Daily Security Info - 2024/05/21
Tools
malware campaign
AgentTesla
zip > scr --- C2 connection with SMTP
security report
N/A
cybercrime topics
N/A
日々のニュース要約
Incognitoダークウェブドラッグ市場のオーナーがニューヨークで逮捕
要約
Incognito Marketの運営者がJFK空港で逮捕
市場では1,000キログラム以上の違法薬物が販売
市場の運営者は23歳のルイ・シアン・リン
2020年10月に市場が登場、2024年3月に閉鎖
取引額は総額1億ドル以上に達する
IOCの列挙
IOC情報なし
推奨事項
サイバー犯罪に関与する疑いのある市場や取引を避ける
違法薬物のオンライン取引には注意する
その他
なし
ChatGPTの推奨事項
不明なウェブサイトでの取引を避け、違法行為には関与しないこと
BiBiワイパーの新バージョンがディスクパーティションテーブルも破壊
要約
新バージョンのBiBi Wiperがディスクパーティションテーブルを破壊
攻撃はイスラエルとアルバニアで発生
攻撃者はイランのハッカーグループであるVoid Manticore
Void Manticoreは多様な破壊ツールを使用
新バージョンはデータ復旧を困難にする
IOCの列挙
IOC情報なし
推奨事項
最新のセキュリティパッチを適用する
データの定期的なバックアップを行う
不明なファイルの実行を避ける
その他
攻撃者は、イランのVoid Manticore(Storm-842)
Checkpointは、Telegram上のハクティビストグループ「Karma」の背後にVoid Manticoreがいる可能性を指摘
ChatGPTの推奨事項
システムとデータのバックアップを今すぐ実行する
QNAP QTSのゼロデイ脆弱性のRCEエクスプロイトが公開される
要約
QNAP QTSの「シェア」機能にゼロデイ脆弱性が発見
CVE-2024-27130はリモートコード実行が可能
攻撃者は特定の条件を満たすことで攻撃可能
この脆弱性に関するPoCが公開される
QNAPは複数の脆弱性をまだ修正していない
IOCの列挙
IOC情報なし
推奨事項
最新のセキュリティパッチを適用する
データの定期的なバックアップを行う
シェアリンクを不特定多数と共有しない
その他
なし
ChatGPTの推奨事項
すぐにQNAPデバイスのソフトウェアを更新する
American Radio Relay Leagueがサイバー攻撃を受けLogbook of the Worldをオフラインに
https://www.bleepingcomputer.com/news/security/arrl-cyberattack-takes-logbook-of-the-world-offline/
要約
American Radio Relay League(ARRL)がサイバー攻撃を受け、ITシステムとオンライン操作が停止
Logbook of the WorldとARRL Learning Centerに影響
個人情報(名前、住所、コールサイン)が漏洩の可能性
クレジットカード情報は保存されていない
ランサムウェア攻撃かは不明
IOCの列挙
IOC情報なし
推奨事項
定期的にパスワードを変更する
個人情報の監視を行う
その他
なし
ChatGPTの推奨事項
パスワードを今すぐ変更し、セキュリティ設定を強化する
サイバー犯罪者がGitHubとFileZillaを悪用してマルウェアカクテルを配布
https://thehackernews.com/2024/05/cyber-criminals-exploit-github-and.html
要約
GitHubとFileZillaを利用してマルウェアを配布する多面的なキャンペーンが発見
マルウェアにはAtomic、Vidar、Lumma、Octoが含まれる
攻撃者は1Password, Bartender 5, and Pixelmator Proなどの偽のソフトウェアをGitHub上にホスト。このような場合は、通常マルバタイジングや SEO ポイズニング キャンペーンでの配布が多い。
GitHub上のファイルと関連インフラを調べた結果、2023年8月以降に進められているより大規模なキャンペーンに関連付けられていることが分かった
RedLine、Lumma、Raccoon、Vidar、Rhadamanthys、DanaBot、DarkComet RAT を配信するキャンペーン
Rhadamanthys の感染経路は、フェイクサイト経由でBitbucketやDropboxからマルウェアが配信された
IOCの列挙
IOC情報なし
推奨事項
不明なソフトウェアのダウンロードを避ける
信頼できるソースからのみソフトウェアをダウンロードする
セキュリティ対策ソフトを最新の状態に保つ
その他
攻撃者の情報:ロシア語圏のCIS出身とみられる
ChatGPTの推奨事項
不明なソフトウェアをダウンロードしないこと
LatrodectusマルウェアローダーがフィッシングキャンペーンでIcedIDの後継として浮上
https://thehackernews.com/2024/05/latrodectus-malware-loader-emerges-as.html
要約
IcedIDの後継の可能性があるLatrodectusマルウェアのフィッシングキャンペーンが急増していることを確認
マルウェアは、JavaScriptを起点として、WMIを使ってmsiexec.exeを呼び出し、リモートのWebDAVサーバにホストされているMSIファイルでインストールさせることで感染。
様々なペイロードを展開する機能を持ち、C2サーバーと通信。脅威アクターがエクスプロイト後のさまざまなアクティビティを実行可能にする
最新のLatrodectusを分析した結果、自己削除や持続化の機能を持つ。
ソースコードの難読化を利用し、デバッガやサンドボックスでの分析を防止する機能を持つ。
IOCの列挙
IOC情報なし
推奨事項
JavaScriptファイルの受信時は注意を払う。
不明なリンクをクリックしない。
セキュリティソフトを最新の状態に保つ。
その他
- IcedIDとLatrodectusには、間違いなく何らかのつながりがあるとみられており、仮説の1つはLATRODECTUSがIcedIDの代替として積極的に開発されていたというものChatGPTの推奨事項
メールのリンクをクリックする前に送信者を確認する。