Cl0p’s MOVEit Campaign Represents a New Era in Cyberattacks
2023/07/06 DarkReading — 6月1日に発見された MOVEit ファイル転送のゼロデイ脆弱性は、6月30日までに少なくとも 160社への侵入に悪用されている。この大規模な恐喝キャンペーンの成功は、ロシア支援のランサムウェア・グループ Cl0p による戦術の進化を象徴している。そして、専門家たちは、ライバルの脅威アクターの注目を集める可能性も高いとしている。MOVEit キャンペーンは、サプライチェーンに対するサイバー攻撃の将来を推測する上で、防衛側の対応方法に関するヒントにもなり得ると、Huntress は指摘している。
Continue reading “Cl0p の MOVEit キャンペーン:160社への侵入は新時代のサイバー攻撃の象徴か?”EU Court Deals Blow to Meta in German Data Case
2023/07/05 SecurityWeek — 7月4日 (火) に、EU の最高裁判所が Meta に対して不利な判決を下したことを受け、その子会社である Facebook/Instagram/WhatsApp は、ヨーロッパにおけるユーザー・データ収集方法の見直しを迫られるかもしれない。欧州司法裁判所 ECJ (European Court of Justice) は、ドイツの反カルテル監視団を支持する判決を下した。この反カルテル監視団は、反トラスト法を検討する際に、データ・プライバシー問題を取り込めると主張していた。この裁判の重要な争点のひとつは、Meta のプラットフォーム間に、データをリンクさせる能力があることだった。
Continue reading “Facebook/Instagram/WhatsApp に大きな打撃:データ収集に関して EU の最高裁判所が厳しい判決”New tool exploits Microsoft Teams bug to send malware to users
2023/07/05 BleepingComputer — 米海軍のレッドチーム・メンバーが、TeamsPhisher と呼ばれるツールを公開した。このツールは、Microsoft Teams の未解決のセキュリティ問題を悪用し、外部テナントからのファイル受信制限を回避させ、標的とする組織のユーザーに対して攻撃を行うものだ。このツールは、英国のセキュリティ・サービス会社 Jumpsec の Max Corbridge と Tom Ellson が提供したものである。先月に指摘された問題の悪用を証明するものであり、Microsoft Teams のファイル送信制限を回避した攻撃者が、外部アカウントからマルウェアを配信する方法を簡潔に説明している。
Continue reading “Microsoft Teams の問題:外部からのマルウェア配信を証明するツールが公表された”RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors
2023/07/05 TheHackerNews — RedEnergy と名付けられた高度なランサムウェアの脅威が、ブラジルとフィリピンの公共/電力/石油/ガス/テレコム/機械などの部門を標的として、LinkedIn のページを介した野放し状態での攻撃を行っていることが発見された。Zscaler の研究者である Shatak Jain と Gurkirat Singh は、「このマルウェアは各種のブラウザから情報を盗み出す能力を持ち、機密データの流出を可能にすると同時に、ランサムウェア活動を実行するための、さまざまなモジュールを組み込んでいる」と、最近の分析結果を説明している。研究者たちは、被害者に最大限の損害を与えることを目的として、データ窃盗と暗号化を組み合わせていると指摘している。
Continue reading “RedEnergy という Stealer-as-a-Ransomware:ブラジルとフィリピンのインフラを攻撃している”75% of consumers prepared to ditch brands hit by ransomware
2023/07/05 HelpNetSecurity — 消費者の 40% は、ベンダーが提供するデータ保護能力に懐疑的であり、75% はランサムウェア攻撃を受けた場合に別の企業に移行するという、Object First の調査結果が公表された。さらに、消費者はベンダーに対してデータ保護の強化を求めている。信頼性の高いバックアップ/リカバリ/パスワード保護/ID アクセス管理戦略などの、包括的なデータ保護対策を持つ企業を、消費者の 55% が支持しているという。組織がデジタル・トランスフォーメーションへの取り組みを強化するにつれて、データ量は飛躍的に拡大する一方で、ランサムウェア攻撃がサイバー脅威の主流となっている。
Continue reading “75% の消費者は覚悟を決めている:ランサムウェアに攻撃されたベンダーからは逃げ出すぞ!”Japan’s largest port stops operations after ransomware attack
2023/07/05 BleepingComputer — 日本最大の港湾である名古屋港がランサムウェア攻撃の標的となり、現在コンテナ・ターミナルの運営に影響が出ている。日本の総貿易量のおよそ 10%を占めている名古屋港は、21の埠頭と 290のバースを運営しており、毎年 200万個以上のコンテナと 1億6500万トンの貨物を取り扱っている。また、世界最大の自動車メーカーのひとつであるトヨタ自動車は、この港を利用して大半の自動車を輸出している。
Continue reading “名古屋港に最大規模のランサムウェア攻撃:操業停止に追い込まれる”Fileless attacks increase 1,400%
2023/07/04 HelpNetSecurity — Aqua Security が6ヶ月間のハニーポットデータを集計したところ、攻撃の 50%以上が防御回避にフォーカスしていたことが判明した。これらの攻撃には、”/tmp” から実行されるファイルなどによるマスカレード技術や、コードの動的なロード、難読化されたファイルなどが含まれていた。さらに、攻撃の 5%では、脅威アクターがメモリ常駐型のマルウェアを使用していた。2022年の Aqua Nautilus の事前調査と比較すると、この種のファイルレス攻撃は 1,400%増加している。つまり、脅威アクターが侵害されたシステム上で検知を回避し、より強固な足場を築く方法に重点を置くようになっていることが示されている。
Continue reading “Fileless 攻撃の台頭:Aqua Security のハニーポット集計で 1,400% の増加”Google Analytics data transfer to U.S. brings $1 million fine to Swedish firms
2023/07/04 BleepingComputer — スウェーデンの個人情報保護局 (IMY:Integritetsskyddsmyndigheten) は、Google Analytics を使用した国内の2社に対して、12.3 million SEK (€1 million/$1.1 million) の罰金を科し、他の2社の同様の行為について警告を行った。同機関は、7月3日に発表された通知の中で、Web 統計を作成するために Google Analytics を使用していた、それらの企業が欧州連合の一般データ保護規則 (GDPR) に違反していたとしている。
Continue reading “Google Analytics の利用は GDPR 違反:スウェーデン企業に $1M の罰金”53% of SaaS licenses remain unused
2023/07/04 HelpNetSecurity — 早急な対策を講じるべきだと Productiv が指摘しているのは、企業における調達/IT/財務部門のリーダーに対するものであり、支出とガバナンスの問題が制御不能に陥るのを防ぐための、SaaS (Software as a Service) ポートフォリオの合理化である。同社は、過去3年間に約1億の SaaS ライセンスが、どのように使用されたかを分析し、1,000億以上のアプリ使用データ・ポイントを含む、SaaS の成長/支出/統合/使用に関する、きわめて重要な SaaS の統計/洞察に関するレポートを提供している。
Continue reading “SaaS ポートフォリオ合理化の必要性:企業内の SaaS アプリの 51% がシャドー IT”New Python tool checks NPM packages for manifest confusion issues
2023/07/04 BleepingComputer — NPM JavaScript ソフトウェア・レジストリのパッケージにおける、マニフェストの不一致をチェックする際に有効なツールが開発/公開された。先週に、GitHub/NPM の元 Engineering Manager である Darcy Clarke は、依存関係の中に潜むマルウェアや、インストール中のスクリプト実行の危険性をもたらす、”Manifest Confusion” の問題について警告を発した。”Manifest Confusion” という言葉が指すのは、JavaScript プログラミング言語用のパッケージ・マネージャーであり、Node.js 環境のデフォルトである NPM (Node Package Manager) のセキュリティ問題である。
Continue reading “NPM パッケージの Manifest Confusion :チェックのための Python ツールがリリース”Neo_Net runs eCrime campaign targeting clients of banks globally
2023/07/04 SecurityAffairs — 先日に vx-underground と SentinelOne が実施した共同調査により、Neo_Net というメキシコの脅威アクターが、世界中の金融機関を標的とした Android マルウェア・キャンペーンを仕掛けていることが明らかになった。この件は、セキュリティ研究者の Pol Thill により報告された。Neo_Net の eCrime キャンペーンは、2021年6月〜2023年4月にスペインとチリの銀行を中心に、世界中の銀行の顧客を標的としていたと報告されている。この脅威アクターは、比較的洗練されていないツールを使用しているが、このキャンペーンが成功した背景には、攻撃インフラを特定のターゲットに合わせて調整する能力があるためだと、専門家は推測している。
Continue reading “世界中の銀行の顧客が標的:メキシコの Neo_Net が eCrime キャンペーンを実施”Microsoft denies data breach, theft of 30 million customer accounts
2023/07/03 BleepingComputer — Microsoft は否定しているが、ハクティビストである Anonymous Sudan は、同社のサーバに侵入して 3000万人分の顧客アカウントの、認証情報を盗んだと主張している。ここ数カ月間において Anonymous Sudan は、欧米の組織に対する分散型サービス妨害 (DDoS) 攻撃で目立っている。同グループは、Killnet のような親ロシア派ハクティビストとの関連性を認めている。
Continue reading “3000万人分の顧客データ窃取:Anonymous Sudan は主張し Microsoft は否定する”300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug
2023/07/03 BleepingComputer — 数十万台の FortiGate ファイアウォールに影響を及ぼすとされる、深刻な脆弱性 CVE-2023-27997 だが、この問題に対処するアップデートを Fortinet がリリースしてから、約 1ヶ月が経過した。この、深刻度スコア 9.8 の脆弱性は、リモートコード実行にいたるものであり、すべてのネットワーキング・コンポーネントを、Fortiner のセキュリティ・ファブリック・プラットフォームに接続する、FortiOS のヒープバッファ・オーバーフローに起因するものだと説明されている。
Continue reading “Fortinet FortiGate の脆弱性 CVE-2023-27997:依然として30万台の未パッチが公開”Evasive Meduza Stealer Targets 19 Password Managers and 76 Crypto Wallets
2023/07/03 TheHackerNews — CaaS (Crimeware-as-a-Service) エコシステムが収益を上げている、新たな兆候が見つかった。ソフトウェア・ソリューションによる検出を回避し、活発に開発が継続されている Windows ベースの Meduza Stealer を、Uptycs のサイバー・セキュリティ研究者たちが発見したという。Uptycs は、「Meduza ステーラーが持つ唯一の目的は、包括的なデータ窃盗である。ユーザーのブラウジング活動を盗み出し、ブラウザに関連する各種のデータを抽出している。重要なログイン認証情報から、貴重な閲覧の履歴を綿密に記録/管理したブックマークにいたるまで、あらゆるデジタル成果物の安全性を脅かしている。暗号ウォレット・エクステンション/パスワード管理機能、2FA 拡張機能でさえも脆弱である」と述べている。
Continue reading “Meduza Stealer という Crimeware-as-a-Service:徹底的な情報窃取で収益を上げている”BlackCat ransomware pushes Cobalt Strike via WinSCP search ads
2023/07/01 BleepingComputer — BlackCat ランサムウェア・グループ (別名 ALPHV) は、Windows 用ファイル転送アプリケーション WinSCP の公式 Web サイトを模倣した偽ページに人々を誘い込み、マルウェアを仕込んだインストーラーをプッシュするという、マルバータイズ・キャンペーンを行っている。WinSCP (Windows Secure Copy) とは、SFTP/FTP/S3/SCP クライアントおよび、SSH ファイル転送機能を持つ、人気のフリー・オープンソースのファイル・マネージャでああり、SourceForge だけで毎週 40万もダウンロードされている。
Continue reading “WinSCP の偽サイトへ誘導:Google と Bing での悪意の広告キャンペーンでCobalt Strike を展開”Beware: New ‘RustBucket’ Malware Variant Targeting macOS Users
2023/07/01 TheHackerNews — 研究者たちが発見したのは、永続性を確立し、セキュリティ・ソフトウェアによる検出を回避する機能を備えた、RustBucket と呼ばれる macOS マルウェアの更新バージョンだ。Elastic Security Labs の研究者たちは、6月29日に公開されたレポートで、「macOS システムを標的とするマルウェア・ファミリーである RustBucket の亜種は、Command-and-Control (C2) のための動的ネットワーク・インフラ手法を活用し、これまで観測されていなかった永続化機能が追加されている」と説明している。
Continue reading “macOS ユーザーを狙う RustBucket マルウェア亜種:特異な永続性メカニズムを装備”Hackers exploit zero-day in Ultimate Member WordPress plugin with 200K installs
2023/06/30 BleepingComputer — WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されている。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル/メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有する。
Continue reading “WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性:WordFence はアンインストールを推奨”Businesses are ignoring third-party security risks
2023/06/30 HelpNetSecurity — サードパーティとの連携が重要な役割を担う、ダイナミックなビジネス環境において、セキュリティおよびコンプライアンス要件に重大な影響を及ぼす、さまざまなリスクに企業は直面していると、Panorays は述べている。こうしたリスクの深刻性から、厳しい経済状況の中であっても、積極的な管理が必要とされている。Panorays のレポートには、サードパーティのリスク管理における差し迫った課題と新たな戦略を明確にするための、統計とトレンドが掲載されている。
Continue reading “サードパーティのセキュリティ・リスクという問題:多くの企業が軽視しているが – Panorays”TSMC denies LockBit hack as ransomware gang demands $70 million
2023/06/30 BleepingComputer — 台湾のチップ製造大手の TSMC (Taiwan Semiconductor Manufacturing Company) に対して、LockBit ランサムウェア が $70 million を要求しているが、同社はハッキングされたことを否定している。TSMC は世界最大級の半導体メーカーであり、その製品は、スマートフォン/高性能コンピューティング/IoT デバイス/自動車/デジタル家電などの、さまざまなデバイスで使用されている。
