Daily Security Info - 2024/06/27
Tools
N/A
malware campaign
N/A
security report
攻撃者が公開リポジトリのCobalt Strikeプロファイルを悪用し、カスタムC2通信を確立。
Malleable C2プロファイルにより検出を回避する方法を使用。プロファイルはGitHubで公開されているものだった。
複数のC2ドメインとIPアドレスが特定された。
cybercrime topics
N/A
日々のニュース要約
LockBitが虚偽の主張:盗まれたデータは米連邦準備制度理事会ではなく銀行から
要約
LockBitが米連邦準備制度理事会(FRB)からデータを盗んだと主張したが、実際にはEvolve Bank & Trustからのデータだった。
33TBのデータを盗んだとし、5万ドルを提示し交渉中と述べたが、FRBは否定。交渉期間が終了してデータを公開し始めたところ、このデータは個別の銀行からのデータであることが判明。
Evolve Bank & Trustはサイバー攻撃を受けたことを確認し、対応中。このリークされたデータが自社から盗み出されたものであることを認めている。
被害者には個人情報盗難防止サービスを備えた無料のクレジット監視サービスを提供予定。
LockBitは制裁等を受けて苦境に立たされており、存在感を示そうとしてこのような結果に至っているとの指摘。
IOCの列挙
なし
推奨事項
推奨事項なし
その他
攻撃者はLockBitランサムウェアグループ。
ChatGPTの推奨事項
影響を受けたアカウントのセキュリティを強化してください。
CISA:ほとんどの重要なオープンソースプロジェクトはメモリセーフなコードを使用していない
要約
CISAは172の重要なオープンソースプロジェクトの半数以上がメモリ非安全なコードを使用していると報告。
メモリセーフ言語は、バッファオーバーフローやuse-after-freeなどのメモリ関連の問題を防ぐように設計されたプログラミング言語。安全なメモリ割り当ておよび割り当て解除メカニズムの実装を自動的に管理することで実現している。
Linux、Tor、Chromiumなどの大規模プロジェクトが含まれ、依存関係も問題。
CISAはRustやJavaなどのメモリセーフな言語への移行を推奨。
継続的なテストと依存関係の管理が重要。
IOCの列挙
なし
推奨事項
メモリセーフな言語で新しいコードを書く。
既存プロジェクトの重要な部分をメモリ安全な言語に移行する。
依存関係を管理し、継続的なテストを行う。
その他
なし
ChatGPTの推奨事項
依存関係を管理し、継続的なテストを行う。
Fortra FileCatalyst Workflowの重大なSQLi脆弱性に対するエクスプロイトが公開
要約
Fortra FileCatalyst WorkflowにおけるSQLインジェクション脆弱性CVE-2024-5276(CVSSv3.1:9.8)が公開された。
この脆弱性により、認証されていない攻撃者は不正な管理者ユーザーを作成し、データベースを操作可能。
影響を受けるのはバージョン5.1.6 Build 135以前のもの。
修正パッチが提供され、アップデートが推奨される。
エクスプロイトコード(PoC)が公開されており、攻撃はすぐに活発に行われる可能性が高い。
IOCの列挙
なし
推奨事項
FileCatalyst Workflowを最新バージョンに更新する。
匿名アクセスを無効にする。
その他
なし
ChatGPTの推奨事項
最新のパッチを適用して、システムを保護してください。
ハッカーが新たなMOVEit Transferの重大な認証バイパスバグを標的に
要約
MOVEit Transferの認証バイパス脆弱性CVE-2024-5806が発見され、すでに悪用されている。
攻撃者は認証をバイパスし、データへのアクセス、ファイルの操作が可能。
2700のインターネットに公開されたインスタンスが存在。これらのうちどの程度のインスタンスがパッチの適用や緩和策を実施しているかどうかは不明。
修正パッチは6月11日公開されており、即座に適用が推奨される。
エクスプロイトコード(PoC)が公開されており、今後攻撃がさらに活発に行われる可能性が高い。
IOCの列挙
なし
推奨事項
MOVEit Transferを最新バージョンに更新する。
RDPアクセスをブロックし、信頼できるエンドポイントに接続を制限する。
その他
なし
ChatGPTの推奨事項
MOVEit Transferを直ちに更新してください。
Snowblindマルウェア、Androidセキュリティ機能を悪用してセキュリティを回避
要約
SnowblindマルウェアがAndroidのseccomp(secure computing)セキュリティ機能を悪用し、セキュリティ保護を回避。
Snowblindに感染するとデバイス内にあるターゲットアプリを再パッケージ化して悪性の挙動を行わせる。認証情報などのユーザーの入力情報を窃取したりリモートアクセスを取得することがある。
アプリの再パッケージ化をするとAPK改ざん検出が動作するはずだが、この点でseccompを悪用。seccompはsyscallを制限でき、これを使ってAPKの改ざん検出などをバイパス。
Snowblindは二要素認証や生体認証など、アプリ内のさまざまなセキュリティ機能を無効にするのに使用できる。
Google Play Protectは既知のバージョンを検出しブロック可能。
IOCの列挙
なし
推奨事項
信頼できないソースからアプリをダウンロードしない。
その他
なし
ChatGPTの推奨事項
アプリのダウンロード元に注意し、セキュリティソフトを使用してください。
中国と北朝鮮のハッカー、ランサムウェアで世界のインフラを標的
https://thehackernews.com/2024/06/chinese-and-n-korean-hackers-target.html
要約
中国および北朝鮮に関連するハッカーが2021年から2023年にかけて政府と重要インフラを標的に。
ChamelGang(CamoFei)などがブラジルやインドの機関を攻撃し、CatBランサムウェアを使用。
サイバースパイ活動の一環としてもランサムウェアを利用し、この場合はランサムウェアによって痕跡を隠蔽するために使用。
観察した活動では、APT41やAndarielなども同様のツールを使用しており、中国と北朝鮮のAPTクラスターと疑われるアーティファクトを伴う過去の侵入と重複がある。
ChamelGangの活動目的は情報収集、データ盗難、金銭的利益、サービス拒否(DoS)攻撃、情報操作など様々。
IOCの列挙
なし
推奨事項
なし
その他
攻撃が発生している。
攻撃者は中国および北朝鮮に関連。
ChatGPTの推奨事項
セキュリティ対策を強化し、システムの監視を徹底してください。