今週の記事まとめです。 GW 期間中は運動、芸術鑑賞、読書など、なんだか意識高い系な日々を過ごしております。 要は会う人もやるべきこともなく暇なんですが(笑) そんな一週間ですが、ニュースはあるのでご心配なく

今週の総括

・Magecart の活動の活発化
・SAP システムに対する攻撃に関して
・医療業界におけるサイバー攻撃

感想

Magecart の活動の活発化

攻撃者集団 Magecart は EC サイトに不正なスクリプトを埋め込み、ユーザの支払い情報等を窃取することで知られている。

今回、RisqIQ の調査により、Magecart に属する Group 12 が、CMS のひとつである OpenCart で作成されたサイトを標的に攻撃始めたことが明らかになった。
ちなみに、OpenCart はショッピングサイトのプラットホームとして、世界で 3番目に多く使われている。

今回の攻撃で特徴的なのは、攻撃の前に一度チェックアウトページへのアクセスを確認してからコードの埋め込みを試みる点である。
そして、リダイレクト先のドメインは、実際にあるサイトを模倣したものを用いる。 (正規)https://bat[.]bing[.]com/bat.js (偽)https://batbing[.]com/js/bat.min.js

また、トレンドマイクロの調査によると、PrismWeb という米国およびカナダのオンライン大学生協に不正なスクリプトを埋め込み、ユーザの情報窃取を行ったとのことです。

トレンドマイクロはこの攻撃を Mirrorthief によるものとしており、本攻撃グループは、スクリプトを Google Analytics に似せる手法を用いている。
この手法は、Group 11 が用いる手法と同じだとのことだ。

EC サイトの運営は大変だーなんて思う一方、Web サイトと EC サイトでは、重要度が違うのに作る人はほとんど同じで、かついわゆる、Web デザイナーみたいな人が多いっていう印象です。
となってくると、運用面含めて考えられる、いわゆる SE が必要になってくるわけですが、大手 SIer が人材抱え込んでいて。。

ただ、その SE が転職や独立でベンチャーに行って、今度はプログラミング能力の差や開発スピードのギャップについていけず、頭でっかちのお荷物になってしまうのも考えものですね。

IT が進んできた今だからこそ、マネジメント層には、より広い視野で人材の活用をしてほしいものですね。
（何様だよ感ですが(笑)）

SAP システムに対する攻撃に関して

米国時間の5月2日に US-CERT より セキュリティの甘い SAP システムの攻撃が観測されているとのことで、注意喚起が出されました。

US-CERT がリリースを出す位なので、世の中に対するインパクトが考慮されてのことだと思っています。

手法としては、10KBLAZE というハッキングツールを用いたものと公表されていますが、前提として、述べられているのは、「SAP システムのセキュリティが甘いもの」とされています。
詳細は、US-CERT の注意喚起をみていただきたいですが、サーバがインターネット上に公開されているとか、 ACL の設定が甘いとかルータが初期設定のままだとか、まぁ、うん。といった感じの印象です。

www.us-cert.gov

医療業界におけるサイバー攻撃

GW の始めごろにセキュリティベンダーの MalwareBytes が公表した記事に関して。
内容は、医療業界もサイバー攻撃にあってますよー医療情報は特に重要度が高いから、対策はより一層必要ですよー。みたいな話なんですが、特に気になったのは、 Emotet の感染が Torojan マルウェア感染のうち、もっとも多くを占めていたという点です。
Emotet の感染方法というとフィッシングメールを通じて、感染を誘発するもので、ばらまきというよりかは標的型攻撃のように使われることが多い印象です。マルウェアは汎用物だけどもメールが割りとねって作られている点から。

となってくると、医療業界においても、サイバーセキュリティに関する知識の増強などが重要になって来るわけで。

ただ、知識の最高峰とも言えるお医者様の城に、いわゆるオタクみたいな IT 人材が知識を。。というのは嫌がられそう(笑) ここは仲良く仲良く。

ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン

• Decryptor for MegaLocker and NamPoHyu Virus Ransomware Released https://t.co/CrEtAbBxiD

• Cryptojacking in the post-Coinhive era https://t.co/oJEUst7zFg

• Qakbot levels up with new obfuscation techniques https://t.co/nUZraMbLfE

• Magecart Group 12 Targets OpenCart Websites https://t.co/gq79tPo6A1

• Mirrorthief Group Uses Magecart Skimming Attack to Hit Hundreds of Campus Online Stores in US and Canada - https://t.co/HHW7bhZs87

• APT trends report Q1 2019 https://t.co/RJdjDag7D2

• Buhtrap backdoor and ransomware distributed via major advertising platform | WeLiveSecurity https://t.co/unHoMfFjUK

• Crooks Build Fake Hack Tools and Game Cheats for Profit https://t.co/CdZxuu9mUp

• LockerGoga Ransomware Family Used in Targeted Attacks https://t.co/KdD3Nm8Jtl

• I know what you did last summer, MuddyWater blending in the crowd https://t.co/a95T0BdIKh

• Fake Windows PC Cleaner Drops AZORult Info-Stealing Trojan https://t.co/XTAmxctjJ4

脆弱性・アップデート関連

• WebLogic Deserialization Remote Code Execution Vulnerability (CVE-2019-2725): What You Need To Know https://t.co/SmgeKdJK1M

• Windows 10 1809 Cumulative Update KB4495667 Released With Fixes https://t.co/BeoelZhjkC

• VU#169249: PrinterLogic Print Management Software fails to validate SSL certificates or the integrity of software u… https://t.co/GAopPu7Uh3

• D-Link camera vulnerability allows attackers to tap into the video stream https://t.co/2VFFu9vPQc

• Dell Computers Exposed to RCE Attacks by SupportAssist Flaws https://t.co/d7qYsQkJ28

• Cisco Releases Security Updates https://t.co/UFtyXiaj6r

• Over Dozen Popular Email Clients Found Vulnerable to Signature Spoofing Attacks https://t.co/zFMbi1g1oZ

• Sophos UTM 9.602 Released That Fixes 3 Vulnerabilities https://t.co/5UYtTSqt6y

• Sodinokibi ransomware exploits WebLogic Server vulnerability https://t.co/Xf55QEasbs

• Stable Channel Update for Desktop https://t.co/bAz62zPJZf

• Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起 https://t.co/ylUe5IPXS7

インシデント関連

• Attackers Wiping GitHub and GitLab Repos, Leave Ransom Notes https://t.co/NpMHrj1Ips

• Europol Shuts Down Two Major Illegal 'Dark Web' Trading Platforms https://t.co/Ta56e4XPEn

• Microsoft Azure 世界規模の大規模障害「DNSがおかしい、公式にクソリプで激怒」5/3 - NAVER まとめ https://t.co/WYndMz46yn

• New Google Chrome mobile phishing scam can steal private data https://t.co/agkL00Ilod

• AA19-122A: New Exploits for Unsecure SAP Systems https://t.co/kVONh6QJQA

• Citrix Confirms Hackers Stole Sensitive Employee Personal Information https://t.co/r5pMh7lGxF

• .acドメインの審査不備問題についてまとめてみた https://t.co/7hiDxogqZO

• Sophisticated threats plague ailing healthcare industry https://t.co/caOHsShqP9

• New Phishing Campaign From 'FBI Director Wray' is Hysterical https://t.co/6zx06VlPWg

• Email hackers steal $1.75 million from St. Ambrose Catholic Parish in Brunswick https://t.co/f0lvLGKHQ5

• Report: Unknown Data Breach Exposes 80 Million US Households https://t.co/iATA7cj5tl

• Electrum DDoS botnet reaches 152,000 infected hosts https://t.co/3Gmu6lSYUc @Malwarebytesから

• Info-stealing malware pounces on Puma Australia's webstore https://t.co/5i4kMXCftE

• TVerの改ざんについてまとめてみた https://t.co/DrZ5fQzXSy

• Tech Support Scam Employs New Trick by Using Iframe to Freeze Browsers https://t.co/Ss6qjdxFeM

• Romance Fraud is a Top Cybercrime, the FBI Says https://t.co/R1Ge1cuQ2g

• Docker Hubの不正アクセスについてまとめてみた https://t.co/Vt8I3VUm7L

• Hacker Can Kill Car Engines Around the World | Avast Hacker Can Kill Car Engines Around the World | Avast https://t.co/5Ghp2kU2Y5

最後に

GW 終わってしまいますね。色々な人の SNS などを久しぶりにだーっとみていますが、皆さん充実しているようで、やっぱり休みは大事だなと思っています。 ところで、私は休み中、「天才を殺す凡人」という本を読んだんですが、中々に悩ませられています。自分はどれになるんだろう、どうすればもっとみんなが楽しく仕事できるんだろうみたいな(笑) 共感の神っていいなーなんて。