見出し画像

Daily Security Info - 2024/06/25


Tools

N/A

malware campaign

security report

N/A

cybercrime topics

N/A

日々のニュース要約

化学施設にCISA CSAT侵害によるデータ盗難の可能性を警告

https://www.bleepingcomputer.com/news/security/chemical-facilities-warned-of-possible-data-theft-in-cisa-csat-breach/

  • 要約

    • CISAのCSAT環境が1月に侵害され、化学施設のデータが流出した可能性。

    • Ivantiデバイスにwebshellが配置され、敏感なセキュリティ情報が露出。

    • CSATは化学物質の報告と高リスク施設のセキュリティ評価を管理。

    • すべてのデータはAES 256で暗号化されており、CSATデータが盗まれたという証拠はないと述べていますが、念のため影響を受けた可能性がある参加者に通知。

    • 資格情報が窃取されたことを示す証拠はないが、CISAはすべてのCSATユーザーにパスワードのリセットを推奨。

  • IOCの列挙

    • なし

  • 推奨事項

    • すべてのCSATアカウントのパスワードをリセットする。

  • その他

    • CVE-2023-46805、CVE-2024-21887、CVE-2024-21893の脆弱性が侵害活動に悪用された可能性がある

  • ChatGPTの推奨事項

    • すべての関係者はパスワードを即座にリセットしてください。

新しいGrimResource攻撃がMSCファイルとWindows XSSの脆弱性を利用してネットワークを侵害

https://www.bleepingcomputer.com/news/security/new-grimresource-attack-uses-msc-files-and-windows-xss-flaw-to-breach-networks/

  • 要約

    • GrimResourceはMSCファイルと未修正のWindows XSSの脆弱性を悪用する。

    • この手法はMicrosoft Management Consoleファイル(MSCファイル)を通じてコードを実行する。

    • MSCファイルはapds.dllのDOMベースのXSS脆弱性を悪用し、細工されたURLを通じて任意のJavaScriptを実行。このJavaScriptが「DotNetToJScript」手法を用いれば、任意の .NETコードも実行できる

    • 任意の.NETコードからVBScriptを介してCobalt Strikeを配布し、ネットワークへの初期アクセスを狙う。

    • Elasticチームが2024年6月にこの技術を発見。悪用されたXSSの脆弱性は依然未修正。

  • IOCの列挙

    • sccm-updater[.]msc,ファイル名,知られていない,GrimResource攻撃で使用されたファイル,NA(IP以外)

  • 推奨事項

    • MSCファイルの使用を監視する。

    • mmc.exeからの異常なファイル操作を監視する。

  • その他

    • 攻撃者の属性情報なし。

    • Elasticの研究者はVirusTotalでGrimResource攻撃を悪用しているサンプルを見つけており、この攻撃はすでに攻撃に使われていると判断

  • ChatGPTの推奨事項

    • すべてのシステムでXSSの脆弱性修正を確認し、適用してください。

4人のFIN9ハッカーが起訴され、7100万ドルの損失を引き起こすサイバー攻撃に関与

https://www.bleepingcomputer.com/news/security/four-fin9-hackers-indicted-for-cyberattacks-causing-71m-in-losses/

  • 要約

    • 4人のベトナム国籍のFIN9ハッカーが米国企業に7100万ドルの損害を与えたサイバー攻撃で起訴。

    • 2018年5月から2021年10月までの間、フィッシングやサプライチェーン攻撃を実施。

    • FIN9は被害者のネットワークに不正アクセスし、データと資金を盗んだ。

    • 攻撃者は盗んだデータを暗号通貨で販売して利益を得た。

    • 起訴されたハッカーには長期の懲役刑が科される可能性。

  • IOCの列挙

    • なし

  • 推奨事項

    • 推奨事項なし

  • その他

    • なし

  • ChatGPTの推奨事項

    • 不正アクセス防止のため、フィッシング対策を強化してください。

CoinStatsは北朝鮮のハッカーが1,590の暗号ウォレットに侵入したと発表

https://www.bleepingcomputer.com/news/cryptocurrency/coinstats-says-north-korean-hackers-breached-1-590-crypto-wallets/

  • 要約

    • CoinStatsが北朝鮮のハッカーにより1,590の暗号ウォレットが侵害されたと発表。

    • 被害者のウォレットリストが公開されたが、リストにないウォレットからも資金が盗まれた報告あり。

    • CoinStatsのCEOはLazarus Groupが関与していることを示す重要な証拠を持っているとコメントし、リストに載っているユーザはすぐに資金を移動するよう促している。

    • CoinStatsのウェブサイトとアプリは現在利用不可。

    • この攻撃者とは別人の可能性がある詐欺師が偽の返金プログラムを宣伝中。

  • IOCの列挙

    • なし

  • 推奨事項

    • 詐欺プログラムに注意し、公式の発表を確認する。

  • その他

    • 攻撃者は北朝鮮のLazarus Groupと疑われている。

  • ChatGPTの推奨事項

    • 被害に遭った可能性のあるウォレットから即座に資金を移動してください。

Google、AIによる脆弱性研究のためのProject Naptimeを発表

https://thehackernews.com/2024/06/google-introduces-project-naptime-for.html

  • 要約

    • GoogleはLLMを用いた脆弱性研究のためのProject Naptimeを発表。

    • NaptimeはAIエージェントがコードベースを分析し、人間のセキュリティ研究者の作業を模倣。

    • LLMのコード理解と推論能力を活用し、バッファオーバーフローなどの脆弱性を発見。

    • コードブラウザ、サンドボックス内でのPythonツール、デバッガー、レポーターなどのツールを含む。

    • CYBERSECEVAL 2で高評価を獲得。

  • IOCの列挙

    • なし

  • 推奨事項

    • 推奨事項なし

  • その他

    • なし

  • ChatGPTの推奨事項

    • LLMのセキュリティリスクを評価するため、CYBERSECEVAL 2のベンチマーク結果を確認してください。

Ollama AIインフラツールにおける重大なRCE脆弱性が発見される

https://thehackernews.com/2024/06/critical-rce-vulnerability-discovered.html

  • 要約

    • OllamaのAIインフラツールにリモートコード実行(RCE)脆弱性CVE-2024-37032が発見された。

    • 脆弱性はAPIエンドポイント「/api/pull」のダイジェストフィールドにあるパストラバーサルの欠陥によるもので、攻撃者が任意のファイルを上書き可能。

    • 特にDocker環境ではAPIサーバーがルート権限で動作しデフォルトで0.0.0.0でリッスンするため、リスクが高い。

    • Wizの研究者が2024年5月に発見し、修正パッチがリリースされた。

    • 認証がないAPIエンドポイントが問題で、1000以上のインスタンスが保護されていない。

  • IOCの列挙

    • なし

  • 推奨事項

    • Ollamaの最新バージョンに更新する。

    • 無認証のAPIサーバーを使用しない。

    • Docker環境の設定を見直す。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 脆弱性が修正された最新バージョンに更新してください。

日本のインシデント事例

その他のメモ

N/A

いいなと思ったら応援しよう!