akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

Bleeping Computer ニュースまとめ (2024年12月7日)

 

 

Microsoft expands Recall preview to Intel and AMD Copilot+ PCs

Microsoftは、Recall機能のテストを現在、Windows 11 Insiderプログラムに登録されたAMDおよびIntel搭載のCopilot+ PCで行っています。Recallは、アクティブウィンドウのスクリーンショットをいくつかの間隔でキャプチャし、それらを分析し、自然言語を使用して特定のスナップショットをWindows 11ユーザーに許可する機能です。しかし、専門家はこれをセキュリティリスクとして警告しました。Microsoftはこの問題に対処するために、Recallをオプトインおよび取り外し可能な機能にし、Windows Helloを使用してプレゼンスを確認する必要があるようにしました。Recallは今、クレジットカード番号やパスワードなどの機密情報を除外し、特定のアプリ、ウェブサイト、または非公開ブラウジングセッションを保存から除外することができます。Recallはさらに、マルウェアに対する防御およびレート制限の保護を含み、保存設定を調整したりスナップショットを削除したり、完全に保存をオフにしたりすることが可能です。Recallは現在、中国語(簡体)、英語、フランス語、ドイツ語、日本語、スペイン語などをサポートしており、Windows Insiderプログラムを通じてユーザーに提供されるようになっています。Copilot+ PCのAI機能により、内容を説明するだけでアプリ、ウェブサイト、画像、またはドキュメントを素早く見つけて戻ることが可能です。また、今回のアップデートで、Image CreatorとRestyle ImageをMicrosoft Photosアプリでサポートし、AMDおよびIntel搭載のCopilot+ PCにRecall用のClick to Doを追加しています。これらの変更は、Windows Insider Preview Build 26120.2510(KB5048780)をインストールしたDevチャンネルのWindows Insiderに本日から展開されます。


 

Ultralytics AI model hijacked to infect thousands with cryptominer

UltralyticsのAIモデルであるYOLO11がサプライチェーン攻撃を受け、バージョン8.3.41および8.3.42のデバイスに暗号マイナーがデプロイされた。攻撃の影響を受けたユーザーがGoogle Colabアカウントで不正行為としてバンされる事態も発生。Ultralyticsの創業者兼CEOは、被害を受けたバージョンはすでに取り下げられ、クリーンな8.3.43バージョンがリリースされたと発表。開発者は原因を調査中であり、潜在的脆弱性を明らかにするために努めている。デベロッパーは依然として詳細な情報を待ち、ウイルスチェックを勧告している。


 

Blue Yonder SaaS giant breached by Termite ransomware gang

Termiteランサムウェアグループが、11月のソフトウェア会社Blue Yonderの侵害を公式に認めました。Blue Yonderは、アリゾナ州に拠点を置き、小売業者、製造業者、物流プロバイダー向けの世界的なサプライチェーンソフトウェアプロバイダーです。その3000以上の顧客には、マイクロソフトルノーレノボ、DHL、などが含まれます。この事件は、スターバックス、モリソンズ、サンズベリーズなどの顧客に影響を与え、システムの障害のため多くの店で現金取引を行う必要がありました。フランスの筆記具メーカーBICも遅延が発生しました。ブルーヨンダーは、影響を受けた顧客の一部を再開し、他の顧客を通常のビジネス運営に戻すためにサイバーセキュリティの専門家と連携しています。Termiteは、この攻撃を主張しており、680GBのファイルを盗み出したと述べています。これまでにTermiteは、Blue Yonderを含むさまざまな業界セクターから顧客を含むダークウェブポータルで7つの被害者をリストアップしています。


 

New Windows zero-day exposes NTLM credentials, gets unofficial patch

新たなゼロデイ脆弱性が発見され、Windows Explorerで悪意のあるファイルを見せるだけで攻撃者がNTLM認証情報を取得することが可能となった。発見者は0patchチームであり、現在はマイクロソフトに報告されているが、公式の修正はまだリリースされていない。この脆弱性Windows 7から最新のWindows 11 24H2、Server 2022までのすべてのバージョンに影響を与えるとされている。マイクロソフトは未だに対応していないゼロデイ脆弱性について、0patchは無料のマイクロパッチを提供する予定。


 

Crypto-stealing malware posing as a meeting app targets Web3 pros

ウェブ3で活動している人々を狙ったサイバー犯罪者が、フェイクのビジネス会議を行う架空のビデオ会議プラットフォームを使用して、WindowsMacに暗号通貨を盗むマルウェアを感染させるキャンペーンが行われている。このキャンペーンは2024年9月以来進行中で、マルウェアWindowsmacOSの両方を対象とし、被害者の暗号通貨資産や銀行情報、ウェブブラウザに保存された情報、およびKeychainの資格情報を狙う。このマルウェアは、「Clusee」「Cuesee」「Meetone」「Meetio」などの名前を使用した偽の会議ソフトウェアを過去に利用しており、偽のブランドは公式のウェブサイトやソーシャルメディアアカウントで裏付けられ、AI生成のコンテンツで信憑性が増している。


 

Nebraska man pleads guilty to $3.5 million cryptojacking scheme

ニューブラスカ州の男性が、4月に逮捕されて告白した、大規模な暗号鉱業(cryptojacking)運営で有罪を認めた。チャールズ・O・パークスIII(通称「CP3O」)は、271万5000ドルの請求を払わずに、2つのプロバイダーからクラウドコンピューティング時間を借りて、約970,000ドル相当の仮想通貨を採掘したことを認めた。パークスは、異なるエイリアスや「MultiMillionaire LLC」と「CP3O LLC」などの企業エンティティを使って、2021年1月から2021年8月まで、複数のクラウドサービスプロバイダーとのアカウントを作成し、支払いをせずに膨大なコンピューティングパワーやストレージにアクセスした。彼はEther(ETH)、Litecoin(LTC)、Monero(XMR)などのさまざまな仮想通貨を採掘し、クラウドプロバイダーをだまして「高レベルのサービス」や請求延期を受けさせ、不審なデータ使用や未払い残高についての問い合わせをかわした。パークスは不正な暗号通貨収益をニューヨークの非交換可能トークン(NFT)マーケットやオンライン決済サービス、銀行口座を使って洗浄し、現金に換えた後、ファーストクラス旅行費用、高級メルセデス・ベンツ、宝石を含む贅沢な購入を行った。合意したプレスリリースによれば、パークスは最大20年の懲役刑が科される可能性がある。


 

Romania's election systems targeted in over 85,000 cyberattacks

ルーマニア憲法裁判所が、ロシアと関連付けられたTikTokの影響力キャンペーンの影響を受けたことを示す情報に基づき、大統領選挙を無効にしました。ルーマニアの情報機関によると、国の選挙インフラは85,000回以上のサイバー攻撃を受けました。サイバー攻撃者は、選挙関連のウェブサイトへのアクセス資格情報を入手し、選挙に影響を与えるために狙われました。この攻撃は、33か国のデバイスからSQLインジェクションクロスサイトスクリプティングXSS)の脆弱性を悪用することで行われました。ルーマニアの選挙インフラにはまだ脆弱性があり、攻撃される可能性があります。


 

U.S. org suffered four month intrusion by Chinese hackers

中国に拠点を置く脅威アクターによって、中国に存在感のある大規模な米国組織が2024年4月から8月にかけて侵害されたと報告されました。Symantecの脅威研究者によると、この攻撃は情報収集に焦点を当てたものであり、複数の侵害されたマシンとExchangeサーバーのターゲット化が含まれ、おそらくメールやデータの持ち出しが目的であったとされています。侵害された米国組織の名前は明示されていませんが、2023年に同じエンティティが中国の‘Daggerfly’脅威グループによって標的にされたことが言及されています。攻撃の初期ベクトルは不明ですが、Symantecは、PowerShell実行によるActive Directoryのクエリなどを観察可能でした。攻撃者らは様々な手法を使用して、組織内で情報を盗むことができたが、過去の活動やファイルに基づいたアトリビューションは不確実であることをSymantecは指摘しています。


 

US arrests Scattered Spider suspect linked to telecom hacks

アメリカの当局は、19歳の少年が組織犯罪集団Scattered Spiderと関連があるとして逮捕されました。この少年は、アメリカの金融機関と2つの電気通信会社を侵害した罪で訴追されています。彼はテキストと音声のフィッシングメッセージで盗んだ資格情報を使い、従業員を標的にしたネットワークへの侵入を果たしました。金融機関によると、約149人の従業員が2023年10月下旬から11月中旬にかけてフィッシング攻撃の対象になり、情報を入力させるよう誘導されたとのことです。また、少年は会社のITサポート部門をなりすって社員に情報入力を求める電話を行い、テレコムシステムにアクセスして800万以上のフィッシングテキストメッセージを送り、暗号通貨を盗んでいました。テキサス州フォートワースの自宅での捜査で、FBIは彼のiPhoneからコンピュータ犯罪の証拠を発見しました。彼はビジネスプロセスアウトソーシングBPO)会社を標的にする理由や、ハッキンググループの活動に関する情報を提供しました。米司法省は、このサイバー犯罪グループに関連する5人の容疑者を逮捕・起訴しました。これらの容疑者は、SMSフィッシング攻撃で数百万ドルの暗号通貨を盗んだ罪に問われています。​


