Daily Security Info - 2024/07/26
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
Playランサムウェアグループは、LockBitから以下の2つを受け取るもの。
ツール代として35,000ドルを支払う
トレーニングを受ける
日々のニュース要約
重大なServiceNowのリモートコード実行脆弱性、資格情報を盗むために積極的に悪用される
要約
ServiceNowの重大なリモートコード実行(RCE)脆弱性が積極的に悪用され、資格情報が盗まれている。
CVE-2024-4879、CVE-2024-5178、CVE-2024-5217の3つの脆弱性が公開されている。
脆弱性を修正するセキュリティ更新は2024年7月10日にリリースされた。
攻撃者はこれらの脆弱性をチェーンし、データベースアクセスを行っている。
修正が適用されていないインスタンスは依然としてリスクにさらされている。
IOCの列挙
IOC情報なし
推奨事項
すぐにセキュリティパッチを適用
ネットワークとシステムの定期的なセキュリティチェックを実施
脆弱性管理の強化
その他
なし
ChatGPTの推奨事項
すぐにセキュリティパッチを適用
米国、Mauiランサムウェア攻撃に関与する北朝鮮ハッカーに対する情報提供に1000万ドルの報奨金を提示
要約
米国務省がMauiランサムウェア攻撃に関連する北朝鮮ハッカー「Rim Jong Hyok」への情報提供に最大1000万ドルの報奨金を提示。
北朝鮮のAPTである「Andariel」の一員。北朝鮮の偵察総局 (RGB) 第 3 局に関連。
米国の重要インフラと医療機関を対象として、ランサムウェアによる攻撃が10件以上行われた。
Hyokはコンピュータハッキングおよび資金洗浄の共謀罪で起訴。
IOCの列挙
IOC情報なし
推奨事項
ネットワークとシステムの定期的なセキュリティチェックを実施
ランサムウェア対策の強化
情報提供の専用サイトでの報告
その他
攻撃者は北朝鮮のAndariel
ChatGPTの推奨事項
ネットワークとシステムの定期的なセキュリティチェックを実施
Meta、63,000件のInstagramセクストーションネットワークを削除
要約
Metaが63,000件のInstagramアカウントを削除し、セクストーション詐欺ネットワークを一掃。
主に成人男性を標的にした詐欺ネットワークは「Yahoo Boys」と関連。
また、1,300件のFacebookアカウント、200件のFacebookページ、5,700件のFacebookグループも削除。
詐欺は偽のロマンスを装い、被害者から性的画像を取得し、公開を脅迫。
Metaは新しい技術的シグナルを使用して、疑わしい活動を特定。
IOCの列挙
IOC情報なし
推奨事項
不審なアカウントやリンクをクリックしない
すぐにセクストーションの被害を報告
子供やティーン向けのメッセージ設定を厳格に管理
その他
攻撃は既に確認されており、対応が進行中
攻撃者はナイジェリアの「Yahoo Boys」と関連
ChatGPTの推奨事項
不審なアカウントやリンクをクリックしない
Progress社、Telerik Report Serverの重大なリモートコード実行バグを警告
要約
Progress社はTelerik Report Serverの重大なリモートコード実行(RCE)脆弱性を警告。
脆弱性はCVE-2024-6327であり、未更新のサーバーに対してリモートコード実行が可能。
影響を受けるのは2024 Q2 (10.1.24.514)以前のバージョンであり、修正済みは2024 Q2 (10.1.24.709)。
バージョンの確認と一時的な緩和策が提供されている。
今回の脆弱性がすでに攻撃されているかどうかは明らかでないが、Telerik脆弱性は近年攻撃に悪用されている。
IOCの列挙
IOC情報なし
推奨事項
最新バージョンへのアップデートを強く推奨
アップデートがすぐにできない場合は一時的な緩和策を実施
サーバーのバージョン確認を行うこと
その他
なし
ChatGPTの推奨事項
直ちにTelerik Report Serverを最新バージョンにアップデートしてください
フランス警察、PlugXマルウェアの自動削除ペイロードを配布
要約
フランス警察がPlugXマルウェアを自動削除するペイロードを配布。
PlugXは中国の攻撃者によって広く使用されるリモートアクセス型トロイの木馬。
