見出し画像

Daily Security Info - 2024/06/19

tmho

Tools

N/A

malware campaign

security report

N/A

cybercrime topics

日々のニュース要約

AMDがハッキングフォーラムでデータ販売後の侵害を調査中

https://www.bleepingcomputer.com/news/security/amd-investigates-breach-after-data-for-sale-on-hacking-forum/

  • 要約

    • 脅威アクターのIntelBrokderがAMDから盗み出したとするデータをハッキングフォーラムで販売している。

    • データは、ユーザーID、氏名、職務、勤務先電話番号、電子メールアドレス、雇用状況を含む従業員データベースなどが含まれていると主張。

    • AMDは法執行機関やサードパーティのパートナーと協力して、この侵害の調査を進行中。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • システム全体のセキュリティを強化する。

    • 脆弱なパスワードの使用を避け、強固なパスワードポリシーを実施する。

    • 定期的なセキュリティ監査を行う。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 即時に全てのアカウントのパスワードを強化し、脆弱なパスワードを変更する。

ONNXフィッシングサービスが金融機関のMicrosoft 365アカウントを標的に

https://www.bleepingcomputer.com/news/security/onnx-phishing-service-targets-microsoft-365-accounts-at-financial-firms/

  • 要約

    • ONNX StoreはMicrosoft 365を標的とするフィッシングサービス。

    • QRコード付きPDFを添付したフィッシング。QRをスキャンするとMicrosoft 365 ログイン インターフェイスを模倣したフィッシングページに誘導。

    • このフィッシングキットでは、ユーザーが入力した認証情報とMFAトークンは、WebSocket経由でリアルタイムに攻撃者に送られるため、リアルタイムで対応すればMFAのバイパスもできる。

    • ONNXはTelegramを通じて管理され、月額150ドルから400ドルまでの複数のサブスクリプションオプションを提供。

    • 検出を回避するために、JavaScript コードを使って読み込み中に復号するようにしたり、CloudflareサービスのIPプロキシやボット対策用のCAPTCHAを利用。

    • 攻撃は銀行や金融サービス企業の従業員を狙う。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 未確認の送信元からのPDFとHTML添付ファイルをブロックする。

    • 未信頼または期限切れの証明書を持つHTTPSサイトへのアクセスをブロックする。

    • 高リスクアカウントにFIDO2ハードウェアセキュリティキーを設定する。

  • その他

    • EclecticIQの研究者は、ONNXはアラビア語を話す脅威アクターMRxC0DERが管理するCaffeineフィッシングキットのブランド変更版であると考えているとのこと。

  • ChatGPTの推奨事項

    • 未確認の送信元からのPDFおよびHTML添付ファイルをブロックする。

VMwareが重大なvCenter RCE脆弱性を修正

https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-vcenter-rce-vulnerability-patch-now/

  • 要約

    • VMwareはvCenter Serverのリモートコード実行(RCE)やローカル権限昇格につながる脆弱性を3つ修正。

    • CVE-2024-37079とCVE-2024-37080はネットワークアクセスできる攻撃者がリモートコード実行が可能(CVSSスコア9.8)。

    • CVE-2024-37081は認証されたローカルユーザーがroot権限を取得可能(CVSSスコア7.8)。

    • これらの脆弱性に対するパッチが公開。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • vCenter Serverの最新パッチを直ちに適用する。

    • 定期的にセキュリティ監査を実施する。

    • 権限の管理とネットワークセグメンテーションを強化する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • vCenter Serverの最新パッチを直ちに適用する。

Medibankサイバー攻撃に関する厳しい報告書、未実施のMFAが強調される

https://www.bleepingcomputer.com/news/security/scathing-report-on-medibank-cyberattack-highlights-unenforced-mfa/

  • 要約

    • 2022年のMedibankのサイバー攻撃の調査レポートが公開され、設定ミスとアラートの見逃しなど運用上の失敗から攻撃に至り、970万人の個人情報が窃取されたと指摘。

    • Medibankの従業員が仕事用のPCで個人のブラウザプロファイルでログインしたことにより、仕事用のログインパスワードが個人アカウントに同期された。

    • 個人アカウントを使っている従業員の個人PCが情報窃取型マルウェアに感染。ハッカーは感染したPCから認証情報を盗んだ。これによりMedibankの管理者アカウントにもアクセスできるようになっていた。

    • ハッカーはこの認証情報を使って、VPNにログイン。このVPNはMFAが設定されていなかった。

    • EDRソフトが異常を検知したが、適切に対処されなかった。

    • 調査報告書はMedibankの運用上の失敗を指摘。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • MFAを全てのシステムで有効にする。