 

Police shuts down Manson cybercrime market, arrests key suspects

ドイツの法執行機関がマンソンマーケットサイバー犯罪マーケットプレイスフィッシング詐欺に使用された偽のオンラインショップをホストしていた50以上のサーバーを押収しました。マンソンマーケットの運営者と信じられる2人の主要容疑者が逮捕され、ヨーロッパ逮捕令状のもとでドイツとオーストリアで拘留中です。捜査は2022年秋に始まり、銀行職員を装った詐欺的電話の報告を受けた後に進行しました。ユーロポルによると、盗まれたデータは違法に入手された情報の取引の中心として機能する専門のオンラインマーケットプレイスに追跡されました。


 

New Android spyware found on phone seized by Russian FSB

ロシアのプログラマー、キリル・パルベッツがウクライナへの寄付容疑でロシア連邦保安庁FSB)に15日間拘束され、携帯電話を没収された後、デバイスに新しいスパイウェアが秘密裏にインストールされていたことが判明した。彼の携帯電話へのアクセスを回復した後、プログラマーは、異常な挙動を示し、「Arm cortex vx3 同期」と表示される通知を表示したため、ロシア政府によって改ざんされた可能性があると疑った。Citizen Labによる鑑識分析を共有した後、調査員は、10,000,000回以上のGoogle Playでのダウンロードを持つ人気のAndroidアプリ 'Cube Call Recorder' の偽装されたスパイウェアがデバイスにインストールされていたと確認した。Citizen Labによると、このスパイウェアはMonokleの新しいバージョンの可能性があり、St PeterburgのSpecial Technology Center, Ltdによって開発されたものである。要人や抑圧的な国に住む人々は、法執行機関に没収された後にデバイスを別のものに切り替えるか、専門家に分析を依頼することを検討すべきである。


 

Latrodectus malware and how to defend against it with Wazuh

Latrodectusは、高度な戦術を使用してシステムに侵入し、機密データを窃取し、検出を回避する多目的なマルウェアファミリーです。このマルウェアは、ブラック・ウィドウ・スパイダーの属名「Latrodectus」に由来し、同様の潜伏性と攻撃性を示します。Latrodectusは、企業ネットワーク、金融機関、個人ユーザーを含むさまざまなシステムを標的としています。その変異能力と適応能力は、世界中のサイバーセキュリティ専門家にとって懸念事項です。このマルウェアは、2023年後半以降、複数の悪意あるキャンペーンで観察されており、しばしば脅威行為者TA577とTA578に関連しており、以前はIcedIDマルウェアを配布していました。 Latrodectusは、フィッシングキャンペーンで最初に発見され、IcedIDの後継として登場し、初期アクセスとデータ窃取のための類似した戦術を共有しています。このマルウェアは、データ流出やランサムウェア作戦を実行するために、企業ネットワークや金融機関を標的とするさまざまなキャンペーンで展開されています。Latrodectusの本質、動作方法、そして何よりも、組織がこれに対抗できる方法について探ります。その構造の分析により、持続性を維持しながら、混乱と窃盗を最大限にするモジュール式のマルウェアであることが明らかになります。

Bleeping Computer ニュースまとめ (2024年12月2日)

SpyLoan Android malware on Google play installed 8 million times

SpyLoan Android malware appsがGoogle Playで1500万回以上インストールされていたが、McAfeeによって発見され、削除された。これらのアプリは主に南米、東南アジア、アフリカのユーザーを標的にしており、ユーザーがローンを借りるための金融ツールとして宣伝されていた。しかし、これらのアプリはユーザーの個人情報を収集し、違法な手法で高金利のローンを強制的に請求し、家族や友人にまで嫌がらせを行う危険性がある。Googleはこれらのアプリをブロックするための機構を持っているが、確実に防ぐにはユーザーレビューを読み、開発者の評判を確認し、インストール時に許可する権限を制限し、Google Play Protectを有効にすることが重要である。

https://www.bleepingcomputer.com/news/security/spyloan-android-malware-on-google-play-installed-8-million-times/

New Rockstar 2FA phishing service targets Microsoft 365 accounts

新たなフィッシングサービス「Rockstar 2FA」が登場しました。このサービスは、大規模なアドバーサリー・イン・ザ・ミドル(AiTM)攻撃を可能にし、Microsoft 365の資格情報を盗みます。Rockstar 2FAは、他のAiTMプラットフォームと同様に、有効なセッションクッキーを傍受することで、対象のアカウントで多要素認証(MFA)保護を回避することができます。攻撃は、被害者をMicrosoft 365を模倣した偽のログインページに誘導し、資格情報を入力させることで行われます。Trustwaveによると、Rockstar 2FAは、DadSecとPhoenixのフィッシングキットの最新バージョンであり、2024年8月以降にサイバー犯罪コミュニティで人気を博しています。このサービスは、様々なフィッシング操作を容易にするために2024年5月以来5,000以上のフィッシングドメインを設立しており、WhatsAppなどで宣伝されています。

https://www.bleepingcomputer.com/news/security/new-rockstar-2fa-phishing-service-targets-microsoft-365-accounts/

Russia arrests cybercriminal Wazawaka for ties with ransomware gangs

ロシアの司法当局は、悪名高いランサムウェアアフィリエイトであるミハイル・パブロヴィッチ・マトヴェーエフ(通称Wazawaka、Uhodiransomwar、m1x、Boriselcin)を逮捕し、起訴した。マトヴェーエフはマルウェアを開発し、複数のハッキンググループに関与していた。米司法省もマトヴェーエフに関連して訴追状を提出しており、彼はHiveとLockBitランサムウェア作戦に関与してアメリカ全土の被害者を狙っていた。また、彼はRampハッキングフォーラムとBabukランサムウェア作戦のオリジナルクリエイターであるとも考えられている。彼は米国から制裁を受けており、$10百万の懸賞金がかけられている。マトヴェーエフはオンラインで頻繁に活動し、米国の司法当局を嘲笑するような投稿もしていた。

https://www.bleepingcomputer.com/news/security/russia-arrests-cybercriminal-wazawaka-for-ties-with-ransomware-gangs/

Bologna FC confirms data breach after RansomHub ransomware attack

ボローニャFC 1909ランサムウェア攻撃を受け、RansomHubという脅迫グループによって盗まれたデータがオンラインで漏洩されたことを確認した。イタリアの同サッカーチームは、盗まれたデータをダウンロードや拡散しないよう警告し、重大な犯罪としている。攻撃は2024年11月19日にRansomHubランサムウェアグループによって実施され、ボローニャFCに身代金を支払うことで公開期限を防ぐよう要求されたが、期限が過ぎた後に完全な盗まれたデータセットがダークウェブ上で公開された。スポーツチームへのランサムウェア攻撃は一般的ではないが、一部の組織は多額の資金を運営しており、以前にも他のチームに法外な罰金を支払わせる事例がある。

https://www.bleepingcomputer.com/news/security/bologna-fc-confirms-data-breach-after-ransomhub-ransomware-attack/

New Windows Server 2012 zero-day gets free, unofficial patches

セキュリティ企業の0Patchは、WindowsのMark of the Web(MotW)セキュリティメカニズムに導入されたZero-Day脆弱性を修正するための非公式セキュリティパッチを無償提供している。この脆弱性により、Windowsサーバー2012およびServer 2012 R2での特定の種類のファイルにおいて、MotWのセキュリティチェックをバイパスすることが可能となる。ACROS Securityは、Microsoftが公式のセキュリティパッチをリリースするまで、この脆弱性に関する情報を公開しないとしている。非公式のパッチは過去のWindowsバージョンだけでなく最新のものにも無料で提供されており、Windowsユーザーはこれを利用してセキュリティを強化できる。

https://www.bleepingcomputer.com/news/security/new-windows-server-2012-zero-day-gets-free-unofficial-patches/

 

Bleeping Computer ニュースまとめ (2024年11月29日)

Tor needs 200 new WebTunnel bridges to fight censorship

Torプロジェクトは政府の検閲に対抗するため、新たに200のWebTunnelブリッジを年末までに展開するためにプライバシーコミュニティのボランティアに緊急呼びかけをしている。現在、トアプロジェクトは143のWebTunnelブリッジを運用しており、これらは検閲の厳しい地域のユーザーがインターネットアクセス規制やウェブサイトブロックを迂回するのに役立っている。WebTunnelブリッジの設置が増えることで、検閲に対抗する効果的な手段となっている。

https://www.bleepingcomputer.com/news/security/tor-needs-200-new-webtunnel-bridges-to-fight-censorship/

UK hospital network postpones procedures after cyberattack

イギリスの主要な医療機関、Wirral University Teaching Hospital(WUTH)がサイバー攻撃を受け、システムの障害が発生し、予約や手術が延期されている。WUTHはArrowe Park Hospital、Clatterbridge Hospital、Wirral Women and Children's Hospitalを運営する英国の公的な医療機関で、855床の病床、24時間の緊急医療サービス、手術、診断、小児科、産科、がん治療などを提供している。サイバー攻撃により、WUTHは一部のITシステムを停止し、手作業に切り替える必要があったため、サービスに遅れや中断が生じている。攻撃についての具体的な情報は不明だが、今後、WUTHからの詳細な説明が待たれる。

https://www.bleepingcomputer.com/news/security/uk-hospital-network-postpones-procedures-after-cyberattack/

Microsoft re-releases Exchange updates after fixing mail delivery

マイクロソフトは、11月にリリースしたExchange Serverのセキュリティアップデートを再度公開しました。これは、11月初旬に特定のメールフロー規則を使用するサーバーでのメール配信の問題が発生したためです。会社は、多くの管理者から組織内でメールが停止しているという広範な報告を受け、アップデートをダウンロードセンターやWindows Updateから取り下げたことを発表しました。この問題は、11月のExchange Server 2016および2019のセキュリティアップデートをインストールした後、定期的にトランスポート(メールフロー)規則やデータ損失防止(DLP)規則を使用する顧客に影響します。新たに公開された11月2024 SUv2は、影響を受けた環境でのメール配信の問題を解決します。また、マイクロソフトは、セキュリティアップデートをインストール後にExchange Health Checkerスクリプトを実行するよう管理者に助言しています。

https://www.bleepingcomputer.com/news/security/microsoft-re-releases-exchange-updates-after-fixing-mail-delivery/

GodLoaderマルウェアは、Godotゲームエンジンの機能を悪用して広く使用されている17,000以上のシステムに感染しました。このマルウェアは、WindowsmacOSLinuxAndroidiOSなどの主要プラットフォームのゲーマーをターゲットに、Godotの柔軟性とGDScriptスクリプティング言語の機能を活用して悪意のあるコードを実行し、悪性スクリプトを埋め込んだゲームファイルを介して検出システムをバイパスすることができます。攻撃者はGodLoaderマルウェアをStargazers Ghost Networkを通じて配信し、GitHubリポジトリをマスクするDaaSを利用して信頼をかけたターゲットのシステムにマルウェアを展開しました。Check Pointによると、この攻撃では、WindowsシステムをターゲットにしたGodLoaderサンプルが発見されましたが、GDScriptの攻撃コードがLinuxmacOSシステムを攻撃するのは簡単であることも示されました。Rémi Verschelde氏は、Godotで特定の脆弱性はなく、信頼されるソースからのソフトウェアのみを実行するように呼びかけています。

https://www.bleepingcomputer.com/news/security/new-godloader-malware-infects-thousands-of-gamers-using-godot-scripts/

Hackers exploit ProjectSend flaw to backdoor exposed servers

攻撃者がProjectSendの臨界的な認証回避欠陥を悪用し、Webシェルをアップロードしてサーバーにリモートアクセスを取得しています。CVE-2024-11680として追跡されるこの脆弱性は、ProjectSendのr1720より前のバージョンに影響し、正常に悪用することでローグアカウントの作成やWebシェルの設置が可能となります。欠陥修正は2023年5月16日に行われましたが、CVEが割り当てられたのは昨日であり、ユーザーはその深刻さやセキュリティ更新の緊急性を認識していませんでした。VulnCheckによると、ほとんどのProjectSendインスタンスが脆弱なバージョンを実行しており、アクティブな悪用が検出されています。被害者の設定ファイルを変更してランディングページのタイトルを長く、ランダムな文字列に変更するなどの行動が観察され、Webシェルがアップロードされている可能性があることに注意が必要です。ProjetSendのr1750へのアップグレードが急務です。

https://www.bleepingcomputer.com/news/security/hackers-exploit-projectsend-flaw-to-backdoor-exposed-servers/

Zello asks users to reset passwords after security incident

Zelloは何者かによるセキュリティ侵害が発生した可能性があるため、アカウント作成日が2024年11月2日より前の顧客に、パスワードのリセットを求めています。Zelloは、140百万人のユーザーがいるモバイルサービスで、緊急対応者やホスピタリティサービス、交通機関、家族や友人が、プッシュ・トゥー・トーク・アプリを使ってモバイル電話でコミュニケーションを取ることができます。この2週間で、多くの人が11月15日にZelloからセキュリティ通知を受け、アプリのパスワードをリセットするよう求められました。「Zello セキュリティ通知 - 予防措置として、2024年11月2日より前に作成されたすべてのアカウントのZelleアプリのパスワードをリセットしていただくようお願いします。」「詳細を確認」ボタンは、Zelloアプリからパスワードを変更する方法を説明したサポートページにリンクしています。

https://www.bleepingcomputer.com/news/security/zello-asks-users-to-reset-passwords-after-security-incident/

Microsoft says it's not using your Word, Excel data for AI training

Microsoftは、Microsoft 365アプリ(Word、ExcelPowerPointを含む)を使用して会社の人工知能(AI)モデルをトレーニングするために顧客のデータを収集しているという主張を否定しました。Microsoftは、これらのアプリのデータをAIトレーニングに使用していないことを明らかにし、Connected Experiences設定が大規模な言語モデルのトレーニングとは関係がないことを説明しました。このオプション設定は2019年4月以降、デフォルトでオンになっており、顧客は設定を調整できると述べています。企業管理者は複数のポリシー設定を使用して、組織内のユーザーに接続体験を利用可能にするかどうかを選択することができます。

https://www.bleepingcomputer.com/news/microsoft/microsoft-says-its-not-using-your-word-excel-data-for-ai-training/

Researchers discover first UEFI bootkit malware for Linux

Linuxシステムを標的とした初のUEFIブートキットが発見された。名前は「Bootkitty」で、Windowsに焦点を当てた従来のステルスで除去困難なブートキット脅威とは異なり、Ubuntuの特定のバージョンと構成でのみ動作する概念実証である。この新しい脅威は、システムの起動プロセスに感染し、オペレーティングシステムよりも前で動作することで、セキュリティツールの検出を回避し、システムの制御を取得できるというメリットがある。ESETの研究者は、Bootkittyの存在はUEFIブートキット脅威の重要な進化であると警告しており、現実の攻撃での実際の影響はまだ限定的であると述べている。Bootkittyはセキュアブートが有効なシステムでは実行されず、特定のUbuntuディストリビューションのみを標的としている。さらに、ハードコードされたオフセットと単純なバイトパターンの一致により、特定のGRUBおよびカーネルバージョンでのみ使用可能であり、広範な展開には向いていない。

https://www.bleepingcomputer.com/news/security/researchers-discover-bootkitty-first-uefi-bootkit-malware-for-linux/

Chinese hackers breached T-Mobile's routers to scope out network

T-Mobileは、中国のハッカー「Salt Typhoon」が最近自社システムを侵害したと発表しました。この中国政府支援の脅威グループは、2019年以降活発で、主に東南アジアの政府機関や通信会社を標的にしています。しかし、T-Mobileのエンジニアはハッカーをブロックし、顧客情報にアクセスさせないようにしました。攻撃は迅速に検出され、未払いのネットワークからの攻撃が停止されました。これにより、悪質なアクターは敏感な顧客データにアクセスできなかったという。T-Mobileは政府や業界パートナーと調査結果を共有し、攻撃者はネットワーク内で活動していないと述べました。

https://www.bleepingcomputer.com/news/security/chinese-hackers-breached-t-mobiles-routers-to-scope-out-network/

Cloudflare says it lost 55% of logs pushed to customers for 3.5 hours

インターネットセキュリティ企業であるCloudflareは、2024年11月14日にログ収集サービスのバグにより、顧客に送信されるログの55%が約3.5時間の間に失われたと発表しました。Cloudflareは、顧客がサイトのトラフィックを監視し、特定の基準に基づいてそのトラフィックをフィルタリングすることができる豊富なログサービスを提供しています。これらのログは、顧客がホストへのトラフィックを分析し、セキュリティインシデントの監視と調査、トラブルシューティングDDoS攻撃トラフィックパターンの解析、サイトの最適化などを行うのに役立ちます。Cloudflareは、バグが顧客ログの一部を紛失させたことを認め、今後の発生を防ぐためにいくつかの対策を講じています。

https://www.bleepingcomputer.com/news/security/cloudflare-says-it-lost-55-percent-of-logs-pushed-to-customers-for-35-hours/

Police bust pirate streaming service making €250 million per month

国際的な法執行の作戦により、2,200万人を超えるユーザーを対象とした海賊配信サービスが摘発されました。サービスは1ヵ月に2億5000万ユーロ(2億6,300万ドル)を稼ぎ出し、イタリアおよび世界規模で過去最大規模の摘発となりました。これには、270人以上のポスタル警察官が89回の家宅捜索を行い、英国、オランダ、スウェーデン、スイス、ルーマニアクロアチア、中国でさらに14件の捜索が行われ、102人が関与しました。摘発では、ヨーロッパ中の違法信号の大部分を管理していたとされる2500以上の違法チャンネルとサーバーが押収されました。また、160万5000ユーロ(1億7400万ドル)相当の仮想通貨と4万ユーロ(4万2000ドル)が押収されました。逮捕された容疑者は、無許可での音声映像コンテンツの配信、システムへの不正アクセス、コンピュータ詐欺、資金洗浄などの罪で起訴される見込みです。

https://www.bleepingcomputer.com/news/technology/police-bust-pirate-streaming-service-making-250-million-per-month/

The Black Friday 2024 Cybersecurity, IT, VPN, & Antivirus Deals

2024年のブラックフライデーが近づいており、コンピューターセキュリティ、ソフトウェア、オンラインコース、システム管理サービス、アンチウイルスVPNソフトウェアのセールが既に展開されています。さまざまな企業が深い割引を提供しており、期間限定でしか利用できません。NordVPNは74%オフで2年間のサブスクリプションを$80.73で提供しています。他にもSurfSharkやProtonVPNなどのセールも開催中です。海外通販サイトStackCommerceではアプリ、コース、ガジェットなどが割引販売されています。これらのセールは各社で異なる期間に行われているので、お見逃しなく。

https://www.bleepingcomputer.com/news/security/the-black-friday-2024-cybersecurity-it-vpn-and-antivirus-deals/

Bleeping Computer ニュースまとめ (2024年11月27日)

New NachoVPN attack uses rogue VPN servers to install malicious updates

NachoVPNと呼ばれる一連の脆弱性が、修正されていないPalo AltoとSonicWall SSL-VPNクライアントが攻撃者が制御するVPNサーバーに接続すると、悪意のあるアップデートをインストールできる可能性があることが明らかになりました。脅威アクターは、SonicWall NetExtenderやPalo Alto Networks GlobalProtect VPNクライアントを攻撃者が制御するVPNサーバーに接続させる方法を見つけ、犠牲者のログイン資格情報を盗んだり、悪意のあるソフトウェアをインストールしたり、中間者攻撃を行ったりする可能性があります。SonicWallとPalo Alto Networksはそれぞれ脆弱性に対処するパッチをリリースしました。AmberWolfは、これらの脆弱性を悪用できるVPNサーバーをシミュレートするオープンソースツール「NachoVPN」を公開しました。

https://www.bleepingcomputer.com/news/security/new-nachovpn-attack-uses-rogue-vpn-servers-to-install-malicious-updates/

NordVPN Black Friday Deal: Save up to 74% on yearly subscriptions

NordVPNのブラックフライデーセールが72%オフで開催中。$2.99/月で2年契約でき、さらに3か月無料。NordVPNは速度が速く、100以上の国で多様なサーバーロケーションを提供し、地域ブロックや検閲を回避できる。Netflixの視聴や公共Wi-Fiの利用を安全にしたり、ISPによる監視を防げる。ブラックフライデーサイバーマンデーセールは12月10日まで。VPN PlusとUltimateプランも72%オフ。Panamaに拠点を置くNordVPNはプライバシー保護が強化されており、WindowsMaciOSAndroidLinux、Firestickに対応。最大10台のデバイスで使用可能。ユーザープライバシー、セキュリティ、透明性に専念し、3つの独立監査を完了。全てのNordVPNサブスクリプションは30日間の返金保証付き。【日本語訳要約】

https://www.bleepingcomputer.com/news/security/nordvpn-black-friday-deal/

Over 1,000 arrested in massive ‘Serengeti’ anti-cybercrime operation

アフリカの法執行機関が「Operation Serengeti」の一環として、世界中で約1億9300万ドルの財務損失を引き起こした主要なサイバー犯罪に関与した疑わしい1000人以上を逮捕しました。インターポールとアフリポールによる協力のもと、19のアフリカ諸国で合計1006人が逮捕され、134,089もの悪質なインフラストラクチャとネットワークが取り壊されました。捜査官によると、逮捕者やインフラは約35,224人の被害者に関連しており、Operation Serengetiは約4400万ドルを回収しました。操作のハイライトには、アルジェリアベナンコートジボワールガボン、ガーナ、モーリシャスモザンビークルワンダ南アフリカタンザニアチュニジアザンビアジンバブエなどが含まれます。

https://www.bleepingcomputer.com/news/security/over-1-000-arrested-in-massive-serengeti-anti-cybercrime-operation/

Get 50% off Malwarebytes during Black Friday 2024

Malwarebytesのブラックフライデー2024のセールが開始され、個人、ファミリー、ビジネス向けのサブスクリプションに対し、1年または2年の50%割引が提供されています。プレミアムバージョン5.2には、リアルタイムのマルウェア保護、悪用保護、悪質なウェブサイトのブロック、ランサムウェア攻撃の動作検知などの数多くの機能が含まれています。さらに、MalwarebytesはVPN、Identity Protection、およびPersonal Data Removerサービスなどの新しいオファリングを導入しています。これらのセールは12月8日まで有効で、続いています。

https://www.bleepingcomputer.com/news/security/get-50-percent-off-malwarebytes-during-black-friday-2024/

Why Cybersecurity Leaders Trust the MITRE ATT&CK Evaluations

セキュリティリーダーは常に組織を守るための解決策や戦略を選択する際に情報に基づいた選択を迫られています。MITREのATT&CK評価は、サイバーセキュリティの意思決定者がこの課題を乗り越えるための重要なリソースとして際立っています。この評価は、他の独立した評価とは異なり、競合するサイバーセキュリティベンダーが実世界の脅威にどのように対応するかを評価するために実世界の脅威をシミュレートしています。2024年のMITRE ATT&CK評価結果が公開されると、Cynetのウェビナーでは主要な結果がサイバーセキュリティリーダーに提供される予定です。MITRE ATT&CK評価はセキュリティ製品が攻撃技術を検出、対応、報告する方法をテストする厳格で独立した評価です。MITRE ATT&CK評価は他の独立したアナリスト評価とは異なる点が複数あり、セキュリティリーダーにとって特に価値があります。

https://www.bleepingcomputer.com/news/security/why-cybersecurity-leaders-trust-the-mitre-attack-evaluations/

Hackers exploit critical bug in Array Networks SSL VPN products

アメリカのサイバー防衛機関は、SSL VPN製品Array Networks AGとvxAG ArrayOSにリモートコード実行の脆弱性が悪用されている証拠を受け取った。脆弱性はCVE-2023-28461として追跡され、致命的な9.8の深刻度が割り当てられ、既知の悪用された脆弱性のカタログに含まれている。このバグは脆弱なURLを介して悪用可能で、Array AGシリーズとvxAGバージョン9.4.0.481以前での遠隔コード実行を可能にする認証の問題だ。この欠陥は昨年3月9日に開示され、Array Networksは約1週間後にArray AGリリース9.4.0.484をリリースして修正した。Array Networks AGシリーズ(ハードウェア製品)とvxAGシリーズ(仮想アプライアンス)はセキュアなリモートおよびモバイルアクセスを提供し、5,000を超える企業、サービスプロバイダ、政府機関が利用。CISAは悪用されている脆弱性と対象組織に関する詳細を提供していないが、12月16日までにすべての連邦機関と重要なインフラ組織はセキュリティ更新と利用可能な緩和措置を適用するか、製品の使用を中止すべきと勧告している。影響を受ける製品のセキュリティ更新情報はArrayサポートポータルを通じて利用可能で、更新が即座にインストールできない場合は脆弱性を緩和するコマンドセットを提供している。ただし、組織は最初にこれらのコマンドの効果をテストすべきであり、それらがクライアントセキュリティの機能、VPNクライアントの自動アップグレード能力、およびポータルユーザーリソース機能に悪影響を及ぼす可能性がある。

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-bug-in-array-networks-ssl-vpn-products/

Firefox and Windows zero-days exploited by Russian RomCom hackers

RomComサイバー犯罪グループが、欧州と北米を標的とする最近の攻撃でFirefoxとTor Browserユーザーを狙った。RomComは2つのゼロデイ脆弱性を利用し、ユーザーが悪意のあるウェブサイトを訪れただけで遠隔コード実行が可能となるバックドアを使用した。ESETの分析によると、Tor Browserユーザーも攻撃の標的にされた。RomComは以前にもゼロデイを悪用しており、今回の攻撃は広範囲に及ぶと見られている。RomComは金銭を動機とした攻撃やランサムウェア攻撃を行っており、最近はスパイ活動を支援するために認証情報の盗難も行っている。ESETによると、RomComはウクライナ、欧州、北米の様々な業界に対してスパイ行為を行っている。

https://www.bleepingcomputer.com/news/security/firefox-and-windows-zero-days-exploited-by-russian-romcom-hackers/

QNAP addresses critical flaws across NAS, router software

QNAPは週末にセキュリティ情報を公開し、複数の脆弱性を解消しました。3つの重大な脆弱性が含まれており、ユーザーは速やかに対処すべきです。Notes Station 3に対する2つの影響があり、これらの問題はNotes Station 3バージョン3.9.7で解決されました。また、QuRouter 2.4.x製品に影響するCVE-2024-48860も重要な脆弱性です。他の重要な修正がある製品についても、CVSS v4の評価が7.7から8.7(高)の範囲で記載されました。QNAPは攻撃から保護されるために、アップデートをできるだけ早くインストールするよう顧客に強く勧めています。

https://www.bleepingcomputer.com/news/security/qnap-addresses-critical-flaws-across-nas-router-software/

New Windows 10 0x80073CFA fix requires installing WinAppSDK 3 times

マイクロソフトは、Windows 10上の一部のユーザーがアプリのアンインストールやアップデートに問題があることを解消する新しい方法を共有しました。問題は、WinAppSDK 1.6.2パッケージを受け取った後、Microsoft Teamsなどのパッケージ化されたアプリケーションやサードパーティーのアプリのアップデートやアンインストールができなくなることです。この問題を解決するためのKB5046714プレビューアップデートがリリースされましたが、オプションの累積更新プログラムをインストールしたくないユーザーのために代替手段も共有されています。

https://www.bleepingcomputer.com/news/microsoft/new-windows-10-0x80073cfa-fix-requires-installing-winappsdk-3-times/

Blue Yonder ransomware attack disrupts grocery store supply chain

サプライチェーンマネジメント企業Blue Yonderがランサムウェア攻撃による重大なサービス停止を警告しています。英国の食料品店チェーンにも影響を与えています。Blue Yonderは年間収益10億ドル以上と6,000人の従業員を擁するパナソニックの傘下としてAIを活用した小売業者、製造業者、物流事業者向けのサプライチェーンソリューションを提供しています。リストされる3,000以上の顧客には、DHL、Renault、Bayer、Morrisons、Nestle、3M、TescoStarbucks、Ace Hardware、Procter&Gamble、Sainsbury、および7-Elevenが含まれます。影響を受けたサービスの復旧が続いていますが、具体的な完全な復旧のタイムラインはまだ共有されていません。

https://www.bleepingcomputer.com/news/security/blue-yonder-ransomware-attack-disrupts-grocery-store-supply-chain/

DOJ: Man hacked networks to pitch cybersecurity services

カンザスシティの男性が、コンピューターネットワークへのハッキングをして、そのアクセスを使用してサイバーセキュリティサービスを宣伝したとして起訴されました。31歳のNicholas Michael Klosterが、Missouri州のカンザスシティ出身であり、健康クラブおよび非営利団体の2つのコンピューターネットワークに侵入したとされています。FBIによる調査では、彼は少なくとも3つの事件に関与しており、そのうちの1つは2024年4月26日の深夜に起こったものです。Klosterは、健康クラブのシステムにアクセスし、オーナーにハッキングしたことを主張してセキュリティコンサルティングサービスの雇用を求めました。非営利団体への不正アクセスと金銭上の被害が発生し、Klosterは最大で15年の懲役刑、罰金、被害者への賠償が課される可能性があります。

https://www.bleepingcomputer.com/news/security/doj-man-hacked-networks-to-pitch-cybersecurity-services/

Microsoft blocks Windows 11 24H2 on some PCs with USB scanners

マイクロソフトは、Windows 11 24H2アップデートをUSBスキャナーでeSCLプロトコルをサポートするコンピューターでブロックしています。問題が報告され、会社はUSB接続のeSCLスキャナーを持つシステムに対して更新を一時停止することを勧告しています。同様に、Ubisoftゲームを持つシステムも更新を一時停止されました。

https://www.bleepingcomputer.com/news/microsoft/microsoft-blocks-windows-11-24h2-on-some-pcs-with-usb-scanners/

Bleeping Computer ニュースまとめ (2024年11月22日)

Windows 11 KB5046740 update released with 14 changes and fixes

Microsoftは、2024年11月のWindows 11 24H2のプレビュー累積アップデートをリリースしました。このアップデートには、14の改善と修正が含まれており、File ExplorerやClipboard履歴、セカンダリディスプレイに影響を与える問題が修正されています。KB5046740アップデートは、毎月第4週にMicrosoftによって推進されるセキュリティ以外のプレビューアップデートスケジュールの一部であり、Windows管理者がバグ修正、新機能、改良をテストできるようになっています。また、月次プレビューアップデートにはセキュリティアップデートは含まれていません。このプレビューアップデートでは、File ExplorerとデスクトップコンテキストメニューからAndroidバイスにコンテンツを共有する新しい方法が追加され、また、Windowsのテキスト読み上げと音声テキスト変換機能が改善されています。KB5046740には、セカンダリディスプレイでのラグや画面のちぎれの問題が修正されるほか、クリップボード履歴が空になる問題や複数のモニターを持つシステムでデバイスがスリープ状態になった後、アプリウィンドウがディスプレイの角に移動する問題も解決されています。更新は設定にアクセスし、Windows Updateをクリックして「更新を確認する」をクリックすることでインストールできます。

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5046740-update-released-with-14-changes-and-fixes/

Chinese hackers target Linux with new WolfsBane malware

新たなLinuxバックドアである「WolfsBane」が中国の「Gelsemium」ハッキンググループが使用するWindowsマルウェアのポートとして発見されました。ESETのセキュリティ研究者がWolfsBaneを分析した結果、WolfsBaneはドロッパー、ランチャー、バックドアを備えた完全なマルウェアツールであり、変更されたオープンソースルートキットを使用して検出を回避しています。もう1つのLinuxマルウェア「FireWood」も発見され、こちらは「Project Wood」Windowsマルウェアに関連しているようです。しかし、FireWoodはGelsemiumによって作成された独自のツールではなく、複数の中国のAPTグループが共有している可能性が高いです。このようなLinuxへの攻撃は、Windowsのセキュリティが強化される中で、APTグループが新たな攻撃手法を模索しているためだと考えられています。

https://www.bleepingcomputer.com/news/security/chinese-gelsemium-hackers-use-new-wolfsbane-linux-malware/

Over 2,000 Palo Alto firewalls hacked using recently patched bugs

ハッカーによって、Palo Alto Networksのファイアウォールに対して、最近パッチされた2つのゼロデイ脆弱性を悪用した攻撃がすでに数千回行われていることが明らかになった。これらの2つの脆弱性は、PAN-OS管理ウェブインターフェースの認証バイパス(CVE-2024-0012)とPAN-OS特権昇格(CVE-2024-9474)であり、ハッカーはこれらを利用して管理者権限を取得したり、ファイアウォールでコマンドを実行したりすることができる。攻撃は現在も続いており、CISAはこれらの脆弱性をその既知の攻撃された脆弱性カタログに追加し、連邦機関にファイアウォールのパッチを3週間以内に適用するよう要請している。Palo Alto Networksは、顧客にファイアウォールの管理インターフェースへのアクセスを制限することを強く勧めている。

https://www.bleepingcomputer.com/news/security/over-2-000-palo-alto-firewalls-hacked-using-recently-patched-bugs/

Microsoft pulls WinAppSDK update breaking Windows 10 app uninstalls

Microsoftは、Windows 10ユーザーの一部が11月12日以降、Microsoft Teamsなどのパッケージ化されたアプリのアップデートやアンインストールができないと確認しています。この問題は、WinAppSDK 1.6.2パッケージに起因し、Win App SDKを使用して開発されたアプリをインストールした後に影響を受けたユーザーのシステムに自動的に配信されました。影響を受けたWindows 10 22H2デバイスでは、Microsoft Storeの「ダウンロード」パネルで「Something happened on our end(弊社側で問題が発生しました)」というエラーメッセージが表示されます。Microsoftは問題に取り組んでおり、近日中にWindowsアップデートを介して解決策を提供する予定です。

https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-winappsdk-update-breaking-windows-10-app-uninstalls/

CISA says BianLian ransomware now focuses only on data theft

ビアンリアンランサムウェアの運営は、主にデータ窃盗脅迫グループに移行したと、米国サイバーセキュリティ・インフラストラクチャセキュリティエージェンシー、FBI、オーストラリアサイバーセキュリティセンターが更新した注意事項によると。新しい情報によると、ビアンリアンは2023年の終わりに暗号化攻撃を行ったことが知られていましたが、2024年1月以降、脅威グループは完全にデータ脅迫に移行したとのことです。CISAは、RDPの使用を厳格に制限し、WindowsシステムでのPowerShellの使用を制限することを推奨しています。ビアンリアンランサムウェアは2022年から活動しており、ダークウェブの脅迫ポータルには154人の被害者がリストされています。最近の被害の中には、エアカナダ、ノーザンミネラルズ、ボストンチルドレンズヘルスファイジシャンズが含まれています。

https://www.bleepingcomputer.com/news/security/cisa-says-bianlian-ransomware-now-focuses-only-on-data-theft/

