このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。 各出来事に関するコメントは個人の意見です。
サイバー世界情勢
前回までは攻撃側の所属で分類を試みましたが、不明な場合も多く、次回以降は攻撃を受けた側で地域別に分類してみたいと思います。
日本
9/6
【続報】福島原発処理水の海洋放出に関するサイバー脅威について
9/28
知っておくべき「能動的サイバー防御」の正体
アジア
9/2
Lazarus hackers deploy fake VMware PyPI packages in VMConnect attacks
日本の内閣サイバーセキュリティセンターが受けたサイバー攻撃の背後には中国政府がいるという報道
9/11
Protecting Your Microsoft IIS Servers Against Malware Attacks
Active North Korean campaign targeting security researchers
9/12
9/13
China\'s Winnti APT Compromises National Grid in Asia for 6 Months
9/14
Ransomware attack hits Sri Lanka government, causing data loss
9/19
9/20
9/25
9/28
北米
9/8
US and UK sanction 11 TrickBot and Conti cybercrime gang members
9/20
DHS council seeks to simplify cyber incident reporting rules
中南米
9/12
From Caribbean shores to your devices: analyzing Cuba ransomware
ヨーロッパ
9/2
9/5
CYBERCRIME WILL COST GERMANY \$224 BILLION IN 2023
Russian hackers suspected to have leaked sensitive UK military and defence material on the dark web including information about nuclear submarine base and chemical weapons lab
9/6
A MASSIVE DDOS ATTACK TOOK DOWN THE SITE OF THE GERMAN FINANCIAL AGENCY BAFIN
Russia's influence networks in Sahel activated after coups
9/7
Russia\'s \'Fancy Bear\' APT Targets Ukrainian Energy Facility
9/8
Microsoft: North Korean hackers target Russian govt, defense orgs
9/15
Cuba Ransomware Gang Continues to Evolve With Dangerous Backdoor
9/19
GERMAN INTELLIGENCE WARNS CYBERATTACKS COULD TARGET LIQUEFIED NATURAL GAS (LNG) TERMINALS
9/25
Government of Bermuda links cyberattack to Russian hackers
中東
9/12
Iranian hackers breach US aviation org via ManageEngine, Fortinet bugs
9/13
IRANIAN CHARMING KITTEN APT TARGETS VARIOUS ENTITIES IN BRAZIL, ISRAEL, AND THE U.A.E. USING A NEW BACKDOOR
9/19
9/20
ShroudedSnooper\'s HTTPSnoop Backdoor Targets Middle East Telecom Companies
9/25
Bot Swarm: Attacks From Middle East & Africa Are Notably Up
New stealthy and modular Deadglyph malware used in govt attacks
オセアニア
9/11
Australian Data Breach Costs are Rising --- What Can IT Leaders Do?
アフリカ
9/1
Anonymous Sudan hacks X to put pressure on Elon Musk over Starlink
9/13
\'Anonymous Sudan\' Sets Its Sights on Telegram in DDoS Attack
攻撃手法関連
Lockbit
9/4
LOCKBIT RANSOMWARE GANG HIT THE COMMISSION DES SERVICES ELECTRIQUES DE MONTRÉAL (CSEM)
9/6
Threat Actors Accessed UK Military Data From Weakest Link
ランサムウェア
9/4
TALOS WARS OF CUSTOMIZATIONS OF THE OPEN-SOURCE INFO STEALER SAPPHIRESTEALER
9/6
Dark Web Profile: Medusa Ransomware (MedusaLocker)
Chae\$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers
9/14
3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack
Lockbitがブロックされた後に使用されるとありますね。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit
9/19
BlackCat ransomware hits Azure Storage with Sphynx encryptor
9/20
Who's Behind the 8Base Ransomware Website?
9/21
Dark Web Profile: NoEscape Ransomware
9/28
'Snatch' Ransom Group Exposes Visitor IP Addresses
このランサムウェアグループが窃取した情報を公開しているサイトにアクセスしてくるIPアドレスなどの情報を公開しているということですかね。
https://krebsonsecurity.com/2023/09/snatch-ransom-group-exposes-visitor-ip-addresses/
トロイの木馬
9/26
NEW VARIANT OF BBTOK TROJAN TARGETS USERS OF +40 BANKS IN LATAM
マルウェア
9/7
9/25
9/28
DDoS
9/19
10 Top DDoS Attack Protection and Mitigation Companies in 2023
最近はいかに緩和したかとか、緩和した規模とかが報じられる事が多いですね。
https://www.hackread.com/ddos-attack-protection-mitigation-companies-2023/
9/12
Telegram Hit by a DDoS Attack: What Is the Cause Behind It
9/11
AKAMAI PREVENTED THE LARGEST DDOS ATTACK ON A US FINANCIAL COMPANY
フィッシング
9/1
New Agent Tesla Variant Uses Excel Exploit to Infect Windows PCs★
9/7
Researchers identify high-grade phishing kits attacking nearly 60,000 Microsoft 365 accounts
9/11
Microsoft Teams phishing attack pushes DarkGate malware
Teamsがフィッシングに利用されるようになるのでしょうかね。メールと比べると難しそうに思いますが、注意は必要そうです。
IoT
9/7
Mirai variant infects low-cost Android TV boxes for DDoS attacks
ブルートフォース
9/21
Brute Forcing PINs with Frida: Mobile Penetration Testing
偽のPoCコード
9/21
Fake PoC Script Used to Trick Researchers into Downloading VenomRAT
https://www.hackread.com/fake-poc-script-researchers-download-venomrat/
元の記事は以下のようです。
Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT
暗号通貨
9/19
New AMBERSQUID Cryptojacking Operation Targets Uncommon AWS Services
BEC
9/26
ディープフェイク
9/28
Unmasking Deepfakes: Utilizing OSINT Techniques for Detecting Digital Deception
ディープフェイクを検知するためのOSINT情報の利用に関する記事。仕事に役に立つかは判りませんが、個人的に気になります。
Bluetooth
9/7
Flipper Zero can be used to launch iOS Bluetooth spam attacks
Flipper Zeroで検索するといろいろ情報が出てきますね。
Flipper Devicesが開発したハッキングデバイス「Flipper Zero」
窃取情報の悪用
9/7
パスワード管理アプリ「LastPass」から盗まれたデータが仮想通貨の盗難に悪用されている可能性
WiKI-Eve攻撃
脆弱性関連
9/4
Exploit released for critical VMware SSH auth bypass vulnerability
9/5
9/12
9/13
A NEW REPOJACKING ATTACK EXPOSED OVER 4,000 GITHUB REPOSITORIES TO HACK
9/14
Cisco Zero-Day Vulnerability Exploited by LockBit and Akira (CVE-2023-20269)
9/15
9/19
Webサイトの改ざん被害、原因のacmailerの脆弱性をさくらインターネットが警告
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300233/
acmailer、CGIベースなんですね。。。以下、注意喚起
9/20
9/28
WATCH OUT! CVE-2023-5129 IN LIBWEBP LIBRARY AFFECTS MILLIONS APPLICATIONS
分析手法、ツール関連
9/2
Free Key Group ransomware decryptor helps victims recover data
9/26
How to trace an IP address using OSINT
How to Extract Hidden Information from an Email
9/29
解析・分析・研究記事
9/2
BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps
QakBot, One of The Most Observed Malware
最近、解体されたと記載がありますね。
https://socradar.io/qakbot-one-of-the-most-observed-malware/
