Daily Security Info - 2024/06/14
Tools
N/A
malware campaign
WantToCryランサムウェアによる公開されたSMBサーバへの攻撃キャンペーン
正直、どれだけありうるのか?という気はしますが。IoTとかはまだSMB空いてたりするのでしょうか?
名前が明らかにWannaCryを意識している気がしますね。併せて連絡はTelegramのようです。
security report
N/A
cybercrime topics
Shiny Huntersも戻ってきたようですが、GPG署名に使われたRSA鍵が違うという指摘もされています。
フォーラムを継続するモチベーションが低下したとして、Hollowを次の所有者として挙げているようです。
日々のニュース要約
ニューヨーク・タイムズ、GitHubリポジトリのデータ漏洩についてフリーランサーに警告
要約
ニューヨーク・タイムズのGitHubリポジトリが2024年1月にハッキングされ、個人情報が漏洩した。
漏洩した情報には名前、電話番号、メールアドレス、住所、国籍、ウェブサイトURL、ソーシャルメディアのユーザー名などが含まれる。
273GBのデータが盗まれ、4chanに公開された。
被害者に対して不審なメールやメッセージに注意するよう警告が出されている。
強力なパスワードと二要素認証の使用が推奨されている。
IOCの列挙
IOC情報なし
推奨事項
不審なメールやメッセージに注意
強力なパスワードを使用
二要素認証を有効にする
その他
なし
ChatGPTの推奨事項
パスワードと二要素認証を強化する
トロント教育委員会、ランサムウェア攻撃を受ける
要約
トロント教育委員会(TDSB)がランサムウェア攻撃を受け、ソフトウェアテスト環境に侵入された。
現在、個人情報が漏洩したかどうか調査中である。
攻撃はテスト環境内で封じ込められ、本システムの運用には影響がなかった。
警察と情報プライバシー委員会に通知済みであり、現在サイバーセキュリティ専門家と協力して対応中。
個人情報が侵害されていた場合は、影響を受けた個人に通知することを約束した
IOCの列挙
IOC情報なし
推奨事項
不明
その他
なし
ChatGPTの推奨事項
推奨事項なし
Panera、3月のランサムウェア攻撃後の従業員データ漏洩について警告
要約
2024年3月にランサムウェア攻撃を受け、従業員の個人情報が盗まれた。
漏洩情報には名前と社会保障番号が含まれる。
Paneraは被害者に、CyExのIdentity Defense Totalによる、1年間のクレジット監視、個人情報検出、個人情報窃取の解決を提供。
ランサムウェア攻撃により、大規模な障害が発生し社内の IT システム、電話、POSシステム、Webサイト、モバイルアプリに影響を与えた。
ランサムウェアリークサイトなどでの攻撃主張もなく、攻撃したランサムウェアについては現状は不明。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者の情報なし
ChatGPTの推奨事項
推奨事項なし
Veeam Recovery Orchestratorの認証バイパス脆弱性のエクスプロイトが公開され、今すぐパッチ適用を推奨
要約
Veeam Recovery Orchestratorの認証バイパス脆弱性(CVE-2024-29855)のエクスプロイトが公開。
この脆弱性により、攻撃者は管理者権限でログイン可能。
Veeamはパッチバージョン7.1.0.230および7.0.0.379の適用を推奨。
脆弱性はハードコードされたJWTシークレットによるもの。これを使い、攻撃者は管理者を含むすべてのユーザーに対して有効なJWTトークンを生成できる。
攻撃条件を簡単に回避できるため、緊急の対策が必要。
IOCの列挙
IOC情報なし
推奨事項
Veeam Recovery Orchestratorの最新パッチを適用
システムのセキュリティ設定を見直す
その他
なし
ChatGPTの推奨事項
最新のセキュリティパッチを今すぐ適用
フィッシングメール、Windows Searchプロトコルを悪用して悪意のあるスクリプトを配信
要約
フィッシングキャンペーンがWindows Searchプロトコルを悪用し、リモートサーバーからマルウェアを配信。
フィッシングメールにはZIPアーカイブが添付されており、HTMLファイルによる偽の請求書が含まれる。
HTML添付ファイルがメタリフレッシュタグを使用し、悪意のあるURLを自動で開く。
