Daily Security Info - 2024/05/24
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
Dark Web Profile: Dispossessor Ransomware
LockBitとの類似性が注目されているランサムウェアグループ「Dispossessor」。
LockBitへの取り締まりがあったオペレーションクロノスの直後。ダークウェブフォーラムでLockBitの直近の被害者情報を提供できるという投稿があった。
このグループは現在はランサムウェアの基盤は持たず、他の攻撃グループが公開したデータを使った再リークなどを行っており、日和見的な脅威アクターであるといえる。
(私見)
始めLockBitのリブランディング戦略かと思いましたが、そうとも言い切れないですね。
ただ、Contiランサムウェアグループが、ランサムウェアによる暗号化が上手くいかなかったときだけ、データリークでの恐喝を行うエクストーショングループ「Karakurt」を作っていたように、サブグループなどのつながりはあるかもしれません。
LockBitは6月の制裁で恐らく立ち行かなくなると思います。なのでこういったLockBitが様々な模索をしている可能性に関連した情報は今後も出てくるのではないでしょうか。
日々のニュース要約
JAVSの法廷記録ソフトがサプライチェーン攻撃でバックドア化
要約
JAVSのインストーラーがマルウェアによりバックドア化
影響を受けたソフトは多くの法廷や政府機関で使用
侵害されたインストーラをJAVSは公式サイトから削除。JAVSは調査結果として、ソースコード、証明書、システム、またはその他のソフトウェアリリースが侵害されていないことを確認したと発表
サイバー当局と協力し、全ファイルの監査とパスワードのリセットを実施
JAVSの全顧客に対し、侵害されたインストーラを実行した全エンドポイントの初期化とパスワードリセットを推奨
IOCの列挙
IOC情報なし
推奨事項
影響を受けたエンドポイントを初期化
すべてのパスワードをリセット
ソフトウェアを最新バージョンにアップグレード
その他
なし
ChatGPTの推奨事項
影響を受けたエンドポイントを直ちに再イメージングし、パスワードをリセットしてください
GitLabの深刻な脆弱性により攻撃者がアカウントを乗っ取る可能性
要約
GitLabに高深刻度のXSS脆弱性(CVE-2024-4835)が発見
未認証の攻撃者がアカウントを乗っ取る可能性
修正バージョンがリリースされ、即時アップデート推奨
他の6つの中程度の脆弱性も修正
ユーザ操作が必要なため攻撃の複雑さは高いが、依然として危険
IOCの列挙
IOC情報なし
推奨事項
GitLabの最新バージョンに即時アップデート
未知のアクセスを監視
セキュリティキーの導入
その他
なし
ChatGPTの推奨事項
GitLabを直ちに最新バージョンにアップデートしてください
結局、Appleは削除されたiOS写真をiCloudに保存していなかった
要約
iOS 17.5.1のバグで削除した写真が再出現
問題はiCloudではなくローカルファイルシステム
バグは最新アップデートで修正済み
Appleはユーザーのプライバシーを侵害していない
研究者が原因を解明
IOCの列挙
IOC情報なし
推奨事項
iOSを最新バージョンにアップデート
削除ファイルが再出現した場合の監視
プライバシー設定の確認
その他
なし
ChatGPTの推奨事項
iOSを直ちに最新バージョンにアップデートしてください
北アイルランド警察、職員情報を漏洩し75万ポンドの罰金に直面
要約
北アイルランド警察が職員情報を誤って公開
ICOは75万ポンドの罰金を課す意向
影響を受けたのは9,483人の職員
PSNIは罰金を受け入れ、改善策を実施中
多くの職員が新しい住所に移動を余儀なくされた
IOCの列挙
IOC情報なし
推奨事項
FOIリクエスト処理のセキュリティ強化
職員への継続的な支援
データ保護手順の改善
その他
なし
ChatGPTの推奨事項
データ保護手順を直ちに見直し、改善してください
ランサムウェア攻撃がVMware ESXiの脆弱性を悪用
https://thehackernews.com/2024/05/ransomware-attacks-exploit-vmware-esxi.html
要約
複数のランサムウェアがVMware ESXiの脆弱性を悪用
多くのランサムウェアグループが同じような戦術で攻撃を行っている
LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat Cheerscrypt など
フィッシングや既知の脆弱性を利用する、悪意のあるファイルをダウンロードさせるなどして初期アクセスを取得
ランサムウェアの展開とバックアップの削除や暗号化を実行。ESXiでは "/vmfs/volumes"フォルダを暗号化。
データを外部に流出させた後、ランサムウェアを実行
IOCの列挙
IOC情報なし
推奨事項
強力な認証対策の導入
バックアップの強化
ネットワーク制限の実施
その他
なし
ChatGPTの推奨事項
強力な認証対策を直ちに導入してください
APT41:イタリア産業を標的とするKeyPlugの脅威
https://securityaffairs.com/163598/apt/apt41-keyplug-targets-italian-industries.html
要約
APT41がイタリアの産業を標的にKeyPlugを使用
KeyPlugは、WindowsとLinux両方で動作。構成によって異なるプロトコルでバックドア通信を行う。
数か月にわたってイタリアのさまざまな産業が攻撃を受けた。
APT41の攻撃動機はスパイ活動から金銭目的まで様々。この攻撃活動による目的は記載されていなかった。
IOCの列挙
IOC情報なし
推奨事項
ネットワークの監視を強化
フィッシング対策の教育を徹底
脆弱性の迅速な修正
その他
APT41は中国系のサイバー犯罪グループ
ChatGPTの推奨事項
ネットワークの監視を直ちに強化してください
新しいギフトカード詐欺が小売業者をターゲットにし無限の金を印刷
要約
モロッコの脅威グループがギフトカード詐欺を強化。
小売業者のポータルをハッキングしギフトカードを発行。
ホリデーシーズンに活動が急増した。
フィッシングで従業員のアカウントを乗っ取る。これを起点として内部ネットワークや様々なクラウドサービスなどへの侵害を行う。
最終的にギフトカード発行システムへ到達。発行上限ぎりぎりの金額でできるだけ多く作成して窃取する。
作成されたギフトカードはマネーミュールで換金やダークウェブで販売するなどによる換金を行う。
IOCの列挙
IOC情報なし
推奨事項
フィッシング耐性のあるMFAを導入。
厳格なパスワードリセット措置を実施。
従業員へのセキュリティ教育を強化。
その他
攻撃者はモロッコのグループ「Storm-0539」、動機は金銭
ChatGPTの推奨事項
組織はフィッシング耐性のあるMFAを導入してください。
日本のインシデント事例
その他のメモ
N/A