Category: APT

Black Hat 2021:Microsoft Exchange ProxyShell 脆弱性への悪意のスキャン

Microsoft Exchange servers scanned for ProxyShell vulnerability, Patch Now

2021/08/07 BleepingComputer — Black Hat カンファレンスで技術的な詳細が公開されたことで、脅威アクターたちは Microsoft Exchange ProxyShell のリモートコード実行の脆弱性を積極的にスキャンするようになった。これらの脆弱性を調べる前に、どのように公開されたかを理解することが重要だ。ProxyShell は、3つの脆弱性の総称であり、それぞれの脆弱性が連鎖すると、Microsoft Exchange サーバー上で認証を必要とせずにリモートコードが実行される。これらの脆弱性の連鎖は、IIS の Port 443 で実行される Microsoft Exchange の Client Access Service (CAS) を介してリモートから悪用される。

Continue reading “Black Hat 2021:Microsoft Exchange ProxyShell 脆弱性への悪意のスキャン”

Black Hat 2021:Microsoft Exchange 問題の新たな観点

‘A whole new attack surface’ – Researcher Orange Tsai documents ProxyLogon exploits against Microsoft Exchange Server

2021/08/06 DailySwig — Black Hat USA 2021 において、ハッキング・マエストロである Orange Tsai は、Microsoft Exchange の脆弱性に関する待望の技術情報を公開した。2021年1月に Tsai が発見した認証前のリモートコード実行 (RCE : remote code execution) の欠陥は、Microsoft Exchange 史上で最も深刻な脆弱性かもしれないと、彼はリモート講演で語っていた。この欠陥は、3月にパッチが適用されたが、悪用されると世界の何十万ものエンタープライズ・メッセージング・サーバーがハッキングされるという、きわめて深刻なゼロデイ欠陥の1つだった。このバグを深く掘り下げた後に Tsai は、ProxyLogon は単一のバグではなく、研究者が新しい脆弱性を発見するために役立つ、まったく新しい攻撃対象領域であることに気づいた。

Continue reading “Black Hat 2021:Microsoft Exchange 問題の新たな観点”

Black Hat 2021:Microsoft 365 への攻撃がワイルドになる可能性について

Incident Responders Explore Microsoft 365 Attacks in the Wild

2021/08/06 DarkReading — BLACK HAT 2021 – Microsoft 365 は、サイバー犯罪者にとってホットなターゲットであり、セーフガードを回避して企業データにアクセスする新たな方法が、常に模索されている。そして、防御側がゲームを強化すると、攻撃側も同じことを行う。

Continue reading “Black Hat 2021:Microsoft 365 への攻撃がワイルドになる可能性について”

中国拠点のサイバー・スパイが東南アジアの ICS や SCADA を狙っている

China-Linked Cyberespionage Operation Suggests Interest in SCADA Systems

2021/08/05 SecurityWeek — 中国を拠点とするサイバースパイ集団が、東南アジア諸国の重要インフラ組織を標的にしていることが確認されて、攻撃者たちが産業用制御システム (ICS : Industrial Control Systems) に関心を示している可能性が生じた。中国の脅威アクターたちが、東南アジアを標的にすることは珍しいことではない。ここ数年、この地域の軍事/通信/技術/政府の組織を標的にしていることが確認されている。木曜日に Broadcom の一部門である Symantec は、同社の脅威ハンター・グループが、東南アジアの4つの重要インフラ組織に対して、ある脅威アクターが攻撃を仕掛けたことを確認したと報告している。

Continue reading “中国拠点のサイバー・スパイが東南アジアの ICS や SCADA を狙っている”

Cobalt Strike の新たなバグにより悪意のサーバーがダウンした?

