今週のIT・サイバーニュースまとめ(20190505-20190511)
今週の総括
今週の記事まとめです。 総括としては、ランサムウェアと Lazarus のトピックを持ってきましたが、一週間全体として、フィッシングの手法の公開なども含め、情報が漏洩したという話が多かったように思います。 メールに添付されるマルウェアの拡張子をまとめたF-Secure のブログなんかも、面白かったかと。
https://labsblog.f-secure.com/2019/05/08/spam-trends-top-attachments-and-campaigns/
感想
ランサムウェア各地で猛威を振るう
世界各地でランサムウェアの感染報道がされています。 去年の今頃は、「ランサムウェアが減って今はコインマイナーの感染が!」みたいな感じだったのに(笑) そもそも仮想通貨の流行が落ち着き始めているのもあって、攻撃者側もやっぱりランサムウェアの利用に戻っているのでしょうか。
最近のランサムウェア関連の攻撃の特徴は主に2つだと考えています。
- 使われるランサムウェアの多様化
- 感染経路の多様化
最近の感染報告を軽くおさらいすると、以下の通りです。 あいまいな表現はすみません。。情報ソースが公開情報しかないもので。
被害範囲 | 種類 | 感染経路 |
---|---|---|
ボルティモア市 | RobbinHood | 不明 |
限定された範囲 | Jokeroo | 不明 |
日本国内 | GandCrab | メール |
世界中の組織 | Dharma | メール |
世界中の組織 | sodinokibi | Weblogicの脆弱性 |
Recorded Furture が今週公表した記事によると、ランサムウェアに感染したとされる169件の報告のうち、種類が特定されたのは40件だとのことでした。 https://www.recordedfuture.com/state-local-government-ransomware-attacks/
今年一年間はランサムウェアがまた流行る感じですかね。 手軽なお金稼ぎとして、しばらくは使われるような気がしています。
北朝鮮のハッキンググループ Lazarus (Hidden Cobra)の活動
今回公表された US-CERT の記事では、Lazarus が使う新たなトンネリングツール ELECTRICFISH が紹介されています。 https://www.us-cert.gov/ncas/analysis-reports/AR19-129A
少々どうでもいいことですが、Hidden Cobra と Lazarus は同じ攻撃グループを差しており、なぜ、US-CERT が Hidden Cobra というかは不明です。 完全に個人の感想ですが、このあたりの、言葉の揺れが引き金で、よく IT 技術者間の会話でぶつかるんですよね(笑) ベストと呼ぶかチョッキと呼ぶかの差みたいなもんで、「なぜここでプライドがぶつかる!?」と日々感じでおります(笑)
US-CERT の記事では、ELECTRICFISH はプロキシサーバに居座って、通信を盗聴するようなツールだと解説されています。
なんとなくですが、現在、北朝鮮の情勢がピリついているのに合わせて、記事を出したような気がしてならないのですが、あまり言及すると、何かが怖いので、この辺でやめておきます(笑)
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多いと思うので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
Fake Pirate Chick VPN Pushed AZORult Info Stealing Trojan https://t.co/zIrATDDIys
Site Promoting KeePass Password Manager Pushes Malware https://t.co/8HJfRWKE2b
Jokeroo Ransomware as a Service Pulls an Exit Scam https://t.co/Vs2tZ9mnFm
North Korean Malicious Cyber Activity https://t.co/YS4cMVH9jW
Spam Trends: Top attachments and campaigns https://t.co/oJcQQ1jl7W
Early Findings: Review of State and Local Government Ransomware Attacks https://t.co/QQJvmS4lhC
Dharma Ransomware Uses AV Tool to Distract from Malicious Activities https://t.co/4uyHE5kAX7
FIN7.5: the infamous cybercrime rig “FIN7” continues its activities https://t.co/5VhcpO4yNj
Evil Clippy Makes Malicious Office Docs that Dodge Detection https://t.co/fpkx2Ut0A4
CVE-2019-3396 Redux: Confluence Vulnerability Exploited to Deliver Cryptocurrency Miner With Rootkit - https://t.co/rhmtwMncJ0
Turla LightNeuron: An email too far https://t.co/EWSYRTehEN
SystemdMiner,when a botnet borrows another botnet’s infrastructure https://t.co/AnMMWbBwxH
Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak https://t.co/RiiA7OV3pE
脆弱性・アップデート関連
New Intel firmware boot verification bypass enables low-level backdoors https://t.co/h9PmVQzze3
Security Bulletin: NVIDIA GPU Display Driver - May 2019 https://t.co/2Eu4d4MTxL
Unpatched Flaw in UC Browser Apps Could Let Hackers Launch Phishing Attacks https://t.co/kX61JMde1G
Bug in Alpine Linux Docker Image Leaves Root Account Unlocked https://t.co/VMsGfLVVuA
[Advisory] Unpatched URL Address Bar Spoofing Vulnerability in UC Browser 12.11.2.1184 and UC Browser Mini 12.10.1… https://t.co/ozDz0KUmXV
TALOS-2019-0777 || Sqlite3 Window Function Remote Code Execution Vulnerability https://t.co/6k8eXq16Wd
Vulnerable Apache Jenkins exploited in the wild https://t.co/ExY7NKbXlp @SANS_ISCから
Microsoft Pulls Office Update KB4462238 Due to Freezing Bug https://t.co/bP948kvLeI
「PHP」v7がセキュリティに関する問題を修正、「KeePass」v2.42、「Fedora」v30 ほか【ダイジェストニュース】 https://t.co/DZUE6rFnzY
Androidの2019年5月パッチが公開 ~最高深刻度は“Critical”/ファイルを開くだけで任意コードが実行できるメディアフレームワークの欠陥などを修正 https://t.co/dE1rJvk6oH
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007 https://t.co/0hQEBbT3uf
Cisco Elastic Services Controller REST API Authentication Bypass Vulnerability https://t.co/OUV6g8mXak
Vulnerability Spotlight: Multiple bugs in several Jenkins plugins https://t.co/hElBEef55u
Firefox 66.0.4 Released With Fix for Disabled Addons https://t.co/sKq89JQJKO
PrinterLogic Print Management Software Vulnerabilities https://t.co/NSV3wnCMJ7
インシデント関連
ウイルス対策企業が3社まとめてハッキングされ30TBのデータが流出、ハッカーは30万ドルで買い手を募集中 - GIGAZINE https://t.co/BHnp8RMb3G
Freedom Mobile leaked millions of card data with CVV codes in plain text https://t.co/JmOZ9ZcZuV
Baltimore city government computer network hit by ransomware attack https://t.co/ycNw46WRNO
Burger King's Online Store for Kids Exposes Customers’ Info https://t.co/U6xjMP7LIu
Baltimore City Shuts Down Most of Its Servers After Ransomware Attack https://t.co/GjcvZPVN6A
Scammers Try to Trick YouTubers Into Giving Up Password https://t.co/TLjkNZliV1
Over 275 Million Records Exposed by Unsecured MongoDB Database https://t.co/d0f8HKU8vT
Binance Security Breach Update https://t.co/Qyi9vP9vzW
U.S Indicts Chinese Hackers for Anthem Data Breach https://t.co/hIUE6tV9sN
Nine Individuals Connected to a Hacking Group Charged With Online Identity Theft and Other Related Charges | USAO-E… https://t.co/TwH9W0b4WF
Executive hacked competitor’s website to steal students meal preferences https://t.co/RcvvmbV0F0
Amazon was hit by an "extensive" fraud and unidentified hackers siphoned funds from merchant accounts over 6 months… https://t.co/ncK03mqkQ8
U.S. Charges Chinese Hacker For 2015 Anthem Data Breach https://t.co/v4lECOBANF
SilverTerrier – 2018 Nigerian Business Email Compromise https://t.co/FVTiAibWtn
偽SMS 日本郵便も…不正サイトに誘導 : 国内 : 読売新聞オンライン https://t.co/kYqjR4YPxZ
Ongoing Credit Card Data Leak https://t.co/wH3d16p6Kg
2019 Data Breach Investigations Report https://t.co/V27vVcwaby
Baltimore's Government Held Hostage by Ransomware Attack https://t.co/FCspe6vN64 @gizmodoから
Two Israelis arrested in global 'dark' Internet probe https://t.co/d1JAWi1d95
Ransomware Hits Local Texas and Maryland Authorities https://t.co/jrEdJwlaty
Popular Online Tutoring Marketplace 'Wyzant' Suffers Data Breach https://t.co/8B3nqrWk99 @TheHackersNewsから
[Digi Life]フィッシング詐欺が巧妙化 偽サイトに誘導 手口様々 : ライフ : 読売新聞オンライン https://t.co/bfmFvV53GF
New Extortion Email Scam Threatens to Release Your Sex Tape https://t.co/pR2pPLBhKK
ビジネス・政治
東京オリンピックの観戦チケット申込開始、現在10万人待ち待ち時間約50分【ニュース ―MdN Design Interactive edition―】 https://t.co/HEnPB6pQ4h
シスコと日立が共同開発したコンバージド インフラストラクチャ、Cisco and Hitachi Adaptive Solutions で、データセンターの近代化を加速 https://t.co/p0R3zNbKDh
ソフトバンクG「2号ファンドの設立準備」 孫会長表明: 日本経済新聞 https://t.co/6JN5kj09Nr
トヨタとパナソニック、住宅事業を統合: 日本経済新聞 https://t.co/roxVyIItnR
日立「マル情」が初の利益率10%超え、快挙は奇跡か必然か https://t.co/Y0FZiLE2dQ
外資規制の業種にIT関連追加 https://t.co/obUo80euCj @kobeshinbunから
三菱商事、千代田化工に1800億円支援 三菱UFJ銀と: 日本経済新聞 https://t.co/DQc8TQUWeC
JAL一時システム障害、32便欠航など影響 : 経済 : 読売新聞オンライン https://t.co/msQLWPOmir
スマホ部品 中国減速波及…需要先行きに悲観論も : 経済 : 読売新聞オンライン https://t.co/DtnZccKetC
ソフトバンクがヤフー子会社化 スマホ決済で連携強化: 日本経済新聞 https://t.co/5r6pNRyLlF
シャープ、5Gスマホのプロトタイプを公開 約3Gbpsの通信に成功 - ITmedia Mobile https://t.co/XcbhaCySpn
AIでコンテナ作業…港湾に導入へ 荷待ち渋滞解消狙う : 経済 : 読売新聞オンライン https://t.co/E3TDSdtNay
セブン&アイ、プラ製レジ袋ゼロへ 2030年めど: 日本経済新聞 https://t.co/UH3Glf9f0r
Amazon to Disable S3 Path-Style Access Used to Bypass Censorship https://t.co/ikWhhsbvKY
Removing More Coordinated Inauthentic Behavior From Russia | Facebook Newsroom https://t.co/CpzOsTaQ18
最後に
GW が明け、見事に社会復帰を果たしたのかなーなんて思っていますが、やっぱり夜更かしが残っちゃってる今日この頃です。 時差ボケだと思って、徐々に解消していきたいなと思っています。 あー海外行きたいな~ 1ヶ月以上もオフィスから外にでない仕事をするのはしんどいですね(笑) では、また来週。
今週のIT・サイバーニュースまとめ(20190428-20190505)
今週の記事まとめです。 GW 期間中は運動、芸術鑑賞、読書など、なんだか意識高い系な日々を過ごしております。 要は会う人もやるべきこともなく暇なんですが(笑) そんな一週間ですが、ニュースはあるのでご心配なく
今週の総括
・Magecart の活動の活発化
・SAP システムに対する攻撃に関して
・医療業界におけるサイバー攻撃
感想
Magecart の活動の活発化
攻撃者集団 Magecart は EC サイトに不正なスクリプトを埋め込み、ユーザの支払い情報等を窃取することで知られている。
今回、RisqIQ の調査により、Magecart に属する Group 12 が、CMS のひとつである OpenCart で作成されたサイトを標的に攻撃始めたことが明らかになった。
ちなみに、OpenCart はショッピングサイトのプラットホームとして、世界で 3番目に多く使われている。
今回の攻撃で特徴的なのは、攻撃の前に一度チェックアウトページへのアクセスを確認してからコードの埋め込みを試みる点である。
そして、リダイレクト先のドメインは、実際にあるサイトを模倣したものを用いる。(正規)https://bat[.]bing[.]com/bat.js
(偽)https://batbing[.]com/js/bat.min.js
また、トレンドマイクロの調査によると、PrismWeb という米国およびカナダのオンライン大学生協に不正なスクリプトを埋め込み、ユーザの情報窃取を行ったとのことです。
トレンドマイクロはこの攻撃を Mirrorthief によるものとしており、本攻撃グループは、スクリプトを Google Analytics に似せる手法を用いている。
この手法は、Group 11 が用いる手法と同じだとのことだ。
EC サイトの運営は大変だーなんて思う一方、Web サイトと EC サイトでは、重要度が違うのに作る人はほとんど同じで、かついわゆる、Web デザイナーみたいな人が多いっていう印象です。
となってくると、運用面含めて考えられる、いわゆる SE が必要になってくるわけですが、大手 SIer が人材抱え込んでいて。。
ただ、その SE が転職や独立でベンチャーに行って、今度はプログラミング能力の差や開発スピードのギャップについていけず、頭でっかちのお荷物になってしまうのも考えものですね。
IT が進んできた今だからこそ、マネジメント層には、より広い視野で人材の活用をしてほしいものですね。
(何様だよ感ですが(笑))
SAP システムに対する攻撃に関して
米国時間の5月2日に US-CERT より セキュリティの甘い SAP システムの攻撃が観測されているとのことで、注意喚起が出されました。
US-CERT がリリースを出す位なので、世の中に対するインパクトが考慮されてのことだと思っています。
手法としては、10KBLAZE というハッキングツールを用いたものと公表されていますが、前提として、述べられているのは、「SAP システムのセキュリティが甘いもの」とされています。
詳細は、US-CERT の注意喚起をみていただきたいですが、サーバがインターネット上に公開されているとか、 ACL の設定が甘いとかルータが初期設定のままだとか、まぁ、うん。といった感じの印象です。
医療業界におけるサイバー攻撃
GW の始めごろにセキュリティベンダーの MalwareBytes が公表した記事に関して。
内容は、医療業界もサイバー攻撃にあってますよー医療情報は特に重要度が高いから、対策はより一層必要ですよー。みたいな話なんですが、特に気になったのは、 Emotet の感染が Torojan マルウェア感染のうち、もっとも多くを占めていたという点です。
Emotet の感染方法というとフィッシングメールを通じて、感染を誘発するもので、ばらまきというよりかは標的型攻撃のように使われることが多い印象です。マルウェアは汎用物だけどもメールが割りとねって作られている点から。
となってくると、医療業界においても、サイバーセキュリティに関する知識の増強などが重要になって来るわけで。
ただ、知識の最高峰とも言えるお医者様の城に、いわゆるオタクみたいな IT 人材が知識を。。というのは嫌がられそう(笑) ここは仲良く仲良く。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
Decryptor for MegaLocker and NamPoHyu Virus Ransomware Released https://t.co/CrEtAbBxiD
Cryptojacking in the post-Coinhive era https://t.co/oJEUst7zFg
Qakbot levels up with new obfuscation techniques https://t.co/nUZraMbLfE
Magecart Group 12 Targets OpenCart Websites https://t.co/gq79tPo6A1
Mirrorthief Group Uses Magecart Skimming Attack to Hit Hundreds of Campus Online Stores in US and Canada - https://t.co/HHW7bhZs87
APT trends report Q1 2019 https://t.co/RJdjDag7D2
Buhtrap backdoor and ransomware distributed via major advertising platform | WeLiveSecurity https://t.co/unHoMfFjUK
Crooks Build Fake Hack Tools and Game Cheats for Profit https://t.co/CdZxuu9mUp
LockerGoga Ransomware Family Used in Targeted Attacks https://t.co/KdD3Nm8Jtl
I know what you did last summer, MuddyWater blending in the crowd https://t.co/a95T0BdIKh
Fake Windows PC Cleaner Drops AZORult Info-Stealing Trojan https://t.co/XTAmxctjJ4
脆弱性・アップデート関連
WebLogic Deserialization Remote Code Execution Vulnerability (CVE-2019-2725): What You Need To Know https://t.co/SmgeKdJK1M
Windows 10 1809 Cumulative Update KB4495667 Released With Fixes https://t.co/BeoelZhjkC
VU#169249: PrinterLogic Print Management Software fails to validate SSL certificates or the integrity of software u… https://t.co/GAopPu7Uh3
D-Link camera vulnerability allows attackers to tap into the video stream https://t.co/2VFFu9vPQc
Dell Computers Exposed to RCE Attacks by SupportAssist Flaws https://t.co/d7qYsQkJ28
Cisco Releases Security Updates https://t.co/UFtyXiaj6r
Over Dozen Popular Email Clients Found Vulnerable to Signature Spoofing Attacks https://t.co/zFMbi1g1oZ
Sophos UTM 9.602 Released That Fixes 3 Vulnerabilities https://t.co/5UYtTSqt6y
Sodinokibi ransomware exploits WebLogic Server vulnerability https://t.co/Xf55QEasbs
Stable Channel Update for Desktop https://t.co/bAz62zPJZf
Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起 https://t.co/ylUe5IPXS7
インシデント関連
Attackers Wiping GitHub and GitLab Repos, Leave Ransom Notes https://t.co/NpMHrj1Ips
Europol Shuts Down Two Major Illegal 'Dark Web' Trading Platforms https://t.co/Ta56e4XPEn
Microsoft Azure 世界規模の大規模障害「DNSがおかしい、公式にクソリプで激怒」5/3 - NAVER まとめ https://t.co/WYndMz46yn
New Google Chrome mobile phishing scam can steal private data https://t.co/agkL00Ilod
AA19-122A: New Exploits for Unsecure SAP Systems https://t.co/kVONh6QJQA
Citrix Confirms Hackers Stole Sensitive Employee Personal Information https://t.co/r5pMh7lGxF
.acドメインの審査不備問題についてまとめてみた https://t.co/7hiDxogqZO
Sophisticated threats plague ailing healthcare industry https://t.co/caOHsShqP9
New Phishing Campaign From 'FBI Director Wray' is Hysterical https://t.co/6zx06VlPWg
Email hackers steal $1.75 million from St. Ambrose Catholic Parish in Brunswick https://t.co/f0lvLGKHQ5
Report: Unknown Data Breach Exposes 80 Million US Households https://t.co/iATA7cj5tl
Electrum DDoS botnet reaches 152,000 infected hosts https://t.co/3Gmu6lSYUc @Malwarebytesから
Info-stealing malware pounces on Puma Australia's webstore https://t.co/5i4kMXCftE
TVerの改ざんについてまとめてみた https://t.co/DrZ5fQzXSy
Tech Support Scam Employs New Trick by Using Iframe to Freeze Browsers https://t.co/Ss6qjdxFeM
Romance Fraud is a Top Cybercrime, the FBI Says https://t.co/R1Ge1cuQ2g
Docker Hubの不正アクセスについてまとめてみた https://t.co/Vt8I3VUm7L
Hacker Can Kill Car Engines Around the World | Avast Hacker Can Kill Car Engines Around the World | Avast https://t.co/5Ghp2kU2Y5
最後に
GW 終わってしまいますね。色々な人の SNS などを久しぶりにだーっとみていますが、皆さん充実しているようで、やっぱり休みは大事だなと思っています。 ところで、私は休み中、「天才を殺す凡人」という本を読んだんですが、中々に悩ませられています。自分はどれになるんだろう、どうすればもっとみんなが楽しく仕事できるんだろうみたいな(笑) 共感の神っていいなーなんて。
【速報】OpenPGP と SMIME の脆弱性に関するレポートとサーバの脆弱性を狙った新たな攻撃について
タイトルが早速長いですが、気になった記事があったので、小出しですが、共有します。
あっ、ついに令和の時代になりましたね。天皇陛下の言葉の中で、「そして世界の平和を切に希望します。」を結びに選んだ点が印象的でした。
さて、今回のトピックは2つです。
OpenPGP と S/MIME 署名の脆弱性を悪用したなりすましについて
本件は、ドイツのルール大学ボーフムとミュンスター大学が共著で公開した以下のレポートに基づくものです。
https://github.com/RUB-NDS/Johnny-You-Are-Fired/raw/master/paper/johnny-fired.pdf
レポートでは Bob と Alice がやり取りしているメールに対し、攻撃者の Eve が Alice になりすましたメールを送るロールプレイを通して、5つの攻撃手法を紹介しています。
とはいえ、レポート自体すごく長いので、まずは、中段の影響を受けうるソフトウェアを確認するのがいいかと思います。(単純に僕自身の英語力の問題はありますが(笑))
影響するソフトはおおよそ以下の通りですが、詳しくはレポートを読んでください。
Thunderbird、Microsoft Outlook、Apple Mail、KMail、Evolution、MailMate、Airmail、K-9 Mail、Roundcube、Mailpile.
もちろん、上記ソフトに加え、何のプラグインを使って署名をしているかの組み合わせも影響するので、その辺りの確認も忘れずに。
そういえば、昨年もこんなのあったなーっと思い、一応転載。
WebLogic Server の脆弱性の悪用と、そこで使われた新たなランサムウェア Sodinokibi について
本件、先週末のブログでも公開しましたが、WebLogic Server の脆弱性(CVE-2019-2725)を悪用した実証コードが公開されていました。 その後、JPCERT/CC と IPA からも注意喚起が発行されて、国内に広く呼び掛けられました。
そして、本日(現地時間では昨日)Talos のブログでランサムウェア Sodinokibi 感染についての観測記事が公開されました。
WebLogic Server に感染したサーバは、攻撃者の用意した C2 サーバよりランサムウェア Sodinokibi をダウンロードしてきます。
ちなみに、この C2 サーバにはいくつかのドメインが紐付いていて、フィッシングサイトに使われているものもあるようです。
なお、 Sodinokibi のダウンロードはPowershell で行われ、certutil を使って検出回避を行うような手法も使っています。
ちなみに、今回観測した攻撃に関して、 Sodinokibi を感染させたあとの攻撃では、 GandCrab の配布を観測しているとのことです。
にしても、Sodinokibi の詳しい情報があまりないもので。。 4 日前にロシア語の記事があるのですがそれが一番古いのかな。 今後の動きに注目ですかね。(あんまり流行らないんじゃないかなー)
最後に
GW ですが、海外ニュースの量はあまり変わらず、ベンダも積極的にレポートだしますね。 海外は GW 関係ないですからね(笑) ちなみに、年末年始はめちゃくちゃ量減るので、これはこれで珍しいのかな。ではでは。
今週のIT・サイバーニュースまとめ(20190421-20190427)
今週の記事まとめです。 先週と打って変わって、話題の多い一週間でした。 その理由の予測含め、感想に書いてみましたが、 感想の内訳としては、2つに分けてみました。 それぞれ、色々なソースから情報を引っ張ってきているので、大変だとは思いますが、なにか気付きがあれば耳打ちお願いします。
今週の総括
・マルウェアの開発が加速
感想
Web サイトの脆弱性を狙ったマルウェア感染
今週出た脆弱性のうち、Web サイトで使われるようなソフトウェアの脆弱性はこの辺りかと思っていますが、いかんせん、多くの脆弱性が出た"ような気が"しました。
というのも、下のサマリをみていただくとわかりますが、過去の脆弱性を含め、脆弱性の実証コード(PoCコード)が公開されている点です。
加えて、Docker Hub や Google Site、Magento、Elastic Search などの管理不備が原因で情報流出が明らかになるケースと、なんといっても、別記事で記載の通り、Confluence の脆弱性をついた攻撃が脆弱性の公表から一週間足らずで、多々観測されていることが、印象的です。
私自身もサイトの運営をしたりしていますが、運用の負荷をなるべく下げたいので、雑になってしまうことが多いんですよね。 組織だからしっかりしていると思いたいところですが、知識の不足や組織自体の IT への投資の理解がこういったインシデントに繋げてしまうような気がしています。
マルウェアの開発が加速
Emotet の新たな通信手法、WannaCry で感染拡大手法として用いられた EternalBlue で感染を広げる仮想通貨マイナー Beapy 、Ransomware としてちょこちょこ名前が上がり始めている Robbinhood など、様々なマルウェアに関する情報がよく出たなと思っています。 他にもバンキングトロジャン、スティーラーなどなど色々なマルウェアが公表されていてとても気になっていますが、正直追い付いていないです。
んでもって、ここで気にしておきたいのが、各種セキュリティベンダのビジネス的側面。 なんとなく、このあたりのブログ記事が多いことと、今週のベンダレポートが多いことは、各ベンダが実は決算期立ったりするんじゃないかなーと思っており、今期の業績にかかるから一気に情報出しているんじゃないかーなんて(笑)
各レポートのマルウェア情報を収集して、そのcompile time や submittion time とかみてみると、ほんとに攻撃があるから記事を書いているのか、そうでないかがわかるかな。。
GW 明け、知り合いの人たちに事情聞いてみますか。。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多いので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
A Closer Look at the RobbinHood Ransomware https://t.co/SUAZyCedrx
‘BabyShark’ Targets Cryptocurrency Industry https://t.co/oLPZ7aHilm
AESDDoS Botnet Malware Exploits CVE-2019-3396 to Perform Remote Code Execution, DDoS Attacks, and Cryptocurrency Mi… https://t.co/fE3vCIN0gr
Beapy: 中国の企業を襲うクリプトジャッキングワーム https://t.co/XPw4rntWLC
EternalBlue Exploit Serves Beapy Cryptojacking Campaign https://t.co/BHOOFKb1No
JasperLoader Emerges, Targets Italy with Gootkit Banking Trojan https://t.co/dEbmKwJwI0
Emotet Adds New Evasion Technique and Uses Connected Devices as Proxy C&C Servers https://t.co/oejJwu1jfP
Threat Actor TA505 Targets Financial Enterprises Using LOLBins and a New Backdoor Malware https://t.co/TIPgKeCYZW
GandCrab attackers exploit recently patched Confluence vulnerability https://t.co/j71toBKoeZ
Deobfuscating APT32 Flow Graphs with Cutter and Radare2 - Check Point Research https://t.co/4FhUuJOdKs
Operation ShadowHammer: a high-profile supply chain attack: https://t.co/XxDYxOAWUp
FINTEAM: Trojanized TeamViewer Against Government Targets - Check Point Research https://t.co/KnoTPQfSCJ
Analyzing C/C++ Runtime Library Code Tampering in Software Supply Chain Attacks https://t.co/0izOfZ93Aq
脆弱性
Oracle Security Alert CVE-2019-2725 https://t.co/zGzHNKz1RE
Our Proactive Monitoring Caught an Arbitrary File Upload Vulnerability in WooCommerce Checkout Manager – Plugin Vul… https://t.co/mXIjiZ1gZy
'Highly Critical' Unpatched Zero-Day Flaw Discovered In Oracle WebLogic https://t.co/hmLUfI96vK
「Windows 10 May 2019 Update」のアップデートに不具合、一部環境で配信が停止 - 窓の杜 https://t.co/Vgk8aI76ET
Slow boot times and performance after installing Microsoft Windows April 2019 updates on a system with Endpoint Sec… https://t.co/03mP00Ssez
注意喚起: Isc Bind 9 に対する複数の脆弱性に関する注意喚起 (公開) https://t.co/CGBuz5cZqR
(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について(CVE-2018-5743) https://t.co/oCTMNdaqCw
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467) https://t.co/puqVJwIiJF
Uncovering CVE-2019-0232: A Remote Code Execution Vulnerability in Apache Tomcat https://t.co/1GiGQK9vps
Exploits in the Wild for WordPress Social Warfare Plugin CVE-2019-9978 https://t.co/Eu2m9yYydF
Stable Channel Update for Desktop https://t.co/4hSFWpBVaH
DarkMatter - Smart and Safe Digital | https://t.co/oD5r0CGgrc
Epic Bug Lets Anyone Unlock the Nokia 9 With a Pack of Gum https://t.co/OY5aELOyI1
インシデント関連
Hacked Docker Hub Database Exposed Sensitive Data of 190K Users https://t.co/eYKvxQNuED
GitHub hosted Magecart skimmer used against hundreds of e-commerce sites https://t.co/xNy7BOmq67
