このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。
各出来事に関するコメントは個人の意見です。
4月3日収集
サイバー世界情勢
LEAKED DOCUMENTS FROM RUSSIAN FIRM NTC VULKAN SHOW SANDWORM CYBERWARFARE ARSENAL
不正操作
-
実際に不正操作されてしまったようですね。
https://www.nikkei.com/article/DGXZQOUE0128Z0R00C23A4000000/
LockBit
LOCKBIT LEAKS DATA STOLEN FROM THE SOUTH KOREAN NATIONAL TAX SERVICE
マルバダイジング
OT
重要インフラ/OTのサイバーリスクと課題、TXOneがレポート公開
以下、レポート
登録が必要なようです。
OT サイバーセキュリティレポート 2022
https://www.txone.com/ja/security-reports-ja/insight-into-ics-ot-cybersecurity2022/
脆弱性
Hackers exploit bug in Elementor Pro WordPress plugin
ChatGPT
「ChatGPT」イタリアで一時使用禁止に データ収集で違反の疑い
スマホ決済
スマホ決済を使わない人は「スキル不足」な人? 「セキュリティ」にも不安を覚えているかも
不正アクセス報告
4月4日収集
GPT-4
GPT-4が脅威分析し「パワポ1枚」で報告、マイクロソフトがSecurity Copilot公開
Sentinelにログを送ってSentinelがGPT-4とやり取りするらしいですが、ログをどこまで開示する事にするんでしょうかね。ちょっと気になります。
GPT-4開発停止を求める公開書簡 内容の妥当性をAI専門家に聞いてみた
Killnet
WinRAR
WinRAR SFX archives can run PowerShell without being detected
脆弱性などではなく、改造されたWinRARによる問題のようですね。
暗号通貨関連
Cryptocurrency companies backdoored in 3CX supply chain attack
Crypto-Stealing OpcJacker Malware Targets Users with Fake VPN Service
フィッシング
件名「【 マイナンバーカード】マイナポイント第2弾で獲得した20,000円ポイントはまもなく失効します」などの不審なメール、マイナポイント事務局をかたるフィッシングに注意
サイトリニューアル
IPAがサイトリニューアルでリダイレクトなくURLを全面変更、技術解説記事も多数消滅か
4月5日収集
サイバー世界情勢
ロシアのスノーデンか「Vulkanファイル」流出
日本の動き
マルウェア
Typhon Reborn V2: Updated stealer features enhanced anti-analysis and evasion capabilities
シャッター
Hackers Can Remotely Open Smart Garage Doors Across the World
サイバー犯罪対策課
Uber
Law Firm for Uber Loses Drivers' Data to Hackers in Yet Another Breach
レポート
クレジットカード不正利用被害の集計結果および数値の訂正について(一般社団法人日本クレジット協会)
ランサムウェア
Mysterious 'Rorschach' Ransomware Doubles Known Encryption Speeds
4月6日収集
サイバー世界情勢
Google TAG Warns of North Korean-linked ARCHIPELAGO Cyberattacks
日本の動き
高校生や大学生がサイバー犯罪の捜査に挑戦 警察の職業体験会【佐賀県】
脆弱性
「一太郎」「ホームページ・ビルダー」などジャストシステム製品に脆弱性 悪用で強制終了の恐れ
Github
GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~
医療機関関連
ゲーム業界関連
STALKER 2 game developer hacked by Russian hacktivists, data stolen
自動解凍型圧縮ファイル
Hackers Using Self-Extracting Archives Exploit for Stealthy Backdoor Attacks
ChatGPT
ChatGPTなどの安全性確認、AI企業に責任 米大統領
jpドメイン
ガイドライン類
IPA「IoT開発におけるセキュリティ設計の手引き」更新
監視カメラ
国交省 河川監視カメラに不正アクセスの痕跡確認、再開5月目標
河川等の監視カメラの不正アクセスは、何年か置きに記事を見ますね。対策としては進んでいるのでしょうかね。
https://scan.netsecurity.ne.jp/article/2023/04/05/49166.html
脆弱性PoC
ImageMagick において PNG 画像処理中の profile 情報の検証不備により任意のファイルが読み取り可能となる脆弱性(Scan Tech Report)
PoCが出ているようですね。ImageMagicは画像処理をするシステムで利用されているのを見かけますね。修正バージョンは出ているようです。
https://scan.netsecurity.ne.jp/article/2023/04/05/49167.html
4月7日収集
サイバー世界情勢
DDoS attacks rise as pro-Russia groups attack Finland, Israel
フィッシング
電話後にメールを送ってくるフィッシング攻撃についてまとめてみた(piyolog)
ブラウザ機能拡張悪用
Hackers use Rilide browser extension to bypass 2FA, steal crypto
教育機関関連
Medusa ransomware claims attack on Open University of Cyprus
図書館関連
ランサムウェア インシデント調査
多額の身代金を支払わないためには? ランサムウェアの実態を調査
偽のランサムウェア
Fake ransomware demands payment without actually encrypting files
手口がよく判らないのですが、マルウェアの類を送り込むのではなく、メールで脅迫するタイプなんでしょうかね。あなたの情報を盗みましたではなく、あなたの情報を暗号化しましたと言うメールが来るものの、影響はないとか。
Android
Telegram
Telegram now the go-to place for selling phishing tools and services
脆弱性
情報漏えい報告
不正アクセス報告
4月10日収集
サイバー世界情勢
All Dutch govt networks to use RPKI to prevent BGP hijacking
ランサムウェア被害
Taiwanese PC Company MSI Falls Victim to Ransomware Attack
脆弱性
Exploit available for critical bug in VM2 JavaScript sandbox library
Wordpress
Massive Balada Injector campaign attacking WordPress sites since 2017
バラタインジェクタ(読みは合ってますかね)と言う名前のWordpressサイトを狙った長期間にわたるキャンペーンのようですね。
漏えい情報の販売サイト
Breached shutdown sparks migration to ARES data leak forums
アレスという名前のようですが、ギリシア神話の戦神から取っているようですね。
STYX Marketplace Emerged In Dark Web Focused On Financial Fraud
ChatGPT
ChatGPTを企業で安全に活用するための4つの対策
こう言う話が出てくるようになりました。
https://news.yahoo.co.jp/byline/ohmototakashi/20230407-00344497
4月11日収集
サイバー世界情勢
The Discord servers at the center of a massive US intelligence leak
人事・給与計算システム
SD Worx shuts down UK payroll, HR services after cyberattack
人事・給与計算システムを提供するベルギーの会社が攻撃を受け、感染拡大防止のためシステムをシャットダウンしたという案件のようです。システムの特性から言って、個人情報が大量にありそうなので、サービスの維持より漏洩のリスクを回避したと言うことでしょうか。
CISO
Rethinking Cybersecurity's Structure & the Role of the Modern CISO
飲食業関連
KFC, Pizza Hut owner discloses data breach after ransomware attack
ChatGPT
GPTを実装したヒューマノイド、DeepLで日本語も喋る
4月12日収集
サイバー世界情勢
3CX confirms North Korean hackers behind supply chain attack
From Discord to 4chan: The Improbable Journey of a US Intelligence Leak
偽のChromeアップデート画面
Hacked sites caught spreading malware via fake Chrome updates
パスワード関連
よくあるパスワード、約半数がAIツールで1分以内に解読可能
How Password Managers Can Get Hacked
注意喚起
Android
ChatGPT
SMBCグループが「GPT」生かし独自の対話AI開発へ、従業員の生産性向上を目指す
ランサムウェア
Demystifying Money Message Ransomware
Ransomware gangs increasingly deploy zero-days to maximize attacks
逮捕記事
Alcasec Hacker, aka "Robin Hood of Spanish Hackers," Arrested
Killnet
KillNet Claims Creating Gay Dating Profiles with NATO Logins
4月13日収集
サイバー世界情勢
Lazarus Group's 'DeathNote' Cluster Pivots to Defense Sector
Russian attacks on Ukrainian infrastructure cause internet outages, cutting off a valuable wartime tool
Ukrainian Hackers Breach Email of APT28 Leader, Who's Wanted by FBI
解析記事
CVE-2022-21894 を使用した攻撃を調査するためのガイダンス: BlackLotus キャンペーン
DEV-0196: QuaDream's "KingsPawn" malware used to target civil society in Europe, North America, the Middle East, and Southeast Asia
漏洩報告
メールアドレス流出に関するお詫びとお知らせ(株式会社千石電商)
まとめ記事
Emotet
攻撃再開から1か月、EMOTETの新たな変化は?(トレンドマイクロ)
4月14日収集
サイバー世界情勢
米機密流出、空軍州兵の21歳男を逮捕 国防情報を不正送信の疑い
内部不正系だったと言うことでしょうか。
https://www.asahi.com/articles/ASR4G1G93R4FUHBI05X.html?ref=rss
Pakistan-based Transparent Tribe Hackers Targeting Indian Educational Institutions
Espionage campaign linked to Russian intelligence services
LockBit
LockBit 3.0 Posts Dubious Claims of Breaching Darktrace Cybersecurity Firm
LockBitがダークトレースを侵害したと主張しているそうです。
https://www.hackread.com/lockbit-3-0-ransomware-darktrace-cybersecurity-firm/
脆弱性
スマートデバイス
Vulnerability Spotlight: Hard-coded password vulnerability could allow attacker to completely take over Lenovo Smart Clock
パスワード関連
Nation-state actors are taking advantage of weak passwords to go after cloud customers, Google says
税務関連
Microsoft: Phishing attack targets accountants as Tax Day approaches
米国の事例のようですが、会計士を標的にしたフィッシングのようですね。
繁忙期に不注意で開いてしまうのを期待しての活動のようです。
ランサムウェア
Money Ransomware Group Enters Double-Extortion Fray
https://www.darkreading.com/vulnerabilities-threats/money-ransomware-enters-double-extortion-fray-
以下、元の解析記事
Money Ransomware: The Latest Double Extortion Group
サプライチェーン
レポート
「企業の内部不正防止体制に関する実態調査」報告書(IPA)
ChatGPT
Malicious ChatGPT & Google Bard Installers Distribute RedLine Stealer
FacebookでChatGPTとGoogle Bard AI語ってダウンロードさせ、Redline Stealerをインストールさせるようです。
https://www.hackread.com/chatgpt-google-bard-installers-redline-stealer/
シャドウAPI
Why Shadow APIs are More Dangerous than You Think
公式に文書化やサポートされていないAPIのことを指すそうですが、APIに限らす、昔からありますよね。管理調査用に、シャドウ関数とか、シャドウボタンとか言えそうなものを発見することは稀にあります。違いは、以前はそれを悪用しようという人があまりいなかったと言うことでしょうか。そう言った面でも気を遣った開発が必要になっているということですかね。
https://thehackernews.com/2023/04/why-shadow-apis-are-more-dangerous-than.html?m=1
4月17日収集
サイバー世界情勢
Russia accuses NATO of launching 5,000 cyberattacks since 2022
税務関連
REMCOS RAT CAMPAIGN TARGETS US ACCOUNTING AND TAX RETURN PREPARATION FIRMS
14日の税務関連の記事の詳細でしょうかね。
https://securityaffairs.com/144851/cyber-crime/remcos-rat-tax-day-campaign.html?amp=1
レポート
【2023年3月号】暴露型ランサムウェア攻撃統計CIGマンスリーレポート(MBSD)
サイバー犯罪組織の中身
Inside look at cybercriminal organizations: Why size matters
あまり関係ないかもしれませんが、オレオレ詐欺(特殊詐欺)の組織化のことを思い出しました。
https://www.scmagazine.com/analysis/cybercrime/inside-cybercriminal-organizations-why-size-matters
医療機関関連
A CYBERATTACK ON THE CORNWALL COMMUNITY HOSPITAL IN ONTARIO IS CAUSING TREATMENT DELAYS
LockBit
Darktrace: Investigation found no evidence of LockBit breach
Darktrace侵害主張の続き。侵害の証拠はなかったようです。
不正アクセス報告
注意喚起
弊社を騙った「なりすましメール」にご注意ください(アイ・ビー・エス・ジャパン株式会社)
不正決済報告
【2023年4月14日発生】海外加盟店での不正決済が疑われる事象の発生について(バンドルカートサポート)
脆弱性報告
個人情報漏えいの脆弱性について (2023-04)(ジューべー株式会社)
4月18日収集
サイバー世界情勢
CHINA-LINKED APT41 GROUP SPOTTED USING OPEN-SOURCE RED TEAMING TOOL GC2
Androidトロイの木馬
AI関連
Pen Testers Need to Hack AI, but Also Question Its Existence
フィッシング関連
マルウェア
Ex-Conti members and FIN7 devs team up to push new Domino malware
元Contiのメンバーが参加しているドミノというマルウェアのようですね。
脆弱性
Python関連
EXPERTS WARN OF AN EMERGING PYTHON-BASED CREDENTIAL HARVESTER NAMED LEGION
クレデンシャル・ハーベスターという用語は初めて目にしました。
https://securityaffairs.com/144888/hacking/legion-python-tool-credential-harvester.html?amp=1
SBOM
SBOMが解決する課題と関連資料の紹介(NECセキュリティ)
クレジットカード
クレジットカード情報の不正利用、その実態と最新の対策法とは?
