Daily Security Info - 2024/07/02
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Prudential Financial、データ漏洩で250万人が影響
要約
Prudential Financialは、2月のデータ侵害で250万人の個人情報が影響を受けたと発表。
攻撃者は管理者とユーザーアカウントデータ、従業員と請負業者のデータにアクセス。
流出したデータには氏名、運転免許番号、運転免許以外の身分証明書番号などが含まれる。
3月に36,000人の情報漏洩と報告していたが、先週情報を更新。更新された情報では影響範囲が255万人に拡大。
ALPHV/Blackcatランサムウェアギャングが攻撃を主張。
IOCの列挙
なし
推奨事項
セキュリティ対策を強化。
不審な活動を監視。
ID保護サービスを利用。
その他
攻撃者はALPHV/Blackcatランサムウェアギャングで、金銭的動機。
ChatGPTの推奨事項
ID保護サービスを直ちに利用する。
CDK Global、全ディーラーが木曜日までにオンラインに復旧予定
要約
CDK Globalはランサムウェア攻撃により影響を受けたシステムを木曜日までに全ディーラーで復旧予定。
攻撃は2024年6月18日に発生し、取引管理システム(DMS)が停止。
BlackSuitランサムウェアギャングが攻撃の背後にいるとされる。
一部のディーラーは紙とペンでの作業に切り替えた。
会社は現在、データの復元と他のアプリケーションの復旧に取り組んでいる。
IOCの列挙
なし
推奨事項
システムのセキュリティを強化。
ネットワークログを監視し、異常な活動を検出。
定期的なバックアップを実施。
その他
攻撃者はBlackSuitランサムウェアギャングで、金銭的動機。
BlackSuitはRoyalランサムウェアのリブランディングと考えられている。
ChatGPTの推奨事項
システムのセキュリティを直ちに強化する。
オーストラリア人男性、飛行機内でのEvil Twin WiFi攻撃で起訴
要約
オーストラリア人男性がEvil Twin WiFi攻撃(偽のWiFiアクセスポイントを作成し、接続してきた人のデータを窃取する攻撃)で起訴される。
攻撃は国内の複数の飛行機や空港で実行され、メールやSNSの認証情報が盗まれた。
2024年4月に航空会社の従業員の報告から捜査が開始。
検出されたデータはサイバー犯罪で利用された可能性。
男性は最大10年の懲役を含む複数の犯罪で起訴された。
IOCの列挙
なし
推奨事項
公共WiFi使用時にログイン情報を共有しない。
ファイル共有をオフにし、VPNを使用する。
その他
攻撃者はオーストラリア人男性、動機は不明。
ChatGPTの推奨事項
公共WiFiでログイン情報を共有しない。
Cisco、NX-OSのゼロデイ脆弱性がカスタムマルウェアの展開に悪用されたと警告
要約
CiscoはNX-OSのゼロデイ脆弱性(CVE-2024-20399)に対する修正をリリース。
攻撃者は中国の国家支援ハッカー「Velvet Ant」とされ、カスタムマルウェアを展開。
影響を受けるのは複数のNexusおよびMDSスイッチ。
管理者権限を持つ攻撃者が、デバイスのOS上でルート権限での任意コマンドが実行可能。
Ciscoはnetwork-adminおよびvdc-admin管理ユーザーの資格情報を定期的に変更することを推奨。
IOCの列挙
なし
推奨事項
資格情報の定期的な変更。
セキュリティアップデートの適用。
ネットワークログの監視。
その他
攻撃者は中国の「Velvet Ant」、動機はサイバースパイ。
ChatGPTの推奨事項
資格情報を直ちに変更する。
最新のIntel CPUに新しいサイドチャネル攻撃「Indirector」の影響
要約
IntelのRaptor LakeおよびAlder Lake CPUがIndirector攻撃に脆弱。
Indirectorは間接分岐予測器(IBP)と分岐ターゲットバッファ(BTB)のバグを悪用し、投機的実行を操作してデータを抽出。
攻撃方法と緩和策はUSENIX Security Symposiumで発表予定。
投機的実行に加えて、アクセス時間の測定などのキャッシュサイドチャネル技術を使用して、アクセスされたデータを推測
IBPBの使用とBPU設計の強化を推奨。
IOCの列挙
なし
推奨事項
資格情報の定期的な変更。
セキュリティアップデートの適用。
ネットワークログの監視。
その他
なし
ChatGPTの推奨事項
資格情報を直ちに変更する。
