Microsoft Admits Security Failings Allowed China to Access US Government Emails 2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。
North Korean Hackers Exploit Old Office Flaw to Deploy Keylogger 2024/06/13 SecurityOnline — 北朝鮮の国家支援グループ Kimsuky により、新たなサイバー・スパイ・キャンペーンが実施されていることを、AhnLab Security Emergency response Center (ASEC) が公表した。このグループは、Microsoft Office の数式エディタに存在する、既知の脆弱性 CVE-2017-11882 を悪用して、高度なキーロガーを配信している。
Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft 2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的/効果的であるということに気づき始めている。独自のインフラを構築/維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。
Bogus npm Packages Used to Trick Software Developers into Installing Malware 2024/04/27 TheHackerNews — 現在進行中のソーシャル・エンジニアリング・キャンペーンは、ソフトウェア開発者の就活をターゲットにする偽の npm パッケージを提供し、Python バックドアをダウンロードさせるというものだ。サイバー・セキュリティ企業の Securonix は、このキャンペーンを DEV#POPPER という名前で追跡しており、北朝鮮の脅威アクターと結びつけている。
Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability 2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも1ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の1つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。
PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338) 2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。
Compromised SaaS Supply Chain Apps: 97% Of Organizations At Risk Of Cyber Attacks 2024/03/29 GBHackers — SaaS (Software as a Service) アプリケーションに依存することで、効率性/イノベーション/成長を促進する企業が増えている。しかし、相互接続が多様化/複雑化するデジタル・エコシステムへのシフトには、リスクも伴うことになる。Wing Security の “2024 State of SaaS Security Report” によると、2023年には 97% もの組織が、侵害された SaaS サプライチェーン・アプリケーションを介した攻撃に直面しているという。この事実は、現代の企業のデジタル・インフラにおける、深刻な脆弱性を浮き彫りにしている。
CISA Warns of Active Exploitation of Windows Kernel Vulnerability 2024/03/05 SecurityOnline — CISA は、深刻度の高い Windows Kernel の脆弱性 CVE-2024-21338 を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。この脆弱性は、脆弱なシステムへの SYSTEM レベルの特権アクセスを得るため、攻撃者たちにより頻繁に悪用されている。
ScreenConnect flaws exploited to drop new ToddleShark malware 2024/03/04 BleepingComputer — 北朝鮮の APT ハッキング・グループである Kimsuky は、ScreenConnect の脆弱性を、特に CVE-2024-1708/CVE-2024-1709 を悪用して、ToddleShark という新しいマルウェアの亜種をターゲットに感染させている。Kimsuky (別名 Thallium/Velvet Chollima) は、北朝鮮の国家支援ハッキング・グループであり、世界中の組織や政府に対するサイバー・スパイ攻撃で知られている。
Critical vulnerabilities in TeamCity JetBrains fixed, release of technical details imminent, patch quickly! (CVE-2024-27198, CVE-2024-27199) 2024/03/04 HelpNetSecurity — JetBrains が公表したのは、TeamCity On-Premises に存在する2つの深刻なセキュリティ脆弱性 CVE-2024-27198/CVE-2024-27199 の修正である。今日、JetBrains は、「この脆弱性を最初に特定した Rapid7 は、当社に報告してくれたが、独自の開示ポリシーを厳守することを選択した。つまり、同社のチームは、この通知から 24時間以内に、脆弱性の技術的な詳細とレプリケーション手順を公開する予定である」と述べている。
Microsoft Zero-Day Used by Lazarus in Rootkit Attack 2024/03/01 DarkReading — Microsoft のアプリケーション・ホワイトリスト・ソフトウェア AppLocker の、ゼロデイ脆弱性は修正されている。しかし、北朝鮮に支援される Lazarus Group が実施する、ルートキット型サイバー攻撃において、この脆弱性が悪用されることは防げなかった。Avast の研究者たちの説明によると、Microsoft Windows のゼロデイ脆弱性 CVE-2024-21338 を発見した Lazarus は、FudModule と呼ばれる独自のルートキット・マルウェアの更新版を介して、Admin から Kernel へと権限を引き上げたという。
Japan warns of malicious PyPi packages created by North Korean hackers 2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Google Open Sources Magika: AI-Powered File Identification Tool 2024/02/17 TheHackerNews — Google は、人工知能 (AI) を搭載したファイル識別ツールである Magika をオープンソース化することを発表した。同社は、「Magika は、従来のファイル識別方法を凌駕するものであり、VBA/JavaScript/Powershell などの、従来は識別が困難であったが潜在的に問題のあるコンテンツに対して、全体として 30%の精度向上と、最大で 95%の高精度を提供する」と述べている。
JetBrains warns of new TeamCity auth bypass vulnerability 2024/02/06 BleepingComputer — 2月6日に JetBrains が公表したアドバイザリは、TeamCity On-Premises サーバに存在する、深刻な認証バイパスの脆弱性に関するものである。管理者の権限を不正に取得した攻撃者により、脆弱なインスタンスが乗っ取られる可能性があるとして、同社はパッチを適用するようユーザーに促している。
CVE-2024-0252 (CVSS 9.9): Zoho ManageEngine ADSelfService RCE Vulnerability 2024/01/11 SecurityOnline — Active Directory とクラウド・アプリケーションのための、統合されたセルフサービス・パスワード管理とシングルサインオン機能を提供する、Zoho の ManageEngine ADSelfService Plus の機能が侵害された。この新たに発見された脆弱性への、IT 専門家による早急な対応が求められている。
CVE-2023-49954: Critical SQL Injection Vulnerability in 3CX CRM Integration 2023/12/16 SecurityOnline — 目まぐるしく変化するインターネット・コミュニケーションの世界において、セキュリティの脅威に先手を打つことは、必要不可欠なことだ。最近では、有名な VoIP 通信会社である 3CX が、膨大な量の機密データを危険にさらす可能性のある深刻なセキュリティの脆弱性について、顧客に警告を発している。
Russian hackers target unpatched JetBrains TeamCity servers 2023/12/14 HelpNetSecurity — 米国/英国/ポーランドのサイバー・セキュリティ機関と法執行当局の警告によると、2023年9月以降においてロシア政府に支援されたハッカー集団が、JetBrains TeamCity の脆弱性 CVE-2023-42793 を悪用しているとのことだ。この攻撃では、インターネットに露出した、パッチ未適用の JetBrains Team Cityサーバが標的にされているという。ロシアの APT29 (別名 CozyBear/Midnight Blizzard) は、ロシア対外情報庁 (SVR) に関連していると考えられ、2013年から活動しているグループである。
Operation Blacksmith: Lazarus Exploits Log4J Flaws To Deploy Dlang Malware 2023/12/12 SecurityAffairs — 北朝鮮に関連する APT グループ Lazarus が、Log4j の脆弱性を悪用して、これまで文書化されていなかった RAT (remote access trojans) を展開するという、新たなハッキング・キャンペーンを操っている。Cisco Talos の研究者たちは、このキャンペーンを “Operation Blacksmith” として追跡しているが、この国家に支援される脅威アクターは、少なくとも3種類の新たな DLang ベースのマルウェア・ファミリーを採用している。それらのマルウェアのうち2系統は RAT であり、NineRAT と DLRAT という名前で追跡されている。また、NineRAT は、C2 通信のために Telegram のボットとチャンネルに依存している。
