Daily Security Info - 2024/07/10

tmho

2024年7月10日 07:45

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

米国とそのパートナー、ロシアのプロパガンダを推進するボットファームを撲滅

https://www.bleepingcomputer.com/news/security/us-and-partners-disrupt-bot-farm-pushing-russian-propaganda/

要約
- 米国とその国際パートナーはロシアのプロパガンダを広めるためのボットファームを撲滅
- ボットファームは「Meliorator」というAIソフトを使用し、偽のソーシャルメディアアカウントを作成
- ロシア国営メディアRTの副編集長とFSBの職員が関与
- 攻撃は2022年から開始され、968のTwitterアカウントが削除
IOCの列挙
- mlrtr[.]com,URL,知られていない,ボットアカウントのメールアドレスドメイン,NA
- otanmail[.]com,URL,知られていない,ボットアカウントのメールアドレスドメイン,NA
推奨事項
- ソーシャルメディアアカウントの異常監視を強化
- 定期的なセキュリティトレーニングの実施
- 情報操作の検出システムを導入
その他
- 攻撃者はロシア国営メディアRTとFSB、動機はロシア政府に有利な地政学的物語に影響を与えるためのプロパガンダ
ChatGPTの推奨事項
- ソーシャルメディアアカウントの異常監視を強化する

新しいBlast-RADIUS攻撃、広く使用されているRADIUS認証を回避

https://www.bleepingcomputer.com/news/security/new-blast-radius-attack-bypasses-widely-used-radius-authentication/

要約
- Blast-RADIUS攻撃は、RADIUS/UDPプロトコルの脆弱性(CVE-2024-3596)を利用し、認証を回避
- 攻撃者はRADIUSトラフィックにアクセスできる攻撃者が、脆弱性の悪用とMD5衝突攻撃で管理者権限を取得可能
- Blast-RADIUS 攻撃は、RADIUS クライアントとサーバーの間の中間者攻撃者が、失敗した認証要求への応答として有効なプロトコル承認メッセージを偽造できる
- RADIUS over TLSや多段RADIUSの導入が推奨される
IOCの列挙
- IOC情報なし
推奨事項
- RADIUS over TLSの導入
- 多段RADIUS展開の実施
- 管理VLANやTLS/IPsecトンネリングでRADIUSトラフィックを隔離
その他
- なし
ChatGPTの推奨事項
- RADIUS over TLSの導入を検討する

富士通、3月のサイバー攻撃で顧客データが流出したことを確認

https://www.bleepingcomputer.com/news/security/fujitsu-confirms-customer-data-exposed-in-march-cyberattack/

要約
- 富士通は3月に発生したサイバー攻撃により顧客データが流出したことを確認
- 攻撃はランサムウェアではなく、高度な手法を用いたマルウェアによるもの
- 流出したデータには個人情報および顧客の業務関連情報が含まれる
- 富士通は影響を受けたコンピュータを隔離し、外部専門家と共に調査を実施。単一の侵入ポイントから49台のコンピューターへと感染を広げた。
- 調査結果に基づき、セキュリティ対策を強化
IOCの列挙
- IOC情報なし
推奨事項
- セキュリティ監視ルールの強化
- マルウェア検出ソリューションの更新
- 定期的なセキュリティ監査の実施
その他
- なし
ChatGPTの推奨事項
- セキュリティ監視ルールの強化を検討する

Microsoft、2024年7月のパッチ火曜日で142の脆弱性と4つのゼロデイを修正

https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2024-patch-tuesday-fixes-142-flaws-4-zero-days/

要約
- Microsoftは7月のパッチ火曜日で142の脆弱性を修正、うち4つはゼロデイ、クリティカルな脆弱性は5つだった
- ゼロデイのうち2つは既に悪用されている
  - CVE-2024-38080 - Windows Hyper-V の権限昇格の脆弱性
  - CVE-2024-38112 - Windows MSHTML プラットフォームのなりすましの脆弱性
- ゼロデイの残り2つは以下であり、攻撃コードが公開されている
  - CVE-2024-35264 - .NET および Visual Studio のリモートコード実行の脆弱性
  - CVE-2024-37985 - Arm: CVE-2024-37985 独自のプリフェッチャーの体系的な識別と特性評価
- 修正された脆弱性のカテゴリーには、特権昇格、リモートコード実行、情報漏洩などが含まれる
- クリティカルな脆弱性5つは、全てリモートコード実行の脆弱性
  - Microsoft SharePoint Serverのリモートコード実行(CVE-2024-38023)
  - Windows イメージングコンポーネントのリモートコード実行(CVE-2024-38060)
  - Windows リモートデスクトップライセンスサービスのリモートコード実行(CVE-2024-38076、CVE-2024-38074、CVE-2024-38077)
IOCの列挙
- IOC情報なし
推奨事項
- 最新のセキュリティパッチを速やかに適用する
- システムの定期的なセキュリティ監査を実施
- 脆弱性管理を強化
その他
- なし
ChatGPTの推奨事項
- 最新のセキュリティパッチを速やかに適用する