New Cobalt Strike bugs allow takedown of attackers’ servers

2021/08/04 BleepingComputer — セキュリティ研究者が、ビーコン C2 (command-and-contro) 通信チャネルの遮断や、新たなデプロイメントを阻止する、Cobalt Strike のサービス拒否 (DoS) 脆弱性を発見した。Cobalt Strike は、レッドチーム (セキュリティの専門家が、自組織のインフラを攻撃する役割で行動し、セキュリティ・ギャップや脆弱性を発見する) の攻撃フレームワークで使用するために設計された、正規のペネトレーション・テスト・ツールだ。

Continue reading “Cobalt Strike の新たなバグにより悪意のサーバーがダウンした?”

Microsoft Azure WAF のボット防止機能がスタート

Bot protection now generally available in Azure Web Application Firewall

2021/08/01 BleepingComputer — Microsoft は、WAF (Web Application Firewall) のボット防止機能が、今週から Azure Application Gateway で提供開始されたと発表した。Azure WAF (Web Application Firewall) は、ボット攻撃やエクスプロイトのほか、クロスサイト・スクリプティング、SQL インジェクション、不正な認証、セキュリティの誤設定などの、一般的な Web の脆弱性から Web アプリケーションを保護するためにデザインされた、クラウド・ネイティブ・サービスである。Azure WAF は、Microsoft の Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) などのサービスを利用することで、ワンクリックで数分以内に導入が可能だ。

Continue reading “Microsoft Azure WAF のボット防止機能がスタート”

RaaS (Ransomware-as-a-Service) のエコシステムを解析する

Why RaaS Has Become Easier to Launch

2021/07/30 SecurityBoulevard — Intel 471 の研究者から、組織内のサイバー・セキュリティ・チームに向けたヒントが届いた。サイバー犯罪者が何を学び、どのように行動しているのかを積極的に把握することで、セキュリティ・ニーズに対する解決策を見出すことができる。犯罪者たちが容易に攻撃を仕掛けられるのは、私たちが日常的に目にしているものを、巧妙に組み合わせているからだ。つまり、日常的に見られるような、技術的なノウハウを持った人々が増えていることが前提にあり、そこに緻密なビジネス・モデルが組み合わさっている。

Continue reading “RaaS (Ransomware-as-a-Service) のエコシステムを解析する”

WellMess マルウェアと関連する C2 サーバークラスタが発見された

Experts Uncover Several C&C Servers Linked to WellMess Malware

2021/07/30 TheHackerNews — サイバー・セキュリティ研究者たちが、APT29 として追跡されているロシアの脅威アクター Cozy Bear が所有する、新たな C2 (command-and-control) インフラストラクチャの正体を明らかにした。Microsoft のサイバーセキュリティ子会社である RiskIQ は、The Hacker News に寄せられたレポートの中で、ロシアの SVR (対外情報機関) が運営する、30台以上の C2 サーバーの発見を発表した。

Continue reading “WellMess マルウェアと関連する C2 サーバークラスタが発見された”

中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む

Chinese Hackers Implant PlugX Variant on Compromised MS Exchange Servers

2021/07/28 TheHackerNews — 今年の3月に明らかになった、Microsoft Exchange Server の欠陥を悪用する中国のサイバー犯罪組織が、これまで文書化されていなかったリモート・アクセス・トロイの木馬 (RAT) の亜種を、東南アジア諸国の侵入したシステムに埋め込んでいる。Palo Alto Networks の脅威インテリジェンス・チームである Unit 42 は、今回の侵入を PKPLUG (別名:Mustang Panda / HoneyMyte) という名の脅威アクターによるものとし、侵入されたサーバーの1つに配信された、Thor と呼ばれるモジュール型 PlugX マルウェアの新バージョンを確認したと述べている。

Continue reading “中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む”

CISA 警告:Pulse Secure に潜むスティルス・マルウェアに注意せよ

CISA warns of stealthy malware found on hacked Pulse Secure devices

2021/07/21 BleepingComputer — 今日のことだが、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、感染した Pulse Secure デバイスで見つかった十数個のマルウェア・サンプルを公表したが、それらはアンチ・ウイルス製品では、ほとんど検出されないものだと警告している。遅くとも 2020年6月以降には、米国の政府機関および、重要インフラ事業体、各種の民間組織の Pulse Secure デバイスが、脅威アクターによる攻撃の対象となっている。

