Dark Pink は中国の APT グループ:ASEAN 諸国の政府機関に KamiKakaBot を配布

Dark Pink APT Group Deploys KamiKakaBot Against South Asian Entities

2023/03/13 InfoSecurity — Dark Pink として知られる脅威アクターが、ASEAN (東南アジア諸国連合) 諸国の複数の政府機関に対する KamiKakaBot マルウェアの配布に関与していたことが判明した。先週に EclecticIQ の研究者たちは、2023年2月に行われた攻撃に関するレポートを公開した。このレポートでは、「この新しいキャンペーンでは、東南アジア諸国の軍事/政府機関に対するソーシャル・エンジニアリングのルアーとして、ヨーロッパと ASEAN 諸国の交流関係が悪用されている可能性が非常に高い。EclecticIQ の研究者たちは、このグループの国籍を特定するだけの決定的な証拠を得ていないが、攻撃者の目的や行動パターンから、Dark Pink は中国の APT グループであろうと考えている」と説明されている。

Continue reading “Dark Pink は中国の APT グループ:ASEAN 諸国の政府機関に KamiKakaBot を配布”

Fortinet FortiOS の深刻な脆弱性 CVE-2022-41328:政府機関への攻撃で悪用される

Fortinet: New FortiOS bug used as zero-day to attack govt networks

2023/03/13 BleepingComputer — 今月にパッチが適用された FortiOS のゼロデイ・エクスプロイトを悪用する未知の攻撃者たちが、政府機関や大規模組織を標的とした攻撃を行い、OS やファイルの破壊と、データ流出を引き起こしているという。2023年3月7日に Fortinet は、不正なコードやコマンドを実行できる深刻な脆弱性 CVE-2022-41328 に対して、セキュリティ・アップデートをリリースしている。

Continue reading “Fortinet FortiOS の深刻な脆弱性 CVE-2022-41328:政府機関への攻撃で悪用される”

GitHub のシークレット調査:2022年には 1000万件の機密情報が新たに漏洩していた

Inside Threat: Developers Leaked 10M Credentials, Passwords in 2022

2023/03/10 DarkReading — 喜ばしいことに、2022年には、パスワードや API キーなどの、ソフトウェアの機密情報が流出する割合が半減しており、GitHub リポジトリへのコミット 1,000件につき 5.5件というレベルになった。今週に、機密管理会社である GitGuardian が発表した 2022 State of Secrets Sprawl に、このような調査の結果が記されている。上記の割合は一見すると小さく思えるが、公開リポジトリに機密情報が漏れる事例は、全体では少なくとも 1000万件も検出され、ユニークな機密としての 300 万件も含まれるという。

Continue reading “GitHub のシークレット調査:2022年には 1000万件の機密情報が新たに漏洩していた”

phpMyAdmin/MySQL/FTP/Postgres が標的:GoBruteforcer というマルウエアが登場

New GoBruteforcer malware targets phpMyAdmin, MySQL, FTP, Postgres

2023/03/10 BleepingComputer — 新たに発見された Golang ベースのボットネット・マルウェアは、phpMyAdmin/MySQL/FTP/Postgres サービスを実行している Web サーバをスキャンして感染させる。 このマルウェアは、Palo Alto Networks Unit 42 の研究者たちに発見され GoBruteforcer と名付けられたが、x86/x64/ARM アーキテクチャに対応しているという。GoBruteforcer は、脆弱な *nix デバイスをハッキングするために、脆弱なパスワードまたは、デフォルトのパスワードを持つアカウントに対してブルートフォースを仕掛ける。

Continue reading “phpMyAdmin/MySQL/FTP/Postgres が標的:GoBruteforcer というマルウエアが登場”

AT&T のデータ侵害:サードパーティ・ベンダーがハッキングされた

AT&T is notifying millions of customers of data breach after a third-party vendor hack

2023/03/10 SecurityAffairs — AT&T が発表し内容は、同社のサードパーティー・ベンダーがハッキングされ、個人情報の一部が漏えいしたことを、数百万人の顧客に通知したというものだ。不正アクセスを受けた CPNI (Customer Proprietary Network Information) とは、顧客が購入した電気通信サービスに関連する情報のことであり、アカウントごとの回線数や顧客が加入しているワイヤレスプランなどのデータが含まれるという。

Continue reading “AT&T のデータ侵害:サードパーティ・ベンダーがハッキングされた”

CISA KEV 警告 23/03/10:VMware の RCE 脆弱性 CVE-2021-39144 を追加

CISA warns of critical VMware RCE flaw exploited in attacks

2023/03/10 BleepingComputer — CISA が新たに KEV カタログに追加したのは、VMware Cloud Foundation に存在する深刻な脆弱性であり、野放し状態での悪用が確認されているものだ。この欠脆弱性 CVE-2021-39144 は、VMware 製品で使用されている XStream オープンソース・ライブラリに起因するものであり、VMware の評価による深刻度スコアは 9.8 となっている。ユーザーの操作が不要な、低複雑度の脆弱性を悪用する未認証の脅威者は、パッチ未適用のアプライアンス上のルート権限で、リモートから任意のコードを実行可能になるという。

Continue reading “CISA KEV 警告 23/03/10:VMware の RCE 脆弱性 CVE-2021-39144 を追加”

Xenomorph は最凶のバンキング・トロイの木馬:侵入後の不正送金まで自動化している! 

