Daily Security Info - 2024/08/01

tmho

2024年8月1日 07:20

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

クレジットカードユーザーがshopify-charge.comから不可解な請求を受ける

https://www.bleepingcomputer.com/news/security/credit-card-users-get-mysterious-shopify-chargecom-charges/

要約
- 多くのクレジットカードユーザーが身に覚えのない$1や$0の請求をshopify-charge.comから受けている
- 請求は物理カードおよびバーチャルカードの両方で発生
- Shopifyはこれらの請求がサブスクリプションや購入によるものであると説明
- 請求の多くが存在しない住所やデフォルトの電話番号を含む
- Shopifyのサードパーティデータ侵害が最近起きていたため、多くの人が関連を疑ったが、この侵害ではクレジットカード情報は窃取されなかった
IOCの列挙
- shopify-charge[.]com,FQDN名,知られている,詐欺の疑いのある請求元,NA
- 866-938-2427,電話番号,知られていない,詐欺の疑いのある請求元,NA
- 5715 Will Clayton Pkwy,住所,知られていない,詐欺の疑いのある請求元,NA
推奨事項
- 不明な請求があった場合は直ちにカード会社に連絡
- カード利用明細を定期的に確認する
- サードパーティサービスの利用を最小限に抑える
その他
- なし
ChatGPTの推奨事項
- 不明な請求が発生した場合は、直ちにカード会社に連絡すること
追記
- クレジットカード窃取をするカーダーが、カードのアクティブチェック(日本でいう1円オーソり)をしている可能性があります。
  - クレジットカード情報は窃取する人が別の人に販売をしますが、販売前に使えることを確認します

DigiCert、重要インフラ向け証明書の失効を延期

https://www.bleepingcomputer.com/news/security/digicert-to-delay-cert-revocations-for-critical-infrastructure/

要約
- DigiCertはドメイン制御検証の不遵守問題でTLS証明書を大量失効
- 重要インフラ運営者は失効延期を申請可能
- 申請期限は7月31日、失効は最遅で8月3日まで
IOCの列挙
- IOC情報なし
推奨事項
- 影響を受ける証明書の再発行
- 証明書の失効延期を迅速に申請
- デジサートの最新情報を確認
その他
- なし
ChatGPTの推奨事項
- 影響を受ける証明書の失効延期を迅速に申請すること

OneBloodの仮想マシンがランサムウェア攻撃で暗号化される

https://www.bleepingcomputer.com/news/security/onebloods-virtual-machines-encrypted-in-ransomware-attack/

要約
- OneBloodの仮想マシンがランサムウェア攻撃で暗号化され、ITシステムが停止
- 攻撃は週末に発生し、VMware ESXiサーバーを標的にした
- OneBloodは手動プロセスに移行し、システムの復旧を急いでいる
- 攻撃により血液供給に影響が出ている
- 被害者には信用監視サービスが提供される予定
IOCの列挙
- IOC情報なし
推奨事項
- 定期的なシステムバックアップを行う
- 重要インフラのセキュリティを強化する
- ランサムウェア対策ソフトウェアを導入する
その他
- なし
ChatGPTの推奨事項
- システムの定期的なバックアップを実施し、迅速な復旧を可能にすること

CISAとFBI：DDoS攻撃は米国選挙の完全性に影響を与えない

https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ddos-attacks-wont-impact-us-election-integrity/

要約
- CISAとFBIは、DDoS攻撃が米国選挙の完全性や安全性に影響を与えないと発表
- DDoS攻撃は選挙関連の情報アクセスを一時的に妨害する可能性
- 投票結果や投票プロセスに直接的な影響はないと確認
- 選挙関連の情報は公式の州や地方の選挙管理者から入手すべき
- 攻撃が報告された場合、FBIに連絡を推奨
IOCの列挙
- IOC情報なし
推奨事項
- 公式の州や地方の選挙管理者から情報を得る
- 不審な活動を報告する
- DDoS攻撃に対する警戒を強化する
その他
- なし
ChatGPTの推奨事項
- 公式の選挙情報源からのみ情報を確認し、不審な活動をFBIに報告すること

Google広告が偽のGoogle Authenticatorサイトを通じてマルウェアを配信

https://www.bleepingcomputer.com/news/security/google-ads-push-fake-google-authenticator-site-installing-malware/

要約
- 偽のGoogle Authenticatorサイトを宣伝するGoogle広告が発見され、マルウェア「DeerStealer」を配布
- 偽サイトは信頼性を高めるために「google.com」と表示され、ユーザーを欺く
- GitHubでホストしている「Authenticator.exe」をダウンロードさせ、ブラウザの資格情報やクッキーを盗む
  - https://www.virustotal.com/gui/file/5d1e3b113e15fc5fd4a08f41e553b8fd0eaace74b6dc034e0f6237c5e10aa737/
- Googleは問題の広告主をブロックしたが、数千のアカウントが悪用されている
- 公式のソフトウェアプロジェクトURLをブックマークすることが推奨される
IOCの列挙
- chromeweb-authenticators[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
- authenticcator-descktop[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
- chromstore-authentificator[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
- authentificator-gogle[.]com,FQDN名,知られていない,偽のGoogleポータル,NA
推奨事項
- 公式のソフトウェアプロジェクトURLをブックマークする
- 広告リンクをクリックしない
- ダウンロード前にURLを確認する
その他
- なし
ChatGPTの推奨事項
- 公式のソフトウェアプロジェクトURLをブックマークし、広告リンクをクリックしないこと

世界有数の銀生産者Fresnillo、サイバー攻撃を公表

https://www.bleepingcomputer.com/news/security/world-leading-silver-producer-fresnillo-discloses-cyberattack/

