Daily Security Info - 2024/05/27
Tools
N/A
malware campaign
zip > .scr --c2-- hxxp[://]imagedownload.ignorelist[.]com/index.php
security report
Malware Transmutation (新マルウェア錬成)!知られざる BloodAlchemy の証跡を解き明かす
BloodAlchemyは新しいRATで、ShadowPadの進化版。
VPN機器の保守ベンダー専用アカウントを乗っ取り感染。
悪性DLLのDLLサイドローディングを利用。
ShellcodeによりBloodAlchemy本体を復号しメモリ内で展開。
C2サーバーと通信し、複数のバックドアコマンドを実行。
cybercrime topics
N/A
日々のニュース要約
ハッカー、トロイの木馬化されたマインスイーパークローンを使って金融機関をフィッシング
要約
UAC-0188が金融機関を標的にトロイの木馬化されたマインスイーパーのPythonクローンを使用
医療文書を装ったフィッシングメールによりマルウェアを配布。メールにはdropbox上のマルウェアへのリンクが存在
dropboxからSCRファイルをダウンロードし実行すると、MinesweeperのPythonクローンコードと、リモートから取得する悪意のあるPythonコードが含まれる
マルウェアはSuperOps RMMをインストールし、リモートアクセスを取得
CERT-UAが複数の侵害を確認
IOCの列挙
support@patient-docs-mail[.]com,メールアドレス,知られていない,フィッシングメールの送信元,NA
hxxps://anotepad[.]com,URL,知られている,マルウェアのダウンロード元,NA
推奨事項
不審なメールや添付ファイルを開かない
マルウェアの監視と検出を強化
セキュリティ教育の徹底
その他
攻撃者はウクライナ関連のグループ
ChatGPTの推奨事項
不審なメールや添付ファイルを直ちにブロックしてください
ArcブラウザーのWindows版ローンチがGoogle広告のマルバタイジングに標的
要約
ArcブラウザーのWindows版ローンチに伴い、マルバタイジング攻撃が発生
Google広告で呼び込み、偽のArcインストーラーサイトへ誘導。ダウンロードをクリックすると、MEGAからマルウェア(bootstrap.exe)をダウンロードする
bootstrap.exeを実行すると、PNGファイルに埋め込まれた悪意あるコードを実行、最終的にJRWeb.exeが実行される。
最終ペイロードは、情報窃取型マルウェアと思われるが、まだ明確ではない。
Pythonを用いた別の感染チェーンも確認
IOCの列挙
IOC情報なし
推奨事項
広告ブロッカーを使用
ダウンロード前にドメインを確認
アップデートされたAVツールでファイルをスキャン
その他
なし
ChatGPTの推奨事項
広告ブロッカーを直ちに導入してください
インド人男性、偽のCoinbase Proサイトを使用して3,700万ドルの暗号通貨を盗む
要約
インド人男性が偽のCoinbase Proサイトで3,700万ドルを盗む
フィッシングにより被害者のログイン情報を取得
被害者のコンピュータにリモートアクセスソフトをインストール
窃取した暗号通貨を現金化し豪華な生活を送っていた
最大20年の刑を受ける可能性
IOCの列挙
IOC情報なし
推奨事項
不審なサイトに個人情報を入力しない
二要素認証を使用
セキュリティ教育の徹底
その他
なし
ChatGPTの推奨事項
不審なサイトに個人情報を入力しないでください
ハッカーがスパイウェアアプリのサイトを改ざんし、データベースとソースコードを漏洩
要約
ハッカーがpcTattletaleのサイトを改ざん
データベースとソースコードを漏洩
pcTattletaleはスパイウェアアプリで、APIの脆弱性が原因
漏洩したデータは100GB、139,000のメールアドレスを含む
Have I Been Pwnedで通知
IOCの列挙
IOC情報なし
推奨事項
APIセキュリティの強化
データベースへのアクセス制限
継続的な脆弱性スキャン
その他
なし
ChatGPTの推奨事項
APIセキュリティを直ちに強化してください
Cencoraのデータ侵害、11社の米国患者情報を漏洩
要約
Cencoraのデータ侵害により11社の患者情報が漏洩
影響を受けた情報には氏名、住所、健康診断、処方箋が含まれる
Cencoraは2年間の無料ID保護とクレジット監視を提供
インシデントは2024年2月に発生
8つの医療系の企業がこの侵害の影響を受けた
IOCの列挙
IOC情報なし
推奨事項
クレジット監視サービスを利用
個人情報保護の対策を強化
定期的なセキュリティチェック
その他
なし
現時点では、窃取された情報が公開されたり、詐欺などで利用された証拠はない
この攻撃を主張しているランサムウェアグループは現在はいない
ChatGPTの推奨事項
クレジット監視サービスを直ちに利用してください
新しいShrinkLockerランサムウェア、BitLockerを使用してファイルを暗号化
要約
ShrinkLockerランサムウェアがBitLockerを使用してファイルを暗号化
攻撃は政府機関やワクチン及び製造業を標的に
ShrinkLockerは、VBScriptで作成。Windowsのdiskpartユーティリティを使用し、全ての非ブートパーティションを100MB縮小し、未割り当て領域を同じサイズの新しいプライマリボリュームに分割
新しいブートパーティションをBitLockerで暗号化し、BitLocker プロテクターを削除することで回復を阻害
連絡先は身代金メモなどを使わず、電子メールアドレスを新しいブートパーティションのラベルとして提供
影響を受けたシステムは完全にロックされる
IOCの列挙
onboardingbinder[at]proton[dot]me,メール,知られていない,ランサムウェアの連絡先,NA
conspiracyid9[at]protonmail[dot]com,メール,知られていない,ランサムウェアの連絡先,NA
hxxps://mega[.]io,URL,知られている,暗号化キー送信に使用,NA
hxxps://trycloudflare[.]com,URL,知られている,暗号化キー送信に使用,NA
推奨事項
BitLockerのリカバリーキーを安全に保管
オフラインバックアップの実施
エンドポイント保護プラットフォームの導入
その他
なし
ChatGPTの推奨事項
BitLockerのリカバリーキーを直ちに安全に保管してください
Google、今年8つ目のChromeゼロデイ脆弱性を修正
要約
GoogleがChromeの8つ目のゼロデイ脆弱性を修正
脆弱性はCVE-2024-5274、V8エンジンの型の混乱によるもの。悪用を確認済みの脆弱性。
修正バージョンがリリースされ、ユーザーにアップデートを推奨
今月だけで3つ目のゼロデイ脆弱性
他のゼロデイ脆弱性も修正済み
IOCの列挙
IOC情報なし
推奨事項
Chromeを最新バージョンにアップデート
セキュリティアップデートを定期的に確認
二要素認証の使用
その他
なし
ChatGPTの推奨事項
Chromeを直ちに最新バージョンにアップデートしてください
専門家、Replicate AIのサービスに顧客のモデルとデータを露出させる欠陥を発見
https://thehackernews.com/2024/05/experts-find-flaw-in-replicate-ai.html
要約
Replicate AIに重大なセキュリティ欠陥が発見
攻撃者が顧客のAIモデルや機密情報にアクセス可能
Wiz社の研究者が脆弱性を使ったリモートコード実行を実証
不正なCogコンテナをReplicateにアップロード。これを使ってサービスのインフラストラクチャ上でリモートコード実行を実現
脆弱性は2024年1月に報告され、修正済み
IOCの列挙
IOC情報なし
推奨事項
未知のコード実行を防ぐための対策
顧客データの監視と保護
継続的なセキュリティ評価
その他
この脆弱性が実際に悪用されたという証拠はなし
ChatGPTの推奨事項
未知のコード実行を防ぐための対策を直ちに実施してください
偽のアンチウイルスサイトがAndroidおよびWindowsマルウェアを配布
https://thehackernews.com/2024/05/fake-antivirus-websites-deliver-malware.html
要約
偽のアンチウイルスサイトがAndroidおよびWindowsマルウェアを配布
Avast、Bitdefender、Malwarebytesの偽サイトが確認
SpyNote、Lumma、StealCなどのマルウェアを拡散
MalvertisingやSEOポイズニングを使用
Trellixが脅威を報告
IOCの列挙
hxxps://avast-securedownload[.]com,URL,知られていない,マルウェア配布サイト,NA
hxxps://bitdefender-app[.]com,URL,知られていない,マルウェア配布サイト,NA
hxxps://malwarebytes[.]pro,URL,知られていない,マルウェア配布サイト,NA
推奨事項
信頼できる公式サイトからのみソフトウェアをダウンロード
広告ブロッカーを使用
セキュリティソフトを最新に保つ
その他
なし
ChatGPTの推奨事項
信頼できる公式サイトからのみソフトウェアをダウンロードしてください
AI音声生成アプリを利用してGipyマルウェアが配布される
https://www.darkreading.com/threat-intelligence/ai-voice-generator-used-to-drop-gipy-malware
要約
Gipyマルウェアがドイツ、ロシア、スペイン、台湾で発見。
AI音声変更アプリを装ってユーザーをフィッシング。AI音声変換も機能するが、Gipyマルウェアにも感染しバックグラウンドで動作する。
マルウェアはデータ窃取、暗号通貨マイニング、追加マルウェアのインストールを実行。
マルウェアは、GitHubからパスワードで保護された様々なマルウェアをダウンロード。ほとんどはLumma情報窃取型マルウェアが含まれていた。
Lumma、RedLine、RiseProなどの複数のマルウェアが含まれる。
IOCの列挙
IOC情報なし
推奨事項
不明なアプリケーションのダウンロードを避ける。
セキュリティソフトウェアを最新の状態に保つ。
フィッシングメールに注意するよう教育。
その他
なし
ChatGPTの推奨事項
不明なアプリケーションのダウンロードを避けてください。
日本のインシデント事例
N/A
その他のメモ
N/A