このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。
各出来事に関するコメントは個人の意見です。
サイバー世界情勢
全体
7/13
巨大ITにデジタル課税「25年発効」 米への税収集中是正
日本
7/3
7/5
サイバー攻撃の経営リスク明記を 政府、重要インフラで
7/25
<独自>サイバー防衛人材育成へ新団体 元次官ら調整役に
7/26
福島原発処理水の海洋放出に関する サイバー脅威について
アジア
7/4
CHINESE THREAT ACTORS TARGETING EUROPE IN SMUGX CAMPAIGN
7/5
7/14
中国ハッキンググループがアメリカ政府組織のメールボックスに不正アクセスしたと判明
継続的に記事になっていますね。記載したつもりがしていなかったので、日本語記事を記載しておきます。
https://gigazine.net/news/20230713-china-based-actors-attack-us-government/
7/19
バングラでサイバー被害相次ぐ、官僚組織や職員に課題
7/25
North Korean Cyberspies Target GitHub Developers
7/26
North Korea Leverages SaaS Provider in a Targeted Supply Chain Attack
7/31
米軍基地にマルウエアか 中国の工作と推定、有事に起動
北米
7/10
CISA AND FBI WARN OF TRUEBOT INFECTING US AND CANADA BASED ORGANIZATIONS
7/14
National Cybersecurity Strategy implementation plan
7/19
7/24
U.S. preparing Cyber Trust Mark for more secure smart devices
スマートデバイス向けのサイバーセキュリティ認証を導入すると言う記事のようです。
中南米
7/5
7/11
New TOITOIN Banking Trojan Targeting Latin American Businesses
中南米は金融関係を標的にした記事が多いように思います。整備が追いついていないなどの事情があるのでしょうかね。
https://thehackernews.com/2023/07/new-toitoin-banking-trojan-targeting.html?m=1
ヨーロッパ
7/3
Hackers attack Russian satellite telecom provider, claim affiliation with Wagner Group
7/5
Swedish Data Protection Authority Warns Companies Against Google Analytics Use
7/11
RomCom RAT Targeting NATO and Ukraine Support Groups
7/12
Storm-0978 attacks reveal financial and espionage motives
Storm-0978はRomComのグループと同じようですね。
7/13
Russian state hackers lure Western diplomats with BMW car ads
7/14
Malicious campaigns target government, military and civilian entities in Ukraine, Poland
7/18
RUSSIA-LINKED APT GAMAREDON STARTS STEALING DATA FROM VICTIMS BETWEEN 30 AND 50 MINUTES AFTER THE INITIAL COMPROMISE
7/25
Norwegian government IT systems hacked using zero-day flaw
7/27
EVOLUTION OF RUSSIAN APT29 -- NEW ATTACKS AND TECHNIQUES UNCOVERED
7/28
Russia throws founder of infosec biz Group-IB in the clink for treason
中東
7/3
IRAN-LINKED CHARMING KITTEN APT ENHANCED ITS POWERSTAR BACKDOOR
7/10
アフリカ
7/3
African Nations Face Escalating Phishing & Compromised Password Cyberattacks
7/4
ANONYMOUS SUDAN CLAIMS TO HAVE STOLEN 30 MILLION MICROSOFT'S CUSTOMER ACCOUNTS
翻訳が「匿名のスーダン」。Killnetに関係があると分析する研究者もいるそうですね。
攻撃手法関連
マルウェア全般
7/3
月額900ドルでマルウェア使い放題 MaaSの知られざる実態が判明
7/10
合計150万回ダウンロードされたAndroidアプリが中国のサーバーにデータを送信していたことが判明
7/18
Malicious USB Drives Targetinging Global Targets with SOGU and SNOWYDRIVE Malware
https://thehackernews.com/2023/07/malicious-usb-drives-targetinging.html?m=1
以下、元の解析記事
The Spies Who Loved You: Infected USB Drives to Steal Secrets
https://www.mandiant.com/resources/blog/infected-usb-steal-secrets
Fake TeamViewer Installer Used to Deliver njRAT Malware
Teamviewerの偽のインストール画面を表示しつつnjRATをインストールするようですね。正規のサイトからインストーラをダウンロードするよう気を付ける必要がありそうです。
https://www.hackread.com/fake-teamviewer-installer-njrat-malware/
NEW AVRECON BOTNET REMAINED UNDER THE RADAR FOR TWO YEARS WHILE TARGETING SOHO ROUTERS
7/31
Related CherryBlos and FakeTrade Android Malware Involved in Scam Campaigns
画像ファイルからOCRを利用して情報を獲ろうとするとか書いてありますね。
Emotet
7/7
What's up with Emotet?