North Korean Software Supply Chain Attack Hits North America, Asia 2023/11/24 SecurityWeek — 今週に Microsoft が報告したのは、北朝鮮の脅威グループ Diamond Sleet (Zinc) が台湾のソフトウェア会社に侵入し、そのシステムを悪用して、北米とアジアに展開されるデバイスへ向けてマルウェアを配信したことだ。この脅威グループは、以前は Lazarus のサブ・グループとされてきたハッカー集団であり、データ窃盗/スパイ活動/破壊/金銭的利益を目的とする攻撃を行なってきた。そして、サイバー・セキュリティやハイテク企業の従業員に加えて、セキュリティ研究者や侵入テスト担当者も攻撃してきたという。
Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI 2023/11/08 TheHackerNews — PyPI (Python Package Index) リポジトリに忍び込み、開発者のシステムを侵害して機密情報を盗み出す、悪質な Python パッケージの新しいセットが発見された。 Checkmarx は、「これらのパッケージは、無害な難読化ツールを装っているが、BlazeStealer と呼ばれるマルウェアを隠し持っている」と、The Hacker News と共有したレポートで述べている。
US, Japan and South Korea Unite to Counter North Korean Cyber Activities 2023/11/07 InfoSecurity — 日本/米国/韓国が、北朝鮮のサイバー活動に対抗するための、ハイレベル協議機関を設立した。韓国の国家安全保障室によると、この新組織の主な目的は、核開発を含む北朝鮮の兵器開発の資金源となる、サイバー攻撃や暗号強奪を防ぐことだという。同組織によると、この協議体は、世界的なサイバー脅威に対して、3カ国が共同で対応する能力を強化するという。
N. Korean Lazarus Group Targets Software Vendor Using Known Flaws 2023/10/27 TheHackerNews — 北朝鮮と連携している Lazarus Group が、知名度の高いソフトウェアに存在する既知の脆弱性を悪用し、無名のソフトウェア・ベンダーを侵害するという、新たなキャンペーンを操っているようだ。Kaspersky が指摘するのは、一連の攻撃により SIGNBT/LPEClient などのマルウェア・ファミリーが展開され、被害者のプロファイリングやペイロードの配信に使用される、ハッキング・ツールとして機能している点だ。
North Korean hackers exploit critical TeamCity flaw to breach networks 2023/10/18 BleepingComputer — 北朝鮮のハッキンググループ Lazarus と Andariel が、TeamCity サーバの脆弱性 CVE-2023-42793 を悪用してバックドア型マルウェアを展開し、ソフトウェア・サプライチェーン攻撃を行っているようだと、Microsoft が述べている。TeamCity は、組織がソフトウェア開発インフラの一部として使用する CI/CD (continuous integration and continuous deployment) サーバである。2023年9月に TeamCity は、脆弱性 CVE-2023-42793 (CVSS:9.8/10) を修正し、未認証の攻撃者によるリモートコード実行に対処した。こうして、TeamCity による修正は完了したが、その一方では、ランサムウェア集団などの脅威アクターが、企業ネットワークに侵入するために、この欠陥を悪用し始めている。
North Korea’s Lazarus Group Launders $900 Million in Cryptocurrency 2023/10/06 TheHackerNews — 暗号通貨 $7 billion 相当が、クロスチェーン犯罪により違法に洗浄されている。そして、北朝鮮と関連のある Lazarus Group は、2022年7月〜20237月に、その収益のうち約 $900 million の窃盗に関与している。今週にブロックチェーン分析会社 Elliptic は発表した最新レポートの中では、「コイン・ミキサーなどを提供する従来からの組織が、いまでも押収や制裁の対象として監視されているため、チェーンホッピングやアセットホッピングへと切り替える、暗号通貨の犯罪組織が増加している」と記されている。
Microsoft Releases New Report on Cybercrime, State-Sponsored Cyber Operations 2023/10/06 SecurityWeek — Microsoft の最新レポートによると、サイバー攻撃を受けた 120の国々の中で、米国/ウクライナ/イスラエルの三国は、依然としてサイバースパイやサイバー犯罪の、最大の標的であり続けているようだ。同社によると、観測された攻撃の 40% 以上において、重要インフラ組織が標的とされ、国家に支援されるスパイ活動などが、その要因となっているという。また、観測されたサイバー攻撃の半分が、NATO 加盟国を対象としていたこともあったという。
Sony Investigating After Hackers Offer to Sell Stolen Data 2023/09/26 SecurityWeek — あるサイバー犯罪グループが、Sony のシステムに侵入して盗んだデータを、販売すると主張しいていることを受け、同社による調査が開始されたという。SONY の担当者は、「現在状況を調査中であり、現時点では、これ以上のコメントはない」と、SecurityWeek に述べている。この調査が開始されたのは、RansomedVC という新たなランサムウェア・グループが、Tor ベースの自身の Web サイトに被害者として Sony を掲載し、その全システムを侵害したと主張した後のことである。
North Korean hackers behind malicious VMConnect PyPI campaign 2023/08/31 BleepingComputer — PyPI (Python Package Index) リポジトリに対して、悪意のパッケージをアップロードする VMConnect キャンペーンの背後には、北朝鮮の国家に支援を受けたハッカーたちが存在し、その中には VMware vSphere の正規のコネクタ・モジュール vConnector を模倣するものがある。この、VMConnect という名前の悪意のパッケージは8月初旬にアップロードされ、仮想化ツールを求める IT スペシャリストを標的としている。すでに、PyPI プラットフォームからは削除されているが、その時点で VMConnect は 237回もダウンロードされている。
Lazarus APT exploits Zoho ManageEngine flaw to target an Internet backbone infrastructure provider 2023/08/24 SecurityAffairs — 北朝鮮が関与する APT グループ Lazarus は、Zoho の ManageEngine ServiceDesk に存在する脆弱性 CVE-2022-47966 悪用し、インターネット・バックボーン・インフラ・プロバイダーや医療機関を狙った攻撃を仕掛けている。この、国家に支援されたハッカーは、欧州と米国の組織を標的として、PoC エクスプロイトが公開された僅か数日後に、この脆弱性を悪用し始めた。この欠陥を悪用する Lazarus は、QuiteRAT として追跡されている新しいマルウェアを展開している。セキュリティ研究者が、このインプラントを発見したのは2023年2月のことだった。
North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder 2023/07/25 TheHackerNews — 北朝鮮の General Bureau (RGB) に所属する活動家たちが、JumpCloud のハッキングに関与しているようだ。Google 傘下の Mandiant は、UNC4899 という名前で追跡している脅威アクターに起因する活動だとしている。このグループは、ブロックチェーンと暗号通貨セクターを攻撃してきた Jade Sleet/TraderTraitor として監視されている、クラスターと重複している可能性が高いようだ。また、UNC4899 は APT43 とも重なっている。APT43 とは、北朝鮮 (DPRK) に関連する別のハッキング・グループであり、2023年3月の初旬に、標的とした企業から暗号通貨を吸い上げるための、一連のキャンペーンを実施していることが明らかになっている。
Lazarus hackers hijack Microsoft IIS servers to spread malware 2023/07/24 BleepingComputer — 北朝鮮の国家支援のハッカー・グループである Lazarus が、Windows IIS (Internet Information Service) Web サーバを乗っ取り、マルウェアを配布していることが明らかになった。Microsoft の Web Server ソリューションである IIS は、Web サイトや Microsoft Exchange Outlook Web などのアプリケーション・サービスをホストするために使用されるものだ。
GitHub warns of Lazarus hackers targeting devs with malicious projects 2023/07/20 BleepingComputer — GitHub が警告しているソーシャル・エンジニアリング・キャンペーンは、ブロックチェーン/暗号通貨/オンライン・ギャンブル/サイバー・セキュリティなどの分野の、開発者のアカウントを標的とし、彼らのデバイスにマルウェアに感染させるものだ。このキャンペーンは、北朝鮮国家支援のハッキング・グループ Lazarus と関連づけられている。Microsoft が Jade Sleet と呼び、CISA が TraderTraitor と呼ぶ、この脅威アクターの手口を詳述したレポートは、2022年に米国政府から発表されている。このハッキング・グループは、暗号通貨企業やサイバー・セキュリティ研究者たちを標的とした、サイバースパイ活動や暗号通貨の窃取を行ってきた。
JumpCloud Confirms Data Breach By Nation-State Actor 2023/07/18 InfoSecurity — ID およびアクセス管理のソリューション・プロバイダーである JumpCloud は、国家を標的とする脅威アクターによる、セキュリティ侵害の標的になったことを、2023年7月12日に明らかにした。この侵害は 6月27日に、社内のオーケストレーション・システムで異常なアクティビティが検出されたことで明らかになった。このインシデントは、6月22日に脅威アクターが開始したスピア・フィッシング・キャンペーンにより、JumpCloud インフラの特定のセクションに不正アクセスは発生したというものだ。
Fake Linux vulnerability exploit drops data-stealing malware 2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続/未承認のシステム・アクセス試行/非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。
Beware: New ‘RustBucket’ Malware Variant Targeting macOS Users 2023/07/01 TheHackerNews — 研究者たちが発見したのは、永続性を確立し、セキュリティ・ソフトウェアによる検出を回避する機能を備えた、RustBucket と呼ばれる macOS マルウェアの更新バージョンだ。Elastic Security Labs の研究者たちは、6月29日に公開されたレポートで、「macOS システムを標的とするマルウェア・ファミリーである RustBucket の亜種は、Command-and-Control (C2) のための動的ネットワーク・インフラ手法を活用し、これまで観測されていなかった永続化機能が追加されている」と説明している。
Japan in the Crosshairs of Many State-Sponsored Threat Actors New Report Finds 2023/06/29 InfoSecurity — Rapid7 の最新レポートによると、日本は数多くのサイバー脅威にさらされ、スパイ活動や金銭的な動機によるキャンペーンなどの標的になっているという。Rapid7 は、2023年6月28日に発表したレポート ”Japan and Its Global Business Footprint: The Cyberthreat Landscape Report” で、典型的な国家的脅威の発生源である3カ国 (中国/北朝鮮/ロシア) から、この東アジアの国が標的にされていることを明らかにした。また、2022年上半期におけるランサムウェア攻撃の 32.5%が、製造業に対するものであることも判明した。これに対して、同期間中にヘルスケア業界から報告されたものは、わずか 7.9%だった。
3CX data exposed, third-party to blame 2023/06/20 SecurityAffairs — サイバー攻撃の被害者を嘲笑うべきではないが、「初めて騙されたのなら相手が悪いが、続けて騙されたのなら自分が悪い」という言葉が、昔から繰り返して使われてきたのには、なんらかの理由があるのだろう。2023年の初めに、北朝鮮のハッカーと思われる人物が 3CX にサプライチェーン攻撃を仕掛け、同社のソフトウェアを使用してデバイス上にマルウェアをばらまいた。
Fake Researcher Profiles Spread Malware through GitHub Repositories as PoC Exploits 2023/06/14 TheHackerNews — 不正なサイバー・セキュリティ企業の研究者たちによる、少なくとも6つの GitHub アカウントが、7つの悪意のリポジトリをプッシュしていることが確認された。この7つのリポジトリは、Discord/Google Chrome/Microsoft Exchange Server などの、ゼロデイ脆弱性の概念実証 (PoC) だと見られている。
North Korea Makes 50% of Income from Cyber-Attacks: Report 2023/06/05 InfoSecurity — 北朝鮮の政権における外貨収入の約半分は、暗号通貨などを狙ったサイバー攻撃から得られていると、米国の外交官が主張している。核兵器/ミサイルの計画と歩調を合わせるように、2018年以降において、同国からのサイバー攻撃が急増していると、バイデン政権の高官が日本経済新聞に語っている。
Ransomware Gangs Adopting Business-like Practices to Boost Profits 2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。 フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。
N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware 2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱な バージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。
XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks 2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk/Tim Peck/Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。
N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks 2023/05/05 TheHackerNews — Kimsuky という名の、北朝鮮の国家に支援される脅威アクターは、進行中のグローバル・キャンペーンの一環として、ReconShark という新たな偵察ツールを使用していることが判明した。 SentinelOne の研究者である Tom Hegel と Aleksandar Milenkoski は、「ReconShark は、スピアフィッシング・メールおよび、文書のダウンロードにつながる OneDrive リンク、そして、悪意のマクロの実行を介して、標的とする個人に対して配信されている」と述べている。
