見出し画像

Week in review - 2024/04 week03

tmho

(修正 at 24/04/22)間違えて1週間前のものを貼ってましたので、修正しました。。

Week in reviewは、毎週の振り返りです。
ニュース情報などから今週気になったことなどに対し、その内容と所感を書いていきます。

対象期間

以下期間における週の振り返りです。

  • 2024年04月13日 ~ 2024年04月19日

レポート内容

3 Topics

今週のニュースの中で、3つ特に注目したトピックを選びました。

  1. SteganoAmor攻撃が全世界の320の組織を標的に

  2. Cisco、VPNサービスに対する大規模なブルートフォース攻撃に警告

  3. フィリピンをターゲットとした偽情報とハクティビストキャンペーンが急増

それぞれ、以下に個別に書いていきます。

SteganoAmor攻撃が全世界の320の組織を標的に

https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally/

所管

ステガノグラフィ[1]を使った攻撃キャンペーンが世界的に行われているようですね。
最初に配布されるドキュメントに仕込まれているCVE-2017-11882のエクスプロイトは、Agent Teslaのマルスパムではよく使われて来たものですね。今回はその他様々なマルウェアが配布されるようですが。(FormBookやRemcos、LockBotなど)

この件、少し前からXでmoto_sato氏(@58_158_177_102)投げられていた日本語のマルスパムと同じキャンペーンだったようですね。以下の記事も公開されていて、詳細に解説してくれています。

感染の流れは以下の通りです。元々Xでベースで見たものと同じですね。(当たり前ですが)

  • .tar.lz > .vbs -- paste[.]eeから文字列取得 > powershell(filess) -- 画像サイトから画像を取得(ステガノグラフィでコマンドが仕込まれている) > .NETローダー

この最初のvbsファイルは、今後も使うもののようで、programdata内にコピーしたうえでレジストリのRunにセットすることで永続化も行っています。
この記事でのペイロードはAgentTeslaであり、外部へのデータ窃取にはメールを利用する様になっていたようです。

[1] こちらを参照: https://www.nri.com/jp/knowledge/glossary/lst/sa/steganography

Cisco、VPNサービスに対する大規模なブルートフォース攻撃に警告

https://www.bleepingcomputer.com/news/security/cisco-warns-of-large-scale-brute-force-attacks-against-vpn-services/

所管

2024年3月18日以降、世界的に増加しているようです。残念ながら統計的なデータが公開されていないため、どれだけ増加しているのかは明確にわかりません。
VPN・RDPは攻撃者、特にランサムウェアアクターなどのサイバークライム系、及びそこにアクセス権を販売するIABにとって魅力的なターゲットです。
なので、VPNなどへのブルートフォースは常時起きていると考えるべきではありますが、今回はかなり大規模であったようでCiscoがレポートを出しています。
これを機に、アカウントパスワードなどに関して見直しをするのもいいのではないかと思います。

フィリピンをターゲットとした偽情報とハクティビストキャンペーンが急増

https://securityaffairs.com/161909/intelligence/misinformation-targeting-the-philippines.html

  • dailynewsの情報

    • フィリピンに対する偽情報とハクティビストキャンペーンが急増しており、前年比3倍増

    • 情報操作は政治的・社会的に不安を煽る目的で行われる

    • 多数の偽アカウントが様々なプラットフォームで活動を展開

    • 政治選挙への影響が特に顕著

所管

ハクティビストの行為として一般に知られるSNSでの広告とDDoS以外の攻撃がかなり見られているようでしたので、取り上げました。
ただ、この内容は、どちらかというとハクティビストによるサイバー攻撃を取り上げてますね。ハクティビストというとDDoSという印象がありますが、データ窃取とアンダーグラウンドフォーラムでのリークも行っていることが描かれています。
使われているのが、TelegramとBreachForumsであり、この辺りは一般的なサイバークライムの傾向と同じだと感じます。
ここで言われるディスインフォメーション作戦は、サイバー攻撃と合わせて偽のサイバー攻撃情報を組み合わせる行為が行われていたようです。

中国との緊張関係もあり、2024 年第 1 四半期にフィリピンをターゲットとした悪意のあるサイバー活動が大幅に急増し、前年同期と比較して325%近く急増しています。
地域も近いですし、日本はフィリピン(及びアメリカ)と同じ陣営であり、こういったDDoS以外の攻撃がかなり見られていることについては、要注目ですね。

other topics

その他、ニューストピックの中で私が気になったものは以下です。

  • Rustの人気パッケージliblzma-sysにXZ Utilsバックドアが見つかる

    • XZ Utilsの件の影響がこちらにも及んでいたようですね。該当のliblzma-sysは0.3.2で仕込まれ、0.3.3で修正されました。

    • RustはWindows版でコマンドインジェクションの脆弱性もありましたし、ここ最近は少し話題になってましたね。

  • GoogleのAIプラットフォーム、セキュリティ分野での影響を拡大

    • GoogleがChronicle(SIEM)で、生成AIの活用を拡張するとのことです。

    • MicrosoftもAzureでSecurity Copilotを一般公開しましたが、どちらも同じように精力的にセキュリティへの拡張を行っていってるな、という印象です。

    • Googleの場合はVirusTotalもありますし、Mandiantもいます。一方MicrosoftはWindows+Defenderで培った情報がありますからね。今後に要注目です。

