CISA orders agencies to patch Backup Exec bugs used by ransomware gang
2023/04/07 BleepingComputer — 2023年4月7日 (金) 日に CISA は、KEV (Known Exploited Vulnerabilities) カタログに5つの脆弱性を追加した。そのうちの3つは Veritas Backup Exec の脆弱性であり、ランサムウェアを展開するために悪用されている。残りの2つは、Samsung の Web ブラウザを標的としたエクスプロイト・チェーンの一部としてゼロデイで悪用された脆弱性と、Microsoft Windows Certificate Dialog における権限昇格の脆弱性だ。
Continue reading “CISA KEV 警告 23/04/07:Veritas Backup の脆弱性 CVE-2021-27877 など5件が追加”GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements
2023/04/06 InfoQ — GitHub が発表した SBOM エクスポートは、セキュリティ・コンプライアンスのワークフローやツールの一部として、使用されることを意図したものである。この新機能により、NTIA に準拠した SBOM を、容易にエクスポートできるようになったと GitHub は述べている。手動または自動化されたプロセスなどの各種の方法により、ユーザーは SBOM をエクスポートできる。手動で SBOM を生成するには、リポジトリ内の依存関係グラフにアクセスし、新たに提供された Export SBOM ボタンをクリックする。それにより、SPDX 形式の、マシン・リーダブルの SBOM が作成される。
Continue reading “GitHub が SBOM エクスポートをサポート:ソフトウェア要件への対応を容易にする”The hidden picture of malware attack trends
2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。
Continue reading “マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?”Google Mandates Data Deletion Policy For Android Apps
2023/04/06 InfoSecurity — Android アプリアによるカウント作成について、Google が新しいポリシーの導入を発表した。この新たなルールにより、それらのアプリは、アカウントの削除と、関連するデータの削除を、オプションとしてユーザーに提供することが義務付けられる。
Continue reading “Android アプリに新たなデータ削除規定:Google からの開発者への要求とは?”Uber Drivers’ Data Exposed in Breach of Law Firm’s Servers
2023/04/06 InfoSecurity — Uber の代理として機能する中堅の法律事務所が、サイバー攻撃により機密データが暴露され盗まれたことを、不特定のドライバーたちに通知した。The Register が入手したのは、ニュージャージー州に拠点を置く Genova Burns が、顧客向けの電子メールで公表した、この情報漏洩の内容である。
Continue reading “Uber ドライバーの機密情報が流出:法律事務所へのサプライチェーン攻撃が原因”Microsoft and Fortra crack down on malicious Cobalt Strike servers
2023/04/06 BleepingComputer — Microsoft/Fortra/Health-ISAC (Health Information Sharing and Analysis Center) の三者は、サイバー犯罪者が使用する主要ハッキングツールである、Cobalt Strike のクラック・コピーをホストするサーバに対する、広範な法的取り締まりを発表した。Microsoft の Digital Crimes Unit (DCU) の Amy Hogan-Burney は、「世界中でホストされている Cobalt Strike のクラックされたレガシー・コピーを取り締まるには、粘り強く取り組む必要がある。Fortra のセキュリティ・ツールの、正当な利用を保護するための重要な行動である。Microsoft も同様に、自社の製品/サービスの正当な利用を守るために尽力している」と述べている。
Continue reading “Cobalt Strike のクラック版を潰せ:Microsoft と Fortra が取り締まりを発表”Two-Fifths of IT Pros Told to Keep Breaches Quiet
2023/04/06 InfoSecurity — IT 専門家の 5分の2以上 (42%) が、セキュリティ侵害を隠蔽するように言われたことがあり、コンプライアンス・リスクを高める可能性があるという、最新の調査結果が Bitdefender により明らかにされた。セキュリティ・ベンダーである Bitdefender が調査した対象は、従業員 1000人以上の組織に所属する、IT ジュニア・マネージャーから CISO にいたるまでの、400人の IT 専門家である。
Continue reading “セキュリティ侵害を隠蔽するように言われた:IT 専門家の 42% が回答”FBI Seizes Genesis Cybercriminal Marketplace in ‘Operation Cookie Monster’
2023/04/06 DarkReading — 盗み出されたクッキーなどの、危険なデータを流通させるために広く利用されている、ダークウェブ・フォーラムのホームページが、米国連邦法執行機関の押収通知に置き換えられた。FBI が押収した Genesis Market は、盗み出されたクッキー/認証情報/トークンだけではなく、被害者のネットワークにイニシャル・アクセスするための、ボットなどのツールを提供する、最大かつ広範に利用されるダークウェブ・フォーラムの1つである。この出来事は、世界中でサイバー犯罪に関与している人々に、国際的な法執行機関が与えた新たな打撃である。
