Initial Access Broker の活動量が1年で倍増:Group-IB の IAB 調査

Initial Access Broker Activity Doubles in a Year

2023/01/17 InfoSecurity — セキュリティ研究者たちが明らかにしたのは、IAB (Initial Access Broker) がダークウェブ上で企業アクセスを販売したケースが、2022年と2021年の比較において2倍に増加し、また、ブローカーの数も急増したことである。Group-IB が発見した IAB の販売活動は、2021年7月〜2022年6月の間に 2348件を数え、その被害に遭った被害組織の所在国数も、41%増の 96ヶ国になったという。最も標的になったのは米国企業であり、分野別では製造業 (5.8%) /金融サービス (5.1%) /不動産 (4.6%) /教育 (4.2%) が上位を占めている。

Continue reading “Initial Access Broker の活動量が1年で倍増:Group-IB の IAB 調査”

NortonLifeLock の Password Manager アカウントに侵害が発生:PW の使い回しが原因?

NortonLifeLock warns that hackers breached Password Manager accounts

2023/01/13 BleepingComputer — Gen Digital (旧 Symantec Corporation、NortonLifeLock) が顧客に送付したデータ侵害通知は、ハッカーによるクレデンシャル・スタッフィング攻撃で、Norton Password Manager アカウントの侵害に成功したことを知らせるものだ。バーモント州司法長官事務所に提出された書簡のサンプルによると、この攻撃の原因は、同社への侵入ではなく、他のプラットフォームでのアカウント侵害によるものとのことだ。

Continue reading “NortonLifeLock の Password Manager アカウントに侵害が発生:PW の使い回しが原因?”

Aflac/Zurich でハッキングが発生:日本人顧客約 200万人の情報が漏洩

Millions of Insurance Customers Compromised Via Supplier

2023/01/13 InfoSecurity — 保険会社である Aflac/Zurich は、第三者である請負業者がハッキングについて報告した後に、数百万人の日本人顧客の情報が侵害され、売りに出されていたことを明らかにした。両社の発表では、ハッキングされた業者の名前は明らかにされていないが、東京の通信社である時事通信の現地レポートでは、米国内の下請け業者に原因があるとされている。このインシデントの被害を受けたのは、Aflac のがん保険加入者 130万人と、Zurich の自動車保険契約者 76万人を含む、合計で約 200万人の顧客だという。

Continue reading “Aflac/Zurich でハッキングが発生:日本人顧客約 200万人の情報が漏洩”

Telegram Bot とフィッシング:2022年の悪用は前年比で 800% 増

Telegram Bot Abuse For Phishing Increased By 800% in 2022

2023/01/12 InfoSecurity — Telegram Bot からのフィッシング情報の流出先として悪用が、2021年〜2022年の間に 800% も増加した。この新データは、2023年1月12日に Cofense のセキュリティ研究者たちが、それらに関する最新データをレポートとして発表した。この伸びを調査した結果は、資格情報をフィッシングする際の配信方法として、HTMLの添付ファイルを使用する戦術が、ますます一般的になっていることに関連している。

Continue reading “Telegram Bot とフィッシング:2022年の悪用は前年比で 800% 増”

Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張

Twitter claims leaked data of 200M users not stolen from its systems

2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。

Continue reading “Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張”

SpyNote のオープン化:金融機関を標的とする Android スパイウェアが進化

SpyNote Strikes Again: Android Spyware Targeting Financial Institutions

2023/01/05 TheHackerNews — 2022年10月以降において、SpyNoteと呼ばれる Android マルウェアの新バージョンが、金融機関を標的にしている。ThreatFabric は The Hacker News と共有したレポートの中で、「このスパイウェアが増加した背景には、開発者がソースコードを公開したことにある。つまり、他の脅威アクターによるスパイウェアの開発/ 配布が容易になり、銀行機関をターゲットにするケースが増えている」と述べている。このマルウェアが装う有名な金融機関には、Deutsche Bank/HSBC U.K./Kotak Mahindra Bank/Nubank などがある。

