Daily Security Info - 2024/05/31

tmho

2024年5月31日 07:19

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

新しい情報窃取型マルウェア:ghost stealerがアナウンス
- Price: $100 / lifetime

日々のニュース要約

5億6000万人のTicketmaster顧客データが漏洩後に販売

https://www.bleepingcomputer.com/news/security/data-of-560-million-ticketmaster-customers-for-sale-after-alleged-breach/

要約
- ShinyHuntersがTicketmasterの5億6000万顧客の個人・金融情報を販売
- 最初はExploitフォーラムで売りに出され、その後に最近復活したBreachForumsで売りに出された
- データは1.3TBに及び、2012年から2024年の取引情報を含む
- Ticketmasterはコメントしていないが、データは同社からのものと確認
- vx-undergroundがTicketmasterに侵入したとされる何人かの脅威アクターと話をしたと主張。彼らは、「MSPから転換することで」同社のAWSインスタンスからデータを盗むことができたと述べた
IOCの列挙
- IOC情報なし
推奨事項
- 推奨事項なし
その他
- 攻撃者はShinyHuntersとして知られる個人またはグループ
ChatGPTの推奨事項
- 影響を受けた顧客はクレジットモニタリングサービスを利用すること

2023年のミステリアスな攻撃で600,000台のルーターを破壊したマルウェアボットネット

https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-event/

要約
- Pumpkin Eclipseと呼ばれるマルウェアボットネットが2023年に60万台のSOHOルーターをオフラインにした
- 2023年10月25日から10月27日の間に中西部の多くの州でインターネットアクセスが中断。被害者はルーターの交換などが必要になった。
- 攻撃は特定のISPと、同社が使用していた3つのルーターモデル(ActionTec T3200s、ActionTec T3260s、Sagemcom F5380)に集中
- このISPは、Pumpkin Eclipseの攻撃により、モデムの稼働数が49%減少した。
- 攻撃は米国中西部の多数の顧客に影響を与えた
IOCの列挙
- IOC情報なし
推奨事項
- 推奨事項なし
その他
- なし
ChatGPTの推奨事項
- 不審なルーターの動作に注意し、定期的なセキュリティチェックを行うこと

Everbridge、企業システム侵害でビジネスデータが流出

hxxps://www.bleepingcomputer.com/news/security/everbridge-warns-of-corporate-systems-breach-exposing-business-data/

要約
- Everbridgeの企業システムが攻撃を受け、ビジネスデータが流出
- 攻撃者はフィッシング攻撃で従業員の情報を収集。得られた情報を使ってEverbridgeに侵入した。
- 5月21日に攻撃を検出。
- BleepingComputerが捜査に近い情報筋に取材したところ、一部の顧客情報が流出し、影響を受けた顧客には通知済みであるとの情報を得た
- 6月3日までに全アカウントでMFAを必須化
IOCの列挙
- IOC情報なし
推奨事項
- 全管理者アカウントでMFAを有効にすること
- SSOをサポートする場合、EverbridgeログインにSSOを使用すること
その他
- 攻撃者の情報なし
ChatGPTの推奨事項
- MFAを直ちに有効にしてください

Cooler Master、データ侵害で顧客情報が流出

hxxps://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/

要約
- 5月19日にCooler Masterのデータが流出
- 攻撃者がFanzoneサイトを侵害し、500,000人以上の顧客データを取得
- 流出データには個人情報や製品情報が含まれる
- クレジットカード情報の一部も含まれると主張
- 影響を受けた顧客に通知中
IOCの列挙
- IOC情報なし
推奨事項
- 個人情報の保護対策を強化すること
- フィッシングメールに注意すること
その他
- 攻撃者は、Ghostrと知られる脅威アクター
ChatGPTの推奨事項
- フィッシングメールに注意し、個人情報を保護してください

BBC、現在および元従業員に影響を与えるデータ侵害

hxxps://www.bleepingcomputer.com/news/security/bbc-suffers-data-breach-impacting-current-former-employees/

要約
- BBCがデータセキュリティインシデントを発表
- 約25,000人の現在および元従業員の個人情報が流出
- 流出データには氏名、国民保険番号、出生年月日、住所などが含まれる
- 影響を受けた個人にはメールまたは郵送で通知
- 現時点でデータの悪用の証拠はなし
IOCの列挙
- IOC情報なし
推奨事項
- 不審な連絡には注意し、個人情報を提供しないこと
- 2要素認証を有効にすること
その他
- 攻撃者の情報なし
ChatGPTの推奨事項
- 2要素認証を直ちに有効にしてください

警察、100以上のマルウェアローダーサーバーを押収し、4人のサイバー犯罪者を逮捕

hxxps://www.bleepingcomputer.com/news/security/police-seize-over-100-malware-loader-servers-arrest-four-cybercriminals-operation-endgame/

要約
- 国際捜査「Operation Endgame」により、100以上のマルウェアローダーサーバーが押収
- IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBCなどのマルウェア運営者を対象
- 4人のサイバー犯罪者を逮捕、8人が逃亡中
- サーバーはヨーロッパと北米に分散
- サーバーは2,000以上のドメインをホスト
IOCの列挙
- IOC情報なし
推奨事項
- サイバーセキュリティ対策を強化すること
- 信頼できるセキュリティソフトを使用すること
その他
- なし
ChatGPTの推奨事項
- サイバーセキュリティ対策を強化してください

サイバー犯罪者、Stack Overflowユーザーを装いマルウェアを配布

hxxps://www.bleepingcomputer.com/news/security/cybercriminals-pose-as-helpful-stack-overflow-users-to-push-malware/

