このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

８月１日収集

全般

LockBit ransomware abuses Windows Defender to load Cobalt Strike

Windows Defenferのコマンドラインツールを悪用してCobalt Strikeをロードする手口の話
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-abuses-windows-defender-to-load-cobalt-strike/

メール応答

Prevent email phishing attacks this summer with 3 defensive measures
- 夏期休暇の時期になっていますが、オフィス外（out of office、略してOOO）での返信には注意が必要と言う話のようです。
- 夏期休暇中の連絡先を別途メールに記載したりするのがリスクになると言うことのようです。
- Outlookの機能で不在時自動応答機能があったと思います。この自動応答に署名を入れていると、情報を窃取されてフィッシングに利用されるリスクがあると言うことでしょうか。確かに、自動応答を設定すると、メールが届きさえすれば即座に返信してしまいますね。
- 休暇中の連絡先として個人メールアドレスや電話番号を記載しておくと、情報提供してしまうことにつながりますね。
- https://www.techrepublic.com/article/summer-phishing-defense/

usbデバイスを介して感染するマルウェア

Microsoft experts linked the Raspberry Robin malware to Evil Corp operation
- https://securityaffairs.co/wordpress/133810/cyber-crime/raspberry-robin-linked-evil-corp.html

フィッシング

えきねっとをかたるフィッシング、件名「【重要】えきねっとアカウントの自動退会処理について」などの不審なメールに注意
- 夏休みの時期となり、えきねっとを活用する人が増えることも関係しているのかもしれませんね
- https://internet.watch.impress.co.jp/docs/news/1428816.html
ファナックを装ったなりすましメールにご注意ください
- https://www.fanuc.co.jp/ja/profile/pr/newsrelease/2022/news20220729.html

レポート

ENISA Threat Landscape for Ransomware Attacks
- ランサムウェアのライフサイクル、ビジネスモデル、インシデントの分析などが書かれているようです。
- https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks

８月２日収集

全般

Australia charges dev of Imminent Monitor RAT used by domestic abusers
- リモートアクセス型のトロイの木馬が家庭内虐待者にも利用されており、販売者が逮捕・起訴されたと言う記事なのですかね。Webカメラなどで家の中を監視する目的で利用するということなのでしょうかね。ちょっと思いつきませんでした。
- https://www.bleepingcomputer.com/news/security/australia-charges-dev-of-imminent-monitor-rat-used-by-domestic-abusers/
- 関連
- Australian man charged with creating and selling the Imminent Monitor spyware
  - https://securityaffairs.co/wordpress/133893/cyber-crime/imminent-monitor-spyware-author-arrested.html
Gootkit Loader Resurfaces with Updated Tactic to Compromise Targeted Computers
- 2020年頃に活動のあったGootkitが新しい戦術で再浮上という記事。SEOポイズニングによってZIPをダウンロードさせて感染させるという手口は変わらないようです。
- https://thehackernews.com/2022/07/gootkit-loader-resurfaces-with-updated.html
- 関連
- Investigating the Gootkit Loader
  - https://www.trendmicro.com/en_us/research/20/l/investigating-the-gootkit-loader.html
中央大学、Zホールディングス、DNPら6機関がサイバーセキュリティ人材育成に向けた産学官連携を発表
- https://internet.watch.impress.co.jp/docs/news/1428845.html
パスワードのクラウド保存で不正利用されても補償外？ゆうちょ銀行の強気な姿勢
- 実際、クラウドにパスワードを保存していて不正利用されるケースは、不正送金のインシデントでは、かなりの頻度で聞きますね。
- https://biz-journal.jp/2022/08/post_309666.html

ランサムウェア

BlackCat ransomware claims attack on European gas pipeline
- https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/
- 関連
- Ransomware Hit on European Pipeline & Energy Supplier Encevo Linked to BlackCat
  - https://www.darkreading.com/risk/european-energy-supplier-encevo-breached-in-attack

情報漏洩

Over 3,200 apps leak Twitter API keys, some allowing account hijacks
- Twitterからの漏洩。最近、個人情報漏洩の可能性の話があったばかりなのですが...。
- https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/

８月３日収集

全般

Chinese hackers use new Cobalt Strike-like attack framework
- 中華製Cobalt Strike風なフレームワーク「Manjusaka」だそうです。漢字にすると曼珠沙華のようですね。「まんじゅしゃげ」と読んでました。
- https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-cobalt-strike-like-attack-framework/
- 関連
- Chinese Hackers Using New Manjusaka Hacking Framework Similar to Cobalt Strike
  - https://thehackernews.com/2022/08/chinese-hackers-using-new-manjusaka.html

脅威ハンティングサービス、Microsoft

Microsoft、セキュリティ専門家の知見を提供する脅威ハンティングサービスを開始
- https://www.itmedia.co.jp/enterprise/articles/2208/03/news027.html#utm_term=share_sp
- 関連
- Microsoft Intros New Attack Surface Management, Threat Intel Tools
  - https://www.darkreading.com/threat-intelligence/microsoft-intros-threat-intel-attack-surface-management-tools

DDoS

Taiwanese government sites hit with DDoS attacks ahead of Pelosi's visit
- 台湾政府サイトへの攻撃のようです。
- https://www.cyberscoop.com/taiwan-china-ddos-pelosi-visit/
- 関連
- Increase in Chinese "Hacktivism" Attacks
  - https://isc.sans.edu/diary/rss/28906

不正アクセス報告

委託先における外部からの不正アクセスに関するお詫びとご報告（日本英語検定協会）
- サプライチェーン攻撃に該当するのですかね。SQLインジェクションとのことです...。
- https://www.eiken.or.jp/eiken/info/2022/0801_01.html
- 関連
- 「キャリタス資格検定」への不正アクセスに関するご報告とお詫び（第2報）（DISCO）
  - サービスを管理する企業側の報告ですね。SQLインジェクション...。
  - https://www.disc.co.jp/press_release/9288/
【緊急】当社サーバー障害のお知らせ（第２報）（三和倉庫）
- 第１報では障害としていましたが、不正アクセスとのことです。
  - https://www.sanwasoko.co.jp/news/detail.php?id=29
弊社が運営するオンラインショップへの不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ（株式会社大都）
- 手法はフィッシングという記載がありますが、サイトが改ざんされているようにも読めます。正しくはどちらなのでしょうか。
- https://shop.diyfactory.jp/