Continue reading “CISA 警告:Pulse Secure に潜むスティルス・マルウェアに注意せよ”

米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難

US and allies officially accuse China of Microsoft Exchange attacks

2021/07/19 BleepingComputer — 米国および、欧州連合、英国、NATO などの同盟国は、今年の広範囲にわたるMicrosoft Exchange ハッキング・キャンペーンについて、中国を公式に非難している。2021年の初頭に生じた、このサイバー攻撃は、世界中の数万の組織に展開された 25万台以上の Microsoft Exchange サーバーを標的としていた。

Continue reading “米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難”

EDR/EPP と APT Protection のための信頼できる RFP テンプレート

The Definitive RFP Templates for EDR/EPP and APT Protection

2021/07/16 TheHackerNews — Advanced Persistent Threats グループの活動は、Fortune 100 の企業のみに関わる問題と考えられてきた。しかし、ここ数年の脅威の状況を見ると、そうではないことが分かる。実際には、業種や規模にかかわらず、直接の標的になるだけではなく、サプライ・チェーン攻撃による巻き添え被害など、あらゆる組織がリスクにさらされている。

Continue reading “EDR/EPP と APT Protection のための信頼できる RFP テンプレート”

SolarWinds Serv-U ゼロデイ攻撃には中国の DEV-0322 ハッキング・グループが関与?

China-linked hacking group DEV-0322 behind Solarwinds Serv-U zero-day attacks

2021/07/14 SecurityAffairs — Microsoft によると、最近の SolarWinds ファイル転送サーバーに対する攻撃は、DEV-0322 として追跡されている、中国のハッキング・グループにより行われているようだ。今週、SolarWinds は、Serv-U 製品に存在する、ゼロデイのリモートコード実行の脆弱性 CVE-2021-35211 に対処した。この問題は、Serv-U Managed File Transfer Server および Serv-U Secured FTP が対象となる。

Continue reading “SolarWinds Serv-U ゼロデイ攻撃には中国の DEV-0322 ハッキング・グループが関与?”

スウェーデンのスーパーマーケット Coop が Kaseya 攻撃により 500店舗を閉鎖

Coop supermarket closes 500 stores after Kaseya ransomware attack

2021.07/03 BleepingComputer — スウェーデンのスーパーマーケット Coop は、MSP (managed service providers) を標的とした REvil ランサムウェアのサプライチェーン攻撃の影響を受け、約500店舗を閉鎖しました。7月2日の夜に、MSP と顧客をターゲットにした REvil ランサムウェア・ギャングが、Kaseya VSA (remote patch management and monitoring uite) を介して大規模なサプライチェーン攻撃を行ったことで、このスーパーマーケット・チェーンは店舗を閉じることになった。

Continue reading “スウェーデンのスーパーマーケット Coop が Kaseya 攻撃により 500店舗を閉鎖”

デンマークの中央銀行にロシアンハッカーが長期にわたりアクセスしていた

Russian hackers had months-long access to Denmark’s central bank

2021/06/29 BleepingComputer — ロシアの国家支援ハッカーが、デンマークの中央銀行 (Danmarks Nationalbank) を侵害し、ネットワーク・アクセスが可能なマルウェアを、半年以上にわたって検知されることなく仕込んでいた。この侵入は、昨年の SolarWinds によるサイバー・スパイ活動の一環であり、ロシア対外情報庁 (SVR) のハッキング部門 (APT29 / The Dukes / Cozy Bear / Nobelium) によるものだと、米国は断定している。

Continue reading “デンマークの中央銀行にロシアンハッカーが長期にわたりアクセスしていた”

中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した

The return of TA402 Molerats APT after a short pause

2021/06/18 SecurityAffairs — TA402 APT グループ (別名:MoleratsGaza Cybergang) だが、2ヶ月間の活動停止の後に復活し、中東の政府機関や同地域に関心を持つグローバルな政府機関を標的としている。Molerats は、政治的な動機を持ちアラビア語を話すハッカー集団であり、2012年から活動している。2018年当時に同集団の活動を監視していた Kaspersky は、きわめて類似した攻撃手法を MENA 地域で発見した。

Continue reading “中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した”

監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?

UNC2465 cybercrime group launched a supply chain attack on CCTV vendor

2021/06/17 SecurityAffairs — ランサムウェア Darkside の系列組織 である UNC2465 が、CCTV (Closed Circuit Television) ベンダーに対してサプライチェーン攻撃を行っていたことが、Mandiant の研究者により発見された。この UNC2465 は、FireEye/Mandiant が追跡している UNC2628 と UNC2659 という別系列グループと同様に、Darkside グループの主要な構成員と考えられている。

Continue reading “監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?”

DDoS を仕掛けるとメールで脅す Fancy Lazarus という犯罪グループとは?

‘Fancy Lazarus’ Criminal Group Launches DDoS Extortion Campaign

2021/06/10 DarkReading — 複数の名前を使い分けるサイバー犯罪者のグループが、身代金の支払いを拒否した組織に DDoS 攻撃を仕掛けると脅す、新たなメール攻撃キャンペーンは開始した。いまは Fancy Lazarus と名乗っているこのグループを、Proofpoint が始めて認識したのは 2020年8月のことである。

Continue reading “DDoS を仕掛けるとメールで脅す Fancy Lazarus という犯罪グループとは?”

SolarWinds ハッカーたちが 24カ国の政府組織を狙っている

Microsoft: SolarWinds hackers target govt agencies from 24 countries

2021/05/28 BleepingComputer — Microsoft Threat Intelligence Center (MSTIC) は、世界の政府機関を標的とした継続的なスピア・フィッシング・キャンペーンの背後に、SolarWinds を狙うハッカーが存在することを発見した。

Continue reading “SolarWinds ハッカーたちが 24カ国の政府組織を狙っている”

Cobalt Strike はハッカー御用達のツールになってしまったのか?

Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups

2021/05/19 DarkReading — RSA CONFERENCE 2021 – オープンソース・ハッキング・プラットフォームである Metasploit は、ネットワーク・テストに必要なツールであると同時に、サイバー犯罪者たちによる悪用に不安を抱く人々から、20年近くにわたり熱狂と不満の声を集めてきた。いまもなお、Metasploit は善良なハッカーと悪質なハッカーから人気を得ているが、レッドチームのツールである Cobalt Strike も、攻撃において重要な役割を果たすようになってきた。

Continue reading “Cobalt Strike はハッカー御用達のツールになってしまったのか?”

ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?

Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild

2021/05/08 TheHackerNews — 英国と米国の情報機関が、5月7日に共同で発表した勧告によると、ロシアの Foreign Intelligence Service (SVR) と密接に関連するサイバー工作員たちは、これまでに公開された脆弱性に対応するかたちで、その戦術を変更しているようだ。

Continue reading “ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?”

中国の老舗サイバー犯罪グループからの脅威が高まっている

Behind the Great Firewall: Chinese cyber-espionage adapts to post-Covid world with stealthier attacks

2021/04/15 PortSwigger — 中国における複数の老舗サイバー犯罪グループは、広く利用されている悪意のツールや独自の悪意のツールによるリソースを蓄積し、コロナウイルスの大流行の中でレパートリーを多様化している。

Continue reading “中国の老舗サイバー犯罪グループからの脅威が高まっている”

FBI と CISA が警告する Fortinet FortiOS へのサイバー攻撃とは?

FBI and CISA warn of state hackers attacking Fortinet FortiOS servers

2021/04/01 BleepingComputer — 米連邦捜査局 FBI と Cybersecurity and Infrastructure Security Agency(CISA)は、Fortinet FortiOS サーバーを複数のエクスプロイトを用いて標的にする、持続性の高い脅威について警告している。

Continue reading “FBI と CISA が警告する Fortinet FortiOS へのサイバー攻撃とは?”