Daily Security Info - 2024/09/19
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Europolが犯罪に使用された「Ghost」暗号メッセージプラットフォームを摘発
要約
Europolは9カ国と協力して暗号メッセージプラットフォーム「Ghost」を摘発。
Ghostは犯罪組織が麻薬取引やマネーロンダリングに使用。
51人が逮捕され、武器や薬物、現金が押収された。
Ghostは高い匿名性とセキュリティを備え、仮想通貨での支払いに対応。
これに対応して、犯罪者はさまざまなレベルのセキュリティと匿名性を提供する、あまり普及していない、あるいは特注の通信ツールに目を向け始めている
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
犯罪ネットワーク向けに使用されたプラットフォーム
ChatGPTの推奨事項
セキュアなメッセージプラットフォームの利用を慎重に判断すること
Xのハッキング攻撃が仮想通貨トークン「$HACKED」のポンプアンドダンプを引き起こす
要約
Xのアカウントに対するハッキング行為が相次ぎ、Solanaのトークン「$HACKED」のポンプアンドダンプが行われた。
何百ものXアカウントがハッキングされ、「$HACKED」トークンの購入を促すツイートを投稿された。
影響を受けたアカウントには、フォロワー数が数百万のものが含まれる。
ハッカーは同一のメッセージを投稿し、トークンのアドレスを公開した。
「これはハッキングされたアカウントです!Solanaで$HACKEDを紹介します。ハッキングしたアカウントごとにトークンのアドレスを公開して、みんなで価格を吊り上げて利益を上げます。」と投稿
トークンの保有者数が急増し、時価総額は短時間で大幅に増加した。
アカウントの侵害方法は不明だが、APIキーの漏洩やサードパーティアプリの不正利用が原因の可能性がある。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
APIキーやアプリ連携を定期的に確認し、不要な連携は解除すること
Microsoft:Vanilla Tempestが医療機関をINCランサムウェアで攻撃
要約
Vanilla Tempest(別名:DEV-0832、Vice Society)は米国の医療機関にINCランサムウェアを使用した攻撃を実施。
攻撃の一環として、Gootloader経由でネットワーク侵入し、SupperマルウェアやAnyDeskを使用した。
攻撃により患者データベースのアクセスが失われ、予定の変更を余儀なくされた。
Vanilla Tempestはランサムウェアのアフィリエイトであり、BlackCat、Quantum Locker、Zeppelin、Rhysidaなどのさまざまなランサムウェアを使用。
Vanilla Tempestは他にも教育、製造業、IT分野を標的にしている。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃者は米国の医療機関を標的としている
ChatGPTの推奨事項
RDPの使用状況を確認し、適切なアクセス制限を行うこと
GitLabが重大なSAML認証バイパス脆弱性を修正
要約
GitLabがSAML認証バイパス脆弱性(CVE-2024-45409)に対する修正をリリース。
脆弱性は、SAMLレスポンスの不十分な検証が原因で、攻撃者が不正にログインできる可能性があった。
GitLab 17.3.3以前のバージョンが影響を受けており、修正が提供された。
GitLabがSAMLベースの認証を処理するために使用するOmniAuth-SAMLおよびRuby-SAMLライブラリの問題が起因。
GitLabは、すべてのアカウントに対して2要素認証(2FA)を有効にし、SAML 2FAバイパスオプションを「許可しない」に設定することを推奨。
この脆弱性が既に攻撃に悪用されているかどうかは明らかにしていないが、既知の攻撃の兆候として、異常なextern_uid値やSAML認証に関するログが示されている。
IOCの列挙
IOC情報なし
推奨事項
GitLabを最新バージョンにアップデートすること
2要素認証を有効にする
その他
なし
ChatGPTの推奨事項
GitLabのインストールを即座に最新バージョンにアップデートすること
Flax Typhoonハッカーが26万台のルーターとIPカメラにマルウェアを感染させる
要約
中国のFlax Typhoonが「Raptor Train」ボットネットで26万台以上のネットワーク機器を感染させた。
このボットネットは、主に米国と台湾の政府、軍事、教育機関、ITセクターを標的とした攻撃に利用された。
Raptor Trainは、2020年5月に開始されていたが、昨年まで発見されなかった。
ペイロードはMiraiマルウェアの変種だが、DDoS攻撃を意図したものではない。2023年12月には米軍、米国政府、ITプロバイダー、防衛産業基盤を標的にしたスキャン活動に使用された。
FBIはマルウェアの駆除作戦を実施。ボットネットを解体した。
ハッカーは感染デバイスを新サーバーに移行しようと試みた。
IOCの列挙
w8510[.]com,FQDN名,知られていない,攻撃に使用されたドメイン,NA
推奨事項
ネットワーク管理者は大規模なデータ転送を監視する。
ユーザーはルーターを定期的に再起動し、最新の更新を適用する。
サポートが終了したデバイスは交換する。
その他
攻撃者は中国政府に関連するとされている。
ChatGPTの推奨事項
ルーターやカメラのファームウェアを即座に更新する。
ロシアのセキュリティ企業Dr.Web、侵害後に全サーバーを切断
要約
Dr.Webは9月14日にサイバー攻撃を受け、全サーバーをネットワークから切断。