個人情報漏洩報告

個人情報の漏洩についてのお詫びとご説明（北区）
- https://www.city.kita.tokyo.jp/sangyoshinko/sangyo/shien/kigyoukasalon-kojinjyouhou.html
お客様情報の漏えいについてのお詫びとご報告（ジャパンデンタル）
- https://www.japandental.co.jp/info/2140

８月４日収集

全般

GitHub blighted by "researcher" who created thousands of malicious projects
- 「研究者」が作成した数千の悪性のプロジェクトでGitHubが荒廃したという記事。ログを見ていると、海外の大学が保有するIPから攻撃を受けることがあるんですが、あれも研究なんですかね。調べてみると情報系の学科はあるんですよね...。
- https://nakedsecurity.sophos.com/2022/08/04/github-blighted-by-researcher-who-created-thousands-of-malicious-projects/
VirusTotal Reveals Most Impersonated Software in Malware Attacks
- 偽装に用いられる正規アプリのアイコン
- https://thehackernews.com/2022/08/virustotal-reveals-most-impersonated.html

マルウェア

Woody RAT: A new feature-rich malware spotted in the wild
- https://blog.malwarebytes.com/threat-intelligence/2022/08/woody-rat-a-new-feature-rich-malware-spotted-in-the-wild/
- ロシアの組織がWoody RATで攻撃を受けたようです。
  - Russian organizations attacked with new Woody RAT malware
    - https://www.bleepingcomputer.com/news/security/russian-organizations-attacked-with-new-woody-rat-malware/

ランサムウェア

Spanish research agency still recovering after ransomware attack
- スペインの国立研究評議会（CSIC）が受けた攻撃。ロシアのハッカーだそうです。
- https://www.bleepingcomputer.com/news/security/spanish-research-agency-still-recovering-after-ransomware-attack/

暗号資産（仮想通貨）からの流出

Cyberattackers Drain Nearly $6M From Solana Crypto Wallets
- https://www.darkreading.com/cloud/cyberattackers-drain-6m-solana-crypto-wallets
- 関連
- Solana ecosystem hit by hack draining millions in crypto from 8,000 hot wallets
  - https://www.theverge.com/2022/8/3/23290149/solana-ecosystem-blockchain-attack-hack-wallets-phantom-slope-supply-chain

８月５日収集

全般

標準から学ぶICSセキュリティ
- 制御システム系のセキュリティ標準の解説
- https://www.jpcert.or.jp/ics/information07.html
第1回クレジットカード決済システムの対策強化検討会
- https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/001.html

レポート

TSUBAMEレポート Overflow（2022年4～6月）（JPCERT/CC）
- https://blogs.jpcert.or.jp/ja/2022/08/tsubame_overflow_2022-04-06.html
2021 Top Malware Strains（CISA、ACSC）
- 2021年に観測された上位のマルウェアに関するレポート。
- https://www.cyber.gov.au/acsc/view-all-content/advisories/2021-top-malware-strains

不正アクセス報告

最近は、ランサムウェアによる被害をシステム障害として報告するようになってきたのか？と思ったら、下記３社は同じグループの企業のようですね。
システム障害メールシステム復旧のお知らせ（WDB株式会社）
- サイバー攻撃によるものだそうです。
- https://www.wdb.co.jp/topics/2022/220804.html

システム障害のお知らせ（ネゾット株式会社）
- ランサムウェアのようですね。
- https://www.nezot.co.jp/news/220802.html
システム障害のお知らせ（WDBココ株式会）
- ランサムウェアのようですね。
- https://www.wdbcoco.com/topics/20220803.htm

情報漏洩

個人情報入ったＵＳＢを職員が紛失日出町教育委員会
- https://www3.nhk.or.jp/lnews/oita/20220804/5070013375.html

8月8日収集

バックドア

A threat actor, tracked as TAC-040, exploited Atlassian Confluence flaw CVE-2022-26134 to deploy previously undetected Ljl Backdoor.
- アトラシアン製品の脆弱性を悪用しているようです。
- https://securityaffairs.co/wordpress/134033/hacking/tac-040-ljl-backdoor.html

ボットネット

RapperBot is a new botnet employed in attacks since mid-June 2022 that targets Linux SSH servers with brute-force attacks.
- Miraiのソースを利用しているそうですが、TelnetをターゲットにするMiraiとは違い、LinuxのSSHサーバをターゲットにブルートフォースを仕掛けるそうです。
- https://securityaffairs.co/wordpress/134023/malware/rapperbot-linux-botnet.html
- 関連
- Fresh RapperBot Malware Variant Brute-Forces Its Way Into SSH Servers
  - https://www.darkreading.com/threat-intelligence/rapperbot-malware-brute-forces-ssh-servers

ランサムウェア

New GwisinLocker ransomware encrypts Windows and Linux ESXi servers
- 韓国が標的という記事がありますね。
- https://www.bleepingcomputer.com/news/security/new-gwisinlocker-ransomware-encrypts-windows-and-linux-esxi-servers/
- 関連
- GwisinLocker ransomware exclusively targets South Korea
  - https://securityaffairs.co/wordpress/134105/cyber-crime/gwisinlocker-ransowmare-south-korea.html

C2-as-a-Service(C2aaS)

