akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

セキュリティニュース(2024年3月15日夜)

セキュリティ ニュース

Bitcoin Fogの運営者に有罪判決 合計4億ドルを洗浄か

サイバー犯罪者がマネーロンダリングに利用する"Bitcoin Fog"の運営者が有罪判決。合計4億ドルを洗浄しており、その大部分はさまざまな犯罪に関連しているとのこと。

運営者は、2011年から2021年までビットコインフォグを運営していたとして、ワシントンD.C.の連邦陪審員によって有罪判決を受けた。ミキシングサービスは犯罪者たちの資金洗浄プロセスにおいて重要な役割を果たすため、当局はそれらの動きに注目している。

Bitcoin Fog mixer operator convicted for laundering $400 million

 

LockBitアフィリエイトに4年の懲役刑 86万ドルの賠償金も

LockBit主要メンバーが4年の懲役刑。被害者に86万ドルの賠償金を支払うほか、米国への引き渡しも待ち受けている。

オンタリオの裁判所は、LockBitランサムウェア作戦への関与を理由に主要メンバーに対して4年の懲役刑を言い渡した。対象者は2022年11月に逮捕され、2024年2月にサイバー恐喝、破壊行為、武器犯罪など8つの罪状を認めた。

LockBit ransomware affiliate gets four years in jail, to pay $860k

セキュリティニュース(2024年3月9日夜)

セキュリティ ニュース

Microsoft 、Midnight Blizzardによる攻撃の増加を公表

Microsoftは、'Midnight Blizzard'がソースコードリポジトリや内部システムに不正アクセスしたと発表。

1月に行われたメールシステムへの攻撃で窃取したデータ内にシークレットが含まれており、それを使用して不正アクセスが行われたとのこと。シークレットは同社と顧客との間で共有されており、今回影響を受けた顧客に対して同社はコンタクトしている。1月に発生していたMidnight Blizzardからの攻撃量と比較し、2月は10倍に増加していたとのこと。

Microsoft says Russian hackers breached its systems, accessed source code

 

約15万台の機器がFortinetのクリティカルな脆弱性の影響を受ける可能性

Shadowserver Foundationによると、約15万台のFortinetのFortiOSとFortiProxyがCVE-2024-21762に脆弱であると公表した。

脆弱性は認証不要でコードの実行が可能になり、CVEスコア9.8が付けられている。脆弱なデバイスのうち、米国が2万4千以上で最も多く、その後にインド、ブラジル、カナダとなっている。CISAは、同脆弱性に対する攻撃が行われていることを確認したため、KEVカタログに同脆弱性を追加している。

Critical Fortinet flaw may impact 150,000 exposed devices

セキュリティニュース(2024年3月8日夜)

セキュリティ ニュース

NSACISA クラウド環境に関するベストプラクティスを公開

NSACISAが、クラウド環境を安全に保護するためのベストプラクティスに関する5つの文書を公開。

これらのガイドは、アイデンティティおよびアクセス管理ソリューション、鍵管理ソリューション、クラウド内のデータの暗号化、クラウドストレージの管理、およびマネージドサービスプロバイダからのリスクの軽減に焦点を当てている。

参考元:CISA, NSA share best practices for securing cloud services

 

Xplain社 ランサムウェア被害により連浦政府に関わる数千件のファイルに影響

スイスの国立サイバーセキュリティセンター(NCSC)が、Xplain社で発生したランサムウェア攻撃に関する分析レポートを公表。この攻撃により、連邦政府に関わる数千件の機密ファイルに影響が出たことが明らかになった。

Xplainはスイスのテクノロジーソリューションプロバイダーであり、政府機関や軍隊にサービスを提供している。Playランサムウェアグループは2023年5月23日に同社を侵害し、6月上旬には窃取したデータを公開した。政府はこれに対し調査を開始し、6万5000件の政府文書が流出したことを確認。調査は2024年3月末までに完了し、連邦評議会に調査結果と推奨事項が共有される予定。

参考元:Switzerland: Play ransomware leaked 65,000 government documents

 

中間者フィッシング攻撃によってTeslaの車が解錠可能に、研究者らがデモ

セキュリティ研究者は、中間者攻撃でのフィッシングによって、Teslaアカウントの侵害したり、車を走らせたり解錠することが可能であることをデモした。特定バージョンのTeslaのアプリやソフトウェアで攻撃の再現が可能とのこと。