Latest version of Xenomorph Android malware targets 400 banks

2023/03/10 SecurityAffairs — Android マルウェアである Xenomorph の作者 Hadoken Security Group は、悪意のあるコードを改良し続けている。ThreatFabric の研究者たちが Xenomorph マルウェアを発見した 2022年2月の時点で、Google Play ストア経由での配布が行われ、すでに5万以上のインストールに達していたという。このバンキング・トロイの木馬は、欧州の 56 の銀行を標的とし、顧客のデバイスから機密情報を盗み出すために使用されていた。そのコードの分析により、未実装の機能が存在すること、そして、大量のログが存在することが明らかになり、この脅威の活性化が示唆されている。

Continue reading “Xenomorph は最凶のバンキング・トロイの木馬:侵入後の不正送金まで自動化している! ”

MFA の限界を知ろう:Active Directory との相性の悪さについて深堀りする

When Partial Protection is Zero Protection: The MFA Blind Spots No One Talks About

2023/03/10 TheHackerNews — 多要素認証 (MFA) は、かなり以前から、標準的なセキュリティ手法になっている。アカウント乗っ取り攻撃の 99% 以上を防ぐという、MFA の性能は広く認められており、MFAの導入は必須だと、セキュリティ・アーキテクトが考えるのも不思議ではない。しかし、あまり知られていないのは、従来からの MFA ソリューションには、固有の適用範囲の制限であるという視点である。RDP 接続やローカル・デスクトップへのログインには対応しているが、たとえば PsExec や Remote PowerShell などの、リモート・コマンド・ライン・アクセス・ツールを保護する機能は備えていない。

Continue reading “MFA の限界を知ろう:Active Directory との相性の悪さについて深堀りする”

米政府職員のセキュリティ意識:20% が雇用主へのハッキングに無関心だと回答

Fifth of Government Workers Don’t Care if Employer is Hacked

2023/03/09 InfoSecurity — 説明責任を果たさない文化と、不十分なサイバー衛生と、限られたスタッフ・トレーニング・・・ このような傾向が、世界中の政府にサイバー・リスクの大きな嵐を生み出し、その一方では、深刻なデータ漏洩の可能性に対して、多くの職員が無関心になっていると、Ivanti は警告している。セキュリティ・ベンダーである Ivanti は、世界中の公共部門の職員 800人を対象にアンケートを実施し、新しい Government Cybersecurity Status Report を公開した。

Continue reading “米政府職員のセキュリティ意識:20% が雇用主へのハッキングに無関心だと回答”

Oracle Weblogic Server が標的:ScrubCrypt 攻撃を仕掛ける 8220 Gang

8220 Gang Behind ScrubCrypt Attack Targeting Oracle Weblogic Server

2023/03/09 InfoSecurity —8220 Gang と呼ばれる脅威アクターが、特定の Uniform Resource Identifier (URI) 内の悪用可能な Oracle Weblogic Server を標的とし、新たなペイロードを展開することが判明した。この、Fortinet のセキュリティ研究たちが分析したペイロードは、セキュリティ・プログラムによる検出の回避を特徴としている。そして、アプリケーションを難読化/暗号化するために設計されたマルウェアである、ScrubCrypt の抽出を目的としている。

Continue reading “Oracle Weblogic Server が標的:ScrubCrypt 攻撃を仕掛ける 8220 Gang”

IceFire というランサムウェアが登場:IBM Aspera Faspex を悪用して Linux ネットワークを攻撃

IceFire Ransomware Exploits IBM Aspera Faspex to Attack Linux-Powered Enterprise Networks

2023/03/09 TheHackerNews — IceFire として知られている Windows ベースのランサムウェアが、世界中のメディアやエンターテイメントの組織で運用されている、Linux エンタープライズ・ネットワークへとターゲットを拡大している。サイバーセキュリティ企業の SentinelOne によると、このランサムウェアは、最近に公表された IBM Aspera Faspex ファイル共有ソフトウェアに存在する、不適切なデシリアライズの脆弱性 CVE-2022-47986 (CVSS:9.8) を悪用して展開されているという。

Continue reading “IceFire というランサムウェアが登場:IBM Aspera Faspex を悪用して Linux ネットワークを攻撃”

SonicWall SMA を攻撃するカスタム・マルウェア:背後にいるのは中国由来の UNC4540 ?

SonicWall SMA appliance infected by a custom malware allegedly developed by Chinese hackers

2023/03/09 SecurityAffairs — UNC4540 として追跡され中国由来とされている脅威アクターが、SonicWall SMA アプライアンスにカスタム・マルウェアを展開したことを、Mandiant の研究者たちが報告した。 このマルウェアは、攻撃者によるユーザー認証情報の窃取を可能にし、ファームウェアのアップグレードによる永続性を実現し、シェルアクセスを提供するとされる。

Continue reading “SonicWall SMA を攻撃するカスタム・マルウェア:背後にいるのは中国由来の UNC4540 ?”

