Quasar RAT Leverages DLL Side-Loading to Fly Under the Radar 2023/10/23 TheHackerNews — Quasar RAT というオープンソースのリモート・アクセス型トロイの木馬は、DLL のサイドローディングを利用して感染させた Windows ホストから、水面下でデータを吸い上げることが確認されている。Uptycs の研究者である Tejaswini Sandapolla と Karthickkumar Kathiresan は、「この手法は、 Windows 環境内で ctfmon.exe/calc.exe ファイルが実行されるという、固有の信頼を利用している」と先週に発表した報告書で述べ、このマルウェアが攻撃チェーンの一部として、ctfmon.exe/calc.exe に依存していることを詳しく説明した。
Emotet Botnet Distributing Self-Unlocking Password-Protected RAR Files to Drop Malware 2022/10/21 TheHackerNews — Emotet ボットネットの新しいマルスパム・キャンペーンは、パスワードで保護されたアーカイブ・ファイルを利用して、感染させたシステムに CoinMiner と Quasar RAT をドロップするものだ。Trustwave SpiderLabs の研究者たちが検出した攻撃チェーンの手口では、請求書を装う ZIP ファイルのルアーに、ネストした自己解凍 (SFX) アーカイブが含まれており、最初のアーカイブを媒介として機能させ、2番目のアーカイブを起動することが判明している。
Japan warns of malicious PyPi packages created by North Korean hackers 2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Malicious NuGet Package Targeting .NET Developers with SeroXen RAT 2023/10/12 TheHackerNews — .NET Framework のための NuGet パッケージ・マネージャーにホストされている悪質なパッケージが、SeroXen RAT というリモート・アクセス型のトロイの木馬を配信していることが判明した。このパッケージは、Pathoschild.Stardew.Mod.Build.Config と名付けられ、Disti というユーザーにより公開されているが、正規のパッケージであるPathoschild.Stardew.ModBuildConfig を装うタイポスクワッティングであると、サプライチェーン・セキュリティ会社 Phylum が、今日のレポートで指摘している。現時点において、正規のパッケージは約79,000ダウンロードを記録しているが、2023年10月6日に公開された悪意の亜種の方は、ダウンロード数を人為的に水増して、100,000 ダウンロードを超えているとされる。
Hackers now use Microsoft OneNote attachments to spread malware 2023/01/21 BleepingComputer — OneNote の添付ファイルをフィッシング・メールに使用する攻撃者たちが、被害者のマシンにリモート・アクセスに対応するマルウェアを感染させ、さらなるマルウェアのインストールや、パスワードの窃取、暗号通貨ウォレット侵害へとエスカレートさせようとしている。長年にわたり攻撃者たちは、電子メールに添付した Word/Excel ファイルに隠したマクロを起動させ、マルウェアをダウンロード/インストールするという方式で、マルウェアを配布してきた。しかし、2022年7月に Microsoft は、Office 文書に含まれるマクロをデフォルトで無効にし、マルウェアの配布に利用できないようにした。
Emotet botnet starts blasting malware again after 5 month break 2022/11/02 BleepingComputer — マルウェア Emotet のオペレーションだが、サイバー犯罪作戦の活動がほとんど見られなかった約5ヶ月間の休暇を経て、再び悪質な電子メールを送信し始めている。Emotet のフィッシング・キャンペーンは、悪意の Excel/Word 文書を介して、マルウェアを配布し感染させるものだ。それらの文書を開いたユーザーが、マクロを有効にしていると、Emotet DLL がダウンロードされ、メモリに読み込まれる。
Taiwan Government websites suffered DDoS attacks during the Nancy Pelosi visit 2022/08/04 SecurityAffairs — ナンシー・ペロシ米下院議長の台北訪問中に、台湾政府の主要な Web サイトに対して DDoS 攻撃が行われ、一時的にオフラインに追い込まれるという事態が発生した。このサイバー攻撃により、政府の英語版ポータルサイトや、総統府/外務省/国防省における一部の Web サイトがオフラインになった。
Chinese Hackers Target Taiwan’s Financial Trading Sector with Supply Chain Attack 2022/02/22 TheHackerNews — 中国政府に協力することを目的とする APT (Advanced Persistent Threat) グループが、台湾の金融部門に対する組織的なサプライチェーン攻撃に関連していることが判明した。この攻撃は、2021年11月末に最初に開始されたと言われており、その侵入は APT10 として追跡される、脅威アクターによるものだとされている。この APT 10 は、Stone Panda/MenuPass/Bronze Riverside とも呼ばれ、遅くとも 2009年から活動している。
Hackers Using Microsoft Build Engine to Deliver Malware Filelessly 2021/05/14 TheHackerNews — Microsoft Build Engine (MSBuild) を悪用して、リモートアクセス・トロイの木馬や、パスワードを盗み出すためのマルウェアを、標的となる Windows システム上にファイルレスで展開するという脅威が存在する。
IoT OT Security News 