セキュリティニュースまとめる君

Exploit released for new Windows Server "WinReg" NTLM Relay attack
vulnerability
2024-10-22 17:26:01

CVE	CVE-2024-43532
影響を受ける製品	Windows Server 2008-2022、Windows 10、Windows 11
脆弱性サマリ	MicrosoftのRemote Registryクライアントの脆弱性を悪用して、Windowsドメインの制御を奪う可能性のある攻撃が可能
重大度	高
RCE	有
攻撃観測	不明
PoC公開	有

Gophish Framework Used in Phishing Campaigns to Deploy Remote Access Trojans
incident
2024-10-22 17:06:00

事件発生日	2024年10月22日
被害者名	Russian-speaking users
被害サマリ	Russian-speaking usersを標的とした新しいフィッシングキャンペーンが発生し、DarkCrystal RATと名付けられた未公開のリモートアクセストロイの配信にGophishというオープンソースのフィッシングツールキットが利用されました。
被害額	不明（予想）

攻撃者名	不明（ロシア語を用いた攻撃によるため、ロシアに関連がある可能性）
攻撃手法サマリ	オープンソースのGophishフレームワークを使用してフィッシングキャンペーンを展開し、DarkCrystal RATとPowerRATを送信。
マルウェア	DarkCrystal RAT、PowerRAT
脆弱性	不明

Security Flaw in Styra's OPA Exposes NTLM Hashes to Remote Attackers
vulnerability
2024-10-22 14:12:00

CVE	CVE-2024-8260
影響を受ける製品	Styra's Open Policy Agent (OPA)
脆弱性サマリ	StyraのOPAには、NTLMハッシュをリモート攻撃者にさらす可能性があるセキュリティフローが存在していました。
重大度	中
RCE	無
攻撃観測	不明
PoC公開	なし

VMware fixes bad patch for critical vCenter Server RCE flaw
vulnerability
2024-10-22 14:08:40

CVE	CVE-2024-38812
影響を受ける製品	VMware vCenter Server、vSphere、Cloud Foundationなど
脆弱性サマリ	vCenterのDCE/RPCプロトコルの実装におけるヒープオーバーフロー弱点により、リモートコード実行が可能
重大度	高
RCE	有
攻撃観測	未実施
PoC公開	未実施

Cybercriminals Exploiting Docker API Servers for SRBMiner Crypto Mining Attacks
incident
2024-10-22 14:00:00

事件発生日	不明
被害者名	不明
被害サマリ	悪意のある行為者がDockerのリモートAPIサーバーを標的にして、SRBMiner暗号マイニングを展開していた
被害額	不明（予想）

攻撃者名	国籍不明の悪意のある第三者
攻撃手法サマリ	攻撃者はgRPCプロトコルを利用し、Dockerホスト上にSRBMinerを展開してXRP暗号通貨を不正にマイニングしていた
マルウェア	SRBMiner, Perfctl
脆弱性	DockerのリモートAPIサーバーが標的となっていた

A Comprehensive Guide to Finding Service Accounts in Active Directory
other
2024-10-22 11:00:00

サービスアカウントは、サーバー上で実行されるアプリケーションやスクリプトのための必要なセキュリティコンテキストを提供する特化したアクティブディレクトリアカウント。
アクティブディレクトリにおけるサービスアカウントを見つける際には、既存の在庫リストや文書の確認から始め、アクセス権を持つアカウントを検索する。
サービスアカウントは"PASSWORD_NOT_REQUIRED"などの特別なアカウントフラグを持つことがあり、これらのフラグを持つアカウントを検索するためにPowerShellコマンドやLDAPクエリを使用する。
サービスアカウントは、特定のセキュリティグループのメンバーであることが多く、それらのグループのメンバーシップを確認することで、適切な権限を付与する。
サービスアカウントの権限を適切にレビューおよび更新し、強力なパスワードポリシーを適用し、アクティビティを監視することで、セキュリティを確保できる。

Bumblebee and Latrodectus Malware Return with Sophisticated Phishing Strategies
incident
2024-10-22 10:00:00

事件発生日	不明
被害者名	不明
被害サマリ	BumblebeeとLatrodectusマルウェアがソフィスティケートなフィッシング戦術と共に再登場し、個人データの収集や追加ペイロードのダウンロード・実行を目的としている。
被害額	不明（予想）

攻撃者名	不明
攻撃手法サマリ	フィッシングキャンペーンを使用
マルウェア	Bumblebee, Latrodectus（または別名 BlackWidow, IceNova, Lotus, Unidentified 111）
脆弱性	不明

Malicious npm Packages Target Developers' Ethereum Wallets with SSH Backdoor
vulnerability
2024-10-22 09:33:00

CVE	なし
影響を受ける製品	npm registryに公開された特定のパッケージ
脆弱性サマリ	npm registryに公開された悪意のあるパッケージがEthereumのプライベートキーを収集し、SSHプロトコルを介してリモートアクセスを獲得する悪意ある行動をする
重大度	高
RCE	有
攻撃観測	有
PoC公開	有

VMware Releases vCenter Server Update to Fix Critical RCE Vulnerability
other
2024-10-22 07:03:00

VMwareがvCenter Serverの重要なRCE脆弱性を修正するためのアップデートをリリース
脆弱性(CVE-2024-38812)はDCE/RPCプロトコルの実装におけるヒープオーバーフロー脆弱性に関連
悪意のあるユーザーがネットワークアクセスを持つvCenter Serverに特別に作成されたネットワークパケットを送信することで脆弱性を誘発し、リモートコード実行を可能にする
9月17日にリリースされたパッチがCVE-2024-38812を完全に修正しなかったことが判明
脆弱性が野外で悪用された証拠はないが、最新バージョンへのアップデートが推奨されている

CISA Adds ScienceLogic SL1 Vulnerability to Exploited Catalog After Active Zero-Day Attack
vulnerability
2024-10-22 04:47:00

CVE	CVE-2024-9537
影響を受ける製品	ScienceLogic SL1
脆弱性サマリ	未指定のサードパーティ製コンポーネントに関する重大な脆弱性で、リモートコード実行が可能
重大度	高
RCE	有
攻撃観測	有
PoC公開	不明