Sunlogin/AweSun の脆弱性を悪用して展開:PlugX マルウェア感染が止まらない

Hackers Exploiting Remote Desktop Software Flaws to Deploy PlugX Malware

2023/03/09 TheHackerNews — リモート・デスクトップ・プログラムである、Sunlogin/AweSun のセキュリティ脆弱性を悪用する脅威アクターたちが、マルウェア PlugX を展開していることが判明した。この脆弱性は、侵害したシステム上に各種のペイロードを配信するために悪用され続けていると、AhnLab Security Emergency Response Center (ASEC) は最新の調査結果で述べている。こうして配信されたマルウェアには、Sliver post-exploitation framework/XMRig cryptocurrency miner/Gh0st RAT/Paradise ransomware などが含まれている。そして PlugX は、最近になって配布されるようになったという。

Continue reading “Sunlogin/AweSun の脆弱性を悪用して展開:PlugX マルウェア感染が止まらない”

Akamai が DDoS 攻撃を緩和:アジアでは最大級の 900Gbps という規模だった

Akamai mitigates record-breaking 900Gbps DDoS attack in Asia

2023/03/09 BleepingComputer — Akamai が発表したのは、APAC 地域の顧客に仕掛けられた、過去最大の DDoS 攻撃を緩和したというものである。DDoS (Distributed Denial of Service) 攻撃とは、標的となるサーバに大量のリクエストを送信してキャパシティを枯渇させることで、そのサーバがホストする Web サイト/アプリケーションなどのオンライン・サービスを、正規のユーザーからアクセスできない状態にするものだ。

Continue reading “Akamai が DDoS 攻撃を緩和:アジアでは最大級の 900Gbps という規模だった”

Google One の新機能:VPN アクセス/Dark Web レポートでセキュリティを強化

Google One expands security features to all plans with dark web report, VPN access

2023/03/08 HelpNetSecurity — Google One に、2つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。

Continue reading “Google One の新機能:VPN アクセス/Dark Web レポートでセキュリティを強化”

API 悪用の脅威がスピードアップ:脆弱性の発生と攻撃の頻度も増大している

Attackers exploit APIs faster than ever before

2023/03/08 HelpNetSecurity — Wallarm が35 万件のレポートを精査したところ、337 のベンダーが関連する、650 の API 固有の脆弱性が確認されたという。さらに、これらの脆弱性に影響を与える 115 の公開されたエクスプロイトを追跡した結果、API の脅威の状況は、さらに危険度を増していることが判明したという。

Continue reading “API 悪用の脅威がスピードアップ:脆弱性の発生と攻撃の頻度も増大している”

CISA KEV 警告 23/03/08:Teclib/Apache/Zoho の脆弱性など3件が追加

CISA’s KEV Catalog Updated with 3 New Flaws Threatening IT Management Systems

2023/03/08 TheHackerNews — 米国の CISA は、悪用されている証拠があるとして、3つのセキュリティ脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。この3件のうち最も深刻なものは CVE-2022-35914 で、オープンソースの資産/IT 管理ソフトウェア・パッケージである、Teclib GLPI のサードパーティ・ライブラリ htmlawed に存在する、リモート・コード実行の脆弱性だ。

Continue reading “CISA KEV 警告 23/03/08:Teclib/Apache/Zoho の脆弱性など3件が追加”

Jenkins の深刻な脆弱性 CVE-2023-27898/CVE-2023-27905 が FIX

Jenkins Security Alert: New Security Flaws Could Allow Code Execution Attacks

2023/03/08 TheHackerNews — Continuous Integration (CI)/Continuous Delivery (CD) を提供するオープンソースの Jenkins で発見された、2つの深刻なセキュリティ脆弱性は、標的システム上でのコード実行にいたる可能性のあるものだ。この脆弱性は CVE-2023-27898/CVE-2023-27905 は、Jenkins のサーバおよび Update Center に影響を及ぼすものであり、クラウド・セキュリティ企業である Aqua は CorePlague と称している。Jenkins 2.319.2 以前の、すべてのバージョンに影響を及ぼし、悪用が可能だとされる。

Continue reading “Jenkins の深刻な脆弱性 CVE-2023-27898/CVE-2023-27905 が FIX”

Fortinet の深刻な脆弱性 CVE-2023-25610 が FIX:直ちにパッチ適用を!

Fortinet warns of new critical unauthenticated RCE vulnerability

2023/03/08 BleepingComputer — Fortinet が公開したのは、FortiOS/FortiProxy に影響を及ぼす、きわめて深刻な脆弱性 CVE-2023-25610 である。特別に細工したリクエストを、未認証の攻撃者が用いることで、脆弱なデバイスの GUI 上で任意のコード実行やサービス拒否 (DoS) が生じる可能性があるという。このバッファ・アンダーフローの脆弱性 CVE-2023-25610 は、CVSS v3 値が 9.3 であり、Critical と評価されている。この種の不具合は、メモリ・バッファから設定値以上のデータ量を、プログラムが読み込もうとしたときに発生する。その結果として、隣接するメモリ領域へのアクセスが生じ、危険な動作やクラッシュにつながるという。

Continue reading “Fortinet の深刻な脆弱性 CVE-2023-25610 が FIX:直ちにパッチ適用を!”

Veeam の深刻な脆弱性 CVE-2023-27532 が FIX:認証情報の不正取得につながる

Veeam fixes bug that lets hackers breach backup infrastructure

2023/03/08 BleepingComputer — Veeam の Backup & Replication に深刻な影響を及ぼす脆弱性が発見されたことで、同社はパッチの適用を急ぐよう顧客に促している。この脆弱性 CVE-2023-27532 は、Shanigen としいう名のセキュリティ研究者が、2月中旬に報告したものであり、すべての Veeam Backup & Replication (VBR) バージョンに影響を与えるものだ。この脆弱性の悪用に成功した未認証の攻撃者は、VeeamVBR のコンフィグ・データベースに保存されている暗号化された認証情報を取得した後に、このバックアップ・インフラ・ホストにアクセスできるようになる。

Continue reading “Veeam の深刻な脆弱性 CVE-2023-27532 が FIX:認証情報の不正取得につながる”

2022年のマルウェア検出数は 1460 億件:前年比で 55% 増と Trend Micro

Cyber-Threat Detections Surge 55% in 2022

2023/03/08 InfoSecurity — Trend Micro の発表は、2022年に 1460億件のサイバー脅威を阻止したというものだ。この件数は、前年比で 55% 増を示しており、あらゆる規模/分野の企業に対して、サイバー犯罪者がアプローチを拡大している証拠でもある。 同社が発表したのは、世界各地で発生した脅威情報から構成される、年次総括レポート Rethinking Tactics であり、そのスコープは、モバイル/IoT/PC エンドポイント/サーバ・エンドポイント/電子メール/ウェブ層/ネットワーク層/OT ネットワーク/クラウド/ホーム・ネットワーク/脆弱性/消費者/企業/政府などにまで広がっている。

Continue reading “2022年のマルウェア検出数は 1460 億件:前年比で 55% 増と Trend Micro”

Microsoft Excel の XLL add-ins がデフォルトでブロック:さらなる MoTW の強化

Microsoft Excel now blocking untrusted XLL add-ins by default

2023/03/07 BleepingComputer — 世界中の Microsoft 365 テナントに配置される、表計算ソフトの Excel において、信頼できない XLL アドインをデフォルトでブロックするようになったと、Microsoft が発表した。同社は、この変更について 2023年1月に発表しているが、Insiders 向けにロールアウトの初期テスト・フェーズに入ったときに、この新しいエントリーが Microsoft 365 のロードマップに追加された。この新機能は、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの全デスクトップ・ユーザーにロールアウトされた後の3月下旬までに、世界中のマルチ・テナントで一般でも利用可能になる予定だ。

Continue reading “Microsoft Excel の XLL add-ins がデフォルトでブロック:さらなる MoTW の強化”

Acer でデータ侵害:160GB のデータがハッキングフォーラムで販売されている

Acer confirms breach after 160GB of data for sale on hacking forum

2023/03/07 BleepingComputer — 台湾の大手コンピュータ・メーカーである Acer は、同社の修理技術者が使用していたプライベート・ドキュメントを格納するサーバが、脅威アクターにハッキングされ、データ侵害が発生したことを明らかにした。しかし同社は、これまでの調査結果では、このセキュリティ・インシデントが顧客データに影響を与えたとは言えないとしている。2023年2月中旬に Acer から盗まれたとされる 160GBのデータが、ある脅威アクターにより、人気のハッキングフォーラムで販売され始めたことで、このデータ漏洩が認められることになった。

Continue reading “Acer でデータ侵害:160GB のデータがハッキングフォーラムで販売されている”

Toyota Customer 360 の深刻な脆弱性が FIX:開発用/本番用 API の錯綜が原因

Vulnerability in Toyota Management Platform Provided Access to Customer Data

2023/03/07 SecurityWeek — Toyota Customer 360 という CRM (Customer Relationship Management) プラットフォームに、深刻な脆弱性が存在していたことが判明した。この脆弱性を発見したセキュリティ研究者によると、メキシコの顧客の個人情報にアクセスが可能だったという。この Web アプリケーションは、組織全体として顧客データを集約しており、個人情報/購入履歴/サービス内容などの、全ての顧客情報を一元的に把握するためのものだ。

Continue reading “Toyota Customer 360 の深刻な脆弱性が FIX:開発用/本番用 API の錯綜が原因”

LastPass ハッキングの全容を解明:エンジニアの自宅のメディアサーバが侵入経路だった

LastPass Hack: Engineer’s Failure to Update Plex Software Led to Massive Data Breach

2023/03/07 TheHackerNews — LastPass における大規模な情報漏えいは、同社のエンジニアの1人が、自宅のコンピュータで Plex のアップデートを怠った結果であり、ソフトウェアを最新に保つことを怠ることの危険性を痛感させるものだった。先週に LastPass は、「2022年8月12日以前に発生したインシデントで盗まれた情報と、サードパーティに対するデータ侵害および、一般的なメディア・ソフトウェア・パッケージ Plex の脆弱性から入手した情報を組み合わせた正体不明の人物が、2022年8月〜10月に2度目の組織的な攻撃を行ったことを明らかにした。

Continue reading “LastPass ハッキングの全容を解明:エンジニアの自宅のメディアサーバが侵入経路だった”

Emotet の活動再開を捕捉:2023 大規模キャンーペンのトリックは大容量ファイル?

