今週の記事まとめです。先週と打って変わって、話題の多い一週間でした。その理由の予測含め、感想に書いてみましたが、感想の内訳としては、2つに分けてみました。それぞれ、色々なソースから情報を引っ張ってきているので、大変だとは思いますが、なにか気付きがあれば耳打ちお願いします。

今週の総括

・ Web サイトの脆弱性を狙ったマルウェア感染

・マルウェアの開発が加速

感想

Web サイトの脆弱性を狙ったマルウェア感染

Weblogic
Wordpress Plugin

今週出た脆弱性のうち、Web サイトで使われるようなソフトウェアの脆弱性はこの辺りかと思っていますが、いかんせん、多くの脆弱性が出た"ような気が"しました。

というのも、下のサマリをみていただくとわかりますが、過去の脆弱性を含め、脆弱性の実証コード（PoCコード）が公開されている点です。

加えて、Docker Hub や Google Site、Magento、Elastic Search などの管理不備が原因で情報流出が明らかになるケースと、なんといっても、別記事で記載の通り、Confluence の脆弱性をついた攻撃が脆弱性の公表から一週間足らずで、多々観測されていることが、印象的です。

私自身もサイトの運営をしたりしていますが、運用の負荷をなるべく下げたいので、雑になってしまうことが多いんですよね。組織だからしっかりしていると思いたいところですが、知識の不足や組織自体の IT への投資の理解がこういったインシデントに繋げてしまうような気がしています。

マルウェアの開発が加速

Emotet の新たな通信手法、WannaCry で感染拡大手法として用いられた EternalBlue で感染を広げる仮想通貨マイナー Beapy 、Ransomware としてちょこちょこ名前が上がり始めている Robbinhood など、様々なマルウェアに関する情報がよく出たなと思っています。他にもバンキングトロジャン、スティーラーなどなど色々なマルウェアが公表されていてとても気になっていますが、正直追い付いていないです。

んでもって、ここで気にしておきたいのが、各種セキュリティベンダのビジネス的側面。なんとなく、このあたりのブログ記事が多いことと、今週のベンダレポートが多いことは、各ベンダが実は決算期立ったりするんじゃないかなーと思っており、今期の業績にかかるから一気に情報出しているんじゃないかーなんて(笑)

各レポートのマルウェア情報を収集して、そのcompile time や submittion time とかみてみると、ほんとに攻撃があるから記事を書いているのか、そうでないかがわかるかな。。

GW 明け、知り合いの人たちに事情聞いてみますか。。

ここからは、一週間のまとめなので、ざっと流し読みしていただければと。量が多いので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン

A Closer Look at the RobbinHood Ransomware https://t.co/SUAZyCedrx
‘BabyShark’ Targets Cryptocurrency Industry https://t.co/oLPZ7aHilm
AESDDoS Botnet Malware Exploits CVE-2019-3396 to Perform Remote Code Execution, DDoS Attacks, and Cryptocurrency Mi… https://t.co/fE3vCIN0gr
Beapy: 中国の企業を襲うクリプトジャッキングワーム https://t.co/XPw4rntWLC
EternalBlue Exploit Serves Beapy Cryptojacking Campaign https://t.co/BHOOFKb1No
JasperLoader Emerges, Targets Italy with Gootkit Banking Trojan https://t.co/dEbmKwJwI0
Emotet Adds New Evasion Technique and Uses Connected Devices as Proxy C&C Servers https://t.co/oejJwu1jfP
Threat Actor TA505 Targets Financial Enterprises Using LOLBins and a New Backdoor Malware https://t.co/TIPgKeCYZW
GandCrab attackers exploit recently patched Confluence vulnerability https://t.co/j71toBKoeZ
Deobfuscating APT32 Flow Graphs with Cutter and Radare2 - Check Point Research https://t.co/4FhUuJOdKs
Operation ShadowHammer: a high-profile supply chain attack: https://t.co/XxDYxOAWUp
FINTEAM: Trojanized TeamViewer Against Government Targets - Check Point Research https://t.co/KnoTPQfSCJ
Analyzing C/C++ Runtime Library Code Tampering in Software Supply Chain Attacks https://t.co/0izOfZ93Aq

