Daily Security Info - 2024/09/20
Tools
N/A
malware campaign
N/A
security report
Palo Alto Networksは新しいポストエクスプロイトツール「Splinter」を発見。
Rust言語で作られたこのツールはリモートプロセスインジェクションなどの機能を持つ。
Splinterは、Cobalt Strikeなどの他のよく知られている攻撃後のツールほど高度ではないが、悪用された場合、組織にとって潜在的な脅威となる。
犯罪者による悪用の可能性が懸念されている。
C2通信はHTTPSを使用し、攻撃の継続的な制御を可能にしている。
静かに忍び寄る脅威:Atlassian Confluenceを狙うファイルレスバックドア「ゴジラ」
ゴジラは、Atlassian Confluenceを標的にしたファイルレスバックドア。
CVE-2023-22527の悪用から始まり、攻撃者は不正なペイロードを使用して最終的にゴジラWebシェルをメモリ上にロードする。
ゴジラWebシェルは、通信にAES暗号化を使用し、ディスクベースの検出を避けるためにメモリ内に留まる高度な中国語のバックドア。
攻撃者はWebシェル経由でシステムへの継続的なアクセスを確保。
被害者のネットワーク内で権限昇格と横移動を試みる。
企業に対して重大な脅威をもたらしている。
Linux SSHサーバーを標的にするSuperShellマルウェアが拡散
管理が不十分なLinux SSHサーバーにSuperShellバックドアがインストールされる攻撃が発生。
攻撃者は辞書攻撃を用いてログインを試み、成功すると、SuperShell を直接インストールするコマンドを実行するか、ダウンローダー機能を持つシェルスクリプトをインストール
このマルウェアは難読化されているが、動作方式や実行プロセスからSuperShellであることが確認できる
攻撃者は、SuperShell をインストールすることでシステムの操作権限を奪取し、仮想通貨の採掘を最終目的としている可能性
管理者は、パスワードの強化、セキュリティパッチの適用、ファイアウォールなどのセキュリティ対策を実施することで、SuperShell の脅威からシステムを保護する必要がある
cybercrime topics
N/A
日々のニュース要約
Torは「ユーザーの匿名性は安全」と強調、警察の匿名化解除報道に対して
要約
Torは、警察によるユーザーの匿名化解除に関する報道に対し、安全性を強調。
ドイツ警察がタイミング分析攻撃を通じてTorユーザーを特定したという報告があった。
法執行機関は、運用する多数のTorノードを介したタイミング分析攻撃を使用して、児童虐待プラットフォーム「Boystown」の運営者を特定して逮捕した
Torタイミング攻撃
ソフトウェアの欠陥を悪用せずに、ネットワークに出入りするデータのタイミングを観察することで、ユーザーの匿名化を解除するために使用される手法
一部のTorノードを制御している場合、または出入り点を監視している場合、データがネットワークに出入りするタイミングを比較
一致する場合は、トラフィックを特定の人物にまで追跡できる
Torは最新のバージョンでは防御策が整っていると主張。
説明された攻撃が2019年から2021年の間に発生したが、それ以来ネットワークは大幅に増加しており、タイミング攻撃の実行は現在でははるかに困難になっていることを強調
過去数年間で、不正なリレーをフラグ付けして削除するための広範な作業が行われ、集中化を阻止するための取り組みがなされた
旧バージョンのRicochetメッセージングアプリが攻撃対象だったと述べた。
ボランティアにリレーサーバーの多様化を求め、攻撃を防ぐ取り組みを強化中。
IOCの列挙
IOC情報なし
推奨事項
最新バージョンのツールを使用
ボランティア参加でリレーサーバーの多様化に協力
セキュリティ向上のためのガード発見攻撃対策の導入
その他
なし
ChatGPTの推奨事項
Torを使用する際は常に最新バージョンを利用する
Ivanti、攻撃に悪用される別の重大なCSA脆弱性を警告
要約
Ivantiは、Cloud Services Appliance(CSA)の新たな脆弱性が攻撃で悪用されていると警告。
この脆弱性はCVE-2024-8963で、パストラバーサルの脆弱性によって発生し、リモート攻撃者が認証を回避できる。
先週に修正された脆弱性(CVE-2024-8963とCVE-2024-8190)と組み合わせることで、パッチが適用されていないアプライアンス上で任意のコマンドを実行できる。
Ivantiは管理者に最新のパッチ適用を強く推奨。
CISAも連邦機関に早急なパッチ適用を指示。
IOCの列挙
IOC情報なし
推奨事項
すぐにパッチ519を適用
CSA 5.0への移行を推奨
エンドポイント検知で不正ユーザー確認
その他
なし
ChatGPTの推奨事項
脆弱なシステムに早急にパッチを適用する
Googleパスワードマネージャー、パスキーを自動同期する機能を追加
要約
Googleパスワードマネージャーは、パスキーを自動同期する新機能を提供開始。
これにより、Windows、macOS、Linux、Android間でパスキーが自動的に同期される。
セキュリティ強化のためにPINによる暗号化も導入。
生体認証を利用するパスキーは、従来のパスワードより安全で便利。
iOS対応も近日中に予定。
IOCの列挙
IOC情報なし
推奨事項
パスワード管理ツールを最新バージョンに更新
その他
なし
ChatGPTの推奨事項
パスキー機能を活用し、パスワードレス認証を導入する
警察、48万3000人に被害を与えたiServer電話ロック解除ネットワークを解体
要約
国際捜査により、iServerプラットフォームを利用して盗まれた携帯電話のロック解除を行う犯罪ネットワークが解体された。
iServerプラットフォームは、一般的なクラウドベースのモバイルプラットフォームを模倣した悪意のあるページを作成することで、フィッシング攻撃を自動化していた。
2018年から運用されていたこのフィッシングプラットフォームは、「unlockers」として知られるスキルの低い犯罪者にフィッシングサービスを提供していた。
48万3000人の被害者がフィッシング攻撃に遭い、デバイスのパスワードなどを盗まれた。
アルゼンチン、チリ、コロンビア、エクアドル、ペルー、スペインの6カ国で17人の容疑者が逮捕され、28件の捜索が行われた。
犯行はフィッシングメールやSMSを用いた。
IOCの列挙
IOC情報なし
推奨事項
不正フィッシングに警戒する
その他
なし
ChatGPTの推奨事項
不審なSMSやメールのリンクをクリックしない
ドイツ、ランサムウェア集団が利用する47の暗号通貨取引所を押収
要約
ドイツ当局が自国内で活動している47の暗号通貨取引所を押収、これらはランサムウェア集団などが資金洗浄に利用していた。
取引所はKYC規則を無視し、匿名取引を提供していた。
そのため、サイバー犯罪者にとって、訴追されることを恐れずに、または追跡されることなく、収益を洗浄するための低リスクな環境を作り出していた。
押収された取引所のユーザーには、ランサムウェアグループ、ダークネットディーラー、ボットネット運営者が含まれていた。
大規模な捜査により取引所のサーバーや顧客データが押収され、さらなる逮捕が予想される。
IOCの列挙
IOC情報なし
推奨事項
取引所の信頼性を確認し、正規の取引所を使用する
その他
攻撃者の多くは国際的に活動し、居住国によって容認または保護されている可能性がある
ChatGPTの推奨事項
信頼できない暗号通貨取引所を避ける
未解明の「ノイズストーム」がインターネットを席巻し、専門家を困惑させる
要約
GreyNoiseは2020年から継続的に「ノイズストーム」と呼ばれる大量の偽装インターネットトラフィックを追跡している。
これらのノイズストームは、秘密の通信、DDoS攻撃の調整信号、C2チャネル、または設定ミスの結果であると疑われるが、明確な目的は不明。
ICMPパケットに「LOVE」文字列が含まれる点が興味深い。
GreyNoiseは研究者に協力を呼びかけている。
IOCの列挙
IOC情報なし
推奨事項
ノイズストーム関連のトラフィックを監視する
その他
攻撃かどうかは不明
ChatGPTの推奨事項
トラフィックの異常を監視するシステムを導入する
巧妙な「GitHubスキャナー」キャンペーン、リポジトリを悪用してマルウェアを配信
要約
GitHubリポジトリが偽の「脆弱性」報告を通じて、Lumma Stealerマルウェア配信に悪用されている。
攻撃者は、プロジェクトに「セキュリティの脆弱性」があると虚偽の主張をしてGitHubの「Issue」を悪用し、偽のスキャナードメインに誘導。
偽のcaptchaを使ってJavaScriptでマルウェアをダウンロードさせる。
GitHubの通知メールが攻撃に利用され、信頼性を高めている。
目的は認証情報や暗号通貨ウォレットの窃取。
IOCの列挙
github-scanner[.]com, URL, 知られていない, 偽のGitHubスキャナードメイン, NA
推奨事項
不審なリンクにアクセスしない
GitHubの「Issue」を通報する
その他
なし
ChatGPTの推奨事項
GitHubの通知に注意し、正規リンクを確認する
Discord、音声・ビデオ通話のエンドツーエンド暗号化を導入
要約
Discordが音声・ビデオ通話にエンドツーエンド暗号化(E2EE)を導入。
新しいDAVEプロトコルにより、音声・ビデオ通話・リアルタイムストリーミングでE2EE暗号化が有効に。
プロトコルとライブラリはオープンソースで提供され、セキュリティ研究者が監査可能。
今後、すべてのユーザーにE2EE機能が順次展開予定。
IOCの列挙
IOC情報なし
推奨事項
Discordアプリを最新バージョンに更新
その他
なし
ChatGPTの推奨事項
最新バージョンに更新してE2EE機能を利用する
ロシア、偽動画を使ってハリス副大統領の選挙キャンペーンを攻撃
https://therecord.media/russia-targets-harris-campaign-fake-videos
要約
ロシアが偽動画を使い、カマラ・ハリス副大統領の選挙キャンペーンを攻撃しているとMicrosoftが報告。
動画はひき逃げ事故や彼女の支持者による暴力行為を描写した偽動画。
ひき逃げの偽動画は、数日前に作成された架空のサンフランシスコのメディアを通して、いくつかのソーシャルメディアサイトで拡散された。
XやTelegramなどを通じて何百万もの視聴回数を記録。
Volga Floodというロシアの影響力工作グループが関与。
マイクロソフトの脅威分析センター(MTAC)によると、Volga Floodは、地域分析、イラスト、地図作成、外国語の専門知識など、チームの能力を超えた規模でAIを活用して活動しているロシアの代表的なアクターの1つ
Volga Floodは、ロシア国防省の元職員と、故エフゲニー・プリゴジン氏の「パトリオット・メディア・グループ」の元職員で構成されており、ロシア大統領府から資金提供を受けている
IOCの列挙
IOC情報なし
推奨事項
偽情報の拡散に注意
その他
なし
ChatGPTの推奨事項
偽情報に騙されないように注意する
日本のインシデント事例
その他のメモ
N/A