dailynews - 2024/04/23
Daily Security Info
Tools
一般的なChat AI(Geminiなど)含め情報を整理したもの(これはそれの紹介ポスト)
整理したGitHubリポジトリ: https://github.com/CScorza/OSINT-IA
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Microsoft:APT28ハッカーがNSAが報告したWindowsの脆弱性を悪用
要約
ロシアのAPT28がWindowsプリントスプーラーの脆弱性(CVE-2022-38028)を悪用
未知のツール「GooseEgg」を使用して特権昇格と情報窃盗
Microsoftが修正済みの脆弱性を悪用していると警告
攻撃はウクライナや西欧の組織が標的
GooseEggは他のマルウェアの起動やコマンド実行を可能に
IOCの列挙
execute[.]bat,URL,知られていない,悪意あるバッチスクリプト名,NA
doit[.]bat,URL,知られていない,悪意あるバッチスクリプト名,NA
servtask[.]bat,URL,知られていない,悪意あるバッチスクリプト名,NA
wayzgoose23[.]dll,FQDN名,知られていない,マルウェア関連のDLLファイル,NA
推奨事項
関連するパッチを直ちに適用する
セキュリティ対策を見直し、強化する
不審なバッチファイルやDLLの動作を監視する
その他
この攻撃は既に多くの組織に対して行われている
攻撃者はロシアの軍関係者と特定されている
CVE-2022-38028は、権限昇格の脆弱性
ChatGPTの推奨事項
直ちにセキュリティパッチを適用し、モニタリングを強化する
Synlab Italia:ランサムウェア攻撃を受けて業務停止
要約
イタリアのSynlabがランサムウェア攻撃を受け業務停止
感染拡大を防ぐため全コンピュータをシャットダウン
医療データの漏洩の可能性があるが確定ではない
システムの復旧作業とマルウェアの除去を進行中
一部サービスの再開を試みるが完全復旧の見通し不明
IOCの列挙
IOC情報なし
推奨事項
システムの完全な復旧とセキュリティの強化
顧客への透明な情報提供と支持の確保
攻撃への対応と復旧プロセスのレビュー
その他
攻撃の詳細や犯人団体については明らかになっていない
ChatGPTの推奨事項
システム復旧と同時にセキュリティ対策の見直しを行う
GitLab:GitHubスタイルのCDN脆弱性でマルウェアがホストされる
要約
GitLabがGitHub同様のCDN脆弱性の影響を受ける
攻撃者はコメント機能を悪用してマルウェアを配布
リポジトリが信頼できると誤認させる罠を設置
GitLabのCDNは未承認のファイルもホスト可能
GitLabもこの問題に対する対策が必要
IOCの列挙
IOC情報なし
推奨事項
リポジトリ管理の監視とセキュリティ強化
コメント機能の安全対策の見直し
不審なアクティビティに対する警戒
その他
攻撃方法はGitHubでの事例と類似
GitHubでの事例はこちら: GitHubのコメントが悪用され、MicrosoftのリポジトリURLを介してマルウェアが拡散
ChatGPTの推奨事項
コメントを介した不正なファイルアップロードに注意し、セキュリティ対策を強化する
ロシアのサンドワームハッカー、ウクライナの20の重要機関を標的に
要約
サンドワーム(APT44)がウクライナの重要インフラに攻撃していると、ウクライナCERT(CERT-UA)
2024年3月に、ウクライナの 10 地域のエネルギー・水道・暖房供給業者の情報通信システムを妨害する作戦を実行
サプライチェーン攻撃や、ソフトウェアプロバイダーなど組織のシステムにアクセスできる機能を持つ組織を通じて侵入する手法を使用
既知のものに加え、新型マルウェア「BIASBOAT」と「LOADGRIP」を利用
少なくとも3つのサプライチェーンが侵害されたことを確認
通信はHTTPSを通じてセキュリティ保護されている
IOCの列挙
BIASBOAT.so,FQDN名,知られていない,Linuxマルウェア,NA
LOADGRIP.so,FQDN名,知られていない,プロセスインジェクションマルウェア,NA
GossipFlow,URL,知られていない,通信隠蔽を図るマルウェア,NA
推奨事項
サプライチェーンのセキュリティ検証を強化
不審なファイルやプロセスの監視
その他
CERT-UAは、この攻撃はロシアのミサイル攻撃の効果を高める目的があると考えている
ChatGPTの推奨事項
供給チェーンの監査とセキュリティ強化を直ちに行う
ロシアのハッカーグループToddyCat、先進的ツールを用いて大規模データ窃盗
https://thehackernews.com/2024/04/russian-hacker-group-toddycat-uses.html
要約
ToddyCatがアジア太平洋地域の主に政府機関(一部は防衛関連)を狙う
Samraiというバックドアを利用してアクセス維持
データ収集とアップロードの自動化ツールを使用
OneDriveを通じてデータを外部へ転送
防御機能を回避する技術を積極的に使用
IOCの列挙
boot[.]exe,FQDN名,知られていない,マスキングされたVPNソフトウェア,NA
mstime[.]exe,FQDN名,知られていない,隠蔽された通信ソフトウェア,NA
netscan[.]exe,FQDN名,知られていない,隠蔽された通信ソフトウェア,NA
kaspersky[.]exe,FQDN名,知られていない,偽装された通信ソフトウェア,NA
推奨事項
ファイアウォールで特定のリソースをブロック
ブラウザでのパスワード保存を避ける
その他
攻撃は主にアジア太平洋地域の防衛関連機関を標的に
ChatGPTの推奨事項
ファイアウォール設定の見直しとブラウザのセキュリティ強化を行う
日本のインシデント事例
N/A
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?