Category: CyberAttack

BlackCat ランサムウェア:Sphynx 暗号化ツールで Azure Storage を攻撃

BlackCat ransomware hits Azure Storage with Sphynx encryptor

2023/09/16 BleepingComputer −−− BlackCat (ALPHV) ランサムウェア・グループが、窃取した Microsoft アカウントと、最近に発見された Sphynx 暗号化ツールを用いて、ターゲットの Azure クラウド・ストレージを暗号化しているようだ。最近に発生した情報漏えいを調査していた、Sophos X-Ops のインシデント・レスポンス担当者たちが、カスタム認証情報の利用がサポートされた、Sphynx の亜種の運用を発見した。この脅威アクターは、窃取したワンタイム・パスワード (OTP:One-Time Password) を用いて Sophos Central アカウントにアクセスした後に、改ざん防止機能を無効化し、セキュリティ・ポリシーを変更していた。これらの操作は、LastPass Chrome エクステンションを使用して、被害者の LastPass ヴォールトから OTP を盗んだ後に行われていたという。

Continue reading “BlackCat ランサムウェア:Sphynx 暗号化ツールで Azure Storage を攻撃”

3AM という新たなランサムウェア:LockBit の代替えとして攻撃を成功させる

When LockBit Ransomware Fails, Attackers Deploy Brand-New ‘3AM’

2023/09/14 DarkReading — ある建設業に対する最近の攻撃では、標的とするネットワーク上で LockBit の実行に失敗したハッカーが、未知のランサムウェアを二番手として展開することに成功したという。この新しいツールの機能として挙げられるのは、ホスト・コンピューター上のファイルをロックする前に、各種のサイバー・セキュリティやバックアップ関連のソフトウェアをブロックするという、どちらかというと標準的なものだ。

Continue reading “3AM という新たなランサムウェア:LockBit の代替えとして攻撃を成功させる”

Windows 11 に新機能:SMB 経由の NTLM-Relay 攻撃を防ぐ仕組みとは?

New Windows 11 feature blocks NTLM-based attacks over SMB

2023/09/13 BleepingComputer — Microsoft は Windows 11 に新しいセキュリティ機能を追加した。それにより、管理者による SMB 経由の NTLM ブロックが可能となり、pass-the-hash/NTLM relay/password-cracking 攻撃などが防御されるという。その内容は、Kerberos や NTLM (LM/NTLM/NTLMv2) とディスティネーション・サーバとの認証交渉が、Windows SPNEGO により行われていたという、従来のアプローチを変更するものだ。

Continue reading “Windows 11 に新機能:SMB 経由の NTLM-Relay 攻撃を防ぐ仕組みとは?”

Free Download Manager サプライチェーン攻撃:数年前から Linux ユーザーにマルウェアを配布

Free Download Manager site redirected Linux users to malware for years

2023/09/12 BleepingComputer — Free Download Manager を悪用して、脅威アクターが所有する Debian パッケージ・リポジトリにリダイレクトさせ、Linux ユーザーに情報窃取型のマルウェアをインストールさせるという、サプライ・チェーン攻撃が発見された。このキャンペーンで使用されたマルウェアは、C2 サーバへのリバースシェルを確立し、ユーザのデータとアカウント認証情報を収集する、Bash スティーラーをインストールするものだ。Kaspersky が、不審なドメインの調査中に、このサプライチェーン侵害の兆候を発見したが、3年以上も前から実施されているキャンペーンであることを突き止めた。

Continue reading “Free Download Manager サプライチェーン攻撃:数年前から Linux ユーザーにマルウェアを配布”

Microsoft 2023-09 月例アップデート:2件のゼロデイと 59件の脆弱性に対応

Microsoft September 2023 Patch Tuesday fixes 2 zero-days, 59 flaws

2023/09/12 BleepingComputer — 今日は、Microsoft の September 2023 Patch Tuesday であり、積極的に悪用されている2件のゼロデイ脆弱性を含む、全体で 59件の欠陥に対するセキュリティ・アップデートが提供されている。その一方で Microsoft は、他社製品である Electron と Autodesk の2つの欠陥と、Microsoft Edge (Chromium) に存在する4つの脆弱性に対して、9月7日に修正プログラムを公開している。

Continue reading “Microsoft 2023-09 月例アップデート:2件のゼロデイと 59件の脆弱性に対応”

HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる

New HijackLoader Modular Malware Loader Making Waves in the Cybercrime World

2023/09/11 TheHackerNews — DanaBot/SystemBC/RedLine Stealer などの各種ペイロードを配信する、HijackLoaderと呼ばれる新たなマルウェア・ローダーが、サイバー犯罪者コミュニティで人気を集めている。Zscaler ThreatLabz の研究者である Nikolaos Pantazopoulos は、「HijackLoaderは高度な機能を備えていないが、大半のローダーが備えていないモジュラー・アーキテクチャを用いることで、コード・インジェクションを容易にする」と述べている。