Microsoft disrupts ONNX phishing-as-a-service infrastructure

Microsoftは、2017年以降、世界中の企業や個人を狙うフィッシングウェブサイト「ONNX」の顧客が使用する240のドメインを押収しました。ONNXは2024年のMicrosoftのDigital Defense Reportによると、第一半期においてフィッシングメッセージの量が最も多かった攻撃者でした。ONNXはGoogleDropBox、Rackspace、Microsoftなど技術企業をターゲットにするフィッシングキットを提供し、Telegramで売り、月額150ドルから550ドルまでの数種類のサブスクリプションモデルを使用していました。Dark Atlasセキュリティ研究者によってオーナーのAbanoub Nady(オンラインではMRxC0DERとしても知られている)が明らかにされたことを受けて、ONNXの運営は6月に突然停止しました。Microsoftは240のドメインを押収し、今後のフィッシング攻撃に使用されることを阻止しました。

https://www.bleepingcomputer.com/news/security/microsoft-disrupts-onnx-phishing-as-a-service-infrastructure/

US seizes PopeyeTools cybercrime marketplace, charges administrators

米国はサイバー犯罪ウェブサイト「PopeyeTools」を押収し、その管理者3人、Abdul Ghaffar、Abdul Sami、Javed Mirzaに対して盗まれたデータの販売で訴追を開始した。当局は、サイバー犯罪プラットフォームに関連する複数のドメインを押収した他、不正な運営に関連する暗号通貨である$283,000相当も没収した。PopeyeToolsは2016年に立ち上げられ、盗まれた金融情報や個人情報の売買、詐欺やサイバー攻撃のためのツールを提供するクリアネットのマーケットプレイスでした。当局によると、PopeyeToolsは少なくとも22万7,000人の個人の情報を売買することで$1,700,000の収益を上げました。サービスには返金ポリシーや故障したデータの代替品も提供され、利用者を維持するために高水準の顧客サービスが提供されました。3人の疑わしい管理者は販売者として告発され、各々の罪状が最大で10年の刑務所に直面していますが、現在逮捕は行われておらず、犯罪嫌疑者の居住地と引き渡しの可否は不明です。しかしながら、Abdul Samiに関連する$283,000相当の暗号通貨が押収されています。

https://www.bleepingcomputer.com/news/legal/us-seizes-popeyetools-cybercrime-marketplace-charges-administrators/

Fortinet VPN design flaw hides successful brute-force attacks

フォーティネットVPNサーバーのデザイン上の欠陥により、認証情報の総当たり攻撃中の成功確認を隠蔽することができることが判明した。新技術により、失敗した試行のみを記録し、成功した試行は記録せず、セキュリティ上の虚偽の安心感を生む方法が登場した。研究者たちは、認証と認可の段階からなる2段階プロセスを使用してログインアクティビティを保存するフォーティクライアントVPNサーバーで、成功したログインが記録されるのは認証と認可の両段階を通過する場合のみであり、それ以外の場合は失敗した認証が記録されることを発見した。フォーティネットにこの問題を共有したPentera社は、このデザイン上の欠陥を悪用してフォーティネットVPN認証を確認するスクリプトを公開した。

https://www.bleepingcomputer.com/news/security/fortinet-vpn-design-flaw-hides-successful-brute-force-attacks/

Now BlueSky hit with crypto scams as it crosses 20 million users

BlueSkyは20億ユーザーを突破し、脅威の存在も増加してきている。過去数年間、X/Twitterは詐欺師たちの温床となっており、BlueSkyにもその影響が及んでいるようだ。BlueSkyの投稿には、マーク・ザッカーバーグのAI生成画像が登場し、「MetaChain」と「MetaCoin」といった仮想通貨が宣伝されている。これらの投稿は、Metaの概念「Metaverse」と関連付けられるようにメッセージやグラフィックスが工夫されている。プラットフォームは急速に拡大しており、スパム、詐欺、トロール活動も増加している。BlueSkyは中央集権的な制約を持たず、ユーザーは自由にコンテンツを制御できるが、その一方で操作上の注意が必要だ。

https://www.bleepingcomputer.com/news/security/now-bluesky-hit-with-crypto-scams-as-it-crosses-20-million-users/

Cyberattack at French hospital exposes health data of 750,000 patients

名前の明かされていないフランスの病院でデータ侵害が発生し、脅威の行為者が電子患者記録システムにアクセスして75万人の患者の医療記録が流出した。脅威の行為者は、フランスの複数の医療施設に侵入し、150万人以上の患者記録にアクセスしていると主張している。Softway Medical Groupは、MediBoardアカウントが侵害されたことを認めたが、これは彼らのソフトウェアの脆弱性や構成ミスに起因するのではなく、病院が使用していた盗まれた資格情報によるものであると述べている。販売リストには3人のユーザー向けにデータが提供されたが、現在まだ購入者はいない。 

https://www.bleepingcomputer.com/news/security/cyberattack-at-french-hospital-exposes-health-data-of-750-000-patients/

Fintech giant Finastra investigates data breach after SFTP hack

Finastraは、脅威アクターがハッキングフォーラムで盗まれたデータを販売し始めた後、顧客にサイバーセキュリティインシデントについて警告したことを確認しました。同社は、世界のトップ50銀行および信用組合のうち45社を含む130カ国にまたがる8,000機関にサービスを提供する金融ソフトウェア企業です。2024年11月7日に発生したセキュリティインシデントでは、侵入者が不正に認証情報を使用して、FinastraのSecure File Transfer Platform (SFTP)システムの1つにアクセスしました。同社は、侵害がSFTPプラットフォームを超えて広がった証拠はないと述べています。影響を受ける人に送信されたデータ侵害通知から、Finastraがセキュリティ侵害を受けた事実を最初に報告したのはBrian Krebs氏でした。要注意な点は、過去にFinastraがランサムウェア攻撃を受けた際に、Pulse Secure VPNとCitrixサーバーの古いバージョンを使用していたことが指摘されたことです。

https://www.bleepingcomputer.com/news/security/fintech-giant-finastra-investigates-data-breach-after-sftp-hack/

MITRE shares 2024's top 25 most dangerous software weaknesses

MITREが2023年6月から2024年6月に開示された3万1,000以上の脆弱性の背後にある最も一般的で危険なソフトウェアの弱点のトップ25リストを共有しました。ソフトウェアの弱点は、コード、アーキテクチャ、実装、または設計に見られる欠陥、バグ、脆弱性、エラーを指します。これらは攻撃者がシステムを侵害し、影響を受けたデバイスを完全にコントロールしたり、機密データにアクセスしたり、サービスの遮断を引き起こすことを可能にします。MITREは、これらの脆弱性の根本原因を突き止めることが、これらの脆弱性が最初に発生しないようにするための投資、政策、実践の強力なガイドとなると述べました。CISAは、組織がソフトウェアセキュリティ戦略を策定する際にこのリストを活用するよう強く勧めています。彼らはまた、様々な脆弱性を排除するために使用可能な有効な緩和策があるにも関わらず、まだソフトウェアから排除されていないよく知られた脆弱性の広範な存在を強調する「Secure by Design」アラートを定期的に発表しています。

https://www.bleepingcomputer.com/news/security/mitre-shares-2024s-top-25-most-dangerous-software-weaknesses/

US charges five linked to Scattered Spider cybercrime gang

米司法省は、経済的動機を持つScattered Spiderサイバー犯罪グループの一部と信じられる5人の容疑者を電信詐欺共謀の罪で起訴した。マルウェア被害者の認証情報を盗んだSMSフィッシング攻撃で数十の個人や企業を標的とし、2021年9月から2023年4月まで、彼らは仮想通貨ウォレットから数百万を盗むことに成功した。Scattered Spiderは、ソーシャルエンジニアリング攻撃に特化し、ヘルプデスク技術者をなりすってフィッシング攻撃を行い、標的となる企業の従業員から認証情報を盗む。これにより、彼らの被害者の電子メールアカウントを乗っ取り、SIMスワップ攻撃で数百万を自身の支配下にあるウォレットに転送することができた。組織構造の柔軟性から、法執行機関はScattered Spiderの活動を監視し、特定の攻撃を特定するのが難しい。FBIは、Scattered Spiderが企業ネットワークを侵害するためにさまざまな戦術を使っていることを警告している。また、2023年からScattered Spiderはいくつかのロシアのランサムウェア集団と提携している。高いプロファイルを持つ攻撃に関わっていることが明らかになっている。

https://www.bleepingcomputer.com/news/security/us-charges-five-linked-to-scattered-spider-cybercrime-gang/

Bleeping Computer ニュースまとめ (2024年11月19日)

