Daily Security Info - 2024/07/18
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
悪名高いFIN7ハッカー、EDRキラーを他の脅威アクターに販売
要約
FIN7ハッカーグループが「AvNeutralizer」というEDRキラーを他の脅威アクターに販売。
AvNeutralizerは企業ネットワーク上のエンドポイント保護ソフトを無効化するツール。2022年から複数のランサムウェアグループで使用されている。
FIN7はカスタムマルウェアやツールを開発し、フィッシングやソーシャルエンジニアリング攻撃を行う。
同グループは過去に金融詐欺やランサムウェア攻撃で知られる。
同グループはBastion Secureという偽のセキュリティ会社を立ち上げ、応募者に実際にハッキングに関わらせることは知らせずに、ペネトレーションテスターや開発者として雇っていた。
IOCの列挙
IOC情報なし
推奨事項
EDRおよびセキュリティ対策を強化する
フィッシング対策を徹底する
その他
なし
ChatGPTの推奨事項
EDRおよびセキュリティ対策を強化する
Exchange Online、DNSSECを使用したインバウンドDANEでセキュリティ強化
要約
MicrosoftはExchange OnlineにDNSSECを使用したインバウンドDANEを導入。
DANEはTLSA DNSレコードでサーバーの認証を行い、MiTM攻撃を防止。
DNSSECはDNSレコードの暗号化検証を提供し、メールの改ざんやリダイレクトを防ぐ。
新機能は企業および個人の顧客に無料で提供。一部のOutlookドメインではすでに有効になっており、2024年後半に全Outlookドメインで展開予定。
Microsoftは他のメールプロバイダーにも同様のセキュリティ標準を採用するよう促している。
IOCの列挙
IOC情報なし
推奨事項
なし
その他
なし
ChatGPTの推奨事項
最新のセキュリティパッチを適用する
Cisco SSM On-Premのバグでハッカーが任意のユーザーパスワードを変更可能
要約
Cisco SSM On-Premにおいて、攻撃者が任意のユーザーパスワードを変更できる重大な脆弱性が修正された。
脆弱性は未検証のパスワード変更プロセスによるもので、リモートの攻撃者が新しいパスワードを設定可能。
脆弱性はCVE-2024-20419として追跡され、全管理者は修正リリースにアップグレードする必要がある。
既知の悪用事例や公開されたPoCコードは報告されていない。
IOCの列挙
IOC情報なし
推奨事項
すぐに最新の修正リリースにアップグレードする
システムのセキュリティ設定を確認する
その他
なし
ChatGPTの推奨事項
最新の修正リリースにアップグレードする
40万件以上のLife360ユーザーの電話番号が未保護のAPI経由で流出
要約
Life360の442,519ユーザーの個人情報が未保護のAPIを悪用されて流出。
流出データにはメールアドレス、名前、電話番号が含まれる。
Life360はAPIの欠陥を修正したが、データは既にハッキングフォーラムに流出。
同じ攻撃者が以前にTrelloユーザーのデータも流出させた。
Life360は、これとは別にTileのカスタマーサポートに攻撃者が侵入し、名前、住所、メールアドレス、電話番号、デバイス識別番号などの機密情報を窃取したことも報告した。
この攻撃では脅威アクターは、盗んだTile元従業員の資格情報を使用して複数のTileシステムに侵入した。
IOCの列挙
IOC情報なし
推奨事項
フィッシング攻撃への警戒を強化する
APIセキュリティを強化する
顧客データの保護を徹底する
その他
なし
ChatGPTの推奨事項
フィッシング対策を強化する
Yacht Giant MarineMaxのデータ漏洩で12.3万人以上に影響
要約
MarineMaxは3月のデータ漏洩で123,494人の個人情報が流出したと発表。
Rhysidaランサムウェアグループが攻撃を主張し、225GBのデータを公開予定。
流出した情報には名前や運転免許証などの個人識別情報が含まれる。
攻撃は3月1日から3月10日までの間に行われた。
MarineMaxは最初のSEC提出時に、センシティブなデータは含まれていないと述べていた。
IOCの列挙
IOC情報なし
推奨事項
フィッシング攻撃への警戒を強化する
セキュリティ対策を見直す
顧客データの保護を徹底する
その他
なし
ChatGPTの推奨事項
フィッシング対策を強化する
カスペルスキー、米国での別れに6か月間の無料セキュリティソフトを提供
要約
カスペルスキーは米国での事業終了に伴い、6か月間の無料セキュリティソフトを提供。
米国政府によるEntity Listへの追加が理由で、2024年7月20日から業務を停止。
同社は一般的なセキュリティ対策のアドバイスも提供。
常にデータをバックアップすることを忘れないでください
リンクには注意し、クリックする前にそのソースを再確認してください
オンラインでの個人情報を保護し、パスワードを定期的に変更し、長く複雑なものにしましょう
米国内の組織は、米国商務省産業安全保障局(BIS)の制約により、カスペルスキーのセキュリティソフトの自動更新は2024年9月29日以降は禁止。
IOCの列挙
IOC情報なし
推奨事項
なし
その他
なし
ChatGPTの推奨事項
最新のセキュリティパッチを適用する
CISA、GeoServer GeoToolsの重大なRCE脆弱性が攻撃に悪用されていると警告
要約
GeoServer GeoToolsの重大なRCE脆弱性(CVE-2024-36401)が攻撃に悪用されている。
