このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
8月1日収集
全般
LockBit ransomware abuses Windows Defender to load Cobalt Strike
メール応答
Prevent email phishing attacks this summer with 3 defensive measures
夏期休暇の時期になっていますが、オフィス外(out of office、略してOOO)での返信には注意が必要と言う話のようです。
夏期休暇中の連絡先を別途メールに記載したりするのがリスクになると言うことのようです。
Outlookの機能で不在時自動応答機能があったと思います。この自動応答に署名 を入れていると、情報を窃取されてフィッシングに利用されるリスクがあると言うことでしょうか。確かに、自動応答を設定すると、メールが届きさえすれば即座に返信してしまいますね。
休暇中の連絡先として個人メールアドレスや電話番号を記載しておくと、情報提供してしまうことにつながりますね。
https://www.techrepublic.com/article/summer-phishing-defense/
usbデバイスを介して感染するマルウェア
フィッシング
えきねっとをかたるフィッシング、 件名「【重要】えきねっとアカウントの自動退会処理について」などの不審なメールに注意
夏休みの時期となり、えきねっとを活用する人が増えることも関係しているのかもしれませんね
ファナックを装ったなりすましメールにご注意ください
レポート
ENISA Threat Landscape for Ransomware Attacks
ランサムウェアのライフサイクル、ビジネスモデル、インシデントの分析などが書かれているようです。
https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks
8月2日収集
全般
Australia charges dev of Imminent Monitor RAT used by domestic abusers
Gootkit Loader Resurfaces with Updated Tactic to Compromise Targeted Computers
2020年頃に活動のあったGootkitが新しい戦術で再浮上という記事。SEOポイズニングによってZIPをダウンロードさせて感染させるという手口は変わらないようです。
https://thehackernews.com/2022/07/gootkit-loader-resurfaces-with-updated.html
関連
Investigating the Gootkit Loader
パスワードのクラウド保存で不正利用されても補償外?ゆうちょ銀行の強気な姿勢
実際、クラウドにパスワードを保存していて不正利用されるケースは、不正送金のインシデントでは、かなりの頻度で聞きますね。
ランサムウェア
BlackCat ransomware claims attack on European gas pipeline
関連
Ransomware Hit on European Pipeline & Energy Supplier Encevo Linked to BlackCat
情報漏洩
Over 3,200 apps leak Twitter API keys, some allowing account hijacks
Twitterからの漏洩。最近、個人情報漏洩の可能性の話があったばかりなのですが...。
8月3日収集
全般
Chinese hackers use new Cobalt Strike-like attack framework
脅威ハンティングサービス、Microsoft
Microsoft、セキュリティ専門家の知見を提供する脅威ハンティングサービスを開始
DDoS
Taiwanese government sites hit with DDoS attacks ahead of Pelosi's visit
台湾政府サイトへの攻撃のようです。
関連
Increase in Chinese "Hacktivism" Attacks
不正アクセス報告
委託先における外部からの不正アクセスに関するお詫びとご報告(日本英語検定協会)
サプライチェーン攻撃に該当するのですかね。SQLインジェクションとのことです...。
関連
「キャリタス資格検定」への不正アクセスに関するご報告とお詫び(第2報)(DISCO)
サービスを管理する企業側の報告ですね。SQLインジェクション...。
【緊急】 当社サーバー障害のお知らせ(第2報)(三和倉庫)
第1報では障害としていましたが、不正アクセスとのことです。
弊社が運営するオンラインショップへの不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ(株式会社大都)
手法はフィッシングという記載がありますが、サイトが改ざんされているようにも読めます。正しくはどちらなのでしょうか。
個人情報漏洩報告
個人情報の漏洩についてのお詫びとご説明(北区)
お客様情報の漏えいについてのお詫びとご報告(ジャパンデンタル)
8月4日収集
全般
GitHub blighted by "researcher" who created thousands of malicious projects
VirusTotal Reveals Most Impersonated Software in Malware Attacks
偽装に用いられる正規アプリのアイコン
https://thehackernews.com/2022/08/virustotal-reveals-most-impersonated.html
マルウェア
Woody RAT: A new feature-rich malware spotted in the wild
ロシアの組織がWoody RATで攻撃を受けたようです。
Russian organizations attacked with new Woody RAT malware
ランサムウェア
Spanish research agency still recovering after ransomware attack
スペインの国立研究評議会(CSIC)が受けた攻撃。ロシアのハッカーだそうです。
暗号資産(仮想通貨)からの流出