A Growing Number of Malware Attacks Leveraging Dark Utilities 'C2-as-a-Service'
- Dark Utilitiesというサービスでフル機能のC2機能を提供するプラットフォームだそうです。分業化が進んでいるということでしょうかね。C2aaSはなんと読むのでしょうかね。
- https://thehackernews.com/2022/08/a-growing-number-of-malware-attacks.html
- Cisco Talosのレポート
- ttackers leveraging Dark Utilities \"C2aaS\" platform in malware campaigns
  - https://blog.talosintelligence.com/2022/08/dark-utilities.html

脆弱性

Zimbra bug allows stealing email logins with no user interaction
- Zimbraメールソリューションの脆弱性を悪用する記事ですが、その脆弱性がCRLFインジェクション（HTTPヘッダインジェクション）だったので気になりました。
- アクセスログだけ見ているとURLにエンコードされた改行コードが混じっているだけなので見落としがちになるのが怖いですね。
- https://www.bleepingcomputer.com/news/security/zimbra-bug-allows-stealing-email-logins-with-no-user-interaction/

ブラウザ

北朝鮮のハッカーがGmailの中身を盗み見る巧妙な手口とは？
- 国家レベルのサイバー攻撃の一環ですが、ブラウザ拡張機能を悪用していると言う点が気になりました。VBAが使えなくなって、次の技術へのシフトが為されていますが、EMOTETも対応したように、ブラウザ機能拡張もその一つになりそうに思います。
- https://gigazine.net/news/20220805-north-korean-hackers-read-gmail/
DuckDuckGo browser now blocks all Microsoft trackers, most of the time
- DuckDuckGoブラウザがMicrosoftトラッカーをブロックするようになるという記事。User-Agentを見ていると、時々出てくるブラウザとして記憶してます。
- https://www.bleepingcomputer.com/news/security/duckduckgo-browser-now-blocks-all-microsoft-trackers-most-of-the-time/
- 関連
- DuckDuckGo browser now blocks all Microsoft trackers, most of the time
  - https://www.bleepingcomputer.com/news/security/duckduckgo-browser-now-blocks-all-microsoft-trackers-most-of-the-time/

ウクライナ

Meta、ハッカーに関する報告書を発表 - ロシアの偽アカウントへの対応などを説明
- https://japan.cnet.com/article/35191493/

個人情報漏洩

厚労省委託先のＰＣがウイルス感染、個人情報６１件流出か...「なりすましメール」届き発覚
- https://www.yomiuri.co.jp/national/20220805-OYT1T50251/
Twitter confirms zero-day used to expose data of 5.4 million accounts
- 以前の記事では漏洩の可能性段階でしたが、ゼロデイが見つかって漏洩が確定したようですね。日本ではTwitter利用者が多い認識ですが、あまり話題にならないですよね......。
- https://www.bleepingcomputer.com/news/security/twitter-confirms-zero-day-used-to-expose-data-of-54-million-accounts/

８月９日収集

Androidマルウウェア

Androidで1000万回インストールされたマルウェアがこちら【一覧リストあり】
- https://www.lifehacker.jp/article/2208-this-malware-was-installed-10-million-times-on-android/

Slack

Slack leaked hashed passwords from its servers for years
- https://www.theregister.com/2022/08/08/slack_passwords/

ランサムウェア

Ransomware review: July 2022
- https://www.malwarebytes.com/blog/news/2022/08/ransomware-review-july-2022

不正アクセス報告

【重要】不審なメールに関するお知らせとお詫び（株式会社SRA）
- 経緯等が記載されており、Emotetの報告としては目を通す価値ありと思います。
- https://www.sra.co.jp/Portals/0/files/topics/topics2022/emotet.pdf

注意喚起

夏季の長期休暇において実施いただきたい対策について（注意喚起）（NISC）
- https://www.nisc.go.jp/pdf/press/20220808NISC_press.pdf

８月１０日収集

全般

サイバーセキュリティ担当者の多くは燃え尽き症候群に陥っている
- 日本ではどうなんですかね。
- https://japan.zdnet.com/article/35191643/

フィッシング

「Google翻訳」の正規URLから誘導する不審なメールに注意、誘導先で個人情報やカード情報を詐取
- 個人メール宛てに同じフォーマットのフィッシングメールが来ていたので、ざっと見てみましたが、リンク先は違ってました。base64をデコードしたら、IMGタグの属性に中国語が入ってました。
- https://internet.watch.impress.co.jp/docs/news/1431411.html

マルウェア解析

Cyber Security Specialist Zoziel Pinto Freire shows an example of malicious file analysis presented during his lecture on BSides-Vitoria 2022.
- https://securityaffairs.co/wordpress/134164/malware/malicious-file-analysis-es-01.html

Twitter情報漏洩

Twitter 個人情報流出、2要素認証で不正利用からアカウント保護を
- 記事を読む限りでは、セブンペイ並の脆弱性があったように推測出来てしまいますが、どうなんでしょうか。（現在、脆弱性は解消済み）
- https://www.excite.co.jp/news/article/Cobs_2460236/

VBA無効化

Helping users stay safe: Blocking internet macros by default in Office
- Microsoftのブログ。以前から、Officeファイルはインターネットから取得した場合、それを示すフラグが付与されると言うことは知ってましたが、Mark of the Web(MOTW)と言うようです。これをVBA無効化への攻撃側の対応策として、これを回避しようという模索もあるようです。
- https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/ba-p/3071805

脆弱性

A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩（JPCERT/CC）
- https://blogs.jpcert.or.jp/ja/2022/08/rfc9116-introduction.html

ディープフェイク

ディープフェイクを使ったサイバー攻撃が増加 - ヴイエムウェア調査
- https://japan.zdnet.com/article/35191632/

８月１２日収集

全般

MFA（多要素認証）を突破するフィッシング攻撃の調査
- https://security.macnica.co.jp/blog/2022/08/aitm-investigation.html

Emotet

攻撃手法を変容するEmotetに対してマクロのセキュリティ強化を図るマイクロソフト
- 実際のフィッシングメールの画像が載ってるのがありがたいです。
- https://eset-info.canon-its.jp/malware_info/special/detail/220810.html

脆弱性

Mass Exploitation of (Un)authenticated Zimbra RCE: CVE-2022-27925
- 8/8に記載したZimbraの脆弱性とは番号が一つ違うようですが、悪用状況の分析記事のようです。
- https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/
Microsoft Patches 'Dogwalk' Zero-Day and 17 Critical Flaws
- https://threatpost.com/microsoft-patches-dogwalk-zero-day-and-17-critical-flaws/180378/

Twitter情報漏洩

Twitter data breach affects 5.4M users
- 多要素認証の導入をユーザーに推奨しているとのこと。
- https://www.malwarebytes.com/blog/news/2022/08/twitter-confirmed-july-2022-data-breach-affecting-5.4m-users
Twitterの元従業員が賄賂を受け取りサウジ政府に個人情報を流したとして有罪判決を受ける
- https://gigazine.net/news/20220810-former-twitter-employee-saudi-arabia-spying/

不正アクセス

Cisco discloses a security breach, the Yanluowang ransomware group breached its corporate network in late May and stole internal data.
- https://securityaffairs.co/wordpress/134278/hacking/yanluowang-ransomware-hacked-cisco.html
- 関連
- Cisco hacked by Yanluowang ransomware gang, 2.8GB allegedly stolen
  - https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/
- Cisco hacked through employee's compromised Google account
  - https://mybroadband.co.za/news/security/456109-cisco-hacked-through-employees-compromised-google-account.html

教育機関

Education hammered by exploits and backdoors in 2021 and 2022
- 米国で教育機関が攻撃を受け、廃校（？）になった機関もあったと記憶しています。日本の教育機関は大丈夫でしょうか。
- https://www.malwarebytes.com/blog/news/2022/08/education-hammered-by-exploits-and-backdoors-in-2021-2022

不正アクセス報告

第四報（経過報告）弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告（ディスクユニオン）
- https://diskunion.net/#houkoku
- 関連
- ディスクユニオン、個人情報の漏えいの事実を確認。サーバーに脆弱性／対策完了までショップ閉鎖継続
  - https://www.phileweb.com/news/audio/202208/10/23566.html

８月１５日収集

脆弱性

Experts warn of mass exploitation of an RCE flaw in Zimbra Collaboration Suite
- https://securityaffairs.co/wordpress/134314/hacking/zimbra-rce-actively-exploited.html
- 関連
- Researchers Warn of Ongoing Mass Exploitation of Zimbra RCE Vulnerability
  - https://thehackernews.com/2022/08/researchers-warn-of-ongoing-mass.html
Researchers Uncover UEFI Secure Boot Bypass in 3 Microsoft Signed Boot Loaders
- https://thehackernews.com/2022/08/researchers-uncover-uefi-secure-boot.html
- 関連
- Microsoft blocks UEFI bootloaders enabling Windows Secure Boot bypass
  - https://www.bleepingcomputer.com/news/security/microsoft-blocks-uefi-bootloaders-enabling-windows-secure-boot-bypass/

Android マルウェア

Novel Ransomware Comes to the Sophisticated SOVA Android Banking Trojan
- https://www.darkreading.com/endpoint/ransomware-sova-android-banking-trojan

DDoS

Russian hacker group Killnet claims to have launched a DDoS attack on the aerospace and defense giant Lockheed Martin.
- https://securityaffairs.co/wordpress/134341/hacking/killnet-lockheed-martin.html

スミッシング

従業員を標的にした認証サービスに対するスミッシングについてまとめてみた
- https://piyolog.hatenadiary.jp/entry/2022/08/13/023034
- twilloの報告
- Incident Report: Employee and Customer Account Compromise
  - https://www.twilio.com/blog/august-2022-social-engineering-attack

コールバックフィッシング

The Conti ransomware gang is using BazarCall phishing attacks as an initial attack vector to access targeted networks.
- この記事ではバザール（バザー）コール攻撃と呼んでますね。英語をちゃんと読めているか少し自信ないですが、電話をすると攻撃者がリモートデスクトップツールのインストールを促してやりとりしている間に、いろいろと細工する手口と読みました。
- https://securityaffairs.co/wordpress/134302/cyber-crime/bazarcall-revolutionized-ransomware-operations.html

８月１７日収集

フィッシング

Microsoft Warns About Phishing Attacks by Russia-linked Hackers
- https://thehackernews.com/2022/08/microsoft-warns-about-phishing-attacks.html

スミッシング

Phone numbers of 1,900 Signal users exposed as a result of Twilio security breach
- 8/15のスミッシングの続きの記事
- https://securityaffairs.co/wordpress/134428/mobile-2/twilio-hack-signal-impacy.html

不正アクセス

Hackers attack UK water supplier but extort wrong company
- 攻撃する企業を間違えた事例のようですね。そういえば昔、霞が関を霞ヶ浦と間違えた攻撃がありましたね。
- https://www.bleepingcomputer.com/news/security/hackers-attack-uk-water-supplier-but-extort-wrong-company/

自動車セキュリティ

現代(ヒョンデ)の車をハッキングして独自のアプリを動作させることに成功したという報告
- https://gigazine.net/news/20220816-hyundai-car-hacking/

脆弱性

macOSに備わる複数のセキュリティ層を突破してすべてのファイルを読み取ることができる脆弱性が発見される
- https://gigazine.net/news/20220816-process-injection-breaking-macos-security/

不正アクセス報告

メール配信ツール「MailChimp」で不正アクセスがあったとDigitalOceanが報告
- https://article.auone.jp/detail/1/3/7/48_7_r_20220816_1660619982922149
- 関連
- New MailChimp breach exposed DigitalOcean customer email addresses
  - https://www.bleepingcomputer.com/news/security/new-mailchimp-breach-exposed-digitalocean-customer-email-addresses/
- 報告本体
- Impact to DigitalOcean customers resulting from Mailchimp security incident
  - https://www.digitalocean.com/blog/digitalocean-response-to-mailchimp-security-incident
当社名を用いた脅迫メール・不審メール等へのご注意のお願い（株式会社アットキャド）
- Emotetではなさそうです。
- https://www.at-cad.co.jp/news/220813.html

