Daily Security Info - 2024/07/16

Tools

N/A

malware campaign

• 日本語のマルウェア添付スパム

  • 請求書.rar ->請求書.exe

  • https://tria.ge/240712-g6an9athqa

  • exeは情報窃取マルウェア snakekeylogger

security report

N/A

cybercrime topics

N/A

日々のニュース要約

カスペルスキー、米国での事業を閉鎖

https://www.bleepingcomputer.com/news/security/kaspersky-is-shutting-down-its-business-in-the-united-states/

• 要約

  • カスペルスキーは米国での事業を2024年7月20日から閉鎖開始。

  • 米国財務省と商務省による制裁と取引禁止が理由。これにより米国内でのカスペルスキー製品の販売と流通が禁止された。

  • 米国の社員は解雇され、事業継続は不可能と判断。

  • カスペルスキーは決定を悲しいが避けられないものと表現。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • なし

• その他

  • なし

• ChatGPTの推奨事項

  • カスペルスキー製品の代替を早急に検討する

新しいBugSleepマルウェア、MuddyWater攻撃に展開

https://www.bleepingcomputer.com/news/security/new-bugsleep-malware-implant-deployed-in-muddywater-attacks/

• 要約

  • MuddyWaterハッキンググループが新しいBugSleepマルウェアを使用。

  • マルウェアはフィッシングメールを通じて配布。

  • イスラエル他様々な国で、政府機関、航空会社、メディアなどを標的としている。

  • Egnyteのファイル共有プラットフォームを利用。

  • Microsoft EdgeやGoogle Chromeなどのプロセスにインジェクトされる。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • フィッシングメールの警戒を強化する

  • セキュリティソフトを最新に保つ

  • エンドポイント保護を強化する

• その他

  • 攻撃者はイラン政府と関連するアクターMuddyWater

• ChatGPTの推奨事項

  • フィッシング対策を徹底する

SEXiランサムウェアがAPT INCに改名し、VMware ESXi攻撃を継続

https://www.bleepingcomputer.com/news/security/sexi-ransomware-rebrands-to-apt-inc-continues-vmware-esxi-attacks/

• 要約

  • SEXiランサムウェアがAPT INCに改名し、VMware ESXiサーバーを標的にする攻撃を継続。

  • 改名後もBabukとLockBit 3.0暗号化ツールを使用。どちらも漏洩したツールを使用している。

  • 攻撃はフィッシングメールを通じて行われ、多くの組織が被害に遭う。

  • 身代金要求は数万から数百万ドルに及ぶ。

  • 利用しているツールは脆弱性等もないため、暗号化されたファイルを復旧する手段は現在存在しない。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • なし

• その他

  • SEXiとAPT INCは連絡にSessionを利用しているが、IDが同一「05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912」

• ChatGPTの推奨事項

  • セキュリティ対策を強化し、最新のパッチを適用する

WindowsテーマのFacebook広告がSYS01情報窃取マルウェアを配信

https://www.bleepingcomputer.com/news/security/facebook-ads-for-windows-themes-push-sys01-info-stealing-malware/

• 要約

  • Facebook広告を利用して偽のWindowsテーマや無料ゲームのダウンロードで誘導し、SYS01情報窃取型マルウェアを配布。

  • マルウェアはブラウザのクッキー、保存された資格情報、暗号通貨ウォレットなどを盗む。

  • 広告は新規または乗っ取られたFacebookビジネスページを通じて行われる。

  • ダウンロードサイトはGoogle SitesやTrue Hosting上に偽装される。

  • SYS01マルウェアは2022年に初めて発見された。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • フィッシング広告の警戒を強化する

  • ダウンロード元を慎重に確認する

  • セキュリティソフトを最新に保つ

• その他

  • 攻撃者はベトナムまたはフィリピンに所在

• ChatGPTの推奨事項

  • 不明なソースからのダウンロードを避ける

GitHubトークン漏洩でPythonのコアリポジトリが攻撃にさらされる可能性

https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html

• 要約

  • GitHubトークンの漏洩が発見され、Pythonのリポジトリが攻撃にさらされる可能性が指摘された。

  • トークンは公開されたDockerコンテナ内のコンパイルされたPythonファイルに含まれていた。

  • 当該トークンはPyPI管理者のEe Durbin にリンクされたものであり、即座に無効化された。現時点で悪用の証拠は見つかっていない。

  • 攻撃者がソースコードに悪意のあるコードを注入するリスクがあった。

  • トークンは2023年3月3日より前に発行されたが、セキュリティログが90日を超えて利用できないため正確な発行日は不明

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 重要なトークンや認証情報の管理を徹底する

  • セキュリティパッチを迅速に適用する

  • リポジトリの監視を強化する

• その他

  • 攻撃者はイラクに拠点を置くサイバー犯罪者と関連

• ChatGPTの推奨事項

  • 漏洩したトークンの速やかな無効化と再発防止策の実施

新しいHardBitランサムウェア4.0、検出回避のためパスフレーズ保護を使用

https://thehackernews.com/2024/07/new-hardbit-ransomware-40-uses.html

• 要約

  • HardBitランサムウェアがバージョン4.0に更新され、パスフレーズ保護機能を追加。

  • ランサムウェアを実行するためにはパスフレーズを提供する必要がある。これによって分析を阻止する。

  • 主な感染手段は不明。RDPとSMBサービスのブルートフォース攻撃が可能性あり。

  • ランサムウェアはMicrosoft Defenderを無効化し、ファイルを暗号化。

  • Toxインスタントメッセージングを使用して被害者と通信。

  • データリークサイトは使用せず、身代金を支払わなければ将来的に様々な攻撃に発展することを示唆して脅迫する。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 重要なサービスのブルートフォース対策を強化する

  • ランサムウェア対策ソフトを導入する

  • パスワードを定期的に変更する

• その他

  • HardBitは金銭目的のサイバー犯罪者

• ChatGPTの推奨事項

  • ブルートフォース攻撃対策を実施する

日本のインシデント事例

N/A

その他のメモ

N/A