Daily Security Info - 2024/08/24
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
アメリカ無線中継リーグ、100万ドルの身代金支払いを確認
要約
アメリカ無線中継リーグ(ARRL)は、5月に発生したランサムウェア攻撃で100万ドルの身代金を支払った。
攻撃によりシステムが暗号化され、ARRLは復旧のために身代金を支払ったことを明らかにした。
保険で支払いの大部分がカバーされた。
攻撃者はEmbargoランサムウェアギャングと考えられている。
攻撃によるデータ漏洩は150人の従業員に限定された。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃者はEmbargoランサムウェアギャングとされる。
ChatGPTの推奨事項
システムの定期的なバックアップと多層防御の導入を検討すべき。
Microsoft、デュアルブートシステムでのLinux起動問題の一時的な修正方法を共有
要約
Microsoftは、2024年8月のWindowsアップデートでデュアルブートシステムのLinuxが起動しなくなる問題に対し、一時的な修正方法を公開。
「Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation」というエラーが表示されて起動できなくなったシステムを復活させることができる
問題はSecure Boot機能の更新が原因で、特定のLinuxディストリビューションで発生。
修正方法はSecure Bootを一時的に無効化し、特定のコマンドで更新を削除する手順が含まれる。
Microsoftは、さらなる調査を行っている。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
該当するLinuxシステムを使用している場合、早急に修正手順を実施すべき。
ハッカー、AppDomainインジェクションを使用してCobaltStrikeビーコンを配置
要約
2024年7月から、ハッカーがAppDomain Manager Injection技術を使い、CobaltStrikeビーコンを配置する攻撃が発生。
大まかな手法の解説
以下を準備する
.NET FrameworkのAppDomainManagerクラスを継承するクラスを含む悪意のあるDLL
正当なアセンブリのロードを悪意のあるDLLにリダイレクトする構成ファイル(exe.config)
悪意のあるDLLと構成ファイルをターゲットの実行可能ファイルと同じディレクトリに配置するだけ
従来のDLLサイドローディングの様に、DLLを正規のDLLと同じ名前にする必要はない
.NETアプリケーションが実行されると、悪意のあるDLLがロードされ、そのコードが正当なアプリケーションのコンテキスト内で実行
DLLサイドロードは検出されやすいが、AppDomainManagerインジェクションは、悪意のある動作が正当な署名済み実行可能ファイルからのものであるように見えるため、検出がより困難
攻撃の最終段階ではCobaltStrikeビーコンを用い、さらなる攻撃を可能にする。
攻撃は中国のAPT41が関与していると疑われるが、確証は低い。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
NTTセキュリティの調査レポート: https://jp.security.ntt/tech_blog/appdomainmanager-injection
ChatGPTの推奨事項
.NETアプリケーションのセキュリティ監視を強化すべき。
米石油大手ハリバートン、システム停止の原因はサイバー攻撃と確認
要約
ハリバートンは8月21日にサイバー攻撃を受け、一部システムを停止。
不正アクセスが検出され、サイバーセキュリティ対策を発動。
影響を評価中で、顧客や関係者に通知済み。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
システム監視とインシデント対応を強化すべき。
Lazarusハッカーのために数百万ドルを洗浄していたロシア人、アルゼンチンで逮捕
要約
アルゼンチンで、北朝鮮のLazarusグループに関連するマネーロンダリングを行っていた29歳のロシア人が逮捕された。
彼は暗号通貨を使い、多額の資金を洗浄し、現金に変換していた。
Lazarusから1億ドルを処理しており、これは2022年6月のHarmony Horizonハッキングに関連している可能性
この逮捕は、国際的なサイバー犯罪対策の一環として行われた。
ブロックチェーン分析会社TRM Labsが調査に協力し、資金の流れを複雑にするために複数ブロックチェーンにまたがる取引などが行われていたが、人物を特定し、居場所を特定した。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
Lazarusグループは北朝鮮に関連するサイバー犯罪者グループ。
ChatGPTの推奨事項
暗号通貨取引の監視を強化すべき。
Greasy OpalのCAPTCHAソルバー、16年にわたりサイバー犯罪を支援
要約
Greasy Opalは16年間、サイバー犯罪を支援するCAPTCHAソルバーを販売してきた。
このツールは、スパムの拡散、ソーシャルネットワークでのコンテンツのプロモーション、ブラックSEOなどの違法行為に使用されてきた
このツールは、機械学習とOCRを活用し、特定のCAPTCHAを解読可能。
Storm-1152を含むさまざまな脅威アクターがこのツールを利用している。
このツールは適正価格で販売し、顧客が月額料金を支払うことを要求。結果、年間170万ドル以上の収益を上げていると推定される。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
CAPTCHAの強化や高度なボット検出技術の導入を検討すべき。
日本のインシデント事例
その他のメモ
Amadeyは、感染したシステムから機密情報を盗み、C2サーバーに送信する情報窃取型のマルウェア
x32dbgを用いたマルウェアのアンパック方法、Ghidraを用いたC2サーバー情報の取得方法について解説
マルウェアは、文字列の難読化やアンチデバッグ技術など、分析を困難にするための様々な技術を使用
これらの難読化技術を回避し、マルウェアのC2サーバーなどの重要な情報を特定する方法について説明
また、Amadeyの具体的な悪意のあるアクティビティとして、レジストリの変更、スケジュールタスクの作成、データの窃取、セキュリティソフトウェアの検出などが挙げられる
この記事が気に入ったらサポートをしてみませんか?