setodaNote

忘れる用のメモ書き

2018-07-28~2018-08-06 記事まとめ

MikroTikルーターが侵害され、ルーターを介して閲覧したページに Coinhive のコードが注入される

https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-–-First-we-cryptojack-Brazil,-then-we-take-the-World-/www.trustwave.com

www.bleepingcomputer.com

thehackernews.com

パッチが適用されていない MikroTik 製のルーターが侵害され、Coinhive などのコードが仕掛けられた可能性があるという記事。 閲覧するすべてのサイトに任意のコードが注入できる可能性があるとしている。 2018年4月23日にパッチがリリースされたゼロデイの脆弱性が利用されているようで、 パッチ未適用のデバイスが多数あるとしている。 主にブラジルで被害が発生している様子。

 

Reddit 、SMSを使った2要素認証をバイパスされてハッキングされる

www.bleepingcomputer.com

記事中ではSMSを利用した2要素認証は既にバイパスされることが知られており、 NIST(米国国立標準技術研究所)も非推奨としているにも関わらず、 セキュリティの研究者はSMSを利用した2要素認証(まったく2要素ではない)を推奨しているとしている。

Reddit では対策としてトークンを利用した2要素認証に切り替えを進めていくとしている。

 

米国国防総省、年末までにすべてのWebサイトをHTTPSに移行

www.bleepingcomputer.com

米国国防総省が2018年末までに公開されているすべてのWebサイトに対して HTTPSとHSTS(HTTP Strict Transport Security)を実装する予定という記事。

 

スパムに添付される悪意あるファイルの85%は5つの拡張子に集約される

www.bleepingcomputer.com

F-Secure の報告書いわく、 5つのファイルタイプが悪質な添付ファイルの85%を占めており、 それは、ZIP、.DOC、.XLS、.PDF、.7Z とのこと。

また、スパムメールのクリック率が 13.4%(2017年下半期) から 14.2%(2018年上半期) に上昇したとしている。

 

スパムキャンペーンにおいて「SettingContent-ms」の利用が確認された

blog.trendmicro.com

PDFにスクリプトを仕込む形で利用されていた。 最終的に FlawedAmmyy RAT をドロップする。

 

北米におけるマルウェア検出状況(2018年第2四半期)

blog.trendmicro.com

量が多いものから順に以下の通り。

  • 総量:コインマイナー、情報窃取、ランサムウェア
  • 情報窃取:EMOTET、FAREIT、LOKI
  • コインマイナー:COINHIVE、CRYPTONIGHT、MALXMR
  • ランサムウェア:WCRY、GANDCRAB、NEMUCOD

2018年Q2の脅威まとめ(SecureList)

securelist.com

  • マルウェア

    • Energetic Bear
    • ZooPark
    • VPNFilter
    • LuckyMouse
    • Olympic Destroyer
  • 手法

  • Leaking ads
  • Roaming Mantis
  • An MitM extension for Chrome
  • The World Cup of fraud

 

FIN7 についてのレポート

https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.htmlwww.fireeye.com

Technical Appendix が豊富。