Cyberattackers Exploit Google Sheets for Malware Control in Likely Espionage Campaign
2024/08/30 TheHackerNews — Google Sheets を Command and Control (C2) メカニズムとして悪用する、新しいマルウェア・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、Proofpoint により検出された活動は、2024年8月5日から始まり、世界中の 70 を超える組織を標的にしているようだ。具体的に言うと、ヨーロッパ/アジア/米国における税務当局になりすまし、情報を収集して追加のペイロードを配信するために、Voldemort と呼ばれる独自のツールを使っている。
Continue reading “Google Sheets を悪用するマルウェア:基本的な技術/機能による巧妙な手口とは?”South Korean Spies Exploit WPS Office Zero-Day
2024/08/28 InfoSecurity — WPS Office for Windows の RCE 脆弱性を悪用してカスタム・バックドアを展開する、新たなサイバースパイ・キャンペーンが ESET により発見された。このキャンペーンは、ソウルに拠点を置く APT-C-60 によるもので、東アジアの被害者をターゲットとし、サイバースパイ機能を搭載した SpyGlace バックドアを展開している。
Continue reading “Kingsoft WPS Office の RCE 脆弱性 CVE-2024-7262:韓国 APT による悪用を確認”Chinese APT Volt Typhoon Caught Exploiting Versa Networks SD-WAN Zero-Day
2024/08/26 SecurityWeek — 中国の APT である Volt Typhoon が、Versa Director サーバのゼロデイ脆弱性 CVE-2024-39717 を悪用し、クレデンシャルを乗っ取ってダウン・ストリームの顧客ネットワークに侵入していることが、Lumen Technologies の研究者たちにより明らかにされた。Versa Networks は、この脆弱性のゼロデイ悪用を確認し、Versa Director GUI のハッキングにより、影響を受けるデバイスにマルウェアを仕込むことが可能だと警告している。この脆弱性 CVE-2024-39717 は、8月23日の時点で、CISA の KEV カタログに登録されている。
Continue reading “Versa Director のゼロデイ CVE-2024-39717:中国 APT の Volt Typhoon による悪用を確認”Escalating Cyber Threats: Q2 2024 Vulnerability Report
2024/08/22 SecurityOnline — 2024年 Q2 におけるサイバー・セキュリティの状況では、アプリケーションとオペレーティング・システムを標的とする、新しい脆弱性と悪用の手法の顕著な増加が特徴的だった。Kaspersky Labs の最新レポートによると、この Q2 には、権限昇格の主な手段として、脆弱なドライバーを悪用する攻撃が大幅に増加した。この傾向は、従来からのセキュリティ対策を回避してシステムに侵入するためのベクターとして、攻撃者が古いドライバーを悪用するケースが増えていることを示しており、また、脅威の増大も示している。
Continue reading “2024年 Q2 のサイバー脅威:そのトレンドを分析/解説する – Kaspersky Labs”North Korean Hackers Deploy New MoonPeak Trojan in Cyber Campaign
2024/08/21 TheHackerNews — MoonPeak という未知のリモート・アクセス型トロイの木馬が、新たなキャンペーンにおいて、国家支援の北朝鮮ハッカーにより使用されていることが発見された。Cisco Talos は、このキャンペーンは UAT-5394 として追跡しているハッキング・グループによるものであり、既知の APT である Kimsuky と、ある程度の戦術的重複が見られるとしている。
Continue reading “MoonPeak という新たな RAT:北朝鮮ハッカー UAT-5394 による使用を確認”Windows Zero-Day Attack Linked to North Korea’s Lazarus APT – CVE-2024-38193
2024/08/19 SecurityWeek — 先週に Microsoft がパッチを適用したゼロデイ脆弱性だが、北朝鮮の APT グループLazarus により悪用されていると、Gen Threat Labs のセキュリティ研究者たちが指摘している。Microsoft により “actively exploited” とマークされた、この脆弱性 CVE-2024-38193 は、最新の Windows オペレーティング・システム上で、SYSTEM 権限を許可してしまうものだ。
Continue reading “Windows のゼロデイ脆弱性 CVE-2024-38193:北朝鮮の Lazarus APT が悪用している”CISA adds Microsoft COM for Windows bug to its Known Exploited Vulnerabilities catalog
2024/08/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft COM for Windows の信頼できないデータのデシリアライズの脆弱性 CVE-2018-0824 (CVSS:7.5) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 24/08/05:Microsoft の脆弱性 CVE-2018-0824 を登録”China-linked APT41 breached Taiwanese research institute