Emotet malware attacks return after three-month break

2023/03/07 BleepingComputer — 2023年03月07日 (火) の朝の時点で、Emotet マルウェアの活性化が観測されている。このマルウェアは、3ヶ月間の休息を経て、再び悪意の電子メールを送信し、そのネットワークを再構築し、世界中のデバイスへの感染を広め始めている。Emotet は、悪意の Word/Excel 添付ファイルを隠し持つ子メールで配布される、悪名高いマルウェアである。それらの文書をユーザーが開いたとき、マクロが有効になっていると、Emotet DLL がダウンロードされ、メモリにロードされる。そして、ロードされた Emotet は静かに待機し、リモートの Command and Control (C2) サーバからの指示を待つ。

Continue reading “Emotet の活動再開を捕捉:2023 大規模キャンーペンのトリックは大容量ファイル?”

SYS01stealer という情報スティーラーを発見:Facebook ビジネス・アカウントなどが標的

SYS01stealer: New Threat Using Facebook Ads to Target Critical Infrastructure Firms

2023/03/07 TheHackerNews — サイバー・セキュリティ研究者たちが発見したのは、政府/インフラ/製造業などを標的とする、SYS01stealer という名の新しい情報スティーラーである。 Morphisec は、「このキャンペーンのターゲットは、Facebook のビジネス・アカウントだ。この脅威アクターは、ゲーム/アダルトコンテンツ/クラックソフトウェアなどを宣伝する、Google 広告や Facebook の偽プロファイルを使用して、悪意のファイルをダウンロードするように、被害者たちを誘導する。この攻撃は、ログインデータ/クッキーだけではなく、Facebook ビジネスアカウント情報などの、機密情報を盗むために設計されている」と、The Hacker News と共有したレポートで詳述している。

Continue reading “SYS01stealer という情報スティーラーを発見:Facebook ビジネス・アカウントなどが標的”

Google Cloud Platform の深刻な問題:データ流出攻撃に対して死角が生じている

Experts Reveal Google Cloud Platform’s Blind Spot for Data Exfiltration Attacks

2023/03/06 TheHackerNews — Google Cloud Platform (GCP) のフォレンジック可視性が不十分であることを利用して、脅威アクターたちによる機密データの流出が可能なことが、最新の研究で明らかになった。クラウド・インシデント対応企業である Mitiga のレポートには、「残念ながら、GCP は、フォレンジック調査に必要なストレージ・ログの可視性を備えていない。そのため、潜在的なデータ流出攻撃を、組織は見過ごす可能性がある」と述べている。

Continue reading “Google Cloud Platform の深刻な問題:データ流出攻撃に対して死角が生じている”

CISA KEV の 2022年を分析 :新たに追加された CVE 557件に関する統計データとは?

557 CVEs Added to CISA’s Known Exploited Vulnerabilities Catalog in 2022

2023/03/06 SecurityWeek — 脆弱性インテリジェンス企業の VulnCheck によると、米国の Cybersecurity and Infrastructure Security Agency (CISA) が管理する Known Exploited Vulnerabilities (KEV) カタログには、約900件の脆弱性が存在するが、そのうちの 557件の CVE は、2022年に追加されたものだという。VulnCheck は CISA の KEV リストの分析を行い、このデータの重要性に関するレポートを発表した。

Continue reading “CISA KEV の 2022年を分析 :新たに追加された CVE 557件に関する統計データとは?”

OT に忍び寄るマルウェア:ソーシャルエンジニアリングが産業分野にも浸透してきた

Almost Half of Industrial Sector Computers Affected By Malware in 2022

2023/03/06 InfoSecurity — 製造業の現場で使用されている Operational Technology (OT) コンピュータの 40.6% が、2022年においてマルウェアの影響を受けていることが判明した。今日の未明に Kaspersky のセキュリティ研究者たちが発表したレポートによると、この数字は、2022年上半期と比較して6%増加し、2021年下半期との比較では約 1.5倍になっている。

Continue reading “OT に忍び寄るマルウェア:ソーシャルエンジニアリングが産業分野にも浸透してきた”

Microsoft Word の深刻な RCE 脆弱性 CVE-2023-21716:PoC エクスプロイトが公開された

Proof-of-Concept released for critical Microsoft Word RCE bug

2023/03/06 BleepingComputer — この週末に、Microsoft Word に存在する、深刻なリモート・コード実行の脆弱性 CVE-2023-21716 の PoC エクスプロイトが公開された。この脆弱性の CVSS 値は 9.8 と評価されているが、Microsoft は2月の Patch Tuesday のセキュリティ・アップデートで対処し、いくつかの回避策も提供している。この脆弱性を悪用するために必要な、特権やユーザー操作がないため、つまり、攻撃の複雑性が低いため、上記のような評価となっている。

Continue reading “Microsoft Word の深刻な RCE 脆弱性 CVE-2023-21716:PoC エクスプロイトが公開された”

ATM を狙う FiXS マルウェアはロシア由来:CEN XFS をサポートする全デバイスが攻撃対象

New ATM Malware ‘FiXS’ Emerges

2023/03/06 SecurityWeek — サイバーセキュリティ企業 Metabase Q は、ラテンアメリカの ATM を標的とする新しいマルウェア・ファミリーの動きを確認した。FiXS という名の、ロシアのメタデータを持つ脅威アクターは、現時点ではメキシコの銀行を標的にしている、CEN XFS をサポートする全ての ATM を標的にできることが判明している。これまでに活動してきた Ploutus ATM マルウェアと同様に、FiXS の展開には外部キーボードが必要となるため、サイバー犯罪者による ATM への物理的なアクセスが行われているようだ。

Continue reading “ATM を狙う FiXS マルウェアはロシア由来:CEN XFS をサポートする全デバイスが攻撃対象”

Microsoft OneNote ファイルによるマルウェア感染:防止のための手順を詳述する

How to prevent Microsoft OneNote files from infecting Windows with malware

2023/03/05 bleepingComputer — 一見何の変哲もない Microsoft OneNote ファイルが、マルウェアの拡散/企業ネットワークへの侵入で悪用される、ハッカーたちの人気のファイル形式になっている。ここでは、OneNote のフィッシング添付ファイルが、Windows に感染するのをブロックする方法を紹介していく。Microsoft OneNote ファイルが、マルウェアをばらまくフィッシング攻撃のツールとして選ばれるようになった背景を、少し説明する必要があるだろう。まずは、ここに至るまでの経緯を説明する。

Continue reading “Microsoft OneNote ファイルによるマルウェア感染:防止のための手順を詳述する”

Mustang Panda は中国由来:新たな MQsTTang バックドアで欧州/台湾を狙っている

Chinese Hackers Targeting European Entities with New MQsTTang Backdoor

2023/03/03 TheHackerNews — 中国に拠点を置く Mustang Panda が、2023年1月に開始したソーシャルエンジニアリング・キャンペーンの一環として、MQsTTang と呼ばれる新たなカスタム・バックドアを使用していることが確認された。ESET の研究者である Alexandre Côté Cyr は、新しいレポートの中で「MQsTTang は、このグループにおける大半のマルウェアとは異なり、既存のファミリーや一般に公開されているプロジェクトをベースにしていないようだ」と述べている。

Continue reading “Mustang Panda は中国由来:新たな MQsTTang バックドアで欧州/台湾を狙っている”

東アジアの Web サイトへの攻撃:脆弱な FTP 認証情報が悪用されている

Thousands of Websites Hijacked Using Compromised FTP Credentials

2023/03/03 SecurityWeek — クラウド・セキュリティ企業である Wiz の警告は、正規の FTP 認証情報を介して侵害されるリダイレクト・キャンペーンが、東アジアのユーザーをターゲットとする数千の Web サイトへ向けて広がっているというものだ。多くのケースにおいて攻撃者は、自動生成され安全性の高い FTP 認証情報を入手し、それを用いて被害者の Web サイトを乗っ取り、訪問者をアダルトテーマのコンテンツにリダイレクトしている。

Continue reading “東アジアの Web サイトへの攻撃:脆弱な FTP 認証情報が悪用されている”

TPM 2.0 の脆弱性 CVE-2023-1017/CVE-2023-1018:数十億台のデバイスに影響を与える可能性

Trusted Platform Module (TPM) 2.0 flaws could impact billions of devices

2023/03/03 SecurityAffairs — Trusted Platform Module (TPM) 2.0 の実装に影響を及ぼし、情報漏洩や権限昇格につながる恐れのある2つの脆弱性が発見されたと、Trusted Computing Group (TCG) は警告している。Trusted Platform Module (TPM) は、ハードウェア・ベースのソリューションであり、最新のコンピュータ OS に安全な暗号機能を提供し、改ざんに対する耐性を強化するためのものだ。TPM のコマンド・インターフェースにアクセスできる攻撃者は、悪意のコマンドをモジュールに送信することで、これらの脆弱性を悪用できるようになるという。

Continue reading “TPM 2.0 の脆弱性 CVE-2023-1017/CVE-2023-1018:数十億台のデバイスに影響を与える可能性”

Brave Search が Summarizer を搭載:検索結果を AI で処理/表示するサービスを開始

Brave Search launches AI-powered summarizer in search results

2023/03/03 BleepingComputer — ユーザーが入力した質問に対して、要約された回答を検索結果よりも優先して提供する、新しい AI 搭載のツール Summarizer が、Brave Search に導入された。Brave Search は、ユーザーを追跡することなく匿名で Web 検索ができる、急成長中のプライバシー重視のインターネット検索エンジンである。いま、検索機能に AI 革命が起こっている。すでに Microsoft は、ChatGPT のアップグレード版を Bing 検索エンジンに組み込み、近い将来には Google も、Bard という独自の AI モデルで同様の機能を実装する予定だという。

