Daily Security Info - 2024/05/31
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
新しい情報窃取型マルウェア:ghost stealerがアナウンス
Price: $100 / lifetime
日々のニュース要約
5億6000万人のTicketmaster顧客データが漏洩後に販売
要約
ShinyHuntersがTicketmasterの5億6000万顧客の個人・金融情報を販売
最初はExploitフォーラムで売りに出され、その後に最近復活したBreachForumsで売りに出された
データは1.3TBに及び、2012年から2024年の取引情報を含む
Ticketmasterはコメントしていないが、データは同社からのものと確認
vx-undergroundがTicketmasterに侵入したとされる何人かの脅威アクターと話をしたと主張。彼らは、「MSPから転換することで」同社のAWSインスタンスからデータを盗むことができたと述べた
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃者はShinyHuntersとして知られる個人またはグループ
ChatGPTの推奨事項
影響を受けた顧客はクレジットモニタリングサービスを利用すること
2023年のミステリアスな攻撃で600,000台のルーターを破壊したマルウェアボットネット
要約
Pumpkin Eclipseと呼ばれるマルウェアボットネットが2023年に60万台のSOHOルーターをオフラインにした
2023年10月25日から10月27日の間に中西部の多くの州でインターネットアクセスが中断。被害者はルーターの交換などが必要になった。
攻撃は特定のISPと、同社が使用していた3つのルーターモデル(ActionTec T3200s、ActionTec T3260s、Sagemcom F5380)に集中
このISPは、Pumpkin Eclipseの攻撃により、モデムの稼働数が49%減少した。
攻撃は米国中西部の多数の顧客に影響を与えた
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
不審なルーターの動作に注意し、定期的なセキュリティチェックを行うこと
Everbridge、企業システム侵害でビジネスデータが流出
hxxps://www.bleepingcomputer.com/news/security/everbridge-warns-of-corporate-systems-breach-exposing-business-data/
要約
Everbridgeの企業システムが攻撃を受け、ビジネスデータが流出
攻撃者はフィッシング攻撃で従業員の情報を収集。得られた情報を使ってEverbridgeに侵入した。
5月21日に攻撃を検出。
BleepingComputerが捜査に近い情報筋に取材したところ、一部の顧客情報が流出し、影響を受けた顧客には通知済みであるとの情報を得た
6月3日までに全アカウントでMFAを必須化
IOCの列挙
IOC情報なし
推奨事項
全管理者アカウントでMFAを有効にすること
SSOをサポートする場合、EverbridgeログインにSSOを使用すること
その他
攻撃者の情報なし
ChatGPTの推奨事項
MFAを直ちに有効にしてください
Cooler Master、データ侵害で顧客情報が流出
hxxps://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/
要約
5月19日にCooler Masterのデータが流出
攻撃者がFanzoneサイトを侵害し、500,000人以上の顧客データを取得
流出データには個人情報や製品情報が含まれる
クレジットカード情報の一部も含まれると主張
影響を受けた顧客に通知中
IOCの列挙
IOC情報なし
推奨事項
個人情報の保護対策を強化すること
フィッシングメールに注意すること
その他
攻撃者は、Ghostrと知られる脅威アクター
ChatGPTの推奨事項
フィッシングメールに注意し、個人情報を保護してください
BBC、現在および元従業員に影響を与えるデータ侵害
hxxps://www.bleepingcomputer.com/news/security/bbc-suffers-data-breach-impacting-current-former-employees/
要約
BBCがデータセキュリティインシデントを発表
約25,000人の現在および元従業員の個人情報が流出
流出データには氏名、国民保険番号、出生年月日、住所などが含まれる
影響を受けた個人にはメールまたは郵送で通知
現時点でデータの悪用の証拠はなし
IOCの列挙
IOC情報なし
推奨事項
不審な連絡には注意し、個人情報を提供しないこと
2要素認証を有効にすること
その他
攻撃者の情報なし
ChatGPTの推奨事項
2要素認証を直ちに有効にしてください
警察、100以上のマルウェアローダーサーバーを押収し、4人のサイバー犯罪者を逮捕
hxxps://www.bleepingcomputer.com/news/security/police-seize-over-100-malware-loader-servers-arrest-four-cybercriminals-operation-endgame/
要約
国際捜査「Operation Endgame」により、100以上のマルウェアローダーサーバーが押収
IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBCなどのマルウェア運営者を対象
4人のサイバー犯罪者を逮捕、8人が逃亡中
サーバーはヨーロッパと北米に分散
サーバーは2,000以上のドメインをホスト
IOCの列挙
IOC情報なし
推奨事項
サイバーセキュリティ対策を強化すること
信頼できるセキュリティソフトを使用すること
その他
なし
ChatGPTの推奨事項
サイバーセキュリティ対策を強化してください
サイバー犯罪者、Stack Overflowユーザーを装いマルウェアを配布
