Daily Security Info - 2024/05/30
Tools
malware campaign
N/A
security report
VirusTotalは、脅威アクターの活動を追跡するために画像とアーティファクトを使用する手法を紹介
マルウェア配布の初期に用いられるドキュメントを使ったアクターの追跡
主にOfficeドキュメント内の埋め込み画像やXMLファイルに注目
特定の画像やXMLファイルのハッシュを利用して新しいサンプルや関連インフラを特定
APT28やGamaredonなどの複数の脅威グループの活動パターンを解析
2024年第1四半期ランサムウェア脅威動向:PHOBOSが浮上、LOCKBITはトップの座を維持
2024年第1四半期のランサムウェア動向では、LockBitが最も広範な攻撃を実行。8BaseとBlack Bastaが続いた。
8Baseランサムウェアグループと、PHOBOSランサムウェアが新たに注目される
8Baseランサムウェアグループは、ランサムウェアPhobosのバージョン2.9.1を使用
ランサムウェア攻撃は主に米国を中心に増加
攻撃手法は多様化し、特にデータ漏洩を伴う攻撃が目立つ
大企業が主要な標的。2023年は中小企業が多く狙われていたのとは対照的。
cybercrime topics
N/A
日々のニュース要約
チェックポイントVPNのゼロデイが4月30日以降の攻撃で悪用される
要約
チェックポイントVPNのゼロデイ脆弱性(CVE-2024-24919)が4月30日以降、攻撃に利用されている
この攻撃者は、脆弱性(CVE-2024-24919)により侵入後、横展開のためにActive Directoryのデータを盗んでいた
この脆弱性は、リモートアクセスVPNまたはモバイルアクセスが有効になっている場合、特定の情報を読み取ることができる可能性があるもの
これまでに確認された攻撃は、旧ローカルアカウントと弱い認証を悪用することに重点が置かれている
パッチがリリースされており、すぐに適用が推奨される
IOCの列挙
IOC情報なし
推奨事項
影響を受けるシステムにパッチを適用
ローカルユーザーを削除
LDAP接続のパスワードを更新
その他
攻撃者の情報なし
ChatGPTの推奨事項
直ちに最新パッチを適用し、セキュリティ設定を見直すこと
無料のピアノを使ったフィッシング攻撃、アメリカの大学生やスタッフを標的に
要約
無料のピアノ提供を偽装したフィッシングキャンペーンがアメリカの大学生やスタッフを標的
キャンペーンは2024年1月から開始され、12.5万通以上のメールを配信
受信者に配送費用を請求し、詐欺グループのウォレットには90万ドル以上が集まる
メールは、大学教授からのものだと主張。人員削減のため、デレクアダムスという人物がベビーグランドピアノを興味のある人に無料で提供するという内容
詐欺行為はナイジェリアのIPアドレスを使用
IOCの列挙
IOC情報なし
推奨事項
フィッシングメールへの警戒を強化
金銭取引は信頼できる方法で行う
不審なメールは報告
その他
攻撃者はナイジェリアからの詐欺グループで、金銭的利益が動機
配送料はオプションに応じて595ドルから915ドルの範囲
ChatGPTの推奨事項
フィッシングメールに注意し、疑わしいメールは開かずに報告すること
米国、サイバー攻撃に使用された911 S5住宅プロキシボットネットを解体し、管理者を逮捕
要約
米国司法省と国際パートナーが911 S5ボットネットを解体し、管理者のYunHe Wangをシンガポールで逮捕
ボットネットは2011年から悪用され、19万以上のIPアドレスを持つ
ボットネットの使用は数々のサイバー犯罪に関与
Wangは不正収益として約9900万ドルを集める
関係するドメインも押収
IOCの列挙
IOC情報なし
推奨事項
ボットネットの影響を受けたシステムの監視と対策
不審なVPNアプリのインストールを避ける
その他
攻撃者は中国国籍のYunHe Wang
ChatGPTの推奨事項
影響を受けたシステムの監視を強化し、セキュリティ対策を見直すこと
Okta、CORS機能を狙ったクレデンシャルスタッフィング攻撃を警告
要約
Oktaは、CICのクロスオリジンリソース共有(CORS)機能を利用したクレデンシャルスタッフィング攻撃が発生していると警告
攻撃は2024年4月15日から開始され、多数の顧客が標的に
CORS機能を無効化するよう顧客に推奨
管理者はログを確認し、不審なイベントを検出するよう助言
強力なパスワードポリシーとMFAの実施を推奨
IOCの列挙
IOC情報なし
推奨事項
CORS機能を無効化
強力なパスワードポリシーとMFAを実施
ログの監視と不審なイベントの検出
その他
攻撃者の情報なし
ChatGPTの推奨事項
CORS機能を利用している場合、直ちに無効化し、セキュリティ対策を強化すること
Check Point、攻撃に悪用されたVPNゼロデイの緊急修正をリリース
要約
Check Pointは、VPNゼロデイ脆弱性(CVE-2024-24919)に対する緊急修正をリリース
この脆弱性はリモートアクセスVPNおよびモバイルアクセスソフトウェア機能に影響。Check Point セキュリティ ゲートウェイ上の特定の情報を読み取ることができる可能性
攻撃者は脆弱性を利用して企業ネットワークへのアクセスを試みる
対象となる製品にはQuantum Security Gatewaysなどが含まれる
IOCの列挙
IOC情報なし
推奨事項
最新のセキュリティパッチを適用
ログイン試行を監視し、不審な試行をブロック
Active Directoryパスワードを更新
その他
既に攻撃が行われている
攻撃者の情報なし
ChatGPTの推奨事項
最新パッチを直ちに適用し、セキュリティ設定を確認すること
ファースト・アメリカン、12月のデータ侵害が4.4万人に影響
