Brute-force attacks target Apache Tomcat management panels
2025/06/11 BleepingComputer — オンラインで公開されている Apache Tomcat Managerインターフェイスを標的として、数百の固有 IP アドレスを用いる組織的なブルートフォース攻撃キャンペーンが検出された。Tomcat は人気のオープンソース Web サーバであり、エンタープライズや SaaS プロバイダーで広く使用されている。その一方で、Tomcat Manager は、Tomcat サーバにバンドルされる Web ベースの管理ツールであり、GUI を介した Web アプリ管理を、Admin たちに提供するものだ。
Continue reading “Apache Tomcat Manager を標的とするブルートフォース攻撃を検出:約 400 の悪意の IP アドレスが関与”Google Vulnerability Let Attackers Access Any Google User’s Phone Number
2025/06/10 CyberSecurityNews — Google のアカウント復旧システムに存在していた、深刻なセキュリティ脆弱性を悪用する攻撃者が、高度なブルートフォース攻撃を介して、任意の Google ユーザーの電話番号を取得できる状態にあったことが、BruteCat のセキュリティ研究者により明かされた。この脆弱性は、Google の No-JavaScript Username Recovery Form の悪用により、通常のセキュリティ保護の回避と、機密情報の抽出を許すものだ。なお、この脆弱性は、すでに修正されている。
Continue reading “Google のレガシー・アカウント復旧機能の脆弱性:ユーザーの電話番号が漏洩?”Critical Risk (CVSS 9.1): Auth0-PHP SDK Flaw Threatens 16M+ Downloads
2025/05/19 SecurityOnline — Auth0-PHP SDK を使用する開発者および企業に対して Okta が公開したのは、セッション Cookie に対するブルートフォース攻撃により不正アクセスを許してしまう、深刻な脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-47275 (CVSS 9.1) は、セッション管理に CookieStore を使用するようにコンフィグされた Auth0-PHP SDK および、それを統合するダウンストリームに影響を及ぼす。
Continue reading “Auth0-PHP SDK の脆弱性 CVE-2025-47275 が FIX:約1,600 万回ダウンロードと影響の範囲”Palo Alto Networks Warns of Brute-Force Attempts Targeting PAN-OS GlobalProtect Gateways
2025/04/11 TheHackerNews — Palo Alto Networks が明らかにしたのは、PAN-OS GlobalProtect ゲートウェイに対する、ブルートフォース攻撃によるログイン試行を観測したという情報である。先日に警告されたのは、同社のアプライアンスを狙う脅威アクターたちの、不審なログイン・スキャン活動の急増だったが、それから数日後に、新たな悪意のアクティビティが観測されている。
Continue reading “Palo Alto が警告するブルートフォース試行の増加:前回のログイン・スキャンとの関連性は?”Ivanti 0-Day RCE Flaw Exploitation Details Revealed
2024/04/11 gbhackers — Ivanti が公表した、認証不要の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-22457 により、サイバー・セキュリティ業界全体に懸念が広がっている。この脆弱性は複数の Ivanti 製品に影響を及ぼすものであり、攻撃者に対してリモート・コード実行を許すため、企業の機密環境が危険にさらされる可能性がある。その一方で、Rapid7 の脆弱性対策チームなどの研究者たちが、この脆弱性の悪用の方法と、その修正に必要な手順について、詳細な分析結果を公開している。
Continue reading “Ivanti の脆弱性 CVE-2025-22457:APT による攻撃の解析と PoC の提供”New Akira ransomware decryptor cracks encryptions keys using GPUs
2025/03/15 BleepingComputer — Akira ランサムウェアの Linux 版に対する復号ツールが、セキュリティ研究者の Yohanes Nugroho によりリリースされた。この無料のツールは、GPU パワーを利用して復号キーを取得し、ファイルのロックを解除する。Nugroho は、友人から助けを求められ、この復号ツールを開発することになった。Akira が暗号化キーを生成する方法に、つまり、タイムスタンプを用いる方法を分析すれば、1週間以内で暗号化されたシステムを復号できると判断したのだ。
Continue reading “Akira ランサムウェアに対する複合ツール:GPU を用いて暗号化キーにブルートフォースを仕掛ける”Ransomware gang creates tool to automate VPN brute-force attacks
2025/03/14 BleepingComputer — Black Basta ランサムウェアは、ブルートフォース攻撃を自動化するフレームワーク “BRUTED” を使用し、ファイアウォールや VPN などのエッジ・ネットワーク・デバイスを標的にしている。このグループは、独自に開発した BRUTED により、効果的にネットワークへのイニシャル・アクセスを獲得し、インターネット上に公開された脆弱なエンドポイントへのランサムウェア攻撃を拡大させている。流出した Black Basta の内部チャット・ログを、EclecticIQ の研究者である Arda Buyukkaya が詳細に分析した結果により、この BRUTED の存在が明らかになったという。
Continue reading “Black Basta が開発した BRUTED Framework:ブルートフォース攻撃の最適化と自動化”China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access
2025/03/05 TheHackerNews — Microsoft Exchange サーバのセキュリティ欠陥を、2021年1月のゼロデイ攻撃で悪用していた中国由来の脅威アクターだが、企業ネットワークへのイニシャル・アクセスの手段を、IT サプライチェーンを標的とする戦術へと転換しているようだ。この情報は、Microsoft Threat Intelligence チームの新たな調査結果によるものであり、いまの Silk Typhoon (旧 Hafnium) ハッキング・グループは、攻撃の足がかりを得るためにリモート管理ツールやクラウド・アプリなどの、IT ソリューションを標的にしているという。
Continue reading “中国由来の Silk Typhoon の戦術:脆弱性悪用とパスワード・スプレーの採用”CVE-2024-33112 and More: How FICORA and CAPSAICIN Botnets Are Exploiting D-Link Devices
2024/12/28 SecurityOnline — 2024年10月/11 月に FortiGuard Labs が観測したのは、悪名高い2つのボットネットである FICORA と CAPSAICIN の活動が著しく増加したことである。これらのボットネットは、長年にわたり D-Link デバイスの脆弱性を悪用して、広範囲に及ぶ攻撃を仕掛けている。
Continue reading “D-Link の脆弱性 CVE-2024-33112 などを悪用:FICORA/CAPSAICIN ボットネットを分析”Citrix Warns of Password Spraying Attacks Targeting NetScaler Appliances
2024/12/16 SecurityWeek — Citrix が発している警告は、世界中の企業で導入されている NetScaler/NetScaler Gateway アプライアンスを標的とした、パスワード・スプレー攻撃に関するものだ。2024年4月に観測されたインシデントとして、Cisco/CheckPoint/Fortinet/SonicWall などの VPN/SSH サービスを標的とする、大規模なブルートフォース攻撃があるが、今回の攻撃との関連性が疑われる。
Continue reading “Citrix 警告:NetScaler アプライアンスへのパスワード・スプレー攻撃が発生”Citrix NetScaler Under Siege: Significant Increase in Brute Force Attacks Observed
2024/12/12 SecurityOnline — Citrix NetScaler デバイスを狙うブルートフォース攻撃の、ドイツでの大幅な増加が確認されている。それらの NetScaler デバイスは、サポーが切れた古いものや、ミスコンフィグされているものだと、CERT Germany や BSI (German Federal Office for Information Security ) が警告している。これまでにも、Citrix NetScaler デバイスは、サイバー犯罪者が多用する標的となっている。2024年初頭に、NetScaler ADC/NetScaler Gateway において、2件のゼロデイ脆弱性が明らかになっている。最近のブルートフォース攻撃の急増は、それらの脆弱性の悪用により発生しており、このプラットフォームが攻撃を受けやすいことを示している。
Continue reading “Citrix NetScaler に対するブルートフォースの急増:CVE-2024-8534/8535 に注意”Microsoft MFA AuthQuake Flaw Enabled Unlimited Brute-Force Attempts Without Alerts
2024/12/11 TheHackerNews — Microsoft の MFA 実装に、深刻なセキュリティ脆弱性があることが、サイバー・セキュリティ研究者たちにより報告された。この脆弱性を悪用する攻撃者は、MFA 保護を容易に回避し、被害者のアカウントへの不正アクセスを達成するという。Oasis Security の研究者である Elad Luz と Tal Hason は、「このバイパスは単純だった。実行に約1 時間を要したが、ユーザーの操作は不要であり、通知は生成されなかった。したがって、アカウント所有者は、なんの兆候も検出できなかった」と、 The Hacker News に共有されたレポートで述べている。
Continue reading “Microsoft – MFA の AuthQuake という欠陥:ブルートフォース攻撃を検知できない”Elpaco Ransomware: A New Threat Actor Leverages CVE-2020-1472 for Global Attacks