Continue reading “TSMC への LockBit 攻撃:身代金として $70 million が要求されているが・・・”Cybercriminals Hijacking Vulnerable SSH Servers in New Proxyjacking Campaign
2023/06/30 TheHackerNews — 金銭的な動機を持つ活発なキャンペーンが、脆弱な SSH サーバを標的とし、それらを秘密裏にプロキシ・ネットワークに参加させている。6月29日 (木) のレポートで Akamai の研究者である Allen West は、「SSH をリモートアクセスに活用する攻撃者が、悪質なスクリプトを実行して被害者のサーバを、 Peer2Profit や Honeygain などの P2P プロキシ・ネットワークへと、密かに参加させる活発なキャンペーンである」と述べている。
Continue reading “Proxyjacking という新たなキャンペーン:SSH サーバを Peer2Profit などに参加させて帯域を搾取”MITRE Announces Most Dangerous Software Weaknesses
2023/06/30 InfoSecurity — 米国政府が発表したのは、これまでの2年間において、最も一般的であり、影響力の大きかったソフトウェア欠陥のリストである。この CWE Top-25 リストは、Homeland Security Systems Engineering と Development Institute によりアナウンスされたが、Department of Homeland Security と 非営利団体 MITRE がサポートするものである。ソフトウェアの弱点とは、脆弱性につながるエラー/バグ/欠陥などを指すものだ。
Continue reading “MITRE が公開した CWE Top-25 リスト 2023年版:CISA KEV との連携が強化されている”Critical Security Flaw in Social Login Plugin for WordPress Exposes Users’ Accounts
2023/06/29 TheHackerNews — miniOrange の WordPress 用 Social Login and Register プラグインに、致命的なセキュリティ上の脆弱性が存在する。その悪意の脅威アクターは、ユーザーから提供されたメールアドレスを知っていると想定され、ログインできる可能性があることが判明した。この認証バイパスの脆弱性 CVE-2023-2982 (CVSS:9.8) は、バージョン 7.6.4 以前の全バージョンに影響を及ぼす。この脆弱性については、2023年6月2日に適切な開示が行われた後の、2023年6月14日に修正され、バージョン 7.6.5 がリリースされた。
Continue reading “WordPress の Social Login Plugin に深刻な脆弱性:30,000 以上のサイトでパッチが必要!”PoC for Arcserve UDP authentication bypass flaw published (CVE-2023-26258)
2023/06/29 HelpNetSecurity — Arcserve Unified Data Protection (UDP) エンタープライズ・データ保護ソリューションの認証バイパスの脆弱性 (CVE-2023-26258) を悪用して、管理者アカウントを侵害し、脆弱なインスタンスを乗っ取ることが可能である。この問題を発見した、MDSec の研究者である Juan Manuel Fernández と Sean Doherty は PoC エクスプロイトも公開している。
Continue reading “Arcserve UDP の認証バイパスの脆弱性 CVE-2023-26258:PoC エクスプロイトが登場”Japan in the Crosshairs of Many State-Sponsored Threat Actors New Report Finds
2023/06/29 InfoSecurity — Rapid7 の最新レポートによると、日本は数多くのサイバー脅威にさらされ、スパイ活動や金銭的な動機によるキャンペーンなどの標的になっているという。Rapid7 は、2023年6月28日に発表したレポート ”Japan and Its Global Business Footprint: The Cyberthreat Landscape Report” で、典型的な国家的脅威の発生源である3カ国 (中国/北朝鮮/ロシア) から、この東アジアの国が標的にされていることを明らかにした。また、2022年上半期におけるランサムウェア攻撃の 32.5%が、製造業に対するものであることも判明した。これに対して、同期間中にヘルスケア業界から報告されたものは、わずか 7.9%だった。
Continue reading “日本の官民における脆弱なサイバー・セキュリティ:数多くの APT に狙われている – Rapid7”Linux version of Akira ransomware targets VMware ESXi servers
2023/06/28 BleepingComputer — Akira ランサムウェアは、Linux 暗号化ツールを使用して VMware ESXi 仮想マシンを暗号化することで、世界中の企業に対して二重の恐喝攻撃を仕掛けている。このランサムウェアは、2023年3月に登場して以来 、教育/金融/不動産/製造/コンサルティングなどの、さまざまな業界の Windows システムを標的としてきた。Akira を操る脅威アクターは、企業を標的とした他のランサムウェア・ギャングと同様に、侵害したネットワークからデータを盗み、ファイルを暗号化して、被害者に二重の恐喝を行い、数百万ドルもの支払いを要求する。
