Daily Security Info - 2024/09/05
Tools
N/A
malware campaign
N/A
security report
偽の投資スキームなどに利用されるディープフェイク詐欺キャンペーンが複数発見された。
主に著名人の顔や声を模倣したディープフェイク動画が使用される。
「Quantum AI」と呼ばれる投資スキームを宣伝するキャンペーンのインフラストラクチャを分析することで、同じ脅威アクターグループによって作成および宣伝された、まったく異なるテーマを利用した他のいくつかのディープフェイクキャンペーンを発見したと説明
これらの詐欺は、インフラや戦術の類似性から一つの攻撃グループに関連している可能性が高い。
TelegramのCEOであるドゥロフ氏が逮捕される:サイバー犯罪者の反応
2024年8月、TelegramのCEOパヴェル・ドゥロフ氏が違法行為に関与したとして逮捕された。
サイバー犯罪者らはTelegram利用に対する影響を懸念し、新たな安全策を議論。
一部のハッカーグループはフランスに対して報復サイバー攻撃を開始。
Telegramのデータ安全性に不安を感じ、他のプラットフォーム移行を検討する動きも。
ただし、多くのアクターがTelegramの機能に大きく依存しているため、現在同プラットフォームを活用しているアクターが大量に同プラットフォームを離れるという可能性は低い
ドゥロフ氏への支持表明や「#FreeDurov」キャンペーンが展開。
cybercrime topics
N/A
日々のニュース要約
レッドチームツール「MacroPack」が悪用され、Brute Ratelを展開する攻撃に使用される
要約
MacroPackが攻撃者によって悪用され、Brute RatelやHavocなどのマルウェアを配信する攻撃が発生。
Cisco Talosの調査により、世界中で複数の悪意あるドキュメントが発見される。
中国、パキスタン、ロシア、米国から攻撃が観測されており、それぞれ異なる手法が使われた。
攻撃者はマクロを介して悪意あるDLLをロードし、C2サーバーと通信する。
Brute RatelはCobalt Strikeの代替として2022年半ばから使用されるようになっている。ランサムウェアグループがクラック版を利用していることも観測された。
MacroPack Proで構築されたことを示す特徴は、フレームワークのプロフェッショナルバージョンによって追加されたことが確認された、悪意のない4つのVBAサブルーチンが存在すること
MacroPackは、Red Teamツールであり、様々な高度な機能を提供
IOCの列挙
IOC情報なし
推奨事項
マクロの有効化を慎重に判断し、未確認のファイルを開かない。
セキュリティ製品の検知機能を強化して、マルウェアの侵入を防ぐ。
EDRやAVを最新の状態に保つ。
その他
攻撃者は中国、パキスタン、ロシア、米国を拠点とし、各国の関心に基づくテーマで攻撃を行っている。
ChatGPTの推奨事項
マクロの有効化を無効にして、外部からのドキュメントに注意すること。
米国、2024年選挙前にロシアの偽情報対策を強化
要約
米国司法省がFBIを通じて、ロシアが選挙に影響を与える偽情報キャンペーンを展開していた32のウェブドメインを押収。
この偽情報作戦は「Doppelgänger」ネットワークによるもので、ロシア政府の利益を促進する内容が含まれていた。
ロシアの政府関連企業がAI生成の偽情報をSNSで拡散、特定地域の有権者をターゲットにした。
FBIは偽情報キャンペーンの影響を制限するため、選挙インフラ保護を強化すると発表。
2名のロシア国民が、米国内での偽情報配信で起訴された。
IOCの列挙
IOC情報なし
推奨事項
不審なドメインからの情報は信用しない。
信頼できるニュースソースのみを参照する。
セキュリティソフトを最新の状態に保つ。
その他
攻撃者はロシア政府関連企業で、選挙に影響を与えることが目的。
ChatGPTの推奨事項
不明なニュースサイトやリンクを避け、情報の信頼性を確認すること。
Cisco、公開されたエクスプロイトコードに対応し、ルート昇格脆弱性を修正
要約
Ciscoは、ISEソフトウェアに存在するルート昇格脆弱性(CVE-2024-20469)を修正。
この脆弱性は、ユーザー入力の検証不足に起因し、管理者権限を持つ攻撃者がローカルでコマンドインジェクション攻撃を行える。
公開されたエクスプロイトコードが存在するが、現時点では実際の攻撃事例は報告されていない。
この脆弱性は特定のCLIコマンドが原因であり、パッチ適用が推奨される。
CiscoはSmart Licensing Utilityソフトウェアのバックドアアカウント問題にも対処中。
IOCの列挙
IOC情報なし
推奨事項
最新のセキュリティパッチを即時適用する。
管理者権限のあるアカウントを厳重に監視する。
Ciscoのセキュリティアドバイザリを定期的に確認する。
その他
なし
