Passwordstateの更新配信サーバが不正アクセスを受け、不正なDLLを混入される。 / Passwordstate hackers phish for more victims with updated malware(転載)~サプライチェーンリスクの顕在化事例~


Passwordstate hackers phish for more victims with updated malware:

企業向けパスワードマネージャー「Passwordstate」を提供しているクリックスタジオ社は、「Moserpass」という最新のマルウェアを使ったフィッシング攻撃が続いているとして、顧客に警告を発しています。

先週、クリックスタジオ社は、4月20日から4月22日の間に、攻撃者がパスワードマネージャーの更新メカニズムを悪用して、情報を盗むマルウェア「Moserpass」を、まだ公表されていない数の顧客に配信することに成功したと、ユーザーに通知しました。

クリックスタジオ社は日曜日に2回目の勧告を発表し、"上記の時間帯に所定のアップグレードを行った顧客のみが影響を受けていると考えられ、Passwordstateのパスワード記録が盗まれている可能性がある "と述べた。

フィッシングメッセージのコピー ソーシャルメディアで共有されるClick Studiosメール

それ以来、クリックスタジオ社は、影響を受けた可能性のあるお客様に電子メールで支援を行い、お客様のシステムからマルウェアを取り除くためのホットフィックスを提供してきました。

しかし、今回の勧告で明らかになったように、クリックスタジオ社から受け取ったメールがソーシャルメディア上で顧客に共有されたことで、未知の脅威行為者が同社の対応に似せたフィッシングメールを作成し、新たなMoserpassの亜種を押し付けていました。

Passwordstateのお客様を対象とした、Moserpassデータ盗難マルウェアに感染させようとする継続的なフィッシング攻撃は、少数のお客様を対象としていると報告されています。

同社は現在、不審な電子メールを受け取った方に、「警戒を怠らず、あらゆる電子メールの有効性を確認してください」と呼びかけています。

" メールが当社からのものかどうかわからない場合は、テクニカルサポートにメールを添付して送信し、確認してください」とクリックスタジオは付け加えています。

初期分析によると、このファイルには、不正なMoserware.SecretSplitter.dllの新しい修正バージョンが含まれており、読み込み時に別のサイトを使用してペイロードファイルを取得しようとします。このペイロードファイルは現在も分析中です。- クリックスタジオ社

お客様には、保存されているすべてのパスワードをリセットするようお願いします。

Moserpassマルウェアは、システム情報とPasswordstateのデータベースから抽出した以下のようなパスワードデータの両方を収集し、流出させるように設計されています。

  • コンピュータ名、ユーザ名、ドメイン名、現在のプロセス名、現在のプロセスID、実行中のすべてのプロセス名とID、実行中のすべてのサービス名、表示名、ステータス、Passwordstateインスタンスのプロキシサーバアドレス、ユーザ名とパスワード

  • タイトル、ユーザー名、説明、GenericField1、GenericField2、GenericField3、メモ、URL、パスワード

クリックスタジオ社は、今回の侵害でクライアントをアップグレードしたPasswordstateのお客様に、データベースに保存されているすべてのパスワードをリセットするようアドバイスしました。

Passwordstateは、開発元が主張しているように、世界中の29,000社で働く37万人以上のIT専門家が使用しているオンプレミス型のパスワード管理ソフトです。

クリックスタジオ社のソフトウェアは、政府、防衛、航空宇宙、金融、ヘルスケア、自動車、法律、メディアなど、幅広い業種の企業(フォーチュン500ランキングに入っている企業も多数)に採用されています。

Labels: ,
Location: 3/97 Pirie St, Adelaide SA 5000 オーストラリア

twitterアカウント@yanmaが乗っ取られた(転載)~基本海外が絡むと警察は期待できない。SNS認証は使うべからず。twitterサポートは役に立たない。~



twitterアカウント@yanmaが乗っ取られた(解決編) scrapbox.io/yanma/twitter%…: twitterアカウント@yanmaが乗っ取られた(解決編)
scrapbox.io/yanma/twitter%…

全文表示 / Read more »
Labels: ,

[Kali Linux] Fierce ~ドメイン名に関連付けられたIPの探索~


Fierceは、PERLで記述されたIPおよびDNS偵察ツールであり、IT部門の専門家がドメイン名に関連付けられたターゲットIPを見つけるのを支援することで有名です。

これは元々、古いhttp://ha.ckers.org/の他のメンバーと一緒にRSnakeによって書かれました。これは主に、ローカルおよびリモートの企業ネットワークを対象として使用されます。

ターゲットネットワークを定義すると、選択したドメインに対して複数のスキャンが開始され、誤って構成されたネットワークと、後でプライベートで貴重なデータが漏洩する可能性のある脆弱なポイントを見つけようとします。

結果は数分以内に準備が整います。これは、Nessus、Nikto、Unicornscanなどの同様のツールを使用して他のスキャンを実行する場合よりも少し長くなります。


 2cx.netの検索例

# fierce --domain 2cx.net
NS: ns1.digitalocean.com. ns2.digitalocean.com. ns3.digitalocean.com.
SOA: ns1.digitalocean.com. (173.245.58.51)
Zone: failure
Wildcard: failure
Found: dns.2cx.net. (193.148.70.119)




Labels: ,

内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて(転載)


内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府 cao.go.jp/others/csi/sec…: 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府
cao.go.jp/others/csi/sec…


【参考】
Labels: ,

Ubiquiti社、「壊滅的な」データ侵害を軽視したとの報道で株価下落 / Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach(転載)~正確性を欠いたインシデント公表を行った際の株価への影響は20%程度か!?~


Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach:

ニューヨークを拠点とするIoTデバイスメーカーのUbiquitiは、軽視されていたデータ侵害を公表しました。大惨事となったデータ侵害のニュースを受けて、同社の株価は大幅に下落しました。

今年1月、Ubiquiti社は顧客に対し、正体不明のサードパーティのクラウドプロバイダーがホストする特定のITシステムへの不正アクセスが発見されたことを通知しました。同社は当時、ユーザーデータが漏洩したという証拠は見つかっていないとしながらも、その可能性を否定できないとして、顧客にパスワードの変更を勧めていました。

Ubiquiti がセキュリティ侵害を公表したとき、同社の株式への影響はわずかで、その後、同社の株式の価値は驚異的に上昇し、1 月 12 日の 1 株あたりおよそ 250 ドルから 3 月 30 日の 1 株あたり 350 ドルまで上昇しました。しかし、セキュリティ侵害が顧客や投資家に信じさせていたよりも大きかったかもしれないというニュースを受けて、ユビキティの株価は本稿執筆時点で290ドルまで下がっています。

3月30日(火)、サイバーセキュリティ・ブロガーのブライアン・クレブス氏は、Ubiquiti社が同社の株式市場価値への影響を軽減するために、実際には「壊滅的」であった事件を「大々的に軽視」していたことを、侵害への対応に関わった人物から聞いたと報告しました。

クレブス氏の情報源によると、侵入者はUbiquiti社のAWSサーバーへのアクセス権を取得した後、ハッキングについて口止めするために同社から50ビットコイン(約300万円相当)を脅し取ろうとしました。情報源によると、「侵入者は、Ubiquitiの従業員のLastPassアカウントから特権的な認証情報を取得し、すべてのS3データバケット、すべてのアプリケーションログ、すべてのデータベース、すべてのユーザーデータベースの認証情報、シングルサインオン(SSO)クッキーの偽造に必要な秘密を含む、UbiquitiのすべてのAWSアカウントへのルート管理者アクセスを得た」とのことです。このハッカーは、リモート認証によってUbiquitiのクラウドベースのデバイスにアクセスしていたとされています。

Ubiquiti社は、クレブス氏の報告を受けて水曜日に声明を発表し、法執行機関による調査が進行中であるため、これ以上のコメントはできないと述べました。"この事件を受けて、当社は外部の事件対応専門家を活用し、攻撃者が当社のシステムから締め出されたことを確認するために徹底的な調査を行いました。"これらの専門家は、顧客情報がアクセスされたという証拠はなく、標的にされたという証拠もないことを確認しました。この攻撃者は、盗んだソースコードと特定のIT認証情報を公開すると脅迫し、当社を恐喝しようとして失敗しましたが、顧客情報にアクセスしたとは言っていません。このことと他の証拠から、今回の事件に関連して顧客情報が標的になったり、アクセスされたりしたことはないと考えています」と述べています。 

少なくとも2つの法律事務所が、ユビキティ社が連邦証券法に違反したかどうかを調査しており、同社の投資家に連絡を取るよう呼びかけている。
Labels: ,

モルソン・クアーズ社、「サイバー攻撃事件」で1億4千万ドルの損害を被る可能性 / Molson Coors "Cyberattack Incident" Could Cost Company $140 Million(転載)~ランサム被害154億円!?~


Molson Coors "Cyberattack Incident" Could Cost Company $140 Million:

モルソン・カナディアン、クアーズライト、ミラーライト、カーリング、ブルームーン、クアーズバンケットなど、米国で人気のあるビールブランドの製造会社は、サイバー攻撃が醸造所の運営、生産、出荷などのビジネスに深刻な影響を与えることを公表しています。

酒造大手のモルソン・クアーズ社は、この破壊的なサイバー攻撃により、同社の醸造所の機能に大きな障害が発生し、約1億4,000万ドルの損害が発生すると述べています。さらに、同社は正常化に向けて努力しており、生産と出荷はまだ通常の操業レベルに達していないと付け加えました。

"3月26日に発表された声明では、「モルソン・クアーズ社のチームの多大な努力と、主要なフォレンジック情報技術企業およびその他のアドバイザーの支援により、このような進展があったにもかかわらず、当社は、英国、カナダ、米国における醸造所の操業、生産、出荷を含む事業において、いくつかの遅延や混乱を経験し、現在も継続しています。

同社は、「サイバーセキュリティインシデント」と呼ばれる事態の原因については報道しませんでしたが、マルウェアやランサムウェアによる攻撃が相次ぎ、世界中の企業に大きな影響を与えている中での発生です。最近のサイバー攻撃は、医療機関、コンピュータ生産者-エイサー、IoTプロバイダーのシエラ・ワイヤレス、その他様々な大手企業に影響を与えました。

同社は、今回のサイバー攻撃が第1四半期の事業に影響を与え、結果として2021年の収益にも影響を与えるとしていますが、予想される費用については具体的な数字を公表していません。しかし、通常の収益を得るためには、懸命に努力し、待つ必要があると考えています。

同社によると、"サイバーセキュリティ事件とテキサス州で発生した2月の冬の嵐により、2021年第1四半期から2021年度末までの間に、生産量および出荷量が180万~200万ヘクトリットルシフトし、また、2021年第1四半期から2021年度末までの間に、基礎的なEBITDAが1億2,000万~1億4,000万ドルシフトする "としています。

また、同社はサイバー攻撃事件に関する技術データをまだ公開していませんが、様々な専門家がランサムウェア関連のサイバー犯罪ではないかと推測しています。

"当社は法執行機関に通報し、その調査に協力しています。また、関連するすべての保険会社にも通知し、協力しています」との声明を発表した。
Labels: ,

[Kali Linux] dnsmap - DNS Network Mapper ~特定ドメインのサブドメインを探るツール~


 dnsmapは、2006年にリリースされた書籍「Stealing the Network - How to 0wn the Box」に掲載されているPaul Craig氏の小説「The Thief No One Saw」にヒントを得て開発されました。

dnsmapは、主にペンテスターが、インフラのセキュリティ評価の情報収集/列挙の段階で使用することを目的としている。列挙の段階では、セキュリティ・コンサルタントは通常、ターゲット企業のIPネットブロック、ドメイン名、電話番号などを発見します。

サブドメインのブルートフォースは、ゾーン転送などの他のドメイン列挙のテクニックがうまくいかないときに特に有効なので、列挙の段階で使うべきテクニックのひとつです(ちなみに、最近はゾーン転送が公に認められているのをほとんど見たことがありません)。


2cx.netのサブドメイン検索例
# dnsmap 2cx.net
dnsmap 0.35 - DNS Network Mapper

[+] searching (sub)domains for nidec.com using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests

www.2cx.net
IP address #1: 59.152.32.200
IP address #2: 59.152.32.100

[+] 1 (sub)domains and 2 IP address(es) found
[+] completion time: 220 second(s)
Labels: ,

クラウド製品・サービスのセキュリティ確保に役立つCISの新しいAWSベンチマーク / New CIS AWS Benchmarks Help Secure Cloud Products and Services(転載)

New CIS AWS Benchmarks Help Secure Cloud Products and Services

アマゾン ウェブ サービス(AWS)は、新しいクラウド製品やサービスの拡大を続けています。Center for Internet Security(CIS)は、これらの機能をAWSクラウドで安全に利用するためのリソースを提供しています。The Beginner's Guide to Secure Cloud Configurations in AWSでは、ユーザーがAWSクラウドのアカウント、製品、サービスなどを保護する方法を説明しています。

CIS AWS Benchmarksコミュニティからの新しいガイダンス

CISは、AWSクラウドのガイダンスを拡大するために、ボランティアのネットワークに呼びかけました。この取り組みにより、AWSクラウド製品およびサービスに特化したCISベンチマークが生まれました。

CISは、そのリソースを磨き、すべてのユニークなサービスに対してCISベンチマークを作成しませんでした。その代わりに、CISはAWSに倣って、サービスをクラウド製品ごとに分類しました。AWSは数十種類の製品を提供しており、提供する機能に基づいてクラウドサービスを分類しています。

AWS共有クラウドのセキュリティ責任を理解する

セキュリティとコンプライアンスは、AWSとお客様の間で共有される責任です。この共有モデルである「AWS Shared Responsibility Model」は、お客様の運用負担を軽減することができます。AWSは、ホストOSや仮想化レイヤーから、サービスが稼働する施設の物理的なセキュリティに至るまで、コンポーネントの運用、管理、制御を行います。AWSは、AWSクラウドで提供されるすべてのサービスを稼働させるインフラの保護に責任を負っています。このインフラストラクチャは、AWSクラウドサービスを実行するハードウェア、ソフトウェア、ネットワーク、および設備で構成されます。お客様は、ゲストのオペレーティングシステム(アップデートやセキュリティパッチを含む)、その他の関連するアプリケーションソフトウェア、およびAWSが提供するセキュリティグループのファイアウォールの設定について責任と管理を負います。

CIS AWS Cloud Benchmarksの3つのレベル

このガイドでは、クラウドに適用されるCIS AWS Benchmarkの3つのカテゴリーを紹介しています。

  1. CIS AWS Foundations Benchmark
  2. CIS End User Compute Services Benchmark
  3. CIS Amazon Elastic Kubernetes Service (EKS) Benchmarks

各ベンチマークのレベルは、CIS AWS Foundations Benchmarkから始まり、CIS Hardened Imagesによる仮想マシンのセキュリティ確保に至るまで、追加のセキュリティレイヤーを提供します。


  1. CIS AWS Foundations Benchmarkは、AWSクラウドを安全に構成するためのアカウントレベルのスタートポイントを提供します。これらのリソースは、アイデンティティとアクセス管理、ログと監視、ネットワークなどをカバーしています。AWSの基礎ガイダンスを無料でダウンロードできます。

  2. Cloud Product-Level CIS Benchmarksは、製品とサービスの構成に関するガイダンスを提供し、コンピュート、データベース、ストレージ、コンテナなどの分野を含みます。これらのCISベンチマークにより、ユーザは適用可能なクラウドサービスを選択し、環境に応じて構成することができます。製品レベルのCISベンチマークは、クラウド・アカウント内で使用されるクラウド・サービスに組み込まれた追加のセキュリティ・レイヤーを提供することで、「CIS基盤ベンチマーク」を補完します。最初のリリースは、「CIS AWS End User Compute Services Benchmark」です。

  3. Standalone Cloud Service CIS Benchmarksは、より広範な設定ガイダンスを必要とするAWSサービスに特有のものです。このような場合、製品レベルのCISベンチマークには、サービスに関するセクションがあり、そのサービスのスタンドアロンCISベンチマークを指し示します。

CIS AWS End User Compute and Kubernetes Benchmarks

クラウド製品レベルのCISベンチマークの最初のリリースは、「CIS AWS End User Compute Services Benchmark」です。これには、Amazon WorkSpaces、Amazon WorkDocs、Amazon AppStream 2.0、およびAmazon WorkLinkの構成推奨事項が含まれています。ユーザーは、該当するサービスを選択し、自分の環境で稼働しているものに合わせて構成することができます。


場合によっては、サービスに必要な設定により、1つのクラウドサービスに特化したCISベンチマークが必要となることがあります。このシナリオでは、製品レベルのCISベンチマークにはクラウドサービスのセクションが含まれますが、サービスについては別のCISベンチマークを指します。独立したクラウドサービスのCISベンチマークの例として、CIS Amazon Elastic Kubernetes Service (EKS) Benchmarksがあります。


CIS Hardened Imagesによるセキュアなコンフィギュレーション

仮想イメージとは、物理的なコンピューターと同じ機能を提供する仮想マシン(VM)のスナップショットです。仮想イメージはクラウド上に存在し、ユーザーはローカルのハードウェアおよびソフトウェアに投資することなく、日常的なコンピューティング操作をコスト効率よく行うことができます。

ハードニングとは、システムをサイバー攻撃に対して脆弱にする潜在的な弱点を制限するプロセスです。標準的なイメージよりも安全性が高いハードニングされた仮想イメージは、システムの脆弱性を低減し、マルウェア、不十分な認証、遠隔地からの侵入などから保護します。


セキュアに事前設定されたCIS Hardened Imagesは、組織がクラウド上のオペレーティングシステムを保護するのに役立ちます。CIS Hardened Imagesは、CIS Benchmarksの要件を満たしており、AWS Marketplaceで入手できます。

クラウドセキュリティの追加レイヤー

CISは、AWSと直接連携して、使用頻度の高いクラウド製品やサービスを特定しています。そして、その情報を将来のCIS AWSベンチマークの開発計画に反映させています。

全てのCIS AWSベンチマークの推奨事項は、他のガイドラインや追加リソースを参照しています。これらのクラウドガイドにより、CISは、CISベンチマークとAWSのドキュメントの関係を示しています。その意図は、セキュリティおよびその他の面でAWSから利用可能なガイダンスをユーザに知らせることである。この文書は、ユーザが、サービスを実行する際にAWSが持つ責任、およびAWSが支援する責任を認識するのに役立ちます。

クラウドの急速な拡大に伴い、今後も多くの製品やサービスが登場することが予想されます。CISは、AWSと緊密に連携し、開発の先陣を切っています。そうすることで、タイムリーで効果的なガイダンスを世界中のユーザーコミュニティに無償で提供していきたいと考えています。

Labels: ,
登録: コメント (Atom)