New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries
2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID/パスワード/ローカルマシン環境変数/ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。
Continue reading “Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見”Clop ransomware gang starts extorting MOVEit data-theft victims
2023/06/15 BleepingComputer — MOVEit を介したデータ窃取攻撃の被害者となった企業に対する、Clop ランサムウェア・グループによる恐喝が始まった。この動きは、5月27日に Clop が、ファイル転送プラットフォーム MOVEit Transfer のゼロデイ脆弱性を悪用し、そのサーバに保存されているファイルを盗み出したことに起因している。Clop の主張は、この攻撃により数百の企業に侵入したというものであり、交渉が成立しなければ 6月14日にデータ漏洩サイトに掲載すると脅迫している。さらに、要求額が支払われない場合には、盗み出したデータの流出を、6月21日から開始すると述べている。
Continue reading “MOVEit とデータ窃取攻撃:Clop ランサムウェア・ギャングが被害者への恐喝を開始”CISA and NSA Publish BMC Hardening Guidelines
2023/06/15 InfoSecurity — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、BMC (Baseboard Management Controller) のセキュリティ強化に関する共同指針を発表した。6月14日に発表された、この文書の目的は、重要なインフラ・システムの侵害を試みる脅威アクターにとって、潜在的な侵入経路となり得る BMC の、見落された脆弱性への対処である。
Continue reading “CISA/NSA の共同指針:BMC セキュリティ強化ガイドラインを発表”Barracuda ESG zero-day attacks linked to suspected Chinese hackers
2023/06/15 BleepingComputer — Mandiant が UNC4841 として追跡している親中派ハッカー・グループへの疑いが、Barracuda ESG (Email Security Gateway) アプライアンス上の、パッチ適用済みゼロデイ脆弱性を悪用する、データ窃取攻撃と関連していることが判明した。この脅威アクターは、2022年10月10日頃から、Barracuda の添付ファイル・スキャン・モジュールに存在する、ゼロデイ・リモート・コマンド・インジェクション脆弱性 CVE-2023-2868 を悪用し始めた。5月19日に、この欠陥を発見した Barracuda は、脆弱性が悪用されていることを直ちに公表し、CISA は米国連邦政府機関に対して、セキュリティ更新プログラムを適用するよう警告を発した。
Continue reading “Barracuda ESG がデバイス交換を選択:中国 APT が仕掛けた強力なバックドアとは?”Fake Researcher Profiles Spread Malware through GitHub Repositories as PoC Exploits
2023/06/14 TheHackerNews — 不正なサイバー・セキュリティ企業の研究者たちによる、少なくとも6つの GitHub アカウントが、7つの悪意のリポジトリをプッシュしていることが確認された。この7つのリポジトリは、Discord/Google Chrome/Microsoft Exchange Server などの、ゼロデイ脆弱性の概念実証 (PoC) だと見られている。
Continue reading “GitHub リポジトリで発見されたマルウェア拡散の新手口:研究者たちの偽プロファイルを悪用”CISA: LockBit ransomware extorted $91 million in 1,700 U.S. attacks
2023/06/14 BleepingComputer — CISA が発表した共同アドバイザリには、2020年以降の米国組織に対する約 1,700件の攻撃において、LockBit ランサムウェア・ギャングが、約 $91M の恐喝に成功していると記されている。RaaS (Ransomware-as-a-Service) オペレーションである LockBit は、2022年におけるランサムウェアの脅威をリードし、そのデータ漏洩サイトで開示した犠牲者の数は最多であったと、米国/英国/オーストラリア/カナダ/ドイツ/フランス/ニュージーランドなどの、それぞれの当局が述べている。
Continue reading “LockBit の被害総額が $91M に達した:CISA/FBI/MS-ISAC などが共同勧告”MFA Bypass Kits Account For One Million Monthly Messages
2023/06/14 InfoSecurity — Proofpoint によると、脅威アクターは 2022年もユーザー防御を回避するための戦術を進化させ続けており、その中でも多要素認証 (MFA) バイパス・キットは、数百万件ものフィッシング・メッセージで利用されていたという。Proofpoint は最新のレポート The Human Factor 2023 で、数年前から市販のツールキットが、サイバー犯罪者たちによるフィッシング活動を推進してきたが、MFA バイパス専用の特殊ツールは、比較的新しい光景であると述べている。
Continue reading “MFA 侵害キットの台頭:月間で 100万件のバイパス・メッセージを記録 – Proofpoint”Adversary-in-the-Middle Attack Campaign Hits Dozens of Global Organizations
2023/06/13 TheHackerNews — AitM (Adversary-in-The-Middle) 技術を用いた広範な BEC (Business Email Compromise) キャンペーンにより、世界の数十の組織が標的にされていることが判明した。Sygnia の研究者たちは、「フィッシングに成功した脅威アクターは、ユーザー組織の従業員アカウントにアクセスし、Office365 の認証をバイパスし、そのアカウントへの永続的なアクセスを得るために AiTM 攻撃を実行している」と The Hacker Newsと共有したレポートで述べている。
Continue reading “AiTM フィッシング攻撃が多発:Office 365 認証をバイパスして BEC へと至る”RDP honeypot targeted 3.5 million times in brute-force attacks
2023/06/13 BleepingComputer — リモート・デスクトップ接続は、ハッカーにとって極めて強力なマグネットであり、さまざまな IP アドレスからの、露出したコネクションに対するアクセスは、毎日平均 37,000 回に達するという実験結果が出た。この段階の攻撃は、自動化されているものだ。しかし、正しいアクセス認証情報を入手したハッカーたちは、重要なファイルや機密情報を手動で探し始める。
Continue reading “RDP ハニーポットで 350万回のブルートフォース攻撃を分析:脅威アクターたちの動きが見えてきた”WordPress Stripe payment plugin bug leaks customer order details
2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のEコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa/MasterCard/American Express/Apple Pay/Google Pay などによる決済が可能になる。
Continue reading “WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX”Microsoft June 2023 Patch Tuesday fixes 78 flaws, 38 RCE bugs
2023/06/13 BleepingComputer — 今日は Microsoft 2023年6月の Patch Tuesday であり、リモート・コード実行の脆弱性 38件を含む、全体で 78件の不具合に対するセキュリティ更新プログラムが提供された。 RCE のバグは 38個修正されたが、Microsoft が Critical だと指摘したものは、サービス拒否攻撃/リモート・コード実行/権限昇格などの、6件の不具合である。
Continue reading “Microsoft 2023-6月 月例アップデートで 78件の脆弱性と 38件の RCE バグに対応”Chinese Cyberspies Caught Exploiting VMware ESXi Zero-Day
2023/06/13 SecurityWeek — UNC3886 として追跡されている中国のサイバー・スパイ・グループが、VMware ESXi のゼロデイ脆弱性を悪用して、ゲスト仮想マシンの特権を昇格させることが確認されていると、Mandiant が警告している。 2022年9月に詳細が判明した UNC3886 は、悪意の vSphere Installation Bundles (VIB) を用いて、ESXi ハイパーバイザーにバックドアをインストールし、コマンド実行/ファイル操作/リバースシェルなどの機能を獲得してきた。このグループの悪意のアクティビティは、VMware ESXi Host/vCenter Server/Windows Virtual Machine に影響を与えることになる。
Continue reading “中国のサイバー・スパイ UNC3886:VMware ESXi のゼロデイを悪用して特権を得ている”Massive phishing campaign uses 6,000 sites to impersonate 100 brands
2023/06/13 BleepingComputer — 2022年6月より発生している、大規模な有名ブランドなりすましキャンペーンにより、百社以上の人気アパレル/フットウェア/衣料品などの偽 Web サイトが展開され、騙された被害者たちはアカウント認証情報や金融情報を騙し取られている。偽の Web サイトが展開されるブランドには、Nike/Puma/Asics/Vans/Adidas/Columbia/Superdry Converse/Casio/Timberland/Salomon/Crocs/Sketchers/The North Face/UGG/Guess/Caterpillar/New Balance/Fila/Doc Martens/Reebok/Tommy Hilfiger などが含まれる。
Continue reading “大規模フィッシング・キャンペーンを検出:100の有名ブランドを装う 6,000 の偽サイト”Fortinet: New FortiOS RCE bug “may have been exploited” in attacks
2023/06/12 BleepingComputer — 先週パッチが適用された FortiOS SSL VPN の深刻な脆弱性だが、政府機関/製造業/重要インフラ組織に影響を与える攻撃において、悪用された可能性があると、Fortinet が発表した。この脆弱性 CVE-2023-27997 (FG-IR-23-097) は、FortiOS および FortiProxy SSL-VPN におけるヒープバッファ・オーバーフローに起因し、悪意を持って細工されたリクエストを介して、認証されていない攻撃者にリモートコード実行 (RCE) を許すものだ。
Continue reading “Fortinet の脆弱性 CVE-2023-27997 が悪用されている:Volt Typhoon が攻撃?”Exploit released for MOVEit RCE bug used in data theft attacks
2023/06/12 BleepingComputer — MOVEit Transfer MFT (managed file transfer) ソリューションに存在する、リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイト・コードを、Horizon3 のセキュリティ研究者たちがリリースした。この脆弱性は、Clop ランサムウェア・ギャングが、データ窃取攻撃で悪用しているものだ。この CVE-2023-34362 は、SQL インジェクションの脆弱性である。パッチ未適用の MOVEit サーバ上で、その悪用に成功した未認証の攻撃者は、不正にアクセスした後に、リモートから任意のコードを実行できる。
Continue reading “MOVEit 深刻な RCE 脆弱性 CVE-2023-34362:提供された PoC を Clop が狙う?”Cyber extortion hits all-time high
2023/06/12 HelpNetSecurity — Orange Cyberdefense によると、近年におけるサイバー恐喝攻撃は蔓延の傾向を示しており、あらゆる規模や業種の組織にとって、大きな脅威になっているという。同社の調査で確認された。合計 6,707件の企業被害者のデータを分析したところ、国や業種により被害者数に変動があり、新たな地域にも攻撃が広がっていることが判明した。2022年にはサイバー恐喝被害者数は 8% の減少というデータが示されているが、この減少は短期間に限定されたものであり、最新データである 2023年 Q1 の状況は、これまでで最大のボリュームとなっている。
Continue reading “サイバー恐喝攻撃は蔓延の傾向:欧米から東南アジアへと移行する攻撃対象”Hackers are exploiting RCE Vulnerability (CVE-2023-35042) in GeoServer
2023/06/12 SecurityOnline — 地理空間データの閲覧/編集を可能にする、Javaで書かれたオープンソース・ソフトウェア GeoServer に、新たなセキュリティ脆弱性が発生した。このソフトウェアは、Open Geospatial Consortium (OGC) が定めたオープン・スタンダードに準拠しており、柔軟な地図の作成やデータ共有のための有力なプラットフォームとなっている。しかし、そのための強固なサーバーが、攻撃を受け続けている。
Continue reading “GeoServer の深刻な脆弱性 CVE-2023-35042 が FIX:RCE 攻撃が観測されている”Fortinet patches pre-auth RCE, update your Fortigate firewalls ASAP! (CVE-2023-27997)
2023/06/11 HelpNetSecurity — Fortinet の Fortigate ファイヤーウォールなどを駆動する、OS/Firmware である FortiOS の複数のバージョンがリリースされた。しかし同社は、その中に含まれるリモートコード実行 (RCE) の脆弱性 CVE-2023-27997 が、ログインしていない攻撃者に悪用される危険なものであることに言及していなかった。この脆弱性は、FortiOS のバージョン 7.2.5/7.0.12/6.4.13/6.2.15 で修正されているが、明らかに v6.0.17 (昨年に Fortinet は v6.0 ブランチのサポートを正式終了) においても修正されていた。
Continue reading “Fortinet Fortigate の RCE 脆弱性 CVE-2023-27997 は危険:ただちにパッチを!”New Critical MOVEit Transfer SQL Injection Vulnerabilities Discovered – Patch Now!