情報漏洩

府立高校が作成したウェブフォームでの個人情報の流出について（大阪府）
- https://www.pref.osaka.lg.jp/hodo/index.php?site=fumin&pageId=45341

８月１８日収集

全般

インフラへの攻撃で「メガトン級」の被害、建設情報の流出にも用心
- https://xtech.nikkei.com/atcl/nxt/column/18/02165/081200001/

Windowsパッチ不具合

Windows KB5012170 update causing BitLocker recovery screens, boot issues
- https://www.bleepingcomputer.com/news/microsoft/windows-kb5012170-update-causing-bitlocker-recovery-screens-boot-issues/

Google Chromeパッチ

New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild
- https://thehackernews.com/2022/08/new-google-chrome-zero-day.html
- 関連
- Google fixes fifth Chrome zero-day bug exploited this year
  - https://www.bleepingcomputer.com/news/security/google-fixes-fifth-chrome-zero-day-bug-exploited-this-year/

Appleパッチ

Apple security updates fix 2 zero-days used to hack iPhones, Macs
- https://www.bleepingcomputer.com/news/security/apple-security-updates-fix-2-zero-days-used-to-hack-iphones-macs/

サイバー世界情勢

China-Backed RedAlpha APT Builds Sprawling Cyber-Espionage Infrastructure
- https://www.darkreading.com/threat-intelligence/china-backed-redalpha-apt-sprawling-cyberespionage-infrastructure
ウクライナ国営原発サイトにサイバー攻撃ロシア領から
- https://www.afpbb.com/articles/-/3419456

不審メール報告

【注意喚起】不審メール（なりすましメール）に関するお知らせ（ベッセルホテルズ）
- https://www.vessel-hotel.jp/wp/information/4547

８月１９日収集

クリプトジャッキング

Hardware-based threat defense against increasingly complex cryptojackers
- https://www.microsoft.com/security/blog/2022/08/18/hardware-based-threat-defense-against-increasingly-complex-cryptojackers/

DDoS

Google blocks largest HTTPS DDoS attack 'reported to date'
- https://www.bleepingcomputer.com/news/security/google-blocks-largest-https-ddos-attack-reported-to-date/

OneDriveの悪用

ロシアのハッカーグループ、不正アクセスに「OneDrive」を悪用 - MSが警告
- https://japan.zdnet.com/article/35192023/

ブラウザ機能拡張の悪用

Browser extension threat targets millions of users
- 攻撃者がVBAからシフトする技術になるのではないかと懸念しています。
- https://www.techrepublic.com/article/browser-extension-threat-targets-millions-of-users/

訓練

日本シーサート協議会、セキュリティ対策のメール訓練手引き書を公開
- https://japan.zdnet.com/article/35192029/
メール訓練手法検討サブ WG の活動概要（NCA）
- https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html

サイバー世界情勢

China's APT41 Embraces Baffling Approach for Dropping Cobalt Strike Payload
- https://www.darkreading.com/remote-workforce/china-apt41-baffling-approach-cobalt-strike-payload

脆弱性

ジャネット・ジャクソンのヒット曲を再生すると古いHDDがクラッシュする脆弱性が話題に
- 共振周波数攻撃。CVE番号が発行されているとのこと。CVE-2022-38392。
- https://gigazine.net/news/20220819-hdd-crash-janet-jackson-music/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38392

８月２２日収集

Wordpress（フェイクDDoS）

WordPress sites hacked with fake Cloudflare DDoS alerts pushingmalware
- Wordpressがハッキングされ、偽のCloudflare DDoS保護ページが表示され、ボタンをクリックするとisoファイルがダウンロードされるようです。そのファイルがDDoS防御アプリであると偽って開かせるそうです。DDoS保護を偽ると言うパターンは、これまで、あまり聞いたことがないように思いました。
- https://www.bleepingcomputer.com/news/security/wordpress-sites-hacked-with-fake-cloudflare-ddos-alerts-pushing-malware/

ビットコインATM

Hackers steal crypto from Bitcoin ATMs by exploiting zero-day bug
- ビットコインATMのゼロデイを利用して仮想通貨を盗むという内容のようです。昔あった、銀行ATMをハッキングする手口を思い出しました。
- https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/

マルウェア解析

Brazil malspam pushes Astaroth (Guildma) malware
- 動的解析で、図がたくさん用いられており、判りやすいと思いました。
- https://isc.sans.edu/diary/rss/28962

VBA無効化後の動向

TA558 cybercrime group targets hospitality and travel orgs
- 海外の例ですが、VBA無効化後の手口のシフトが進んでいるようです。
- https://securityaffairs.co/wordpress/134622/cyber-crime/ta558-targets-hospitality-travel.html

不正アクセス報告

メルカリ不正アクセスでゲーム機購入　九大留学生逮捕
- IDの入手方法が気になりました。
- https://www.data-max.co.jp/article/46689

情報漏洩報告

キャリア支援室予約システムによる個人情報漏えいについて（徳島大学）
- https://www.tokushima-u.ac.jp/docs/42107.html

バンキングマルウェア

Grandoreiro banking malware targets manufacturers in Spain, Mexico
- 名称はグランドレイロ？　スペインとメキシコが標的のようです。フィッシングでマルウェアをダウンロードさせるようです。
- https://www.bleepingcomputer.com/news/security/grandoreiro-banking-malware-targets-manufacturers-in-spain-mexico/
- 関連
- Grandoreiro banking malware targets Mexico and Spain
  - https://securityaffairs.co/wordpress/134651/cyber-crime/grandoreiro-targest-mexico-spain.html

脆弱性

CISA adds 7 vulnerabilities to list of bugs exploited by hackers
- https://www.bleepingcomputer.com/news/security/cisa-adds-7-vulnerabilities-to-list-of-bugs-exploited-by-hackers/

