Cyber Warfare Escalates Amid China-Taiwan Tensions 2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。
Hackers Exploiting Remote Desktop Software Flaws to Deploy PlugX Malware 2023/03/09 TheHackerNews — リモート・デスクトップ・プログラムである、Sunlogin/AweSun のセキュリティ脆弱性を悪用する脅威アクターたちが、マルウェア PlugX を展開していることが判明した。この脆弱性は、侵害したシステム上に各種のペイロードを配信するために悪用され続けていると、AhnLab Security Emergency Response Center (ASEC) は最新の調査結果で述べている。こうして配信されたマルウェアには、Sliver post-exploitation framework/XMRig cryptocurrency miner/Gh0st RAT/Paradise ransomware などが含まれている。そして PlugX は、最近になって配布されるようになったという。
PlugX Trojan disguised as a legitimate Windows open-source tool in recent attacks 2023/02/27 SecurityAffairs — オープンソースの Windows デバッガ・ツール x32dbg を装う、PlugX RAT (Remote Access Trojan) の配布を目的とした新たな攻撃を、Trend Micro が発見した。x32dbg は、カーネル・モードやユーザー・モードのコード/クラッシュ・ダンプ/CPU レジスタなどの解析を可能にするツールである。
Black Basta Deploys PlugX Malware in USB Devices With New Technique 2023/01/27 InfoSecurity — Black Basta ランサムウェア の侵害に関する調査により、接続されたリムーバブル USB メディアデバイスに自動的に感染する、新しい PlugX マルウェアの亜種が使用されていることが判明した。Palo Alto Networks の Unit 42 は、この調査結果を Infosecurity と共有し、新しい PlugX 亜種はワーム可能であり、Windows OS から自身を隠すように USB デバイスに感染すると付け加えている。
Chinese Hackers Implant PlugX Variant on Compromised MS Exchange Servers 2021/07/28 TheHackerNews — 今年の3月に明らかになった、Microsoft Exchange Server の欠陥を悪用する中国のサイバー犯罪組織が、これまで文書化されていなかったリモート・アクセス・トロイの木馬 (RAT) の亜種を、東南アジア諸国の侵入したシステムに埋め込んでいる。Palo Alto Networks の脅威インテリジェンス・チームである Unit 42 は、今回の侵入を PKPLUG (別名:Mustang Panda / HoneyMyte) という名の脅威アクターによるものとし、侵入されたサーバーの1つに配信された、Thor と呼ばれるモジュール型 PlugX マルウェアの新バージョンを確認したと述べている。
Linux Systems Targeted: Open-Source Pupy RAT Exploited in Attacks Across Asia 2024/04/21 SecurityOnline — Pupy と呼ばれるパワフルな RAT (Remote Access Trojan) が、韓国を含むアジア全域の Linux システムを標的とした攻撃で積極的に武器化されている。AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちが、先日に発見したのは、Pupy の巧妙なオペレーションの存在であり、そこでは Decoy Dog という新たな亜種も用いられているという。
Chinese APT ‘Earth Krahang’ Compromises 48 Gov’t Orgs on 5 Continents 2024/03/19 DarkReading — これまで正体不明だった、中国のスパイ・グループが特定された。このフループは、標準的な TTP (Tactics/Techniques/Procedures) を用いながらも、23カ国の少なくとも 70組織への侵入に成功したが、そこには政府機関の 48組織も含まれていたという。Earth Krahang は、高レベルの軍事 APT ではないようだ。Trend Micro の研究者たちは新たなレポートの中で、中国共産党 (CCP) が契約した、民間のハッカー雇用オペレーションである、iSoon の一部である可能性を示唆している。
Warning: DLL Hijacking in Modern Malware Campaigns 2024/02/25 SecurityOnline — サイバー・セキュリティの脅威において、DLL (Dynamic-link library) ハイジャッキングは、依然として脅威アクターたちの定番の手口となっている。この手法は、古くから存在しているにもかかわらず、マルウェアを展開するためのステルス的な通路を、いまだに脅威アクターたちに提供し続けている。それが浮き彫りにするのは、サイバー・セキュリティにおける、防衛者と攻撃者の間の軍拡競争である。Unit42 の最新レポートは、DLL ハイジャッキングの進化にスポットを当て、この永続的な脅威の複雑さを明らかにし、この攻撃範囲を軽減するための指針を提示している。
Malicious Ads on Google Target Chinese Users with Fake Messaging Apps 2024/01/26 TheHackerNews — Google Ads で展開されている、Telegram などのメッセージング・アプリの不正広告キャンペーンにより、中国語圏のユーザーが狙われているという。1月25日のレポートで Malwarebytes の Jerome Segura は、「この脅威アクターは、Google の広告主アカウントを使用して悪意の広告を作成し、無防備なユーザーを RAT (Remote Administration Trojan) のダウンロード・ページに誘導している。この種の RAT は、攻撃者による被害者マシンの完全なコントロールを達成し、追加のマルウェアをドロップする能力を与える」と述べている。