4月19日収集
サイバー世界情勢
Australians lost a record $3.1 billion to scams last year
State-sponsored campaigns target global network infrastructure
Microsoft: Iranian hackers behind retaliatory cyberattacks on US orgs
New DDoS attacks on Israel's enterprises, infrastructure should be a wake-up call
Youtube関連
Android関連
'Goldoson' Malware Sneaks into Google Play Apps, Racks Up 100M Downloads
感染したサードパーティのライブラリをアプリに組み込んでしまい、マルウェアを配布することになった事例のようですね。サプライチェーン攻撃になるのでしょうかね。
https://www.darkreading.com/remote-workforce/goldoson-malware-google-play-apps-100m-downloads
Lockbit
Researchers Discover First-Ever Major Ransomware Targeting macOS
マルウェア
'Zaraza' Bot Targets Google Chrome to Extract Login Credentials
以下、元記事
Zaraza Bot Credential Stealer Targets Browser Passwords
ブラウザの資格情報を盗むようですが、ブラウザ自体への感染では無く、ブラウザの設定ファイル類を読み込み、TelegrmaをC2通信に使用して持ち出すようです。
https://www.uptycs.com/blog/zaraza-bot-credential-password-stealer
不正アクセス報告
不正アクセスによるシステム障害の調査結果と対応状況についてのご報告(株式会社サンケイアイ)
レポート
JPCERT/CC 活動四半期レポート 2023 年 1 月 1 日 ~ 2023 年 3 月 31 日
Living off the Land (LOTL) 攻撃
正規のツールを利用するなどして検知を回避する攻撃を指すようです。手法としては以前から様々な方が報告してますね。
情報開示支援
PwC、サイバー情報の開示支援 公開しすぎも指南
この領域の支援がサービス化される時代なんですね。
https://www.nikkei.com/article/DGXZQOUC06AY30W3A400C2000000/
4月20日収集
サイバー世界情勢
Google TAG Warns of Russian Hackers Conducting Phishing Attacks in Ukraine
UK cyber-agency warns of a new 'class' of Russian hackers
ガイドライン
ランサムウェア
Microsoft SQL servers hacked to deploy Trigona ransomware
Ransomware attacks increased 91% in March, as threat actors find new vulnerabilities
GoAnywhereの脆弱性悪用で増加傾向と言う記事のようですね。
https://www.techrepublic.com/article/ransomware-attacks-increased-march/
Killnet
Killnet Boss Exposes Rival Leader in Kremlin Hacktivist Beef
4月24日収集
サイバー世界情勢
SSH
How to Prevent SSH Brute Force Login Attacks
詐欺
「ウイルス感染」と焦らせて4400万円 解決装うサポート詐欺被害
不正アクセス報告
医療業界動向
ChatGPT
対応別れますね。
行政機関も「ChatGPT」 神奈川の市役所では"全国初"業務導入
サプライチェーン攻撃
Another software supply chain attack discovered during 3CX investigation
脅威アクター命名規則(Microsoft)
Microsoft shifts to a new threat actor naming taxonomy
ゲーム業界関連
『Apex Legends』遂にDDoS攻撃の防御に成功?開発元がサーバー問題の修正を報告
iPhone
Global Spyware Attacks Spotted Against Both New & Old iPhones
レポート
日本のセキュリティ担当者8割が「攻撃者視点」欠く
4月25日収集
サイバー世界情勢
European air traffic control confirms website 'under attack' by pro-Russia hackers
Russian Hackers Tomiris Targeting Central Asia for Intelligence Gathering
インフォスティーラー
