dailynews - 2024/04/22
Daily Security Info
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
VMware ESXi Shell Serviceのゼロデイ販売 - 1,500,000ドル
認証をバイパスし、vpxuser による /scratch ディレクトリへのファイルアップロードが可能と主張
日々のニュース要約
マルウェア開発者が児童虐待者をハニートラップに誘い込み、恐喝する
要約
マルウェアはCSAM視聴者を装った政府警告で恐喝
「Anti-Child Porn Spam Protection」が最初の実例
現在は「CryptVPN」と称するソフトウェアによる詐欺
ウェブサイトを偽装し、マルウェアをダウンロードさせる
被害者には身代金を要求、支払わなければ情報を漏洩
IOCの列挙
hxxps[:]//usenetclub[.]com,URL,知られていない,偽のサブスクリプションサービスサイト,NA
198[.]51[.]100[.]10,IPアドレス,知られていない,サーバーIPアドレス,グローバル
bc1q4zfspf0s2gfmuu8h5k0679sxgxjkd7aj5e6qyl,URL,知られていない,ビットコイン支払いアドレス,NA
推奨事項
不正なウェブサイトや未知のダウンロードに注意
ランサムウェア感染を避けるために信頼できるセキュリティソフトウェアを使用
疑わしいリンクは開かないこと
その他
攻撃者の国籍や動機についての情報は不明
ChatGPTの推奨事項
不審なリンクや添付ファイルを開かないこと
ランサムウェアの支払いが2024年第1四半期に記録的な低水準、28%に減少
要約
2024年Q1の企業によるランサムウェアの支払いが28%に減少。
支払い減少は、保護対策の強化と法的圧力によるもの。
支払い額は過去最高にも関わらず支払い件数は減少。
主な感染経路はリモートアクセスと脆弱性の悪用。
FBIの活動がランサムウェアグループに影響を与えている。
IOCの列挙
IOC情報なし
推奨事項
保護対策を強化し、法的指導に従う
脆弱性を定期的に監視し、速やかに対処する
FBIや他の法執行機関と協力を継続する
その他
なし
ChatGPTの推奨事項
保護対策を強化し、感染経路を特定しやすくするための監視システムを整備する
WordPressのForminatorプラグインに重大な脆弱性、30万サイト以上に影響
要約
Forminatorプラグインに重大な脆弱性(CVE-2024-28890、CVSSv3:9.8)発見
脆弱性は無制限ファイルアップロードを可能に
影響を受けるバージョンは1.29.0およびそれ以前
最新バージョンへの更新が強く推奨されている
現時点での悪用報告はなし、しかしリスクは高い
IOCの列挙
IOC情報なし
推奨事項
すぐにForminatorプラグインを最新バージョンに更新
使用していないプラグインは無効化する
プラグインは最小限に保つ
その他
日本のCERTが報告
ChatGPTの推奨事項
速やかにForminatorプラグインを更新し、必要のないプラグインを無効化すること
GitHubのコメントが悪用され、MicrosoftのリポジトリURLを介してマルウェアが拡散
要約
GitHubのコメント機能がマルウェア配布に悪用
MicrosoftリポジトリのURLを使ったマルウェアの配布が行われている
公開リポジトリのコメントで、ファイルを添付すると、ファイルはGitHubのCDNに保存される。
コメント機能を悪用してアップロードすることで、リポジトリのURLを使ったダウンロードリンクでマルウェア配布ができる
この添付ファイルは「/{project_user}/{repo_name}/files/{file_id}/{file_name}」の形式でダウンロード可能
コメントは必須ではない。また、コメントが削除されたとしてもダウンロードURLは機能し続ける。
未保存のコメントでファイルを添付、ファイルを添付したコメントを投稿後に削除したとしても、ファイルはGitHubのCDNから削除されず、ダウンロードできる。
正規のリポジトリを使ったリンクが作成できるため、該当URLは非常に信頼性が高く見える
IOCの列挙
github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip, URL, 知られていない, Microsoftのリポジトリに見せかけたマルウェア, NA
github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip, URL, 知られていない, 同上, NA
推奨事項
GitHubでのコメント機能を慎重に使用すること
その他
攻撃者の属性情報は記載なし
Microsoftリポジトリ以外の悪用を調査したところ、httprouterのリポジトリでも同様の攻撃が行われていた
hxxps[://]github[.]com/julienschmidt/httprouter/files/14550723/Cheater.Pro.1.6.0.zip
ChatGPTの推奨事項
GitHubのURLに添付されたファイルの出所を常に確認すること
CrushFTPユーザーにゼロデイ脆弱性の即時修正を警告
要約
CrushFTPにゼロデイ脆弱性が存在し、積極的に悪用されている。そのため直ちに修正パッチを適用するよう警告
この脆弱性により、認証されていない攻撃者がユーザーの仮想ファイルシステム(VFS)をエスケープし、システムファイルをダウンロードすることが可能
v11.1.0で修正されており、このアップグレードが推奨されている
CrushFTPの前にDMZ境界ネットワークを利用しているユーザーは、攻撃から保護される可能性がある
Airbus CERTにより報告された
IOCの列挙
IOC情報なし
推奨事項
すぐに最新のバージョンにアップデートすること
その他
Shodanで確認すると公開されているCrushFTPは全世界で少なくとも2,700ある
ゼロデイ攻撃は複数の米国組織を標的としていた。いくつかの証拠から政治的動機による情報収集キャンペーンの可能性がある
CrushFTP v10、v9も影響を受けるためv11.1.0にアップグレードする必要がある
ChatGPTの推奨事項
CrushFTPの最新のセキュリティアップデートを直ちに適用すること
日本のインシデント事例
N/A
その他のメモ
N/A