Daily Security Info - 2024/05/17
Tools
malware campaign
N/A
security report
N/A
cybercrime topics
BreachForumsに関するShinyHuntersの声明
結局、ShinyHunterは逮捕されたのかどうか?(押収サイトを見るとShinyHunterも逮捕されてそうな表示だったが)
v2を作ったとかの話もありまだまだ注目が必要。
日々のニュース要約
北朝鮮の兵器計画を支援するサイバー詐欺で5人起訴
要約
北朝鮮の核兵器計画の資金調達に関与した5人が起訴された。
被告は2020年から2023年にかけて米国の雇用市場に侵入。
偽の身元でリモートIT労働者として雇用されていた。
彼らの詐欺行為は数百万ドルの収益をもたらした。
起訴された被告は最大97.5年の刑を受ける可能性がある。
IOCの列挙
IOC情報なし
推奨事項
北朝鮮IT労働者の採用を防ぐための対策を徹底する。
身元情報の確認を強化する。
その他
攻撃者は北朝鮮政府の支援を受けた国籍不明の個人。
ChatGPTの推奨事項
偽のリモート労働者を特定するためのセキュリティ対策を強化。
ノルウェー、侵害防止のためにSSL VPNの交換を推奨
要約
ノルウェー政府はSSL VPNの使用中止を推奨。
2025年までにIPsec IKEv2への移行を提案。
脆弱性が多く悪用されているため。
一部の組織は2024年末までに移行が必要。
中央ログ記録やジオフェンシングなども推奨。
IOCの列挙
IOC情報なし
推奨事項
SSL VPNの使用を中止し、IPsec IKEv2に移行する。
中央ログ記録を実装する。
その他
攻撃者は特定されていないが、国家支援の可能性あり。
ChatGPTの推奨事項
すぐにSSL VPNの使用を中止し、IPsec IKEv2に切り替える。
追記
SSL VPNのプロトコルの脆弱性が多いわけではないので、これで対策になるのかどうかは結構疑問を感じます。
MediSecure社、大規模なランサムウェアデータ侵害に直面
要約
MediSecure社が大規模なランサムウェア攻撃を受けた。
攻撃はサードパーティベンダーから発生。
個人情報と健康情報が影響を受けた可能性がある。
調査が進行中で、影響の範囲はまだ不明。
豪州政府と協力して被害を最小限にする努力をしている。
IOCの列挙
IOC情報なし
推奨事項
サードパーティベンダーのセキュリティ対策を強化する。
ランサムウェア攻撃に対する防御策を見直す。
その他
攻撃者は現状は不明。リークサイトなどでの攻撃主張をしているグループも今は観測されていない。
ChatGPTの推奨事項
サードパーティのセキュリティ評価を徹底する。
ロシアのハッカー、新しいLunarマルウェアを使用してヨーロッパ政府機関を侵害
要約
ロシアのハッカーがLunarマルウェアでヨーロッパ政府機関を攻撃。
攻撃は2020年から続き、外交機関を標的。
ESETは中程度の信頼度でTurlaグループに関連するとしている。
攻撃手法はフィッシングメールと悪意あるマクロコードを含むWordファイルから開始。マクロを実行するとOutlookアドインを使用して永続化を図る。
攻撃者はステガノグラフィー技術で隠されたコマンドを使用。
IOCの列挙
推奨事項
フィッシングメール対策を強化する。
Outlookアドインの監視と制御を徹底する。
その他
攻撃者はロシア政府の支援を受けたと考えられている。
ChatGPTの推奨事項
フィッシングメールの訓練と検出システムを強化する。
Kimsukyハッカー、韓国への攻撃に新しいLinuxバックドアを使用
要約
北朝鮮のKimsukyグループがGomirマルウェアを使用。
攻撃は2024年初めに始まり、韓国政府機関を標的。
GomirはGoBearのLinux版で、持続性とC2通信を持つ。
マルウェアはroot権限で動作し、/var/log/syslogdにコピーされる。
マルウェアは17の操作をサポートしており、HTTP POSTリクエストで実行。
操作の例: C&Cサーバーとの通信を一時停止、任意のシェルコマンドを実行、リモート接続用のリバース プロキシを開始、システムからファイルを取得、など
