Daily Security Info - 2024/06/12
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
JetBrains、IntelliJ IDEのバグがGitHubアクセストークンを露出する可能性を警告
要約
JetBrainsがIntelliJ IDEのバグ(CVE-2024-37051)によりGitHubアクセストークンが露出する可能性を警告
バグはJetBrains GitHub プラグインが有効になっている2023.1以降の全IntelliJベースのIDEに影響
GitHubプロジェクトへのpull requestに含まれる悪意のあるコンテンツにより、アクセス トークンがサードパーティのホストに公開される可能性がある
セキュリティアップデートがリリースされ、この脆弱性の影響を受けるプラグインを公式プラグイン マーケットプレイスから削除
脆弱なプラグインによって使用されるよう設定されていたGitHubトークンの取り消しを強く推奨
IOCの列挙
IOC情報なし
推奨事項
IDEを最新バージョンにアップデートし、GitHubトークンを再設定する
その他
なし
ChatGPTの推奨事項
IDEを最新バージョンにアップデートする
Microsoft、2024年6月のパッチチューズデーで51の脆弱性を修正、18のRCEを含む
要約
Microsoftが2024年6月のパッチチューズデーで51の脆弱性を修正
18のリモートコード実行(RCE)脆弱性と1つのゼロデイ脆弱性が含まれる
ゼロデイ脆弱性は攻撃に悪用されているわけではなく、エクスプロイトコードなどが公開されているもの。CVEはCVE-2023-50868。
重要な修正にはMicrosoft Message Queuing(MSMQ)のRCE脆弱性が含まれる
その他、Microsoft Office、Windowsカーネル、Azureなどの脆弱性を修正
IOCの列挙
IOC情報なし
推奨事項
最新のセキュリティパッチを適用する
その他
攻撃はまだ報告されていない
攻撃者の詳細は不明
ChatGPTの推奨事項
最新のセキュリティパッチを適用する
クリーブランド市、サイバー攻撃後にITシステムを停止
要約
クリーブランド市がサイバー攻撃により市民向けサービスを停止
市庁舎とErieviewの公共施設が閉鎖され、調査中
緊急サービス(911、警察、消防)や医療サービスなどには影響なし
市はこのインシデントで情報漏洩について言及しているが、進行中の捜査に影響を及ぼさないように現時点では詳細は明かさないとしている
発生している事象からランサムウェア攻撃の可能性があるが、現状ではリークサイトなどで主張するグループはなし
IOCの列挙
IOC情報なし
推奨事項
なし
その他
なし
ChatGPTの推奨事項
なし
中国のハッカーが世界中で20,000のFortigateシステムに侵入
要約
中国のAPTグループが20,000以上のFortigateシステムに侵入
2022年から2023年にかけて数か月間にわたり、重大なRCEの脆弱性(CVE-2022-42475)を使って侵害。ゼロデイ期間中で14,000台、全体では20,000台以上のデバイスを感染させた。
攻撃者はFortigateネットワークデバイスにCoathangerマルウェアを設置。このマルウェアは再起動やファームウェアアップデートをしても生き残るもの。
Coathangerマルウェアはシステムコールを傍受して存在が明らかになるのを避けるため検出が難しく、ファームウェアのアップグレード後も存続するため削除も難しいことから、依然として多くの環境にひそんでいる可能性が指摘
IOCの列挙
IOC情報なし
推奨事項
最新のパッチを適用する
その他
攻撃者は中国のAPTグループ
ChatGPTの推奨事項
最新のパッチを適用する
新しいWarmcookie Windowsバックドアが偽の求人広告を通じて配布
要約
Warmcookieマルウェアが偽の求人広告を通じてリクルーターをターゲットに配布
リンクをクリックすると、悪意のあるJavaScriptファイルをダウンロード
JavaScriptがPowerShellスクリプトを実行し、バックドアをインストール
マルウェアはシステム情報を収集し、スクリーンショットを撮影
Warmcookieはまだ改良の余地が大いにある新しいマルウェアだが、追加のペイロードを導入する機能があるため、すでにターゲットに重大な損害を与える能力が十分にある
IOCの列挙
IOC情報なし
推奨事項
履歴書のダウンロードリンクに注意する
その他
なし
ChatGPTの推奨事項
履歴書のダウンロードリンクに注意する
TellYouThePassランサムウェア、最近のPHP RCE脆弱性を悪用してサーバーに侵入
要約
TellYouThePassランサムウェアがCVE-2024-4577 WindowsでのPHP RCE脆弱性を悪用
公開されたエクスプロイトコードを使用し、Webシェルを配信し、暗号化ペイロードを実行
PHPの任意コード実行で、mshtaを使ったHTMLアプリケーションファイルを実行。VBScriptが実行されランサムウェアペイロードにつながる
攻撃は6月8日から始まり、侵入後に「READ_ME10.html」という身代金要求メモを残す
脆弱性はPHPの最新バージョンで修正済み
IOCの列挙
IOC情報なし
推奨事項
最新バージョンのPHPにアップデートする
その他
6月6日に修正され、その翌日にエクスプロイトコードが公開。4日後に攻撃が大規模に開始された
ChatGPTの推奨事項
最新バージョンのPHPにアップデートする
Pure Storage、Snowflakeアカウントのハッキング後にデータ侵害を確認
要約
Pure StorageのSnowflakeワークスペースが侵害され、顧客名、ユーザー名、メールアドレスなどの情報が侵害された
アレイアクセスの資格情報や顧客システムに保存されているその他のデータは侵害されていない
