Daily Security Info

Tools

N/A

malware campaign

N/A

security report

• CI/CDツール「TeamCity」の脆弱性によってランサムウェア「Jasmin」などのマルウェアに感染するリスク

  • 「TeamCity」のオンプレ版に重大な脆弱性が発覚

  • CVE-2024-27198とCVE-2024-27199が攻撃者に利用される恐れ

  • ランサムウェア「Jasmin」を含む複数のマルウェアが配備される可能性

  • JetBrains社はソフトウェアのアップデートを呼びかけている

  • 脆弱性の公開と同時に攻撃者の活動が活発化していることがトレンドマイクロのテレメトリ情報から示唆されている

  • IOC: https://www.trendmicro.com/content/dam/trendmicro/global/en/research/24/c/teamcity-vulnerability-exploits-lead-to-jasmin-ransomware/ioc-teamcity.txt

cybercrime topics

• Bassterlordのマニュアル第3弾はPAYDAYという名前を使う人物に15 万ドルで販売された

  • BassterlordはIAB、ランサムウェアアフィリエイトをやっていた人物。攻撃方法に関するマニュアルを販売していた

  • 第一弾のマニュアルはセキュリティリサーチャーが手に入れて分析していたが、大金を払うほどの価値はないとしていた。(15万ドルよりははるかに安い金額だった)

日々のニュース要約

Chrome Enterpriseがプレミアムセキュリティを提供開始、但し有料

https://www.bleepingcomputer.com/news/security/chrome-enterprise-gets-premium-security-but-you-have-to-pay-for-it/

• 要約

  • Googleが組織向けブラウザ「Chrome Enterprise Premium」を発表

  • 月額料金制で、拡張されたセキュリティ制御機能を提供

  • データ保護、制御オプションの増加、レポート機能を強化

  • AIによる脅威保護、データ損失防止、マルウェア対策等を搭載

  • 早期導入企業からは、即時の有効性が報告されている

• IOCの列挙

  • IOC情報なし

• 推奨事項
  推奨事項なし

• その他

  • なし

• ChatGPTの推奨事項

  • 組織はChrome Enterprise Premiumの機能とコストを評価すべき

Google Workspaceがリスキーな変更に対する複数管理者の承認機能を導入

https://www.bleepingcomputer.com/news/security/google-workspace-rolls-out-multi-admin-approval-feature-for-risky-changes/

• 要約

  • Google Workspaceが高リスクな設定変更に対して複数の管理者の承認が必要な新機能を導入

  • 管理者が他の管理者による重要な操作をチェックし、承認する必要がある

  • 承認リクエストシステムは利用しやすく、日常業務に負担をかけないよう設計

  • この機能は不正な変更や誤操作を防ぎ、セキュリティを強化する

  • 機能はデフォルトでOFFに設定されており、利用希望者は設定から有効化可能

• IOCの列挙

  • IOC情報なし

• 推奨事項
  推奨事項なし

• その他

  • なし

• ChatGPTの推奨事項

  • 高リスクな設定変更には複数管理者の承認を設定することを検討すべき

新しいSpectre v2攻撃がIntel CPUを搭載するLinuxシステムに影響

https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/

• 要約

  • VUSecグループがLinuxシステムに影響する新しいSpectre v2脆弱性を発見

  • Intelプロセッサ上でLinuxを実行するシステムに影響

  • 攻撃者はこの脆弱性を利用して機密データを読み取る可能性がある

  • CVE-2024-2201として追跡されており、既存の軽減策では不十分

  • Intelは脆弱性対策としていくつかの推奨事項を更新

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • Intelの脆弱性対策に従うこと

• その他

  • 攻撃はまだ報告されていない

• ChatGPTの推奨事項

  • Linuxシステムのセキュリティパッチを適用し、最新の状態に保つ

悪意あるPowerShellスクリプトがマルウェアを配布、スクリプトがAIによって作成された可能性

https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/

• 要約

  • AI技術を使用して作成された可能性がある悪意あるPowerShellスクリプトがRhadamanthys情報窃取マルウェアを配布

  • スクリプトは2023年3月にドイツの多数の組織を狙ったメールキャンペーンで使用された

  • 攻撃者TA547はMetroキャッシュ＆キャリーブランドになりすましたメールで組織をだましてZIPアーカイブを開かせる

  • PowerShellスクリプトは、メモリ内で直接実行されるようBase64でエンコードされたRhadamanthys実行可能ファイルをデコード

  • AIによるコード生成技術の利用が疑われるが、確証はない

• IOCの列挙

  • IOC情報なし

• 推奨事項
  推奨事項なし

• その他

  • 攻撃者はTA547として追跡され、ドイツの組織を狙った

  • インフェクションチェーン: パスワード付きzip > .link > powershell(fileless)

  • ファイルレスpowershellのコードを調べるとコメントが特徴的であり、生成AIで作成された可能性がある。

    • BleepingComputerが生成AIでpowershellコードを作成した際も似たようなコメントが作られており、その可能性が高い、または生成 AI に依存するソースからコードをコピーした可能性が高いことが示されている

• ChatGPTの推奨事項

  • メール添付ファイルの安全性を確認し、不審なメールは開かないようにする

AT&T、データ侵害が5100万人の顧客に影響を及ぼしたと現在は述べている

https://www.bleepingcomputer.com/news/security/att-now-says-data-breach-impacted-51-million-customers/

• 要約

  • AT&Tは、顧客の個人情報がハッキングフォーラムで公開されたと5100万人の顧客に通知。

  • 2021年にはデータがShinyHuntersによって販売され、AT&Tはシステム侵害を否定。

  • データには名前、メールアドレス、住所などが含まれ、財務情報は含まれず。

  • AT&Tはデータ盗難の方法や通知の遅れについて説明していない。

  • 被害者にはなりすまし保護と信用監視サービスが1年間提供される。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 推奨事項なし

• その他

  • 攻撃は2021年に行われ、AT&Tは遅ればせながらデータ侵害を認めた。

  • 顧客データは広くサイバー犯罪コミュニティに流出している。

• ChatGPTの推奨事項

  • 被害者は身元盗用保護と信用監視サービスに速やかに登録すべきです。

GitHub上の悪意のあるVisual StudioプロジェクトがKeyzetsuマルウェアを拡散

https://www.bleepingcomputer.com/news/security/malicious-visual-studio-projects-on-github-push-keyzetsu-malware/

• 要約

  • GitHub上で悪意あるVisual StudioプロジェクトがKeyzetsuマルウェアを拡散。

  • 攻撃者は検索結果で上位にくる可能性が高いリポジトリ名を使用し、人気を偽装。

  • プロジェクトファイルに隠されたマルウェアがビルド時に実行される。

  • マルウェアはクリップボードをハイジャックし、暗号通貨支払いを盗む。

  • 「Feedback_API_VS_Services_Client」というスケジュールタスクを作成。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 推奨事項なし

• その他

  • GitHubのリポジトリ活動を監視し、怪しいパターンに注意することを推奨。

• ChatGPTの推奨事項

  • 不審なリポジトリのダウンロードは避け、ソースを慎重に確認してください。

Rustのクリティカルな脆弱性: Windowsでのコマンドインジェクション攻撃を可能に

https://www.bleepingcomputer.com/news/security/critical-rust-flaw-enables-windows-command-injection-attacks/

• 要約

  • Rust標準ライブラリのセキュリティ脆弱性がWindowsシステムでのコマンドインジェクション攻撃を可能に。

  • CVE-2024-24576として追跡され、GitHubはこの脆弱性を重大な深刻度で最大CVSS基本スコア10/10と評価。

  • この問題は、Windowsでバッチファイルを呼び出す際に、適切に引数をエスケープしないことによる。

  • Rustバージョン1.77.2より前の全てのバージョンが、信頼できない引数でバッチファイルを呼び出す場合に影響。

  • 攻撃者は、引数を制御することで任意のシェルコマンドを実行できる。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 推奨事項なし

• その他

  • 他のプログラミング言語にも影響があり、一部はパッチをリリース済み。

• ChatGPTの推奨事項

  • Rustの最新バージョンへの更新を検討してください。

Raspberry Robinリターン：WSFファイルを通じて新しいマルウェアキャンペーンが拡散

https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html

• 要約

  • Raspberry Robinマルウェアキャンペーンが悪意のあるWindowsスクリプトファイル（WSF）を介して拡散。

  • 当初はUSBドライブを介して拡散していたが、現在はWSFファイルのダウンロードを利用。

  • マイクロソフトはこの脅威クラスターをStorm-0856として追跡し、広範なサイバー犯罪エコシステムとの関連がある。

  • WSFファイルはダウンロードし実行すると、curlコマンドでメインのDLLペイロードをリモートサーバーから取得。

  • マルウェアは分析回避と仮想環境評価を行い、特定の条件下での実行を終了。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 推奨事項なし

• その他

  • マルウェアはマイクロソフトディフェンダーアンチウイルスの除外ルールを設定し、検出を回避。

  • WSFファイルのダウンロードURLへの誘導をどうやってるかは不明。おそらくスパムやマルバタイジングだと思われる

• ChatGPTの推奨事項

  • 不審なファイルのダウンロードを避け、アンチウイルスソフトウェアを最新に保つ。

ロシア、グローバルサイバー犯罪指数で首位に

https://www.databreachtoday.com/russia-tops-global-cybercrime-index-new-study-reveals-a-24820

• 要約

  • 世界のサイバー犯罪について、専門家約100人のインタビューに基づき調査。世界サイバー犯罪指数を発表

  • サイバー犯罪の発生源は少数の国に集中しており、ロシアがトップで、ウクライナ、中国、アメリカが続く

  • 調査は世界各国のサイバー犯罪ホットスポットを初めて明らかに

  • マルウェアのコーディング、ボットネットへのアクセス、侵害されたシステムへの侵入など、技術的な製品やサービスに対する攻撃にとってロシアが最も重大な脅威

  • この指数が利益を目的としたサイバー犯罪の増大する脅威との闘いに役立つことを期待

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 推奨事項なし

• その他

  • 技術製品とサービス、攻撃と恐喝、データと個人情報の盗難、マネーロンダリングと詐欺の 5 種類のサイバー犯罪が考慮された

• ChatGPTの推奨事項

  • 推奨事項なし

日本のインシデント事例

• 計算用サーバが攻撃の踏み台に、テストアカを侵害 - お茶大

• 第三者にメールを閲覧された痕跡、詳細を調査 - 東芝テック

その他のメモ

N/A