2024/11/27 SecurityOnline — 洗練されたランサムウェアの亜種 Elpaco が、Mimic ランサムウェア・ファミリーの進化形とし登場したことを、Kaspersky Labs が発表した。この高度なマルウェアは、多数のカスタマイズ機能を備えており、既知の脆弱性と正規のソフトウェア・ツールを悪用しながら密かに操作を実行し、世界中の被害者をターゲットにしている。
Continue reading “RDP の脆弱性 CVE-2020-1472 がターゲット:Elpaco ランサムウェアの活動が捕捉された”2024/10/30 SecurityOnline — 600 万を超えるアクティブ・インストールを誇る人気の WordPress LiteSpeed Cache プラグインに、深刻なセキュリティ脆弱性が存在することを、Patchstack のセキュリティ研究者 Rafie Muhammad が明らかにした。高度なサーバ・レベルのキャッシュ機能と、WooCommerce/Yoast SEO などのプラグインとの互換性で知られる LiteSpeed Cache に、世界中の WordPress サイトを危険にさらす可能性のある深刻な欠陥が見つかったことになる。
Continue reading “WordPress LiteSpeed Cache の脆弱性 CVE-2024-50550 が FIX:ブルートフォースの可能性”Iranian Hackers Target Microsoft 365, Citrix Systems with MFA Push Bombing
2024/10/18 HackRead — イランのハッカーたちが、ブルートフォース攻撃の手法を用いて、重要なインフラ組織を標的にしている。この記事で掘り下げていくのは、MFA プッシュ攻撃や認証情報の窃取などの、彼らが用いるテクニックの詳細である。これらの高度な脅威から組織を保護し、効果的なセキュリティ対策を導入する方法について学んでいこう。
Continue reading “CISA/FBI/NSA の共同勧告:イランのハッカーが Microsoft 365 などに MFA 疲労攻撃を展開”Vulnerability in Vesta Control Panel Exposes Admin Accounts
2024/10/02 SecurityOnline — Linux サーバの管理で多用される Web ベースのインターフェースである、Vesta Control Panel に深刻な脆弱性が存在することが、Fortbridge の Cloud Application Security Consultant である Adrian Tiron により判明した。この脆弱性の悪用に成功した攻撃者は、Bash の $RANDOM 変数のシード・エントロピー低下を介してで、管理者アカウントの乗っ取りを達成するという。
Continue reading “Vesta Control Panel ハッキング:ブルートフォースで Admin アカウントを侵害する PoC とは?”Cloudflare WARP Abused to Hijack Cloud Services, Cado Security Report Reveals
2024/07/22 SecurityOnline — Cloudflare の WARP サービスを悪用して、脆弱なインターネット向けサービスを攻撃する複数のキャンペーンについて、先日に Cado Security の研究者が情報を公開した。WARP は無料の VPN サービスであり、また、ユーザー・トラフィックを最適化するために設計されている。その一方で、この VPN サービスを悪用する攻撃者が、真の出所を隠蔽し、セキュリティ対策を回避している。
Continue reading “Cloudflare WARP トラフィックへの信頼:regreSSHion CVE-2024-6387 を悪用するシナリオも”10 Billion Passwords Leaked on Hacking Forum
2024/7/8 InfoSecurity — 100億近いユニークなパスワードがサイバー犯罪フォーラムに流出し、世界中のオンライン・ユーザーがアカウント漏洩の危険にさらされていることが、Cybernews の調査により判明した。7月4日に、Cybernews の研究者たちは、史上最大規模のパスワード・コンパイルと思われる 994万件の平文パスワードが、人気のハッキング・フォーラムに投稿されているのを発見した。
Continue reading “パスワード 100億件がハッキング・フォーラムで流出 – Cybernews”Okta warns of credential stuffing attacks targeting its CORS feature
2024/05/29 BleepingComputer — Okta は、Customer Identity Cloud (CIC) 機能がクレデンシャル・スタッフィング攻撃の標的となり、4月以降において多数の顧客が狙われていると警告している。Okta は ID/Access 管理の大手企業であり、アプリ/Web サイト/デバイスへの安全なアクセスのための、クラウド・ベースのソリューションを提供している。さらに同社は、SSO (single sign-on)/多要素認証 (MFA:multi-factor authentication) /ユニバーサル・ディレクトリ/API アクセス管理/ライフサイクル管理なども提供している。
Continue reading “Okta 警告:CORS 機能を狙ったクレデンシャル・スタッフィング攻撃が展開されている”Dell API abused to steal 49 million customer records in data breach
2024/05/10 BleepingComputer — 先日に発生した Dell におけるデータ流出の背後にいる脅威アクターは、自身で作った偽の会社からアクセスした Partner Portal API を介して、4900万人分の顧客情報をスクレイピングしたことを明らかにした。昨日に BleepingComputer が報じたのは、データ侵害により個人データが盗まれたことを警告する通知を、Dell が顧客に送り始めたことだ。このインシデントで流出したデータには、保証情報/サービスタグ/顧客名/設置場所/顧客番号/注文番号などが含まれていたという。
Continue reading “Dell API への侵害:4900万人分の顧客情報が容易に流出してしまった”CISA urges software devs to weed out path traversal vulnerabilities
2024/05/02 BleepingComputer — 5月2日 (木) にCISA と FBI が 公開した共同勧告は、ソフトウェア会社に対して、自社製品をリリース前に見直し、パス・トラバーサルの脆弱性を修正するよう求めるものだ。ディレクトリ・トラバーサルとも呼ばれる、パス・トラバーサル脆弱性の悪用に成功した攻撃者は、重要なファイルの作成/上書きを行い、認証などのセキュリティ・メカニズムをバイパスし、コード実行を引き起こす可能性を持つ。さらに、脅威アクターに対して、機密データへのアクセスを許してしまう可能性もある。もし、認証情報が盗まれた場合には、その後の、標的システムへの侵入において、既存アカウントへのブルートフォース (総当り) 攻撃に悪用されるケースもある。
Continue reading “CISA/FBI の共同警告:パス・トラバーサル脆弱性の出荷前の修正をベンダーに要請”Okta warns of “unprecedented” credential stuffing attacks on customers
2024/04/27 BleepingComputer — Okta は、同社の ID/Access 管理ソリューションを標的とするクレデンシャル・スタッフィング攻撃が、前例がないほど急増しており、一部の顧客アカウントが侵害されたと警告している。クレデンシャル・スタッフィング攻撃とは、ダークウェブなどで購入したユーザー名/パスワードのリストを悪用するサイバー犯罪者が、標的とするユーザー・アカウントへの自動ログイン要求を行い、侵害を試みるというものだ。
Continue reading “Okta 警告:同社製品へのクレデンシャル・スタッフィング攻撃が激増している”Cisco warns of large-scale brute-force attacks against VPN services
2024/04/16 BleepingComputer — 世界中の Cisco/CheckPoint/Fortinet/SonicWall/Ubiquiti デバイス上の VPN/SSH サービスを標的とする、大規模なクレデンシャル・ブルートフォース・キャンペーンについて、Cisco が警告している。ブルートフォース攻撃 (総当たり攻撃) とは、不特定多数のユーザー名とパスワードを使用して、正しい組み合わせが見つかるまで、アカウントやデバイスへのログインを試みるというものだ。正しい認証情報を発見した攻撃者は、それらを使用することで、デバイスの乗っ取りや、内部ネットワークへのアクセスを可能にする。
Continue reading “Cisco 警告:VPN サービスに対する大規模なブルートフォース攻撃が発生している”Midnight Blizzard’s Microsoft Corporate Email Hack Threatens Federal Agencies: CISA Warns
2024/04/12 GBHackers — Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft における 企業電子メールシステムの侵害について緊急指令を発表した。この緊急指令 (ED 24-02) は、国家に支援された APT である Midnight Blizzard によるリスクを、軽減するために必要な緊急措置を概説している。このグループは、連邦民間行政府 (FCEB) 機関と Microsoft との間で交わされた機密メールの流出に成功しているため、国家の安全保障に対する潜在的な影響について、CISA は警鐘を鳴らすことにしたようだ。
Continue reading “Midnight Blizzard による Microsoft 侵害:CISA から連邦政府への緊急警告とは?”Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account
2024/03/25 TheHackerNews — 2024年1月に Microsoft は、ロシアのハッカー Midnight Blizzard (別名:Nobelium) によるハッキング被害を受けていたことを発表した。この件で特筆すべきは、Microsoft への侵入が、いかに容易であったかということだ。ハッカーたちは、ゼロデイ脆弱性を悪用した高度な技術的ハッキングではなく、単純なパスワード・スプレーという手法を使って、同社の古い非アクティブなアカウントの制御に成功した。このインシデントは、パスワード・セキュリティの重要性と、組織が全てのユーザー・アカウントを保護すべき理由を、思い知らせる結果となった。
Continue reading “ロシアのハッカー Midnight Blizzard:パスワード・スプレー攻撃で Microsoft を侵害”Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails
2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。
Continue reading “Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた”Pawn Storm’s Stealthy Net-NTLMv2 Assault Revealed
2024/01/31 InfoSecurity — APT28 としても知られる APT アクターである Pawn Storm は、遅くとも 2004年以降において各種のテクニックを駆使し、世界的に価値の高い事業体を標的としてきた。このグループは、一見すると 10年前のフィッシング・キャンペーンのような時代遅れの手法に頼っているが、現実には何千もの電子メール・アカウントを侵害し続けている。1月31日に、Trend Micro の研究者 Feike Hacquebord と Fernando Merces が発表したアドバイザリによると、最近の Pawn Storm は、Net-NTLMv2 ハッシュ・リレー攻撃に関与しており、世界中の政府/防衛/軍事ネットワークへのブルートフォース侵入を試みている。
Continue reading “Pawn Storm という APT:ステルス性 Net-NTLMv2 リレー攻撃に注意が必要”Microsoft Provides Defense Guidance After Nation-State Compromise
2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium/APT29/Cozy Bear) による、ネットワーク上での悪質な活動を検知した。
Continue reading “Microsoft が公表した防御のガイダンス:Midnight Blizzard の狡猾な戦術を封じる”Microsoft reveals how hackers breached its Exchange Online accounts
2024/01/26 BleepingComputer — 2023年11月に Microsoft 幹部の電子メール・アカウントに侵入した、ロシア政府 Foreign Intelligence Service (SVR) のハッキング・グループが、悪意のキャンペーンの一環として他の組織にも侵入したことが確認された。Midnight Blizzard (別名 Nobelium/APT29) は、ロシアの SVR 傘下のサイバー・スパイ集団と考えられており、主に米国/欧州の政府組織/NGO/ソフトウェア開発者/IT サービス・プロバイダーを標的としている。
Continue reading “Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard:手口の詳細を解説”Russia-Linked Midnight Blizzard Apt Hacked Microsoft Corporate Emails
2024/01/20 SecurityAffairs — Microsoft の警告は、同社の企業メール・アカウントの一部が、ロシア由来のサイバー・スパイ集団 Midnight Blizzard に侵害されたというものであり、法執行機関と関連規制当局への通知も完了しているという。Midnight Blizzard グループ (別名 APT29/Cozy Bear/Nobelium/BlueBravo/The Dukes) は APT28 と連携するかたちで、民主党全国委員会へのハッキングや、2016年の米国大統領選挙への攻撃に関与していたという。このグループは、Microsoft を含む 18,000 以上の顧客組織を襲った、2020年の SolarWinds サプライチェーン攻撃でも知られている。
Continue reading “Microsoft の報告:ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された”LastPass now requires 12-character master passwords for better security
2024/01/03 BleepingComputer — 1月3日に LastPass が顧客に通知したのは、アカウントのセキュリティを高めるための、最低 12文字の複雑なマスター・パスワード使用の義務付けである。2018年以降において LastPass は、12 文字のマスター・パスワードが必要であると繰り返し述べてきたが、ユーザーたちは脆弱なものを使用することが可能であった。
Continue reading “LastPass が要求する 12文字以上のマスター・パスワード:2024年1月から強制”Experts Analyzed Attacks Against Poorly Managed Linux SSH Servers
2023/12/27 SecurityAffairs — AhnLab セキュリティ緊急対応センター (ASEC:AhnLab Security Emergency Response Center) の研究者たちが警告しているのは、管理の不十分な Linux SSH サーバが、DDoS ボットや CoinMiners のインストールを目的とした、攻撃の標的になっていることだ。
Continue reading “Linux SSH サーバに対する攻撃の調査:脆弱なパスワードがブルートフォースの標的に!”MSSQL Server Vulnerability Exploited in BlueSky Ransomware Attack
2023/12/04 SecurityOnline — 進化を続けるサイバー脅威において、Bluesky ランサムウェアという新たな強敵が出現した。この、2022年6月に発見された悪質なソフトウェアは、Conti や Babuk などのランサムウェアと類似しており、また、脆弱性を効果的に悪用することで急速に有名になった。そして、DFIR レポートに記された詳細な分析により、Bluesky の驚くべき能力を示す侵入の手口が明らかになった。
Continue reading “MSSQL Server をブルートフォースで突破:30分で暗号化を完了する BlueSky とは?”Akira Ransomware Mutates to Target Linux Systems, Adds TTPs
2012/09/23 DarkReading — 2023年3月に登場した Akira ランサムウェアは、それ以降において進化を続けている。その、攻撃範囲は当初の Windows システムから Linux サーバへと拡大され、数々の TTP (Tactics/Techniques/Procedures) を採用するようになっている。LogPoint の Akira に関する詳細なレポートでは、被害者のファイルを暗号化し、シャドウコピーを削除し、データ復旧との引き換えに身代金の支払いを要求するという、高度に洗練されたランサムウェアだと解説されている。その感染チェーンは、多要素認証のない Cisco ASA VPN を積極的にターゲットとし、脆弱性 CVE-2023-20269 をエントリポイントとして悪用するものだ。
Continue reading “Akira ランサムウェア:多様な戦術を用いて Linux システムを狙い始めている”Cisco ASA Zero-Day Exploited in Akira Ransomware Attacks
2023/09/08 SecurityWeek — 今週に Cisco は、Adaptive Security Appliance (ASA) および Firepower Threat Defense (FTD) ソフトウェアに存在する、ゼロデイ脆弱性について注意を喚起した。この脆弱性は、8月以降において Akira ランサムウェア攻撃で悪用されているものだ。この 脆弱性 CVE-2023-20269 (CVSS:5.0) は、Cisco ASA/FTD のリモート・アクセス VPN 機能に存在し、ブルート・フォース攻撃の対象とされているため、認証なしでリモートから悪用される可能性がある。
Continue reading “Akira が狙う Cisco ASA のゼロデイ CVE-2023-20269:ブルートフォース攻撃?”Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware
2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア/RAT ペイロード/クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。
Continue reading “Microsoft SQL がターゲット:FreeWorld ランサムウェアを展開する脅威アクターたち”Hacking campaign bruteforces Cisco VPNs to breach networks
2023/08/30 BleepingComputer — Cisco Adaptive Security Appliance (ASA) の SSL VPN を標的とし、多要素認証 (MFA) 未実施などのセキュリティ防御の不備を利用した、クレデンシャル・スタッフィング攻撃やブルートフォース攻撃が、ハッカーたちにより行われている。先週に BleepingComputer は、Akira ランサムウェア・ギャングがイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破していることを報告した。
Continue reading “Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開”LinkedIn users targeted in account hijacking campaign
2023/08/16 HelpNetSecurity — 複数の LinkedIn ユーザーが、アカウント乗っ取りキャンペーンの標的にされ、アカウントからロックアウトされている。最近になって Cyberint の調査チームが気づいたことは、LinkedIn アカウントの乗っ取りについて、各種の SNS 上の会話が大幅に増加していることだった。Google Trends によると、”LinkedIn account hacked 2023″ や “LinkedIn account recovery appeal “といった検索クエリが爆発的に増加しており、5000% 以上の伸びを示しているという。
Continue reading “LinkedIn ユーザーは御用心:大規模なアカウント・ハイジャック・キャンペーンが発生”Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million Devices to Hacking
2023/07/26 TheHackerNews — MikroTik RouterOS に深刻な権限昇格の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者が、リモートで任意のコードを実行し、脆弱なデバイスを完全に制御する可能性がある。VulnCheck は 7月25日のレポートで、この脆弱性 CVE-2023-30799 (CVSS:9.1) により、合計で約 140万台の RouterOS システムが、Web/Winbox インターフェイスを介して悪用の危険にさらされると明らかにした。
Continue reading “MikroTik RouterOS の深刻な脆弱性 CVE-2023-30799:50万台以上にハッキングの可能性”Mallox Ransomware Exploits Weak MS-SQL Servers to Breach Networks
2023/07/20 TheHackerNews — 2023年における Mallox ランサムウェアの活動が、前年比で 174%増加していることが、Palo Alto Networks Unit 42 の新たな調査結果で明らかになった。セキュリティ研究者の Lior Rochberger と Shimi Cohen は、「Mallox ランサムウェアは、他の多くのランサムウェア脅威アクターと同様に、二重の恐喝のトレンドに従っている。その手口は、組織のファイルを暗号化する前にデータを盗み、その後に、被害者に身代金料金を支払わせるために、盗んだデータをリークサイトで公開するというものだ」と The Hacker Newsと共有したレポートの中で述べている。
Continue reading “Mallox ランサムウェアが 174% 増:脆弱な MS-SQL サーバを介してネットワークに侵入”New P2PInfect worm malware targets Linux and Windows Redis servers
2023/07/23 BleepingComputer — 7月11日にセキュリティ研究者たちは、インターネットに公開された Windows/Linux 上で動作する Redis インスタンスを標的とする、自己拡散機能を備えた新しい P2P マルウェアを発見した。Lua サンドボックス・エスケープの脆弱性 CVE-2022-0543 が放置されている Redis サーバに、この Rust ベースのワーム (P2PInfect と命名) が侵入することも、Unit 42 の研究者たちは発見した。この2週間において、インターネットに公開された 307,000 台以上の Redis サーバが発見されているが、P2PInfect の攻撃に対して潜在的に脆弱なのは 934 インスタンスに過ぎないと、研究者たちは述べている。
Continue reading “P2PInfect という新種のワーム:Redis サーバの脆弱性 CVE-2022-0543 が狙われている”A Few More Reasons Why RDP is Insecure (Surprise!)
2023/07/20 TheHackerNews — Remote Desktop Protocol (RDP) が、ずっと昔から存在しているように見えるとしたら、わずか数年の間に栄枯盛衰を繰り返す多くのテクノロジーに比べて、それはそうだと納得できる。RDP 4.0 として知られる初期バージョンは、1996年に Windows NT 4.0 Terminal Server エディションの一部としてリリースされた。それにより、ネットワーク接続を介するユーザーが、Windows ベースのコンピューターにリモート・アクセスし、操作できるようになった。その後の数十年の間に、 RDP は Windows ベースのシステムにおける、リモート・アクセスや管理で広範に利用されるプロトコルとなった。RDP が果たす役割により、リモートワーク/IT サポート/システム管理などが実現されてきた。そして、さまざまなリモート・デスクトップや VDI (Virtual Desktop Infrastructure) ソリューションの基盤となっている。
Continue reading “RDP は便利だが RCE が怖い:脅威アクターたちが一点突破を狙う脆弱性とは?”RDP honeypot targeted 3.5 million times in brute-force attacks
2023/06/13 BleepingComputer — リモート・デスクトップ接続は、ハッカーにとって極めて強力なマグネットであり、さまざまな IP アドレスからの、露出したコネクションに対するアクセスは、毎日平均 37,000 回に達するという実験結果が出た。この段階の攻撃は、自動化されているものだ。しかし、正しいアクセス認証情報を入手したハッカーたちは、重要なファイルや機密情報を手動で探し始める。
Continue reading “RDP ハニーポットで 350万回のブルートフォース攻撃を分析:脅威アクターたちの動きが見えてきた”New GoBruteforcer malware targets phpMyAdmin, MySQL, FTP, Postgres
2023/03/10 BleepingComputer — 新たに発見された Golang ベースのボットネット・マルウェアは、phpMyAdmin/MySQL/FTP/Postgres サービスを実行している Web サーバをスキャンして感染させる。 このマルウェアは、Palo Alto Networks Unit 42 の研究者たちに発見され GoBruteforcer と名付けられたが、x86/x64/ARM アーキテクチャに対応しているという。GoBruteforcer は、脆弱な *nix デバイスをハッキングするために、脆弱なパスワードまたは、デフォルトのパスワードを持つアカウントに対してブルートフォースを仕掛ける。
Continue reading “phpMyAdmin/MySQL/FTP/Postgres が標的:GoBruteforcer というマルウエアが登場”New Cryptojacking Campaign Leverages Misconfigured Redis Database Servers
2023/03/02 TheHackerNews — Redis データベース・サーバのミスコンフィグレーションが、新しいクリプトジャッキング・キャンペーンのターゲットとなっているが、そこで悪用されているのは、正規のオープンソース・コマンドライン・ファイル転送サービスである。Cado Security は、「このキャンペーンを支えていたのは、transfer[.]sh である。つまり、数多くのサービスなどで普通に使われる、pastebin[.]com などのコード・ホスティング・ドメインをベースにした、検出を回避する試みの可能性がある」と、The Hacker News と共有したレポートで述べている。
Continue reading “Redis データベース・サーバが標的:3つ目のクリプトジャッキング・キャンペーンが登場”WordPress Security Alert: New Linux Malware Exploiting Over Two Dozen CMS Flaws
2022/01/02 TheHackerNews — WordPressサイトを標的とする未知の Linuxマルウェアが、20数種類のプラグイン/テーマの欠陥を悪用して、脆弱なシステムを侵害していることが判明した。ロシアのセキュリティ・ベンダーである Doctor Web は、「もし、対象となる WordPress サイトが、重要な修正を行っていない場合や、古いバージョンのアドオンを使用している場合には、標的となる Web ページに悪意の JavaScript が注入される恐れがある。その結果として、攻撃されたページの任意の領域をユーザーがクリックすると、他のサイトにリダイレクトされる」と、先週のレポートで説明している。
Continue reading “WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用”New GoTrim botnet brute forces WordPress site admin accounts
2022/12/13 BleepingComputer — GoTrim という名の新たな Go_based ボットネット・マルウェアが、セルフ・ホスティングの WordPress サイトを Web 上でスキャンし、管理者のパスワードにブルートゥース攻撃を仕掛け、サイトの制御を試みている。この侵害に成功した攻撃者は、マルウェアの展開/クレジットカード窃取スクリプトの注入/フィッシングページのホスティングなどのシナリオが展開して、侵害されたサイトの人気度によっては、数百万人に影響が生じる可能性がある。
Continue reading “GoTrim ボットネットのブルートフォース攻撃:WordPress サイトを狙っている”Top passwords used in RDP brute-force attacks
2022/11/17 HelpNetSecurity — Specops Software が発表したのは、Remote Desktop Protocol (RDP) ポートに対する、現状の攻撃で使用される上位パスワードを分析した調査結果である。この分析により、30億以上のユニークな漏洩パスワードが含まれる Specops Breached Password Protection Service に、3400万以上の漏洩パスワードが追加されることになった。
Continue reading “RDP ブルートフォース攻撃で狙われる最弱パスワード:Top-10 をリストアップ”15,000 sites hacked for massive Google SEO poisoning campaign
2022/11/09 BleepingComputer — 約 15,000件の Web サイトを侵害し、訪問者を偽の Q&A ディスカッション・フォーラムにリダイレクトするという、大規模なブラック・ハット SEO (Search Engine Optimization) キャンペーンが行われている。この攻撃は、Sucuri により発見された。Sucuri によると、侵害された各 Web サイトには、検索エンジン・スパム・キャンペーンの一部として使用される、約20,000 のファイルが含まれており、その大半のサイトがWordPressで構成されているとのことだ。
Continue reading “Google 検索と 悪意の SEO:汚染されたサイト 15,000 件の大半は WordPress”Russian APT29 hackers abuse Azure services to hack Microsoft 365 users
2022/08/19 BleepingComputer — 国家を後ろ盾とするロシアのサイバースパイ・グループ Cozy Bear は、NATO 諸国の Microsoft 365 アカウントを標的とし、外交政策情報へのアクセスを試みるなど、2022年に入ってから活発に動き回っている。Microsoft 365 は、主にエンタープライズなどで使用されているクラウド・ベースの生産性スイートであり、コラボレーション/コミュニケーション/データストレージ/電子メールなどの、オフィスでの作業などを容易にする。
Continue reading “Azure を侵害して Microsoft 365 ユーザーを狙う:ロシア APT29 の凄腕ぶり”
IoT OT Security News 
You must be logged in to post a comment.