要約
- Fresnilloがサイバー攻撃を受け、ITシステムとデータに不正アクセスされた
- 攻撃は業務に影響を与えておらず、重大な財務的影響も見込まれていない
- 攻撃発見後、即座に対応措置を実施し、外部のフォレンジック専門家と協力して調査中
- 同社は引き続きサイバーセキュリティ対策を強化予定
- 北米の鉱山運営における日常業務は通常通り継続中
IOCの列挙
- IOC情報なし
推奨事項
- 影響を受けるシステムの監視を強化
- セキュリティ対策の見直しと強化
- フォレンジック調査結果に基づく継続的な改善
その他
- なし
ChatGPTの推奨事項
- サイバー攻撃を受けた場合、即座に対応措置を実施し、専門家と協力して調査を行うこと

新しいAndroidマルウェア、銀行口座を空にした後にデバイスを消去

https://www.bleepingcomputer.com/news/security/new-android-malware-wipes-your-device-after-draining-bank-accounts/

要約
- Androidマルウェア「BingoMod」が銀行口座から資金を盗んだ後にデバイスを消去
- 偽のモバイルセキュリティツールとしてSMSで配布(SMSフィッシング)
- ログイン情報を盗み、スクリーンショットを送信し、SMSを傍受
- リアルタイムの遠隔操作により不正送金を行う
- BingoModは現在開発中で、検出を回避するために難読化機能が追加
IOCの列挙
- IOC情報なし
推奨事項
- 公式のソフトウェアプロジェクトURLをブックマークする
- 広告リンクをクリックしない
- ダウンロード前にURLを確認する
その他
- なし
ChatGPTの推奨事項
- 公式のソフトウェアプロジェクトURLをブックマークし、広告リンクをクリックしないこと

詐欺グループがFacebook広告を通じて600以上の偽ショッピングサイトを宣伝

https://www.bleepingcomputer.com/news/security/fraud-ring-pushes-600-plus-fake-web-shops-via-facebook-ads/

要約
- 「ERIAKOS」と呼ばれる詐欺キャンペーンが600以上の偽ウェブショップをFacebook広告で宣伝
- 短期間で偽サイトを作成し、訪問者の個人情報と金融情報を盗む
- 詐欺サイトは携帯端末からのみアクセス可能で、検出を回避
- ほとんどのサイトは短命であり現在オフラインだが、キャンペーンは継続中
- 広告は人気ブランドの大幅割引を装い、偽のユーザーレビューで信頼性を高める
IOCの列挙
- eriakos[.]com,FQDN名,知られていない,詐欺キャンペーンのCDN,NA
- oss[.]eriakos[.]com,FQDN名,知られていない,詐欺キャンペーンのCDN,NA
- 47[.]251[.]50[.]19,IPアドレス,知られていない,詐欺キャンペーンに使用,グローバル
- 47[.]251[.]129[.]84,IPアドレス,知られていない,詐欺キャンペーンに使用,グローバル
推奨事項
- Facebook広告に出るサイトを購入前に確認する
- 不明なサイトでの購入を避ける
- HTTPS使用を確認し、レビューを調べる
その他
- 使用されているドメインレジストラ、カードネットワーク、決済サービスプロバイダーなどから、Recorded Futureは中国からの可能性が高いとしている
ChatGPTの推奨事項
- 不明なウェブサイトでの購入を避け、事前に調査を行うこと

北朝鮮関連のマルウェアがWindows、Linux、macOSの開発者を標的に

https://thehackernews.com/2024/07/north-korea-linked-malware-targets.html

要約
- 北朝鮮関連の「DEV#POPPER」グループが開発者を対象にしたマルウェアキャンペーンを実施
- 就職面接を装って、GitHub上に偽のソフトウェアをダウンロードおよび実行させることでマルウェアに感染させる
- Windows、Linux、macOSで動作するマルウェア「BeaverTail」と「InvisibleFerret」を使用
- キャンペーンは高度なソーシャルエンジニアリング手法を採用し、広範囲に及ぶ
- このキャンペーンは、paloalto unit42が「Contagious Interview」として追跡している活動と重複している
- 新たに強化された難読化機能とAnyDeskのRMMソフトウェアを使用
IOCの列挙
- IOC情報なし
推奨事項
- 疑わしい求人広告には注意
- 不明なソフトウェアをダウンロードしない
- 定期的にシステムとソフトウェアを更新する
その他
- 攻撃者の情報：北朝鮮、開発者情報の収集とスパイ活動が目的
- 攻撃が行われている情報
ChatGPTの推奨事項
- 不明なソフトウェアをダウンロードせず、求人広告の信頼性を確認すること

中国のハッカーが日本企業をLODEINFOとNOOPDOORマルウェアで攻撃

https://thehackernews.com/2024/07/chinese-hackers-target-japanese-firms.html

要約
- 中国のAPT10グループが日本企業を標的にLODEINFOとNOOPDOORマルウェアを使用
- マルウェアは情報窃取を目的に2～3年間潜伏。発見したcybereasonはこの活動を「Cuckoo Spear」と名付け追跡
- 脅威アクターは、重要インフラや学術機関を標的にしており、諜報活動が目的であると思われる
- LODEINFOはバックドア、NOOPDOORはデータ窃取に利用
IOCの列挙
- IOC情報なし
推奨事項
- スピアフィッシングに注意する
- ソフトウェアとシステムを定期的に更新する
- 不明なリンクや添付ファイルを開かない
その他
- 攻撃者は中国のAPT10と関連するアクター、情報収集が目的
ChatGPTの推奨事項
- スピアフィッシングに注意し、システムを最新に保つこと

日本のインシデント事例

N/A

その他のメモ

RDP接続起点にサーバ4台がランサム被害 - 駒井ハルテック

この記事が気に入ったらサポートをしてみませんか？