Daily Security Info - 2024/08/31
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
研究者が空港TSAセキュリティチェックを回避するSQLインジェクションを発見
要約
研究者がFlyCASSのSQLインジェクション脆弱性を発見し、TSAのセキュリティチェックを回避できる可能性を指摘。
FlyCASSは、Known Crewmember (KCM) プログラムとCockpit Access Security System (CASS) を管理するために使用するWebベースのサービス
この脆弱性により、悪意のあるユーザーがKCMとCASSシステムを悪用して空港のセキュリティを突破できる。
FlyCASSはすでにKCM/CASSから切断され、脆弱性は修正済み。
別の研究者がFlyCASSについて調べたところ、2024年2月にMedusaLockerランサムウェアからの攻撃を受けた可能性も指摘されている。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
推奨事項なし
新しい「Voldemort」マルウェアがGoogleスプレッドシートを悪用して盗まれたデータを保存
要約
新しい「Voldemort」マルウェアが発見され、税務機関を装ったフィッシングメールで拡散。
フィッシングサイトにアクセスすると、「ドキュメントを表示するにはクリック」ボタンのあるページにリダイレクトされ、クリックするとTryCloudflareでトンネリングされたURIを指すsearch-ms URI(Windows Search Protocol)にリダイレクトされる
search-ms ファイルを操作すると、Windowsエクスプローラーが起動し、PDFに見せかけたLNKファイルまたはZIPファイルが表示。ファイルを開くとWebDAV共有から悪意のあるPythonスクリプトが実行される
Voldemortマルウェアは、正規のCisco WebEx実行ファイル(CiscoCollabHost.exe)と、DLLサイドローディングを使用して実行される
VoldemortマルウェアはGoogleスプレッドシートをC2サーバーとして利用し、データの窃取や管理を実行。
攻撃対象は保険、航空宇宙、運輸、教育分野などで、標的組織の地理に基づいて当該国の税務当局に成りすます。8月から大規模攻撃が開始されている。
IOCの列挙
IOC情報なし
推奨事項
外部ファイル共有サービスへのアクセスを制限。
TryCloudflareへの接続をブロック。
不審なPowerShellの実行を監視。
その他
なし
ChatGPTの推奨事項
Googleスプレッドシートの異常な使用を監視し、制限を検討。
北朝鮮のハッカーがChromeのゼロデイを悪用してルートキットを展開
要約
北朝鮮のハッカーがChromeのゼロデイ(CVE-2024-7971)を利用してFudModuleルートキットを展開。
CVE-2024-7971は、JavaScriptのType Confusionの脆弱性で、攻撃者が制御するWebサイトvoyagorclub[.]spaceにリダイレクトさせ、Chromiumレンダラープロセスでリモートコード実行を行うことが可能。
CVE-2024-7971で侵害した後、Windowsカーネルの脆弱性(CVE-2024-38106)を利用してシステム権限を取得及びFudModuleルートキットに感染させた。
攻撃者はCitrine Sleetとして知られる北朝鮮のグループで、金銭的利益を目的として仮想通貨組織や関連個人を標的にしている。
ルートキットは過去にも別の攻撃で使用されている。
IOCの列挙
voyagorclub[.]space, FQDN名, 知られていない, 攻撃者が管理するウェブサイト, NA
推奨事項
ChromeとWindowsを最新バージョンにアップデート。
仮想通貨取引プラットフォームへのアクセスを監視。
その他
攻撃者は北朝鮮に所属し、金銭的利益が目的。
ChatGPTの推奨事項
最新のセキュリティパッチを適用。
研究者がランサムウェアによって盗まれたデータをメディアと共有したことで訴訟に直面
要約
研究者がRhysidaランサムウェアによりオハイオ州コロンバス市から盗まれたデータをメディアに共有し、訴訟を起こされる。
コロンバス市の市長は、公開された情報は価値も使い道もなく、攻撃はうまく阻止できた主張、セキュリティ研究者は公開されたデータをメディアと共有し、機密データや貴重なデータは流出しなかったというギンサー市長の主張に異議を唱えた
共有されたデータは、個人情報を含むセンシティブな情報を含んでいた。
コロンバス市は訴訟を通じて研究者に対する損害賠償を要求。訴訟の目的は、盗まれたデータのさらなる拡散を防ぐこと。
研究者はデータの価値を公に証明するために共有したと主張。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
推奨事項なし
北朝鮮のハッカーが悪意のあるnpmパッケージで開発者を標的に
https://thehackernews.com/2024/08/north-korean-hackers-target-developers.html
要約
北朝鮮のハッカーが、npmレジストリに悪意のあるパッケージを公開し、開発者を標的に。
マルウェア「InvisibleFerret」は、仮想通貨ウォレットのデータを窃取し、持続的なアクセスを確立。
攻撃は8月12日から27日の間に確認され、「temp-etherscan-api」「ethersscan-api」「telegram-con」「helmet-validate」「qq-console」という名称のパッケージが使用された。
これらの攻撃は「Contagious Interview」作戦の一環とされる。CrowdStrikeはこの活動を「Famous Chollima」として追跡中。
攻撃目的は主に金銭だが、機密情報の窃取が目的であったケースもある
IOCの列挙
ipcheck[.]cloud, FQDN名, 知られていない, JavaScriptのリモート実行に使用, NA
167[.]88[.]36[.]13, IPアドレス, 知られていない, リモートドメインのIPアドレス, グローバル
推奨事項
npmパッケージの使用を厳格に管理。
リモートデスクトップツールの使用を制限。
その他
攻撃者は北朝鮮に所属し、仮想通貨の窃取を狙う。
ChatGPTの推奨事項
npmパッケージの検証を徹底。
日本のインシデント事例
その他のメモ
この記事が気に入ったらサポートをしてみませんか?