このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

１２月１日収集

インシデント対応状況報告

• 不正アクセスインシデントに関する対応の進捗状況について（株式会社メタップスペイメント）

  • 対応に時間がかかる場合は状況を中間報告していくのは良い取り組みだと思います。

  • https://www.metaps-payment.com/company/20221129.html

教育機関関連

• 大学からの情報漏えい、2022年は過去最悪に。累計791大学・173万アカウントが漏えい【ソースポッド調べ】

  • 大学からの情報漏洩が増えている印象でしたが、やはり増えているようですね。アカウントが漏洩した後は、内部に入り込まれ、研究資料などが盗られることになるのでしょうか。それとも、情報を集めて売買する目的なのでしょうか。

  • https://webtan.impress.co.jp/n/2022/11/30/43734

• 学術研究者・シンクタンク研究員を標的としたサイバー攻撃について（注意喚起）（警察庁サイバー警察局、内閣サイバーセキュリティセンター）

  • こういう注意喚起があると言うことはやはり研究内容がターゲットなのでしょうか。

  • https://www.npa.go.jp/cyber/pdf/R041130_cyber_alert_1.pdf

  • 関連記事

  • 大学教授らにサイバー攻撃数十件　１９年以降、安全保障など専門―情報窃取目的か、警察庁が注意喚起

    • https://www.jiji.com/jc/article?k=2022113000986&g=soc

  • 外交・安保分野の学者らにサイバー攻撃相次ぐ...外国機関が情報収集狙った可能性

    • こちらの記事では｢国際政治や安全保障、エネルギーなどを専門とする大学教員や民間研究員、報道関係者らを標的とした｣としてますね。

    • https://www.yomiuri.co.jp/national/20221130-OYT1T50242/

マルウェア

• New Windows malware also steals data from victims' mobile phones

  • Dolphinという偵察ツールでC2サーバの役割としてGoogleドライブを使用するようです。攻撃者がコマンドをアップロードするとマルウェアが読み込み、結果をドライブに保存する動きのようです。ネットワークストレージを絡めた手法は時々目にしますね。

  • また、感染した、おそらく端末に接続する電話（スマホとかでしょうかね）からも情報を盗むようです。

  • https://www.bleepingcomputer.com/news/security/new-windows-malware-also-steals-data-from-victims-mobile-phones/

• Google discovers Windows exploit framework used to deploy spyware

  • ここに分類するのが正しいか判らないですが。

  • https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/

• China-linked UNC4191 APT relies on USB Devices in attacks against entities in the Philippines

  • リムーバブルドライブ経由で感染が広がるらしいです。

  • https://securityaffairs.co/wordpress/139097/apt/unc4191-used-usb-devices.html

Bluetooth乗っ取り

• 他人のスマホとBluetooth接続するサイバー攻撃　権限変更で端末乗っ取り　中国と米国チームが発表

  • https://www.itmedia.co.jp/news/articles/2212/01/news059.html

  • 以下、元の報告

  • Blacktooth: Breaking through the Defense of Bluetooth in Silence

    • https://dl.acm.org/doi/10.1145/3548606.3560668

テイクダウン

• Cybersecurity researchers take down DDoS botnet by accident

  • 誤ってダウンさせたようですね。

  • https://www.bleepingcomputer.com/news/security/cybersecurity-researchers-take-down-ddos-botnet-by-accident/

  • 関連記事

  • KmsdBot: The Attack and Mine Malware

    • https://www.akamai.com/blog/security-research/kmdsbot-the-attack-and-mine-malware

１２月２日収集

全般

• Chrome, Defender, and Firefox 0-days linked to commercial IT firm in Spain

  • 脆弱性を悪用するフレームワークの販売元としてスペインのIT企業を結びつけたと言う記事のようです。

  • https://arstechnica.com/information-technology/2022/11/google-ties-spanish-it-firm-to-0-days-exploiting-chrome-defender-and-firefox/

SBOM

• SBOMで始める脆弱性管理の実際

  • https://engineers.ntt.com/entry/2022/12/01/090041

脆弱性

• Researchers Disclose Critical RCE Vulnerability Affecting Quarkus Java Framework

  • CVSS9.8とのことです。Quarkusはコンテナー化されたサーバーレス環境で Java アプリケーションを作成するために使用されるオープン ソース プロジェクトだそうです。

  • https://thehackernews.com/2022/12/researchers-disclose-critical-rce.html?m=1

漏洩情報の悪用

• LastPass disclosed a new security breach, threat actors had access to its cloud storage using information stolen in the August 2022 breach.

