Daily Security Info

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

• VMware ESXi Shell Serviceのゼロデイ販売 - 1,500,000ドル

  • 認証をバイパスし、vpxuser による /scratch ディレクトリへのファイルアップロードが可能と主張

日々のニュース要約

マルウェア開発者が児童虐待者をハニートラップに誘い込み、恐喝する

https://www.bleepingcomputer.com/news/security/malware-dev-lures-child-exploiters-into-honeytrap-to-extort-them/

• 要約

  • マルウェアはCSAM視聴者を装った政府警告で恐喝

  • 「Anti-Child Porn Spam Protection」が最初の実例

  • 現在は「CryptVPN」と称するソフトウェアによる詐欺

  • ウェブサイトを偽装し、マルウェアをダウンロードさせる

  • 被害者には身代金を要求、支払わなければ情報を漏洩

• IOCの列挙

  • hxxps[:]//usenetclub[.]com,URL,知られていない,偽のサブスクリプションサービスサイト,NA

  • 198[.]51[.]100[.]10,IPアドレス,知られていない,サーバーIPアドレス,グローバル

  • bc1q4zfspf0s2gfmuu8h5k0679sxgxjkd7aj5e6qyl,URL,知られていない,ビットコイン支払いアドレス,NA

• 推奨事項

  • 不正なウェブサイトや未知のダウンロードに注意

  • ランサムウェア感染を避けるために信頼できるセキュリティソフトウェアを使用

  • 疑わしいリンクは開かないこと

• その他

  • 攻撃者の国籍や動機についての情報は不明

• ChatGPTの推奨事項

  • 不審なリンクや添付ファイルを開かないこと

ランサムウェアの支払いが2024年第1四半期に記録的な低水準、28％に減少

https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-of-28-percent-in-q1-2024/

• 要約

  • 2024年Q1の企業によるランサムウェアの支払いが28%に減少。

  • 支払い減少は、保護対策の強化と法的圧力によるもの。

  • 支払い額は過去最高にも関わらず支払い件数は減少。

  • 主な感染経路はリモートアクセスと脆弱性の悪用。

  • FBIの活動がランサムウェアグループに影響を与えている。

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • 保護対策を強化し、法的指導に従う

  • 脆弱性を定期的に監視し、速やかに対処する

  • FBIや他の法執行機関と協力を継続する

• その他

  • なし

• ChatGPTの推奨事項

  • 保護対策を強化し、感染経路を特定しやすくするための監視システムを整備する

WordPressのForminatorプラグインに重大な脆弱性、30万サイト以上に影響

https://www.bleepingcomputer.com/news/security/critical-forminator-plugin-flaw-impacts-over-300k-wordpress-sites/

• 要約

  • Forminatorプラグインに重大な脆弱性(CVE-2024-28890、CVSSv3:9.8)発見

  • 脆弱性は無制限ファイルアップロードを可能に

  • 影響を受けるバージョンは1.29.0およびそれ以前

  • 最新バージョンへの更新が強く推奨されている

  • 現時点での悪用報告はなし、しかしリスクは高い

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • すぐにForminatorプラグインを最新バージョンに更新

  • 使用していないプラグインは無効化する

  • プラグインは最小限に保つ

• その他

  • 日本のCERTが報告

• ChatGPTの推奨事項

  • 速やかにForminatorプラグインを更新し、必要のないプラグインを無効化すること

GitHubのコメントが悪用され、MicrosoftのリポジトリURLを介してマルウェアが拡散

https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-malware-via-microsoft-repo-urls/

• 要約

  • GitHubのコメント機能がマルウェア配布に悪用

  • MicrosoftリポジトリのURLを使ったマルウェアの配布が行われている

  • 公開リポジトリのコメントで、ファイルを添付すると、ファイルはGitHubのCDNに保存される。

  • コメント機能を悪用してアップロードすることで、リポジトリのURLを使ったダウンロードリンクでマルウェア配布ができる

    • この添付ファイルは「/{project_user}/{repo_name}/files/{file_id}/{file_name}」の形式でダウンロード可能

    • コメントは必須ではない。また、コメントが削除されたとしてもダウンロードURLは機能し続ける。

      • 未保存のコメントでファイルを添付、ファイルを添付したコメントを投稿後に削除したとしても、ファイルはGitHubのCDNから削除されず、ダウンロードできる。

  • 正規のリポジトリを使ったリンクが作成できるため、該当URLは非常に信頼性が高く見える

• IOCの列挙

  • github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip, URL, 知られていない, Microsoftのリポジトリに見せかけたマルウェア, NA

  • github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip, URL, 知られていない, 同上, NA

• 推奨事項

  • GitHubでのコメント機能を慎重に使用すること

• その他

  • 攻撃者の属性情報は記載なし

  • Microsoftリポジトリ以外の悪用を調査したところ、httprouterのリポジトリでも同様の攻撃が行われていた

    • hxxps[://]github[.]com/julienschmidt/httprouter/files/14550723/Cheater.Pro.1.6.0.zip

• ChatGPTの推奨事項

  • GitHubのURLに添付されたファイルの出所を常に確認すること

CrushFTPユーザーにゼロデイ脆弱性の即時修正を警告

https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-exploited-zero-day-immediately/

• 要約

  • CrushFTPにゼロデイ脆弱性が存在し、積極的に悪用されている。そのため直ちに修正パッチを適用するよう警告

  • この脆弱性により、認証されていない攻撃者がユーザーの仮想ファイルシステム（VFS）をエスケープし、システムファイルをダウンロードすることが可能

  • v11.1.0で修正されており、このアップグレードが推奨されている

  • CrushFTPの前にDMZ境界ネットワークを利用しているユーザーは、攻撃から保護される可能性がある

  • Airbus CERTにより報告された

• IOCの列挙

  • IOC情報なし

• 推奨事項

  • すぐに最新のバージョンにアップデートすること

• その他

  • Shodanで確認すると公開されているCrushFTPは全世界で少なくとも2,700ある

  • ゼロデイ攻撃は複数の米国組織を標的としていた。いくつかの証拠から政治的動機による情報収集キャンペーンの可能性がある

  • CrushFTP v10、v9も影響を受けるためv11.1.0にアップグレードする必要がある

• ChatGPTの推奨事項

  • CrushFTPの最新のセキュリティアップデートを直ちに適用すること

日本のインシデント事例

N/A

その他のメモ

N/A