ArcaneDoor hackers exploit Cisco zero-days to breach govt networks
2024/04/24 BleepingComputer — 4月24日に公開したアドバイザリで Cisco が警告しているのは、2023年11月以降において国家に支援されるハッカー・グループが、Adaptive Security Appliance (ASA) と Firepower Threat Defense (FTD) ファイアウォールに存在する、2つのゼロデイ脆弱性を悪用していたことだ。 それにより、世界中の政府機関のネットワークで、侵入が発生していたという。
Continue reading “Cisco ASA/FTD のゼロデイ脆弱性:ArcaneDoor ハッカーが政府機関ネットワークへの侵入で悪用”Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability
2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも1ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の1つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。
Continue reading “Palo Alto の脆弱性 CVE-2024-3400:Siemens 製品に影響をおよぼすことが判明”Russia-Linked Hackers Exploit Windows Zero-Day, Deploy “GooseEgg” to Hijack Networks
2024/04/22 SecurityOnline — ロシア国家が支援するハッキング・グループ “Forest Blizzard” の武器庫にある、洗練された新ツールについて、Microsoft が情報を暴露した。この GooseEgg と名付けられたツールを活用して、侵害したシステムに深くアクセスする攻撃者は、欧米の政府や戦略的組織にとって深刻な脅威をもたらしている。
Continue reading “ロシアン APT Forest Blizzard の最新兵器 GooseEgg:Windows の CVE-2022-38028 を狙っている”22,500 Palo Alto firewalls “possibly vulnerable” to ongoing attacks
2024/04/19 BleepingComputer — 2024年3月26日以降において、Palo Alto GlobalProtect ファイアウォール・デバイス約 22,500台に、活発な攻撃で悪用されているコマンド・インジェクションの脆弱性 CVE-2024-3400 が存在する可能性があるという。この脆弱性 CVE-2024-3400 は、GlobalProtect 機能における特定の Palo Alto Networks の PAN-OS バージョンに影響するものであり、未認証の攻撃者に任意のファイル作成をトリガーとするコマンド・インジェクションを許し、その結果として root 権限でのコマンド実行にいたる可能があるという。
Continue reading “Palo Alto の脆弱性 CVE-2024-3400:脆弱なデバイス 22,500 台がインターネット公開”MITRE Revealed That Nation-State Actors Breached Its Systems Via Ivanti Zero-Days
2024/04/19 SecurityAffairs — 2024年4月に MITRE が公表したのは、その研究/試作ネットワークの1つに対して、セキュリティ侵害が生じていたことだ。同組織のセキュリティ・チームは直ちに調査を開始し、脅威アクターをログアウトさせ、サードパーティのフォレンジック・インシデント・レスポンス・チームに依頼し、社内の専門家と協力し、独自の分析を実施した。MITRE Corporation によると、この国家に支援された APT は、2024年1月に Ivanti Connect Secure の2つのゼロデイ脆弱性を連鎖させ、同社のシステムに侵入していた。
Continue reading “MITRE が公表した 2024年1月の侵害:Ivanti のゼロデイを悪用する APT に侵入されていた”PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338)
2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。
Continue reading “Windows Kernel の脆弱性 CVE-2024-21338 に PoC:2024年2月の月例パッチを確認!”Hackers Deploy Python Backdoor in Palo Alto Zero-Day Attack
2024/04/13 TheHackerNews — Palo Alto Networks の PAN-OS ソフトウェアに存在するゼロデイ脆弱性だが、昨日に明るみに出る前の 2024年3月26日の時点から、3週間にわたり脅威アクターたちに悪用されてきたことが判明した。Palo Alto Networks の Unit 42 は、Operation MidnightEclipse という名称で、この活動を追跡している。現時点では、単一の脅威アクターの仕業であるとしているが、その出所は不明とされる。この脆弱性 CVE-2024-3400 (CVSS:10.0) は、コマンド・インジェクションの欠陥であり、認証されていない攻撃者に対して、ファイアウォールの root 権限を用いた任意のコード実行を許すものである。
Continue reading “Palo Alto のゼロデイ CVE-2024-3400:公開の3週間前から Python バックドア”Midnight Blizzard’s Microsoft Corporate Email Hack Threatens Federal Agencies: CISA Warns
2024/04/12 GBHackers — Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft における 企業電子メールシステムの侵害について緊急指令を発表した。この緊急指令 (ED 24-02) は、国家に支援された APT である Midnight Blizzard によるリスクを、軽減するために必要な緊急措置を概説している。このグループは、連邦民間行政府 (FCEB) 機関と Microsoft との間で交わされた機密メールの流出に成功しているため、国家の安全保障に対する潜在的な影響について、CISA は警鐘を鳴らすことにしたようだ。