  • 音声認証システムに対するAI技術の脅威

    • 今まで、詐欺への活用が大きく取りざたされましたが、音声認証システムも突破されるとなるとまたディープフェイクによる影響が懸念されますね。

    • ちなみに詐欺については、今週以下のLastPassの件が出ていました。ディープフェイクが犯罪の方でも実用化が進んできているな、というのを感じます。

    • 詐欺以外にも影響力工作(ディスインフォメーションキャンペーンなど)にも活用されることがあり得ますし、対策が急がれる分野だと思います。

    • なお、FTC(米国連邦取引委員会)は、昨年(2023年)11月にボイスクローニングチャレンジというものを開始しましたが、これの結果が出ていました。

      • これは今回取りざたされるようなディープフェイクによる偽音声への対策アイディアを公募し、最大25,000ドルの賞金を懸けたものです。

      • こちらがその結果です。対策に関して検討したい人はご覧いただければ。私はまだ見れてません。。( link )

  • 悪質なユーザーがGitHubの検索結果を操作してマルウェアを配布

    • 偽ライブラリをあげて情報窃取型マルウェアなどへの感染を誘う行為は、GitHub・PyPI・NPMなどの人気で一般に利用可能な場所ではよく行われています。

    • 今回は、この偽ライブラリ(基本たタイポを狙ったもの)で、騙されやすいようにするためにスターを使い捨てのアカウントなどでたくさんつけたり、コード変更などを頻繁に行って、活発であるように装う方法が出ていました。

    • スターを信じる人を多いですよね?そう考えると今後は少し注意が必要ですね。

      • 正直私もスターやアクティビティは参考にしてますし、それ自体は悪いことだと思ってません。

  • Kimsukyは寛容なDMARCポリシーを利用してメールを偽装

    • DMARCは重要ですが、きちんと制御するようにしないと意味がない、というお話ですね。この点はKimsukyだから、という話ではないです。

    • 色々取りざたされるので、とりあえず入れるだけ入れた、という人も正直いると思います。ただ、ちゃんと設定しましょう、という全てのセキュリティ機器に言えることが個々でも言える、ということですね。

  • Palo Alto NetworksのPAN-OSにおける脆弱性が攻撃で利用され、修正パッチが必要

    • 既に先週取り上げましたが、パッチがリリースされたようですね。

    • そして攻撃コードも既に公開されています(CookieのSESSIDに仕込むようですね)。まだ脆弱なシステムが公開されていると出ていますし、すぐに適用しましょう。

  • GPT-4は脅威のアドバイザリを読むだけでほとんどの脆弱性を悪用できるとの指摘

    • 15の脆弱性をテストし、うち13個でエクスプロイトに成功したとのことでした。論文も公開されています。( https://arxiv.org/pdf/2404.08144.pdf )

      • GPT-4は、2023年12月までの情報を学習(2024/4/20にChatGPTに聞きました)していると思われます。また、論文内ではナレッジカットオフは2023/11/6でした。しかし、この件は「CVE-2024-21626」などの2024年以降の脆弱性も対象になっています。なので学習済みだったから、ではないようですね。

      • 論文内では、これを行った際のプロンプトは公開していません。また彼らが作成したLLM CVE agentというもののシステムダイアグラムが論文のP.5にあります。

      • なお、本論文ではプランニングLLMやサブエージェントを使っていないため、さらに能力向上する余地があると言っています。

      • 検証している脆弱性について、全てCVEも載っています。是非ご確認ください。

      • LLM CVE agentが使うツールは、Web browsing elements・ターミナル・Web検索・ファイル作成と編集・コード実行などの機能があるようです。

    • 正直、これについてまだよくわからず悩んでいます。他の研究などをもう少し待って有効性を見たいと思っています。

      • かなり気になる点は、CVE agentが持つweb検索(Web search results)ですね。GitHubとかでPoCが公開されていることはよくありますし、それを持ってきている可能性もあるのでは、と感じてます。(多分これ読んだ人もこの疑念は持つはず)

        • 一応、見る限り一番新しい「CVE-2024-24156」はPOCがGitHubでもinthewild等でも出てこなかったです。もちろん私の知らないところで公開されている可能性もありますが。なので公開POCを持ってきているだけとは言い難いとも考えています。(サンプルが少なくて何とも言い難いですが)

    • ただ、GPT-5が今年(2024年)夏に出るという話もあります。今後、生成AIの能力がさらに向上していくことを考えると、大きな脅威となることは予想されますね。

    • この論文の内容を私がまだ掴み切れてません。なので間違ったことを言ってるかもしれません。詳しく知りたい方は是非論文を見てください。

other topicsの方が長くなってしまいました。。

その他

その他気になっていることをつらつらと。

情報窃取型マルウェアは非常に一般的な脅威になっていますが、最近ウォレットドレイナーやクリッパーなどの仮想通貨を狙った攻撃が増えた気がします。
参考: https://blog.kaspersky.co.jp/what-is-a-crypto-wallet-drainer/35783/

今週あったドレイナーの件は以下です。

金銭目的の攻撃者にとって仮想通貨は重要なターゲットですから、こういったものが増加するのは必然だと思います。
そして、最近ランサムウェアへの取り締まりがかなり成果を出しているとも思いますので、このタイプのマルウェアが増加するかもしれないな、と感じています。
日本でも仮想通貨を投資で扱っている人は多いと思います。この手のマルウェア(及び同じ流れでいえば投資詐欺)には気を付けましょう。

最後に

今週は、結構気になるニュースが多かったですね。
これ以外にもマルバタイジングがまた活性化しているな、と感じており、それも気になりました。

いいなと思ったら応援しよう!