Cyberattackers Drain Nearly $6M From Solana Crypto Wallets
https://www.darkreading.com/cloud/cyberattackers-drain-6m-solana-crypto-wallets
関連
Solana ecosystem hit by hack draining millions in crypto from 8,000 hot wallets
8月5日収集
全般
標準から学ぶICSセキュリティ
制御システム系のセキュリティ標準の解説
第1回 クレジットカード決済システムの対策強化検討会
レポート
2021 Top Malware Strains(CISA、ACSC)
2021年に観測された上位のマルウェアに関するレポート。
https://www.cyber.gov.au/acsc/view-all-content/advisories/2021-top-malware-strains
不正アクセス報告
最近は、ランサムウェアによる被害をシステム障害として報告するようになってきたのか?と思ったら、下記3社は同じグループの企業のようですね。
システム障害 メールシステム復旧のお知らせ(WDB株式会社)
システム障害のお知らせ(ネゾット株式会社)
システム障害のお知らせ(WDBココ株式会)
情報漏洩
個人情報入ったUSBを職員が紛失 日出町教育委員会
8月8日収集
バックドア
A threat actor, tracked as TAC-040, exploited Atlassian Confluence flaw CVE-2022-26134 to deploy previously undetected Ljl Backdoor.
アトラシアン製品の脆弱性を悪用しているようです。
https://securityaffairs.co/wordpress/134033/hacking/tac-040-ljl-backdoor.html
ボットネット
RapperBot is a new botnet employed in attacks since mid-June 2022 that targets Linux SSH servers with brute-force attacks.
ランサムウェア
New GwisinLocker ransomware encrypts Windows and Linux ESXi servers
韓国が標的という記事がありますね。
関連
GwisinLocker ransomware exclusively targets South Korea
C2-as-a-Service(C2aaS)
A Growing Number of Malware Attacks Leveraging Dark Utilities 'C2-as-a-Service'
Dark Utilitiesというサービスでフル機能のC2機能を提供するプラットフォームだそ うです。分業化が進んでいるということでしょうかね。C2aaSはなんと読むのでしょうかね。
https://thehackernews.com/2022/08/a-growing-number-of-malware-attacks.html
Cisco Talosのレポート
ttackers leveraging Dark Utilities \"C2aaS\" platform in malware campaigns
脆弱性
Zimbra bug allows stealing email logins with no user interaction
ブラウザ
北朝鮮のハッカーがGmailの中身を盗み見る巧妙な手口とは?
国家レベルのサイバー攻撃の一環ですが、ブラウザ拡張機能を悪用していると言う点が気になりました。VBAが使えなくなって、次の技術へのシフトが為されていますが、EMOTETも対応したように、ブラウザ機能拡張もその一つになりそうに思います。
https://gigazine.net/news/20220805-north-korean-hackers-read-gmail/
DuckDuckGo browser now blocks all Microsoft trackers, most of the time
DuckDuckGoブラウザがMicrosoftトラッカーをブロックするようになるという記事。User-Agentを見ていると、時々出てくるブラウザとして記憶してます。
関連
DuckDuckGo browser now blocks all Microsoft trackers, most of the time
ウクライナ
Meta、ハッカーに関する報告書を発表 - ロシアの偽アカウントへの対応などを説明
個人情報漏洩
厚労省委託先のPCがウイルス感染、個人情報61件流出か...「なりすましメール 」届き発覚
Twitter confirms zero-day used to expose data of 5.4 million accounts
以前の記事では漏洩の可能性段階でしたが、ゼロデイが見つかって漏洩が確定したようですね。日本ではTwitter利用者が多い認識ですが、あまり話題にならないですよ ね......。
8月9日収集
Androidマルウウェア
Slack
Slack leaked hashed passwords from its servers for years
ランサムウェア
Ransomware review: July 2022
不正アクセス報告
【重要】不審なメールに関するお知らせとお詫び(株式会社SRA)
経緯等が記載されており、Emotetの報告としては目を通す価値ありと思います。
https://www.sra.co.jp/Portals/0/files/topics/topics2022/emotet.pdf
注意喚起
夏季の長期休暇において実施いただきたい対策について(注意喚起)(NISC)
8月10日収集
全般
サイバーセキュリティ担当者の多くは燃え尽き症候群に陥っている
日本ではどうなんですかね。
フィッシング
「Google翻訳」の正規URLから誘導する不審なメールに注意、誘導先で個人情報やカード情報 を詐取
マルウェア解析
Cyber Security Specialist Zoziel Pinto Freire shows an example of malicious file analysis presented during his lecture on BSides-Vitoria 2022.