Continue reading “SpyNote のオープン化:金融機関を標的とする Android スパイウェアが進化”

Twitter ユーザー2億人分のリークが発生:メール・アドレスなどが $2 で販売される

200 million Twitter users’ email addresses allegedly leaked online

2023/01/04 BleepingComputer — Twitter ユーザー2億人分の、メール・アドレスを含むとされるデータリークが発生し、人気のハッカー・フォーラムで約 $2 の対価で公開されている。BleepingComputer は、このリークに記載されている、数多くのメール・アドレスの妥当性を確認した。2022年7月22日以降において、脅威アクターや侵害データ収集者たちは、さまざまなオンライン・ハッカー・フォーラムやサイバー犯罪マーケットプレイスで、電話番号およびメール・アドレスで構成されるプライベート・データと、パブリック・データを含む Twitter ユーザー・プロフィールをスクレイピングし、大規模なデータセットとして販売/流通してきた。

Continue reading “Twitter ユーザー2億人分のリークが発生:メール・アドレスなどが $2 で販売される”

BitRAT マルウェアは $20 で使い放題:銀行の顧客情報を悪用するフィッシング・キャンペーン

BitRAT malware campaign uses stolen bank data for phishing

20223/01/03 BleepingComputer — クラウド・セキュリティ企業の Qualys によると、最近のマルウェア・キャンペーンにおける脅威アクターたちは、リモート・アクセス型トロイの木馬 BitRAT に感染させるために、コロンビアの銀行から窃取した顧客情報を、フィッシング・メールのルアーに用いているという。さらに同社は、アクティブなフィッシング攻撃における BitRAT ルアーを調査していたところ、コロンビアの非公開の銀行インフラが、攻撃者により乗っ取られていたことを発見した。

Continue reading “BitRAT マルウェアは $20 で使い放題:銀行の顧客情報を悪用するフィッシング・キャンペーン”

医療機関へのランサムウェア攻撃:米国の 4200万人分の情報がダークウェブへ

Personal health information of 42M Americans leaked between 2016 and 2021

2022/12/31 SecurityAffairs — 2016年以降において、4200万人のアメリカ人の医療記録がダークウェブで販売されている。これらの情報は、医療機関へのサイバー攻撃により窃取されたものである。Jama Network の研究者たちは、米国の病院/診療所/医療提供組織に対する、2016年〜2021年のランサムウェア攻撃の傾向を分析した。攻撃による一般的な業務上の混乱としては、予約と手術のキャンセル/電子システムのダウンタイム/救急車の迂回などがあった。研究者たちは、業務上の混乱期間と、攻撃に関連する、その他のデータを算出した。

Continue reading “医療機関へのランサムウェア攻撃:米国の 4200万人分の情報がダークウェブへ”

Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント

Why Attackers Target GitHub, and How You Can Secure It

2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox/Gentoo Linux/Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。

Continue reading “Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント”

GuLoader という VBScript ダウンローダ:セキュリティを回避してシェルコードを注入

GuLoader Malware Utilizing New Techniques to Evade Security Software

2022/12/26 TheHackerNews — サイバー・セキュリティ研究者たちは、GuLoader と呼ばれる高度なマルウェア・ダウンローダと、そこで採用されるセキュリティ・ソフトウェア回避のための、各種のテクニックを公開した。CrowdStrike の研究者である Sarang Sonawane と Donato Onofri は、先週に公開された技術レポートで、「新しいシェルコード分析防止技術は、プロセス・メモリ全体をスキャンして、仮想マシン (VM) 関連の文字列を探すことで、研究者や敵対者の環境を妨害しようと試みる」と述べている。

Continue reading “GuLoader という VBScript ダウンローダ:セキュリティを回避してシェルコードを注入”

Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始

Massive Twitter data leak investigated by EU privacy watchdog

2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号/電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。

Continue reading “Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始”

Social Blade という SNS データ分析ツール:盗まれた PII がダークウェブで売られている

Social Blade Confirms Data Breach Exposing PII on the Dark Web

2022/12/16 InfoSecurity — ソーシャルメディア・データ分析ツールである Social Blade は、同社のシステムが 12月14日に侵害され、流出した PII (Personally Identifiable Information) がダークウェブに売りに出されていることを発表した。このインシデント関して、同社は公に警告を出さなかったが、電子メールで直接にユーザーに対して警告を発している。最近のことだが、ユーザーの1人が、アグリゲーター・プラットフォーム Ycombinator に、そのメールの内容を投稿した。

Continue reading “Social Blade という SNS データ分析ツール:盗まれた PII がダークウェブで売られている”

InTheBox というダークウェブ:金融サービスを標的とする Web インジェクションを提供

Darknet’s Largest Mobile Malware Marketplace Threatens Users Worldwide

2022/12/06 TheHackerNews — InTheBox と呼ばれるダークネット・マーケットプレイスの存在を、サイバーセキュリティ研究者たちが明らかにした。このマーケットプレイスは、2020年1月ころから利用されていたと見られている。ここでは、地域ごとに分類された 400 以上のカスタム Web インジェクションが提供されており、独自の攻撃を試みる攻撃者たちが購入できるようになっている。Resecurity は、「自動化を施したサービスにより、ユーザーである攻撃者たちは、モバイル・マルウェアに実装する最新の Web インジェクションを取得できる。この InTheBox は、モバイル・マルウェア用の高品質 Web インジェクションを提供する市場として、最大かつ唯一のものと言えるかもしれない」と述べている。

Continue reading “InTheBox というダークウェブ:金融サービスを標的とする Web インジェクションを提供”

BlackProxies というプロキシ・サービス:18 万件もの IP アドレスが利用可能

BlackProxies proxy service increasingly popular among hackers

2022/12/02 BleepingComputer — 新しい家庭用プロキシ市場が、ハッカー/サイバー犯罪者/フィッシャー/ダフ屋/詐欺師たちの間で人気を集めており、世界中で 100万のプロキシ IP アドレスへのアクセス権が販売されている。これらのサービスを監視してきた DomainTools のアナリストたちが発見した、新しいプラットフォーム BlackProxies は、この分野で急成長しているサービスの1つであると報告されている。

Continue reading “BlackProxies というプロキシ・サービス:18 万件もの IP アドレスが利用可能”

Fortinet の 深刻な脆弱性 CVE-2022-40684:アクセスを販売する IAB が登場?

Threat actors are offering access to corporate networks via unauthorized Fortinet VPN access

2022/11/29 SecurityAffairs — Cyble の研究者たちが認識しているのは、最近のパッチが適用された Fortinet 製品に存在する、深刻な脆弱性 CVE-2022-40684 を悪用する Initial Access Broker (IAB) が、 企業ネットワークへのアクセスを販売している可能性が高いという状況である。10月の初旬に Fortinet は、FortiGate Firewall/FortiProxy Web Proxy に影響を及ぼす、認証バイパスの脆弱性 CVE-2022-40684 に対処している。この脆弱性の悪用に成功した攻撃者は、脆弱なデバイスにログインすることが可能であると、Fortinet は説明している。

Continue reading “Fortinet の 深刻な脆弱性 CVE-2022-40684:アクセスを販売する IAB が登場?”

