Daily Security Info - 2024/07/12
Tools
N/A
malware campaign
N/A
security report
ランサムウェアプレイブックの内部:攻撃チェーンの分析と共通TTPのマッピング
ランサムウェア攻撃者のTTPを分析
初期アクセスと防御回避が戦略の中心
Zerologonなどの脆弱性を頻繁に悪用
クレデンシャルアクセスにはLSASSメモリのダンプが一般的
商用ツールを使用したC2活動の傾向
cybercrime topics
併せてこちらの販売投稿もあり: https://twitter.com/DailyDarkWeb/status/1811297640966926766
IntelBrokerがIAB系の投稿をしているのは珍しい気がします。
日々のニュース要約
Signal、軽視してきた暗号化キーの欠陥を修正 - Xの騒動後
要約
Signalはデスクトップクライアントの暗号化キー保存方法に関する欠陥を修正
問題は2018年に指摘されたが、当初は軽視されていた
記録されたメッセージの暗号化キーがSignalAppをインストールしたデバイス上で平文で保存されており、この鍵にアクセスできればそのユーザのメッセージ情報を復号できる
最近のXでの議論後、対応が進んだ
ElectronのSafeStorageをサポートすると発表
IOCの列挙
IOC情報なし
推奨事項
デスクトップクライアントのアップデートを確認し、最新バージョンに更新すること
その他
なし
ChatGPTの推奨事項
最新のセキュリティアップデートを適用してください
Google、バグ報奨金を5倍に増額、最高15万1,000ドル
要約
Googleがバグ報奨金を最大15万1,515ドルに増額
セキュリティ研究者への報酬を大幅に引き上げ
新しい報酬体系は2024年7月11日から適用
複数の脆弱性報告が対象
Kernel-based Virtual Machine(KVM)の新VRPも発表
IOCの列挙
IOC情報なし
推奨事項
セキュリティ研究者はGoogleのVRPに参加し、新報酬体系を活用すること
その他
なし
ChatGPTの推奨事項
バグ報告を積極的に行い、新報酬体系を活用してください
ダラス郡:2023年のランサムウェア攻撃で20万人のデータが流出
要約
2023年10月、Playランサムウェア攻撃でダラス郡の20万人の個人情報が流出
流出データには氏名、社会保障番号、運転免許証番号、医療情報などが含まれる
流出したデータの確認に時間がかかったため、ダラス郡は1月に専用コールセンターを設置
郡はセキュリティ対策を強化し、パスワードリセットやEDRソリューションを導入
攻撃の結果、社会保障番号と納税者番号が漏洩した人には、2年間のクレジット監視とID保護サービスを提供
IOCの列挙
IOC情報なし
推奨事項
クレジット監視およびアイデンティティ保護サービスの利用を推奨
その他
攻撃者は、Playランサムウェアグループ
ChatGPTの推奨事項
クレジット監視およびアイデンティティ保護サービスを利用してください
CRYSTALRAYハッカーがSSH-Snakeツールを使い、侵害システムを1,500台に拡大
要約
CRYSTALRAYハッカーが新戦術で1,500台のシステムを侵害
SSH-Snakeワームを使い、SSHキーを盗み、暗号通貨マイナーを展開
CVE-2022-44877などの複数の脆弱性を悪用
脆弱なシステムにバックドアを設置し、恒久的な侵害を維持
SSH-SnakeはGitHubで公開されているOSSのワーム: github.com/SSH-Snake
IOCの列挙
IOC情報なし
推奨事項
SSHキーの管理を強化し、不審なアクセスを監視すること
その他
攻撃者はCRYSTALRAY、動機は金銭目的
ChatGPTの推奨事項
SSHキーの管理を強化してください
Advance Auto Partsのデータ流出、230万人に影響
要約
Advance Auto Partsは2024年6月に大規模なデータ流出を確認
流出データには氏名、社会保障番号、運転免許証番号などが含まれる
被害者には12ヶ月間のID保護とクレジット監視を提供
攻撃者はSnowflakeアカウントへの不正アクセスを介してデータを盗み出した
合計2,316,591人の現職および元従業員や求職者が影響を受けた
IOCの列挙
IOC情報なし
推奨事項
クレジット監視およびアイデンティティ保護サービスの利用を推奨
その他
攻撃者はSp1d3r、動機は金銭目的
ChatGPTの推奨事項
クレジット監視およびアイデンティティ保護サービスを利用してください
60の新たな悪意あるパッケージがNuGetサプライチェーン攻撃で発見
