Category: CyberAttack

Sophos Web Appliance の脆弱性 CVE-2023-1671:野放し状態での悪用を確認

Sophos Web Appliance vulnerability exploited in the wild (CVE-2023-1671)

2023/11/20 HelpNetSecurity — CISA は、Known Exploited Vulnerabilities カタログに3件の脆弱性を追加した。そのうちの1件は、2023年4月にパッチが適用された Sophos Web Appliance の深刻な脆弱性 CVE-2023-1671 である。この脆弱性 CVE-2023-1671 は、Sophos Web Appliance の warn-proceed ハンドラに存在する事前認証コマンド・インジェクションの脆弱性であり、攻撃者に任意のコード実行をゆるす可能性がある。Sophos Web Appliance は、Web プロキシとして機能する Web ゲートウェイ・アプライアンスであり、潜在的に有害なコンテンツをスキャンし、多種多様なマルウェアを検出するためのものだ。

Continue reading “Sophos Web Appliance の脆弱性 CVE-2023-1671:野放し状態での悪用を確認”

Apache ActiveMQ の脆弱性 CVE-2023-46604:Kinsing マルウェアも侵害に参戦

Kinsing malware exploits Apache ActiveMQ RCE to plant rootkits

2023/11/20 BleepingComputer — Apache ActiveMQ に存在する深刻な脆弱性 CVE-2023-46604 を、Kinsing マルウェアが積極的に悪用し、Linux システムを侵害しようとしている。このリモート・コード実行の脆弱性は、すでに 10月下旬に修正されている。Apache が開示した情報では、この問題により、OpenWire プロトコルのシリアライズされたクラス型を悪用し、任意のシェルコマンドを実行できると説明されている。研究者たちが発見したのは、パッチのリリース後も数千台のサーバーが攻撃にさらされ、HelloKitty や TellYouThePass などのランサムウェア・ギャングが、この機会を利用し始めていることだ。

Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604:Kinsing マルウェアも侵害に参戦”

CrushFTP の脆弱性 CVE-2023-43177:PoC エクスプロイトが公開

Exploit for CrushFTP RCE chain released, patch now

2023/11/18 BleepingComputer — CrushFTP エンタープライズ・スイートに存在する、深刻なリモート・コード実行の脆弱性に対する PoC エクスプロイトが公開された。この脆弱性の悪用に成功した未認証の攻撃者は、サーバ上のファイルにアクセスし、コードを実行し、プレーンテキストのパスワードを取得できるようになる。この脆弱性は、2023年8月に Converge のセキュリティ研究者により発見され、CVE-2023-43177 として追跡されている。この報告を受けた開発者は、一晩で修正を行い、CrushFTP 10.5.2 をリリースした。

Continue reading “CrushFTP の脆弱性 CVE-2023-43177:PoC エクスプロイトが公開”

SysAid の脆弱性 CVE-2023-47246:すでに Lace Tempest (Clop) が悪用を開始

Researchers to release SysAid CVE-2023-47246 exploit

2023/11/17 SecurityOnline — SysAid IT サポート・ソフトウェアに存在する、脆弱性 CVE-2023-47246 に対する技術レポートが、Huntress のセキュリティ研究者たちにより公開された。さらに、パッチが適用されていない環境において、この脆弱性を悪用してリモートコードを実行する、エクスプロイトもリリースされる予定だという。Microsoft が警告していたのは、Lace Tempest (Cl0p) ランサムウェア・シンジケートに関与する TA505 が、この脆弱性を悪用していることだった。それを受けるかたちで、11月8日に IT インフラ企業である SysAid が 、この脆弱性に関するアドバイザリを発表した。

Continue reading “SysAid の脆弱性 CVE-2023-47246:すでに Lace Tempest (Clop) が悪用を開始”

Microsoft Exchange の脆弱性 CVE-2023-36439:インターネット上に 63,000 台の危険なサーバ

Over 63,000 Unpatched Microsoft Exchange Servers Vulnerable to RCE Attack

2023/11/17 SecurityOnline — Microsoft Exchange に存在する、深刻なリモートコード実行の脆弱性 CVE-2023-36439 に対して、パッチが適用されていない 63,000台以上のサーバが、オンライン上に公開された状態にある。この脆弱性は、Microsoft の 2023日11月の Patch Tuesday で対処されたものであり、悪用の可能性があるため、組織にとって重大な脅威となっている。

Continue reading “Microsoft Exchange の脆弱性 CVE-2023-36439:インターネット上に 63,000 台の危険なサーバ”

CISA KEV 警告 23/11/17:Windows/Sophos/Oracle の3件の深刻な脆弱性を追加

CISA warns of actively exploited Windows, Sophos, and Oracle bugs

2023/11/17 BleepingComputer — 米国の CISA (Cybersecurity & Infrastructure Security Agency) は、既知の悪用脆弱性 (KEV:Known Exploited Vulnerabilities) カタログに、Microsoft/Sophos/Orale の製品に影響を及ぼす、3件の脆弱性を追加した。KEV に登録される脆弱性は、サイバー攻撃での悪用が確認されたものである。したがって、このカタログは、世界中の企業にとっても、優先的に対応すべき欠陥の保管庫として機能している。

Continue reading “CISA KEV 警告 23/11/17:Windows/Sophos/Oracle の3件の深刻な脆弱性を追加”

YAMAHA Philippines でランサムウェア攻撃:INC Ransom が犯行を主張

Yamaha Motor confirms ransomware attack on Philippines subsidiary

2023/11/17 BleepingComputer — 2023年10月に、ヤマハ発動機のフィリピン子会社がランサムウェア攻撃を受け、一部の従業員の個人情報が窃取され流出した。このヤマハの二輪車製造会社は、10月25日に情報漏洩が検出された後に、外部のセキュリティ専門家からの協力を得て調査を進めてきた。

Continue reading “YAMAHA Philippines でランサムウェア攻撃:INC Ransom が犯行を主張”

BlackCat の申し立て:SEC に対して被害者のコンプライアンス違反を訴える

BlackCat Ransomware Group Reports Victim to SEC

2023/11/16 InfoSecurity — 積極的に攻撃を繰り返すランサムウェア・グループが、支払いへと向けて圧力をかける目的で、ある被害者の米国証券取引委員会 (SEC) に報告したようだ。11月7日に BlackCat/ALPHV が、デジタル融資ソリューションプロバイダーの MeridianLink を侵害して機密データを流出させたと主張しているが、それに対して同社は否定しているという。そして BlackCat は、重大な影響を伴う侵害について、4日以内に開示することを義務付ける新たな SEC ルールを利用し、ハードルを上げていると示唆される。

Continue reading “BlackCat の申し立て:SEC に対して被害者のコンプライアンス違反を訴える”

Bad Bot の活動が止まらない:インターネット・トラフィックの 73% を占めるという

Bad Bots Account for 73% of Internet Traffic: Analysis

2023/11/16 SecurityWeek — Bad Bot による攻撃の 2023年 Q3 Top-5 は、偽アカウント作成/アカウント乗っ取り/スクレイピング/アカウント操作/製品内不正使用の順となる。この順位は、製品内不正使用がカード・テストを追い抜いてランクインした以外は、2023年 Q2 から変わっていない。Q2 から Q3 かけて最も増加した攻撃は、SMS 利用料詐欺 2,141% 増/アカウント操作 160% 増/偽アカウント作成 23% 増となる。

Continue reading “Bad Bot の活動が止まらない:インターネット・トラフィックの 73% を占めるという”

Zimbra の脆弱性 CVE-2023-37580:ゼロデイの隙間で侵害が発生

Zimbra Zero-Day Exploited to Hack Government Emails

2023/11/16 SecurityWeek — 11月16日 (木) に Google の TAG (Threat Analysis Group) が明らかにしたのは、2023年の初頭に Zimbra Collaboration Suite のゼロデイ脆弱性が悪用され、数カ国の政府組織から電子メールデータが盗まれたことである。この脆弱性 CVE-2023-37580 の存在は、7月中旬に Zimbra が、同社の電子メール・サーバー・ソリューションの顧客に通知した際に判明している。

Continue reading “Zimbra の脆弱性 CVE-2023-37580:ゼロデイの隙間で侵害が発生”

Toyota Financial Services が Medusa ランサムウェアに遭遇:サンプル・データが流出

Toyota confirms breach after Medusa ransomware threatens to leak data

2023/11/16 BleepingComputer — Toyota Financial Services (TFS) が確認したのは、Medusa ランサムウェアが主張する同社への攻撃の後に、欧州とアフリカの一部のシステムで不正アクセスを検出したことだ。トヨタ傘下の TFS は、トヨタの自動車を販売している市場の 90% に進出しており、顧客に対してローンを提供するグローバル企業である。

Continue reading “Toyota Financial Services が Medusa ランサムウェアに遭遇:サンプル・データが流出”

ALPHV/BlackCat ランサムウェア:マルウェアの配布に Google 広告を悪用

BlackCat Ransomware Gang Targets Businesses Via Google Ads

2023/11/15 InfoSecurity — 悪名高い ALPHV/BlackCat ランサムウェアが、Google 広告を利用してマルウェアを配布していることが確認された。eSentire の Threat Response Unit (TRU) によると、このグループは $100M 規模の MGM Resorts の情報流出や、乳がん患者の機密画像流出事件を引き起こし、さらに攻撃手法をマルバタイジングに拡大しているという。

Continue reading “ALPHV/BlackCat ランサムウェア:マルウェアの配布に Google 広告を悪用”

Apache ActiveMQ の脆弱性 CVE-2023-46604:ステルス攻撃の手法が判明

New PoC Exploit for Apache ActiveMQ Flaw Could Let Attackers Fly Under the Radar

2023/11/15 TheHackerNews — Apache ActiveMQ の深刻なセキュリティ上の脆弱性を悪用し、メモリ上で任意のコードを実行する新しいテクニックを、サイバー・セキュリティ研究者が実証した。このリモートコード実行の脆弱性 CVE-2023-46604 (CVSS:10.0) の悪用に成功した脅威アクターは、任意のシェルコマンドを実行できるという。なお、この Apache の脆弱性は、先月末にリリースされた ActiveMQ のバージョン 5.15.16/5.16.7/5.17.6/5.18.3 で修正されている。

Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604:ステルス攻撃の手法が判明”

サイバー攻撃の 82% でテレメトリ・データが無効化/消去されている – Sophos

82% of Attacks Show Cyber-Criminals Targeting Telemetry Data

2023/11/14 InfoSecurity — サイバー犯罪者が仕掛けたインシデントの 82% で、ログが無効化され消去されていることが判明した。この Sophos のレポートは、ランサムウェアによる攻撃が数時間以内に実行されるという、いまの時代のスピードにフォーカスし、それらの攻撃の複雑さを分析するものだ。今日のレポートは、2022年1月1日〜6月30日に 25分野で発生した、232件の Sophos Incident Response (IR) の事例をベースとして、活発な敵対勢力が展開する TTP (tactics, techniques and procedures) の概要を示している。

Continue reading “サイバー攻撃の 82% でテレメトリ・データが無効化/消去されている – Sophos”

MySQL/Docker にホストされる DDoS マルウェア:Ddostf と OracleIV の動向に注意

MySQL Servers, Docker Hosts Infected With DDoS Malware

2023/11/14 SecurityWeek — MySQL サーバと Docker ホストをターゲットにする脅威アクターが、分散型サービス拒否 (DDoS) 攻撃をするマルウェアを仕込んでいると、AhnLab Security Emergency Response Center の研究者たちが警告している。AhnLab によると、Windows 上の MySQL を標的とする攻撃が、脆弱な MySQL サーバ が Ddostf に感染することで頻度を増しているという。Ddostf は、遅くとも 2016年から存在する、中国起源の DDoS 対応ボットネットである。

Continue reading “MySQL/Docker にホストされる DDoS マルウェア:Ddostf と OracleIV の動向に注意”

API Security Threats Top-10 の新たな動向:リアルタイムを目指す Wallarm

Top 10 API Security Threats for Q3 2023

2023/11/14 SecurityWeek — 最新の “2023 Q3 API Threatstats” レポートから得られたのは、API の脆弱性の件数が急速に増加し、この成長のために応じた、新たな AP Iセキュリティ脅威 Top- 10 に対して、リアルタイムなデータ駆動型の編纂が必要だという知見である。API と Apps のセキュリティ企業である Wallarm のレポート (PDF) の大部分は、個々の脆弱性のカテゴリーについて、それらが実際に使用された事例を交えて論じている。たとえば、広く使用されている OAuth や SSO プロトコルの脆弱性が発見され、Cisco や Ivanti のような大手企業のシステムで潜在的なセキュリティ侵害が露呈しているといったケースに対応するものだ。それは、際立った特徴を持つものであり、脅威リストへの新しいアプローチでもある。

Continue reading “API Security Threats Top-10 の新たな動向:リアルタイムを目指す Wallarm”

LockBit の攻撃対象は Citrix Bleed? ICBC/Boeing などへの侵害の手口を追跡

LockBit ransomware exploits Citrix Bleed in attacks, 10K servers exposed

2023/11/14 BleepingComputer — Citrix Bleed と名付けられた脆弱性 CVE-2023-4966 の、PoC エクスプロイトを悪用する Lockbit ランサムウェアが、大規模な組織のシステムに侵入し、データを盗み、ファイルを暗号化している。この脆弱性 CVE-2023-4966 については、1カ月以上も前に Citrix が修正プログラムを公開しているが、インターネットに露出した何千ものエンドポイントにおいて、依然として脆弱なアプライアンスが運用されている。また、その多くは、米国内に存在している。

Continue reading “LockBit の攻撃対象は Citrix Bleed? ICBC/Boeing などへの侵害の手口を追跡”

Microsoft 2023-11 月例アップデート:5件のゼロデイと 58件の脆弱性に対応

Microsoft November 2023 Patch Tuesday fixes 5 zero-days, 58 flaws

2023/11/14 BleepingComputer —

今日は Microsoft の November 2023 Patch Tuesday であり、合計で58件の脆弱性と、5件のゼロデイ対するセキュリティ更新プログラムが提供されている。

今月は、14件のリモートコード実行 (RCE) の脆弱性が修正されたが、Critical と評価されたのは1件のみである。また、今日の Critical は、Azure の情報漏えいのバグ/Windows の Internet Connection Sharing (ICS) の RCE/SYSTEM権限 でホスト上のプログラム実行を許す Hyper-V エスケープの3件がある。

Continue reading “Microsoft 2023-11 月例アップデート:5件のゼロデイと 58件の脆弱性に対応”

Docker API のミス・コンフィグレーション:悪意の Docker コンテナ展開で悪用

Python Malware Poses DDoS Threat Via Docker API Misconfiguration

2023/11/13 InfoSecurity — Docker Engine API の一般公開されたインスタンスを標的とする、新たなサイバー脅威が、セキュリティ研究者たちにより発見された。この OracleIV キャンペーンで、ミス・コンフィグレーションを悪用する攻撃者は、”oracleiv_latest “という名前のイメージからビルドされ、ELF (Executable and Linking Format) ファイルとしてコンパイルされる、 Python マルウェアを取り込んだ悪意の Docker コンテナをデプロイしている。この悪意のツールは、分散型サービス拒否 (DDoS) ボット・エージェントとして機能し、DoS 攻撃を行うための各種の攻撃手法を提示している。

Continue reading “Docker API のミス・コンフィグレーション:悪意の Docker コンテナ展開で悪用”

Hunters International というランサムウェア集団:Hive のソースコードとインフラを再利用

New Ransomware Group Emerges with Hive’s Source Code and Infrastructure

2023/11/13 TheHackerNews — Hunters International という新たなランサムウェアを操る脅威アクターが、すでに解体された Hive オペレーションからソースコードとインフラを入手して、独自の脅威活動を開始した。Bitdefender の Technical Solutions Director である Martin Zugec は、先週に発表したレポートの中で、「Hive の活動が停止した後に、そのリーダーは、残された資産を別のグループ Hunters International に譲渡するという、戦略的決定を下したようだ」と述べている。

Continue reading “Hunters International というランサムウェア集団:Hive のソースコードとインフラを再利用”

CISA Kev 警告 23/11/13:Juniper の RCE 脆弱性の悪用を確認

CISA warns of actively exploited Juniper pre-auth RCE exploit chain

2023/11/13 BleepingComputer — 11月13日に CISA は連邦政府機関に対して、Juniper J-Web インターフェースに存在するリモート・コード実行 (RCE) の4件の脆弱性が、認証前のエクスプロイト・チェーンの一部として悪用されていることを受けて、一連のデバイスを保護するよう警告した。1週間前に Juniper のアドバイザリにおいて、脆弱性 CVE-2023-36844/CVE-2023-36845/CVE-2023-36846/CVE-2023-36847 の悪用が顧客に通知されたが、その後に CISA も警告を発することになった。

Continue reading “CISA Kev 警告 23/11/13:Juniper の RCE 脆弱性の悪用を確認”

MOVEit 攻撃:米メイン州政府で約 130万人の個人情報に不正アクセス

Maine govt notifies 1.3 million people of MOVEit data breach

2023/11/10 BleepingComputer — ファイル転送ツール MOVEit の脆弱性を悪用する脅威アクターが、メイン州システムを侵害し、同州の全人口に近い約 130万人の個人情報に不正アクセスしていたと、同州が発表した。MOVEit を悪用する攻撃は、5月27日からゼロデイ脆弱性を悪用し始めたランサムウェア・グループ Clop による、大規模なデータ窃盗キャンペーンの一環である。MOVEit を使用している世界中の数千の組織の中に、メイン州の様々な機関が含まれていたという。

Continue reading “MOVEit 攻撃:米メイン州政府で約 130万人の個人情報に不正アクセス”

Atlassian Confluence の脆弱性:パッチを適用後も Effluence バックドアは生き続ける

Alert: ‘Effluence’ Backdoor Persists Despite Patching Atlassian Confluence Servers

2023/11/10 TheHackerNews — Effluence いうステルス性のバックドアを、サイバー・セキュリティ研究者たちが発見した。先日に公開された Atlassian Confluence Data Center/Server の脆弱性だが、その悪用に成功した攻撃者が、その後に Effluence を展開しているようだ。Aon の Incident Response Services に所属する Stroz Friedberg は、「このマルウェアは永続的なバックドアとして機能し、Confluence にパッチを適用しても修復されない」と、今週の初めに発表したレポートで述べている。

Continue reading “Atlassian Confluence の脆弱性:パッチを適用後も Effluence バックドアは生き続ける”

京セラ AVX でデータ侵害:ランサムウェア攻撃で 39,000人分の個人情報が漏洩

Kyocera AVX says ransomware attack impacted 39,000 individuals

2023/11/09 BleepingComputer — Kyocera AVX Components Corporation (KAVX) は、ランサムウェア攻撃により 39,111人分の個人情報が流出したことを発表した。KAVX はアメリカの先端電子部品メーカーで、日本の半導体大手京セラの子会社である。10,000人以上の専門家を雇用しており、年間売上は $1.3 億である。同社による影響を受けた人々に対するデータ漏洩の通知では、ハッカーによる不正アクセスは 2023年2月16日〜3月30日の間に行われ、2023年10月10日に発見されたという。

Continue reading “京セラ AVX でデータ侵害:ランサムウェア攻撃で 39,000人分の個人情報が漏洩”

中国工商銀行 ICBC でランサムウェア被害:Citrix Bleed CVE-2023-4966 の悪用?

World’s largest commercial bank ICBC confirms ransomware attack

2023/11/09 BleepingComputer — 中国工商銀行 (ICBC) は、11月8日 (水) に発生したランサムウェア攻撃により、同社のシステムに障害が発生したことを明らかにした。中国工商銀行 (ICBC) は、「米国東部時間2023年11月8日 (北京時間2023年11月9日) に、金融サービスがランサムウェア攻撃を受け、一部のシステムに障害が発生した。このインシデントを発見した直後から、影響を受けたシステムの接続を遮断/隔離し、直ちにインシデントを封じ込めた」と述べている。

Continue reading “中国工商銀行 ICBC でランサムウェア被害:Citrix Bleed CVE-2023-4966 の悪用?”

