このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
9月1日収集
全般
Google Launches New Open Source Bug Bounty to Tackle Supply Chain Attacks
画像にマルウエアを仕込む手口
Hackers Hide Malware in Stunning Images Taken by James Webb Space Telescope
jpgファイルにbase64でペイロードを仕込み、正規ツールでデコードしてGOバイナリのマルウエアを生成すると読みました。
手口としてはステガノグラフィを思い出しました。ダウンロードにはVBAを利用しているので、マイクロソフトのVBA無効化対策が、今のところ奏効しているかも知れませんが、手口を変えてくることは十分にありそうです。
https://thehackernews.com/2022/08/hackers-hide-malware-in-stunning-images.html?m=1
元の報告
フィッシング
脆弱性
Microsoft discovered a vulnerability in the TikTok app for Android that could lead to one-click account hijacking.
https://securityaffairs.co/wordpress/135125/mobile-2/tiktok-android-app-bug.html
Microsoftの報告
Vulnerability in TikTok Android app could lead to one-click account hijacking
AndroidのWebViewコンポーネントが関わる問題のようですね。https://www.microsoft.com/security/blog/2022/08/31/vulnerability-in-tiktok-android-app-could-lead-to-one-click-account-hijacking/
CVE-2022-28799
セキュリティ・バイ・デザイン
9月2日収集
全般
ネットに接続していないPCをハッキング 超音波で機密データを盗む攻撃 イスラエルの研究者が発表
情報漏洩
DeFi(Decentralized Finance)、分散型金融
-
中央の管理者がいない分散型の金融システムのことで、いわゆる暗号資産のシステムを指すようです。記事はアメリカの事例ですが、傾向は日本でも変わらないように思いますね。
ランサムウェア
Researchers Detail Emerging Cross-Platform BianLian Ransomware Attacks
サイバー攻撃被害報告
脆弱性
Code-Injection Bugs Bite Google, Apache Open Source GitHub Projects
情報漏洩案件の振り返り
クレカ情報大量漏洩にPCI DSS監査機関への虚偽報告、IT部門「聖域化」のリスク
ランサムウェアのクラウドへの志向
Real-World Cloud Attacks: The True Tasks of Cloud Ransomware Mitigation
システムがオンプレミスからクラウドへ移行すれば、ランサムウェアもターゲットをクラウドに移行する動きが出てくるのは自然なことと思いますが、クラウドならではの考慮が攻撃者側には必要になるようですね。
https://www.darkreading.com/cloud/real-world-cloud-attacks-true-tasks-of-cloud-ransomware-mitigation
サイバー世界情勢
New ransomware hits Windows, Linux servers of Chile govt agency
9月5日収集
Linux
インターネットバンキング
勝手に登録されたネットバンキングから不正送金される事案についてまとめてみた(piyolog)
マルウェア
SharkBot malware sneaks back on Google Play to steal your logins
キーロガー
Google Chromeゼロデイパッチ
Google rolled out emergency fixes to address actively exploited Chrome zero-day
情報漏洩
250万人超える学生ローンのデータ流出、悪用された脆弱性は不明(米国)
https://news.biglobe.ne.jp/it/0902/mnn_220902_3632302829.html
元記事
Student Loan Breach Exposes 2.5M Records
9月6日収集
Windows Defender
Windowsのセキュリティアプリ「Microsoft Defender」がChromeやDiscordなどをマルウェアと誤検知するバグが発生
これ、現場で影響をもろに受けましたね。Hiveランサムウェアとして検知されてましたね。
https://gigazine.net/news/20220905-microsoft-defender-falsely-detects-win32-hive-zy/
攻撃手法
Token Stealing の仕組み
こういう記事は読みたいです。
サイバー保険
Changing cyber insurance guidance from Lloyd's reflects a market in turmoil
日本の生命保険会社は、どう動くのでしょうかね。アメリカならではの記事のようにも思います。
https://www.cybersecuritydive.com/news/lloyds-cyber-insurance-exclusions/630535/
情報漏洩報告
サイバー世界情勢
兵器研究も担う中国の大学、米側がサイバー攻撃? 「情報盗まれた」
どこまで深読みして良いんですかね?
