1714358400
2024-04-29 02:29:00
Infosec の概要 彼らは太陽光が最良の消毒剤だと言いますが、Discord のデータ収集サイト Spy.pet の場合はそれが真実だったようです。このサイトは、その存在と目的が知られるようになった後、最近迅速に解体されました。
これまで行われてきたサイトは、 Discordユーザーに関する公開データを盗み出す 昨年の11月以来、このプラットフォームには14,000以上のDiscordサーバーから約6億2,000万人のユーザーに属するメッセージが含まれていることが発見され、先週世界中に知れ渡った。
Spy.pet は、あらゆるデータを有料で入手できました。Spy.pet は、法執行機関、友人をスパイしている人々、さらには AI モデルのトレーニングを支援することを申し出ました。
Spy.pet が発見されたとき、Discord は利用規約に違反した者に対して措置を講じるよう取り組んでいるが、それ以上の情報を共有することはできないと述べました。
状況はもう少し明確になりました。
Discordの広報担当者は「当社のサービスのスクレイピングとセルフボットは利用規約とコミュニティガイドラインの違反である。提携アカウントの禁止に加え、適切な法的措置を検討している」と語った。 「Spy.pet Web サイトに関係していると思われる特定のアカウントを特定しましたが、その後、このアカウントを禁止しました。」
スクレイピングは、オープンな Discord サーバーにアクセスするアカウント、またはアクセスしやすい招待リンクを持つアカウントによって行われたようです。 Spy.pet オペレーターは、一度侵入すると、他のユーザーと同じデータにのみアクセスできるため、少なくとも理論的には、アップロードされた情報はいずれも重大な機密情報ではありませんでした。
Spy.pet がアクセスを要求した Discord サーバーの数が増加し始めました。 落とす 先週の木曜日にゼロになる前の週。 金曜日までにSpy.petウェブサイト自体が機能しなくなったが、Discordの行為のせいでサイトがオフラインになったのか、それとも運営者が失踪しようとしているのかは不明だ。
Spy.pet 管理者に属するとされる Telegram プロフィールによると、Web サイトは 一時停止中 先週の金曜日ですが、管理者はバックアップ ドメインを機能させる計画を立てています。 復元されていないようです。 まだ。
今週の重大な脆弱性
OT の世界で働いているのでなければ、あまり報告することはありません。 その場合、今週は注意すべき脆弱性がいくつかあります。
- CVSS 9.1 – 複数の CVE: Honeywell Experion PKS、LX、PlantCruise、Safety Manager、および Safety Manager SC ソフトウェアには、RCE やその他の悪用を可能にする多くの問題が含まれています。
- CVSS 8.9 – 複数の CVE: Hitachi Energy Mach SCM はコード生成を不適切に制御しており、任意のコードの実行を可能にしています。
- CVSS 8.7 – CVE-2024-2424: Rockwell Automation 5015-AENFTXT イーサネット/IP アダプタが入力を不適切に検証しているため、攻撃者が影響を受けるデバイスをクラッシュさせる可能性があります。
既知の脆弱性の 1 つが今週活発に悪用されています。それは、すべてのプラットフォーム上の CrushFTP 10.7.1 および 11.1.0 より前のすべてのバージョンにおけるサーバー側のテンプレート インジェクションの脆弱性です。 脆弱性、 CVE-2024-4040、CVSS スコア 10.0 が与えられているため、できるだけ早くパッチを適用してください。
CDN キャッシュ サーバー: マルウェア ドロッパーを隠すための新しい注目の場所
情報窃盗者? チェック。 悪意のあるホスト ファイル? もチェックしてください。
防御ソフトウェアを騙したい場合は、ペイロードを CDN キャッシュ サーバーに隠してみてはいかがでしょうか?
Talos 脅威インテリジェンスの研究者が発見した 証拠 2月から実施されている、まさにそれを実行する情報窃盗キャンペーンの様子。 CoralRaider グループのベトナムの脅威アクターによって運営されていると考えられているこのグループは、Cryptbot、LummaC2、Rhadamanthys という 3 つの有名な情報窃取マルウェア パッケージを使用して汚い仕事を行っています。
Talos 氏は、リクエストの遅延を回避し、「ネットワーク防御者を欺くため」にすべてが CDN サーバーに潜んでいると説明しました。
攻撃や IOC などの追加詳細はすべて Talos のレポートに含まれています。
被害者は米国、英国、ドイツ、日本、その他世界中の国で見つかっている。 いずれのケースでも、被害者は悪意のあるコードを含む映画ファイルをインターネットからダウンロードしていることが判明しており、これは業種や場所を超えてユーザーに対する広範な攻撃の可能性を示していると Talos 氏は述べています。
マルウェアを配信するためにウイルス対策アップデートがハイジャックされる
インドの読者は注意してください。地元のウイルス対策製品 eScan のアップデートがハイジャックされ、かなり厄介な GuptizMiner マルウェア スイートが配信されています。
アバストの研究者 発見した 顧客のコンピュータ上の eScan 更新リクエストからのいくつかの異常な応答に気づいた後、キャンペーンを開始しました。 彼らが気づいたことをさらに詳しく調べたところ、北朝鮮のAPT Kimsukyに関連していると考えられているGuptiMinerに関係する何者かが、アップデートプロセスの不安定性を悪用して中間者攻撃を実行していたことが判明した。正規のファイルと悪意のあるファイル。
「eScan はパッケージを解凍してロードし、DLL は eScan のクリーン バイナリによってサイドロードされます。この DLL によって、チェーンの残りの部分が有効になり、その後に複数のシェルコードと中間の PE ローダーが続きます」とアバストは説明しました。
残念ながら、アバストは関与した犯罪者が何をしていたかを明らかにすることはできましたが、研究者は MITM 攻撃がどの程度正確に実行されたかを正確に判断することができませんでした。
アバストは「被害者のデバイスまたはネットワークに何らかの感染前状態が存在していたはずだと推測している」と述べたが、それ以上の推測は控えた。
eScan によれば、この問題は昨年 7 月のソフトウェア アップデートで修正されたため、インストールを怠らないようにしてください。 ®
#Discord数百万人のユーザーを覗き見していた #Spy.pet #サイトを解体 #Register
