Daily Security Info - 2024/08/01
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
クレジットカードユーザーがshopify-charge.comから不可解な請求を受ける
要約
多くのクレジットカードユーザーが身に覚えのない$1や$0の請求をshopify-charge.comから受けている
請求は物理カードおよびバーチャルカードの両方で発生
Shopifyはこれらの請求がサブスクリプションや購入によるものであると説明
請求の多くが存在しない住所やデフォルトの電話番号を含む
Shopifyのサードパーティデータ侵害が最近起きていたため、多くの人が関連を疑ったが、この侵害ではクレジットカード情報は窃取されなかった
IOCの列挙
shopify-charge[.]com,FQDN名,知られている,詐欺の疑いのある請求元,NA
866-938-2427,電話番号,知られていない,詐欺の疑いのある請求元,NA
5715 Will Clayton Pkwy,住所,知られていない,詐欺の疑いのある請求元,NA
推奨事項
不明な請求があった場合は直ちにカード会社に連絡
カード利用明細を定期的に確認する
サードパーティサービスの利用を最小限に抑える
その他
なし
ChatGPTの推奨事項
不明な請求が発生した場合は、直ちにカード会社に連絡すること
追記
クレジットカード窃取をするカーダーが、カードのアクティブチェック(日本でいう1円オーソり)をしている可能性があります。
クレジットカード情報は窃取する人が別の人に販売をしますが、販売前に使えることを確認します
DigiCert、重要インフラ向け証明書の失効を延期
要約
DigiCertはドメイン制御検証の不遵守問題でTLS証明書を大量失効
重要インフラ運営者は失効延期を申請可能
申請期限は7月31日、失効は最遅で8月3日まで
IOCの列挙
IOC情報なし
推奨事項
影響を受ける証明書の再発行
証明書の失効延期を迅速に申請
デジサートの最新情報を確認
その他
なし
ChatGPTの推奨事項
影響を受ける証明書の失効延期を迅速に申請すること
OneBloodの仮想マシンがランサムウェア攻撃で暗号化される
要約
OneBloodの仮想マシンがランサムウェア攻撃で暗号化され、ITシステムが停止
攻撃は週末に発生し、VMware ESXiサーバーを標的にした
OneBloodは手動プロセスに移行し、システムの復旧を急いでいる
攻撃により血液供給に影響が出ている
被害者には信用監視サービスが提供される予定
IOCの列挙
IOC情報なし
推奨事項
定期的なシステムバックアップを行う
重要インフラのセキュリティを強化する
ランサムウェア対策ソフトウェアを導入する
その他
なし
ChatGPTの推奨事項
システムの定期的なバックアップを実施し、迅速な復旧を可能にすること
CISAとFBI:DDoS攻撃は米国選挙の完全性に影響を与えない
要約
CISAとFBIは、DDoS攻撃が米国選挙の完全性や安全性に影響を与えないと発表
DDoS攻撃は選挙関連の情報アクセスを一時的に妨害する可能性
投票結果や投票プロセスに直接的な影響はないと確認
選挙関連の情報は公式の州や地方の選挙管理者から入手すべき
攻撃が報告された場合、FBIに連絡を推奨
IOCの列挙
IOC情報なし
推奨事項
公式の州や地方の選挙管理者から情報を得る
不審な活動を報告する
DDoS攻撃に対する警戒を強化する
その他
なし
ChatGPTの推奨事項
公式の選挙情報源からのみ情報を確認し、不審な活動をFBIに報告すること
Google広告が偽のGoogle Authenticatorサイトを通じてマルウェアを配信
要約
偽のGoogle Authenticatorサイトを宣伝するGoogle広告が発見され、マルウェア「DeerStealer」を配布
偽サイトは信頼性を高めるために「google.com」と表示され、ユーザーを欺く
GitHubでホストしている「Authenticator.exe」をダウンロードさせ、ブラウザの資格情報やクッキーを盗む
Googleは問題の広告主をブロックしたが、数千のアカウントが悪用されている
公式のソフトウェアプロジェクトURLをブックマークすることが推奨される
IOCの列挙
chromeweb-authenticators[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
authenticcator-descktop[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
chromstore-authentificator[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
authentificator-gogle[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
推奨事項
公式のソフトウェアプロジェクトURLをブックマークする
広告リンクをクリックしない
ダウンロード前にURLを確認する
その他
なし
ChatGPTの推奨事項
公式のソフトウェアプロジェクトURLをブックマークし、広告リンクをクリックしないこと
世界有数の銀生産者Fresnillo、サイバー攻撃を公表
