Daily Security Info - 2024/05/22
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
西シドニー大学のデータ侵害で学生データが漏洩
要約
西シドニー大学のMicrosoft 365とSharePointが侵害された。
2024年1月に発見し調査を実施。最も古い不正アクセスは2023年5月17日であることが判明した。
約7500人が影響を受けた。
学生と職員に個別の通知が送信される。
被害を受けた学生や個人にはサポートを提供。「IDCARE」による身元確認とサイバーサポートサービスも活動。
IOCの列挙
IOC情報なし
推奨事項
セキュリティ対策を強化する。
サイバーセキュリティ教育を実施する。
不審なメールを警戒する。
その他
攻撃者の詳細は現在は不明。
ChatGPTの推奨事項
侵害されたアカウントのパスワードを直ちに変更する。
Bitbucketのアーティファクトファイルがプレーンテキストの認証情報を漏洩する可能性
要約
BitbucketのアーティファクトファイルがAWS認証情報を漏洩する。
脅威アクターがAWSにシークレットを使って侵害した事象をMandiantが調査した結果、発見された。
調査の結果、開発者がBitbucketでAWSの認証情報などを保存するセキュアな環境変数について、ビルド中のアーティファクトファイルには平文で保存されている可能性がある。
ビルドの次プロセスに環境情報などを渡すために「printenv」をすることがあるが、これはセキュアな環境変数も平文で出力する。その結果、認証情報が公開リポジトリで盗まれるリスクがある。
Bitbucketはシークレット管理用に設計されたものではなく、代わりに専用の製品などを利用することが提案されている。
IOCの列挙
IOC情報なし
推奨事項
アーティファクトファイルを注意深く確認する。
専用の秘密管理製品を使用する。
パイプライン全体でコードスキャンを実施する。
その他
なし
ChatGPTの推奨事項
公開リポジトリに認証情報を含むファイルをアップロードしない。
Rockwell AutomationがICSデバイスをオフラインにするよう管理者に警告
要約
Rockwell AutomationはICSデバイスをインターネットから切断するよう勧告。
これにより、未パッチの脆弱性を狙う攻撃者のアクセスを防ぐ。
高まる地政学的リスクとサイバー活動が背景にある。
対象デバイスの例としてLogixコントローラやFactoryTalkが挙げられる。またRockwellはデバイスに影響を与える7つの脆弱性について緩和策を講じるように注意喚起を出した。
CISAもこのガイダンスに関する警告を発した。
IOCの列挙
IOC情報なし
推奨事項
ICSデバイスをインターネットから切断する。
脆弱性修正パッチを適用する。
リモート接続設定を再確認する。
その他
攻撃者の詳細は不明。
ChatGPTの推奨事項
ICSデバイスのインターネット接続を直ちに解除する。
GitHubがEnterprise ServerのSAML認証バイパスの脆弱性を警告
要約
GitHubはSAML認証バイパスの脆弱性(CVE-2024-4985)(CVSSv4:10.0)を修正。
攻撃者はSAMLレスポンスを偽装し、管理者権限を取得可能。
脆弱性は暗号化されたアサーションを使用する設定に影響。
脆弱性はGitHub Enterprise Serverの特定バージョンに存在。
3.12.4、3.11.10、3.10.12、3.9.15で修正。5/20には修正バージョンはリリース済み。アップデートに伴う既知の問題も報告。
IOCの列挙
IOC情報なし
推奨事項
脆弱な設定を使用している場合、即座にアップデートする。
管理者権限のアクセス制御を強化する。
脆弱性に関する通知を確認する。
その他
なし
ChatGPTの推奨事項
脆弱性の修正パッチを即座に適用する。
Zoomがビデオ会議にポスト量子エンドツーエンド暗号化を追加
要約
Zoomが量子耐性のエンドツーエンド暗号化(E2EE)を導入。
Kyber768暗号化を使用し、量子コンピュータに対抗。
既存のE2EEと同様に、参加者だけが暗号化キーにアクセス可能。
データを将来的に解読する攻撃を防ぐ。
他のプラットフォームも同様の暗号化を採用中。
IOCの列挙
IOC情報なし
推奨事項
最新のZoomバージョンに更新する。
E2EE機能を有効にする。
セキュリティ設定を定期的に確認する。
その他
なし
ChatGPTの推奨事項
Zoomアプリを最新バージョンに更新する。
主要なクラウドプロバイダーに影響を与える重大なFluent Bit脆弱性
要約
Fluent Bitの脆弱性がDoS攻撃やリモートコード実行に悪用される可能性。
Kubernetesディストリビューションや多くのテック企業に影響。
CVE-2024-4323として追跡され、メモリ破損による脆弱性。
修正パッチがFluent Bit 3.0.4で提供予定。
一時的な対策としてAPIアクセスを制限可能。
IOCの列挙
IOC情報なし
推奨事項
脆弱なAPIエンドポイントを無効にする。
アクセス制限を実施する。
セキュリティパッチを適用する。
その他
なし
ChatGPTの推奨事項
脆弱なFluent BitのAPIエンドポイントを直ちに無効にする。
OmniVisionが2023年のランサムウェア攻撃後にデータ侵害を公開
要約
OmniVisionは2023年9月にランサムウェア攻撃を受けた。
個人情報が攻撃者によって盗まれたことが判明。
パスポートスキャンや秘密文書が漏洩。
攻撃者はCactusランサムウェアグループとされ、同グループのリークサイトでデータが公開された。ただし、現在ではリークサイトから削除されている。
OmniVisionは被害者に24ヶ月の信用監視と個人情報盗難復元サービスを提供。
IOCの列挙
IOC情報なし
推奨事項
身元監視サービスに登録する。