Continue reading “Brave Search が Summarizer を搭載:検索結果を AI で処理/表示するサービスを開始”

Redis データベース・サーバが標的:3つ目のクリプトジャッキング・キャンペーンが登場

New Cryptojacking Campaign Leverages Misconfigured Redis Database Servers

2023/03/02 TheHackerNews — Redis データベース・サーバのミスコンフィグレーションが、新しいクリプトジャッキング・キャンペーンのターゲットとなっているが、そこで悪用されているのは、正規のオープンソース・コマンドライン・ファイル転送サービスである。Cado Security は、「このキャンペーンを支えていたのは、transfer[.]sh である。つまり、数多くのサービスなどで普通に使われる、pastebin[.]com などのコード・ホスティング・ドメインをベースにした、検出を回避する試みの可能性がある」と、The Hacker News と共有したレポートで述べている。

Continue reading “Redis データベース・サーバが標的:3つ目のクリプトジャッキング・キャンペーンが登場”

Hatch Bank のデータ侵害:GoAnywhere MFT のゼロデイ脆弱性が悪用された

Hatch Bank discloses data breach after GoAnywhere MFT hack

2023/03/02 BleepingComputer — フィンテック・バンキング Hatch Bank が開示したのは、同社のセキュア・ファイル共有プラットフォーム Fortra GoAnywhere MFT から、約 14万人の顧客の個人情報を、ハッカーが窃取するというデータ侵害に関するものだ。Hatch Bank とは、銀行間サービスへのアクセスを、中小企業に提供するフィンテック企業である。TechCrunch が報じたように、影響を受けた顧客と司法長官事務所に提出されたデータ侵害通知には、ハッカーが GoAnywhere MFT ソフトウェアの脆弱性を悪用して、139,493人の顧客のデータを盗んだと記されている。

Continue reading “Hatch Bank のデータ侵害:GoAnywhere MFT のゼロデイ脆弱性が悪用された”

PyPI に colorfool という悪意のパッケージが登場:情報スティーラー/RAT を配布

Experts Identify Fully-Featured Info Stealer and Trojan in Python Package on PyPI

2023/03/02 TheHackerNews — 完全な機能を備えた情報スティラーとリモート・アクセス型トロイの木馬を含む、悪意の Python パッケージが、PyPI (Python Package Index) にアップロードされていたことが判明した。この、colorfool と名付けられたパッケージは、Kroll の Cyber Threat Intelligence Team により発見され、このマルウェア自体は Colour-Blind と呼ばれている。Kroll の研究者である Dave Truman と George Glass は、「Colour-Blind マルウェアは、他から調達したコードから複数の亜種を生成する。つまり、サイバー犯罪の不偏化により、脅威が激化していく可能性を示している」と、The Hacker News と共有したレポートで述べている。

Continue reading “PyPI に colorfool という悪意のパッケージが登場:情報スティーラー/RAT を配布”

Web Browser Security Report 2023:ブラウザのリスクと検証の盲点について詳述する

2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

2023/03/02 TheHackerNews — 今日の企業環境における主要な作業用インターフェースとして、Web ブラウザが重要な役割を担っている。Web ブラウザは、従業員の管理/非管理デバイスで使用され、Web ブサイト/SaaS アプリケーション/社内アプリケーションへのアクセスを実現している。ブラウザ・セキュリティ・ベンダーである LayerX が発表した最新レポートによると、この現実を悪用する攻撃者たちは、数多くのブラウザを標的にし、ユーザー組織におけるリスクが高まっていることが判明した 。

Continue reading “Web Browser Security Report 2023:ブラウザのリスクと検証の盲点について詳述する”

CISA の Decider というツール:観測された脅威の結果と MITRE ATT&CK をマッピング

CISA releases free ‘Decider’ tool to help with MITRE ATT&CK mapping

2023/03/02 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、セキュリティ・アナリストなどの防御側が、MITRE ATT&CK マッピング・レポートを迅速に作成するための、オープンソース・ツール Decider をリリースした。MITRE ATT&CK フレームワークは、サイバー攻撃の観測に基づき、敵対者の戦術や技術を特定/追跡するための標準であり、それに応じて防御側のセキュリティ態勢を調整するためのものだ。共通の基準を持つ組織は、新たに発見/出現した包括的で正確な情報を迅速に共有し、その攻撃を阻止するためのアクションを実施できる。

Continue reading “CISA の Decider というツール:観測された脅威の結果と MITRE ATT&CK をマッピング”