2024/08/05 SecurityAffairs — 中国由来のグループが、台湾の政府系研究機関を侵害したと、Cisco Talos の研究者たちが報告している。彼らは、この攻撃が APT41 グループによるものだと、中程度の信頼性を示している。このキャンペーンは、早くとも 2023年7月に開始されたものであり、ShadowPad マルウェアや Cobalt Strike に加えて、各種のポスト・エクスプロイト・ツールが、脅威アクターにより配信された。
Continue reading “中国由来の APT41 が台湾政府を侵害:Microsoft の古い脆弱性 CVE-2018-0824 を悪用”Chinese Hacking Group APT41 Infiltrates Global Shipping and Tech Sectors, Mandiant Warns
2024/07/18 SecurityWeek — ヨーロッパとアジアの海運/ロジスティクス/テクノロジー/自動車産業の組織に侵入したとして摘発された、中国政府が支援する多発ハッキング・チーム APT41 によるマルウェア攻撃が、大規模なレベルで復活していることを、Mandiant の研究者たちが指摘している。Mandiant の警告によると、侵入された組織の大部分は英国/イタリア/スペイン/トルコ/タイ/台湾にあるという。これらの組織に侵入した APT41 は、遅くとも 2023年以降において、不正アクセスを長期にわたって維持することに成功しているようだ。
Continue reading “中国由来の APT41 が復活:世界のロジスティクスやテクノロジーなどの産業を狙っている – Mandiant”Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer
2024/07/16 TheHackerNews — Void Banshee という APT グループが、最近に公開された Microsoft の MHTML ブラウザ・エンジンのゼロデイ脆弱性 CVE-2024-38112 を悪用し、Atlantida 情報窃取ツールを配信していることが確認された。この活動を 2024年5月中旬に観測したサイバーセキュリティ企業 Trend Micro によると、この脆弱性は、特別に細工されたインターネット・ショートカット (URL) ファイルを使用する、多段階攻撃チェーンの一部として使用されていたという。
Continue reading “Microsoft MHTMLの脆弱性 CVE-2024-38112:Void Banshee APT が Atlantida スティーラーの配布に悪用”Japan warns of attacks linked to North Korean Kimsuky hackers
2024/07/10 BleepingComputer — 北朝鮮の脅威アクターである Kimsuky が、日本の組織を攻撃の標的にしていると、JPCERT/CC (Japan’s Computer Emergency Response Team Coordination Center) が警告している。この Kimsuky は、北朝鮮の APT (advanced persistent threat) グループだと米国政府は位置づけている。同グループは、北朝鮮政府にとって関心のある情報を収集するために、世界中の標的に対して攻撃を行っている。
Continue reading “北朝鮮のハッカー Kimsuky が日本の組織を標的にしている – JPCERT/CC”CISA Adds Cisco Nx-Os Command Injection Bug To Its Known Exploited Vulnerabilities Catalog
2024/07/08 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco NX-OS コマンド・インジェクション脆弱性 CVE-2024-20399 を、KEV カタログに 追加した。今週に Cisco は、NX-OS のゼロデイ脆弱性 CVE-2024-20399 (CVSS:6.0) 対処している。この脆弱性を悪用する中国由来の Velvet Ant が、root として未知のマルウェアを展開するために、脆弱なスイッチを悪用している。
Continue reading “CISA KEV 警告 24/07/02:Cisco NX-OS の脆弱性を悪用する中国由来の Velvet Ant”ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached
2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約3年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア/ヨーロッパ/南米などの、複数の地域の政府機関に影響を及ぼしている。
Continue reading “ProxyLogon/ProxyShell の脆弱性が復活:政府機関の電子メールが侵害される”Cisco warns of NX-OS zero-day exploited to deploy custom malware
2024/07/01 BleepingComputer — Cisco が公表したのは、脆弱なスイッチに root 権限で未知のマルウェアをインストールするという、2024年4月の攻撃で悪用された、NX-OS のゼロデイ脆弱性 CVE-2024-20399 に対する修正である。サイバー・セキュリティ企業の Sygnia は、このインシデントを Cisco に報告し、同社が追跡している脅威アクター “Velvet Ant” による攻撃と関連付けた。Sygnia のインシデント対応の担当ディレクターである Amnon Kushnir は、「Velvet Ant として追跡している、中国由来のサイバー・スパイ・グループに関する大規模なフォレンジック調査中に、この悪用を検出した」と、 BleepingComputer に語っている。