https://thehackernews.com/2024/07/60-new-malicious-packages-uncovered-in.html
要約
60の新たな悪意あるパッケージがNuGetで発見される
攻撃者はインターメディエイト言語(IL)Weavingを使用し、正当なバイナリに不正コードを注入
IL Weavingは、コンパイル後にアプリケーションのコードを変更する .NET プログラミング手法
主な目的はSeroXen RATへ感染させること
今回発見した悪意のあるパッケージはすでに削除された
IOCの列挙
IOC情報なし
推奨事項
開発者はNuGetパッケージを使用する際に慎重に検証すること
その他
なし
ChatGPTの推奨事項
使用するパッケージを注意深く検証してください
中国のAPT41、DodgeBoxとMoonWalkでマルウェア兵器を強化
https://thehackernews.com/2024/07/chinese-apt41-upgrades-malware-arsenal.html
要約
中国のAPT41がDodgeBoxとMoonWalkを用いてマルウェア攻撃を強化
DodgeBoxはMoonWalkバックドアを展開する新しいローダー
MoonWalkはGoogle DriveをC2通信に利用
APT41は以前から企業や政府を標的にする活動で知られる
DodgeBoxはDLLサイドローディングなどの技術を使用
IOCの列挙
hxxp[:]//github[.]com/SSH-Snake,URL,知られている,攻撃手法の説明,NA(IP以外)
推奨事項
DLLサイドローディング対策を強化し、脆弱性管理を徹底すること
その他
攻撃者は、中国のAPTであるAPT41、目的は諜報活動と経済的利益
ChatGPTの推奨事項
DLLサイドローディング対策を強化してください
FishXProxyフィッシングキット、サイバー犯罪者の成功を後押し
https://www.darkreading.com/endpoint-security/fishxproxy-phishing-kit-cybercriminals-success
要約
FishXProxyはエンドツーエンドのフィッシングツールキット。
Cloudflare CDNを利用して検出回避機能を強化。
初心者でも高度なフィッシングキャンペーンが可能に。
HTMLスマグリングで悪意のあるペイロードを配信。
多層防御と人間の脅威インテリジェンスが重要。
IOCの列挙
IOC情報なし
推奨事項
多層防御を導入する
人間の脅威インテリジェンスを強化する
脅威報告ボタンをメールクライアントに追加する
その他
なし
ChatGPTの推奨事項
多層防御と脅威インテリジェンスの強化を直ちに行うこと
オンラインPDFメーカーがユーザーのドキュメントを漏洩
https://cybernews.com/security/online-pdf-maker-leaks-user-documents/
要約
pdf-pro、help-pdfという2つのオンラインPDFメーカーがユーザーデータを漏洩。
データを保存していたS3バケットが公開されていた。バケットには89,000以上のドキュメントが保存。
パスポート、運転免許証、証明書などが含まれる。
サービス提供者への連絡は無視されており、現在も返答がない。
ユーザーはデータが公開されていることに気付かずに利用を続けている。
IOCの列挙
IOC情報なし
推奨事項
バケットの公共アクセスを直ちに制限する
バケットポリシーとアクセス制御リスト(ACL)を変更する
サーバーサイド暗号化を有効にする
その他
なし
ChatGPTの推奨事項
バケットの公共アクセスを直ちに制限し、適切なアクセス制御を設定すること
ランサムウェアギャング、データ窃盗用カスタムマルウェアに投資
https://www.theregister.com/2024/07/10/ransomware_data_exfil_malware/
要約
ランサムウェアギャングがカスタムデータ窃盗マルウェアを開発
BlackByteとLockBitが注目される
BlackByteはExbyteツールを使いデータを盗む
LockBitはStealBitで効率的なデータ窃盗を実現
Cisco Talosが14の主要ランサムウェアグループのTTPを調査
IOCの列挙
IOC情報なし
推奨事項
EDRソリューションを導入し、ランサムウェア攻撃を検知・防止すること
その他
なし
ChatGPTの推奨事項
EDRソリューションを導入してください
日本のインシデント事例
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?