ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
- 事件、事故
- 攻撃、脅威
- Meta がイランの攻撃者グループによって悪用された WhatsApp アカウントをブロックしたと発表
- デジタルアーツが「2024年上半期フィッシングサイト ドメイン集計」を公開
- Black Lotus Labs が Versa Director のゼロデイ脆弱性を悪用する攻撃について報告
- フィッシング対策協議会がQR コードから誘導するフィッシングに関する注意喚起
- Microsoft がイランの攻撃者グループ Peach Sandstorm の攻撃活動について報告
- Cisco Talos が BlakcByte ランサムウェアの攻撃活動について報告
- Akamai が AVTECH IP Camera の脆弱性 (CVE-2024-7029) を狙うボットの感染活動について報告
- CISA などが共同で、イランの攻撃者グループによるランサムウェア攻撃に関する注意喚起
- CISA などが共同で、RansomHub ランサムウェアに関する注意喚起
- Mandiant がイラン政府による防諜活動に関する報告
- XLab がボットネットによる Steam への DDoS 攻撃について報告
- Google の TAG がモンゴル政府のサイトを利用した水飲み場型攻撃のキャンペーンについて報告
- Microsoft が北朝鮮の攻撃者グループによる Chrome のゼロデイ脆弱性を狙う攻撃活動について報告
- 脆弱性
- その他
事件、事故
LINEヤフーが LINE 公式アカウントへの第三者による不正ログイン被害について報告
(8/26) LINE公式アカウントにおけるアカウント乗っ取りに関するお知らせとお願い|LINEヤフー株式会社
このたび、LINE公式アカウントなどの利用に必要なLINEビジネスIDの一部において、第三者(以下、攻撃者)の不正ログインによるアカウントの乗っ取りが発生いたしました。その結果、被害にあったLINEビジネスIDに紐づくLINE公式アカウントを友だち追加しているユーザーにおいて、攻撃者から当該のLINE公式アカウントとのやり取りの一部が閲覧されたり、不審なメッセージが送付されたりしたことを確認いたしました。
ブラジルで日本アニメの海賊版サイトが一斉摘発
(8/26) ブラジル「アニメ作戦」第二弾および関連対策により日本アニメ海賊版16サイトが閉鎖 | 一般社団法人コンテンツ海外流通促進機構(CODA)
今回の一斉摘発は、2019年よりブラジル政府が継続的に実施して大きな成果を挙げる官民協力による海賊版サイト対策「404作戦」(※2)の一環です。その作戦の中でも、日本アニメに特化して取り締まる「アニメ作戦(Operation Animes)」(※3)の第二弾として実施されました。第一弾は2023年2月から3月にかけて実施され日本アニメの海賊版サイト36サイトが閉鎖されています。
攻撃、脅威
Meta がイランの攻撃者グループによって悪用された WhatsApp アカウントをブロックしたと発表
(8/26) Taking Action Against Malicious Accounts in Iran | Meta
デジタルアーツが「2024年上半期フィッシングサイト ドメイン集計」を公開
(8/27) 2024年上半期フィッシングサイト ドメイン集計 | Digital Arts Security Reports|デジタルアーツ株式会社
Black Lotus Labs が Versa Director のゼロデイ脆弱性を悪用する攻撃について報告
(8/27) Taking the Crossroads: The Versa Director Zero-Day Exploitation - Lumen
The Black Lotus Labs team at Lumen Technologies discovered active exploitation of a zero-day vulnerability in Versa Director servers, identified as CVE-2024-39717 and publicly announced on August 22, 2024. This vulnerability is found in Versa software-defined wide area network (SD-WAN) applications and affects all Versa Director versions prior to 22.1.4. Versa Director servers manage the network configurations for clients running the SD-WAN software and are often used by internet service providers (ISPs) and managed service providers (MSPs). Director servers enable the orchestration of Versa’s SD-WAN functionality, positioning them as a critical and attractive target for threat actors seeking to extend their reach within enterprise network management.
This vulnerability has been exploited in at least one known instance by an Advanced Persistent Threat actor.
(8/27) Versa Networks Releases Advisory for a Vulnerability in Versa Director, CVE-2024-39717 | CISA
VoltTypoonがISP/MSP向けNW運用製品のVersaDirectorのゼロデイCVE-2024-39717を悪用していた件のShodan調査。公開サーバはグローバルで289台あり、内12台が侵害に必要なHA Portを公開していました。
— nekono_nanomotoni (@nekono_naha) August 30, 2024
※国内分はベンダ自身の資産ぽく海外に日系資産なし… pic.twitter.com/IQX4t2BCyV
フィッシング対策協議会がQR コードから誘導するフィッシングに関する注意喚起
(8/28) フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | QR コードから誘導するフィッシング (2024/08/28)
Microsoft がイランの攻撃者グループ Peach Sandstorm の攻撃活動について報告
Between April and July 2024, Microsoft observed Iranian state-sponsored threat actor Peach Sandstorm deploying a new custom multi-stage backdoor, which we named Tickler. Tickler has been used in attacks against targets in the satellite, communications equipment, oil and gas, as well as federal and state government sectors in the United States and the United Arab Emirates. This activity is consistent with the threat actor’s persistent intelligence gathering objectives and represents the latest evolution of their long-standing cyber operations.
Cisco Talos が BlakcByte ランサムウェアの攻撃活動について報告
Akamai が AVTECH IP Camera の脆弱性 (CVE-2024-7029) を狙うボットの感染活動について報告
(8/28) Beware the Unpatchable: Corona Mirai Botnet Spreads via Zero-Day | Akamai
(8/1) AVTECH IP Camera | CISA
CISA などが共同で、イランの攻撃者グループによるランサムウェア攻撃に関する注意喚起
(8/28) Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations | CISA
CISA などが共同で、RansomHub ランサムウェアに関する注意喚起
(8/29) CISA and Partners Release Advisory on RansomHub Ransomware | CISA
Mandiant がイラン政府による防諜活動に関する報告
(8/29) I Spy With My Little Eye: Uncovering an Iranian Counterintelligence Operation | Google Cloud Blog
Today Mandiant is releasing details of a suspected Iran-nexus counterintelligence operation aimed at collecting data on Iranians and domestic threats who may be collaborating with intelligence and security agencies abroad, particularly in Israel.
XLab がボットネットによる Steam への DDoS 攻撃について報告
(8/29) More details on the DDoS attack on the 《Black Myth: Wukong》 distribution platform
Google の TAG がモンゴル政府のサイトを利用した水飲み場型攻撃のキャンペーンについて報告
(8/29) State-backed attackers and commercial surveillance vendors repeatedly use the same exploits
Today, we’re sharing that Google’s Threat Analysis Group (TAG) observed multiple in-the-wild exploit campaigns, between November 2023 and July 2024, delivered from a watering hole attack on Mongolian government websites. The campaigns first delivered an iOS WebKit exploit affecting iOS versions older than 16.6.1 and then later, a Chrome exploit chain against Android users running versions from m121 to m123. These campaigns delivered n-day exploits for which patches were available, but would still be effective against unpatched devices. We assess with moderate confidence the campaigns are linked to the Russian government-backed actor APT29. In each iteration of the watering hole campaigns, the attackers used exploits that were identical or strikingly similar to exploits previously used by commercial surveillance vendors (CSVs) Intellexa and NSO Group.
Microsoft が北朝鮮の攻撃者グループによる Chrome のゼロデイ脆弱性を狙う攻撃活動について報告
(8/30) North Korean threat actor Citrine Sleet exploiting Chromium zero-day | Microsoft Security Blog
On August 19, 2024, Microsoft identified a North Korean threat actor exploiting a zero-day vulnerability in Chromium, now identified as CVE-2024-7971, to gain remote code execution (RCE). We assess with high confidence that the observed exploitation of CVE-2024-7971 can be attributed to a North Korean threat actor targeting the cryptocurrency sector for financial gain. Our ongoing analysis and observed infrastructure lead us to attribute this activity with medium confidence to Citrine Sleet. We note that while the FudModule rootkit deployed has also been attributed to Diamond Sleet, another North Korean threat actor, Microsoft previously identified shared infrastructure and tools between Diamond Sleet and Citrine Sleet, and our analysis indicates this might be shared use of the FudModule malware between these threat actors.
脆弱性
Google が先週修正した Chrome の脆弱性に関して、すでに攻撃が確認されていたことを追加報告
(8/26) Chrome Releases: Stable Channel Update for Desktop
Updated on 26 August 2024 to reflect the in the wild exploitation of CVE-2024-7965 which was reported after this release.
CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1+1 個の脆弱性を追加
(8/26) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2024-7971 Google Chromium V8 Type Confusion Vulnerability
(8/27) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2024-38856 Apache OFBiz Incorrect Authorization Vulnerability
(8/28) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2024-7965 Google Chromium V8 Inappropriate Implementation Vulnerability
その他
経済産業省が「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を改訂
(8/29) サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました (METI/経済産業省)