このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
2月1日収集
サイバー世界情勢
IT ARMY OF UKRAINE GAINED ACCESS TO A 1.5GB ARCHIVE FROM GAZPROM
日本とNATO、連携深化を確認 サイバーや宇宙で協力
Wordpress
WordPress Vulnerability & Patch Roundup January 2023
Micrpsoft
マイクロソフト、1月25日に発生した大規模障害の原因を説明
サイバーではないですが。
2023 identity security trends and solutions from Microsoft
IDにまつわる攻撃手法が昔からあるものから最近のものまでまとまっているようです。
なりすましメール注意喚起
【重要】弊社の名前を詐称した「なりすましメール」について(VRoid)
Yandex
ショーケース脆弱性
ショーケースが半年前にソースコード改ざん被害、利用企業のカード流出は10社超に
piyoango氏によるまとめ
https://xtech.nikkei.com/atcl/nxt/column/18/00598/013000200/
個人情報漏えい
英国のアイスリンクを運営する企業のようですね。
Lockbit
Poser Hackers Impersonate LockBit in SMB Cyberattacks
Lockbitのグルーブになりすまして、流出したLockbitを使って攻撃するグルーブがいる、と言う記事のようです。
https://www.darkreading.com/application-security/poser-hackers-impersonate-lockbit-smb-cyberattacks
2月2日収集
日本の動き
「能動的サイバー防御」準備室、内閣官房に新設 政府
Lockbit Green
NEW LOCKBIT GREEN RANSOMWARE VARIANT BORROWS CODE FROM CONTI RANSOMWARE
Contiのコードを流用し、クラウドベースのサービスを標的にする亜種だそうです。他にRedとBlackがあるんですね。
https://securityaffairs.com/141666/cyber-crime/lockbit-green-ransomware-variant.html?amp=1
脆弱性
Command-Injection Bug in Cisco Industrial Gear Opens Devices to Complete Takeover
ゲーム業界
Hackers use new IceBreaker malware to breach gaming companies
DDoS
New DDoS-as-a-Service platform used in recent attacks on hospitals
医療機関が標的のDDoS-as-a-Service(DDoSaaS)で、10の攻撃手法を提供しているそうです。記事数の上ではDDoSの話は少ないですが、また増加するでしょうかね。
PRO-RUSSIA KILLNET GROUP HIT DUTCH AND EUROPEAN HOSPITALS
Killnetの動向。ヨーロッパの医療機関を標的にしているようです。政治的な動機のようですね。
https://securityaffairs.com/141695/cyber-warfare-2/killnet-hit-dutch-european-hospitals.html?amp=1
日本の動き
クレジットカード会社等に対するフィッシング対策の強化を要請しました(経済産業省)
DMARC導入の要請が含まれるようですね。
https://www.meti.go.jp/press/2022/02/20230201001/20230201001.html
POSマルウェア
情報漏えい
2022年の情報漏えい、件数は微減も被害者数は大幅増--米調査
米国の調査報告。日本では件数も増えている印象ですが、本当のところどうなんでしょうかね。
2月3日収集
サイバー世界情勢
North Korean hackers stole research data in two-month-long breach
ランサムウェア
ランサムウェア/攻撃グループの変遷と繋がり (Rev.2)MBSD
こういう図を提供していただけるのは、個人的にはありがたいですね。
Ransomware attack on data firm ION could take days to fix -sources
クレジットカード業界
「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書を取りまとめました(経済産業省)
ポストVBA
Hackers weaponize Microsoft Visual Studio add-ins to push malware
ディープフェイク
ディープフェイクでBECの悪質さが増す恐れ、電話相手も信じられない時代に
レポート
Redis
New Threat: Stealthy HeadCrab Malware Compromised Over 1,200 Redis Servers
Redisサーバーがステルス性の高いHeadCrabというマルウェアに侵害されているという記事のようです。
https://thehackernews.com/2023/02/new-threat-stealthy-headcrab-malware.html?m=1
2月6日収集
ランサムウェア
警察がランサムウエア被害のデータを復旧、どうやって高度な暗号化から復元したのか
最近、ランサムウェア復旧請負業者の話を耳にしたので、ちょっと気になりました。
Wordpress
WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性
怖いですね。最近、知り合いのホームページをWordpressで立てるお手伝いをしたりしてますが、パッチ適用をサービス側がやってくれるところもあるようですね。