Continue reading “Akira ランサムウェアの Linux 版が登場:VMware ESXi サーバが標的に”Brave Browser boosts privacy with new local resources restrictions
2023/06/28 BleepingComputer — Brave の開発チームは、そのプライバシー重視のブラウザに対して、新しい制限コントロールを近々導入すると発表した。この新機能により、ローカル・ネットワーク・リソースにアクセスできるサイトの期間を、ユーザーが設定できるようになる。ローカルにホストされたリソースには、ユーザーのデバイス上において、Web プログラムが使用する画像やファイルが含まれる。その他のローカル・リソースには、NAS インスタンス/ローカルにホストされたサーバ/共有ネットワーク・プリンター・ファイル/共有ネットワーク・デバイス/共有コンピューター・データなどがある。
Continue reading “Brave Browser の新機能:ローカル・リソース制限でプライバシー保護を強化”ThirdEye Infostealer Poses New Threat to Windows Users
2023/06/28 InfoSecurity — ThirdEye と呼ばれる新たなインフォ・スティーラー犯が、Windows ユーザーを標的にする可能性があるという。Fortinet の Threat Research Division である FortiGuard Labs は、6月27日 (火) に発表された技術文書で、この新しい脅威について説明している。その中で同社は、ThirdEye は侵害したマシンから貴重なシステム情報を抽出するように設計されており、将来のサイバー攻撃に悪用される可能性があると述べている。
Continue reading “ThirdEye というインフォ・スティーラーが登場:継続する改良に注視が必要”NPM ecosystem at risk from “Manifest Confusion” attacks
2023/06/28 BleepingComputer — NPM (Node Package Manager) レジストリには、Manifest Confusion と呼ばれるセキュリティ上の欠陥が存在する。具体的に言うと、それにより、依存関係を用いたマルウェアの埋め込みや、インストール中における悪意のスクリプトの実行などが生じ、パッケージの信頼性が損なわることになる。NPM は、JavaScript プログラミング言語用のパッケージ・マネージャであり、広く使用されている Node.js のデフォルト環境である。このパッケージ・マネージャーは、npmjs.com に置かれた npm registry データベースにホストされている、ソフトウェア・パッケージのインストール/アップグレード/コンフィグレーションを、プロジェクト・オーナーが自動化できるよう支援するものである。
Continue reading “NPM の根幹を揺るがす Manifest Confusion:パッケージ情報が信頼できない理由”Critical SQL Injection Flaws Expose Gentoo Soko to Remote Code Execution
2023/06/28 TheHackerNews — Gentoo Soko に存在する複数の SQL インジェクションの脆弱性が公開され、脆弱なシステム上ではリモートコード実行 (RCE) につながる可能性があると解説されている。SonarSource の研究者である Thomas Chauchefoin は、「Object-Relational Mapping (ORM) ライブラリとプリペアド・ステートメントを使用しているにもかかわらず、これらの SQL インジェクションの脆弱性は発生している。データベースのミスコンフィグレーションにより、Soko上で RCE が発生する可能性がある」と付け加えている。
Continue reading “Gentoo Soko の深刻な SQLi の脆弱性 CVE-2023-28424 が FIX:リモートコード実行にいたる”Mobile Malware and Phishing Surge in 2022
2023/06/28 InfoSecurity — Zimperium の最新レポートによると、2022年に大幅に増加したものとして、モバイル・マルウェア/モバイル専用フィッシングサイト/モバイルの脆弱性が挙げられるという。モバイル・セキュリティ・ベンダーである Zimperiumは 、zLabs の社内調査と、サードパーティ・データ、パートナーの知見などから、Global Mobile Threat Report 2023 を作成した。
Continue reading “Mobile/BYOD に迫る脅威:企業資産へのアクセスの 60% はモバイルからという現実”Over Half of UK Banks Are Exposing Customers to Email Fraud
2023/06/27 InfoSecurity — 英国の大手金融機関の大半において、DMARC の導入が不十分であるため、顧客を電子メール詐欺から守れていないと、セキュリティ専門家たちが警告している。DMARC (Domain-based Message Authentication, Reporting and Conformance) プロトコルとは、メッセージが配信される前に送信者の身元を認証することで、電子メールを介した詐欺やなりすましの防止に有益なものである。
Continue reading “金融機関における DMARC の導入:英国の150行では 47% のみが適切だという調査結果”EncroChat Bust Leads to 6,558 Criminals’ Arrests and €900 Million Seizure
