SecNews Weekly Report 2020/5/3rd
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週はコロナ関連で、ワクチン研究成果に対する中国ハッカーの攻撃に対するFBIの警戒などが報告されました。 その他、大量の偽サイトやThunderspy攻撃の投稿が気になりました。
目次
注目キーワード
大量の偽サイト
アドレス末尾が「.tk」「.ga」「.gq」「.ml」からなる偽サイトが大量に存在していることが報告されています。
何かの攻撃の下準備かとも思えますが、検索エンジンの上位に出てくると厄介な印象です。ただし、アクセスできないサイトも多そうですね。
検索にはこの検索キーワードが非常に役に立ちました。
官邸も新聞社も…偽サイトが大量に出現 誰が何のために
(参考)TampererさんはTwitterを使っています 「こんな感じで検索するとほぼ偽サイトしか出てきません。 https://t.co/34FpyLXWWA」 / TwitterThunderspy攻撃
ファームウェアにパッチを当てるツールキットを用いてThunderboltのセキュリティ機能を無効化し、痕跡を残すことなくデータを奪取可能。
BIOS(UEFI)でセキュアブート、OSのパスワードロックやHDDの暗号化も解除できるということなので、紛失のリスクが高まりますね。逆にフォレンジックにも使えたりするんですかね。
Thunderboltに数分でハッキング完了可能な脆弱性。2011年以降のPCが対象
(参考)Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes - YouTube
コロナ、テレワーク
攻撃動向・事案
ワクチン研究成果に対する中国ハッカーの攻撃に対するFBIの警戒や金融機関へのサイバー攻撃増加などの報告がされています。
中国ハッカーがコロナワクチン研究成果の窃取試み FBIが警戒 米紙報道
(参考)Nation-state actors are targeting UK universities to steal info on COVID-19 researchCrooks continues to use COVID-19 lures, Microsoft warns
LokiBotがCOVID-19ルアーを継続人気メッセージアプリの偽ダウンロードサイトに注意
Telegram、Viber、WhatsApp、Zoomの偽ダウンロードサイトを紹介COVID-19 - マルウェアがパンデミックに便乗
コロナテーマを悪用するマルウェアのまとめ、Ursnif、Fareit、Emotet等についてIOCやATT&CKのテクニック情報を掲載
無償提供
マイクロソフト社がコロナ関連のIoC、富士通が一部の知的財産権、NICTが「CYDER」の教材を無償公開しています。
Open-sourcing new COVID-19 threat intelligence
(参考)Azure-Sentinel/Sample Data/Feeds at master · Azure/Azure-Sentinel
マイクロソフト社がコロナ関連のスレットインテリジェンスをオープンソース化
その他
テレワークPCを社内に接続するときに注意に関する記事やTwitter誤情報の拡散防止の報告等がありました。
事案
日経新聞、マウスコンピューター、アイ・オー・データの情報流出事案が報告されています。
Shiny Hunters group is selling data from 11 companies on the Dark Web
Shiny Huntersというハッキンググループが、ダークウェブで11社のデータを販売中
攻撃
Reverse RDP Attackの手法、HTTPステータスコードを用いたC2通信、定のIPアドレスレンジに対して攻撃を行うCarpet-bombingの攻撃の観測などが報告されています。
Improper Microsoft Patch for Reverse RDP Attacks Leaves 3rd-Party RDP Clients Vulnerable
「Reverse RDP Attack」に対する脆弱性(CVE-2019-0887)パッチの回避方法Russian APT Turla’s COMpfun malware uses HTTP status codes to receive commands
ロシアのAPT TurlaのCOMpfunマルウェアが、HTTPステータスコードを使用してコマンドを受信2020年4月 TCP SYN/ACKリフレクション攻撃の観測事例
特定のIPアドレスレンジに対して攻撃を行うCarpet-bombingと呼ばれる手法での攻撃を観測U.S Defense Warns of 3 New Malware Used by North Korean Hackers
米国防総省、北朝鮮のハッカー(Lazarus APT)が使用する3つの新しいマルウェアを警告North Korea-linked Lazarus APT uses a Mac variant of the Dacls RAT
北朝鮮のLazarus APTがMac版Dacls RATを使用Threat actors are offering for sale 550 million stolen user records
脅威のアクターが5億5000万件の盗まれたユーザー記録を売りに出すフィッシングサイト構築にクラウドサービスを利用する手口を連続して確認
認証情報を詐取するフィッシングページをホストするため、Evernote、Canva、Infogram、Lucidpress等を悪用Mirai亜種(XTC)による感染活動の観測
9673/tcpに対するアクセス、User-Agentに「XTC」の文字列を含むことが多いインターネット定点観測レポート(2020年 1~3月)
Citrix Systems 社のPoC公開直後から探索行為が始まったとのことランサムウェア攻撃に見られる「共通の傾向」とは?
潜伏期間はほとんどのケースで3日以上、76%のケースでランサムウェアは就業時間外に実行等
脆弱性
Google Firebaseを使用しているアプリやGoogleのWordPressプラグイン「Site Kit」等の脆弱性が報告されています。
推定2万4000のAndroidアプリで機密データの漏洩、ユーザーも開発者も対処を
Google Firebaseを使用しているアプリの保護設定の不備による脆弱性Google WordPress Site Kit plugin grants attacker Search Console Access
GoogleのWordPressプラグイン「Site Kit」が攻撃者に Search Console へのアクセスを許す脆弱性Zerodium will no longer acquire certain types of iOS exploits due to surplus
Zerodium社が投稿数が多いため、特定の種類のiOSエクスプロイトの取得を停止
サービス・製品
自社の強みを生かした領域の拡張やクラウド、テレワーク等のトレンドに乗ったサービス展開が見られました。
防御・ツール
MSとインテルから、マルウェアを画像に変換して分析する手法が報告されています。
MSとインテル、マルウェアを画像に変換して分析する手法を開発
識別と分類で99.07%の精度を達成し、誤検出率は2.58%とのことなので、かなり高精度ですね。脆弱なIoT機器への注意喚起は月300件前後--総務省が報告
総務省のNOTICEの活動報告
キャリア・学習
マカフィー社の退職強要や富士通の「ジョブ型」人事制度等の記事がありました。
経営・マネジメント
NCA社団法人化、改正電気通信事業法、改正情報処理促進法などの報告がありました。
その他
今年のDEF CONは中止だそうです。他のカンファレンスもあと1、2年は中止またはバーチャルになる気がしますね。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。