Day: July 31, 2023

Patchwork はインドの APT:EyeShell バックドアを使って中国の研究機関を攻撃

Patchwork Hackers Target Chinese Research Organizations Using EyeShell Backdoor

2023/07/31 TheHackerNews — Patchwork と命名されたハッキング・グループが、最近に確認されたキャンペーンの一環として、中国の大学および研究機関を攻撃していることが判明した。KnownSec 404 Team によると、このキャンペーンでは、コードネーム EyeShell と呼ばれるバックドアが使用されていたという。Patchwork は、別名 Operation Hangover/Zinc Emerson でも知られており、インドが支援する脅威グループであると見られている。遅くとも 2015年12月から活動している同グループは、スピア・フィッシングやウォータリング・ホール攻撃を通じて、パキスタンや中国の組織に対して、BADNEWS などのカスタムイン・プラントを仕掛けてきた。

Continue reading “Patchwork はインドの APT:EyeShell バックドアを使って中国の研究機関を攻撃”

CVSS と CISA KEV だけに頼らない脆弱性管理:EPSS という新たな指標が登場

Relying on CVSS alone is risky for vulnerability management

2023/07/31 HelpNetSecurity — Rezilion によると、脆弱性の優先順位付けを CVSS のみに依存する管理の手法は、最善ではないことが判明しているようだ。実際のところ、それぞれの脆弱性のリスクを評価するために、CVSS の深刻度スコアのみに依存することは、脆弱性をランダムに選択して修復することに変わりないという。よりスケーラブルで効果的な優先順位の決定戦略を可能にするためには、さらなるコンテキストが必要となる。このコンテキストには、標的環境の内部的な情報源 (資産に関する重要性/緩和策/到達可能性) だけでなく、外部的な情報源も必要になる。

Continue reading “CVSS と CISA KEV だけに頼らない脆弱性管理:EPSS という新たな指標が登場”

Canon インクジェット・プリンターの問題:初期化しても Wi-Fi 接続設定が消去されない

Canon warns of Wi-Fi security risks when discarding inkjet printers

2023/07/31 BleepingComputer — Canon の SOHO インクジェット・プリンターの初期化時に、デバイスのメモリに保存された Wi-Fi 接続設定が消去されず、データへの不正アクセスを許す脆弱性が存在すると警告されている。この脆弱性の悪用が、修理技術者/一時的なユーザー/デバイスの将来の購入者により行われると、プリンタ・メモリが抜き取られて Wi-FI ネットワークの接続情報を取得され、影響を受けるユーザーにリスクをもたらされる可能性がある。

Continue reading “Canon インクジェット・プリンターの問題:初期化しても Wi-Fi 接続設定が消去されない”

P2PInfect ワームが Redis を侵害:洗練された手口と Rust で書かれたコードとは?

New P2PInfect Worm Targets Redis Servers with Undocumented Breach Methods

2023/07/31 TheHackerNews — P2PInfect P2 ワーム は、これまで文書化されていないイニシャル・アクセス方法を用いて、影響を受けやすい Redis サーバに侵入し、ボットネットへと取り込んでいることが確認されている。Cado Security の研究者である Nate Bill と Matt Muir は、「このマルウェアは、レプリケーション機能を悪用することで、Redis データストアの露出したインスタンスを侵害する。クラウド環境の Redis に対する一般的な攻撃パターンは、悪意のインスタンスを介して上記の機能を悪用し、レプリケーションを有効化することである。具体的に言うと、公開された Redis インスタンスに接続し、SLAVEOF コマンドを発行することで実現する」と、The Hacker Newsと共有したレポートの中で述べている。

Continue reading “P2PInfect ワームが Redis を侵害:洗練された手口と Rust で書かれたコードとは?”

AVRecon ボットネットの標的は SOHO ルーター:不正なプロキシを増殖してサーバー犯罪を支援

AVRecon Botnet Leveraging Compromised Routers to Fuel Illegal Proxy Service

2023/07/31 TheHackerNews — AVReconと呼ばれるボットネットの詳細が明らかになった。このボットネットは、遅くとも 2021年5月以降における、複数年にわたるキャンペーンの一環として、侵害した SOHO ルーターを悪用していることが確認されている。7月の初めに AVRecon は、Lumen Black Lotus Labsにより公開されたマルウェアであり、追加コマンドを実行し、被害者の帯域幅を盗み、他の脅威アクターが利用できるようするという、違法なプロキシ・サービスだと思われる。また、その規模は QakBot を上回り、世界20カ国に存在する 41,000台を超えるノードに侵入していという。

Continue reading “AVRecon ボットネットの標的は SOHO ルーター:不正なプロキシを増殖してサーバー犯罪を支援”

Fruity マルウェア・ローダーと Remcos RAT のセット:偽の DL サイトでユーザーを待ち伏せ

Fruity Trojan Uses Deceptive Software Installers to Spread Remcos RAT

2023/07/31 TheHackerNews — 脅威アクターたちは、トロイの木馬化されたソフトウェアをホストする偽の Web サイトを作成してユーザーを騙し、Fruity と呼ばれるマルウェア・ローダーをダウンロードさせた後に、Remcos RAT などのリモート型トロイの木馬ツールをインストールさせている。セキュリティ・ベンダーである Doctor Web は、「問題のソフトウェアの中には、CPU/グラフィックカード/BIOS など微調整するツールや、PC ハードウェア・モニタリング・ツールなどのアプリも含まれている。このようなインストーラーはオトリとして使用され、潜在的な被害者が望むソフトウェアに加えて、トロイの木馬を構成するコンポーネントが含まれている」と述べている。

Continue reading “Fruity マルウェア・ローダーと Remcos RAT のセット:偽の DL サイトでユーザーを待ち伏せ”

Barracuda ESG 攻撃に新たなマルウェア:Submarine と呼ばれるバックドア – CISA

CISA: New Submarine Backdoor Used in Barracuda Campaign

2023/07/31 InfoSecurity — Barracuda セキュリティ・アプライアンスを標的として連邦政府ネットワークに侵入した中国の脅威アクターが、Submarine と呼ばれる新たなバックドアを、攻撃の一部で利用していたことが明らかにされた。この攻撃に関する Mandiant のオリジナル・レポートでは、このグループが使用した3種類のバックドア Seaside/Saltwater/Seaspy に焦点が当てられている。しかし、7月28日に CISA が、”永続性を確立し維持する” ためにの、新たなバックドア型マルウェアが配備されたことを明らかにした。

Continue reading “Barracuda ESG 攻撃に新たなマルウェア:Submarine と呼ばれるバックドア – CISA”