2023/06/10 TheHackerNews — MOVEit Transfer を開発する Progress Software は、このファイル転送ソリューションに存在し、機密情報の窃取に至る恐れのある、SQL インジェクションの脆弱性 CVE-2023-35036 に対応するパッチをリリースした。同社は 2023年6月9日にリリースしたアドバイザリで、「複数の SQL インジェクション脆弱性が、MOVEit Transfer Web アプリケーションに存在することが確認された。認証されていない攻撃者が、MOVEit Transfer データベースに不正にアクセスする可能性がある」と述べている。
Continue reading “MOVEit Transfer の SQLi 脆弱性 CVE-2023-35036 が FIX:ただちにパッチを!”Microsoft’s Azure portal down following new claims of DDoS attacks
2023/06/09 BleepingComputer — Microsoft Azure ポータルが停止しているが、その一方では、Anonymous Sudan と名乗る脅威アクターが、このサイトを DDoS 攻撃のターゲットにしたと主張している。このポータルの URL である https://portal.azure.com にアクセスすると、「現時点で、私たちたのサービスは利用できない。可能な限り早急に、すべてのサービスを復元するために取り組んでいる。時間をおいて再アクセスしてほしい」という内容のメッセージが表示される。なお、モバイル・アプリは、現時点では影響を受けていないようだ。
Continue reading “Microsoft Azure ポータルが DDoS 攻撃でダウン:Anonymous Sudan が攻撃を主張”Microsoft Uncovers Banking AitM Phishing and BEC Attacks Targeting Financial Giants
2023/06/09 TheHackerNews — Microsoft が明らかにしたのは、銀行/金融サービス機関が、新たな多段階 AitM (adversary-in-the-middle) フィッシングおよび BEC (business email compromise) 攻撃の標的になっていることだ。6月8日の報告書で同社は、「この攻撃は、信頼できるベンダーから発生し、複数の組織にまたがる一連の AiTM 攻撃と、それに続くBEC 活動へと移行している」と述べている。このクラスターについて、Microsoft は Storm-1167 という名称で追跡しているが、その攻撃において間接プロキシが使用されていたことを指摘している。
Continue reading “バンキング AitM Phishing/BEC 攻撃の増大:Microsoft が金融機関に発した警告とは?”Researchers published PoC exploit code for actively exploited Windows elevation of privilege issue
2023/06/08 SecurityAffairs — Microsoft Windows の脆弱性 CVE-2023-29336 (CVSS:7.8) は、Win32k コンポーネントに存在する特権昇格の問題である。Win32k.sys は、Windows オペレーティング・システムにおけるシステム・ドライバであり、ユーザーモード・アプリケーションと Windows グラフィカル・サブシステムとの間に、インターフェイスを提供する役割を担っている。
Continue reading “Windows の脆弱性 CVE-2023-29336 に PoC エクスプロイト:マルウェア配信で悪用される?”Easily Exploitable Microsoft Visual Studio Bug Opens Developers to Takeover
2023/06/08 DarkReading — セキュリティ研究者たちが警告しているのは、Microsoft Visual Studio のインストーラに存在するバグにより、悪意のエクステンションを作成するサイバー攻撃者が、正規のソフトウェア・パブリッシャーを装い、アプリケーション開発者に配布する方法が生じる点である。そのような悪意のエクステンションを介して開発環境に侵入し、制御を奪い、コードを汚染させ、価値の高い知的財産を盗むことが可能になるという。
Continue reading “Visual Studio の脆弱性 CVE-2023-28299:Microsoft が言うより悪用は簡単だ”“PowerDrop” PowerShell Malware Targets US Aerospace Industry
