Daily Security Info - 2024/06/28

tmho

2024年6月28日 07:01

Tools

hacking-notes
- セキュリティ関連の情報をredteam・blueteam共に載せているサイト。
- まだ載せている情報は多くはないですが、今後情報が増えていくといいですね。

malware campaign

LatrodectusからBackConnectやKeyholeVNCへの感染
- 誘導の部分も気になりますが現状は不明なようですね。

security report

N/A

cybercrime topics

N/A

日々のニュース要約

米国、ロシアGRUハッカーを起訴し1000万ドルの懸賞金を提供

https://www.bleepingcomputer.com/news/security/us-indicts-russian-gru-hacker-offers-10-million-reward/

要約
- 米国司法省はロシアのGRUハッカー、アミン・ティモビッチ・スティガルを起訴。
- スティガルはウクライナ政府のネットワーク攻撃に関与。
- WhisperGateマルウェアを使用しデータを破壊。WhisperGateは疑似ランサムウェアであり、実際にはデータ破壊を目的としたワイパーマルウェア。
- 懸賞金1000万ドルが提供され、情報提供が呼びかけられる。
- スティガルは他の国々のインフラにも攻撃を行った。
IOCの列挙
- なし
推奨事項
- 懸賞金情報の提供を促進。
- 攻撃に関するインフラの強化。
- サイバーセキュリティ対策の徹底。
その他
- なし
ChatGPTの推奨事項
- 懸賞金情報提供のための協力を検討。

TeamViewerのコーポレートネットワークがAPTハッキングにより侵害される

https://www.bleepingcomputer.com/news/security/teamviewers-corporate-network-was-breached-in-alleged-apt-hack/

要約
- TeamViewerのコーポレート環境がAPTハッカーグループにより侵害された。
- 攻撃は6月26日に発見され、即座に対応が行われた。
- 侵害されたのは社内IT環境。Teamviewerは社内IT環境はプロダクション環境とは完全に分離されており、プロダクション環境や顧客データへの影響は確認されていないとコメント。
- 攻撃者はAPT29（ロシアSVRに関連）とされる。
- 調査が進行中であり、さらなる情報提供が予定されている。
IOCの列挙
- なし
推奨事項
- ログを確認して異常なリモートデスクトップトラフィックを検出する。
- サイバーセキュリティ対策を強化する。
- 侵害の透明性を確保し、顧客に情報を提供する。
その他
- 攻撃者はロシアのAPT29であり、サイバースパイ活動を目的として多くの攻撃に関与。なお、本件の攻撃目的に関する言及は本記事には記載なし。
ChatGPTの推奨事項
- リモートアクセスツールの使用ログを定期的に確認する。

GitLabの重大なバグにより攻撃者が任意のユーザーとしてパイプラインを実行可能

https://www.bleepingcomputer.com/news/security/critical-gitlab-bug-lets-attackers-run-pipelines-as-any-user/

要約
- GitLabのCE/EEに重大な脆弱性（CVE-2024-5655(CVSSv3.1:9.6)）が発見された。
- 攻撃者は任意のユーザーとしてパイプラインを実行可能。
- 影響を受けるバージョンは15.8から16.11.4、17.0.0から17.0.2、17.1.0。
- GitLabは修正パッチをリリースし、迅速なアップデートを推奨。
- 他にも13の脆弱性が修正され、うち3件は高リスクと評価。
IOCの列挙
- なし
推奨事項
- すべての影響を受けるGitLabインストールを最新バージョンにアップデートする。
- パイプライン実行設定を再確認し、必要な調整を行う。
- セキュリティログを監視し、不審な活動を検出する。
その他
- なし
ChatGPTの推奨事項
- GitLabの最新バージョンに直ちにアップデートを行う。

Polyfill、名誉毀損を主張しドメイン停止後に復帰

https://www.bleepingcomputer.com/news/security/polyfill-claims-it-has-been-defamed-returns-after-domain-shut-down/

要約
- Polyfill.ioは悪意のあるコード配信を理由にドメインが停止された。
- サービスはPolyfill.comで再開され、名誉毀損を主張。
- Polyfillはcloudflareを通じた静的キャッシュでサプライチェーンリスクはないと主張。
- CloudflareとGoogleは依然としてサプライチェーン攻撃のリスクを警告。
- 開発者はPolyfill.ioの使用を避け、代替サービスを検討するよう促されている。
IOCの列挙
- cdn[.]polyfill[.]io, FQDN名, 知られていない, サプライチェーン攻撃に関連, NA
- google-anaiytics[.]com, FQDN名, 知られていない, マルウェアリダイレクトに使用, NA
推奨事項
- Polyfillサービスの使用を控える。
- 代替の信頼できるCDNを使用。
- ウェブサイトのコードを定期的に監査する。
その他
- なし
ChatGPTの推奨事項
- Polyfillの使用を直ちに中止し、代替のCDNを利用する。

Cloudflare: Polyfill.ioに名前の使用を許可したことはない

https://www.bleepingcomputer.com/news/security/cloudflare-we-never-authorized-polyfillio-to-use-our-name/

要約
- CloudflareはPolyfill.ioの名前とロゴの無断使用を非難。
- Polyfill.ioは悪意のあるコードを配布し、サプライチェーン攻撃に関与。
- Cloudflareは自動URL書き換えサービスを提供し、安全なミラーCDNに置き換え。
IOCの列挙
- cdn[.]polyfill[.]io, FQDN名, 知られていない, 悪意のあるコード配信に使用, NA
推奨事項
- Polyfill.ioの使用を中止し、代替CDNを利用。
- ウェブサイトのコードを監査し、Polyfill.ioのリンクを除去。
- Cloudflareの自動URL書き換えサービスを利用。
その他
- 攻撃は既に行われている。
ChatGPTの推奨事項
- Polyfill.ioのリンクを直ちに除去し、安全な代替サービスを使用する。

中国のサイバースパイ、気をそらすためにランサムウェアを使用

https://www.bleepingcomputer.com/news/security/chinese-cyberspies-employ-ransomware-in-attacks-for-diversion/

要約
- 中国のサイバースパイがランサムウェアを使用して攻撃の責任を曖昧にし、注意をそらす。
- ChamelGangがCatBランサムウェアを使用し、世界中の主要組織を攻撃。
- 他のAPTでは、BestCryptやBitLockerといった正規ツールをランサムウェアに悪用。攻撃者の特定を困難にする。
- 攻撃の目的はデータ収集で、ランサムウェアはカモフラージュや侵害の証拠を削除するなどの目的で利用。
- SentinelLabsとRecorded Futureがこれらの活動を報告。
IOCの列挙
- なし
推奨事項
- ランサムウェア対策を強化する。
- セキュリティログを監視し、不審な活動を早期に検出。
- 最新のセキュリティ情報を確認し、対策を講じる。
その他
- 攻撃者は中国のAPT。
ChatGPTの推奨事項
- ランサムウェア対策を直ちに強化する。

Vanna AIのプロンプトインジェクションの脆弱性によりRCE攻撃にさらされる

https://thehackernews.com/2024/06/prompt-injection-flaw-in-vanna-ai.html

要約
- Vanna.AIの重大な脆弱性（CVE-2024-5565(CVSSv3.1:8.1)）が発見された。
- プロンプトインジェクションによりリモートコード実行（RCE）が可能。特に「ask」関数が悪用されるリスクがある。
- CVE-2024-5565は、VannaがText-to-SQLを使ってSQLクエリを作成し実行した後、Plotlyを使用してユーザーにグラフ表示する機能を悪用。このSQLクエリの生成をする主要なAPIエンドポイントがask関数。
- visualizeをTrue(デフォルト)にしてask関数への外部入力を許可すると、リモートコード実行につながる可能性
- Vannaは修正ガイドを発表し、サンドボックス環境での使用を推奨。
- JFrogとTong Liuが独立して脆弱性を公開。
IOCの列挙
- なし
推奨事項
- Vanna.AIの「ask」関数をサンドボックス環境で使用。
- プロンプトインジェクション対策を強化。
- 定期的にセキュリティアップデートを確認。
その他
- VannaはPythonベースの機械学習ライブラリ。
ChatGPTの推奨事項
- Vanna.AIの「ask」関数をサンドボックス環境で使用する。

危険なAIの回避策：「スケルトンキー」が悪意あるコンテンツを解放

https://www.darkreading.com/application-security/dangerous-ai-workaround-skeleton-key-unlocks-malicious-content

要約
- 新たな「スケルトンキー」攻撃がAIモデルのガードレールを回避。
- 禁止されたリクエストを、それが研究目的であるなどの言葉を加えることで、通常提供できないはずの悪意ある内容を回答。
- MicrosoftはAzure AIを更新し、この問題を修正。
- 他のAIモデルも同様の脆弱性を持つ可能性。
- 入力・出力フィルタリングの導入が推奨される。
IOCの列挙
- IOC情報なし
推奨事項
- 入力フィルタリング: 付随する免責事項に関係なく、有害または悪意のある意図を含むリクエストを識別
- ガードレールの追加: セーフティガードレールの指示を損なおうとするあらゆる試みを防止する必要があることを指示するものを追加
- 出力フィルタリング: 安全基準に違反する応答を識別して防止する
その他
- 攻撃は既に行われている
- 攻撃者の属性情報なし
ChatGPTの推奨事項
- AIモデルに対する入力・出力フィルタリングを強化すること

中国支援の攻撃者が4万人の企業ユーザーを標的に

https://www.darkreading.com/threat-intelligence/china-sponsored-attackers-40k-corporate-users

要約
- 中国支援の攻撃者が3つ(LegalQloud, Eqooqp, Boomer)のフィッシングキャンペーンを実施。
- 10以上の業界で3000以上のドメインを攻撃。3ヶ月で4万人の企業ユーザーを標的にした。
- MFAやURLフィルタリングなどの制御を回避できる、「高度回避・適応型脅威（HEAT）」攻撃手法を展開していることが特徴
- 主にMicrosoftを模倣し、資格情報を盗む。中間者攻撃などを使ってユーザーセッションを乗っ取ることでMFAを回避。
- 各キャンペーンの概要は以下。
  - LegalQloud: 法律事務所を装って Microsoft の認証情報を盗む
  - Eqooqp: 中間者攻撃を使用して、物流、金融、石油、製造、高等教育、研究機関を含む複数の政府機関および民間組織を標的
  - Boomer: 特に複雑であり、高度な回避手法を使用して、政府機関や医療部門をターゲット
IOCの列挙
- IOC情報なし
推奨事項
- ユーザー教育を強化する
- セキュリティ対策を最新に保つ
- ゼロトラストフレームワークを導入する
その他
- 攻撃者は中国支援のグループで、サイバースパイ活動が目的
ChatGPTの推奨事項
- ユーザー教育を強化し、最新のフィッシング手口に備えること

日本のインシデント事例

寮生管理システムで個人情報が閲覧可能に - 認証機能の実装なく

その他のメモ

「GitLab」にアップデート - 「クリティカル」含む脆弱性14件を修正

この記事が気に入ったらサポートをしてみませんか？