North Korea-linked ScarCruft APT uses large LNK files in infection chains 2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。
Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive 2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト/カナダ/マレーシアといった、遠方の国々へと広がっている。
North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec 2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。
毎日、毎日、いろいろと有るものです・・・ こうして、海外のセキュリティ・メディアから記事を拾って、翻訳してポストしていると、あまりにも情報が多すぎて、頭が混乱してきます。そこで、週に一度、テーマを決めて、関連記事を時系列に並べるようにしてみました。 いちおう、その週の月曜日にポストの予定です・・・ AI 関連のトピック:2023年3月〜7月 今週は、AI に関連するセキュリティ記事を、2023年3月〜7月の期間でまとめました。ちょうど、ChatGPT に関する最初の盛り上がりが収束したあたりからの記事リストになります。防御側と攻撃側に影響を及ぼすことは間違いなさそうですが、サイバー犯罪の助長から始まるというのが、いまのトレンドのように感じられます。 2023/07/26:FraudGPT は悪意の生成 AI ツール:月額 $200 で ChatGPT の代替品2023/07/21:AI を悪用する6つの攻撃パターン:Google による分類と解説とは?2023/07/20:AI と OSS の関係:半数以上のプロジェクトで脆弱なパッケージを使用2023/06/20:ChatGPT のアカウント 10万件がダークウェブで販売されている2023/06/09:Google の人工知能フレームワーク SAIF:生成 AI の開発/運用を保護2023/06/06:ChatGPT が推奨する OSS パッケージは安全なのか?2023/05/25:ChatGPT で作成されたポリモーフィックなマルウェア・サンプルを検出 2023/05/08:AI による音声クローン作成:3秒間のデータで詐欺の成功率は 85%2023/04/25:フィッシングの 2022年を総括:AI ツールにより高度化する攻撃2023/04/24:VirusTotal の 新機能 Code Insight:AI を活用してマルウェアを解析2023/04/12:Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラー2023/03/29:ChatGPT/GPT-4 を止めろ:Musk/Wozniak などが申し立て2023/03/28:Microsoft の AI セキュリティ:GPT-4 を搭載 Copilot のプレビュー アジアに関連するトピック:2023年4月〜6月 … Continue reading “Weekly”
North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack 2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows/macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。
Cryptocurrency companies backdoored in 3CX supply chain attack 2023/04/03 BleepingComputer — 3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられた。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているという。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows/macOS のデスクトップ・アプリを、トロイの木馬化させてしまった。
2022 witnessed a drop in exploited zero-days 2023/03/21 HelpNetSecurity — 2022年に悪用されたゼロデイ脆弱性は 55件であり、2021年の 81件から減少しており、最も狙われたのは Microsoft/Google/Apple の製品だった。 この 55件のうち 53件が、脆弱なデバイス上での攻撃者による特権昇格やリモートコード実行につながるものだと、Mandiant の最新レポートは明らかにしている。
Chinese Hackers Targeting European Entities with New MQsTTang Backdoor 2023/03/03 TheHackerNews — 中国に拠点を置く Mustang Panda が、2023年1月に開始したソーシャルエンジニアリング・キャンペーンの一環として、MQsTTang と呼ばれる新たなカスタム・バックドアを使用していることが確認された。ESET の研究者である Alexandre Côté Cyr は、新しいレポートの中で「MQsTTang は、このグループにおける大半のマルウェアとは異なり、既存のファミリーや一般に公開されているプロジェクトをベースにしていないようだ」と述べている。