見出し画像

Daily Security Info - 2024/07/20

tmho

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

MediSecure: ランサムウェアグループが1,290万人のデータを盗んだと発表

https://www.bleepingcomputer.com/news/security/medisecure-ransomware-gang-stole-data-of-129-million-people/

  • 要約

    • MediSecureへのランサムウェア攻撃で1,290万人の個人情報が流出。

    • 流出データには名前、住所、電話番号、医療情報が含まれる。

    • 攻撃は4月13日に発生し、6.5TBのデータが盗まれた。

    • MediSecureは5月16日にインシデントを公開し、全データを復元。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • フィッシング攻撃への警戒を強化する

    • 個人情報の保護を徹底する

  • その他

    • なし

  • ChatGPTの推奨事項

    • フィッシング対策を強化する

CrowdStrikeのアップデートがWindowsシステムをクラッシュさせ、世界中で障害を引き起こす

https://www.bleepingcomputer.com/news/security/crowdstrike-update-crashes-windows-systems-causes-outages-worldwide/

  • 要約

    • 最新のCrowdStrike FalconアップデートがWindowsシステムをクラッシュさせ、多くの組織に影響。

    • 問題のあるチャネルファイルを削除することで修正可能。

    • 影響を受けたのは空港、病院、緊急サービスなど多岐にわたる。

    • CrowdStrikeは顧客と協力し、問題解決に取り組んでいる。

    • 以下の回避策を提供している

      • WindowsをセーフモードまたはWindows回復環境で起動

      • C:\Windows\System32\drivers\CrowdStrikeディレクトリに移動

      • 「C-00000291*.sys」に一致するファイルを見つけて削除

      • ホストを通常どおり起動

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 最新の修正リリースにアップグレードする

    • 既に影響を受けている場合は、回避策を適用する

  • その他

    • なし

  • ChatGPTの推奨事項

    • 最新の修正リリースにアップグレードする

ロシア人、LockBitランサムウェア攻撃への関与を認める

https://www.bleepingcomputer.com/news/security/russians-plead-guilty-to-involvement-in-lockbit-ransomware-attacks/

  • 要約

    • ロシア人のRuslan AstamirovとMikhail VasilievがLockBitランサムウェア攻撃に関与したことを認めた。

    • Astamirovは2020年から2023年にかけて少なくとも12の被害者から190万ドルを得た。

    • Vasilievは2021年から2023年にかけて12回の攻撃で50万ドルの被害をもたらした。

    • 彼らは被害者のシステムに侵入し、データを暗号化して身代金を要求した。

    • 2人はLockBitのアフィリエイトだった。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • フィッシング対策を強化する

    • 最新のセキュリティパッチを適用する

  • その他

    • なし

  • ChatGPTの推奨事項

    • フィッシング対策を強化する

Revolver Rabbit、マルウェアキャンペーンのために50万のドメインを登録

https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/

  • 要約

    • Revolver Rabbitは50万以上のドメインを登録し、WindowsとMacOSを標的にした情報窃取キャンペーンを実施。

    • 登録済みドメイン生成アルゴリズム(RDGA)を使用し、Formbookの後継であるXLoaderマルウェアを配布。

    • RDGAによるドメイン登録で攻撃を隠蔽しやすく、Infobloxの研究者が追跡。

  • IOCの列挙

    • usa-online-degree-29o[.]bond, URL, 知られていない, マルウェア配布, NA

    • bra-portable-air-conditioner-9o[.]bond, URL, 知られていない, マルウェア配布, NA

    • uk-river-cruises-8n[.]bond, URL, 知られていない, マルウェア配布, NA

    • ai-courses-17621[.]bond, URL, 知られていない, マルウェア配布, NA

    • app-software-development-training-52686[.]bond, URL, 知られていない, マルウェア配布, NA

    • assisted-living-11607[.]bond, URL, 知られていない, マルウェア配布, NA

    • online-jobs-42681[.]bond, URL, 知られていない, マルウェア配布, NA

    • perfumes-76753[.]bond, URL, 知られていない, マルウェア配布, NA

    • security-surveillance-cameras-42345[.]bond, URL, 知られていない, マルウェア配布, NA

    • yoga-classes-35904[.]bond, URL, 知られていない, マルウェア配布, NA

  • 推奨事項

    • フィッシング攻撃への警戒を強化する

    • 使用するドメインの信頼性を確認する

    • セキュリティツールを最新に保つ

  • その他

    • なし

  • ChatGPTの推奨事項

    • フィッシング対策を強化する

1日で1万人の被害者:簡単に情報を盗むインフォスティーラー

https://thehackernews.com/2024/07/10000-victims-day-infostealer-garden-of.html

  • 要約

    • インフォスティーラーマルウェアにより、毎日1万人以上が被害を受けている。

    • マルウェアは暗号通貨ウォレット、銀行情報、保存されたパスワードなどを盗む。

    • オープンソースツールを使い、攻撃者が簡単に被害者データを盗む手口を解説。

    • 攻撃者はドロッパー、マルウェア開発者、トラファーチームなどに分業。

    • サイバークライムでは専門化が現在進行している。個別に特化しており、お金を払えばサービスとして利用できる。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • フィッシング攻撃への警戒を強化する

