Daily Security Info

Tools

• OSINTのためのAIまとめ

  • 一般的なChat AI(Geminiなど)含め情報を整理したもの(これはそれの紹介ポスト)

  • 整理したGitHubリポジトリ: https://github.com/CScorza/OSINT-IA

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

Microsoft：APT28ハッカーがNSAが報告したWindowsの脆弱性を悪用

https://www.bleepingcomputer.com/news/security/microsoft-apt28-hackers-exploit-windows-flaw-reported-by-nsa/

• 要約

  • ロシアのAPT28がWindowsプリントスプーラーの脆弱性(CVE-2022-38028)を悪用

  • 未知のツール「GooseEgg」を使用して特権昇格と情報窃盗

  • Microsoftが修正済みの脆弱性を悪用していると警告

  • 攻撃はウクライナや西欧の組織が標的

  • GooseEggは他のマルウェアの起動やコマンド実行を可能に

• IOCの列挙

  • execute[.]bat,URL,知られていない,悪意あるバッチスクリプト名,NA

  • doit[.]bat,URL,知られていない,悪意あるバッチスクリプト名,NA

  • servtask[.]bat,URL,知られていない,悪意あるバッチスクリプト名,NA

  • wayzgoose23[.]dll,FQDN名,知られていない,マルウェア関連のDLLファイル,NA

• 推奨事項

  • 関連するパッチを直ちに適用する

  • セキュリティ対策を見直し、強化する

  • 不審なバッチファイルやDLLの動作を監視する

• その他

  • この攻撃は既に多くの組織に対して行われている

  • 攻撃者はロシアの軍関係者と特定されている

  • CVE-2022-38028は、権限昇格の脆弱性

• ChatGPTの推奨事項

  • 直ちにセキュリティパッチを適用し、モニタリングを強化する

Synlab Italia：ランサムウェア攻撃を受けて業務停止

https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack/

• 要約

  • イタリアのSynlabがランサムウェア攻撃を受け業務停止

  • 感染拡大を防ぐため全コンピュータをシャットダウン

  • 医療データの漏洩の可能性があるが確定ではない

  • システムの復旧作業とマルウェアの除去を進行中

  • 一部サービスの再開を試みるが完全復旧の見通し不明

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • システムの完全な復旧とセキュリティの強化

  • 顧客への透明な情報提供と支持の確保

  • 攻撃への対応と復旧プロセスのレビュー

• その他

  • 攻撃の詳細や犯人団体については明らかになっていない

• ChatGPTの推奨事項

  • システム復旧と同時にセキュリティ対策の見直しを行う

GitLab：GitHubスタイルのCDN脆弱性でマルウェアがホストされる

https://www.bleepingcomputer.com/news/security/gitlab-affected-by-github-style-cdn-flaw-allowing-malware-hosting/

• 要約

  • GitLabがGitHub同様のCDN脆弱性の影響を受ける

  • 攻撃者はコメント機能を悪用してマルウェアを配布

  • リポジトリが信頼できると誤認させる罠を設置

  • GitLabのCDNは未承認のファイルもホスト可能

  • GitLabもこの問題に対する対策が必要

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • リポジトリ管理の監視とセキュリティ強化

  • コメント機能の安全対策の見直し

  • 不審なアクティビティに対する警戒

• その他

  • 攻撃方法はGitHubでの事例と類似

    • GitHubでの事例はこちら: GitHubのコメントが悪用され、MicrosoftのリポジトリURLを介してマルウェアが拡散

• ChatGPTの推奨事項

  • コメントを介した不正なファイルアップロードに注意し、セキュリティ対策を強化する

ロシアのサンドワームハッカー、ウクライナの20の重要機関を標的に

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/

• 要約

  • サンドワーム(APT44)がウクライナの重要インフラに攻撃していると、ウクライナCERT(CERT-UA)

  • 2024年3月に、ウクライナの 10 地域のエネルギー・水道・暖房供給業者の情報通信システムを妨害する作戦を実行

  • サプライチェーン攻撃や、ソフトウェアプロバイダーなど組織のシステムにアクセスできる機能を持つ組織を通じて侵入する手法を使用

  • 既知のものに加え、新型マルウェア「BIASBOAT」と「LOADGRIP」を利用

  • 少なくとも3つのサプライチェーンが侵害されたことを確認

  • 通信はHTTPSを通じてセキュリティ保護されている

• IOCの列挙

  • BIASBOAT.so,FQDN名,知られていない,Linuxマルウェア,NA

  • LOADGRIP.so,FQDN名,知られていない,プロセスインジェクションマルウェア,NA

  • GossipFlow,URL,知られていない,通信隠蔽を図るマルウェア,NA

• 推奨事項

  • サプライチェーンのセキュリティ検証を強化

  • 不審なファイルやプロセスの監視

• その他

  • CERT-UAは、この攻撃はロシアのミサイル攻撃の効果を高める目的があると考えている

• ChatGPTの推奨事項

  • 供給チェーンの監査とセキュリティ強化を直ちに行う

ロシアのハッカーグループToddyCat、先進的ツールを用いて大規模データ窃盗

https://thehackernews.com/2024/04/russian-hacker-group-toddycat-uses.html

• 要約

  • ToddyCatがアジア太平洋地域の主に政府機関（一部は防衛関連）を狙う

  • Samraiというバックドアを利用してアクセス維持

  • データ収集とアップロードの自動化ツールを使用

  • OneDriveを通じてデータを外部へ転送

  • 防御機能を回避する技術を積極的に使用

• IOCの列挙

  • boot[.]exe,FQDN名,知られていない,マスキングされたVPNソフトウェア,NA

  • mstime[.]exe,FQDN名,知られていない,隠蔽された通信ソフトウェア,NA

  • netscan[.]exe,FQDN名,知られていない,隠蔽された通信ソフトウェア,NA

  • kaspersky[.]exe,FQDN名,知られていない,偽装された通信ソフトウェア,NA

• 推奨事項

  • ファイアウォールで特定のリソースをブロック

  • ブラウザでのパスワード保存を避ける

• その他

  • 攻撃は主にアジア太平洋地域の防衛関連機関を標的に

• ChatGPTの推奨事項

  • ファイアウォール設定の見直しとブラウザのセキュリティ強化を行う

日本のインシデント事例

N/A

その他のメモ

N/A