BlackLotus
7/14
LokiBot
7/18
LokiBot Campaign Targets Microsoft Office Document Using Vulnerabilities and Macros
Lockbit
7/24
Inside the Mind of a Ransomware Boss: An Interview with the LockBit Administrator
ランサムウェア
7/3
Proofpoint Blog 26回「世界で最もランサムウェア身代金を支払わない国ニッポン」
身代金を支払わないのはケチだからという訳ではないと思います。1回目の支払いの後、追加要求かあって諦めた率が日本は高いですね。
https://scan.netsecurity.ne.jp/article/2023/07/03/49615.html
7/4
BlackCat Operators Distributing Ransomware Disguised as WinSCP via Malvertising
7/6
RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors
ランサムウェア且つスティーラーのようなものでしょうか。二重脅迫型で手でやっていた情報窃取を自動化したとも理解できそうですかね。
https://thehackernews.com/2023/07/redenergy-stealer-as-ransomware-threat.html?m=1
Microsoft Can Fix Ransomware Tomorrow
ファイルを作成するAPI関数にレート制限をかけてとありましたが、大量にファイル作成をするプロセスに作成制限をかけて暗号化の進行を遅らせると言うことなんですかね。
https://www.darkreading.com/vulnerabilities-threats/microsoft-can-fix-ransomware-tomorrow
Ransomware in the cloud
7/13
Big Head Ransomware Found in Malvertising and Fake Windows Updates
偽のWindowsアップデート画面を表示するようですね。
https://www.hackread.com/big-head-ransomware-fake-windows-updates/
Ransomware payments on record-breaking trajectory for 2023
7/19
FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware
このシマンテックの報告ベースに多数の記事か書かれているようです。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/Syssphinx-FIN8-backdoor
7/21
Mallox Ransomware Group Activity Shifts Into High Gear
7/25
Cl0p Ransomware Gang Leaks MOVEit Data on Clearweb Sites
7/28
Dark Web Profile: 8Base Ransomware
7/31
Linux version of Abyss Locker ransomware targets VMware ESXi servers
DDoS
7/5
DDoSia Attack Tool Evolves with Encryption, Targeting Multiple Sectors
7/11
Archive of Our Own Website Suffering Massive DDoS Attacks
7/31
Israel\'s largest oil refinery website offline after DDoS attack
フィッシング
7/4
ANAをかたるフィッシング、件名「【重要】ANAマイレージクラブの会員情報更新のお知らせ」などの不審なメールに注意
7/5
情シス必見!社員を狙ったフィッシングから見る3つの対策例
7/14
H1 2023 Phishing and Malware Report: Phishing Threats Increase 54%
フィッシングでなりすましに利用されるブランドに関する報告。個人的に来るフィッシングメールは業界問わずになっている気がします。
https://www.vadesecure.com/en/blog/h1-2023-phishing-and-malware-report
7/19
Phishers Targeting Diplomats in Kyiv with Fake 2011 BMW Flyers
セッションハイジャック
7/7
セッションハイジャックとは?被害発生の原因と効果的な対策
偽のPoCコード
Linux Hacker Exploits Researchers With Fake PoCs Posted to GitHub
PoCコードを見つけたらすぐに実行ではなく、コードをチェックする必要が出てきたと言うことでしょうか。ですが、研究者なら、まずコードを分析しそうな気がしますね。
暗号通貨
7/6
Email crypto phishing scams: stealing from hot and cold crypto wallets
BEC
7/18
WORMGPT, THE GENERATIVE AI TOOL TO LAUNCH SOPHISTICATED BEC ATTACKS
WormGPTという攻撃に使用される生成系AIと言うことでしょうかね。判別が難しくなりそうですね。
https://securityaffairs.com/148504/cyber-crime/wormgpt-bec-attacks.html?amp=1
ディープフェイク
7/11
Deepfake Quantum AI Investment Scam Pops Up on Facebook