OSS における脆弱性の情報開示:悪用を防ぐための工夫をメンテナたちに伝えたい

Open-source vulnerability disclosure: Exploitable weak spots

2023/11/09 HelpNetSecurity — オープンソース・プロジェクトの脆弱性開示プロセスの欠陥が攻撃者に悪用され、パッチが提供される前に攻撃を仕掛けるために必要な、情報を収集される可能性があると、Aqua Security の研究者たちが懸念している。”0.5-Day” の脆弱性は、メンテナには知られており、その情報は GitHub や NVD (National Vulnerability Database) に公開されているが、公式な修正プログラムが存在しない状況を指す。”0.75-Day” の脆弱性は、公式な修正プログラムは存在しているが、CVE 番号や CPE 識別子は存在しない状態を指す。したがって、脆弱性スキャンツールによる脆弱なコンポーネントの検出が不可能であり、パッチ適用の必要性に、セキュリティ・チームは気が付かない。

Continue reading “OSS における脆弱性の情報開示:悪用を防ぐための工夫をメンテナたちに伝えたい”

Cloudflare Web サイトが DDoS でダウン:Anonymous Sudan が犯行を主張

Cloudflare website downed by DDoS attack claimed by Anonymous Sudan

2023/11/09 BleepingComputer — Cloudflare の Web サイトが分散型サービス妨害 (DDoS) 攻撃でダウンした件で、Anonymous Sudan という脅威グループが犯行を主張している。ただし同社は、この攻撃を操る脅威グループについては断定していない。そして、この障害は DDoS 攻撃によるものであり、他の製品やサービスに影響を与えることなく、www.cloudflare.com の Web サイトだけに影響が及んだとしている。

Continue reading “Cloudflare Web サイトが DDoS でダウン:Anonymous Sudan が犯行を主張”

CISA KEV 警告 11/08:SLP プロトコルの脆弱性 CVE-2023-29552 を追加

CISA Adds SLP Flaw To Its Known Exploited Vulnerabilities Catalog

2023/11/09 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が、SLP (Service Location Protocol) の脆弱性 CVE-2023-29552 (CVSS:7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。SLP は、レガシーなサービス・プロトコルであり、コンピュータなどのデバイスにより、事前の設定なしに、LAN 内のサービスを見つけることを可能にするものだ。

Continue reading “CISA KEV 警告 11/08:SLP プロトコルの脆弱性 CVE-2023-29552 を追加”

ChatGPT の停止:OpenAI が DDoS 攻撃を認め Anonymous Sudan が犯行を主張

OpenAI confirms DDoS attacks behind ongoing ChatGPT outages

2023/11/09 BleepingComputer — OpenAI の “周期的な停止” だが、この 24時間で発生した API と ChatGPT サービスを標的とする DDoS 攻撃が原因のようだ。このインシデントの根本的な原因について、OpenAI は詳細を提供しなかったが、今日の未明になって、進行中の分散型サービス拒否 (DDoS) 攻撃に関連していることを認めた。OpenAI のインシデント・レポートには、「DDoS 攻撃と思われる異常なトラフィック・パターンによる周期的な停止に対処している。私たちは、この問題を軽減するための作業を続けている」と述べている。

Continue reading “ChatGPT の停止:OpenAI が DDoS 攻撃を認め Anonymous Sudan が犯行を主張”

SysAid IT のゼロデイ CVE-2023-47246:Clop ランサムウェアが攻撃を仕掛ける

Zero-Day Alert: Lace Tempest Exploits SysAid IT Support Software Vulnerability

2023/11/09 TheHackerNews — Microsoft の新たな調査結果によると、SysAid IT サポート・ソフトウェアのゼロデイ脆弱性を悪用する限定的な攻撃に、Lace Tempest という脅威アクターが関連しているようだ。Cl0p ランサムウェアを配布する Lace Tempest は、これまでに MOVEit Transfer や PaperCut サーバのゼロデイ脆弱性を悪用してきた。SysAid IT のパス・トラバーサルの脆弱性 CVE-2023-47246 は、オンプレミス・インストール内でコード実行にいたるものだとされ、バージョン 23.3.36 で修正されている。

Continue reading “SysAid IT のゼロデイ CVE-2023-47246:Clop ランサムウェアが攻撃を仕掛ける”

Farnetwork という脅威アクター:5つの RaaS プログラムに関連付けられる – Group-IB

Threat Actor Farnetwork Linked to Five Ransomware Schemes

2023/11/08 InfoSecurity — セキュリティ研究者たちが公表したのは、過去数年間にわたって複数の RaaS (Ransomware-as-a-Service) プログラムに関与し、現在は別のプログラムを展開している脅威アクターの情報である。Group-IB は新しいレポートの中で、”farnetwork” は遅くとも 2019年から活動しており、アンダーグラウンドでは farnetworkl/jingo/jsworm/razvrat/piparkuka/farnetworkit として活動していると主張している。

Continue reading “Farnetwork という脅威アクター:5つの RaaS プログラムに関連付けられる – Group-IB”

