのセキュリティを直ちに強化すること。
警察がDigitalStress DDoS代行サービスを摘発
要約
英国国家犯罪局(NCA)がDigitalStress DDoS代行サービスを摘発
サイト所有者の逮捕に成功し、通信サービスを通じて顧客データを収集
データは他の法執行機関と共有され、利用者に通知予定
摘発は長期的な取り締まり活動「Operation PowerOFF」の一環
同サービスはNCAと北アイルランド警察が協力して摘発
IOCの列挙
digitalstress[.]su, FQDN名, 知られていない, DDoSフォーハイヤーサービスのドメイン, NA
digitalstress[.]net, FQDN名, 知られていない, DDoSフォーハイヤーサービスのドメイン, NA
推奨事項
DDoS攻撃対策の強化
DDoSサービスの監視とブロック
法執行機関への情報提供
その他
なし
ChatGPTの推奨事項
DDoS攻撃対策を直ちに強化すること。
Telegramのゼロデイ、悪意のあるAndroid APKを動画として送信可能
要約
Telegramのゼロデイ「EvilVideo」がAndroid APKを動画として偽装して送信可能
Ancrynoがこのエクスプロイトをロシアのハッキングフォーラムで販売
ESETがこの脆弱性を発見し、Telegramに通知後、修正済み
悪意のあるAPKが動画として送信されると、Telegramは外部プレーヤーの使用を提案する。受信者が開くをクリックするに加え、不明な場所からのAPKのインストールを許可するようにデバイス設定が必要。
悪意のあるAPKが動作すると、C2サーバー「infinityhackscharan[.]ddns[.]net」と接続
エクスプロイトは、TelegramのWebアプリとTelegram Desktopでは動作しないことをESETは確認。
この脆弱性はTelegram v10.14.4以前に存在
IOCの列挙
infinityhackscharan[.]ddns[.]net, FQDN名, 知られていない, C2サーバー, NA
推奨事項
不審な動画ファイルの削除
Telegramアプリの最新版への更新
モバイルセキュリティスキャンの実施
その他
なし
ChatGPTの推奨事項
Telegramアプリを最新バージョンに今すぐ更新すること。
ロサンゼルス上級裁判所、ランサムウェア攻撃後に閉鎖
要約
ロサンゼルス上級裁判所(LASC)が金曜日にランサムウェア攻撃を受け、月曜日に全36カ所の裁判所を閉鎖
LASCは攻撃を発見した後、侵入を阻止するためにすべてのネットワークシステムを無効化。
データが漏洩した証拠はなく、地元や州、連邦の法執行機関と連携中
インシデントはCrowdStrikeの直近のアップデートによるWindowsでの障害とは無関係のもの
IOCの列挙
IOC情報なし
推奨事項
重要なシステムのバックアップと復元計画を確立
ランサムウェア対策を強化
法執行機関との連携を強化
その他
なし
ChatGPTの推奨事項
重要システムのバックアップを直ちに確認し、復元計画を見直すこと。
スペイン、DDoSiaハクティビストプラットフォームの使用で3人を逮捕
要約
スペイン当局がDDoSiaプラットフォームを使用した疑いで3人を逮捕
逮捕はセビリア、ウエルバ、マナコールで実施
DDoSiaはNoName057が開発したDDoS攻撃ソフト
プラットフォームはウクライナ支援組織への攻撃に使用
DDoS攻撃はEU内のターゲットに対しても続行中
IOCの列挙
IOC情報なし
推奨事項
DDoS攻撃に備えてネットワーク防御を強化
攻撃に関する情報を法執行機関と共有
影響を受けたシステムの復旧を迅速に行う
その他
攻撃者情報: 親ロシアのハクティビストグループNoName057
ChatGPTの推奨事項
DDoS攻撃に対する防御策を今すぐ見直し、強化すること。
マイクロソフト、CrowdStrikeドライバーを削除するWindows修復ツールをリリース
要約
マイクロソフトが不具合のあるCrowdStrikeドライバーを削除するカスタム修復ツールをリリース
この不具合により約850万台のWindowsデバイスがクラッシュ
ツールはUSBから起動し、問題のドライバーを自動的に削除
回復ツールは管理者特権が必要で、FAT32形式のUSBが必要
スクリプトはCrowdStrikeドライバーのバックアップやログを作成しない
IOCの列挙
IOC情報なし
推奨事項
Bitlocker回復キーを事前に準備
ツールを使用して影響を受けたデバイスを修復
問題のCrowdStrikeドライバーを完全に削除
その他
なし
ChatGPTの推奨事項
影響を受けたシステムをすぐに修復ツールで復旧すること。
専門家、中国のサイバー犯罪ネットワークを暴露