Aurora とロシア犯罪グループ:Amazon などから 5,000万件以上のパスワードを窃取

34 Russian Cybercrime Groups Stole Over 50 Million Passwords with Stealer Malware

2022/11/23 TheHackerNews — 2022年1月〜7月の間で 34グループものロシア系ギャングが、SaaS (Stealer-as-a-Service) モデルの下で情報窃取型マルウェアを配布し、5,000 万以上のパスワードを盗み出していたことが判明した。シンガポールに拠点を置く Group-IB は、The Hacker Newsと 共有したレポートの中で、「盗まれたログと漏洩したカード情報の闇市場価値の総額は、約 $5.8 million と推定される」と述べている。

Continue reading “Aurora とロシア犯罪グループ:Amazon などから 5,000万件以上のパスワードを窃取”

Aurora インフォ・スティーラー:サイバー犯罪者の間で採用が増加している

Aurora infostealer malware increasingly adopted by cybergangs

2022/11/21 BleepingComputer — サイバー犯罪者たちが、Go ベースの新たなインフォ・スティーラー Aurora を用いて、ブラウザや暗号通貨アプリからの機密情報の窃取/ディスクからのデータ流出/追加ペイロードのロードなどを行う傾向が強まっている。サイバー・セキュリティ企業の SEKOIA によると、少なくとも7つの著名なサイバー・ギャングたちのアクティビティが目立っており、Aurora だけを単独で使用するケースと、他の情報窃盗マルウェア・ファミリー RedLine/Raccoon と併用するケースが観察されている。

Continue reading “Aurora インフォ・スティーラー:サイバー犯罪者の間で採用が増加している”

ドイツ銀行へのアクセスを IAB が販売:多数の引き合いがあると主張

An initial access broker claims to have hacked Deutsche Bank

2022/11/11 SecurityAffairs — 脅威アクター (0x_dump) は、多国籍投資銀行であるドイツ銀行をハッキングしたと主張し、そのネットワークへのアクセス権をオンラインで販売している。この IAB (Initial Access Broker) は、銀行ネットワークの約21000台のマシンにアクセス可能だと主張しており、その大半は Windows システムだとされる。また、侵害されたマシンは、Symantec EDR ソリューションで保護されていたと主張している。

Continue reading “ドイツ銀行へのアクセスを IAB が販売:多数の引き合いがあると主張”

KELA のダークウェブ調査:2022 Q3 の IAB 市場規模は $4M で対象は 576社

Hackers selling access to 576 corporate networks for $4 million

2022/10/31 BleepingComputer — 世界の 576社の企業ネットワークへのアクセス権を販売する、ハッカーたちのビジネスの累計額が $4,000,000 に達しており、企業への攻撃に拍車が掛かることが、新たなレポートで明らかになった。この調査は、イスラエルのサイバー・インテリジェンス企業である KELA が、Q3 2022 Ransomware Report としてを発表したものであり、イニシャル・アクセス販売の分野の活動は一定であるが、提供額の高騰が判明しているとのことだ。

Continue reading “KELA のダークウェブ調査:2022 Q3 の IAB 市場規模は $4M で対象は 576社”

Instagram ユーザーを狙う新手のフィッシング:著作権違反を示唆する通知に要注意

Cyberattackers Target Instagram Users With Threats of Copyright Infringement

2022/10/28 DarkReading — 新たなフィッシング・キャンペーンで Instagram ユーザーを標的とする脅威アクターたちは、URL リダイレクトを介したアカウントの乗っ取り、および、将来の攻撃での悪用、ダークウェブでの販売などを目的とした、機密情報の窃取を狙っている。Trustwave SpiderLabs の研究者たちが、10月27日に Dark Reading と共有した分析結果によると、このキャンペーンで用いられるルアーは、標的ユーザーたちに著作権侵害の疑いがあると思い込ませるものだという。それは、Instagram のインフルエンサー/企業/普通のユーザーたちにとって、大きな懸念であるようだ。

Continue reading “Instagram ユーザーを狙う新手のフィッシング:著作権違反を示唆する通知に要注意”