解析・分析・研究記事
7/4
Proxyjacking: The Latest Cybercriminal Side Hustle
プロキシジャッキングと言うそうで、リソースをかすめ取る攻撃のようですね。
https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle
EXPERTS DETECTED A NEW VARIANT OF NORTH KOREA-LINKED RUSTBUCKET MACOS MALWARE
7/5
Technical Analysis of Bandit Stealer
7/7
7/10
情報窃取型マルウェア「ThirdEye」の分析
LDAP Queries for Offensive and Defensive Operations
The five-day job: A BlackByte ransomware intrusion case study
7/12
Exploiting XSS in hidden inputs and meta tags
HTMLのポップオーバー機能がWAFをすり抜けるという記事のようですね。
https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags
Undocumented driver-based browser hijacker RedDriver targets Chinese speakers and internet cafes
7/13
7/14
Hunting for A New Stealthy Universal Rootkit Loader
中国のシステムがダーゲットになっているようですね。
7/18
Welcome to New York: Exploring TA453\'s Foray into LNKs and Mac Malware
Analysis of Storm-0558 techniques for unauthorized email access
Storm-0558による複数の問題を悪用したMicrosoft クラウドサービスへの不正アクセスについてまとめてみた
Storm-0558と言うのは新しいアクターの命名規則によるものなのですね。
7/24
Prominent Threat Actor Accidentally Infects Own Computer with Info-Stealer
脅威アクターが自分のパソコンにもスティーラーが感染していることに気付かずに、窃取した情報として売りに出したと言うことでしょうかね。
FakeSG enters the \'FakeUpdates\' arena to deliver NetSupport RAT
7/27
7/28
JavaScript Analysis for Pentesters
インクルードされているJavascriptファイルに毎日headでアクセスしてくる人とか居ますよね。
https://kpwn.de/2023/05/javascript-analysis-for-pentesters/?s=09
脆弱性関連
7/3
CWE Top 25 Most Dangerous Software Weaknesses
7/4
300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug
7/7
New StackRot Linux kernel flaw allows privilege escalation
7/11
Apple releases emergency update to fix zero-day exploited in attacks
7/13
Critical RCE found in popular Ghostscript open-source PDF library
Exploitable Flaws in QuickBlox Framework Expose Millions of User Records
WordPress の File Manager Advanced Shortcode における任意のファイルがアップロード可能となる脆弱性(Scan Tech Report)
7/14
7/18
Thousands of images on Docker Hub leak auth secrets, private keys
7/19
Cybercriminals Exploiting WooCommerce Payments Plugin Flaw to Hijack Websites
Wordpressプラグインの支払いプラグインの脆弱性のようですね。支払いへの影響ではなく、サイトがハイジャックされるということでしょうか。
https://thehackernews.com/2023/07/cybercriminals-exploiting-woocommerce.html?m=1
7/27
Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million Devices to Hacking
iTunes の Windows OS 版においてソフトウェアの復元処理中の論理的不備により任意のディレクトリが作成可能となる脆弱性(Scan Tech Report)
レポート・まとめ
7/13
ESET Threat Report H1 2023
7/25
300% Increase in the Number of Dark Web References to Manufacturing Organizations
ツール関連
7/10
OSINT Tool 'Illicit Services' Shuts Down Amidst Exploitation Concerns
OSINTを収集するツールが悪用されている可能性があるため作成者が公開を辞めたと読みましたが、結構強力なツールのようなので残念ですね。
https://www.hackread.com/osint-tool-illicit-services-shuts-down/
官公庁・組織・団体
CISA