不審な通信に警戒する。
クレジットレポートを定期的に確認する。
その他
攻撃者はCactusランサムウェアグループ。
ChatGPTの推奨事項
個人情報保護のための監視サービスに即座に登録する。
クラウドサービス経由のマルウェア配信がUnicodeトリックを利用してユーザーを欺く
https://thehackernews.com/2024/05/malware-delivery-via-cloud-services.html
要約
新たな攻撃キャンペーン「CLOUD#REVERSER」が観測された。
Google DriveやDropboxを利用してマルウェアを配信。
Unicodeの右から左へのオーバーライドを使い、ファイル名を偽装。
フィッシングメールが起点であり、Excelを偽装した実行ファイルを含むZIPが添付される。実行するとおとりのExcelファイルを起動し、バックグラウンドで複数のVBScriptファイルを含む、合計8つのペイロードが実行される。
スクリプトが持続性を確立し、クラウドサービスと通信する。
IOCの列挙
IOC情報なし
推奨事項
メールの添付ファイルに注意する。
セキュリティソフトを最新に保つ。
クラウドサービスの使用を監視する。
その他
このキャンペーンについて、調査がまだ進行中。そのため攻撃の標的や規模に関する情報はまだ提供できないとのことだった。
ChatGPTの推奨事項
不審なメールの添付ファイルを開かない。
SolarMarkerマルウェアが多層インフラでテイクダウン対策に進化
https://thehackernews.com/2024/05/solarmarker-malware-evolves-to-resist.html
要約
SolarMarkerは多層インフラで法執行のテイクダウンを困難に。
Webブラウザの認証情報、暗号通貨ウォレット、VPN設定、RDP構成などを窃取。
教育、政府、医療、ホスピタリティが主なターゲットであり、被害者の多くはアメリカに所在。
正当なアプリケーションを偽装した初期ドロッパーを使用。SEOポイズニングやフィッシングで誘い込む。
PowerShellローダーがバックドアをメモリ上で実行。
IOCの列挙
IOC情報なし
推奨事項
不審なサイトやメールのリンクに注意。
セキュリティパッチを適用する。
防御層を強化する。
その他
攻撃者の詳細は不明。
SolarMarkerは2020年9月に出現。それ以来継続的な進化を続けている。
ChatGPTの推奨事項
セキュリティパッチを即座に適用する。
研究者がPythonパッケージとFirefoxで使用されるPDF.jsの脆弱性を発見
https://thehackernews.com/2024/05/researchers-uncover-flaws-in-python.html
要約
Pythonパッケージllama_cpp_pythonにリモートコード実行につながる脆弱性であるCVE-2024-34359(CVSS:9.7)が発見された。
llama_cpp_python内のjinja2テンプレートエンジンの誤用に起因し、サーバーサイドテンプレートインジェクションが発生。
MozillaのPDF.jsでCVE-2024-4367というJavaScriptコードを実行可能な脆弱性が発見されたことを受けて、調査した結果発見された。
両方の脆弱性は修正済み。
llama_cpp_pythonは、llama.appのPythonバインディング。AIモデルをPythonと統合するもの。
これらの発見はAIとサプライチェーンセキュリティの脆弱性を示す。
IOCの列挙
IOC情報なし
推奨事項
該当パッケージとソフトウェアを最新バージョンに更新する。
サプライチェーンセキュリティを強化する。
セキュリティ通知を定期的に確認する。
その他
なし
ChatGPTの推奨事項
脆弱性の修正パッチを即座に適用する。
ロシアのドッペルゲンガーキャンペーンがソーシャルメディアを操作
https://www.infosecurity-magazine.com/news/russias-doppelganger-campaign/
要約
研究者は「マトリョーシカ作戦」と呼ばれる新しいドッペルゲンガーキャンペーンを観察。
この作戦は、2022年5月からジャーナリストやファクトチェッカーの信頼性を揺るがしている。
FacebookやX(旧Twitter)を利用して、偽情報記事を拡散。
キャンペーンは、フェイクアカウントやソーシャルボットを使用して情報を広める。
プラットフォームの規制の弱点を悪用し、影響を広げている。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃者はロシア関連、動機は情報操作
Sekoiaのセキュリティリサーチャが報告。
ChatGPTの推奨事項
ソーシャルメディアのセキュリティ設定を確認し、疑わしいアカウントやコンテンツを報告してください。
AIディープフェイクが準備不足の金融業界に大混乱を引き起こす
要約
ディープフェイク詐欺で米ドル2500万ドルを窃取された企業はArupの香港オフィスで発生したものであることが判明。
アジア太平洋地域でのディープフェイク詐欺が急増。APACではディープフェイク関連の詐欺は昨年1,530パーセント増加。
Sumsubの2023年の身元詐欺レポートでは、ベトナムと日本が最も多くのディープフェイク攻撃を経験していると報告。(この2国はほぼ同率トップ)
ディープフェイク技術が金融詐欺に多用されている。
銀行はKYCプロセスの改善が急務。
IOCの列挙
IOC情報なし
推奨事項
金融機関はKYCプロセスの見直しと強化が必要。
ディープフェイク検出ソフトの導入を検討。
顧客データの分散管理を推奨。
その他
Sumsubのレポート(link)
ChatGPTの推奨事項
金融機関はディープフェイク検出技術の導入を急いでください。
日本のインシデント事例
その他のメモ
N/A