top of page

HTTP/2ラピッド・リセットの欠陥を悪用した秒間1億リクエスト DDoS攻撃

1. マイクロソフト、Octo Tempestを非常に脅威的な金融ハッキンググループと認定


Microsoftは、洗練された社会工学キャンペーンで知られる財務目的の脅威グループであるOcto Tempestを積極的にモニタリングしています。彼らの戦術は、SIMスワップの販売や暗号通貨アカウントの標的化から、フィッシング攻撃、大規模なパスワードリセット、そしてデータ窃盗へと進化しています。今年、彼らは様々な業界に対する標的を拡大し、ALPHV/BlackCatランサムウェアサービスの一環として参加し、WindowsおよびLinuxプラットフォームでのランサムウェア展開に焦点を当て、特にVMware ESXiサーバーをターゲットにしています。


Octo Tempestは、SMSフィッシング、SIMスワッピング、そして熟練した社会工学技術を用いて、しばしば新しい従業員を装い、管理者を操る手法を採用しています。彼らはデータ抽出のためにさまざまなツールとAzure Data Factoryも利用しています。


Octo Tempestのダイナミックな戦術を考慮すると、組織は積極的な防御アプローチを採用する必要があります。これには、十分な権限管理、Azureゾーンのセグメンテーション、そして堅牢な条件付きアクセスポリシーの実施が含まれます。



2. 秒間1億リクエスト!記録的なDDoS攻撃、HTTP/2ラピッド・リセットの欠陥を悪用


Cloudflareによると、同社はHTTP/2 Rapid Resetの脆弱性を悪用した数千の超体積HTTP DDoS攻撃を成功裏に阻止しました。その中には、89件が1億リクエスト/秒(RPS)を超える攻撃も含まれています。HTTP/2 Rapid Resetの脆弱性(CVE-2023-44487)は最近開示され、DDoS攻撃に関する協調された業界研究の一環です。これは、不明なハッカーによって使用され、Amazon Web Services(AWS)、Cloudflare、およびGoogle Cloudなどのプロバイダーを標的にしました。四半期ごとのHTTP DDoS攻撃リクエストの総数は、第2四半期の54兆から第3四半期の89兆に急増し、第1四半期の47兆からも大幅に増加しました。2022年第4四半期には65兆リクエストが記録されました。


クラウドプラットフォームとHTTP/2の脆弱性を悪用するボットネットは、1つのボットネットノードあたりに最大で5,000倍もの威力を発揮でき、超体積型のDDoS攻撃を可能にしています。最も標的とされている産業には、ゲーム、IT、暗号通貨、コンピュータソフトウェア、および通信が含まれています。


潜在的なDDoSの脅威に対する防御を強化し、オンラインサービスの中断のない可用性を確保するために、HTTPアプリケーション用の自動かつ常時稼働のHTTP DDoS保護サービスを導入することが推奨されています。



3." ハローキティー"ランサムウェアグループ、Apache ActiveMQ の脆弱性を悪用して RCE を実行


サイバーセキュリティの研究者たちは、最近公開されたApache ActiveMQオープンソースメッセージブローカーサービスの致命的なセキュリティ脆弱性の悪用に関する懸念を表明しています。この脆弱性はリモートコード実行の可能性があります。セキュリティ侵害は、Apache ActiveMQのCVE-2023-46604を悪用するもので、ハッカーが任意のシェルコマンドをリモートで実行できるようにします。これらの脆弱性が公開されて以来、実証済みの悪用コード(PoC)や追加の技術的な詳細が公に提供されています。


身代金要求書と利用可能な証拠に基づき、研究者は活動を"ハローキティー"ランサムウェアファミリーに帰属させています。このランサムウェアファミリーのソースコードは、10月初旬にフォーラムで漏洩されました。敵対者は脆弱性を悪用してリモートバイナリ(.NET実行可能ファイルおよび暗号化ペイロードを含む)を読み込み、ランサムウェアのようなプロセスを開始しています。


ユーザーには、すみやかに修正版のActiveMQに更新し、セキュリティー侵害の兆候を検出するためにネットワークスキャンを実施することが強く勧められています。



4. Kubernetes用NGINX Ingressコントローラに新たなセキュリティ欠陥が発見される


Kubernetes用のNGINX Ingressコントローラで、重大なな深刻度を持つ3つの脆弱性が発見されました。これらはクラスタからの機密資格情報の盗難の危険性をもたらしています。これらの脆弱性(CVE-2022-4886、CVE-2023-5043、CVE-2023-5044)により、Ingressコントローラの資格情報への不正アクセス、任意のコマンドの実行、およびコードのインジェクションが可能となり、攻撃者がシークレットの資格情報を窃取し、クラスタ内の機密データに不正にアクセスする可能性があります。


Ingressオブジェクトは、オペレータが着信するHTTPパスを内部のパスにどのように誘導するかを指定できるようにします。残念ながら、脆弱なアプリケーションはこれらの内部パスを適切に検証せず、これによりAPIサーバーへの認証に使用されるサービスアカウントトークンが潜在的に露出する可能性があります。


最新バージョンに promptly アップデートし、潜在的な脆弱性や悪用に対して警戒を怠らないよう強くお勧めします。



5. EleKtra-Leakキャンペーン、AWS IAM認証情報を悪用してクリプトジャッキングを行う


研究者たちは、公開されているGitHubリポジトリ上のAWS IAM資格情報を標的とするEleKtra-Leakキャンペーンを発見しました。ハッカーは、自動化ツールを利用してリポジトリをスキャンし、クローンし、資格情報を抽出して複数のAWS EC2インスタンスを生成しています。7分間にわたる400回以上のAPI呼び出しは、ハッカーの機動力を示しています。彼らはVPNを介して操作し、活動を隠蔽し、検出を逃れるために露出したアカウントをブロックしています。


この2年間にわたるキャンペーンは、広範で持続的な暗号鉱山活動を助長しており、重大な持続的脅威となっています。


組織には、迅速に露出したAWS IAM資格情報を取り消し、GitHubリポジトリから削除することが勧められています。また、短命な資格情報やAWSの隔離ポリシーを実装し、GitHubの監査機能とEDR(エンドポイント検知および対応)ソリューションを活用することで、クラウドセキュリティを強化するのに役立ちます。

閲覧数:2回0件のコメント

最新記事

すべて表示

2023年、GitHubユーザーから1280万件の認証秘密が流出

1. WogRATマルウェア、aNotepadを悪用してWindowsおよびLinuxシステムを秘密裏に攻撃 最近発見されたマルウェア「WogRAT」は、悪意のあるコードを保存・取得するための秘密のチャネルとしてオンライン・メモ帳プラットフォーム「aNotepad」を利用し、WindowsとLinuxの両方のシステムに重大な脅威をもたらします。このマルウェアは2022年後半から活動しており、主に日

LockBitランサムウェア、高度な暗号化ツールで進化

1. ムスタング・パンダのサイバー兵器庫 アジアを標的とする高度なDOPLUGS亜種 中国に関連する脅威行為者である、Mustang Pandaは、DOPLUGSとして知られるPlugXバックドアのカスタマイズバージョンを使用して、複数のアジア諸国への攻撃を強化しています。この亜種は主にPlugXコマンドモジュールのダウンローダーとして機能し、主に台湾とベトナムを標的としています。攻撃の連鎖は通常

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

Comments


bottom of page