Daily Security Info - 2024/08/03

tmho

2024年8月5日 09:08

Tools

VPN checker + AD dumper
- アンダーグラウンドフォーラムで販売されている新たな攻撃ツール
- VPNやLDAPへの接続に成功したら、ネットワーク情報が収集できる

malware campaign

N/A

security report

N/A

cybercrime topics

RDWebからの初期アクセス販売がLockBitへの攻撃に利用
- 初期アクセスブローカーからランサムウェアグループは一般的な事例ですが、証拠付きのわかりやすい事例

日々のニュース要約

米国、TikTokが児童プライバシー保護法違反で訴訟

https://www.bleepingcomputer.com/news/security/us-sues-tiktok-for-violating-children-privacy-protection-laws/

要約
- 米国司法省がTikTokと親会社ByteDanceを児童プライバシー保護法（COPPA）違反で訴訟
- 13歳未満の児童から親の同意なしに個人情報を収集
- データ削除要求にも応じず、誤った情報を提供
- 保護者に適切な通知を行わなかったことを問題視
- TikTokはこれに対して異議を唱え、改善を継続すると表明
IOCの列挙
- IOC情報なし
推奨事項
- 児童の個人情報保護に対するコンプライアンスの強化
- 保護者への適切な通知とデータ削除の徹底
その他
- なし
ChatGPTの推奨事項
- 児童の個人情報保護に対するコンプライアンスを徹底すること

偽のAIエディター広告がFacebookで情報窃取型マルウェアを配信

https://www.bleepingcomputer.com/news/security/fake-ai-editor-ads-on-facebook-push-password-stealing-malware/

要約
- Facebookの偽AIエディター広告がユーザーを騙し、情報窃取型マルウェアをインストール
- 攻撃者は正規のAIツールに似たサイトを作成し、被害者を誘導
- 被害者はITarianリモートデスクトップツールをダウンロードし、Lumma Stealerマルウェアが展開
- マルウェアは資格情報、暗号通貨ウォレット、ブラウザデータを収集
IOCの列挙
- IOC情報なし
推奨事項
- 多要素認証を有効にする
- 不審なリンクを確認する
- フィッシング攻撃に注意
その他
- なし
ChatGPTの推奨事項
- 多要素認証を有効にし、不審なリンクを確認すること

Cryptonator、ランサムウェアの支払いと盗まれた暗号通貨のロンダリングで摘発

https://www.bleepingcomputer.com/news/cryptocurrency/cryptonator-seized-for-laundering-ransom-payments-stolen-crypto/

要約
- 米国とドイツの法執行機関がCryptonatorのドメインを押収し、運営者のRoman Bossを起訴
- Cryptonatorは2014年から2023年にかけて2億3500万ドル以上の不正資金を処理
- ダークネット市場やランサムウェアキャンペーンに関連する取引が含まれる
- Cryptonatorは適切なKYC対策を実施せず、違法活動を許容
IOCの列挙
- IOC情報なし
推奨事項
- 違法取引防止のためKYC対策を強化
- 取引の監視と規制遵守を徹底
その他
- なし
ChatGPTの推奨事項
- 違法取引防止のためKYC対策を強化し、規制遵守を徹底すること

DuckDuckGo、ポルノおよびギャンブルの検索結果によりインドネシアでブロック

https://www.bleepingcomputer.com/news/security/duckduckgo-blocked-in-indonesia-over-porn-gambling-search-results/

要約
- インドネシア政府は、DuckDuckGoがポルノとギャンブルに関する検索結果を表示するためアクセスをブロック
- インドネシアは文化的および宗教的背景からこれらのコンテンツを禁止
- Google検索は依然としてアクセス可能であり、自己検閲が行われている可能性やその規模からブロックの影響が大きすぎる可能性がある
- 政府は今後、無料VPNのブロックも計画
IOCの列挙
- IOC情報なし
推奨事項
- 無料VPNの使用に注意し、自己検閲が行われている検索エンジンを利用
その他
- なし
ChatGPTの推奨事項
- 無料VPNの使用に注意し、公式チャネルを通じてコンテンツにアクセスすること

CrowdStrike、世界規模のIT障害を巡り投資家に訴えられる

https://www.bleepingcomputer.com/news/legal/crowdstrike-sued-by-investors-over-massive-global-it-outage/

要約
- 2024年7月19日の障害でCrowdStrikeのFalconプラットフォームにより8,500,000台以上のWindowsデバイスがクラッシュ
- 障害により株価が38％下落し、投資家が訴訟を起こす
- 障害の原因は不完全なアップデートで、信頼性に関する誤った主張が訴訟の中心
IOCの列挙
- IOC情報なし
推奨事項
- アップデートの徹底的な検証を行う
- 障害対応計画の見直しと強化
その他
- なし
ChatGPTの推奨事項
- アップデートの徹底的な検証を行い、障害対応計画を見直すこと

新しいWindowsバックドアBITSLOTH、BITSを悪用しステルス通信を行う

https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html

要約
- BITSLOTHはWindowsのBackground Intelligent Transfer Service（BITS）をC2通信に利用する新しいバックドア
- Elastic Security Labsが2024年6月に南米の政府機関を標的にした攻撃で発見
- キーロギングやスクリーンキャプチャを含む35の機能を持ち、データ収集に使用
- 新しいバージョンでは、スケジューリングコンポーネントが追加、BITSLOTHが動作できる時刻を指定できるようになった
- C2通信はHTTPやHTTPSが使われるが端末内ではBITSが用いられている。多くの組織が異常なBITSジョブを検出するのに苦労しているため、この機能は効果的。
- 中国語のログ関数や文字列が発見され、中国の関与が疑われる
IOCの列挙
- flengine[.]dll,ファイル名,知られていない,BITSLOTHマルウェア,NA
推奨事項
- セキュリティ監視の強化
- BITSトラフィックの監視
- 正当なソフトウェアからのDLLサイドローディングの検査
その他
- 攻撃者の情報：中国の可能性
ChatGPTの推奨事項
- BITSトラフィックの監視を強化し、疑わしい活動を早期に検出すること

より毒性の高いランサムウェアブランドが単独オペレーターを育成

https://www.bankinfosecurity.com/blogs/ever-more-toxic-ransomware-brands-breed-lone-wolf-operators-p-3682

要約
- ランサムウェアのブランドが高度に専門化され、個人のハッカーが簡単に利用できるように
- Covewareが調査したところ、4月から6月にかけて同社が監視したランサムウェア攻撃の10%が単独犯によるもので、急増している
- サイバー犯罪者は、パートナーシップなしでランサムウェアを展開し、利益を得るために単独で活動
- 近年、ランサムウェアアズサービス（RaaS）の台頭とともに様々なイノベーションが生まれ、アフィリエイトとして様々なアクターがランサムウェア攻撃に参加
- 4-6月は36%の被害者が身代金を支払い、1-3月の28%から増加した。また、身代金の支払いをした企業の43%は、窃取したデータの削除を目的とする、データ流出への対応のみで支払いを行った
- Covewareによれば、攻撃が最も多かったのはAkiraであり、次いで単独犯が多かった。Black Basta、BlackSuit、LockBit 3.0などがそれに続いた。
IOCの列挙
- IOC情報なし
推奨事項
- セキュリティ対策の定期的な見直し
- ランサムウェア対策ソフトウェアの導入
- 多要素認証の導入と適用
その他
- なし
ChatGPTの推奨事項
- セキュリティ対策を定期的に見直し、多要素認証を導入すること

日本のインシデント事例

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか？