Literacy – Page 33 – IoT OT Security News

Zoom for Mac の深刻な脆弱性 CVE-2022-28756／CVE-2022-28751 が FIX

Zoom addressed two high-severity vulnerabilities in its macOS app that were disclosed at the DEF CON conference.

2022/08/17 SecurityAffairs — 先週に Zoom は、DEF CON conference で明らかになった、macOS アプリにおける 2 つの深刻な脆弱性を修正するアップデートをリリースした。これらの脆弱性の技術的な詳細は、セキュリティ研究者の Patrick Wardle が DEF CON conference で行った講演 “You’re M̶̶t̶e̶d̶ Rooted” で公開されている。

RubyGems でも MFA の運用がスタート：人気パッケージのメンテナに義務化

RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers

2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。

Kaspersky 調査：Web ブラウザ・エクステンション 700万に潜む悪意のアドウェア

Malicious browser extensions targeted almost 7 million people

2022/08/16 BleepingComputer — 2020年以降において、約700万人のユーザーの Web ブラウザに、悪意のエクステンションがインストールされているが、そのうちの 70% が不正な広告でユーザーを狙うアドウェアとして使用されるものだ。2022年上半期においても、Web ブラウザの悪意のエクステンションが運び込む、一般的なペイロードはアドウェア・ファミリーに属し、ブラウジング・アクティビティを盗聴し、アフィリエイト・リンクを宣伝するものだった。

産業用位置情報システム RTLS に深刻な脆弱性：Black Hat で中間者攻撃が証明される

RTLS systems vulnerable to MiTM attacks, location manipulation

2022/08/16 BleepingComputer — セキュリティ研究者たちが、UWB (Ultra-Wideband) の RTLS (Real-Time Locating Systems) に影響を与える複数の脆弱性を発見した。この脆弱性の悪用に成功した脅威アクターは、中間者攻撃を行い、タグの地理位置データを操作できるという。 RTLS 技術の用途は、産業環境／公共交通機関／ヘルスケア／スマートシティなどに広がっている。その主な役割は、追跡タグ／信号受信アンカー／中央処理システムを使用した、ジオ・フェンシング・ゾーンの定義により、安全を支援することにある。

2022年 Q2 のサイバー攻撃を分析：Microsoft の古い脆弱性が最も多く狙われた

Most Q2 Attacks Targeted Old Microsoft Vulnerabilities

2022/08/16 DarkReading — 2021年9月にパッチが適用された、Microsoft の MSHTML ブラウザエンジンに存在するリモートコード実行の脆弱性だが、それを狙った攻撃が 2022年 Q2 に急増したことが、Kaspersky の分析により判明した。Kaspersky の研究者たちは、この脆弱性 CVE-2021-40444 を狙った攻撃は、少なくとも 4886件を数え、2022年 Q1 に比べて８倍に増加したという。この脆弱性に対する敵対者の関心が継続しているのは、悪用が容易であるためだと、同社は分析している。

Signal ユーザー 1900人分の電話番号が流出：Twilio データ侵害の影響

Phone numbers of 1,900 Signal users exposed as a result of Twilio security breach

2022/08/16 SecurityAffairs — コミュニケーション企業である Twilio は、Signal に電話番号認証サービスを提供しているが、最近の同社に生じたセキュリティ侵害により、Signal の一部のユーザーにも影響をおよんでいた。Twilio を攻撃したハッカーは、Signal ユーザーの電話番号を確認し、別のデバイスへの再登録するような、試みを実行した可能性があるという。

Evil PLC という攻撃シナリオ：武器化した PLC から OT／IT ネットワークを侵害

New Evil PLC Attack Weaponizes PLCs to Breach OT and Enterprise Networks

2022/08/16 TheHackerNews — サイバーセキュリティ研究者たちが作り上げたのは、PLC (programmable logic controllers) を武器にしてエンジニアリング・ワークステーションに最初の足場を築き、その後に OT (operational technology) ネットワークに侵入するという新しくて精巧な攻撃手法である。産業用セキュリティ企業の Claroty が Evil PLC 攻撃と名付けた、この課題は、Rockwell Automation／Schneider Electric／GE／B&R／Xinje／OVARRO／Emerson などのエンジニアリング。ワークステーション・ソフトウェアに影響を与えるものである。

PyPI に悪意のパッケージ 12個：Counter-Strike への DDoS 攻撃に巻き込まれる恐れ

Malicious PyPi packages aim DDoS attacks at Counter-Strike servers

2022/08/15 BleepingComputer — 今週末、ロシアの Counter-Strike 1.6サーバーにDDoS攻撃を仕掛けるタイポスクワッティング攻撃のために、悪意の Python パッケージ 12個が PyPI レポジトリにアップロードされた。Python Package Index (PyPI) とは、オープンソースのソフトウェア・パッケージのリポジトリであり、開発者は自身の Python プロジェクトに、それらのパッケージを簡単に組み込み、最小限の労力で複雑なアプリを構築できる。

OSINT について考える：企業のセキュリティ保護に適用する理由と方法とは？

How and Why to Apply OSINT to Protect the Enterprise

2022/08/15 DarkReading — あなたは、Strava のような、フィットネスに特化した SNS のファンだろうか？あなただけではなく、軍人でさえも、ランニングの記録／共有を楽しんでいる。しかし、Strava が収集／公開する、彼らのすべての活動量と GPS データは、軍事基地の正確な位置を晒してしまう。現在、インターネット上で公開されている情報の種類を見ると、驚くかもしれない。しかし、私たちが過剰な共有の時代に生きていることを考えれば、驚くことではない。Twitter や自動返信のメールで、休暇の計画を公開している私たちは、実質的に強盗を招いているようなものだ。

Android バンキング型トロイの木馬 SOVA：新たな機能でターゲットを拡大

SOVA Android Banking Trojan Returns With New Capabilities and Targets

2022/08/15 TheHackerNews — Android バンキング型トロイの木馬 SOVA は、バンキング・アプリ／仮想通貨取引／ウォレットなどの、200以上のモバイルアプリを標的とするために、積極的にアップグレードが続けられている。そして、ターゲットとなるアプリの数は、開発当初の 90から増加している。

PyPI で発見された悪意のパッケージ：ファイルレス・マルウェアを Linux に配布

A new PyPI Package was found delivering fileless Linux Malware

2022/08/15 SecurityAffairs — Sonatype の研究者たちは、Linux マシンシ・ステムのメモリへ向けて、ファイルレス・クリプトマイナーを投下する、secretslib という新しい PyPI パッケージを発見した。このパッケージは自らを、”secrets matching and verification made easy” と表現しており、2020年8月6日以降で、合計 93件のダウンロードを記録している。

Word テンプレートの悪用：ウクライナを狙うハッカー集団 Gamaredon の新しい手口

Russian hackers target Ukraine with default Word template hijacker

2022/08/15 BleepingComputer — ウクライナへのサイバー攻撃を監視している脅威アナリストたちが、ロシアの国家支援ハッキング・グループ Gamaredon について、紛争で荒廃した同国を激しく攻撃し続けていると報告している。Gamaredon (別名：Armageddon／Shuckworm) は、ロシアのハッカー集団であり、ロシアの連邦保安局 (FSB：Federal Security Service) の第18情報セキュリティ・センターの一部と考えられている。

フィッシング攻撃の変化：コールバック型が 2021／2022 比較で 625％の大幅増

Callback phishing attacks see massive 625% growth since Q1 2021

2022/08/15 BleepingComputer — ハッカーたちは、企業ネットワークに侵入するために、そして、ランサムウェアやデータ窃取の攻撃を仕掛けるために、Eメールと音声コールを組み合わせたソーシャル・エンジニアリングという、ハイブリッド型のフィッシング攻撃に主軸を移行しつつある。 Agari の 2022年 Q2 のサイバーインテリジェンス・レポートによると、フィッシング詐欺の件数は、2022年 Q1 と比較して６％しか増加していない。しかし、ハイブリッドなヴィッシング詐欺の利用は、625％という大幅な伸びを見せているという。

VNC サーバ 9000 台が危機的な状況：パスワードを持たずにインターネットに露出

Over 9,000 VNC servers exposed online without a password

2022/08/14 BleepingComputer — 研究者たちが発見したのは、認証なしでアクセスして使用できる、少なくとも 9,000 のインターネットに露出した VNC エンドポイントであり、脅威アクターたちに内部ネットワークへのアクセスを簡単に許すものである。VNC (Virtual Network Computing) は、監視や調整が必要なシステムへの接続を支援するプラットフォーム非依存のシステムであり、ネットワーク接続を介した RFB (Remote Frame Buffer Protocol) 経由で、リモート・コンピュータの制御を可能にする。

BEC を誘発するランサムウェア：恐喝で暴露された機密データが繰り返して悪用される

Cybercriminals Weaponizing Ransomware Data for BEC Attacks

2022/08/13 DarkReading — 攻撃を一度されると、何度でも被害に遭う。ダークウェブのデータ市場で、ランサムウェア攻撃中に流出したデータを驚異アクターたちは容易に見つけ出し、後続の攻撃に利用することができる。Accenture Cyber Threat Intelligence (ACTI) の最新分析によると、サイバー犯罪者や脅威アクターたちは、ランサムウェア攻撃から流出したデータを二次的に悪用し、ビジネスメール侵害 (BEC : Business Email Compromise) 攻撃を仕掛ける傾向が強まっているとのことだ。

Google に $60M の罰金：豪の公取委が主張する Android の不正な位置情報収集

Google fined $60 million over Android location data collection

2022/08/13 BleepingComputer — Australian Competition and Consumer Commission (ACCC) は Google に対して、$60 million の罰金を科したことを発表した。その理由は、2017年1月〜2018年12月の約２年間において、位置情報の収集／利用の説明に不備があり、オーストラリアの Android ユーザーに誤解を与えたと言うものだ。ACCC によると、ユーザーが端末の設定で位置情報履歴を無効にしていたにも関わらず、Google は一部のユーザーの Android デバイスを、追跡し続けていたという。

米 FTC の新たな規制：大手 IT 企業のデータ収集／利用の方法が疑問視される

FTC Looking at Rules to Corral Tech Firms’ Data Collection

2022/08/12 SecurityWeek — 手首に巻きつけたフィットネス・トラッカーも、居間に置かれたスマート家電も、子どもたちが夢中になるオンライン・ビデオでの流行も、その全てが、大手ハイテク企業にとっては個人データの宝庫となっている。これらのデータが、どのように利用され、どのように保護されているかについて、社会的な関心が高まっており、政府関係者の怒りも広がっている。そして今、連邦規制当局は、商業的で有害な監視と、がさつなデータ・セキュリティを取り締まるために、新たな規則の起草を検討している。

Siemens ソフトウェア・コントローラの問題点：Black Hat で研究者が指定する欠陥とは？

Security Researchers Dig Deep Into Siemens Software Controllers

2022/08/12 SecurityWeek — LAS VEGAS – BLACK HAT 2022 — イスラエルの Technion Research 大学の研究者チームは、Siemens のソフトウェア・コントローラの分析を行っており、セキュリティ上の問題を徐々に発見し始めている。研究者たちは、Siemens の PLC (programmable logic controller) を、つまり SoftPLC を分析している。SIMATIC S7-1500 ソフトウェア・コントローラは、ET200SP オープン・コントローラ上で動作し、PLC のセキュリティと産業用 PC の柔軟性を兼ね備えていると言われるものだ。

Microsoft の脆弱性情報戦略：ゼロデイを防ぎながらノイズを増やさない方法とは？

Microsoft: We Don’t Want to Zero-Day Our Customers

2022/08/12 DarkReading — BLACK HAT USA — Microsoft のセキュリティ担当幹部は、同社の脆弱性開示ポリシーについて、セキュリティ・チームが十分な情報に基づき、パッチ適用を決定するために必要なものであり、また、パッチを素早くリバース・エンジニアリングして悪用する、脅威アクターからの攻撃を受けるリスクはないと述べた。

OCFS でセキュリティ・アラートを正規化：AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

Twilio の被害状況：データ侵害 125件が発生したが認証情報は盗まれなかった

Twilio: 125 customers affected by data breach, no passwords stolen

2022/08/12 BleepingComputer — クラウド・コミュニケーション大手の Twilio は、二要素認証 (2FA) プロバイダーとして人気の Authy を傘下に持つ企業だが、先週に発覚したセキュリティ侵害により、不正なデータ・アクセスを経験した顧客が、125件に達したことを発表した。同社は、この事件の背後にいる攻撃者に関して、影響を受けた顧客の認証情報には、アクセスできなかったと付け加えている。

Palo Alto Networks 警告：PAN-OS に DDoS 攻撃参加を許す脆弱性 CVE-2022-0028

Palo Alto Networks: New PAN-OS DDoS flaw exploited in attacks

2022/08/12 BleepingComputer — Palo Alto Networks は、同社のネットワーク・ハードウェア製品で使用されている PAN-OS に存在する、深刻度の高い脆弱性を警告するセキュリティ・アドバイザリを発表した。この脆弱性 CVE-2022-0028 (CVSS v3 : 8.6) は、URL フィルタリング・ポリシーの設定ミスにより、未認証のリモート攻撃者による増幅された TCP サービス拒否 (DoS) 攻撃を許すものとなる。

Cookie セッション・ハイジャックの脅威：ZTNA／MFA ツールの大半は無力化される

Many ZTNA, MFA Tools Offer Little Protection Against Cookie Session Hijacking Attacks

2022/09/11 DarkReading — 組織において、内部ネットワークからインターネット・トラフィックを分離するためにディプロイされるツールの多く (多要素認証／ZTNA／SSO／ID プロバイダー・サービスなど) は、Cookie の盗難／再利用および、セッションハイジャック攻撃からの保護にはほとんど効果がない。今週にイスラエルの新興企業 Mesh Security の研究者たちが発表したところによると、これらの技術やサービスには、適切な Cookie セッション検証メカニズムがないことが多いという、したがって、これらの技術やサービスを、攻撃者は比較的容易に迂回できるという現実がある。

Conti フラッシュバック：BazarCall による巧妙なフィッシング手口を分析する

Conti Cybercrime Cartel Using ‘BazarCall’ Phishing Attacks as Initial Attack Vector

2022/08/11 TheHackerNews — Conti サイバー犯罪カルテルの３つの分派が、標的ネットワークに侵入する際のイニシャル・アクセスの手段として、コールバック・フィッシングの手法を採用している。水曜日に発表したレポートにおいて、サイバー・セキュリティ企業である AdvIntel は、「それらの３つの自律的な脅威グループが、コールバック・フィッシングの手法から派生した、独自の標的型フィッシング戦術を開発／採用している」と述べている。

Zimbra の認証バイパスの脆弱性：すでに 1,000台以上のサーバーが侵害されている

Zimbra auth bypass bug exploited to breach over 1,000 servers

2022/08/11 BleepingComputer — Zimbra の認証バイパスの脆弱性が悪用され、世界中の Zimbra Collaboration Suite (ZCS) メール・サーバーが危険に晒されている。Ｅメール／コラボレーションプラットフォームである Zimbra は、1,000以上の政府機関や金融機関を含む、140カ国以上／20万以上の企業で利用されている。

GitHub の新しいプライバシーポリシー：Tracking Cookie への反発で大騒動

GitHub’s new privacy policy sparks backlash over tracking cookies

2022/08/11 BleepingComputer — GitHub のプライバシー・ポリシーが変更され、GitHub によるサブドメインへのトラッキング・クッキーの設置が可能になることに、開発者たちが激怒している。今月に、Microsoft の子会社である GitHub は、９月から一部のマーケティング用 Web ページに Non-essential クッキーを追加し、さらに、ユーザーに対して 30日間のコメント期間を提供すると発表した。

Google Workspace 保護の強化：アカウント・ハイジャックを防ぐための警告／確認とは？

Google now blocks Workspace account hijacking attempts automatically

2022/08/10 BleepingComputer — Google Workspace (旧 G Suite) における高リスクのアカウント操作への保護が強化され、本人確認のプロンプトにより乗っ取りの試みが自動的にブロックされ、さらなる調査のためのログが記録されるようになった。この、追加されたセキュリティ層は、ユーザー・アカウントに不正アクセスする脅威アクーをブロックし、個人データや組織の機密情報を保護するものだ。このアカウント保護機能の強化は、従来の G Suite Basic および Business の顧客を含む、すべての Google Workspace の顧客に提供される。

研究者たちの助言：Google API Tool の脆弱性から見えてくる可視化の重要性とは？

Researchers Debut Fresh RCE Vector for Common Google API Tool

2022/08/10 DarkReading — Google SLO Generator の脆弱なバージョンを悪用し、リモートコードの実行 (RCE) を容易にするという、新たな攻撃ベクターが発見された。この脆弱性の悪用に成功した攻撃者は、システムにアクセスし、あたかもネットワーク内の信頼できるソースから来たかのように、悪意のコードを展開できるという。

Cisco をハッキングした Yanluowang ランサムウェア：2.8GB のファイルを公開

Cisco hacked by Yanluowang ransomware gang, 2.8GB allegedly stolen

2022/08/10 BleepingComputer — 今日の Cisco の発表によると、5月下旬にランサムウェア・グループ Yanluowang が同社の企業ネットワークを侵害し、盗み出したファイルをオンラインに流出させると、恐喝されているようだ。この攻撃者は、侵害した従業員のアカウントにリンクされた、Boxフォルダから機密性のないデータのみを採取し、盗み出したと、同社は述べている。

プロトコル運用の調査：FTP 公開 36%／LDAP 露出 41%／SSH 露出 64% ・・・

36% of orgs expose insecure FTP protocol to the internet, and some still use Telnet

2022/08/10 HelpNetSecurity — ExtraHop Benchmarking Cyber Risk and Readiness レポートでは、SMB／SSH／Telnet などの安全ではないプロトコルや、きわめて機密性の高いプロトコルを、かなりの割合の組織が、インターネットに公開していることが明らかにされていいる。意図的であれ偶発的であれ、こうした公開は、サイバー攻撃者にネットワークへの容易な侵入口を提供し、あらゆる組織の攻撃対象領域を拡大することになる。

Microsoft が推奨する安全な Exchange：月例パッチに加えて Extended Protection を適用

Microsoft: Exchange ‘Extended Protection’ needed to fully patch new bugs

2022/08/09 BleepingComputer — Microsoftによると、2022年8月の Patch Tuesday で対処された Exchange Server の欠陥の一部においては、攻撃を完全にブロックするために、影響を受けるサーバー上での拡張保護機能を、管理者が手動で有効にする必要があるとのことだ。今日、Microsoft は、野放し状態で悪用されている DogWalk ゼロデイ脆弱性や、特権昇格を可能にする Exchange の深刻な脆弱性 (CVE-2022-21980／CVE-2022-24477／CVE-2022-24516) などを含む、全体で 121件の欠陥にパッチを適用した。

Microsoft Windows のゼロデイ脆弱性 DogWalk が FIX：MSDT に関連する RCE

Microsoft patches Windows DogWalk zero-day exploited in attacks

2022/08/09 BleepingComputer — Microsoft が公開したセキュリティ更新プログラムには、悪用コードが公開され、攻撃に悪用されている、深刻度の高い Windows のゼロデイ脆弱性に対処するものも含まれている。August 2022 Patch Tuesday の一部として修正された、このセキュリティ脆弱性は、現在 CVE-2022-34713 として追跡され、DogWalk と名付けられている。

Cloudflare の従業員に SMS フィッシング攻撃：Twilio の二の舞にならなかった理由は？

Cloudflare employees also hit by hackers behind Twilio breach

2022/08/09 BleepingComputer — 先週の Twilio のネットワークが侵害されたのと同様に、Cloudflare にも SMS フィッシング攻撃が発生し、同社の従業員の一部が認証情報を盗まれたとのことだ。この攻撃者は Cloudflare 従業員のアカウントを手に入れたが、同社の FIDO2 準拠のセキュリティキーによりログインでブロックされ、システムへの侵入には至らなかったという。

PyPI に仕込まれた悪意の Python ライブラリ 10件：認証情報や個人情報などを窃取

10 Credential Stealing Python Libraries Found on PyPI Repository

2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。

米財務当局が暗号通貨ミキサー Tornado Cash を制裁：北朝鮮 APT との関連性も指摘

US sanctioned crypto mixer Tornado Cash used by North Korea-linked APT

2022/08/09 SecurityAffairs — 米国財務省外国資産管理局 (OFAC : Treasury Department’s Office of Foreign Assets Control0) は、北朝鮮に関連する Lazarus APT Group が使用していた暗号ミキサー・サービス Tornado Cash を制裁した。暗号ミキサーとは、マネーロンダリングを利用するサイバー犯罪者にとって不可欠なコンポーネントであり、被害者から盗んだ暗号通貨を洗浄するために使用されていた。

Genesis は老舗ダークウェブ：サイバー犯罪者たちに洗練された情報とサービスを提供

Genesis IAB Market Brings Polish to the Dark Web

2022/08/08 DarkReading — アンダーグラウンドのサイバー犯罪経済における、イニシャル・アクセス・ブローカー (IAB initial access brokers) の役割の増大は、老舗の１つである Genesis Marketplace の進化に反映されており、時間の経過とともに洗練されてきたことが窺える。今週の Sophos のレポートでは、招待制として 2017年にスタートしたマーケット・プレイスを介して、認証情報やクッキーからデジタル指紋にいたるまで、他者のデータへの不正アクセスを脅威アクターに提供している、Genesis のビジネスが包括的に取り上げられている。

米CISA／豪ACSC の発表：2021年マルウェアの Top-10 や詳細などが明らかに！

US, Australian Cybersecurity Agencies Publish List of 2021’s Top Malware

2022/08/08 SecurityWeek — 米国の CISA とオーストラリアの ACSC が、2021年のマルウェア上位を詳述する共同アドバイザリーを発表した。CISA と ACSC によると、ランサムウェア／ルートキット／スパイウェア／トロイの木馬／ウイルス／ワームを監視してきた結果として、2021年はトロイの木馬が優勢であり、Agent Tesla／AZORult／Formbook／GootLoader／LokiBot／MouseIsland／NanoCore／Qakbot／Rems／TrickBot／Ursnif が上位を占めたとのことだ。

Facebook が摘発した南アジアのサイバー・ギャングたち：騙しのテクニックを分析

Meta Cracks Down on Cyber Espionage Operations in South Asia Abusing Facebook

2022/08/08 TheHackerNews — Facebook の親会社である Meta は、同社の SNS を利用してマルウェアを配布していた、南アジアにおける２つのスパイ活動への対策を講じたことを発表した。１つ目のアクティビティは、ニュージーランド／インド／パキスタン／イギリスの個人を標的とした、ハッキング・グループ Bitter APT (別名 APT-C-08／T-APT-17) により実施されたものだ。Meta は、この活動について、十分な持続性とリソースを持つと表現している。

Twilio にデータ侵害が発生：従業員に対する SMS フィッシングが攻撃の侵入経路

Twilio discloses data breach after SMS phishing attack on employees

2022/08/08 BleepingComputer — クラウド・コミュニケーション企業の Twilio は、従業員の認証情報が SMS フィッシング攻撃で盗まれた後に、内部システムに侵入した攻撃者により、一部の顧客データに不正アクセスされたことを発表した。同社は、「2022年8月4日に、従業員の認証情報を盗むことを目的とした高度なソーシャル・エンジニアリング攻撃により、限られた数の Twilio 顧客アカウントに関連する情報への、不正アクセスを確認した」と述べている。

Classiscam という Scam-as-a-Service：ヨーロッパとシンガポールで稼ぎ続ける

Researchers Uncover Classiscam Scam-as-a-Service Operations in Singapore

2022/08/08 TheHackerNews — Classiscamと呼ばれる巧妙な Scam-as-a-Service が、ヨーロッパでの拡大から1年半以上を経過した後に、シンガポールに潜入している。Group-IB は The Hacker News と共有したレポートの中で、「正当な買い手を装った詐欺師が、出品物から商品を購入するよう売り手に依頼し、支払いデータを盗むことが最終目的である」と述べている。同社は、このオペレーターについて、「上手に組織化された、技術的に高度な詐欺師の犯罪ネットワーク」と呼んでいる。

Twitter のゼロデイ脆弱性：540 万件のアカウント情報流出に悪用される

Twitter confirms zero-day used to expose data of 5.4 million accounts

2022/08/05 BleepingComputer — Twitter は、最近発生したデータ流出の原因が、現在は修正済みのゼロデイ脆弱性にあったこと、そして、メールアドレス／電話番号をユーザーのアカウントにリンクさせるために悪用されていたことを発表した。BleepingComputer が７月に行った、ある脅威アクターたちへのインタビューで、この脆弱性を悪用に成功した彼らは、 540万人のユーザーアカウントのリストを作成していたことが判明した。

台湾政府に DDoS 攻撃：ペロシ下院議長の訪問中に総統府 Web サイトなどがダウン

Taiwan Government websites suffered DDoS attacks during the Nancy Pelosi visit

2022/08/04 SecurityAffairs — ナンシー・ペロシ米下院議長の台北訪問中に、台湾政府の主要な Web サイトに対して DDoS 攻撃が行われ、一時的にオフラインに追い込まれるという事態が発生した。このサイバー攻撃により、政府の英語版ポータルサイトや、総統府／外務省／国防省における一部の Web サイトがオフラインになった。

CISA 警告：Zimbra Email の深刻な脆弱性 CVE-2022-27924 を KEV リストに追加

CISA Adds Zimbra Email Vulnerability to its Exploited Vulnerabilities Catalog

2022/08/04 TheHackerNews — 8月4日に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Eメールソフト Zimbra の最近公開された深刻な脆弱性を、活発に悪用されている証拠があるとして、KEV カタログに追加した。この問題は、CVE-2022-27924 (CVSS：7.5) として追跡されているコマンド・インジェクションの脆弱性で、任意の Memcached コマンドの実行／機密情報の窃取につながる可能性がある。

Dark Utilities という C2-as-a-Service が登場：すでに 3,000人のサブスクライバーを獲得

Thousands of hackers flock to ‘Dark Utilities’ C2-as-a-Service

2022/08/04 BleepingComputer — セキュリティ研究者たちが、サイバー犯罪者が悪意の作戦で使用する Command and Control (C2) センターを、簡単かつ安価に設置できる Dark Utilities という新たなサービスを発見した。Dark Utilities とは、Windows／Linux／Python ベースのペイロードをサポートするプラットフォームを脅威アクターに提供し、C2 通信路の実装に関連する労力を不要にするサービスである。

