Daily Security Info - 2024/07/17
Tools
N/A
malware campaign
N/A
security report
-攻撃グループ「Void Arachne」が中国語話者を狙ってC&C用フレームワーク「Winos 4.0」を展開
- Void Arachneは中国語話者を標的に「Winos 4.0」フレームワークを展開。
- フレームワークはC&Cサーバーの運用を容易にし、フィッシングや悪意のある広告を利用。
- 初期アクセスの手法として、SEOポイズニング攻撃用のインフラを設置して利用する他、中国語話者向けのTelegramチャネルを介して不正なパッケージを拡散
- Telegramチャネルでは不正なMSIファイルが宣伝されており、AIツールにWinosが同梱されている。
- 「Winos 4.0」は中国の攻撃グループが使用するバックドアであり、標的端末の遠隔操作機能を幅広く備えている。
cybercrime topics
N/A
日々のニュース要約
1500万人のTrelloユーザーのメールアドレスがハッキングフォーラムに流出
要約
Trelloユーザーの1500万件以上のメールアドレスがハッキングフォーラムに流出。
安全でないREST APIを使用してデータが収集されたデータであり、2024年1月に「emo」というアクターが収集したデータを販売。
流出したデータはフィッシング攻撃に悪用される可能性がある。
Atlassianは、TrelloのAPIの脆弱性を1月に修正した。
同様のAPI漏洩事件がTwitterやFacebookでも発生。
IOCの列挙
IOC情報なし
推奨事項
フィッシング攻撃への警戒を強化する
APIのセキュリティを見直す
メールアドレスの管理を徹底する
その他
攻撃者はemoというアクター、動機は金銭目的
ChatGPTの推奨事項
フィッシング対策を強化する
Rite Aid、6月のデータ漏洩で220万人に影響
要約
Rite Aidは220万人の個人情報が6月のデータ漏洩で流出したと発表。
流出データには購入者の名前、住所、生年月日、運転免許証番号などが含まれる。
攻撃者が従業員の認証情報を使ってネットワークに侵入してから12時間後の6月6日にインシデントを検知。
RansomHubランサムウェアグループが攻撃を主張。約10GBの顧客情報を入手し、身代金交渉失敗でデータを公開予定。
流出したデータはフィッシング攻撃などに悪用される可能性。
IOCの列挙
IOC情報なし
推奨事項
フィッシング攻撃への警戒を強化する
セキュリティ対策を見直す
顧客データの保護を徹底する
その他
攻撃者はランサムウェアグループRansomHub、動機は金銭目的
ChatGPTの推奨事項
フィッシング対策を強化する
Microsoft、Scattered SpiderハッカーをQilinランサムウェア攻撃にリンク
要約
MicrosoftはScattered SpiderグループがQilinランサムウェアを使用していることを確認。
Scattered SpiderはフィッシングやSIMスワッピングなどで初期アクセスを得る。2022年から活動し、130以上の企業を標的にした。
Microsoftは、Scattered Spiderが攻撃キャンペーンのランサムウェアペイロードにRansomHubとQilinを追加したと報告。
QilinランサムウェアはVMware ESXiを含むシステムを狙う。
最近の攻撃ではロンドンの病院が影響を受けた。
IOCの列挙
IOC情報なし
推奨事項
フィッシング対策を強化する
多要素認証を導入する
ランサムウェア対策を見直す
その他
Scattered Spiderは金銭目的のサイバー犯罪者
ChatGPTの推奨事項
フィッシング対策を強化する
Microsoft、12月の更新で発生したOutlookアラートバグを修正
要約
Microsoftは12月の更新で発生したOutlookの誤ったセキュリティアラートバグを修正。
問題はNTLMハッシュを盗む脆弱性の修正によるもので、ユーザーに「危険な場所」などの警告が表示される。
7月9日のアップデートで修正が完了。
Microsoftが推奨する回避策のためにレジストリキーを追加した人は、修正前に適用されたレジストリキーを削除する必要がある。
6月に、MicrosoftはOutlookの基本認証を9月16日までに廃止すると発表。
IOCの列挙
IOC情報なし
推奨事項
アップデートを適用し、レジストリキーを削除する
セキュリティ通知の設定を確認する
その他
なし
ChatGPTの推奨事項
最新のセキュリティパッチを適用する
悪意のあるnpmパッケージが画像ファイルを使用してバックドアコードを隠蔽
https://thehackernews.com/2024/07/malicious-npm-packages-found-using.html
要約
npmパッケージ「img-aws-s3-object-multipart-copy」と「legacyaws-s3-object-multipart-copy」がバックドアコードを隠蔽。
パッケージは画像ファイルを使用して悪意のあるコマンドを実行。
攻撃者はコマンドと制御機能を画像ファイルに隠し、定期的にコマンドを実行。
Phylumはこれを発見し、パッケージは既に削除された。
開発者に対してオープンソースライブラリの使用に警戒を呼びかけ。
IOCの列挙
img-aws-s3-object-multipart-copy, FQDN名, 知られていない, 悪意のあるnpmパッケージ, NA
legacyaws-s3-object-multipart-copy, FQDN名, 知られていない, 悪意のあるnpmパッケージ, NA
推奨事項
npmパッケージの使用前に厳密な検査を行う
セキュリティツールを使用してパッケージを監視する
オープンソースライブラリの信頼性を確認する
その他
aws-s3-object-multipart-copyの偽装ライブラリ
ChatGPTの推奨事項
使用するnpmパッケージの信頼性を確認する
Void Banshee APT、Microsoft MHTMLの脆弱性を悪用してAtlantida Stealerを拡散
https://thehackernews.com/2024/07/void-banshee-apt-exploits-microsoft.html
要約
Void Banshee APTがMicrosoft MHTMLの脆弱性(CVE-2024-38112)を悪用し、Atlantida Stealerを配布。
Spear-phishingメールとZIPアーカイブを使用して感染を拡大。
ZIPファイルにはURLファイル(ショートカットファイル)が含まれており、悪意あるHTAファイルをホストしている侵害されたサイトに被害者をリダイレクトする
HTAファイルが開かれると、VBSが実行されPowerShellスクリプトが.NETトロイの木馬をロード。
攻撃対象には北米、ヨーロッパ、東南アジアが含まれる。
IOCの列挙
IOC情報なし
推奨事項
フィッシング対策を強化する
最新のセキュリティパッチを適用する
HTAファイルの開封に注意する
その他
攻撃者はVoid Banshee、動機は情報の窃取と金銭的利益
ChatGPTの推奨事項
最新のセキュリティパッチを適用する
日本のインシデント事例
その他のメモ
対象は自社及びグループ会社の従業員。69名分の社用メールアドレスのみ : https://www.shi.co.jp/info/2024/6kgpsq000000nii7.html
この記事が気に入ったらサポートをしてみませんか?