Continue reading “Midnight Blizzard による Microsoft 侵害:CISA から連邦政府への緊急警告とは?”Popular Rust Crate liblzma-sys Compromised with XZ Utils Backdoor Files
2024/04/12 TheHackerNews —XZ Utilsのバックドアに関連する “テストファイル” が、liblzma-sys という名の Rust crate に紛れ込んでいることが、Phylum の新たな調査で明らかになった。この liblzma-sys は、現時点において 21,000回以上もダウンロードされており、XZ Utils データ圧縮ソフトウェアの一部である、基礎ライブラリ liblzma 実装へのバインディングを、Rust 開発者に提供している。問題のバージョンは、0.3.2 である。
Continue reading “XZ Utils バックドア汚染:Rust Crate liblzma-sys 侵害から手口を辿ってみる”Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities
2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる5つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure/Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用が既に発見/報告されているが、この活度は、その後に続くものである。
Continue reading “Ivanti 製品の脆弱性:中国系のハッカーが新たな TTP を開発している”Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account
2024/03/25 TheHackerNews — 2024年1月に Microsoft は、ロシアのハッカー Midnight Blizzard (別名:Nobelium) によるハッキング被害を受けていたことを発表した。この件で特筆すべきは、Microsoft への侵入が、いかに容易であったかということだ。ハッカーたちは、ゼロデイ脆弱性を悪用した高度な技術的ハッキングではなく、単純なパスワード・スプレーという手法を使って、同社の古い非アクティブなアカウントの制御に成功した。このインシデントは、パスワード・セキュリティの重要性と、組織が全てのユーザー・アカウントを保護すべき理由を、思い知らせる結果となった。
Continue reading “ロシアのハッカー Midnight Blizzard:パスワード・スプレー攻撃で Microsoft を侵害”Chinese State-Linked Hackers Target Critical Systems; Exploit F5 and ScreenConnect Flaws
2024/03/22 SecurityOnline — UNC5174 という新たな脅威アクターが、ゼロデイおよび最近にパッチが適用された脆弱性を悪用して、一連の標的型侵入を仕掛けていることが、Mandiant のレポートにより明らかになった。同グループの活動は、技術力の高い標的攻撃により、特に政府/防衛/学術などの分野における、価値の高い組織をターゲットにするものだ。
Continue reading “UNC5174 という中国ハッカー:F5/ScreenConnect の脆弱性を悪用して攻撃を展開”Chinese APT ‘Earth Krahang’ Compromises 48 Gov’t Orgs on 5 Continents
2024/03/19 DarkReading — これまで正体不明だった、中国のスパイ・グループが特定された。このフループは、標準的な TTP (Tactics/Techniques/Procedures) を用いながらも、23カ国の少なくとも 70組織への侵入に成功したが、そこには政府機関の 48組織も含まれていたという。Earth Krahang は、高レベルの軍事 APT ではないようだ。Trend Micro の研究者たちは新たなレポートの中で、中国共産党 (CCP) が契約した、民間のハッカー雇用オペレーションである、iSoon の一部である可能性を示唆している。
Continue reading “Earth Krahang は中国由来の APT:ありきたりの OSS ツールで 48の政府機関を侵害”Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails
2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。
Continue reading “Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた”China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks
2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。
Continue reading “中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?”ScreenConnect flaws exploited to drop new ToddleShark malware
2024/03/04 BleepingComputer — 北朝鮮の APT ハッキング・グループである Kimsuky は、ScreenConnect の脆弱性を、特に CVE-2024-1708/CVE-2024-1709 を悪用して、ToddleShark という新しいマルウェアの亜種をターゲットに感染させている。Kimsuky (別名 Thallium/Velvet Chollima) は、北朝鮮の国家支援ハッキング・グループであり、世界中の組織や政府に対するサイバー・スパイ攻撃で知られている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1708/CVE-2024-1709:マルウェアの投下に悪用されている”TA577 Exploits NTLM Authentication Vulnerability
