akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

Bleeping Computer ニュースまとめ (2024年11月22日)

Windows 11 KB5046740 update released with 14 changes and fixes

Microsoftは、2024年11月のWindows 11 24H2のプレビュー累積アップデートをリリースしました。このアップデートには、14の改善と修正が含まれており、File ExplorerやClipboard履歴、セカンダリディスプレイに影響を与える問題が修正されています。KB5046740アップデートは、毎月第4週にMicrosoftによって推進されるセキュリティ以外のプレビューアップデートスケジュールの一部であり、Windows管理者がバグ修正、新機能、改良をテストできるようになっています。また、月次プレビューアップデートにはセキュリティアップデートは含まれていません。このプレビューアップデートでは、File ExplorerとデスクトップコンテキストメニューからAndroidバイスにコンテンツを共有する新しい方法が追加され、また、Windowsのテキスト読み上げと音声テキスト変換機能が改善されています。KB5046740には、セカンダリディスプレイでのラグや画面のちぎれの問題が修正されるほか、クリップボード履歴が空になる問題や複数のモニターを持つシステムでデバイスがスリープ状態になった後、アプリウィンドウがディスプレイの角に移動する問題も解決されています。更新は設定にアクセスし、Windows Updateをクリックして「更新を確認する」をクリックすることでインストールできます。

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5046740-update-released-with-14-changes-and-fixes/

Chinese hackers target Linux with new WolfsBane malware

新たなLinuxバックドアである「WolfsBane」が中国の「Gelsemium」ハッキンググループが使用するWindowsマルウェアのポートとして発見されました。ESETのセキュリティ研究者がWolfsBaneを分析した結果、WolfsBaneはドロッパー、ランチャー、バックドアを備えた完全なマルウェアツールであり、変更されたオープンソースルートキットを使用して検出を回避しています。もう1つのLinuxマルウェア「FireWood」も発見され、こちらは「Project Wood」Windowsマルウェアに関連しているようです。しかし、FireWoodはGelsemiumによって作成された独自のツールではなく、複数の中国のAPTグループが共有している可能性が高いです。このようなLinuxへの攻撃は、Windowsのセキュリティが強化される中で、APTグループが新たな攻撃手法を模索しているためだと考えられています。

https://www.bleepingcomputer.com/news/security/chinese-gelsemium-hackers-use-new-wolfsbane-linux-malware/

Over 2,000 Palo Alto firewalls hacked using recently patched bugs

ハッカーによって、Palo Alto Networksのファイアウォールに対して、最近パッチされた2つのゼロデイ脆弱性を悪用した攻撃がすでに数千回行われていることが明らかになった。これらの2つの脆弱性は、PAN-OS管理ウェブインターフェースの認証バイパス(CVE-2024-0012)とPAN-OS特権昇格(CVE-2024-9474)であり、ハッカーはこれらを利用して管理者権限を取得したり、ファイアウォールでコマンドを実行したりすることができる。攻撃は現在も続いており、CISAはこれらの脆弱性をその既知の攻撃された脆弱性カタログに追加し、連邦機関にファイアウォールのパッチを3週間以内に適用するよう要請している。Palo Alto Networksは、顧客にファイアウォールの管理インターフェースへのアクセスを制限することを強く勧めている。

https://www.bleepingcomputer.com/news/security/over-2-000-palo-alto-firewalls-hacked-using-recently-patched-bugs/

Microsoft pulls WinAppSDK update breaking Windows 10 app uninstalls

Microsoftは、Windows 10ユーザーの一部が11月12日以降、Microsoft Teamsなどのパッケージ化されたアプリのアップデートやアンインストールができないと確認しています。この問題は、WinAppSDK 1.6.2パッケージに起因し、Win App SDKを使用して開発されたアプリをインストールした後に影響を受けたユーザーのシステムに自動的に配信されました。影響を受けたWindows 10 22H2デバイスでは、Microsoft Storeの「ダウンロード」パネルで「Something happened on our end(弊社側で問題が発生しました)」というエラーメッセージが表示されます。Microsoftは問題に取り組んでおり、近日中にWindowsアップデートを介して解決策を提供する予定です。

https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-winappsdk-update-breaking-windows-10-app-uninstalls/

CISA says BianLian ransomware now focuses only on data theft

ビアンリアンランサムウェアの運営は、主にデータ窃盗脅迫グループに移行したと、米国サイバーセキュリティ・インフラストラクチャセキュリティエージェンシー、FBI、オーストラリアサイバーセキュリティセンターが更新した注意事項によると。新しい情報によると、ビアンリアンは2023年の終わりに暗号化攻撃を行ったことが知られていましたが、2024年1月以降、脅威グループは完全にデータ脅迫に移行したとのことです。CISAは、RDPの使用を厳格に制限し、WindowsシステムでのPowerShellの使用を制限することを推奨しています。ビアンリアンランサムウェアは2022年から活動しており、ダークウェブの脅迫ポータルには154人の被害者がリストされています。最近の被害の中には、エアカナダ、ノーザンミネラルズ、ボストンチルドレンズヘルスファイジシャンズが含まれています。

https://www.bleepingcomputer.com/news/security/cisa-says-bianlian-ransomware-now-focuses-only-on-data-theft/

Microsoft disrupts ONNX phishing-as-a-service infrastructure

Microsoftは、2017年以降、世界中の企業や個人を狙うフィッシングウェブサイト「ONNX」の顧客が使用する240のドメインを押収しました。ONNXは2024年のMicrosoftのDigital Defense Reportによると、第一半期においてフィッシングメッセージの量が最も多かった攻撃者でした。ONNXはGoogleDropBox、Rackspace、Microsoftなど技術企業をターゲットにするフィッシングキットを提供し、Telegramで売り、月額150ドルから550ドルまでの数種類のサブスクリプションモデルを使用していました。Dark Atlasセキュリティ研究者によってオーナーのAbanoub Nady(オンラインではMRxC0DERとしても知られている)が明らかにされたことを受けて、ONNXの運営は6月に突然停止しました。Microsoftは240のドメインを押収し、今後のフィッシング攻撃に使用されることを阻止しました。

https://www.bleepingcomputer.com/news/security/microsoft-disrupts-onnx-phishing-as-a-service-infrastructure/

US seizes PopeyeTools cybercrime marketplace, charges administrators

米国はサイバー犯罪ウェブサイト「PopeyeTools」を押収し、その管理者3人、Abdul Ghaffar、Abdul Sami、Javed Mirzaに対して盗まれたデータの販売で訴追を開始した。当局は、サイバー犯罪プラットフォームに関連する複数のドメインを押収した他、不正な運営に関連する暗号通貨である$283,000相当も没収した。PopeyeToolsは2016年に立ち上げられ、盗まれた金融情報や個人情報の売買、詐欺やサイバー攻撃のためのツールを提供するクリアネットのマーケットプレイスでした。当局によると、PopeyeToolsは少なくとも22万7,000人の個人の情報を売買することで$1,700,000の収益を上げました。サービスには返金ポリシーや故障したデータの代替品も提供され、利用者を維持するために高水準の顧客サービスが提供されました。3人の疑わしい管理者は販売者として告発され、各々の罪状が最大で10年の刑務所に直面していますが、現在逮捕は行われておらず、犯罪嫌疑者の居住地と引き渡しの可否は不明です。しかしながら、Abdul Samiに関連する$283,000相当の暗号通貨が押収されています。

https://www.bleepingcomputer.com/news/legal/us-seizes-popeyetools-cybercrime-marketplace-charges-administrators/

Fortinet VPN design flaw hides successful brute-force attacks

フォーティネットVPNサーバーのデザイン上の欠陥により、認証情報の総当たり攻撃中の成功確認を隠蔽することができることが判明した。新技術により、失敗した試行のみを記録し、成功した試行は記録せず、セキュリティ上の虚偽の安心感を生む方法が登場した。研究者たちは、認証と認可の段階からなる2段階プロセスを使用してログインアクティビティを保存するフォーティクライアントVPNサーバーで、成功したログインが記録されるのは認証と認可の両段階を通過する場合のみであり、それ以外の場合は失敗した認証が記録されることを発見した。フォーティネットにこの問題を共有したPentera社は、このデザイン上の欠陥を悪用してフォーティネットVPN認証を確認するスクリプトを公開した。

https://www.bleepingcomputer.com/news/security/fortinet-vpn-design-flaw-hides-successful-brute-force-attacks/

Now BlueSky hit with crypto scams as it crosses 20 million users

BlueSkyは20億ユーザーを突破し、脅威の存在も増加してきている。過去数年間、X/Twitterは詐欺師たちの温床となっており、BlueSkyにもその影響が及んでいるようだ。BlueSkyの投稿には、マーク・ザッカーバーグのAI生成画像が登場し、「MetaChain」と「MetaCoin」といった仮想通貨が宣伝されている。これらの投稿は、Metaの概念「Metaverse」と関連付けられるようにメッセージやグラフィックスが工夫されている。プラットフォームは急速に拡大しており、スパム、詐欺、トロール活動も増加している。BlueSkyは中央集権的な制約を持たず、ユーザーは自由にコンテンツを制御できるが、その一方で操作上の注意が必要だ。

https://www.bleepingcomputer.com/news/security/now-bluesky-hit-with-crypto-scams-as-it-crosses-20-million-users/

Cyberattack at French hospital exposes health data of 750,000 patients

名前の明かされていないフランスの病院でデータ侵害が発生し、脅威の行為者が電子患者記録システムにアクセスして75万人の患者の医療記録が流出した。脅威の行為者は、フランスの複数の医療施設に侵入し、150万人以上の患者記録にアクセスしていると主張している。Softway Medical Groupは、MediBoardアカウントが侵害されたことを認めたが、これは彼らのソフトウェアの脆弱性や構成ミスに起因するのではなく、病院が使用していた盗まれた資格情報によるものであると述べている。販売リストには3人のユーザー向けにデータが提供されたが、現在まだ購入者はいない。 

https://www.bleepingcomputer.com/news/security/cyberattack-at-french-hospital-exposes-health-data-of-750-000-patients/

Fintech giant Finastra investigates data breach after SFTP hack

Finastraは、脅威アクターがハッキングフォーラムで盗まれたデータを販売し始めた後、顧客にサイバーセキュリティインシデントについて警告したことを確認しました。同社は、世界のトップ50銀行および信用組合のうち45社を含む130カ国にまたがる8,000機関にサービスを提供する金融ソフトウェア企業です。2024年11月7日に発生したセキュリティインシデントでは、侵入者が不正に認証情報を使用して、FinastraのSecure File Transfer Platform (SFTP)システムの1つにアクセスしました。同社は、侵害がSFTPプラットフォームを超えて広がった証拠はないと述べています。影響を受ける人に送信されたデータ侵害通知から、Finastraがセキュリティ侵害を受けた事実を最初に報告したのはBrian Krebs氏でした。要注意な点は、過去にFinastraがランサムウェア攻撃を受けた際に、Pulse Secure VPNとCitrixサーバーの古いバージョンを使用していたことが指摘されたことです。

https://www.bleepingcomputer.com/news/security/fintech-giant-finastra-investigates-data-breach-after-sftp-hack/

MITRE shares 2024's top 25 most dangerous software weaknesses

MITREが2023年6月から2024年6月に開示された3万1,000以上の脆弱性の背後にある最も一般的で危険なソフトウェアの弱点のトップ25リストを共有しました。ソフトウェアの弱点は、コード、アーキテクチャ、実装、または設計に見られる欠陥、バグ、脆弱性、エラーを指します。これらは攻撃者がシステムを侵害し、影響を受けたデバイスを完全にコントロールしたり、機密データにアクセスしたり、サービスの遮断を引き起こすことを可能にします。MITREは、これらの脆弱性の根本原因を突き止めることが、これらの脆弱性が最初に発生しないようにするための投資、政策、実践の強力なガイドとなると述べました。CISAは、組織がソフトウェアセキュリティ戦略を策定する際にこのリストを活用するよう強く勧めています。彼らはまた、様々な脆弱性を排除するために使用可能な有効な緩和策があるにも関わらず、まだソフトウェアから排除されていないよく知られた脆弱性の広範な存在を強調する「Secure by Design」アラートを定期的に発表しています。

https://www.bleepingcomputer.com/news/security/mitre-shares-2024s-top-25-most-dangerous-software-weaknesses/

US charges five linked to Scattered Spider cybercrime gang

米司法省は、経済的動機を持つScattered Spiderサイバー犯罪グループの一部と信じられる5人の容疑者を電信詐欺共謀の罪で起訴した。マルウェア被害者の認証情報を盗んだSMSフィッシング攻撃で数十の個人や企業を標的とし、2021年9月から2023年4月まで、彼らは仮想通貨ウォレットから数百万を盗むことに成功した。Scattered Spiderは、ソーシャルエンジニアリング攻撃に特化し、ヘルプデスク技術者をなりすってフィッシング攻撃を行い、標的となる企業の従業員から認証情報を盗む。これにより、彼らの被害者の電子メールアカウントを乗っ取り、SIMスワップ攻撃で数百万を自身の支配下にあるウォレットに転送することができた。組織構造の柔軟性から、法執行機関はScattered Spiderの活動を監視し、特定の攻撃を特定するのが難しい。FBIは、Scattered Spiderが企業ネットワークを侵害するためにさまざまな戦術を使っていることを警告している。また、2023年からScattered Spiderはいくつかのロシアのランサムウェア集団と提携している。高いプロファイルを持つ攻撃に関わっていることが明らかになっている。

https://www.bleepingcomputer.com/news/security/us-charges-five-linked-to-scattered-spider-cybercrime-gang/