    • 最新のセキュリティパッチを適用する

  • その他

    • なし

  • ChatGPTの推奨事項

    • フィッシング対策を強化する

AIトレーニングサービス経由で顧客のクラウド環境にアクセスできる脆弱性をセキュリティ企業が報告

https://gigazine.net/news/20240719-sap-ai-vulnerabilities-wiz/

  • 要約

    • WizがSAPのAIトレーニングサービスで脆弱性を発見し、顧客のクラウド環境へのアクセスが可能と報告。

    • 脆弱性の詳細には、KubernetesのPodを利用した攻撃やAWSシークレットの利用が含まれる。

    • shareProcessNamespaceフィールドを使用してプロセス名前空間をサイドカーコンテナと共有できた。これによりIstioサーバへのアクセストークンを入手。

      • Istioサーバーは、マイクロサービス間のデータの共有を制御するクラスタ

    • このアクセス権を使って探索をした結果、Grafana Lokiのインスタンスを発見。ここへのリクエストを介してAWSシークレットを入手できた。

    • SAPは脆弱性を修正済み。

    • Wizは、「内部ネットワークは安全である」という思想でネットワークが組まれており、内部への侵入を乗り越えたら様々な情報にアクセスできたことを問題と指摘。多層防御の重要性を強調。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • フィッシング攻撃への警戒を強化する

    • セキュリティ設定を確認し、最新パッチを適用する

  • その他

    • なし

  • ChatGPTの推奨事項

    • 最新のセキュリティパッチを適用する

Trickbot開発者、モスクワで逮捕

https://news.risky.biz/risky-biz-news-trickbot-dev-arrested-in-moscow/?ref=risky-business-news-newsletter

  • 要約

    • ロシア当局がTrickbotサイバー犯罪グループのメンバーFedor Andreevをモスクワで逮捕。

    • 世界最大のボットネット6つを停止させた「 Operation Endgame 」で特定され起訴された人物の1人。

    • AndreevはInterpolの赤手配書に基づき、2024年7月15日に逮捕された。

    • 彼はTrickbotグループのサーバーインフラ管理やランサムウェア攻撃に関与。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • フィッシング対策を強化する

    • 最新のセキュリティパッチを適用する

  • その他

    • なし

  • ChatGPTの推奨事項

    • フィッシング対策を強化する

中国のAPT41、活動を再開し企業を侵害

https://cybernews.com/security/chinese-apt41-back-in-action-compromising-companies/

  • 要約

    • 中国の国家支援ハッカーグループAPT41が活動を再開し、企業を標的にしている。

    • 攻撃は既知の脆弱性を悪用し、Citrix、F5、Zimbra、Microsoft Exchangeを標的にしている。

    • 攻撃にはPantegana、Spark RAT、Cobalt Strike Beaconなどのツールが使用されている。

    • APT41は14か国で活動し、政府機関や企業を対象にしたサイバースパイ活動と金融目的のサイバー犯罪を行っている。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • フィッシング対策を強化する

    • 最新のセキュリティパッチを適用する

  • その他

    • APT41は中国政府と関連

  • ChatGPTの推奨事項

    • 最新のセキュリティパッチを適用する

中国のAPT41が再び活動を再開し、企業を侵害

hxxps://cybernews[.]com/security/chinese-apt41-back-in-action-compromising-companies/

  • 要約

    • APT41は世界中の複数の組織を侵害。

    • 2023年以来、長期間にわたり不正アクセスを維持。機密データを抜き出すことに成功した。

    • イタリア、スペイン、台湾、トルコ、英国が主要ターゲット。

    • メディア、技術、自動車業界などが標的。

    • DUSTPANやDUSTTRAPなどのコードネームを持つカスタムツールと一般的な悪意のあるソフトウェアを使用。

  • IOCの列挙

    • なし

  • 推奨事項

    • 多層防御を導入する

    • 監視とインシデント対応を強化する

    • セキュリティ教育を実施する

  • その他

    • 攻撃は既に行われている

    • 攻撃者は中国の国家支援グループAPT41、主に経済的動機がある

  • ChatGPTの推奨事項

    • 多層防御と監視体制を強化すること

日本のインシデント事例

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか?