このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。 各出来事に関するコメントは個人の意見です。
サイバー世界情勢
地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。
今月は前月から引き続きヨーロッパと中東の記事が多いですね。
アジア
11/7
-
中東の問題の影響のようですね。
11/8
North Korea\'s BlueNoroff APT Debuts \'Dumbed Down\' macOS Malware
SideCopy Exploiting WinRAR Flaw in Attacks Targeting Indian Government Entities
11/13
Police takes down BulletProftLink large-scale phishing provider
11/21
Amid Military Buildup, China Deploys Mustang Panda in the Philippines
11/22
- 北朝鮮ハッカー集団が韓国人約1500人にハッキング 暗号資産狙い\ https://jp.yna.co.kr/view/AJP20231121002000882
11/24
Microsoft: Lazarus hackers breach CyberLink in supply chain attack
Social engineering attacks lure Indian users to install Android banking trojans
11/28
Foreign spy conducts cyberattacks against China's defense, high-tech firm by recruiting Chinese developer
北米
11/7
US Sanctions Ryuk Ransomware's Russian Money Launderer
11/22
Canadian Military, Police Impacted by Data Breach at Moving Companies
ヨーロッパ
11/7
FSB arrests Russian hackers working for Ukrainian cyber forces
Dutch hacker jailed for extortion, selling stolen data on RaidForums
11/16
EU Tightens Cybersecurity Requirements for Critical Infrastructure and Services
11/17
Cyber-espionage operation on embassies linked to Russia's Cozy Bear hackers
11/28
Ukraine says it hacked Russian aviation agency, leaks data
中東
11/7
中東のサイバー攻防激化 ガザ情勢受けて欧米や日本にも飛び火
11/8
Iran-Linked Agrius APT Group Targets Israeli Education, Tech Sectors
Pro-Palestinian hackers group 'Soldiers of Solomon' claims to have hacked one of the largest Israeli flour plants causing severe damage to the operations.
11/10
Imperial Kitten APT Claws at Israeli Industry with Multiyear Spy Effort
11/15
Pro-Palestinian hacking group evolves tactics amid war
11/20
11/28
Hamas-Linked APT Wields New SysJoker Backdoor Against Israel
11/29
Qatar Cyber Agency Runs National Cyber Drills
11/30
オセアニア
11/7
Thousands of myGov accounts suspended every month after being targeted by dark web scammers
11/13
Australia Struggles to Restart Port Operations After Cyberattack
アフリカ
11/29
Attacks Against South African ICS and IoT Systems Steadily Decrease
一時期、記事が増えた印象でしたが、現在は減っているようですね。
脆弱性関連
数が多いので気になったものだけをまとめます。
11/8
Rapid7-Observed Exploitation of Atlassian Confluence CVE-2023-22518
11/15
Protected Virtual Machines Exposed to New 'CacheWarp' AMD CPU Attack
Millions of Old Bitcoin Wallets Have Critical Security Flaws, Experts Say
いわゆる「枯れた」システムでないと、絶えず機能が改善されるため、こう言うことも起こるのでしょうかね。
https://gizmodo.com/old-bitcoin-wallets-security-flaws-randstorm-unciphered-1851020470
11/16
Intel Patches Widespread Processor Vulnerability
Reptarと言う名前が付いた脆弱性のパッチに関する記事のようです。
https://www.techrepublic.com/article/intel-reptar-processor-vulnerability-patched/
以下のサイトにあるマイクロコードをダウンロードして適用するらしいですね。
11/28
CVSS v3スコアは10.0 オンラインストレージownCloudに深刻なリスク
11/29
Exploit for Critical Windows Defender Bypass Goes Public
11/30
Zoom Vulnerability Allowed Hackers to Take Over Meetings, Steal Data
分析手法、ツール関連
11/7
FIRST Announces CVSS 4.0 - New Vulnerability Scoring System
https://thehackernews.com/2023/11/first-announces-cvss-40-new.html?m=1
FIRSTのサイト
Common Vulnerability Scoring System Version 4.0
11/9
サイバーインテリジェンスに関する4大誤解と CISO が理解しておくべきポイント
Spammer made 7 attempts to create a password that passes crazy criteria
https://passwordpurgatory.com/get-hell?kvKey=1a611deb-91db-4fe0-a6cf-53861543c36a&s=09
というページが引っかかったのでドメイン名で調べてみたところ、スパムメールを送りつけるひとに仕返しをするツールのようですね。逆襲されないか気になります。
以下が説明記事。
スパム業者を「永遠なるパスワード登録地獄」に落とす時間泥棒システムが開発される
11/14
Top 12 OSINT Tools for the Dark Web
11/20
解析・分析・研究記事
マルウェア
11/14
Ducktail Malware Targets the Fashion Industry
11/22
Stealthy WailingCrab Malware misuses MQTT Messaging Protocol
フィッシング
11/8
Credential Theft and Domain Name Hijacking through Phishing Sites
フィッシングで認証情報を窃取してドメイン名を乗っ取ろうとする攻撃のようですね。
11/10
Phishing PDF Files Downloading Malicious Packages
11/15
URL に特殊な IP アドレス表記を用いたフィッシング (2023/11/14)
このURLがメールに記載されていたら、怪しい感じがします。
11/20
Phishing page with trivial anti-analysis features
分析の結論が面白かったです。
APT
11/21
Russian hackers use Ngrok feature and WinRAR exploit to attack embassies
WinRARの脆弱性を悪用しているようですが、日本ではあまりRARは使われていないイメージなのですが、私の周囲だけでしょうかね。
RUSSIA-LINKED APT29 GROUP EXPLOITED WINRAR 0DAY IN ATTACKS AGAINST EMBASSIES
ランサムウェア
11/7
HelloKitty ransomware now exploiting Apache ActiveMQ flaw in attacks
11/10
Microsoft: SysAid zero-day flaw exploited in Clop ransomware attacks
11/14
FBI: Royal ransomware asked 350 victims to pay \$275 million
New Ransomware Group Emerges with Hive\'s Source Code and Infrastructure
Hiveのソースとインフラを受け継いでいるそうです。
https://thehackernews.com/2023/11/new-ransomware-group-emerges-with-hives.html?m=1
11/15
11/21
A deep dive into Phobos ransomware, recently deployed by 8Base group
11/24
悪意あるパッケージ
11/14
48 Malicious npm Packages Found Deploying Reverse Shells on Developer Systems
Botnet
11/7
SOCKS5SYSTEMZ PROXY SERVICE DELIVERED VIA PRIVATELOADER AND AMADEY
11/15
11/30
Bot
11/7
Gootloader Aims Malicious, Custom Bot Army at Enterprise Networks
DDoS
11/9
Cloudflare website downed by DDoS attack claimed by Anonymous Sudan
OpenAI confirmed that the outage suffered by ChatGPT and its API on Wednesday was caused by a distributed denial-of-service (DDoS) attack.
マルバダイジング
11/10
Google ads push malicious CPU-Z app from fake Windows news site
11/13
インフォスティーラー
11/7
Jupyter Rising: An Update on Jupyter Infostealer
11/15
Vietnamese Hackers Using New Delphi-Powered Malware to Target Indian Marketers
開発言語にDelphiが使われていると書いてありますね。個人的に懐かしいですね。
https://thehackernews.com/2023/11/vietnamese-hackers-using-new-delphi.html?m=1
ドロッパー
11/7
Cybercrime service bypasses Android security to install malware
マイナー
11/9
Researchers Uncover Undetectable Crypto Mining Technique on Azure Automation
クラウドベースのマイナーとありますね。研究者が発見したようなので悪用はされていないと思われます。
https://thehackernews.com/2023/11/researchers-uncover-undetectable-crypto.html?m=1
Webスクレイピング
11/9
Hacker Leaks 35 Million Scraped LinkedIn User Records
情報収集の手法としてはあまり望ましくないと言われながらも一般的な手法と理解していますが、分析していると攻撃者も利用していると思われる場合がありますね。
https://www.hackread.com/hacker-leaks-scraped-linkedin-user-records/#google_vignette
11/13
Hacker Leaks 800,000 Scraped Chess.com User Records
ワイパー
11/14
USBワーム
11/20
ダークウェブ
11/9
軍総司令官の偽動画拡散とウクライナ政府
11/21
The dark side of Black Friday: decoding cyberthreats around the year's biggest shopping season
ドメインハイジャック
11/7
フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件
SSRF
UNPATCHED POWERFUL SSRF IN EXCHANGE OWA -- GETTING RESPONSE THROUGH ATTACHMENTS
リポジトリ侵害
11/9
Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI
11/20
Attacker -- hidden in plain sight for nearly six months -- targeting Python developers
イニシャル・アクセス
11/15
GOLD MELODY: 不正アクセス仲介人のプロファイリング
ソーシャルエンジニアリング
11/14
NORTH KOREA-LINKED APT SAPPHIRE SLEET TARGETS IT JOB SEEKERS WITH BOGUS SKILLS ASSESSMENT PORTALS
11/24
Fake Browser Updates Targeting Mac Systems With Infostealer
スミッシング
11/14
スミッシングでダウンロードさせられる不正なファイルについて
フェイク・アップデート
11/15
SocGholish - 偽アップデートでWeb経由のマルウェア感染
Web Shell
11/24
HrServ -- Previously unknown web shell used in APT attack
Windows
Mastering Windows Access Control: Understanding SeDebugPrivilege
権限に関する記事です。こういうのはあまり見たことがなかったので勉強になります。
QRコード不正
最近よく見るのでまとめます。
11/14
QRコードのリンク先が不正サイトに変わる事象相次ぐ オートバックス、学習院大学も
この記事では原因不明となってますね。
piyokango氏のまとめもありました。
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた
短縮URLに遷移する途中で表示される広告に問題があるみたいですね。
11/13公表
会員様DM掲載の2次元バーコードに関するお知らせ(株式会社オートバックスセブン)
10/30公表
【重要】「大学案内2024」掲載二次元コードの不正リンクについて
11/9公表
レポート・まとめ
11/7
Gaming-related cyberthreats in 2023: Minecrafters targeted the most
ゲーム業界の状況のまとめ。インシデントの記事を結構見るようになりましたね。
https://securelist.com/game-related-threat-report-2023/110960/
Japanese IT Breach, CPanel Auctions, LinkedIn Data Leak
SOCRadarサイトのインシデント等のまとめ。
https://socradar.io/japanese-it-breach-cpanel-auctions-linkedin-data-leak/
コロナ禍から回復中の観光業を標的としたサイバー脅威に対する注意喚起
Your end-users are reusing passwords -- that's a big problem
パスワードの使い回しに関するレポート類は、良く目にしますが、改善されていると言う話は聞かないですね。
11/8
Lessons Learned from the MGM Ransomware Attack
MGMにおけるインシデントのまとめ、教訓
https://www.investisdigital.com/blog/technology/mgm-ransomeware-attack
OPSWAT.2023 State of Web Application Security
レポート本体のダウンロードには登録が必要なようです。
https://thehackernews.com/2023/11/confidence-in-file-upload-security-is.html?m=1
11/9
FBI: Ransomware gangs hack casinos via 3rd party gaming vendors
カジノと繋がるサーバーを管理するベンダーをターゲットにして、カジノを狙うようですね。これもサプライチェーンに該当するのでしょうかね。
11/10
関連サイトのURLや利用CMS、大企業の3分の1が未把握
警視庁に、家庭用ルーター不正利用の現状を聞く〜「"攻撃元"の家庭へ捜査員が話を聞きに行った事例も」
Lac Security Insight 2023秋
11/13
ブッキング・ドットコム悪用して客のカード情報盗む 世界規模で被害
Leaky DICOM Medical Standard Exposes Millions of Patient Records
11/15
【2023年10月号】暴露型ランサムウェア攻撃統計CIGマンスリーレポート
Ransomware Attacks Against The Energy Sector On The Rise - Nuclear And Oil & Gas Are Major Targets In 2024
11/17
ZIMBRA ZERO-DAY EXPLOITED TO STEAL GOVERNMENT EMAILS BY FOUR GROUPS
FBI shares tactics of notorious Scattered Spider hacker collective
11/28
11/30
Black Basta ransomware victims have paid over \$100 million
史上最大のDDoS攻撃が発生
HHTP/2 Rapid Reset攻撃のまとめですかね。
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111700229/
テイクダウン・逮捕
11/15
IPStorm botnet with 23,000 proxies for malicious traffic dismantled
11/29
Europol shutters ransomware operation with kingpin arrests
官公庁・組織・団体公表
CISA、NSA
11/29
FDA
11/22
What Healthcare Cybersecurity Leaders Should Know About the FDA\'s Section 524B Guidelines
経済産業省
11/28
産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました
あまり読めてませんが、これまでは企業の共助という考えでISAC等の組織が立ち上がってきましたが、セキュリティ会社同士の共同的な活動はあまりなかったですね。促進されれば、役に立ちそうですね。
https://www.meti.go.jp/press/2023/11/20231122002/20231122002.html
まとめ記事
IPA
11/10
サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2023 年 7 月~9 月]
JPCERT/CC
11/13
RFC 9116「security.txt」の紹介(2022年8月)の続報
OT
11/10
RUSSIAN SANDWORM DISRUPTS POWER IN UKRAINE WITH A NEW OT ATTACK
11/15
21 Vulnerabilities Discovered in Crucial IT-OT Connective Routers
11/16
Oil Giant Aramco Drills Down on Saudi ICS Security
OTセキュリティの強化に関する取り組みの記事のようですね。
https://www.darkreading.com/ics-ot-security/oil-giant-aramco-drills-down-on-saudi-ics-security
システム・セキュリティ業界の動向
AWS
11/15
ランサムウェア被害から医療データの安全を守る
Discord
11/7
攻撃側の動向ほか
11/8
Ransomware Mastermind Uncovered After Oversharing on Dark Web
おとり捜査みたいなことをしたのでしょうかね。
https://www.darkreading.com/threat-intelligence/ransomware-mastermind-uncovered-oversharing-dark-web
以下の記事の方が詳しいです。
Russian-speaking threat actor \"farnetwork\" linked to 5 ransomware gangs
11/15
Meet the Unique New \"Hacking\" Group: AlphaLock
以前、DDoS as a Serviceが流行ったとき、提供側は通信負荷のテスト用プラットフォームを提供しているというようなことを言っていた気がするので、提起するものがランサムウェアになっても変わらないようですね。
https://www.bleepingcomputer.com/news/security/meet-the-unique-new-hacking-group-alphalock/
11/20
Shadowy Hack-for-Hire Group Behind Sprawling Web of Global Cyberattacks
11/21
Are DarkGate and PikaBot the new QakBot?
テイクダウンされたQakBotの戦術を引き継いでいるようですね。
https://cofense.com/blog/are-darkgate-and-pikabot-the-new-qakbot/
Lockbit関係
11/15
LockBit ransomware exploits Citrix Bleed in attacks, 10K servers exposed
11/29
LockBit claims cyberattack on India's national aerospace lab
Egyptian E-Payment Vendor Recovering From LockBit Ransomware Attack
BlackCat(ALPHV)
11/17
ALPHV (BlackCat) Ransomware Using Google Ads to Target Victims
業界別インシデント
医療系は変わらず記事が多い印象です。まとめ方の問題かもしれませんが、小売業関係、公的機関関係が増えているように思います。
金融・証券・保険・ローン
11/7
Mortgage giant Mr. Cooper hit by cyberattack impacting IT systems
Russia's 2nd-Largest Insurer Rosgosstrakh Hacked; 400GB of Data Sold Online
11/9
Russian state-owned Sberbank hit by 1 million RPS DDoS attack
Treasury Markets Disrupted by ICBC Ransomware Attack
最近、中国が攻撃を受ける記事が増えてきたような気がしてます。
以下、ロイターの報道
China\'s biggest lender ICBC hit by ransomware attack
https://www.reuters.com/world/china/chinas-largest-bank-icbc-hit-by-ransomware-software-ft-2023-11-09/#:\~:text=Nov%209%20(Reuters)%20%2D%20A,in%20exchange%20for%20unlocking%20them%20%2D%20A,in%20exchange%20for%20unlocking%20them).
11/10
当社メールサーバへの不正アクセス発生について(明和證券株式会社)
11/20
MEDUSA RANSOMWARE GANG CLAIMS THE HACK OF TOYOTA FINANCIAL SERVICES
暗号資産
11/22
クロノス・リサーチがセキュリティ侵害で2,600万ドルの損失を受け事業を停止
製造
11/10
ランサムウェアによるアクセスに関するお知らせ(日本ルツボ株式会社)
11/15
ランサムウェア攻撃に関するお知らせとお詫び(ジュテック株式会社)
11/20
11/29
弊社内システムがランサムウェアに感染し、情報流出可能性のご報告とお詫び(株式会社中嶋製作所)
自動車関連
11/7
11/22
弊社が運営する「エンラージ商事オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(株式会社エンラージ商事)
2023/2のインシデントに関する公表のようですね。
情報
11/7
Okta hit by third-party data breach exposing employee information
11/8
Recent security threats(Sumo Logic)
顧客情報への影響はないようですね。
11/17
Ransomware gang files SEC complaint over victim's undisclosed breach
こう言うのはマッチポンプと言うのでしょうかね。BlackCat(AlphV)だそうです。
11/22
11/24
【INVOY】顧客情報流出に関するご報告とお詫び(続報3 再発防止策について)(OLTA株式会社)
11/28
不正アクセスによる、情報漏えいに関するお知らせとお詫び(LINEヤフー株式会社)
韓国の委託先企業の社員のPCがマルウェア感染したことが発端のようですね。
https://www.lycorp.co.jp/ja/ir/news/auto_20231127594672/pdfFile.pdf
通信
11/7
11/17
Samsung Data Breach: Hackers Steal Data of UK Customers
11/22
JCOM、Wi-Fi利用者の個人情報23万件が流出 氏名など
https://www.nikkei.com/article/DGXZQOUC22CGU0S3A121C2000000/?s=09
piyologのまとめ
教育
11/7
11/24
本学WEBサイトの改ざんに関するお詫びと復旧のご報告(大阪商業大学)
医療・医薬・ヘルス
11/7
BlackCat ransomware claims breach of healthcare giant Henry Schein
11/9
FIVE CANADIAN HOSPITALS IMPACTED BY A RANSOMWARE ATTACK ON TRANSFORM PROVIDER
病院にITサービスを提供する団体が攻撃を受け、病院はそこから影響を受けたと言うことのようですね。
https://securityaffairs.com/153857/cyber-crime/canadian-hospitals-transform-ransomware-attack.html
11/13
MCLAREN HEALTH CARE REVEALED THAT A DATA BREACH IMPACTED 2.2 MILLION PEOPLE
Hackers breach healthcare orgs via ScreenConnect remote access
11/16
PJ&A says cyberattack exposed data of nearly 9 million patients
11/21
Hackers accessed sensitive health data of more than 8 million Welltok patients
11/22
11/28
Healthcare giant Henry Schein hit twice by BlackCat ransomware
小売、卸売
11/7
2023年11月2日 当社サーバへの不正アクセスについて(グラントマト株式会社)
Ace Hardware says 1,202 devices were hit during cyberattack
11/9
当社サーバーに対する外部攻撃に関するお知らせとお詫び(株式会社ライトオン)
11/15
Pharmacy provider Truepill data breach hits 2.3 million customers
11/24
AUTOMOTIVE PARTS GIANT AUTOZONE DISCLOSED DATA BREACH AFTER MOVEIT HACK
電気機器
11/7
当社への不正アクセスについて(IDEC株式会社)
エネルギー
11/29
Slovenian Electrical Utility HSE Suffers Ransomware Attack
官公庁・公的機関
11/10
11/13
MOVEit Global Security Incident(State of Maine)
11/16
Toronto Public Library confirms data stolen in ransomware attack