Twitter情報漏洩
VBA無効化
Helping users stay safe: Blocking internet macros by default in Office
脆弱性
A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩(JPCERT/CC)
ディープフェイク
ディープフェイクを使ったサイバー攻撃が増加 - ヴイエムウェア調査
8月12日収集
全般
MFA(多要素認証)を突破するフィッシング攻撃の調査
Emotet
攻撃手法を変容するEmotetに対してマクロのセキュリティ強化を図るマイクロソフト
実際のフィッシングメールの画像が載ってるのがありがたいです。
https://eset-info.canon-its.jp/malware_info/special/detail/220810.html
脆弱性
Mass Exploitation of (Un)authenticated Zimbra RCE: CVE-2022-27925
8/8に記載したZimbraの脆弱性とは番号が一つ違うようですが、悪用状況の分析記事のようです。
Microsoft Patches 'Dogwalk' Zero-Day and 17 Critical Flaws
Twitter情報漏洩
不正アクセス
Cisco discloses a security breach, the Yanluowang ransomware group breached its corporate network in late May and stole internal data.
https://securityaffairs.co/wordpress/134278/hacking/yanluowang-ransomware-hacked-cisco.html
関連
Cisco hacked by Yanluowang ransomware gang, 2.8GB allegedly stolen
教育機関
Education hammered by exploits and backdoors in 2021 and 2022
不正アクセス報告
第四報(経過報告)弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告(ディスクユニオン)
関連
8月15日収集
脆弱性
Experts warn of mass exploitation of an RCE flaw in Zimbra Collaboration Suite
https://securityaffairs.co/wordpress/134314/hacking/zimbra-rce-actively-exploited.html
関連
Researchers Warn of Ongoing Mass Exploitation of Zimbra RCE Vulnerability
Researchers Uncover UEFI Secure Boot Bypass in 3 Microsoft Signed Boot Loaders
https://thehackernews.com/2022/08/researchers-uncover-uefi-secure-boot.html
関連
Microsoft blocks UEFI bootloaders enabling Windows Secure Boot bypass
Androidマルウェア
Novel Ransomware Comes to the Sophisticated SOVA Android Banking Trojan
DDoS
Russian hacker group Killnet claims to have launched a DDoS attack on the aerospace and defense giant Lockheed Martin.
スミッシング
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた
twilloの報告
Incident Report: Employee and Customer Account Compromise
コールバック フィッシング
The Conti ransomware gang is using BazarCall phishing attacks as an initial attack vector to access targeted networks.