https://scan.netsecurity.ne.jp/article/2023/02/03/48867.html
DDoS
Passion botnet cyberattacks hit healthcare, as actors offer threat as DDoS-as-a-service
パッション・ボットネットという名前のようですが、Passionには情熱の意味の他、受難の意味もあったと思います。
Black Basta
CASE STUDY Technical Analysis: Black Basta Malware Overview
Black Bastaの分析記事のようです。後で読みます。
https://quadrantsec.com/resource/technical-analysis/black-basta-malware-overview
不正アクセス
MITRE
MITRE Releases Tool to Design Cyber-Resilient Systems
NIST.SP800-160に基づくシステムだそうです。後でいじってみます。
https://www.darkreading.com/dr-tech/mitre-releases-tool-to-design-cyber-resilient-systems
SP800-160
Developing Cyber-Resilient Systems: A Systems Security Engineering Approach
マルウェア
New APT34 Malware Targets The Middle East
2月7日収集
マルバタイジング
FormBook Malware Spreads via Malvertising Using MalVirt Loader to Evade Detection
VMWare関連
イタリア、VMウェア製サーバー狙ったサイバー攻撃について警告
Global Ransomware Attack on VMware EXSi Hypervisors Continues to Spread
ROYAL RANSOMWARE ADDS SUPPORT FOR ENCRYPTING LINUX, VMWARE ESXI SYSTEMS
OneNote
NSIS
GuLoader Malware Using Malicious NSIS Executables to Target E-Commerce Industry
OpenSSH
OpenSSH Releases Patch for New Pre-Auth Double Free Vulnerability
脆弱性
Hackers backdoor Windows devices in Sliver and BYOVD attacks
2月8日収集
サイバー世界情勢
ANONYMOUS LEAKED 128GB OF DATA STOLEN FROM RUSSIAN ISP CONVEX REVEALING FSB'S WARRANTLESS SURVEILLANCE
VMWare関連
Ongoing VMware ESXi Ransomware Attack Highlights Inherent Virtualization Risks
ランサムウェア
Cl0p Ransomware Targets Linux Systems with Flawed Encryption | Decryptor Available
ページの頭に出てくる画像が怖いです。Linux亜種だそうですが欠陥があるとのことです。
ChatGPT
ChatGPTにWordPressプラグインを要求したら数日かかる作業を5分で完了させたという報告
色々と加速してしまいそうな印象ですね。
https://gigazine.net/news/20230208-chatgpt-wordpress-plugin/
学校での「ChatGPT」利用、シンガポール政府が容認へ
文化、芸術への利用が進むと、コンテンツの大量消費がさらに進展しそうですね。
情報漏えい
通販サイト「ドットエスティ」運営のアダストリアで100万人超の個人情報流出か
Piyoango氏によるまとめ。
https://xtech.nikkei.com/atcl/nxt/column/18/00598/020600201/
USBメモリ
USBメモリー利用の危険性にFBIが注意喚起、安全なデータやりとりを考えよう
Lockbit
LockBit ransomware gang claims Royal Mail cyberattack
英国のロイヤルメールへの攻撃を行ったとLockbitが主張しているようですね。
2月9日収集
レポート
VMWare関連
CISA Releases ESXiArgs Ransomware Recovery Script
ROYAL RANSOMWARE ADDS SUPPORT FOR ENCRYPTING LINUX, VMWARE ESXI SYSTEMS
個人情報漏えい報告
オンラインショップ不正アクセスによる情報漏えいについて(株式会社丹野こんにゃく)
DDoS
Tor and I2P networks hit by wave of ongoing DDoS attacks
TorやI2Pネットワークが攻撃を受けているという記事のようですね。どういう意図なんでしょうね。
HTMLフィッシング
脆弱性
RESEARCHER COMPROMISED THE TOYOTA SUPPLIER MANAGEMENT NETWORK
トヨタのサプライヤー管理ネットワークというのがセキュリティ研究者によってハッキングとあるので、研究者が脆弱性を実証したと言うことだと読みました。
https://securityaffairs.com/141990/hacking/utoyota-supplier-management-network-bug.html?amp=1
2月10日収集
全般
Hackers breach Reddit to steal source code and internal data
マルウェア
Gootkit Malware Adopts New Tactics to Attack Healthcare and Finance Firms
侵害してJavscriptファイルを置いた、Google検索で上位に入るWordpressサイトから感染するようですね。
https://thehackernews.com/2023/02/gootkit-malware-adopts-new-tactics-to.html?m=1
ランサムウェア
VMWare関連
2月13日収集
サイバー世界情勢
North Korean Hackers Targeting Healthcare with Ransomware to Fund its Operations
ANDROID MOBILE DEVICES FROM TOP VENDORS IN CHINA HAVE PRE-INSTALLED MALWARE
結構前から色々と噂がありますが......。
https://securityaffairs.com/141989/malware/android-mobile-devices-china-malware.html?amp=1
ランサムウェア
RANSOMWARE ATTACK HIT THE CITY OF OAKLAND
BEC詐欺
$800,000 recovered from Business Email Compromise attack
Killnet
KillNet hits healthcare sector with DDoS attacks
ランサムウェア被害
2月14日収集
サイバー世界情勢
【独自】韓米、北のハッカーによる仮想通貨現金化を阻止...協調で初成果
Killnet
Russian Hackers Disrupt NATO Earthquake Relief Operations
- Killnet→NATOのようですね。最近のDDoS記事はKillnet関連が多いですね。
ランサムウェア
Ransomware hits Technion university to protest tech layoffs and Israel
スクリーンショット
Hackers Targeting U.S. and German Firms Monitor Victims' Desktops with Screenshotter
ChatGPT
ロシアのハッカー、「ChatGPT」の制限回避を狙う--Check Pointが確認
ChatGPTのAPIへの通信がロシアからは制限されているそうで、それを突破しようとしていると言う記事のようです。
個人情報漏えい関連
チューリッヒから個人情報漏洩!解約してるのにメアドがダークウェブに流出した
個人情報の取り扱いに関する問題。
2月15日収集
サイバー世界情勢
Chinese Hackers Targeting South American Diplomatic Entities with ShadowPad
OT
2022 ICS/OT CYBERSECURITY YEAR IN REVIEW
最近はOTも気にしています。
DDoS
Medusa botnet returns as a Mirai-based variant with ransomware sting
Massive HTTP DDoS Attack Hits Record High of 71 Million Requests/Second
こちらは攻撃を阻止したと言う記事。 "hyper-volumetric" DDoS attackと呼んでいるそうです。
https://thehackernews.com/2023/02/massive-http-ddos-attack-hits-record.html?m=1
不正アクセス報告
「日経スマートクリップ」サービスのサーバーへの不正アクセスについて(第2報)
個人情報漏えいの可能性が否定できないとのことです。
http://www.nikkei.co.jp/nikkeiinfo/news/information/1062.html
医療機関関連
Ransomware attackers steal over 3 million patients' medical records
病歴などは要配慮個人情報に該当するようですね。漏えいした場合の扱いは個人情報と同じになるのでしょうかね。
DNS
DNS Abuse Techniques Matrix
2月16日収集
サイバー世界情勢
North Korea's APT37 Targeting Southern Counterpart with New M2RAT Malware
VMWare関連
The Evolution of ESXiArgs Ransomware
New ESXiArgs encryption routine outmaneuvers recovery methods
Telegram
How a messenger turned into cybercrime ecosystem by 2023
不正アクセス報告
当社中国子会社への不正アクセスの発生について(ニプロ株式会社)
情報漏えい報告
GoAnywhere MFT
COMMUNITY HEALTH SYSTEMS DATA BREACH CAUSED BY GOANYWHERE MFT HACK
医療機関がゼロデイで攻撃されたと言う記事のようです。GoAnywhere MFTはファイル転送管理ソリューションだそうで、ゼロデイはリモートコードインジェクションのようです。
https://securityaffairs.com/142242/data-breach/community-health-systems-data-breach.html?amp=1
Python
Latest attack on PyPI users shows crooks are only getting better
2月17日収集
サイバー世界情勢
Hacks, leaks and wipers: Google analyzes a year of Russian cyberattacks on Ukraine
以下、元記事?
Fog of war: how the Ukraine conflict transformed the cyber threat landscape
Web広告
Hackers Using Google Ads to Spread FatalRAT Malware Disguised as Popular Apps
Web広告をクリックすると不正なサイトに誘導されてと言う手口のようです。
https://thehackernews.com/2023/02/hackers-using-google-ads-to-spread.html?m=1
IIS
Frebniis: New Malware Abuses Microsoft IIS Feature to Establish Backdoor
IISはWindowsに付属のWebサーバですが、このマルウエアはHTTP要求失敗時に処理するdllの呼び出しを乗っ取って悪意あるコード実行させるらしいです。
IISはマイナーなようでいて結構使われている印象ですね。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/frebniis-malware-iis
ESXiArgs
OVER 500 ESXIARGS RANSOMWARE INFECTIONS IN ONE DAY, BUT THEY DROPPED THE DAY AFTER
https://securityaffairs.com/142336/cyber-crime/esxiargs-ransomware-infections.html?amp=1
以下、元記事?
The Evolution of ESXiArgs Ransamware
マルウェア
NEW MORTALKOMBAT RANSOMWARE EMPLOYED IN FINANCIALLY MOTIVATED CAMPAIGN
まとめ記事
先週のサイバー事件簿 - 乱立するインターネット通販「偽サイト」
分析
マルチバイト文字とURL(MBSD)
勉強になりました。URLの一部だけエンコードされているのをよく見かけたことがありますが、攻撃意図が不明だったのですが、こう言うことなのですか。
ダークWeb
大企業100社でダークWebへの情報流出確認、45万件超のアカウントが流出か
DDoS
2月20日収集
サイバー世界情勢
Sustained activity by specific threat actors
脆弱性
Critical RCE Vulnerability Discovered in ClamAV Open Source Antivirus Software
ClamAVは時々使っていると言う話を聞きますね。バッファオーバーフロー系のようですね。
https://thehackernews.com/2023/02/critical-rce-vulnerability-discovered.html?m=1
BEC詐欺
Google Translate Helps BEC Groups Scam Companies in Any Language
GoDaddy
GoDaddy: Hackers stole source code, installed malware in multi-year breach
不正アクセス報告
当社親会社のサーバーに対する不正アクセスに関するお知らせ(株式会社青森アトム)
個人情報漏洩関連
パッチ
Fortinet Issues Patches for 40 Flaws Affecting FortiWeb, FortiOS, FortiNAC, and FortiProxy
複数記事になっており、注目度が高いのでしょうかね。
https://thehackernews.com/2023/02/fortinet-issues-patches-for-40-flaws.html?m=1
航空業界
Airline SAS network hit by hackers, says app was compromised
顧客が使用するアプリと連携するサーバが攻撃を受け、アプリに関係ない情報が表示されるなどの被害があったと言うことのようですね。
2月21日収集
サイバー世界情勢
中国がChatGPTのようなAIツールで後れを取っているのは検閲と地政学的な緊張による統制の強化が原因との指摘
Norway Seizes $5.84 Million in Cryptocurrency Stolen by Lazarus Hackers
調査報告
FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(調査結果)(富士通株式会社)
啓発
サイバー攻撃 今、そこにあるリスク 経営トップがすべきこと(NISC)
情報漏えい報告
ケーススタディ
Social Engineering - A Coinbase Case Study
コインベース自身によるインシデントの記事のようです。TPPが載っています。
https://www.coinbase.com/blog/social-engineering-a-coinbase-case-study
レポート
暴露型ランサムウェア攻撃統計CIGマンスリーレポート(MBSD)
注意喚起
エプソン製品をネットワークに接続する際の注意事項
ブリンタなどをネットワークにつなぐときのセキュリティ面での注意事項をまとめているようです。良い取り組みだと思います。
https://www.epson.jp/support/misc/cautions_for_connection.htm
2月22日収集
全般
「MITRE ATT&CKが読めないどころかマルウェアも知らない経営者」が会社を危険に
ネットワークの境界に設置するセキュリティー機器の定番、「UTM」とは
サイバー世界情勢
顧客情報700万件を盗んだハッカー組織を逮捕=韓国