攻撃者はWifiネットワークを偽装し、被害者のTeslaのアカウント情報を盗み取り、車両のロックを解除して運転することが可能であることを示した。攻撃成功時、被害者はログイン情報やワンタイムパスワードを偽のログインページに入力し、車の盗難を可能にしてしまう。研究者はTeslaに通報したが、Teslaは報告内容が対象外であると判断した。

参考元:MiTM phishing attack can let attackers unlock and steal a Tesla

 

GoogleのソフトウェアエンジニアがAI技術に関する企業秘密を窃取か

Googleのソフトウェアエンジニアに対する起訴状が米国司法省によって公開された。38歳のリンウェイ(レオン)・ディング氏は、GoogleのAI技術に関する企業秘密を盗んだ疑いが持たれている。

起訴状によると、ディング氏はGoogleのAI技術に関する独自情報を盗み、中国企業に転送していた。2022年5月21日からGoogleの個人Google Cloudアカウントに専有データをアップロードし始め、約1年間にわたり500以上のファイルを盗んだ。2024年3月5日にカリフォルニア州で逮捕され、最高10年の懲役刑と合計100万ドルの罰金が科される可能性がある。

参考元:Google engineer caught stealing AI tech secrets for Chinese firms

セキュリティニュース(2024年3月7日夜)

セキュリティ ニュース

PetSmart クレデンシャルスタッフィングに起因してパスワードリセットを実施

米国最大手のペット用品小売業者が一部の顧客にパスワードリセットをしたと警告。顧客アカウントの侵害を狙った継続的なクレデンシャルスタッフィング攻撃が原因。

PetSmartは自社のシステムが侵害された訳ではないが、セキュリティツールで同攻撃の観測が増加していることから、攻撃に巻き込まれたアカウントのパスワードをリセットし、セキュリティ対策を強化している。これまでにもPayPalSpotify、Xfinity、Chick-fil-Aなどの企業も同様の攻撃を受けている。

参照元PetSmart warns of credential stuffing attacks trying to hack accounts

 

攻撃者がJetBrainsの解消された脆弱性の悪用を開始

攻撃者は、JetBrainsが解消したTeamCity On-Premisesの深刻な認証回避の脆弱性(CVE-2024-27198)を悪用し始めている。未修正のTeamCityインスタンスで新しいユーザーが多数作成されている。

LeakiXによると、まだ修正を受けていない1,700台以上のTeamCityサーバーが存在し、そのうち1,440台以上がすでに侵害されているとのこと。同脆弱性を悪用することで、認証不要で管理者権限を乗っ取ることが可能性になる。JetBrainsは最新版へのアップデートを奨励している。

参照元Critical TeamCity flaw now widely exploited to create admin accounts

セキュリティニュース(2024年3月7日朝)

VMware クリティカルな脆弱性を修正するセキュリティアップデートをリリース

VMwareがESXi、Workstation、Fusion製品に存在するサンドボックスエスケープが可能な脆弱性を修正するセキュリティアップデートをリリースした。

修正された脆弱性は、攻撃者が仮想マシンを脱出(エスケープ)してホストOSへのアクセスを可能にするもの。4つの脆弱性(CVE-2024-22252、CVE-2024-22253、CVE-2024-22254、CVE-2024-22255)が報告され、いずれも致命的な重大度を持つ。脆弱性への回避策として、USBコントローラーを仮想マシンから削除すること。キーボード、マウス、USBデバイスの接続に影響を及ぼすが、対策として有効とのこと。早急なパッチ適用が重要としているが、VMwareはこれらの脆弱性の活用の兆候や報告はないとしている。

参照元VMware fixes critical sandbox escape flaws in ESXi, Workstation, and Fusion

 

FINTRAC 企業システムを予防的にオフラインに

カナダのFINTRAC(Financial Transactions and Reports Analysis Centre of Canada)は、「サイバーインシデント」により、企業システムを予防的にオフラインにしたと発表した。

FINTRACはカナダの政府機関であり、金融インテリジェンスのユニットとして活動している。毎年数百万の不審な取引を追跡し、違法な資金の流れに関する数千の開示を行っている。サイバー攻撃は2/26週末に発生し、FINTRACは連邦政府と協力してオペレーションの復旧と再発防止のための防御強化に取り組んでいます。脅威アクターは不明。

参照元Canada's anti-money laundering agency offline after cyberattack

 

Duvel Moortgat Brewery ランサムウェア攻撃により製造停止

ベルギーのビールブランドであるDuvel Moortgat Breweryは3月5日、ランサムウェア攻撃を受け、製造を停止した。

Duvelはゴールデンペールエールで知られるベルギーのビールブランド。担当者曰く、深夜にランサムウェア攻撃を検知したアラートがなり、すぐさま製造を停止したとのこと。再開時期は未定だが、ビールの十分なストックがあったため、製品の出荷には影響ないとコメントしている。Redditではビール好きのユーザーが「国家の危機」などとユーモアで対応。なお、攻撃の影響範囲と犯行声明は不明。

参照元Duvel says it has "more than enough" beer after ransomware attack

 

セキュリティニュース(2024年3月6日夜)

セキュリティ ニュース

Apple 緊急のセキュリティアップデートをリリース

AppleiPhoneへの攻撃で悪用された2つのiOSゼロデイ脆弱性を修正する緊急セキュリティアップデートをリリースした。

iOS Kernel(CVE-2024-23225)およびRTKit(CVE-2024-23296)における脆弱性は、任意のカーネル読み取りおよび書き込みによってカーネルメモリ保護の回避が可能になる。Appleは、iOS 17.4、iPadOS 17.4、iOS 16.76、およびiPad 16.7.6のデバイス向けにこれらの脆弱性を修正した。セキュリティ更新を迅速にインストールすることが強く勧められてる。

参照元Apple fixes two new iOS zero-days exploited in attacks on iPhones

 

NSA 組織向けに新たなガイドラインを共有

組織がゼロトラストフレームワークを採用することにでネットワーク内の攻撃者の動きを制限できるよう、アメリカ国家安全保障局NSA)が新しいガイダンスを共有した。

ゼロトラストセキュリティアーキテクチャは、ネットワーク上のリソースへの厳格な制御を要求し、侵害の影響を最小限に抑えます。NSAがネットワークと環境の柱に焦点を当てたゼロトラストガイダンスを発表したことで、組織はゼロトラスト原則に基づいて構築を進めることが期待される。

参照元NSA shares zero-trust guidance to limit adversaries on the network

HTB Vaultでのポートフォワーディングテク

HTB エクスプロイト セキュリティ

久々にHTBにじっくり取り組んだ。
Vaultマシンでいろいろためになることを学んだので備忘録として残しておく。

Vaultはポートフォワーディングを存分に使えるマシンだった。
sshやncatを使って複数のマシンを経由したりするので、汚いが自分の理解のために作成した図と一緒に、攻略のために使ったポートフォワーディングのテクニックを書いていく。
※retiredマシンではあるが、ネタバレを含むので攻略がまだの人はご承知おきを。
※本記事を書く上で、HTBのWriteupのPDFとippsecの動画は大変参考になったので、そちらも参考にしてもらえればと思います。

■ローカルポートフォワーディング

使ったコマンド:

ssh -L 8000:192.168.122.4:80 dave@10.129.42.133

ローカル側で待ち受けるポートと、待ち受けたポートへの接続がどのリモートサーバにフォワードされるのかを指定する。
この場合、kaliへの8000のリクエストが10.129.42.133を経由し、192.16.122.4の80ポートへ転送される。


■ダイナミックポートフォワーディング
使ったコマンド:

ssh -D 1080 dave@10.129.42.133

指定のポートでローカル側で待ち受けて、proxy的にターゲットネットワークにあるホストへの接続が可能になる。
この場合、kali側で1080ポートが待ち受けるようになり、127.0.0.1:1080を経由することで、リモートサーバ(10.129.42.133)からアクセス可能なサーバにリクエストが可能になる。
例えばproxychainsの設定(/etc/proxychains.conf)がされていれば、以下のようにcurlすることが可能

proxychains curl 192.168.122.4

(curl --proxy socks5://127.0.0.1:1080 192.168.122.4 としても同じ結果となる)


■リモートポートフォワーディング
使ったコマンド:

ssh -R 9001:127.0.0.1:9001 dave@10.129.42.133

ローカル側で待ち受けるポートを指定し、待ち受けたポートへの接続がどのサーバに転送されるのかを指定する
この場合、リモートマシン側(10.129.42.133)の9001がオープンして待ち受けられ、その9001に来た接続が、kali(127.0.0.1)の9001に転送される。リバースシェルを取得する時とかに使う。


■ncatを使ったファイアウォールバイパス
使ったコマンド:

ncat -l 7001 --sh-exec "ncat 192.168.5.2 987 -p 53" &
ssh -p 7001 dave@localhost

192.168.122.4から192.168.5.2のSSHポート(987)に接続するには、送信元ポートを53に指定する必要がある。そのためncatを使って、SSH接続時に送信元ポートを指定するようにすれば、ターゲットマシン(192.168.5.2)にSSH接続することが可能になる。




以上、ポートフォワーディングは難しいが、知っておくと必ず役に立つ。