    • セキュリティアラートの適切な管理を徹底する。

    • 定期的なセキュリティ監査を実施する。

  • その他

    • 攻撃者はロシアのAleksandr Gennadievich Ermakov。

  • ChatGPTの推奨事項

    • MFAを全てのシステムで有効にする。

FTCがAdobeを不正な解約手続きで告訴

https://www.bleepingcomputer.com/news/legal/ftc-files-complaint-against-adobe-for-deceptive-cancellation-practices/

  • 要約

    • FTCがAdobeとその幹部を不正な解約手続きで告訴。

    • 年間契約の早期終了料を明確に開示せず、解約手続きを複雑にしていた。これはオンラインショッピング客信頼回復法(ROSCA)違反の可能性。

    • FTCは継続中の違反行為を止めるための永続的な差し止め命令や金銭的罰金、不正に得た金銭の返還などを要求。

    • Adobeはこれらの主張を否定し、法廷で争う意向。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 契約条件を明確に開示する。

    • 簡便な解約手続きを提供する。

    • 消費者保護の法律を遵守する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 契約条件と解約手続きを再確認し、必要に応じて改善する。

2人の男性が恐喝スキームで法執行ポータルを侵害した罪で有罪判決

https://www.bleepingcomputer.com/news/security/two-men-guilty-of-breaching-law-enforcement-portal-in-blackmail-scheme/

  • 要約

    • Sagar Steven SinghとNicholas Ceraoloが連邦法執行ポータルをハッキングし、個人情報を恐喝に利用した罪で有罪判決。

    • 「ViLE」ハッキンググループの一員として、活動。ポータルから機密の個人情報を入手し、それを使って被害者を脅迫し、金銭を支払わなければ機密データを公開すると脅迫。

    • 2人は警察官の盗んだアカウントを使って侵入。容疑者、執行措置、諜報報告書に関する機密記録を含む連邦法執行機関の制限付きデータベースにアクセスした。

    • ソーシャルメディア企業から情報を取得し、脅迫して金銭を要求。

    • 他の例として、SinghはInstagramアカウント認証情報を提供しなければ家族を危険に晒すと恐喝し、Ceraoloはバングラデシュ警官を偽装してソーシャルメディアプラットフォームから情報を入手した。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 法執行機関のポータルのセキュリティを強化する。

    • ソーシャルメディアの認証情報を保護する。

    • 定期的なセキュリティ監査を実施する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 定期的なセキュリティ監査を実施する。

偽のGoogle Chromeエラーが悪意のあるPowerShellスクリプトを実行させる

https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/

  • 要約

    • 偽のGoogle Chrome、Word、OneDriveエラーがPowerShellスクリプトの実行を促す。

    • ClearFake、ClickFixと呼ばれる新たな攻撃クラスタ、TA571など複数の攻撃者が関与。

    • これまでのClearFakeでは、Webサイトのオーバーレイを利用して、偽のブラウザ更新を促していた。新しい攻撃では、HTML 添付ファイルや侵害された Web サイト内の JavaScript も利用。

    • ブラウザのエラーを偽装したうえで、訪問者に対して修正するために PowerShellスクリプトを実行するように誘導。

      • PowerShell スクリプトを Windows クリップボードにコピーし、Windows PowerShell (管理者) コンソールで実行して「ルート証明書」をインストールするように訪問者に促す

    • Powershellスクリプトが実行されると、DNSキャッシュのフラッシュ、クリップボードの内容削除、デコイメッセージ表示などの動作を行い、追加のPowershellスクリプトをリモートから取得して実行する。

    • 最終的なペイロードは情報窃取型マルウェアやRAT、マイニングマルウェアなど様々なマルウェアが含まれる。

      • インストールされるマルウェアの例: DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、クリップボード ハイジャッカー、Lumma Stealer

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 未確認の送信元からのスクリプトや添付ファイルをブロックする。

    • PowerShellの使用を制限する。

    • システムのセキュリティソフトを最新の状態に保つ。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 未確認の送信元からのスクリプトや添付ファイルをブロックする。

サイバー犯罪者が無料ソフトを悪用し、Hijack LoaderとVidar Stealerを配布

https://thehackernews.com/2024/06/cybercriminals-exploit-free-software.html

  • 要約

    • 無料または海賊版ソフトを利用してHijack Loaderを配布し、Vidar Stealerを展開。

    • Cisco Webexのトロイの木馬版を使用し、DLLサイドローディングでマルウェアを実行。

    • CMSTPLUA COMインタフェースをエクスプロイトしてUACをバイパスし権限昇格する。そのうえでWindows Defenderの除外リストに追加。

    • PowerShellスクリプトでクリプトマイナーなどもインストール。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 未確認のソースからのソフトウェアダウンロードを避ける。

    • PowerShellの使用を制限する。

    • セキュリティソフトを最新に保つ。

  • その他

    • 攻撃は既に行われている。

    • 攻撃者に関する属性情報はなし。

  • ChatGPTの推奨事項

    • 未確認のソースからのソフトウェアダウンロードを避ける。

日本のインシデント事例

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか?