Daily Security Info - 2024/05/01
Daily Security Info
Tools
N/A
malware campaign
.pdf > url > .zip > .js > .js > .dll
notepad+のサイドローディングを利用
IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_30.04.2024.txt
.pdf > url > .js > .msi > .dll
rundll32でのDLL実行
IOC: https://github.com/pr0xylife/Latrodectus/blob/main/Latrodectus_29.04.2024.txt
security report
NTTセキュリティホールディングス、2024年版グローバル脅威インテリジェンス レポートで、2023年のランサムウェアと恐喝に関連する事件が+67%と急増したことを発表
2023年のランサムウェア関連インシデントが67%増加
脅威アクターは攻撃手法を強化、悪化
製造業は主な攻撃対象、被害組織は増加
企業はAIを使った攻撃拡大に直面
小規模企業がサイバー攻撃の主な標的
Gemini 1.5 Pro(Googleが提供する生成AI)はマルウェア分析の自動化を強化
マルウェアの増加に対応するための新技術
高性能AIを使用して完全なコード分析を実行
マルウェアの機能、行動、攻撃ベクトルを特定
脅威検出と予防のためのコンプロマイズ指標を提供
cybercrime topics
N/A
日々のニュース要約
フィラデルフィア・インクワイアラー: 2023年の侵害で2万5千人以上のデータが盗まれる
要約
2023年5月、フィラデルフィア・インクワイアラーがセキュリティ侵害を公表。
個人情報と金融情報が2万5千人以上から盗まれた。
Cubaランサムウェアグループが関与し、犯行を主張。
被害者にはExperianの無料のクレジット監視サービスを提供。
セキュリティ強化とフォレンジック調査を実施。
IOCの列挙
IOC情報なし
推奨事項
アカウントの異常な動きに注意し、定期的に監視する。
有効なクレジット監視サービスを利用する。
その他
攻撃者はCubaランサムウェアグループで、広範な影響があった。
ChatGPTの推奨事項
信頼できるセキュリティ対策と監視システムを設置してください。
R言語のRDS/RDXファイルを介したコード実行を許可する脆弱性
要約
R言語に新たな脆弱性、特別なRDS/RDXファイルで任意のコード実行。
脆弱性は「saveRDS」と「readRDS」の処理方法に関連。
RDSのメタデータに任意のコードを含むPromiseオブジェクトを埋め込み、リバースシリアライズ中の評価を悪用してコード実行。
この脆弱性は、CVE-2024-27322として識別。
Rコアの最新版(4.4.0)が対策済み。
IOCの列挙
IOC情報なし
推奨事項
Rの最新版へのアップデートを行う。
信頼できるソースからのみファイルを開く。
その他
135,000以上のRソースファイルがこの脆弱性に影響を受ける可能性あり。
ChatGPTの推奨事項
安全なソースからのファイルのみ開き、定期的にソフトウェアを更新してください。
Googleは一部のAndroidアプリのRCEバグに最大45万ドルを支払う
要約
Googleが特定のAndroidアプリのRCE脆弱性報告に報酬を大幅増額。
最高報酬は45万ドルで、特定のTier 1アプリケーションに適用。
プログラムはGoogle Playサービスなど重要アプリを対象に。
報告の品質に応じて基本報酬が1.5倍になる場合も。
不要なユーザー操作なしでデータ窃盗可能なバグにも報酬。
IOCの列挙
IOC情報なし
推奨事項
セキュリティ研究者は積極的にバグを報告して報酬を獲得する。
その他
モバイルVRPは2023年に導入され、1年で多数の報告を受けた。
ChatGPTの推奨事項
アプリのセキュリティ評価を行い、バグを積極的に報告してください。
Dockerリポジトリがマルウェアとフィッシングサイトを配布していることが発見される
要約
1500万のDockerリポジトリの約20%がマルウェアやフィッシングサイトを配布
JFrogセキュリティ研究者が問題を発見し、281万のリポジトリが3つのキャンペーンに関連
ダウンローダー、eBookフィッシング、WebサイトSEOの3つ
「ダウンローダー」と「eBookフィッシング」キャンペーンが、バッチ処理を用いて大量の偽リポジトリを生成
「WebサイトSEO」キャンペーンは数は少ないが毎日数件のリポジトリを作成。またリポジトリ毎に別ユーザを準備
調査したJFlogは、320万の怪しいリポジトリをDockerセキュリティチームに連絡、Dockerセキュリティチームは全てDocker Hubから削除した
IOCの列挙
IOC情報なし
推奨事項
Dockerユーザーは使用するリポジトリの安全性を確認する必要がある
定期的なセキュリティ監査とリポジトリの検証を実施
安全でないリポジトリの使用を避け、公式なソースからのみデータを取得する
その他
各キャンペーンの目的
ダウンローダー: 海賊版コンテンツやチートなどを使って、マルウェア感染を誘う
eBookフィッシング: 電子書籍の無料ダウンロードで誘い、フィッシングサイトへ誘導しクレジットカード情報を窃取
WebサイトSEO: 目的が不明(他の悪意ある活動を行う前のテストである可能性あり)
ChatGPTの推奨事項
Dockerユーザーはリポジトリの安全性を定期的に確認し、信頼できるソースからのみデータを取得すべきです
新たなWpeeper Androidマルウェア、ハッキングされたWordPressサイトに隠れる
要約
新Androidマルウェア「Wpeeper」が非公式アプリストアで発見される
このマルウェアは、C2サーバの所在を隠すために、ハッキングされたWordPressサイトをリレーサーバとして利用
Wpeeperは、パッシブDNSデータなどにより発見時点で数千台の感染があると思われる。ただし、明確な活動規模は不明
マルウェアの機能はデータ盗取が中心。13のコマンドセットを持っている
専門家は公式ストアからのアプリインストールを推奨
IOCの列挙
IOC情報なし
推奨事項
Androidユーザーは公式のGoogle Playストアからのみアプリをインストールすべき
その他
Uptodown App Storeを模倣した、少なくとも2つの非公式アプリストアで発見された
攻撃者は現在不明
ChatGPTの推奨事項
Androidデバイスのセキュリティ設定を確認し、信頼できるソースからのみアプリをインストールすべきです
Change Healthcare、MFAがないCitrixアカウントが盗まれたことによりハッキングされる
要約
Change Healthcareは、MFAなしのCitrixアカウントが盗まれた結果、ハッキングされた
BlackCatランサムウェアグループがこの攻撃を行い、大規模な運用障害を引き起こした
攻撃は2月21日の朝に発生し、9日間ネットワーク内で活動
組織はデータセンターのネットワークを完全に再構築し、システムを安全にするための措置を講じた
この攻撃により約8億7200万ドルの損害が発生
IOCの列挙
IOC情報なし
推奨事項
組織は多要素認証の使用を強化し、従業員教育を徹底すること
その他
攻撃はBlackCatランサムウェアグループによって行われた
ChatGPTの推奨事項
多要素認証を有効にし、従業員に対するサイバーセキュリティ研修を定期的に実施することを推奨します
日本のインシデント事例
その他のメモ
N/A