IOCの列挙
推奨事項
フィッシングメール対策を強化する。
システムのログと監視を強化する。
その他
攻撃は既に発生しており、ESETにより発見。
攻撃者は北朝鮮政府の支援を受けたと考えられている。
ChatGPTの推奨事項
フィッシングメールの訓練と検出システムを強化する。
Google、週内に3つ目のChromeゼロデイを修正(CVE-2024-4947)
要約
GoogleがCVE-2024-4947ゼロデイ脆弱性を修正。
この脆弱性はChromeのV8 JavaScriptエンジンのタイプ混乱に起因し、任意のコード実行を可能にする。
Googleは積極的に悪用されているとタグ付けした。
週内で3つ目のゼロデイ修正。
他の2つは、CVE-2024-4671(Visuals コンポーネントの use-after-free)、CVE-2024-4761(V8 JavaScript の範囲外書き込み)
Chromeの最新バージョンが提供されている。
IOCの列挙
IOC情報なし
推奨事項
最新のChromeバージョンに更新する。
セキュリティパッチを定期的に確認する。
その他
攻撃は既に発生し、Googleが修正。攻撃者の詳細情報などはなし。
KasperskyのVasily Berdnikov、Boris Larinの2名が報告
ChatGPTの推奨事項
すぐにChromeを最新バージョンに更新する。
北朝鮮のハッカー、標的型マルウェアキャンペーンでFacebook Messengerを悪用
https://thehackernews.com/2024/05/north-korean-hackers-exploit-facebook.html
要約
Kimsukyグループが偽のFacebookアカウントを使用し、標的にマルウェアを配布。
攻撃はMessengerを通じて行われ、被害者にOneDrive上にホストされている悪意のある文書ファイルを開かせる。
ドキュメント: 日本、韓国、米国の 3 か国首脳会談に関連するエッセイやコンテンツを装った Microsoft Common Consoleドキュメント
ファイル名は、「My_Essay(prof).msc」または「NZZ_Interview_Kohei Yamaha.msc」。後者は日本からアップロードされたもの。
MSCファイルを開き、Microsoft管理コンソール(MMC)で開くことを同意すると、攻撃が開始。
偽装のために「Essay on Resolution of Korean Forced Labor Claims.docx」という文書ファイルも開かれる。
MSCファイルが使用され、攻撃者のC2サーバーと通信する。情報はC2サーバーに流出。
攻撃は、日本と韓国の特定の人々を狙っている。
攻撃者は北朝鮮の人権分野で働く公務員を偽装してFacebookアカウントを使用
IOCの列挙
brandwizer[.]co[.]in, FQDN名, 知られていない, C2サーバー, NA
推奨事項
フィッシング対策を強化する。
ソーシャルメディアの監視を強化する。
その他
攻撃者グループのKimsukyは、北朝鮮政府の支援を受けたグループと考えられている。
ChatGPTの推奨事項
ソーシャルメディアのフィッシング対策を強化する。
米国のAI専門家を狙ったSugarGh0st RATキャンペーン
要約
中国関連とされる脅威アクターがSugarGh0st RATでAI専門家を標的
Proofpointの調査で、2024年5月に発見されたキャンペーン
少数のAI専門家をターゲットに、AI関連のフィッシングメールを使用
SugarGh0stはGh0st RATの改良版
攻撃の目的はAI技術に関する機密情報の窃取
IOCの列挙
IOC情報なし
推奨事項
AI関連のフィッシングメールに注意すること
不審な添付ファイルを開かない
定期的なセキュリティアップデートの実施
その他
攻撃者は中国関連の可能性が高い。Proofpointは攻撃者を「UNK_SweetSpecter」と名づけた。
ChatGPTの推奨事項
セキュリティ対策を強化し、不審なメールや添付ファイルに注意する
日本のインシデント事例
その他のメモ
N/A