要約
Fresnilloがサイバー攻撃を受け、ITシステムとデータに不正アクセスされた
攻撃は業務に影響を与えておらず、重大な財務的影響も見込まれていない
攻撃発見後、即座に対応措置を実施し、外部のフォレンジック専門家と協力して調査中
同社は引き続きサイバーセキュリティ対策を強化予定
北米の鉱山運営における日常業務は通常通り継続中
IOCの列挙
IOC情報なし
推奨事項
影響を受けるシステムの監視を強化
セキュリティ対策の見直しと強化
フォレンジック調査結果に基づく継続的な改善
その他
なし
ChatGPTの推奨事項
サイバー攻撃を受けた場合、即座に対応措置を実施し、専門家と協力して調査を行うこと
新しいAndroidマルウェア、銀行口座を空にした後にデバイスを消去
要約
Androidマルウェア「BingoMod」が銀行口座から資金を盗んだ後にデバイスを消去
偽のモバイルセキュリティツールとしてSMSで配布(SMSフィッシング)
ログイン情報を盗み、スクリーンショットを送信し、SMSを傍受
リアルタイムの遠隔操作により不正送金を行う
BingoModは現在開発中で、検出を回避するために難読化機能が追加
IOCの列挙
IOC情報なし
推奨事項
公式のソフトウェアプロジェクトURLをブックマークする
広告リンクをクリックしない
ダウンロード前にURLを確認する
その他
なし
ChatGPTの推奨事項
公式のソフトウェアプロジェクトURLをブックマークし、広告リンクをクリックしないこと
詐欺グループがFacebook広告を通じて600以上の偽ショッピングサイトを宣伝
要約
「ERIAKOS」と呼ばれる詐欺キャンペーンが600以上の偽ウェブショップをFacebook広告で宣伝
短期間で偽サイトを作成し、訪問者の個人情報と金融情報を盗む
詐欺サイトは携帯端末からのみアクセス可能で、検出を回避
ほとんどのサイトは短命であり現在オフラインだが、キャンペーンは継続中
広告は人気ブランドの大幅割引を装い、偽のユーザーレビューで信頼性を高める
IOCの列挙
eriakos[.]com,FQDN名,知られていない,詐欺キャンペーンのCDN,NA
oss[.]eriakos[.]com,FQDN名,知られていない,詐欺キャンペーンのCDN,NA
47[.]251[.]50[.]19,IPアドレス,知られていない,詐欺キャンペーンに使用,グローバル
47[.]251[.]129[.]84,IPアドレス,知られていない,詐欺キャンペーンに使用,グローバル
推奨事項
Facebook広告に出るサイトを購入前に確認する
不明なサイトでの購入を避ける
HTTPS使用を確認し、レビューを調べる
その他
使用されているドメインレジストラ、カード ネットワーク、決済サービス プロバイダーなどから、Recorded Futureは中国からの可能性が高いとしている
ChatGPTの推奨事項
不明なウェブサイトでの購入を避け、事前に調査を行うこと
北朝鮮関連のマルウェアがWindows、Linux、macOSの開発者を標的に
https://thehackernews.com/2024/07/north-korea-linked-malware-targets.html
要約
北朝鮮関連の「DEV#POPPER」グループが開発者を対象にしたマルウェアキャンペーンを実施
就職面接を装って、GitHub上に偽のソフトウェアをダウンロードおよび実行させることでマルウェアに感染させる
Windows、Linux、macOSで動作するマルウェア「BeaverTail」と「InvisibleFerret」を使用
キャンペーンは高度なソーシャルエンジニアリング手法を採用し、広範囲に及ぶ
このキャンペーンは、paloalto unit42が「Contagious Interview」として追跡している活動と重複している
新たに強化された難読化機能とAnyDeskのRMMソフトウェアを使用
IOCの列挙
IOC情報なし
推奨事項
疑わしい求人広告には注意
不明なソフトウェアをダウンロードしない
定期的にシステムとソフトウェアを更新する
その他
攻撃者の情報:北朝鮮、開発者情報の収集とスパイ活動が目的
攻撃が行われている情報
ChatGPTの推奨事項
不明なソフトウェアをダウンロードせず、求人広告の信頼性を確認すること
中国のハッカーが日本企業をLODEINFOとNOOPDOORマルウェアで攻撃
https://thehackernews.com/2024/07/chinese-hackers-target-japanese-firms.html
要約
中国のAPT10グループが日本企業を標的にLODEINFOとNOOPDOORマルウェアを使用
マルウェアは情報窃取を目的に2~3年間潜伏。発見したcybereasonはこの活動を「Cuckoo Spear」と名付け追跡
脅威アクターは、重要インフラや学術機関を標的にしており、諜報活動が目的であると思われる
LODEINFOはバックドア、NOOPDOORはデータ窃取に利用
IOCの列挙
IOC情報なし
推奨事項
スピアフィッシングに注意する
ソフトウェアとシステムを定期的に更新する
不明なリンクや添付ファイルを開かない
その他
攻撃者は中国のAPT10と関連するアクター、情報収集が目的
ChatGPTの推奨事項
スピアフィッシングに注意し、システムを最新に保つこと
日本のインシデント事例
N/A