Continue reading “Cisco NX-OS のゼロデイ悪用が発見される:カスタム・マルウェアの展開を警告”Kimsuky Using TRANSLATEXT Chrome Extension to Steal Sensitive Data
2024/06/28 TheHackerNews — 北朝鮮の脅威アクター Kimsuky が、機密情報を盗むように設計された、新たな悪意の Google Chrome エクステンションを使用して、情報収集活動を展開している。この活動を 2024年3月初旬に観測した Zscaler ThreatLabz は、このエクステンションのコードネームを TRANSLATEXT とし、電子メールアドレス/ユーザー名/パスワード/クッキー/ブラウザのスクリーン・ショットなどを、収集する機能を持つと指摘している。この標的型キャンペーンは、韓国の学術界を狙うものであり、特に北朝鮮の政治問題に関連するアカウントを標的にしたものだと見られている。
Continue reading “悪意の Chrome エクステンション TRANSLATEXT:機密データを窃取する北朝鮮 Kimsuky の手口とは?”TeamViewer Confirms Cyberattack by Notorious APT Group
2024/06/27 SecurityOnline — リモート・コントロール・ツールの TeamViewer が、深刻なサイバー攻撃を受けたことを公表した。TeamViewer のシステムへの侵入に成功したのは、APT29 (Midnight Blizzard) と呼ばれる洗練されたハッカー集団であり、未知の手法が用いられているという。しかし、現時点においては、TeamViewer の製品やユーザー・データは侵害されていない。
Continue reading “TeamViewer へのサイバー攻撃を確認:APT29 の犯行だと特定される”Decade-Long Cyber Assault on Asian Telecoms Traced to Chinese State Hackers
2024/06/20 SecurityWeek — 長年にわたってアジア某国の通信会社が、中国のスパイ集団に帰属する悪意のツールの標的となっていることが、Symantec のレポートにより判明した。遅くとも 2021年以降から、通信事業者/通信事業者にサービスを提供する企業/大学などを標的とするキャンペーンが発生し、Coolclient/Quickheal/Rainyday などのカスタム・バックドアが使用されてきた。過去においても、このカスタム・バックドアは、中国に支援される既知の脅威アクターたちと関連付けられてきたが、その中には、10年以上も活動しているグループも含まれるという。
Continue reading “アジアの通信事業者への 10年にわたるサイバー攻撃:中国ハッカーの犯行と判明 – Symantec”UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying
2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。
Continue reading “Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?”Bug Bounty Programs, Hacking Contests Power China’s Cyber Offense
2024/06/18 DarkReading — これまでの 10年間を振り返ってみると、中国のサイバー・セキュリティ専門家は、世界的なエクスプロイト・コンテストや、バグ・バウンティ・プログラムへの遠慮がちな参加者から、これらの分野における支配的なプレーヤーへと進化している。そして、中国政府は、この戦利品を国家のサイバー攻撃力強化に活用している。
Continue reading “中国のサイバー Offense/Defense パワー:世界の脆弱性情報エコシステムとの関係を考察する – ETH Zurich”China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices
2024/06/17 TheHackerNews — 中国と密接な関係にあると疑われるサイバー・スパイが、約3年間という長期間にわたり、東アジアの無名の組織に対して攻撃を続けていたことが判明した。この脅威アクターは、F5 BIG-IP のレガシー・アプライアンスを悪用して永続性を確立し、内部 C&C (command-and-control) として使用することで、セキュリティを回避していた。2023年の後半に、この活動に対応したサイバー・セキュリティ企業 Sygnia は、Velvet Ant という名前で追跡した結果として、迅速な機動力と対処策に適応する強力な能力を有すると分析している。
Continue reading “F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia”Microsoft Admits Security Failings Allowed China to Access US Government Emails
2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。
Continue reading “Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言”North Korean Hackers Exploit Old Office Flaw to Deploy Keylogger