Carderbee Attacks: Hong Kong Organizations Targeted via Malicious Software Updates 2023/08/22 TheHackerNews — 未知の脅威クラスターが、香港などを中心とするアジア圏の組織を標的として、ソフトウェア・サプライチェーン攻撃に関与していることが判明した。Broadcom 傘下の Symantec Threat Hunter Team が、Carderbee という名前で、この活動を追跡している。この攻撃は、EsafeNet Cobra DocGuard Client と呼ばれる正規ソフトウェアのトロイの木馬化バージョンを悪用し、被害者のネットワーク上に PlugX (別名 Korplug) という既知のバックドアを配信するものだ。
Chinese Phishing Gang “PostalFurious” Expands Campaign 2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール/フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。
Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs 2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。
Stealthy MerDoor malware uncovered after five years of attacks 2023/05/15 BleepingComputer — 南アシア/東南アジアの政府機関/航空機関/通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立/コマンドの実行/キーロギングを行ってきたことだ。
Leaked source code of Babuk ransomware used by 10 different ransomware families targeting VMware ESXi 2023/05/12 SecurityAffairs — 2021年に流出した Babuk ランサムウェアのソースコードをベースにして、VMware ESXi ロッカーを使用する 10件のランサムウェア・ファミリーを、SentinelLabs の研究者たちが特定した。研究者たちが指摘するのは、これらのランサムウェア・ファミリーが、2022年下半期〜2023年上半期に確認されている点である。つまり、Babuk ランサムウェアのソースコードを使用する、脅威アクターが増加していると推測されるという。それらの脅威アクターたちは、流出したソースコードを利用することで、Linux システムを標的としたランサムウェアを、専門知識がなくても作成できるようになると、専門家たちは説明している。
毎日、毎日、いろいろと有るものです・・・ こうして、海外のセキュリティ・メディアから記事を拾って、翻訳してポストしていると、あまりにも情報が多すぎて、頭が混乱してきます。そこで、週に一度、テーマを決めて、関連記事を時系列に並べるようにしてみました。 いちおう、その週の月曜日にポストの予定です・・・ AI 関連のトピック:2023年3月〜7月 今週は、AI に関連するセキュリティ記事を、2023年3月〜7月の期間でまとめました。ちょうど、ChatGPT に関する最初の盛り上がりが収束したあたりからの記事リストになります。防御側と攻撃側に影響を及ぼすことは間違いなさそうですが、サイバー犯罪の助長から始まるというのが、いまのトレンドのように感じられます。 2023/07/26:FraudGPT は悪意の生成 AI ツール:月額 $200 で ChatGPT の代替品2023/07/21:AI を悪用する6つの攻撃パターン:Google による分類と解説とは?2023/07/20:AI と OSS の関係:半数以上のプロジェクトで脆弱なパッケージを使用2023/06/20:ChatGPT のアカウント 10万件がダークウェブで販売されている2023/06/09:Google の人工知能フレームワーク SAIF:生成 AI の開発/運用を保護2023/06/06:ChatGPT が推奨する OSS パッケージは安全なのか?2023/05/25:ChatGPT で作成されたポリモーフィックなマルウェア・サンプルを検出 2023/05/08:AI による音声クローン作成:3秒間のデータで詐欺の成功率は 85%2023/04/25:フィッシングの 2022年を総括:AI ツールにより高度化する攻撃2023/04/24:VirusTotal の 新機能 Code Insight:AI を活用してマルウェアを解析2023/04/12:Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラー2023/03/29:ChatGPT/GPT-4 を止めろ:Musk/Wozniak などが申し立て2023/03/28:Microsoft の AI セキュリティ:GPT-4 を搭載 Copilot のプレビュー アジアに関連するトピック:2023年4月〜6月 … Continue reading “Weekly”
New “Rorschach” Ransomware Spread Via Commercial Product 2023/04/04 InfoSecurity — 商用セキュリティ製品である Palo Alto Cortex XDR Dump Service Tool を悪用する脅威アクターたちが、新しくユニークなランサムウェア株を展開させている。この Rorschach (ロールシャッハ) と名付けられたマルウェアは、Check Point Research (CPR) および Check Point Incident Response Team (CPIRT) により発見され、今日の未明のアドバイザリで取り上げられた。