2024/03/04 InfoSecurity — Proofpoint のサイバー・セキュリティ研究者たちが注目しているのは、サイバー犯罪者である TA577 アクターが採用する新たな戦術であり、また、これまでの彼らの活動において稀有だった狙いである。この脅威グループは、NT LAN Manager (NTLM) の認証情報を盗み出し、攻撃チェーンを利用していることが判明した。この攻撃方法は、機密データの収集に悪用される可能性があり、さらなる悪意のある活動を促進する可能性を持つものだ。
Continue reading “NTLM 認証の脆弱性を悪用:TA577 が仕掛けるキャンペーンの実態とは?”Threat Actors Hacked Taiwan-Based Chunghwa Telecom
2024/03/04 SecurityAffairs — 中華電信 (Chunghwa Telecom Company, Ltd.) は、台湾最大の総合電気通信サービス・プロバイダーであり、同国のローカル・エクスチェンジ・キャリアとして、PSTN/モバイル/ブロードバンド・サービスなどを提供している。その中華電信から、軍事文書や政府文書を含む機密情報が、脅威アクターにより窃取されたことを、台湾の国防省が明らかにした。この脅威アクターは、政府関連の契約書類を含む 1.7 TB のデータを盗み出したと主張しているという。
Continue reading “台湾の中華電信でデータ侵害が発生:軍事文書/政府文書などが窃取された”Microsoft Zero-Day Used by Lazarus in Rootkit Attack
2024/03/01 DarkReading — Microsoft のアプリケーション・ホワイトリスト・ソフトウェア AppLocker の、ゼロデイ脆弱性は修正されている。しかし、北朝鮮に支援される Lazarus Group が実施する、ルートキット型サイバー攻撃において、この脆弱性が悪用されることは防げなかった。Avast の研究者たちの説明によると、Microsoft Windows のゼロデイ脆弱性 CVE-2024-21338 を発見した Lazarus は、FudModule と呼ばれる独自のルートキット・マルウェアの更新版を介して、Admin から Kernel へと権限を引き上げたという。
Continue reading “Microsoft のゼロデイ CVE-2024-21338:Lazarus の Rootkit 攻撃で悪用される”State-sponsored hackers know enterprise VPN appliances inside out
2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード/パッチ適用/工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。
Continue reading “Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”APT29’s Espionage Campaign Exploits WinRAR Flaw, Targets Embassies
2024/02/21 SecurityOnline — 悪名高いロシア系サイバースパイ・グループ APT29 が、2023年9月に複数の国々の大使館に対して、巧妙な攻撃を行っていた。この攻撃は、WinRAR の重大な脆弱性 CVE-2023-38831 を悪用して、標的のシステムに足がかりを作るところから始まったと、SecurityCafe が解説している。それにより浮き彫りにされるのは、国家に支援される巧妙かつ継続的な脅威と、絶え間ない警戒の必要性である。
Continue reading “ロシアの APT29:WinRAR の脆弱性 CVE-2023-38831 を悪用して各国の大使館を攻撃”Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities
2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN/Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK/CHAINLINE/FRAMESTING/LIGHTWIRE などの、カスタム Web シェルの亜種である。
Continue reading “Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複”CISA Sets 48-hour Deadline for Removal of Insecure Ivanti Products
2024/02/01 SecurityWeek — 米国政府のサイバーセキュリティ機関 CISA は連邦政府機関に対して、Ivanti Connect Secure/Policy Secure の全製品のインスタンスを、48時間以内に切断せよという、前例のない要求を通達している。CISA は、「可能な限り早急に、また、遅くとも 2024年2月2日 (金) の午後11時59分までに、Ivanti Connect Secure/Policy Secure ソリューションの全インスタンスを、政府機関のネットワークから切断せよ」と、新たな緊急指令において圧力を強めている。防御側にとって必要とされるのは、実環境で積極的に悪用されている、少なくとも3件の Ivanti セキュリティ欠陥を軽減することである。
Continue reading “CISA が異例の通達:Ivanti の疑わしいインスタンスを 48時間以内に隔離せよ”Pawn Storm’s Stealthy Net-NTLMv2 Assault Revealed
2024/01/31 InfoSecurity — APT28 としても知られる APT アクターである Pawn Storm は、遅くとも 2004年以降において各種のテクニックを駆使し、世界的に価値の高い事業体を標的としてきた。このグループは、一見すると 10年前のフィッシング・キャンペーンのような時代遅れの手法に頼っているが、現実には何千もの電子メール・アカウントを侵害し続けている。1月31日に、Trend Micro の研究者 Feike Hacquebord と Fernando Merces が発表したアドバイザリによると、最近の Pawn Storm は、Net-NTLMv2 ハッシュ・リレー攻撃に関与しており、世界中の政府/防衛/軍事ネットワークへのブルートフォース侵入を試みている。
Continue reading “Pawn Storm という APT:ステルス性 Net-NTLMv2 リレー攻撃に注意が必要”Hackers Exploiting Ivanti VPN Flaws to Deploy KrustyLoader Malware
2024/01/31 TheHackerNews — 最近に公開された Ivanti Connect Secure (ICS) VPN (Virtual Private Network) デバイスの2つのゼロデイ脆弱性が、KrustyLoader というペイロードの配信に悪用されている。KrustyLoader とは、オープンソースの Sliver 攻撃シミュレーション・ツールを投下するために使用される、Rust ベースのツールのことである。悪用が確認されている脆弱性 CVE-2023-46805 (CVSS:8.2)/CVE-2024-21887 (CVSS:9.1) は、認証されていない攻撃者に対して、影響を受けやすいアプライアンス上でのリモート・コード実行を許す可能性があるものだ。
Continue reading “Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887:KrustyLoader マルウェアの配布に悪用”Microsoft Provides Defense Guidance After Nation-State Compromise
2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium/APT29/Cozy Bear) による、ネットワーク上での悪質な活動を検知した。
Continue reading “Microsoft が公表した防御のガイダンス:Midnight Blizzard の狡猾な戦術を封じる”Microsoft reveals how hackers breached its Exchange Online accounts
2024/01/26 BleepingComputer — 2023年11月に Microsoft 幹部の電子メール・アカウントに侵入した、ロシア政府 Foreign Intelligence Service (SVR) のハッキング・グループが、悪意のキャンペーンの一環として他の組織にも侵入したことが確認された。Midnight Blizzard (別名 Nobelium/APT29) は、ロシアの SVR 傘下のサイバー・スパイ集団と考えられており、主に米国/欧州の政府組織/NGO/ソフトウェア開発者/IT サービス・プロバイダーを標的としている。
Continue reading “Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard:手口の詳細を解説”Blackwood hackers hijack WPS Office update to install malware
2024/01/25 BleepingComputer — Blackwood という新たな APT (advanced threat actor) が、企業や個人に対するサイバースパイ攻撃のために、NSPX30 と呼ばれる高度なマルウェアを使用していることが判明した。この脅威アクターは、遅くとも 2018年から活動しており、中間者攻撃 (AitM:Adversary-in-the-Middle) に加えて、単純なバックドアに根ざしたコードベースを持つ、インプラントである NSPX30 マルウェアを 2005年から利用している。
Continue reading “Blackwood という APT:WPS Office などのアップデートから NSPX30 マルウェアを配布”Russia-Linked Midnight Blizzard Apt Hacked Microsoft Corporate Emails
2024/01/20 SecurityAffairs — Microsoft の警告は、同社の企業メール・アカウントの一部が、ロシア由来のサイバー・スパイ集団 Midnight Blizzard に侵害されたというものであり、法執行機関と関連規制当局への通知も完了しているという。Midnight Blizzard グループ (別名 APT29/Cozy Bear/Nobelium/BlueBravo/The Dukes) は APT28 と連携するかたちで、民主党全国委員会へのハッキングや、2016年の米国大統領選挙への攻撃に関与していたという。このグループは、Microsoft を含む 18,000 以上の顧客組織を襲った、2020年の SolarWinds サプライチェーン攻撃でも知られている。
Continue reading “Microsoft の報告:ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された”China-Linked Apt UNC3886 Exploits VMware Zero-Day Since 2021
2024/01/19 SecurityAffairs — 中国由来の APT グループ UNC3886 が、遅くとも 2021年後半から、VMware vCenter Server のゼロデイ脆弱性 CVE-2023-34048 を悪用していることが、Mandiant の研究者たちにより報告された。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェア群の重要なコンポーネントであり、VMware の仮想化データセンターのための、集権的かつ包括的な管理プラットフォームとして機能している。
Continue reading “VMware の脆弱性 CVE-2023-34048:2021年から中国の APT がゼロデイとして悪用”CVE-2023-7102: A zero-day flaw affects Barracuda Email Security Gateway
2023/12/25 SecurityOnline — 複雑なサイバー・セキュリティの世界において、いまの Barracuda Networks が直面しているのは、Spreadsheet::ParseExcel ライブラリに存在する、2つのゼロデイ脆弱性 CVE-2023-7102/CVE-2023-7101 という難題である。これらの脆弱性は、サードパーティ・ライブラリ Spreadsheet::ParseExcel の任意のコード実行 (ACE:Arbitrary Code Execution) の欠陥に起因するものであり、中国の脅威アクター UNC4841 による悪用が確認されている。また、この脆弱性は、同社の Email Security Gateway (ESG) デバイスを標的として、メールに添付されたファイル (Excel 形式) を介して悪用されていたことが、Barracuda と Mandiant の共同調査で判明している。