Takedowns and Adventures in Deceptive Affiliate Marketing https://t.co/GlHurS7EUh
The Economy of Credential Stuffing Attacks https://t.co/3pXpWdM6b8
Atlanta Hawks Online Shop Hit with Credit Card Stealing Attack https://t.co/XPuqHviskt
BEC fraud losses almost doubled last year https://t.co/qUdesdagoj
Threat actors abuse GitHub service to host a variety of phishing kits https://t.co/CM1XnvlvjN
A hotspot finder app exposed 2 million Wi-Fi network passwords | TechCrunch https://t.co/qoSmNx4GxV
宅配偽装Smsによるスマートフォンへの攻撃でまた新たな手口 https://t.co/7EGv9tEVwQ
A Malicious Sight in Google Sites @Netskope https://t.co/AdRVjrIiZT
Malware Hosted in Google Sites Sends Data to MySQL Server https://t.co/tiv94shpan
カードの有効性確認を悪用した情報流出についてまとめてみた https://t.co/vtUhj43erP
DNSpionage brings out the Karkoff https://t.co/2c584zVFAx
Medical Information of Almost 150K Rehab Patients Exposed https://t.co/akqgdoFeTB
海外のIt大手などを狙ったフィッシング活動についてまとめてみた https://t.co/rrJVniYlDd
Security Breach, All Customer Passwords Reset https://t.co/9J8ZHSFkvB https://t.co/b9D6wwDtD4
悪夢、ついに…カーシェア車両、ハッキングで100台以上盗難 ダイムラーとBMWの「Share Now」 – 自動運転ラボ https://t.co/IQ0TayeYLJ
Android Antivirus Tests Show You Shouldn’t Rely on Google Play Protect https://t.co/feAZCBnAsO
ビジネス・政治・レポート
ネット閲覧や購買のデータ 企業に利用停止義務…政府検討 : 経済 : 読売新聞オンライン https://t.co/jd91lIrBo2
この大型連休前後に法人で注意すべき標的型攻撃の特徴を解説 https://t.co/uySAYQgJnv
Congress Asks Google 10 Questions On Its Location Tracking Database https://t.co/Vq3BsswTk6
2019年3月 マルウェアレポート https://t.co/Ze61AFxqLy
Labs Cybercrime Tactics and Techniques report finds businesses hit with 235 percent more threats in Q1 https://t.co/8GOZkT8X5n
A look inside the FBI’s 2018 IC3 online crime report https://t.co/kpr4NQ2nR2
食品5社の共同物流会社が始動 共同配送など加速: 日本経済新聞 https://t.co/SByWopOunD
NTTと吉本興業、教育動画配信で新会社 世界展開も: 日本経済新聞 https://t.co/l1mwazT8Fx
トヨタ、中国に研究拠点を設立へ 清華大と連携:朝日新聞デジタル https://t.co/caqZUgUhTO
「世界に打って出る」日立、給与を変えないと無理だった https://t.co/qJhWdHV4wZ
[外国人材@日本]専門職 即戦力に期待…大手企業アンケート : 経済 : 読売新聞オンライン https://t.co/Nq4KIBCuzi
UK Considers Huawei for 5G | Avast https://t.co/BTvysc4LuL
日立製作所、日立化成を売却へ グループ再編仕上げ: 日本経済新聞 https://t.co/V0NQUoXbHU
ソフトバンク、空飛ぶ基地局でアルファベット子会社に投資 | Article [AMP] | Reuters https://t.co/FGwOXXsq9p
ヤフー、社名を「Zホールディングス」に 10月1日: 日本経済新聞 https://t.co/sSaeLOWQGR
MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版 https://t.co/YtwOnvXk68
Over 23 million breached accounts used ‘123456’ as password https://t.co/hpl4bwXtS0
最後に
収集している情報のサマリを週末にまとめているわけですが、Twitter API で楽になったとはいえ、もうちょっと工夫したいな~ 登録時に、ハッシュタグはめんどくさいし、なにかいい方法ないですかね。。 あとは分類分けが地味に負担なので、そこも考えたいですね。
ではでは、平成最後のブログ記事(予定)でした!
Confluence Server の脆弱性を利用した攻撃が流行っている件
結構、技術的な記事ですが、実際に検証は出来ていないので、何か気付きがあったら教えて下さい。 (ホントは時間があればやりたい!とか言いつつ、プライベートな時間を使ってまでやる気がないゆとり世代です(笑))
最近気になったこの記事
私が気になったのは、まさにランサムウェア GandCrab がまた攻撃に使われたというところでした。
2019年に入ってから、日本を対象にランサムウェア GandCrab を配信するような、ばらまきメールが流行っており、トレンドマイクロをはじめとしたセキュリティベンダなどからも記事が公開されています。
1月の後半からは件名が、Satoshi Tsumabuki!だったり、Sheena Ringo だったり、芸能人の名前を使い始めたのも特徴ですね。
ところで、GandCrab って何?って方のために、少し補足します。
GandCrab 概要
2018年1月から、確認され始め、日本では、2019年より広く確認され始める
開発のスピードが非常に早く、復号ツールが出ても、翌日には修正されるレベル →バグ修正能力が高い(笑)
2018年7月リリースのv4からは、WannaCry の感染拡大をもたらした、NSAのツール Eternal Blue を使い始め、SMB の脆弱性を使った感染拡大能力を身に着けた
こんなところですかね。
印象としては、2019になってから、バージョンアップの頻度が鈍化している印象で、
現在(本記事執筆時点)では2019年2月リリースのv5.2が最新?だと思っています。
さて、実はここからが本題ですが、これまでは、メールのばらまきで感染を誘導する手法でしたが、ソフトウェアの脆弱性を突く攻撃でも使われるようになってしまいました。
それが今回の Confluence Server の脆弱性(CVE-2019-3396)です。
この、Confluence Server の脆弱性については、JPCERT/CC も4月17日に注意喚起を出していました。
厳密には、Confluence Server および Confluence Data Center が対象だとのことですが、詳細は、Atlassian 社の情報を参照してください。
JPCERT/CC の注意喚起にもある通り、攻撃の実証(POC)コードも公開され、国内での被害もあったとのことで、GandCrab に関わらず、注意が必要になってます。
脆弱性の概要
- 実証コードは以下。あくまで概念の理解にご活用ください
FriendFeedRenderer クラスの getEmbeddedHtml 関数が当該箇所。_template パラメーターに任意のパスのファイルを指定すると、当該ファイルが外部から置けてしまう
つまり、ポイントは最後のところで、何でも置けちゃうんですよ!外部から!(笑)
ということで。
出ちゃってますね。 DDoS ボットネット、コインマイナー。
それぞれの感染マルウェアについては、所々の記事をみていただくとよく分かると思うんですが、まぁ話題だったのと、世の中のことを知っておきたかったんで書いてみました。
誰かの役に立ってもらえると何よりです。ではでは。
みなさん、よいGW、そして、令和の始まりを。
今週のIT・サイバーニュースまとめ(20190414-20190420)
今週の記事まとめです。 今週は、こう言ってしまうとよくないですが、少々しょぼ目な一週間でした。 ただ、やたらと、SNS系に保存される個人情報の管理に関して苦言を呈する系の記事が多かったようにも感じます。 このあたりのビジネスと絡めつつ、勘所がわかるとより、先のビジネスを見れるのかな、なんて思っていますが。。。 まだまだ勉強ですね。
今週の総括
・ GAFAなど情報漏洩、フィッシング系(google,facebook,instagram,linkedin,microsoft)
・米国のテレビ番組 The Weather Channel がランサムウェア感染により放送遅延
感想
GAFAなど情報漏洩、フィッシング系(google,facebook,instagram,linkedin,microsoft)
6000万件のLinkedInのプロフィールデータが公開
6億人の facebook 社が保持するパスワードが平文で保存されていた問題について、Instagram ユーザーのパスワードについても 数百万件程度影響を受けることが発覚
Instagram messager で「あなたの写真が公開されてるからクリック!」といったメッセージが到着。アクセスすると Instagram アカウントのフィッシングサイトに誘導される攻撃が観測
Facebook が150万人分のメール情報を意図せず収集してたとのこと。アカウントの登録時の確認作業に伴って集まっていたとのこと
米国の警察が google の支援を受けて犯罪捜査に位置情報を活用しているとのこと
マイクロソフトが提供するOutlook, MSN, HotmailのEメールアカウントが攻撃グループの不正アクセスによって、影響を受ける(影響数不明)
SNSのアカウント情報等々の漏洩話題が多い一週間でした。 先週も少し述べましたが、このあたりの情報は、従業員を抱える全ての企業が影響すると言っても過言ではないと思ってます。 企業内のセキュリティ担当者は定期的にウォッチしつつ、社内の情報整備をすることも重要になってくるかもしれません。
スマートプラグの脆弱性を狙ったマルウェア
米国の周辺機器機器メーカー Belkin社の提供する WeMo スマートプラグの脆弱性を狙った攻撃の観測を McAfee が公表しました。 これまでも、家庭用ルータ経由の IoT 機器を狙った攻撃は観測されています。 今回の攻撃も IoT デバイスの脆弱性を狙い、外部からスキャンなどで機器を探索。ルータの UPnP 機能経由して、攻撃といったストーリーになるかと思います。 もちろん、ルータ内の機器がひとつ侵害されればルータに繋がる他の機器、スマートTVやスマートスピーカーなども影響を受けます。 その対象範囲の広さを考えると、今後もこういった報告は増えるかと思います。
米国のテレビ番組 The Weather Channel がランサムウェア感染により放送遅延
ランサムウェアの感染により同局の放送網に影響を及ぼしたようで、1時間30分以上、放送に遅れが生じたようです。 ランサムウェアの種類や感染の経緯はあきらかになっていません。 ただ、Wannacryから2年、Gandcrabの登場から1年以上経ち、種類も手法も多様化した今、ネットワーク分離等の対策はもちろん、有事の際の“避難訓練”の実施も求められるかもしれないですね。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多いので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
DLL Cryptomix Ransomware Variant Installed Via Remote Desktop https://t.co/m3e61fZ7WX
MisterCh0c: APT34 / OILRIG Leak, Quick Analysis https://t.co/5f2gWkHvt2—
'NamPoHyu Virus' Ransomware Targets Remote Samba Servers https://t.co/E3VohzGNpZ
Pirates of Brazil: Integrating the Strengths of Russian and Chinese Hacking Communities https://t.co/BUq2hZ3SAV
Inside Scranos – A Cross Platform, Rootkit-Enabled Spyware Operation – Bitdefender Labs https://t.co/DIRGWLHtth
New HawkEye Reborn Variant Emerges Following Ownership Change https://t.co/G7x6ECyxjz
RobbinHood Ransomware Claims It's Protecting Your Privacy https://t.co/TLIaKjhup7
PreAMo – A Clicker Campaign found on Google Play - Check Point Research https://t.co/fNCd88xJ9g
“Funky malware format” found in Ocean Lotus sample https://t.co/WgaG4OtfyU
脆弱性
IoT Zero-Days – Is Belkin WeMo Smart Plug the Next Malware Target? https://t.co/x0T5RRnAdz
Cisco Releases Security Updates Cisco Releases Security Updates https://t.co/TSv9Zclana
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004 https://t.co/T30P5KkaB0
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-006 https://t.co/xQAjQcPt1u
Drupal core - Moderately critical - Multiple Vulnerabilities - SA-CORE-2019-005 https://t.co/vPzyocbvQv
Evernote Fixes Remote Code Execution Vulnerability in macOS App https://t.co/kpwLPnn02E
注意喚起: Confluence Server および Confluence Data Center における複数の脆弱性に関する注意喚起 (公開) https://t.co/UcL59I0sHN
WordPressプラグインを狙う攻撃が活発化している件をまとめてみた https://t.co/D61I2HaZbX
Massive eGobbler Malvertising Campaign Leverages Chrome Vulnerability To Target iOS Users by Eliya Stein https://t.co/BZMa13arjV
Oracle Critical Patch Update - April 2019 https://t.co/0qvUIzZaLd
2019年4月の Windows Update メモ (4月12日更新) https://t.co/uTgx63E38s
Sophos Central Endpoint and SEC: Microsoft Windows の 2019年 4月 9日のアップデート後にコンピュータが起動に失敗またはハング状態になる https://t.co/amyfWN7P1G
2019年4月パッチを適用したWindows 7/8.1が応答不能に ~一部セキュリティ製品と非互換問題/Sophos、Avira、AVGに影響。Avastでは緊急アップデートが実施される https://t.co/gcncLxfWcy
New zero-day vulnerability CVE-2019-0859 in win32k.sys: https://t.co/n97qYmzYoF
Apache Releases Security Updates for Apache Tomcat https://t.co/q1R3pQiJHX
Zero-day XML External Entity (XXE) Injection Vulnerability in Internet Explorer Can Let Attackers Steal Files, Syst… https://t.co/P2HHXlO21n
Hacker Breaks Into French Government's New Secure Messaging App https://t.co/vRNbbCWj7n
インシデント関連
A Ransomware Attack Knocked The Weather Channel Off The Air via @forbes https://t.co/sii2KV08I1
Ransomware attack knocks Weather Channel off the Air https://t.co/Zs8D2aTlGs
Unsecured Databases Leak 60 Million Records of Scraped LinkedIn Data https://t.co/OcW0PnI7gb
Facebook Stored Millions of Instagram Users' Passwords in Plaintext https://t.co/b79ZDB6qj8
The HotList is The Latest Instagram Phishing Scam Attack https://t.co/uuHQD5zqFs
Facebook says it ‘unintentionally uploaded’ 1.5 million people’s email contacts without their consent https://t.co/Xad8Yn1vQ5
DNS Hijacking Abuses Trust In Core Internet Service https://t.co/AQLurRI1uG
Researcher Hijacks a Microsoft Service Using Loophole in Azure Cloud Platform https://t.co/fWGMg6pKm0
Over 100 Million JustDial Users' Personal Data Found Exposed On the Internet https://t.co/aIHNTK7osq
2019 PTI Report Download: The Evolving Threat https://t.co/CNzV45uuNa
Potential Targeted Attack Uses AutoHotkey and Malicious Script Embedded in Excel File to Avoid Detection - https://t.co/Rgj2i7hEIY
Spear Phishing Campaign Targets Ukraine Government and Military; Infrastructure Reveals Potential Link to So-Called… https://t.co/fuflMf30sc
Google Helps Police Identify Devices Close to Crime Scenes Using Location Data https://t.co/6oTg3Uop4q