7/3
CISA issues DDoS warning after attacks hit multiple US orgs
7/7
リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開
7/18
Free Tools for Cloud Environments
クラウドを利用する際の無料のセキュリティツールに関する資料のようです。
https://www.cisa.gov/resources-tools/resources/free-tools-cloud-environments
NIST
NIST Launches Generative AI Working Group
NISC
7/14
「政府機関等のサイバーセキュリティ対策のための統一基準群」
重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書
金融庁
7/3
「金融機関のシステム障害に関する分析レポート」の公表について
システム障害というタイトルなのでサイバーではないかと思いながら確認しましたが、サイバー攻撃を原因とする障害についても含まれていますね。
https://www.fsa.go.jp/news/r4/sonota/20230630-2/20230630-2.html?s=09
経済産業省
7/7
第1回 産業サイバーセキュリティ研究会 サイバー攻撃による被害に関する情報共有の促進に向けた検討会
インシデント関連
逮捕・訴訟関連
7/3
7/10
Technician Indicted for Hacking California Water Treatment Facility
7/11
Former employee charged for attacking water treatment plant
7/12
7/18
IT worker jailed for impersonating ransomware gang to extort employer
情報漏えい報告(可能性含む)
7/3
「WOWOWオンデマンド」で個人情報漏えいの可能性、6月9日〜22日にログインしたユーザーが対象
不具合でマイページなどで他人の情報が表示されていた可能性があるという内容のようです。
668人の個人情報、流出の可能性 総合事務局が委託のサイト「ハイサイプロジェクト」 不正アクセスで
県運営のシステムに不正アクセス 個人情報1100件余り流出
7/4
7/6
当グループのサーバへの不正アクセス発生について(グローリー株式会社)
7/10
7/11
7/12
「WOWOWオンデマンド」で別の顧客の個人情報が閲覧可能に、6/30 の公表後も新たな情報漏えいを確認
第三者調査結果公表、電通国際情報サービスへの不正アクセス
7/14
近大生らの氏名・メアド3549件流出 闇サイトで公開
7/19
VirusTotal Data Leak Exposes Some Registered Customers\' Details
弊社が運営する「fkolme.com」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(東谷株式会社)
7/21
当社サーバへの不正アクセスについて(スカパーJAST株式会社)
7/24
【続報】不正アクセスによるお客様の個人情報流出の可能性と、フィッシングサイトに誘導するメッセージの配信 について(株式会社ホテルグランヴィア大阪)
7/25
7/26
個人情報の漏洩に関するお詫びとお知らせ(ネットワンシステムズ株式会社)
7/27
弊社が運営する「東玉オンラインショップ」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ(株式会社東玉)
不正アクセス報告(可能性含む)
7/3
7/6
7/12
【重要なお知らせ】弊社サイトから強制的に別サイトに移動する現象について(ASCII.jp)
7/18
JumpCloud discloses breach by state-backed APT hacking group
7/19
7/21
7/31
不正アクセスに関するお知らせ(株式会社ジャックス)
インシデント調査結果報告
7/5
【重要なお知らせ】弊社ウェブサイトへの不正アクセスに関する最終ご報告(フーヅフリッジ株式会社)
7/14
【状況報告】ランサムウェア被害の調査結果について(日本コンクリート工業株式会社)
7/18
7/20
注意喚起
7/5
弊社「トレンドマイクロ」を装う偽メールの注意喚起
7/11
【重要】当社を装った迷惑メール(なりすましメール)に関する注意喚起(アサヒグループ食品株式会社、アマノ通販)
当社名を騙った「なりすましメール」にご注意ください(住友重機械工業)
7/18
【注意喚起】当社グループの運営サイトを装ったなりすましサイトにご注意ください。
https://www.septeni-holdings.co.jp/news/update/202307013523.html
7/14
How to secure your business before going on vacation
この時期になると、バケーションに向けての注意記事が出てきますね。コロナも落ち着いてきているので、遠出する人も増えるのでしょうね。
7/21
吉田町になりすました不正メールについて
7/27
リスト型攻撃に対する注意喚起のようですね。
注意事項
7/18
What to Expect When Reporting Vulnerabilities to Microsoft
https://msrc.microsoft.com/blog/2023/07/what-to-expect-when-reporting-vulnerabilities-to-microsoft/
再発防止策
7/6
情報漏えい事案に係る再発防止策について(産総研)
7/14
お客様情報の漏洩可能性に関するお詫びとお知らせについて(再発防止策のご報告)(TOYOTA)
インシデント個別
名古屋港関連
7/3
名古屋港でシステム障害 コンテナ積み降ろしできず
7/6
