Daily Security Info - 2024/09/24
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Telegramが法的要求により、犯罪容疑のあるユーザーのIPアドレスと電話番号を法執行機関に共有
要約
Telegramは法的要求に基づき、ユーザーが犯罪行為の容疑者である場合はIPアドレスと電話番号を法執行機関に共有する方針を発表。
ユーザーがプラットフォームの利用規約に違反する犯罪行為の容疑者であることが確認された場合は、裁判所命令に従い、データを共有。
データ共有をした際には、四半期毎の透明性レポートでその事実を公表していく予定。
違法コンテンツの除去にも積極的に取り組むと表明。
TelegramのCEOであるPavel Durovが同サービスが犯罪行為に悪用されていることに関連して逮捕されている。Durovは後日保釈されたが、フランス当局がまだ彼を捜査しているため、出国しないよう指示している。
IOCの列挙
IOC情報なし
推奨事項
個人情報保護のため、Telegramの設定を確認し、プライバシーを強化する。
その他
なし
ChatGPTの推奨事項
Telegramのプライバシー設定を確認し、必要に応じて変更する。
新しいMalloxランサムウェアLinuxバリアントがKryptinaのリークされたコードに基づいている
要約
MalloxランサムウェアがKryptinaのリークされたコードを使用してLinuxシステムを攻撃。
KryptinaはLinuxシステムを標的とした低コストのRaaSだったが、普及せずに終了し、ソースコードが無料で公開された。
Malloxランサムウェアは以前はWindowsのみを標的としていたが、Linuxが標的に加わった。
攻撃者はKryptinaのソースコードを使ってMallox Linux 1.0を作成。KryptinaとMalloxはほとんどそのままであり、暗号化にはAES-256-CBCを使用。
SentinelLabsは複数の攻撃ツールを確認。
Mallox Linux 1.0 が単独のアフィリエイト、複数のアフィリエイト、またはすべての Mallox オペレーターによって使用されているかどうかは不明。
IOCの列挙
IOC情報なし
推奨事項
セキュリティアップデートの適用
感染リスクを減らすためにアクセス制限を強化
バックアップを定期的に確認
その他
なし
ChatGPTの推奨事項
直ちにセキュリティパッチを適用し、重要データのバックアップを確認
Kasperskyが自動的にアンインストールされ、UltraAVアンチウイルスが警告なしでインストールされる
要約
Kasperskyが米国ユーザーのPCから自動削除され、UltraAVが代わりにインストールされた。
この変更は、米国の規制によりKasperskyが撤退を余儀なくされたため。
Kasperskyは顧客に、撤退後もUltraAVから「信頼性の高いサイバーセキュリティ保護」を引き続き受けられることを保証する連絡をしていたが、Kasperskyの製品が予告なしにコンピューターから突然削除され、UltraAVに置き換えられることは通知されていなかった。
UltraAVが明確な通知なしでインストールされ、ユーザーに混乱を引き起こした。
一部ユーザーはアンインストールしても再起動後に再インストールされる事象が起き、マルウェア感染を疑う声なども出ていた。
UltraAVはPango Groupが所有するアンチウイルスソフト。
IOCの列挙
IOC情報なし
推奨事項
KasperskyのユーザーはUltraAVのセキュリティ設定を確認
アンインストールが難しい場合、公式サポートに問い合わせ
代替アンチウイルスソフトへの移行を検討
その他
なし
ChatGPTの推奨事項
UltraAVを使用する場合、セキュリティ設定を確認
Androidマルウェア「Necro」がGoogle Play経由で1100万台のデバイスに感染
要約
AndroidのNecroマルウェアがGoogle Play経由で1100万台のデバイスに感染。
Wuta CameraやMax Browserといった正規アプリが感染源。
攻撃は悪意あるSDKによるもので、バックグラウンドで不正広告を表示。
非公式アプリも感染源となり、追加の不正アプリがインストールされる。
感染デバイスは代理トラフィックのルートとして使用される。
IOCの列挙
IOC情報なし
推奨事項
感染が疑われるアプリのアンインストール
定期的なセキュリティスキャン
信頼できるアプリストアのみを使用
その他
なし
ChatGPTの推奨事項
感染アプリを直ちに削除し、デバイスをスキャン
新しいPondRATマルウェアがPythonパッケージに隠れてソフトウェア開発者を標的に
https://thehackernews.com/2024/09/new-pondrat-malware-hidden-in-python.html
要約
PondRATマルウェアが含まれたPythonパッケージがPyPIにアップロードされ、開発者を標的としていた。
PondRATは、POOLRATの軽量バージョンで、ファイルのアップロード、ダウンロード、任意のコマンド実行が可能。
悪性のパッケージは以下であり、既に削除された。
real-ids、coloredtxt、beautifultext、minisound
北朝鮮のAPTグループ「Lazarus Group」が関与しており、サプライチェーン攻撃を狙っている。
「Operation Dream Job」と呼ばれる継続的なサイバー攻撃キャンペーンの一部。
IOCの列挙
IOC情報なし
推奨事項
PyPIからの不明なパッケージを確認・削除
セキュリティソフトの定期的なスキャン
開発環境のサプライチェーンの監視強化
その他
攻撃者は北朝鮮のAPTグループ「Lazarus Group」
ChatGPTの推奨事項
不審なPythonパッケージを即削除し、システムをスキャン
中国のハッカーがGeoServerの脆弱性を悪用し、APAC諸国をEAGLEDOORマルウェアで攻撃
https://thehackernews.com/2024/09/chinese-hackers-exploit-geoserver-flaw.html
要約
中国のAPTグループがGeoServerの脆弱性を悪用して、アジア太平洋地域の複数の国における政府機関やエネルギー部門を標的にした、高度なキャンペーンを実施。
脆弱性(CVE-2024-36401)を利用してCobalt StrikeとEAGLEDOORを展開。
EAGLEDOORは、DNS、HTTP、TCP、Telegramを介してC2サーバーと通信するための4つの方法をサポート。Telegram以外の3つは被害者のステータスを送信するために使用。
コア機能はTelegram Bot APIを介して実現され、ファイルのアップロードとダウンロード、および追加のペイロードの実行。収集したデータはcurl.exeを介して窃取。
Spear-phishingとマルウェアによる多段階攻撃が確認された。
攻撃は台湾、フィリピン、韓国などを標的にしている。
IOCの列挙
IOC情報なし
推奨事項
GeoServerの脆弱性パッチを早急に適用
メールフィルタリングを強化
マルウェア対策ソフトを最新状態に保つ
その他
攻撃者は中国のAPTグループ「Earth Baxia」とされる
ChatGPTの推奨事項
GeoServerの脆弱性修正パッチを即時適用
日本のインシデント事例
その他のメモ
N/A