脆弱性

Oracle Security Alert CVE-2019-2725 https://t.co/zGzHNKz1RE
Our Proactive Monitoring Caught an Arbitrary File Upload Vulnerability in WooCommerce Checkout Manager – Plugin Vul… https://t.co/mXIjiZ1gZy
'Highly Critical' Unpatched Zero-Day Flaw Discovered In Oracle WebLogic https://t.co/hmLUfI96vK
「Windows 10 May 2019 Update」のアップデートに不具合、一部環境で配信が停止 - 窓の杜 https://t.co/Vgk8aI76ET
Slow boot times and performance after installing Microsoft Windows April 2019 updates on a system with Endpoint Sec… https://t.co/03mP00Ssez
注意喚起: Isc Bind 9 に対する複数の脆弱性に関する注意喚起 (公開) https://t.co/CGBuz5cZqR
（緊急）BIND 9.xの脆弱性（ファイル記述子の過度な消費）について（CVE-2018-5743） https://t.co/oCTMNdaqCw
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2019-6467） https://t.co/puqVJwIiJF
Uncovering CVE-2019-0232: A Remote Code Execution Vulnerability in Apache Tomcat https://t.co/1GiGQK9vps
Exploits in the Wild for WordPress Social Warfare Plugin CVE-2019-9978 https://t.co/Eu2m9yYydF
Stable Channel Update for Desktop https://t.co/4hSFWpBVaH
DarkMatter - Smart and Safe Digital | https://t.co/oD5r0CGgrc
Epic Bug Lets Anyone Unlock the Nokia 9 With a Pack of Gum https://t.co/OY5aELOyI1

インシデント関連

Hacked Docker Hub Database Exposed Sensitive Data of 190K Users https://t.co/eYKvxQNuED
GitHub hosted Magecart skimmer used against hundreds of e-commerce sites https://t.co/xNy7BOmq67
Takedowns and Adventures in Deceptive Affiliate Marketing https://t.co/GlHurS7EUh
The Economy of Credential Stuffing Attacks https://t.co/3pXpWdM6b8
Atlanta Hawks Online Shop Hit with Credit Card Stealing Attack https://t.co/XPuqHviskt
BEC fraud losses almost doubled last year https://t.co/qUdesdagoj
Threat actors abuse GitHub service to host a variety of phishing kits https://t.co/CM1XnvlvjN
A hotspot finder app exposed 2 million Wi-Fi network passwords | TechCrunch https://t.co/qoSmNx4GxV
宅配偽装Smsによるスマートフォンへの攻撃でまた新たな手口 https://t.co/7EGv9tEVwQ
A Malicious Sight in Google Sites @Netskope https://t.co/AdRVjrIiZT
Malware Hosted in Google Sites Sends Data to MySQL Server https://t.co/tiv94shpan
カードの有効性確認を悪用した情報流出についてまとめてみた https://t.co/vtUhj43erP
DNSpionage brings out the Karkoff https://t.co/2c584zVFAx
Medical Information of Almost 150K Rehab Patients Exposed https://t.co/akqgdoFeTB
海外のIt大手などを狙ったフィッシング活動についてまとめてみた https://t.co/rrJVniYlDd
Security Breach, All Customer Passwords Reset https://t.co/9J8ZHSFkvB https://t.co/b9D6wwDtD4
悪夢、ついに…カーシェア車両、ハッキングで100台以上盗難　ダイムラーとBMWの「Share Now」 – 自動運転ラボ https://t.co/IQ0TayeYLJ
Android Antivirus Tests Show You Shouldn’t Rely on Google Play Protect https://t.co/feAZCBnAsO

ビジネス・政治・レポート

ネット閲覧や購買のデータ　企業に利用停止義務…政府検討 : 経済 : 読売新聞オンライン https://t.co/jd91lIrBo2
この大型連休前後に法人で注意すべき標的型攻撃の特徴を解説 https://t.co/uySAYQgJnv
Congress Asks Google 10 Questions On Its Location Tracking Database https://t.co/Vq3BsswTk6
2019年3月マルウェアレポート https://t.co/Ze61AFxqLy
Labs Cybercrime Tactics and Techniques report finds businesses hit with 235 percent more threats in Q1 https://t.co/8GOZkT8X5n
A look inside the FBI’s 2018 IC3 online crime report https://t.co/kpr4NQ2nR2
食品5社の共同物流会社が始動　共同配送など加速: 日本経済新聞 https://t.co/SByWopOunD
NTTと吉本興業、教育動画配信で新会社　世界展開も: 日本経済新聞 https://t.co/l1mwazT8Fx
トヨタ、中国に研究拠点を設立へ　清華大と連携：朝日新聞デジタル https://t.co/caqZUgUhTO
「世界に打って出る」日立、給与を変えないと無理だった https://t.co/qJhWdHV4wZ
［外国人材＠日本］専門職　即戦力に期待…大手企業アンケート : 経済 : 読売新聞オンライン https://t.co/Nq4KIBCuzi
UK Considers Huawei for 5G | Avast https://t.co/BTvysc4LuL
日立製作所、日立化成を売却へ　グループ再編仕上げ: 日本経済新聞 https://t.co/V0NQUoXbHU
ソフトバンク、空飛ぶ基地局でアルファベット子会社に投資 | Article [AMP] | Reuters https://t.co/FGwOXXsq9p
ヤフー、社名を「Zホールディングス」に　10月1日: 日本経済新聞 https://t.co/sSaeLOWQGR
MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版 https://t.co/YtwOnvXk68
Over 23 million breached accounts used ‘123456’ as password https://t.co/hpl4bwXtS0