Microsoft365

Russian APT29 hackers abuse Azure services to hack Microsoft 365 users
- Microsoft365の侵害の手口が記載されており、参考になりました。
- https://www.bleepingcomputer.com/news/security/russian-apt29-hackers-abuse-azure-services-to-hack-microsoft-365-users/
- 関連
- Russia-linked APT group Cozy Bear continues to target Microsoft 365 accounts in NATO countries for cyberespionage purposes.
  - https://securityaffairs.co/wordpress/134609/apt/cozy-bear-targets-microsoft-365-users.html

８月２３日収集

全般

内向的な性格の人に向いている、IT分野の10の仕事
- 情報セキュリティアナリストというのが８位に入っていました。海外の記事なので、平均年収が日本の感覚とはかけ離れてますね。
- https://japan.zdnet.com/article/35191975/

マルウエア

Meet Borat RAT, a New Unique Triple Threat
- この記事で取り上げられているBorat RATは、DDoSとランサムウェアと、情報窃取関連の機能が盛り込まれているみたいですね。
- https://thehackernews.com/2022/08/meet-borat-rat-new-unique-triple-threat.html?m=1

ランサムウェア

Greek natural gas operator suffers ransomware-related data breach
- ギリシャの天然ガス事業者がシステム停止。ヨーロッパはロシアのガスから離脱しようとしてますが、それと関連あるのでしょうかね。
- 以前、カプコンが侵害されたRagner Lockerによるもので、このランサムウェアは端末の使用言語がロシア系だと、動作を停止するらしいです。
- 解析
- 企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析（MBSD）
  - https://www.mbsd.jp/research/20201111/ragnar-locker/

フェイクDDoS

Fake DDoS Protection Alerts Distribute Dangerous RAT
- 8/22に記載したWordpressで偽のDDS情報を表示してマルウエアをダウンロードさせる手口に関して、記事が多いように思います。
- https://www.darkreading.com/attacks-breaches/threat-actors-using-fake-ddos-protection-alerts-to-distribute-dangerous-rat
- 関連
- Fake DDoS protection pages on compromised WordPress sites lead to malware infections
  - https://securityaffairs.co/wordpress/134686/hacking/fake-ddos-protection-pages-wordpress.html

脆弱性

RTLS Systems Found Vulnerable to MiTM Attacks and Location Tampering
- リアルタイム位置情報システム。脆弱性によって位置情報を改ざんできるそうですが、スパイ映画みたいな悪用方法しか思い付きませんでした。あとは、マーケティングなどにも影響があるのですかね。
- https://thehackernews.com/2022/08/rtls-systems-found-vulnerable-to-mitm.html?m=1

NIST

NIST Weighs in on AI Risk
- 人工知能リスク管理フレームワークの第2草案と、それに対応するNIST AI RMFプレイブックに関するパブリックおよびプライベートコメント実施中。
- 元情報
- White Paper (Draft)[Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems
  - https://csrc.nist.gov/publications/detail/white-paper/2022/08/18/mitigating-ai-ml-bias-in-context/draft
- NIST AI Risk Management Framework Playbook
  - https://pages.nist.gov/AIRMF/

クレデンシャルスタッフィング攻撃

FBI warns of residential proxies used in credential stuffing attacks
- https://www.bleepingcomputer.com/news/security/fbi-warns-of-residential-proxies-used-in-credential-stuffing-attacks/

８月２４日収集

全般

Appleの自動運転車関連プロジェクトから極秘資料を盗み出した元エンジニアに有罪判決
- 中国に帰国する直前に逮捕されてるそうです。
- https://gigazine.net/news/20220823-former-apple-employee-guilty/
Twitter元幹部が内部告発--セキュリティ問題隠蔽を非難
- https://japan.cnet.com/article/35192229/

security.txtへのアクセス

Who's Looking at Your security.txt File?
- アクセスログを見ていると、robots.txtやads.txtなどへのアクセスもあり、security.txtもアクセスされているのを見ますね。調べが付く範囲ではbot系のアクセスが多いように思います。
- https://isc.sans.edu/diary/rss/28972

Entrustによる（？）LochbitグループへのDDoS

企業から盗んだデータを公開するサイトが謎のDDoS攻撃を受け閉鎖
- 全般的に、日本語の記事は２～３日遅いですね。
- https://gigazine.net/news/20220823-lockbit-ransomware-ddos/

脆弱性

「ChromeOS」の深刻な脆弱性、マイクロソフトが発見の経緯を発表
- Microsoftが発見したというのがなんとも......。
- https://japan.cnet.com/article/35192194/
- Microsoftの報告
- Uncovering a ChromeOS remote memory corruption vulnerability
  - https://www.microsoft.com/security/blog/2022/08/19/uncovering-a-chromeos-remote-memory-corruption-vulnerability/

HYPERSCRAPE

New Iranian APT data extraction tool
- https://blog.google/threat-analysis-group/new-iranian-apt-data-extraction-tool/

AiTM

多要素認証の回避を試みる攻撃者、警戒すべきポイントは？
- https://japan.zdnet.com/article/35192040/?tag=as.rss

SaaSの悪用

Phishing attacks abusing SaaS platforms see a massive 1,100% growth
- フィッシングサイトの立ち上げにSaaSが使われるようになってくると、クラウドベンダーがとしても対策が必要になってくると言うことでしょうかね。
- https://www.bleepingcomputer.com/news/security/phishing-attacks-abusing-saas-platforms-see-a-massive-1-100-percent-growth/

情報窃取

矢野研に不正アクセス　10万件超の個人情報が流出か
- https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/081700042/

８月２５日収集

脆弱性

Thousands of Hikvision video cameras remain unpatched and vulnerable to takeover
- https://www.malwarebytes.com/blog/news/2022/08/thousands-of-hikvision-video-cameras-remain-unpatched-and-vulnerable-to-takeover

