ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
事件、事故
ドイツ、ウクライナなど欧米の法執行機関の協力により、DoppelPaymer ランサムウェアの犯罪者グループを摘発
(3/6) Germany and Ukraine hit two high-value ransomware targets | Europol
During the simultaneous actions, German officers raided the house of a German national, who is believed to have played a major role in the DoppelPaymer ransomware group. Investigators are currently analysing the seized equipment to determine the suspect’s exact role in the structure of the ransomware group. At the same time, and despite the current extremely difficult security situation that Ukraine is currently facing due to the invasion by Russia, Ukrainian police officers interrogated a Ukrainian national who is also believed to be a member of the core DoppelPaymer group. The Ukrainian officers searched two locations, one in Kiev and one in Kharkiv. During the searches, they seized electronic equipment, which is currently under forensic examination.
(3/6) Core DoppelPaymer ransomware gang members targeted in Europol operation
「JALスマイルキャンペーン」の国内線航空券タイムセール開始直後からアクセスが集中し、JAL Webサイトにつながりにくくなったため、その後タイムセールを中止
(3/9) 「JALスマイルキャンペーン」国内線航空券タイムセールの販売中止について|プレスリリース|JAL企業サイト
【お詫び】
— JAPAN AIRLINES【JAL】 (@JAL_Official_jp) March 9, 2023
JAL Webサイトにて繋がりにくい事象が、現在も継続しており
引き続き復旧に向けて、調査・対応を実施しております。
復旧しましたら、本アカウントにてご案内いたしますので
できるだけアクセスはお控えいただけますと幸いです。
ご不便とご迷惑をおかけし、誠に申し訳ございません。
米司法省が NetWire マルウェアの販売サイトを差し押え、管理者を逮捕
(3/9) Who’s Behind the NetWire Remote Access Trojan? – Krebs on Security
さくらインターネットの一部サービスで障害
(3/10) メンテナンス・障害情報・機能追加|さくらインターネット公式サポートサイト
【お知らせ】
— まりな🌸さくらインターネット公式 (@sakura_ope) March 10, 2023
現在会員メニュー、コントロールパネルなど、当社サービスの広い範囲で利用ができない不具合を確認しております。
詳細が判明次第お知らせいたします。
ご利用中のお客様には大変ご迷惑をおかけしておりますことを深くお詫び申し上げます。#さくらインターネット
攻撃、脅威
Mandiant が SonicWall SMA に感染するマルウェアの活動について報告
Mandiant, working in partnership with SonicWall Product Security and Incident Response Team (PSIRT), has identified a suspected Chinese campaign that involves maintaining long term persistence by running malware on an unpatched SonicWall Secure Mobile Access (SMA) appliance. The malware has functionality to steal user credentials, provide shell access, and persist through firmware upgrades. Mandiant currently tracks this actor as UNC4540.
Emotet が 3/7 からメール送信を再開
(3/7) Emotet Sending Malicious Emails After Three-Month Hiatus
(3/7) Emotet malware attacks return after three-month break
(3/8 更新) マルウェアEmotetの感染再拡大に関する注意喚起
2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。
また、最新のEmoCheckでEmotetを検知できないケースも確認しているため、検知手法の更新の可否も含めて調査を行い、ツールのアップデートなどの進捗があれば適宜情報を更新いたします。引き続き警戒いただき、対策や対応時には本注意喚起やFAQの最新の情報をご参照ください。
(3/8 更新) Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
🚨Emotet Awakens🚨 As of 1200UTC Ivan finally got E4 to send spam. We are seeing Red Dawn templates that are very large coming in at over 500MB. Currently seeing a decent flow of spam. Septet of payload URLs and ugly macros. Sample: https://t.co/fWZ8n3PlFi 1/3 pic.twitter.com/r5uuiECWnp
— Cryptolaemus (@Cryptolaemus1) March 7, 2023
脆弱性
Microsoft Word の脆弱性 CVE-2023-21716 の PoC が発見者によって公開
(3/6) Proof-of-Concept released for critical Microsoft Word RCE bug
CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+2 個の脆弱性を追加
(3/7) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2022-28810 Zoho ManageEngine ADSelfService Plus Remote Code Execution Vulnerability
- CVE-2022-33891 Apache Spark Command Injection Vulnerability
- CVE-2022-35914 Teclib GLPI Remote Code Execution Vulnerability
(3/10) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2020-5741 Plex Media Server Remote Code Execution Vulnerability
- CVE-2021-39144 XStream Remote Code Execution Vulnerability
(3/9 更新) VMSA-2022-0027.1
Updated advisory with information that VMware has received reports of exploitation activities in the wild involving CVE-2021-39144.
(3/10) CISA warns of critical VMware RCE flaw exploited in attacks
(3/11) CISA warns of actively exploited Plex bug after LastPass breach
Fortinet が 3/7 に公開した脆弱性 CVE-2022-41328 について詳細を報告
(3/9) Analysis of FG-IR-22-369 | Fortinet Blog
Fortinet published a CVSS Medium PSIRT Advisory (FG-IR-22-369 / CVE-2022-41328) on March 7th, 2023. The following write-up details our initial investigation into the incident that led to the discovery of this vulnerability and additional IoCs identified during our ongoing analysis.
その他
NICT が 2022年第 4四半期の NICTER観測統計を公開
(3/7) NICTER観測統計 - 2022年10 月~12月 - NICTER Blog
NTTドコモが 3月下旬から dアカウントにおいて「パスキー認証」を提供すると発表
(3/8) dアカウント 「パスキー認証」の提供開始について | お知らせ | NTTドコモ
総務省が「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表
(3/8) 総務省|報道資料|「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表