Daily Security Info - 2024/08/10
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
ロシア、テロ対策法違反でSignalをブロック
要約
ロシアがメッセージングアプリSignalをテロ対策法違反としてブロック。
ロシアの法律では、暗号化キーの提供や通信の記録が求められている。
Signalはプライバシー保護を重視し、要求に従わない方針を維持。
ロシアは、VPNなどの利用も禁止している。また、TelegramやDiscord、Microsoft Teamsなどに対してはロシア政府機関での利用を禁止した。
ロシア政府は、国内での規制を強化している。
IOCの列挙
IOC情報なし
推奨事項
VPNなどの対策を利用して、アクセスを確保すること。
プライバシーを保護するための暗号化ツールの使用を検討すること。
ロシア国内のアプリ利用者は法的リスクを認識すること。
その他
既にSignalはロシア国内でブロックされている。
ロシア政府が主導するインターネット規制強化の一環として行われた。
動機は国家安全保障に関連するテロ防止。
ChatGPTの推奨事項
ロシア国内でSignalを使用する場合、VPNを利用してアクセスを継続すること。
CSC ServiceWorks、2023年のサイバー攻撃後にデータ侵害を公表
要約
CSC ServiceWorksが2023年のサイバー攻撃によりデータ侵害を受けたことを公表。
未知の攻撃者が、2023年9月23日から2024年2月4日まで、ネットワーク上の侵害されたシステムにアクセスした
攻撃者は個人情報にアクセスした可能性がある。影響を受けた人数は非公開。
被害データは個人によって異なるが、氏名、住所、社会保障番号などが含まれる可能性がある。
CSCは影響を受けた個人に対し、クレジットモニタリングサービスを提供している。また、漏洩した個人情報を悪用しようとする試みを検出するために、Experian IdentityWorksの無料のメンバーシップも提供しいている。
IOCの列挙
IOC情報なし
推奨事項
影響を受けた顧客は、身元監視サービスを活用すること。
パスワードやセキュリティ質問を変更すること。
身元盗難の兆候を注意深く監視すること。
その他
なし
ChatGPTの推奨事項
影響を受けた人はすぐにパスワードを変更し、身元盗難を防ぐための対策を講じること。
新たなAMDのSinkholeClose脆弱性、ほぼ検出不可能なマルウェアのインストールに悪用
要約
AMDの新たな脆弱性「SinkholeClose」により、検出が難しいマルウェアのインストールが可能になる。
この脆弱性は、カーネルレベルの特権(ring 0)を使って、最上位レベルの特権(ring -2)を取得できる。
攻撃者はこの脆弱性を利用して、セキュリティソフトウェアによる検出を回避し、マルウェアの隠蔽に悪用される可能性。
AMDはこの問題に対する緩和策を提供。パッチの開発も進めているが、現時点では提供されていない。
高度な攻撃が予想され、企業は特に注意が必要。
IOCの列挙
IOC情報なし
推奨事項
AMDからのパッチがリリースされ次第、速やかに適用すること。
セキュリティソフトウェアを最新の状態に保つこと。
異常なシステム動作を監視し、疑わしい場合は速やかに調査すること。
その他
なし
ChatGPTの推奨事項
AMDのセキュリティアップデートがリリースされた際には、即座に適用すること。
Microsoft、Officeのゼロデイ脆弱性を公表、パッチは未提供
要約
MicrosoftがOfficeに存在するゼロデイ脆弱性を公表。
この脆弱性により、権限のない攻撃者がシステムの状態や構成データ、個人情報、接続メタデータなどの保護された情報にアクセスできる可能性。
Microsoftはこの脆弱性に対するパッチを開発中であり、提供時期は未定。
この脆弱性を悪用する攻撃はまだ確認されていない。また、Microsoftはこの脆弱性のエクスプロイトは起こりづらいとしているが、MITREは悪用されやすいとしてタグをつけている。
IOCの列挙
IOC情報なし
推奨事項
Officeの保護機能を有効にし、緩和策を適用すること。
Microsoftからのパッチがリリースされた際には、すぐに適用すること。