ランサムウェア

France hospital Center Hospitalier Sud Francilien suffered ransomware attack
- フランスの病院がLockbitに感染し、患者を別病院に紹介する事態になったと言う内容のようです。
- https://securityaffairs.co/wordpress/134771/cyber-crime/center-hospitalier-sud-francilien-ransomware.html

OSS

重要な局面を迎えるオープンソースソフトウェアのセキュリティ
- https://japan.zdnet.com/article/35192225/?tag=as.rss

AiTM

Researchers Warn of AiTM Attack Targeting Google G-Suite Enterprise Users
- AiTMがグーグルユーザーにも広がっているようです。
- https://thehackernews.com/2022/08/researchers-warn-of-aitm-attack.html?m=1
- 大元の記事
- AiTM phishing attack targeting enterprise users of Gmail（Zscaler）
  - https://www.zscaler.jp/blogs/security-research/aitm-phishing-attack-targeting-enterprise-users-gmail

ディープフェイク

Hackers used deepfakes of Binance officer to scam crypto executives
- Zoomで実際の人物へのなりすましがあった事例のようです。国家間サイバー攻撃への利用の他にも、企業レベルの攻撃での悪用も、今後広がりそうな感じですかね。
- https://mybroadband.co.za/news/security/457693-hackers-used-deepfakes-of-binance-officer-to-scam-crypto-executives.html

C&C通信にTOXメッセンジャー

Crypto Miners Using Tox P2P Messenger as Command and Control Server
- https://thehackernews.com/2022/08/crypto-miners-using-tox-p2p-messenger.html?m=1

ゼロトラスト

New Zero-Trust Maturity Data: Charting Your Own Organization
- ゼロトラストの成熟度に関する情報。成熟度について５段階で説明しているようです。
- https://www.darkreading.com/cloud/new-zero-trust-maturity-data-charting-your-own-organization

８月２６日収集

全般

Okta Hackers Behind Twilio and Cloudflare Breach Hit Over 130 Organizations
- https://thehackernews.com/2022/08/okta-hackers-behind-twilio-and.html

韓国

Kimsuky's GoldDragon cluster and its C2 operations
- https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/

LasPass情報漏洩

LastPass developer systems hacked to steal source code
- さっと調べたところ、日本でも利用者がいるようですね。ソースコードまで盗まれているようで、痛いですね。パスワード管理ツールは便利な反面、こういう事態が怖いです。
- https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/
- LastPassの報告
- Notice of Recent Security Incident
  - https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/

中間者攻撃で多要素認証を無効化するフィッシング

Man-in-the-Middle Phishing Attack
- https://www.schneier.com/blog/archives/2022/08/man-in-the-middle-phishing-attack.html

８月２９日収集

全般

PC版「原神」のアンチチートシステムを逆手にとってアンチウイルスを無効にするランサムウェア攻撃が発見される、「原神」をインストールしていなくても標的に
- https://gigazine.net/news/20220826-genshin-impact-anti-cheat-system-disable-antivirus/
- 関連
- Hackers Are Using Anti-Cheat in 'Genshin Impact' to Ransom Victims
  - https://www.vice.com/en/article/y3p35w/hackers-are-using-anti-cheat-in-genshin-impact-to-ransom-victims

8/28に収集したLastPassの情報漏洩

記事数が多い。やはりツールの性質と、ソースコードが漏洩している点で大きく取り上げられているのでしょうかね。ユーザーへの影響はないようです。
LastPass data breach: threat actors stole a portion of source code
- https://securityaffairs.co/wordpress/134858/data-breach/lastpass-data-breach.html
LastPass confirms attackers stole some source code
- https://www.theverge.com/2022/8/26/23323738/lastpass-security-incident-source-code
LastPass Suffers Data Breach, Source Code Stolen
- https://www.darkreading.com/cloud/lastpass-data-breach-source-code-stolen
LastPass source code, blueprints stolen by intruder
- https://www.theregister.com/2022/08/25/lastpass_security/
LastPass attackers steal source code, no evidence users' password compromised
- https://www.tripwire.com/state-of-security/security-data-protection/lastpass-attackers-steal-source-code-no-password-compromise/
Source code of password manager LastPass stolen by attacker
- https://www.malwarebytes.com/blog/news/2022/08/source-code-of-password-manager-lastpass-stolen-by-attacker

TrickBot、製造業への影響

Exploits and TrickBot disrupt manufacturing operations
- https://www.malwarebytes.com/blog/threat-intelligence/2022/08/exploits-and-trickbot-disrupt-manufacturing-operations

脆弱性

Critical Vulnerability Discovered in Atlassian Bitbucket Server and Data Center
- https://thehackernews.com/2022/08/critical-vulnerability-discovered-in.html
- 関連
- Atlassian Bitbucket Server vulnerable to critical RCE vulnerability
  - https://www.bleepingcomputer.com/news/security/atlassian-bitbucket-server-vulnerable-to-critical-rce-vulnerability/
- オリジナルの報告
- Bitbucket Server and Data Center Advisory 2022-08-24
  - https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html

フィッシング（0ktapus又はScatter Swine）

A Massive Hacking Campaign Stole 10,000 Login Credentials From 130 Different Organizations
- アクセス管理、ID管理会社のOktaのID認証ページに似せたスタイルのSMSフィッシングメッセージを被害者に送信し、有名なソフトウェア企業も被害を受けているようです。
- https://gizmodo.com/oktapus-okta-hack-twilio-10000-logins-130-companies-1849457420
- オリジナルの報告
  - Roasting 0ktapus: The phishing campaign going after Okta identity credentials
  - https://blog.group-ib.com/0ktapus

NATOによる軍事機密文書データ侵害の影響評価

Nato investigates hacker sale of missile firm data
- https://www.bbc.com/news/technology-62672184

Mimikatz

What is Mimikatz? The Beginner's Guide
- サイバー攻撃でよく利用されるMimikatzについて、その由来から説明してくれています。こういうMimikatzの記事は、これまであまり見なかったように思います。
- https://www.varonis.com/blog/what-is-mimikatz