Researchers Warn of ReverseRAT Backdoor Targeting Indian Government Agencies
まとめ記事
ECサイト10社超で情報流出 原因はショーケースのサービス
piyokango氏によるまとめ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/021600048/
PoC
POC EXPLOIT CODE FOR CRITICAL FORTINET FORTINAC BUG RELEASED ONLINE
FortiNACに関する脆弱性のPoCコードが公開されたと言うことのようですね。
https://securityaffairs.com/142553/hacking/poc-exploit-code-fortinet-fortinac.html?amp=1
ChatGPT
「ChatGPT」がサイバーセキュリティの未来にもたらす光と影
2月24日収集
サイバー世界情勢
US Military Emails Exposed via Cloud Account
ChatGPT
Hackers use fake ChatGPT apps to push Windows, Android malware
偽のChatGPTでフィッシングサイトへ誘導するようです。
以下が元記事のようです。
Malicious (and fake) ChatGPT client for Windows
NPMリポジトリ
Attackers Flood NPM Repository with Over 15,000 Spam Packages Containing Phishing Links
NPMリポジトリに1,5000を超えるスパムパッケージを登録しようとしたと言うことのようですね。フィッシングサイトへのリンクを含むREADME.mdファイルが含まれるようです。悪意あるコードを含むパッケージをダウンロードさせると言うより、READMEに記載のリンクを起点としたフィッシングキャンペーンのようです。個人的には確かに、READMEのリンクあまりは疑ったことはなかったですね。
https://thehackernews.com/2023/02/attackers-flood-npm-repository-with.html?m=1
セキュリティクリアランス
フィッシング
情報漏洩
ゲーム業界
Activision breach exposed game and employee data
ランサムウェア
HARDBIT RANSOMWARE GANG ADJUSTS THEIR DEMANDS SO THE INSURANCE COMPANY WOULD COVER THE RANSOM COST
Hardbitランサムウェアの攻撃者が、被害者が入っているランサムウェア保険の情報の開示を要求して、攻撃者側に支払われる額に関する保険会社による交渉をさせないようにする? と言うような内容と読みましたが合ってますかね。
https://securityaffairs.com/142538/cyber-crime/hardbit-ransomware-insurance.html?amp=1
2月27日収集
サイバー世界情勢
CERT OF UKRAINE SAYS RUSSIA-LINKED APT BACKDOORED MULTIPLE GOVT SITES
食品関連
RANSOMWARE ATTACK ON FOOD GIANT DOLE FOOD COMPANY BLOCKED NORTH AMERICA PRODUCTION
教育機関関連
Stanford University discloses data breach affecting PhD applicants
フォルダの設定ミスで外部に開示されてしまったと言うことのようですね。
メディア関連
News Corp says state hackers were on its network for two years
侵害されてから2年間気付けなかったと言うことでしょうかね。
不正アクセス報告
一部のメールデータが流出した可能性についてのお知らせ(積水ハウス株式会社)
情報漏洩QA
クレジットカード情報漏えいに関するご質問とご回答(ソースネクスト株式会社)
結構しっかり書いてあるようです。
海賊版アプリ感染
SIMスワップ詐欺
SIMカード再発行でスマホ乗っ取り、不正送金...男2人を全国初逮捕
サイバーではないと思いますが、気になった手口なので。MFAを乗り越えるための手口のようですが、色々と情報を収集しないと攻撃者側の利益には結びつきにくいと思いました。インターネットに自分の情報を晒さない、電話が突然使えなくなったら、この詐欺を仮定してみるという意識が必要となるでしょうか。
以下、説明記事。
SIMスワップ詐欺の手口とその対策
ChatGPT
テレグラムボット使用しChatGPTの制限回避、悪意あるメールやコード作成
2月28日収集
情報漏洩報告
不正アクセス復旧報告
ホームページ復旧のお知らせ(株式会社U-LABO)
サイバー保険
Tenable、サイバー保険会社に向けサイバーリスク情報提供
サイバー保険契約時に診断を受けると言うことでしょうかね。
https://scan.netsecurity.ne.jp/article/2023/02/28/48972.html このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
Wordpress
Critical flaws in WordPress Houzez theme exploited to hijack websites
マルウェア
New Exfiltrator-22 post-exploitation kit linked to LockBit ransomware