この記事ではバザール(バザー)コール攻撃と呼んでますね。英語をちゃんと読めているか少し自信ないですが、電話をすると攻撃者がリモートデスクトップツールのインストールを促してやりとりしている間に、いろいろと細工する手口と読みました。
8月17日収集
フィッシング
スミッシング
Phone numbers of 1,900 Signal users exposed as a result of Twilio security breach
不正アクセス
Hackers attack UK water supplier but extort wrong company
自動車セキュリティ
現代(ヒョンデ)の車をハッキングして独自のアプリを動作させることに成功したという報告
脆弱性
不正アクセス報告
メール配信ツール「MailChimp」で不正アクセスがあったとDigitalOceanが報告
https://article.auone.jp/detail/1/3/7/48_7_r_20220816_1660619982922149
関連
New MailChimp breach exposed DigitalOcean customer email addresses
報告本体
Impact to DigitalOcean customers resulting from Mailchimp security incident
当社名を用いた脅迫メール・不審メール等へのご注意のお願い(株式会社アットキャド)
Emotetではなさそうです。
情報漏洩
府立高校が作成したウェブフォームでの個人情報の流出について(大阪府)
8月18日収集
全般
インフラへの攻撃で「メガトン級」の被害、建設情報の流出にも用心
Windowsパッチ不具合
Windows KB5012170 update causing BitLocker recovery screens, boot issues
Google Chromeパッチ
New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild
Appleパッチ
Apple security updates fix 2 zero-days used to hack iPhones, Macs
サイバー世界情勢
China-Backed RedAlpha APT Builds Sprawling Cyber-Espionage Infrastructure
不審メール報告
【注意喚起】不審メール(なりすましメール)に関するお知らせ(ベッセルホテルズ)
8月19日収集
クリプトジャッキング
Hardware-based threat defense against increasingly complex cryptojackers
DDoS
OneDriveの悪用
ブラウザ機能拡張の悪用
Browser extension threat targets millions of users
攻撃者がVBAからシフトする技術になるのではないかと懸念しています。
https://www.techrepublic.com/article/browser-extension-threat-targets-millions-of-users/
訓練
日本シーサート協議会、セキュリティ対策のメール訓練手引き書を公開
メール訓練手法検討サブ WG の活動概要(NCA)
サイバー世界情勢
China's APT41 Embraces Baffling Approach for Dropping Cobalt Strike Payload
脆弱性
ジャネット・ジャクソンのヒット曲を再生すると古いHDDがクラッシュする脆弱性が話題に
共振周波数攻撃。CVE番号が発行されているとのこと。CVE-2022-38392。
https://gigazine.net/news/20220819-hdd-crash-janet-jackson-music/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38392
8月22日収集
Wordpress(フェイクDDoS)
WordPress sites hacked with fake Cloudflare DDoS alerts pushingmalware
Wordpressがハッキングされ、偽のCloudflare DDoS保護ページが表示され、ボタンをクリックするとisoファイルがダウンロー ドされるようです。そのファイルがDDoS防御アプリであると偽って開かせるそうです。DDoS保護を偽ると言うパターンは、これまで、あまり聞いたことがないように思いました。
ビットコインATM
Hackers steal crypto from Bitcoin ATMs by exploiting zero-day bug
ビットコインATMのゼロデイを利用して仮想通貨を盗むという内容のようです。 昔あった、銀行ATMをハッキングする手口を思い出しました。
マルウェア解析
Brazil malspam pushes Astaroth (Guildma) malware
動的解析で、図がたくさん用いられており、判りやすいと思いました。
VBA無効化後の動向
TA558 cybercrime group targets hospitality and travel orgs
海外の例ですが、VBA無効化後の手口のシフトが進んでいるようです。
https://securityaffairs.co/wordpress/134622/cyber-crime/ta558-targets-hospitality-travel.html
不正アクセス報告
メルカリ不正アクセスでゲーム機購入 九大留学生逮捕
IDの入手方法が気になりました。
情報漏洩報告
キャリア支援室予約システムによる個人情報漏えいについて(徳島大学)
バンキングマルウェア
Grandoreiro banking malware targets manufacturers in Spain, Mexico
脆弱性
CISA adds 7 vulnerabilities to list of bugs exploited by hackers
Microsoft365
Russian APT29 hackers abuse Azure services to hack Microsoft 365 users
8月23日収集
全般
内向的な性格の人に向いている、IT分野の10の仕事
情報セキュリティアナリストというのが8位に入っていました。海外の記事なので、平均年収が日本の感覚とはかけ離れてますね。
マルウエア
Meet Borat RAT, a New Unique Triple Threat
この記事で取り上げられているBorat RATは、DDoSとランサムウェアと、情報窃取関連の機能が盛り込まれているみた いですね。
https://thehackernews.com/2022/08/meet-borat-rat-new-unique-triple-threat.html?m=1
ランサムウェア
Greek natural gas operator suffers ransomware-related data breach
フェイクDDoS
Fake DDoS Protection Alerts Distribute Dangerous RAT
脆弱性
RTLS Systems Found Vulnerable to MiTM Attacks and Location Tampering
リアルタイム位置情報システム。脆弱性によって位置情報を改ざんできるそうですが、スパイ映画みたいな悪用方法しか思い付きませんでした。あとは、マーケティングなどにも影響があるのですかね。
https://thehackernews.com/2022/08/rtls-systems-found-vulnerable-to-mitm.html?m=1
NIST
NIST Weighs in on AI Risk
クレデンシャルスタッフィング攻撃
FBI warns of residential proxies used in credential stuffing attacks
8月24日収集
全般
Appleの自動運転車関連プロジェクトから極秘資料を盗み出した元エンジニアに有罪判決
中国に帰国する直前に逮捕されてるそうです。
https://gigazine.net/news/20220823-former-apple-employee-guilty/
security.txtへのアクセス
Who's Looking at Your security.txt File?