Account With Admin Privileges Abused to Install BitPaymer Ransomware via PsExec https://t.co/eAw9ukGWTs
Microsoft reveals breach affecting webmail users https://t.co/adu09xIzhg
HIPAA-Protected Malware? Exploiting DICOM Flaw to Embed Malware in CT/MRI Imagery https://t.co/wbsPyxEt4M
Ellen DeGeneres giveaway scam spreading on social media https://t.co/BKZilHhFDD
MSHTML Engine RCE on any Windows version since at least XP up to 10 && Server 2019 https://t.co/bWS…
Social Underground: Kids Using Google Docs as New Digital Hangout Social Underground: Kids Using Google Docs as New… https://t.co/xnPa77pLhB
ビジネス・政治
ガシャポン自販機でSuicaが使える バンダイが「スマートガシャポン」を導入 - ITmedia Mobile https://t.co/ckfadkfhdF
インフラ機密 指針改定…政府方針 データ国内で保管 : 政治 : 読売新聞オンライン https://t.co/J5ZNQMp8O8
ネット使いやすく…トヨタ新型「ハイランダー」披露 : 経済 : 読売新聞オンライン https://t.co/ZTOkmKZMQg
アマゾン中国撤退へ「出店者にサイト閉鎖通知」 : 経済 : 読売新聞オンライン https://t.co/Vwp7sYTAxB
鴻海会長、台湾総統選出馬を表明 「台湾のトランプ」目指す? - 毎日新聞 https://t.co/B8RnVEkhR5
デジタル貿易のルール要求=対立少なく成果優先-米:時事ドットコム https://t.co/kv2kwzBk2y
AIで融資の審査 中小企業向け、みずほが大手行初:朝日新聞デジタル https://t.co/C2FdBH7LeN
タクシー会社、広告目的で乗客撮影…事前説明なし : 経済 : 読売新聞オンライン https://t.co/zRDKnk793q
インフラ防御、情報盗む機器排除…欧米の対応調査へ : 政治 : 読売新聞オンライン https://t.co/AOog6crZmu
契約条件を一方的変更…巨大IT、不透明慣行 : 経済 : 読売新聞オンライン https://t.co/6PuIe3oHmd
Belgian cybersecurity agency finds no threat from Huawei https://t.co/IjzVXI2vbD
米中サイバー戦略 中枢の無力化狙う : トピックス : 読売新聞オンライン https://t.co/5KMEsNqh25
パリのノートルダム大聖堂で火災…世界文化遺産 : 国際 : 読売新聞オンライン https://t.co/5mcKa9x3Fd
多くのホテルの予約システムに情報漏えいリスク、調査で明らかに - ZDNet Japan https://t.co/X1Blai5432
Spokesman for hacker group Anonymous arrested in Texas https://t.co/ErhHCo9Hx9
最後に
2年前から使っていた Xperia XZ 。FeliCa の反応が鈍り気になってはいたんですが、遂にカメラが動かなくなり、、、買い換えました。 アプリのもろもろも重かったし、ちょうどいいかなと思っております。 快適なスマホ生活を楽しみに今週も始まります!
今週のIT・サイバーニュースまとめ(20190407-20190413)
今週の記事まとめです。 今週はWPA3の脆弱性やVPNアプリケーションの脆弱性などが広く話題になりましたね。 あとは、OceanLotus や Taj Mahal などの攻撃キャンペーンの話など攻撃グループに関する話題も目立ちました。
今週の総括
感想
主要ソフトウェア脆弱性アップデート祭り
今週は、多くのソフトウェアで、脆弱性の修正パッチやアップデートの配布が行われました。 MSの月次アップデートもそうですが、adobeやVMware、juniper や intel など、企業のセキュリティ担当者が気にすべき脆弱性情報のリリースが多かった印象です。
加えて、PHP の脆弱性や WordPress plugin の脆弱性も公表されていたので、Web 製作関連企業の方も要チェックだったと思います。
WPA3脆弱性、VPNアプリケーション脆弱性について
WPA3脆弱性
2017年のWPA2 の脆弱性 KRACKs を受け、WPA3 の策定が進んできましたが、(その認識ですが) その WPA3 すでに脆弱性が見つかりました(笑) ちなみに発見者は前回の KRACKs と一緒です。
日本語の記事だと、以下のような記事で情報展開がされていますが、ちょっと微妙な書きっぷりですね。。。 前回も変に煽る風潮があったので気を付けたいところ。
https://japan.cnet.com/article/35135668/
https://www.itmedia.co.jp/enterprise/spv/1904/12/news077.html
おそらく、近いうちに JVN あたりからも情報がでると思うので、日本語記事をお待ちの方はそちらを待った方が懸命でしょう。それか、発見者のレポート本体を読むか。
いずれにせよ、この脆弱性も同一のWi-fiネットワークにある機器のみが被害を受けるとのことなので、基本的には、ネットワーク側の対策等で遠隔からの攻撃は防げる見込みです。 成立する場合は、他の脆弱性なりセキュリティの欠陥を組み合わせるので、WPA3 の脆弱性とはまた別の要素になりそうですね。
VPNアプリケーション脆弱性
対象となるVPN アプリケーションの提供ベンダは以下で、いずれも企業向け製品が対象とのことです。
- Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks
日本語の記事だと以下が分かりやすいです。
https://jvn.jp/vu/JVNVU97651416/index.html
https://jp.techcrunch.com/2019/04/14/2019-04-12-enterprise-security-flaws/
ちなみに、私の情報収集では、一次情報を収集することを目的としているため、上記のような日本語記事は掲載していないことが多く、予めご了承ください。
ちなみに、現時点(2019/4/14正午)では、PaloAlto 社のみがパッチを公開しているので、他の製品については引き続き各ベンダの情報をご確認下さい。
OceanLotusについて
こちらは、先週のブログでもご紹介しましたが、東南アジアの国々を狙った攻撃グループ OceanLotus (別名 apt32,cobalt kittyなど)の活動について、トレンドマイクロやESETなどのセキュリティベンダがブログ記事等をリリースしていました。
こういった兆候は、実際に攻撃が活発化している、もしくは国家レベルでの調査の動きが加速しているなどが推測されるため、要チェックだとの見解です。
日本での攻撃は、私の知る限りでは観測されていませんが、東南アジアに支店を持つ企業や大使館など各国のブランチになりうる日本国内の機関が狙われることは想像に固くないので、今回の攻撃の手法等を理解しつつ、対策の推進を推奨します。
以下、前回のまとめ記事になるので、ご参考にどうぞ。
一週間の記事まとめ
マルウェア・攻撃グループ
マルウェアURLZoneの解析 - Ayumu's I/O https://t.co/YxcBcH5MKg https://t.co/rOfE6dEkCS
The Muddy Waters of APT Attacks - Check Point Research https://t.co/F4fJAiT8JR
AR19-100A: MAR-10135536-8 – North Korean Trojan: HOPLIGHT https://t.co/sWFfFwJ2MT
Analysis of a targeted attack exploiting the WinRar CVE-2018-20250 vulnerability - Microsoft Security https://t.co/bOqMsWAg7t
Gaza Cybergang Group1, operation SneakyPastes https://t.co/jMl3dWZSKw
Another Taj Mahal (between Tokyo and Yokohama) @kaspersky https://t.co/0eTk1Y0cwb
Say hello to Baldr, a new stealer on the market https://t.co/5rRLZFvDMM
New MacOS Backdoor Linked to OceanLotus Found - https://t.co/zMSgkfAPuu
OceanLotus: macOS malware update https://t.co/kccOTwRiil
脆弱性
VU#192371: Multiple VPN applications insecurely store session cookies https://t.co/Cvb5buSK8h
Yuzo Related Posts Zero-Day Vulnerability Exploited in the Wild https://t.co/nfJHelfbm0
WPA3でのSAE(Dragonfly) Handshakeの脆弱性(Dragonblood) と脆弱性情報(CVE-2019-9494, CVE-2019-9495, CVE-2019-9496, CVE-2019-9497,… https://t.co/fGzD15mTYl
Juniper Networks Releases Multiple Security Updates https://t.co/aVxtvIovg7
JVN: スマートフォンアプリ「MyCar Controls」において管理者の認証情報がハードコードされている問題 https://t.co/9rVAj2Ho8j