Woody RAT というリモートアクセス・トロイの木馬が登場：標的はロシアの組織

New Woody RAT used in attacks aimed at Russian entities

2022/08/04 SecurityAffairs — Malwarebytes の研究者たちは、Woody RAT と呼ばれる新たなリモート・アクセス型トロイの木馬で、ロシアの組織を標的とする未知の脅威アクターを観察した。攻撃者は、Follina Windows の欠陥 (CVE-2022-30190) を悪用するアーカイブ・ファイルや Microsoft Office ドキュメントを用いて、マルウェアを配信していた。

RapperBot ボットネットは Mirai 由来：SSH サーバにブルートフォースを仕掛けて休眠

New Linux malware brute-forces SSH servers to breach networks

2022/08/04 BleepingComputer — 2022年6月の中旬から、RapperBot と呼ばれる新しいボットネットが攻撃が検知されているが、その後の調査により、Linux SSH サーバーにブルートフォースで侵入し、デバイスに足場を築くことに重点を置いていることが判明した。研究者たちによると、RapperBot は Mirai トロイの木馬をベースにしているが、可能な限り多くのデバイスを無秩序に感染させるという、マルウェア本来の動作から逸脱しているようだ。

ドイツ商工会議所連合会 (DIHK) で大規模なサイバー攻撃が発生：ランサムウェアの可能性は？

German Chambers of Industry and Commerce hit by ‘massive’ cyberattack

2022/08/04 BleepingComputer — ドイツ商工会議所連合会 (DIHK：Association of German Chambers of Industry and Commerce) に対するサイバー攻撃が発生し、すべての IT システムを停止に追い込まれ、デジタルサービス／電子メールサーバ／電話などが停止する事態に陥った。DIHK は、ドイツ国内の企業を代表する 79の商工会議所の連合体であり、国内の小規模な商店から大企業まで、300万人を超える会員を擁している。

Amex と Snapchat にオープンリダイレクトの脆弱性：対応を間違えると悪用の範囲が拡大

American Express, Snapchat Open-Redirect Vulnerabilities Exploited in Phishing Scheme

2022/08/03 DarkReading — American Express と Snapchat のドメインに存在するオープン・リダイレクトの脆弱性を悪用する脅威アクターたちが、Google Workspace や Microsoft 365 のユーザーをターゲットにした、フィッシング・メールを送信していることが明らかになった。 INKY が発表した調査結果によると、どちらのケースにおいてもフィッシング詐欺師たちは、個人を特定できる情報 (PII) を、URL に含んでいたことが判明している。また、PII を Base 64 に変換し、ランダムな文字列に変換することで、それを隠蔽していた。

ウクライナのサイバー警察：フェイクニュース拡散に使われた 100万個のボットを停止

Ukraine takes down 1,000,000 bots used for disinformation

2022/08/03 BleepingComputer — ウクライナのサイバー警察 (SSU) は、SNS でフェイク・ニュースを拡散するために使用されていた、100万個のボットによる大規模なボットファームを停止させた。このボットファームの目的は、ウクライナ国家の公式情報を信用させず、同国の社会的／政治的状況を不安定にし、内戦を引き起こすことだった。ボットが拡散していたメッセージは、ロシアのプロパガンダに沿ったものであることから、そのオペレーターはロシアの特殊部隊のメンバーであると考えられている。

Microsoft のメール認証情報を狙うフィッシング・キット：MFA 回避機能を持つ？

Microsoft accounts targeted with new MFA-bypassing phishing kit

2022/08/03 BleepingComputer — Microsoft の電子メールサービスの認証情報を狙う、新たな大規模フィッシング・キャンペーンにおいて、カスタム・プロキシ・ベースのフィッシング・キットを用いられ、多要素認証 (MFA) を回避していることが判明した。このキャンペーンの目的は、エンタープライズ・アカウントに侵入して BEC (Business Email Compromise) 攻撃を行い、偽造書類を用いて支配下の銀行口座へと支払いを実行させることだと研究者たちは捉えている。