ハッカー、15万サイトで使用されるWordPressカレンダープラグインを標的に

https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/

要約
- ハッカーがModern Events Calendarプラグインの脆弱性を悪用し、任意のファイルをアップロード可能
- 脆弱性CVE-2024-5441は5月20日に発見され、CVSSスコア8.8の高い評価
- 実行可能ファイルなどもアップロードできるため、危険な .PHP ファイルをアップロードし、任意コード実行も可能
- プラグインが非メンバー (アカウントを持たないビジター)からのイベント送信を許可するように設定されている場合、認証なしで CVE-2024-5441 を悪用される可能性
- バージョン7.12.0で修正されたが、既に攻撃が発生している
IOCの列挙
- IOC情報なし
推奨事項
- プラグインを最新バージョンに更新
- セキュリティ設定の見直し
- 定期的なセキュリティ監査の実施
その他
- なし
ChatGPTの推奨事項
- プラグインを最新バージョンに更新する

中国APT40ハッカー、SOHOルーターをハイジャックして攻撃を開始

https://www.bleepingcomputer.com/news/security/chinese-apt40-hackers-hijack-soho-routers-to-launch-attacks/

要約
- 中国のAPT40がSOHOルーターをハイジャックし、サイバースパイ攻撃を行う
- 耐用年数の終了した(EOLの)小規模オフィス/ホームオフィス (SOHO) ルーターをハイジャックして、攻撃の中継地点として利用
- APT40は2011年から活動しており、アメリカとオーストラリアの政府機関や主要な民間企業を標的
- APT40以外にもEOLのルータやIoTデバイスをハイジャックして踏み台として悪用する事例は多い
IOCの列挙
- IOC情報なし
推奨事項
- SOHOルーターのファームウェアを最新に更新
- ルーターのセキュリティ設定の見直し
- 不審なネットワークトラフィックの監視
その他
- 攻撃者は中国のAPT40、動機はサイバースパイ活動。
ChatGPTの推奨事項
- SOHOルーターのファームウェアを最新に更新する

Evolve銀行、サイバー攻撃で760万人の米国人に影響が出たことを確認

https://www.bleepingcomputer.com/news/security/evolve-bank-says-data-breach-impacts-76-million-americans/

要約
- Evolve銀行はLockBitランサムウェア攻撃により760万人の個人情報が流出
- 攻撃は従業員が悪意のあるリンクをクリックしたことで開始
- 影響を受けた個人に対して、米国居住者向けに2年間の信用監視とID保護サービス、海外居住者向けにダークウェブ監視を提供
- Evolveは影響範囲を調査し、顧客への通知を開始した
- 攻撃は2月に開始され、5月に発見
IOCの列挙
- IOC情報なし
推奨事項
- サードパーティアプリのセキュリティ監査を強化
- 顧客データの暗号化
- 定期的なセキュリティ監査の実施
その他
- なし
ChatGPTの推奨事項
- サードパーティアプリのセキュリティ監査を強化する

コンピュータメーカーのZOTAC、Google検索で顧客のRMA情報が露出

https://www.bleepingcomputer.com/news/security/computer-maker-zotac-exposed-customers-rma-info-on-google-search/

要約
- ZOTACのRMAリクエストデータを誤って公開し、個人情報が漏洩。Google検索でも表示されていた。
- 誤ったフォルダ設定により、インデックスされてしまったことが原因
- 名前、住所、請求書などの情報が含まれる
- 漏洩の期間は現時点では不明。
IOCの列挙
- IOC情報なし
推奨事項
- ウェブフォルダのセキュリティ設定を見直す
- セキュリティ監査の実施
- 顧客データの保護を強化
その他
- なし
ChatGPTの推奨事項
- ウェブフォルダのセキュリティ設定を見直す

ハッカー、154のイベントの39,000枚の自宅印刷Ticketmasterチケットをリーク

https://www.bleepingcomputer.com/news/security/hackers-leak-39-000-print-at-home-ticketmaster-tickets-for-154-events/

要約
- ハッカーがTicketmasterの39,000枚の自宅印刷チケットをリーク
- 「Sp1derHunters」と名乗る脅威アクターがSnowflakeアカウントからデータを盗み販売
- Ticketmasterはデータの無効化と再発行が必要
- 影響を受けたコンサートやイベントにはAerosmith、Metallica、Foo Fightersなどが含まれる
IOCの列挙
- IOC情報なし
推奨事項
- Ticketmasterのセキュリティ対策強化
- 顧客データ保護の強化
- サードパーティのセキュリティ監査を実施
その他
- 攻撃者はSp1derHunters、動機は金銭的利益
ChatGPTの推奨事項
- Ticketmasterのセキュリティ対策強化を検討する

HUMINT: ダークウェブへの深い潜入

https://thehackernews.com/2024/07/humint-diving-deep-into-dark-web.html

要約
- ダークウェブフォーラムでのサイバー犯罪者の行動を調査
- Torネットワークを使った匿名通信と暗号化
- 犯罪者はフォーラムで信頼を構築し、サービスを売買
- マルウェア攻撃の段階的なプロセスが紹介
- HUMINT（人的情報）はサイバー犯罪の理解に不可欠
IOCの列挙
- IOC情報なし
推奨事項
- ダークウェブ上の犯罪活動の監視を強化する
その他
- なし
ChatGPTの推奨事項
- ダークウェブ上の犯罪活動の監視を強化する

日本のインシデント事例

指定管理者がファイルを取り違え、個人情報を誤掲載 - 熊本市

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか？