Daily Security Info - 2024/06/21

tmho

2024年6月21日 07:46

Tools

Webページから返されるヘッダを分析して危険な構成を報告するツール

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

脆弱性「CosmicSting」が75%のAdobe Commerce Magentoサイトに影響

https://www.bleepingcomputer.com/news/security/cosmicsting-flaw-impacts-75-percent-of-adobe-commerce-magento-sites/

要約
- CosmicSting脆弱性(CVSS=9.8)は75%のAdobe CommerceとMagentoサイトに影響
- 攻撃者はこの脆弱性とLinuxのiconvの脆弱性を組み合わせることで、リモートコード実行が可能
- Sansecは、パッチコードから脆弱性の悪用方法を把握することが簡単であり、近いうちに攻撃が行われる可能性を示唆
- 管理者は緊急パッチを適用する必要がある
IOCの列挙
- IOC情報なし
推奨事項
- CVE-2024-34102のセキュリティパッチを即時適用する
- パッチ適用ができない場合は、glibcのアップグレードと緊急修正コードの適用を行う
その他
- なし
ChatGPTの推奨事項
- Adobe CommerceとMagentoの最新セキュリティパッチをただちに適用してください

Linux版RansomHubランサムウェアがVMware ESXi VMを標的

https://www.bleepingcomputer.com/news/security/linux-version-of-ransomhub-ransomware-targets-vmware-esxi-vms/

要約
- RansomHubはLinux版のランサムウェアを使用して、VMware ESXi環境を攻撃
- このランサムウェアは主に企業を標的とし、コマンドラインオプションを利用して柔軟に操作
- 攻撃は仮想マシンの停止、ログ無効化、自己削除を行う
- 暗号化スキームにはChaCha20とCurve25519が使用される
- 特定のバグを利用することで、ランサムウェアを無限ループに追い込むことが可能
IOCの列挙
- IOC情報なし
推奨事項
- /tmp/app.pidファイルに-1を含むようにして防御
- 最新のセキュリティパッチを適用
その他
- RansomHubは国際的な犯罪組織で、主に金銭目的
ChatGPTの推奨事項
- /tmp/app.pidファイルを-1で作成し、RansomHub攻撃を無限ループに追い込む

UNC3886のハッカーがLinuxルートキットを使用してVMware ESXi VMに潜伏

https://www.bleepingcomputer.com/news/security/unc3886-hackers-use-linux-rootkits-to-hide-on-vmware-esxi-vms/

要約
- UNC3886という中国のハッカー集団がLinuxルートキット「Reptile」と「Medusa」を使用してVMware ESXi仮想マシンに潜伏
- これらのルートキットは長期的なアクセス維持と検出回避のために使用
- 攻撃は政府、通信、技術、航空宇宙、防衛、エネルギー・ユーティリティ部門をターゲット
- 地理的には、北米、東南アジア、オセアニアの組織を標的としており、ヨーロッパ、アフリカ、アジアの他の地域でも被害者が確認されている
- UNC3886はカスタムマルウェアツール「Mopsled」や「Riflespine」を使用
IOCの列挙
- IOC情報なし
推奨事項
- 最新のセキュリティパッチを適用
- 検出ルールを使用してUNC3886の活動を監視
その他
- UNC3886は中国のハッカー集団で、主に政府や重要インフラを標的
- Mandiantは攻撃の技術的詳細と検出ルールを報告書に掲載
ChatGPTの推奨事項
- 最新のセキュリティパッチを適用して、UNC3886の活動を監視してください

SolarWinds Serv-Uのパス・トラバーサル脆弱性が攻撃で悪用される

https://www.bleepingcomputer.com/news/security/solarwinds-serv-u-path-traversal-flaw-actively-exploited-in-attacks/

要約
- CVE-2024-28995脆弱性が悪用され、攻撃が活発化
- 未認証の攻撃者が特定のHTTP GETリクエストを作成し、パストラバーサルを介して任意のファイルを読み取ることが可能
- 最も頻繫に標的にされているファイルは以下
  - \etc/passwd: Linuxのユーザアカウントデータ
  - /ProgramData/RhinoSoft/Serv-U/Serv-U-StartupLog.txt: Serv-U FTP サーバーの起動ログ情報
  - /windows/win.ini: Windows 構成設定を含む初期化ファイル
- Rapid7と独立研究者がPoCとスキャナーを公開し、攻撃が加速
IOCの列挙
- GET /?InternalDir=/../../../../windows&InternalFile=win.ini, HTTPリクエスト, 知られていない, Windowsシステムでの攻撃, NA(IP以外)
- GET /?InternalDir=........\etc&InternalFile=passwd, HTTPリクエスト, 知られていない, Linuxシステムでの攻撃, NA(IP以外)
推奨事項
- 最新のセキュリティパッチを適用
- 脆弱性のあるエンドポイントを修正
その他
- なし
ChatGPTの推奨事項
- 最新のセキュリティパッチをただちに適用してください

CDK Global、最初のサイバー攻撃からの復旧中に再びハッキングされる

https://www.bleepingcomputer.com/news/security/cdk-global-hacked-again-while-recovering-from-first-cyberattack/

要約
- CDK Globalは最初のサイバー攻撃からの復旧中に再度ハッキングされた
- データセンターとITシステムがシャットダウンされ、ディーラーの業務が停止
- 影響を受けたシステムの完全な復旧には数日かかる見込み
IOCの列挙
- IOC情報なし
推奨事項
- 外部専門家と連携してシステムの完全復旧を急ぐ
- 顧客データの安全を確保するため、追加の防御対策を実施
その他
- なし
ChatGPTの推奨事項
- 外部専門家の助けを借りて、システムの安全を確保してください