要約
- サイバー犯罪者がStack Overflowユーザーを装い、マルウェアを配布
- マルウェアは「pytoileur」と名付けられた悪意あるPyPiパッケージ
- 「助けるふり」をして、マルウェアを含むコードを回答として投稿(実例: https://archive.is/MU5JA )
- パッケージは情報窃取マルウェアをダウンロード・実行。被害者の個人情報やブラウザデータを盗む
- パッケージ概要には、「Cool package」と記載。昨年 Windows ユーザーをターゲットにした既知のCool packageキャンペーンの一部であることを発見。
IOCの列挙
- IOC情報なし
推奨事項
- 不審なパッケージは導入前に確認すること
- 信頼できるソースからのみパッケージをダウンロードすること
その他
- 攻撃者の情報なし
ChatGPTの推奨事項
- パッケージ導入前に信頼性を確認してください

FlyingYeti、WinRARの脆弱性を悪用し、ウクライナでCOOKBOXマルウェアを配布

hxxps://thehackernews.com/2024/05/flyingyeti-exploits-winrar.html

要約
- FlyingYetiがWinRARの脆弱性を利用し、COOKBOXマルウェアをウクライナで配布
- 借金をテーマにしたおとり広告を使用して、悪意のあるファイルを開かせる
- COOKBOXはPowerShellベースのマルウェアで、追加のペイロードをインストール可能
- 被害者のシステムを制御し、情報窃取を目的とする
IOCの列挙
- komunalka[.]github[.]io,URL,知られていない,偽のウェブサイト,NA
- postdock[.]serveftp[.]com,FQDN名,知られていない,C2サーバー,NA
推奨事項
- 不審なリンクや添付ファイルを開かないこと
- 最新のセキュリティパッチを適用すること
その他
- 攻撃者は、FlyingYetiと呼ばれる脅威アクターであり、ロシアと連携
ChatGPTの推奨事項
- 最新のセキュリティパッチを直ちに適用してください

LilacSquid、IT、エネルギー、製薬セクターを標的にしたサイバースパイ活動

hxxps://thehackernews.com/2024/05/cyber-espionage-alert-lilacsquid.html

要約
- LilacSquidがIT、エネルギー、製薬セクターを標的にしたサイバースパイ活動を実施
- 少なくとも2021年以降活動しており、米国、ヨーロッパ、アジアのさまざまな分野にまたがる標的型攻撃に関連付けられる
- 公開された脆弱性やRDP資格情報を悪用して攻撃
- MeshAgentというOSSのリモート管理ツールを悪用して、カスタムマルウェア「PurpleInk」を配布
- PurpleInkは多機能で情報窃取、リモートシェルの実行などが可能
- RDPからの侵害では、InkLoaderも使われる。
IOCの列挙
- IOC情報なし
推奨事項
- 最新のセキュリティパッチを適用すること
- 不審なRDPログインを監視すること
その他
- 以下の戦術において、この攻撃は北朝鮮のAPTであるAndariel及びその親グループであるLazarusとの重複が見られる。関連している可能性がある。
  - MeshAgentが、侵害後の活動として用いられた点
  - インフラへの通信チャネルとして、 Secure Socket Funneling(SSF) が用いられた点
ChatGPTの推奨事項
- 最新のセキュリティパッチを直ちに適用してください

欠陥のあるAIツールがプライベートLLMとチャットボットに懸念を引き起こす

https://www.darkreading.com/application-security/flawed-ai-tools-create-worries-for-private-llms-chatbots

要約
- プライベートLLMを使用し、ビジネスデータの検索などを行っている企業にデータ漏洩リスク。
- 適切なセキュリティ管理をしなければ、データ汚染や潜在的なデータ漏洩のリスクに直面すると専門家は指摘。
- SynopsysがEmbedAIコンポーネントのCSRF脆弱性を報告。これにより、ユーザをだますことで、汚染されたデータを言語モデルにアップロードさせることができる可能性
- LLM自身よりも、LLM周辺のツールの脆弱性が問題。
- Rayフレームワークの脆弱性が教育機関などで悪用される。
- AIシステムのセキュリティ設計とレビューが不十分。
IOCの列挙
- IOC情報なし
推奨事項
- LLM周辺のツールの定期的なセキュリティテストを実施。
- データセグメンテーションを行い、アクセス制限を強化。
- 使用するソフトウェアコンポーネントの更新と制御を徹底。
その他
- なし
ChatGPTの推奨事項
- LLM周辺のツールのセキュリティテストを定期的に実施してください。

警察がサイバー犯罪者を挑発する手法を採用

https://www.wired.com/story/cop-cybercriminal-hacker-psyops/

要約
- 警察がサイバー犯罪者に心理戦を使用して活動を妨害。
- LockBitランサムウェアグループを標的にし、内部情報を公開。参加したアフィリエイト194アカウントに対し、ユーザー名・ログイン・姓を公開。
- LabHostのテイクダウンでは、個人化されたメッセージでハッカーに圧力をかける。このサービス利用時のIPアドレスや被害者の国など活動を記録したビデオを使い、監視していることを警告した。
- 信頼を揺るがすことで、犯罪者間の不信感を増幅。
- 米国の研究機関がサイバー心理学を活用した防御策を研究。
IOCの列挙
- IOC情報なし
推奨事項
- サイバー心理学を活用した防御策の検討。
- サイバー犯罪者への心理的対策の実施。
- 定期的なセキュリティ監査と脅威分析の強化。
その他
- なし
ChatGPTの推奨事項
- サイバー心理学を活用した防御策を検討してください。
追記
- 個人的にはRaaS形式のランサムウェアグループのような、疎な結合でやってる複数組織の連合に対しては、とても有益な活動だと思います。
- DataBreachesがこの記事に関するコメントをしています。これもためになりますので、ご参考にしてください: link

日本のインシデント事例

その他のメモ

N/A