同社はウイルスデータベースの更新を一時停止し、セキュリティ診断を実施。火曜日には再開した。
顧客データへの影響はないと発表。
Dr.Webへの攻撃は、ここ数年でサイバー攻撃の標的となった、一連のロシアのサイバーセキュリティ企業の最新の事例。
例えば、親ウクライナのハッカー集団Cyber Anarchy Squadは、6月にロシアの情報セキュリティ企業Avanpostに侵入し、400台以上の仮想マシンを暗号化する前に盗まれたと主張する390GBのデータを流出させた事例がある。
IOCの列挙
IOC情報なし
推奨事項
セキュリティ侵害後の速やかな診断と対応を行う。
その他
攻撃者の詳細な情報は不明。
ChatGPTの推奨事項
企業は侵入検知システムを監視して異常を早期発見する。
中国人エンジニア、NASAと軍事関連のサイバースパイ活動で米国で起訴
https://thehackernews.com/2024/09/chinese-engineer-charged-in-us-for.html
要約
中国のSong WuがNASAや米軍のソフトウェアを狙ったスピアフィッシングを数年間実施。
航空宇宙および軍事用ソフトウェアの不正取得を試みた。
容疑者は中国国営航空企業に勤務
通信詐欺14件と加重身分盗用14件で起訴されており、有罪となれば最大20年の懲役の可能性。
もう1人の中国人も米通信企業への侵入で起訴された。
FBIが捜査を続行中。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
組織はスピアフィッシング対策を強化すべき。
北朝鮮のハッカー、エネルギーおよび航空宇宙産業を新たなMISTPENマルウェアで標的に
https://thehackernews.com/2024/09/north-korean-hackers-target-energy-and.html
要約
UNC2970と呼ばれる北朝鮮のグループがエネルギーと航空宇宙企業を標的にスピアフィッシングを実施。
新たなMISTPENマルウェアを使用し、感染を広げた。
この攻撃は「Operation Dream Job」としても知られており、標的となる人物のプロフィールに合わせて修正された求人情報を装った悪意のあるZIPアーカイブファイルを送りつけるもの。
正規のPDFリーダーアプリケーションであるSumatra PDFのトロイの木馬化されたバージョンが含まれており、BURNBOOKと呼ばれるランチャーによってMISTPENが配信。
攻撃は米国、英国、ドイツなどの国で確認されている。
C2通信にMicrosoft Graphを利用。
UNC2970は、TEMP.Hermitと重複している。TEMP.Hermitは、Lazarus GroupまたはDiamond Sleetとも呼ばれる。
IOCの列挙
IOC情報なし
推奨事項
スピアフィッシングメールの監視とフィルタリングを強化する。
その他
攻撃者は北朝鮮政府のReconnaissance General Bureauに関連。
ChatGPTの推奨事項
スピアフィッシング対策の強化を直ちに行う。
情報窃取マルウェア:ランサムウェア攻撃の早期警告
https://www.darkreading.com/cybersecurity-analytics/infostealers-early-warning-ransomware-attacks
要約
昨年ランサムウェアの被害にあった企業の約3分の1は、攻撃前の数か月間に少なくとも1つのインフォスティーラー感染を経験
情報窃取型マルウェアがランサムウェア攻撃の「炭鉱のカナリア」として役立つ可能性
情報窃取型マルウェアは攻撃者にとって有用な準備手段
初期アクセスブローカー(IAB)とランサムウェア攻撃者の連携
早期警告を利用し防御の強化が可能
IOCの列挙
IOC情報なし
推奨事項
情報窃取マルウェアが検出されたら迅速に対処
ネットワークから盗まれたデータを確認し、認証情報をリセット
攻撃者が利用できないようにAPIキーやトークンも再発行
その他
なし
ChatGPTの推奨事項
情報窃取マルウェアが検出されたら、直ちに認証情報をリセット
過半数の侵害を受けた英国企業が身代金を支払う
https://www.infosecurity-magazine.com/news/over-half-breached-uk-firms-pay/
要約
英国でランサムウェア攻撃が急増、企業が身代金を支払う傾向があることが助長している可能性
8か国、複数の業種にわたる3,100人を超えるITおよびセキュリティの意思決定者を対象にアンケート調査によるレポート「グローバルサイバーレジリエンスレポート2024」によるもの
英国の対象組織では、回答者の53%が過去1年間にランサムウェアの被害に遭っており、2023年の38%から15%増加した。
侵害を受けた53%の企業のうち59%が身代金を支払った。また、英国の回答者の74%は、再度被害に遭った場合も支払うと述べた
英国の回答者の3分の2(66%)が身代金を支払わないという明確なルールを持っているにもかかわらず、支払いを拒否したのはわずか7%だった。
Covewareの調査結果とは対照的です。Covewareの調査では、2024年第2四半期に身代金を支払った被害者の割合はわずか36%で、2019年第1四半期の85%という高水準から減少していた。
IOCの列挙
IOC情報なし
推奨事項
被害を受けた場合、身代金の支払いは推奨されない
サイバー攻撃に対する備えとして、企業はサイバー・レジリエンスを強化すべき
規制や法令は最低限の対応とし、さらなるセキュリティ対策を講じるべき
その他
なし
ChatGPTの推奨事項
ランサムウェア攻撃を受けた場合でも、身代金の支払いを避け、データのバックアップと回復手順を強化すべき
日本のインシデント事例
N/A
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?