• 今年８月に漏洩した情報を悪用されたようです。

  • https://securityaffairs.co/wordpress/139136/data-breach/lastpass-second-security-breach.html

CHRISTMA EXEC

• The CHRISTMA EXEC network worm -- 35 years and counting!

  • https://nakedsecurity.sophos.com/2022/12/01/the-christma-exec-network-worm-35-years-and-counting/

DDoS報告

• ペライチの安定化に向けた今後の対策について（株式会社ペライチ）

  • https://peraichi.com/news/press-20221201

不正アクセス報告

• DX教育研究センターホームページへの不正アクセスについて（富山県立大学）

  • https://www.pu-toyama.ac.jp/news/news_outline/2022/12/01/15392/

  • 他の記事によればCMSに不正なプラグインをインストールされたそうです。

  • 関連機関サイトに不正アクセス、CMSに不正プラグイン - 富山県立大

    • https://www.security-next.com/141867

１２月５日収集

医療機関関連

• Private Information of Thousands of Children Exposed in Medical Software Data Breach

  • 医療関係の情報を含む子供の個人情報が流出したと言う事案のようですね。

  • https://securitydiscovery.com/children-health-records/

ランサムウェア

• Cuba Ransomware Extorted Over $60 Million in Ransom Fees from More than 100 Entities

  • https://thehackernews.com/2022/12/cuba-ransomware-extorted-over-60.html

• Exbyte: BlackByteランサムウェアの攻撃グループが新たなデータ窃取ツールを展開

  • 二重脅迫型の場合、まず情報を窃取する動きをすると思いますが、そのタイミングで使用するのでしょうかね。

  • https://broadcom-software.security.com/blogs/japanese-broadcom-software/exbyte-blackbyteransamuueanogongjikurufukaxintanatetaqiequtsuruwozhankai

スティーラー

• 34 Russian Cybercrime Groups Stole Over 50 Million Passwords with Stealer Malware

  • https://thehackernews.com/2022/11/34-russian-hacker-groups-stole-over-50.html

Android

• Android Keyboard Apps with 2 Million downloads can remotely hack your device

  • https://securityaffairs.co/wordpress/139174/hacking/android-keyboard-apps-flaws.html

• Schoolyard Bully Trojan Apps Stole Facebook Credentials from Over 300,000 Android Users

  • https://thehackernews.com/2022/12/schoolyard-bully-trojan-apps-stole.html

脆弱性の悪用

• Hackers Exploiting Redis Vulnerability to Deploy New Redigo Malware on Servers

  • https://thehackernews.com/2022/12/hackers-exploiting-redis-vulnerability.html

ブラックプロキシ

• BlackProxies proxy service increasingly popular among hackers

  • https://www.bleepingcomputer.com/news/security/blackproxies-proxy-service-increasingly-popular-among-hackers/

  • もとの記事

  • Purpose Built Criminal Proxy Services and the Malicious Activity They Enable

    • https://www.domaintools.com/resources/blog/purpose-built-criminal-proxy-services-and-the-malicious-activity-they-enable/

１２月６日収集

サイバー世界情勢

• Advanced Phishing Campaign Targeting Individuals & Businesses in the Middle East (Part 2)

  • 中東を標的としたフィッシングキャンペーンの記事のようですね。

  • どうでも良い話ですが、最近、テレビで釣り番組を見ていると画面に表示される｢フィッシング｣の文字をPhishingのスペルで理解しようとしている自分に気付きました。

  • https://cloudsek.com/threatintelligence/advanced-phishing-campaign-targeting-individuals-businesses-in-the-middle-east-part-2/

