見出し画像

Daily Security Info - 2024/06/24

tmho

Tools

N/A

malware campaign

  • Latrodectusの攻撃キャンペーンが再開

    • Operation endgameでボットネットが停止されましたが、再開されましたね。

    • BruteRatelを使ってLatrodectusをダウンロードする方法がとられているようです。一般にLatrodectusなどのpost-exploitツールをローダーから実行するはずですが、逆の流れなのは気になりますね。

security report

N/A

cybercrime topics

N/A

日々のニュース要約

Facebook PrestaShopモジュールが悪用され、クレジットカード情報が盗まれる

https://www.bleepingcomputer.com/news/security/facebook-prestashop-module-exploited-to-steal-credit-cards/

  • 要約

    • Facebook用PrestaShopモジュールpkfacebookの脆弱性が悪用され、カードスキマーが展開された。

    • 脆弱性はCVE-2024-36680として追跡され、pkfacebook の facebookConnect.phpに存在するSQLインジェクションの問題である。

    • 攻撃者はSQLインジェクションを利用し、支払いカード情報を盗む。

    • TouchWebが2024年3月30日に脆弱性を発見。pkfacebookを提供するPromokit.euはこの脆弱性はかなり前に修正済みであると主張。

    • 今週初めにFriends-of-PrestaがProof-of-Conceptを公開し、この脆弱性を悪用した攻撃が実際に行われていると報告した。

    • 全てのバージョンが影響を受ける可能性があり、最新バージョンにアップグレードする必要があるが、パッチの提供状況が不透明。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 最新のpkfacebookバージョンにアップグレードする

    • Webアプリケーションファイアウォール(WAF)でOWASP 942ルールを有効にする

    • pSQLを使用してStored XSSの脆弱性を回避する

  • その他

    • なし

  • ChatGPTの推奨事項

    • 最新のpkfacebookバージョンに即時アップグレードする

BlackSuitランサムウェア攻撃によりCDK Globalがダウン

https://www.bleepingcomputer.com/news/security/cdk-global-outage-caused-by-blacksuit-ransomware-attack/

  • 要約

    • BlackSuitランサムウェアがCDK Globalの大規模なIT障害を引き起こした。

    • CDKはデータの漏洩を防ぐためにシステムをシャットダウンし、復旧作業を行っている。

    • 交渉中のため、ディーラーはペンと紙で業務を続けている。

    • Penske Automotive GroupやSonic Automotiveも影響を受けた。

    • BlackSuitは元Royalランサムウェアの再ブランド化とみられている。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • CDKのシステムの最新情報を監視する

    • ランサムウェア対策ソフトを導入する

    • 定期的なデータバックアップを実施する

  • その他

    • 攻撃者はロシアと東欧のサイバー犯罪者集団であった「Conti」の後継であると言われている

  • ChatGPTの推奨事項

    • ランサムウェア対策ソフトを即時導入する

Ratel RAT、古いAndroidスマートフォンを狙ったランサムウェア攻撃

https://www.bleepingcomputer.com/news/security/ratel-rat-targets-outdated-android-phones-in-ransomware-attacks/

  • 要約

    • Ratel RATは古いAndroidデバイスを狙い、ランサムウェア攻撃を行う。

    • 攻撃はAPT-C-35などの既知の脅威アクターによって行われる。

    • 主なターゲットは政府や軍事部門の高プロファイル組織。

    • Androidバージョン11以前が主な標的で、感染率87.5%。

    • ランサムウェアの指令は約10%の感染ケースで発動される。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • APKの不審なダウンロードを避ける

    • メールやSMSに埋め込まれたURLをクリックしない

    • アプリを起動前にPlay Protectでスキャンする

  • その他

    • 攻撃の多くはAPT-C-35などの既知の攻撃者が実行。他の一部はイランおよびパキスタンから攻撃通信が送られていた。

  • ChatGPTの推奨事項

    • APKの不審なダウンロードを即時に避ける

ExCobaltサイバーギャング、新しいGoRedバックドアでロシアのセクターを標的に

https://thehackernews.com/2024/06/excobalt-cyber-gang-targets-russian.html

  • 要約

    • ExCobaltはロシアの政府、IT、鉱業などを標的に攻撃を行っている。

    • 新しいGoRedバックドアを使用して攻撃を行い、情報収集とコマンド実行を行う。

    • MetasploitやMimikatzなどのツールも使用されている。

    • 高度な技術を駆使してサプライチェーン攻撃を実行。

    • GoRedはRPCプロトコルを使用し、C2サーバーと通信する。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • サプライチェーンのセキュリティを強化する

    • RPC通信の監視を強化する

    • 使用しているツールの更新を行う

  • その他

    • なし

  • ChatGPTの推奨事項

    • サプライチェーンのセキュリティを即時強化する

日本のインシデント事例

N/A

その他のメモ

この記事が気に入ったらサポートをしてみませんか?