攻撃者はCloudflareを利用してリモートサーバーを偽装。またエクスプローラの場所表示をDownloadsに変えて、リモートアクセスしていないように見せかける。
Trustwaveはレジストリからsearch-ms URIプロトコルを削除するよう推奨。
IOCの列挙
IOC情報なし
推奨事項
レジストリからsearch-ms URIプロトコルを削除
その他
攻撃者の情報なし
ChatGPTの推奨事項
不審なメールの添付ファイルを開かない
新しい攻撃手法「Sleepy Pickle」、PythonのPickleモジュールを悪用
https://thehackernews.com/2024/06/new-attack-technique-sleepy-pickle.html
要約
「Sleepy Pickle」と呼ばれる新しい攻撃手法が公開され、PythonのPickleモジュールを悪用している。
攻撃者は、機械学習モデルにマルウェアをインジェクションし、システムへの侵入を図る。
Pickleファイルを使用して、リモートコード実行(RCE)が可能。
この手法は、特にデータサイエンスや機械学習の分野で利用されている。
対策としては、Pickleファイルの取り扱いに注意し、信頼できるソースのみを使用することが推奨されている。
IOCの列挙
IOC情報なし
推奨事項
Pickleファイルの使用に注意し、信頼できるソースのみから取得
マルウェア検知ソフトウェアを最新の状態に保つ
その他
攻撃者の情報なし
ChatGPTの推奨事項
信頼できるソースのみからPickleファイルを取得
サイバー犯罪者、PhantomLoaderを利用してSSLoadマルウェアを配信
https://thehackernews.com/2024/06/cybercriminals-employ-phantomloader-to.html
要約
PhantomLoaderと呼ばれる新しいローダーを使用してSSLoadマルウェアを配信。
SSLoadは、フィッシングメールを通じて配信され、システムに侵入後、追加のマルウェアをダウンロード。
SSLoadはRustで記述され、システム情報を収集しC2サーバーに送信。
PhantomLoaderは正当なDLLにバイナリパッチを当てて自己修正技術を使用し検出を回避。
攻撃チェーンには、Telegramチャンネルを利用したリモートサーバーからのペイロード取得が含まれる。
IOCの列挙
IOC情報なし
推奨事項
マルウェア検知ソフトウェアを最新の状態に保つ
不審なメールや添付ファイルを開かない
その他
攻撃は既に行われている
攻撃者の情報なし
ChatGPTの推奨事項
不審なメールや添付ファイルを開かない
北朝鮮のMoonstone Sleetが悪意あるコードの配布を拡大
要約
北朝鮮のMoonstone Sleetが悪意あるnpmコードを配布。
公開レジストリでコードを拡散し、攻撃対象を拡大。
航空宇宙、教育、ソフトウェア分野を標的に。
前に観測された攻撃ではWindowsのみだったが、新たに発見されたものではLinuxシステムを攻撃するための機能が追加。
オープンソースのエコシステムに大きな脅威。
IOCの列挙
IOC情報なし
推奨事項
npmパッケージの使用前にセキュリティチェックを行う
開発者間での情報共有と協力を強化する
公開レジストリの信頼性を確認する
その他
攻撃者は北朝鮮の国家支援グループで、目的はスパイ活動と財政的利益
ChatGPTの推奨事項
npmパッケージをインストールする前にセキュリティスキャンを実施すること
AIチャットボットを使って詐欺師を騙し、マネーロンダリングの情報を収集
https://www.darkreading.com/cyber-risk/ai-chatbot-fools-scammers-and-scores-money-laundering-intel
要約
NetcraftがAIチャットボットを使い、詐欺師から情報収集。
600以上の金融機関の口座情報を取得。
AIチャットボットが被害者を装って詐欺師と会話し、犯罪インフラの情報も収集。
多言語対応で、より多くの地域の詐欺情報を収集。
AIを使い、詐欺対策をスケールアップできる可能性。
IOCの列挙
IOC情報なし
推奨事項
詐欺メールやメッセージに注意すること
セキュリティ教育を強化すること
AI技術を使った詐欺対策を導入すること
その他
なし
ChatGPTの推奨事項
詐欺メールに注意し、不審なメッセージには返信しないこと
日本のインシデント事例
その他のメモ
N/A