-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
FortiClientのゼロデイ脆弱性、BrazenBamboo APTに悪用される
Securityonline[.]info – November 15, 2024
Volexityは、FortinetのWindows版VPNクライアント「FortiClient」におけるゼロデイ脆弱性が、中国関連のAPTグループBrazenBambooによって悪用されていることを確認した。なおBrazenBambooは、マルウェアLIGHTSPYやDEEPPOSTを開発したことでも知られる脅威アクター。
この欠陥は認証情報を開示する恐れのあるもので、ユーザーが同VPNへ認証を行った後、当該ユーザーの認証情報がプロセスメモリ内に残存してしまうことに起因する。実際の攻撃ではBrazenBambooがこれを悪用し、モジュール型マルウェアのDEEPDATAを用いてクライアントのプロセスメモリから直接VPNの認証情報を盗んでいたという。Volexityは今年7月に同脆弱性を特定し、Fortinetにも通知を行ったが、現時点ではまだ修正されておらず、CVE-IDも割り当てられていない。
DEEPDATAは侵害されたシステムから機微なデータを抜き取るように設計された、高度なポストエクスプロイトフレームワーク。その機能はFortiClientの認証情報の窃取にとどまらず、Wi-Fiの認証情報とシステム情報を抽出したり、音声やキー入力を記録したり、LINEやTelegramといったメッセージングアプリからデータを収集したりする機能なども備えている。
今回のFortiClientの悪用行為は、広く使用されている企業向けツールのセキュリティを確保することの重要性を浮き彫りにしている。VPNクライアントはリモートの作業環境に不可欠であるため、上記の脆弱性はFortinetソリューションを使用する組織に重大なリスクをもたらしかねないとのこと。
T-Mobileへのハッキング、中国による通信ネットワーク侵害に関連か
TechCrunch – November 16, 2024
米携帯電話大手のT-Mobileはここ数か月間、米国や世界の電話会社およびインターネット企業を狙った大規模なサイバー攻撃の一環として中国系グループにハッキングされていたようだ。ウォール・ストリート・ジャーナル(WSJ)が報じている。
TechCrunchにも共有されたT-Mobileの声明によると、顧客情報に影響が及んだ証拠はないとのこと。ただし同社の広報担当(匿名)は、顧客データがアクセスされた、あるいは抜き取られたかどうかだけでなく、同社がこれらの被害を特定できるログなどの技術的手段を持っていたかどうかを明らかにしなかった。この侵害を最初に報じたのはWSJで、T-Mobile側はその内容について否定していない。
米国ではこのところ通信会社を狙ったサイバー攻撃が多発しており、AT&Tやベライゾン、ルーメン(旧センチュリーリンク)などが中国支援のハッカーグループ「Salt Typhoon」に侵害されたことが明らかになっている。
TechCrunchの継続的な集計によると、T-Mobileを狙った近年のサイバー攻撃はこれが9件目。前回は2023年に発生し、顧客3,700万人から個人情報が盗まれていた。
WordPressプラグインの重大な欠陥:サイト400万件以上が乗っ取られていた恐れ(CVE-2024-10924)
SecurityWeek – November 15, 2024
Defiant社によると、WordPress向けReally Simple Securityプラグインの深刻な脆弱性により、400万件以上のWebサイトが完全に乗っ取られる恐れがあったという。
この欠陥CVE-2024-10924(CVSSスコア:9.8)は認証バイパスの脆弱性。2要素認証が有効になっている場合に、同プラグインのREST APIアクションにおけるユーザー認証のエラー処理が適切に行われないことで生じる。認証されていない攻撃者はこれを悪用することで、管理者を含む任意のアカウントにログインできるようになるとされている。
同脆弱性のパッチは今月12日にPro版、14日に無料版でリリースされた。この新たなReally Simple Securityのバージョン9.1.2は、WordPressチームによって自動的に配信されており、問題のプラグインを使用しているサイト管理者はみな、修正バージョンが適用されているかどうかを確認することが推奨されている。
偽のAIビデオジェネレーターでWindowsとmacOSがインフォスティーラーに感染
BleepingComputer – November 16, 2024
AI画像/ビデオジェネレーター「EditPro」になりすました偽の有害アプリがWindowsおよびmacOS向けの情報窃取型マルウェアを配布し、感染したデバイスから認証情報や暗号資産ウォレットを盗み出しているという。
有害なEditProはディープフェイクの政治動画を共有するXの検索結果や広告を通じて宣伝されており、偽のWebサイトを通じてインフォスティーラーのLummaおよびAMOSを配布。前者はWindows、後者はmacOS向けのマルウェアで、どちらもGoogle ChromeやMicrosoft Edge、Mozilla Firefox、その他のChromiumブラウザから暗号資産ウォレット、Cookie、認証情報、パスワード、クレジットカード、閲覧履歴を窃取する。アーカイブに収集されたこれらのデータは攻撃者に送り返され、さらなる攻撃に使われるか、サイバー犯罪市場で売りに出されているようだ。
情報窃取型マルウェアはここ数年で大幅に増加しており、認証情報や認証トークンを盗むために脅威アクターが世界規模で大規模なオペレーションを展開。最近ではゼロデイ脆弱性やGitHubの問題に対する偽の修正、さらにStackOverflowでの偽の回答などを悪用し、被害を拡大させている。
とは?.jpg)
