今週のIT・サイバーニュースまとめ(20190623-20190629)
今週の総括
Office 365 関連のセキュリティトピックについて
Exploit Kit のトレンド
今週の記事まとめです。 総括にもある通り、今週は色々な攻撃手法についての記事やインシデント報告が上がっていた印象です。 あくまで、ここで紹介してるのは手法なので、その結果は様々なことが多いです。
ただ、コインマイナーが置かれようが、情報が抜かれようが、改竄されようが、そもそも"侵入されている"ということに主眼をおいて対策を考えていただきたいです。
CyberReason が APT10 の調査結果を公表した件については、別記事にて公開予定なので乞うご期待を!
ではでは、早速本文の方へ。
感想
Office 365 関連のセキュリティトピックについて
OneDrive に置かれる悪性のファイルが特に増加
FireEye が 1Q(1月から3月)の Email Threat Report をリリースしました。
レポートによると、OneDrive に置かれた悪性のファイルの数を2018年4Q と比べた際、60%の増加を確認しており、Dropbox の次の増加率だとのことです。
Dropboxすごいな(笑)
Microsoft Teams で任意のファイルをダウンロードしたり実行したりできる脆弱性が発見される
本件は、Microsoft Teams 自体の問題と言うよりかは、.NET 用のパッケージマネジャーである NuGet に起因するものです。
そのため、GitHub や WhatApp、 UiPath などのデスクトップ版ソフトウェアにおいても影響を受けるとのことです。
ちなみに、マルウェアリサーチャの Reegun さんによると、(「誰だよ!とか冷やかさないでください(笑)」)まだパッチは出ていないとのことです。
Part 2: Squirrel/Nuget package uncontrolled endpoint
— Reegun (@reegun21) 2019年6月27日
I found this vulnerability initially in 'Teams' and submitted to Microsoft on June 4, 2019, they responded the fix will be issued on next release.#blueteam #redteam
Microsoft Teams は ビジネスユーザへの広がりを受けて、Slack を猛追しているとの見解を示す記事も出ているくらいなので、注目度は高いですね。
Office 365 について
近年、ビジネスユーザー向けに急速にシェアを伸ばしている、Office 365 のコンポーネントですが、それだけ攻撃者にとっても魅力的なはずです。
SaaS のパッケージだからこそ、情報収集を怠らないようにしたいですね。
Exploit Kit のトレンド
Sodunokibi がRIG Exploit Kit を使った Malvertising に利用され始める
タイトルの通りで、5 月初旬のまとめ記事で取り上げた sodinokibi ランサムウェアについて RIG Exploit kit を使って作成された広告経由でのダウンロードが確認され始めたとのことです。
ちなみに、RIG Exploit kit は世界中でもっとも利用が確認されている Exploit kit として有名です。
ID-Ransomeware という感染したランサムウェアの種類を調べるサイトに提出された件数の統計が以下のように公開されています。
既に国内でも被害が確認されている sodinokibi がツールに組み込まれたことは大きな変化だと思います。
今後も注視しつつ観測を続けていきます。
日本を狙う Showdown Gate キャンペーン
Sundown という exploit kit を用いた Showdown Gate という攻撃活動に関する観測記事が Trendmicro よりリリースされました。
基本的には、 exploit kit を用いて作られたサイトにアクセスした被害端末が暗号資産発掘のために利用されるとの内容です。
※ 5/31 より仮想通貨は暗号資産と呼ばれるようになりました。
三井生命は大樹生命に変わりました! みたいなノリなのが少々気になりますが(笑)
今回特に気になるのが、Showdown Gate キャンペーンの観測が日本でもっとも多いという点です。
たまたま今回は暗号資産の発掘が被害となっていますが、情報窃取のためのバックドアにとって変わる可能性も否定できません。
そのため今後も sundown にピンと来たら確認をすることをオススメします。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
Golang-based Spreader Used in a Cryptocurrency-Mining Malware Campaign https://t.co/JIl7QqIMgV
2019年5月 マルウェアレポート https://t.co/DOEglBi2pd
Welcome Spelevo: New exploit kit full of old tricks https://t.co/ywW5fJPQF9
Criminals, ATMs and a cup of coffee https://t.co/61UBTnnmxl
Iranian Threat Actor Amasses Large Cyber Operations Infrastructure Network to Target Saudi Organizations https://t.co/sJ2vJmRRjf
New Silex Malware Trashes IoT Devices Using Default Passwords https://t.co/9LhWcXjnQx
GreenFlash Sundown exploit kit expands via large malvertising campaign https://t.co/wWuGonYsxv
Shadowgate Returns to Worldwide Operations With Evolved Greenflash Sundown Exploit Kit https://t.co/tq0K603OKa
Riltok mobile Trojan: A banker with global reach: https://t.co/TUkN7ELRCp @Securelistから
LokiBot https://t.co/er9CVJFbqx
ViceLeaker Operation: mobile espionage targeting Middle East https://t.co/7TQVGqAEM4
Ransomware strain Troldesh spikes again – Avast tracks new attacks https://t.co/oDcuAVk6je @avast_antivirusから
Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers https://t.co/r44GE1FEk9
Scranos Revisited – Rethinking persistence to keep established network alive https://t.co/K8DuJ92Nq6
Riltok mobile Trojan: A banker with global reach https://t.co/TUkN7ELRCp
Sodinokibi Ransomware Now Pushed by Exploit Kits and Malvertising https://t.co/0Di9Jn72z1
CISA Statement on Iranian Cybersecurity Threats https://t.co/vu9cv9jYos
米国によるイランへのサイバー攻撃報道についてまとめてみた https://t.co/OlPSDQw1JI
U.S. Government Warns of Data Wipers Used in Iranian Cyberattacks https://t.co/UZOUM9QwD3
脆弱性・アップデート関連
Nuget/Squirrel uncontrolled endpoints leads to arbitrary code execution https://t.co/U6qVB8NhAL
Cisco Data Center Network Manager Arbitrary File Upload and Remote Code Execution Vulnerability https://t.co/MWWVwNrd0a
EA Games Vulnerability - Check Point Research https://t.co/7CB51c4Oau
SUPEE-11155 | Magento https://t.co/zlZBuka3Et
Magento 2.3.2, 2.2.9 and 2.1.18 Security Update 1/3 | Magento https://t.co/ywyKmvcTy4
New Mac Malware Exploits GateKeeper Bypass Bug that Apple Left Unpatched https://t.co/PIwLSRW7xY
Using Whitelisting to Remediate an RCE Vulnerability (CVE-2019-2729) in Oracle WebLogic https://t.co/6ijQruhTED
PowerDNS Authoritative Serverの脆弱性情報が公開されました(CVE-2019-10162、CVE-2019-10163) https://t.co/Q8r2vVZY3M
インシデント関連
Crooks steal $28M in crypto using Google Adwords & spoofed domains https://t.co/b72s3taVwe @hackreadから
This scary game app is coming for your credentials https://t.co/3wgb5uLrTk
Under the Radar – Phishing Using QR Codes to Evade URL Analysis https://t.co/92J2Spa3au @cofenseから
Netflix, Ford, TD Bank Data Exposed by Open Amazon S3 Buckets https://t.co/7pH56hvLjj
Massive 1800ForBail WordPress Hacks https://t.co/wQ24GhQqCy @sucurisecurityから
5 million personal records belonging to https://t.co/IbxMmpfCuR exposed to public https://t.co/j37s7gfkVb @comparitechから