https://www.asahi.com/articles/ASQ9552H2Q95UHBI01R.html?ref=rss
LockBit
ロシア拠点ハッカーに日本人 世界最大サイバー犯罪集団、幹部が主張 被害2千社、1万5千人
犯罪者に「ハッカー」の用語を当てるのはどうなんですかね。LockBitのグループには日本人も所属しているそうです。
https://www.sankei.com/article/20220905-KWCTLULU4VN4PPPYVSGWQKRVFU/
EvilProxy(Phishing-as-a-Service (PhaaS))
EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web
最近よく目にするフィッシングからプロキシを使って多要素認証を回避する手口の記事。AiTM(Adversary-in-the-Middle)と違いがあるのでしょうか。生物の学名みたいに標準化されないものでしょうかね。
そういえば少し調べたことがありますが、EDRなどの検知名はある程度のルールっぽいものが存在しているみたいですね。標準化はされてなさそうですが。
さっと調べてみたら、AiTMは最近Microsoftが命名したと思われるのに対し、PhaaSは2018年頃には既に使われていますね。PhaaSはどうやら従来のフィッシングがサービス化したものを言ってますね。
https://securityaffairs.co/wordpress/135318/cyber-crime/evilproxy-phishing-as-a-service.html
不正アクセス報告
9月7日収集
世界情勢
Killnetによる国内サイトへの攻撃示唆についてまとめてみた(piyolog)
今後しばらく、注意が必要そうですね。
関連
政府サイトで障害 ロシアのハッカー集団「キルネット」との関連調査(朝日)
New Worok cyber-espionage group targets governments, high-profile firms
Worokと言う名前で追跡されているグループですが、攻撃マップを見ると、日本も標的に入っているようですね。政府機関、有名企業などが標的のようです。
関連
Worok Hackers Target High-Profile Asian Companies and Governments
教育機関を標的
FBI warns of Vice Society ransomware attacks on school districts
元のアラート
Alert (AA22-249A)
証明書関係
Basic認証の無効化(Microsoft Exchange Online)
Microsoft will disable Basic authentication for Exchange Online in less than a month
2022/10/1以降、1ヶ月以内に対応すると言うことでしょうかね。
マルウエア
Shikitega - New stealthy malware targeting Linux
Shikata ga naiエンコーダというのを使っているそうです。名前はそれをもじっているのですかね。クリプトマイナーのようです。
https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux
TikTok
TikTok Denies Data Breach Reportedly Exposing Over 2 Billion Users\' Information
NIST
米当局、ソフトウェアサプライチェーン攻撃を防ぐためのガイダンスを公開
9月9日収集
Killnet
フィッシング
三越伊勢丹をかたるフィッシングサイトが急増、BBソフトサービスが7月度のインターネット詐欺リポートを公開
フィッシング・クレジットカード不正利用をめぐる勉強会を開催 Yahoo!やPayPayなど関連団体が参加
最近は、カード情報を保存しないサイトや保存する/しないを選択できるサイトが増えたと思いますね。
サイバー世界情勢
アルバニアが「サイバー攻撃を受けた」としてイランとの国交断絶を表明、サイバー攻撃による国交断絶は史上初
こういう時代に入ったということでしょうか。
https://gigazine.net/news/20220908-albania-cuts-diplomatic-ties-iran-cyberattack/
Microsoft Warns of Ransomware Attacks by Iranian Phosphorus Hacker Group
Chinese Hackers Target Government Officials in Europe, South America, and Middle East
Former Conti Ransomware Members Join Initial Access Broker Group Targeting Ukraine
Classified NATO documents stolen from Portugal, now sold on darkweb
ランサムウェア
GIFShell
GIFShell attack creates reverse shell using Microsoft Teams GIFs
多くの人が使うツールはやはり狙われてしまうということでしょうかね。
9月13日収集
法関係
コラム第734号:「ランサムウエアの支払いの仲介に関する刑法上の問題」
ランサムウェアの被害を受けた企業の復旧を代行する業者が身代金の支払いを代行すると罪に問われる可能性があるという話のようです。代行する側としてははっきりしないと怖い話ですね。
日本の動き
「積極的サイバー防御」重要インフラ対象に導入へ...政府、攻撃元に侵入や無力化検討
アクティブ・ディフェンスの導入検討とのことです。
シキテガ(Shikitega)
ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説
日本語で読める記事。どうでもいいことですが、シキテガと聞いたとき、語感からマヤの神様の名前かと思いましたが全然違いました......。
インシデント振り返り
「ニフクラ」の負荷分散装置に不正侵入、多層防御も設定ミスで効かず
Mandiant
グーグル、サイバーセキュリティ大手Mandiantの買収を完了
Internet Explorer
サポート終了後も狙われ続けるInternet Explorerの脆弱性
不正アクセス報告
産業技術イノベーションセンター・ホームページの改ざんについて
9月14日収集
情報漏洩
なぜUberは「5700万件情報漏えい」を6年間も隠したのか?