• Russia's second-largest bank VTB Bank under DDoS attack

  • https://securityaffairs.co/wordpress/139354/hacking/vtb-bank-ddos-attack.html

日本の動き

• 防衛省、サイバー攻撃の対処人員２万人に拡充...中露念頭に「能動的サイバー防御」強化

  • https://www.yomiuri.co.jp/politics/20221205-OYT1T50101/

日本の企業の動き

• 半年で10万台にEDR導入、富士フイルムが挑む本気のゼロトラスト

  • https://xtech.nikkei.com/atcl/nxt/column/18/00001/07452/

ランサムウェア

• 運輸・海運業界を狙うランサムウェアが増加、世界情勢が影響の可能性-Trellixの脅威レポート

  • https://japan.zdnet.com/article/35196933/

• FBI warning: This ransomware gang has hit over 100 targets and made more than $60 million

  • キューバランサムウェアの件のようですね。

  • https://www.zdnet.com/article/fbi-warning-this-ransomware-gang-has-hit-over-100-targets-and-made-more-than-60-million/

  • 元の報告

  • StopRansomware: Cuba Ransomware

    • https://www.cisa.gov/uscert/ncas/current-activity/2022/12/01/stopransomware-cuba-ransomware

ワイパー

• Wiper, Disguised as Fake Ransomware, Targets Russian Orgs

  • CryWierと言う名前のランサムウェアを装ったワイパーだそうで、動きとしてはランサムウェアのような動きだそうですが、実際にはファイルを削除するなど意図的に破壊しているそうです。ランサムウェアの中には攻撃者側のプログラムミスでワイパーとして動くランサムウェアもあるそうですが、それとは違うと言うことのようですね。ロシアを標的としているというのが気になりますね。

  • https://www.darkreading.com/threat-intelligence/wiper-disguised-fake-ransomware-targets-russian-orgs

  • 関連記事？

  • Russian courts attacked by CryWiper malware that poses as ransomware

    • こちらの記事の方が情報は詳しめなようです。

    • https://www.bitdefender.com/blog/hotforsecurity/russian-courts-attacked-by-crywiper-malware-that-poses-as-ransomware/

医療機関関係

• Ransomware attack forces French hospital to transfer patients

  • フランスの事案のようですね。

  • https://www.bleepingcomputer.com/news/security/ransomware-attack-forces-french-hospital-to-transfer-patients/

• 金沢の病院もサイバー攻撃被害　電子カルテ一部見られず、診療は継続

  • https://www.asahi.com/articles/ASQD6632CQD6PISC00N.html?ref=rss

セキュリティ人材

• セキュリティエンジニアってどんな仕事？ メリット・デメリットや必要な能力について解説します！

  • 必要なスキルとしてネットワーク知識が上がってますが、重要な技術の要素の１つとして考えるべきと思います。個人的には、インフラか、ネットワークか、インフラのいずれかに基盤となる幅広い知識を持っている方が良いと感じます。

  • デメリットとして生活のリズムが崩れやすい、いつインシデントが発生するか判らないからとなってますが、これはその通りと思いました。

  • https://www.iza.ne.jp/article/20221205-OZIBIM7EM5CAPB4ZXHTUKB67BI/

暗号通貨

• Lazarus APT uses fake cryptocurrency apps to spread AppleJeus Malware

  • 暗号通貨を盗むために偽の暗号通過アプリをダウンロードさせる手口のようですね。

  • https://securityaffairs.co/wordpress/139290/apt/lazarus-apt-bloxholder-campaign.html

FreeBSD脆弱性

• Critical Ping Vulnerability Allows Remote Attackers to Take Over FreeBSD Systems

  • FreeBSDのPing実装に関わるバッファオーバーフロー脆弱性のようですね。怖いですね。

  • https://thehackernews.com/2022/12/critical-ping-vulnerability-allows.html?m=1

不正アクセス報告

• 弊社サーバーへの不正アクセスに関するその後の状況について（山陽SC開発株式会社）

  • 経過報告のようですね。

  • https://sun-ste.com/okayama-ichibangai/news/?c=topics_view&pk=1669949104

１２月７日収集

サイバー世界情勢

• Microsoft warns of Russian cyberattacks throughout the winter

  • https://www.bleepingcomputer.com/news/security/microsoft-warns-of-russian-cyberattacks-throughout-the-winter/

• 中国ハッカー集団、米コロナ救済資金数千万ドルを盗難＝当局

  • https://jp.reuters.com/article/cyber-china-covid-idJPKBN2SP1QH?taid=638e89903cb3cc00014bb81d&utm_campaign=trueAnthem:+Trending+Content&utm_medium=trueAnthem&utm_source=twitter

スパムメール

• 詐欺師はスパムメールにわざと誤字脱字を入れることでカモを選別している

  • 確かに誤字脱字がかなりの確率で入っていて、作成者は言語の知識がないのか？　と思うことはあります。長いことその傾向が変わらないので、意図的と言われた方が納得感がありますね。

  • 日本語の場合、文法や作法のレベルで日本語話者に違和感を感じさせないのが難しいのか、読めば判るものが多いですね。それでも以前に比べればかなりそれっぽい文章になりましたね。

  • スパムメールと言えば、ブラックマンデー期間中は多くなりますね。

  • https://gigazine.net/news/20221205-scammers-spell-reason/

Wordpressプラグイン

• Infected WordPress Plugins Redirect to Push Notification Scam

  • https://blog.sucuri.net/2022/12/infected-wordpress-plugins-redirect-to-push-notification-scam.html

医療機関関連

• 金沢の病院もサイバー攻撃被害　電子カルテ一部見られず、診療は継続

  • https://www.asahi.com/articles/ASQD6632CQD6PISC00N.html?ref=rss

不正アクセス報告

• 都立スポーツ施設の工事請負受注者へのサイバー攻撃について（東京都）

  • https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2022/12/05/09.html

脆弱性

• Ubuntuに権限昇格の脆弱性 - 詳細情報も公開

  • https://www.security-next.com/141905

• 年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性-前編

  • https://japan.zdnet.com/article/35196939/?tag=as.rss

１２月８日収集

サイバー世界情勢

• Google discovered North Korea exploiting an Internet Explorer zero-day vulnerability in October

  • 北朝鮮→韓国のようですね。

  • https://www.theverge.com/2022/12/7/23498226/google-north-korea-exploited-internet-explorer-vulnerability-security

DDoS

• Mirai Botnet and Gafgyt DDoS Team Up Against SOHO Routers.

  • https://isc.sans.edu/diary/Mirai+Botnet+and+Gafgyt+DDoS+Team+Up+Against+SOHO+Routers/29304

Botnet

• New Go-based Botnet Exploiting Exploiting Dozens of IoT Vulnerabilities to Expand its Network

  • GoベースのZerobotと言うそうです。

  • https://thehackernews.com/2022/12/new-go-based-zerobot-botnet-exploiting.html

  • 以下が元の記事？

  • Zerobot -- New Go-Based Botnet Campaign Targets Multiple Vulnerabilities

    • https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities

ワイパー

• Fantasy -- a new Agrius wiper deployed through a supply‑chain attack

  • https://www.welivesecurity.com/2022/12/07/fantasy-new-agrius-wiper-supply-chain-attack/

窃取情報の悪用

• 4 Arrested for Filing Fake Tax Returns With Stolen Data

  • 窃取した個人情報で税務申告書を提出し、払い戻し金を盗ろうとした案件のようですね。

  • https://www.darkreading.com/attacks-breaches/4-arrested-for-filing-fake-tax-returns-with-stolen-data

暗号資産関連

• ラザルス、日本の暗号資産業者を標的と「強く推察」＝官房長官

  • https://jp.reuters.com/article/north-korea-cyber-idJPKBN2SR06U?taid=639024e8c7dd5a0001105110&utm_campaign=trueAnthem:+Trending+Content&utm_medium=trueAnthem&utm_source=twitter

