ハニーポットの観測(T-Pot:2022/10/22~)Observation of Honeypot

PC
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は、58万件程度でした。

アクセス上位ポート ①123番 ②445番 ③22番 ④23番 ⑤6379番

6379番ポートは地味に継続的に来てますね。あまり知らないポートですが、調べてみるとRedisを使用するオープンソースの非リレーショナルデータベースのポートのようです。ほとんどは中国からのアクセスです。しかも、気づくのが遅くなりましたが、このハニーポットを運用し始めた時から、ず~っとアクセスが来ていたようです。4年前から攻撃が始まっていたようですね。

{“action”[:]”config set dbfilename red2.so”,”addr”[:]”109.237.97.141:36292″,”level”[:]”info”,”msg”[:]””,”time”[:]”2022-09-30 08:32:57″}
{“action”[:]”MODULE LOAD ./red2.so”,”addr”[:]”109.237.97.141[:]36292″,”level”[:]”info”,”msg”[:]””,”time”[:]”2022-09-30 08:33:04″}

上記のようなログもあり、Redisを活用して攻撃を受けているようですね。

今週のアクセス数上位国 Top countries accessed this week

アクセス上位国 ①アメリカ(123) ②シンガポール(22) ③中国(123) ④ベトナム(445) ⑤インド(445)

今週の攻撃IDパスワード Attack ID & password of the week

10月8日の週からPassword TagcloudにグローバルIPアドレスが載るようになりましたと書きましたが、その週からは必ず載るようになりました。攻撃者のリストに載るようにでもなったのでしょうか?しかもどんどん大きくなってきているようにも思えます。

一週間の出来事

10/24サイバー攻撃。中小企業は危険性を認識しながらも対策が後手に回りがち。10/24
ITmedia
10/26自民公明両党は、国家安全保障戦略で「セキュリティー・クリアランス」制度を導入する方向性を確認した。10/27
京都新聞
10/26徳島県つるぎ町立半田病院のランサムウェアによるサイバー攻撃で、ハッカー集団「ロックビット3.0」は、R3.11.21に3万ドル相当の暗号資産による支払いを受けたと主張。町は東京都内のIT業者に7,000万円を支払いデータ復旧を依頼した。IT業者は「守秘義務があり、コメントできない」と主張。警察庁担当者は、「身代金を支払うべきではない。サイバー犯罪を助長する上、支払ってもデータが復元される保証がない」とコメント。10/27
京都新聞
10/26経済産業省は「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定した。
膨大なブロードキャストパケットにより中央監視盤がダウンしたケース。不正アクセスにより空調機コントローラーのデータが消失したケース。ランサムウェアの感染事例なども収録。
10/26
SecurityNext
10/27日本盛、ランサムウェア被害の侵入経路を明らかにした。
「SSL-VPN製品」の脆弱性を突き、第三者によって「VPN」にログインされた。
9月16日21時ころ最初の攻撃を受け、ランサムウェアが展開された。
9月18日午前セキュリティ製品からアラートメールにより被害が判明。
被害を受けたサーバの台数、攻撃対象となった機器のメーカーは非公表とした。
10/27
SecurityNext
10/27Zoomは、「Zoom Client for Meetngs」において、細工されたURLを開くと任意のネットワークアドレスに接続されてセッションを乗っ取られる(CVE-2022-28763)恐れがある。10/27
SecurityNext
10/28一般的なLinuxサーバで利用されている常駐プログラム「multipathd」に権限昇格の脆弱性「Leeloo Multipath」が明らかとなった。緊急性はないものの、近々詳細が公表予定。「multipathd」は、パスのチェックを行い、障害があれば冗長性などを確保する。認証バイパスが可能となる「CVE-2022-41974」、シンボリック攻撃が可能となる「CVE-2022-41973」が判明。Qualysは、同社が作成したエクスプロイトで、デフォルトの「UbuntuServer22.04」でroot権限を取得することに成功したという。10/28
SecurityNext
10/28印刷物の通信販売サービス「ウイルダイレクト」が不正アクセスを受け、個人情報が流出し、不正利用された可能性を発表。可能性があるのは、2021年1月29日から2022年4月19日にかけて、クレジットカード決済を利用した顧客2426人に関する情報。システムの脆弱性を突く不正アクセスにより、決済アプリケーションを改ざん後情報(クレジットカード名義、番号、有効期限、セキュリティコード)を摂取された可能性。10/28
SecurityNext

コメント