セキュリティソフトウェアを最新の状態に保ち、疑わしいファイルを開かないこと。
その他
なし
ChatGPTの推奨事項
Microsoftのパッチがリリースされるまで、緩和策を必ず適用すること。
マルウェア、30万台のブラウザに拡張機能を強制インストールし、DLLパッチを適用
要約
マルウェアが約30万台のブラウザにChrome拡張機能を強制的にインストール。
マルウェアはブラウザが利用するDLLファイルを改ざんし、ブラウザのホームを改変し、デフォルト検索をハイジャックして攻撃者の検索ポータルにする
これにより、閲覧履歴を盗む、さまざまな Google Chrome および Microsoft Edge 拡張機能を多数インストールする
悪意のある拡張機能により、ブラウザデータが漏洩し、攻撃者が収益を得る広告へのリダイレクトなどがなされている。
この攻撃は、Google検索結果に表示される悪意のある広告を通じて宣伝されている偽のWebサイトからソフトウェアインストーラをダウンロードさせることで感染
被害者は世界中に広がっており、感染が拡大中。
IOCの列挙
IOC情報なし
推奨事項
不審な拡張機能を削除し、Chromeをリセットすること。
ウイルス対策ソフトでシステム全体をスキャンすること。
知らないソフトウェアやリンクをクリックしないこと。
その他
なし
ChatGPTの推奨事項
ブラウザ拡張機能を確認し、怪しいものはすぐに削除すること。
米国、北朝鮮のIT工作員が使用するラップトップファームを解体
要約
米国当局が、北朝鮮のIT工作員が使用していたラップトップファームを解体。運営していたナッシュビルの男性を逮捕。
これらの工作員は、米国市民の「アンドリュー・M」という偽の身分を使って米国企業に就職し、違法な利益を北朝鮮政府に送金。
工作員は、仮想通貨やリモートITサービスを通じて利益を得ていた。
このラップトップファームにより、北朝鮮の工作員は中国から作業できた。
北朝鮮のハッカーがアメリカの企業に就職するのを手伝ったとして逮捕・起訴された2人目のアメリカ人
IOCの列挙
IOC情報なし
推奨事項
IT人材採用時には、身元確認を徹底し、疑わしい人物を避けること。
仮想通貨取引に関わるリスクを評価し、厳重に監視すること。
政府の制裁対象国からの取引や接触を避けること。
その他
既に工作員による不正活動が行われていたが、米国によって阻止された。
攻撃者は北朝鮮の工作員であり、動機は制裁逃れと資金調達。
ChatGPTの推奨事項
IT人材の採用時に徹底的なバックグラウンドチェックを行うこと。
Cisco、サポート終了のIP電話に存在する重大なRCEゼロデイ脆弱性を警告
要約
Ciscoがサポート終了のIP電話に重大なリモートコード実行(RCE)ゼロデイ脆弱性があると警告。
脆弱性を悪用されると、攻撃者がリモートから任意のコードを実行可能。
サポート終了製品のため、公式パッチの提供予定はなし。
Ciscoは影響を受けるデバイスを廃止し、最新機器に移行することを推奨。
IOCの列挙
IOC情報なし
推奨事項
脆弱なIP電話を廃止し、サポートが継続されている機器に移行すること。
ネットワーク上での異常な動作や通信を監視し、疑わしい活動を確認すること。
他のネットワーク機器も最新のセキュリティアップデートを適用すること。
その他
なし
ChatGPTの推奨事項
脆弱なIP電話をすぐに廃止し、セキュリティが維持されているデバイスに切り替えること。
Microsoft Exchange 2016、10月に延長サポート終了へ
要約
Microsoft Exchange Server 2016が2023年10月に延長サポートを終了する。
延長サポート終了後はセキュリティ更新プログラムが提供されず、脆弱性が残る可能性がある。
Microsoftは、Exchange OnlineやExchange Server 2019への移行を推奨。
移行が困難な場合、Extended Security Updates(ESU)の購入を検討することを推奨。
組織にとって、移行が完了していない場合のリスクは大きい。
IOCの列挙
IOC情報なし
推奨事項
Exchange OnlineまたはExchange Server 2019への移行を計画し、実施すること。
移行が難しい場合は、Extended Security Updates(ESU)を購入すること。