フィッシング

• 2022/11 フィッシング報告状況（フィッシング対策協議会）

  • https://www.antiphishing.jp/report/monthly/202211.html

不正アクセス報告

• 都立スポーツ施設の工事請負受注者へのサイバー攻撃について（東京都）

  • https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2022/12/05/09.html

１２月９日収集

全般

• Zombinder APK binding service used in multiple malware attacks

  • ゾンビンダーというパワーワードを無視できませんでした。正規のandroidアプリに悪意あるペイロードを埋め込むサービスのようでね。

  • https://securityaffairs.co/wordpress/139431/malware/zombinder-apk-binding-service.html

• アカウント乗っ取りの新手法、「プリハイジャック攻撃」の手口とは

  • ５月にMicrosoftから出ている報告のまとめ。

  • https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/112200216/

サイバー世界情勢

• Mustang Panda Uses the Russian-Ukrainian War to Attack Europe and Asia Pacific Targets

  • https://blogs.blackberry.com/en/2022/12/mustang-panda-uses-the-russian-ukrainian-war-to-attack-europe-and-asia-pacific-targets

医療機関関連

• CommonSpirit Health ransomware attack exposed data of 623,000 patients

  • １０月のサイバー攻撃で個人情報が流出したと言う記事のようです。

  • https://www.bleepingcomputer.com/news/security/commonspirit-health-ransomware-attack-exposed-data-of-623-000-patients/

不正アクセス報告

• コンピューターの不正アクセスによる障害発生について（金沢西病院）

  • ランサムウェアですかね。

  • https://www.knh.or.jp/news/2022/12/08/%e3%82%b3%e3%83%b3%e3%83%94%e3%83%a5%e3%83%bc%e3%82%bf%e3%83%bc%e3%81%ae%e4%b8%8d%e6%ad%a3%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%81%ab%e3%82%88%e3%82%8b%e9%9a%9c%e5%ae%b3%e7%99%ba%e7%94%9f%e3%81%ab/

フィッシング

• Hacked corporate email accounts used to send MSP remote access tool

• 漏洩した正規の企業用メールアドレスでフィッシングを行い、MSP（マネージドサービスプロバイダー）向けのリモートアクセスツールを送り込む手口と読みました。ツールのインストーラーはOnedriveなどに保存されているようですね。

  • https://www.bleepingcomputer.com/news/security/hacked-corporate-email-accounts-used-to-send-msp-remote-access-tool/

１２月１２日収集

世界情勢

• Iranian APT Targets US With Drokbk Spyware via GitHub

  • https://www.darkreading.com/threat-intelligence/iranian-apt-targets-us-drokbk-spyware-github

• North Korean hackers once again exploit Internet Explorer's leftover bits

  • https://arstechnica.com/information-technology/2022/12/north-korean-hackers-once-again-exploit-internet-explorers-leftover-bits/

• Hack-for-Hire Group Targets Travel and Financial Entities with New Janicab Malware Variant

  • https://thehackernews.com/2022/12/hack-for-hire-group-targets-travel-and.html?m=1

日本の動き

• 防衛省、世論工作の研究に着手　AI活用、SNSで誘導

  • https://nordot.app/973917552334143488

医療機関関連

• CommonSpirit confirms data breach impacts 623K patients

  • https://securityaffairs.co/wordpress/139472/data-breach/commonspirit-data-breach-623k-patients.html

マルウェア

• Trojanized OneNote Document Leads to Formbook Malware

  • メールの添付ファイルがOneNoteファイル（拡張子が、one）になっていて、ファイルを開き、中の『View Document』と書かれた画像をクリックすると、WSFファイルが動く仕掛けのようです。中身はVbscriptですね。

  • https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/trojanized-onenote-document-leads-to-formbook-malware/

ツール

• マルウェア解析に役立つ、実行ファイルのケーパビリティ検知ツールcapaの入門

  • https://eng-blog.iij.ad.jp/archives/15926

• 開発に使える脆弱性スキャンツール

  • https://engineers.ntt.com/entry/2022/12/07/113602

教育機関関連

• 不正アクセスによる迷惑メールの送信について

  • 不正アクセスとなっていますが、標的型メール攻撃が起因のように読めました。

  • https://netty.lekumo.biz/tachibana/2022/12/post-904a.html

１２月１３日収集

全般

• サイバー犯罪フォーラムで犯罪者を標的にした詐欺が横行中

  • https://news.mynavi.jp/techplus/article/20221212-2533904/

  • 元の記事

  • The scammers who scam scammers on cybercrime forums: Part 1

    • https://news.sophos.com/en-us/2022/12/07/the-scammers-who-scam-scammers-on-cybercrime-forums-part-1/

不正アクセス報告

• 当社海外子会社サーバーへの不正アクセス発生について（加賀電子株式会社）

  • ランサムウェアのようですね。

  • https://www.taxan.co.jp/news-information/wp-content/uploads/2022/12/20221212r2-1.pdf

• ランサムウェア攻撃によるサーバーへの不正アクセスについて（第1報）（シャンティ国際ボランティア会）

  • https://sva.or.jp/news/20221212-2/

バックドア

• New Python malware backdoors VMware ESXi servers for remote access

  • https://www.bleepingcomputer.com/news/security/new-python-malware-backdoors-vmware-esxi-servers-for-remote-access/

Lockbit

• LockBit ransomware crew claims attack on California Department of Finance

  • https://www.cyberscoop.com/lockbit-ransomware-california-department-of-finance/

  • 元の報告

  • Statement on Cybersecurity Incident

    • https://news.caloes.ca.gov/statement-on-cybersecurity-incident/

脆弱性

• Fortinet urges customers to fix actively exploited FortiOS SSL-VPN bug

  • https://securityaffairs.co/wordpress/139569/hacking/fortinet-fortios-ssl-vpn-bug.html

尼崎市USB関連

• 第三者委員会の調査報告書受領及び役員の処分等に関するお知らせ（BIOLOGY株式会社）

  • 調査報告書が付いてます。

  • https://www.biprogy.com/pdf/news/nr_221212.pdf

１２月１４日収集

サイバー世界情勢

• Play ransomware claims attack on Belgium city of Antwerp

  • ベルギーのアントワープ市のシステムがランサムウェアに感染したと言う記事のようです。アントワープと言うと、某有名なアニメーションが舞台にしてますね。

  • https://www.bleepingcomputer.com/news/security/play-ransomware-claims-attack-on-belgium-city-of-antwerp/

ワイパー

• ランサムウェアを政治目的でワイパーマルウェアに変える事例が増加

  • ワイパーに変わったランサムウェアの記事は見かけていましたが、政治目的で変えているということのようですね。昨今の世界情勢も関係しているのでしょうかね。

  • https://news.mynavi.jp/techplus/article/20221212-2532190/

• アンチウイルスやEDRを逆手に取りWindowsを破壊する"合気道ワイパー"

  • https://pc.watch.impress.co.jp/docs/news/1463237.html

不正アクセス報告

• 熊本県立大学メールアカウントの不正アクセ事案の発生について

  • メールサーバに侵入されたように読めますがどうなんでしょうかね。

  • https://www.pu-kumamoto.ac.jp/sys/wp-content/uploads/2022/12/PR_20221213.pdf

情報漏えい報告

• 珈琲の王国Beans510」に不正アクセス、カード情報が漏えい

  • サイト改ざんによるもののようですね。

  • https://scan.netsecurity.ne.jp/article/2022/12/13/48625.html

• 弊社が運営する「Cinq essentiel」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（株式会社チンクエクラシコ）

  • サイト改ざんのようですね。

  • https://www.cinqessentiel.com/view/page/topics

１２月２３日収集

BEC

• 食料品を盗るBEC発生、米CISA注意喚起

  • やはり世界情勢を反映しての動きなのでしょうかね。

  • https://scan.netsecurity.ne.jp/article/2022/12/22/48681.html

ランサムウェア

• 収益化の仕組み確立 ランサムウェア年間13％増、身代金は「支払うべきでない」～ DBIR 2022 解説

  • https://scan.netsecurity.ne.jp/article/2022/12/22/48680.html

  • 元の報告書

  • 2022年データ漏洩/侵害調査報告書

    • https://www.verizon.com/business/ja-jp/resources/reports/dbir/

• Play ransomware group claims to have stolen hotel chain data

  • Playランサムウェアによるホテルへの攻撃で情報漏えいと言うことのようです。セキュリティ対策はしていたのに突破されたというのが少々気になります。

  • https://www.malwarebytes.com/blog/news/2022/12/play-ransomware-group-claims-to-have-stolen-h-hotel-data

脆弱性

• Exchange OWASSRF Exploited for Remote Code Execution

  • Exchange Severの脆弱性が悪用されている報告

  • https://isc.sans.edu/diary/rss/29374

ポストVBA

• Cisco Talos report: Threat actors use known Excel vulnerability

  • Excelのアドインファイルの一種、xllを使う手法のようですね。

  • アドインファイルはxlaやxlamがありますか、こちらはVBAを使うのに対してxllはC言語で、dllの一種ですが、Excelのイベントに反応できるよう開発できるようです。

  • xllを起動するとExcelが起動して実行してしまうようです。これは確か、xlaでも以前は同じ動きでしたね。

  • https://www.techrepublic.com/article/cisco-talos-xll-excel-vulnerability/

暗号通貨

• Millions of Gemini cryptocurrency exchange user details leaked

  • https://www.malwarebytes.com/blog/news/2022/12/millions-of-gemini-cryptocurrency-exchange-user-details-leaked

年末年始

• 年末年始】サイバー攻撃リスクに注意喚起...総務省

  • https://resemom.jp/article/2022/12/22/70134.html

  • 年末年始において実施いただきたい対策について（12/20）

    • https://www.soumu.go.jp/main_content/000852712.pdf

ガイダンス

• 「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集（12/26）

  • https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00154.html

個人情報漏洩報告

• 【重要】不正アクセス発生による個人情報流失の可能性に関する お詫びとお知らせ（株式会社フルノシステムズ）

  • 月次アクセス集計の値が大きいことから気づいたようですね。日頃からチェックし続ける事の意義を感じますね。

  • https://www.furunosystems.co.jp/news/info/20221219001451.html

• 本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び（山形大学）

  • CMSの管理アカウントが窃取されて......と言うことのようです。

  • https://www.yamagata-u.ac.jp/jp/information/info/202212161/

１２月２６日収集

不正アクセス

• 高松青果にサイバー攻撃、社内システムに障害発生 通常業務に支障

  • https://scan.netsecurity.ne.jp/article/2022/12/26/48695.html

• Okta、GitHubのコードリポジトリーに不正アクセス-顧客への影響はなし

  • https://japan.zdnet.com/article/35197819/

• パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明

  • https://gigazine.net/news/20221223-lastpass-password-hacking/

• 「日経スマートクリップ」不正アクセス、情報流出の恐れ

  • https://www.nikkei.com/article/DGXZQOUE22C7Y0S2A221C2000000/

不正アクセス報告

• NCD症例登録システムへの不正アクセスに対する対応について

  • https://www.ncd.or.jp/info/information/4333.html

• 法人職員が利用するクラウドサービスへの不正ログインによる迷惑メールの送信、及び個人情報漏えいのおそれについて（奈良県立医科大学）

  • https://www.naramed-u.ac.jp/university/oshirase/reiwa4nendo/documents/20221221_fusei.pdf

個人情報漏洩報告

• 当社代理店における個人情報漏えいについて（AIG損害保険株式会社）

  • マルウェアを特定出来ているようです。多くの報告を見ていると、意図的がそうでないかは判りませんが、マルウェア名を公表しない（特定出来ていないのかも知れませんが）ことが多いですね。

  • https://www.aig.co.jp/sonpo/company/news/2022/20221221-01

バンキングマルウェア

• Godfather Android banking malware is on the rise

  • 400を超えるAndroidアプリのレイオーバー画面を用意しているそうで、ほとんどが欧米のアプリのようですね。

  • https://www.malwarebytes.com/blog/news/2022/12/godfather-android-banking-malware-is-on-the-rise

医療機関関連

• 病院へのサイバー攻撃、リモート操作許し被害拡大か　3病院にも影響

  • 複数の病院が利用するシステムを運用管理する給食提供サービスがランサムウェア感染して、サービスを利用する病院に影響が出たと読めますが、集めた情報からだけでははっきりしない所が多いです。医療センターがまず感染して給食提供サービス側に広がったのか、その逆なのか。とりあえず、医療センターと給食提供サービス間でRDP通信があった事は間違いないようです。

  • 共同システムを利用している業界は他にもあるので、ちょっと気になりました。

    • https://www.asahi.com/articles/ASQDR67BWQDQULZU00J.html

    • 医療センターの方は、他にも影響が出たようですね。

      • https://www.gh.opho.jp/pdf/info20221222.pdf

    • 以下の記事によるとVPNの脆弱性を悪用されたようですね。

    • 病院サイバー攻撃　VPN機器に安全上の欠陥、国内400台未対策

      • https://mainichi.jp/articles/20221223/k00/00m/040/178000c

    • 以下が一番まとまっているようです。

    • 病院を襲ったランサムウエア攻撃の真相

      • https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900194/

全般

• TikTokのフィルターを解除して「裸」を見れる？ 宣伝動画から誘導してマルウェアに感染させる手口にだまされる人続出

  • 解除プログラムを騙るマルウェアはGithubにあるそうで、見たさに自分からダウンロードすることになるみたいですね。

  • https://internet.watch.impress.co.jp/docs/column/dlis/1465404.html

ボット

• Zerobot Adds Brute Force, DDoS to Its IoT Attack Arsenal

  • https://www.darkreading.com/threat-intelligence/zerobot-adds-brute-force-ddos-iot-attack-arsenal

１２月２７日収集

インジェクション

• WordPressサイトに偽のjQueryを挿入、詐欺サイトに誘導

  • タイトルからすると偽のjQueryが挿入されるように読めますが、実際にはJavascriptインジェクションで、誘導される先がjQueryのサイトを模していると言うことのようですね。

  • https://news.mynavi.jp/techplus/article/20221226-2543009/

偽メール注意喚起

• 弊社を装った偽メールについての注意喚起（TBグローバルテクノロジーズ株式会社）

  • 偽メールの文面内容からするとBECのようにも思えますが、どうなんでしょうかね。

  • https://www.tbgtech.co.jp/news/2022/2899/

通信不具合報告（DDoS起因）

• 2022年12月22日に発生したホスティングサービスの通信不具合につきましてお詫び申し上げます（株式会社東邦通信システムズ）

  • https://www.new-tts.co.jp/news/error-20221222/

サイバー被害詐欺

• 磐田の７０代女性　１７０万円詐取被害　「携帯電話悪用されサイバー攻撃」

  • 携帯電話悪用されサイバー攻撃を受けたので損害を賠償しろと言う詐欺のようですね。セキュリティ会社社員を名乗って電話してくるというのも気になります。

  • https://www.at-s.com/news/article/shizuoka/1169592.html

脆弱性

• Linuxカーネルの「ksmbd」に深刻なセキュリティ脆弱性

  • https://japan.zdnet.com/article/35197887/

不正アクセス報告

• 弊社が運営する「つの食品webショップ」への不正アクセスによる（築野食品工業株式会社）

  • https://www.tsunorice.com/contents/20221226_information.php

  • 個人情報漏えいに関するお詫びとお知らせ

  • Q&A形式の問い合わせページがありました。

    • https://www.tsunorice.com/contents/20221226_information2.php

不正通信報告

• FENICSインターネットサービスに関するネットワーク機器からの不正な通信について（富士通）

  • https://www.fujitsu.com/jp/services/infrastructure/network/news/2022/1223.html

ゲーム業界

• 2023年、ゲーマーはサイバー犯罪に警戒せよ

  • メタバースでの詐欺が今後、出てくるのでは無いかという話のようですね。ゲーム業界を狙った攻撃も今年は結構目にしました。

  • https://japan.cnet.com/article/35197833/

CSIRT

• 世界のCSIRTから ～エチオピア、ルワンダ～（JPCERT/CC）

  • https://blogs.jpcert.or.jp/ja/2022/12/csirt.html