情報セキュリティ速報ロシアの情報機関と関係のある勢力がSignalなどの商用メッセージングアプリケーション上のカスタマーサポートサービスになりすまし、アカウントを侵害してフィッシング攻撃を実行しているとして、FBI およびサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が先週金曜日に警告を発した。
これらの攻撃は、元政府高官、軍関係者、政治家、さらにはジャーナリストなど、高い情報価値を持つ人物を標的としており[光栄です – 編集部]、数千の個別アカウントが侵害され、ロシア人はメッセージの読み取りと送信、および連絡先リストから情報を収集できるようになっている。
攻撃者はアカウントに関連する「不審な活動」についてユーザーに通知するメッセージを送信し、検証プロセスを実行するためにリンクをクリックするよう促している。被害者がクリックしたら、犯人はアカウントを被害者のものに接続するか、ユーザーがあまりにも判断力を欠いて認証情報または2FAコードを送信した場合、アカウント全体を乗っ取る。
Signalはメッセージを交換するための非常に安全な方法のままですが、ユーザーが招待したら、最高のエンドツーエンド暗号化でさえ侵入者を止めることはできない。
FBIとCISAは、攻撃に関する報告書で標準的なフィッシング対策の推奨事項を提供している。
米国がイラン心理作戦に使用された4つのドメインを差し押さえ
米国司法省は、医療技術企業Strykerへのサイバー攻撃の背後にあるイラン関連グループに関連するドメインを差し押さえている。
連邦当局によると、これらのウェブサイトは暴力を扇動し、米国医療技術企業の事業を妨害したことの責任を主張するために使用されたという。ドメインはJusticehomeland[.]org、Handala-Hack.[to]、Karmabelow80[.]org、Handala-Redwanted[.]toであった。
問題の攻撃はMicrosoft Intuneの脆弱性を通じて米国医療技術企業Strykerに命中し、従業員のデバイス上の情報を消去した。イランのハクティビストグループ「ハンダラ」は、国家の情報セキュリティ省(MOIS)の前線組織と見なされており、サイトの1つであるHandala-hack[.]toでStryker攻撃を主張した。
これらのサイトの運営者はまた、イスラエル防衛軍(IDF)のメンバーの個人情報を公開するために使用し、サンザー・ハシディック・ユダヤ人コミュニティから851GBの機密データを盗んだことを主張する投稿をした。
FBI長官カッシュ・パテルは声明で警告した:「このFBIは、これらの臆病な脅迫とサイバー攻撃の背後にあるすべての行為者を追い詰め、米国法執行機関の全力を彼らに対して向ける。」
しかし、ハンダラを代表すると主張する人物は感銘を受けず、反抗的なメッセージを投稿した。「彼らは私たちのウェブサイトを削除したかもしれませんが、彼らは決して私たちの精神、決意、真実の力を削除することはありません。」
その「真実」は、FBI声明によると、サンザー・コミュニティによる「魔術儀式」の疑惑を明らかに含んでおり、ユダヤ人への暴力を正当化するために使用されている古い反ユダヤ主義の神話を反復している。
銀行サービス会社が67万人にデータ盗難の警告
銀行にサービスを提供する企業マルキスは、67万人以上の人々に対し、昨年8月にランサムウェアギャングによって情報が盗まれたという警告通知を送付した。
その手紙[PDF]は、「私たちは誰で、なぜあなたの情報を持っているのか?」という恐ろしい質問を提起し、その後に会社が金融機関向けのマーケティングプロバイダーであることを説明している。
盗まれたデータには、報告によると、社会保障番号、納税者ID、アカウント情報などの機密情報が含まれていた。
状況を改善しようとする試みとして、マルキスは被害者に対し、個人情報の悪用を監視し、身元盗難を解決することを目的としたEpiq Privacy Solutionsのサービスへの1か月間の無料メンバーシップを提供した。また、「今後12~24か月間に不正な活動がないか、アカウント明細書とクレジット報告書を確認することで警戒を怠らないでください」と被害者に促した。あたかも私たちが既に十分に対処しなければならないことがないかのように。
LeakNetがClickFixソーシャルエンジニアリングを発見
LeakNetランサムウェアグループは、盗まれた認証情報を購入する通常の戦術から移行し、現在はClickFixソーシャルエンジニアリング詐欺を使用している。セキュリティ企業Reliaquestからの新しい報告書によると。
ClickFix(これについては以前取り上げたことがある)は、侵害されたが正当なウェブサイトを通じて配信されるフェイクメッセージを使用して、被害者にrootkitやその他のマルウェアをロードするコマンドを実行するなどのアクションを取るよう説得する。
LeakNetはClickFixを使用して、フェイクの「ロボットではないことを証明する」ダイアログを配信し、ユーザーにWin + Rショートカットでウィンドウズの「ファイル名を指定して実行」ダイアログを開くよう促し、Cloudflare Turnstile検証ページへのリンクのように見えるコマンドを貼り付けさせるが、実際にはmsiexecコマンドを実行する。
そのコマンドは(正当な)Deno ランタイムに基づいて巧妙に偽装されたローダーをダウンロードして実行し、その後、悪いコードをメモリ内で直接実行し、ファイルに焦点を当てたフォレンジック走査技術から攻撃を偽装するのに役立つ。
Reliaquestが警告するこの戦術は、LeakNetが現在の月あたり約3人の被害者の命中率を超えて拡大することを可能にする可能性がある。
サンドボックスではないAWSサンドボックス
セキュリティ企業BeyondTrust Phantom Labsは、AWS Bedrock AgentCoreコードインタプリタのサンドボックスはサンドボックスではないと主張している。アマゾンはこのサービスをサンドボックスモードで実行することで外部アクセスを完全にブロックしたと述べたが、Phantom Labsはパブリックドメイン名システムクエリが通過し、悪意のある外部者が指令統制チャネルを確立してデータを吸い出すことを可能にする可能性があると主張している。
Phantom Labsによると、昨年9月にHackerOneレポートを通じてAWSに問題を通知し、AWSは2025年11月にフィックスをデプロイしたが、後に「その他の理由により」ロールバックしたという。その結果は?12月に、アマゾンはすべての着信トラフィックを完全に制御したい場合は、顧客が仮想プライベートクラウドモードを使用することを推奨するようにドキュメントを更新した。
アマゾンは研究者にAWSギアショップへの100ドルのギフトカードを与えたと、Phantom Labsは述べている。
Stravaが航空母艦の位置を漏らす
フランスの新聞ル・モンドは先週、航空母艦に乗務する水兵がデッキで7キロのランニングに出かけ、スマートウォッチで追跡し、その後、ランニングをエクササイズ追跡サイトStravaにアップロードしたと報告した。
したがって、航空母艦の位置は世界に見えたが、ザ・レジスターは、これが海軍が明かしたくない事実であることを理解している。フランス軍は、大統領エマニュエル・マクロンのボディガードが報告によると、フィットネスアプリで位置情報を漏らしたことを考えると、よりよく知るべきだった。– Simon Sharwood ®
