Daily Security Info - 2024/06/29
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Infosys McCamish、LockBitによる攻撃で600万人のデータが窃取されたことを公表
要約
Infosys McCamish Systems (IMS)は、今年初めにあったLockBitの攻撃で600万人以上の個人データが流出したことを発表。
攻撃は2023年11月に発生し、57,000人のBank of America顧客も被害。
被害データにはSSN、パスワード、金融情報などが含まれる。
IMSは、Krollが提供する無料の2年間の個人情報保護とクレジット監視サービスを提供。
影響を受けた他の顧客の特定は進行中。
IOCの列挙
なし
推奨事項
ID保護と信用監視サービスを利用。
サイバーセキュリティ対策を強化。
定期的なセキュリティ監査を実施。
その他
攻撃者はLockBitで、金銭的動機。
ChatGPTの推奨事項
無料のID保護と信用監視サービスを利用する。
大手乳製品メーカーAgropur、データ漏洩で顧客情報が露出
要約
Agropurはデータ漏洩により一部顧客情報が露出したことを報告。
影響は共有オンラインディレクトリの一部に限定。取引システムには影響なし、業務は通常通り。
漏洩の範囲と影響を調査中、外部のサイバーセキュリティ専門家と協力。
顧客に注意喚起し、フィッシング詐欺への警戒を促す。
現時点で窃取された情報を悪用されている証拠はなし。
IOCの列挙
なし
推奨事項
フィッシングメールに注意。
アカウントのセキュリティ設定を強化。
定期的にセキュリティ監査を実施。
その他
なし
ChatGPTの推奨事項
フィッシングメールに警戒し、不審なリンクを開かない。
Ticketmaster、大規模データ漏洩について通知を送付
要約
TicketmasterがSnowflakeデータベースから顧客データが漏洩したことを通知。
漏洩は2024年4月から5月に発生し、数百万人の顧客情報が影響。
流出データには氏名、連絡先情報、ハッシュ化されたクレジットカード情報が含まれる。
同社は1年間の無料IDモニタリングを提供。
ShinyHuntersがデータをハッキングフォーラムで販売していた。
IOCの列挙
なし
推奨事項
IDモニタリングサービスを利用。
セキュリティ設定を強化。
不審な活動を監視。
その他
攻撃は既に行われている。
攻撃者はShinyHuntersで、金銭的動機。
ChatGPTの推奨事項
IDモニタリングサービスを直ちに利用する。
TeamViewer、企業のサイバー攻撃をロシアの国家ハッカーと関連付ける
要約
TeamViewerは、ロシアの国家支援ハッカーMidnight Blizzard(APT29)が最近の企業ネットワーク侵害の背後にいると発表。
攻撃は2024年6月26日に発生し、社員の資格情報が使用された。
プロダクション環境や顧客データへのアクセスは確認されていない。
TeamViewerは、多層的な防御策を強化している。
調査が進むにつれて新たな情報が出てくる可能性もあるため、ユーザーは多要素認証の使用と許可されたユーザーのみアクセスできるように制限し、TeamViewerログを監視することを推奨。
IOCの列挙
なし
推奨事項
多要素認証を有効にする。
許可リストとブロックリストを設定する。
ネットワーク接続とログを監視する。
その他
攻撃者はロシアのMidnight Blizzard(APT29)、動機はサイバースパイ活動。
ChatGPTの推奨事項
多要素認証を直ちに有効にする。
Polyfill.io、BootCDN、Bootcss、Staticfileの攻撃が1人のオペレーターにまで遡る
要約
Polyfill.io、BootCDN、Bootcss、Staticfileの大規模なサプライチェーン攻撃が1人のオペレーターにより実行された。
Polyfill.io の運営者とされる人物が、GitHubリポジトリでCloudflareのシークレットキーを誤って公開していたことがわかり、攻撃の関連性が判明。
攻撃は2023年6月から続いており、影響は数百万サイトに及ぶ。
CloudflareとGoogleはサプライチェーン攻撃のリスクを警告。
Polyfillは再開後のドメインも短期間で閉鎖。
IOCの列挙
IOC情報なし
推奨事項
サービスの使用を控え、代替CDNを利用。
ウェブサイトのコードを監査し、不審なリンクを除去。
ネットワークログを監視し、不審な活動を検出。
その他
なし
ChatGPTの推奨事項
サービスの使用を控え、代替CDNを直ちに利用する。
元IT社員、100万人以上の米国患者のデータにアクセス
要約
Geisingerの契約しているITサービスプロバイダーであるNuanceの元社員が解雇後にも患者データに不正アクセスしていた。
2023年11月にGeisingerが検出しNuanceへ報告。Nuanceは直ちにブロックした。
影響を受けたデータには氏名、電話番号、住所などが含まれる。
金融データ(保険情報、クレジットカードの詳細、銀行口座番号など)や社会保障番号は影響なし。
被害者に対し、自分の明細を注意深く確認し、見覚えのない記載があった場合は直ちに健康保険会社に連絡するよう注意喚起。
IOCの列挙
なし
推奨事項
不審な活動を監視。
健康保険会社に不正利用を報告。
IDモニタリングサービスを利用。
その他
攻撃者は元社員で、動機は不明。
ChatGPTの推奨事項
不審な活動を監視し、健康保険会社に報告する。
