Daily Security Info - 2024/06/15
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Keytronic、ランサムウェア攻撃後にデータ漏洩を確認
要約
Keytronicが5月にランサムウェア攻撃を受け、Black Bastaグループが530GBのデータを流出。
漏洩データには個人情報や企業機密が含まれる。
攻撃による業務停止は2週間に及び、外部の専門家を雇用。費用はすでに600,000ドルに及び今後はさらに増加する可能性。
規制当局及び被害者への適切な通知を進めている。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者はBlack Basta
ChatGPTの推奨事項
推奨事項なし
Mozilla Firefox、デバイス認証でパスワードアクセスを強化
要約
Firefoxがデバイス認証(パスワード、指紋、顔認証など)でパスワードアクセスを強化。
この機能は物理的またはリモートアクセスからの不正使用において、デバイスでの認証を強制して防ぐもの。情報窃取型マルウェアから保護するものではない。
保存されたパスワードをアクセスする際にデバイスの認証が要求される。Chrome等では以前から提供されていた機能。
Firefoxのパスワードマネージャをさらに強化するために、Primary Password設定も推奨。
Primary Passwordは、保存された資格情報を暗号化しパスワードで保護するもの。情報窃取型マルウェアへの対策にもなる。
IOCの列挙
IOC情報なし
推奨事項
FirefoxのPrimary Passwordを設定
その他
なし
ChatGPTの推奨事項
FirefoxのPrimary Passwordを設定
ロンドンの病院、ランサムウェア攻撃後に800件以上の手術をキャンセル
要約
Synnovisがランサムウェア攻撃を受け、ロンドンの病院で800件以上の手術と700件の外来予約がキャンセル及び再調整。
攻撃は6月3日に発生し、現在も復旧対応中。完全に復旧するまでにはおそらく数か月かかる。
血液検査と輸血サービスが影響を受け、O型血液の不足が深刻。
緊急サービスは通常通り運営中。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者はQilinランサムウェアグループ
ChatGPTの推奨事項
推奨事項なし
CISA、ランサムウェア攻撃で悪用されるWindowsバグについて警告
要約
CVE-2024-26169として追跡されるWindowsの高危険度脆弱性がランサムウェア攻撃に悪用されている。
Black Bastaランサムウェアグループがこの脆弱性をゼロデイとして利用。
CISAは7月4日までにパッチ適用を強く推奨。
この脆弱性はWindows Error Reportingサービスの不適切な権限管理に起因する権限昇格の脆弱性。
IOCの列挙
IOC情報なし
推奨事項
7月4日までにCVE-2024-26169のパッチを適用
その他
なし
ChatGPTの推奨事項
CVE-2024-26169のパッチを今すぐ適用
元IT従業員、180台の仮想サーバーを消去して2.5年の懲役
要約
National Computer Systemsの元従業員が180台の仮想サーバーを削除し、2年8ヶ月の懲役。
NCSから解雇されたことへの腹いせに同社の事業を妨害しようと実施。
被害額は678,000ドルと推定され、サーバーは復旧不能。
解雇後もアクセス権が残り、スクリプトを使用してシステムに侵入。
個人情報は漏洩していない。
IOCの列挙
IOC情報なし
推奨事項
解雇時に全アクセス権を即座に無効化
その他
なし
ChatGPTの推奨事項
解雇時に全アクセス権を即座に無効化
Scattered Spiderハッカー、クラウドアプリに焦点をシフトしてデータ窃盗を行う
要約
Scattered SpiderはクラウドアプリやSaaSを標的にしてデータを盗み、仮想マシンを新たに作成して持続性を確保。
Scattered Spiderは、通常はSMSフィッシング、SIMスワッピング、アカウントハイジャックを使用するソーシャルエンジニアリング攻撃を行ってきた。
Mandiantが分析した結果、TTPがクラウドとSaaSに拡大しており、データを窃取して脅迫を行っていると指摘。
最初のアクセスは、ヘルプデスクのエージェントをターゲットにして、ソーシャルエンジニアリング攻撃を行う。正当な個人を装うため、事前に個人情報、役職、およびマネージャー名などを準備。
ソーシャルエンジニアリングでMFAのリセットをさせて被害者の環境にアクセス。侵害したアカウントに紐づいていたOktaを利用して企業のクラウドやSaaSアプリにさらにアクセスを広げた事例があった。
Windows Defenderなどのセキュリティを無効化し、IMPACKETなどの横展開ツールやNGROKなどのトンネリングツールをデプロイ。
IOCの列挙
IOC情報なし
推奨事項
SaaSアプリケーションのログを集中管理
VPNアクセスにホストベースの証明書と多要素認証を使用
その他
Scattered Spiderは、サイバー犯罪系のアクターであり、金銭目的。
ChatGPTの推奨事項
SaaSアプリケーションのログを集中管理
保険大手Globe Life、ウェブポータルの侵害を調査中
要約
Globe Lifeがウェブポータルの脆弱性を突かれ、消費者と保険契約者のデータが流出。
6月13日に問題を発見し、すぐに外部アクセスを遮断。
現在、外部の専門家と共に影響範囲と被害の全容を調査中。
現時点では、この侵害はこのポータルのみで他のシステムへの影響は確認されておらず、他システムは引き続き稼働。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者の情報なし
ChatGPTの推奨事項
推奨事項なし
Microsoft、プライバシーとセキュリティの懸念からWindows Recallのリリースを延期
要約
Microsoftは、Windows Recall機能のリリースを延期し、Windows Insider Programでのプレビューに変更。
プライバシーとセキュリティの懸念から、追加のテストと改善を実施。
この機能は、数秒ごとにスクリーンショットを撮影し、Azure AIで分析する。
プライバシー保護のために、BitlockerとWindows Helloによる暗号化と認証が導入される。
サイバーセキュリティリサーチャのBeaumont氏は、情報窃取型マルウェアを改変し、Windows Recall データベースやスクリーンショットを盗み、オフライン分析やデータ窃盗に利用する方法を説明し、この機能を廃止または見直しすることを求めている。(link)
IOCの列挙
IOC情報なし
推奨事項
不明
その他
なし
ChatGPTの推奨事項
推奨事項なし
Truist Bank、ハッキングフォーラムでデータ漏洩が確認された後、データ侵害を確認
要約
Truist Bankが2023年10月のサイバー攻撃でシステム侵害され、データが盗まれたことを確認。
ハッキングフォーラムで65,000人の従業員の情報が100万ドルで販売されている。
盗まれたデータには銀行取引、アカウント番号、残高、IVR転送のソースコードが含まれる。
Truistは外部セキュリティ専門家と協力し、さらなる調査を進めている。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者はハッキングフォーラムでSp1d3rと名乗る
ChatGPTの推奨事項
推奨事項なし
Ascension、従業員が悪意のあるファイルをダウンロードした後にハッキングされる
要約
Ascensionがランサムウェア攻撃を受け、MyChart電子健康記録システムなどが影響を受けた。
攻撃は従業員が悪意のあるファイルをダウンロードしたことから発生。
従業員は、正規のファイルと思ってダウンロードしていたため、故意ではなく間違えた可能性が高い。
現在も一部のサービスに影響が残っており、各種システムをオンラインにする作業を続けている。
攻撃者はBlack Bastaグループとされる。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者はランサムウェアグループのBlack Basta
ChatGPTの推奨事項
推奨事項なし
北朝鮮のハッカー、洗練されたフィッシング戦術でブラジルのフィンテックを標的に
https://thehackernews.com/2024/06/north-korean-hackers-target-brazilian.html
要約
北朝鮮のハッカーが、ブラジルのフィンテック企業を標的に洗練されたフィッシング攻撃を実行。
UNC4899(Jade Sleet)がPythonアプリをトロイの木馬化し、SNSで標的に接触し、GitHubプロジェクトを通じてマルウェアを配布。
有名な暗号通貨企業を装う求人でフィッシング。無害なPDFが添付されている。ターゲットが求人に反応したら追加のPDFを送る。
PDFで、スキルに関するアンケートと、GitHubからプロジェクトをダウンロードして、コーディング課題を完了するように要求。このプロジェクトにマルウェアが仕込まれている。
他の北朝鮮グループも同様の手法を使用し、フィッシングメールで悪意のあるソフトウェアを配信。
IOCの列挙
IOC情報なし
推奨事項
不明
その他
攻撃者は北朝鮮のハッカーグループ
この攻撃は、「Operation Dream Job」として追跡されている長期にわたる活動と一致
ChatGPTの推奨事項
推奨事項なし
ハッカーが絵文字を使ってマルウェアを指示
https://cybernews.com/news/hackers-using-emojis-to-command-malware/
要約
ハッカーが絵文字を使ってマルウェアを操作。
DiscordをC2サーバーとして利用。
インド政府をターゲットにしたDisgomojiマルウェア。
マルウェアはLinuxシステムを対象にし、絵文字でコマンドを受け取る。
マルウェアは永続性があり、システム再起動後も動作を継続。
IOCの列挙
IOC情報なし
推奨事項
Discordのセキュリティ監視を強化する
Linuxシステムのセキュリティ対策を徹底する
フィッシング対策を強化する
その他
攻撃者はパキスタン拠点のグループで、スパイ活動が目的
ChatGPTの推奨事項
フィッシング攻撃に対するセキュリティ教育を強化すること
日本のインシデント事例
N/A
その他のメモ
N/A