ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
事件、事故
暗号資産の決済サービスを提供する CoinsPaid が北朝鮮の攻撃者グループ Lazarus による不正アクセスを受け、$ 37M相当の暗号資産の盗難被害
(8/7) The CoinsPaid Hack Explained: We Know Exactly How Attackers Stole and Laundered $37M USD
中国人民解放軍が日本の防衛ネットワークに侵入していたと WaPo 報道
(8/8) China hacked Japan’s classified defense cyber networks, officials say - The Washington Post
In the fall of 2020, the National Security Agency made an alarming discovery: Chinese military hackers had compromised classified defense networks of the United States’ most important strategic ally in East Asia. Cyberspies from the People’s Liberation Army had wormed their way into Japan’s most sensitive computer systems.
(8/8) 中国軍、日本の最高機密網に侵入 情報共有に支障―米報道:時事ドットコム
(参考) 米紙が報じた中国による日本の防衛ネットワークの侵害についてまとめてみた - piyolog
インターポールと日本およびインドネシアの法執行機関の協力により、Phishing-as-a-Service (PaaS) のプラットフォームを摘発
(8/8) Notorious phishing platform shut down, arrests in international police operation
A notorious ‘phishing-as-a-service’ (PaaS) platform known as ‘16shop' has been shut down in a global investigation coordinated by INTERPOL, with Indonesian authorities arresting its operator and one of its facilitators, with another arrested in Japan.
(8/8) 初の国際サイバー捜査、インドネシア人逮捕 世界的詐欺ツールを使用:朝日新聞デジタル
攻撃、脅威
米保健福祉省の HC3 が Rhysida ランサムウェアに関する注意喚起
(8/4) Rhysida Ransomware Sector Alert
Rhysida is a new ransomware-as-a-service (RaaS) group that has emerged since May 2023. The group drops an eponymous ransomware via phishing attacks and Cobalt Strike to breach targets’ networks and deploy their payloads. The group threatens to publicly distribute the exfiltrated data if the ransom is not paid. Rhysida is still in early stages of development, as indicated by the lack of advanced features and the program name Rhysida-0.1. The ransomware also leaves PDF notes on the affected folders, instructing the victims to contact the group via their portal and pay in Bitcoin. Its victims are distributed throughout several countries across Western Europe, North and South America, and Australia. They primarily attack education, government, manufacturing, and technology and managed service provider sectors; however, there has been recent attacks against the Healthcare and Public Health (HPH) sector.
(8/8) The Rhysida Ransomware: Activity Analysis and Ties to Vice Society - Check Point Research
(8/8) What Cisco Talos knows about the Rhysida ransomware
(8/9) An Overview of the New Rhysida Ransomware
警察庁と金融庁が共同で、インターネットバンキングの預金を不正に送金する事案が急増していると注意喚起
(8/8) インターネットバンキングによる預金の不正送金事案が多発しています。:金融庁
メールやショートメッセージサービス(SMS)、メッセージツール等を用いたフィッシングと推察される手口により、インターネットバンキング利用者のID・パスワード等を盗み、預金を不正に送金する事案が多発しています。令和4年8月下旬から9月にかけて被害が急増して以来、落ち着きを見せていましたが、令和5年2月以降、再度被害が急増しています。8月4日時点において、令和5年上半期における被害件数は、過去最多の2,322件、被害額も約30.0億円となっています。
(8/8) フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)|警察庁Webサイト
CISA が Barracuda ESG の脆弱性を狙う攻撃活動に関連したマルウェアについて注意喚起
(8/9) CISA Releases Malware Analysis Reports on Barracuda Backdoors | CISA
CISA has published an additional malware analysis report associated with malicious Barracuda activity. The report provides analysis on four malware samples, including:
(8/9) MAR-10454006.r4.v2 SEASPY and WHIRLPOOL Backdoors | CISA
Proofpoint が EvilProxy を利用したフィッシング攻撃キャンペーンについて注意喚起
脆弱性
Ivanti が EPMM の脆弱性 (CVE-2023-35082) について、対象範囲を修正。すべてのバージョンが影響を受ける
(8/7 更新) CVE-2023-35082 – Remote Unauthenticated API Access Vulnerability
Update: Since originally reporting CVE-2023-35082 on 2 August 2023 at 10:00 MDT, Ivanti has continued its investigation and has found that this vulnerability impacts all versions of Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 and 11.8 and MobileIron Core 11.7 and below. The risk of exploitation depends on the individual customer’s configurations.
(8/7 更新) CVE-2023-35082 MobileIron Core Unauthenticated API Access | Rapid7 Blog
When this blog was originally published on August 2, it said that CVE-2023-35082 only affected MobileIron Core 11.2 and earlier, which are unsupported. On August 7, Ivanti published an updated advisory noting that since originally disclosing CVE-2023-35082, they have continued their investigation and have found that the vulnerability impacts all versions of Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 and 11.8, and MobileIron Core 11.7 and below. The risk of exploitation depends on the individual customer’s configurations.
Today we started sharing information on CVE-2023-35082 vulnerable Ivanti EPMM (formerly MobileIron Core) instances. 1376 vulnerable unique IPs found 2023-08-07. Top countries affected - Germany (500) & US (293). Advisory: https://t.co/I4vc1W7aXi
— Shadowserver (@Shadowserver) August 8, 2023
Data in: https://t.co/qxv0Gv6cAK pic.twitter.com/jmDZSbS779
CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加
(8/7) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2017-18368 Zyxel P660HN-T1A Routers Command Injection Vulnerability
(8/9) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2023-38180 Microsoft .NET Core and Visual Studio Denial of Service Vulnerability
(8/8) Zyxel security advisory for command injection vulnerability in P660HN-T1A DSL CPE | Zyxel Networks
Zyxel recently became aware of CVE-2017-18368 being listed on the CISA Known Exploited Vulnerabilities (KEV) catalog; however, Zyxel provided a patch for the mentioned customized P660HN-T1A in 2017. Additionally, the P660HN-T1A running the latest generic firmware, version 3.40(BYF.11), is not affected by CVE-2017-18363. Please also note that the P660HN-T1A reached end-of-life several years ago; therefore, we strongly recommend that users replace it with a newer-generation product for optimal protection.
(8/9) Zyxel Router Command Injection Attack
Microsoft が 2023年 8月の月例パッチを公開。すでに悪用が確認されている複数の脆弱性を含む。
(8/8) 2023 年 8 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。
- CVE-2023-38180 .NET and Visual Studio Denial of Service Vulnerability
- ADV230003 Microsoft Office の多層防御機能の更新プログラム
- ADV230004 Memory Integrity System Readiness Scan Tool Defense in Depth Update
(8/8) Zero Day Initiative — The August 2023 Security Update Review
インテル製の多くの世代の CPU に影響する脆弱性 (CVE-2022-40982)
(8/8) Downfall
Downfall attacks target a critical weakness found in billions of modern processors used in personal and cloud computers. This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryption keys, and private data such as banking details, personal emails, and messages. Similarly, in cloud computing environments, a malicious customer could exploit the Downfall vulnerability to steal data and credentials from other customers who share the same cloud computer.
(8/8) Google Online Security Blog: Downfall and Zenbleed: Googlers helping secure the ecosystem
エレコム製およびロジテック製の無線LANルーターなどに複数の脆弱性
(8/10) 無線LANルーターなど一部のネットワーク製品における代替製品への切り替えのお願い - 最新情報 - セキュリティ情報|ELECOM
対象製品のアップデートサービスはすでに終了しているため、続けて使用されますとお客様が気づかないうちに悪用されてしまう可能性があります。誠に恐縮ではございますが、下記へ記載の対処方法もしくは、代替製品への切り替えをご検討いただきますようお願い申し上げます。 お客様の安全で快適なネット環境を維持するため、最新のセキュリティ対策へのご協力をお願いいたします。
(8/10) JVNVU#91850798: エレコム製およびロジテック製無線 LAN ルーターにおける複数の脆弱性
(8/10) JVNVU#91630351: エレコム製およびロジテック製ネットワーク機器における複数の脆弱性
(8/10) JVN#05223215: エレコム製無線 LAN ルーターおよび無線 LAN 中継器における複数の脆弱性