![見出し画像](https://assets.st-note.com/production/uploads/images/140544473/rectangle_large_type_2_9b18cbadd52bb54ed4af01759befa9df.jpeg?width=800)
Daily Security Info - 2024/05/14
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
ボットネット、LockBit Blackランサムウェアキャンペーンで数百万のメール送信
要約
Phorpiexボットネットが大規模なLockBit Blackランサムウェア攻撃で利用された
1500以上のIPアドレスから以下のタイトルと送信者でメールが送信された
タイトル:「your document」または「photo of you???」
送信者:「Jenny Brown」または「Jenny Green」
攻撃者はEXEファイルを含むZIPファイルを添付してマルウェアを配布
NJCCICはランサムウェア対策としてエンドポイントセキュリティの利用を推奨
LockBit Blackは、2022年9月にビルダーが漏洩しており、これを用いたLockBitランサムウェアグループ以外の攻撃者の可能性もある
IOCの列挙
198[.]51[.]100[.]42,IPアドレス,知られていない,攻撃に使用されたIP,グローバル
badguy[.]hosting,FQDN名,知られていない,攻撃者のコントロールサーバー,NA
推奨事項
エンドポイントセキュリティソリューションの利用
メールフィルタリングの強化
システムの定期的なバックアップ
その他
Phorpiex ボットネットは、10年以上稼働しているボットネットであり、初期はUSBのリムーバブルメディアやSkypeなどを介して拡散するワームだった。その後成長したボットネットを管理者はシャットダウンし、ソースコードをアンダーグラウンドフォーラムで販売しようとした。
ChatGPTの推奨事項
エンドポイント保護とメールフィルタリングの強化をすぐに行うべき
ハッカーがDNSトンネリングを利用してネットワークスキャンと被害者追跡を行う
要約
DNSトンネリングを使い、フィッシングメールを開封する瞬間を追跡
被害者の追跡やネットワークのスキャンのためにDNSトンネリングを使用された攻撃キャンペーンが観測された
「TrkCdn」キャンペーン:メールがいつ開封されたかを計測
「SecShow」キャンペーン:ネットワーク インフラストラクチャをスキャン
ハッカーは、通常はDNSトンネリングをネットワークファイアウォールやフィルターを回避する手段として使用する
DNSモニタリングツールの使用と、クエリ制限を推奨
IOCの列挙
4e09ef9806fb9af448a5efcd60395815[.]trk[.]simito[.]com,FQDN,知られていない,フィッシングメールのDNSクエリに使用,NA
cdn[.]simito[.]com,FQDN,知られていない,権威DNSサーバーとして使用,NA
推奨事項
DNSトラフィックのモニタリングと解析を強化する
不必要なDNSクエリを制限する
その他
攻撃は現在進行中で、複数のキャンペーンで確認されている
ChatGPTの推奨事項
DNSモニタリングと異常なトラフィックパターンの識別を強化する
ヘルシンキが未修正の脆弱性を突かれデータ侵害に遭う
要約
ヘルシンキの教育部門がデータ侵害を発見
リモートアクセスサーバの脆弱性が悪用された後、ネットワークドライブにアクセスされた
パッチは存在したが、適用されていなかった
数千万のファイルが含まれていたが、ほとんどは個人識別情報(PII)はなかった。ただし、ユーザー名、電子メール アドレス、個人 ID、住所が含まれているものもあった
子供の情報や教育関連のデータも含まれていた
IOCの列挙
IOC情報なし
推奨事項
未適用のセキュリティパッチを速やかに適用する
脆弱性管理プロセスを見直す
その他
ランサムウェアグループなども攻撃主張をしておらず、現状では攻撃者は不明
脆弱性を攻撃されたリモートアクセスサーバは、現状では明らかにされていない
ChatGPTの推奨事項
未適用のセキュリティパッチを速やかに適用する
MITREが組み込みデバイス向け脅威モデリングフレームワークEMB3Dを発表
https://thehackernews.com/2024/05/mitre-unveils-emb3d-threat-modeling.html
要約
MITREが新しい脅威モデリングフレームワーク「EMB3D」を公開
組み込みデバイスのセキュリティ脅威を共有・理解するためのもの
「生きたフレームワーク」として定期的に更新予定
脅威と対策がデバイス設計初期段階で考慮される
セキュア・バイ・デザインのアプローチを推進
IOCの列挙
IOC情報なし
推奨事項
セキュリティ組み込みの初期設計段階の強化
その他
Niyo 'Little Thunder' Pearson、Red Balloon Security、Narf Industries と協力して、2023年12月13日にドラフト版がリリースされていた
ChatGPTの推奨事項
初期設計段階でのセキュリティ組込みを徹底する
悪意あるPythonパッケージが偽Requestsライブラリのロゴ内にSliver C2フレームワークを隠す
https://thehackernews.com/2024/05/malicious-python-package-hides-sliver.html
要約
Pythonパッケージ「requests-darwin-lite」がSliver C2フレームワークを隠蔽
ステガノグラフィー技術を使用して実装
インストールするとUUIDの確認をしており、特定のUUIDを持つマシンのみ感染する。
パッケージはPyPIから削除済み。削除されるまでに417回のダウンロードがあった
PyPIやNPMなどのオープンソースエコシステムがマルウェアを配布する攻撃者にとって魅力的なベクトルとなっている。
IOCの列挙
requests-sidebar-large[.]png, FQDN名, 知られていない, マルウェアが埋め込まれたPNGファイル, NA
推奨事項
パッケージのソースと依存関係を確認すること
疑わしいパッケージは使用を避けること
その他
攻撃は特定のターゲットに限定されていた
ChatGPTの推奨事項
パッケージを使用する前に必ずソースを確認すること
謎の人物が12億人以上の中国ユーザーの記録を漏洩
https://cybernews.com/security/mysterious-actor-exposes-billion-chinese-users/
要約
未知の人物が中国人を狙った大量のデータセットを構築
データセットは、個人情報や携帯番号などを含む
データはインターネット上で漏洩し、Elasticsearchによって管理されている
このデータ集約は、悪意ある目的で使用される可能性がある
漏洩したデータは、過去の漏洩から集められたものがほとんどだが、今までに公開されていなかったデータセットも含まれる
IOCの列挙
IOC情報なし
推奨事項
漏洩データのチェックと保護の強化を推奨
ElasticsearchとKibanaの設定見直しとセキュリティ向上
個人情報の漏洩に対する意識向上と対策教育
その他
なし
ChatGPTの推奨事項
データ漏洩の可能性に備え、個人情報のセキュリティ対策を強化すること
日本のインシデント事例
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?