akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

Bleeping Computer ニュースまとめ (2024年12月7日)

ニュース

 

 

Microsoft expands Recall preview to Intel and AMD Copilot+ PCs

Microsoftは、Recall機能のテストを現在、Windows 11 Insiderプログラムに登録されたAMDおよびIntel搭載のCopilot+ PCで行っています。Recallは、アクティブウィンドウのスクリーンショットをいくつかの間隔でキャプチャし、それらを分析し、自然言語を使用して特定のスナップショットをWindows 11ユーザーに許可する機能です。しかし、専門家はこれをセキュリティリスクとして警告しました。Microsoftはこの問題に対処するために、Recallをオプトインおよび取り外し可能な機能にし、Windows Helloを使用してプレゼンスを確認する必要があるようにしました。Recallは今、クレジットカード番号やパスワードなどの機密情報を除外し、特定のアプリ、ウェブサイト、または非公開ブラウジングセッションを保存から除外することができます。Recallはさらに、マルウェアに対する防御およびレート制限の保護を含み、保存設定を調整したりスナップショットを削除したり、完全に保存をオフにしたりすることが可能です。Recallは現在、中国語(簡体)、英語、フランス語、ドイツ語、日本語、スペイン語などをサポートしており、Windows Insiderプログラムを通じてユーザーに提供されるようになっています。Copilot+ PCのAI機能により、内容を説明するだけでアプリ、ウェブサイト、画像、またはドキュメントを素早く見つけて戻ることが可能です。また、今回のアップデートで、Image CreatorとRestyle ImageをMicrosoft Photosアプリでサポートし、AMDおよびIntel搭載のCopilot+ PCにRecall用のClick to Doを追加しています。これらの変更は、Windows Insider Preview Build 26120.2510(KB5048780)をインストールしたDevチャンネルのWindows Insiderに本日から展開されます。

 

Ultralytics AI model hijacked to infect thousands with cryptominer

UltralyticsのAIモデルであるYOLO11がサプライチェーン攻撃を受け、バージョン8.3.41および8.3.42のデバイスに暗号マイナーがデプロイされた。攻撃の影響を受けたユーザーがGoogle Colabアカウントで不正行為としてバンされる事態も発生。Ultralyticsの創業者兼CEOは、被害を受けたバージョンはすでに取り下げられ、クリーンな8.3.43バージョンがリリースされたと発表。開発者は原因を調査中であり、潜在的な脆弱性を明らかにするために努めている。デベロッパーは依然として詳細な情報を待ち、ウイルスチェックを勧告している。

 

Blue Yonder SaaS giant breached by Termite ransomware gang

Termiteランサムウェアグループが、11月のソフトウェア会社Blue Yonderの侵害を公式に認めました。Blue Yonderは、アリゾナ州に拠点を置き、小売業者、製造業者、物流プロバイダー向けの世界的なサプライチェーンソフトウェアプロバイダーです。その3000以上の顧客には、マイクロソフト、ルノー、レノボ、DHL、などが含まれます。この事件は、スターバックス、モリソンズ、サンズベリーズなどの顧客に影響を与え、システムの障害のため多くの店で現金取引を行う必要がありました。フランスの筆記具メーカーBICも遅延が発生しました。ブルーヨンダーは、影響を受けた顧客の一部を再開し、他の顧客を通常のビジネス運営に戻すためにサイバーセキュリティの専門家と連携しています。Termiteは、この攻撃を主張しており、680GBのファイルを盗み出したと述べています。これまでにTermiteは、Blue Yonderを含むさまざまな業界セクターから顧客を含むダークウェブポータルで7つの被害者をリストアップしています。

 

New Windows zero-day exposes NTLM credentials, gets unofficial patch

新たなゼロデイ脆弱性が発見され、Windows Explorerで悪意のあるファイルを見せるだけで攻撃者がNTLM認証情報を取得することが可能となった。発見者は0patchチームであり、現在はマイクロソフトに報告されているが、公式の修正はまだリリースされていない。この脆弱性はWindows 7から最新のWindows 11 24H2、Server 2022までのすべてのバージョンに影響を与えるとされている。マイクロソフトは未だに対応していないゼロデイ脆弱性について、0patchは無料のマイクロパッチを提供する予定。

 

Crypto-stealing malware posing as a meeting app targets Web3 pros

ウェブ3で活動している人々を狙ったサイバー犯罪者が、フェイクのビジネス会議を行う架空のビデオ会議プラットフォームを使用して、WindowsとMacに暗号通貨を盗むマルウェアを感染させるキャンペーンが行われている。このキャンペーンは2024年9月以来進行中で、マルウェアはWindowsとmacOSの両方を対象とし、被害者の暗号通貨資産や銀行情報、ウェブブラウザに保存された情報、およびKeychainの資格情報を狙う。このマルウェアは、「Clusee」「Cuesee」「Meetone」「Meetio」などの名前を使用した偽の会議ソフトウェアを過去に利用しており、偽のブランドは公式のウェブサイトやソーシャルメディアアカウントで裏付けられ、AI生成のコンテンツで信憑性が増している。

 

Nebraska man pleads guilty to $3.5 million cryptojacking scheme

ニューブラスカ州の男性が、4月に逮捕されて告白した、大規模な暗号鉱業(cryptojacking)運営で有罪を認めた。チャールズ・O・パークスIII(通称「CP3O」)は、271万5000ドルの請求を払わずに、2つのプロバイダーからクラウドコンピューティング時間を借りて、約970,000ドル相当の仮想通貨を採掘したことを認めた。パークスは、異なるエイリアスや「MultiMillionaire LLC」と「CP3O LLC」などの企業エンティティを使って、2021年1月から2021年8月まで、複数のクラウドサービスプロバイダーとのアカウントを作成し、支払いをせずに膨大なコンピューティングパワーやストレージにアクセスした。彼はEther(ETH)、Litecoin(LTC)、Monero(XMR)などのさまざまな仮想通貨を採掘し、クラウドプロバイダーをだまして「高レベルのサービス」や請求延期を受けさせ、不審なデータ使用や未払い残高についての問い合わせをかわした。パークスは不正な暗号通貨収益をニューヨークの非交換可能トークン(NFT)マーケットやオンライン決済サービス、銀行口座を使って洗浄し、現金に換えた後、ファーストクラス旅行費用、高級メルセデス・ベンツ、宝石を含む贅沢な購入を行った。合意したプレスリリースによれば、パークスは最大20年の懲役刑が科される可能性がある。

 

Romania's election systems targeted in over 85,000 cyberattacks

ルーマニアの憲法裁判所が、ロシアと関連付けられたTikTokの影響力キャンペーンの影響を受けたことを示す情報に基づき、大統領選挙を無効にしました。ルーマニアの情報機関によると、国の選挙インフラは85,000回以上のサイバー攻撃を受けました。サイバー攻撃者は、選挙関連のウェブサイトへのアクセス資格情報を入手し、選挙に影響を与えるために狙われました。この攻撃は、33か国のデバイスからSQLインジェクションやクロスサイトスクリプティング(XSS)の脆弱性を悪用することで行われました。ルーマニアの選挙インフラにはまだ脆弱性があり、攻撃される可能性があります。

 

U.S. org suffered four month intrusion by Chinese hackers

中国に拠点を置く脅威アクターによって、中国に存在感のある大規模な米国組織が2024年4月から8月にかけて侵害されたと報告されました。Symantecの脅威研究者によると、この攻撃は情報収集に焦点を当てたものであり、複数の侵害されたマシンとExchangeサーバーのターゲット化が含まれ、おそらくメールやデータの持ち出しが目的であったとされています。侵害された米国組織の名前は明示されていませんが、2023年に同じエンティティが中国の‘Daggerfly’脅威グループによって標的にされたことが言及されています。攻撃の初期ベクトルは不明ですが、Symantecは、PowerShell実行によるActive Directoryのクエリなどを観察可能でした。攻撃者らは様々な手法を使用して、組織内で情報を盗むことができたが、過去の活動やファイルに基づいたアトリビューションは不確実であることをSymantecは指摘しています。

 

US arrests Scattered Spider suspect linked to telecom hacks

アメリカの当局は、19歳の少年が組織犯罪集団Scattered Spiderと関連があるとして逮捕されました。この少年は、アメリカの金融機関と2つの電気通信会社を侵害した罪で訴追されています。彼はテキストと音声のフィッシングメッセージで盗んだ資格情報を使い、従業員を標的にしたネットワークへの侵入を果たしました。金融機関によると、約149人の従業員が2023年10月下旬から11月中旬にかけてフィッシング攻撃の対象になり、情報を入力させるよう誘導されたとのことです。また、少年は会社のITサポート部門をなりすって社員に情報入力を求める電話を行い、テレコムシステムにアクセスして800万以上のフィッシングテキストメッセージを送り、暗号通貨を盗んでいました。テキサス州フォートワースの自宅での捜査で、FBIは彼のiPhoneからコンピュータ犯罪の証拠を発見しました。彼はビジネスプロセスアウトソーシング(BPO)会社を標的にする理由や、ハッキンググループの活動に関する情報を提供しました。米司法省は、このサイバー犯罪グループに関連する5人の容疑者を逮捕・起訴しました。これらの容疑者は、SMSフィッシング攻撃で数百万ドルの暗号通貨を盗んだ罪に問われています。​

 

Police shuts down Manson cybercrime market, arrests key suspects

ドイツの法執行機関がマンソンマーケットサイバー犯罪マーケットプレイスとフィッシング詐欺に使用された偽のオンラインショップをホストしていた50以上のサーバーを押収しました。マンソンマーケットの運営者と信じられる2人の主要容疑者が逮捕され、ヨーロッパ逮捕令状のもとでドイツとオーストリアで拘留中です。捜査は2022年秋に始まり、銀行職員を装った詐欺的電話の報告を受けた後に進行しました。ユーロポルによると、盗まれたデータは違法に入手された情報の取引の中心として機能する専門のオンラインマーケットプレイスに追跡されました。

 

New Android spyware found on phone seized by Russian FSB

ロシアのプログラマー、キリル・パルベッツがウクライナへの寄付容疑でロシア連邦保安庁(FSB)に15日間拘束され、携帯電話を没収された後、デバイスに新しいスパイウェアが秘密裏にインストールされていたことが判明した。彼の携帯電話へのアクセスを回復した後、プログラマーは、異常な挙動を示し、「Arm cortex vx3 同期」と表示される通知を表示したため、ロシア政府によって改ざんされた可能性があると疑った。Citizen Labによる鑑識分析を共有した後、調査員は、10,000,000回以上のGoogle Playでのダウンロードを持つ人気のAndroidアプリ 'Cube Call Recorder' の偽装されたスパイウェアがデバイスにインストールされていたと確認した。Citizen Labによると、このスパイウェアはMonokleの新しいバージョンの可能性があり、St PeterburgのSpecial Technology Center, Ltdによって開発されたものである。要人や抑圧的な国に住む人々は、法執行機関に没収された後にデバイスを別のものに切り替えるか、専門家に分析を依頼することを検討すべきである。

 

Latrodectus malware and how to defend against it with Wazuh

Latrodectusは、高度な戦術を使用してシステムに侵入し、機密データを窃取し、検出を回避する多目的なマルウェアファミリーです。このマルウェアは、ブラック・ウィドウ・スパイダーの属名「Latrodectus」に由来し、同様の潜伏性と攻撃性を示します。Latrodectusは、企業ネットワーク、金融機関、個人ユーザーを含むさまざまなシステムを標的としています。その変異能力と適応能力は、世界中のサイバーセキュリティ専門家にとって懸念事項です。このマルウェアは、2023年後半以降、複数の悪意あるキャンペーンで観察されており、しばしば脅威行為者TA577とTA578に関連しており、以前はIcedIDマルウェアを配布していました。 Latrodectusは、フィッシングキャンペーンで最初に発見され、IcedIDの後継として登場し、初期アクセスとデータ窃取のための類似した戦術を共有しています。このマルウェアは、データ流出やランサムウェア作戦を実行するために、企業ネットワークや金融機関を標的とするさまざまなキャンペーンで展開されています。Latrodectusの本質、動作方法、そして何よりも、組織がこれに対抗できる方法について探ります。その構造の分析により、持続性を維持しながら、混乱と窃盗を最大限にするモジュール式のマルウェアであることが明らかになります。