Daily Security Info - 2024/05/15
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
N/A
日々のニュース要約
シンギング・リバー・ヘルス・システムのデータ89万5000件、ランサムウェア攻撃で盗まれる
要約
895,000件の患者データがランサムウェアにより盗まれた
シンギング・リバー・ヘルス・システムが被害を報告
医療情報や個人識別情報が含まれる
Rhysidaランサムウェアグループが犯行を主張
被害者には信用監視サービスを提供
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃者はRhysidaランサムウェアグループ、医療施設を多くターゲットにしている
ChatGPTの推奨事項
身元不明の連絡に注意し、アカウントを監視すること
Microsoft、Windowsのゼロデイ脆弱性を修正—QakBotマルウェア攻撃に利用
要約
Windowsのゼロデイ脆弱性がQakBotに悪用された
CVE-2024-30051は特権昇格のバグ
DWMライブラリのバッファオーバーフローが原因
マイクロソフトがパッチを配布し修正
複数のセキュリティ企業が報告と協力
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
すでに修正されており、攻撃は検出済み
QakBotは、長年にわたり様々なランサムウェアの初期感染ベクトルとして機能していたもの。
ChatGPTの推奨事項
すぐに最新のパッチを適用すること
Microsoft、2024年5月のパッチチューズデーで3つのゼロデイと61の欠陥を修正
要約
Microsoftが61のセキュリティ脆弱性を修正。3つのゼロデイ脆弱性が修正された。
ゼロデイ3件のうち、既に攻撃で悪用済みのものが2件、公開されていたものが1件だった。悪用済みの2件の詳細が以下。
CVE-2024-30040 - Windows MSHTML プラットフォームのセキュリティ機能バイパスの脆弱性
CVE-2024-30051 - Windows DWM コア ライブラリの特権昇格の脆弱性
クリティカルな脆弱性(CVE-2024-30044)はSharePoint Serverのリモートコード実行に関連する脆弱性
その他の欠陥には様々なカテゴリが含まれる
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
修正された問題は既に公表されているか、攻撃で利用されていた
ChatGPTの推奨事項
すぐにパッチを適用し、システムを更新すること
Eburyボットネットが2009年以来40万台のLinuxサーバーを感染させる
要約
Eburyボットネットは2009年から40万台を超えるLinuxサーバーに感染し、2023年後半の時点でもまだ約10万台が侵害。
金銭目的のマルウェアで、攻撃手法は進化し続けている。
最近の攻撃では、ホスティングプロバイダーをターゲットとし、そのプロバイダー上でサーバをレンタルしているユーザーを狙うサプライチェーン攻撃を好む。
認証情報やSSH鍵を盗むことで他のサーバーに侵入。
サーバーから暗号通貨やクレジットカード情報を盗むことも。
IOCの列挙
IOC情報なし
推奨事項
強力な認証情報の管理と定期的な変更を推奨。
不審なログイン試行を監視し、アクセス制御を強化すること。
既知の脆弱性に対して定期的にパッチを適用すること。
その他
この攻撃はまだ進行中で、ESETとオランダのハイテク犯罪対策局(NHTCU)が協力して調査。
ChatGPTの推奨事項
強力なパスワードポリシーの採用と多要素認証の強化を推奨。
Safari WebKitのゼロデイ脆弱性、Pwn2Ownで悪用された後にAppleが修正
要約
AppleがSafari WebKitのゼロデイ脆弱性を修正。
脆弱性はPwn2Own Vancouver 2024で悪用された。
CVE-2024-27834として追跡され、macOS MontereyとVenturaで修正。
ポインタ認証をバイパスするリモートコード実行のリスクあり。
アップデートはmacOSの更新なしでSafariから直接可能。
IOCの列挙
IOC情報なし
推奨事項
SafariとmacOSの最新セキュリティアップデートを適用すること。
その他
攻撃は現在知られており、迅速な修正が推奨される。
ChatGPTの推奨事項
ブラウザとOSのアップデートを常に最新の状態に保つことを推奨。
AppleとGoogle、iOSとAndroidに不明なBluetoothトラッカーの警告を追加
要約
AppleとGoogleがiOSとAndroidでBluetoothトラッカー警告を実装。
新機能は未知のトラッキングデバイスを検出しユーザーに通知。
この機能はiOS 17.5およびAndroid 6.0+で利用可能に。
トラッカーの識別と音声再生機能が提供される。
古いデバイスはこの新機能の検出を回避可能。
IOCの列挙
IOC情報なし
推奨事項
最新のOSアップデートを確実に適用すること。
その他
アップデートは不正使用を防ぐために重要。
ChatGPTの推奨事項
デバイスのアップデートを定期的に行い、プライバシーを確保することを推奨。
VMware、Pwn2Own 2024で悪用された三つのゼロデイバグを修正
要約
VMwareがPwn2Own 2024で悪用された3つのゼロデイを含む4つの脆弱性を修正。
修正された脆弱性にはCVE-2024-22267(CVSSv3.1:9.3), CVE-2024-22269(CVSSv3.1:7.1), CVE-2024-22270(CVSSv3.1:7.1)が含まれる。
脆弱性はWorkstationとFusionデスクトップハイパーバイザーに影響。
一部の脆弱性はリモートコード実行や情報漏洩のリスクを持つ。
ユーザーにはすぐに最新のセキュリティアップデートを適用するよう推奨。
