Daily Security Info - 2024/05/23
Tools
N/A
malware campaign
N/A
security report
犯罪者が生成AIを使用する動きは緩やか。
サイバー攻撃用に訓練されたGPTを作成するよりも、ChatGPTなどの正規の大規模言語モデルをジェイルブレイクして利用する方法が主流。
犯罪目的のディープフェイクサービスが増加。
犯罪者はソーシャルエンジニアリングに生成AIを活用。
AI技術の進展は詐欺手法の高度化を促進。
cybercrime topics
N/A
日々のニュース要約
Microsoftが2024年後半からVBScriptを廃止開始
要約
Microsoftは2024年後半からVBScriptを段階的に廃止予定。
第一段階: Windows 11 24H2でオプション機能として提供。
第二段階: 2027年頃にオンデマンド機能のみで提供。
第三段階: 将来のWindowsバージョンから完全に削除される。
廃止の背景には、より強力で多用途なJavaScriptやPowerShellの登場がある。
IOCの列挙
IOC情報なし
推奨事項
最新のスクリプト言語に移行する。
VBScript依存のシステムを更新する。
オンデマンド機能の設定を確認する。
その他
なし
ChatGPTの推奨事項
既存のVBScriptを使用したコードを新しいスクリプト言語に置き換える。
国家ハッカーが検出を回避するために大規模なORBプロキシネットワークを利用
要約
中国系の国家ハッカーがORBプロキシネットワークを利用。
ORBネットワークはVPSと侵害されたデバイスから構成。
Mandiantは複数のORBを追跡。そのうち2つが中国に関連したスパイ活動などを行うAPTに使われている。
ORB3/SPACEHOP: APT5やAPT15がこのネットワークを利用している。
ORB2/FLORAHOX: APT31/Zirconiumなど、複数の脅威アクターによって使用されている。
ORBネットワークはトラフィックの検出と追跡を困難にする。
攻撃インフラは定期的に変更される。
IOCの列挙
IOC情報なし
推奨事項
ネットワークトラフィックを詳細に監視する。
セキュリティ対策を強化する。
攻撃の兆候に迅速に対応する。
その他
攻撃が既に観測されている。
攻撃者は中国系の国家ハッカー。
ChatGPTの推奨事項
ネットワークトラフィックの異常を監視するためのツールを導入する。
インターコンチネンタル取引所、VPN侵害に関するSEC罰金として1,000万ドルを支払う
要約
インターコンチネンタル取引所(ICE)は2021年4月のVPN侵害を報告せず、SECから1,000万ドルの罰金を課された。
国家支援と思われる高度な攻撃者が侵害し、VPN設定データとユーザーメタデータを漏洩。
侵害後、SECへの報告を怠り、内部評価に4日を費やした。
規制違反を認め、停止命令に同意。
IOCの列挙
IOC情報なし
推奨事項
セキュリティ侵害を迅速に報告する。
VPN設定を定期的に監査する。
強固なセキュリティ対策を講じる。
その他
なし
ChatGPTの推奨事項
VPN設定を定期的に監査し、異常を即座に報告する。
LastPassがPassword Vaults内のURLを暗号化してセキュリティを強化
要約
LastPassがユーザーボールト内のURLを暗号化開始。
これによりデータ漏洩や不正アクセスからの保護が強化される。
2008年には技術的制約でURLは暗号化されていなかった。
2024年6月から段階的にURL暗号化を実施予定。
暗号化によりゼロ知識アーキテクチャが強化される。
IOCの列挙
IOC情報なし
推奨事項
最新のLastPassバージョンに更新する。
URL暗号化の設定を確認する。
セキュリティ通知を定期的に確認する。
その他
なし
ChatGPTの推奨事項
LastPassアプリを最新バージョンに更新する。
Microsoftの新しいWindows 11 Recall機能はプライバシーの悪夢
要約
MicrosoftがAI搭載のWindows 11 Recall機能を発表。
スクリーンショットを定期的に取得し、過去の情報を検索可能に。
データはBitLockerで暗号化されるが、プライバシーリスクが懸念。
データはローカルに保存され、Microsoftには共有されない。
セキュリティ専門家はこの機能に懸念を表明。
IOCの列挙
IOC情報なし
推奨事項
Windows 11 Recall機能を無効にする。
プライバシー設定を確認する。
セキュリティソフトを最新に保つ。
その他
情報窃取型マルウェアに感染した場合にこのデータが窃取され被害が拡大する可能性など、様々なリスクが懸念されている
ChatGPTの推奨事項
Windows 11リコール機能を無効に設定する。
国家ハッカーが6年間軍事および政府ネットワークに潜伏
要約
"Unfading Sea Haze"という中国系ハッカーが2018年から軍事・政府ネットワークに潜伏。
スピアフィッシング攻撃を通じて、MSBuildを悪用しファイルレスマルウェアを展開。
キーロガーや情報スティーラーを使用して機密情報を収集。
ハッカーはバックドアを作成し、定期的に攻撃インフラを変更。
多層的なセキュリティ戦略が必要。
IOCの列挙
推奨事項
ネットワークトラフィックを詳細に監視する。
セキュリティ対策を強化する。
攻撃の兆候に迅速に対応する。
その他
SilentGh0st、InsidiousGh0st、TranslucentGh0st、EtherealGh0st、FluffyGh0st などのマルウェアの展開が観測
ChatGPTの推奨事項
ネットワークトラフィックの異常を監視するためのツールを導入する。
GhostEngineマイニング攻撃が脆弱なドライバを使用してEDRセキュリティを無効化
要約
GhostEngineマルウェアがEDRソフトを無効化し、XMRigマイナーを展開。