アクセスログを見ていると、robots.txtやads.txtなどへのアクセスもあり、security.txtもアクセスされているのを見ますね。調べが付く範囲ではbot系のアクセスが多いように思います。
Entrustによる(?)LochbitグループへのDDoS
企業から盗んだデータを公開するサイトが謎のDDoS攻撃を受け閉鎖
全般的に、日本語の記事は2~3日遅いですね。
脆弱性
「ChromeOS」の深刻な脆弱性、マイクロソフトが発見の経緯を発表
Microsoftが発見したというのがなんとも......。
Microsoftの報告
Uncovering a ChromeOS remote memory corruption vulnerability
HYPERSCRAPE
New Iranian APT data extraction tool
AiTM
多要素認証の回避を試みる攻撃者、警戒すべきポイントは?
SaaSの悪用
Phishing attacks abusing SaaS platforms see a massive 1,100% growth
情報窃取
矢野研に不正アクセス 10万件超の個人情報が流出か
8月25日収集
脆弱性
Thousands of Hikvision video cameras remain unpatched and vulnerable to takeover
ランサムウェア
France hospital Center Hospitalier Sud Francilien suffered ransomware attack
フランスの病院がLockbitに感染し、患者を別病院に紹介する事態になったと言 う内容のようです。
OSS
重要な局面を迎えるオープンソースソフトウェアのセキュリティ
AiTM
Researchers Warn of AiTM Attack Targeting Google G-Suite Enterprise Users
AiTMがグーグルユーザーにも広がっているようです。
https://thehackernews.com/2022/08/researchers-warn-of-aitm-attack.html?m=1
大元の記事
AiTM phishing attack targeting enterprise users of Gmail(Zscaler)
ディープフェイク
Hackers used deepfakes of Binance officer to scam crypto executives
Zoomで実際の人物へのなりすましがあった事例のようです。国家間サイバー攻撃への利用の他にも、企業レベルの攻撃での悪用も、今後広がりそうな感じですかね。
C&C通信にTOXメッセンジャー
Crypto Miners Using Tox P2P Messenger as Command and Control Server
ゼロトラスト
New Zero-Trust Maturity Data: Charting Your Own Organization
ゼロトラストの成熟度に関する情報。成熟度について5段階で説明しているようです。
https://www.darkreading.com/cloud/new-zero-trust-maturity-data-charting-your-own-organization
8月26日収集
全般
Okta Hackers Behind Twilio and Cloudflare Breach Hit Over 130 Organizations
韓国
Kimsuky's GoldDragon cluster and its C2 operations
LasPass情報漏洩
LastPass developer systems hacked to steal source code
中間者攻撃で多要素認証を無効化するフィッシング
Man-in-the-Middle Phishing Attack
8月29日収集
全般
PC版「原神」のアンチチートシステムを逆手にとってアンチウイルスを無効にするランサムウェア攻撃が発見される、「原神」をインストールしていなくても標的に
https://gigazine.net/news/20220826-genshin-impact-anti-cheat-system-disable-antivirus/
関連
Hackers Are Using Anti-Cheat in 'Genshin Impact' to Ransom Victims
8/28に収集したLastPassの情報漏洩
記事数が多い。やはりツールの性質と、ソースコードが漏洩している点で大きく取り上げられているのでしょうかね。ユーザーへの影響はないようです。
LastPass data breach: threat actors stole a portion of source code
LastPass confirms attackers stole some source code
LastPass Suffers Data Breach, Source Code Stolen
LastPass source code, blueprints stolen by intruder
LastPass attackers steal source code, no evidence users' password compromised
Source code of password manager LastPass stolen by attacker
TrickBot、製造業への影響
