Daily Security Info - 2024/08/22
Tools
N/A
malware campaign
N/A
security report
サイバー犯罪者はディープフェイクを利用して金融機関の本人確認(KYC)手続きをバイパス
eKYCでは書類を持った状態での自撮りなども必要であるが、AI生成コンテンツを悪用。
ディープフェイクを作成するツールは様々な種類があり合計13,000以上存在。eKYCのバイパスを目的としたツールも47個発見された。
アンダーグラウンドでは、eKYCを回避するためのマーケットである「デジタルクローンストア」が存在。5ドルから20ドル程度の金額で顔写真や動画を提供。
デジタル社会の信頼性が低下する恐れがあり、規制強化や新たな検証方法の導入が必要。
北朝鮮のサイバー攻撃者が利用する新たなマルウェア「MoonPeak」が発見された。このマルウェアは、XenoRATベースのRAT。検出を回避する能力が強化。
このマルウェアは、北朝鮮のネクサスクラスター「UAT-5394」によって活発に開発されている。
UAT-5394のインフラを分析した結果、脅威アクターはクラウドサービスから攻撃者が所有するインフラに移行したことが分かった。
複数のC2サーバーが発見され、攻撃者はC2サーバに対してRDPでアクセスして設定等を行っていた。
MoonPeakは継続的に開発されており、新たなインフラをサポートするペースも早いことから、UAT-5394 がこのキャンペーンを急速に拡散させるためにより多くのドロップポイントとC2サーバーをセットアップすることを目指しているとわかる。
IOC
95[.]164[.]86[.]148,IPアドレス,知られていない,C2サーバー,グローバル
167[.]88[.]173[.]173,IPアドレス,知られていない,C2サーバー,グローバル
104[.]194[.]152[.]251,IPアドレス,知られていない,C2サーバー,グローバル
pumaria[.]store,FQDN名,知られていない,悪意のあるドメイン,NA(IP以外)
cybercrime topics
N/A
日々のニュース要約
ハッカーがPWAアプリを通じてiOSおよびAndroidユーザーの銀行情報を盗む
要約
サイバー犯罪者がプログレッシブ Web アプリケーション(PWA)を悪用し、iOSとAndroidユーザーの銀行認証情報を窃取しています。
PWAを悪用することで、被害者デバイスのインストール制限等を回避して、プッシュ通知、デバイスハードウェアへのアクセス、バックグラウンドデータ同期などができる
主な利点は、GoogleやAppleの公式アプリストア以外からアプリをインストールすることの制限や、被害者に潜在的なリスクを警告する可能性のある「不明なソースからのインストール」警告プロンプトをバイパスできること
PWAは正規のアプリに似せたフィッシングアプリとして使用され、被害者を騙しています。
この攻撃手法は2023年にポーランドとチェコで観測されました。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
PWAアプリのセキュリティ設定を確認・強化してください。
Microsoft、10月にWindows RecallをInsiderに展開予定
要約
Microsoftは「Windows Recall」機能を10月にWindows Insiderプログラムのユーザー向けに展開予定。
この新機能は、アクティブなウィンドウのスクリーンショットを撮り、デバイス上で分析して、後で検索できるようにDBで保存
この機能は当初6月にリリースされる予定だったが、プライバシーとセキュリティに関する懸念により延期。
10 月に Copilot+ PC を搭載した Windows Insider 向けに Recall のロールアウトを開始する予定
Recall のプレビュー版でセキュリティを優先することを約束
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
Insiderプログラムに参加している場合は、新機能をテストしフィードバックを提供してください。
QNAP、最新のQTSバージョンにNASランサムウェア保護を追加
要約
QNAPが最新のQTSバージョンにNASランサムウェア保護機能備えたセキュリティセンターを追加しました。
この機能は、疑わしいファイル操作を監視して、ランサムウェアの脅威を検出してブロックします。
異常なアクティビティが検出された場合、ファイルが変更されないようにボリュームを自動的に読み取り専用モードにするといったアクションが設定できる。
NASデバイスは、ランサムウェア攻撃者から標的にされることが多いため、これらの対策を講じている。
IOCの列挙
IOC情報なし
推奨事項
新機能を有効にしてNASデバイスを保護してください。
その他
なし
ChatGPTの推奨事項
QTSの最新バージョンにアップデートし、保護機能を有効にしてください。
LiteSpeed Cacheのバグにより数百万のWordPressサイトが乗っ取り攻撃にさらされる
要約
LiteSpeed CacheというWordPressプラグインの脆弱性(CVE-2024-28000)が、WordPressサイトの乗っ取り攻撃のリスクを引き起こしている。
この脆弱性は、ユーザーシミュレーション機能のハッシュチェックの脆弱性であり、悪用することで、認証されていない訪問者が管理者レベルのアクセス権を取得できる。
セキュリティハッシュの既知の100万通りの値をすべて繰り返すブルートフォース攻撃が有効であり、唯一の前提条件は、管理者レベルのユーザーIDを知っていること。多くの場合は、このIDは1である。
問題の修正が含まれた更新版(バージョン6.4)はリリース済み。
セキュリティリサーチャは、この脆弱性の悪用はすぐ行われる可能性が高いとして、早急なパッチの適用を推奨。
IOCの列挙
IOC情報なし
推奨事項
LiteSpeed Cacheプラグインを最新バージョンにアップデートしてください。
その他
なし
ChatGPTの推奨事項
プラグインを即座に更新してサイトを保護してください。
Phrackハッカー雑誌、3年ぶりに新号を発行
要約
Phrackハッカー雑誌が2021年以来、3年ぶりに新号を発行しました。
新号はDEF CONで配布され、Phrackのウェブサイトでも公開されました。
脆弱性、エクスプロイト、ハッキングなどの技術記事やハッキング文化・倫理に関する議論など幅広い情報が掲載。
新号は、以下についての情報が掲載
透明性の欠如と未テストのシステムの性急な採用が「情報の暗黒時代」を生み出しているという現在のテクノロジーの状態を批判
実践的な知識へのアクセスを維持する上でのハッカーの役割を強調し、高度なサイバーセキュリティのトピックを掘り下げる技術記事
雑誌は新しいチームにより運営され、今後も発行が続く予定。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
なし
GitHub Enterprise Serverに重大な認証バイパスの脆弱性
要約
GitHub Enterprise Serverに認証をバイパスできる重大な脆弱性が発見されました。
CVE-2024-6800として報告され、CVSSv4.0で9.5です。
この脆弱性を悪用することで、攻撃者が管理者権限を得る可能性があります。
脆弱性はXML署名ラッピングの問題で、SAML認証を使用する環境で発生します。
GitHubは、GHESバージョン 3.13.3、3.12.8、3.11.14、3.10.16 でこの問題に対処。更新が推奨されています。
IOCの列挙
IOC情報なし
推奨事項
脆弱性に対応する最新パッチを適用してください。
その他
なし
ChatGPTの推奨事項
最新のセキュリティパッチを即時適用してください。
CannonDesignがAvos Lockerランサムウェアによるデータ侵害を確認
要約
CannonDesignが2023年1月にAvos Lockerランサムウェアによる攻撃を受け、データが流出。
流出した情報には、個人情報や企業データが含まれていた。
攻撃者は、合計5.7TBのデータを盗んだと主張し、その一部がオンラインで公開された。
同社は影響を受けた13,000人を超える顧客に通知し、Experianのクレジット監視サービスを24ヶ月提供。
侵入は2023年1月19日から25日の間に発生。インシデントは1月25日に発見され調査を開始し、5月3日に完了した。
IOCの列挙
IOC情報なし
推奨事項
クレジット監視サービスの利用
パスワードの変更と強化
サイバー攻撃防止のための対策の見直し
その他
攻撃者はAvos Lockerランサムウェアグループ。
ChatGPTの推奨事項
クレジット監視サービスにすぐ登録し、異常がないか定期的に確認。
Microchip Technologyがサイバー攻撃による業務影響を報告
要約
Microchip Technologyは、2024年8月17日にサイバー攻撃を受け、複数の製造施設で業務が影響を受けた。