要約
ファースト・アメリカンが2023年12月のサイバー攻撃により4.4万人の個人情報が不正アクセスされたと発表
同社は迅速にシステムをオフラインにし、影響を受けた個人に無料でクレジットモニタリングと個人情報保護サービスを提供
この侵害は2019年のサイバー攻撃に続くものであり、同社はNY州に100万ドルの罰金を支払うことに合意
攻撃者は同社のシステムにアクセスし、個人情報を盗む
IOCの列挙
IOC情報なし
推奨事項
影響を受けたシステムの監視と対策
顧客に対する通知と支援
その他
攻撃者の情報なし
ChatGPTの推奨事項
影響を受けたシステムの監視を強化し、顧客支援を迅速に行うこと
550万回インストールされた90以上の悪意あるAndroidアプリがGoogle Playで発見される
要約
90以上の悪意あるAndroidアプリがGoogle Playで550万回以上インストール
最近は、Anatsaトロイの木馬による脅威が急増している。Anatsaは、銀行情報を盗む目的のマルウェア。
悪意あるアプリはPDFリーダーやQRコードリーダーを偽装して、Anatsaに感染させるものが、Google Playの公式サイトに存在していた
Google Playの審査をすり抜ける多段階ペイロードロード方式を使用
主流となっているマルウェアファミリは、Joker、Facestealer、Anatsa、Coperなどと様々なアドウェア。
IOCの列挙
hxxp[:]//www[.]zscaler[.]com,URL,知られている,Anatsaの技術詳細,NA
推奨事項
アプリインストール時の権限を慎重に確認
高リスク権限の拒否
不審なアプリはインストールしない
その他
攻撃者の情報なし
ChatGPTの推奨事項
インストールするアプリの権限を確認し、不審なアプリはインストールしないこと
サイバー犯罪者がStackOverflowを悪用して悪意のあるPythonパッケージを宣伝
https://thehackernews.com/2024/05/cybercriminals-abuse-stackoverflow-to.html
要約
サイバー犯罪者がStackOverflowを悪用し、悪意のあるPythonパッケージ「pytoileur」を宣伝
pytoileurは、API管理ツールと説明文に記載されているもの
このパッケージは仮想通貨の窃取を目的としたマルウェアに感染させるものであり、316回ダウンロードされた
悪意のあるコードはsetup.pyスクリプトに埋め込まれ、外部サーバーからWindowsバイナリを取得
取得したバイナリはスパイウェアや情報盗難マルウェアをドロップ
IOCの列挙
IOC情報なし
推奨事項
信頼できるソースからのみパッケージをインストール
インストールされたパッケージのセキュリティ監査
その他
攻撃者はPhilipsPYという名前で活動
ChatGPTの推奨事項
不審なパッケージをインストールしないこと
BreachForums、FBIによる押収から数週間で再登場 - ハニーポットか失敗か?
https://thehackernews.com/2024/05/breachforums-returns-just-weeks-after.html
要約
BreachForumsが米国の法執行機関による押収後、わずか2週間で復活
サイトはShinyHuntersによって再開され、560万人のTicketmaster顧客データを販売
ShinyHuntersは、ドメインレジストラ「NiceNIC」から、ドメインを取り戻したと主張
サイト利用者にはアカウント登録が求められる
サイトの再登場がハニーポットの可能性も示唆
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃者はShinyHuntersとして知られるサイバー犯罪者であり、個人またはグループ
ChatGPTの推奨事項
サイトの使用は避けること
GPT-4oからサイバーセキュリティの「魔法」を期待しないでください、専門家が警告
https://www.databreachtoday.com/dont-expect-cybersecurity-magic-from-gpt-4o-experts-warn-a-25332
要約
専門家は、GPT-4oがサイバーセキュリティに革命をもたらすことはないと警告
GPT-4oの新機能は攻撃者と防御者の双方に影響を与える可能性があるが、完璧ではない
不完全な判断と「ハルシネーション」リスクが存在
悪意のある攻撃者はモデルの多機能性を悪用する可能性
企業はAIの使用を慎重に管理すべき
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
AI使用の管理とセキュリティポリシーの強化を検討すること
WAFバイパスのためのシンプルな手法とBurpプラグインを研究者がリリース
https://codebook.machinarecord.com/threatreport/33169/
要約
AssetnoteのShubham ShahがWAFの制約を利用するバイパス手法を公開
HTTPリクエストのボディ部に大量のジャンクデータを挿入してWAFの検査を回避
これを簡略化するBurp Suiteプラグイン「nowafpls」も提供
AWS WAFなど特定の制限があるWAFに効果的
IOCの列挙
IOC情報なし
推奨事項
WAFの設定とルールを見直し
バイパス攻撃の検出と防止のための監視強化
その他
Burp Suiteのプラグインは、GitHubで公開: https://github.com/assetnote/nowafpls
ChatGPTの推奨事項
WAFの設定を確認し、必要に応じて強化すること
日本のインシデント事例
その他のメモ
内容の検証できていませんが、共有します。