見出し画像

Daily Security Info - 2024/05/28

tmho

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

  • 8Baseランサムウェアグループで日本企業のリークサイト掲載が複数あり。(社名などは避けます)

日々のニュース要約

TP-Link、人気のC5400Xゲーミングルーターの深刻なRCE脆弱性を修正

https://www.bleepingcomputer.com/news/security/tp-link-fixes-critical-rce-bug-in-popular-c5400x-gaming-router/

  • 要約

    • TP-LinkがC5400Xゲーミングルーターの認証不要でRCEにつながる脆弱性(CVSSv4:10.0)を修正

    • ルーター上で動作するrftestバイナリがTCPポート8888、8889、8890で、コマンドインジェクションとバッファオーバーフローにつながるサービスを公開していることが判明

    • シェルのメタ文字を使用した細工したメッセージをこれらのポートに送信し、昇格された権限で任意コマンド実行ができる可能性

    • ファームウェアアップデートが公開。影響を受けるユーザーは速やかにアップデート推奨

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • ルーターのファームウェアを最新バージョンに更新

    • 定期的なセキュリティチェックの実施

    • ファームウェア更新の通知を有効にする

  • その他

    • なし

  • ChatGPTの推奨事項

    • ルーターのファームウェアを直ちに更新

ハッカーがCheck Point VPNを標的にし、企業ネットワークに侵入

https://www.bleepingcomputer.com/news/security/hackers-target-check-point-vpns-to-breach-enterprise-networks/

  • 要約

    • ハッカーがCheck Point VPNを標的とした攻撃キャンペーンを展開

    • パスワードのみの認証である古いローカルアカウントを持つデバイスが標的

    • すべてのローカルアカウントのパスワード認証をブロックするSecurity Gatewayホットフィックスもリリース

    • 企業ネットワークへの侵入を目的とした、継続的な攻撃キャンペーンの一環

    • 攻撃は複数の企業で確認

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • ネットワークの不審な活動を監視

    • セキュリティ設定を強化

    • VPNの認証に証明書認証を使用

  • その他

    • 4月には、CiscoがCisco, Check Point, SonicWall, Fortinet, UbiquitiデバイスでのVPNやSSHサービスへのパスワードスプレー攻撃が積極的に行われていることを報告

  • ChatGPTの推奨事項

    • Check Point VPNのセキュリティパッチを直ちに適用

Sav-Rx、280万人のアメリカ人に影響を与えるデータ侵害を公表

https://www.bleepingcomputer.com/news/security/sav-rx-discloses-data-breach-impacting-28-million-americans/

  • 要約

    • Sav-Rxが2023年のサイバー攻撃でデータ侵害を公表。280万人が影響

    • 攻撃者は個人情報(氏名、住所、社会保障番号 (SSN)など)にアクセス

    • 2023年10月にネットワーク障害が発生。調査と対処を開始。調査は約8ヶ月掛かり、2024年4月30日に完了

    • 被害者には通知が送られ、2年間の信用監視および個人情報盗難保護サービスが提供。通知には加入するための手順が同封された

    • 8ヶ月掛かった理由として、調査よりも患者ケアの中断を最小限に抑えることを優先事項としていたため

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • アカウントのパスワードを変更

    • 身元盗難監視サービスを利用

    • 不審な活動を報告

  • その他

    • なし

  • ChatGPTの推奨事項

    • 直ちにアカウントのパスワードを変更

フィッシングの新しい手口に関するプレイブック: Cloudflare Workers、HTML スマグリング、GenAI

https://thehackernews.com/2024/05/new-tricks-in-phishing-playbook.html

  • 要約

    • フィッシング攻撃の新たな手口が発見される

    • Cloudflare Workersを悪用。Microsoft、Gmail、Yahoo!、cPanel Webmailのユーザの認証情報を窃取

    • フィッシングサイトでは、透過的フィッシング、または中間者攻撃(AitM)フィッシングと呼ばれる手法を用いる。

    • Cloudflare Workersをリバースプロキシとして動かし、正規のログインページを表示。被害者とログインページ間のトラフィックを傍受することで認証情報などを窃取

    • 様々な業界と様々な地域を標的とした攻撃が行われている。2023年第2四半期に観測され始めたが、ユニークなドメイン数が2024年第1四半期には1,300近くに達した

    • フィッシングメッセージではHTMLスマグリングが用いられる。PDF文書を表示させるためにログインが必要と促し、被害者がそれに従えば、Cloudflare Workersを使ったサインインページを表示する

    • Greatnessなどのフィッシング サービス ( PhaaS ) ツールキットなどが近年のフィッシングで利用されている。

    • 生成AIは、効果的なフィッシング メールの作成に悪用されている。また、様々なアクターがエクスプロイトの開発やディープフェイク生成にも用いている。

    • フィッシング手法は進化し続けており、継続的な対策が求められる。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • メールやリンクを慎重に扱う

    • MFAを有効にして監視する

    • 不審な活動を即時報告

  • その他

    • なし

  • ChatGPTの推奨事項

    • メールやリンクを慎重に扱うこと

日本のインシデント事例

その他のメモ

いいなと思ったら応援しよう!