名古屋港統一ターミナルシステムのシステム障害について(名古港運協会/名古屋港コンテナ委員会/ターミナル部会)
名古屋港のシステム障害 積み降ろし作業再開は午後以降に
名古屋港システム障害、原因は身代金要求型ウイルス...コンテナ搬出入停止続く
英語で「ランサムウェアに感染」、プリンターから100枚印刷...名古屋港システム障害
7/7
トヨタ、輸出部品梱包ラインを7日に停止 名古屋港システム障害で
名古屋港統一ターミナルシステムのシステム障害について(4)て(名古港運協会/名古屋港コンテナ委員会/ターミナル部会)
【速報】愛知県警が不正アクセス疑いで捜査
バックアップからもマルウエア検出で復旧遅れ、名古屋港統一ターミナルシステム
7/11
名古屋港統一ターミナルシステム(NUTS)で、ランサムウェア感染による障害、7月6日の復旧までにコンテナ搬出入作業へ大きな影響
7/13
社説 サイバー攻撃 物流拠点が危機に見舞われた
7/27
NUTS システム障害の経緯報告(名古屋港運協会、名古屋コンテナー委員会、ターミナル協会)
業界別インシデント
金融業界関連
7/11
国際決済銀、中銀デジタル通貨のサイバー攻撃対策を公表
7/12
Deutsche Bank confirms provider breach exposed customer data
産業系関連
7/7
Actively Exploited Industrial Control Systems Hardware - SolarView Series
7/14
Dragos Enabled Defense Against APT Exploits for Rockwell Automation ControlLogix
教育業界関連
7/31
Hawai\'i Community College pays ransomware gang to prevent data leak
医療業界関連
7/18
飲料業界関連
7/11
Dole, Pepsi bottler issue more info on recent cyberattacks
https://therecord.media/dole-pepsi-bottler-issue-more-info-on-recent-cyberattacks
提出文書のリンクがあったので見てみましたが、ドールのカリフォルニア州提出の文書は参考になるかもと思いました。
Dole
Data Breach Notifications(メーン州提出)
https://apps.web.maine.gov/online/aeviewer/ME/40/3b6a821e-4694-4714-9c17-b8a811dcd2e4.shtml
Notoce of Data Breach(カリフォルニア州提出)
https://oag.ca.gov/system/files/Dole%20-%20Individual%20Notice%20-%20CA.pdf
-
Data Breach Notifications(メーン州提出)
https://apps.web.maine.gov/online/aeviewer/ME/40/9ccf7ef5-b750-4695-a5da-55508587bcc2.shtml
化粧品業界
7/24
Estee Lauder hit by cyberattack, some business operations affected
ゲーム業界関連関連
7/31
ハッカーがロビーでウイルスをばらまいたとの疑惑からCall of Duty: Modern Warfare 2(2009)が2023年7月27日にシャットダウン
AI関連
7/3
「ChatGPT様」という思考停止 AI絶対視に危惧、人の役割は
昔のSFみたいな話になってきましたね。AIが管理する社会で依存しきっている人類に対し、反旗を翻す主人公というテーマは、20年前くらいにはよく見かけた気がします。
https://www.asahi.com/articles/ASR6R4WM2R5TULLI001.html?ref=rss
OpenAIに集団訴訟、「ChatGPT」などの訓練用データ収集で
7/14
知らないとマズい「ChatGPT」使う時の法的リスク
7/31
啓蒙・教育・人材関連
7/10
セキュリティエンジニアを目指すなら知っておいてほしい組織一覧 ~ FFRI ブログ
知ってました。ほっとしました。
https://scan.netsecurity.ne.jp/article/2023/07/07/49640.html
7/25
7/27
7/28
7/31
ダークウェブ関連
7/12
Dark Web Genesis Market for Sale: Operators Seek Buyers for Defunct Enterprise
7/25
How is the Dark Web Reacting to the AI Revolution?
ここの所のAIの動向に対するダークウェブの反応に関する記事のようですね。
https://www.bleepingcomputer.com/news/security/how-is-the-dark-web-reacting-to-the-ai-revolution/
サプライチェーン関連
7/4
A CISO\'s Guide to Paying Down Software Supply Chain Security Debt
7/5
7/12
気になった記事
7/3
転生したらパケットだった、DNS酒場で目的地を聞き出せ
このパターンは思い付かなかったですね。
https://xtech.nikkei.com/atcl/nxt/column/18/02505/062000001/
Patch me if you can: Cyberattack Series
7/5
「オンラインで公開されたものすべてをAIのためにスクレイピングする」とGoogleが発表
User-Agentは新しい物が使われるのでしょうかね。
https://gigazine.net/news/20230704-google-scrape-everything/
7/19
FBIがNintendo Switchから発信された情報で行方不明の少女を発見