2023/06/07 InfoSecurity — PowerDrop と命名された、新たな PowerShell マルウェア・スクリプトが、米国の航空宇宙防衛産業を標的とした攻撃で使用されていることが判った。このマルウェアのサンプルは、防衛請負業者のネットワークにおいて、Adlumin のセキュリティ研究者たちにより5月に発見された。6月6日に Adlumin の研究チームは、「このマルウェアは、基本的な既製の脅威を用い、また、APT (Advanced Persistent Threat) グループの戦術も用いている。また PowerDrop は、偽装/暗号化/復号化エなどの、高度な検出回避機能を搭載している」と、PowerDrop に関するアドバイザリで発表している。
Continue reading “PowerDrop は新種の PowerShell マルウェア:米国の航空宇宙産業を攻撃している”British Airways, BBC and Boots were impacted the by Zellis data breach
2023/06/06 SecurityAffairs — 給与計算プロバイダー Zellis へのサイバー攻撃により、BBC と British Airways の従業員の個人データが漏洩したことが判明した。タブロイド紙の The Mirror は、「英国に拠点を置く Zellis は、ファイル転送ソフトである MOVEit へのサイバー・セキュリティ攻撃の影響を受けたと見られている。Zellis の他に影響を受けた企業の中には、British Airways も含まれている」と報じている。
Continue reading “British Airways/BBC などでデータ侵害が発生:MOVEit @ Zellis の脆弱性悪用が原因”Outlook.com hit by outages as hacktivists claim DDoS attacks
2023/06/06 BleepingComputer — 6月5日に Outlook.com は、何度もダウンした。そして翌日も、一連の障害に見舞われていたが、Anonymous Sudan と名乗るハクティビストが、同サービスに DDoS 攻撃を行ったと主張している。これらの障害により、世界中の Outlook ユーザーに広範な混乱がもたらされ、メールの送受信や、Mobile Outlook アプリの使用に支障をきたした。
Continue reading “Outlook.com を攻撃し続ける DDoS アクター:Anonymous Sudan が犯行を主張”Magento, WooCommerce, WordPress, and Shopify Exploited in Web Skimmer Attack
2023/06/05 TheHackerNews — 電子商取引サイトから PII (Personally Identifiable Information) やクレジットカードのデータを盗むことを目的とした、現在進行中の Magecart スタイルの Web スキマー・キャンペーンをサイバー・セキュリティ研究者たちが発見した。これまでの Magecart キャンペーンと異なる点は、乗っ取られたサイトが間に合せの Command and Control (C2) サーバとして機能することで、知らないうちに被害者のサイトが、悪質なコードの配布に悪用されている点である。Akamai は、北米/中南米/欧州などで、さまざまな規模の被害者を確認したと述べている。何千人ものサイト訪問者の、個人情報が不正に収集され売却されるという、危機的な状況に陥る可能性があると指摘している。
Continue reading “Magento/WooCommerce などが標的:商取引サイトを狙う Magecart キャンペーン”CISA orders govt agencies to patch MOVEit bug used for data theft
2023/06/04 BleepingComputer — CISA は、Progress MOVEit MFT (managed file transfer) ソリューションに存在し、積極的に悪用される脆弱性を、既知の悪用リストに追加し、米国連邦政府機関に対しては、6月23日までにシステムにパッチを当てるよう命じた。この深刻な脆弱性 CVE-2023-34362 は、SQL インジェクションの欠陥であり、認証されていないリモートの攻撃者に対して、MOVEit Transfer データベースへのアクセスと、任意のコード実行を許すものだとされる。
Continue reading “CISA KEV 警告 23/06/02:Progress MOVEit の脆弱性 CVE-2023-34362 を追加”Online sellers targeted by new information-stealing malware campaign
2023/06/03 BleepingComputer — Vidar という情報窃取マルウェアを展開し、オンライン販売業者たちを標的とする新たなキャンペーンを介して、認証情報を盗み出す脅威アクターが、これまで以上に有害な攻撃を仕掛けている。この、今週に発見された新しいキャンペーンは、電子メールや Web サイトの問い合わせフォームを悪用して、オンラインストアの管理者に苦情を送りつけるところから始まる。それらの電子メールは、オンライン・ストアの顧客のふりをして、注文が適切に処理されないままに、銀行口座から $550 が差し引かれたと主張する。
