Daily Security Info - 2024/07/16
Tools
N/A
malware campaign
請求書.rar ->請求書.exe
exeは情報窃取マルウェア snakekeylogger
security report
N/A
cybercrime topics
N/A
日々のニュース要約
カスペルスキー、米国での事業を閉鎖
要約
カスペルスキーは米国での事業を2024年7月20日から閉鎖開始。
米国財務省と商務省による制裁と取引禁止が理由。これにより米国内でのカスペルスキー製品の販売と流通が禁止された。
米国の社員は解雇され、事業継続は不可能と判断。
カスペルスキーは決定を悲しいが避けられないものと表現。
IOCの列挙
IOC情報なし
推奨事項
なし
その他
なし
ChatGPTの推奨事項
カスペルスキー製品の代替を早急に検討する
新しいBugSleepマルウェア、MuddyWater攻撃に展開
要約
MuddyWaterハッキンググループが新しいBugSleepマルウェアを使用。
マルウェアはフィッシングメールを通じて配布。
イスラエル他様々な国で、政府機関、航空会社、メディアなどを標的としている。
Egnyteのファイル共有プラットフォームを利用。
Microsoft EdgeやGoogle Chromeなどのプロセスにインジェクトされる。
IOCの列挙
IOC情報なし
推奨事項
フィッシングメールの警戒を強化する
セキュリティソフトを最新に保つ
エンドポイント保護を強化する
その他
攻撃者はイラン政府と関連するアクターMuddyWater
ChatGPTの推奨事項
フィッシング対策を徹底する
SEXiランサムウェアがAPT INCに改名し、VMware ESXi攻撃を継続
要約
SEXiランサムウェアがAPT INCに改名し、VMware ESXiサーバーを標的にする攻撃を継続。
改名後もBabukとLockBit 3.0暗号化ツールを使用。どちらも漏洩したツールを使用している。
攻撃はフィッシングメールを通じて行われ、多くの組織が被害に遭う。
身代金要求は数万から数百万ドルに及ぶ。
利用しているツールは脆弱性等もないため、暗号化されたファイルを復旧する手段は現在存在しない。
IOCの列挙
IOC情報なし
推奨事項
なし
その他
SEXiとAPT INCは連絡にSessionを利用しているが、IDが同一「05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912」
ChatGPTの推奨事項
セキュリティ対策を強化し、最新のパッチを適用する
WindowsテーマのFacebook広告がSYS01情報窃取マルウェアを配信
要約
Facebook広告を利用して偽のWindowsテーマや無料ゲームのダウンロードで誘導し、SYS01情報窃取型マルウェアを配布。
マルウェアはブラウザのクッキー、保存された資格情報、暗号通貨ウォレットなどを盗む。
広告は新規または乗っ取られたFacebookビジネスページを通じて行われる。
ダウンロードサイトはGoogle SitesやTrue Hosting上に偽装される。
SYS01マルウェアは2022年に初めて発見された。
IOCの列挙
IOC情報なし
推奨事項
フィッシング広告の警戒を強化する
ダウンロード元を慎重に確認する
セキュリティソフトを最新に保つ
その他
攻撃者はベトナムまたはフィリピンに所在
ChatGPTの推奨事項
不明なソースからのダウンロードを避ける
GitHubトークン漏洩でPythonのコアリポジトリが攻撃にさらされる可能性
https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html
要約
GitHubトークンの漏洩が発見され、Pythonのリポジトリが攻撃にさらされる可能性が指摘された。
トークンは公開されたDockerコンテナ内のコンパイルされたPythonファイルに含まれていた。
当該トークンはPyPI管理者のEe Durbin にリンクされたものであり、即座に無効化された。現時点で悪用の証拠は見つかっていない。
攻撃者がソースコードに悪意のあるコードを注入するリスクがあった。
トークンは2023年3月3日より前に発行されたが、セキュリティログが90日を超えて利用できないため正確な発行日は不明
IOCの列挙
IOC情報なし
推奨事項
重要なトークンや認証情報の管理を徹底する
セキュリティパッチを迅速に適用する
リポジトリの監視を強化する
その他
攻撃者はイラクに拠点を置くサイバー犯罪者と関連
ChatGPTの推奨事項
漏洩したトークンの速やかな無効化と再発防止策の実施
新しいHardBitランサムウェア4.0、検出回避のためパスフレーズ保護を使用
https://thehackernews.com/2024/07/new-hardbit-ransomware-40-uses.html
要約
HardBitランサムウェアがバージョン4.0に更新され、パスフレーズ保護機能を追加。
ランサムウェアを実行するためにはパスフレーズを提供する必要がある。これによって分析を阻止する。
主な感染手段は不明。RDPとSMBサービスのブルートフォース攻撃が可能性あり。
ランサムウェアはMicrosoft Defenderを無効化し、ファイルを暗号化。
Toxインスタントメッセージングを使用して被害者と通信。
データリークサイトは使用せず、身代金を支払わなければ将来的に様々な攻撃に発展することを示唆して脅迫する。
IOCの列挙
IOC情報なし
推奨事項
重要なサービスのブルートフォース対策を強化する
ランサムウェア対策ソフトを導入する
パスワードを定期的に変更する
その他
HardBitは金銭目的のサイバー犯罪者
ChatGPTの推奨事項
ブルートフォース攻撃対策を実施する
日本のインシデント事例
N/A
その他のメモ
N/A