hxxps://www.bleepingcomputer.com/news/security/cybercriminals-pose-as-helpful-stack-overflow-users-to-push-malware/
要約
サイバー犯罪者がStack Overflowユーザーを装い、マルウェアを配布
マルウェアは「pytoileur」と名付けられた悪意あるPyPiパッケージ
「助けるふり」をして、マルウェアを含むコードを回答として投稿(実例: https://archive.is/MU5JA )
パッケージは情報窃取マルウェアをダウンロード・実行。被害者の個人情報やブラウザデータを盗む
パッケージ概要には、「Cool package」と記載。昨年 Windows ユーザーをターゲットにした既知のCool packageキャンペーンの一部であることを発見。
IOCの列挙
IOC情報なし
推奨事項
不審なパッケージは導入前に確認すること
信頼できるソースからのみパッケージをダウンロードすること
その他
攻撃者の情報なし
ChatGPTの推奨事項
パッケージ導入前に信頼性を確認してください
FlyingYeti、WinRARの脆弱性を悪用し、ウクライナでCOOKBOXマルウェアを配布
hxxps://thehackernews.com/2024/05/flyingyeti-exploits-winrar.html
要約
FlyingYetiがWinRARの脆弱性を利用し、COOKBOXマルウェアをウクライナで配布
借金をテーマにしたおとり広告を使用して、悪意のあるファイルを開かせる
COOKBOXはPowerShellベースのマルウェアで、追加のペイロードをインストール可能
被害者のシステムを制御し、情報窃取を目的とする
IOCの列挙
komunalka[.]github[.]io,URL,知られていない,偽のウェブサイト,NA
postdock[.]serveftp[.]com,FQDN名,知られていない,C2サーバー,NA
推奨事項
不審なリンクや添付ファイルを開かないこと
最新のセキュリティパッチを適用すること
その他
攻撃者は、FlyingYetiと呼ばれる脅威アクターであり、ロシアと連携
ChatGPTの推奨事項
最新のセキュリティパッチを直ちに適用してください
LilacSquid、IT、エネルギー、製薬セクターを標的にしたサイバースパイ活動
hxxps://thehackernews.com/2024/05/cyber-espionage-alert-lilacsquid.html
要約
LilacSquidがIT、エネルギー、製薬セクターを標的にしたサイバースパイ活動を実施
少なくとも2021年以降活動しており、米国、ヨーロッパ、アジアのさまざまな分野にまたがる標的型攻撃に関連付けられる
公開された脆弱性やRDP資格情報を悪用して攻撃
MeshAgentというOSSのリモート管理ツールを悪用して、カスタムマルウェア「PurpleInk」を配布
PurpleInkは多機能で情報窃取、リモートシェルの実行などが可能
RDPからの侵害では、InkLoaderも使われる。
IOCの列挙
IOC情報なし
推奨事項
最新のセキュリティパッチを適用すること
不審なRDPログインを監視すること
その他
以下の戦術において、この攻撃は北朝鮮のAPTであるAndariel及びその親グループであるLazarusとの重複が見られる。関連している可能性がある。
MeshAgentが、侵害後の活動として用いられた点
インフラへの通信チャネルとして、 Secure Socket Funneling(SSF) が用いられた点
ChatGPTの推奨事項
最新のセキュリティパッチを直ちに適用してください
欠陥のあるAIツールがプライベートLLMとチャットボットに懸念を引き起こす
要約
プライベートLLMを使用し、ビジネスデータの検索などを行っている企業にデータ漏洩リスク。
適切なセキュリティ管理をしなければ、データ汚染や潜在的なデータ漏洩のリスクに直面すると専門家は指摘。
SynopsysがEmbedAIコンポーネントのCSRF脆弱性を報告。これにより、ユーザをだますことで、汚染されたデータを言語モデルにアップロードさせることができる可能性
LLM自身よりも、LLM周辺のツールの脆弱性が問題。
Rayフレームワークの脆弱性が教育機関などで悪用される。
AIシステムのセキュリティ設計とレビューが不十分。
IOCの列挙
IOC情報なし
推奨事項
LLM周辺のツールの定期的なセキュリティテストを実施。
データセグメンテーションを行い、アクセス制限を強化。
使用するソフトウェアコンポーネントの更新と制御を徹底。
その他
なし
ChatGPTの推奨事項
LLM周辺のツールのセキュリティテストを定期的に実施してください。
警察がサイバー犯罪者を挑発する手法を採用
https://www.wired.com/story/cop-cybercriminal-hacker-psyops/
要約
警察がサイバー犯罪者に心理戦を使用して活動を妨害。
LockBitランサムウェアグループを標的にし、内部情報を公開。参加したアフィリエイト194アカウントに対し、ユーザー名・ログイン・姓を公開。
LabHostのテイクダウンでは、個人化されたメッセージでハッカーに圧力をかける。このサービス利用時のIPアドレスや被害者の国など活動を記録したビデオを使い、監視していることを警告した。
信頼を揺るがすことで、犯罪者間の不信感を増幅。
米国の研究機関がサイバー心理学を活用した防御策を研究。
IOCの列挙
IOC情報なし
推奨事項
サイバー心理学を活用した防御策の検討。
サイバー犯罪者への心理的対策の実施。
定期的なセキュリティ監査と脅威分析の強化。
その他
なし
ChatGPTの推奨事項
サイバー心理学を活用した防御策を検討してください。
追記
個人的にはRaaS形式のランサムウェアグループのような、疎な結合でやってる複数組織の連合に対しては、とても有益な活動だと思います。
DataBreachesがこの記事に関するコメントをしています。これもためになりますので、ご参考にしてください: link
日本のインシデント事例
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?