不正アクセス
メルペイ不正アクセス たばこだまし取る 中国人専門学校生2人逮捕 静岡など8県警合同捜査本部
フィッシングで認証情報を窃取されたようですね。
9月15日収集
マルウエア
Researchers Detail OriginLogger RAT --- Successor to Agent Tesla Malware
Agent Teslaの後継とされるOriginLoggerの記事。
https://thehackernews.com/2022/09/researchers-detail-originlogger-rat.html?m=1
Chinese hackers create Linux version of the SideWalk Windows malware
元の報告
You never walk alone: The SideWalk backdoor gets a Linux variant
攻撃解説
手口の変遷
Gamaredon APT targets Ukrainian government agencies in new campaign
Gamaredon APTというロシアにリンクされるウクライナを標的にしたグループの記事ですが、手法がVBA無効化後を意識した構成になっていると感じます。
https://blog.talosintelligence.com/2022/09/gamaredon-apt-targets-ukrainian-agencies.html
脆弱性
Over 280,000 WordPress Sites Attacked Using WPGateway Plugin Zero-Day Vulnerability
CVE-2022-3180 (CVSS score: 9.8)。実際に悪用されているようですね。
https://thehackernews.com/2022/09/over-280000-wordpress-sites-attacked.html?m=1
パッチ
マイクロソフトもアップルもゼロデイに対応するパッチを公開したようです。
Microsoft September 2022 Patch Tuesday fixed actively exploited zero-day
Important update! iPhones, Macs, and more vulnerable to zero-day bug
サイバー世界情勢
9月16日収集
暗号通貨
情報漏洩報告
フィッシング
フランス政府のWebサイトを悪用、雇用主を狙ったフィッシングキャンペーン
フランスの事案のようですが、攻撃者が求人サイトに、悪意あるURLを含むPDFの履歴書を送り、それを受け取った求人企業側がPDFを開いてしまうという手口のようですね。
https://www.vadesecure.com/ja/blog/phishing-des-hackers-sen-prennent-a-pole-emploi
9月20日収集
全般
相次ぐWebサイト改ざん、自治体や自動車関連企業が被害に
piyokamgo氏によるまとめ
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100182/
サイバー世界情勢
医療機関
病院機能を麻痺させないために~サイバー攻撃の経験から~
フィッシング
Phishing Campaign Targets Japanese Tax Payers
国税庁の偽サイトに誘導されるようです。スミッシングも確認されているようです。時々個人メールに国税庁を騙るメールが来ますが、あれですかね。
https://blog.cyble.com/2022/09/13/phishing-campaign-targets-japanese-tax-payers/
不正アクセス報告
弊社ホームページ改ざんに関するお詫びとご報告(IBS Japan)
サイト改ざんのようです。8/30の報告ですね。
情報漏洩
Revolut hack exposes data of 50,000 users, fuels new phishing wave
Revolutは日本でも事業を行っているようですが、日本のユーザーは影響ないようですね。
情報漏洩報告
重要なお知らせ】メールアドレス流出に関するお詫び(ダイリキ)
LastPass
Update as of Thursday, September 15, 2022
8/26に収集したLastPassの漏洩に関する報告の続き。
https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/
Uber
Uber: Lapsus\$ Targeted External Contractor With MFA Bombing Attack
ホテルのプール
Cyberattackers Make Waves in Hotel Swimming Pool Controls
イスラエルのホテルのプールの波を起こす装置の制御を乗っ取ったと発表した攻撃グループがいるようですね。
9月21日収集
サイバー世界情勢
Pro-Ukraine Hacktivists Claim to Have Hacked Notorious Russian Mercenary Group
ChromeLoader
ChromeLoader can overload systems with malware and lead to ransomware attack
スペルチェック機能
Google ChromeとMicrosoft Edgeで機密性の高い情報が拡張スペルチェック機能経由で外部サーバーに送信されている