Researchers Shed Light on CatB Ransomware’s Evasion Techniques 2023/03/20 TheHackerNews — CatB ランサムウェアのオペレーターは、検出を回避してペイロードを起動するために、DLL 検索順序ハイジャックと呼ばれる攻撃手法を使用していると確認されている。2022年末に出現した CatB99/Baxtoy とも呼ばれる CatB だが、Pandora という別のランサムウェア株の “進化形または直接的なリブランド” だと言われるのは、コード・レベルの類似性に関する分析が進んだ結果である。Pandora を使用してきたのは、Bronze Starlight (別名 DEV-0401/Emperor Dragonfly) だとされている。中国に拠点を置く、この脅威アクターは、真の目的を隠すために、短命のランサムウェア・ファミリーを採用することで知られている。
Chinese Hackers Targeting European Entities with New MQsTTang Backdoor 2023/03/03 TheHackerNews — 中国に拠点を置く Mustang Panda が、2023年1月に開始したソーシャルエンジニアリング・キャンペーンの一環として、MQsTTang と呼ばれる新たなカスタム・バックドアを使用していることが確認された。ESET の研究者である Alexandre Côté Cyr は、新しいレポートの中で「MQsTTang は、このグループにおける大半のマルウェアとは異なり、既存のファミリーや一般に公開されているプロジェクトをベースにしていないようだ」と述べている。
GuLoader Malware Using Malicious NSIS Executables to Target E-Commerce Industry 2023/02/06 TheHackerNews — 先月末に、韓国と米国の e-Commerce 業界が、現在進行中の GuLoader マルウェア・キャンペーンの被害を受けていたことを、サイバーセキュリティ企業の Trellix が明らかにした。このマルスパム活動の特徴は、その侵入の手口を、マルウェアを混入した Microsoft Word 文書から、マルウェアをロードするための NSIS 実行ファイルへと移行している点だ。このキャンペーンでは、ドイツ/サウジアラビア/台湾/日本などの国々も対象となっている。
China-Backed APT Pwns Building-Automation Systems with ProxyLogon 2022/06/29 DarkReading — これまで未知とされてきた中国語圏の高度持続的脅威 (APT) アクターが、Microsoft Exchange の脆弱性 ProxyLogon を悪用してマルウェア ShadowPad を展開している。その最終目標は、ビルオートメーション・システム (BAS:Building Automation System) を乗っ取り、ネットワークに深く侵入することだと、研究者たちは述べている。
Trend Micro fixes bug Chinese hackers exploited for espionage 2022/05/24 BleepingComputer — Trend Micro が発表した内容は、中国の脅威グループが不正な DLL をサイドロードし、マルウェアを展開するために使用した、Trend Micro Security の DLL ハイジャック脆弱性に対するパッチ適用についてである。5月上旬に Sentinel Labs が明らかにしたように、Windows 上で動作するセキュリティ製品の高権限を悪用する攻撃者は、悪意を持って細工した独自の DLL をメモリ上にロードし、権限昇格とコードの実行を可能にしていたようだ。
ウクライナに関連するポストを時系列で整理したページです。2021年12月ころから、ロシアとの緊張が高まり始め、このブログでも、それを意識しながらニュースを選ぶようにしてきました。残念ながら、2月24日に侵攻が始まってしまいましたが、それ以前から、サイバー空間での戦いは始まっていました。今後も、ウクライナ関連のポストは、ここにリンクを貼っていくようにします。 2022年夏のまとめとして、お勧めします。タニワキコラムさんのウクライナ侵攻とデジタル技術 ーーーーー 2023/06/07 InfoSecurityPowerDrop は新種の PowerShell マルウェア:米国の航空宇宙産業を攻撃している 2023/06/02 InfoSecurityPostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている 2023/06/01 SecurityWeekiOS の iMessage を侵害するゼロクリック攻撃:ロシアが米情報機関を非難している 2023/05/31 TheHackerNewsRomCom RAT と Void Rabisu の関連性:サイバー犯罪と APT 攻撃の境界線は曖昧? 2023/05/24 SecurityWeekVolt Typhoon という中国の APT:グアムの重要インフラへの攻撃を Microsoft が検知 2023/05/23 BleepingComputerドイツの兵器メーカー Rheinmetall にランサムウェア攻撃:BlackBasta が犯行を主張 2023/05/18 InfoSecurity中国 – 台湾の緊張関係とサイバー戦争:PlugX マルウェアを仕込んだフィッシング攻撃が激化 2023/05/17 SecurityWeekNATO サイバー防衛ハブ:ウクライナ/アイスランド/アイルランド/日本が加入 2023/05/10 TheHackerNewsSnake はロシア FSB 由来:米政府が無効化した最強のスパイツールとは? 2023/04/20 BleepingComputerロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査 2023/03/21 … Continue reading “Cyber Warfare”
Chinese Hackers Used a New Rootkit to Spy on Targeted Windows 10 Users 2021/10/01 TheHackerNews — これまで詳細が不明だった、中国語を話す脅威アクターだが、東南アジアのターゲットを狙い、侵害された Windows システムにカーネルモード Rootkit をデプロイするために、2020年7月の時点から回避操作を行っていたようだ。Kaspersky が GhostEmperor と名付けた、このハッキング・グループによる攻撃は、標的となったホストに対する持続性と遠隔操作を可能にする、洗練されたマルチステージのマルウェア・フレームワークを使用していたとも言われている。