同社は即座に対応し、さらなる不正アクセスを防止
進行中の攻撃の影響を受ける可能性のある約165の組織に通知済み
さらにSnowflakeの顧客に対して、情報窃取型マルウェアで窃取した資格情報を使った攻撃も進行している
IOCの列挙
IOC情報なし
推奨事項
なし
その他
攻撃者はUNC5537と特定
ChatGPTの推奨事項
なし
Arm、Mali GPUカーネルドライバに積極的に悪用されている脆弱性を警告
要約
ArmがMali GPUのカーネルドライバにあるCVE-2024-4610の脆弱性を警告
脆弱性は、ローカルの非特権ユーザーが不適切な GPU メモリ処理操作を実行して、すでに解放されたメモリにアクセスする可能性
問題はメモリのuse-after-freeで、情報漏洩や任意コード実行のリスク
BifrostおよびValhallドライバのバージョンr34p0からr40p0に影響
r41p0で修正されているため、ユーザーは最新バージョンにアップデートを推奨
IOCの列挙
IOC情報なし
推奨事項
最新バージョンのドライバにアップデートする
その他
なし
ChatGPTの推奨事項
最新バージョンのドライバにアップデートする
Gitloker攻撃がGitHub通知を悪用し、悪意のあるOAuthアプリをプッシュ
要約
Gitloker攻撃者がGitHub通知を利用し、偽のOAuthアプリをインストールさせるフィッシング攻撃を実施
フィッシングメールは、セキュリティ警告や求人オファーを装い、悪意のあるリンクに誘導
被害者のリポジトリが削除され、データを回復するためにTelegramで連絡を求められる
IOCの列挙
githubcareers[.]online, URL, 知られていない, フィッシングサイト, NA
githubtalentcommunity[.]online, URL, 知られていない, フィッシングサイト, NA
推奨事項
不明なOAuthアプリの承認を避ける
フィッシングメールのリンクをクリックしない
OAuthアプリの承認を定期的に見直す
その他
なし
ChatGPTの推奨事項
不明なOAuthアプリの承認を避ける
Apple、AI機能「Apple Intelligence」でAI競争に参入
要約
Appleが「Apple Intelligence」を発表し、生成AI機能をiPhone、iPad、Macに統合
この機能はiOS 18、iPadOS 18、macOS Sequoiaに深く統合され、データの解析や検索が可能
Siriがより自然な言語での要求に対応できるよう改善
OpenAIとの提携で外部情報の取得も可能に
IOCの列挙
IOC情報なし
推奨事項
なし
その他
デバイスがロックダウンモードになっているときにApple Intelligenceをオフにする予定があるかどうか明らかでない
ChatGPTの推奨事項
なし
Netgear WNR614の脆弱性によりデバイスの乗っ取りが可能、修正は提供されず
要約
Netgear WNR614 N300ルーターに6つの脆弱性が発見され、認証バイパスや平文のパスワード保存などが含まれる
対象のルーターは既にサポート終了(EoL)で、修正は提供されない
脆弱性は攻撃者が管理者権限を取得し、ネットワークやデータにアクセス可能にする
IOCの列挙
IOC情報なし
推奨事項
リモート管理機能を無効化する
複雑で長いパスワードを使用し、定期的に変更する
ルーターを最新モデルに置き換える
その他
なし
ChatGPTの推奨事項
リモート管理機能を無効化する
中国のSecShowアクター、世界規模で大規模なDNSプロービングを実施
https://thehackernews.com/2024/06/chinese-actor-secshow-conducts-massive.html
要約
中国のSecShowアクターが、2023年6月から大規模なDNSプロービングを実施
攻撃は中国政府の資金提供を受けたCERNET(中国教育研究ネットワーク)から行われている
オープンリゾルバをターゲットにし、DNSレスポンスを測定
Palo Alto Cortex Xpanse製品でのクエリ増幅が報告
この攻撃の目的は現在は不明。
IOCの列挙
IOC情報なし
推奨事項
なし
その他
攻撃者はSecShowと名付けられた
SecShowは、Muddling Meerkatに続いて、インターネット上で大規模なDNSプロービング活動を実行する2番目の中国関連の脅威アクター
ChatGPTの推奨事項
なし
中国関連のValleyRATマルウェアが高度なデータ窃取手法で再浮上
https://thehackernews.com/2024/06/china-linked-valleyrat-malware.html
要約
ValleyRATマルウェアが新しいコマンドを追加し、フィッシングキャンペーンで再登場
スクリーンショット取得、プロセスフィルタリング、強制シャットダウンなどの機能を持つ
HTTPファイルサーバーからNTUSER.DXMを取得し、復号してDLLファイルを抽出するダウンローダーから始まる。このDLLファイルはアンチウィルスを停止し、サーバからclient.exe、WINWORD2013.EXE、wwlib.dll、xig.pptをダウンロードする。
次にDLLはWINWORD2013.EXEを起動する。このファイルは正規のWINWORDであるが、同時にダウンロードされたwwlib.dllをサイドロードする。このマルウェアが永続性を保持し、xig.pptからシェルコードを復号し、svchost.exeに挿入する
マルウェアは、正規のsvchost.exeを一時停止されたプロセスとして作成し、シェルコードを書き込むことで悪用する。
IOCの列挙
IOC情報なし
推奨事項
フィッシングメールに注意する
その他
攻撃者は中国ベースの脅威アクター
ChatGPTの推奨事項
フィッシングメールに注意する
日本のインシデント事例
その他のメモ
N/A