Daily Security Info - 2024/06/25
Tools
N/A
malware campaign
直近で起きたClearFakeの事例と同様にブラウザのエラーの様に装い、Powershellをコピペして実行するように促すもの
画面イメージがほぼそのままであり、ClearFakeの件と同じ攻撃者(or スクレイピングしてそのまま使った別攻撃者)の可能性
security report
N/A
cybercrime topics
N/A
日々のニュース要約
化学施設にCISA CSAT侵害によるデータ盗難の可能性を警告
要約
CISAのCSAT環境が1月に侵害され、化学施設のデータが流出した可能性。
Ivantiデバイスにwebshellが配置され、敏感なセキュリティ情報が露出。
CSATは化学物質の報告と高リスク施設のセキュリティ評価を管理。
すべてのデータはAES 256で暗号化されており、CSATデータが盗まれたという証拠はないと述べていますが、念のため影響を受けた可能性がある参加者に通知。
資格情報が窃取されたことを示す証拠はないが、CISAはすべてのCSATユーザーにパスワードのリセットを推奨。
IOCの列挙
なし
推奨事項
すべてのCSATアカウントのパスワードをリセットする。
その他
CVE-2023-46805、CVE-2024-21887、CVE-2024-21893の脆弱性が侵害活動に悪用された可能性がある
ChatGPTの推奨事項
すべての関係者はパスワードを即座にリセットしてください。
新しいGrimResource攻撃がMSCファイルとWindows XSSの脆弱性を利用してネットワークを侵害
要約
GrimResourceはMSCファイルと未修正のWindows XSSの脆弱性を悪用する。
この手法はMicrosoft Management Consoleファイル(MSCファイル)を通じてコードを実行する。
MSCファイルはapds.dllのDOMベースのXSS脆弱性を悪用し、細工されたURLを通じて任意のJavaScriptを実行。このJavaScriptが「DotNetToJScript」手法を用いれば、任意の .NETコードも実行できる
任意の.NETコードからVBScriptを介してCobalt Strikeを配布し、ネットワークへの初期アクセスを狙う。
Elasticチームが2024年6月にこの技術を発見。悪用されたXSSの脆弱性は依然未修正。
IOCの列挙
sccm-updater[.]msc,ファイル名,知られていない,GrimResource攻撃で使用されたファイル,NA(IP以外)
推奨事項
MSCファイルの使用を監視する。
mmc.exeからの異常なファイル操作を監視する。
その他
攻撃者の属性情報なし。
Elasticの研究者はVirusTotalでGrimResource攻撃を悪用しているサンプルを見つけており、この攻撃はすでに攻撃に使われていると判断
ChatGPTの推奨事項
すべてのシステムでXSSの脆弱性修正を確認し、適用してください。
4人のFIN9ハッカーが起訴され、7100万ドルの損失を引き起こすサイバー攻撃に関与
要約
4人のベトナム国籍のFIN9ハッカーが米国企業に7100万ドルの損害を与えたサイバー攻撃で起訴。
2018年5月から2021年10月までの間、フィッシングやサプライチェーン攻撃を実施。
FIN9は被害者のネットワークに不正アクセスし、データと資金を盗んだ。
攻撃者は盗んだデータを暗号通貨で販売して利益を得た。
起訴されたハッカーには長期の懲役刑が科される可能性。
IOCの列挙
なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
不正アクセス防止のため、フィッシング対策を強化してください。
CoinStatsは北朝鮮のハッカーが1,590の暗号ウォレットに侵入したと発表
要約
CoinStatsが北朝鮮のハッカーにより1,590の暗号ウォレットが侵害されたと発表。
被害者のウォレットリストが公開されたが、リストにないウォレットからも資金が盗まれた報告あり。
CoinStatsのCEOはLazarus Groupが関与していることを示す重要な証拠を持っているとコメントし、リストに載っているユーザはすぐに資金を移動するよう促している。
CoinStatsのウェブサイトとアプリは現在利用不可。
この攻撃者とは別人の可能性がある詐欺師が偽の返金プログラムを宣伝中。
IOCの列挙
なし
推奨事項
詐欺プログラムに注意し、公式の発表を確認する。
その他
攻撃者は北朝鮮のLazarus Groupと疑われている。
ChatGPTの推奨事項
被害に遭った可能性のあるウォレットから即座に資金を移動してください。
Google、AIによる脆弱性研究のためのProject Naptimeを発表
https://thehackernews.com/2024/06/google-introduces-project-naptime-for.html
要約
GoogleはLLMを用いた脆弱性研究のためのProject Naptimeを発表。
NaptimeはAIエージェントがコードベースを分析し、人間のセキュリティ研究者の作業を模倣。
LLMのコード理解と推論能力を活用し、バッファオーバーフローなどの脆弱性を発見。
コードブラウザ、サンドボックス内でのPythonツール、デバッガー、レポーターなどのツールを含む。
CYBERSECEVAL 2で高評価を獲得。
IOCの列挙
なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
LLMのセキュリティリスクを評価するため、CYBERSECEVAL 2のベンチマーク結果を確認してください。
Ollama AIインフラツールにおける重大なRCE脆弱性が発見される
https://thehackernews.com/2024/06/critical-rce-vulnerability-discovered.html
要約
OllamaのAIインフラツールにリモートコード実行(RCE)脆弱性CVE-2024-37032が発見された。
脆弱性はAPIエンドポイント「/api/pull」のダイジェストフィールドにあるパストラバーサルの欠陥によるもので、攻撃者が任意のファイルを上書き可能。
特にDocker環境ではAPIサーバーがルート権限で動作しデフォルトで0.0.0.0でリッスンするため、リスクが高い。
Wizの研究者が2024年5月に発見し、修正パッチがリリースされた。
認証がないAPIエンドポイントが問題で、1000以上のインスタンスが保護されていない。
IOCの列挙
なし
推奨事項
Ollamaの最新バージョンに更新する。
無認証のAPIサーバーを使用しない。
Docker環境の設定を見直す。
その他
なし
ChatGPTの推奨事項
脆弱性が修正された最新バージョンに更新してください。
日本のインシデント事例
その他のメモ
N/A