https://thehackernews.com/2024/07/experts-uncover-chinese-cybercrime.html
要約
中国の犯罪組織がギャンブルと人身売買に関与
Vigorish Viperがサイバー犯罪の全領域をカバーする高度な「テクノロジースイート」を活用している
中国でフルパッケージを意味する「包网」として販売。DNS構成、ウェブサイトホスティング、広告など様々なコンポーネントを含む。
170,000 を超えるアクティブなドメインを使い、DNS CNAMEによるトラフィック分散システムを用いて監視を回避
フロント企業などを使ってスポーツチームのスポンサーとなり、違法賭博を宣伝していた
IOCの列挙
yabo[.]com, FQDN名, 知られていない, 違法賭博サイト, NA
kb830[.]com, FQDN名, 知られていない, 違法賭博サイトへのリダイレクト, NA
kb[.]com, FQDN名, 知られていない, 違法賭博サイト, NA
推奨事項
DNS監視とフィルタリングを強化
違法サイトのアクセスブロック
人身売買の被害者支援
その他
なし
ChatGPTの推奨事項
DNS設定の監視を強化し、不審な活動を早期に検出すること。
PINEAPPLEおよびFLUXROOTハッカーグループ、Google Cloudを悪用して資格情報フィッシングを実行
https://thehackernews.com/2024/07/pineapple-and-fluxroot-hacker-groups.html
要約
PINEAPPLEとFLUXROOTがGoogle Cloudを利用してフィッシング攻撃を実行
FLUXROOTはMercado Pagoの認証情報を狙い、Google Cloudコンテナを利用
PINEAPPLEはAstarothマルウェアを拡散し、ブラジルのユーザーを標的
両者は正当なクラウドサービスを悪用してフィッシングページをホスト
Googleは悪意のあるプロジェクトを削除し、安全対策を強化
IOCの列挙
IOC情報なし
推奨事項
クラウドサービスの利用を監視
不審なアクティビティの即時報告
メール認証プロトコルの強化
その他
攻撃者情報: FLUXROOTおよびPINEAPPLE、動機は金銭
ChatGPTの推奨事項
クラウドサービスの監視とセキュリティ対策を直ちに強化すること。
SocGholishマルウェア、BOINCプロジェクトを悪用した隠密サイバー攻撃
https://thehackernews.com/2024/07/socgholish-malware-exploits-boinc.html
要約
SocGholishマルウェアがBOINCプロジェクトのアプリや、Async RATリモートアクセス型トロイの木馬を配布
マルウェアは偽のブラウザ更新として拡散
感染したホストは悪意のあるドメインに接続しコマンドを受信
BOINCアプリは「SecurityHealthService.exe」として偽装
2024年6月から悪用が確認され、10,032台が感染
IOCの列挙
rosettahome[.]cn, FQDN名, 知られていない, C2サーバー, NA
rosettahome[.]top, FQDN名, 知られていない, C2サーバー, NA
推奨事項
不審な接続の監視とブロック
BOINCの不正利用対策の強化
感染ホストの即時隔離と修復
その他
BOINCは、Berkeley Open Infrastructure Network Computing Client の略。ボランティア型の分散コンピューティングシステム。
ChatGPTの推奨事項
BOINCクライアントの監視とセキュリティ設定の強化を今すぐ行うこと。
Playランサムウェアの新しいLinuxバリアント、VMware ESXiシステムを標的に
https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html
要約
PlayランサムウェアのLinuxバリアントがVMware ESXiシステムを標的に
ランサムウェアはESXi環境でVMファイルを暗号化し、拡張子「.PLAY」を付与
Prolific Pumaのインフラを利用し、セキュリティ回避を図る
RDGAを使用して新しいドメインを生成し、検出を回避
主な被害は米国、カナダ、ドイツ、英国、オランダで発生
IOCの列挙
108[.]61[.]142[.]190, IPアドレス, 知られていない, C2サーバー, グローバル
推奨事項
VMware ESXiシステムのセキュリティを強化
不審なアクティビティを監視
既知の脅威をブロック
その他
なし
ChatGPTの推奨事項
VMware ESXiシステムのセキュリティを直ちに強化すること。
日本のインシデント事例
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?