2023/06/27 TheHackerNews — 2020年7月の EncroChat 摘発により、全世界で 6,558人が逮捕され、€900 million 相当の不正な犯罪収益が押収されたと、6月24日に Europol (欧州刑事警察機構) が発表した。2020年の摘発をフォローするかたちで実施された、フランスとオランダの当局による共同捜査により、この暗号化されたメッセージング・プラットフォーム上で交わされた、6万人以上のユーザーの 1億1500万件以上の会話が傍受/分析されたと、Europol は述べている。
Continue reading “Europol 対 EncroChat:2020年の摘発により 6,558人の逮捕と €900M の押収へと至る”Schneider Electric and Siemens Energy are two more victims of a MOVEit attack
2023/06/27 SecurityAffairs — MOVEit 攻撃の新たな被害者5社が、Clop ランサムウェア・グループにより、ダークウェブのリークサイトに追加された。そのうちの Schneider Electric と Siemens Energy の2社は、世界中の重要な国家インフラで利用される、産業用制御システム ICS (Industrial Control Systems) を提供するベンダーである。
Continue reading “MOVEit 攻撃の新たな被害者:Schneider Electric と Siemens Energy が攻撃された”New Mockingjay process injection technique evades EDR detection
2023/06/27 BleepingComputer — Mockingjay と名付けられた、新しいプロセス・インジェクションの手法により、脅威たちは EDR (Endpoint Detection and Response) などのセキュリティ製品による検知を回避し、侵害したシステム上で悪意のコードを密かに実行できるという。この手法を発見したのは、サイバー・セキュリティ企業 Security Joes の研究者たちである、具体的に言うと、RWX (Read/Write/Execute) セクションを持つ正規の DLL を利用して、EDR のフックを回避し、リモート・プロセスにコードを注入するものとなる。
Continue reading “Mockingjay という新たなプロセス・インジェクションの手法:既存の EDR 検出を回避していく”Study Reveals Alarming Gap in SIEM Detection of Adversary Techniques
2023/06/27 InfoSecurity — 企業における Security Information and Event Management (SIEM) ソリューションは、サイバー脅威の検出と対策に対して不十分だという。この CardinalOps の分析は、Splunk/Microsoft Sentinel/IBM QRadar/Sumo Logic などのプロダクション SIEM から、4000件を超える検出ルールおよび、100万件のログソース、固有のログソースタイプを調査した結果である。
Continue reading “SIEM の分析と現実の脅威:4000件のルールと 100万件のログソースが示すギャップとは?”Internet Systems Consortium (ISC) fixed three DoS flaw in BIND
2023/06/26 SecurityAffairs — DNS ソフトウェア・スイートである BIND に存在する、3件のサービス拒否 (DoS) 脆弱性に対処するためのセキュリティ・アップデートを、ISC (Internet Systems Consortium) がリリースした。CVE-2023-2828/CVE-2023-2829/CVE-2023-2911 として追跡されている、これらの脆弱性は、リモートから悪用可能だ。ISC によると、これらの3つの脆弱性は深刻度が高く、悪用されるとデバイス・メモリの飽和や、BIND のデーモン named のクラッシュにいたる可能性があるという。
Continue reading “ISC BIND の3つの DoS 脆弱性 CVE-2023-2828 などが FIX”Anatsa Android trojan now steals banking info from users in US, UK
2023/06/26 BleepingComputer — 2023年3月以降の新たなモバイル・マルウェア・キャンペーンにより、米国/英国/ドイツ/オーストリア/スイスのオンライン・バンキング利用者に対して、Android バンキング型トロイの木馬 Anatsa が押し付けられている。この悪質な活動を追跡している ThreatFabric のセキュリティ研究者によると、このマルウェアは Google Play ストア経由で配布され、このチャネルだけで既に3万件以上がインストールされているとのことだ。
Continue reading “Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている”Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks
2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。
Continue reading “Volt Typhoon という中国ハッカー:重要インフラを攻撃する手口が明らかになってきた”Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack
2023/06/26 TheHackerNews — 6月の初めに、日本のある暗号通貨取引所が、JokerSpy と呼ばれる Apple macOS バックドアを展開する新たな攻撃の標的になった。Elastic Security Labs は、JokerSpy に関連する侵害行為を、REF9134 という名前で監視している。同社は、この攻撃により、SeatBelt というオープンソースのユーティリティにインスパイアされた、Swift ベースの列挙ツール Swiftbelt がインストールされたと述べている。先週に JokerSky は、Bitdefender により初めて文書化され、macOS マシンに侵入するために設計された、洗練されたツールキットであると報告されている。
Continue reading “日本の暗号通貨取引所でサイバー攻撃?JokerSpy という macOS バックドアが展開されたらしい”Grafana warns of critical auth bypass due to Azure AD integration
2023/06/24 BleepingComputer — Grafana がリリースした、複数のバージョン向けにセキュリティ修正は、攻撃に成功した脅威アクターに対して、認証バイパスを許すという深刻なものだ。具体的に言うと、認証に Azure Active Directory を使用している、すべての Grafana アカウントに乗っ取り可能性が生じることになる。Grafanaは、広範 に使用されているインタラクティブなオープンソースの分析および可視化のアプリであり、監視のためのプラットフォームや、アプリケーション統合のオプションを提供している。
Continue reading “Grafana の深刻な脆弱性 CVE-2023-3128 が FIX:Azure AD 統合によるアカウント乗っ取りとは?”LastPass users furious after being locked out due to MFA resets
2023/06/24 BleepingComputer — LastPass パスワード・マネージャのユーザーたちが、5月上旬から認証アプリをリセットするよう促されたことで、ログインに重大な問題が発生している。同社による 5月9日の発表は、「セキュリティのアップグレードが予定されているため、ユーザーは LastPass アカウントにログインし、多要素認証の設定をリセットする必要があるかもしれない」というものだった。しかし、それ以降において、数多くのユーザーたちがロックアウトされ、MFA アプリケーション (LastPass Authenticator/Microsoft Authenticator/Google Authenticator など) のリセットに成功しても、LastPass vault にアクセスできなくなっている。
Continue reading “LastPass でユーザーがロックアウト:パスワード強化アルゴリズムに関連した不具合?”Powerful JavaScript Dropper PindOS Distributes Bumblebee and IcedID Malware
2023/06/23 TheHackerNews — 新種の JavaScript ドロッパーにより、ネクスト・ステージ・ペイロードが配信されていることが確認された。サイバー・セキュリティ企業 Deep Instinct は、この Bumblebee や IcedID にも似ているマルウェアを、User-Agent 内に名前を持つ PindOS として追跡している。Bumblebee と IcedID は、どちらもローダーとしての役割を担い、侵害したホスト上でランサムウェアなどのベクターとして機能する。最近の Proofpoint のレポートでは、IcedID が銀行詐欺の機能を放棄し、マルウェア配信のみに特化していることが強調されている。
Continue reading “PindOS という JavaScript マルウェア・ローダー: Bumblebee/IcedID との関係は?”Fortinet fixes critical FortiNAC RCE, install updates asap
2023/06/23 SecurityAffairs — Fortinet の Network Access Control (NAC) ソリューションである FortiNAC は、セキュリティポリシーの適用/デバイスの監視/アクセス権限の管理などにより、企業におおけるネットワークへのアクセスを安全に制御するためのものである。その FortiNAC で、未認証の攻撃者が任意のコード/コマンドを実行できる、深刻な脆弱性 CVE-2023-33299 (CVSS:9.6) が発見され、Fortinet によるセキュリティ・アップデートがリリースされた。
Continue reading “Fortinet FortiNAC の深刻な脆弱性 CVE-2023-33299 が FIX:RCE の可能性”MOVEIt breach impacts GenWorth, CalPERS as data for 3.2 million exposed
2023/06/23 BleepingComputer — PBI Research Services (PBI) を侵害した、最近の MOVEit Transfer データ窃取攻撃により、合計で 475万人分のデータが盗まれたと、同社の顧客三社が公表している。一連の攻撃は 2023年5月27日に始まっており、Clop ランサムウェア・ギャングが MOVEit Transfer のゼロデイ脆弱性を悪用し、数百の企業からデータを盗んだインシデントだとされている。この1週間において Clop ランサムウェア・ギャングは、被害者に対する身代金支払いのプレッシャーとして、影響を受けた組織をデータ漏洩サイトに段階的にリストアップし、企業を恐喝し始めている。
Continue reading “MOVEit ゼロデイ侵害の被害が拡大:保険/年金などの契約者 3.2M 人分のデータが流出?”Microsoft Teams vulnerability allows attackers to deliver malware to employees
2023/06/23 HelpNetSecurity — Microsoft Teams の受信トレイへ向けて、攻撃者たちがダイレクトにマルウェアを配信できる脆弱性を、セキュリティ研究者たちが発見した。Jumpsec の研究者である Max Corbridge は、「Microsoft Teams を使用している組織は、Microsoft のデフォルト設定を継承しているため、組織外のユーザから内部の従業員へ向けて、連絡を取ることが可能になっている」と説明している。この脆弱性を悪用したマルウェア配信攻撃は、ソーシャル・エンジニアリングを入り口として、高確率で成功しているようだ。
Continue reading “Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下”Mirai botnet targets 22 flaws in D-Link, Zyxel, Netgear devices
2023/06/22 BleepingComputer — Mirai ボットネットの亜種が、D-Link/Arris/Zyxel/TP-Link/Tenda/Netgear/MediaTek などのデバイスを制御し、分散型サービス拒否 (DDoS) 攻撃を実行するために、約 20件の脆弱性を標的にしているという。このマルウェアは、3月14日に始まり 4月と6月に急増している。そして、この2つの進行中のキャンペーンを調査していた、Palo Alto Networks Unit 42 の研究者たちにより発見されている。6月22日に発表されたレポートの中で研究者たちは、このボットネット開発者は、悪用可能な脆弱性に関するコードを追加し続けていると警告している。
Continue reading “D-Link/Zyxel/Netgear デバイス:Mirai ボットネットが 22件の脆弱性を狙っている”VMware fixes vCenter Server bugs allowing code execution, auth bypass
2023/06/22 BleepingComputer — VMware は、vCenter Server における複数の深刻なセキュリティ脆弱性に対処した。VMware の vSphere スイートのコントロールセンターである vCenter Server は、管理者が仮想化インフラを管理/監視するのに役立つサーバ管理ソリューションである。新たに修正されたセキュリティ脆弱性は、vCenter Server で使用されている DCE/RPC プロトコルの実装で発見されたものだ。このプロトコルは、仮想的な統合コンピューティング環境を構築することで、複数のシステム間でのシームレスな運用を可能にするとされる。
Continue reading “VMware vCenter Server の深刻な脆弱性 CVE-2023-20892 などが FIX”Microsoft: Hackers hijack Linux systems using trojanized OpenSSH version
2023/06/22 BleepingComputer — 最近に確認されたクリプト・ジャッキング・キャンペーンの一環として、インターネットに公開された Linux や IoT デバイスが、ブルートフォース攻撃で乗っ取られていると、Microsoft が警告している。標的とするシステムへのアクセスを取得した攻撃者は、トロイの木馬化された OpenSSH パッケージを展開し、侵害されたデバイスをバックドア化し、SSH 認証情報を盗んで永続性を維持する。
Continue reading “OpenSSH のトロイの木馬:Linux ベースの Hiveon OS を乗っ取りクリプト・ジャッキング”Alert: Million of GitHub Repositories Likely Vulnerable to RepoJacking Attack
2023/06/22 TheHackerNews — GitHub 上の何百万ものソフトウェア・リポジトリが、RepoJackingと呼ばれる攻撃に対して脆弱である可能性が高いことが、新たな研究で明らかになった。マサチューセッツ州を拠点とするクラウドネイティブ・セキュリティ企業 Aqua が、水曜日に発表したレポートによると、それらの脆弱なリポジトリには、Google や Lyft などの、いくつかの組織のものも含まれているという。この、リポジトリ依存関係ハイジャックとも呼ばれるサプライチェーンの脆弱性は、活動を停止した組織やユーザーの名前を乗っ取り、悪意のコードを忍び込ませ、トロイの木馬化したバージョンのリポジトリを公開する攻撃の一種である。
Continue reading “GitHub で懸念される RepoJacking 攻撃:変更された名称の悪用が容易だと判明”PoC Exploit Published for Cisco AnyConnect Secure Vulnerability
2023/06/22 SecurityWeek — 先日にパッチが適用された、Cisco AnyConnect Secure Mobility Client および Secure Client for Windows の深刻な脆弱性を証明するために、あるセキュリティ研究者が PoC エクスプロイト・コードを公開した。この Cisco のソフトウェアは、組織のネットワークへの安全な VPN 接続を、リモートの従業員に提供し、また、その監視機能を実現するものである。そして、脆弱性 CVE-2023-20178 (CVSS:7.8) は、このソフトウェアのクライアント・アップデート・プロセスに影響を及ぼし、低権限のローカル攻撃者に対して、アクセス権を昇格とシステム特権でのコード実行を許すものである。
Continue reading “Cisco AnyConnect/Secure Client の脆弱性 CVE-2023-20178:PoC エクスプロイトが登場”
IoT OT Security News 
You must be logged in to post a comment.