今週のIT・サイバーニュースまとめ(20190818-20190824)
今週の総括
本ブログをはじめて、ちょうど5ヶ月くらい経ちますが、来週から少し趣向を変えようかと思います。
端的に言うと、今週の総括で書いている部分を記事として切り出して発行。
かつ可能な限り発見後早い段階での記事発行を目指します。
毎週まとめの記事を出しているものの、本ブログの価値を考えたときに後半のまとめはあまり大きくない気がしています。
集めた情報はツイッターに投稿しているので、基本的にはそちらを見てもらうように変えていこうかなと。
改善、頑張ります!(笑)
感想
Emotetボットネットの活動再開
米国のセキュリティベンダーCofenseのツイートによると、Emotetボットネットの活動再開が8月21日頃に確認されたとのことです。
The Emotet botnet arose from the grave yesterday and began serving up new binaries. We noticed that the C2 servers began delivering responses to POST requests around 3PM EST on Aug 21. Stay vigilant and keep an eye out for any updates as we monitor for any changes.
— Cofense Labs (@CofenseL) August 22, 2019
本ツイートに関連したEmotetボットネットに関する情報を技術情報サイトBleeping Computerがまとめています。
セキュリティ研究者のMalwareTechによると、今回観測されたボットネットの活動では日本も含まれているとのことでした。
Just got these pic.twitter.com/fmoXi5dHSw
— MalwareTech (@MalwareTechBlog) August 22, 2019
恐らく、ツイート文面を見る限り、C2サーバの一角が日本のIPを経由しているものだと思われ、踏み台としての利用が想定されます。
以前、MBSDのブログでも紹介があったように、国内のサーバが踏み台になっているだけでなく、不正メールを利用した国内への攻撃も今後起こり得ます。
Emotetボットネットは、バンキングトロジャンであるTrickbotの配布やランサムウェアRyukの配布でも知られており、これらの検体が組織内で発見された場合、初期感染時にEmotetに感染している可能性があります。
今一度、マルウェアに関する知識を整理し、感染させないための対策だけでなく、感染してしまった場合の発見努力も考える必要がありそうです。
Cisco Small Business 220 シリーズ スマート プラス スイッチにおける重大な脆弱性
2019年8月6日に、Cisco Small Business 220 シリーズ スマート プラス スイッチにおける遠隔から任意のコードが実行できる脆弱性が公開されました。
Ciscoによると、その後Cisco PSIRTが当該脆弱性に関する実証コードを確認したとの情報を加え、再度 8月21日に情報を更新しました。
脆弱性は当該製品のWeb管理インターフェースが変数のチェックを十分に行わないことで、バッファオーバーフローを誘発してしまうことによるものだとのことです。
実際の攻撃は確認されていないとCiscoは公表していますが、利用ユーザーは注意が必要です。
ハクティビズムの衰退
2019年8月21日、米国のRecorded FutureというThread Intelligence企業のレポートとして、発行されました。
Recorded FutureはThread Intelligenceと呼ばれるサービスを提供している企業として有名です。
近頃、企業において
「受け身で情報を受けとるだけでは脅威に対抗できない!」
との考え方からThread Intelligenceを活用する風潮があり、Recorded Futureを始めとしたThread Intelligence企業のサービスが注目されています。
これらのサービスは、インターネット上などから幅広く集めた情報を自組織の分析結果などと合わせて、Intelligence情報として提供する点が特長です。
公開情報として存在する断片情報を基に機密情報や脅威情報を収集する手法は俗にOSINT(Open Source INTelligence)と呼ばれています。
さて、少々遠回りしましたが、本題に入ります。
今回のレポートの結論を端的に述べると、
「ハクティビズムは減っています」
というところです。
ちなみに、ハクティビズムは政治的なメッセージや個人の信条を主張するためにハッキングを手段として利用する行為を指すものです。
また、ハクティビストはその活動を行う集団を差します。
中でも、アノニマスというハクティビストは有名で、皆さんも以下のようなシンボルを見たことがあるのではないでしょうか。
彼らはOpKillingBayなどと銘打って、日本の捕鯨活動への反対活動を起こしたりしていました。
今回、それらの顕著に表しているのが以下のグラフです。
メディアが報じるハクティビズム関連のニュース件数も、アクティブだとされているハクティビストの数も2016年頃を境に減少していることがわかります。
彼らの目的は主張なので、他の標的型攻撃やフィッシングと違って目に見える形で攻撃が検出できます。
活動自体、流行り廃りがあるものなのである種の自然なものだとも思います。
2016年というとリオ五輪でしたが、2020年は大人しい目ってことでいいですかね(笑)
いい大会だったね~!
で終わりたいですね。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、「タイトルの流し読み」→「気になるところは、あとで見る」をおすすめします。
マルウェア・攻撃キャンペーン
Attacks by Silence https://t.co/jqCpOfgHdJ
Silence Advanced Hackers Attack Banks All Over the World https://t.co/vdXWCM1FvJ
Magecart criminals caught stealing with their poker face on https://t.co/0JMCATfN0w @Malwarebytesより
Worm-Cryptominer Combo Lets You Game While Using NSA Exploits to Move Laterally https://t.co/wTZPJKhYVY
GAME OVER: Detecting and Stopping an APT41 Operation https://t.co/HGRjAxuNt5
Banking trojan Bolik spreads disguised as the NordVPN app https://t.co/KulZHAjtja
Uncovering a MyKings Variant With Bootloader Persistence via Managed Detection and Response - https://t.co/FyxJzB4FAd
Emotet Botnet Is Back, Servers Active Across the World https://t.co/GVHOWn3NPO
Asruex Backdoor Variant Infects Word Documents and PDFs Through Old MS Office and Adobe Vulnerabilities https://t.co/Q231xYjmIn
製品・脆弱性・アップデート関連
Second Steam Zero-Day Impacts Over 96 Million Windows Users https://t.co/guptdQRSdI
Unpatched Squid Servers Exposed to DoS, Code Execution Attacks https://t.co/nFNai5tEqp
Cisco Warns of Public Exploit Code for Critical Switch Flaws https://t.co/ayZtIq28C1
Cisco Releases Security Updates https://t.co/jS51czsLoI
Severe Flaws in Kubernetes Expose All Servers to DoS Attacks https://t.co/vPErZIl1Ol
ハッカーが数年ぶりにiPhoneを脱獄。修正済み脆弱性がiOS 12.4で再発 - Engadget 日本版 https://t.co/61pXCQgl38 @engadgetjpから
Hackers Planted Backdoor in Webmin, Popular Utility for Linux/Unix Servers https://t.co/mTQkoZc04U @TheHackersNewsから
VLC Media Player 3.0.8 Released with 13 Security Fixes https://t.co/OfGhlDrqhN
BitDefender Antivirus Free 2020 - Privilege Escalation to SYSTEM via @ https://t.co/bALbCvKdpf
Nsdの脆弱性情報が公開されました(Cve-2019-13207) https://t.co/YWWYSP5yN1
NSD 4.2.2 がリリースされました。(NLnet Labsのリリース日は8月19日です) https://t.co/q00KH8nhBu
インシデント関連
Instagram Phishing Emails Use Fake Login Warning Baits https://t.co/3z2L8G4MGi
IRS Warns Taxpayers of New Scam Campaign Distributing Malware https://t.co/4HbIXMVcnn
Security Summit warns of new IRS impersonation email scam; reminds taxpayers the IRS does not send unsolicited emai… https://t.co/9DEqRPbHMw
Authorities arrest culprits for crypto mining at Ukraine nuclear plant https://t.co/VMg7bTJREL
Hacker Ordered to Pay Back Nearly £1 Million to Phishing Victims https://t.co/axNJxYA0c1 @TheHackersNewsから
Return to Normalcy: False Flags and the Decline of International Hacktivism https://t.co/LSxh4O1RbZ
Aussie banks warn customers after fresh PayID data breach https://t.co/gNY6MvIkfQ
Exposed Sphinx Servers Are No Challenge for Hackers https://t.co/ZFWm09tC0l
Ransomware wave hits 23 towns in Texas https://t.co/AUpAKlbmlz
'Coordinated Ransomware Attack' in Texas Hits 23 Local Governments https://t.co/NyHKMALGN2
New Phishing Campaign Bypasses Microsoft ATP to Deliver Adwind to Utilities Industry https://t.co/mVrP1gfuCt @cofenseより
Gmail Is Down, Displays "Something Went Wrong" Errors https://t.co/yoySIJgvdQ
ホンダの社内システムが丸見えに、「社長のログイン時間まで分かった」 https://t.co/oGHeuT119f
Chinese State Media Seeks to Influence International Perceptions of Hong Kong Protests https://t.co/638j0n7wec
Agent 1433: remote attack on Microsoft SQL Server https://t.co/LVAsfUR7rz
First‑of‑its‑kind spyware sneaks into Google Play https://t.co/RWUcWPPyIu
テキサス州22自治体のランサムウェア感染についてまとめてみた https://t.co/0cwGEYMFzq
Aws 東京リージョンで発生した大規模障害についてまとめてみた https://t.co/b7jy5Gb2T5
Portland Public Schools Recovers $2.9 Million Lost in BEC Scam https://t.co/GPqyBiInBF
GitHub Experienced Widespread Major Services Outage https://t.co/k34fac3XXV
Adult website data leak connected private users to content uploads https://t.co/zIOhbvH9ii @ZDNet & @SecurityCharlieから
How Attackers Can Harvest Users’ Microsoft 365 Credentials with New Phishing Campaign https://t.co/XeIu96Sztr
ビジネス・政治・レポート
XDR Is The Best Remedy As Attackers Increasingly Seek To Evade EDR https://t.co/XzBrOhMX50
米各地の空港で入管システム障害…手作業で対応 : 国際 : 読売新聞オンライン https://t.co/N8YPsdyZza
VMwareがPivotalとCarbon Blackの買収を発表 https://t.co/0JdAaY3Keg
暗号資産、そのまま電子マネーに…サービス開始 : 経済 : 読売新聞オンライン https://t.co/Jd7VuNL5sO
Google, Mozilla, Apple Block Kazakhstan's Root CA Certificate to Prevent Spying https://t.co/GskTG9dlte @TheHackersNewsから
最後に
ブログを書いていても思うことですが、目的に対して、自身の行動が最良の策をとれているかといった見直しは大変ですね。
有限な時間を有効活用できるよう、自分にとっても読者の方々にとっても意味のあるコンテンツを目指していければと思います。