2024/06/13 SecurityOnline — 北朝鮮の国家支援グループ Kimsuky により、新たなサイバー・スパイ・キャンペーンが実施されていることを、AhnLab Security Emergency response Center (ASEC) が公表した。このグループは、Microsoft Office の数式エディタに存在する、既知の脆弱性 CVE-2017-11882 を悪用して、高度なキーロガーを配信している。
Continue reading “MS Office の古い脆弱性 CVE-2017-11882 を悪用:北朝鮮の Kimsuky がキーロガーを配信”Chinese hackers breached 20,000 FortiGate systems worldwide
2024/06/11 BleepingComputer — オランダ軍の情報セキュリティ局 (MIVD:Military Intelligence and Security Service) が 6月11日に公開したアラートは、2024年の初頭に公表中国のサイバースパイ・キャンペーンの影響が、これまで考えられていたよりも遥かに大きいと警告するものだ。2024年2月に MIVD は、オランダの情報機関である AIVD (Algemene Inlichtingen- en Veiligheidsdienst) との共同レポートで、この件について情報を公開している。同レポートによると、中国のハッカーは 2022〜2023年の数カ月間にわたり、Fortinet FortiOS/FortiProxy の深刻なリモート・コード実行の脆弱性 CVE-2022-42475 を悪用し、脆弱な Fortigate ネットワーク・セキュリティ・アプライアンスにマルウェアを展開していたという。
Continue reading “FortiOS/FortiProxy の脆弱性 CVE-2022-42475:中国 APT が 20,000台のデバイスに RAT を展開”Over 600,000 SOHO Routers Were Destroyed By Chalubo Malware In 72 Hours
2024/05/31 SecurityAffairs — Chalubo マルウェアが、2023年10月25日〜10月27日の間にわたって、同じ ISP に属する 600,000 台以上の SOHO (small office/home office) ルーターを破壊していたことが、Lumen の Black Lotus Labs の研究により判明した。Black Lotus Labs は、影響を受けた ISP の名前を挙げていない。しかし Bleeping Computer の推測は、同時期に発生した Windstream の障害に、この攻撃が関連しているというものだ。Chalubo (ChaCha-Lua-bot) は Linux マルウェアであり、IoT デバイスに DDoS 攻撃を仕掛けるためのボットネットとして使用されていた状況を、2018年8月下旬に Sophos Labs が検知していた。
Continue reading “Chalubo マルウェア:600,000 台以上の SOHO ルーターを破壊していた – Lumen”Hackers Actively Exploiting Critical D-Link NAS Vulnerability: 90,000+ Devices at Risk
2024/05/30 SecurityOnline — D-Link NAS の EOL (end-of-life) デバイス群に、深刻な脆弱性 CVE-2024-3273 が存在することが、サイバーセキュリティ企業 CYFIRMA からの緊急の警告により判明した。 この脆弱性の CVSS 基本スコアは 9.8 であり、広範囲での悪用が懸念されている。
Continue reading “D-Link NAS の脆弱性 CVE-2024-3273:EoL デバイスを狙う積極的な攻撃を観測”MITRE December 2023 Attack: Threat Actors Created Rogue VMS To Evade Detection
2024/05/25 SecurityAffairs — MITRE Corporation は、昨年末に発生した攻撃に関するアップデート情報を公開した。MITRE は、研究/試作ネットワークの1つにセキュリティ侵害があったことを、2024年4月に明らかにしている。同組織のセキュリティ・チームは速やかに調査を開始し、脅威アクターをログアウトさせ、サードパーティの DFIR (Forensics and Incident Response) チームに依頼し、社内の専門家たちと共同で独自の分析を実施した。
Continue reading “MITRE が公表した 2024年1月の攻撃:不正な VMS を用いて検知を回避”MITRE Attributes The Recent Attack To China-Linked UNC5221
2024/05/07 SecurityAffairs — MITRE が共有したのは、先日の攻撃に関連する攻撃者/マルウェア/タイムラインなどの、ハッキングの詳細情報である。2024年4月に MITRE は、同社の研究/試作ネットワークの1つに、セキュリティ侵害があったことを公表した。同組織のセキュリティ・チームは直ちに調査を開始し、脅威行アクターをログアウトさせ、サードパーティのフォレンジック・インシデント対応チームと社内の専門家を協力させ、独自の分析を実施した。
Continue reading “MITRE への侵害:中国由来の APT UNC5221 の侵害の手法とマルウェアを分析する”Microsoft Outlook Flaw Exploited by Russia’s APT28 to Hack Czech, German Entities
2024/05/04 TheHackerNews — 5月3日 (金) にチェコとドイツの両国は、ロシアに支援される 脅威アクター APT28 により実施された、長期的なサイバースパイ・キャンペーンの標的であったことを明らかにし、EU/NATO/英国/米国から非難を浴びた。チェコ共和国の外務省 (MFA) は声明の中で、2023年初頭に明るみに出た Microsoft Outlook の脆弱性を悪用する攻撃により、同国内の無名の団体が被害を受けたと述べている。MFA は、「政治団体/国家機関/重要インフラを標的とするサイバー攻撃は、国家安全保障に対する脅威であるだけではなく、我々の自由な社会が基盤としている民主主義のプロセスを混乱させるものだ」と述べている。
Continue reading “Outlook の脆弱性 CVE-2023-23397 と APT28:チェコとドイツに対するスパイ行為が発覚”Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft
2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的/効果的であるということに気づき始めている。独自のインフラを構築/維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。
Continue reading “Microsoft Graph API :C2 インフラ構築のための悪用が増加している”ArcaneDoor hackers exploit Cisco zero-days to breach govt networks
2024/04/24 BleepingComputer — 4月24日に公開したアドバイザリで Cisco が警告しているのは、2023年11月以降において国家に支援されるハッカー・グループが、Adaptive Security Appliance (ASA) と Firepower Threat Defense (FTD) ファイアウォールに存在する、2つのゼロデイ脆弱性を悪用していたことだ。 それにより、世界中の政府機関のネットワークで、侵入が発生していたという。
Continue reading “Cisco ASA/FTD のゼロデイ脆弱性:ArcaneDoor ハッカーが政府機関ネットワークへの侵入で悪用”Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability
2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも1ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の1つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。
Continue reading “Palo Alto の脆弱性 CVE-2024-3400:Siemens 製品に影響をおよぼすことが判明”Russia-Linked Hackers Exploit Windows Zero-Day, Deploy “GooseEgg” to Hijack Networks
2024/04/22 SecurityOnline — ロシア国家が支援するハッキング・グループ “Forest Blizzard” の武器庫にある、洗練された新ツールについて、Microsoft が情報を暴露した。この GooseEgg と名付けられたツールを活用して、侵害したシステムに深くアクセスする攻撃者は、欧米の政府や戦略的組織にとって深刻な脅威をもたらしている。
Continue reading “ロシアン APT Forest Blizzard の最新兵器 GooseEgg:Windows の CVE-2022-38028 を狙っている”22,500 Palo Alto firewalls “possibly vulnerable” to ongoing attacks
2024/04/19 BleepingComputer — 2024年3月26日以降において、Palo Alto GlobalProtect ファイアウォール・デバイス約 22,500台に、活発な攻撃で悪用されているコマンド・インジェクションの脆弱性 CVE-2024-3400 が存在する可能性があるという。この脆弱性 CVE-2024-3400 は、GlobalProtect 機能における特定の Palo Alto Networks の PAN-OS バージョンに影響するものであり、未認証の攻撃者に任意のファイル作成をトリガーとするコマンド・インジェクションを許し、その結果として root 権限でのコマンド実行にいたる可能があるという。
Continue reading “Palo Alto の脆弱性 CVE-2024-3400:脆弱なデバイス 22,500 台がインターネット公開”MITRE Revealed That Nation-State Actors Breached Its Systems Via Ivanti Zero-Days
2024/04/19 SecurityAffairs — 2024年4月に MITRE が公表したのは、その研究/試作ネットワークの1つに対して、セキュリティ侵害が生じていたことだ。同組織のセキュリティ・チームは直ちに調査を開始し、脅威アクターをログアウトさせ、サードパーティのフォレンジック・インシデント・レスポンス・チームに依頼し、社内の専門家と協力し、独自の分析を実施した。MITRE Corporation によると、この国家に支援された APT は、2024年1月に Ivanti Connect Secure の2つのゼロデイ脆弱性を連鎖させ、同社のシステムに侵入していた。
Continue reading “MITRE が公表した 2024年1月の侵害:Ivanti のゼロデイを悪用する APT に侵入されていた”PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338)