USBフラッシュドライブを通じて拡散するPlugXの亜種のボットネットは、元の運営者によって放棄されていたが、独自に拡散を続け、約 250 万台のデバイスに感染。
サイバーセキュリティ企業Sekoiaは、このボットネットのC2サーバの制御を取得。ボットネットをシンクホール化した。
Sekoiaは、感染したデバイスにプッシュされたカスタム PlugX プラグインを使用して、感染を除去する自己削除コマンドを発行するクリーンアップ メカニズムを提案。
Europolと協力して、感染デバイスからPlugXを除去するための「ディスインフェクションソリューション」を導入。
7月18日から除去作業が開始、数ヶ月かけて実施予定。
ANSSIがフランスの被害者に個別通知を実施。
IOCの列挙
IOC情報なし
推奨事項
直ちにUSBデバイスのスキャンを実施
不審なUSBデバイスの使用を避ける
定期的なセキュリティチェックの実施
その他
PlugXの使用者は中国の攻撃者グループ
ChatGPTの推奨事項
直ちにUSBデバイスのスキャンを実施
3,000以上のGitHubアカウントがマルウェア配布サービスに利用
要約
攻撃者が3,000以上の偽アカウントを使ってGitHub上でマルウェアを配布。
攻撃者は、マルウェアの配布をサイバークライムサービスとして提供しており、「Stargazers Ghost Network」と呼ばれる。
アンダーグラウンドフォーラムなどでサービスの宣伝を2023年6月から行っていた。また、CheckPoint社は2022年8月から活動していたという証拠があるとコメント。
被害者は正規のリポジトリと思い込み、マルウェアをダウンロード。配布されるマルウェアは RedLine、Lumma Stealer、Rhadamanthys、RisePro、Atlantida Stealerなどの情報窃取型マルウェアがほとんど。
攻撃者はフィッシングテンプレートを使用し、特定の興味を狙う。
GitHubは1,500以上の悪質なリポジトリを削除。
IOCの列挙
IOC情報なし
推奨事項
GitHub上の不審なリポジトリをクリックしない
パスワード保護されたアーカイブの扱いに注意
定期的なセキュリティチェックの実施
その他
攻撃者は「Stargazer Goblin」と呼ばれるグループ
ChatGPTの推奨事項
不審なGitHubリポジトリやリンクをクリックしない
北朝鮮のハッカーAPT45は、サイバースパイ活動からランサムウェア攻撃へシフト
https://thehackernews.com/2024/07/north-korean-hackers-shift-from-cyber.html
要約
北朝鮮のAPT45がサイバースパイ活動からランサムウェア攻撃に移行。
APT45はSHATTEREDGLASSやMauiなどのランサムウェアを展開。
主なターゲットは韓国、日本、米国の重要インフラ。
APT45の活動は北朝鮮の資金調達に寄与。
偽の身元を用いた北朝鮮のIT労働者による企業侵入事例も発覚。
IOCの列挙
IOC情報なし
推奨事項
偽の身元情報に対する厳重な背景チェックを実施
定期的なセキュリティモニタリングを強化
従業員のセキュリティ教育を徹底
その他
攻撃者は北朝鮮のAPT45
ChatGPTの推奨事項
偽の身元情報に対する厳重な背景チェックを実施
専門家、Google Cloud Platformの「ConfusedFunction」脆弱性を暴露
https://thehackernews.com/2024/07/experts-expose-confusedfunction.html
要約
Tenableの研究者がGoogle Cloud PlatformのCloud Functionsサービスで特権昇格の脆弱性「ConfusedFunction」を発見。
攻撃者はこれを悪用し、Cloud Buildサービスアカウントを通じて他のサービスやデータに不正アクセス可能。
Googleは修正を行ったが、既存インスタンスには適用されず。
ユーザーは引き続き最小限の権限設定を推奨される。
IOCの列挙
IOC情報なし
推奨事項
Cloud Buildサービスアカウントの最小限の権限設定を実施
既存のCloud Functionインスタンスを監査
セキュリティパッチの適用を確認
その他
なし
ChatGPTの推奨事項
Cloud Buildサービスアカウントの最小限の権限設定を実施
日本のインシデント事例
その他のメモ
この記事が気に入ったらサポートをしてみませんか?