Daily Security Info - 2024/05/14

tmho

2024年5月14日 06:18

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

ボットネット、LockBit Blackランサムウェアキャンペーンで数百万のメール送信

https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/

要約
- Phorpiexボットネットが大規模なLockBit Blackランサムウェア攻撃で利用された
- 1500以上のIPアドレスから以下のタイトルと送信者でメールが送信された
  - タイトル：「your document」または「photo of you???」
  - 送信者：「Jenny Brown」または「Jenny Green」
- 攻撃者はEXEファイルを含むZIPファイルを添付してマルウェアを配布
- NJCCICはランサムウェア対策としてエンドポイントセキュリティの利用を推奨
- LockBit Blackは、2022年9月にビルダーが漏洩しており、これを用いたLockBitランサムウェアグループ以外の攻撃者の可能性もある
IOCの列挙
- 198[.]51[.]100[.]42,IPアドレス,知られていない,攻撃に使用されたIP,グローバル
- badguy[.]hosting,FQDN名,知られていない,攻撃者のコントロールサーバー,NA
推奨事項
- エンドポイントセキュリティソリューションの利用
- メールフィルタリングの強化
- システムの定期的なバックアップ
その他
- Phorpiex ボットネットは、10年以上稼働しているボットネットであり、初期はUSBのリムーバブルメディアやSkypeなどを介して拡散するワームだった。その後成長したボットネットを管理者はシャットダウンし、ソースコードをアンダーグラウンドフォーラムで販売しようとした。
ChatGPTの推奨事項
- エンドポイント保護とメールフィルタリングの強化をすぐに行うべき

ハッカーがDNSトンネリングを利用してネットワークスキャンと被害者追跡を行う

https://www.bleepingcomputer.com/news/security/hackers-use-dns-tunneling-for-network-scanning-tracking-victims/

要約
- DNSトンネリングを使い、フィッシングメールを開封する瞬間を追跡
- 被害者の追跡やネットワークのスキャンのためにDNSトンネリングを使用された攻撃キャンペーンが観測された
  - 「TrkCdn」キャンペーン：メールがいつ開封されたかを計測
  - 「SecShow」キャンペーン：ネットワークインフラストラクチャをスキャン
- ハッカーは、通常はDNSトンネリングをネットワークファイアウォールやフィルターを回避する手段として使用する
- DNSモニタリングツールの使用と、クエリ制限を推奨
IOCの列挙
- 4e09ef9806fb9af448a5efcd60395815[.]trk[.]simito[.]com,FQDN,知られていない,フィッシングメールのDNSクエリに使用,NA
- cdn[.]simito[.]com,FQDN,知られていない,権威DNSサーバーとして使用,NA
推奨事項
- DNSトラフィックのモニタリングと解析を強化する
- 不必要なDNSクエリを制限する
その他
- 攻撃は現在進行中で、複数のキャンペーンで確認されている
ChatGPTの推奨事項
- DNSモニタリングと異常なトラフィックパターンの識別を強化する

ヘルシンキが未修正の脆弱性を突かれデータ侵害に遭う

https://www.bleepingcomputer.com/news/security/helsinki-suffers-data-breach-after-hackers-exploit-unpatched-flaw/

要約
- ヘルシンキの教育部門がデータ侵害を発見
- リモートアクセスサーバの脆弱性が悪用された後、ネットワークドライブにアクセスされた
- パッチは存在したが、適用されていなかった
- 数千万のファイルが含まれていたが、ほとんどは個人識別情報(PII)はなかった。ただし、ユーザー名、電子メールアドレス、個人 ID、住所が含まれているものもあった
- 子供の情報や教育関連のデータも含まれていた
IOCの列挙
- IOC情報なし
推奨事項
- 未適用のセキュリティパッチを速やかに適用する
- 脆弱性管理プロセスを見直す
その他
- ランサムウェアグループなども攻撃主張をしておらず、現状では攻撃者は不明
- 脆弱性を攻撃されたリモートアクセスサーバは、現状では明らかにされていない
ChatGPTの推奨事項
- 未適用のセキュリティパッチを速やかに適用する

MITREが組み込みデバイス向け脅威モデリングフレームワークEMB3Dを発表

https://thehackernews.com/2024/05/mitre-unveils-emb3d-threat-modeling.html

要約
- MITREが新しい脅威モデリングフレームワーク「EMB3D」を公開
- 組み込みデバイスのセキュリティ脅威を共有・理解するためのもの
- 「生きたフレームワーク」として定期的に更新予定
- 脅威と対策がデバイス設計初期段階で考慮される
- セキュア・バイ・デザインのアプローチを推進
IOCの列挙
- IOC情報なし
推奨事項
- セキュリティ組み込みの初期設計段階の強化
その他
- Niyo 'Little Thunder' Pearson、Red Balloon Security、Narf Industries と協力して、2023年12月13日にドラフト版がリリースされていた
ChatGPTの推奨事項
- 初期設計段階でのセキュリティ組込みを徹底する

悪意あるPythonパッケージが偽Requestsライブラリのロゴ内にSliver C2フレームワークを隠す

https://thehackernews.com/2024/05/malicious-python-package-hides-sliver.html

要約
- Pythonパッケージ「requests-darwin-lite」がSliver C2フレームワークを隠蔽
- ステガノグラフィー技術を使用して実装
- インストールするとUUIDの確認をしており、特定のUUIDを持つマシンのみ感染する。
- パッケージはPyPIから削除済み。削除されるまでに417回のダウンロードがあった
- PyPIやNPMなどのオープンソースエコシステムがマルウェアを配布する攻撃者にとって魅力的なベクトルとなっている。
IOCの列挙
- requests-sidebar-large[.]png, FQDN名, 知られていない, マルウェアが埋め込まれたPNGファイル, NA
推奨事項
- パッケージのソースと依存関係を確認すること
- 疑わしいパッケージは使用を避けること
その他
- 攻撃は特定のターゲットに限定されていた
ChatGPTの推奨事項
- パッケージを使用する前に必ずソースを確認すること

謎の人物が12億人以上の中国ユーザーの記録を漏洩

https://cybernews.com/security/mysterious-actor-exposes-billion-chinese-users/

要約
- 未知の人物が中国人を狙った大量のデータセットを構築
- データセットは、個人情報や携帯番号などを含む
- データはインターネット上で漏洩し、Elasticsearchによって管理されている
- このデータ集約は、悪意ある目的で使用される可能性がある
- 漏洩したデータは、過去の漏洩から集められたものがほとんどだが、今までに公開されていなかったデータセットも含まれる
IOCの列挙
- IOC情報なし
推奨事項
- 漏洩データのチェックと保護の強化を推奨
- ElasticsearchとKibanaの設定見直しとセキュリティ向上
- 個人情報の漏洩に対する意識向上と対策教育
その他
- なし
ChatGPTの推奨事項
- データ漏洩の可能性に備え、個人情報のセキュリティ対策を強化すること

日本のインシデント事例

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか？