dailynews - 2024/04/19
Daily Security Info
Tools
GO言語で記載されており、マルチプラットフォームで動作
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
CHC-SV病院、フランスでサイバー攻撃後に手術を延期
要約
フランスのCHC-SV病院がサイバー攻撃を受け、運用に影響
コンピューターをオフラインにし、一時的に紙とペンを使った運用となる
緊急事態に対応できるよう、いくつかの手術が延期される
ランサム要求はなく、データ盗難の証拠も現時点でなし
サイバーセキュリティの訓練が危機管理に一役買う
IOCの列挙
IOC情報なし
推奨事もも
ITインフラの定期的な監査とサイバー防御の強化
その他
データ盗難がないとの現段階の報告あり
ChatGPTの推奨事項
ITセキュリティ対策の強化と定期的なリスク評価を実施すること
FBI: Akiraランサムウェア、250社以上から4200万ドルを詐取
要約
Akiraランサムウェアが250以上の組織を標的に4200万ドルを詐取
2023年3月に出現し、幅広い業界を標的に急速に展開
北米、欧州、豪州で、幅広いビジネスと基盤インフラへ影響
FBIとCISAは組織の脆弱性対策と多要素認証の重要性を強調
攻撃の被害を減少させるための具体的な対策とガイドライン提供
IOCの列挙
IOC情報なし
推奨事項
脆弱性の早急な修正とセキュリティ対策の遵守
その他
FBIが複数の国際機関と共同で情報提供
ChatGPTの推奨事項
組織は脆弱性の迅速な対応と従業員の教育強化を実施するべき
Google広告がWhales Marketを偽装してウォレットドレイナーマルウェアを拡散
要約
Google広告が「Whales Market」を偽装し、フィッシングサイトへ誘導
間違ったURL(app.whaless[.]market)からウォレットドレイナーマルウェアが配布される
正規サイトに似せたフィッシングサイトで、ウォレットを接続すると資産が抜かれる
広告を通じたフィッシングはGoogle Adsで長年問題になってきた
広告として表示している際は正規のサイトのURLを表示しているが、アクセスするとリダイレクトを介してフィッシングサイトへ誘導
正規と見分けがつきにくいURLを使用した広告が特に問題視される
IOCの列挙
app.whaless[.]market, URL, 知られていない, フィッシングに使用, グローバル
推奨事項
URLの正確性を常に確認し、不審なサイトには接続しない
その他
Googleによる広告審査の強化が望まれる
Whales Marketは、ユーザーがブロックチェーン間で資産を交換できるようにする分散型OTC取引プラットフォーム
ChatGPTの推奨事項
WebサイトのURLを慎重に確認し、見慣れないリンクには注意すること
サイバー犯罪者がLastPassスタッフになりすましユーザを攻撃。パスワードVaultsをハック
要約
LastPassは、CryptoChameleonフィッシングキットを用いた標的攻撃を警告
攻撃者は、認証後のアカウントアクセスを装い、支援を申し出る
被害者は偽のLastPassサイトに誘導され、マスターパスワードを入力
入力後、アカウント設定が変更され、正規ユーザーが排除される
help-lastpass[.]comドメインでフィッシングサイトが運営されていた
IOCの列挙
help-lastpass[.]com, URL, 知られていない, フィッシングに使用, グローバル
推奨事項
疑わしい通信に対して警戒し、LastPassに報告する
その他
他のキャンペーンも続く可能性が高いとされる
ChatGPTの推奨事項
LastPassの通知に注意し、未認証の通信を無視すること
LabHostフィッシングサービスが破壊され、37人が逮捕される
要約
LabHostフィッシングサービスが摘発され、開発者を含む37人が逮捕
40,000以上のドメインと1万ユーザーが影響を受ける
サービスは2019年に開始、月額249ドルで悪意ある攻撃が可能
摘発はEuropolの協力による国際的な取り組みの結果
捜査当局は、LabHostはクレジットカードやPIN、パスワードなどの個人データを大量に盗んでいたことも立証した
クレジットカード: 480,000
PIN: 64,000
様々なオンラインアカウントのパスワード: 100万
IOCの列挙
IOC情報なし
推奨事項
フィッシング対策の強化と従業員教育の継続
その他
Europolは、LabHostが他サービスと大きな違いを生んだ強力なツール「LabRat」について言及。このツールはリアルタイムフィッシング管理ツールであり、多要素認証をバイパスするのに用いる
Fortra は、2024年2月にLabHostが人気のツールになりつつあると指摘していた
ChatGPTの推奨事項
定期的なサイバーセキュリティトレーニングと警戒を継続すること
SoumniBotマルウェア、Androidのバグを利用して検出を回避
要約
SoumniBotはAndroidの脆弱性を利用して隠れる新型バンキングマルウェア
APKの解析を妨げるため、異常な圧縮値やファイルサイズを報告
設定データとデバイス情報を定期的にC2サーバーへ送信
マルウェアは連絡先の変更やSMSの送信などのコマンドを受信
Kasperskyによって発見され、Googleに報告済み
IOCの列挙
IOC情報なし
推奨事項
Androidのセキュリティパッチを常に更新する
その他
対象は主に韓国ユーザーで、アイコンを非表示にして検出を回避
ChatGPTの推奨事項
モバイルデバイスのセキュリティアップデートを常に確認し続けること
OpenMetadataアプリがKubernetesのクリプトマイニング攻撃でハイジャックされる
要約
Kubernetes環境でOpenMetadataがクリプトマイニング目的でハイジャックされる
複数のリモートコード実行と認証の脆弱性が悪用され、最近パッチが適用された
攻撃者は脆弱なバージョンを悪用してコード実行とサーバーへのマルウェアダウンロードを行う。アクセスするサーバは中国にあるものだったことが観察された。
LinuxとWindowsのプラットフォームに影響
システム維持としてcronjobsを使用して定期的に悪意のあるコードを実行
IOCの列挙
IOC情報なし
推奨事項
アプリケーションとクレデンシャルの更新、パッチの定期的な適用
その他
攻撃はシステムの持続的なアクセスと制御を目指している
悪用されている脆弱性は以下。先月の3月15日にパッチが適用されたもの。
CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、VE-2024-28848、CVE-2024-28254
ChatGPTの推奨事項
パッチの適用とデフォルト資格情報の変更を確実に行うこと
FIN7がアメリカの自動車メーカーのITスタッフをフィッシング攻撃で標的に
要約
FIN7がアメリカの大手自動車メーカーのITスタッフを標的にした
攻撃は権限の大きい従業員を標的にし、スピアフィッシングメールでAnunakバックドアを配布
電子メール内には、Advanced IP Scannerになりすました悪意のあるURLがあり、アクセスすると正規のインストーラを装ったWsTaskLoad.exeのインストールが求められる。
攻撃は最初に感染したホストにとどまり、ネットワーク内の別システムへ感染は拡大しなかった
BlackBerryによる分析でFIN7の特有の「PowerTrash」難読化ツールを利用したPowerShellスクリプトが使用されていたことが判明
IOCの列挙
advanced-ip-sccanner[.]com, URL, 知られていない, フィッシングに使用, グローバル
myipscanner[.]com, URL, 知られていない, リダイレクトに使用, グローバル
推奨事項
フィッシング対策として多要素認証(MFA)を導入
その他
FIN7は以前にも多数のランサムウェア攻撃で知られている
ChatGPTの推奨事項
従業員へのサイバーセキュリティ訓練と警戒心を強化すること
OfflRouterマルウェア、ウクライナで約10年間検出を回避
https://thehackernews.com/2024/04/offlrouter-malware-evades-detection-in.html
要約
OfflRouterマルウェアが2015年以来ウクライナの政府ネットワークに感染
マクロVBAウイルスを使用し、'ctrlpanel.exe'をドロップして実行
電子メールではなくドキュメント共有やUSB経由で拡散
Cisco Talosが100以上の機密文書を分析し発見
OfflRouterマルウェアは、意図しているかどうかは不明だが、ウクライナ国境内および少数の組織に限定されてきたことで、ほぼ10年間検出を免れてきた
IOCの列挙
IOC情報なし
推奨事項
ドキュメントのセキュリティ強化とマクロの無効化
その他
マルウェアは特定の古いドキュメント形式のみ(拡張子がDOCのもののみ)を標的にしている
ChatGPTの推奨事項
VBAマクロの自動実行をブロックし、不明な文書の開封を避けること
不正なGoogle広告が偽のIPスキャナーソフトウェアを通じてバックドアを拡散
https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html
要約
Google広告を利用した新しいマルウェアキャンペーンが発覚
偽のIPスキャナーソフトウェアを装い、MadMxShellバックドアを配布
Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG, ManageEngineなどの様々なツールを偽装した45のタイポドメインを使い、怪しい広告に使用
ユーザーはダウンロードボタンをクリックするとマルウェアがダウンロードされる
バックドアはDNS MXクエリを介してC2サーバーと通信する
IOCの列挙
litterbolo[.]com, FQDN名, 知られていない, C2サーバー通信, グローバル
推奨事項
ダウンロードするソフトウェアの出典を常に確認する
その他
Google広告を通じたマルウェアの拡散は、以前から問題になっている
ChatGPTの推奨事項
オンライン広告によるソフトウェアダウンロードは慎重に行うこと
GPT-4は脅威のアドバイザリを読むだけでほとんどの脆弱性を悪用できるとの指摘
要約
GPT-4は、脅威のアドバイザリを読むことで脆弱性を悪用可能。
UIUCの研究により、実際のシステムに影響を与える可能性が示された。
実験ではGPT-4が15の脆弱性中13をエクスプロイトに成功。
研究はAIがサイバーセキュリティに与える影響を強調。
企業は迅速なパッチ適用とセキュリティ対策が必要。
IOCの列挙
IOC情報なし
推奨事項
企業は新しい脆弱性に対して迅速に対応する必要がある。
セキュリティベストプラクティスの適用と維持が重要。
AI技術を利用する潜在的な脅威に備えるべき。
その他
記事はGPT-4が脆弱性情報を読み取り、悪用する能力を示している。
GPT-3.5、Meta の Llama 2 Chat など評価対象の10モデル中9モデルは1つもエクスプロイトできず、GPT-4のみが成功
攻撃はまだ理論的なものだが、早急な対策が求められる。
ChatGPTの推奨事項
企業はAIによる攻撃への迅速な対応と予防策の強化を急ぐべき。
日本のインシデント事例
その他のメモ
N/A