この脆弱性はXPath式を評価する際に任意コード実行が可能となる。
修正はGeoServerのバージョン2.23.6、2.24.4、2.25.2で行われた。
CISAは8月5日までに連邦機関にパッチ適用を要求。
約16,462のGeoServerが公開されており、特に米国、中国、ルーマニアが多い。
IOCの列挙
IOC情報なし
推奨事項
最新の修正リリースにアップグレードする
システムとログを確認し、侵害の痕跡を調査する
その他
なし
ChatGPTの推奨事項
最新の修正リリースにアップグレードする
北朝鮮ハッカー、MacOSユーザーをターゲットにBeaverTailマルウェアを更新
https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html
要約
北朝鮮のハッカーがBeaverTailマルウェアを更新し、MacOSユーザーをターゲット。
マルウェアは「MiroTalk.dmg」として配布され、ブラウザや暗号通貨ウォレットからデータを盗む。
Toxインスタントメッセージングを使用して被害者と通信。
悪意のあるnpmパッケージ「call-blockflow」も利用。
攻撃は2023年9月から段階的に行われている。
IOCの列挙
mirotalk[.]net, URL, 知られていない, 偽ダウンロードページに使用, NA
call-blockflow, FQDN名, 知られていない, 悪意のあるnpmパッケージ, NA
推奨事項
フィッシング攻撃への警戒を強化する
ダウンロード元を慎重に確認する
セキュリティツールを最新に保つ
その他
攻撃者は北朝鮮政府と関連
BeaverTailは、求職者を狙った以前のサイバースパイ活動の一環として配布した既知の情報窃取型マルウェア
ChatGPTの推奨事項
使用するnpmパッケージの信頼性を確認する
中国関連APT17、イタリア企業を9002 RATマルウェアで標的に
https://thehackernews.com/2024/07/china-linked-apt17-targets-italian.html
要約
APT17がイタリア企業や政府機関を9002 RATマルウェアで攻撃。
攻撃は2024年6月24日と7月2日に行われた。
マルウェアはSkype for Businessの偽インストーラーを通じて配布。
VBSとJavaアプリケーションを使用して9002 RATをシェルコードで実行。
9002 RATはネットワークトラフィックの監視やスクリーンショットの取得が可能。
IOCの列挙
IOC情報なし
推奨事項
フィッシング対策を強化する
最新のセキュリティパッチを適用する
ソフトウェアのダウンロード元を慎重に確認する
その他
APT17は中国政府と関連
ChatGPTの推奨事項
フィッシング対策を強化する
脅威アクターがエンコードされたURLを利用してセキュアメールをバイパス
要約
脅威アクターがエンコードされたURLを利用し、セキュアメールをバイパス。
SEGsがURLを信頼し、検査を省略することが原因。
2023年5月にこの手法の利用が大幅に増加。
主な標的はVIPRE、Bitdefender、Hornet Security、Barracuda。
防御策としてユーザー教育と訓練が推奨される。
IOCの列挙
なし
推奨事項
SEGsの設定を見直し、エンコードされたURLの検査を強化する
ユーザーに対するフィッシング教育を強化する
リンクをクリックする前に注意深く確認する習慣をつける
その他
なし
ChatGPTの推奨事項
エンコードされたURLの検査を強化し、ユーザー教育を強化すること
クラウドセキュリティとPowerShellの専門知識がSOCアナリストの重要なスキルに浮上
要約
SOCアナリストの必須スキルにクラウドセキュリティとPowerShellが追加。
AIの導入で基本的なアラーム対応の必要性が減少。
自動化により分析官の離職率が低下。回答者の約 30% (過半数) が、自社の SOC の平均在籍期間は 3 年から 5 年であると回答。
インシデント対応と脅威ハンティングの需要が増加。
ソフトスキルとしてクリティカルシンキングが重要視。
IOCの列挙
なし
推奨事項
SOCアナリストにクラウドセキュリティとPowerShellのトレーニングを提供する
AIツールの導入と適応を進める
インシデント対応と脅威ハンティングのスキルを強化する
その他
なし
ChatGPTの推奨事項
SOCアナリストにクラウドセキュリティとPowerShellのトレーニングを提供すること
北朝鮮ハッカーのLazarus Group、3億500万ドルのDMMビットコイン攻撃の背後にいる可能性
要約
北朝鮮のLazarus Groupが、日本のDMMビットコイン取引所への攻撃で3億500万ドルを盗んだ可能性が指摘されている。
研究者ZachXBTによれば、盗まれたビットコインはミキサー経由で洗浄され、その後様々なブリッジを通じてEthereumやAvalancheに変換され、最終的にHuione Guaranteeに送金された。
ミキサーに送金 > ミキサーからBTCで出金 > THORChain、Threshold、Avalancheブリッジを利用 > EthereumやAvalancheにブリッジ > USDTに交換 > SWFT経由でTronにブリッジ > USDTをHuioneに送金
Huione GuaranteeはカンボジアのHunファミリーと関係があり、違法資金の洗浄に使用されている。
IOCの列挙
IOC情報なし
推奨事項
フィッシング攻撃への警戒を強化する
取引所のセキュリティ対策を見直す
その他
Lazarus Groupは北朝鮮政府と関連
ChatGPTの推奨事項
取引所のセキュリティ対策を強化する