ブラウザ上でスペルチェックが行われる際、データがサーバに飛んで処理され、パスワードも表示にしてしまうと対象になるようです。拡張スペルチェックを使わなければ影響を受けないようです。
DDoS
Imperva mitigated long-lasting, 25.3 billion request DDoS attack
情報漏洩
American Airlines reveals data breach --- two months after it was discovered / The company says someone got access to 'a limited number' of employee email accounts
データ漏洩
開発中の「グランドセフトオート6」のデータがハッキングによって流出、開発会社は流出データが本物であると認める
記事中にSlackから直接ダウンロードされたと記載があるのが気になりました。
https://gigazine.net/news/20220920-grand-theft-auto-6-leaked/
9月22日収集
全般
A hacker used 2K Games' support desk to send gamers malware
まとめタイトルが付けにくいので全般に入れてしまいましたが、ゲーム提供元のヘルプデスクプラットフォームを侵害して、ゲーマーにマルウェア付き電子メールを送ったと言う記事のようです。
https://www.theverge.com/2022/9/21/23364866/2k-games-support-desk-hack-malware-redline
サイバー世界情勢
FBI: Iranian hackers lurked in Albania's govt network for 14 months
Lockbit漏洩
LockBit ransomware builder leaked online by "angry developer"
バイナリ分析
MINDSHARE: ANALYZING BSD KERNELS FOR UNINITIALIZED MEMORY DISCLOSURES USING BINARY NINJA
不正アクセス報告
日本盛、サーバーに不正アクセス「ランサムウェア」攻撃の可能性も 被害受け兵庫県警へ相談
ランサムウェアのようです。
https://news.yahoo.co.jp/articles/dbdfef536022e954af853928caa349b792e3e5b1
報告
当社サーバーへの不正アクセス発生のお知らせ(第1報)
アクティブ・サイバー・ディフェンス
「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について―
アクティブ・ディフェンス、アクティブ・サイバー・ディフェンスなどの用語があり、内容も説明者によって若干ばらつきがある印象ですが、JPCERT/CCから説明してもらえるのはありがたいですね。今後はアクティブ・サイバー・ディフェンスと呼ぶようにします。
https://blogs.jpcert.or.jp/ja/2022/09/active-cyber-defense.html
ソーシャルエンジニアリング
メガネの反射からWeb会議中の画面を盗み見る攻撃 閲覧中のサイトを特定する精度は94%以上
Web会議上での攻撃と言うことは、まず、会議に参加していることが条件で且つメガネをかけている人の情報に限定されると言うことになるでしょうかね。
とりあえず、情報セキュリティ教育の1項目にはなるかも知れませんね。
https://www.itmedia.co.jp/news/articles/2209/22/news068.html
9月26日収集
教育機関
Hacking gang sends ransom demand to LA school district / Attackers may be able to access data from the district's student information system
アトラシアン脆弱性
Hackers Targeting Unpatched Atlassian Confluence Servers to Deploy Crypto Miners
少し前に報告されたアトラシアンのコンフルエンス脆弱性に対してパッチを当てていない場合に、標的にされクリプトマイナーを仕掛けられるという記事のようです。
https://thehackernews.com/2022/09/hackers-targeting-unpatched-atlassian.html?m=1
元ネタはトレンドマイクロの報告のようです。
Atlassian Confluence Vulnerability CVE-2022-26134 Abused For Cryptocurrency Mining, Other Malware
アカウント乗っ取り
Global Statistics in Account Takeover Fraud for 2023
米国でアカウント乗っ取り事案が増加しているという報告のようです。
https://seon.io/resources/statistics-account-takeover-fraud/
Malicious OAuth applications abuse cloud email services to spread spam
Zoomの偽サイト
Fake sites fool Zoom users into downloading deadly code