Continue reading “Genesis のテイクダウン:Operation Cookie Monster が老舗のダークウェブを追い詰めた”Threat Actors Increasingly Use Telegram For Phishing Purposes
2023/04/06 InfoSecurity — フィッシング技法の開発に注目する脅威アクターたちが、アクティビティの自動化や各種のサービス提供において、Telegram を悪用するケースが増えている。このような傾向は、Kaspersky のサイバー・セキュリティ専門家たちの調査/分析によるものである。水曜日のアドバイザリで、Web コンテンツ・アナリストである Olga Svistunova は、「フィッシャーたちは商品を宣伝するために Telegram チャネルを作り、そこでフィッシングについて聴衆を教育し、投票によりサブスクライバーを楽しませている。このようなチャネルへのリンクは、彼らのフィッシング・キットや YouTube/GitHub などを通じて拡散される」と述べている。
Continue reading “Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち”STYX Marketplace emerged in Dark Web focused on Financial Fraud
2023/04/05 SecurityAffairs — 2023年の初めに、STYX というマーケットプレイスが立ち上げられた。このプラットフォームは、特に金融犯罪を促進するために設計されており、盗んだ金融データ/クレジットカード情報/偽造文書/マネー・ロンダリング・サービス/被害者の偵察をする “lookups” などの、様々なサービスをサイバー犯罪者たちに提供している。この事例は、サイバー犯罪の流行後の脅威と、それが金融機関とその顧客にもたらす脅威を物語っている。デジタル・バンキングや暗号通貨口座を悪用して、マネー・ロンダリング・サービスを提供する脅威アクターの大幅な増加を、Resecurity の金融犯罪リスクのアナリストたちが観測している。それと、STYX の発見が一致しているのだ。
Continue reading “STYX というダークウェブが登場:金融詐欺に特化してサイバー犯罪者の支持を集める”Malicious Spam Campaign Downs npm RegiSEO poisoningstry
2023/04/05 InfoSecurity — この1ヶ月の間に、npm レジストリが断続的なサービス拒否 (DoS) 停止に陥っていたことを、セキュリティ専門家たちが明らかにした。そして、ボット対策技術を導入するよう促している。 npm は、世界最大のソフトウェア・レジストリとして知られており、200万以上の JavaScript パッケージがダウンロードできるようになっている。Checkmarx の Head of Software Supply Chain Security である Jossef Harush Kadouri は、「過去にもスパム・キャンペーンによる被害があったが、この1ヶ月間における被害は、それらとは比較にならないほどの酷いものであった」と述べている。
Continue reading “npm への DoS 攻撃:レジストリが断続的にダウンするという最悪の事態に”ALPHV/BlackCat ransomware affiliate targets Veritas Backup solution bugs
2023/04/04 SecurityAffairs — ALPHV/BlackCat ランサムウェア・ギャングのアフィリエイトである UNC4466 が、Veritas Backup の3つの脆弱性を悪用して、ターゲットのネットワークへのイニシャル・アクセスを取得していることが確認された。この UNC4466 は、他の ALPHV のアフィリエイトとは異なり、ターゲットの環境へのイニシャル・アクセスにおいて、盗み出した認証情報に依存していない。2022年10月22日に、Mandiant の研究者たちは、このアフィリエイトが Veritas の脆弱性をターゲットにしていることを初めて観測した。
Continue reading “Veritas Backup の3つの脆弱性:ALPHV/BlackCat ランサムウェアの標的になっている”Docker’s BuildKit adds SBOM attestation capabilities: How they work — and key limitations
2023/04/04 SecurityBoulevard — 今年の初めに Docker は、BuildKit ツールにおいて、ビルド時の証明書と SBOM (Software Bills of Materials) のサポートを追加し、それぞれのイメージ内のソフトウェア・コンポーネントのビルド・プロセスを、開発チームが完全に記録する方法を提供するようになった。BuildKit とは、コンテナ・イメージを構築するための Docker のビルド・エンジンであり、従来からのスクリプト・ベースの Dockerfile ビルド・エンジンを改良したものである。Docker は、このツールにより、ビルドのパフォーマンスが向上し、Dockerfile の再利用性が高まったと主張している。
Continue reading “Docker の BuildKit で SBOM をサポート:どのように機能するのか?どんな制限があるのか?”New “Rorschach” Ransomware Spread Via Commercial Product
2023/04/04 InfoSecurity — 商用セキュリティ製品である Palo Alto Cortex XDR Dump Service Tool を悪用する脅威アクターたちが、新しくユニークなランサムウェア株を展開させている。この Rorschach (ロールシャッハ) と名付けられたマルウェアは、Check Point Research (CPR) および Check Point Incident Response Team (CPIRT) により発見され、今日の未明のアドバイザリで取り上げられた。