Cisco IP Phone Series における深刻な脆弱性 CVE-2023-20078 が FIX

Critical Flaw in Cisco IP Phone Series Exposes Users to Command Injection Attack

2023/03/02 TheHackerNews — 3月1日の水曜日に Cisco が発表したのは、IP Phone 6800/7800/7900/8800 シリーズに影響を及ぼす、深刻な欠陥に対処するためのセキュリティ・アップデートである。この脆弱性 CVE-2023-20078 の CVSS 値は 9.8 と評価されており、Web ベースの管理インターフェイスにおける、不十分なユーザー入力検証に起因するコマンド・インジェクションのバグだと説明されている。

Continue reading “Cisco IP Phone Series における深刻な脆弱性 CVE-2023-20078 が FIX”

ArubaOS の深刻な脆弱性 CVE-2023-22747 などが FIX:RCE にいたる恐れ

Aruba Networks fixes six critical vulnerabilities in ArubaOS

2023/03/01 BleepingComputer — Aruba Networks が発表したのは、同社独自のネットワーク OS である ArubaOS の複数バージョンに影響する、6つの深刻 (Critical-Severity) の脆弱性について、顧客に通知するセキュリティ・アドバイザリである。この脆弱性は、Aruba Mobility Conductor/Aruba Mobility Controllers/Aruba-managed WLAN Gateway/SD-WAN Gateway に影響するものだ。Aruba Networksは、カリフォルニアに拠点を置く Hewlett Packard Enterprise の子会社であり、コンピュータ・ネットワークと無線接続ソリューションに特化した企業である。

Continue reading “ArubaOS の深刻な脆弱性 CVE-2023-22747 などが FIX:RCE にいたる恐れ”

Iron Tiger ハッキング・グループは中国由来の APT27:Linux 版のカスタム・マルウェアを投入

Iron Tiger hackers create Linux version of their custom malware

2023/03/01 BleepingComputer — Iron Tiger こと APT27 ハッキング・グループは、カスタム・リモートアクセス・マルウェア SysUpdate の新しい Linux 版を用意し、企業で使用される広範なサービスを標的にしようとしている。Trend Micro の最新レポートによると、このハッカーは 2022年7月より Linux 版をテストし始めている。そして、2022年10月になると、複数のペイロードが野放し状態で活動し始めまた。

Continue reading “Iron Tiger ハッキング・グループは中国由来の APT27:Linux 版のカスタム・マルウェアを投入”

BlackLotus という UEFI Bootkit マルウェア第1号:Windows 11 の Secure Boot を突破する

BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11

2023/03/01 TheHackerNews — BlackLotus という高ステルス性の UEFI (Unified Extensible Firmware Interface) ブートキットが、Secure Boot 防御を回避するマルウェアとして初めて公になり、サイバー環境における強力な脅威となってきた。スロバキアのサイバーセキュリティ企業 ESET は、「このブートキットは、UEFI セキュアブートを有効にした最新の Windows 11 システム上でも実行可能である」と、The Hacker News と共有したレポートで述べている。

Continue reading “BlackLotus という UEFI Bootkit マルウェア第1号:Windows 11 の Secure Boot を突破する”

GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック

GitHub’s secret scanning alerts now available for all public repos

2023/03/01 BleepingComputer — GitHub が発表したのは、すべての公開リポジトリにおいて、シークレット・スキャン・アラート・サービスが利用できるようになり、公開履歴全体にわたって流出したシークレットを検出できるようになったことだ。このシークレットとは、GitHub のリポジトリに誤って追加された APIキー/アカウントパスワード/認証トークンなどの機密データであり、攻撃者によるセキュリティ侵害や非公開データへのアクセスなどへといたる可能を生じるものだ。

Continue reading “GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック”

Google Cloud Platform のフォレンジック・ログに欠陥:どのような処方箋があるのか?

Google Cloud Platform allows data exfiltration without a (forensic) trace

2023/03/01 HelpNetSecurity — Google Cloud Platform (GCP) のストレージ・バケットに保存された企業データを、GCP のストレージ・アクセスログに悪意の活動のフォレンジック・トレースを残すことなく流出させられることが、Mitiga の研究者たちにより明らかにされた。ここで提起された重要な問題は、GCP の基本的なストレージログ (デフォルトでは無効化) が、異なるタイプのアクセスに対して同じディスクリプション/イベント (objects.get) を使用しているという点である。具体的に言うと、ファイルの読み取り/ファイルのダウンロード/外部バケットへのファイルのコピー/サーバへのファイルのコピー、ファイルおよびオブジェクトのメタデータの読み取りといったタイプが挙げられる。

Continue reading “Google Cloud Platform のフォレンジック・ログに欠陥:どのような処方箋があるのか?”

多要素認証 (MFA) バイパス:3種類の侵入ベクターについて解説する

Cyberattackers Double Down on Bypassing MFA

2023/03/01 DarkReading — 企業が従業員や顧客に対して、より強固なセキュリティを企業が求めるにつれて、攻撃者たちは多要素認証 (MFA) の回避を進化させてきた。今週に発表された、サイバー・セキュリティ企業 LastPass におけるデータ漏洩や、2月の初めに発表されたソーシャルメディア・サービス Reddit における侵害のように、この種の侵害発生は、着実に増加している。 

Continue reading “多要素認証 (MFA) バイパス:3種類の侵入ベクターについて解説する”