ぼくの備忘録

セキュリティに関するニュースで気になったものを、個人的なメモと共に残していきます。

2021/7/19

【攻撃の傾向・手法、攻撃組織の動向】

Chinese State-Sponsored Cyber Operations: Observed TTPs | CISA

"Candiru" Spyware Maker Exploits Patched Windows 0-Days

行政機関や銀行を名乗る不審な電話「ビッシング」、カスペルスキーが注意喚起 - INTERNET Watch

行政機関や銀行を名乗る不審な電話「ビッシング」、カスペルスキーが注意喚起 - INTERNET Watch

 

脆弱性情報】

iPhoneのWi-Fiを破壊 悪質SSIDが無害になりすます手口、被害拡大か - Engadget 日本版

改造USBデバイスでWindows Hello顔認証をバイパスできる脆弱性 - PC Watch

【当局関連の動き、法規則等】

 ・中国政府、9月から自国製品のゼロデイ脆弱性の管理に新たなレギュレーション | ScanNetSecurity

 

【その他】

 ・姿を消したランサムウェア集団 被害企業が苦境、裏社会で裁判沙汰も:この頃、セキュリティ界隈で(1/2 ページ) - ITmedia NEWS

 

2021/7/12

インシデント事例

 ・Kaseya 社がランサムウェアグループ REvil によるサプライチェーン攻撃の標的に

 

【攻撃の傾向・手法、攻撃組織の動向】

Chinese Hackers Target Taiwanese Telecom Firms - E Hacking News - Latest Hacker News and IT Security News

Millions of Login Credentials Stolen By an 'Unnamed Malware' - E Hacking News - Latest Hacker News and IT Security News

  

【その他】

企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか:4種類のツールを使う - @IT

Microsoft's Windows Cloud PC service almost here - What we know so far

東京五輪は稼ぎ時、中国やロシアが仕掛けるサイバー攻撃の手口 コロナで四苦八苦の日本に容赦なし、今からできる効果的対策とは(1/8) | JBpress (ジェイビープレス)

CSIRTの歴史的変遷で探るインシデント対応の課題と解決の道のり - ZDNet Japan

Ransomware attacks driving cyber reinsurance rates up 40% | ZDNet

ランサムウェに支払われた身代金の詳細をまとめるウェブサイト「Ransomwhere」 - GIGAZINE

ログインURLの検索時に表示される「JpSecured」サイトに気を付けて! 金融庁が注意喚起【やじうまWatch】 - INTERNET Watch

 

2021/7/10

インシデント事例

○Kaseya社が提供する監視ツールの脆弱性を突いたランサムウェア攻撃により、実行犯の「Revil」がKaseya社に対して、暗号化されたデータの復号鍵を見返りとする脅迫をしている件

Kaseya VSAサプライチェーンランサムウェア攻撃、CISAとFBIが強く対策呼びかけ - ITmedia エンタープライズ

米IT企業への大規模ランサムウェア攻撃、78億円の身代金要求か - ZDNet Japan

→ 自社製品の脆弱性が悪用されたことで、顧客に迷惑をかけている弱みを突いて、お金を要求しているのは、非常に賢いなと思います。Kaseyaにも、色々な圧力がかかっているに違いないですね。

REvil victims are refusing to pay after flawed Kaseya ransomware attack

 →ただし、上記の記事を読むと、攻撃実行犯の攻撃手法にお粗末な点が有り、バックアップが削除されていなかったり、情報の漏洩がなかったケースが多く、ほとんどの企業が、身代金を支払わずとも、復旧可能だったようです。

 

○MorganStanleyから情報流出が発生した件

Morgan Stanley Discloses Data Breach

Morgan Stanley discloses data breach after the hack of a third-party vendorSecurity Affairs

→委託先からの漏洩が発覚したようです。

 

○CNAへのランサムウェア攻撃により、情報漏えいもあったことが発覚した件。

Insurance giant CNA reports data breach after ransomware attack

Insurance firm CNA discloses data breach after ransomware attackSecurity Affairs

→盗まれた契約者情報がダークウェブやハッキングフォーラムで表面化したり、交換されたり、売りに出されたりした証拠は見つからなかったとしています。

 

PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 | スラド IT

 

【攻撃の傾向・手法、攻撃組織の動向】

○アンチウィルスをすり抜ける新たな攻撃手法

Hackers disabling Macro security warnings in new malspam campaign

Hackers Uses New Technique to Disable Macro Security

>McAfee Labsの専門家の報告によると、これらのキャンペーンでは、悪意のない文書を使用してセキュリティ警告を無効にしてから、標的となるコンピュータ上でマクロコードを実行するという新しい手法が使われています。つまり、ハッカーは、スパム添付ファイルのマクロに悪意のあるコードが含まれていない状態で、悪意のあるDLL/ZLoaderをダウンロード/実行していることになります。そこで、マクロのセキュリティ警告を無効にするための新たな手口が考案されました。

→wordファイルを開くと、「マクロの利用を許可する」指示がファイル上に記載されており、これに従って許可すると、wordを開くと同時にC2サーバからダウンロードされたエクセルファイルにもそのポリシーが適用され、そのエクセルファイルに記載のマクロが実行されてしまい、マルウェアがダウンロードされる・・・、という仕組みのようです。

→ダウンロードされてくるのはZloaderのようで、日本でも被害が確認されているよう。

 

○セキュリティエンジニアをターゲットとした標的型攻撃が増えているらしい。

Lazarus gang targets engineers with job offers using poisoned emails

 

ランサムウェア感染時の身代金支払い判断について

proofpoint Blog 第2回 「身代金を支払うのは正解か? ~ ランサムウェア支払い結果 7 か国比較から考えるサイバー犯罪エコシステムへの対処」 | ScanNetSecurity

→身代金を支払って、復号できなかったのは2%とのこと。予想外に低い数値だが、一方で追加で身代金を要求されたケースも多いとのこと。

※参考:2020 年 State of the Phish レポート | Proofpoint JP

ランサムウェア サバイバルガイド2021 | Proofpoint JP

 

○ロシアが、米国の当局や民間組織のクラウドシステムに対して、総当たり攻撃を仕掛けているらしい。

Kubernetes Used in Brute-Force Attacks Tied to Russia’s APT28 | Threatpost

→組織NWへの侵入が目的らしいけど、手法が検知されやすく、リスキーな気がする。。

 

ランサムウエアは収益重視型に、マカフィーが1~3月のセキュリティー脅威動向を発表 | 日経クロステック(xTECH)

CISA Analysis Reveals Successful Attack Techniques of FY 2020

MAR-10337802-1.v1: DarkSide Ransomware | CISA

Latest Ransomware Developed to Avoid Russian Systems

 ・TrickBot Spruces Up Its Banking Trojan Module | Threatpost

 

脆弱性情報】

Microsoft Urges Azure Users to Update PowerShell to Patch RCE Flaw

 

【当局関連の動き、法規則等】

○ゼロトラストに関する米国の動向

世界を安全に保つ上でゼロトラストが果たす重要な役割とは――Microsoftが解説:大統領命令の意義も紹介 - @IT

→ゼロトラスト実現に必要な3要素

  • どのリソースに対してもアクセスが可能になる前に、認証(authentication)と認可(authorization)が動的に実行されなければならない
  • アクセス要求者の信頼性が評価された後に、アクセスを許可する。ただし、タスクの完了に最小限必要な権限でアクセスが許可されなければならない
  • 攻撃者が企業ネットワーク上に存在するという想定の下で(ソフトウェア、ハードウェア)資産(asset)を稼働しなければならない

 

【技術関連(お勉強)】

 

【そのほか】

Appleの新プライバシー保護機能「プライベートリレー」はリスクベース認証を無力化させる - GIGAZINE

Firefoxが通信暗号化システム「DNS over HTTPS」の対象地域拡大を発表、一体何が変わるのか? - GIGAZINE

顔認証システムをだます詐欺が急増、詐欺師はどうやって突破しているのか? - GIGAZINE

 ・グレーハットハッカーを繋ぎ止められるか - Fox on Security

金融機関のゼロトラストへの取り組み まだ少数 | ScanNetSecurity

マイクロソフト、定額制の仮想デスクトップサービス「Cloud PC」を来週発表か - ZDNet Japan

AWSで使わないリージョンへの対策まとめ | DevelopersIO

 

 

2021/7/3

インシデント事例

 ・Kaseya is Focus of New Supply Chain Ransomware Attack

→システム監視機能を担うSaaSランサムウェアに感染。Kaseya社は検知後すぐにSaaSをシャットダウンしたとのこと(ユーザー企業側のシステム監視が不可能になっている状況・・?)

Certificate Authority hacked by Implanting Backdoor on Official website

Spanish telecom giant MasMovil hit by Revil ransomware gang

東北工業大学のメールアカウントに不正アクセス、特定の条件下でクラウド認証サービスで設定したアクセス制御が機能せず | ScanNetSecurity

>特定の条件下でアクセスが行われた場合はクラウド認証サービスに設定したアクセス制御設定が機能せず、多要素認証を求めることなく認証されるという事象が確認されている。

が気になる。。。

 

【攻撃の傾向・手法、攻撃組織の動向】

今後は通信機器のファームウェアなどが狙われやすくなる Microsoft 365 Defender Research Teamの指摘 - ITmedia エンタープライズ

 

脆弱性情報】

Microsoft Issues New CVE for 'PrintNightmare' Flaw

PrintNightmare 0-day can be used to take over Windows domain controllers - Malwarebytes Labs | Malwarebytes Labs

CISA alert urges to disable Windows Print Spooler to percent PrintNightmare attacksSecurity Affairs 

 

【当局関連の動き、法規則等】

NSA-CISA-NCSC-FBI Joint Cybersecurity Advisory on Russian GRU Brute Force Campaign | CISA

NSA, Partners Release Cybersecurity Advisory on Brute Force Global Cyber Campaign > National Security Agency Central Security Service > Press Room

FBI, NSA: Russian military cyber-unit behind large-scale brute-force attacks - The Record by Recorded Future

NSAやFBIが「ロシア政府のハッカーが世界の政府機関や民間機関に攻撃を仕掛けている」と公式警告を発する - GIGAZINE

プーチン大統領が大手IT企業に対してロシアにオフィスを置くよう義務づける法律に署名 - GIGAZINE

  

【その他】

74% of Q1 Malware Was Undetectable Via Signature-Based Tools

そのパスワードで大丈夫? 日本人がやりがちなパターンをランキングでチェック【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch

【注意喚起】アングラサイトなどの訪問が発端となるブラウザ通知スパム | トレンドマイクロ is702

マネフォ「保険の見直し」提供開始 家計データからライフネット生命、SBIいきいき少短を提案 - ITmedia ビジネスオンライン

一般企業も耳が痛い? 金融機関のシステム障害1500件を引き起こした“4大原因”:クラウドやサードパーティー利用もリスクに - ITmedia エンタープライズ

China investigates Didi over cybersecurity days after its huge IPO | Reuters

Insurance and Ransomware - Schneier on Security

・Study Finds Insurance Companies Lack Cyber Hygiene | SecurityWeek.Com

2021/7/1

インシデント事例

琉球銀行の社外クラウドへ不正アクセス、顧客情報流出の可能性 | ScanNetSecurity

「りゅうぎんWeb申込サイト」システムへの第三者による不正アクセス発生および「りゅうぎんWeb申込サイト」「来店予約サービス」のサービス一時停止について|琉球銀行(りゅうぎん)

ますも証券のWebサイトにサイバー攻撃、顧客情報流出の可能性 | ScanNetSecurity

Capital One Breach Suspect Faces New Criminal Charges

 

【攻撃の傾向・手法、攻撃組織の動向】

トレンドマイクロ報告:被害者ゼロ、DarkSide騙る稚拙すぎるサイバー犯罪者の脅迫メール日本語訳 | ScanNetSecurity

Supply Chain Attacks on Docker and Kubernetes Increased

クラウドサービスを狙うサイバー犯罪者集団「TeamTNT」が認証情報窃取対象を拡大

マカフィー、モバイル脅威レポート最新版を公開 - SecurityInsight | セキュリティインサイト

SMB Worm Targeting EternalBlue Vuln Spreads to US

 

【当局関連の動き、法規則等】

White House Will Release Details on Exchange Attacks

CISA’s CSET Tool Sets Sights on Ransomware Threat | CISA

 

【その他】

・FireEye Blog 第2回「ランサム攻撃者と交渉する話 ― 身代金はどこまで値切れるか?」 | ScanNetSecurity

Protecting your organizations against BEC and other email attacks - Help Net Security

ビッシングは在宅時代の穴となるか - Fox on Security

CISOが取り組む6つの防衛策 - Fox on Security

 

2021/6/26

 

【攻撃の傾向・手法、攻撃組織の動向】

ランサムウェア攻撃に対し身代金を払った企業の8割はまた襲われる|ニューズウィーク日本版 オフィシャルサイト

サイバー攻撃に直面する五輪 対策すり抜けた「出来事」:朝日新聞デジタル

Dark Reading | Security | Protect The Business

Chinese Group "RedFoxtrot" Attacking Asian Countries Defense Networks

→中国の軍関係の攻撃者グループがインドの航空関係企業へ攻撃を実施 

New Ransomware Uses Virtual Machine to Launch Attacks

 

【当局関連の動き、法規則等】

NIST Publishes Ransomware Guidance - Infosecurity Magazine

 

【技術関連(お勉強)】

[初心者向け]200以上あるAWSサービスのどこから始めれば良いのかガイド | DevelopersIO

「AWSアカウントのセキュリティインシデント調査どうする? Amazon Detectiveを利用した調査の勘所」というタイトルでAKIBA.AWS ONLINE #04に登壇しました #AKIBAAWS | DevelopersIO

New CPU Baseline for Windows 11 Will Ensure Better ...

 

【その他】

ASCII.jp:「暗号化ZIPのパスワードは別送します(PPAP)」は無意味、ZIP暗号化パスワードは1秒未満で解読可能

Mission Critical: What Really Matters in a Cybersecurity Incident

Ransom Leak Sites Reveal 422% Annual Increase in Victims - Infosecurity Magazine

Ransomware Attacks Fall as Gangs Focus on Lucrative Targets - Infosecurity Magazine

イエラエセキュリティ CSIRT支援室 第 14 回 クラウド普及で事故激増ーースクリプト化したスピード攻撃が、ラフな権限管理を狙い撃ち | ScanNetSecurity

【特集】Windows 11で必須になった「TPM 2.0」って何?TPMの役割や確認方法を紹介 - PC Watch

MITRE D3FEND Matrix について簡単にまとめてみた! - セキュリティコンサルタントの日誌から

REvil Ransomware Code Ripped Off by Rivals | Threatpost

 

【一言】

NISTのランサムウェア対策のガイドが気になるので、要チェック。 

2021/6/20

インシデント事例

 ・カーニバルコーポレーションはサイバー攻撃に翻弄される - Fox on Security

North Korea Exploited VPN Flaw to Hack South's Nuclear Research Institute

 

【攻撃の傾向・手法、攻撃組織の動向】

新種のランサムウェア攻撃:AlumniLocker、Humbleを解説

Fake DarkSide gang demands 100 BTC from companies

Extortion Emails by Bogus DarkSide Gang Targets Energy and Food Industry - E Hacking News - Latest Hacker News and IT Security News

【注意喚起】正規アプリをアンインストールさせようとする偽のセキュリティアプリに注意 | トレンドマイクロ is702

4億円を米石油パイプライン大手から窃取、露ハッカー集団「ダークサイド」が使った手口【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch

 

脆弱性情報】

Wi-Fiデバイスのほぼ全てに影響 無線LANの脆弱性「FragAttacks」とは?:無線LANの脅威「FragAttacks」を解剖する【前編】 - TechTargetジャパン セキュリティ

 

【その他】

ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 | スラド セキュリティ

Windows 11はTPM 2.0が必須か。旧式PCにリーク版インストールで関連エラー | スラド ハードウェア

経産省がゼロトラストの概念取り入れた業務環境、「イケてる」作りに驚いた | 日経クロステック(xTECH)

「SOAR」を基礎から徹底解説 セキュリティを隅々まで自動化 | ビジネスネットワーク.jp

Police Bust Major Ransomware Gang Cl0p

Akamai’s DDoS Mitigation Service Triggers Outages | Threatpost

米露首脳会談で交わされたサイバーセキュリティやランサムウェアの議論--専門家はどう見る? - (page 2) - ZDNet Japan

New malware blocks victims from visiting The Pirate Bay, illegal sites

OSSを介したサプライチェーン攻撃、どうすれば防げるのか:パッケージ管理システムには要注意 - @IT

「仮想パッチ」は通常のパッチと何が異なるのか:ネットワークレベルでエンドポイントの脆弱性に対処 - @IT