セキュリティニュースまとめる君

New DroidBot Android malware targets 77 banking, crypto apps
vulnerability
2024-12-04 18:26:24

脆弱性

CVE	なし
影響を受ける製品	New DroidBot Android malware
脆弱性サマリ	新しいAndroidバンキングマルウェア「DroidBot」が、英国、イタリア、フランス、スペイン、ポルトガルの77以上の仮想通貨取引所や銀行アプリの資格情報を盗もうとしています。
重大度	高
RCE	無
攻撃観測	有
PoC公開	無

New DroidBot Android banking malware spreads across Europe
other
2024-12-04 18:26:24

New DroidBot Android banking malware spreads across Europe
- Droidbotは新たなAndroidバンキングマルウェアであり、主にイギリス、イタリア、フランス、スペイン、ポルトガルの77以上の仮想通貨取引所や銀行アプリの資格情報を盗もうとしている。
DroidBot MaaS（Malware-as-a-Service）の運用
- トルコ人開発者がDroidBotのアフィリエイトに攻撃を行うために必要なツールを提供し、C2サーバーや中央管理パネルも含まれる。
- 17の脅威グループが同じC2インフラで作動し、クリーフィはそのグループを特定している。
- DroidBotのペイロードビルダーは、アフィリエイトが特定のアプリをターゲットにするためにカスタマイズするのを可能にし、C2サーバーアドレスを設定できる。
人気アプリのなりすまし
- DroidBotはGoogle Chrome、Google Playストア、'Android Security'などのマスクとしてしばしば現れ、ユーザーをだまして悪意のあるアプリをインストールさせる。
マルウェアの主な特徴
- キーロギング、偽のログインページの表示、SMSインターセプト、VNCモジュールを用いたリモート制御など、さまざまな方式で機密情報を盗もうとする。
- Accessibilityサービスの乱用によってAndroidの操作をモニターし、操作を模倣することが可能。
DroidBot脅威を軽減する方法
- AndroidユーザーはGoogle Playからのみアプリをダウンロードし、インストール時の権限リクエストをよく確認し、デバイスにPlay Protectが有効であることを確認するようアドバイスされている。

Solana Web3.js library backdoored to steal secret, private keys
vulnerability
2024-12-04 17:31:04

脆弱性

CVE	なし
影響を受ける製品	Solana Web3.jsライブラリ
脆弱性サマリ	Solana Web3.jsライブラリにマルウェアが仕込まれ、暗号通貨の秘密鍵を盗む
重大度	高
RCE	無
攻撃観測	有
PoC公開	無

Russia-Linked Turla Exploits Pakistani Hackers' Servers to Target Afghan and Indian Entities
incident
2024-12-04 17:23:00

被害状況

事件発生日	2022年以降（具体日は不明）
被害者名	アフガニスタンおよびインドの政府機関
被害サマリ	ロシア関連のTurlaがパキスタンのハッカーグループのC2サーバーを悪用し、アフガニスタンおよびインドの機関にバックドアを展開した
被害額	被害額は明記されておらず、記事から推定できないため（予想）

攻撃者

攻撃者名	Turlaとして知られるロシア関連のAPTグループ
攻撃手法サマリ	他の組織の悪用を通じて自身の目的を遂行し、攻撃の帰属性を曖昧にする
マルウェア	TwoDash、Statuezy、Snake、ComRAT、Carbon、Crutch、Kazuar、HyperStack、TinyTurla、QUIETCANARYなど
脆弱性	Turlaは他の脅威アクターのインフラを悪用して情報を収集し、戦略的に利用している

Russian hackers hijack Pakistani hackers' servers for their own attacks
incident
2024-12-04 17:00:00

被害状況

事件発生日	2022年12月以降
被害者名	Storm-0156（パキスタンの脅威アクター）
被害サマリ	ロシアのサイバー諜報グループTurla（別名"Secret Blizzard"）が、パキスタンの脅威アクターStorm-0156のインフラストラクチャをハッキングし、すでに侵害されたネットワークに自身のマルウェアツールを展開していた。
被害額	被害額は記載がないため（予想）

攻撃者

攻撃者名	Turla（ロシアのサイバー諜報グループ）
攻撃手法サマリ	他のハッカーのインフラを利用してステルスで情報収集を行う
マルウェア	TinyTurlaバックドア、TwoDashバックドア、Statuezyクリップボードモニター、MiniPocketダウンローダー
脆弱性	不明

Russian hackers hijack Pakistani hackers' servers for their own attacks
incident
2024-12-04 17:00:00

被害状況

事件発生日	2022年12月以降
被害者名	Storm-0156 (パキスタンの脅威とされるアクター)
被害サマリ	ロシアのサイバー諜報グループTurlaが、Storm-0156のインフラをハックして、既に侵害されているネットワークに自らのマルウェアツールを展開
被害額	情報漏洩（金額不明）

攻撃者

攻撃者名	Turla (ロシアのサイバー諜報グループ)
攻撃手法サマリ	他のハッカーのインフラを悪用して情報収集
マルウェア	TinyTurla backdoor variant, TwoDash backdoor, Statuezy clipboard monitor, MiniPocket downloader, CrimsonRAT malware, Wainscot（他）
脆弱性	Storm-0156のセキュリティ強化不足

Japan warns of IO-Data zero-day router flaws exploited in attacks
vulnerability
2024-12-04 15:28:55

脆弱性

CVE	CVE-2024-45841, CVE-2024-47133, CVE-2024-52564
影響を受ける製品	I-O DataのUD-LT1とUD-LT1/EX LTEルーター
脆弱性サマリ	UD-LT1およびUD-LT1/EX LTEルーターデバイスのゼロデイ脆弱性が悪用され、デバイスの設定変更、コマンドの実行、ファイアウォールの無効化などが行われる
重大度	高
RCE	有
攻撃観測	有
PoC公開	不明

Six password takeaways from the updated NIST cybersecurity framework
other
2024-12-04 15:01:11

Passwordの長さよりも複雑さを優先する方針を見直すべき
より長いパスワードを可能にし、64文字までサポートすべき
多要素認証を実装すべき
頻繁なパスワード変更を避けるべき
既に漏洩したパスワードの使用を防ぐべき

Europol Dismantles Criminal Messaging Service MATRIX in Major Global Takedown
incident
2024-12-04 12:20:00

被害状況

事件発生日	不明
被害者名	不明
被害サマリ	MATRIXという暗号化メッセージングサービスが犯罪者によって使用されていたことが発覚。33言語で約2.3百万通のメッセージが押収され、国際的な麻薬取引、武器取引、マネーロンダリングなどの重大犯罪に関連していた。
被害額	不明（予想）

攻撃者

攻撃者名	不明（フランス、ドイツ、リトアニア、スペイン等からの犯罪者）
攻撃手法サマリ	パッションフラワーという作戦により、MATRIXの犯罪者用メッセージングサービスが摘発された。
マルウェア	不明
脆弱性	不明

7 PAM Best Practices to Secure Hybrid and Multi-Cloud Environments
other
2024-12-04 11:50:00

複数クラウド環境のセキュリティを確保するための7つのPAMベストプラクティス
1. アクセスコントロールを一元化する
2. 重要なリソースへのアクセスを制限する
3. 役割ベースのアクセス制御を導入する
4. ゼロトラストセキュリティ原則を採用する
5. ユーザー活動の可視性を向上させる