Brave on iOS adds new "Shred" button to wipe site-specific data

Brave BrowserのiOS版1.71では、新機能「Shred」が導入された。この機能により、ユーザーは特定のウェブサイトに関するモバイル閲覧データを簡単に削除でき、プライバシーが向上する。「Shred」はサイトごとに機能し、特定のウェブサイトのデータのみを削除して、他のサイトには影響を与えない。この機能は手動または自動で有効化でき、クッキー、ローカルストレージ、ネットワーク関連のキャッシュを削除する。Appleの制約によりいくつかの制限はあるが、この機能はプライバシー向上への一歩になる。Braveチームは、将来的にこの機能をAndroid版やデスクトップ版のBraveにも導入する計画。

https://www.bleepingcomputer.com/news/security/brave-on-ios-adds-new-shred-button-to-wipe-site-specific-data/

Chinese hackers exploit Fortinet VPN zero-day to steal credentials

Volexityリサーチャーの報告によると、中国の脅威行為者は、FortinetのFortiClient Windows VPNクライアントのゼロデイ脆弱性を悪用し、'DeepData'というカスタムのポストエクスプロイテーションツールを使用して資格情報を盗みます。この脆弱性により、脅威行為者はVPNバイスに認証された後、メモリから資格情報をダンプすることができます。その後、BrazenBambooとして知られる中国のハッカーが、WindowsmacOSiOSAndroidシステムを標的にする高度なマルウェアファミリーを開発・展開し、監視作戦を実施しています。VolexityはFortinetに提供した脆弱性に関する情報が7月18日に報告されたが、未解決のままであることを確認しました。VPNアカウントを乗っ取ることでBrazenBambooは企業ネットワークへの初期アクセスを獲得し、その後横断的に拡大し、特定のシステムにアクセスできる可能性があります。Fortinetが問題を確認し、修正パッチをリリースするまで、VPNアクセスを制限し、異常なログインアクティビティを監視することを推奨します。

https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-fortinet-vpn-zero-day-to-steal-credentials/

US space tech giant Maxar discloses employee data breach

米国の衛星メーカーであるMaxar Space Systemsがハッカーに侵入され、社員の個人データがアクセスされたことを関係者に通知した。侵入は発見の1週間前にハッカーが企業ネットワークを侵害した。発見後、企業は即座に対策を講じ、ハッカーの進入を防いだ。Maxar Space Systemsは米国航空宇宙産業の主要企業であり、通信衛星地球観測衛星の構築において専門家と見なされる。会社によると、侵入者は従業員情報にアクセスした可能性があり、個人データが露出したが、銀行口座情報は漏洩しなかった。従業員にはIDShield身元保護とクレジットモニタリングが提供され、元従業員は2025年2月中旬までIDXの身元盗難保護サービスに登録できる。GeoHIVEのユーザーベースがスクレイピングされた報告もあり、Maxar Technologiesに機密技術データの露出とスクレイピング事件の可能性について問い合わせたが、コメントは得られなかった。

https://www.bleepingcomputer.com/news/security/us-space-tech-giant-maxar-discloses-employee-data-breach/

Palo Alto Networks patches two firewall zero-days used in attacks

Palo Alto Networksは、次世代ファイアウォール(NGFW)の2つの積極的に悪用されていたゼロデイ脆弱性に対するセキュリティアップデートをついにリリースしました。1つ目の脆弱性(CVE-2024-0012)は、PAN-OS管理ウェブインターフェースに存在する認証バイパスで、遠隔攻撃者が認証やユーザーの操作なしに管理者権限を取得できるものです。2つ目の脆弱性(CVE-2024-9474)は、悪意のある管理者がファイアウォールルート権限でアクションを実行できるPAN-OS権限昇格セキュリティ脆弱性です。米国サイバーセキュリティ機関は、これらの脆弱性を既知の悪用された脆弱性カタログに追加し、12月9日までに3週間以内にシステムをパッチするよう連邦機関に指示した。

https://www.bleepingcomputer.com/news/security/palo-alto-networks-patches-two-firewall-zero-days-used-in-attacks/

US charges Phobos ransomware admin after South Korea extradition

ロシア人エフゲニー・プティツィン容疑者は、Phobosランサムウェア運営の管理者として疑われ、韓国からアメリカに引き渡され、サイバー犯罪容疑で起訴されている。Phobosは長期にわたるランサムウェアサービスで、多くのパートナーを通じて広く拡散している。2024年5月から11月までの間、ID Ransomwareサービスに提出されたものの約11%を占めていた。司法省はPhobosランサムウェアグループをアメリカと世界中で1,000以上の公共・民間機関への侵害と、総額1,600万ドル以上のランサム支払いに関連付けている。プティツィンは13件の起訴状で訴追されており、有罪判決を受けると、ワイヤー詐欺の件について最大20年、ハッキングの件については各10年、陪審裁判の件については5年の刑に直面する。

https://www.bleepingcomputer.com/news/security/us-charges-phobos-ransomware-admin-after-south-korea-extradition/

Critical RCE bug in VMware vCenter Server now exploited in attacks

Broadcomは、VMware vCenter Serverの2つの脆弱性が攻撃者によって悪用されていると警告しました。そのうちの1つは、重要なリモートコード実行の欠陥です。TZLセキュリティ研究者によると、このRCE脆弱性(CVE-2024-38812)は、中国の2024年Matrix Cupハッキングコンテスト中に報告されました。これは、vCenterのDCE/RPCプロトコル実装に存在するヒープオーバーフローの弱点に起因し、VMware vSphereやVMware Cloud Foundationを含む製品に影響します。もう1つのvCenter Serverの脆弱性(CVE-2024-38813)は特別に作成されたネットワークパケットを使用して特権を上昇させる特権昇格欠陥です。Broadcomは、セキュリティ更新プログラムを提供していますが、原初のCVE-2024-38812パッチが欠陥を十分に修正していないことを警告し、「新しいパッチを適用することを強く」推奨しています。これらの脆弱性に対するワークアラウンドはないため、影響を受ける顧客にはすぐに最新の更新プログラムを適用するようにアドバイスしています。Broadcomは、脆弱なシステムにセキュリティ更新プログラムを展開する方法や、アップグレード済みのユーザーに影響を与える可能性のある既知の問題に関する追加情報を含む補足アドバイザリもリリースしました。

https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-vmware-vcenter-server-now-exploited-in-attacks/

Fake Bitwarden ads on Facebook push info-stealing Chrome extension

フェイスブック上で偽のBitwardenパスワードマネージャー広告が現れ、悪意あるGoogle Chrome拡張機能を推進していることが判明。この偽物の拡張機能は、ユーザーの機密データを収集・盗み出す。Bitwardenは人気のパスワードマネージャーアプリで、無料版には暗号化、クロスプラットフォームサポート、MFA統合、使いやすいインターフェースがあり、セキュリティ侵害が続いた競合他社からの乗り換えでユーザーが増加。Bitdefender Labsが発見した新しい悪質広告は、2024年11月3日に始まり、不正なリンクを踏ませて拡張機能をインストールさせる手口。安全を確保するためには、公式の拡張機能更新プロンプトには気を付け、Chrome拡張機能はベンダーが新しいバージョンをリリースすると自動的に更新される。

https://www.bleepingcomputer.com/news/security/fake-bitwarden-ads-on-facebook-push-info-stealing-chrome-extension/

Microsoft 365 Admin portal abused to send sextortion emails

マイクロソフト365管理ポータルがセクストーションメールを送信するのに悪用され、メッセージは信頼できるように見え、メールセキュリティプラットフォームをバイパスしています。セクストーションメールは、あなたのコンピュータやモバイルデバイスがハッキングされ、性行為をしている写真やビデオが盗まれたと主張する詐欺で、身内や友人との妥協的な写真を共有しないために500ドルから5,000ドルの支払いを要求します。 これらの詐欺に騙されると思うかもしれませんが、2018年に初めて現れたときに非常に利益を上げ、週に5万ドル以上を生み出していました。 今日までに、BleepingComputerは懸念を抱いてこれらのメッセージを受け取った人からのメッセージを続けて受け取っています。 それ以来、詐欺師は、誠実を装うために配偶者が浮気したと主張するもの、または自宅の写真を含むものなど、多数のバリアントの脅迫メール詐欺を作成しています。 しかし、メールセキュリティプラットフォームはこれらの詐欺メールを検出するのに成功し、通常はそれらをスパムフォルダに隔離します。 ここ1週間で、LinkedIn、X、マイクロソフトアンサーズフォーラムの人々が、スパムフィルターをバイパスして受信トレイに着地するようになるマイクロソフト365メッセージセンターを通じてセクストーションメールを受け取ったと報告しました。

https://www.bleepingcomputer.com/news/security/microsoft-365-admin-portal-abused-to-send-sextortion-emails/

Bleeping Computer ニュースまとめ (2024年11月18日)

Phishing emails increasingly use SVG attachments to evade detection

脅威行為者は、検知を回避しながらフィッシングフォームを表示したりマルウェアを展開するためにScalable Vector Graphics(SVG)添付ファイルを利用することが増えています。SVGは、像を形成する際にピクセルではなく、コード内の数学的な数式で記述された線、形、テキストを使用しています。これらのSVG添付ファイルは、画像だけでなくHTMLを表示したりJavaScriptを実行したりすることが可能で、クレデンシャルを盗むためのフィッシングフォームを作成することもできます。このため、開発者でない限り、信頼できないメールにSVG添付ファイルが含まれている場合はすぐに削除することが安全です。

https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/

Security plugin flaw in millions of WordPress sites gives admin access

WordPressプラグイン「Really Simple Security」の深刻な認証バイパス脆弱性が発見されました。このプラグインSSL構成、ログイン保護、2要素認証、脆弱性検出などを提供するWordPress向けのセキュリティプラグインであり、無料版だけで400万以上のウェブサイトで利用されています。Wordfenceによると、この脆弱性はその12年の歴史の中で最も深刻なものの1つであり、遠隔攻撃者が影響を受けたサイトへの管理者権限を取得できる可能性があります。プラグイン脆弱性はCVE-2024-10924であり、2要素認証が有効な場合に悪用される可能性があります。最新版9.1.2には修正が適用されており、WordPress.orgはプラグインのユーザーにセキュリティ更新を強制することを提案しています。

https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/

Fake AI video generators infect Windows, macOS with infostealers

Fake AI画像と動画生成プログラムはWindowsmacOSにLumma StealerとAMOS情報窃取マルウェアを感染させ、被害デバイスから資格情報や仮想通貨ウォレットを盗むことが確認されました。これらのマルウェアChromiumブラウザからクッキーや資格情報、パスワード、クレジットカードなどを盗み、攻撃者に送られます。これにより、攻撃者は情報を利用したりサイバー犯罪のマーケットで販売したりします。ウイルスはEditProAIアプリの偽サイト経由でインストールされ、ウイルス対策ソフトに検出されることもあります。情報窃取マルウェアの脅威は増大しており、マルウェアが不正行為に使用されている可能性がありますので、パスワードや認証情報を変更し、セキュリティ対策を強化することが重要です。

https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-infect-windows-macos-with-infostealers/

T-Mobile confirms it was hacked in recent wave of telecom breaches

中国の脅威グループがマルウェアによる通信業界の侵害を実行し、T-Mobileも影響を受けたことが確認されました。T-Mobileは、現時点で困難な影響や顧客情報の影響を確認しておらず、他社が経験したような情報漏洩はないと述べました。中国脅威グループは、AT&T、Verizon、およびLumenを含む複数の米国通信会社を侵犯してきました。CISAとFBIの共同声明では、国家安全保障や政策関係者の通話ログやテキストメッセージが盗まれたことが明らかになり、攻撃はCiscoルーター脆弱性を介して行われたと報告されました。

https://www.bleepingcomputer.com/news/security/t-mobile-confirms-it-was-hacked-in-recent-wave-of-telecom-breaches/

GitHub projects targeted with malicious commits to frame researcher

GitHubプロジェクトが悪意のあるコミットとプルリクエストの標的となり、これらのプロジェクトにバックドアを注入しようとする試みが発生。最近、AIおよび機械学習スタートアップであるExo LabsのGitHubリポジトリが攻撃を受け、攻撃者の真の意図について疑問が生じている。火曜日、EXO Labsの共同設立者であるAlex Cheemaは、EXOのGitHubリポジトリに提出された「無害に見える」コード変更に注意を喚起。ユーザーが提出したコード変更によって、平文のPythonコードが数値に変換される手法が使用され、バックドアが埋め込まれる可能性があったが、これは不正行為が発覚し防がれた。他のプロジェクトにも同様の攻撃が確認されており、オープンソースプロジェクトの管理者達は警戒を強化する必要がある。

https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/

NSO Group used another WhatsApp zero-day after being sued, court docs say

イスラエルの監視企業NSO Groupが、WhatsAppの脆弱性を悪用してペガサススパイウェアを展開するために、複数のゼロデイ脆弱性、"Erised"を含む未知のものを使用したことが報告された。NSOスパイウェアプラットフォームであるペガサスは、顧客に延長された監視能力を提供する多くのソフトウェアコンポーネントを持っている。WhatsAppとの法廷資料によると、NSOは2018年4月以前に"Heaven"と呼ばれる攻撃を開発し、その後に"Eden"を開発してWhatsAppの保護を迂回し、約1400台のデバイスで攻撃を行った。WhatsAppはこれらの攻撃に対処し、NSOのアカウントを無効化したが、NSOはその後も"Erised"という新たなインストールベクトルを開発した。NSOは顧客にWhatsAppベースのスパイウェアをインストールするための技術を提供し、数千台の標的デバイスに対して使用されたことを認めている。Israel略称は不正確ですので、正確な要約には含まれていません。

https://www.bleepingcomputer.com/news/security/nso-group-used-another-whatsapp-zero-day-after-being-sued-court-docs-say/

Botnet exploits GeoVision zero-day to install Mirai malware

セキュリティの脆弱性を悪用して、GeoVision機器にマルウェアボットネットが侵入し、DDoSや暗号鉱山攻撃のために利用される可能性があることが判明した。脆弱性(CVE-2024-11120)はOSコマンドインジェクション問題であり、攻撃者は認証を受けずに機器上で任意のシステムコマンドを実行できる。未サポートの機種に影響があり、17,000台が脆弱性を持つ。感染した機器は過熱、遅延、設定の不具合などがあり、対策としてデバイスリセット、強固なパスワード設定、遠隔アクセスの無効化、ファイアウォール設置を推奨。

https://www.bleepingcomputer.com/news/security/botnet-exploits-geovision-zero-day-to-install-mirai-malware/

FTC reports 50% drop in unwanted call complaints since 2021

FTCが報告したところによると、アメリカの消費者からの不要なテレマーケティング電話に関する苦情は、2021年以降50%以上減少しており、3年前から続く傾向であることが分かりました。今年FTCは、ロボコールに関する110万件の報告を受け取ったが、前年の120万件および2021年の340万件から減少しています。最も多い苦情は、医療や処方に関する電話で、殆どがロボコールで報告されており、2024年9月30日までに17万件以上の報告がありました。FTCは、不要なテレマーケティング電話に対する取り締まりの結果だと述べており、電話番号を登録した消費者は電話番号を追加して通報できると説明しています。

https://www.bleepingcomputer.com/news/security/ftc-reports-50-percent-drop-in-unwanted-call-complaints-since-2021/

Bitfinex hacker gets 5 years in prison for 120,000 bitcoin heist

2016年にBitfinex暗号通貨取引所で119,754ビットコインを盗んだハッカー、Ilya Lichtensteinが米国当局によって5年の実刑判決を受けた。Lichtensteinは2022年2月に逮捕され、IRS、HSI、FBIによる長期の捜査の結果、盗まれた仮想通貨の80%(94,000ビットコイン)が回収された。盗まれた時点では7,800万ドルだったビットコインは押収時に36億ドルに相当。Lichtensteinは複数のオンラインアカウントを架空の身元情報で設定し、闇市場に盗まれた資金を広く分散させ、"チェーンホッピング"を行った。妻のHeather Morganも資金洗浄に加担し、11月18日から5年の刑を受ける。

https://www.bleepingcomputer.com/news/security/bitfinex-hacker-gets-5-years-in-prison-for-120-000-bitcoin-heist/

Microsoft pulls Exchange security updates over mail delivery issues

Microsoftは11月のPatch Tuesdayでリリースした2024年11月のExchangeセキュリティ更新プログラムを取り下げました。カスタムメールフロー規則を使用しているサーバーでのメール配信の問題が原因で、管理者からの報告が相次いでいたためです。メールフロールールやDLPルールを使用する顧客に影響があり、これらの規則は更新プログラムをインストールした後に一時的に停止する可能性があります。Microsoftは修正作業を進めており、問題を解決したらリリースするとしています。また、他の問題がない場合は、アップデートされたExchangeサーバーを引き続き使用できるとアドバイスしています。Microsoftは11月のパッチで4つのゼロデイを修正し、中には攻撃中のものや公開されたものも含まれています。

https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-exchange-security-updates-over-mail-delivery-issues/

Palo Alto Networks warns of critical RCE zero-day exploited in attacks

Palo Alto Networksが、Next-Generation Firewalls(NGFW)管理インタフェースに深刻なゼロデイ脆弱性が発見され、現在は「PAN-SA-2024-0015」として追跡され、攻撃で活用されていると警告しています。脆弱性は2024年11月8日に最初に開示され、リモートコード実行(RCE)の脅威に対処するために顧客にアクセス制限を訴えていましたが、1週間後に脆弱性が攻撃対象になっている状況が変わりました。セキュリティ更新がまだ出ていないため、管理インタフェースへのアクセスの保護が最善とされています。脅威状況を調査しながら、早急に修正プログラムと脅威予防署名をリリースする準備を進めています。

https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-critical-rce-zero-day-exploited-in-attacks/