IOCの列挙
IOC情報なし
推奨事項
VMware製品のセキュリティパッチを速やかに適用すること。
その他
これらの修正はPwn2Ownの結果に基づくもの。
「VMware Workstation 17.5.2」「VMware Fusion 13.5.2」で修正済み。
ChatGPTの推奨事項
セキュリティパッチの適用と継続的なモニタリングを推奨。
Google Chrome緊急アップデートで2024年に悪用された6つ目のゼロデイを修正
要約
GoogleがChromeの重大なゼロデイ脆弱性を修正。
CVE-2024-4761と追跡され、V8 JavaScriptエンジンに影響。
境界外書き込みにより任意コード実行が可能。
脆弱性は公に悪用されていると報告されている。
バージョン124.0.6367.207/.208でMac/Windows向けに提供。
IOCの列挙
IOC情報なし
推奨事項
速やかにChromeを最新バージョンに更新すること。
その他
なし
ChatGPTの推奨事項
定期的なセキュリティアップデートを確認し、適用することを推奨。
PyPiパッケージがSliverペンテストスイートを使用してMacをバックドア化
要約
PyPiパッケージがMacバックドアにSliverを使用。
'requests-darwin-lite'が悪意あるパッケージとして特定。
PNGファイル内にステガノグラフィでSliverのバイナリが隠されている。
インストール時にシステムUUIDを確認しターゲットを特定。
パッケージは削除されたが、標的型攻撃の可能性が高い。
IOCの列挙
IOC情報なし
推奨事項
PyPiからのパッケージを慎重に検証しインストールすること。
その他
脆弱性は特定のUUIDを持つターゲットに対するもの。
ChatGPTの推奨事項
ソースが信頼できるかどうかを確認後にソフトウェアをインストールすることを推奨。
Appleが古いiPhone向けにゼロデイ脆弱性の修正をバックポート
要約
Appleが古いiPhoneとiPadにセキュリティパッチをバックポート。
CVE-2024-23296として追跡されるゼロデイはメモリ破損問題に関連。
iOS 16.7.8, iPadOS 16.7.8, macOS Ventura 13.6.7で修正実施。
修正はiPhone 8、iPhone X、初代iPad Pro等に適用。
ゼロデイ攻撃の詳細は明らかにされていないが、iOSのゼロデイは特定の高リスクな個人に対するスパイウェア攻撃に使われることが多い。
IOCの列挙
IOC情報なし
推奨事項
対象デバイスに最新のセキュリティアップデートを適用すること。
その他
なし
ChatGPTの推奨事項
可能な限り早急にセキュリティアップデートを適用することを推奨。
FCCが初めてタグ付けしたロボコール脅威アクター「Royal Tiger」を公表
要約
FCCが初めて正式にロボコール脅威アクターを指定、「Royal Tiger」と名づけた。
インド、英国、UAE、米国から運営されている。
政府機関や銀行、ユーティリティ会社を装ってロボコールを行う。
違法なスプーフィング番号と偽のクレジットカードレート削減オファーが特徴。
FCCはこのグループに対して積極的な対策を強化している。
IOCの列挙
Illum Telecommunication Limited, 社名, 知られていない, ロボコールに使用, NA
PZ Telecommunication LLC, 社名, 知られていない, ロボコールに使用, NA
One Eye LLC, 社名, 知られていない, ロボコールに使用, NA
推奨事項
不審なコールに注意し、情報を無断で共有しないこと。
その他
このグループは広範囲にわたる国際的な操作を行っている。
ChatGPTの推奨事項
不審な通信には警戒し、公式ルートで確認することを推奨。
INCランサムウェアのソースコード、ハッキングフォーラムで30万ドルで販売
要約
INCランサムウェアのソースコードがハッキングフォーラムで販売中。
販売価格は30万ドルで、購入者は3人に限定されている。
WindowsとLinux/ESXiバージョンのソースが含まれる。
ソースコード販売はランサムウェアの拡散に寄与する可能性がある。
販売者はハッキングフォーラム上で「salfetka」と名乗り、2024年3月から活動していた。
IOCの列挙
IOC情報なし
推奨事項
ランサムウェア攻撃に備えて予防策を強化すること。
その他
販売活動はランサムウェア攻撃の技術的進化に影響を与える可能性がある。
2024年5月1日にINCランサムウェアのリークサイトが新サイトに移行しているが、これがこの販売と関連しているかは不明
ChatGPTの推奨事項
サイバーセキュリティ対策を強化し、ランサムウェア攻撃への備えを確認することを推奨。
企業へのスパムメールと電話による連続攻撃キャンペーンが進行中
https://thehackernews.com/2024/05/ongoing-campaign-bombarded-enterprises.html
要約
企業を対象にしたソーシャルエンジニアリングキャンペーンが進行中。
スパムメールを送信し、初期アクセスを得ることを目指す。
大量のスパムメールを送信後、電話をかけてサポートを申し出る。応答したユーザーにリモート管理ソフトウェアのダウンロードを促す。
その後、資格情報の収集や持続的なアクセスを目的としたペイロードをダウンロード。追加のリモート監視ツールやトロイの木馬が配信される。
このキャンペーンは、2024年4月下旬から進行している。
IOCの列挙
IOC情報なし
推奨事項
不審なコミュニケーションに注意し、安全対策を講じること。
その他
ランサムウェア攻撃の証拠はないが、関連する攻撃インジケーターがBlack Bastaに関連する以前のインジケーターと一致している。
ChatGPTの推奨事項
セキュリティ教育を強化し、不審な電話やメールに警戒することを推奨。
日本のインシデント事例
N/A