top of page

2023年、GitHubユーザーから1280万件の認証秘密が流出

1. WogRATマルウェア、aNotepadを悪用してWindowsおよびLinuxシステムを秘密裏に攻撃


最近発見されたマルウェア「WogRAT」は、悪意のあるコードを保存・取得するための秘密のチャネルとしてオンライン・メモ帳プラットフォーム「aNotepad」を利用し、WindowsとLinuxの両方のシステムに重大な脅威をもたらします。このマルウェアは2022年後半から活動しており、主に日本、シンガポール、中国、香港などのアジア諸国を標的としています。その配布方法はまだ明らかにされていませんが、このマルウェアは、一般的なソフトウェアのタイトルに似た実行ファイル名で自身を偽装しており、潜在的に不正広告の手口を示しています。メモ帳を活用することで、マルウェアはセキュリティツールによる検出を回避し、感染プロセスにおけるステルス性を高めています。


実行されると、WogRATは暗号化されたダウンローダーを動的にコンパイルして実行し、aNotepadからさらに悪意のあるペイロードを取得してバックドアを確立し、コマンド・アンド・コントロール・サーバーと通信します。セキュリティ研究者は、検出メカニズムの強化、エンドポイントセキュリティの強化、定期的なセキュリティアップデートの維持を勧めています。



2. 2023年、1200万以上の認証秘密と鍵がGitHubで公開される


GitGuardianの報告によると、2023年にGitHubのユーザーが300万以上の公開リポジトリで1280万件の認証や機密情報を不注意で流出させました。問題を修正するために迅速に対応したのはわずか1.8%でした。流出したデータにはパスワード、APIキー、証明書などが含まれ、不正アクセスや潜在的なデータ漏洩の重大なリスクをもたらしています。ほとんどの流出した機密情報は少なくとも5日間は実行可能なままであり、インド、米国、ブラジル、中国、フランスが被害を受けた上位国でした。

IT部門が最も多く、次いで教育部門が多く、Google APIやクラウドのキー、MongoDBの認証情報などが流出しました。一部の秘密はすぐに取り消されたものの、大半は5日後も有効なままでした。推奨事項としては、厳格なアクセス制御の実施、リアルタイムのモニタリングの実施、シフトレフトセキュリティアプローチの採用、GGshieldのようなツールを活用して組織全体で漏えいコミットを検出・防止することなどが挙げられます。



3. シスコ、セキュア・クライアントの深刻度の高いVPNハイジャック・バグに対するパッチを発行


Cisco は、CVE-2024-20337 および CVE-2024-20338 と呼ばれる、同社の Secure Client ソフトウェアの 2 つの重大な脆弱性に対処するためのアップデートを発表しました。(それぞれの CVSS スコアは 8.2 および 7.3です)。CVE-2024-20337には、SAML認証のCRLFインジェクションの欠陥があり、リモートの攻撃者は、VPNセッションの確立中にユーザーのブラウザを操作することで、任意のスクリプトコードを実行したり、機密情報にアクセスしたりすることができます。

一方、CVE-2024-20338 では、悪意のあるライブラリファイルを導入し、特定のプロセスを再起動するよう管理者を誘導することで、ローカル攻撃者が Cisco Secure Client for Linux 上で特権を昇格させることが可能です。各組織では、セキュリティアップデートを速やかに適用し、Cisco Security Advisoriesを参照して包括的な詳細を確認し、VPNヘッドエンドを安全に構成して悪用のリスクを軽減することが推奨さ れます。



4. フォーティネットに重大な脆弱性、15万台の脆弱なデバイスに影響か


フォーティネットのFortiOSおよびFortiProxyシステム約15万台には、認証なしにリモートでコードを実行される重大な欠陥であるCVE-2024-21762の脆弱性が存在します。CISA(Cybersecurity and Infrastructure Security Agency)は、この脆弱性の積極的な悪用を確認しており、巧妙な敵による標的型攻撃が懸念されています。

脆弱性のあるデバイスの多くは米国にあり、インド、ブラジル、カナダにもかなりの数が存在します。緩和策としては、パッチを適用したバージョンに直ちにアップグレードすること、アップグレードが不可能な場合はFortiOSデバイスのSSL VPNを無効にすること、CVE-2024-21762が悪用される可能性を防ぐためにフォーティネットのシステムに優先的にパッチを適用して安全を確保することなどが挙げられます。



5. DarkGateマルウェア、最近パッチが適用されたマイクロソフトの欠陥を悪用したゼロデイ攻撃


DarkGateマルウェアは、Windows Defender SmartScreenの脆弱性(CVE-2024-21412)を悪用した新たな攻撃を開始しました。攻撃者は、Windows のインターネット・ショートカットや Google DoubleClick からのリダイレクトを含む高度なテクニックを活用することで、電子メールのセキュリティ・チェックを回避して悪意のあるペイロードを配信し、開封時に自動実行を引き起こします。

DLLのサイドローディングを悪用してマルウェアのペイロード(バージョン6.1.7)が実行され、データの窃取、キーロギング、リモートアクセスなど、さまざまな悪意のある行為が可能になります。マルウェア配布の手口が巧妙化していることから、定期的なパッチ管理、電子メールセキュリティの強化、包括的なエンドポイント保護など、強固なサイバーセキュリティ対策の重要性が浮き彫りになっています。





閲覧数:1回0件のコメント

最新記事

すべて表示

LockBitランサムウェア、高度な暗号化ツールで進化

1. ムスタング・パンダのサイバー兵器庫 アジアを標的とする高度なDOPLUGS亜種 中国に関連する脅威行為者である、Mustang Pandaは、DOPLUGSとして知られるPlugXバックドアのカスタマイズバージョンを使用して、複数のアジア諸国への攻撃を強化しています。この亜種は主にPlugXコマンドモジュールのダウンローダーとして機能し、主に台湾とベトナムを標的としています。攻撃の連鎖は通常

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる 新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であ

Comments


bottom of page