Daily Security Info - 2024/09/12
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
偽のパスワードマネージャーコーディングテストを利用してPython開発者を攻撃
要約
北朝鮮のLazarusグループが偽のパスワードマネージャーコーディングテストを利用し、Python開発者を標的にしている。
これらの攻撃は、2023年8月に初めて検出された「VMConnectキャンペーン」の一環であり、攻撃者はPyPIリポジトリにアップロードされた悪意のあるPythonパッケージを使用してソフトウェア開発者を標的にした。
被害者はLinkedInでリクルーターを装った攻撃者から接触され、GitHub上でマルウェアが含まれたプロジェクトに誘導される。
候補者にパスワードマネージャーアプリケーションのバグを見つけ、修正を送信し、作業の証拠としてスクリーンショットを共有するように指示.
進め方はREADME.mdに書かれており、悪意のあるパスワードマネージャーアプリケーション(「PasswordManager.py」)をシステムで実行し、エラーを探して修正するように指示されていた。
実行されたコードはC2サーバーと接続し、悪意あるペイロードをダウンロードする。
プロジェクトの構築に5分、修正の実装に15分、最終結果の返信に10分と時間制限を課し、被害者がマルウェアを見逃すよう誘導している。
ReversingLabsは、北朝鮮がCapital Oneのような米国の主要銀行を装って求職者を惹きつけていることを発見した。
2024年7月時点でもこのキャンペーンは進行中。
IOCの列挙
IOC情報なし
推奨事項
時間をかけて、指定されたコードをスキャンまたは注意深く確認する
仮想マシンやサンドボックスアプリケーションなどの安全な環境でのみ実行する
相手の身元を確認し、採用ラウンドが実際に進行中であることを会社に別途に確認する
その他
攻撃者は北朝鮮のLazarusグループ。
ChatGPTの推奨事項
不審なテストやプロジェクトを実行する前に必ずセキュリティチェックを行うこと。
Adobe、Acrobat Readerのゼロデイ脆弱性を修正
要約
Adobe Acrobat Readerのゼロデイ脆弱性CVE-2024-41869が修正された。
この脆弱性は、特別に作成されたPDFを開くことでリモートコード実行が可能となる「Use After Free」バグ。
PoCエクスプロイトはすでに公開され、攻撃が可能な状態だった。
8月に一度修正パッチがリリースされたが完全には修正されなかった。9月に再度修正パッチがリリースされた。
IOCの列挙
IOC情報なし
推奨事項
Adobe Acrobat Readerを最新バージョンに更新する。
その他
なし
ChatGPTの推奨事項
Acrobat Readerを今すぐ最新バージョンに更新すること。
WordPress.org、プラグイン開発者に2FAを必須化
要約
2024年10月1日から、WordPress.orgのプラグイン開発者は2FAを必須化される。
これはサプライチェーン攻撃を防ぐための措置。
プラグイン更新時にSVN専用のパスワードも使用する必要がある。
技術的制約により、一部リポジトリには2FAを適用できないため、2FA、高エントロピーのSVNパスワード、およびその他の展開時のセキュリティ機能を組み合わせる。
IOCの列挙
IOC情報なし
推奨事項
プラグイン開発者は10月までに2FAを有効にする。
その他
なし
ChatGPTの推奨事項
プラグイン開発者は直ちに2FA設定を有効にすること。
シンガポールでPlugXマルウェアに関連する中国人ハッカーが逮捕
要約
シンガポールでPlugXマルウェアに関与する7名(6名の中国人と1名のシンガポール人)が逮捕された。
複数の電子機器と現金が押収され、サイバー犯罪シンジケートに関連する活動が確認された。
PlugXは中国のハッカーグループが使用してきたリモートアクセス型マルウェア。
当局は、逮捕された人物がどの脅威アクターと関連するか特定にはまだ至っていない。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃者は中国出身のハッカーグループに関連。
ChatGPTの推奨事項
サイバー犯罪に対する国際的な連携を強化するべき。
DragonRank: ブラックハットSEOキャンペーン、アジアとヨーロッパのIISサーバーを標的
https://thehackernews.com/2024/09/dragonrank-black-hat-seo-campaign.html
要約
DragonRankと呼ばれる中国系のグループが、IISサーバーを使いSEO詐欺を行っている。
攻撃者は標的のWebサーバ(IIS)を侵害してWebシェルを展開し、そこからPlugXやBadIISマルウェアを展開してシステム情報を収集する。
BadIIS は、侵害された IIS サーバーをDragonRankの顧客(つまり、他の攻撃者)とその被害者の間の悪意のある通信の中継点に変えることで、SEO詐欺を促進するようにしているマルウェア
C2サーバーへの接続を中継する際に、User-Agent文字列でGoogle検索エンジンクローラーになりすますことができるため、一部のWebサイトのセキュリティ対策を回避できる
攻撃対象はアジアとヨーロッパ全域に及び、SEO操作や詐欺活動を展開。
タイ、インド、韓国、ベルギー、オランダ、中国に被害が及んでいる。
この攻撃者は、「tttseo」というハンドルネームでTelegramとQQインスタントメッセージアプリケーション上で活動
IOCの列挙
IOC情報なし
推奨事項
IISサーバーの脆弱性パッチを即時適用する。
その他
攻撃者は中国系のハッカーグループ。
ChatGPTの推奨事項
IISサーバーを最新のセキュリティパッチで保護すること。