9/4
Securonix Threat Labs Security Advisory: Threat Actors Target MSSQL Servers in DB#JAMMER to Deliver FreeWorld Ransomware
9/5
9/7
宿泊施設を狙った攻撃メール: Vidar Stealerの分析
「OneNote」を悪用するマルウエア
9/8
Mac users targeted in new malvertising campaign delivering Atomic Stealer
Cybercriminals target graphic designers with GPU miners
確かにグラフィックデザイナーなら高性能なGPUを使ってそうですね。
https://blog.talosintelligence.com/cybercriminals-target-graphic-designers-with-gpu-miners/
How an APT technique turns to be a public Red Team Project
GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告
ちょっと怖いですね。DOMもただHTML読み込むのでなく、認証とか、アクセス制限とかを気にしないといけないのでしょうかね。
https://gigazine.net/news/20230907-chrome-extensions-steal-passwords/
9/12
Cybercriminals Using PowerShell to Steal NTLMv2 Hashes from Compromised Windows
BlueShell Used in APT Attacks Against Korean and Thai Targets
9/13
9/14
Malware distributor Storm-0324 facilitates ransomware access
9/15
9/19
Email campaigns leverage updated DBatLoader to deliver RATs, stealers
RedLine/Vidar Abuses EV Certificates, Shifts to Ransomware
Silent Skimmer: Online Payment Scraping Campaign Shifts Targets From APAC to NALA
From ERMAC to Hook: Investigating the technical differences between two Android malware variants
9/20
9/21
Devo Cybersecurity Burnout Survey:Quick Read Report Conducted by Wakefield Research on behalf of Devo
9/25
RedEyes (ScarCruft)'s CHM Malware Using the Topic of Fukushima Wastewater Release
Securonix Threat Labs Security Advisory: New STARK#VORTEX Attack Campaign: Threat Actors Use Drone Manual Lures to...
BYPASSING WINDOWS DEFENDER AND PPL PROTECTION WITH PPLBLADE TO DUMP LSASS WITHOUT DETECTION
9/28
npm packages caught exfiltrating Kubernetes config, SSH keys
9/29
Surprise: When Dependabot Contributes Malicious Code
ダークウェブ
9/8
The Initial Access Broker Economy: A Deep Dive into Dark Web Hacking Forums
イニシャル・アクセス・ブローカーのダークウェブ上での動向に関する記事のようですね。
'Classified' Intel on the 'Public' Telegram Channel: Pentagon US Leak
9/20
Hacking forum Raidforums.com allegedly seized by authorities
Storm-0558
9/7
Results of Major Technical Investigations for Storm-0558 Key Acquisition
9/8
レポート・まとめ
9/2
パスワードの利用実態調査2023 ~8割以上がパスワードを使いまわし、約2割が不正アクセスや情報流出の被害に~
9/5
貿易額21兆円の港がダウンした日
7月の名古屋港のインシデントに関するNHKの記事。
https://www3.nhk.or.jp/news/html/20230905/k10014183621000.html?s=09
9/7
Main Analytical Frameworks for Cyber Threat Intelligence
9/8
It's Official: Cars Are the Worst Product Category We Have Ever Reviewed for Privacy
9/12
ランサムウェア被害を法執行機関に相談すればコストを平均47万ドル下げられる─IBM調査 「2023年データ侵害のコストに関する調査レポート」日本語版
World Security Report Finds Physical Security Incidents Cost Companies USD \$1T in 2022