PyPI 汚染が露見:BlazeStealer マルウェアを隠し持つ悪意の Python パッケージ

Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI

2023/11/08 TheHackerNews — PyPI (Python Package Index) リポジトリに忍び込み、開発者のシステムを侵害して機密情報を盗み出す、悪質な Python パッケージの新しいセットが発見された。 Checkmarx は、「これらのパッケージは、無害な難読化ツールを装っているが、BlazeStealer と呼ばれるマルウェアを隠し持っている」と、The Hacker News と共有したレポートで述べている。

Continue reading “PyPI 汚染が露見:BlazeStealer マルウェアを隠し持つ悪意の Python パッケージ”

GootLoader マルウェアの新たな亜種:検出回避と横展開を強化している

New GootLoader Malware Variant Evades Detection and Spreads Rapidly

2023/11/07 TheHackerNews — GootBot と呼ばれる GootLoader マルウェアの新たな亜種は、侵害したシステム上で容易に横方向へ移動し、検出を回避することが判明した。IBM X-Force の研究者である Golo Mühr と Ole Villadsen は、「GootLoader グループが、攻撃チェーンの後半ステージに独自のカスタム・ボットを導入した理由は、CobaltStrike や RDP のような C2 用の既製ツールを使用した場合の、検出回避の試みにある。この新しい亜種は軽量かつ効果的なマルウェアであり、攻撃範囲はネットワーク全体へと急速に拡大し、さらなるペイロードの展開へといたる」と述べている。

Continue reading “GootLoader マルウェアの新たな亜種:検出回避と横展開を強化している”

クラウドへのファイル・アップロード:セキュリティに対する信頼が低いのは?

Confidence in File Upload Security is Alarmingly Low. Why?

2023/11/07 TheHackerNews — テクノロジー/金融サービス/エネルギー/ヘルスケア/政府機関など多くの業界が、クラウドベースやコンテナ化された Web アプリケーションの導入を急いでいる。そのメリットは否定できない。しかしこのシフトは、セキュリティ上の新たな課題をもたらす。OPSWAT の 2023 Web Application Security レポート では、次のことが明らかにされている:

  • 75%の組織が、今年にインフラを最新化した。
  • 78%がセキュリティ予算を増額している。
  • その一方で、自社のセキュリティ態勢に信頼を寄せているのは、わずか2%である。
Continue reading “クラウドへのファイル・アップロード:セキュリティに対する信頼が低いのは?”

クラウド移行とセキュリティ:回答者の 59% がコンテナ環境でのインシデントを経験

Over Half of Users Report Kubernetes/Container Security Incidents

2023/11/07 InfoSecurity — Venafi の最新調査によると、米国/英国/フランス/ドイツの組織では、クラウド・ネイティブな開発への移行により、新たなセキュリティの盲点を生み出されているという。Machine Identity のスペシャリストである Venafi は、これら4カ国に拠点を置く大企業における Security/IT のリーダー 800人を対象に調査を行い、The Impact of Machine Identities on the State of Cloud Native Security in 2023 というレポートを公表した。

Continue reading “クラウド移行とセキュリティ:回答者の 59% がコンテナ環境でのインシデントを経験”

Google Calendar の悪用が露見:イベント記述を介して C2 通信が行われる

Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel

2023/11/06 TheHackerNews — Google Calendar サービスを悪用して、Command and Control (C2) インフラをホストする PoC エクスプロイトを、複数の脅威アクターが共有していることを、Google 自身が警告している。この、Google Calendar RAT (GCR) と呼ばれるツールは、Gmail アカウントを介して、C2 サーバとして Google Calendar Events を悪用するものだ。そして、2023年6月に GitHub に公開さてから、脅威アクターたちの間で共有されているという。

Continue reading “Google Calendar の悪用が露見:イベント記述を介して C2 通信が行われる”

GNU C Library の脆弱性 CVE-2023-4911:クラウドを狙う脅威アクターが兵器化

‘Looney Tunables’ Glibc Vulnerability Exploited in Cloud Attacks 

2023/11/06 SecurityWeek — 最近パッチが適用された GNU C Library (glibc) に存在する深刻な特権昇格の脆弱性が、Kinsing マルウェアの展開やクリプトジャッキング攻撃を操る脅威グループにより、クラウドへの攻撃で悪用されている。Looney Tunablesと名付けられた脆弱性 CVE-2023-4911 は、Debian/Gentoo/Red Hat/Ubuntu などの主要 Linux ディストリビューションに影響を及ぼすことが判明している。この脆弱性により、ローカル攻撃者は昇格した権限で、任意のコードを実行できるという。

Continue reading “GNU C Library の脆弱性 CVE-2023-4911:クラウドを狙う脅威アクターが兵器化”

Atlassian Confluence の脆弱性 CVE-2023-22518:Cerber ランサムウェアの攻撃を観測

Critical Atlassian Confluence bug exploited in Cerber ransomware attacks

2023/11/06 BleepingComputer — 先日にパッチが適用された、Atlassian Confluence に存在する深刻な認証バイパスの脆弱性を悪用する Cerber ランサムウェアが、被害者のファイルを暗号化している。Atlassian が不適切な認証の脆弱性と説明する CVE-2023-22518 (CVSS:9.1) は、Confluence Data Center/Confluence Server ソフトウェアの全てのバージョンに影響を及ぼす。10月31日 (火) にセキュリティ・アップデートをリリースした Atlassian は、この脆弱性の悪用によりデータが消去される可能性もあるため、脆弱性のある全てのインスタンスに対して、直ちにパッチを当てるよう管理者たちに警告した。

