Daily Security Info - 2024/09/25
Tools
N/A
malware campaign
zoom[.]enterprises
security report
N/A
cybercrime topics
N/A
日々のニュース要約
カンザス州水処理施設、サイバー攻撃で手動操作に切り替え
要約
カンザス州アーカンソー市の水処理施設がサイバー攻撃により手動操作に切り替えなければならなくなった。
攻撃は2024年9月22日に発見され、水供給には影響がないと市当局が確認。
水圧低下の可能性を告知しつつ、さらなるセキュリティ対策を講じた。
アーカンソー市は関係当局に通知、FBIと国土安全保障省が調査中。
この事件の2日前、WaterISACは、水道セクターを標的にしたロシア関連の脅威アクターに関するTLP:AMBERの脅威アドバイザリを発表していた。
米国の水道セクターは、近年イランや中国の国家支援を受けた脅威グループやロシアのハクティビストグループによる攻撃が起きている。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
水処理施設のセキュリティ監視を強化すべき
米政府機関CMS、データ侵害で310万人が影響を受けたと発表
要約
CMSが2023年のMOVEit攻撃で310万人の健康情報が流出したと発表。
メディケアの管理サービスを提供していたWisconsin Physicians Serviceを侵害して窃取した。
被害者にはExperianのクレジット監視サービスが12ヶ月分無料で提供される。
流出情報には名前、社会保障番号、医療情報などが含まれる。
Cl0pランサムウェアによる攻撃とされている。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
データ侵害に対応するセキュリティパッチの適用を徹底すべき
情報窃取型マルウェア、Chromeの新しいCookie盗難防止策を回避
要約
情報窃取型マルウェアが、ChromeのCookie暗号化機能(App-Bound Encryption)を回避する手法を開発したと主張。
App-Bound Encryptionは、Chrome 127 で導入された機能で、Cookie や保存されたパスワードを、システム権限を持つ Windows サービスを使って暗号化。
Lumma Stealer、Meduza、WhiteSnakeなど複数のマルウェアがこの防御を突破する能力を持つとされる。
セキュリティリサーチャ「g0njxa」は、Lumma Stealerの最新バージョンが、最新バージョンのChrome 129で暗号化機能を回避できることを確認。
マルウェア開発者は、App-Bound Encryption を回避する方法を明らかにしていませんが、Rhadamanthys マルウェアの開発者は、暗号化を解除するのに 10 分しかかからなかったとコメント。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
Chromeのセキュリティ設定と保護機能を定期的に確認・更新すべき
Ivanti vTM認証バイパスの重大な脆弱性が攻撃に悪用される
要約
Ivanti vTMの認証バイパス脆弱性(CVE-2024-7593)が攻撃に悪用されている。
攻撃者は、認証を回避して管理者権限を持つアカウントを作成できる。
脆弱なシステムの管理インターフェースへのアクセス制限が推奨される。
CISAがこの脆弱性を既知の悪用脆弱性カタログに追加。
PoCコードは既に公開済み。
IOCの列挙
IOC情報なし
推奨事項
vTM管理インターフェースへのアクセス制限を実施
その他
なし
ChatGPTの推奨事項
管理インターフェースのアクセス制限を今すぐ設定すべき
ハッカーがAI生成のマルウェアを使用して標的型攻撃を実行
要約
ハッカーがAIを利用して作成したマルウェアを用いたフィッシングキャンペーンが観測された。
今年の初めにはAIによるコード生成がなされたPowerShellスクリプトによる攻撃を観測。その後、サイバー攻撃者はマルウェア作成にAIを利用するケースが増加している。
6月初旬に観測されたフィッシングキャンペーンでは、AsyncRATを展開するためのVBScriptを生成するために利用された。
HTMLスマグリング手法により、パスワードZIPを送り、このZIP内にVBScriptとJavaScriptが存在。このVBScriptを実行するとPowerShellが起動し、最終的にAsyncRATに感染する。
攻撃はフランスのユーザーをターゲットにしていた。
脅威アクターは、生成AIを利用することでさまざまな地域やプラットフォーム(Linux、macOS)を標的とする攻撃用にマルウェアを数分で作成し、カスタマイズすることができる。
完全に機能するマルウェアの構築に AI を使用していない場合でも、より高度な脅威を作成する際の作業をスピードアップするために、このテクノロジーに依存。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
なし
ChatGPTの推奨事項
生成AIを使ったマルウェア検出手法の強化が必要
新しいOcto AndroidマルウェアバージョンがNordVPNやGoogle Chromeに偽装
要約
Octo Androidマルウェアの新バージョン「Octo2」がNordVPNやGoogle Chromeを装いヨーロッパで拡散。
改良された回避機能やC2通信のドメイン生成アルゴリズムを搭載。
主にイタリア、ポーランド、ハンガリーで活動が確認されている。ただし、Octo MaaSプラットフォームは、米国、カナダ、オーストラリア、中東を含む世界中で攻撃を促進しているため、他の地域にも間もなく出現する可能性がある。
Android 13のセキュリティ制限を回避しながら、悪意のあるペイロードをAPKに追加するためにZombiderサービスを使用。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃は確認済みで、調査中
ChatGPTの推奨事項
偽アプリに注意し、信頼できないソースからのダウンロードを避けるべき
米国、中国・ロシアからコネクテッドカー技術の輸入禁止を提案
要約
米国は中国やロシアからのコネクテッドカー技術の輸入禁止を提案。
対象はBluetoothやWi-Fiなどの接続システムや自動運転技術。
コネクテッドカーは、機密性の高いドライバーデータを収集し、ドライバーの位置を追跡し、重要インフラストラクチャ情報を収集する可能性。
これら技術が国家安全保障に対するリスクとされ、禁止措置が進められる見通し。
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
脆弱性に関する情報はなし
ChatGPTの推奨事項
海外製接続車両技術の利用を慎重に見直すべき