Continue reading “HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる”

Google Chrome のゼロデイ CVE-2023-4863 が FIX:エクスプロイトの存在を確認

Google fixes another Chrome zero-day bug exploited in attacks

2023/09/11 BleepingComputer — Google Chrome 緊急セキュリティ・アップデートを公開された。それにより、今年に入ってから攻撃で悪用された、4番目のゼロデイ脆弱性が修正されている。Google は、CVE-2023-4863 のエクスプロイトが存在することを認識しているという。現時点において、この新バージョンは Stable/Extended stable チャンネルのユーザーに配布されており、今後の数日から数週間かけて、すべてのユーザーに配布されるようだ。

Continue reading “Google Chrome のゼロデイ CVE-2023-4863 が FIX:エクスプロイトの存在を確認”

CISA KEV 警告 23/09/11:Apple のゼロデイ CVE-2023-41064 など

CISA Adds Recently Discovered Apple Zero-Days To Known Exploited Vulnerabilities Catalog

2023/09/11 SecurityAffairs −−− 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iMessage ゼロクリック攻撃で悪用される脆弱性 BLASTPASS を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。これらのゼロデイ脆弱性 CVE-2023-41064/CVE-2023-41061 は、Image I/O および Wallet フレームワークに存在し、iPhone に NSO Group の Pegasus スパイウェアをインストールするために悪用されていた。

Continue reading “CISA KEV 警告 23/09/11:Apple のゼロデイ CVE-2023-41064 など”

Akamai が防御した最大級の DDoS 攻撃:米国の大手金融機関が標的だった

Akamai Prevented The Largest DDoS Attack On A Us Financial Company

2023/09/10 SecurityAffairs — 米国の金融機関を標的とする大規模な分散型サービス妨害 (DDoS) 攻撃を、サイバーセキュリティ企業 Akamai が特定/阻止することに成功した。この攻撃は先週に発生し、悪質なトラフィックはピーク時で 633.7 gigabits per second に達した。この攻撃は、同社により事前に緩和され、2分未満で終了した。

Continue reading “Akamai が防御した最大級の DDoS 攻撃:米国の大手金融機関が標的だった”

Microsoft Teams を悪用したフィッシング攻撃:DarkGate マルウェアを配布している

Microsoft Teams phishing attack pushes DarkGate malware

2023/09/09 BleepingComputer — Microsoft Teams メッセージを悪用して DarkGate Loader というマルウェアをインストールし、悪意の添付ファイルを送信するという、新たなフィッシング・キャンペーンが展開されている。このキャンペーンは 2023年8月下旬に開始されたものであり、Microsoft Teams のフィッシング・メッセージが、侵害された 2つの Office 365 の外部アカウントから、他の組織に送信されていることが確認された。これらのアカウントは、他の Microsoft Teams ユーザーを騙して “Changes to the vacation schedule” という ZIP ファイルをダウンロードさせ、開封させるために使用されていた。

Continue reading “Microsoft Teams を悪用したフィッシング攻撃:DarkGate マルウェアを配布している”

Akira が狙う Cisco ASA のゼロデイ CVE-2023-20269:ブルートフォース攻撃?

Cisco ASA Zero-Day Exploited in Akira Ransomware Attacks

2023/09/08 SecurityWeek — 今週に Cisco は、Adaptive Security Appliance (ASA) および Firepower Threat Defense (FTD) ソフトウェアに存在する、ゼロデイ脆弱性について注意を喚起した。この脆弱性は、8月以降において Akira ランサムウェア攻撃で悪用されているものだ。この 脆弱性 CVE-2023-20269 (CVSS:5.0) は、Cisco ASA/FTD のリモート・アクセス VPN 機能に存在し、ブルート・フォース攻撃の対象とされているため、認証なしでリモートから悪用される可能性がある。

Continue reading “Akira が狙う Cisco ASA のゼロデイ CVE-2023-20269:ブルートフォース攻撃?”

CISA 警告:Fortinet と Zoho の既知の脆弱性が国家支援ハッカーに狙われている

CISA Warning: Nation-State Hackers Exploit Fortinet and Zoho Vulnerabilities

2023/09/08 TheHackerNews — Fortinet FortiOS SSL-VPN と Zoho ManageEngine ServiceDesk Plus の脆弱性を悪用する複数の APT が、侵害したシステムに不正アクセスし、永続性を確立していると、9月12日に CISA が警告した。また、FBI および CNMF との共同アラートには、「国家レベルの APT が脆弱性 CVE-2022-47966 を悪用して、インターネットに公開された Zoho ManageEngine ServiceDesk Plus に不正アクセスし、永続性を確立し、横方向へ移動していると」と記されている。

Continue reading “CISA 警告:Fortinet と Zoho の既知の脆弱性が国家支援ハッカーに狙われている”

CISA KEV 警告 23/09/06:Apache RocketMQ の脆弱性 CVE-2023-33246

CISA warns of critical Apache RocketMQ bug exploited in attacks

2023/09/07: BleepingComputer — Apache の RocketMQ 分散メッセージング/ストリーミング・プラットフォームに影響を及ぼす、深刻度の高い脆弱性 CVE-2023-33246 が、米国 CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。現時点において。この脆弱性を悪用する複数の脅威アクターたちが、影響を受けたシステムの構成要素である RocketMQ バージョン 5.1.0 以下に、各種のペイロードをインストールしている可能性があるという。

Continue reading “CISA KEV 警告 23/09/06:Apache RocketMQ の脆弱性 CVE-2023-33246”

Apple にゼロデイ CVE-2023-41064/CVE-2023-41061:スパイウェアが狙っている

Apple discloses 2 new zero-days exploited to attack iPhones, Macs

2023/09/07 BleepingComputer — Apple がリリースした緊急のセキュリティ・アップデートは、iPhone/Mac ユーザーを狙う攻撃で悪用されている、2つの新たなゼロデイ脆弱性を修正するものだ。同社のアドバイザリには、「Apple は、この問題が積極的に悪用された可能性があるという報告を認識している」と記されている。それぞれの脆弱性は、Walletフ レームワークの CVE-2023-41061 と、Image I/O の CVE-2023-41064 である。

Continue reading “Apple にゼロデイ CVE-2023-41064/CVE-2023-41061:スパイウェアが狙っている”

Microsoft Office を攻撃する Agent Tesla RAT:古い脆弱性が悪用されるという現実

Old vulnerabilities are still a big problem

2023/09/06 HelpNetSecurity — Microsoft Office に存在する、古いリモートコード実行の脆弱性を悪用して、無防備なユーザーに Agent Tesla RAT 配信するィッシングキャンペーンが、つい先日に発見された。Fortinet の研究者である Xiaopeng Zhang は、「脆弱性 CVE-2017-11882/CVE-2018-0802 に対するパッチは、2017年11月と 2018年1月に、Microsoft からリリースされている。しかし、脅威アクターたちにとって、これらは依然として人気の脆弱性であり、5年以上が経過した今でも、まだパッチが適用されていないデバイスが野放しになっていることが示唆される。私たちは、IPS レベルで、1日あたり 3000件の攻撃を観測し、緩和している。観測された脆弱なデバイスの数は、1日あたり約 1300台である」と述べている。

Continue reading “Microsoft Office を攻撃する Agent Tesla RAT:古い脆弱性が悪用されるという現実”

PHPFusion CMS にゼロデイ脆弱性 CVE-2023-2453 など:現状ではパッチが無い!

Researchers Discover Critical Vulnerability in PHPFusion CMS

2023/09/06 DarkReading — PHPFusion に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この人気のオープンソース CMS (Content Management System) には、2つの脆弱性があるという。先日に Synopsys の研究者たちが発見した、1つ目の脆弱性 CVE-2023-2453 は、認証されたローカル・ファイル・インクルージョンの欠陥である。この脆弱性の悪用に成功した攻撃者が、悪意を持って細工した “.php” ファイルをターゲット・システム上の既知のパスにアップロードすると、リモート・コード実行が可能になるという。2つ目の脆弱性 CVE-2023-4480 は、その悪用に成功した攻撃者に対して、システム上のファイルの Read/Write を許すものであり、深刻度は Medium とされている。

Continue reading “PHPFusion CMS にゼロデイ脆弱性 CVE-2023-2453 など:現状ではパッチが無い!”

中国のハッカー Storm-0558:Windows クラッシュダンプから署名キーを窃取と判明

Hackers stole Microsoft signing key from Windows crash dump

2023/09/06 BleepingComputer — 中国人ハッキング・グループ Storm-0558 は、Microsoft のエンジニアの企業アカウントを侵害した後に、Windows のクラッシュダンプから署名キーを盗み出し、政府機関の電子メール・アカウントに侵入していた。攻撃者は盗んだ MSA キーを使って、米国の国務省や商務省など含む、約 20の組織の Exchange Online/Azure Active Directory (AD) アカウントに侵入したとされる。Storm-0558 は、GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用し、署名されたアクセス・トークンを偽造し、標的である組織内のアカウントになりすましていた。

Continue reading “中国のハッカー Storm-0558:Windows クラッシュダンプから署名キーを窃取と判明”

Chaes という新種の Python マルウェア亜種:銀行と物流業界を標的にしている

New Python Variant of Chaes Malware Targets Banking and Logistics Industries

2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。

Continue reading “Chaes という新種の Python マルウェア亜種:銀行と物流業界を標的にしている”

MinIO ストレージ・サーバ侵害:脆弱性 CVE-2023-28432/CVE-2023-28434 の悪用

Hackers Exploit MinIO Storage System Vulnerabilities to Compromise Servers

2023/09/04 TheHackerNews — MinIO 高性能オブジェクト・ストレージ・システムに存在する、深刻度の高いセキュリティ欠陥を武器にする未知の脅威アクターが、影響を生じているサーバ上で不正なコードを実行していることが確認された。サイバー・セキュリティ企業 Security Joes は、この侵入は MinIO インスタンスをバックドア化するために公開されている、エクスプロイト・チェーンを活用したものだと述べている。このチェーンは、脆弱性 CVE-2023-28432 (CVSS:7.5) と CVE-2023-28434 (CVSS:8.8) で構成されているが、前者に関しては、2023年4月21日に米 CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されている。

Continue reading “MinIO ストレージ・サーバ侵害:脆弱性 CVE-2023-28432/CVE-2023-28434 の悪用”

Smishing Triad というスミッシング・キャンペーン:米国市民を標的に展開されている

Resecurity has identified a large-scale smishing campaign, tracked as Smishing Triad, targeting the US Citizens

2023/09/04 SecurityAffairs — これまでの郵便事業に対するサイバー攻撃の事例では、英国/ポーランド/スウェーデン/イタリア/インドネシア/日本などの国々で被害が発生している。この犯罪グループは Royal Mail/New Zealand Postal Service (NZPOST)/Correos (Spain)/Postnord/Poste Italiane/Italian Revenue Service (Agenzia delle Entrate) になりすましていた。また、以前においても、Fedex や UPS を狙うという同様の詐欺が確認されている。

Continue reading “Smishing Triad というスミッシング・キャンペーン:米国市民を標的に展開されている”

Chrome エクステンションによる平文パスワードの窃取:大量の Web サイトが脆弱な状態

Chrome extensions can steal plaintext passwords from websites

2023/09/02 BleepingComputer — Chrome Web Store にアップロードされた PoC エクステンションは、Web サイトのソースコードから平文のパスワードを盗むためのものであり、ウィスコンシン大学マディソン校の研究チームが作成したものである。Web ブラウザのテキスト入力フィールドを調査した結果として、Chrome エクステンションを支える粗視化 (coarse-grained) 許可モデルが、最小特権と完全仲介の原則に違反していることが明らかになったという。さらに研究者たちは、Google や Cloudflare のポータルなど含む多数の Web サイトにおいて、数百万人のビジターたちが、Web ページの HTML ソースコード内にパスワードを平文で保存していることを発見した。そして、それらの情報の不正な取得が、悪意のエクステンションを介して可能なことが判明した。

Continue reading “Chrome エクステンションによる平文パスワードの窃取:大量の Web サイトが脆弱な状態”

Okta ユーザーを欺くソーシャル・エンジニアリング:Super Admin アカウントが狙われている

Social Engineering Attacks Target Okta Customers To Achieve A Highly Privileged Role

2023/09/02 SecurityAffairs — Okta が顧客に発している警告は、この数週間で観察されている、管理者権限への昇格を目的としたソーシャル・エンジニアリング攻撃に関するものだ。この攻撃は、IT サービス・デスクのスタッフを騙して、高度な権限を持つユーザーが登録した、すべての多要素認証 (MFA) 要素をリセットするよう促すものである。なお、現時点において同社は、この攻撃を実施した脅威アクターを特定していない。Okta の顧客組織 (テナント) において、高度な特権ロールを獲得した脅威アクターは、横方向への移動を行い、また、防御回避の斬新な手法を採用している。

Continue reading “Okta ユーザーを欺くソーシャル・エンジニアリング:Super Admin アカウントが狙われている”

Microsoft SQL がターゲット:FreeWorld ランサムウェアを展開する脅威アクターたち

Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware

2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア/RAT ペイロード/クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。

Continue reading “Microsoft SQL がターゲット:FreeWorld ランサムウェアを展開する脅威アクターたち”

VMware の SSH 認証バイパスの脆弱性 CVE-2023-34039:PoC エクスプロイトが登場

Exploit released for critical VMware SSH auth bypass vulnerability

2023/09/01 BleepingComputer — VMware の Aria Operations for Networks 分析ツール (旧 vRealize Network Insight) に存在する SSH 認証バイパスの脆弱性について、PoC エクスプロイト・コードが公開された。この脆弱性 CVE-2023-34039 は、ProjectDiscovery Research のセキュリティ・アナリストにより発見され、その報告を受けた VMware は、8月30日 (水) にリリースしたバージョン 6.11 でパッチを適用した。

Continue reading “VMware の SSH 認証バイパスの脆弱性 CVE-2023-34039:PoC エクスプロイトが登場”

SapphireStealer という .NET 情報スティーラー:スパイ/ランサムウェア活動の入口に

SapphireStealer Malware: A Gateway to Espionage and Ransomware Operations

2023/08/31 TheHackerNews — .NET ベースのオープンソース情報窃取マルウェア SapphireStealer だが、その機能が強化されたことで、複数のエンティティにより悪用され、独自の亜種を生み出している。Cisco Talos の研究者である Edmund Brumaghin は、「SapphireStealer のような情報窃取マルウェアは、企業における認証情報などの機密情報を取得するために使用される可能性がある。また、そのアクセスが他の攻撃者に転売され、スパイ行為や恐喝型ランサムウェアなどが行われることも多々ある」と、The Hacker News に語っている。