11/17
Long Beach, California turns off IT systems after cyberattack
11/20
British Library Confirms Ransomware Attack Caused Outages
11/21
Canadian government discloses data breach after contractor hacks
11/24
Kansas courts confirm data theft, ransom demand after cyberattack
カンザス州の裁判所がデータ侵害のようですね。
以下、日本語の記事
裁判所がサイバー攻撃で1カ月以上オフラインになっているため文書を紙で提出するしかないという事態に陥る
https://gigazine.net/news/20231127-kansas-court-cyberattack-filing/
11/28
Hackers Hijack Industrial Control System at US Water Utility
ペンシルベニア州の水道局が侵害されたようですね。
https://www.securityweek.com/hackers-hijack-industrial-control-system-at-us-water-utility/
PLCがインターネットにつながる状態で、デフォルトのパスワードが判りやすいもののようですね。
Hackers breach US water facility via exposed Unitronics PLCs
研究機関
11/24
Idaho National Nuclear Lab Targeted in Major Data Breach
国立研究開発法人
11/30
独立行政法人
11/24
不正アクセスによる個人情報漏えいのお詫びとご報告(独立行政法人日本学術振興会 )
ファイル転送サービスの脆弱性を悪用されたようですね。
https://www.jsps.go.jp/file/storage/j-news/2023/oshirase_20231117.pdf
運輸
11/9
ROYAL MAIL JEOPARDIZES USERS WITH OPEN REDIRECT FLAW
インシデントではないですが、オープンリダイレクト脆弱性の指摘を受けているようですね。
https://securityaffairs.com/153851/security/royal-mail-jeopardizes-users.html
11/16
11/17
Royal Mail's recovery from ransomware attack will cost business at least \$12M
Royal Mailのインシデントでかかったコストに関する記事のようですね。
https://www.theregister.com/2023/11/16/royal_mail_recovery_from_ransomware/
航空
11/7
Boeing confirms cyberattack amid LockBit ransomware claims
建設
11/29
宿泊
11/8
マリーナベイ・サンズのショッピング会員プログラムのデータセキュリティ事故について
娯楽
11/16
GAMBLERS' DATA COMPROMISED AFTER CASINO GIANT STRENDUS FAILS TO SET PASSWORD
AI関連
11/9
Using ChatGPT to cheat on assignments? New tool detects AI-generated text with amazing accuracy
啓蒙・教育・人材関連
11/7
日本のセキュリティ人材、前年比24%増もまだ11万人が不足--ISC2調査
DOE hosting simulated cyberattack for students
11/9
小学生にも分かる!サイバーセキュリティの仕事を紹介するハンドブック1・2を1冊にまとめました
11/16
徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
気になった記事
11/7
「京大生でもx=x+1が分からない」、喜多教授が明かすPython教育の実態
プログラミング言語に初めて触れた時は、そうなりますよね。
https://xtech.nikkei.com/atcl/nxt/column/18/02629/110200002/
11/8
通信機器のサイバー対策 NICT法改正案が審議入り
こういう法があったのですね。
https://www.nikkei.com/article/DGXZQOUA07AIV0X01C23A1000000/
11/17
Children's tablet has malware and exposes kids' data, researcher finds
11/22
不正行為を報告したソフトウェアエンジニアの75%は報復を受けていることが調査で判明
11/29
医療機関向けセキュリティベンダCOO「事業拡大」のため病院をサイバー攻撃した罪を認める
これはやっては駄目ですよね。
https://scan.netsecurity.ne.jp/article/2023/11/29/50298.html