Daily Security Info - 2024/08/20
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
トヨタ、ハッキングフォーラムで流出したデータ漏洩を確認
要約
トヨタで240GBのデータが漏洩し、ハッキングフォーラムで公開された。トヨタも侵害があったことを認めた。
流出データには、従業員と顧客の情報、契約書、財務情報などが含まれる。
このデータ侵害は範囲が限られており、システム全体の問題ではない。
攻撃者はADReconツールを使用してActive Directoryの情報を収集。
BleepingComputerはリークされたファイルが、侵害されたデータは、2022年12月25日に作成または窃取されたことを発見。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者はZeroSevenGroup
ChatGPTの推奨事項
ADReconの使用に関するアクティビティを監視・制限する
2024年上半期、ランサムウェアの被害額が過去最高の4億5千万ドルに達する
要約
2024年上半期のランサムウェアの被害額が4億5千万ドルに達し、過去最高の記録。
2023年上半期が4億4910万で、2024年上半期は2%増加した。確認されたランサムウェア攻撃の数は、2024年には前年比で10%増加。
大規模な組織をターゲットにした攻撃が増加し、身代金の支払い額も増加。
平均的な身代金支払い額は150万ドルに上昇。しかし、身代金を支払う組織の数は減少している。
Dark Angelsランサムウェアグループが7500万ドルを要求する最大の攻撃を実行。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
なし
ChatGPTの推奨事項
定期的なデータバックアップとランサムウェア対策の強化
CISA、ランサムウェア攻撃で悪用されるJenkinsのRCE脆弱性について警告
要約
CISAがJenkinsのRCE脆弱性(CVE-2024-23897)の警告を発表。
この脆弱性はランサムウェア攻撃で悪用され、米国と中国で多数のJenkinsインスタンスが影響。
攻撃者は非認証で任意のファイルを読み取ることが可能。
7月下旬には、RansomEXXがこの脆弱性を悪用し、インドの技術サービス企業「Brontoo Technology Solutions」を攻撃。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
RansomEXXランサムウェアグループが関与
ChatGPTの推奨事項
Jenkinsサーバーにセキュリティパッチを早急に適用する
イタリアで逮捕された、1400万ドルのHolograph暗号通貨強盗に関連するハッカー
要約
イタリアでHolographの暗号通貨強盗事件に関与したハッカーが逮捕。
このハッカーは、1400万ドル相当の暗号通貨が盗んだとされている。
このハッキングは2024年6月13日に発生し、スマートコントラクトの脆弱性を悪用して窃取した。
警察は複数の国際捜査機関と協力して容疑者を特定。4人が捜査され、うち2人が逮捕された。
逮捕のニュースを受けて、HLGの価格は過去24時間で28.3%、過去1週間で59.4%上昇。しかし、それでもハッキング前の水準は大きく下回る。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
なし
ChatGPTの推奨事項
暗号通貨ウォレットのセキュリティを強化する
FlightAwareの設定ミスでユーザーデータが数年間流出
要約
航空追跡サービスFlightAwareが、設定ミスにより数年間にわたりユーザーデータを流出させていた。
流出した情報には、ユーザーIDとパスワード、住所氏名などの個人情報やIPアドレス、位置情報などが含まれていた可能性。
FlightAwareは問題を修正し、影響を受けたユーザーに通知を行っている。
影響を受けた個人には、Equifaxを通じて24ヶ月間の無料の個人情報保護サービスを提供。
IOCの列挙
IOC情報なし
推奨事項
クラウドサービスの設定を定期的に監査し、適切なアクセス制御を確保する。
データ流出の影響を受けたユーザーは、自身の情報の不正利用に注意する。
影響を受けたユーザーに対するサポート体制を強化する。
その他
なし
ChatGPTの推奨事項
クラウド設定を定期的に監査し、不適切なアクセス権限がないか確認するべき。
人気のソフトウェア検索を悪用するサイバー犯罪者
https://thehackernews.com/2024/08/cybercriminals-exploit-popular-software.html
要約
サイバー犯罪者が、不正広告キャンペーンを通じて、FakeBatと呼ばれるローダーを拡散
感染には、トロイの木馬化されたMSIXインストーラーが使用される。このインストーラは、PowerShellスクリプトを実行してペイロードをダウンロード
被害者はBraveやKeePassなどになりすましたインストーラーを使って感染させる。
FakeBatはEugenfestという脅威アクターに関連付けられる。また、このマルウェアはMaaSで提供されており、このMaaSの提供元をUNC4536として追跡。
FakeBatは、IcedID、RedLine Stealer、Lumma Stealer、SectopRAT、Carbanakなどの他マルウェアの配信に使用。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者グループUNC4536が関与
ChatGPTの推奨事項
偽ソフトウェアサイトへのアクセスを避け、公式サイトのみを利用する
新たなUULoaderマルウェアがGh0st RATとMimikatzを東アジアで配布
https://thehackernews.com/2024/08/new-uuloader-malware-distributes-gh0st.html
要約
UULoaderマルウェアが東アジアで確認され、Gh0st RATやMimikatzを配布。
UULoaderは、正規ソフトの偽インストーラーを利用して拡散。
UULoaderは、DLLサイドローディングで起動。「XamlHost.sys」という名前で保存されたファイルから難読化された最終ペイロードを読み込む。
攻撃は、主に中国と韓国のユーザーを標的にしている。
中国語がプログラムデータベースファイルに含まれていることから、中国系の攻撃者と推測される。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者は中国語話者である可能性がある
ChatGPTの推奨事項
信頼できるソースからのみソフトウェアをダウンロードする
マイクロソフト、北朝鮮のラザルスグループによるゼロデイ脆弱性を修正
https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html
要約
マイクロソフトがWindowsの脆弱性「CVE-2024-38193」を修正、Lazarusグループが悪用していた。
脆弱性はWindowsのAFD.sysにおける特権昇格の問題であり、攻撃者はSYSTEM権限を取得可能。
8月の月例セキュリティ更新プログラムでこの脆弱性を修正。
この脆弱性は2024年6月初旬に発見された。攻撃者はこの脆弱性を悪用してセキュリティ制限をバイパスして機密性の高いシステム領域にアクセスした。
攻撃にはFudModuleルートキットが使用された。
2024年2月のLazarusグループによる脆弱性攻撃と似ており、Windowsホストにすでにインストールされているドライバの脆弱性を悪用.
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者は北朝鮮の国家支援グループ
ChatGPTの推奨事項
最新のセキュリティパッチを適用する
研究者がFIN7サイバー犯罪グループに関連する新たなインフラを発見
https://thehackernews.com/2024/08/researchers-uncover-new-infrastructure.html
要約
FIN7サイバー犯罪グループに関連する新たなインフラが発見された。
発見されたインフラはロシアやエストニアのサービスプロバイダーから提供されていた。
Stark Industriesの再販業者からのインフラ購入が推測されている。
Starkは、このインフラがFIN7によるものであるとSilent Pushが発見した後にテイクダウンした。
FIN7は金銭目的のサイバー犯罪グループ。
IOCの列挙
86.104.72[.]16,IPアドレス,知られていない,FIN7のインフラの一部として発見,グローバル
推奨事項
不明
その他
攻撃者はFIN7グループ、金融目的の犯罪活動に従事
ChatGPTの推奨事項
確認されたIOCを基に、ネットワークトラフィックを監視・ブロックする
日本のインシデント事例
その他のメモ
N/A