ChatGPTの推奨事項
ISEソフトウェアを直ちに最新バージョンにアップデートすること。
新しいEucleak攻撃でYubiKey FIDOキーがクローンされる危険性
要約
Eucleak脆弱性により、YubiKeyなどのFIDOデバイスがクローンされる可能性が発見された。
攻撃には物理的なアクセスと高度な専門知識が必要で、一般ユーザーには脅威は少ない。
脆弱性は古いYubiKeyデバイスやInfineon TPMを使用したデバイスにも影響する。
YubicoはRSA署名キーの使用とFIDO認証の頻度を増やす対策を推奨。
一部のIoTデバイスや古いスマートフォンも影響を受ける可能性がある。
IOCの列挙
IOC情報なし
推奨事項
脆弱なYubiKeyのバージョンを使用している場合、RSA署名キーに変更する。
FIDO認証のセッション時間を短く設定する。
その他
なし
ChatGPTの推奨事項
脆弱なYubiKeyデバイスを使用している場合は、RSA署名キーに変更すること。
ハッカー、Ciscoストアに悪意のあるJSを注入しクレジットカードと認証情報を盗む
要約
ハッカーがCiscoのストアを侵害し、悪意のあるJavaScriptをインジェクトして、顧客のクレジットカード情報と認証情報を盗んでいたことが発見された。
JavaScriptはチェックアウト時に入力された情報を収集し、特にクレジットカードやログイン情報を標的にする。
この攻撃はCosmicSting脆弱性(CVE-2024-34102)を利用して行われ、Ciscoストアの欧米・アジアサイトが影響を受けた。
Ciscoは調査を開始しており、ストアは現在オフラインでメンテナンス中。
CosmicStingはAdobe Commerceに影響を与えるXML外部エンティティ(XXE)攻撃で、機密データを取得可能。
IOCの列挙
IOC情報なし
推奨事項
クレジットカードや認証情報を定期的に確認し、不正な取引を監視する。
メンテナンス中のCiscoストアにはアクセスしない。
Adobe Commerceを使用する場合、脆弱性に対応したパッチを適用する。
その他
なし
ChatGPTの推奨事項
クレジットカードの利用状況を監視し、不審な動きを早期に発見すること。
Google、PixelのEoP脆弱性修正を他のAndroidデバイスにバックポート
要約
GoogleがPixelで修正済みの権限昇格脆弱性(CVE-2024-32896)を他のAndroidデバイス向けにも修正。
脆弱性はコードのロジックエラーに起因し、Android 上の特定の保護をバイパスし、追加の権限を必要とせずに権限を昇格できる。
修正パッチはAndroid 12~14向けに提供され、すぐに適用が推奨される。
他の高リスク脆弱性も9月のアップデートに含まれる。
QualcommのWLANコンポーネントにも2つのローカルな脆弱性が含まれている。
IOCの列挙
IOC情報なし
推奨事項
最新のセキュリティアップデートをすぐに適用する。
権限昇格に注意し、信頼できないアプリをインストールしない。
その他
なし
ChatGPTの推奨事項
Androidデバイスを直ちに最新バージョンに更新すること。
Revival Hijack攻撃が22,000のPyPIパッケージに脅威
要約
Revival Hijack攻撃は、削除されたPyPIパッケージ名を再登録することで、悪意のあるコードを配布する攻撃。
約22,000のパッケージがこの攻撃にさらされるリスクがある。
「pingdomv3」パッケージをターゲットにした攻撃を確認。3月30日に削除後、同日中に攻撃者が再登録。この再登録されたバージョンは、Jenkins CI/CD環境を標的とした、Base64で難読化されたPythonトロイの木馬が含まれていた。
JFrogはリスク軽減のため、人気の削除パッケージ名を事前に取得した。
パッケージの整合性を確認し、信頼できるバージョンに固定することが推奨される。
一般にPyPIパッケージをターゲットにする際のタイポスクワッティング攻撃に比べ正規のパッケージ名を指定しているため、気づきづらく危険性が高い。
IOCの列挙
IOC情報なし
推奨事項
パッケージのバージョンを固定して、信頼できるものを使用する。
パッケージの変更履歴や所有者の変更に注意する。
パッケージの整合性を定期的に確認する。
その他
なし
ChatGPTの推奨事項
パッケージのバージョンを固定し、整合性を確認すること。
FTC: 米国民が2023年に1億1,000万ドル以上をビットコインATM詐欺で失う
要約
2023年にビットコインATM詐欺で1億1,000万ドル以上の被害が発生。
詐欺師は政府や企業を装い、騙された人にビットコインATMで送金させる手口を使用。
詐欺は偽のセキュリティ警告やアカウント侵害通知を利用する。
ほとんどのビットコイン ATM 詐欺の損失は、政府のなりすまし、企業のなりすまし、およびテクニカルサポート詐欺によるものだった。
