dailynews - 2024/04/26
Daily Security Info
Tools
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
LAカウンティ保健サービス:フィッシング攻撃で患者のデータが漏洩
要約
LAカウンティ保健サービスがデータ侵害を報告
フィッシング攻撃で23人の従業員の認証情報が盗まれて、彼らの電子メールアカウントのメールボックスからデータを窃取された可能性
患者の個人情報や健康情報が含まれていた
社会保障番号や財務情報は含まれていない
攻撃は2月19日から20日にかけて発生
IOCの列挙
IOC情報なし
推奨事項
従業員に対し、メールレビュー時の警戒を促す
影響を受けた患者に医療記録の確認を促す
その他
攻撃者が、個人情報や健康情報にアクセスしたり悪用したという証拠は、現時点では見つかっていない
ChatGPTの推奨事項
フィッシング防止トレーニングと従業員教育を強化するべきです
研究者がPlugXマルウェアサーバーをSinkhole処理、250万個のユニークIPを記録
要約
PlugXマルウェアのC2サーバーをSinkhole処理
2023年9月にSekoiaが1つのIPをSinkholeにして以来、250万以上のユニークIPが接続されている
170ヶ国以上からの接続が確認されているが、80%以上はわずか15か国。上位はナイジェリア、インド、中国、イラン、インドネシア、英国、イラク、米国が含まれる
感染端末の多い国が、中国の一帯一路構想に参加してい来る国であることから、主に中国関連の攻撃と見られる
PlugXは、元々中国国家安全部に関連するグループによって使われていたが、2015年頃にソースコードが漏洩しており、特定の攻撃者と判断することが困難になっている
IOCの列挙
45.142.166[.]112,IPアドレス,知られている,既にSinkholeになっているコマンド&コントロールサーバー,グローバル
推奨事項
プラグインとUSBデバイスのセキュリティ対策を強化する
その他
攻撃は主に中国の国家安全部と関連がある
ChatGPTの推奨事項
セキュリティソフトウェアの更新とUSBの安全な取り扱いを常に心がけるべきです
1,400台以上のCrushFTPサーバーが脆弱性を持ち、積極的に攻撃されている
要約
1,400台以上のCrushFTPサーバーが脆弱性の影響を受けている
脆弱性はサーバー側テンプレートインジェクション(SSTI)に関連
米国、ドイツ、カナダで多くの脆弱なインスタンスが存在
政治的な動機による情報収集が目的の一部攻撃で利用
緊急のアップデートが推奨され、CISAはKEVに追加。米国政府機関には対策が義務付けられた
IOCの列挙
IOC情報なし
推奨事項
速やかなパッチ適用と定期的な脆弱性チェックを行う
その他
CVE-2024-4040として既に脆弱性が登録されている
ChatGPTの推奨事項
早急にセキュリティパッチを適用し、定期的な監視を行うべきです
WP Automatic WordPressプラグイン、数百万回のSQLインジェクション攻撃を受ける
要約
WP Automaticプラグインの脆弱性が攻撃された
3万サイト以上でプラグインが使用されている
攻撃者は管理者権限でユーザーを作成
550万以上の攻撃が記録されている
攻撃は3月31日に多く記録された
IOCの列挙
csv[.]php,ファイル名,知られている,改名して検出回避,NA
web[.]php,ファイル名,知られている,バックドアとして使用,NA
index[.]php,ファイル名,知られている,バックドアとして使用,NA
xtw*,ユーザー名,知られていない,攻撃者が作成する不正な管理者アカウント名のプレフィックス,NA
推奨事項
WP Automaticをバージョン3.92.1以上に更新する
定期的にサイトのバックアップを取る
攻撃の兆候を定期的にチェックする
その他
脆弱性CVE-2024-27956が原因で攻撃が行われている
ChatGPTの推奨事項
定期的なプラグイン更新と監視を行うべきです
新型のBrokewellマルウェアがAndroidデバイスを乗っ取り、データを盗む
要約
BrokewellマルウェアがAndroidデバイスを対象に
偽のChromeアップデートを通じて配布される
データ窃取とデバイスコントロールの機能を持つ
データ窃取: Webサービスのログイン画面を模倣した画面を表示するオーバレイ攻撃などでログイン情報の窃取、マイクを使用して音声をキャプチャ、テキスト入力などの情報を窃取
デバイスコントロールによる乗っ取り: タッチ・スワイプ・物理ボタンの押下をシミュレート、音量などの設定を操作、デバイス画面のライブチェック(ストリーミング)
IOCの列挙
IOC情報なし
推奨事項
Google Play以外からのアプリインストールを避ける
デバイスのPlay Protectを常に有効に保つ
その他
「バロン・サメディット」と名乗る開発者が関与
ChatGPTの推奨事項
アプリの出所を常に確認し、不審な更新は避けるべきです
北朝鮮のLazarusグループが新しいKaolin RATを偽の求人情報で展開
https://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.html
要約
LazarusグループがKaolin RATを使用
被害者と何らかのプラットフォームで接触し、偽の求人情報を掲示。面接等を通して各種ツールやマルウェアを配布
Kaolin RATはメモリ内で動く。
RATは複数段階の攻撃プロセスを実行し、主にファイル操作とプロセス管理機能を有する
Kaolin RATはFudModule rootkitの展開も行っていた
IOCの列挙
IOC情報なし
推奨事項
偽の求人広告に注意し、安全なソースからのみダウンロードを行う
その他
偽の求人広告がOperation Dream Jobが使用されている
henraux[.]comを侵害し、マルウェアをホストしていた
ChatGPTの推奨事項
偽の求人広告に対する警戒を強化し、不審なリンクは開かないようにするべきです
ハッカーは発展途上国でランサムウェアの練習をしている
要約
アフリカ、アジア、南アメリカの企業が最初の標的
攻撃者はこれらの国で試行錯誤し、成功した攻撃手法を使って、より価値の高い北米やヨーロッパの国を攻撃する
最近のランサムウェアの標的として、セネガル、チリ、コロンビア、アルゼンチンが被害にあったが、これは予行演習の一環だったと指摘
攻撃はデジタル化の速度がセキュリティ対策の整備を上回る国々で特に顕著
サイバー攻撃は新型コロナウイルス感染症のパンデミック以前と比べてほぼ2倍に増加しており、IMFは発展途上国での急速なデジタル化がサイバー攻撃リスクを増加させたと一因として報告
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
開発途上国の企業はサイバーセキュリティ対策を急ぐべきです。
日本のインシデント事例
その他のメモ
N/A