Daily Security Info - 2024/09/14
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
シアトル港、8月の攻撃はRhysidaランサムウェアによるものと発表
要約
シアトル港がRhysidaランサムウェアによる攻撃を受け、システムが一時停止。
攻撃によりシステムが暗号化され、予約やフライトが遅延。
シアトル港は犯人に身代金を支払わないことを決定。
IOCの列挙
IOC情報なし
推奨事項
セキュリティ強化のため、ランサムウェア攻撃に対する防御策を徹底する
重要システムのバックアップと暗号化を実施する
その他
なし
ChatGPTの推奨事項
重要データのバックアップとセキュリティ監視を強化する
TfL、ハッキング後に30,000人の従業員に対して対面でのパスワードリセットを要求
要約
ロンドン交通局(TfL)は、サイバー攻撃を受けた後、30,000人の従業員に対面での身元確認とパスワード再設定を要求
内部システムや払い戻し処理が影響を受け、システム障害が続いている
顧客データや従業員情報が漏洩したが、銀行情報や住所は影響を受けていない
攻撃に関連して17歳の容疑者が逮捕され、保釈された
TfLは、顧客のデータに対して講じている措置について、直接連絡している
IOCの列挙
IOC情報なし推奨事項
影響を受けた顧客に対して迅速に通知を行うこと
その他
なし
ChatGPTの推奨事項
パスワードの再設定を早急に実施する
23andMe、遺伝データ漏洩に関する和解金として3,000万ドルを支払い
要約
23andMeは遺伝データ漏洩に対する集団訴訟で3,000万ドルの和解金支払いに同意
640万件の顧客情報が2023年の攻撃で流出
ハッカーは他の漏洩データを用いたクレデンシャルスタッフィング攻撃を利用
健康報告書や遺伝子型データも漏洩した
同社はセキュリティ強化や2要素認証を導入
IOCの列挙
IOC情報なし推奨事項
すべての顧客に2要素認証の設定を推奨
その他
なし
ChatGPTの推奨事項
すぐにパスワードと2要素認証を設定する
Ivanti、高深刻度のCSA脆弱性が攻撃に悪用されていると警告
要約
IvantiのCloud Services Appliance(CSA)ソリューションに、深刻度の高い脆弱性(CVE-2024-8190)が発見され、現在攻撃に悪用されていることが確認された。
認証されたリモートの攻撃者は、コマンドインジェクションを通じて、脆弱性のあるアプライアンス上のリモートコードを実行できる可能性
パッチが提供されており、CSA 4.6.x から CSA 5.0 にアップグレードすることを顧客に推奨
CISAはKEVカタログにこの脆弱性を載せ、連邦政府機関に対し、10 月 4 日までに脆弱性のあるアプライアンスを保護するよう命じた
IOCの列挙
IOC情報なし推奨事項
影響を受けたシステムにパッチを即時適用
その他
なし
ChatGPTの推奨事項
パッチをすぐに適用する
新しいLinuxマルウェア「Hadooken」がOracle WebLogicサーバーを標的に
要約
「Hadooken」マルウェアがOracle WebLogicサーバーを標的にし、暗号通貨マイナーやDDoS攻撃を展開
このマルウェアは、Tsunamiという別のマルウェアもインストール。Tsunamiは、脆弱なSSHサーバーに侵入してDDoS攻撃やリモート操作を行うことで知られている。
Hadookenのバイナリを解析した結果、RHOMBUSやNoEscapeというランサムウェアとの関連性も発見。Hadookenを配信しているサーバーからは、Windows向けのランサムウェア「Mallox」も発見された。
今回の攻撃ではランサムウェアは確認されなかったが、将来的にはランサムウェアが展開される可能性もある。
すでに複数のサーバーで被害が確認されている
IOCの列挙
89[.]185[.]85[.]102,IPアドレス,知られていない,Hadookenマルウェア配信サーバー,グローバル
推奨事項
WebLogicサーバーのセキュリティ強化とパッチ適用
その他
なし
ChatGPTの推奨事項
サーバーに強固なパスワードと最新パッチを適用する
RansomHub、カワサキへのサイバー攻撃を主張し、盗まれたデータの公開を脅迫
要約
RansomHubランサムウェアがカワサキヨーロッパを標的にしたサイバー攻撃を主張
攻撃者は487GBのデータを盗み、要求が満たされない場合公開すると脅迫
攻撃の影響は限定的で、カワサキヨーロッパのIT部門は復旧作業中
顧客データが含まれるかは不明
RansomHubは9月5日に同社をダークウェブ上の恐喝ポータルに追加。9月14日が期限。
BlackCat/ALPHVランサムウェアの運用停止以来、そのアフィリエイトの多くが、RansomHubに移行したことで活動が急増。経験豊富なアフィリエイトの流入により、著名な企業を含む多くの企業が被害にあっている。
IOCの列挙
IOC情報なし推奨事項
顧客データ保護のために迅速な対策を講じる
その他
なし
ChatGPTの推奨事項
データのバックアップとセキュリティ強化を急ぐ
日本のインシデント事例
その他のメモ
N/A