Continue reading “Barracuda ESG におけるゼロデイ脆弱性 CVE-2023-7102:エクスプロイトも観測?”Microsoft Disrupts Cybercrime Service That Created 750 Million Fraudulent Accounts
2023/12/15 SecurityWeek — 12月13日に Microsoft は、CaaS (Cybercrime-as-a-Service) エコシステムである Storm-1152 の破壊を発表した。この CaaS は、7億5000万もの不正な Microsoft アカウントを作成して、数百万ドルの不正収益を上げていたと見られている。具体的に言うと、Storm-1152 のサービスにサポートされる、他のサイバー犯罪グループが、フィッシング/スパム/ランサムウェア/分散型サービス拒否 (DDoS) などの攻撃を行っているという。
Continue reading “Microsoft が Storm-1152 サービスを破壊:7億5000万 もの不正アカウントを作成”Russian hackers target unpatched JetBrains TeamCity servers
2023/12/14 HelpNetSecurity — 米国/英国/ポーランドのサイバー・セキュリティ機関と法執行当局の警告によると、2023年9月以降においてロシア政府に支援されたハッカー集団が、JetBrains TeamCity の脆弱性 CVE-2023-42793 を悪用しているとのことだ。この攻撃では、インターネットに露出した、パッチ未適用の JetBrains Team Cityサーバが標的にされているという。ロシアの APT29 (別名 CozyBear/Midnight Blizzard) は、ロシア対外情報庁 (SVR) に関連していると考えられ、2013年から活動しているグループである。
Continue reading “JetBrains TeamCity の脆弱性 CVE-2023-42793:ロシアの APT29 が標的にしている”Stealthy KV-botnet hijacks SOHO routers and VPN devices
2023/12/13 BleepingComputer — Volt Typhoon (Bronze Silhouette) という中国由来の APT ハッキング・グループは、遅くとも 2022年以降において、SOHO ルーターを標的とする攻撃するために、KV-botnet ボットネットを使用していると推定される。Volt Typhoon の手口は、主に ルーター/ファイアウォール/VPN デバイスなどに対して、悪意のトラフィックをプロキシすることで、正規のトラフィックに紛れ込ませて検知を回避するというものだ。Microsoft と米国政府による共同レポートには、攻撃者たちは米国内の通信インフラを混乱させるための悪意のインフラを構築していると記されている。
Continue reading “Volt Typhoon は中国の APT:KV-botnet で SOHO ルーターや VPN 機器を攻撃?”Operation Blacksmith: Lazarus Exploits Log4J Flaws To Deploy Dlang Malware
2023/12/12 SecurityAffairs — 北朝鮮に関連する APT グループ Lazarus が、Log4j の脆弱性を悪用して、これまで文書化されていなかった RAT (remote access trojans) を展開するという、新たなハッキング・キャンペーンを操っている。Cisco Talos の研究者たちは、このキャンペーンを “Operation Blacksmith” として追跡しているが、この国家に支援される脅威アクターは、少なくとも3種類の新たな DLang ベースのマルウェア・ファミリーを採用している。それらのマルウェアのうち2系統は RAT であり、NineRAT と DLRAT という名前で追跡されている。また、NineRAT は、C2 通信のために Telegram のボットとチャンネルに依存している。
Continue reading “Blacksmith という APT オペレーション:Log4J の脆弱性を Lazarus が狙っている”Russian military hackers target NATO fast reaction corps
2023/12/07 BleepingComputer — ロシアの APT28 軍事ハッカーは、Microsoft Outlook のゼロデイ脆弱性を利用して、NATO 加盟国の Rapid Deployable Corps をなどを標的としている。ロシアの政府および軍事において、戦略的な諜報活動が重要であると考えられる 14 カ国の、少なくとも 30 の組織に対する3つのキャンペーンで、約20カ月にわたって脆弱性 CVE-2023-23397 が悪用されてきたと、Paro Alto Networks の Unit 42 の研究者たちが指摘している。
Continue reading “Outlook の脆弱性 CVE-2023-23397:ロシアの APT28 が NATO 攻撃に悪用”Patch Now: Forest Blizzard Targets Exchange Servers with Outlook Zero-Day Exploit
2023/12/05 SecurityOnline — 進化を続けるサイバーセキュリティの世界において、世界中のデジタル防衛者の背筋を凍らせる新たな脅威が姿を現した。この Forest Blizzard は、Microsoft にはSTRONTIUM という名で追跡されており、サイバー脅威の領域において恐るべき力を示している。
Continue reading “Outlook の脆弱性 CVE-2023-23397:ロシアの APT が Exchange 侵害に悪用”New AeroBlade hackers target aerospace sector in the U.S.
2023/12/04 BleepingComputer — これまで知られていなかった AeroBlade という名のサイバースパイ・ハッキング・グループが、米国の航空宇宙分野の組織を標的としていたことが発覚した。この、BlackBerry が発見したキャンペーンは、2022年9月のテスト段階と、2023年7月の高度な攻撃による2段階で展開された。
Continue reading “AeroBlade という新たなハッカー:米国の航空宇宙セクターを狙っている”Apple Addressed 2 New Ios Zero-Day Vulnerabilities
2023/11/30 SecurityAffairs — Apple の iPhone/iPad/Mac デバイスに影響を及ぼす、2件のゼロデイ脆弱性に対する緊急のセキュリティ・アップデートがリリースされた。この2件の脆弱性は、WebKit ブラウザ・エンジンに存在し、野放し状態の攻撃で積極的に悪用されている。
Continue reading “Apple iOS/macOS の2件のゼロデイ脆弱性が FIX:APT による悪用を観測?”Japanese Space Agency JAXA hacked in summer cyberattack
2023/11/29 BleepingComputer — 2023年の夏に JAXA (Japan Aerospace Exploration Agency) がサイバー攻撃を受け、宇宙関連技術などを含む機密情報が危険にさらされた可能性があることが判明した。読売新聞が最初に報じたように、このセキュリティ侵害は、今秋に法執行当局が日本の宇宙機関のシステムが危険にさらされていると警告したことで発覚した。
Continue reading “JAXA でデータ侵害:機密情報が危険にさらされた可能性”North Korean Software Supply Chain Attack Hits North America, Asia
2023/11/24 SecurityWeek — 今週に Microsoft が報告したのは、北朝鮮の脅威グループ Diamond Sleet (Zinc) が台湾のソフトウェア会社に侵入し、そのシステムを悪用して、北米とアジアに展開されるデバイスへ向けてマルウェアを配信したことだ。この脅威グループは、以前は Lazarus のサブ・グループとされてきたハッカー集団であり、データ窃盗/スパイ活動/破壊/金銭的利益を目的とする攻撃を行なってきた。そして、サイバー・セキュリティやハイテク企業の従業員に加えて、セキュリティ研究者や侵入テスト担当者も攻撃してきたという。
Continue reading “北朝鮮発のサプライチェーン攻撃:日本/台湾/米国/カナダに到達している”Russia’s APT29 Targets Embassies With Ngrok and WinRAR Exploit
2023/11/20 InfoSecurity — ウクライナのセキュリティ研究者たちは、ロシアの大規模な新しいサイバースパイ・キャンペーンを明らかにした。このキャンペーンは、アゼルバイジャンの軍事戦略に関する情報を収集するために設計された可能性があると、彼らは主張している。ウクライナの NDSC (National Security and Defense Council) の新しい報告書によると、この攻撃の背後には APT29 がいたという。同グループは、Cozy Bear/Nobelium などの呼び名でも知られている。
Continue reading “ロシアの APT29:WinRAR の脆弱性 CVE-2023-38831 を悪用したキャンペーンを展開”Zimbra Zero-Day Exploited to Hack Government Emails
2023/11/16 SecurityWeek — 11月16日 (木) に Google の TAG (Threat Analysis Group) が明らかにしたのは、2023年の初頭に Zimbra Collaboration Suite のゼロデイ脆弱性が悪用され、数カ国の政府組織から電子メールデータが盗まれたことである。この脆弱性 CVE-2023-37580 の存在は、7月中旬に Zimbra が、同社の電子メール・サーバー・ソリューションの顧客に通知した際に判明している。
Continue reading “Zimbra の脆弱性 CVE-2023-37580:ゼロデイの隙間で侵害が発生”US, Japan and South Korea Unite to Counter North Korean Cyber Activities
2023/11/07 InfoSecurity — 日本/米国/韓国が、北朝鮮のサイバー活動に対抗するための、ハイレベル協議機関を設立した。韓国の国家安全保障室によると、この新組織の主な目的は、核開発を含む北朝鮮の兵器開発の資金源となる、サイバー攻撃や暗号強奪を防ぐことだという。同組織によると、この協議体は、世界的なサイバー脅威に対して、3カ国が共同で対応する能力を強化するという。
Continue reading “日本/米国/韓国の協定:北朝鮮のサイバー攻撃や暗号強奪に対抗”Palo Alto Reveals New Features in Russian APT Turla’s Kazuar Backdoor
2023/11/01 InfoSecurity — Palo Alto Networks によると、Kazuar バックドアの最新バージョンは、これまで想像されていた以上に狡猾な可能性があるという。Kazuar バックドアとは、ロシアのハッキング・グループ Turla により、2023年7月にウクライナの防衛セクターを標的に使用されたものだと、ウクライナの CERT-UA (Ukrainian Computer Emergency and Response Team) が報告している。Palo Alto Unit 42 の研究者たちは、Kazuarの最新の亜種である .NET バックドアにおいて、これまで文書化されていなかった機能を発見した。
Continue reading “Turla の Kazuar バックドア:新たな機能群を Palo Alto Unit 42 が分析”Researchers Uncover Wiretapping of XMPP-Based Instant Messaging Service
2023/10/28 TheHackerNews — XMPP ベースの IM サービスである jabber[.]ru (別名 xmpp[.]ru) から発信されたトラフィックを、ドイツの Hetzner および Akamai の子会社である Linode にホストされているサーバを経由して密かに傍受する、合法的な試みであるとされる新たな行為が明らかになった。
Continue reading “XMPP-Based IM サービスの盗聴:ドイツの Hetzner/Linode で発見される”N. Korean Lazarus Group Targets Software Vendor Using Known Flaws
2023/10/27 TheHackerNews — 北朝鮮と連携している Lazarus Group が、知名度の高いソフトウェアに存在する既知の脆弱性を悪用し、無名のソフトウェア・ベンダーを侵害するという、新たなキャンペーンを操っているようだ。Kaspersky が指摘するのは、一連の攻撃により SIGNBT/LPEClient などのマルウェア・ファミリーが展開され、被害者のプロファイリングやペイロードの配信に使用される、ハッキング・ツールとして機能している点だ。
Continue reading “北朝鮮の Lazarus Group:ソフトウェアの脆弱性を突いた多彩な攻撃を仕掛け続ける”StripedFly malware framework infects 1 million Windows, Linux hosts
2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を5年間にわたり回避し、100万台以上の Windows/Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年 から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。
Continue reading “StripedFly という APT:5年間で 100万台以上の Windows/Linux システムに感染”Winter Vivern: Zero-Day XSS Exploit Targets Roundcube Servers
2023/10/25 InfoSecurity — Roundcube Webmail サーバに存在するクロス・サイト・スクリプティング (XSS) ゼロデイ脆弱性 CVE-2023-5631 を、Winter Vivern グループが悪用して大規模な攻撃を行っている。10月25日 (水) に発表された ESET Research のアドバイザリには、この新たなキャンペーンの標的は、欧州の政府機関およびシンクタンクで利用される Roundcube Webmail サーバだと記されている。この脆弱性は 10月12日の時点で、ESET Research から Roundcube に報告された。この問題を認めた Roundcube チームは、短期間でパッチを適用し、10月16日にセキュリティアップデートをリリースした。
Continue reading “Roundcube Server の 脆弱性 CVE-2023-5631:Winter Vivern グループが攻撃を開始”
IoT OT Security News 
You must be logged in to post a comment.