BlackSuitランサムウェアギャング、KADOKAWAへの攻撃を主張
要約
BlackSuitランサムウェアギャングがKADOKAWAへのサイバー攻撃を主張。
攻撃は2024年6月8日に発生し、同社の複数のサービスが影響を受けた。
KADOKAWAはシステムの復旧に取り組んでおり、会計機能と出版事業における製造・流通機能の回復を優先し対応を進めている。
攻撃者は身代金を支払わない場合、7月1日にデータを公開すると脅迫している。
BlackSuitはRoyalランサムウェアのリブランドで、ロシアの犯罪組織に関連。
IOCの列挙
IOC情報なし
推奨事項
システムのセキュリティ強化。
ランサムウェア対策の徹底。
定期的なバックアップの実施。
その他
攻撃者はBlackSuitランサムウェアギャングで、金銭的動機。
ChatGPTの推奨事項
ランサムウェア対策を直ちに強化する。
新たなUnfurling Hemlock脅威アクターがシステムにマルウェアを大量投入
要約
Unfurling Hemlockと呼ばれる脅威アクターが複数のマルウェアに同時に感染させる数十万の悪意のあるファイルを配布するキャンペーンを発見。
攻撃は、少なくとも2023年2月から始まっており、独特な配布方法を使う。
配信されるマルウェアの種類には、情報窃取型マルウェア、ボットネット、バックドアなど様々。
「WEXTRACT.EXE」を使用。このEXEファイルには圧縮キャビネットファイルがあり、解凍すると中にマルウェアと、他のマルウェアが含まれる圧縮ファイルが含まれる。連鎖的に回答してマルウェアを展開し、最後に実行する。
主なターゲットは米国で、ドイツ、ロシアなどでも活動。攻撃者は東ヨーロッパに拠点を置くと推定。
IOCの列挙
なし
推奨事項
ダウンロードファイルをウイルススキャン。
定期的にシステムのセキュリティを確認。
疑わしい活動を監視。
その他
なし
ChatGPTの推奨事項
ダウンロードファイルを常にウイルススキャンする。
Kimsuky、TRANSLATEXT Chrome拡張機能を使用して機密データを盗む
https://thehackernews.com/2024/06/kimsuky-using-translatext-chrome.html
要約
北朝鮮のハッカーグループKimsukyがTRANSLATEXTという悪意のあるChrome拡張機能を使用。
拡張機能は、メールアドレス、ユーザー名、パスワード、クッキー、ブラウザのスクリーンショットを収集。
主なターゲットは韓国の学術機関で、北朝鮮の政治問題に焦点を当てた学術関係が特に狙われた。
Zscaler ThreatLabzが2024年3月に活動を観測。
拡張機能はGoogle Translateを装い、セキュリティを回避。
IOCの列挙
なし
推奨事項
Chrome拡張機能の使用を控え、セキュリティを強化。
メールとブラウザのアクティビティを監視。
定期的にセキュリティチェックを実施。
その他
攻撃者は北朝鮮のKimsukyで、スパイ活動が動機。
ChatGPTの推奨事項
不審なChrome拡張機能を直ちに削除する。
進化するSaaSキルチェーンへの対策:脅威アクターに先んじる方法
https://thehackernews.com/2024/06/combatting-evolving-saas-kill-chain-how.html
要約
SaaSキルチェーンの進化により、従来のセキュリティ対策が通用しなくなっている。
SaaS環境では、サービスアカウントやIDの監視が不十分であることが多い。
Zero TrustアーキテクチャをSaaSに適用し、セキュリティ設定のドリフトを防ぐことが重要。
Shadow IT SaaSの検出と対応プログラムの整備が推奨される。
SaaS攻撃の多くは従来のネットワークを超えて広がる。
IOCの列挙
なし
推奨事項
SaaSシステムの衛生管理を強化。
機械アカウントとIDの監視を徹底。
真のZero Trustアーキテクチャを構築。
その他
なし
ChatGPTの推奨事項
SaaSシステムのセキュリティ設定を見直し、強化する。
新しい「Poseidon」情報窃取型マルウェアキャンペーンがMacユーザーを狙う
https://cybernews.com/security/poseidon-malware-infostealer-macos-users-arc-browser/
要約
「Poseidon」と名付けられた再ブランド化された情報窃取型マルウェアを配布するマルバタイジングキャンペーンを発見。
偽のGoogle広告を通じてArcブラウザのダウンロードを装う。偽サイトにホストされているDMGファイルをダウンロードして実行すると感染。
マルウェアはRodrigo4によって作成され、OSX.RodStealerの再ブランド化されたもの。
ファイルグラバー、暗号ウォレット抽出、パスワードマネージャースティーラー機能を持つ。
ユーザーに広告ブロッカーの使用を強く推奨。
IOCの列挙
arc-download[.]com,URL,知られていない,偽のArcブラウザサイト,NA
推奨事項
広告ブロッカーを使用して悪意のある広告を防ぐ
信頼できるサイトからのみアプリをダウンロードする
ダウンロード時に注意を払う
その他
マルウェア作成者はRodrigo4として知られる脅威アクター
ChatGPTの推奨事項
広告ブロッカーを導入し、悪意のある広告を防ぐこと
日本のインシデント事例
N/A
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?