DACL Permissions Overwrite Privilege Escalation (CVE-2019-0841) https://t.co/VpLtRPtrX3
Intel Releases Security Updates, Mitigations for Multiple Products https://t.co/GyH5zkBljo
Security updates available for ColdFusion | APSB19-14 https://t.co/iamiIRWkKw
Security updates available for Adobe Acrobat and Reader | APSB19-17 https://t.co/JbnxxMnpZa
Updates available for Adobe Flash Player | APSB19-19 https://t.co/I9TMjZ9hw0
2019 年 4 月のセキュリティ更新プログラム https://t.co/k5zooJsC9I
Verizon Fios Quantum Gateway Routers Patched for Multiple Vulnerabilities https://t.co/SRyRYUkfhW
Samba Releases Security Updates https://t.co/2TiKDfvErl
「PHP」v7.1.28、セキュリティに関する問題を修正 ほか - ダイジェストニュース - 窓の杜 https://t.co/xruOnXTAl1
VMware Security Advisories VMSA-2019-0006 https://t.co/LW0pyTSfZH
Zero-Day Vulnerability in Yellow Pencil Visual Theme Customizer Exploited in the Wild https://t.co/Ng4gTQUJwu @wordfenceより
Windows is Slower After April 2019 Updates According to Users https://t.co/DdFCwyAWqO
インシデント関連
Miner Malware Spreads Beyond China, Uses Multiple Propagation Methods Including EternalBlue, Powershell Abuse https://t.co/gZY3xxv1jm
Hackers crack university defenses in just two hours https://t.co/YIPX4koOMa
Fake Instagram assistance apps found on Google Play are stealing passwords https://t.co/bU0ysOpmfe
Malware Creates Cryptominer Botnet Using EternalBlue and Mimikatz https://t.co/N144CDniOa
Hacked Uniden Commercial Site Serves Emotet Trojan https://t.co/3v41oUswuf
Sextortion profits decline despite higher volume, new techniques https://t.co/vSEtjkNYmH
VSDC Site Hacked Again to Spread Password Stealing Malware https://t.co/gQxAVxr5jK
New Extortion Email Threatens to Install WannaCry and DDoS Your Network https://t.co/yjyEJdbJtM
Two in Three Hotel Websites Leak Guest Booking Details and Allow Access to Personal Data https://t.co/0VTHhKh2qK
New Research Reveals that One Quarter of Phishing Emails Bypass Office 365 Security https://t.co/m57kYVFpf2
The Los Angeles Department of Transportation’s Ride Tracking Pilot is Out of Control https://t.co/C3OOqyxCc8
Credential Dumping Campaign Hits Multinational Corporations https://t.co/g119GD3dTP
Gustuff banking botnet targets Australia https://t.co/qaEr9ss2ND
Distributor of the Reveton Police Ransomware Jailed by UK's NCA https://t.co/6riD0agPHZ
March 2019’s Most Wanted Malware: Cryptomining Still Dominates Despite Coinhive Closure https://t.co/y9TCnxBH50
Mirai Compiled for New Processors Surfaces in the Wild https://t.co/ezBXQtdz3z
Lookout discovers phishing sites distributing new iOS and Android surveillanceware https://t.co/qvYxU79MyJ
Students Hack High School WiFi to Get Out of Tests https://t.co/TAbVzD80Kg
サードパーティ取得のFacebookデータが公開状態だった件についてまとめてみた https://t.co/CASNM7MmYu
Hackers claims to steal 6 million Israeli voters data https://t.co/YKqaZ0l0cH
Anubis Android Trojan Spotted with Almost Functional Ransomware Module https://t.co/MeIZhgydCa
Mira Ransomware Decryptor | News from the Lab https://t.co/3qAwPppi2M
Planetary Ransomware Decryptor Gets Your Files Back For Free https://t.co/sU3AcWWXnV
不正アクセスで顧客情報9,793件に流出の可能性、白光株式会社 https://t.co/NOp1nSji8w https://t.co/OLflFqhhSA
ビジネス政治
アマゾン「レジなし」撤回…現金のみ客「差別」批判 : 経済 : 読売新聞オンライン https://t.co/wAj8mUjaQ0
残業できない大企業が中小企業に“丸投げ”。残業規制も有休義務化も「進められない」中小企業の本音(BUSINESS INSIDER JAPAN) - Yahoo!ニュース https://t.co/tO6KHVwdV1 @YahooNewsTopics
5G電波、割り当て決定 ソフトバンクは希望より1枠少なく - ITmedia NEWS https://t.co/iKjOnfqTek
仮想通貨の「無断採掘」 無罪判決に控訴、横浜地検: 日本経済新聞 https://t.co/OrDWzoHy0T
アマゾン、全商品ポイント還元を撤回 公取調査影響か:朝日新聞デジタル https://t.co/LfgjiEjE45
3秒で映画ダウンロード…5G、来春から本格化 : 経済 : 読売新聞オンライン https://t.co/wEU93sotkX
「Tポイント」運営会社の株式、ファミマ売却へ : 経済 : 読売新聞オンライン https://t.co/zmpXaLQ40p
成果報告会 "GRID Day 2019" | セキュリティ対策のラック https://t.co/S047t4r9Wj https://t.co/NyNYYgiGWh
Microsoft Edge preview builds: The next step in our OSS journey https://t.co/4ZUpMUW4Z3
ドローンへ妨害電波…警視庁方針 退位儀式などテロ対策 : 国内 : 読売新聞オンライン https://t.co/N3fidAeOzj
「ネットギーク」運営会社を提訴 男女5人、東京地裁 https://t.co/gm1b2WlfVA @Sankei_newsより
IoTやAIを活用した新たなモビリティサービスの社会実装に向け、地域と企業の協働を促す「スマートモビリティチャレンジ」をスタートします (METI/経済産業省) https://t.co/GYzeeqCz51
「MUFGコイン」今年後半に実用化へ 三毛社長が語る:朝日新聞デジタル https://t.co/iKVoU0ChRI
EUがAI開発・利用の倫理指針案、日本と連携 : 国際 : 読売新聞オンライン https://t.co/tEWGDw6Xgr
ロシアの若者、44%が「移住したい」…閉塞感 : 国際 : 読売新聞オンライン https://t.co/dc1fT4W40n
地銀 ネット口座注力…若者つなぎ留め 「引っ越し解約」防ぐ : 経済 : 読売新聞オンライン https://t.co/MaV3Ddn91X
学位情報 海外と共有へ…日本人の留学・就職増狙う 政府、年内に「センター」設立 : 政治 : 読売新聞オンライン https://t.co/EU4Wz7GKOm
軽減税率 コンビニ内飲食 客が申告…ポスター掲示 店側は尋ねず : 経済 : 読売新聞オンライン https://t.co/K2ZezpGJrP
G7、対サイバー攻撃連携 外相会合 中国念頭に指針 : 政治 : 読売新聞オンライン https://t.co/aicO4D1dkS
最後に
別の投稿にてご紹介した通り、Twitter API によってだいぶ執筆が楽になりました。 あとは、投稿の種類に応じてカテゴリ分けもしたいなーなんて。 これは流行りの AI の出番ですかね。 また、勉強してみます。