マルウェアがダウンロードされるサイトが複数あるそうです。最近、新しいノートPCを買ったのでZoomをダウンロードしようと検索したら複数出てきて混乱しました。
https://www.theregister.com/2022/09/22/zoom_malware_infosteal_cyble/
9月27日収集
サイバー世界情勢
APT41 and Recent Activity
制御システム防御に関するアドバイザリ(CISA)
Alert (AA22-265A)Control System Defense: Know the Opponent
テレワーク
1週間にわたり通信障害 マンション入居者用無料Wi-Fi事業者にサイバー攻撃
記事のコメントにあったのですが、こういう事案はテレワークに直接影響しますね。
https://www.itmedia.co.jp/news/articles/2209/26/news116.html
元の報告
回線障害の原因調査に関するご報告(化主機会者ファイバーゲート)
レポート
顧客IDに対する攻撃動向を考察する2022年版レポート「2022 State of Secure Identity Report」を公開
Oktaの顧客IDプラットフォームの利用者データに基づく攻撃動向のレポートだそうです。ちょっと気になります。
https://www.okta.com/jp/press-room/press-releases/okta-2022ssir/
情報漏洩報告
弊社が運営する「ユニフォームタウン」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(株式会社ランドマーク)
メールアドレスを含む情報漏えいに関するお詫び(ダイリキ株式会社)
不正アクセス報告
9月28日収集
マルウェア
Powerful new malware disguised as game cheats can steal credit card details and crypto
パス・ザ・ハッシュ攻撃
Pass-the-Hash Attacks and How to Prevent them in Windows Domains
CloudFlare DDoS
New Malware Variants Serve Bogus CloudFlare DDoS Captcha
以前、記載した偽DDoSの手法だと思いますが、手口が進化してるみたいですね。
https://blog.sucuri.net/2022/09/new-malware-variants-serve-bogus-cloudflare-ddos-captcha.html
9月29日収集
ランサムウェア?
ランサムウェア集団、ファイルを破壊すると脅す攻撃をテスト中
破壊を目的にする時点でランサムウェアではないですよね......?
元記事
Exmatter: Clues to the future of data extortion
マルウェア
APT28 relies on PowerPoint Mouseover to deliver Graphite malware
ユーザーがプレゼンテーション モードを開始してマウスを動かすと攻撃チェーンを開始するそうです。個人的には、Emotetで選択位置を変更するとPowershellが走る仕組みを調査したことがあります。ワンクッション置くような作りにするのは、混乱させるのが目的なんでしょうかね。
https://securityaffairs.co/wordpress/136358/apt/apt28-powerpoint-mouseover-technique.html
流出したLockBit3.0ビルダーを利用する攻撃グループ
Leaked LockBit 3.0 builder used by 'Bl00dy' ransomware gang in attacks
サイバー世界情勢
Sophisticated Covert Cyberattack Campaign Targets Military Contractors
軍事関係の情報窃取の記事。lnkファイルを含むZipが添付されたフィッシングメールから始まるようですね。
こちらの方が詳しいです。
Stealthy hackers target military and weapons contractors in recent attack
システムの言語がロシア語か中国語の場合に動作を停止するようですね。
ボットネット
9月30日収集
Windowsロゴ画像に潜むマルウェア
ランサムウェア
New Royal Ransomware emerges in multi-million dollar attacks
Royalランサムウェアというそうです。以前記載したテクノロジーサポート詐欺と同様のソーシャルエンジニアリング手法で、リモートアクセスソフトのインストールを促すようです。この記事では標的型コールバックフィッシングと言ってますね。
Killnet
親ロ派ハッカーが攻撃停止 「日本はもう心配しなくていい」
TLPv2
TLP v2の日本語版が公開されました(JPCERT/CC)
不正アクセス報告
当院への不正アクセス攻撃についてのお詫びとご報告【第2報】(医療法人社団幸紀会 安江病院)
情報漏洩報告
当社ファイルサーバーのランサムウエア感染による情報流出の可能性についてお知らせとお詫び(9/26 FAQ追記)(株式会社UPDATER)
弊社が運営する「CASUCAオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(株式会社カスカ)
偽サイト注意喚起
【注意喚起】偽の通販サイトにご注意ください(コクヨ株式会社)