Continue reading “Vidar 情報スティーラーの手口を分析:オンライン販売業者たちを狙う悪質キャンペーンとは?”New Linux Ransomware BlackSuit is similar to Royal ransomware
2023/06/02 SecurityAffairs — 2022年に注目を集めたランサムウェア・ファミリー Royal は、2023年5月初旬にテキサス州ダラスの IT システムに対する攻撃を行っている。人手によるオペレーションを特徴とする Royal ランサムウェアは、2022年9月に初めて脅威環境に登場し、最大で数百万ドルの身代金を要求してきた。Royal ランサムウェアは C++ で書かれており、Windows システムに感染し、データ復旧を防ぐために全てのボリュームシャドウコピーを削除する。このランサムウェアは、ローカルネットワーク上のネットワーク共有とローカルドライブを、AES アルゴリズムで暗号化していくとされる。
Continue reading “Linux の新型ランサムウェア BlackSuit:Royal ランサムウェアとの類似性が判明”Malicious PyPI Packages Use Compiled Python Code to Bypass Detection
2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”Windows 11 to require SMB signing to prevent NTLM relay attacks
2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名:セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。
Continue reading “Windows 11 の SMB 署名を義務化:NTLM リレー攻撃に対する保護を優先する”Chinese Phishing Gang “PostalFurious” Expands Campaign
2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール/フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。
Continue reading “PostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている”Malicious Chrome extensions with 75M installs removed from Web Store
2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。
Continue reading “Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが”New Horabot campaign takes over victim’s Gmail, Outlook accounts
2023/06/01 BleepingComputer — Hotabot ボットネット・マルウェアを取り込んだ、未知のキャンペーンが、遅くとも 2020年11月以降において、ラテン・アメリカのスペイン語圏のユーザーを標的とし、バンキングトロイの木馬とスパム・ツールの感染を広めていた。このマルウェアにより、被害者の Outlook/Gmail/Hotmail/Yahoo のメール・アカウントを制御した攻撃者は、受信箱に届くメールデータや 2FA コードを盗み出し、侵害したアカウントからフィッシング・メールを送信していたようだ。この新しい Horabot とういうマルウェアは、Cisco Talos のアナリストたちにより発見され、その背後にいる脅威アクターは、ブラジルに拠点を置いている可能性が高いと報告されている。
Continue reading “Horabot マルウェア:Outlook/Gmail などを狙う多段階のフィッシング・チェーン”Phishing campaigns thrive as evasive tactics outsmart conventional detection
2023/06/01 HelpNetSecurity — フィッシング攻撃におけるキットの利用が、2022年には 25%増加したことが、Group-IB の研究により判明した。フィッシング・キットの主な傾向としては、アクセス制御と高度な検知回避技術の利用の増加が確認された。また、アンチボット技術やランダム化による回避戦術の増加は、従来の検知システムにとって大きな脅威であり、フィッシング・キャンペーンの寿命を延ばすものとなっている。
Continue reading “フィッシング攻撃の最新分析:キットの利用が増加している理由を考えよう – Group-IB”Critical zero-day vulnerability in MOVEit Transfer exploited by attackers!
2023/06/01 HelpNetSecurity — Progress Software の企業向け MFT (Managed File Transfer) ソリューションである、MOVEit Transfer に存在する深刻なゼロデイ脆弱性が、脅威アクターたちによる企業データ窃取に悪用されている。同社は 5月31日のアドバイザリで、「この脆弱性が悪用されると、権限昇格や環境への不正アクセスにつながる可能性がある。パッチを作成するまで、MOVEit Transfer 環境を保護してほしい」と顧客に呼びかけている。
Continue reading “MOVEit Transfer に深刻なゼロデイ脆弱性:すでに活発に悪用されている”Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks
2023/06/01 TheHackerNews — QBot (Qakbot) マルウェアの、高度な回避性と粘着性に関する分析により、その C2 サーバの 25% が、1日しか活動していないことが判明した。Lumen Black Lotus Labs は、「QBot の 50% のサーバーがアクティブなのが、1週間以内であることからして、適応性が高くて動的な C2 インフラが使用されていることが分かる」と、The Hacker News と共有したレポートで指摘している。さらに、セキュリティ研究者である Chris Formosa と Steve Rudd は、「このボットネットは、ホストされた VPS のネットワークに潜むのではなく、住宅用 IP スペースと感染した Web サーバに、そのインフラを隠すための技術を適応させている」と述べている。
Continue reading “QBot マルウェアの延命術:住居用 IP を短期間で切り替える C2 サーバ補充戦略とは?”Russia Blames US Intelligence for iOS Zero-Click Attacks
2023/06/01 SecurityWeek — 2023年6月1日に、ロシアに本拠を置く Kaspersky は、企業ネットワーク内の iOS デバイスに対して、ゼロクリックの iMessage エクスプロイトを仕掛ける APT アクターを発見したと発表した。 同じ日に、ロシアの連邦保安庁 (FSB:Federal Security Service) も、国内の契約者や外国公館が所有する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが進行していることについて、米国の情報機関を非難した。ソ連の KGB を引き継いだ、ロシアのセキュリティ機関 FSB は、NATO 諸国/中国/イスラエル/シリアに赴任する外交官の iPhone が、”米国の諜報機関による偵察オペレーション” により感染したと主張している。
Continue reading “iOS の iMessage を侵害するゼロクリック攻撃:ロシアが米情報機関を非難している”Spyware Found in Google Play Apps With Over 420 Million Downloads
2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集/攻撃者へのファイル送信/クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。
Continue reading “SpinOk というスパイウェア:Google Play アプリに組み込まれ 420M ダウンロード!”RomCom RAT Using Deceptive Web of Rogue Software Sites for Covert Attacks
2023/05/31 TheHackerNews — RomCom RAT の背後にいる脅威アクターたちは、遅くとも 2022年7月以降において、人気ソフトウェアの不正バージョンを宣伝する偽サイトのネットワークを活用して、ターゲットに侵入しているようだ。Trend Micro は、Void Rabisu という名前の悪意のアクティビティを追跡しているが、Unit 42 は Tropical Scorpius と呼び、Mandiant は UNC2596 と呼んでいる。
Continue reading “RomCom RAT と Void Rabisu の関連性:サイバー犯罪と APT 攻撃の境界線は曖昧?”Dark Pink APT Group Expands Tooling and Targets
2023/05/31 InfoSecurity — 著名な APT グループ Dark Pink によるキャンペーンの範囲は、当初に考えられていたよりも広く、その新たな被害者は、ベルギーにおける1件を含む、全体で5件に達していることを、研究者たちは確認している。中国との関連が指摘されている Dark Pink は、主に東南アジア諸国をターゲットに活動していると、これまでは考えられてきた。しかし、Group-IB が確認したところによると、被害者はタイやブルネイだけではなく、ベルギーにも広がっているとのことだ。
Continue reading “Dark Pink がツールを拡充しターゲットを拡大:ベルギーへの攻撃も成功させている”Exploit released for RCE flaw in popular ReportLab PDF library
2023/05/31 BleepingComputer — HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在する。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開された。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなる。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされている。
Continue reading “Python ReportLab PDF Lib の深刻な脆弱性:悪意の HTML を読ませるだけでコード実行”Dark Web Data Leak Exposes RaidForums Members
2023/05/30 InfoSecurity — あるハッキング・サイトの主要データベースが公開された後に、もうひとつのサイバー犯罪フォーラムの、約 50 万人のメンバーの詳細が公開された。RaidForums のユーザーデータ 47万8000 人分が、売出し中のフォーラム Exposed で流出させられたというニュースを、VX-Underground のサイバー・セキュリティ研究者たちが確認している。彼らは、「RaidForums のデータベース流出の原因について、Exposed の管理スタッフは何も教えてくれない」とツイートしている。
Continue reading “RaidForums フォーラムから 50万人分のハッカー情報がリーク:同業者 Exposes の仕業?”Human Error Fuels Industrial APT Attacks, Kaspersky Reports
2023/05/30 InfoSecurity — サイバーセキュリティ企業である Kaspersky が、産業部門における APT 攻撃の主要因を特定した。今日の最新レポートで取り上げられている、その第一の要因は OT (Operational Technology) ネットワークにおける隔離の不在である。Kaspersky の専門家たちは、エンジニアリング・ワークステーションが、IT と OTのネットワークに接続されている事例を確認している。このようなネットワーク構成に依存した隔離では、熟練した攻撃者により操作される可能性が生じる。その結果として、隔離されているように見えるネットワークへのマルウェア感染や、その後のマルウェア・トラフィックの管理などが可能になってしまう。
Continue reading “OT ネットワークと人的なエラー:APT 攻撃を助長する要因について考える”Ransomware Gangs Adopting Business-like Practices to Boost Profits
2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。 フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。
Continue reading “ランサムウェアとアクセス・ブローカー:地下でつながり利益を上げるグループたち – WithSecure”CAPTCHA-Breaking Services with Human Solvers Helping Cybercriminals Defeat Security
2023/05/30 TheHackerNews — ボットと正規ユーザーのトラフィックを識別する CAPTCHA システムを、バイパスするための解除サービスが販売されていると、サイバーセキュリティ研究者たちが警告している。Trend Micro は先週のレポートで、「サイバー犯罪者は、CAPTCHA を解除することに熱心であり、この需要に対応した、いくつかのサービスが展開されている。これらの CAPTCHA 解除サービスは、光学式文字認識や機械学習手法などを使用するのではなく、CAPTCHA の解除を実際の人間に委託して解除している」と述べている。
Continue reading “CAPTCHA 解除サービスの蔓延:API を介して手作業を実施する犯罪組織の存在”New GobRAT Remote Access Trojan Targeting Linux Routers in Japan
2023/05/29 TheHackerNews — 日本国内において、Linux ルーターが、新たな Golang RAT である GobRAT の標的になっている。今日の JPCERT Coordination Center (JPCERT/CC) の報告によると、「この攻撃者は、最初に WebUI が公開されているルーターを狙い、脆弱性を悪用するスクリプトを実行し、最終的に GobRAT に感染させている」と述べている。
Continue reading “GobRAT という Golang ベースの RAT:日本国内の Linux ルーターを侵害 – JPCERT/CC”Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains
2023/05/28 BleepingComputer — File Archivers in the Browser という新たなフィッシング・キットは、ZIP ドメインを悪用し、ブラウザに偽の WinRAR/Windows File Explorer などのウィンドウを表示し、悪意のファイルをユーザーに起動させるように仕向ける。2023年5月初旬に Google は、Web サイトや電子メール・アドレスのホスティングに用いるための、ZIP TLD ドメイン (例:bleepingcomputer.zip) の登録機能を提供し始めた。この種の TLD のリリース以来、セキュリティ・リスクや混乱をもたらす可能性について議論が沸騰していた。
Continue reading “ZIP ドメインは大丈夫? File Archiver In The Browser というフィッシング・トリックで攻略可能”US Navy hit by Chinese hacking campaign, report says
2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府/通信/製造/IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。
Continue reading “米海軍 グアムの IT インフラにハッカーが侵入:China 対 Five Eyes の情報戦が始まる?”
IoT OT Security News 
You must be logged in to post a comment.