新しい「regreSSHion」OpenSSH RCEバグがLinuxサーバーでroot権限を取得可能に
要約
OpenSSHに新たな未認証RCE脆弱性「regreSSHion」(CVE-2024-6387)が発見され、glibcベースのLinuxサーバーでroot権限取得可能。
脆弱性はsshdのシグナルハンドラ競合により発生。任意コード実行が可能であり、システムを完全に乗っ取る恐れ。
以下のような流れで攻撃が行われる
SSHクライアントがLoginGraceTime(デフォルトで120秒)以内に認証しない
sshdのSIGALRMハンドラが非同期的に呼び出され、非同期シグナルセーフではないさまざまな関数が呼び出される。
この挙動を悪用し、ルート権限で任意のコードを実行する可能性
Qualysはこの脆弱性は悪用が難しく、複数回の試行が必要とコメント。ただしAIツールを用いることで成功率を高めることができるとの指摘もされた。
OpenSSH 8.5p1から9.8p1が影響を受け、最新バージョンに更新が推奨。
IOCの列挙
なし
推奨事項
最新バージョンにアップデート。
SSHアクセスを制限。
ネットワークログを監視。
その他
なし
ChatGPTの推奨事項
資格情報を直ちに変更する。
ルーターメーカーのサポートポータルがハッキングされ、MetaMaskフィッシングに対応
要約
Merckuのサポートポータルがハッキングされ、フィッシングメールを送信。
メールはMetaMaskアカウントの更新を要求し、フィッシングリンクを含む。
メール内のリンクは短縮URLを経由して悪意のあるサイトにリダイレクトされる。
ユーザーはリンクをクリックしないよう警告。
フィッシングリンクでは、ユーザ情報の部分(基本認証をURLに追記する際の@より前の部分)に正規ドメイン名を記載し、正当なURLであるかのように偽装。
IOCの列挙
hxxps://metamask[.]io:login@zpr[.]io/x4hFSxCxEqcd, URL, 知られていない, フィッシングリンク, NA
hxxps://matjercasa[.]youcan[.]store, URL, 知られていない, フィッシングリンク, NA
推奨事項
フィッシングリンクをクリックしない。
メールの発信元を確認。
メールセキュリティ対策を強化。
その他
なし
ChatGPTの推奨事項
フィッシングリンクをクリックしない。
TeamViewer、ネットワーク分割でAPT29の攻撃を阻止
https://www.darkreading.com/cyberattacks-data-breaches/teamviewer-network-segmentation-apt29-attack
要約
APT29(別名Midnight Blizzard)がTeamViewerのネットワークにアクセス。
ネットワークセグメンテーションにより内部ITネットワークに限定され、顧客には影響なし。
TeamViewerは「多層防御」アプローチを採用。
業界団体はTeamViewerユーザーにセキュリティ強化を勧告。
リモートアクセスアプリのセキュリティは重要。
IOCの列挙
IOC情報なし
推奨事項
ネットワーク分割を強化する
多要素認証を実装する
アクセス制御リストを使用する
その他
攻撃者はロシアのAPT29グループで、サイバースパイ活動が目的
ChatGPTの推奨事項
多要素認証とアクセス制御リストを導入し、セキュリティを強化すること
音声メッセージ:サイバー犯罪者の新しいフロンティア
https://cybernews.com/editorial/voice-messages-a-new-frontier-for-cybercriminals/
要約
音声メッセージの利用が増加し、サイバー犯罪者が悪用。
AI生成音声の詐欺初事例は2019年で、CEOを装い24.3万ドルを騙し取った。
2024年Q1に音声・ビデオのディープフェイクが245%増加。
ディープフェイク技術は簡単に作成可能で、特に若者がリスクにさらされている。
サイバー攻撃の進化に伴い、音声メッセージを使ったフィッシングやマルウェア攻撃が増加。
IOCの列挙
なし
推奨事項
公共WiFiでのログイン情報共有を避ける。
セキュリティソフトを最新に保つ。
音声メッセージの信頼性を確認。
その他
音声メッセージの増加とサイバー犯罪のリスクに関する記事。
攻撃者の具体的な情報は記載なし。
ChatGPTの推奨事項
音声メッセージの信頼性を直ちに確認する。
日本のインシデント事例
その他のメモ
この記事が気に入ったらサポートをしてみませんか?