Exploits and TrickBot disrupt manufacturing operations
脆弱性
Critical Vulnerability Discovered in Atlassian Bitbucket Server and Data Center
https://thehackernews.com/2022/08/critical-vulnerability-discovered-in.html
関連
Atlassian Bitbucket Server vulnerable to critical RCE vulnerability
オリジナルの報告
Bitbucket Server and Data Center Advisory 2022-08-24
フィッシング(0ktapus又はScatter Swine)
A Massive Hacking Campaign Stole 10,000 Login Credentials From 130 Different Organizations
アクセス管理、ID管理会社のOktaのID認証ページに似せたスタイルのSMSフィッ シングメッセージを被害者に送信し、有名なソフトウェア企業も被害を受けているようです。
https://gizmodo.com/oktapus-okta-hack-twilio-10000-logins-130-companies-1849457420
オリジナルの報告
Roasting 0ktapus: The phishing campaign going after Okta identity credentials
NATOによる軍事機密文書データ侵害の影響評価
Nato investigates hacker sale of missile firm data
Mimikatz
What is Mimikatz? The Beginner's Guide
サイバー攻撃でよく利用されるMimikatzについて、その由来から説明してくれています。こういうMimikatzの記事は、これまであまり見なかったように思います。
Log4Shell脆弱性の悪用
Iran-linked Mercury APT exploited Log4Shell in SysAid Apps for initial access
これは海外の記事ですが、ちゃんとパッチを当てないとやはり狙われるみたいですね。
https://securityaffairs.co/wordpress/134876/apt/mercury-exploit-log4shell-flaw.html
8月30日収集
全般
5Gネットワークは心配するほどハッキングされやすい
フィッシング(0ktapus又はScatter Swine)の2次被害
Twilioへのフィッシング攻撃は、多くの二次被害を生む可能性がある
サプライチェーン攻撃の発生を懸念しています、また、フィッシングのツールにSMSが使用された点が特徴的と記載があります。これまでもSMSを利用したフィッシングは存在したと思いますが、今後手法として定着していくかもしれませんね。
https://wired.jp/article/twilio-breach-phishing-supply-chain-attacks/
-
遅いですが、やらないより良いですね。
https://www3.nhk.or.jp/news/html/20220829/k10013792891000.html
コインマイナー
Nitrokod Crypto Miner Infected Over 111,000 Users with Copies of Popular Software
https://thehackernews.com/2022/08/nitrokod-crypto-miner-infected-over.html
関連
Windows malware delays coinminer install by a month to evade detection
不正アクセス報告
8月31日収集
全般
情報漏洩
Russian streaming platform confirms data breach affecting 7.5M users
マルウェア
Chinese hackers target Australian govt with ScanBox malware
Wordpress
A study on malicious plugins in WordPress Marketplaces
Chrome機能拡張
Malicious Chrome Extensions Plague 1.4M Users
https://www.darkreading.com/vulnerabilities-threats/1-4m-users-running-malicious-chrome-extensions
オリジナルの報告(McAfee)
Malicious Cookie Stuffing Chrome Extensions with 1.4 Million Users
いろいろ表向き(機能拡張利用者に提供する機能)と裏向き(攻撃者に利する機能)が盛り込まれているみたいですね。被害者は表向きの機能に釣られてインストールしてしまうのでしょうね。
不正アクセス報告
当社サーバーへの不正アクセスに関するお知らせ(第三報)(株式会社リケン)
特殊詐欺
「あなたはランサムウェア感染させた容疑者」...60代女性、示談金名目で5380万円詐欺被害
情報漏洩報告
「Slack」における当社関係者のメールアドレス等漏えいに関するお知らせ(株式会社プレイド)