攻撃により一部のサーバーとビジネスオペレーションが停止された。
現在、外部のサイバーセキュリティ専門家と共に被害範囲を調査中。
ランサムウェア攻撃の可能性が示唆されているが、責任を主張するグループは出てきていない。
IOCの列挙
IOC情報なし
推奨事項
サイバーセキュリティ体制の強化と監視の強化
重要データのバックアップを定期的に実施
攻撃検知時の即時対応手順を再確認
その他
なし
ChatGPTの推奨事項
システムの監視を強化し、異常を早期に発見する体制を整備。
Styx Stealerの作成者がOPSECミスにより顧客リストと利益詳細が流出
https://thehackernews.com/2024/08/styx-stealer-creators-opsec-fail-leaks.html
要約
Styx Stealerの作成者が自身のデバイスから顧客リストや利益情報を漏洩。
流出した情報には顧客のニックネームやメールアドレスが含まれる。Check Pointは攻撃者の54名の顧客を特定。
Styx StealerはTelegramを利用してデータを流出させる機能を持つマルウェア。
攻撃者はトルコを拠点とし、サイバー犯罪フォーラムでSTY1Xという別名で活動。STY1Xは、Agent Teslaマルウェアを配布する2024年3月のキャンペーンにも関与。
この流出は、STY1XがFucosrealという別の脅威アクターから提供されたTelegramボットトークンを使用して自分のマシンでマルウェアをデバッグしたために発生。
IOCの列挙
styxcrypter[.]com,FQDN名,知られていない,マルウェアのライセンス販売に使用,NA
推奨事項
Styx Stealerの通信を監視し、異常がないか確認。
その他
攻撃者はトルコに拠点を持ち、別のサイバー犯罪にも関与。
ChatGPTの推奨事項
テレグラムのボットトークンを含むマルウェア通信を特定し遮断。
新しいmacOSマルウェア「TodoSwift」、北朝鮮のハッキンググループに関連
https://thehackernews.com/2024/08/new-macos-malware-todoswift-linked-to.html
要約
新たなmacOSマルウェア「TodoSwift」が北朝鮮のBlueNoroffグループと関連。
ドロッパーはSwiftUIで記述されたTodoTasksというファイルで配布、このドロッパーはGoogleドライブにホストされているPDFを開いた上でバックグラウンドでひそかにペイロードをダウンロードして実行。
ドロッパーによりダウンロードされるペイロードについては詳細を調査中。
C2通信に「buy2x[.]com」を利用し、仮想通貨関連企業をターゲットに。
この手法は、KandyKornやRustBucketなどにも使われており、北朝鮮のアクターであるBlueNoroffに関連するとみられる。
IOCの列挙
buy2x[.]com,FQDN名,知られていない,C2サーバーとして使用,NA
推奨事項
未知のPDFファイルを開かない
macOSシステムの監視とセキュリティ強化
定期的なセキュリティパッチの適用
その他
攻撃者は北朝鮮のLazarusグループの一部であるBlueNoroff。仮想通貨関連企業を標的にしている。
ChatGPTの推奨事項
マルウェア感染の兆候がないかmacOSのセキュリティログを即時確認。
英国暴動:自由な言論の制限と誤情報の危険性
https://cybernews.com/editorial/uk-riots-free-speech-dangers-misinformation/
要約
英国での暴動は、誤情報が広がった結果、反移民感情が燃え上がり発生。
Telegramを通じて極右勢力が攻撃を計画、数十人の警察官が負傷し、483人が逮捕された。
暴動の原因は、ある事件についてイスラム教徒の移民が犯人であるとした虚偽情報によるもので、真犯人は英国生まれの青年だった。
政府はSNSの誤情報対策を強化するよう呼びかけ、オンラインで暴力を扇動することを禁ずる法律を遵守する必要があると警告。
自由な言論と違法行為の境界線の見直しが求められている。
IOCの列挙
IOC情報なし
推奨事項
SNS上の誤情報に対する監視と削除の強化が必要。
適切な情報の検証と事実確認の教育が重要。
暴力の扇動や虚偽情報の拡散に対して、法的措置を強化するべき。
その他
なし
ChatGPTの推奨事項
SNSでの誤情報拡散を防ぐために、事実確認の強化を行うべき。
日本のインシデント事例
その他のメモ
N/A