Day: June 2, 2023

Linux の新型ランサムウェア BlackSuit:Royal ランサムウェアとの類似性が判明

New Linux Ransomware BlackSuit is similar to Royal ransomware

2023/06/02 SecurityAffairs — 2022年に注目を集めたランサムウェア・ファミリー Royal は、2023年5月初旬にテキサス州ダラスの IT システムに対する攻撃を行っている。人手によるオペレーションを特徴とする Royal ランサムウェアは、2022年9月に初めて脅威環境に登場し、最大で数百万ドルの身代金を要求してきた。Royal ランサムウェアは C++ で書かれており、Windows システムに感染し、データ復旧を防ぐために全てのボリュームシャドウコピーを削除する。このランサムウェアは、ローカルネットワーク上のネットワーク共有とローカルドライブを、AES アルゴリズムで暗号化していくとされる。

Continue reading “Linux の新型ランサムウェア BlackSuit:Royal ランサムウェアとの類似性が判明”

PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避

Malicious PyPI Packages Use Compiled Python Code to Bypass Detection

2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。

Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”

Windows 11 の SMB 署名を義務化:NTLM リレー攻撃に対する保護を優先する

Windows 11 to require SMB signing to prevent NTLM relay attacks

2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名:セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。

Continue reading “Windows 11 の SMB 署名を義務化:NTLM リレー攻撃に対する保護を優先する”

PostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている

Chinese Phishing Gang “PostalFurious” Expands Campaign

2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール/フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。

Continue reading “PostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている”

Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが

Malicious Chrome extensions with 75M installs removed from Web Store

2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。

Continue reading “Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが”