セキュリティニュースまとめる君

Docker-OSX image used for security research hit by Apple DMCA takedown
other
2024-08-31 14:16:26

アップルは、Docker Hubからの人気プロジェクトであるDocker-OSXを削除した。
Docker-OSXは、セキュリティ研究者や開発者にmacOS上でソフトウェアのテストやマルウェアの研究を容易にするためのプロジェクトで、普及率は高い。
アップルは「docker-osx」リポジトリにDMCA侵害通知を送り、許可なくアップルのコンテンツを複製しているとして削除を要請。
Sick.Codesはアップルの行動がセキュリティ研究に影響を与えると述べたが、自らのセキュリティ研究への取り組みは変わらないとコメント。
Docker-OSXは現在GitHubで利用可能であり、著作物はそこから見られるが、その他の削除リクエストは期待されていない。

Microsoft is trying to reduce Windows 11's desktop spotlight clutter
vulnerability
2024-08-30 20:03:28

脆弱性

CVE	なし
影響を受ける製品	Windows 11
脆弱性サマリ	Windows 11のSpotlight機能におけるデスクトップ表示に関する問題
重大度	なし
RCE	無
攻撃観測	不明
PoC公開	なし

Researchers find SQL injection to bypass airport TSA security checks
incident
2024-08-30 19:02:43

被害状況

事件発生日	2024年4月23日
被害者名	FlyCASS（航空会社の管理システムを利用していた航空会社）
被害サマリ	SQLインジェクションの脆弱性を悪用し、FlyCASSのログインシステムに侵入して機内へのアクセスを得ることが可能だった。
被害額	不明

攻撃者

攻撃者名	攻撃者不明（FlyCASSに対する攻撃者情報不明）
攻撃手法サマリ	SQLインジェクションを利用
マルウェア	MedusaLocker ransomware
脆弱性	SQLインジェクション

New Voldemort malware abuses Google Sheets to store stolen data
vulnerability
2024-08-30 18:04:36

脆弱性

CVE	なし
影響を受ける製品	Google Sheets
脆弱性サマリ	新しいマルウェア「Voldemort」がGoogle Sheetsを悪用して窃取データを格納
重大度	高
RCE	有
攻撃観測	有
PoC公開	無

North Korean hackers exploit Chrome zero-day to deploy rootkit
incident
2024-08-30 17:04:18

被害状況

事件発生日	2024年8月30日
被害者名	210人の被害者
被害サマリ	北朝鮮ハッカーがGoogle Chromeのゼロデイ脆弱性（CVE-2024-7971）を悪用し、FudModuleルートキットを展開。Windows Kernel exploitを利用してSYSTEM権限を取得し、暗号通貨セクターを標的にしていることが確認された。
被害額	不明（予想）

攻撃者

攻撃者名	北朝鮮の脅威アクター
攻撃手法サマリ	Google Chromeのゼロデイ脆弱性を悪用し、Windows Kernel exploitを用いた攻撃
マルウェア	FudModuleルートキット
脆弱性	Google ChromeのCVE-2024-7971、Windows KernelのCVE-2024-38106

Researcher sued for sharing data stolen by ransomware with media
incident
2024-08-30 14:44:44

被害状況

事件発生日	2024年7月18日
被害者名	City of Columbus, Ohio
被害サマリ	City of ColumbusのITネットワークからデータが漏洩し、Rhysida ransomware groupによって公開された。漏洩されたデータには、機密情報や個人情報が含まれており、警察や検察が取得した大量のデータも含まれていた。
被害額	25,000ドル超を超える損害賠償請求中（予想）

攻撃者

攻撃者名	Rhysida ransomware group（特定の攻撃者不明、グループがロシアを拠点としている可能性あり）
攻撃手法サマリ	機密データを盗んで暗号化し、脅迫した後、データを公開した。
マルウェア	Rhysida ransomware
脆弱性	不明

-------------------- **記事より抜粋：** 2024年7月18日、オハイオ州コロンバス市（人口2,140,000人）は、市のITネットワークから漏洩したデータがRhysida ransomwareグループによって公開されたことを受けて、セキュリティ研究者のDavid Leroy Ross（別名Connor Goodwolf）に対して訴訟を起こしました。市の訴状によると、漏洩されたデータには市の機密情報や機関から収集された大量のデータが含まれており、市はGoodwolfがデータを広める行為を不法かつ過失と主張し、25,000ドル超の損害賠償を求めています。Rhysida ransomwareグループは攻撃を主張し、盗まれたデータの一部を公開したことで、被害が拡大しました。

Cyberattackers Exploit Google Sheets for Malware Control in Global Espionage Campaign
incident
2024-08-30 13:04:00

被害状況

事件発生日	不明
被害者名	70以上の組織
被害サマリ	Google SheetsをC2メカニズムとして利用する新しいマルウェアキャンペーンにより、保険、航空宇宙、交通、学術、金融、テクノロジー、産業、医療、自動車、ホスピタリティ、エネルギー、政府、メディア、製造業、通信、社会福祉機構などのセクターが対象になった。マルウェアは情報収集や追加のペイロードの送信を目的とし、Google SheetsをC2として利用している。
被害額	（予想）数百万ドル

攻撃者

攻撃者名	不明、国籍などの特徴も特定されず
攻撃手法サマリ	Google SheetsをC2メカニズムとして利用、偽税務当局のメールを送信し、Adobe Acrobat Readerを装ったPDFファイルを介してマルウェアを実行する手法
マルウェア	Voldemort（バックドア）、CiscoSparkLauncher.dll（悪意のあるDLL）など
脆弱性	不明

-------------------

Iranian Hackers Set Up New Network to Target U.S. Political Campaigns
incident
2024-08-30 11:15:00

被害状況

事件発生日	Aug 30, 2024
被害者名	米国政治キャンペーンに関連する活動
被害サマリ	米国政治キャンペーンを標的としたイランの脅威アクターによる新しいネットワークインフラの発見
被害額	不明

攻撃者

攻撃者名	イランの脅威アクター
攻撃手法サマリ	高度なソーシャルエンジニアリング技術を用いた高度なフィッシング攻撃
マルウェア	POWERSTAR, GORBLE, TAMECAT, BlackSmith など
脆弱性	不明

New Malware Masquerades as Palo Alto VPN Targeting Middle East Users
vulnerability
2024-08-30 10:20:00

脆弱性

CVE	なし
影響を受ける製品	Palo Alto Networks GlobalProtect VPN
脆弱性サマリ	ネットワークセキュリティ向けのマルウェアがPalo Alto VPNをなりすまして中東のユーザーを狙う
重大度	高
RCE	有
攻撃観測	不明
PoC公開	不明

Breaking Down AD CS Vulnerabilities: Insights for InfoSec Professionals
vulnerability
2024-08-30 09:39:00

脆弱性

CVE	なし
影響を受ける製品	Active Directory Certificate Services (AD CS)
脆弱性サマリ	AD CSにおける4つの脆弱性の分類および影響について
重大度	高
RCE	不明
攻撃観測	有
PoC公開	不明