サーバの侵害経緯は不明だが、攻撃は"Tiworker.exe"という正規EXEと同じ名称のEXE実行から始まる。
C2サーバから「get.png」というPowershellスクリプトを取得して実行、これにより持続性を確保し、smartsscreen.exeという名前の追加マルウェアを実行。
脆弱なドライバ(aswArPots.sys)を悪用してEDRプロセスを終了。もう1つの脆弱なドライバ(IObitUnlockers.sys)を悪用してEDR関連の実行ファイルを削除。
Elastic SecurityがYARAルールを提供。
IOCの列挙
IOC情報なし
推奨事項
脆弱なドライバのファイル作成をブロックする。
PowerShell実行の監視を強化する。
不審なネットワークトラフィックに注意する。
その他
攻撃が既に観測されている。
攻撃者の詳細は不明。
ChatGPTの推奨事項
脆弱なドライバの使用を即座に無効にする。
VeeamがBackup Enterprise Managerの認証バイパス脆弱性を警告
要約
VeeamはVBEMに認証バイパスの重大な脆弱性を発見。
CVE-2024-29849は攻撃者が任意のアカウントにログイン可能。CVSSは9.8。
VBEMバージョン12.1.2.172で修正パッチを提供。
NTLMリレー攻撃(CVE-2024-29850)とNTLMハッシュ窃取(CVE-2024-29851)の脆弱性も修正。
緊急のアップデートが推奨される。
IOCの列挙
IOC情報なし
推奨事項
Veeamのソフトウェアを最新バージョンに更新する。
必要に応じてVBEMサービスを停止またはアンインストールする。
セキュリティ対策を強化する。
その他
なし
ChatGPTの推奨事項
Veeamのソフトウェアを直ちに最新バージョンに更新する。
LockBitがロンドンドラッグのランサムウェア攻撃でデータを盗んだと主張
要約
LockBitランサムウェアがロンドンドラッグへの攻撃を主張。
同社は顧客データの影響は確認されていないと発表。
従業員データを含むファイルへはアクセスされた可能性があると発表。
全従業員に24ヶ月のクレジット監視および個人情報盗難防止サービスを提供。
LockBitは2500万ドルの身代金を要求。しかし交渉が失敗し、LockBitは盗まれたデータを公開すると脅迫。
IOCの列挙
IOC情報なし
推奨事項
セキュリティ侵害を迅速に報告する。
セキュリティ対策を強化する。
社内のサイバーセキュリティ教育を実施する。
その他
攻撃者はLockBitランサムウェアグループ。
ChatGPTの推奨事項
セキュリティ対策を直ちに強化する。
MS Exchange Serverの脆弱性がターゲット攻撃でキーロガーを展開するために悪用される
https://thehackernews.com/2024/05/ms-exchange-server-flaws-exploited-to.html
要約
不明な攻撃者がMS Exchange Serverの既知の脆弱性を悪用。
ProxyShell脆弱性を利用してキーロガーマルウェアを展開。
攻撃は主にアフリカと中東の政府機関や企業を標的。
被害者の認証情報が収集され、インターネット経由でアクセス可能に。
Positive Technologiesが攻撃を報告。
IOCの列挙
IOC情報なし
推奨事項
Exchange Serverを最新バージョンに更新する。
侵害の兆候を確認し、必要に応じて対策を講じる。
セキュリティパッチを迅速に適用する。
その他
なし
ChatGPTの推奨事項
Exchange Serverを直ちに最新バージョンに更新する。
ハクティビストがインドの選挙を標的にしていると警告
https://securityaffairs.com/163529/cyber-crime/hacktivists-target-elections-india.html
要約
インドの選挙がハクティビストによる影響キャンペーンの標的に。
偽情報を拡散し、選挙結果に干渉。
攻撃手法にはソーシャルメディアの操作が含まれる。
目的は有権者の意見を揺さぶり、民主主義のプロセスに対する信頼を損なわせること。
データ漏洩、ウェブサイトの改ざんなども観測された。これらはインド人とイスラム教徒の間に社会的対立を引き起こすことを目的としたハクティビストの「偽旗」のもとで活動している。
IOCの列挙
IOC情報なし
推奨事項
ソーシャルメディアのセキュリティ対策を強化する。
不審なアカウントを報告する。
偽情報の拡散を防止するための教育を行う。
その他
攻撃者は複数のハクティビストグループ。
Anon Black Flag Indonesia, Anonymous Bangladesh, and Morocco Black Cyber Army など16の独立したハクティビストグループが活動
ChatGPTの推奨事項
ソーシャルメディアでの不審な活動を監視する。
Mastercardが生成AIを用いて詐欺検出速度を2倍に向上
https://www.infosecurity-magazine.com/news/mastercard-fraud-detection/
要約
Mastercardは生成AI技術を活用して詐欺検出を強化。
生成AIにより、潜在的に不正なカードの検出速度が2倍に。
トランザクションデータを迅速にスキャンし、複雑な詐欺パターンを予測。
偽陽性を最大200%削減し、リスクのある販売業者の特定速度を300%向上。
マルウェア、カードスキミング、データ侵害を通じてカード情報が盗まれるリスクに対応。
IOCの列挙
IOC情報なし
推奨事項
金融機関は生成AI技術の導入を検討。
トランザクションデータの監視強化。
顧客への情報保護対策の啓発。
その他
なし
ChatGPTの推奨事項
金融機関は詐欺検出システムの生成AI技術を導入してください。
日本のインシデント事例
N/A
その他のメモ
N/A