Continue reading “Atlassian Confluence の脆弱性 CVE-2023-22518:Cerber ランサムウェアの攻撃を観測”

Apache ActiveMQ の脆弱性 CVE-2023-46604:TellYouThePass ランサムウェアが積極的に悪用

TellYouThePass ransomware joins Apache ActiveMQ RCE attacks

2023/11/06 BleepingComputer — インターネットに公開された Apache ActiveMQ サーバに存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2023-46604 が、TellYouThePass ランサムウェア攻撃の標的にもなっている。この脆弱性 CVE-2023-46604 は、スケーラブルなオープンソース・メッセージ・ブローカーである ActiveMQ に存在し、悪用に成功した未認証の攻撃者に、任意のシェルコマンド実行を許してしまうものである。

Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604:TellYouThePass ランサムウェアが積極的に悪用”

UK AI Safety Institute が設立: AI の未来への青写真とは?

UK AI Safety Institute: A Blueprint for the Future of AI?

2023/11/03 InfoSecurity — 英国の Frontier AI Taskforce は、2023年4月にファウンデーション・モデル・タスクフォースとして発足した政府出資のイニシアチブである。しかし同機関は、英国 AI Safety Institute へと進化しつつある。Rishi Sunak 英国首相は、2023年11月2日に英国ブレッチリー・パークで開催された AI Safety Summit の閉会スピーチで、同研究所の設立を発表した。この新組織における英国政府の目的は、新たなタイプのAI の安全性テストを任務とする世界的なハブにすることだと、Sunak 首相は述べている。

Continue reading “UK AI Safety Institute が設立: AI の未来への青写真とは?”

npm で発見された 48個の悪意のパッケージ:難読化されたリバースシェルを展開

48 Malicious npm Packages Found Deploying Reverse Shells on Developer Systems

2023/11/03 TheHackerNews — npm リポジトリで、48個の悪意の npm パッケージ・セットが、新たに発見された。それらは、侵害したシステム上にリバースシェルを展開する機能を持っているという。ソフトウェア・サプライチェーンのセキュリティ企業 Phylum は、「これらのパッケージは、正規のパッケージを偽装されており、そのインストール時にリバースシェルを開始するための、難読化された JavaScript を取り込んでいる」と述べている。すべての偽造パッケージは、hktalent (GitHub/X) という npm ユーザーにより公開されている。この記事の執筆時点で、hktalent がアップロードしたパッケージのうち、39個がダウンロード可能な状態にある。

Continue reading “npm で発見された 48個の悪意のパッケージ:難読化されたリバースシェルを展開”

Okta の失敗:従業員の Google パーソナル・アカウントから情報が漏洩していた

Okta Hack Blamed on Employee Using Personal Google Account on Company Laptop

2023/11/03 SecurityWeek — つい先日に Okta のサポート・システムがハッキングされたが、同社の従業員に支給されたノートパソコンで、個人の Google アカウントへのログインが行われ、認証情報が流出したことが判明した。それにより、複数の Okta 顧客からのデータ窃取が生み出された。Okta のセキュリティ・チーフである David Bradbury が、「サイバーセキュリティ企業である BeyondTrust や Cloudflare を含む、数百の Okta 顧客を巻き込んだ情報漏えいの、最も可能性の高い経路は、社内の過失であった」と事後報告行っている。

Continue reading “Okta の失敗:従業員の Google パーソナル・アカウントから情報が漏洩していた”

AI Safety Summit:OWASP が各国政府に対して AI セキュリティ基準の採用を要求

AI Safety Summit: OWASP Urges Governments to Agree on AI Security Standards

2023/11/02 InfoSecurity — OWASP (Open Worldwide Application Security Project) によると、AI の急速な普及がもたらす危険を軽減するためには、AI を搭載するツールがもたらすセキュリティと倫理的リスクに関する、トップレベルの議論だけでは、もはや不十分だという。2023年11月1日~2日にイギリスのブレッチリー・パークで開催された AI Safety Summit に先立ち、この非営利団体はサミット参加者に対して、実用的な AI セキュリティ標準に合意し採用することを、迅速に推進すべきという行動喚起を促している。

Continue reading “AI Safety Summit:OWASP が各国政府に対して AI セキュリティ基準の採用を要求”

MITRE ATT&CK v14 がリリース:フレームワークの拡張によりフィッシングなどに対抗

MITRE ATT&CK v14 released

2023/11/02 HelpNetSecurity — MITRE がリリースした、最新版の MITRE ATT&CK v14 は、サイバー攻撃者が用いる戦術と技術に関する、調査のためのフレームワークでありナレッジベースである。MITRE ATT&CK の目標は、実際の攻撃におけるサイバー攻撃者の行動をカタログ化し、分類することだ。このフレームワークは、攻撃者とデバイス/システム/ネットワークとの相互作用に関連する、新たな行動や変化した行動を取り込むために、常に改訂されている。

Continue reading “MITRE ATT&CK v14 がリリース:フレームワークの拡張によりフィッシングなどに対抗”

Lockbit による攻撃を Boeing が認める:水面下での交渉が示唆される

Boeing Confirmed Its Services Division Suffered A Cyberattack

2023/11/02 SecurityAffairs — Boeing Company は、航空宇宙メーカーとして、また、防衛請負会社として、世界最大級の規模を誇っている。2022年における Boeing は、$66.61 billion の売上を記録し 、15万6000人の従業員を擁していた。先週にランサムウェア集団 Lockbit は、Tor リーク・サイトの被害者リストに Boeing を追加した。このグループは、同社から膨大な量の機密データを盗んだと主張し、期限内 (2023年11月2日13:25:39 UTC) に連絡がなければ公開すると脅している。ただし、この記事を書いている時点では、このグループはサンプルを公開していない。

Continue reading “Lockbit による攻撃を Boeing が認める:水面下での交渉が示唆される”

Okta のサードパーティでデータ侵害:従業員たちの個人情報が盗まれてしまった

Okta hit by third-party data breach exposing employee information

2023/11/02 BleepingComputer — Okta のサードパーティー・ベンダーへの侵害により、個人情報が流出したことが、約5,000人の現従業員/元従業員に対して警告されている。Okta はクラウド ID/Access 管理ソリューション・プロバイダーであり、SSO (Single Sign-On)/MFA (Multi Factor Authentication)/API アクセス管理サービスなどを、世界中の何千もの組織に提供している。今回のデータ侵害に関する警告は、Okta の従業員と家族に医療保険を提供する、Rightway Healthcare に影響を与えたセキュリティ・インシデントに関するものである。

Continue reading “Okta のサードパーティでデータ侵害:従業員たちの個人情報が盗まれてしまった”

Turla の Kazuar バックドア:新たな機能群を Palo Alto Unit 42 が分析

Palo Alto Reveals New Features in Russian APT Turla’s Kazuar Backdoor

2023/11/01 InfoSecurity — Palo Alto Networks によると、Kazuar バックドアの最新バージョンは、これまで想像されていた以上に狡猾な可能性があるという。Kazuar バックドアとは、ロシアのハッキング・グループ Turla により、2023年7月にウクライナの防衛セクターを標的に使用されたものだと、ウクライナの CERT-UA (Ukrainian Computer Emergency and Response Team) が報告している。Palo Alto Unit 42 の研究者たちは、Kazuarの最新の亜種である .NET バックドアにおいて、これまで文書化されていなかった機能を発見した。

Continue reading “Turla の Kazuar バックドア:新たな機能群を Palo Alto Unit 42 が分析”

Citrix Bleed を解析:セッション・クッキー窃取と LOLBIN によるステルス化

Hackers use Citrix Bleed flaw in attacks on govt networks worldwide

2023/11/01 BleepingComputer — Citrix Bleed と名付けられた 脆弱性CVE-2023-4966 を悪用する攻撃者が、南北アメリカ/ヨーロッパ/アフリカ/アジア太平洋地域の、政府/技術/法律などの組織を標的としている。Mandiant の研究者たちによると、現在進行中の4つのキャンペーンはCitrix NetScaler ADC/Gateway アプライアンスの脆弱性を標的としており、2023年8月下旬から攻撃が行われているようだ。

Continue reading “Citrix Bleed を解析:セッション・クッキー窃取と LOLBIN によるステルス化”

F5 BIG-IP の脆弱性:CVE-2023-46747/CVE-2023-46748 の連鎖が悪用されている

Alert: F5 Warns of Active Attacks Exploiting BIG-IP Vulnerability

2023/11/01 TheHackerNews — F5 BIG-IP の深刻な脆弱性の公開から1週間も経たないうちに、悪用チェー ンの一部として任意のシステム・コマンド実行が生じる可能性のある、積極的な悪用に関する警告が発せられた。管理ポートを介して BIG-IP システムにネットワーク・アクセスできる未認証の攻撃者が、この脆弱性 CVE-2023-46747 (CVSS:9.8) の悪用に成功すると、コード実行が可能になる。それを証明する PoC エクスプロイトが、ProjectDiscovery から共有された。

Continue reading “F5 BIG-IP の脆弱性:CVE-2023-46747/CVE-2023-46748 の連鎖が悪用されている”

NuGet パッケージに潜む SeroXen RAT:GitHub にホストされるペイロードへの導線

Malicious NuGet Packages Caught Distributing SeroXen RAT Malware

2023/10/31 TheHackerNews — NuGet パッケージ・マネージャに公開された、珍しいマルウェア展開の方法を用いる悪意のパッケージの新しいセットを、サイバー・セキュリティ研究者たちが発見した。ソフトウェア・サプライ・チェーンのセキュリティ企業である ReversingLabs は、「このキャンペーンは、SeroXen RAT と呼ばれるリモート・アクセス型トロイの木馬を配信するために、不正な NuGet パッケージのホストとの関連付けを用いながら、2023年8月1日以降において広まってきている」と説明している。

Continue reading “NuGet パッケージに潜む SeroXen RAT:GitHub にホストされるペイロードへの導線”