EVILEXTRACTOR, A NEW ALL-IN-ONE INFO STEALER APPEARED ON THE DARK WEB
AI
Qwiet AI Builds a Neural Net to Catch Coding Vulnerabilities
The New Frontier in Email Security: Goodbye, Gateways; Hello, Behavioral AI
Cybersecurity Survival: Hide From Adversarial AI
VirusTotal now has an AI-powered malware analysis feature
BYOVD攻撃
Ransomware Hackers Using AuKill Tool to Disable EDR Software Using BYOVD Attack
脆弱性
注意喚起
春の大型連休に向けて実施いただき対策について(注意喚起)(NISC)
GWが近付いて参りました。
連休明けにサイバー攻撃を受けやすい理由
ChatGPT
「ChatGPTの利用前提に全てを見直す方向へかじを切る」、東京大学の太田副学長
4月26日収集
サイバー世界情勢
PEUGEOT LEAKS ACCESS TO USER INFORMATION IN SOUTH AMERICA
公開してはいけない情報を公開してしまっていたようですね。
ChatGPT関連
Teamsに自分専用のAI秘書、GPT-4搭載「Microsoft 365 Copilot」の新機能
使いやすくなりそうだと思う反面、会社端末で勝手に使っているとまずいことになるかもしれない不安を感じますね。
DDoS関連
DDoS, Not Ransomware, Is Top Business Concern for Edge Networks
SBOM
SBOMを導入・構築済みの組織はわずか14%--タニウム、SBOM実態調査
macOSマルウェア
Wifiルーター
サイバーインシデント影響
-
こう言う影響も考慮しておく必要があるのでしょうね。
https://jp.reuters.com/article/kyocera-results-postponement-idJPKBN2WM0HE
不正アクセス報告
不正アクセスによるシステム障害の調査結果 対応状況についてのご報告(株式会社サンケイアイ、4/17)
ChatGPT
AmazonレビューやTwitterにChatGPTで生成されたスパムが爆増中、「AI製スパム」の増加を専門家が懸念
確かに、ナゾなレビューを目にすることはありますね。この手のことは昔からやられてますが、それが巧妙化していくと言うことでしょうかね。
サプライチェーン攻撃
3CXのソフトウェア製品に改ざん、連鎖型サプライチェーン攻撃を確認
日本語で出ていたので。
4月27日収集
サイバー世界情勢
Tencent QQ users hacked in mysterious malware attack, says ESET
Linux Shift: Chinese APT Alloy Taurus Is Back With Retooling
偽サイト
ヨギボー」「コストコ」など21の偽サイト、消費者庁が公表...「商品届かない」相談相次ぐ
SNSや偽の安売り広告などで誘導するようですね。
https://www.yomiuri.co.jp/national/20230426-OYT1T50172/?s=09
メタバース
Metaverse Version of the Dark Web Could Be Nearly Impenetrable
ダークウェブがメタバース化すると言うことでしょうか。
https://www.darkreading.com/cloud/metaverse-version-dark-web-nearly-impenetrable
テイクダウン
Effects of the Hive Ransomware Group Takedown
個人情報漏洩報告
不正アクセス報告
ブラウザ
Windows標準ブラウザのEdgeがアクセス履歴などをBingに送信していることが判明
ランサムウェア
Black Basta ransomware attacks Yellow Pages Canada
Microsoft: Clop and LockBit ransomware behind PaperCut server hacks
レポート
セキュリティチームを「イネーブラー」と位置付けることが重要--Splunk調査
先週のサイバー事件簿 - Jヴィレッジの運営サイトで個人情報の検索が可能な状態
4月28日収集
サイバー世界情勢
'Anonymous Sudan' Claims Responsibility for DDoS Attacks Against Israel
ゲーム業界関連
命名規則
Threat Actor Names Proliferate, Adding Confusion
脅威アクターの名前が複数あるのも困りますが、マルウェアの名前も統合できたりしないものなんでしょうかね。
https://www.darkreading.com/threat-intelligence/threat-actor-names-proliferate-adding-confusion
レポート
APT trends report Q1 2023
マルウェア分析
LimeRAT Malware Analysis: Extracting the Config