Fake jquery campaign leads to malvertising and ad fraud schemes https://t.co/bRRjJ9UQlo
Fraudsters Spoof https://t.co/Ygw2l35KUv to Steal $27M in Cryptocurrency https://t.co/53MqFdOJDI
ゲームアプリのキャンペーンを装ったフィッシングと保証金詐欺メールについてまとめてみた https://t.co/kw2dbVojnB
Amazon themed Phish hosted in Azure Sites https://t.co/MjdC20M3R4
YouTube Bitcoin Scams Pushing the njRAT Backdoor InfoStealer https://t.co/QebO5Z0tM7
ディズニーリゾートで撮った写真データを他人が閲覧 閲覧用カードの番号が重複(要約) https://t.co/HTQ7McgiFa
Recipe for success: tech support scammers zero in via paid search https://t.co/EEmjgF78dH @Malwarebytesから
Researchers exploit LTE flaws to send 50,000 fake presidential alerts https://t.co/Yj8u2ZCW8k @hackreadから
BlueStacks Flaw Lets Attackers Remotely Control Android Emulator https://t.co/7ul7AtoQuT
Microsoft OneDrive Has 60% Jump in Hosting of Malicious Files https://t.co/CJMFS3LFd7
Tesco Hacked on Twitter Spoofs Bill Gates and Pushes BTC Scam https://t.co/NLP4L7PnPS
BGP Route Leak Causes Cloudflare and Amazon AWS Problems https://t.co/Z8sMac11hp
Social Engineering Forum Hacked, Data Shared on Leak Sites https://t.co/v5Qyc3njVR
オリンピックの偽メール・類似ドメインをめぐる報道についてまとめてみた https://t.co/kXpjqxRIwm
New Release: Tor Browser 8.5.3 | Tor Blog https://t.co/SCZINdL9EY
ビジネス・政治・レポート
Exclusive: German Police Raid OmniRAT Developer and Seize Digital Assets https://t.co/8bK9j80qXE
お知らせ:IoTセキュリティチェックリスト https://t.co/KQh8YqoNnC
ファミマ、バーコード決済アプリ『ファミペイ』導入 クーポン、ポイントなども (ORICON NEWS) https://t.co/xBd2kTLhKr #linenews
サポート切れ製品をそのまま使い続けるとどうなるのか、参考資料を公開しました https://t.co/I1GRXEKW5m
情報銀行認証 万全な管理態勢必要…利用履歴チェックなど : 経済 : 読売新聞オンライン https://t.co/JRRn64ib6l
Second US town pays up to ransomware hackers https://t.co/AX0qwhRkIB
スタバ、アプリで事前決済 待ち時間なし、まず都内で: 日本経済新聞 https://t.co/jsW5U9BLYf
情報銀行、1号認定に三井住友信託銀など: 日本経済新聞 https://t.co/aXGRd6zr8P
自分の高校HPのアクセス増やそうとDoS攻撃 : 国内 : 読売新聞オンライン https://t.co/0n32Exgi61
Mobile stalkerware: a long history of detection https://t.co/nSgzD4DwlL
FB暗号資産 各国警戒…利用者27億人 ドル・ユーロ並み存在感 : 経済 : 読売新聞オンライン https://t.co/J674ckFwqd
詐欺利用IP電話遮断 悪質再販業者は排除…総務省・警察庁 : 国内 : 読売新聞オンライン https://t.co/5jS2u7y9Kn
JSOC INSIGHT vol.23 https://t.co/csUlOqFbbA
しまむら、ゾゾタウンから撤退 自社サイト開設へ: 日本経済新聞 https://t.co/2PWzIf76TP
タンカー攻撃に対抗、米がサイバー攻撃…米紙 : 国際 : 読売新聞オンライン https://t.co/lYrpLsYeIf
Small Florida City Pays Hackers $600,000 Ransom | Avast https://t.co/cJfhhlbKbu
最後に
4月以降楽しみに毎週見ていた、「私定時で帰ります」と「集団左遷」が終わってしまいました。
悲しい。。。
どっちもサラリーマンあるあるがいっぱい入っていてとても面白かったです。
でもこんなにいろんな人が同じ事思ってるはずなのに、なぜ世の中は変わらないんだろう、なんてことを考えてると頭が疲れますね(笑)
そんな今ですが、巨人がセ・リーグ1位になって東京ドームに行くのが楽しみで仕方ない!(笑)
仕事は1年間いつでも出来ますが、野球は期間限定ですからね(笑)
では、また来週。