セキュリティニュースまとめる君

New Windows Driver Signature bypass allows kernel rootkit installs
incident
2024-10-26 12:26:55

被害状況

事件発生日	不明
被害者名	UnitedHealth
被害サマリ	100百万人のデータがChange Healthcareの侵害で盗まれる
被害額	不明（予想）

攻撃者

攻撃者名	不明、国籍や特徴も明らかでない
攻撃手法サマリ	Windowsカーネルコンポーネントのダウングレードを利用したRootkitインストール
マルウェア	不明
脆弱性	Driver Signature Enforcementのバイパス

Over 70 zero-day flaws get hackers $1 million at Pwn2Own Ireland
incident
2024-10-26 09:42:23

被害状況

事件発生日	2024年10月26日
被害者名	Lexmark、TrueNAS X、QNAP、TrueNAS Mini X
被害サマリ	70以上のゼロデイ脆弱性が発見され、$1,066,625の賞金が支払われた。
被害額	確定されていないので（予想）

攻撃者

攻撃者名	不明（白帽ハッカー）
攻撃手法サマリ	70以上のゼロデイ脆弱性を悪用
マルウェア	不明
脆弱性	70以上のゼロデイ脆弱性

Notorious Hacker Group TeamTNT Launches New Cloud Attacks for Crypto Mining
incident
2024-10-26 09:06:00

被害状況

事件発生日	2024年10月26日
被害者名	不明
被害サマリ	クラウド環境における暗号通貨マイニングを目的とした新たな大規模な攻撃が行われた。攻撃者はサーバーを不正利用し、Sliverマルウェアや暗号通貨マイナーを展開している
被害額	不明（予想）

攻撃者

攻撃者名	TeamTNTとして知られるインフォマションスナッチャーのグループ
攻撃手法サマリ	クラウド環境およびDockerデーモンを標的とし、マルウェアや暗号通貨マイニングプログラムを展開。攻撃手法は多段階のアサルトで進化している
マルウェア	Sliverマルウェア、Docker Gatling Gunなど
脆弱性	未公開のDocker APIエンドポイントの脆弱性を悪用

Four REvil Ransomware Members Sentenced in Rare Russian Cybercrime Convictions
incident
2024-10-26 08:34:00

被害状況

事件発生日	2024年10月26日
被害者名	不明
被害サマリ	REvilランサムウェアのメンバー4人がロシアで逮捕・有罪判決を受ける
被害額	不明（予想）

攻撃者

攻撃者名	不明（ロシア出身のサイバー犯罪者）
攻撃手法サマリ	ランサムウェア攻撃
マルウェア	REvilランサムウェア
脆弱性	不明

-------------------- ランサムウェアの被害状況として、2024年10月26日にロシアで、REvilランサムウェアのメンバー4人が逮捕され、刑期が言い渡された。この事件はロシアのサイバー犯罪者がハッキングやマネーロンダリングの罪で有罪判決を受けた稀なケースとして報じられている。被害者の身元や被害額は明らかにされていない。攻撃者はロシア出身の犯罪者集団で、使用されたマルウェアはREvilランサムウェアである。

CERT-UA Identifies Malicious RDP Files in Latest Attack on Ukrainian Entities
incident
2024-10-26 04:06:00

被害状況

事件発生日	2024年10月26日
被害者名	ウクライナの政府機関、企業、軍事機関
被害サマリ	ウクライナの機関を標的にした新たな悪質なメールキャンペーン。添付ファイルにはRemote Desktop Protocol（.rdp）構成ファイルが含まれており、実行されると脅威アクターがリモートサーバーに接続し、情報を窃取し、追加のマルウェアを配置することが可能
被害額	不明（予想）

攻撃者

攻撃者名	UAC-0215（ウクライナのCERTによる）、APT29（Amazon Web Serviceによる）
攻撃手法サマリ	メールによる添付ファイルを介したRemote Desktop Protocol（RDP）ファイルの悪用、Windows認証情報の窃取
マルウェア	HOMESTEEL、Browser.ps1、Metasploit penetration testing framework など
脆弱性	Microsoft Remote Desktopなどの脆弱性の悪用

Black Basta poses as IT support on Microsoft Teams to breach networks
incident
2024-10-25 20:55:10

被害状況

事件発生日	2024年10月25日
被害者名	Black Basta ransomware operation
被害サマリ	Black Bastaは社会工学攻撃を使用し、Microsoft Teamsを悪用して従業員に偽のITサポートを装い、スパム攻撃の問題を解決するという名目でリモートアクセスを得ています。
被害額	不明

攻撃者

攻撃者名	Black Basta（ロシア籍とされる）
攻撃手法サマリ	社会工学攻撃を使用
マルウェア	Cobalt Strike、SystemBC など
脆弱性	不明

Black Basta ransomware poses as IT support on Microsoft Teams to breach networks
incident
2024-10-25 20:55:10

被害状況

事件発生日	2024年10月25日
被害者名	企業従業員（複数）
被害サマリ	Black BastaランサムウェアがMicrosoft Teamsを装い、ITサポートとして従業員に接触し、攻撃を実行。
被害額	不明（予想）

攻撃者

攻撃者名	Black Bastaランサムウェア運営者グループ
攻撃手法サマリ	社会工学攻撃を主要手段とし、Microsoft Teamsを利用して従業員を欺く。
マルウェア	AntispamAccount.exe, AntispamUpdate.exe, AntispamConnectUS.exe, Cobalt Strike
脆弱性	不明

Russia sentences REvil ransomware members to over 4 years in prison
other
2024-10-25 18:58:54

RussiaがREvil ransomwareのメンバー4人を4年以上の懲役刑に処した。
REvil ransomware (SodinおよびSodinokibiとしても知られる)は2019年4月に開始され、GandCrab作戦の直接の後継者だった。
REvil ransomwareグループは短期間で最も多産なランサムウェアグループの1つとなり、当時最も高い身代金を要求し、年間1億ドル以上を稼いだ。
2021年7月、REvilがKaseya供給チェーン攻撃で世界中の1,500社以上の企業に打撃を与えたことで、事態は悪化した。
2022年1月、米国の要請を受けてロシアのFederal Security Service（FSB）がREvil ransomwareグループを崩壊させ、14人のメンバーを逮捕し、数々の家宅捜索を行った。

Amazon seizes domains used in rogue Remote Desktop campaign to steal data
vulnerability
2024-10-25 16:41:26

脆弱性

CVE	なし
影響を受ける製品	Amazon 含む
脆弱性サマリ	AmazonがAPT29ハッキンググループによって悪用されたドメインを押収
重大度	高
RCE	無
攻撃観測	有
PoC公開	不明