それまでの間、最新のセキュリティ更新プログラムをすべて適用すること。
その他
なし
ChatGPTの推奨事項
早急にExchange OnlineまたはExchange Server 2019への移行を開始すること。
専門家がAWSの深刻な脆弱性を発見
https://thehackernews.com/2024/08/experts-uncover-severe-aws-flaws.html
要約
専門家がAmazon Web Services(AWS)における深刻な脆弱性を発見。
脆弱性は複数あり、にリモートコード実行(RCE)、サービスの完全なユーザー乗っ取り、機密データの漏洩などにつながる懸念がある。
この問題は「Bucket Monopoly」と名付けられ、CloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStarなどのサービス使用時にAWS S3バケットが自動的に作成される「Shadow Resource」と呼ばれる攻撃ベクトルが中心。
攻撃者はこの挙動を悪用して、使用されていないリージョンにサービスが作成するバケットを事前に準備しておくことで攻撃。S3バケットの命名規則は「{サービスプレフィックス}-{AWSアカウントID}-{リージョン}」であり、推測可能だった
Amazonはこの問題を修正済み。2024年2月に報告され、3月から6月にかけて修正した。
IOCの列挙
IOC情報なし
推奨事項
AWSからの修正パッチがリリースされ次第、迅速に適用すること。
AWS環境のセキュリティ設定を確認し、必要に応じて強化すること。
リモートアクセスや権限管理に注意を払い、定期的に監査を行うこと。
その他
なし
ChatGPTの推奨事項
AWSのセキュリティパッチが公開された際、速やかに適用すること。
脅威アクターがデータ流出ツールとしてRclone、WinSCP、cURLを好む
https://www.infosecurity-magazine.com/news/rclone-winscp-curl-top-data/
要約
Rclone、WinSCP、cURLが脅威アクターによりデータ流出に利用されている。
LockBit、Black Basta、BlackSuitなど、有名なランサムウェアグループのほとんどがこれらのツールをデータ窃取に利用。
Rcloneは特に人気があり、57%のランサムウェア攻撃で使用された。
WinSCPはWindows向けのファイル転送ツールで、信頼性が高い。
cURLはクロスプラットフォームで、データ転送に利用される。Black BastaはcURLをクラウドストレージドメイン「temp[.]sh」と組み合わせて利用
これらツールの合法性が検出を困難にしている。
IOCの列挙
IOC情報なし
推奨事項
RcloneやWinSCPなどのツールの使用を監視する
cURLの異常な使用を監視し、ログを分析する
侵害を早期に発見できる検出システムを強化する
その他
なし
ChatGPTの推奨事項
合法ツールの異常な使用を監視するためのロギングと監視を強化すること
ロシアのサイバー犯罪を撲滅:WWH-Clubの管理者が逮捕される
https://flashpoint.io/blog/wwh-club-russian-cybercrime/
要約
WWH-Clubの2人の管理者が米国当局により逮捕された。
フォーラムは依然として運営されており、逮捕された者は管理者権限を持たないと主張。
WWH-Clubは2012年から運営され、カード詐欺の技術やサービスについて議論し、初心者への教育プログラムを提供。
逮捕された2名はそれぞれロシアおよびカザフスタン出身で、2022年12月に米国に亡命を求めていた
国際的な法執行協力が引き続き必要とされている。
組織は、進化するサイバー犯罪の脅威から身を守るために、包括的で実用的なタイムリーな脅威インテリジェンスを必要
IOCの列挙
IOC情報なし
推奨事項
WWH-Clubのようなフォーラムを監視し続ける
国際的な法執行協力を強化する
サイバー犯罪に対する防御を進化させる
その他
なし
ChatGPTの推奨事項
国際的な協力を通じてサイバー犯罪への対応を強化すること
日本のインシデント事例
その他のメモ
この記事が気に入ったらサポートをしてみませんか?