見出し画像

Daily Security Info - 2024/06/26


Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

日々のニュース要約

WordPress.orgのプラグインがサプライチェーン攻撃でバックドア化される

https://www.bleepingcomputer.com/news/security/plugins-on-wordpressorg-backdoored-in-supply-chain-attack/

  • 要約

    • 脅威アクターが少なくとも5つのプラグインに悪意のあるPHPスクリプトを追加。

    • プラグインは新しい管理者アカウントを作成し、SEOスパムをインジェクション。作成される管理者アカウントは、「Options」または「PluginAuth」という名前がつけられる。

    • 35,000以上のウェブサイトが影響を受け、パッチがリリースされた。

    • 攻撃は6月21日から22日に発生。

    • Wordfenceが侵害を発見し、プラグイン開発者に通知。

  • IOCの列挙

    • 94.156.79[.]8,IPアドレス,知られていない,攻撃者のサーバーにデータを送信,グローバル

  • 推奨事項

    • 影響を受けたプラグインを更新または削除する。

    • ウェブサイトの完全なマルウェアスキャンを実施する。

    • 不審な管理者アカウントを削除する。

  • その他

    • 以下のWordPressプラグインが該当。

      • Social Warfare 4.4.6.4 to 4.4.7.1 (fixed in version 4.4.7.3)

      • Blaze Widget 2.2.5 to 2.5.2 (fixed in version 2.5.4)

      • Wrapper Link Element 1.0.2 to 1.0.3 (fixed in version 1.0.5)

      • Contact Form 7 Multi-Step Addon 1.0.4 to 1.0.5 (fixed in version 1.0.7)

      • Simply Show Hooks 1.2.1 to 1.2.2 (no fix available yet)

  • ChatGPTの推奨事項

    • 影響を受けたプラグインを即座に更新または削除してください。

Polyfill.ioのJavaScriptサプライチェーン攻撃が10万以上のサイトに影響

https://www.bleepingcomputer.com/news/security/polyfillio-javascript-supply-chain-attack-impacts-over-100k-sites/

  • 要約

    • Polyfill.ioのサービスがFunnullという中国企業に買収され、悪意のあるコードをインジェクション。

    • Polyfillは古いブラウザ向けのスクリプトを提供するサービス。買収後にこのスクリプトが改変され悪意のあるコードを送り込むようになった。

    • 100,000以上のサイトが攻撃を受け、ユーザーが詐欺サイトにリダイレクトされる。

    • Googleは広告主に警告し、影響を受けたページを監視中。

    • 攻撃は特定のモバイルデバイスを標的にしている。

    • 現在、ドメインはCloudflareのミラーにリダイレクト。

  • IOCの列挙

    • www[.]googie-anaiytics[.]com,FQDN名,知られていない,ユーザーをリダイレクトする先の偽サイト(偽の Google Analytics ドメイン),NA(IP以外)

    • kuurza[.]com/redirect?from=bitget,URL,知られていない,ユーザーをリダイレクト先の偽サイト,NA(IP以外)

  • 推奨事項

    • Polyfill.ioスクリプトの使用を中止する。

    • 影響を受けたサイトのコードを検査する。

    • 他の信頼できるCDNサービスを使用する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 影響を受けた可能性のあるサイトはPolyfill.ioのスクリプトを即座に削除してください。

新しいMedusaマルウェアの亜種が7か国のAndroidユーザーを標的に

https://www.bleepingcomputer.com/news/security/new-medusa-malware-variants-target-android-users-in-seven-countries/

  • 要約

    • Medusaバンキングトロイの木馬が新たな亜種で再出現し、7か国でAndroidユーザーを標的に。

    • 新亜種は軽量で、少ない権限で動作し、スクリーンショット取得機能などを追加。この亜種は2023年7月には活動していた。

    • Cleafyが発見し、フィッシングを使った24のキャンペーンを特定。悪意のあるアプリを配信する5つのボットネットに起因(UNKN、AFETZEDE、ANAKONDA、PEMBE、TONY)