Continue reading “Rorschach というランサムウェア:Palo Alto Cortex XDR の DLL を装い拡散している”New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency
2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視/スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。
Continue reading “Rilide マルウェアは Chromium を狙う:偽物の Google Drive エクステンションに要注意”Vulnerabilities impacting multiple QNAP operating systems (CVE-2022-27597, CVE-2022-27598)
2023/04/04 HelpNetSecurity — QNAP の各種 OS に影響を及ぼす2つの脆弱性 CVE-2022-27597/CVE-2022-27598 が、Sternum により発見された。これらの脆弱性の悪用に成功した認証済のリモートユーザーは、機密データへのアクセスが可能になるため、システム管理者は個々の OS を直ちに更新する必要がある。この脆弱性を発見した研究者たちは、QNAP TS-230 NAS デバイスでパフォーマンステストとベンチマークを実行していた。しかし、予期せぬことに、このデバイスで検出された複数のメモリアクセス違反を知らせる、一連のセキュリティ警告に注目することになった。
Continue reading “QNAP OS の深刻な脆弱性 CVE-2022-27597/CVE-2022-27598 が FIX:直ちにパッチを!”HTTP/S DDoS Attacks Soar 487% in Three Years
2023/04/04 InfoSecurity — Netscout によると、HTTP/HTTPS の Web サイトを標的としたアプリケーション層の DDoS (Distributed Denial of Service) 攻撃の量は、Killnet などにより、2019年から2022年にかけて 487% も急増したという。セキュリティ・ベンダーである Netscout の 2022 H2 レポート “DDoS Threat Intelligence Report” は、93カ国と世界のインターネット・トラフィックの 50%以上をカバーする、同社の ATLAS ネットワークが収集したデータを基に作成されたものだ。2019年以降に、Web サイトへの攻撃が最も急増したのは 2022年下半期で、親ロシア・ハクティビストの活動による影響が大きい。
Continue reading “HTTP/S DDoS 攻撃が3年間で 487%急増:ウクライナをめぐるサイバー戦争が激化”NTT Taps Microsoft to Provide MDR Service
3023/04/03 SecurityBoulevard — NTT Ltd が提供を開始した MDR (Managed Detection and Response) セキュリティ・サービスは、Azure クラウド・サービスにホストされている SIEM (Security Information Event Management) プラットフォーム Microsoft Sentinel をベースにしたものとなる。この NTT MDR サービスは、オンプレミス/クラウド環境における、あらゆるユーザー/デバイス/アプリケーション/インフラ・プラットフォームからデータを収集する。そして、このアプローチにより、NTT は高度な分析と機械学習アルゴリズムを適用して、効果的に攻撃を特定し阻止することが可能になるという。
Continue reading “NTT の新たな MDR サービス:Microsoft Sentinel をベースに展開される”CISA warns of Zimbra bug exploited in attacks against NATO countries
2023/04/03 BleepingComputer — CISA が連邦政府機関に要請したのは、NATO 諸国を標的とした攻撃でロシアのハッカーが Eメールを盗むために悪用した、Zimbra Collaboration (ZCS) に存在する XSS (Cross-Site Scripting) の脆弱性の修正である。NATO に加盟する複数の政府のポータルへの攻撃で、Winter Vivern および TA473 として追跡されているロシアのハッキング・グループが、この脆弱性 CVE-2022-27926 を悪用して、当局/政府/軍人/外交官などのメール・ボックスに不正アクセスしていたという。
Continue reading “CISA KEV 警告 23/04/03:Zimbra の脆弱性が NATO 諸国への攻撃で悪用”WinRAR SFX archives can run PowerShell without being detected
2023/04/03 BleepingComputer — 脅威アクターたちは、WinRAR 自己解凍アーカイブを無害なファイルで偽装した上で、悪意の機能を追加することで、ターゲットシステムのセキュリティ・エージェントを起動させることなく、バックドアを仕掛けるようになってきた。WinRAR や 7-Zip などの圧縮ソフトウェアで作成される、自己解凍型アーカイブ (SFX:Self-extracting archives) は、基本的に、アーカイブされたデータと内蔵の解凍スタブ (データを解凍するためのコード) で構成される実行型のファイルである。そして、SFX ファイルには、不正なアクセスを防止するためのパスワードが設定されている。
