Daily Security Info - 2024/08/08
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Windows Updateのダウングレード攻撃で完全更新システムが未パッチ状態に
要約
SafeBreachの研究者が、Windows Updateのゼロデイ脆弱性(CVE-2024-38202およびCVE-2024-21302)を利用し、完全に更新されたシステムを未パッチ状態に戻す攻撃手法を発表。
攻撃者はWindows Updateプロセスを悪用し、古い脆弱なバージョンにダウングレード。ダウングレードするがWindows Updateの画面などでは最新の状態であり、回復ツールやスキャンツールで検出不能。
この攻撃はEDRソリューションで検出できず、システムは依然として「完全に更新」と表示される。
Microsoftは、Black Hatでの講演に合わせて、この2つのゼロデイ脆弱性について勧告を出し、パッチがリリースされるまでの緩和策に関するアドバイスを提供
現時点でこの脆弱性が実際に悪用されたという報告はない
IOCの列挙
IOC情報なし
推奨事項
ソフトウェアの整合性を定期的にチェックする。
その他
なし
ChatGPTの推奨事項
ソフトウェアの整合性を定期的にチェックすること。
McLaren病院、ランサムウェア攻撃による混乱が発生
要約
McLaren Health CareのITおよび電話システムがランサムウェア攻撃を受けて混乱。
同病院はインシデントの詳細を明らかにしていないが、職員が身代金要求メモを共有。
攻撃者はINC Ransomであり、システムが暗号化されデータが盗まれた。窃取されたデータは身代金を支払わなければ公開すると恐喝。
同病院は患者のデータベースアクセスを失い、一部の予約や手術が延期された。
2023年7月のデータ侵害でも個人情報が漏洩していた。
IOCの列挙
IOC情報なし
推奨事項
サイバーセキュリティ対策を強化する。
データのバックアップを定期的に行う。
その他
攻撃者はランサムウェアグループのINC Ransom。
ChatGPTの推奨事項
サイバーセキュリティ対策を強化すること。
英国のITプロバイダー、2022年のランサムウェア侵害で770万ドルの罰金に直面
要約
英国のITプロバイダーAdvanced Computer Software Groupが2022年のランサムウェア攻撃で770万ドルの罰金に直面。
攻撃により、NHSなどの公共および民間機関が影響を受け、83,000人の個人情報が漏洩。
ICO(英国情報委員会事務局)は、Advancedのインシデント前のセキュリティについて重大な欠陥があったことが暫定的に判明した、とコメント
ICOが罰金を提案し、Advancedにセキュリティ対策の強化を求める。
セキュリティ更新の適用、多要素認証の有効化、システムの既知の脆弱性のチェックなどの基本的な対策を実施することが機密データの保護に不可欠
IOCの列挙
IOC情報なし
推奨事項
セキュリティ更新の適用。
マルチファクター認証の有効化。
システムの脆弱性チェック。
その他
なし
ChatGPTの推奨事項
セキュリティ更新の適用を徹底すること。
macOS Sequoia、Gatekeeperおよびストーカーウェア対策を強化
要約
macOS Sequoiaは、Gatekeeperの警告をバイパスするのを困難にし、ストーカーウェアの脅威に対するシステムアラートを追加。
新バージョンでは、署名されていないソフトウェアを開く際にコントロールキーを押しながらクリックする「Control-click」によるバイパスが不可。
ソフトウェアの実行を許可する前に、システム設定>プライバシーとセキュリティにアクセスして、ソフトウェアのセキュリティ情報を確認する必要がある。
毎週のシステム警告により、スクリーンとオーディオのアクセス許可を求めるアプリの確認ができる。
実行中のアプリの画面や音声コンテンツにアクセスして記録するためのアプリの権限を拡張するように促すシステム警告が毎週表示
IOCの列挙
IOC情報なし
推奨事項
最新のmacOS Sequoiaに更新する。
その他
なし
ChatGPTの推奨事項
最新のmacOS Sequoiaに更新すること。
クリティカルなProgress WhatsUp RCE脆弱性が積極的に悪用される
要約
Progress WhatsUp Goldのリモートコード実行(RCE)脆弱性(CVE-2024-4885)が悪用されている。
脆弱性は未認証の攻撃者がWhatsUp Goldにおいて、特権を持つユーザー(OS上では「iisapppool\nmconsole」ユーザー)としてコマンドを実行可能。
脆弱性を修正したバージョン(23.13)は、2024年6月25日に公開。最新バージョンへのアップデートが推奨される。
アップデートがすぐできない場合は、ポート 9642 および 9643 へのアクセスを信頼できる IP アドレスからのみに制限することを検討。
PoCエクスプロイトが公開され、6つのIPアドレスから攻撃が確認された。
IOCの列挙
IOC情報なし
推奨事項
WhatsUp Goldを最新バージョンにアップデートする。
その他
なし
ChatGPTの推奨事項
WhatsUp Goldを最新バージョンにアップデートすること。
Microsoft 365のアンチフィッシング機能がCSSで回避可能
要約
Microsoft 365の「First Contact Safety Tip」アンチフィッシング機能がCSSで回避可能と判明。
Outlookでは、「初めての連絡先の安全性のヒント」という警告メッセージを表示する。
攻撃者はフィッシングメールにCSSを使うことで、で警告メッセージの文字を背景色と同じ色にすることで非表示にできる。
Microsoftはこの脆弱性を修正する予定はないと発表。ただし、製品の改善に向けた今後のレビューのためにマークされていると回答。
Certitudeの研究者が問題を報告し、証拠を提供。
現時点でこの脆弱性を悪用した攻撃の報告はない。
IOCの列挙
IOC情報なし
推奨事項
メールの送信元を常に確認する。
その他
なし
ChatGPTの推奨事項
メールの送信元を常に確認すること。
新しいGoベースのバックドア「GoGra」、南アジアのメディア組織を標的に
https://thehackernews.com/2024/08/new-go-based-backdoor-gogra-targets.html
要約
国家支援のAPTグループであるHarvesterが「GoGra」という新しいGoベースのバックドアを使用。
GoGraはMicrosoft Graph APIを使用し、C&Cサーバーと通信。C&CサーバはMicrosoftメールサービス上にホスト。
Outlookアカウントからの特定のメッセージを読み取り、AES-256で復号し、cmd.exeでコマンドを実行。
攻撃は南アジアのメディア組織を標的。
Harvesterが過去に使っていたツールGraphonとGoGraには類似性がある
Harvesterだけでなく、様々な国家支援の攻撃者が正規のクラウド サービスを悪用
IOCの列挙
IOC情報なし
推奨事項
信頼できるソースからのみソフトウェアをインストールする。
ソースコードを確認する。
その他
なし
ChatGPTの推奨事項
信頼できるソースからのみソフトウェアをインストールすること。
日本のインシデント事例
その他のメモ
N/A
この記事が気に入ったらサポートをしてみませんか?