Log4Shell脆弱性の悪用

Iran-linked Mercury APT exploited Log4Shell in SysAid Apps for initial access
- これは海外の記事ですが、ちゃんとパッチを当てないとやはり狙われるみたいですね。
- https://securityaffairs.co/wordpress/134876/apt/mercury-exploit-log4shell-flaw.html

８月３０日収集

全般

5Gネットワークは心配するほどハッキングされやすい
- https://gigazine.net/news/20220829-5g-networks-hackable/

フィッシング（0ktapus又はScatter Swine）の２次被害

Twilioへのフィッシング攻撃は、多くの二次被害を生む可能性がある
- サプライチェーン攻撃の発生を懸念しています、また、フィッシングのツールにSMSが使用された点が特徴的と記載があります。これまでもSMSを利用したフィッシングは存在したと思いますが、今後手法として定着していくかもしれませんね。
- https://wired.jp/article/twilio-breach-phishing-supply-chain-attacks/
経済安保相 "セキュリティークリアランス制度検証早急に"
- 遅いですが、やらないより良いですね。
- https://www3.nhk.or.jp/news/html/20220829/k10013792891000.html

コインマイナー

Nitrokod Crypto Miner Infected Over 111,000 Users with Copies of Popular Software
- Google翻訳アプリまたはMP3ダウンローダーを装うようです。被害があったのはヨーロッパ方面のようです。
- https://thehackernews.com/2022/08/nitrokod-crypto-miner-infected-over.html
- 関連
- Windows malware delays coinminer install by a month to evade detection
  - https://www.bleepingcomputer.com/news/security/windows-malware-delays-coinminer-install-by-a-month-to-evade-detection/

不正アクセス報告

当社グループ会社への不正アクセスについて（日邦産業株式会社）
- 復旧作業を進めているとあるので、ランサムウェアでしょうか。
- https://www.nip.co.jp/news/.assets/20220829_1.pdf

８月３１日収集

全般

「サイバー敗戦」マイナーリーグ並みと酷評、日本の防衛力　真っ先に狙われるのは沖縄電力、平時に備えなければ台湾有事に対応できない
- マイナーリーグ並とは、反対のしようもないですね。。
- https://news.yahoo.co.jp/articles/e22508dec8615a3309fe10c52eba57d35864ab99

情報漏洩

Russian streaming platform confirms data breach affecting 7.5M users
- https://www.bleepingcomputer.com/news/security/russian-streaming-platform-confirms-data-breach-affecting-75m-users/

マルウェア

Chinese hackers target Australian govt with ScanBox malware
- 中国がオーストラリア政府を標的しているキャンペーン
- https://www.bleepingcomputer.com/news/security/chinese-hackers-target-australian-govt-with-scanbox-malware/

Wordpress

A study on malicious plugins in WordPress Marketplaces
- https://securityaffairs.co/wordpress/135032/reports/wordpress-malicious-plugins.html

Chrome機能拡張

Malicious Chrome Extensions Plague 1.4M Users
- https://www.darkreading.com/vulnerabilities-threats/1-4m-users-running-malicious-chrome-extensions
- オリジナルの報告（McAfee）
- Malicious Cookie Stuffing Chrome Extensions with 1.4 Million Users
  - いろいろ表向き（機能拡張利用者に提供する機能）と裏向き（攻撃者に利する機能）が盛り込まれているみたいですね。被害者は表向きの機能に釣られてインストールしてしまうのでしょうね。
  - https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/

不正アクセス報告

当社サーバーへの不正アクセスに関するお知らせ（第三報）（株式会社リケン）
- ランサムウェアのようです。
- https://www.riken.co.jp/upload/2AGBAST-newsja_file.pdf

特殊詐欺

「あなたはランサムウェア感染させた容疑者」...６０代女性、示談金名目で５３８０万円詐欺被害
- オレオレ詐欺の変化系？？　詐欺の手法としてはあり得るかと思ってましたが、ほんとに発生するとは思ってませんでしたね。被害者の女性（６０歳代）はランサムウェアを知っていたのでしょうか。
- https://www.yomiuri.co.jp/national/20220830-OYT1T50091/

情報漏洩報告

「Slack」における当社関係者のメールアドレス等漏えいに関するお知らせ（株式会社プレイド）
- https://plaid.co.jp/news/20220829/

８月１日収集

全般

メール応答

usbデバイスを介して感染するマルウェア

フィッシング

レポート

８月２日収集

全般

情報漏洩

８月３日収集

全般

脅威ハンティングサービス、Microsoft

DDoS

不正アクセス報告

個人情報漏洩報告

８月４日収集

全般

暗号資産（仮想通貨）からの流出

８月５日収集

全般

レポート

不正アクセス報告

情報漏洩

8月8日収集

C2-as-a-Service(C2aaS)

ブラウザ

個人情報漏洩

８月９日収集

Androidマルウウェア

Slack

不正アクセス報告

注意喚起

８月１０日収集

全般

フィッシング

マルウェア解析

Twitter情報漏洩

VBA無効化

ディープフェイク

８月１２日収集

全般

Emotet

Twitter情報漏洩

不正アクセス報告

８月１５日収集

DDoS

スミッシング

コールバック フィッシング

８月１７日収集

フィッシング

スミッシング

自動車セキュリティ

不正アクセス報告

情報漏洩

８月１８日収集

全般

Windowsパッチ不具合

Google Chromeパッチ

Appleパッチ

サイバー世界情勢

不審メール報告

８月１９日収集

クリプトジャッキング

DDoS

OneDriveの悪用

ブラウザ機能拡張の悪用

訓練

サイバー世界情勢

８月２２日収集

Wordpress（フェイクDDoS）

ビットコインATM

マルウェア解析

VBA無効化後の動向

不正アクセス報告

情報漏洩報告

バンキングマルウェア

Microsoft365

８月２３日収集

全般

マルウエア

コールバックフィッシング