被害額に関するレポートが2つ出ているのですかね。上のものがIBM、こちらはWorld Security Reportでしょうか。
9/13
Check Point: Hackers Are Dropping USB Drives at Watering Holes
図Aとして業界別に(週単位で?)攻撃をどのくらい受けているかのグラフがありますね。やはり教育関係と医療関係は多いようですね。
https://www.techrepublic.com/article/check-point-hackers-usb/
Cobalt Strike Leak, Sales of Unauthorized Access and Credit Card Data
9/14
フォーティネット、2023年 OTサイバーセキュリティレポート発表
9/20
9/21
Schools Are the Most Targeted Industry by Ransomware Gangs
やはり学校が狙われているようですね。
https://www.hackread.com/schools-most-targeted-industry-ransomware-gangs/
9/26
KPMGコンサルティング、「サイバーセキュリティ主要課題2023」(日本語版)を発表
6/29
LockBit被害の菱機工業、苦い教訓を反映した4種類のセキュリティー対策
官公庁・組織・団体公表
CISA
9/11
NATION-STATE ACTORS EXPLOIT FORTINET FORTIOS SSL-VPN AND ZOHO MANAGEENGINE SERVICEDESK PLUS, CISA WARNS
NIST
9/19
The NIST Cybersecurity Framework 2.0
8月からコメント受け付けてたんですね。。。
https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-20/ipd
NCSC,NCA
9/14
Ransomware, extortion and the cyber crime ecosystem
NISC
9/26
サイバーセキュリティ 関係法令Q&Aハンドブック Ver.2.0
9/29
IPA
9/4
スマート工場化でのシステムセキュリティ対策事例 調査報告書
OT
9/1
A Brief History of ICS-Tailored Attacks★
9/7
MITRE AND CISA RELEASE CALDERA FOR OT ATTACK EMULATION
インシデント個別
業界別インシデント
業種分類表などを用いて分類を試みていますが、間違い等ありましたらご容赦ください。
暗号資産
9/2
製造
9/5
9/6
Chipmaker NXP confirms data breach involving customers' information
9/28
ワコールHD英国子会社に不正アクセス 受発注できず
自動車
9/19
情報通信
9/2
LogicMonitor customers hacked in reported ransomware attacks
Sourcegraph website breached using leaked admin access token
9/4
個人情報流出事件によるサービス停止のお知らせ(株式会社GMW)
8月のインシデントで、情報公開が9月まで続いているようです。
9/7
9/8
他人口座にログイン 421万円を不正送金、容疑で2人再逮捕 茨城県警
SIMスワップ詐欺のようですね。ここに配置するのが良いのか分かりませんが。
https://ibarakinews.jp/news/newsdetail.php?f_jun=16939914699703
9/11
Associated Press warns that AP Stylebook data breach led to phishing attack
9/19
When MFA isn\'t actually MFA
どういう被害だったかを詳しく書いてくれるようです。
9/25
90GB of Data Posted on Hacker Forum Linked to T-Mobile Glitch
9/29
Johnson Controls International suffered a ransomware attack that impacted the operations of the company and its subsidiaries.
教育
9/2
9/4
University of Sydney data breach impacts recent applicants
9/5
政策研究大学院大学の情報システムに対する不正アクセスの調査報告書
8月の報告ですね。侵害の手法、期間などをしっかり記載しています。
https://www.grips.ac.jp/cms/wp-content/uploads/2023/08/20230822_Report_J.pdf#page4
9/7
University of Michigan requires password resets after cyberattack
攻撃の話題ではなく、攻撃を受けた後のパスワード強制変更に関する記事ですね。
9/12
SOME OF TOP UNIVERSITIES WOULDN'T PASS CYBERSECURITY EXAM: LEFT WEBSITES VULNERABLE
9/25
900 US Schools Impacted by MOVEit Hack at National Student Clearinghouse
大学にレポートや調査を提供する団体が感染し、そこを利用する大学に影響が出ているようですね。サプライチェーンと言えるのでしょうかね。
医療・医薬・ヘルス
9/4
9/7
