Daily Security Info - 2024/08/06
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
-2023 年の暗号犯罪の詳細な分析 パート 1
- 暗号資産犯罪が2023年に減少した。しかし、その中でもランサムウェアとダークネット市場からの収益は増加
- 詐欺収益は29.2%減少、ハッキングによる収益は54.3%減少した。詐欺師は、広範囲に広告を出すのではなく個人をターゲットにしたロマンス詐欺が増加。
- ステーブルコインがサイバー犯罪者に好まれ、取引量の大部分を占める。
- 米財務省の制裁対象との取引が、全体の61.5%を占める。
- Hydraマーケットの閉鎖後、ダークネット市場が回復。Hydraに代わる単一のマーケットはないが、市場全体としては規模が回復してきており、2021年の最高値に近づいている。
日々のニュース要約
Google、標的型攻撃で悪用されたAndroidカーネルのゼロデイを修正
要約
GoogleがAndroidカーネルのゼロデイ脆弱性(CVE-2024-36971)を修正。
脆弱性はネットワークルート管理の「use after free」欠陥で、任意コード実行を許す。
脆弱性は、は限定的かつ標的を絞った攻撃でゼロデイ攻撃に使われていた。
セキュリティパッチは今月のアップデートで提供。
Google Pixelデバイスは即時更新されるが、他のメーカーはハードウェア構成との互換性を確保するために、セキュリティパッチの追加テストが必要であり、時間がかかる。
IOCの列挙
IOC情報なし
推奨事項
すぐにデバイスを最新のセキュリティパッチで更新する。
その他
なし
ChatGPTの推奨事項
すぐにデバイスを最新のセキュリティパッチで更新すること。
ランサムウェアグループ、SharpRhinoマルウェアでIT作業者を標的に
要約
Hunters InternationalランサムウェアグループがSharpRhinoマルウェアでIT作業者を標的に。
SharpRhinoはC#で作られたRATで、権限昇格やランサムウェア展開に使用。
Angry IP Scannerサイトを偽装したタイポサイトから配布。
パスワードで保護された自己解凍型の7zアーカイブを含む、32bitインストーラ(デジタル署名あり)で拡散。
インストーラが実行されると、永続性のために Windows レジストリを変更し、Microsoft.AnyKey.exeへのショートカットを作成し、永続性のために利用。
インストーラは、LogUpdate.batも作成。このファイルはPowershellを実行し、PowershellからSharpRhinoをファイルレスで実行。
IOCの列挙
IOC情報なし
推奨事項
ソフトウェアのインストール元を確認する。
定期的なセキュリティ検査を行う。
OSやソフトウェアを最新状態に保つ。
その他
攻撃者はHunters Internationalというランサムウェアグループ。Hunters Internationalは、利用しているマルウェアのコードの類似性から、Hiveのリブランディングである可能性が指摘されている。
Hunters Internationalによるランサムウェア攻撃被害は、2024年までに134件が報告されている。
ChatGPTの推奨事項
ソフトウェアのインストール元を確認すること。
Crowdstrike、Delta Air LinesのIT障害解決のための無料支援を拒否されたと報告
要約
Delta Air LinesはIT障害で5億ドルの損失を被った。
CrowdstrikeのFalcon更新が原因で850万台のWindowsデバイスがクラッシュ。
DeltaはCrowdstrikeの無償支援提案を拒否し、ITシステムの停止が5日間続いた。
DeltaはCrowdstrikeに対し訴訟を検討中。
Crowdstrikeは問題に関する責任を否定し、対応を批判。
IOCの列挙
IOC情報なし
推奨事項
定期的なセキュリティ検査を実施する。
業務継続計画を見直す。
ソフトウェア更新時に管理者認証を必須にする。
その他
なし
ChatGPTの推奨事項
定期的なセキュリティ検査を実施すること。
北朝鮮のハッカーがVPN更新の脆弱性を悪用してマルウェアをインストール
要約
北朝鮮のハッカーグループがVPNのアップデートの脆弱性を悪用し、マルウェアをインストール。
攻撃者はKimsukyとAndariel(APT43とAPT45)で、韓国の産業機密を狙う。
VPNソフトウェアの通信プロトコルの脆弱性を悪用し、更新プログラムを置き換えてトロイの木馬化。遠隔操作用のDoraRATをインストール。
攻撃は産業機器や設計文書の盗難を目的としている。
NCSCが警告を発表し、セキュリティ対策を推奨。
IOCの列挙
IOC情報なし
推奨事項
ソフトウェア更新時に管理者認証を必須にする。
定期的なセキュリティ検査を行う。
OSやソフトウェアの更新を迅速に適用する。
その他
攻撃者は北朝鮮の国家支援ハッカー。
ChatGPTの推奨事項
ソフトウェア更新時に管理者認証を必須にすること。
Keytronic、ランサムウェア攻撃で1700万ドル以上の損失を報告
要約
Keytronicがランサムウェア攻撃で1700万ドル以上の損失を報告。
攻撃でメキシコと米国の拠点の業務が中断。
攻撃者はBlack Bastaで、個人情報を盗みダークウェブに公開。
攻撃が第4四半期の収益に大きな影響を与えた。
被害額は保険で一部補填された。
IOCの列挙
IOC情報なし
推奨事項
定期的なセキュリティ検査を実施する。
ランサムウェア対策を強化する。
業務継続計画を見直す。
その他
攻撃は既に行われている。
攻撃者はBlack Basta。
ChatGPTの推奨事項
定期的なセキュリティ検査を実施すること。
新しいLianSpyマルウェアがAndroidセキュリティ機能をブロックして隠れる
要約
LianSpyマルウェアはAndroidデバイスを標的にし、Alipayアプリやシステムサービスとして偽装。
セキュリティ機能を回避し、デバイスのルート権限を取得、スクリーンショット取得やファイルの盗難、通話ログの収集を行う。
2021年7月からAndroidユーザーを積極的にターゲットにしていたが、3年以上発見されずにいた。
Kasperskyは攻撃者が主にロシアのユーザーをターゲットにしていると言及。ただし、英語とロシア語の両方にハードコードされたフレーズが含まれており、英語圏もターゲット層の可能性。
ステルス機能が強力で、通知の抑制なども行う。
Yandex Diskリポジトリから設定を読み込んで動作する。窃取したデータはAES で暗号化された形式で SQL テーブル (「Con001」) に保存し、Yandex Diskを使って窃取する。
IOCの列挙
IOC情報なし
推奨事項
不明なアプリのインストールを避ける。
定期的にデバイスのセキュリティスキャンを行う。
アプリの権限を適切に管理する。
その他
なし
ChatGPTの推奨事項
不明なアプリのインストールを避ける。
研究者がWindows Smart App ControlとSmartScreenの欠陥を発見
https://thehackernews.com/2024/08/researchers-uncover-flaws-in-windows.html
要約
研究者がWindows Smart App ControlとSmartScreenに設計上の欠陥を発見。
正規のExtended Validation(EV)証明書を用いることで、攻撃者は警告なしでアクセス可能。
他の回避方法としてreputationハイジャックやLNKストンピングがある。
これらのシステムは信頼性ベースの保護を提供するが、回避可能。
ダウンロードの精査を強化する必要がある。
IOCの列挙
IOC情報なし
推奨事項
ダウンロードの精査を強化する。
OSネイティブのセキュリティ機能に頼りすぎない。
EV証明書の使用に注意する。
その他
なし
ChatGPTの推奨事項
ダウンロードの精査を強化する。