60歳以上の高齢者が特に被害を受けやすく、報告された平均損失は1万ドル。
FBIもこの手法に対する警告を行っている。
IOCの列挙
IOC情報なし
推奨事項
不審な連絡があれば正当性を確認する。
ビットコインATMやギフトカードでの送金を要求する指示に従わない。
急かされずに信頼できる人物に相談する。
その他
ビットコイン ATM は、従来の ATM とは異なり、現金の代わりに暗号通貨の売買に使用されるもの。
ChatGPTの推奨事項
怪しい連絡や警告があった場合は、急がず正当性を確認すること。
北朝鮮のハッカー、偽のFreeConferenceアプリで求職者を標的に
https://thehackernews.com/2024/09/north-korean-hackers-targets-job.html
要約
北朝鮮のハッカーが、FreeConferenceを装った偽アプリを使い、求職者のPCにバックドアを仕掛ける攻撃を展開。
攻撃は「Contagious Interview」と呼ばれ、BeaverTailマルウェアを用いてリモート操作や情報窃取を行う。
悪意あるインストーラーが、LinkedInや他の求人サイト経由で被害者に配布された。
攻撃者は、偽の求人広告を使って、就職活動中のユーザーを標的にする。技術的な作業として誘導し、被害者にビデオ会議アプリやNode.jsプロジェクトをダウンロードさせて、マルウェアに感染させる。
攻撃者はブラウザ拡張機能やクリプトウォレットのデータを盗むため、PythonスクリプトCivetQを使用。
FBIは北朝鮮のサイバー攻撃による暗号通貨関連の詐欺を警告している。
IOCの列挙
freeconference[.]io,FQDN名,知られていない,偽のFreeConferenceインストーラーが配布されたサイト,NA(IP以外)
ipcheck[.]cloud,FQDN名,知られていない,BeaverTailマルウェアを配布したドメイン,NA(IP以外)
regioncheck[.]net,FQDN名,知られていない,BeaverTailマルウェアのJavaScriptをホスト,NA(IP以外)
推奨事項
不審なアプリやリンクをダウンロードしない。
求職活動時に使用するソフトウェアの信頼性を確認する。
使用しているブラウザ拡張機能やクリプトウォレットのセキュリティを強化する。
その他
攻撃者は北朝鮮のLazarusグループで、主に求職者や暗号通貨関連企業を標的にしている。
ChatGPTの推奨事項
求職活動で受け取るリンクやファイルは信頼できるものか確認すること。
CEOの逮捕はサイバー犯罪者のTelegramへの関心を弱める可能性は低い
要約
TelegramのCEOが逮捕されたが、サイバー犯罪者がTelegramを利用する状況は変わらないだろうという内容の記事である。
Telegramは、サイバー犯罪者にとって、互いに連絡を取り合ったり、個人情報を売買したり、マルウェアを配布したりするための安全な場所となっている。
多くのサイバー犯罪者は、Telegramをコマンドアンドコントロール(C2)として使用したり、ボットネットを管理したり、ランサムウェアの被害者と連絡を取ったり、攻撃を調整したりしている。
セキュリティ専門家は、TelegramのCEOが逮捕されても、サイバー犯罪活動にはほとんど変化がないだろうと予想している。
Telegramは、エンドツーエンドの暗号化や自動消滅メッセージを提供しており、セキュリティと匿名性の点で優れているため、サイバー犯罪者が利用を続ける可能性が高い。
IOCの列挙
該当情報なし
推奨事項
推奨事項なし
その他
なし
Initial Access Brokers Target $2bn Revenue Companies
https://www.infosecurity-magazine.com/news/initial-access-brokers-target-2bn/
要約
Cyberint の新しい調査によると、イニシャルアクセスブローカー (IAB) は、数十億ドルの収益を上げている大企業、特に米国の被害者やビジネスサービス部門で働いている組織を標的にすることが増えている。
2024 年上半期には、収益が 10 億ドルを超える組織が、販売されているすべてのイニシャルアクセスのリストの 33% を占めていた。
2024 年上半期の標的企業の平均収益は、約 20 億ドルだった。
IAB リストの平均価格は、2023 年の 3,066 ドルから 2024 年には 1,295 ドルへと、約 60% 減少した。
2024 年には、VPN アクセスを介したものが 45%、RDP アクセスを介したものが 41% となり、VPN アクセスが RDP アクセスとトップの座を争うようになった。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
日本のインシデント事例
その他のメモ
N/A