Notice of Data Incident(Janssen CarePath)
以下、関連記事。
IBM Addresses Data Incident for Janssen CarePath Database
9/11
RAGNAR LOCKER GANG LEAKS DATA STOLEN FROM THE ISRAEL'S MAYANEI HAYESHUA HOSPITAL
RHYSIDA RANSOMWARE GANG CLAIMS TO HAVE HACKED THREE MORE US HOSPITALS
9/12
「体臭対策ドットコム」に不正アクセス、227名のカード情報が漏えい
9/13
Israeli Hospital Hit By Ransomware Attack, 1TB Data Stolen
9/25
BORN Ontario child registry data breach affects 3.4 million people
飲食
9/4
小売、卸売
9/13
9/19
二段階認証も突破? Amazonの不正利用でギフトカードを大量購入される被害相次ぐ
電気機器
9/14
9/15
9/26
RANSOMEDVC Ransomware Group Claims Breach of Sony Corporation
攻撃者が主張している段階のようです。
https://www.hackread.com/ransomedvc-ransomware-group-sony-cyberattack/
エネルギー
9/2
処理水の海洋放出に起因した日本企業へのサイバー攻撃に対する注意喚起
9/19
China-Linked Hackers Breached a Power Grid---Again
官公庁
9/4
湘南国際村センターのホームページ改ざん及び運営会社に関する偽情報のメール配信について
PCを遠隔操作される 東平尾公園の利用者104人分の個人情報が流出した可能性
フェイクアラート(テクニカルサポート詐欺)のようですね。
9/12
神奈川県 委託事業者に不正アクセス、バックアップはなくデータ復旧困難
9/20
9/25
City of Dallas Details Ransomware Attack Impact, Costs
https://www.securityweek.com/city-of-dallas-details-ransomware-attack-impact-costs/
元のレポート。
THE CITY OF DALLAS RANSOMWARE INCIDENT:MAY 2023 Incident Remediation Efforts and Resolution
運送
9/19
ORBCOMM ransomware attack causes trucking fleet management outage
ランサムウェアでトラック輸送管理ソリューションに影響が出ているという記事のようです。
建設
9/5
セキュリティに関する重要なご報告(株式会社エフトリア)
二重脅迫型ランサムウェアのようですね。
娯楽
9/6
HACKERS STOLE \$41M WORTH OF CRYPTO ASSETS FROM CRYPTO GAMBLING FIRM STAKE
9/12
MGM Resorts shuts down website, computer systems after \'cybersecurity incident\'
9/15
ALPHV Ransomware Used Vishing to Scam MGM Resorts Employee
MGMリゾートの攻撃にヴィッシングが使われたと言う記事のようです。
https://www.hackread.com/alphv-ransomware-vishing-mgm-resort-employee/
9/19
MGM, Caesars Face Regulatory, Legal Maze After Cyber Incidents
非営利団体関連
9/6
Freecycle Data Breach Impacts 7 Million Users
セキュリティ
9/26
DARKBEAM LEAKS BILLIONS OF EMAIL AND PASSWORD COMBINATIONS
Elasticsearchの設定ミスで漏洩したということのようですね。
https://securityaffairs.com/151566/security/darkbeam-data-leak.html
SBOM関連
9/26
テルモ、医療機器にサイバー対策 ソフト欠陥素早く修正
啓蒙・教育・人材関連
9/15
9/20
サイバー攻撃における12の手法の事例と対策
9/25
脚光を浴びる「プラス・セキュリティ人材」--求められる理由とは
セキュリティ以外の仕事をしていた人がセキュリティの知識を身に付けた人材と言うことなんでしょうかね。詳しく読めていませんが、そういうタイプの人材は必要だと思いますね。
サプライチェーン関連
9/7
OpenSSF Expands Supply Chain Integrity Efforts with S2C2F
気になった記事
9/4
Microsoft is killing WordPad in Windows after 28 years
確かに、ワードパッドってあまり使う機会が無いですね。テキストで開くときはメモ帳か、テキストエディタを使いますね。。。ワードパッドは微妙に起動が遅いのも使わない理由ですね。。。
9/5
NICTを「ニクト」って読んじゃダメなの? 直接聞いた 意外な事実判明
9/12
9/20
Microsoft AI researchers accidentally leaked terabytes of private data
9/26
How the Cult of the Dead Cow plans to save the internet
斜め読みですが、タイトルほど大きな話ではないように思いました。