BootHole: ブートローダーの脆弱性が見つかる。かなりヤバめ。

ブートローダーはパソコンが立ち上がるときに最初に起動するプログラムです。WindowsやLinuxが起動する前に起動するもの。

そのタイミングでハックされてしまいますと、手に負えません。

https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/

'BootHole' Flaw Allows Installation of Stealthy Malware, Affects Billions of Devices

多くの会社はすでに対応を表明しています。順次パッチがリリースされるでしょう。
 
ITメディアさんが記事にしていましたので、リンク貼り付けますね。
 
 
参考:
 
本家
 

Lazarus macOSをターゲットにした攻撃を進化させる

記事を追っていくと、サイバー空間での攻撃が激しくなってきているように見えます。

特にLazarusがその攻撃能力を上げてきている感じがします。

Dimitris VetsikasによるPixabayからの画像

 

米中でのバトルが主に注視されるなかで、北朝鮮系の動きが側面から突いてくる感じでしょうか?プンプン

 

Several New Mac Malware Families Attributed to North Korean Hackers

今回、macOSをターゲットにしたマルウエアないし攻撃手法を使い始めたのは注視すべきでしょう。

Windowsと比べてmacOSは攻撃対象とされていませんでしたが、これからはわかりません。ほかにも共通プラットフォームのMATA Frameworkを攻撃対象としているものあります。

 

とっかかりはTikaOTPというフェイク(トロイの木馬系)のOTPアプリケーションによって配布されます。キョロキョロ

ほかにも仮想通貨系のアプリをトロイの木馬化して感染を広げることを試みます。えー

 

Windowsで培った技術をmacOSに適用してきた感じでしょうか?ムキー

 

 

悪人同士の暗闘: Emotetがハックされる

以前記事で、Emotetが復活したことをお伝えしましたが、新たな展開がw

Yuri_BによるPixabayからの画像

 

Hacker Replaced Emotet Payloads With GIF Images

 
この記事によると、復活したEmotetのボットネットが、何者かによってハックされてきているということが判明しました。びっくり
 
Emotetはハックしたデバイス(PCやサーバ)をネットからコントロールして、ペイロード(マルウエアの本体、実行可能なプログラム)を流し込み、様々な脅威行動を引き起こします。ランサム行動を起こしたり、メールを勝手に送ったり、あらゆることができます。
 
ところがEmotetが構成しているボットネット自体がセキュアではなく、単純なパスワード認証しかなく、それも共通パスワードを使っていたということで、このボットネットを構成しているデバイスをさらにハックするハッカーが存在するようです。
 
ハッカーは、GIFイメージファイルにマルウエアペイロードを仕込んで、Emotet上にあるペイロードから置き換えてしまいます。これによって配布されたペイロードが実行されると、Emotetネットワークがハッカーのネットワークとして機能することになり、まぁ、乗っ取りですねグラサン
 
それに気づいたEmotetのオペレータは躍起になってハッカーを封じ込めようとして、Emotetからの脅威行動が一旦収まったようです。ニヤリ
 
しかし、最終的にはハッカーを排除して、Emotetはまた、フィッシングメールを送り始めているようです。ガーン
 
なかなか、悪人同士の暗闘が表にでることはありませんが、面白い記事でした。
 
備忘録:
 
 

悲報: 多くの企業のプログラムソースコードがネットにさらされる。任天堂も!

連休はいかがお過ごしでしたでしょうか?

天気にも恵まれず、、とは言え、1日中アウトドアで過ごしたりして、、ブログはお休みしておりましたw

 

さて、その間になにがおこったかというと、大きなニュースが入っていましたね。

 

Source code from dozens of companies leaked online

 
さらされた企業
Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (owned by Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; 
 
マイクロソフト、アドビ、任天堂が入っています。
比較的ハードウエアベンダーが多いですかね?
 
Tillie Kottomannというソフト開発、リバースエンジニアの方がネットに上がっていることを見つけました。
GitLab上で、
“exconfidential” 
もしくは
“Confidential & Proprietary,” 
でリポジトリが登録されています。
 
実際に上がっているコードは、公開情報であったり、かなり古いコードもあります。
価値がどこまであるかは見えませんが、記事でも主張していますが、DevOpsツール(SonorQube)の設定がセキュアではないことが一番の原因であると。
 
前回記事にしましたがDevOpsないし、クラウド上でのインスタンスの置き方の設定を誤ると、簡単に情報をさらしてしまうことになります。
 
ほかにも任天堂のソースコードがリークされた記事もありますね。
マリオブラザース、ゼルダの伝説、ポケモンとか。。。
 
開発コードは、完成品ではないので、そのままでは使えないと考えてはいけません。
 
攻撃する側にはメリットがあります。
完成したコードではなくても、分析をすれば、脆弱性のヒントが隠されている可能性があります。完成コードではFixされているかもしれませんが、していないかもしれません。攻撃をトライするでしょう。
もうひとつは、セキュアではないDevOpsツールに入り込み、ソースコードにマルウエアを組み込ませることが可能となります。
そのままマルウエアが仕込まれたまま、完成コードとしてリリースされた場合、影響は大きなものとなるでしょう。
最初からバックドアを仕掛けられてデータを盗まれたり、攻撃者の手先となってしまうかもしれません。
 

Twilio ハックされる:クラウドにリソースを置くときはちゃんとセキュアに

あたたた。

いま、勢いよく、組織内のリソースをクラウドへシフトしつつあります。

コロナ禍のため、その動機は十分すぎるほど。

AWSだの、Azureだの、GCPだの、、やっぱり国産だの。。

 

でもどんなところにおいてもセキュリティをきちんと押さえておかないと、えらい目にあいます。

 

Twilio: Someone waltzed into our unsecured AWS S3 silo, added dodgy code to our JavaScript SDK for customers

 
SMSとかを使ったシステムの裏でTwillioが動いている可能性は日本でもあります。結構実装が簡単なので。。。
困ったことに、顧客向けJavaScript SDKのソースコードを保管しているAWS S3バケットのセキュリティが適切ではなく、簡単に見れるようになっていたことによって、ソースコードを改ざんされていたことが判明しました。
 
 
これもS3バケット・・・
 
クラウド上でシステムを構築する際には、クラウドの特性を考えてそれぞれのインスタンスをセキュアにする必要があります。
単に「インスタンスを立ち上げて、使えればいいや」では、簡単にハックされます。
 
最初はまだ慎重に展開すると思いますのでいいのですが、徐々にシステムの規模が大きくなったり、開発プロジェクトが増えたりしていくうちに隙間ができてしまうことがあります。
いくつもの開発プロジェクトが走る、何が何だかわからない。だれがこのインスタンスを立ち上げたのか?とか、スケールアウトのスクリプト勝手に作って会ったり。。
開発ルールを策定しても、ずっと守れるものか?疑問がでてきます。
セキュアなクラウドリソースの構築を支援するツールは出てきていますので、そのようなツールを活用しながら、セキュアにしていくのが現実的かと思います。開発からリリースまで、いわゆる上流から下流にかけて、すべてのリソースをセキュアにしていくことが望まれます。開発段階の場合が一番セキュリティに甘くなる傾向があります。Webアプリを開発する方は、クラウド利用のセキュリティにも注意しましょう。
 
今回は、ユーザのアクティビティをトレースするようなものだけで、マルウエアを仕込むとか悪質なソースが埋め込まれていませんでしたので、幾分ラッキーかと思います。