2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。
Continue reading “Windows Kernel の脆弱性 CVE-2024-21338 に PoC:2024年2月の月例パッチを確認!”Hackers Deploy Python Backdoor in Palo Alto Zero-Day Attack
2024/04/13 TheHackerNews — Palo Alto Networks の PAN-OS ソフトウェアに存在するゼロデイ脆弱性だが、昨日に明るみに出る前の 2024年3月26日の時点から、3週間にわたり脅威アクターたちに悪用されてきたことが判明した。Palo Alto Networks の Unit 42 は、Operation MidnightEclipse という名称で、この活動を追跡している。現時点では、単一の脅威アクターの仕業であるとしているが、その出所は不明とされる。この脆弱性 CVE-2024-3400 (CVSS:10.0) は、コマンド・インジェクションの欠陥であり、認証されていない攻撃者に対して、ファイアウォールの root 権限を用いた任意のコード実行を許すものである。
Continue reading “Palo Alto のゼロデイ CVE-2024-3400:公開の3週間前から Python バックドア”Midnight Blizzard’s Microsoft Corporate Email Hack Threatens Federal Agencies: CISA Warns
2024/04/12 GBHackers — Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft における 企業電子メールシステムの侵害について緊急指令を発表した。この緊急指令 (ED 24-02) は、国家に支援された APT である Midnight Blizzard によるリスクを、軽減するために必要な緊急措置を概説している。このグループは、連邦民間行政府 (FCEB) 機関と Microsoft との間で交わされた機密メールの流出に成功しているため、国家の安全保障に対する潜在的な影響について、CISA は警鐘を鳴らすことにしたようだ。
Continue reading “Midnight Blizzard による Microsoft 侵害:CISA から連邦政府への緊急警告とは?”Popular Rust Crate liblzma-sys Compromised with XZ Utils Backdoor Files
2024/04/12 TheHackerNews —XZ Utilsのバックドアに関連する “テストファイル” が、liblzma-sys という名の Rust crate に紛れ込んでいることが、Phylum の新たな調査で明らかになった。この liblzma-sys は、現時点において 21,000回以上もダウンロードされており、XZ Utils データ圧縮ソフトウェアの一部である、基礎ライブラリ liblzma 実装へのバインディングを、Rust 開発者に提供している。問題のバージョンは、0.3.2 である。
Continue reading “XZ Utils バックドア汚染:Rust Crate liblzma-sys 侵害から手口を辿ってみる”Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities
2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる5つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure/Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用が既に発見/報告されているが、この活度は、その後に続くものである。
Continue reading “Ivanti 製品の脆弱性:中国系のハッカーが新たな TTP を開発している”Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account
2024/03/25 TheHackerNews — 2024年1月に Microsoft は、ロシアのハッカー Midnight Blizzard (別名:Nobelium) によるハッキング被害を受けていたことを発表した。この件で特筆すべきは、Microsoft への侵入が、いかに容易であったかということだ。ハッカーたちは、ゼロデイ脆弱性を悪用した高度な技術的ハッキングではなく、単純なパスワード・スプレーという手法を使って、同社の古い非アクティブなアカウントの制御に成功した。このインシデントは、パスワード・セキュリティの重要性と、組織が全てのユーザー・アカウントを保護すべき理由を、思い知らせる結果となった。
Continue reading “ロシアのハッカー Midnight Blizzard:パスワード・スプレー攻撃で Microsoft を侵害”Chinese State-Linked Hackers Target Critical Systems; Exploit F5 and ScreenConnect Flaws
2024/03/22 SecurityOnline — UNC5174 という新たな脅威アクターが、ゼロデイおよび最近にパッチが適用された脆弱性を悪用して、一連の標的型侵入を仕掛けていることが、Mandiant のレポートにより明らかになった。同グループの活動は、技術力の高い標的攻撃により、特に政府/防衛/学術などの分野における、価値の高い組織をターゲットにするものだ。
Continue reading “UNC5174 という中国ハッカー:F5/ScreenConnect の脆弱性を悪用して攻撃を展開”Chinese APT ‘Earth Krahang’ Compromises 48 Gov’t Orgs on 5 Continents
2024/03/19 DarkReading — これまで正体不明だった、中国のスパイ・グループが特定された。このフループは、標準的な TTP (Tactics/Techniques/Procedures) を用いながらも、23カ国の少なくとも 70組織への侵入に成功したが、そこには政府機関の 48組織も含まれていたという。Earth Krahang は、高レベルの軍事 APT ではないようだ。Trend Micro の研究者たちは新たなレポートの中で、中国共産党 (CCP) が契約した、民間のハッカー雇用オペレーションである、iSoon の一部である可能性を示唆している。
Continue reading “Earth Krahang は中国由来の APT:ありきたりの OSS ツールで 48の政府機関を侵害”Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails
2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。
Continue reading “Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた”China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks
2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。
Continue reading “中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?”ScreenConnect flaws exploited to drop new ToddleShark malware
2024/03/04 BleepingComputer — 北朝鮮の APT ハッキング・グループである Kimsuky は、ScreenConnect の脆弱性を、特に CVE-2024-1708/CVE-2024-1709 を悪用して、ToddleShark という新しいマルウェアの亜種をターゲットに感染させている。Kimsuky (別名 Thallium/Velvet Chollima) は、北朝鮮の国家支援ハッキング・グループであり、世界中の組織や政府に対するサイバー・スパイ攻撃で知られている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1708/CVE-2024-1709:マルウェアの投下に悪用されている”TA577 Exploits NTLM Authentication Vulnerability
2024/03/04 InfoSecurity — Proofpoint のサイバー・セキュリティ研究者たちが注目しているのは、サイバー犯罪者である TA577 アクターが採用する新たな戦術であり、また、これまでの彼らの活動において稀有だった狙いである。この脅威グループは、NT LAN Manager (NTLM) の認証情報を盗み出し、攻撃チェーンを利用していることが判明した。この攻撃方法は、機密データの収集に悪用される可能性があり、さらなる悪意のある活動を促進する可能性を持つものだ。
Continue reading “NTLM 認証の脆弱性を悪用:TA577 が仕掛けるキャンペーンの実態とは?”Threat Actors Hacked Taiwan-Based Chunghwa Telecom
2024/03/04 SecurityAffairs — 中華電信 (Chunghwa Telecom Company, Ltd.) は、台湾最大の総合電気通信サービス・プロバイダーであり、同国のローカル・エクスチェンジ・キャリアとして、PSTN/モバイル/ブロードバンド・サービスなどを提供している。その中華電信から、軍事文書や政府文書を含む機密情報が、脅威アクターにより窃取されたことを、台湾の国防省が明らかにした。この脅威アクターは、政府関連の契約書類を含む 1.7 TB のデータを盗み出したと主張しているという。
Continue reading “台湾の中華電信でデータ侵害が発生:軍事文書/政府文書などが窃取された”Microsoft Zero-Day Used by Lazarus in Rootkit Attack
2024/03/01 DarkReading — Microsoft のアプリケーション・ホワイトリスト・ソフトウェア AppLocker の、ゼロデイ脆弱性は修正されている。しかし、北朝鮮に支援される Lazarus Group が実施する、ルートキット型サイバー攻撃において、この脆弱性が悪用されることは防げなかった。Avast の研究者たちの説明によると、Microsoft Windows のゼロデイ脆弱性 CVE-2024-21338 を発見した Lazarus は、FudModule と呼ばれる独自のルートキット・マルウェアの更新版を介して、Admin から Kernel へと権限を引き上げたという。
Continue reading “Microsoft のゼロデイ CVE-2024-21338:Lazarus の Rootkit 攻撃で悪用される”State-sponsored hackers know enterprise VPN appliances inside out
2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード/パッチ適用/工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。
Continue reading “Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”
IoT OT Security News 
You must be logged in to post a comment.