ぼくの備忘録

セキュリティに関するニュースで気になったものを、個人的なメモと共に残していきます。

2024/11/10

【攻撃の傾向・手法】

米国CISAが注意を呼びかけたRDP構成ファイルを添付したフィッシングについてまとめてみた - piyolog

米国CISAが注意を呼びかけたのはRDP構成ファイル(拡張子.rdp)が添付されたフィッシングメール各報告によれば、一連のフィッシングは諜報活動を目的に行われたもの分析されており、さらにMicrosoftはこの活動が継続中であると分析している。

攻撃者が送ってきたRDP構成ファイルも、設定された内容で攻撃者が用意したサーバーにリモートデスクトップ接続することが可能となっていた。さらに接続をする側、つまりメールを受け取った側のWindows端末のローカルシステムの機能およびリソースが攻撃者側が用意したサーバーに拡張される設定がされていた。

フィッシングメールに使用していたおとりの内容(ルアー)について、Microsoftの従業員や他のクラウドサービスプロバイダに偽装していたケースが確認されている。攻撃者が用意したリモートデスクトップサーバーも一部はAWSを想起させるドメイン名が用いられていた。

 

【攻撃組織の動向】

中国と連携していると考えているハッキング集団「ミラーフェイス」が送るスピアフィッシングメール内の誘導文書は日本をテーマにしており、「2025年に日本で開催される万博」と題する文書をダウンロードするよう標的に促していた。ESETは「MirrorFaceの通常の標的に対する活動は止まらなかった。脅威アクターが研究機関や政党など、さまざまな日本の組織を標的にし続けているのを確認した。」中国とつながりのある脅威グループによる日本の機関への攻撃疑惑は近年増加している。昨年8月、日本のサイバーセキュリティ機関は、自らがハッキングを受け、攻撃者が発見されるまでの9か月間、機密データにアクセスしていた可能性があると発表した

 

脆弱性情報】

Microsoft SharePoint RCE bug exploited to breach corporate network

最近公開された Microsoft SharePoint のリモート コード実行 (RCE) の脆弱性 (CVE-2024-38094 として追跡) が、企業ネットワークへの初期アクセスを取得するために悪用されています。Rapid7 は、攻撃者が CVE-2024-38094 を使用して脆弱な SharePoint サーバーに不正アクセスし、Web シェルを埋め込んだと報告しています。

 

【当局関連の動き、法規則等】

「ランサムウェア・インシデント発生時の組織向けガイダンス」公表 [2024.10.03] | ScanNetSecurity

警察庁は10月3日、米国時間9月30日から10月3日にかけて米国で開催された「第4回カウンターランサムウェア・イニシアティブ会合」にて、「ランサムウェア・インシデント発生時の組織向けガイダンス」が発出されたと発表。

ランサムウェア・インシデント発生時の組織向けガイダンス」は、ランサムウェア・インシデントが組織に及ぼす影響全体を最小限に抑え、かつ「業務の妨害とコスト」「ランサムウェア被害組織による身代金の支払件数」「ランサムウェア被害組織による身代金の支払額」の軽減を目的としたもので、ランサムウェ ア犯罪者への支払いを検討する前に、組織が講じるべき手順の全体的な概要を提供。

 

【調査結果・ベンダーレポート】

Rise Of Ransomware-As-A-Service Leads To Decline Of Custom Tools

Raasについて。

Hackers Using AV/EDR Bypass Tool From Cybercrime Forums To Bypass Endpoints

EDRSandBlast ソース コードから派生した disableder.exe ツールは、脆弱なドライバー wnbios.sys または WN_64.sys を利用して特権アクセスを行うことで、ユーザー モードとカーネル モードの EDR フックをターゲットにして削除します。 

Monthly Threat Actor Group Intelligence Report, August 2024 (JPN) – Red Alert

(日本に関係あるもの)

SectorA01:採用担当者として偽装して採用テストやソースコードレビューテストなどのファイル名に偽装した圧縮ファイルを使用し、圧縮ファイル内部の悪性のスクリプトの実行を誘導した。

SectorA04:アンチウイルスソフトの管理システムに存在する知られざるの脆弱性を悪用し、システムやネットワーク接続情報などを収集する機能を実行するマルウェアを配布した。

チェック・ポイント、2025年のサイバーセキュリティ予測を発表 〜AIと量子技術の台頭による新たなサイバー脅威に加えて、ソーシャルメディアを悪用した攻撃が激化 – SecurityInsight | セキュリティインサイト

重要なサプライチェーンを狙った攻撃が行われるようになり、業界全体に影響を及ぼすような大規模なランサムウェア攻撃がより一般的になる。攻撃者たちは、AIを駆使したフィッシングメールやディープフェイクによるなりすましを使って、防御を突破していく。

【セキュリティ ニュース】DDoS攻撃、前月から約3割減、最大攻撃規模も縮小 - IIJレポート(1ページ目 / 全1ページ):Security NEXT

インターネットイニシアティブIIJ)は、同社サービスやバックボーンで9月に観測したDDoS攻撃の状況を取りまとめた。件数や攻撃の最大規模は前月から大きく減少している。

 

【セキュリティ対策機器、ツールの紹介記事】

Antivirus, Anti-Malware Lead Demand for AI/ML Tools

アンチウィルスにはAIや機械学習が含まれている、という。。

 

【コラム系】

特殊詐欺のコミュニティで行われている活動について - NTT Communications Engineers' Blog

AIコーディングの主なセキュリティリスクと対処法:Gartner Insights Pickup(376) - @IT

総じて生成AIのアウトプットについて、脆弱性やちょさっ権侵害がないか等、リスクに対する目線を決めて、きちんと確認する体制が必要。。

 

【その他】

Introduction | ASM導入検討を進めるためのガイダンス(基礎編)