Daily Security Info - 2024/07/25

tmho

2024年7月25日 07:12

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

Docker、重大な5年間放置されていた認証バイパスの脆弱性を修正

https://www.bleepingcomputer.com/news/security/docker-fixes-critical-5-year-old-authentication-bypass-flaw/

要約
- Dockerが特定のバージョンで認証プラグインをバイパスする脆弱性(CVE-2024-41110, CVSSv3.1:10)を修正
- 脆弱性は2019年に一度修正されたが、後のバージョンで再発
- アクセス制御に認証プラグインを使用するユーザーで、以下のDocker Engine バージョンに影響
  - v19.03.15、v20.10.27、v23.0.14、v24.0.9、v25.0.5、v26.0.2、v26.1.4、v27.0.3、v27.1.0
- 脆弱性はAPIリクエストのContent-Lengthを0に設定して悪用される
- 脆弱性はDocker Engineの複数バージョンに影響
IOCの列挙
- IOC情報なし
推奨事項
- Dockerのバージョンを最新に更新
- APIアクセスを信頼できるユーザーに制限
- 認証プラグインの無効化を検討
その他
- なし
ChatGPTの推奨事項
- Dockerのバージョンを直ちに最新に更新すること。

KnowBe4、北朝鮮のハッカーを誤って雇用し、情報窃取攻撃を受ける

https://www.bleepingcomputer.com/news/security/knowbe4-mistakenly-hires-north-korean-hacker-faces-infostealer-attack/

要約
- KnowBe4が北朝鮮のハッカーをPrincipal Software Engineerとして誤って雇用
- ハッカーは情報窃取マルウェアをインストールしようとしたが、KnowBe4が阻止
- KnowBe4は、雇用前に身元調査・推薦状の検証・Web面接を4回実施して、脅威アクターが実在の人物であり、顔が履歴書の顔と一致することを確認した
- ハッカーは米国人の盗まれた身分証明書を利用し、AIツールでプロフィール写真を作成することで雇用プロセスを通過
- 攻撃はセッション履歴ファイルの操作、潜在的に有害なファイルの転送、不正なソフトウェアの実行など、さまざまなアクションを実行した。マルウェアは、Raspberry Piを使用してダウンロードした。
IOCの列挙
- IOC情報なし
推奨事項
- 新規採用者に対する徹底的なバックグラウンドチェック
- 不審な活動の監視と即時対応
- 社内ネットワークの分離とサンドボックスの使用
- 新入社員に対して、デバイスがリモートで利用できないようにし、配送先住所の不一致を危険信号として扱う
その他
- なし
ChatGPTの推奨事項
- 新規採用者の背景調査を徹底し、疑わしい活動を監視すること。

Google Chrome、リスキーなパスワード保護アーカイブについて警告表示

https://www.bleepingcomputer.com/news/google/google-chrome-now-warns-about-risky-password-protected-archives/

要約
- Google Chromeがリスキーなパスワード保護アーカイブについて警告を表示する機能を導入
- AIを活用したSafe Browsingサービスによりダウンロードファイルのリスクを評価
- エンハンストプロテクションモードでは、パスワード入力後にファイルがGoogleサーバーでスキャンされる
- スキャン後、ファイルとパスワードは即座に削除
- 多くの企業は Google の言葉を鵜呑みにせず、潜在的なデータ漏洩を防ぐために、企業データを含むパスワード保護されたアーカイブのパスワードを Chrome に提供しないように従業員を教育する可能性が高い
IOCの列挙
- IOC情報なし
推奨事項
- 公式サイトからのみファイルをダウンロード
- ブラウザのセキュリティ設定を確認・強化
- 定期的なシステムスキャンの実施
その他
- なし
ChatGPTの推奨事項
- ブラウザのセキュリティ設定を確認し、エンハンストプロテクションモードを有効にすること。

CrowdStrikeアップデートバグの調査情報: 「Content Validator」バグにより不良アップデートがチェックを通過

https://www.bleepingcomputer.com/news/security/crowdstrike-content-validator-bug-let-faulty-update-pass-checks/

要約
- CrowdStrikeは先週金曜日のBSODを引き起こしたアップデートに関するインシデントレビューを発表。
- CrowdStrikeのContent Validatorのバグにより欠陥のあるアップデートが通過し、数百万のWindowsシステムクラッシュを引き起こした
- 問題は、C2フレームワークによる名前付きパイプの悪用を検出するための新しい構成をプッシュした際に発生した
- これは、どのC2フレームワークを対象としたものかは明示されていないが、Cobalt Strike の新しい名前付きパイプ機能を検出使用としたものと言われている
- CrowdStrikeは追加のテストや段階的展開などの予防策を導入予定
IOCの列挙
- IOC情報なし
推奨事項
- システムアップデートの監視と確認
- アップデートの詳細を確認する習慣をつける
- 段階的展開を実施
その他
- なし
ChatGPTの推奨事項
- システムアップデートを監視し、段階的に展開すること。

Windows 7月のセキュリティアップデートでPCがBitLocker回復モードに移行

https://www.bleepingcomputer.com/news/microsoft/windows-july-security-updates-send-pcs-into-bitlocker-recovery/

要約
- Microsoftの7月のセキュリティアップデート後、PCがBitLocker回復モードに入る問題が発生
- 対象のプラットフォームにはWindows 11、Windows 10、およびWindows Serverが含まれる
- Microsoftは問題の調査を行い、更新情報を提供予定
IOCの列挙
- IOC情報なし
推奨事項
- BitLocker回復キーを用意
- デバイス暗号化の確認と設定見直し
- 公式の修正情報を待つ
その他
- 脆弱性に関する記事: 既に攻撃が行われている
- 攻撃者情報: 記載なし
ChatGPTの推奨事項
- BitLocker回復キーを事前に確認し、手元に用意しておくこと。