Continue reading “SapphireStealer という .NET 情報スティーラー:スパイ/ランサムウェア活動の入口に”

北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施

North Korean hackers behind malicious VMConnect PyPI campaign

2023/08/31 BleepingComputer — PyPI (Python Package Index) リポジトリに対して、悪意のパッケージをアップロードする VMConnect キャンペーンの背後には、北朝鮮の国家に支援を受けたハッカーたちが存在し、その中には VMware vSphere の正規のコネクタ・モジュール vConnector を模倣するものがある。この、VMConnect という名前の悪意のパッケージは8月初旬にアップロードされ、仮想化ツールを求める IT スペシャリストを標的としている。すでに、PyPI プラットフォームからは削除されているが、その時点で VMConnect は 237回もダウンロードされている。

Continue reading “北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施”

Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避

Hackers Can Exploit Windows Container Isolation Framework to Bypass Endpoint Security

3023/08/30 TheHackerNews — マルウェア検出回避テクニックを活用する脅威アクターたちが、Windows Container Isolation Framework を操作することで、エンドポイント・セキュリティ・ソリューションを回避できる可能性が、新たな調査により判明した。この調査結果は、Deep Instinct のセキュリティ研究者である Daniel Avinoam が、8月の初めに開催された DEF CON セキュリティ・カンファレンスで発表したものだ。Microsoft のコンテナ・アーキテクチャ (Windows Sandbox) は、動的に生成されるイメージと呼ばれるものを用いて、それぞれのコンテナとホストの間でファイル・システムを分離し、また、システム・ファイルの重複を回避するものだ。

Continue reading “Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避”

Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開

Hacking campaign bruteforces Cisco VPNs to breach networks

2023/08/30 BleepingComputer — Cisco Adaptive Security Appliance (ASA) の SSL VPN を標的とし、多要素認証 (MFA) 未実施などのセキュリティ防御の不備を利用した、クレデンシャル・スタッフィング攻撃やブルートフォース攻撃が、ハッカーたちにより行われている。先週に BleepingComputer は、Akira ランサムウェア・ギャングがイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破していることを報告した。

Continue reading “Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開”

日本の JPCERT/CC が新たな攻撃手法について警告:Maldoc In PDF とは?

Japan’s JPCERT Warns of New ‘Maldoc In Pdf’ Attack Technique

2023/08/29 SecurityAffairs — 先日に、日本の JPCERT/CC (computer emergency response team) が、悪意の Word ファイルを PDF ファイルに埋め込むことで検知を回避する、MalDoc in PDF と呼ばれる新たな攻撃手法を観測した。研究者たちは、MalDoc in PDF で作成されたファイルは、PDF の magic numbers and file 構造を持っているが、Wordで開くことができると説明している。このファイルに悪意のマクロが含まれていれば、ファイルを開くことで悪意のコードが実行される。JPCERT/CC が観測した攻撃では、脅威アクターはファイル拡張子 “.doc” を使用していたという。

Continue reading “日本の JPCERT/CC が新たな攻撃手法について警告:Maldoc In PDF とは?”

Skype に悪用が容易な脆弱性:ユーザーの IP アドレスが暴露される

Easy-to-exploit Skype vulnerability reveals users’ IP address

2023/08/29 HelpNetSecurity — Skype モバイル・アプリの脆弱性が攻撃者に悪用され、ユーザーの IP アドレスが判明するという可能性が生じている。このセキュリティ脆弱性は、Yossi というセキュリティ研究者により発見されたものであり、彼から Microsoft への報告が行われ、ジャーナリストである Joseph Cox が効果的な悪用を証明した。現時点ではパッチが適用されていないため、脆弱性の詳細は公表されていないが、Joseph Cox は、「悪用は非常に簡単であり、リンクに関連する特定のパラメータを変更により実現できる」と述べている。

Continue reading “Skype に悪用が容易な脆弱性:ユーザーの IP アドレスが暴露される”

Citrix NetScaler の RCE 脆弱性 CVE-2023-3519:新たなランサムウェアが悪用

New Ransomware Campaign Targets Citrix NetScaler Flaw

2023/08/29 InfoSecurity — Citrix NetScaler の、インターネットに公開されているパッチ未適用の システムを標的とする一連の攻撃を、Sophos X-Ops のサイバー・セキュリティ専門家たちが発見した。8月25日 (金) の X (Twitter) で共有された、この悪意あるキャンペーンに関する説明では、深刻なリモートコード実行の脆弱性 CVE-2023-3519 が悪用され、その結果として脅威アクターがシステムに侵入し、ドメインを覆う規模での攻撃キャンペーンが発生していると、セキュリティ研究者たちは述べている。

Continue reading “Citrix NetScaler の RCE 脆弱性 CVE-2023-3519:新たなランサムウェアが悪用”

VMware の Network Monitoring 製品の脆弱性が FIX:直ちにパッチを!

VMware Patches Major Security Flaws in Network Monitoring Product

2023/08/29 SecurityWeek — 8月29日 (火) に VMware は、Aria Operations for Networks 製品ラインに存在する、2件の深刻な脆弱性を修正するため、大規模なセキュリティ・アップデートを配布した。VMware は緊急アドバイザリにおいて、これらの脆弱性の悪用に成功した脅威アクターは SSH 認証をバイパスし、Aria Operations for Networks のコマンドライン・インターフェイスにアクセスする可能性があると述べている。VMware は、このネットワーク認証バイパスの脆弱性 CVE-2023-34039 について、CVSS 値 9.8 と評価している。

Continue reading “VMware の Network Monitoring 製品の脆弱性が FIX:直ちにパッチを!”

Juniper EX Switch/SRX Firewall の脆弱性:PoC リリース直後から悪用が始まっている

Hackers exploit critical Juniper RCE bug chain after PoC release

2023/08/29 BleepingComputer — エクスプロイト・チェーンを悪用するハッカーたちが、インターネット上に公開されている J-Web 設定インターフェースを介して、Juniper の EX Switch/SRX Firewall を標的にしている。この脆弱性の悪用に成功した未認証の攻撃者には、パッチが適用されていないデバイス上での、リモートからのコード実行が許されてしまう。Juniper は、「認証を必要としない特定のリクエストを介して、攻撃者たちは J-Web 経由で、任意のファイルをアップロードできる。それにより、ファイル・システムの特定部分で整合性が失われ、他の脆弱性に連鎖する可能性が生じる」と述べている。

Continue reading “Juniper EX Switch/SRX Firewall の脆弱性:PoC リリース直後から悪用が始まっている”

Microsoft Exchange:2023年秋から Extended Protection がデフォルトで有効化

Microsoft will enable Exchange Extended Protection by default this fall

2023/08/28 BleepingComputer — 今日、Microsoft が発表したのは、Exchange Server 2019 を実行しているサーバにおける、Windows EP (Extended Protection) のデフォルトでの有効化についてだ。この秋に、2023 H2 Cumulative Update (CU14) がインストールされた後から、この試みはスタートする。EP (Extended Protection) とは、Windows Server の認証機能を強化し、認証リレー攻撃/中間者 (MitM) 攻撃を軽減する機能のことである。

Continue reading “Microsoft Exchange:2023年秋から Extended Protection がデフォルトで有効化”

Juniper SRX Firewall の脆弱性 CVE-2023-36846/CVE-2023-36845:PoC エクスプロイトが公開

Exploit released for Juniper firewall bugs allowing RCE attacks

2023/08/28 BleepingComputer — Juniper SRX Firewall の脆弱性に関する PoC エクスプロイト・コードが公開された。一連の脆弱性が連鎖すると、パッチを未適用の Juniper JunOS において、未認証の攻撃者によるリモート・コード実行へといたる可能性がある。2週間前に Juniper は、同社の EX Switche と SRX Firewall に、4件の Medium レベル脆弱性が存在することを公表し、セキュリティ・パッチをリリースした。それらの脆弱性は、管理者がネットワーク上の Juniper デバイスを管理/設定するために使用する、PHP ベースの J-Web インターフェースに存在するものだ。

Continue reading “Juniper SRX Firewall の脆弱性 CVE-2023-36846/CVE-2023-36845:PoC エクスプロイトが公開”

Microsoft Entra ID (Azure AD) で権限を昇格させる方法:専門家たちが手口を解明

Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege

2023/08/28 TheHackerNews — Microsoft Entra ID (旧 Azure Active Directory) アプリケーションに関連する問題として、放棄された返信 URL の悪用により特権昇格が生じるケースがあることを、サイバー・セキュリティ研究者たちが発見した。Secureworks の CTU (Counter Threat Unit) は、「この放棄された URL の悪用に成功した攻撃者は、認証コードを自分自身にリダイレクトし、不正に入手した認証コードをアクセストークンと交換できる。その後に攻撃者は、中間層のサービスを介して Power Platform API を呼び出し、昇格した権限を取得する」と、先週に発表したテクニカル・レポートの中で述べている。

Continue reading “Microsoft Entra ID (Azure AD) で権限を昇格させる方法:専門家たちが手口を解明”

QakBot というマルウェア:ユニークな感染チェーンで検知を回避 – HP Wolf

Creative QakBot Attack Tactics Challenge Security Defenses

2023/08/25 InfoSecurity — 2023 Q2 に最も活発だったマルウェア・ファミリーの1つとして、QakBot が挙げられていることが、HP Wolf の最新レポート Threat Insights Report Q2 2023 により判明した。同社の分析によると、セキュリティ・ポリシーや検知ツールを回避するために、サイバー犯罪者たちは攻撃の手法を多様化させている。その一例として、“building blog style attacks” を利用して、キャンペーンを実行していることが確認されているという。

Continue reading “QakBot というマルウェア:ユニークな感染チェーンで検知を回避 – HP Wolf”

Barracuda ESG のゼロデイ脆弱性 CVE-2023-2868 はパッチの効果なし – FBI 警告

Urgent FBI Warning: Barracuda Email Gateways Vulnerable Despite Recent Patches

2023/08/25 TheHackerNews — 米国連邦捜査局 (FBI) は、先日に公開された Barracuda の Networks Email Security Gateway (ESG) アプライアンスの脆弱性に関して、パッチは適用されているが、中国のハッキング・グループと思われる集団から、侵害されるリスクにさらされていると警告している。また、修正パッチは「効果がない」と判断した FBI は、「活発な侵入を観察し続けており、すべての Barracuda ESGア プライアンスは侵害されており、このエクスプロイトに対して脆弱であると考えている」と述べている。

Continue reading “Barracuda ESG のゼロデイ脆弱性 CVE-2023-2868 はパッチの効果なし – FBI 警告”

WinRAR 脆弱性の悪用:DarkMe はマルウェアは Visual Basic のトロイの木馬

WinRAR Security Flaw Exploited in Zero-Day Attacks to Target Traders

2023/08/24 TheHackerNews — 先日にパッチが適用された WinRAR の脆弱性が、2023年4月以降においてゼロデイとして悪用されていることが、Group-IB の新たな調査結果により判明した。この脆弱性 CVE-2023-38831 の悪用に成功した脅威アクターは、ファイル拡張子を詐称し、無害に見えるイメージ・ファイルやテキスト・ファイルを装うアーカイブに、悪意のスクリプトを仕込んで起動することが可能になる。ただし、この脆弱性は、2023年8月2日にリリースされたバージョン 6.23 で、CVE-2023-40477 とともに対処されている。

Continue reading “WinRAR 脆弱性の悪用:DarkMe はマルウェアは Visual Basic のトロイの木馬”

Ivanti Sentry の脆弱性 CVE-2023-38035:PoC エクスプロイトが公開

Exploit released for Ivanti Sentry bug abused as zero-day in attacks

2023/08/24 BleepingComputer — Ivanti Sentry に存在する、認証バイパスの脆弱性の悪用に成功した攻撃者は、脆弱なシステムの root としてリモート・コード実行が可能になる。この脆弱性 CVE-2023-38035 は、サイバー・セキュリティ企業 mnemonic により発見されたものであり、Apache HTTPD の設定が十分に制限されていないことに起因する。その結果として、機密性の高い Sentry 管理者インターフェース API への、攻撃者によるアクセスを許すことになる。具体的に言うと、Ivanti Sentry のバージョン 9.18 以下を実行しているシステム上で、システム・コマンドの実行やファイルへの書込みが可能になる。

Continue reading “Ivanti Sentry の脆弱性 CVE-2023-38035:PoC エクスプロイトが公開”

北朝鮮の APT グループ Lazarus:Zoho ManageEngine の脆弱性 CVE-2022-47966 を悪用

Lazarus APT exploits Zoho ManageEngine flaw to target an Internet backbone infrastructure provider

2023/08/24 SecurityAffairs — 北朝鮮が関与する APT グループ Lazarus は、Zoho の ManageEngine ServiceDesk に存在する脆弱性 CVE-2022-47966 悪用し、インターネット・バックボーン・インフラ・プロバイダーや医療機関を狙った攻撃を仕掛けている。この、国家に支援されたハッカーは、欧州と米国の組織を標的として、PoC エクスプロイトが公開された僅か数日後に、この脆弱性を悪用し始めた。この欠陥を悪用する Lazarus は、QuiteRAT として追跡されている新しいマルウェアを展開している。セキュリティ研究者が、このインプラントを発見したのは2023年2月のことだった。

Continue reading “北朝鮮の APT グループ Lazarus:Zoho ManageEngine の脆弱性 CVE-2022-47966 を悪用”

WinRAR のゼロデイ CVE-2023-38831 の悪用:世界中のトレーダーが狙われている

WinRAR Vulnerability Affects Traders Worldwide

2023/08/23 InfoSecurity — トレーダーの専門フォーラムを標的とするサイバー犯罪者たちが、WinRAR 圧縮ツールのゼロデイ脆弱性 CVE-2023-38831 を悪用していると、サイバー・セキュリティ研究者が警告を発している。この脆弱性の悪用に成功した攻撃者は、悪意のあるペイロードを取り込んだ ZIP アーカイブを作成し、トレーダーの金融資産に重大なリスクをもたらすという。Group-IB の Threat Intelligence Unit は、2023年7月に DarkMe マルウェア配布について調査した際に、WinRAR の ZIP ファイル・フォーマットの処理に、未知の脆弱性があることを見した。

Continue reading “WinRAR のゼロデイ CVE-2023-38831 の悪用:世界中のトレーダーが狙われている”

Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果

More Than Half of Browser Extensions Pose Security Risks

2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。

Continue reading “Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果”

Windows SYSTEM 権限を取得する3つのテクニック:Filtering Platform の悪用方法とは?