Continue reading “WinRAR/7-Zip アーカイブに仕込まれたトリック:検出を回避して PowerShell などを実行”Cryptocurrency companies backdoored in 3CX supply chain attack
2023/04/03 BleepingComputer — 3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられた。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているという。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows/macOS のデスクトップ・アプリを、トロイの木馬化させてしまった。
Continue reading “3CX VoIP にサプライチェーン攻撃:Win/Mac アプリがトロイの木馬化され暗号通貨が狙われる”Western Digital discloses network breach, My Cloud service down
2023/04/03 BleepingComputer — Western Digital のネットワークが侵害され、権限のない者が複数の社内システムにアクセスしたことが、同社から発表された。カリフォルニアに本拠を置くコンピュータ・ドライブ・メーカーであり、データストレージ・サービスのプロバイダーである Western Digital は、3月26日 (日) にネットワーク・セキュリティにインシデントが確認されたと、プレスリリースで述べている。この調査は初期段階にあり、同社は法執行当局と連携して取り組んでいるという。
Continue reading “Western Digital の My Cloud サービスがダウン:不正アクセスの詳細を調査中”Microsoft OneNote Starts Blocking Dangerous File Extensions
2023/04/03 SecurityWeek — Microsoft が発表したのは、危険とされる拡張子を持つエンベッド・ファイルを自動的にブロックする、OneNote ユーザー向けの保護機能の向上である。OneNote は、企業ユーザーがメモ作成やタスク管理のために使用する、Office スイートのコンポーネントであり、マルチ・ユーザー・コラボレーション機能も備えている。その他の Office アプリケーションと同様に、OneNote はマルウェア配信に悪用されてきた。そして、OneNote ドキュメントでは、ユーザーに対する警告を出さずに実行されるファイルを添付できる。
Continue reading “Microsoft OneNote の安全性を確保する:危険なファイル拡張子のブロックが始まる”Unapproved Apps Used By 32% of Remote Workers
2023/04/03 InfoSecurity — リモート・ワーカーとハイブリッド・ワーカーのおよそ3人に1人 (32%) が、IT 部門が承認していないアプリやソフトウェアを使用している。さらに、リモート・ワーカーの 92%が、個人のタブレットやスマートフォンを用いて、仕事のタスクをこなしていることが判明した。このデータは、クラウド・セキュリティ企業である Lookout の最新レポートによるものだ。また、調査対象となったリモート・ワーカーの 46%が、仕事のファイルを個人用デバイスに保存している。さらに、45%が、仕事と個人のアカウントで、同じパスワードを使用していることも判明した。
Continue reading “リモート・ワーカーの 32%が未承認アプリを利用:BYOD の実態を調査する”2023/04/01 SecurityAffairs — CISA は、KEV (Known Exploited Vulnerabilities) カタログに、9件の脆弱性を新たに追加した。そのうちの5件は、セキュリティ監視ベンダーが自社の商用スパイウェアでモバイル機器を狙うために使用するエクスプロイトの一部である。これらの脆弱性のカタログへの追加は、Google Threat Analysis Group (TAG) が最近に発表した、Android/iOS/Chrome などに対して複数のゼロデイ脆弱性を使用した2つの異なるキャンペーンに関する詳細レポートを受けたものだ。
Continue reading “CISA KEV 警告 23/04/01:スパイウェアなどを対象に9件の危険な脆弱性を追加”LockBit leaks data stolen from the South Korean National Tax Service
2023.04/01 SecurityAffairs — 2023年3月29日に、LockBit ランサムウェア・ギャングは、韓国の国税庁をハッキングしたことを公表した。同グループは、この韓国の機関を Tor リーク・サイトに追加し、身代金が支払われない場合には、2023年4月1日までに盗み出したデータを公開すると脅している。主として、内税の査定と徴収を担当する国税庁は、1966年3月3日に大蔵省の外郭団体として設立されている。
Continue reading “LockBit が韓国の国税庁をハッキング:盗んだデータを公表すると脅迫している”Cacti, Realtek, and IBM Aspera Faspex Vulnerabilities Under Active Exploitation
2023/04/01 TheHackerNews — Cacti/Realtek/IBM Aspera Faspex の深刻なセキュリティ脆弱性を悪用する脅威アクターたちにより、パッチ未適用のシステムを標的としたハッキングが行われている。今週の Fortinet FortiGuard Labs レポートによると、MooBot/ShellBot (別名 PerlBot) の配信に、CVE-2022-46169 (CVSS:9.8)/CVE-2021-35394 (CVSS:9.8) が悪用されているようだ。
Continue reading “Cacti/Realtek/IBM Aspera の脆弱性:複数の DDoS ボットネットとランサムウェアが悪用”
IoT OT Security News 