ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
- 事件、事故
- 攻撃、脅威
- Aon が正規のインストーラを悪用して EDR を回避する攻撃手法について報告
- Akamai が GeoVision 製 IoT 機器の脆弱性を悪用する Mirai 亜種の攻撃活動について報告
- Proofpoint が日本の組織を狙う CoGUI フィッシングキットの攻撃活動について報告
- urlscan.io がフィッシングキットを利用した日本のサイトを狙う攻撃活動について報告
- Symantec が Play ランサムウェアによる Windows のゼロデイ脆弱性を悪用する攻撃活動について報告
- Mandiant が攻撃者グループ UNC3944 による攻撃活動について報告
- Google がロシアの攻撃者グループ COLDRIVER による攻撃活動について報告
- 脆弱性
- その他
事件、事故
NSO Group に対して WhatsApp へ $168M の賠償金支払いを命じる判決
(5/6) Winning the Fight Against Spyware Merchant NSO
(5/6) NSO Group must pay more than $167 million in damages to WhatsApp for spyware campaign | TechCrunch
ポーランドの法執行機関が 6つの DDoS 攻撃代行サービスの運営に関与した 4人を逮捕。米国でも 9つの DDoS 攻撃代行サービスのドメインを差し押さえ
(5/7) DDoS-for-hire empire brought down: Poland arrests 4 administrators, US seizes 9 domains | Europol
米司法省が 2つの Proxy サービスを摘発
The Indictment alleges that a botnet was created by infecting older-model wireless internet routers worldwide, including in the United States, using malware without their owners’ knowledge. The installed malware allowed the routers to be reconfigured, granting unauthorized access to third parties and making the routers available for sale as proxy servers on the Anyproxy.net and 5socks.net websites. Both website domains were managed by a company headquartered in Virginia and hosted on computer servers worldwide.
(5/9) Classic Rock: Hunting a Botnet that preys on the Old - Lumen Blog
攻撃、脅威
Aon が正規のインストーラを悪用して EDR を回避する攻撃手法について報告
(5/5) Bring Your Own Installer: Bypassing SentinelOne Through Agent Version Change Interruption
Aon’s Stroz Friedberg Incident Response Services (“Stroz Friedberg”) observed a method used by a threat actor to bypass SentinelOne Endpoint Detection and Response (“EDR”). This method circumvents SentinelOne’s anti-tamper feature by exploiting a flaw within the upgrade/downgrade process of the SentinelOne agent, resulting in an unprotected endpoint. In response to this attack pattern, SentinelOne provided mitigation steps to their clients and assisted Stroz Friedberg with a disclosure of this attack pattern to other EDR vendors. Customers of SentinelOne should review the remediation guidance to ensure they are protected.
(5/6) Protection Against Local Upgrade Technique Described in Aon Research
Akamai が GeoVision 製 IoT 機器の脆弱性を悪用する Mirai 亜種の攻撃活動について報告
(5/6) Here Comes Mirai: IoT Devices RSVP to Active Exploitation | Akamai
The Akamai Security Intelligence and Response Team (SIRT) has identified active exploitation of command injection vulnerabilities CVE-2024-6047 and CVE-2024-11120 against discontinued GeoVision Internet of Things (IoT) devices.
Proofpoint が日本の組織を狙う CoGUI フィッシングキットの攻撃活動について報告
(5/6) CoGUIフィッシュキット、数百万のメッセージで日本を標的に | Proofpoint JP
プルーフポイントは、日本の組織を標的とした日本語による大規模なキャンペーンの増加を確認しており、同社のリサーチャーが「CoGUI」と呼ぶフィッシングキットを配布することを目的としています。観測されたキャンペーンのほとんどは、Amazon、PayPay、楽天などの人気消費者ブランドや決済ブランドを悪用したフィッシング誘導が行われています。
urlscan.io がフィッシングキットを利用した日本のサイトを狙う攻撃活動について報告
Since October 2024, we have observed a phishing kit impersonating dozens of Japanese commercial entities, primarily companies in the financial services sector. The phishing kit will impersonate the website of these organizations and their brands with the goal of obtaining valid login credentials of legitimate users of these sites.
We are currently tracking this activity under the name Oriental Gudgeon due to its suspected Chinese origin. Oriental Gudgeon has recently expanded its targeting to include more than 40 Japanese companies.
Symantec が Play ランサムウェアによる Windows のゼロデイ脆弱性を悪用する攻撃活動について報告
(5/7) Ransomware Attackers Leveraged Privilege Escalation Zero-day | Symantec Enterprise Blogs
Attackers linked to the Play ransomware operation deployed a zero-day privilege escalation exploit during an attempted attack against an organization in the U.S. The attack occurred prior to the disclosure and patching of a Windows elevation of privilege zero-day vulnerability (CVE-2025-29824) in the Common Log File System Driver (clfs.sys) on April 8, 2025.
Mandiant が攻撃者グループ UNC3944 による攻撃活動について報告
(5/7) Defending Against UNC3944: Cybercrime Hardening Guidance from the Frontlines | Google Cloud Blog
Google がロシアの攻撃者グループ COLDRIVER による攻撃活動について報告
(5/8) COLDRIVER Using New Malware To Steal Documents From Western Targets and NGOs | Google Cloud Blog
脆弱性
CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1+2 個の脆弱性を追加
(5/5) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2025-3248 Langflow Missing Authentication Vulnerability
(5/6) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2025-27363 FreeType Out-of-Bounds Write Vulnerability
(5/7) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2024-6047 GeoVision Devices OS Command Injection Vulnerability
- CVE-2024-11120 GeoVision Devices OS Command Injection Vulnerability
Android が複数の脆弱性を修正。すでに悪用が確認されている脆弱性を含む。
(5/5) Android Security Bulletin—May 2025 | Android Open Source Project
Note: There are indications that CVE-2025-27363 may be under limited, targeted exploitation.
SonicWall の SMA100 シリーズに複数の脆弱性。すでに悪用を確認
(5/7) SonicWall SMA100 SSL-VPN Affected By Multiple Vulnerabilities | Security Advisory
(5/7) Multiple vulnerabilities in SonicWall SMA 100 series (FIXED) | Rapid7 Blog
SonicWallのSMA100シリーズでユーザ権限を持つ攻撃者が機器をデフォルト状態に戻し管理者権限でログインできる脆弱性CVE-2025-32819がゼロデイとして観測。グローバルで7600台、日本国内で518台を発見しました。最近、古い脆弱性も含めてSMA100への攻撃情報が連続してます。https://t.co/CsanGV0r6m pic.twitter.com/QMjjwxk281
— nekono_nanomotoni (@nekono_naha) May 9, 2025