New stealthy techniques let hackers gain Windows SYSTEM privileges

2023/08/23 BleepingComputer — セキュリティ研究者たちが、Windows Filtering Platform を利用して、Windows の最高権限レベルである SYSTEM にまで、ユーザー権限を昇格させるツール NoFilter をリリースした。このユーティリティは、感染させたデバイスにログインしている正規ユーザのアカウントを用いた、より高い権限での悪意のコード実行や、ネットワーク上での横方向への移動といった、攻撃者による悪用シナリオの追跡に有用なものとなる。

Continue reading “Windows SYSTEM 権限を取得する3つのテクニック:Filtering Platform の悪用方法とは?”

OfficeNote アプリを装う XLoader:野放し状態で macOS ユーザーを攻撃中

Bogus OfficeNote app delivers XLoader macOS malware

2023/08/23 HelpNetSecurity — 既知のマルウェアである XLoader の macOS 対応の亜種が、”OfficeNote” アプリを装いながら配信されている。SentinelOne の研究者たちは、「XLoader マルウェアのサンプルは、7月を通じて VirusTotal に投稿され続けており、野放し状態で広範に配布されていることが示される」と述べている。2015年から活動している XLoader は Malware-as-a-Service 型の情報スティーラー/ボットネットであり、2021年に Java で書かれた macOS 亜種が登場した。

Continue reading “OfficeNote アプリを装う XLoader:野放し状態で macOS ユーザーを攻撃中”

Openfire Server への攻撃:約 3,000 台の未パッチ・サーバが標的になっている

3,000 Openfire Servers Exposed to Attacks Targeting Recent Vulnerability

2023/08/23 SecurityWeek — Openfire の脆弱性 CVE-2023-32315 に対するパッチが適用されていない、3,000台以上のサーバに対する新たな悪用方法により、その多くが攻撃にさらされていることが、VulnCheck の報告で明らかになった。Ignite Realtime が管理する Openfire は、XMPP プロトコルを使用し、Javaで書かれた、クロスプラットフォームのリアルタイム・コラボレーション・サーバであり、Web インターフェイスによる管理をサポートしている。

Continue reading “Openfire Server への攻撃:約 3,000 台の未パッチ・サーバが標的になっている”

Carderbee というサプライチェーン攻撃を観測:香港などのアジア圏の組織が標的?

Carderbee Attacks: Hong Kong Organizations Targeted via Malicious Software Updates

2023/08/22 TheHackerNews — 未知の脅威クラスターが、香港などを中心とするアジア圏の組織を標的として、ソフトウェア・サプライチェーン攻撃に関与していることが判明した。Broadcom 傘下の Symantec Threat Hunter Team が、Carderbee という名前で、この活動を追跡している。この攻撃は、EsafeNet Cobra DocGuard Client と呼ばれる正規ソフトウェアのトロイの木馬化バージョンを悪用し、被害者のネットワーク上に PlugX (別名 Korplug) という既知のバックドアを配信するものだ。

Continue reading “Carderbee というサプライチェーン攻撃を観測:香港などのアジア圏の組織が標的?”

CISA KEV 警告 23/08/21:Adobe ColdFusion の脆弱性をカタログに追加

CISA adds critical Adobe ColdFusion flaw to its Known Exploited Vulnerabilities catalog

2023/08/22 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Adobe ColdFusion に存在する深刻な脆弱性 CVE-2023-26359 (CVSS : 9.8) を KEV (Known Exploited Vulnerabilities) カタログに追加した。2023年3月に Adobe は、この深刻な脆弱性を修正している。この欠陥は、Adobe ColdFusion における、信頼できないデータのデシリアライズに起因するものであり、正規ユーザーのコンテキストで、任意のコード実行を引き起こす可能性があるという。

Continue reading “CISA KEV 警告 23/08/21:Adobe ColdFusion の脆弱性をカタログに追加”

MOVEit 脆弱性への Clop 攻撃が止まらない:NCC Group の脅威レポート

Continued MOVEit Exploitation Drives Record Ransomware Attacks

2023/08/22 InfoSecurity — Clop ギャングによる MOVEit 脆弱性の継続的な悪用により、2023年7月のランサムウェア攻撃件数が記録的なレベルに達したと、NCC Group の脅威インテリジェンス・チームは述べている。研究者たちは、7月だけで 502件という、最大規模のランサムウェア攻撃を観測した。この数値は、2022年7月との比較で154% 増であり、2023年6月との比較で 16% 増となっている。

Continue reading “MOVEit 脆弱性への Clop 攻撃が止まらない:NCC Group の脅威レポート”