T-Mobile、ハッキングを否定し、漏洩データをベンダーの侵害にリンク

https://www.bleepingcomputer.com/news/security/t-mobile-denies-it-was-hacked-links-leaked-data-to-vendor-breach/

要約
- T-Mobileはハッキングされていないと主張し、データ漏洩をベンダーの侵害に関連付け
- 脅威アクターのIntelBrokerは、T-Mobileに2024年6月に侵入しソースコードなどを窃取したとして、そのデータを販売中
- T-Mobileは顧客データやソースコードが含まれておらず、犯人の主張は誤りであると声明
IOCの列挙
- IOC情報なし
推奨事項
- ベンダーのセキュリティ対策を強化
- 定期的なセキュリティ監査を実施
その他
- なし
ChatGPTの推奨事項
- ベンダーのセキュリティを確認し、脆弱性を修正してください

Crown Equipmentがサイバー攻撃で製造が中断されたことを確認

https://www.bleepingcomputer.com/news/security/crown-equipment-confirms-a-cyberattack-disrupted-manufacturing/

要約
- Crown Equipmentがサイバー攻撃を受け、製造が中断されたことを確認
- Crown Equipmentは従業員に対し、6/8頃から侵害され全てのITシステムをシャットダウンしていることを告げ、従業員はMFAリクエストを受け入れないように、またフィッシングメールに注意するように指示した
- 攻撃は国際的なサイバー犯罪組織によるもので、ITシステムがシャットダウンされた
- BornCityが報じたところによると、従業員がソーシャルエンジニアリングに掛かり、リモートアクセスツールをインストールしたことが攻撃の起点
- 影響を受けた従業員には一時的な給与支払いが行われる
IOCの列挙
- IOC情報なし
推奨事項
- 外部専門家と協力してシステムの完全復旧を進める
- 追加のセキュリティ対策を実施して顧客データの安全を確保
その他
- 攻撃は既に発生している
- 攻撃者は国際的なサイバー犯罪組織
ChatGPTの推奨事項
- 外部専門家の助けを借りて、システムの安全を確保してください

中国のサイバー諜報活動が2021年以降アジアの通信事業者を標的に

https://thehackernews.com/2024/06/chinese-cyber-espionage-targets-telecom.html

要約
- 中国関連のサイバー諜報グループが2021年以降、アジアの通信事業者を標的に攻撃
- 攻撃者はバックドア設置や資格情報の窃取を試みる
- 使用されたツールは他の中国の諜報活動と一致
- 攻撃の目的は情報収集や通信網を介した盗聴がありうる。別の可能性としては重要インフラに対する破壊的な能力を得ようとしている可能性
- 2021年以降でアジアの1カ国で複数の通信事業者に侵入した。この攻撃者は、通信業界向けのサービス企業や別のアジア諸国の大学も標的にしていた。
IOCの列挙
- IOC情報なし
推奨事項
- セキュリティパッチを適用し、監視を強化
その他
- 攻撃者は中国関連のサイバー諜報グループ。利用しているツールは、既知の以下の攻撃チームと重複している。ただし、中国のAPTではツールの共有をしていることが多い点には留意する必要がある。
  - Mustang Panda、RedFoxtrot、Naikon
ChatGPTの推奨事項
- セキュリティパッチをただちに適用し、監視を強化してください

専門家が新たな回避型SquidLoaderマルウェアを発見、中国組織を標的

https://thehackernews.com/2024/06/experts-uncover-new-evasive-squidloader.html

要約
- SquidLoaderはフィッシングキャンペーンを通じて拡散し、中国の組織を狙う新たな回避型マルウェアローダー
- AT&T LevelBlue Labsが4月に初観測し、静的・動的解析を回避する機能を備える
- 偽装したWord文書の添付ファイルから感染し、Cobalt Strikeなどのシェルコードをリモートサーバーから取得
IOCの列挙
- IOC情報なし
推奨事項
- フィッシングメールの監視と検出を強化
- 最新のセキュリティ対策を実施
その他
- なし
ChatGPTの推奨事項
- フィッシングメール対策を強化し、最新のセキュリティ対策を実施してください

新しいRustベースのFickleマルウェア、UACバイパスとデータ流出にPowerShellを使用

https://thehackernews.com/2024/06/new-rust-based-fickle-malware-uses.html

要約
- Fickle StealerはRustベースの情報窃取マルウェアで、PowerShellを利用してUACバイパスとデータ流出を行う
- Rustは、パフォーマンスと信頼性を重視したプログラミング言語だが、複雑なアセンブリコードが攻撃者にとっては大きなメリット
- 主要ブラウザやアプリから機密情報を収集し、JSON形式でリモートサーバーに送信
- 複数の攻撃チェーンを通じて拡散され、複数のアンチ解析機能を備える
IOCの列挙
- IOC情報なし
推奨事項
- フィッシングメールの監視と検出を強化
- 最新のセキュリティ対策を実施
その他
- 攻撃は既に発生している
- 攻撃者の属性は不明
ChatGPTの推奨事項
- フィッシングメール対策を強化し、最新のセキュリティ対策を実施してください

日本のインシデント事例

-医療ユニフォームメーカーの通販サイトに不正アクセス - 個人情報が流出
-教員がサポート詐欺被害、個人情報に攻撃者がアクセス - 熊取町
-フランスのグループ会社でランサム被害、詳細を調査 - ダイセル
-スマホサポーターの個人情報が流出、閲覧権限設定ミスで - 東京都

JAXAに複数回サイバー攻撃、機密流出か　NASA、トヨタ情報も

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか？