このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
12月1日収集
インシデント対応状況報告
教育機関関連
大学からの情報漏えい、2022年は過去最悪に。累計791大学・173万アカウントが漏えい【ソースポッド調べ】
大学からの情報漏洩が増えている印象でしたが、やはり増えているようですね。アカウントが漏洩した後は、内部に入り込まれ、研究資料などが盗られることになるのでしょうか。それとも、情報を集めて売買する目的なのでしょうか。
学術研究者・シンクタンク研究員を標的としたサイバー攻撃について(注意喚起)(警察庁サイバー警察局、内閣サイバーセキュリティセンター)
こういう注意喚起があると言うことはやはり研究内容がターゲットなのでしょうか。
関連記事
外交・安保分野の学者らにサイバー攻撃相次ぐ...外国機関が情報収集狙った可能性
こちらの記事では「国際政治や安全保障、エネルギーなどを専門とする大学教員や民間研究員、報道関係者らを標的とした」としてますね。
マルウェア
New Windows malware also steals data from victims' mobile phones
Google discovers Windows exploit framework used to deploy spyware
China-linked UNC4191 APT relies on USB Devices in attacks against entities in the Philippines
リムーバブルドライブ経由で感染が広がるらしいです。
https://securityaffairs.co/wordpress/139097/apt/unc4191-used-usb-devices.html
Bluetooth乗っ取り
他人のスマホとBluetooth接続するサイバー攻撃 権限変更で端末乗っ取り 中国と米国チームが発表
https://www.itmedia.co.jp/news/articles/2212/01/news059.html
以下、元の報告
Blacktooth: Breaking through the Defense of Bluetooth in Silence
テイクダウン
Cybersecurity researchers take down DDoS botnet by accident
誤ってダウンさせたようですね。
関連記事
KmsdBot: The Attack and Mine Malware
12月2日収集
全般
SBOM
SBOMで始める脆弱性管理の実際
脆弱性
Researchers Disclose Critical RCE Vulnerability Affecting Quarkus Java Framework
CVSS9.8とのことです。Quarkusはコンテナー化されたサーバーレス環境で Java アプリケーションを作成するために使用されるオープン ソース プロジェクトだそうです。
https://thehackernews.com/2022/12/researchers-disclose-critical-rce.html?m=1
漏洩情報の悪用
LastPass disclosed a new security breach, threat actors had access to its cloud storage using information stolen in the August 2022 breach.
今年8月に漏洩した情報を悪用されたようです。
CHRISTMA EXEC
The CHRISTMA EXEC network worm -- 35 years and counting!
DDoS報告
ペライチの安定化に向けた今後の対策について(株式会社ペライチ)
不正アクセス報告
12月5日収集
医療機関関連
Private Information of Thousands of Children Exposed in Medical Software Data Breach
医療関係の情報を含む子供の個人情報が流出したと言う事案のようですね。
ランサムウェア
Cuba Ransomware Extorted Over $60 Million in Ransom Fees from More than 100 Entities
Exbyte: BlackByteランサムウェアの攻撃グループが新たなデータ窃取ツールを展開
二重脅迫型の場合、まず情報を窃取する動きをすると思いますが、そのタイミングで使用するのでしょうかね。
スティーラー
34 Russian Cybercrime Groups Stole Over 50 Million Passwords with Stealer Malware
Android
Android Keyboard Apps with 2 Million downloads can remotely hack your device
Schoolyard Bully Trojan Apps Stole Facebook Credentials from Over 300,000 Android Users
脆弱性の悪用
Hackers Exploiting Redis Vulnerability to Deploy New Redigo Malware on Servers
ブラックプロキシ
BlackProxies proxy service increasingly popular among hackers
もとの記事
Purpose Built Criminal Proxy Services and the Malicious Activity They Enable
12月6日収集
サイバー世界情勢
Advanced Phishing Campaign Targeting Individuals & Businesses in the Middle East (Part 2)
中東を標的としたフィッシングキャンペーンの記事のようですね。
どうでも良い話ですが、最近、テレビで釣り番組を見ていると画面に表示される「フィッシング」の文字をPhishingのスペルで理解しようとしている自分に気付きました。
Russia's second-largest bank VTB Bank under DDoS attack
日本の動き
日本の企業の動き
ランサムウェア
運輸・海運業界を狙うランサムウェアが増加、世界情勢が影響の可能性-Trellixの脅威レポート
FBI warning: This ransomware gang has hit over 100 targets and made more than $60 million
ワイパー
Wiper, Disguised as Fake Ransomware, Targets Russian Orgs
CryWierと言う名前のランサムウェアを装ったワイパーだそうで、動きとしてはランサムウェアのような動きだそうですが、実際にはファイルを削除するなど意図的に破壊しているそうです。ランサムウェアの中には攻撃者側のプログラムミスでワイパーとして動くランサムウェアもあるそうですが、それとは違うと言うことのようですね。ロシアを標的としているというのが気になりますね。
https://www.darkreading.com/threat-intelligence/wiper-disguised-fake-ransomware-targets-russian-orgs
関連記事?
Russian courts attacked by CryWiper malware that poses as ransomware
医療機関関係
Ransomware attack forces French hospital to transfer patients
セキュリティ人材
セキュリティエンジニアってどんな仕事? メリット・デメリットや必要な能力について解説します!
必要なスキルとしてネットワーク知識が上がってますが、重要な技術の要素の1つとして考えるべきと思います。個人的には、インフラか、ネットワークか、インフラのいずれかに基盤となる幅広い知識を持っている方が良いと感じます。
デメリットとして生活のリズムが崩れやすい、いつインシデントが発生するか判らないからとなってますが、これはその通りと思いました。
https://www.iza.ne.jp/article/20221205-OZIBIM7EM5CAPB4ZXHTUKB67BI/
暗号通貨
Lazarus APT uses fake cryptocurrency apps to spread AppleJeus Malware
暗号通貨を盗むために偽の暗号通過アプリをダウンロードさせる手口のようですね。
https://securityaffairs.co/wordpress/139290/apt/lazarus-apt-bloxholder-campaign.html
FreeBSD脆弱性
Critical Ping Vulnerability Allows Remote Attackers to Take Over FreeBSD Systems
不正アクセス報告
弊社サーバーへの不正アクセスに関するその後の状況について(山陽SC開発株式会社)
12月7日収集
サイバー世界情勢
スパムメール
詐欺師はスパムメールにわざと誤字脱字を入れることでカモを選別している
確かに誤字脱字がかなりの確率で入っていて、作成者は言語の知識がないのか? と思うことはあります。長いことその傾向が変わらないので、意図的と言われた方が納得感がありますね。
日本語の場合、文法や作法のレベルで日本語話者に違和感を感じさせないのが難しいのか、読めば判るものが多いですね。それでも以前に比べればかなりそれっぽい文章になりましたね。
Wordpressプラグイン
Infected WordPress Plugins Redirect to Push Notification Scam
医療機関関連
不正アクセス報告
都立スポーツ施設の工事請負受注者へのサイバー攻撃について(東京都)
脆弱性
年1000件超の診断から見たウェブアプリケーションに作り込まれやすい脆弱性-前編
12月8日収集
サイバー世界情勢
Google discovered North Korea exploiting an Internet Explorer zero-day vulnerability in October
DDoS
Mirai Botnet and Gafgyt DDoS Team Up Against SOHO Routers.
Botnet
New Go-based Botnet Exploiting Exploiting Dozens of IoT Vulnerabilities to Expand its Network
GoベースのZerobotと言うそうです。
https://thehackernews.com/2022/12/new-go-based-zerobot-botnet-exploiting.html
以下が元の記事?
Zerobot -- New Go-Based Botnet Campaign Targets Multiple Vulnerabilities
ワイパー
Fantasy -- a new Agrius wiper deployed through a supply‑chain attack
窃取情報の悪用
4 Arrested for Filing Fake Tax Returns With Stolen Data
窃取した個人情報で税務申告書を提出し、払い戻し金を盗ろうとした案件のようですね。
https://www.darkreading.com/attacks-breaches/4-arrested-for-filing-fake-tax-returns-with-stolen-data
暗号資産関連
ラザルス、日本の暗号資産業者を標的と「強く推察」=官房長官
フィッシング
2022/11 フィッシング報告状況(フィッシング対策協議会)
不正アクセス報告
都立スポーツ施設の工事請負受注者へのサイバー攻撃について(東京都)
12月9日収集
全般
Zombinder APK binding service used in multiple malware attacks
ゾンビンダーというパワーワードを無視できませんでした。正規のandroidアプリに悪意あるペイロードを埋め込むサービスのようでね。
https://securityaffairs.co/wordpress/139431/malware/zombinder-apk-binding-service.html
アカウント乗っ取りの新手法、「プリハイジャック攻撃」の手口とは
サイバー世界情勢
Mustang Panda Uses the Russian-Ukrainian War to Attack Europe and Asia Pacific Targets
医療機関関連
CommonSpirit Health ransomware attack exposed data of 623,000 patients
不正アクセス報告
コンピューターの不正アクセスによる障害発生について(金沢西病院)
フィッシング
Hacked corporate email accounts used to send MSP remote access tool
漏洩した正規の企業用メールアドレスでフィッシングを行い、MSP(マネージドサービスプロバイダー)向けのリモートアクセスツールを送り込む手口と読みました。ツールのインストーラーはOnedriveなどに保存されているようですね。
12月12日収集
世界情勢
North Korean hackers once again exploit Internet Explorer's leftover bits
Hack-for-Hire Group Targets Travel and Financial Entities with New Janicab Malware Variant
日本の動き
医療機関関連
CommonSpirit confirms data breach impacts 623K patients
マルウェア
ツール
教育機関関連
12月13日収集
全般
サイバー犯罪フォーラムで犯罪者を標的にした詐欺が横行中
元の記事
The scammers who scam scammers on cybercrime forums: Part 1
不正アクセス報告
バックドア
Lockbit
LockBit ransomware crew claims attack on California Department of Finance
https://www.cyberscoop.com/lockbit-ransomware-california-department-of-finance/
元の報告
Statement on Cybersecurity Incident
脆弱性
尼崎市USB関連
第三者委員会の調査報告書受領及び役員の処分等に関するお知らせ(BIOLOGY株式会社)
調査報告書が付いてます。
12月14日収集
サイバー世界情勢
Play ransomware claims attack on Belgium city of Antwerp
ワイパー
ランサムウェアを政治目的でワイパーマルウェアに変える事例が増加
ワイパーに変わったランサムウェアの記事は見かけていましたが、政治目的で変えているということのようですね。昨今の世界情勢も関係しているのでしょうかね。
不正アクセス報告
熊本県立大学メールアカウントの不正アクセ事案の発生について
メールサーバに侵入されたように読めますがどうなんでしょうかね。
https://www.pu-kumamoto.ac.jp/sys/wp-content/uploads/2022/12/PR_20221213.pdf
情報漏えい報告
珈琲の王国Beans510」に不正アクセス、カード情報が漏えい
サイト改ざんによるもののようですね。
https://scan.netsecurity.ne.jp/article/2022/12/13/48625.html
12月23日収集
BEC
-
やはり世界情勢を反映しての動きなのでしょうかね。
https://scan.netsecurity.ne.jp/article/2022/12/22/48681.html
ランサムウェア
収益化の仕組み確立 ランサムウェア年間13%増、身代金は「支払うべきでない」~ DBIR 2022 解説
Play ransomware group claims to have stolen hotel chain data
Playランサムウェアによるホテルへの攻撃で情報漏えいと言うことのようです。セキュリティ対策はしていたのに突破されたというのが少々気になります。
脆弱性
Exchange OWASSRF Exploited for Remote Code Execution
Exchange Severの脆弱性が悪用されている報告
ポストVBA
Cisco Talos report: Threat actors use known Excel vulnerability
暗号通貨
Millions of Gemini cryptocurrency exchange user details leaked
年末年始
-
年末年始において実施いただきたい対策について(12/20)
ガイダンス
「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集(12/26)
個人情報漏洩報告
【重要】不正アクセス発生による個人情報流失の可能性に関する お詫びとお知らせ(株式会社フルノシステムズ)
月次アクセス集計の値が大きいことから気づいたようですね。日頃からチェックし続ける事の意義を感じますね。
https://www.furunosystems.co.jp/news/info/20221219001451.html
12月26日収集
不正アクセス
高松青果にサイバー攻撃、社内システムに障害発生 通常業務に支障
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明
「日経スマートクリップ」不正アクセス、情報流出の恐れ
不正アクセス報告
個人情報漏洩報告
当社代理店における個人情報漏えいについて(AIG損害保険株式会社)
バンキングマルウェア
Godfather Android banking malware is on the rise
400を超えるAndroidアプリのレイオーバー画面を用意しているそうで、ほとんどが欧米のアプリのようですね。
https://www.malwarebytes.com/blog/news/2022/12/godfather-android-banking-malware-is-on-the-rise
医療機関関連
病院へのサイバー攻撃、リモート操作許し被害拡大か 3病院にも影響
複数の病院が利用するシステムを運用管理する給食提供サービスがランサムウェア感染して、サービスを利用する病院に影響が出たと読めますが、集めた情報からだけでははっきりしない所が多いです。医療センターがまず感染して給食提供サービス側に広がったのか、その逆なのか。とりあえず、医療センターと給食提供サービス間でRDP通信があった事は間違いないようです。
共同システムを利用している業界は他にもあるので、ちょっと気になりました。
医療センターの方は、他にも影響が出たようですね。
以下が一番まとまっているようです。
病院を襲ったランサムウエア攻撃の真相
全般
ボット
Zerobot Adds Brute Force, DDoS to Its IoT Attack Arsenal
12月27日収集
インジェクション
WordPressサイトに偽のjQueryを挿入、詐欺サイトに誘導
タイトルからすると偽のjQueryが挿入されるように読めますが、実際にはJavascriptインジェクションで、誘導される先がjQueryのサイトを模していると言うことのようですね。
偽メール注意喚起
通信不具合報告(DDoS起因)
2022年12月22日に発生したホスティングサービスの通信不具合につきましてお詫び申し上げます(株式会社東邦通信システムズ)
サイバー被害詐欺
磐田の70代女性 170万円詐取被害 「携帯電話悪用されサイバー攻撃」
携帯電話悪用されサイバー攻撃を受けたので損害を賠償しろと言う詐欺のようですね。セキュリティ会社社員を名乗って電話してくるというのも気になります。
脆弱性
不正アクセス報告
弊社が運営する「つの食品webショップ」への不正アクセスによる(築野食品工業株式会社)
個人情報漏えいに関するお詫びとお知らせ
Q&A形式の問い合わせページがありました。
不正通信報告
FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(富士通)
ゲーム業界
2023年、ゲーマーはサイバー犯罪に警戒せよ
メタバースでの詐欺が今後、出てくるのでは無いかという話のようですね。ゲーム業界を狙った攻撃も今年は結構目にしました。