dailynews - 2024/04/25
Daily Security Info
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Samouraiクリプトミキサーの創設者が1億ドルの資金洗浄で起訴される
要約
米国司法省がSamouraiの創設者を資金洗浄で起訴。
合計1億ドル以上が不正な資金源から洗浄された。
Samouraiはビットコインミキサーを提供、匿名性を高める。
違法な暗号取引と詐欺を通じて莫大な額を処理。
世界中の犯罪者から違法な資金を受け入れたとされる。
IOCの列挙
IOC情報なし
推奨事項
仮想通貨取引の透明性と規制の強化を検討すべき。
その他
なし
ChatGPTの推奨事項
仮想通貨の安全な取引と監視の強化が必要。
Flowmonの重大なセキュリティバグが公開され、修正パッチを直ちに適用すべき
要約
Flowmonに重大なセキュリティ脆弱性が発見され、PoCが公開。
脆弱性は、リモートからのコマンド実行を可能にする。
緊急のセキュリティアップデートが提供され、即時の適用が推奨される。
影響を受けるのはFlowmonのバージョン12.xと11.x。それぞれ12.3.4、11.1.14へのアップデートで対応可能。
すでに約500の公開Flowmonサーバーが潜在的なリスクに。
IOCの列挙
IOC情報なし
推奨事項
Flowmon製品を最新バージョンにアップデートすべき。
その他
なし
ChatGPTの推奨事項
速やかに関連するセキュリティパッチを適用し、定期的な監視を行うべき。
ArcaneDoorハッカー、政府ネットワーク侵入にシスコのゼロデイを利用
要約
ArcaneDoorグループがシスコ製品の脆弱性を悪用。
政府機関のネットワークが全世界で影響を受ける。
CiscoのAdaptive Security Appliance(ASA)またはFirepower Threat Defense(FTD)で、2つのゼロデイ脆弱性が利用された。
CVE-2024-20353(サービス拒否)とCVE-2024-20359(永続的なローカルコード実行)
Line RunnerとLine Dancerという2つのマルウェアを使い、機器の制御とデータ抽出を実行。
シスコが修正パッチの配布とアップグレードを推奨。
IOCの列挙
IOC情報なし
推奨事項
速やかにシスコ製品を最新のファームウェアに更新すべき。
その他
攻撃者UAT4356(別名:STORM-1849)は、国家支援の疑いがあり高度なスキルを有する。
Ciscoは、アドバイザりでデバイスの整合性をチェックする手順も公開(アドバイザりのリンク)
ChatGPTの推奨事項
シスコ製品のアップデートとセキュリティ監視を強化すべき。
Google Meetが非Googleユーザーへのクライアント側暗号化通話を開放
要約
Google Meetが外部ユーザーへの暗号化通話を可能に。
クライアント側暗号化で会議参加者のみがデータにアクセス。
企業向けの高度なライセンスプランに機能を提供。
GoogleおよびMicrosoftアカウントで身元を確認可能。
管理者はIdP設定を更新して外部アクセスを設定。
IOCの列挙
IOC情報なし
推奨事項
セキュアなビデオ会議の利用を検討すべき。
その他
攻撃や脆弱性に関する情報は記載なし。
ChatGPTの推奨事項
クライアント側の暗号化設定を確認し、適切に管理すべき。
Ring: プライバシー違反でユーザに560万ドルの和解金
要約
FTCが、Ringのプライバシー侵害で和解し、総額560万ドルの和解金をRingユーザに払い戻し。
Amazonの従業員や業者が無許可でビデオフィードにアクセスできたり、保護が十分でなくアカウントやデバイスがハッキングされた。
適切なセキュリティ対策を行っていなかったとして告訴されていた件の和解。
和解金は117,044名のRingユーザーにPayPal経由で支払われる。
和解金の受取は30日以内に行う必要がある。
IOCの列挙
IOC情報なし
推奨事項
プライバシー保護とセキュリティ対策の強化を検討すべき。
その他
攻撃者情報なし、和解に集中。
ChatGPTの推奨事項
デバイスのセキュリティ設定を確認し、強化すべき。
CoralRaider、CDNキャッシュを利用して情報窃取マルウェアを拡散
要約
CoralRaiderがCDNキャッシュを利用しマルウェアを配布。
Cryptbot、LummaC2、Rhadamanthysの情報窃取型マルウェアへ感染させる。
米国、英国、ドイツ、日本などが標的。
PowerShellスクリプトとFoDHelper.exeを活用。
Windows Defenderの監視を回避。
IOCの列挙
IOC情報なし
推奨事項
CDNを使用したマルウェア配布への対策を強化すべき。
その他
攻撃者はベトナムに基盤を持つと考えられる。
ChatGPTの推奨事項
CDNトラフィックの監視とフィルタリングを強化すべき。
SSLoadおよびCobalt Strikeを使用したマルチステージ攻撃の詳細
https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html
要約
SSLoadとCobalt Strikeを利用した攻撃キャンペーン(FROZEN#SHADOW)を発見。
フィッシングメールでマルウェアを配布しシステムを乗っ取る。
フィッシングメッセージは2種類の配布方法がある:ウェブサイトの連絡フォームでURLを含むメッセージ送信、マクロが有効なWord文書を添付したメール。
前者はLatrodectusというIcedIDの後継の配信に利用
既に多数の組織が攻撃を受け、機密情報が危険にさらされている。
攻撃者は被害者のネットワーク内でさらなるアクセスを拡大。
IOCの列挙
hxxp[:]//wireoneinternet[.]info@80/share/,URL,知られていない,マルウェアインストール用,NA
推奨事項
フィッシング対策とエンドポイントの保護を強化すべき。
その他
攻撃者は高度な技術を持つ組織または集団と推測される。
マルウェアの流れ
難読化されたjavascriptファイル(out_czlrh.js) --- WebDAVを使用してslack.msiを取得 > msiexecでmsiを起動 --- マルウェアホストサーバへ接続 > rundll32によりSSLoadを取得して実行 --- c2接続
ChatGPTの推奨事項
セキュリティ教育とアンチフィッシング対策の強化が必要。
日本のインシデント事例
N/A
その他のメモ
NETGEARの一部ルータに認証バイパスの脆弱性 - 早急に更新を
バッファオーバーフローの脆弱性「CVE-2023-27368」(CVSSv3.1=8.4)
「Nighthawkシリーズ」として展開しているルータの一部モデル「RAX40」「同38」「同35」
ローカルネットワーク経由でこれら製品にアクセスできる場合、認証をバイパスされるおそれ