    • SMSフィッシングを使いドロッパーアプリを介してマルウェアを配信する。ドロッパーアプリには、以下がある。

      • 偽の Chrome ブラウザ

      • 5G 接続アプリ

      • 4K Sports と呼ばれる偽のストリーミング アプリ

    • 現在、UEFA EURO 2024が開催されていることを考えると、偽の4Kスポーツアプリがマルウェア配布用のドロッパーアプリに選ばれたのはタイムリーな選択と思われる。

  • IOCの列挙

    • 偽アプリに注意し、信頼できないソースからアプリをダウンロードしない。

  • 推奨事項

    • なし

  • その他

    • なし

  • ChatGPTの推奨事項

    • 影響を受けた可能性のあるサイトはPolyfill.ioのスクリプトを即座に削除してください。

Neiman Marcus、Snowflakeアカウントのハッキング後にデータ侵害を確認

https://www.bleepingcomputer.com/news/security/neiman-marcus-confirms-data-breach-after-snowflake-account-hack/

  • 要約

    • Neiman Marcusは、Snowflakeのアカウントがハッキングされ、64,472人の個人情報が流出したと発表。

    • 影響を受けた情報には、名前、連絡先、誕生日、ギフトカード番号などが含まれる。

    • データはハッキングフォーラムで販売され、同社は調査中。

    • 脅威アクター「Sp1d3r」が販売。このアクターは販売前に企業へ連絡し恐喝を試みたが拒否されたと主張。

    • 165の組織がこの攻撃の影響を受けた。

  • IOCの列挙

    • なし

  • 推奨事項

    • 推奨事項なし

  • その他

    • 攻撃者は「Sp1d3r」という脅威アクター。このアクターは最近のSnowflakeユーザのデータ販売を多く行っている。

  • ChatGPTの推奨事項

    • 流出した情報に関連するアカウントのセキュリティを確認してください。

FBI、仮想通貨詐欺の被害者を狙う偽の法律事務所に警告

https://www.bleepingcomputer.com/news/security/fbi-warns-of-fake-law-firms-targeting-crypto-scam-victims/

  • 要約

    • FBIは仮想通貨詐欺の被害者をターゲットにした偽の法律事務所に関する警告を発表。

    • 詐欺師は政府機関との連携を偽り、詐欺で窃取された仮想通貨を追跡して取り戻すと主張し、被害者から個人情報や資金を盗む。

    • IC3の統計によると、2023年2月から2024年2月にかけて被害者は900万ドルを詐欺師に支払った。

    • 民間企業には押収命令を出す権限がないため、仮想通貨を取り戻すことは困難。

    • 影響を受けた場合、IC3に報告することが推奨される。

  • IOCの列挙

    • なし

  • 推奨事項

    • 仮想通貨詐欺にあった場合は、IC3に報告する

  • その他

    • なし

  • ChatGPTの推奨事項

    • 詐欺被害に遭った場合、IC3に即座に報告してください。

P2PInfectボットネット、新たなランサムウェアモジュールでRedisサーバーを標的に

https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-targets-redis-servers-with-new-ransomware-module/

  • 要約

    • P2PInfectボットネットが再開。Redisサーバーを狙い、ランサムウェアモジュールとクリプトマイナーを展開。

    • 感染したデバイスはランサムウェアをダウンロードし、特定のファイルを暗号化。

    • ボットネットはXMRマイナーも動かす。調査したサンプルで事前設定されたウォレットとマイニングプールは、計71XMRを生成していることが確認された。

    • 新しいユーザーモードルートキットを利用し、悪意のあるプロセスやファイルをセキュリティツールから隠蔽。

    • Redisの脆弱性を悪用して拡散し、ランサムウェアと暗号通貨マイナーを展開。

  • IOCの列挙

    • なし

  • 推奨事項

    • Redisサーバーのセキュリティ設定を強化する。

    • 最新のセキュリティパッチを適用する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • Redisサーバーのセキュリティを直ちに確認し、強化してください。

日本のインシデント事例

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか?