ANTC 脅威インテリジェンス セキュリティ情報 2020 年第 38 週
情報セキュリティニュース
最近、中国・寧寧省の高等人民法院は、新しいタイプのインサイダー取引事件を公に審理した。 被告のZhu Xiaohaiは、「トロイの木馬ウイルス」を作成し、多くのファンド会社や証券会社のシステムに侵入し、取引指示や内部情報を盗み、約180万元を不正に得た。
この事件は、証券犯罪の新しいタイプであり、以前は比較的まれであり、裁判の過程は波を折った。 一審の結果、Zhuは3年1ヶ月の懲役刑を言い渡され、1800万元以上の罰金を科された。 これに対し、Zhuは控訴し、検察は事態が深刻であり、3年の刑期を5年以上に変更する必要があると訴えた。 これに対し、中国・寧寧省の高院は、事件は困難で複雑だと考え、判決を言い渡す予定であると発表した。
2,400台を超えるコンピュータを操作し、100万以上の違法な利益を上げています
この事件は、Hulu Island中央裁判所によって検討され、2004年から2016年の間に、被告のZhu Xiaohaiは、トロイの木馬ウイルスを作成し、使用し、他人のコンピュータ情報システムに不法に侵入し、制御し、関連するコンピュータによって保存されたデータを不正に取得しました。
その間、被告は2474台のコンピュータ情報システムを不正に管理し、Huaxia Fund Amitedなどのファンド会社のコンピュータシステムから不正に取得した取引指示を利用して、関連する株式取引から利益を得て、合計183億5700万元を不正に得た。
また、2009年、Zhuはトロイの木馬ウイルスを使用して、Citic Security Co., Ltd.からCITICネットワーク第1号覚書の「長寛買収契約条項」などの内部情報を不正に入手し、機密情報関連株式に対応する取引を行い、機密情報関連株式の取引を行い、19687.95元を不正に得た。
Hulu Island中央裁判所は、被告のZhu Xiaohaiがコンピュータ情報システムデータの不正取得、コンピュータシステムの違法制御、インサイダー取引の罪で有罪とし、3年1ヶ月の懲役刑と1809.8万元の罰金を科した。
検察は、3年の刑期を5年以上に変更する必要があります
一審判決後、Hulu Island市人民検察院は、被告のZhu Xiaohaiが犯したインサイダー取引の犯罪は、特に重大な状況であり、5年以上10年以下の懲役刑に処せられると判断し、抗訴した。 ライオニン省人民検察院は、Hulu島市人民検察院が提出した抗訴意見を支持した。
一方、被告のZhu Xiaohaiは、罰金の過大な量、コンピュータ情報システムデータへの不正なアクセス、コンピュータシステムの違法な制御、インサイダー取引の犯罪が関与し、重罪で処罰される、と控訴した。 裁判では、弁護側は、上記の紛争の焦点、事実の認定、および適用法についてそれぞれ意見を述べた。 この事件は証券先物の新しいタイプの犯罪であるため、事件は困難で複雑であり、ライオニン省の高院は判決を言い渡す。
上海新古法律事務所のワン・ワイタオは、インサイダー取引の疑いのある取引量と情報の盗難が特に深刻な状況を構成し、量刑が格上げされたため、検察官がインサイダー取引の一部に対して量刑の増加を要求したと考えている。
一方、新証券法を施行し、情報開示を中心とした登録制度を円滑に推進するためには、インサイダー取引や市場操作などの犯罪行為にも重点を置く必要があります。
資本市場における違法行為に対する「ゼロ・トレランス」は、規制の常に必要な作業要件です。 統計によると、2020年上半期、SFCは金融偽造や市場操作、インサイダー取引などの行為を厳しく取り締まり、165件の新規事件を公安機関に移送し、59件を公安機関に移送し、98件の行政罰を科し、総額38億3900万元を罰金に処した。 同時に、新しい証券法は、資本市場の違法行為に対する罰則を強化しました。
弁護士:関係機関は、システムを強化する必要があります
「インサイダー情報漏えいやインサイダー取引などの犯罪は、通常、人から人への拡散であり、データベースを盗用するコンピュータ犯罪は、インサイダー情報の漏洩を構成することはまれです。 弁護士のソン・ジシンは、証券会社やファンド会社にとって、システム保護を強化し、ハッカーの侵入は確かに痕跡を残し、データベース保守員はシステム検証を強化できる、と語った。
上海創遠法律事務所のXu Feng弁護士は、この事件の特殊性は、インサイダー取引のアクターが金融機関のコンピュータシステムに不法に侵入し、インサイダー情報を盗むことによって利益を得ているという事実にあると考えている。
Xu Feng 氏によると、これは金融機関の情報システムのセキュリティに対する警告だ。 さらに、上場企業のコンピュータ情報システムは、金融機関よりもハッカーに対して脆弱であり、犯罪者が盗難によって重要な情報を取得し、インサイダー情報漏洩のリスクを生じさせ、証券規制当局や上場企業のインサイダー情報管理に新たな課題をもたらします。
参照元:
https://www.freebuf.com/news/250619.html
第二に、新しいインフラの潮流の下でネットワークセキュリティ:インテリジェントな製造は混合されています
新しいインフラの波が押し寄せ、デジタルは100の産業を活性化します。 先週開催された2020 Hefeiサイバーセキュリティ会議では、中国工学院、新華三、中国テレコム、IDCなど、さまざまな分野の業界専門家が集まり、新インフラの潮流の中でサイバーセキュリティについて十分に議論しました。 この高度に統合されたプラットフォームとプラットフォームの深い相乗効果を背景に、中国工学院のリー・ベーコンは、5G、AI、ビッグデータ共有、インテリジェント製造などの主要なトピックが人間の生活にもたらした利便性を共有しています。
インテリジェントなサービス シナリオでは、AR はより没入型エクスペリエンスを提供し、取得した産業ビッグデータの取得、分析、およびその他の処理を行うことができます。 遠隔相談のシナリオでは、5G+MRは数百キロメートル間のオフサイトのリアルタイムの専門家の外科指導を可能にする。
しかし、リー・ベーコンの学者は、一見平凡な時代は、水の下に隠された懸念にも言及しました。 新しい技術に付随する前例のない課題です。
ネットリンクがハッキングされ、深刻な交通事故を引き起こす可能性があり、重要なインフラが攻撃され、国家の安全レベルまで上昇することさえある。 デジタル技術は、人間と物の両方をオンライン要素に変え、新しいインフラはインテリジェントな時代のための巨大な生存基盤ネットワークを織ります。 この時点では、ネットワーク上のどのノードも単独では機能しにくいため、セキュリティの問題は個人に影響を与えるだけでなく、大規模な "感染" を引き起こす可能性があります。
数十億ドル相当のセキュリティの脆弱性
トイレでも識別カードをスワイプする必要があり、カーディナリーのセキュリティ意識はすでに高い水位にありますが、それでも大きな損失ウイルス攻撃は避けられません。
2018年。 「ソフトウェアのインストール中に新しいマシンが操作ミスを犯した」ので、ウイルスは、新しいマシンが社内コンピュータネットワークに接続されているときにウイルスが拡散し、最大3日間、最も重要な3つの生産拠点が崩壊しました。 それに応じて、生産ラインの顧客製品も影響を受けます。 この時点で、キトマは、Apple が今秋に発売する予定の新しい iPhone 用のチップの製造に全力を注いだ。
謙虚なサイバーセキュリティギャップは、トスペースに数十億ドルの深刻な損失をもたらすだけでなく、バタフライ効果によってより大きなリスクを引き起こす可能性があります。
2019年、ノルウェーのアルミニウム生産会社Norsk Hydroもランサムウェア攻撃を受けた。 この攻撃は押出事業に影響を与え、アルミニウムドア、窓、ファサード製品の開発・販売部門が停滞し、最終的には4000万ドルの損失を被った。
セキュリティ インシデントは、裸の問題を解釈します: サイバー攻撃は、このような無防備で無防備です。 そして、この巨大な脅威が製造業を狙っている兆しがある。
製造業はサイバー犯罪の「香り」になる
NTT Securityが発表した「グローバル脅威インテリジェンスレポート2017」では、製造業(13%)が金融(14%)、政府(14%)と最も脆弱な3つの産業となっています。 Vectra の 2018 年の業界フォーカス レポートによると、製造ネットワーク内の監視と水平移動攻撃の発生率は、通常よりも高いです。 最新のグローバル脅威インテリジェンス レポート 2020 では、昨年の IoT 攻撃が続き、製造業が最もリスクの高い産業になったと再認識しています。
製造業はなぜサイバー犯罪者の目に「香り」になるのか?
第1に、製造業は、近年横行するランサムウェア攻撃にとって理想的なターゲットです。 業界属性は効率を決定するため、時間はビジネスにとって生産性です。 さらに、製造業の生産ラインは、通常、流水であり、1つのリンクの問題は、全体の行き詰まりにつながる可能性があり、損失は巨大であり、これはセトリングのケースから解釈することができます。 したがって、これらのランサムウェア攻撃に直面して、製造業者はサイバー犯罪者に高い身代金を支払うことを余儀なくされ、生産ラインの再開のみを求める可能性があります。
さらに、攻撃率は近年著しく上昇しており、その最も重要な原因はインテリジェンスの原動力です。 統計によると、技術レベルが高い企業は、悪意のある攻撃や制御に対して脆弱です。
大きな背景から見ると、トレンドレベルでは、近年、「ABCD」に代表される最先端の技術が急速に産業に浸透し、インダストリーズ4.0の革命的な旅が始まった。 政府は、供給側改革や新インフラなどを推進し、「製造大国」から「製造大国」から「知的創造力」への転換を推し進めています。
スマート製造のセキュリティリスクハイツ
最も重要なのは、インテリジェント製造は、クラウドコンピューティング、ビッグデータ、モノのインターネット、生産製造リンクとインターネット情報システムを接続し、リソース統合共有、生産インテリジェンス自動化を必要とするため、従来の製造業の閉鎖的な環境を打破することです。
環境開放は高い生産能力をもたらし、同時に、多くの攻撃の隠れた危険も製造業に参入しました。 Vectra の 2018 年の業界フォーカス レポートでは、製造ネットワークはスマート デバイスやマシンと通信する多くのゲートウェイで構成されており、サイバー攻撃者はポイント・バイ・ポイント・デバイスで使用されるのと同じ自己検出を使用して、製造ネットワークをマッピングして、盗難や破損の重要な資産を見つける可能性があります。 ハードウェア機器、制御システム、ネットワーク層セキュリティ、人材管理、APT、産業用クラウド、データは、インテリジェントな製造リンクにおけるセキュリティ警戒ゾーンです。 要約すると、リスクハイツは、主に4つの主要なカテゴリに分類されます。
第1は、チップや組み込みオペレーティングシステムなどのハードウェアデバイスレベルのセキュリティ問題です。 なぜなら、製造会社が製品パラメータを制御する「バックドア」を持つ機器を購入した場合、犯罪者はパラメータを微調整する必要があり、機器加工製品は欠陥があり、深刻な場合には生産がクラッシュする可能性があります。
第2に、産業用クラウドプラットフォームのセキュリティ攻撃、産業用インターネットビジネスの運用を支えるアプリケーションソフトウェアやプラットフォームのセキュリティ、そしてもちろん、5G時代の新たな脅威を含む産業ネットワークなど、ネットワークおよびソフトウェアレベルのセキュリティリスクです。 制御プロトコル、制御プラットフォーム、制御ソフトウェアなど、設計の初期段階で制御ソフトウェアの整合性の欠如、入力検証、ライセンス、承認、アクセス制御の厳密さ、暗号化アルゴリズムの時代遅れなどの問題があります。
第 3 に、データ レベルでのセキュリティの課題です。 スマートマニュファクチャリングプラントは、社内生産管理データや外部ユーザーデータなど、大量のデータを保有しており、オープン環境での漏洩や改ざんなどのセキュリティリスクにさらされています。 「社会5.0では、接続は資本ではなく、データによって推進されています」と、リー・ベーコンはスピーチで言いました。 「データの無限の価値を語ります。 社会5.0は、日本が提唱する新しい用語であり、「第4次産業革命」の世界的な動きと情報通信技術のさらなる発展の産物です。 もちろん、これは製造業の次の発展にも重要な意味を持ちます。
第4に、人材管理レベルの課題です。 また、Vectra のレポートでは、製造業の悪意のある内部行動が他の垂直産業よりも横行し、攻撃者がネットワーク内を標的にしていることも明かされています。 高度に発達したインテリジェントな開発は、企業内のすべてのポストの人員の質のための特定の要件を持っています。 しかし、実際には、多くのベンダーのスタッフは、十分なセキュリティ意識を持っていないと、簡単に「無意識」のリークにつながる可能性があります。 また、よく言いますが、日防も防がれ、泥棒は防がれにくいです。 インテリジェントな製造ネットワークの複雑さにより、産業システムの破壊、マルウェアの拡散、作業の異常の無視など、「内部幽霊」や「意識的な」行動も発生しがちです。
「積極的な攻撃」に関する方法論
新しいインフラの下では、スマートマニュファクチャリングは高速車線に向かっていますが、安全問題のために急ブレーキをかけることができないので、持続可能な開発に基づいて適応し、安全対策を改善することは急務です。
第1の方法論は、「産業制御システムの情報セキュリティ管理の強化に関する通知」や「産業制御システムの情報セキュリティ保護ガイドライン」など、関連法令を厳格に実施し、産業システムに関する管理・運用の詳細を継続的に更新・改善することです。
また、中国工学院の学者であり、中国電子のチーフサイエンティストであるFang Binxingは、オープンスピーチでマクロ的な観点から、インテリジェント製造の安全性は、認識論、進化論、実践理論、相対性理論、方法論、矛盾理論の6つの視点から見るべきであると提案した。 新技術は、新しいセキュリティ問題を伴うので、製造企業は、動的で包括的な予防ケアの概念を確立する必要があります。 同時に、インテリジェント製造セキュリティは、ユーザー、企業、サプライヤー、セキュリティベンダー、業界団体、評価認証、規制当局など、あらゆるレベルから集約されたセキュリティサービスプラットフォームを構築し、セキュリティチェーンを形成する必要があります。
企業は、安全な運用と運用センターを確立し、また、良いイニシアチブプログラムです。 センターは、企業の安全データベースを構築し、産業ビッグデータを使用して工業生産の故障を予防し、生産リンクの異常を特定することを目的としています。 日が経ち、センターは徐々に仮想「セキュリティ専門家」になります。 Gartner の予測によると、工業企業による安全な運用センターの設置は傾向にあり、2020 年までに 40% の企業が安全オペレーション センターを設立すると予測されています。
一言で言えば、製造企業にとって最も重要なことは、迅速な対応能力です。 デジタル化とインテリジェント化が各産業に浸透する過程を通じて、製造業のアップグレードは受動的なペースが遅い。 しかし、変革の探求と新たなセキュリティの脅威が並行して行く現状に直面し、製造業界は後見を避け、インテリジェントネットワークの全体的状況に立ち、徐々に積極的な保護意識と対策を確立する必要があります。 さもなければ、小さな穴は「ラクダ」を押しつぶすわれになる可能性が高いです。
参照元:
https://www.freebuf.com/news/250698.html
重要な脆弱性のアドバタイズメント
01
大関NG SMSゲートウェイ CSVのディケズ
Ozeki NG SMSゲートウェイは、強力で信頼性が高く、柔軟なSMSゲートウェイアプリケーションです。
Ozeki NG SMS Gateway 4.17.6 以前の連絡先エクスポート機能に CSV インジェクションの脆弱性が存在します。 攻撃者はこの脆弱性を悪用し、ダウンロードした CSV ファイルを開いたユーザーに代わって、被害を受けたコンピュータでコマンドを実行する可能性があります。
脆弱性の影リング顔
Ozeki Ozeki NG SMS Gateway <=4.17.6
高リスク
回避策
ベンダーは、脆弱性を修正するためにアップグレード パッチをリリースしています。
http://www.ozeki.hu
参照元:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-53531
02
corel PDF Fusion に dll ハイジャックの脆弱性が存在します
脆弱性の概要
Corelは1985年に設立され、カナダのオタワに本社を置き、米国、英国、ドイツ、日本、中国、台湾に支店を持つ専門マルチメディアアプリケーションのリーダーです。
corel PDF Fusion には、攻撃者がサーバーの管理者権限を取得する可能性のある dll ハイジャックの脆弱性が存在します。
脆弱性の影響面
脆弱性レベル
高リスク回避策
ベンダーはまだ修正を提供していないので、ベンダーのホームページの更新に従います。 https://www.corel.com/cn
参照元:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-51477
03
IBM Data Risk Manager の任意のファイルアップロードの脆弱性
脆弱性の概要
IBM Data Risk Manager 2.0.6 に任意のファイルアップロードの脆弱性が存在します。 この脆弱性は、ファイル拡張子の不適切な検証が原因で発生します。 リモートの攻撃者は、特別に細かされた HTTP 要求を送信して、この脆弱性を利用して悪意のあるファイルをアップロードし、システム上で任意のコードを実行する可能性があります。
IBM IBM Data Risk Manager 2.0.6
高リスク
ベンダーは脆弱性修正をリリースしました。
https://www.ibm.com/support/pages/node/6335281
参照元:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-53521
最新のマルウェア通知
1.Glupteba マルウェアは、政府機関に機密情報を盗み出します
Darktrace は最近、Glupteba マルウェア アクティビティを発見し、パスワード、クレジット カード情報、電子メール アカウントの資格情報などの機密情報をブラウザから盗もうとしました。 イベントでは、悪意のある広告を介して悪意のある端末にユーザーを誘導し、悪意のあるファイルatx777を強制的にダウンロード.exe。 ダウンロード後、デバイスは疑わしい通信チャネルを介して悪意のある端末に暗号化して接続し、別の実行可能ファイルをダウンロードします。 ペイロードが配布されると、マルウェアはインストール環境をチェックし、ホストがサンドボックスであることを検出した場合、次の手順は実行されません。 マルウェアは、Windows Defender から Glupteba ファイルを除外したり、ファイアウォール ルールを変更してコマンドやトラフィックを制御したり、CertUtil などのデバイスにプリインストールされたツールを使用してさらに非表示にしたりすることもできます。
参照元:
https://redqueen.tjun.com/IntelDetails.htmlid=64eaeac5724a41b38806f3832f8be96f
1
2.Cloudflare Workers を C2 インターフェイスとして活用する新しいマルウェア BlackWater
概要
MalwareHunterTeam は、マルウェアのコマンドおよび制御 (C2) サーバー インターフェイスとして Cloudflare Workers を使用しながら、COVID-19 情報伝達を偽装する BlackWater という新しいバックドア ソフトウェアを発見しました。
Cloudflare Workers は、Cloudflare のエッジで直接実行される JavaScript プログラムであるため、リモート Web クライアントからの接続と対話できます。 これらの Workers は、Cloudflare の背後にある Web サイトの出力を変更したり、Cloudflare 機能を無効にしたり、出力を表示するエッジで実行されるスタンドアロンの JavaScript プログラムとして機能したりするために使用できます。
BlackWater は、ReactJS Strapi App を使用してバックエンドチェックを行い、CloudflareWorkers を使用して DLL の JSON ベースのパーサーとサーバーパラメータを直接渡す新しいマルウェアで、C2 スイッチラベルに "blackwater"、"@ black.water"、または "@black64.water" タグが付いています。 これは、攻撃者がコロナ・ヴィラスのアウトブレーク中に前向きな開発を求めていることを示しています。
対応
予防措置: (1) 関連するインジケーターをブロックし、(2) 不明な電子メール メッセージ内のリンクにアクセスしたり、疑わしい電子メールの添付ファイルをダウンロードしたりしないでください。
https://redqueen.tjun.com/IntelDetails.htmlid=ec8078605d70498aa1e7b4260c979fbc
3.Tor2Mineマイニング組織は、トロイの木馬Remcosを広めるために最新の脆弱性を使用してアクティブです
セキュリティ状況認識プラットフォーム SIP は、Tor2Mine マイニング組織による攻撃をキャプチャすると信じています。 グループは、ドイツの消防ボランティアのウェブサイトに侵入し、悪意のあるスクリプトをそのサイトにハングアップし、配布しました。 攻撃は、悪意のあるスクリプトを使用して、侵害されたホストに JuicyPotato、RpcSsImpersonator ツールを移植し、SMBv3 リモート実行脆弱性 (CVE-2020-0796) ツールをダウンロードしてローカルおよびリモートでコードを実行し、リモート スクリプトが Java をダウンロードして展開します 1.8環境とGoldBruteリモートデスクトップブラストプログラムServSVC.exeし、レジストリへの書き込みによる電源オンブートは、永続化の目的を達成し、8月の新しい商用リモートコントロールトロイの木馬Remcos 2.7.0 Proを移植し、リアルタイムで更新します。 対応
対応
予防措置: (1) 関連するインジケーターをブロックします。
参照元:
https://redqueen.tjun.com/IntelDetails.htmlid=1faff4c340d64fbca4712d1efedfe4b0
安全、エコ、インテグリティサービス
「発見」-「見る」に移動し、「友人が見ている」を参照します。