BreachForums v1データベース漏洩、ハッカーのOPSECテストに

https://www.bleepingcomputer.com/news/security/breachforums-v1-database-leak-is-an-opsec-test-for-hackers/

要約
- BreachForums v1のデータベースが漏洩し、メンバーの情報が公開された
- 漏洩にはユーザーID、メールアドレス、IPアドレス、暗号通貨アドレスなどが含まれる
- ハッカーのOPSEC（作戦セキュリティ）のテストとなっている
- データは元運営者によって販売され、現在は複数の脅威アクターに流出
IOCの列挙
- IOC情報なし
推奨事項
- 個人情報の監視と保護を強化
- セキュリティ設定の見直し
- 不審な活動の即時報告
その他
- なし
ChatGPTの推奨事項
- 個人情報保護のための監視とセキュリティ設定を直ちに強化すること。

Evasive Pandaハッカー、新しいMacma macOSバックドアバージョンを展開

https://www.bleepingcomputer.com/news/security/evasive-panda-hackers-deploy-new-macma-macos-backdoor-version/

要約
- 中国のハッカーグループEvasive PandaがMacmaバックドアの新バージョンをmacOSに展開
- このバックドアは情報収集とリモートコマンド実行に使用
- 感染はフィッシングメールを通じて拡散
- SentinelOneがバックドアの活動を発見し、詳細を報告
- 主に政府機関や人権団体がターゲットにされる
IOCの列挙
- IOC情報なし
推奨事項
- 不審なメールのリンクや添付ファイルを開かない
- セキュリティソフトを最新に保つ
- 定期的なシステムスキャンの実施
その他
- 攻撃者は中国のハッカーグループEvasive Panda、動機は諜報目的
ChatGPTの推奨事項
- フィッシングメールに注意し、リンクや添付ファイルを開かないこと。

Hamster Kombatの2億5000万プレイヤー、AndroidおよびWindowsのマルウェア攻撃の標的に

https://www.bleepingcomputer.com/news/security/hamster-kombats-250-million-players-targeted-in-android-windows-malware-attacks/

要約
- Hamster Kombatゲームのプレイヤーが偽のAndroidおよびWindowsソフトウェアによりスパイウェアや情報窃取型マルウェアの標的に
- 2024年3月に発売されたゲームで、今年後半に導入予定の新しいTONベースの暗号トークンを獲得できる可能性があるため、大きな関心を集めている
- 偽アプリはGoogle Playで配布され、Telegramチャネルでも拡散
- ESETが複数のマルウェアキャンペーンを発見、RatelとLumma Stealerが含まれる
- Hamster KombatはTelegramベースであり、プレイヤーは公式Telegramチャネルのみからゲームを入手することが推奨
IOCの列挙
- hxxp://hamsterkombat-ua[.]pro, URL, 知られていない, マルウェア配布サイト, NA
- hxxp://hamsterkombat-win[.]pro, URL, 知られていない, マルウェア配布サイト, NA
推奨事項
- 公式チャネル以外からアプリをダウンロードしない
- セキュリティソフトを最新に保つ
- 定期的なシステムスキャンの実施
その他
- 脆弱性に関する記事: 既に攻撃が行われている
- 攻撃者情報: 記載なし
ChatGPTの推奨事項
- アプリを公式チャネルからのみダウンロードし、その他は避けること。

Patchworkハッカー、高度なBrute Ratel C4ツールでブータンを標的に

https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html

要約
- PatchworkハッカーがBrute Ratel C4ツールを使用し、ブータンを標的に
- ロマンスをテーマにしたおとりを使ってパキスタンとインドの被害者を誘い込み、VajraSpyというマルウェアに感染させる攻撃を実施
- 攻撃はWindowsショートカット（LNK）ファイルを介して開始
- 感染により、リモートシェル機能を持つPGoShellバックドアやBrute Ratel C4を配布
- 攻撃は主に政府機関や人権団体を対象
IOCの列挙
- beijingtv[.]org, FQDN名, 知られていない, マルウェア配布ドメイン, NA
推奨事項
- 不審なメールのリンクや添付ファイルを開かない
- セキュリティソフトを最新に保つ
- 定期的なシステムスキャンの実施
その他
- 攻撃者はインドの国家支援と思われるPatchwork、動機は諜報目的
ChatGPTの推奨事項
- 不審なメールや添付ファイルを開かないこと。

ACR、Lumma、Meduzaステーラーを配布する攻撃キャンペーンで、Microsoft Defenderの脆弱性を悪用

https://thehackernews.com/2024/07/microsoft-defender-flaw-exploited-to.html

要約
- Microsoft Defender SmartScreenの脆弱性が情報窃取型マルウェアの配布に悪用された
- 脆弱性を悪用することでSmartScreen保護を回避してマルウェアを起動。悪意のあるペイロードをドロップ
- LNKファイルとHTAファイルを用いてPowerShellコードを実行
- ACR StealerやLumma Stealerなどがブラウザや暗号通貨ウォレットの情報を盗む
IOCの列挙
- IOC情報なし
推奨事項
- セキュリティソフトを最新に保つ
- 不審なリンクをクリックしない
- 定期的なシステムスキャンの実施
その他
- なし
ChatGPTの推奨事項
- セキュリティソフトを最新に保ち、システムスキャンを定期的に行うこと。

日本のインシデント事例

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか？