破産したセルシウス・コインのフィッシング攻撃、リアルタイムURLスキャンで検知

最近、破産した暗号通貨貸出企業のセルシウス・ネットワーク(Celsius Network)の債権者をターゲットとした セルシウス・コイン 関連のフィッシング攻撃が発生しています。セルシウス・ネットワークは独自発行のCELコインを使用し、ビットコイン、イーサリアム等の多様な暗号通貨をセルシウスのウォレットに預け入れて利益を得たり、預け入れた資金を担保にしてローンを組めるプラットフォームです。2022年7月に破産したセルシウスによって セルシウス・コイン の引き出しが制限された債権者は資金回収の請求代理人である「Stretto」に投資した資金の払い戻しを要請しています。 このような状況に置かれた セルシウス・コイン の投資者を対象としたフィッシング攻撃はStrettoのフィッシングメールとフィッシングサイトから始まりました。 セルシウス・コイン 関連のフィッシング被害者は、no-reply@stretto.com というメールアドレスで「債権者に引き出しが制限された資金を請求できる7日間の期間を提供する」と主張するメールを受信したそうです。フィッシングメールの本文には、資金の払い戻し請求のためのウェブサイトとして case-stretto[.]com というリンクが案内されており、クリックすると claims-stretto[.]com という Strettoのフィッシングサイト にアクセスされます。 セルシウス・コイン 関連のフィッシング攻撃のために制作されたフィッシングメール(出典:BleepingComputer) URLスキャンで

By |2023-09-27T15:09:38+09:002023-09-27|Tags: |0 Comments

CVE-2023-38035ゼロデイ:Ivanti Sentryの認証バイパスの脆弱性

イバンティ(Ivanti)社のIvanti Sentry(旧 MobileIron Sentry)とは、Microsoft ExchangeサーバーなどのActiveSyncサーバーまたは、Sharepointサーバーのようなバックエンドリソースのためのソリューションであり、サーバー間のデータ同期化のために使用されます。Ivantiは最近、CVE-2023-38035ゼロデイに関する勧告を掲載しました。CVE-2023-38035ゼロデイは権限を持っていない攻撃者にウェブ管理者のインターフェースと管理者サーバーへのアクセスを許す認証バイパス脆弱性です。  Ivanti Sentryのシステム管理者ポータルは以下のような画面で起動され、TCP/8443ポートを通じてアクセスできるようになっています。ウェブサーバーはApache HTTPDを使います。脆弱性公開当時、アメリカ国立標準技術研究所(NIST、National Institute of Standards and Technology)は、CVE-2023-38035ゼロデイに対して「まだ分析を行っている最中で、Ivantiが一部情報を提供していない」と述べながら、CVSSスコアを公開しませんでしたが、本投稿を書く時点ではCVSSv3スコアが9.8で公開されました。 TCP/8443ポートを通じてアクセスできるIvanti Sentryのシステム管理者ポータル Ivantiは公式サイトで脆弱性パッチを公表し、RPMスクリプトを提供しました。バージョンごとの設置スクリプトが存在し、9.15以下のバージョンではまず9.16以上のバージョンに更新した後、新しいRPMスクリプトを使うことを勧告しています。  上記のログイン画面の右上でも「9.17.0」というバージョンが表記されていて、使用中のシステム管理者ポータルのバージョンを簡単に確認できます。  Ivanti Sentryの影響を受けるバージョン解決策(RPMスクリプトを使用)9.189.18.0-3 インストール9.179.17.0-3

By |2023-08-30T16:52:54+09:002023-08-30|Tags: , |0 Comments

コバルトストライク・ランサムウェア:軍ドキュメントのダークウェブ流出の原因

先月、チリ軍(Ejército de Chile)は、「Rhysida」として知られている コバルトストライク・ランサムウェア 攻撃により、軍ドキュメントがダークウェブに流出される被害を受けました。Rhysidaランサムウェアギャングは、チリ軍のネットワークからドキュメントの約30%である36万件を盗み、ダークウェブのデータ流出サイトに盗んだファイルを公開しました。今回のランサムウェアは、コバルトストライク(Cobalt Strike)とC2フレームワークの配布を通じたフィッシング攻撃からネットワークに侵入したものと推定され、攻撃に使用されたマルウェアを実行すると、接続者のファイルを暗号化して「CriticalBreachDetected.pdf」というPDFランサムノートが表示されます。軍ドキュメントは国家機密に準ずる機密情報であるため、コバルトストライクとC2サーバーの悪用によるランサムウェアの深刻さを示すケースとして見られます。 以前のCobalt Strike悪性コードの検知方法に関する記事でも紹介したことがあるコバルトストライク(Cobalt Strike)とは、もともとC2サーバーを構築する商用ペンテストのツールです。独自のC2サーバーを構築できるという特徴のため、しばしばランサムウェアやPC感染攻撃に悪用されることもあります。OSINTサイバーセキュリティ検索エンジンのCriminal IPでは、悪用されたコバルトストライクに感染したIPアドレスを見つけることができ、そのIPアドレスがCriticalの危険レベルで判定された詳細な理由を確認することができます。今回の記事では、RhysidaランサムウェアのようにコバルトストライクとC2サーバーを悪用したマルウェアやランサムウェアに感染したIPアドレスを調べていきます。 コバルトストライク・ランサムウェア及びマルウェアに感染したIPアドレスを検知 Criminal IPでのタグ検索でコバルトストライクを検索すると、一般的にC2サーバーに使用されるボットネットが検索されます。 https://criminalip.io/ja/asset/search?query=tag%3A+cobalt+strike Search Query: tag: cobalt strike 脅威インテリジェンス検索エンジンCriminal

Google広告フィッシングサイトを検閲する方法(メタマスク・フィッシングサイト)

世界中の検索エンジンマーケットの92%を占めているGoogleは、唯一無二な検索アルゴリズムで多くのインターネット使用者が利用しています。Googleの高度化されたアルゴリズムによって検索結果の上段に現れるウェブサイトに、その検索語によって1日で数万・数百万のGoogle検索エンジンユーザーが訪問します。Googleはできるだけ悪性またはフィッシングサイトを上位表示から排除するためにアルゴリズムを改善していますが、それにも関わらず、サイバー攻撃者は最大限多くの被害者が悪性ウェブサイトに訪問できるようにGoogleの掲載順位ロジックを巧妙に悪用します。その中でもGoogle広告(Google Ads)を悪用したフィッシング、悪性ウェブサイト攻撃は続いて提起される悪質的な攻撃の手口です。 最近、セキュリティメディアのBleeping ComputerではGoogle検索広告フィッシングを対象としてBitwardenのパスワードウォールがターゲットになり、多くの人がそのGoogle広告フィッシングで資格証明を盗用されたという記事が発行されました。その他にも今までGoogle広告を悪用して検索エンジンのユーザーにフィッシング、詐欺の被害を与えた多くのフィッシング攻撃事件がありましたが、あまりにも精密に作られたフィッシングサイトは適当な対策がないまま、続いてGoogle検索結果の上位に表示されています。 メタマスクの Google広告フィッシングサイト 仮想通貨ウォレットサービスのメタマスク(MetaMask)は、月3百万人以上が訪問する人気の仮想通貨サービスです。そして多くのユーザーはメタマスクのウェブサイトにアクセスするためにGoogle検索エンジンを利用します。Googleに「メタマスク」とか「メタマスクウォレット」などに検索すると、メタマスクの公式オンラインウェブサイトが表示されると当たり前に思うのが普通です。もし、上位に表示されたサイトが全然違うタイトル・説明を掲げているとしたら、スクロールしてユーザー自身がアクセスしたいウェブサイトを直接選べば良いが、実際のサイトと同じタイトル・説明で表示された検索結果が現れたらどうでしょう。 実際にメタマスクのGoogle広告フィッシング事件は2020年から何件か報告されてきました。攻撃者はフィッシングサイトの広告がブロックされたら、しばらく後でまた新たなドメインで再び広告を露出させる方法で攻撃を続けています。今度発見したメタマスクのGoogle広告フィッシングの事例は韓国のGoogle検索結果でした。画像のように「메타 마스크」というキーワードをGoogleの検索ボックスに入力すると、検索結果の一番上にAdの表示とともにメタマスクのTitleになったウェブサイトが見えます。 韓国のGoogle検索ボックスに「메타 마스크」で検索した結果、Google広告が一番目に見える Googleの使用者は、メタマスクにアクセスするために疑いなく一番上に表示されたサイトをクリックするはずです。実際にこのウェブサイトへアクセスすると、次のようなメタマスク公式ウェブサイトに見えるサイトにアクセスされます。 Google検索結果の一番上位に表示されたメタマスクの類似ウェブサイトにアクセスした画面 Google広告をクリックしてユーザーがアクセスした後、変なところを見つけ出せるでしょうか。それはたぶん無理です。実際のメタマスクのウェブサイトと比べてファビコン、タイトル、ウェブUI/UXの全てが実際のサイトと同じく作られているためです。 たった一つ、実際のウェブサイトと違うしかないところがURLアドレスです。Google広告フィッシングサイトで作られたURLは実際のウェブサイトと最大限同じようにみえるため mètamaśk[.]com というURLを使用しました。一見すると、実際のウェブサイトのURLであるmetamask.ioと区別するのは難しいですが、詳しく見ると「e」と 「s」 の代わりに 'è', 'ś'を使ってもっともらしく偽造しました。

By |2023-02-03T14:35:06+09:002023-02-03|Tags: |0 Comments

キオスク端末ハッキング : 攻撃対象領域に漏えいされたキオスクシステム

キオスク(KIOSK)端末とは、政府機関や銀行、デパート、展示場、食堂などの公共の場に設置されたタッチスクリーン方式の無人情報端末です。企業及び機関は無人セルフサービスの利便性など、利点のため、より広い産業と分野にキオスク端末の導入を進めています。 新しい技術はいつもリスクを伴うように、キオスク端末もセキュリティ脅威の問題が続いて挙げられています。特に、キオスク端末は予約、決済サービスが主な目的であるだけに個人情報を保存・処理するため、攻撃者のターゲットになるのに最適です。一部のキオスク端末サービスはセキュリティについて十分に考慮されないまま配布されることもありあす。キオスク端末ハッキングが発生する理由としてはいろいろありますが、今度はパブリックネットワーク及びオープンポートで運営される攻撃対象領域に漏えいされたキオスク端末システムと管理者ページを検知し、脅威を予防できる方法について話してみます。 インターネットに漏えいされたキオスク端末システムの管理者ページ キオスク端末ハッキングが発生する理由の1つとして、インターネットに漏えいされたキオスク端末システムの管理者ページを挙げられます。キオスク端末の供給業者とサービスを提供する企業及び機関はエンドポイント顧客がキオスク端末で決済、予約などの機能を使用できるよう、キオスク端末システムで管理します。正常のキオスク端末システムは外部からのアクセスがブロックされているべきで、管理者ページへのログインなどの認証を行わないとアクセスできません。 セキュリティOSINT検索エンジン、Criminal IPを活用してパブリックインターネットからアクセスできるキオスク端末システムの管理者ページを検索してみました。Criminal IP IT資産検索の検索ボックスにTitleフィルターを活用して次の検索語を入力すれば、漏えいされたキオスク端末システムを探せます。 Search Query : Title: Kiosk management console UI https://www.criminalip.io/ja/asset/search?query=title%3AKiosk+management+console+UI Criminal IP IT資産検索で検索した外部ネットワークに漏えいされたキオスク端末の管理システム また他の検索語の"Title:

By |2023-01-13T17:19:57+09:002023-01-13|Tags: |0 Comments

ハッカー向けたまごっち「Flipper Zero」のフィッシング サイト

ポータブルなペンテストツールとしてオンラインストアで200ドルに販売されている Flipper Zero は、最近ペネトレーションテスターとハッカーの間では品切れの人気商品です。まるでたまごっちのような見た目をしているため、「ハッカー向けたまごっち」と呼ばれるこのツールは各種セキュリティコミュニティ、TikTok、Twitter、Telegramなどにレビューされてから人気が高まり、オンラインストアはほぼ毎日売れ切りの状態です。その隙を狙うフィッシング攻撃者がFlipper Zeroのフィッシングサイトを公式販売サイトのように見せかけ、ビットコインなどの仮想通貨を払うようにするというニュースが最近Bleeping Computerの記事で報道されました。むろん、購入者はFlipper Zeroをもらえません。 一般人でもなく、なんとハッカーとペネトレーションテスター、セキュリティ研究員を対象としたこのフィッシング詐欺は、売れ切る前に買っておきたい被害者の心理を利用します。 Flipper Zeroのフィッシングサイトと公式サイト URLとファビコンまで巧妙に公式ストアと同じく作っておいたフィッシングサイトは肉眼では見分けることは難しいです。 Twitter、Telegramなどで知られているFlipper Zeroの詐欺販売サイトにアクセスし、確認してみました。 Flipper Zeroのフィッシングサイト Flipper Zeroの公式オンラインストア Flipper Zeroのフィッシングサイト(左)とFlipper Zeroの公式オンラインストア(右)

クリスマスプレゼントとして購入したIoT、IPカメラハッキングに注意

多くの人が指折り数えて待つクリスマスは、ハッカーにもマルウェアの流布、情報の流出、フィッシング詐欺などを広がりやすいピークシーズンです。休日と年末シーズンなのでセキュリティの人力が足りなくなり、オンラインショッピングとお祝いのメッセージ送信が増えると共に警戒が弱まる隙を狙い、サイバー犯罪を犯すのです。特に、クリスマスプレゼントとしてますます人気が高まっているIoTとホームスマートの製品はハッカーにとって良いターゲットとなるので、 IoT 、 IPカメラハッキング 被害に気を付けなければいけません。もし、信じられないくらい安いお得の製品を見つけたら、一度は疑ってみなければなりません。しばしば安い価格で深刻なセキュリティの問題を隠している製品もあるからです。 例えば、Wireless IP Camera (P2P)WIFICAMというIPカメラは認証バイパス脆弱性(CVE-2017-8225)を保有しており、販売された数多い製品がボットネットに感染した事例がありました。 セキュリティ弱点を持つスマート製品は、ハッカーがユーザーのアカウントをハッキングし、ユーザーの情報にアクセスできるように開いているドアになります。Amazon、eBay、Ali Expressで販売されている多くのIPカメラ、AIスピーカ、無線掃除機などにそのようなスパイがいる可能性があります。 認証設定が弱いIPカメラが主なターゲットに ハッカーはセキュリティに脆弱なロボット掃除機や IPカメラハッキング 攻撃で家の中を監視したり、撮影物を不法的に流布しますが、主にログイン認証が設定されていないか、デフォルトの暗号を変更なしでそのまま使用するデバイスがターゲットになります。 Criminal IPのIT資産検索で Tag: IP Cameraを通じてインターネットに漏えいされたIPカメラを検索すると、総428,473件の結果を得られます。 [Criminal IP

Cobalt Strike悪性コードの検知方法:攻撃を受けたボットネットサーバー探索

ペネトレーションテストツールとして使われるコバルト・ストライク(Cobalt Strike)が悪意的な攻撃者によってランサムウェアの攻撃あるいは内部システムへの侵入を目的として悪用される事例がしばしば発生します。主にボットネットを活用してコバルトストライクを配布し、ランサムウェアとPC感染攻撃を犯す経路で行われます。今度の投稿では、合法的かつ悪意的な理由で Cobalt Strike悪性コード に感染したサーバーをCriminal IP検索エンジンで検知する方法を扱います。 Cobalt Strike悪性コード とは Cobalt Strikeは有料のペネトレーションテストツールで、多くのRed Teamが攻撃シミュレーションのソフトウェアとして使います。 ペネトレーションテストツールとして使われるCobalt Strike しかし、全てが合法的に Cobalt Strike を活用するわけではありません。サイバー攻撃者はダークウェブで共有される海賊版の Cobalt Strike

By |2022-11-24T17:02:30+09:002022-11-24|Tags: , |0 Comments

Torブラウザーなしでダークウェブにアクセスする方法

ダークウェブにアクセスする方法 の中で一番よく知られているのはTorブラウザーを使うことです。Torのダークウェブサイトはドメインの後ろに「.onion」が付く形で、Torブラウザーを通じてのみアクセスできます。しかし、Torブラウザーを利用しなくてもダークウェブサイトにアクセスする方法があります。今回の投稿ではChromeなどの一般ブラウザーからダークウェブへアクセスする方法と実際のハッカーグループのダークウェブサイトを調査する方法について語ります。 一般ブラウザーで ダークウェブにアクセスする方法 TorブラウザーのみでアクセスできるOnionドメインに、一般ブラウザーであるChromeを通してアクセスできるでしょうか。 ダークウェブサイトのドメインの後ろに「.ly」が付いていればアクセスできます。(あくまでもアクセスが「可能」であるだけで、「安全」ではないので、実際にアクセスすることはお勧めしません。) onion.lyドメイン はTor2Webが提供するプロキシサーバーのドメインアドレスです。Tor2WebはTorネットワークに繋げなくても標準のブラウザーでOnionサービスにアクセスできるようにするソフトウェアプロジェクトです。 ダークウェブにアクセスする方法の1つであるTor2WebのOnion.lyプロキシサーバーの案内ページ onion.lyで終わるダークウェブサイトのドメインは hxxp://abcdxxx1234[.]onion.ly のような形で、実際にアクセスするとTorブラウザーを使用したようにダークウェブサイトにアクセスすることができます。 ハッカーグループが使用する onion.lyドメイン 時々、悪名高いランサムウェア攻撃グループがこのようなonion.lyリンクを使うことを見られます。ランサムウェアに感染すると、攻撃者は身代金を要求し、自分たちの ダークウェブにアクセスする方法 の案内やリンクを伝えますが、一般ブラウザーを使う被害者がダークウェブサイトにアクセスできるようにonion.lyドメインに終わるアドレスを伝えます。関連しては、CIPブログのLockBit3.0ランサムウェア攻撃事例分析の投稿で扱ったランサムウェア攻撃のし方をご参照ください。 実際のランサムウェアハッカーグループが使うダークウェブサイトのアドレスをみるとドメインの接尾辞としてonion.lyが使われたことがわかります。 下のリンクは実際に攻撃グループが配布したランサムウェアの配布ファイルを仮想環境で設置し、要求された身代金の支払い方から見つけたリンクです。 Maxey Moverleyhxxp://omegalock5zxwbhswbiscxxxxvdulyvtqqbudqousisjgc7j7yd[.]onion[.]lyBlackbyte Grouphxxp://jbeg2dct2zhku6c2vwnpxtmxxxxxnqvvpoiiwr5hxnc6wrp3uhnad[.]onion[.]lyDAIXIN

By |2022-10-28T00:37:42+09:002022-10-27|Tags: , , |0 Comments

漏洩されたNGINX設定ファイルを変更できるセキュリティ脆弱性

今回のCIPブログ投稿では、Criminal IPを活用して 漏洩されたNGINX設定ファイル を見つける方法を調べたいと思います。 NGINX設定ファイル とは? NGINXは、ウェブサーバーの種類の1つで、Apacheとともに最も多く使われるサーバーです。特に、今一番トラフィックが多いサイトのNetflixやDropboxなど、並べるのも難しいほど、かなり多くの有名サイトがNGINXを利用しています。NGINXの設定ファイルはNGINXサーバーを設定する形のガイドが書いてあるファイルで当該サーバーについての情報がありますが、ここにはハッキングの手がかりになる敏感な情報が含まれている可能性があります。 NGINXウェブサーバーの基本設定ファイル名は"nginx.conf"で、IT資産検索で当該キーワードを検索して設定ファイルを探せます。特に、"nginx.conf"キーワードに"title: index of"のフィルターを加えて検索すると、画像のようにディレクトリインデックスの脆弱性のあるサイトでnginx.confのファイルを探せます。 "nginx.conf" title: "Index of " Criminal IPのIT資産検索で"nginx.conf" title: "Index of

By |2022-10-28T00:23:38+09:002022-10-21|Tags: |0 Comments
Go to Top