BestBuy という名のダークウェブ運営者が逮捕:米政府の機密データなどを販売

Notorious ‘BestBuy’ hacker arraigned for running dark web market

2022/10/26 BleepingComputer — 今は亡きダークウェブ・マーケットプレイス The Real Deal を運営していた疑いで、この水曜日に、英国のハッカーが米国司法省に喚問された。Daniel Kaye 被告 34歳 (別名:Bestbuy/Spdrman/Popopret/UserL0ser) は、The Real Deal が立ち上げられた 2015年初頭から、閉鎖された 2016年11月までの間に、違法なサービス市場を運営したとされる。

Continue reading “BestBuy という名のダークウェブ運営者が逮捕:米政府の機密データなどを販売”

RockYou2021 にエントリーされる 84億のパスワード:攻撃で悪用される 50万のパスワードとの関係は?

List of Common Passwords Accounts for Nearly All Cyberattacks

2022/10/21 DarkReading — 一般的な2種類のサーバを標的とする、数千万件の認証情報ベースの攻撃は、流出した認証情報のリストを形成する RockYou2021 の、ごく一部のパスワードに集約される。Rapid7 は 12ヶ月間にわたり、ハニーポットのネットワークを通じて、これらのサーバを侵害しようとした全ての試みを記録した。その結果として、クレデンシャル攻撃の試みは、512,000 通りの組み合わせになることを発見した。

Continue reading “RockYou2021 にエントリーされる 84億のパスワード:攻撃で悪用される 50万のパスワードとの関係は?”

Microsoft が引き起こしたミスコンフィグレーション:顧客/パートナーの機密情報 65,000 件が漏えい

Microsoft data breach exposes customers’ contact info, emails

2022/10/19 BleepingComputer — 今日になって Microsoft は、同社におけるサーバのミスコンフィグレーションにより、インターネット経由でアクセス可能な顧客の、機密情報の一部が流出したと発表した。Microsoft は 2022年9月24日に、脅威情報会社 SOCRadar のセキュリティ研究者から通知を受け、このサーバを保護した。Microsoft は、「このミスコンフィグレーションにより、Microsoft と見込み顧客とのやり取りに関する、サービス導入の計画/可能性/プロビジョニングなどの、一部のビジネス・トランザクション・データに対して、認証なしでアクセスできる可能性があった。このような事態が発生したことを受けて、顧客のアカウントやシステムが侵害された形跡がないことを確認した。そして、影響を受けた顧客にはダイレクトに通知する」と明らかにした。

Continue reading “Microsoft が引き起こしたミスコンフィグレーション:顧客/パートナーの機密情報 65,000 件が漏えい”

BlackLotus は新種の Windows UEFI ブートキット:ハッキングフォーラムで販売されている

Malware dev claims to sell new BlackLotus Windows UEFI bootkit

2022/10/17 BleepingComputer — ある脅威アクターが、新しい UEFI ブートキット BlackLotus をハッキングフォーラムで販売している。このツールは、国家を後ろ盾とする脅威グループに関連する機能を有している。UEFI ブートキットとは、システムのファームウェアに仕込まれるものであり、マルウェアが起動シーケンスの初期段階でロードされるため、OS 内で動作するセキュリティ・ソフトウェアからは検出されない。

Continue reading “BlackLotus は新種の Windows UEFI ブートキット:ハッキングフォーラムで販売されている”

BlackCat ランサムウェア:米国の防衛関連企業 NJVC を攻撃

BlackCat ransomware gang claims to have hacked US defense contractor NJVC

2022/10/02 SecurityAffairs — ALPHV/BlackCat ランサムウェア・ギャングが、米国の連邦政府/国防総省をサポートする IT 企業 NJVC に侵入したと主張している。同社は、情報機関/防衛機関/地理空間情報機関などを支援しており、世界中の拠点に 1,200人以上の従業員を擁している。BlackCat は、Tor リークサイトの被害者リストに NJVC を追加し、同社が身代金を支払わない場合には、盗み出したデータを公開すると脅迫している。 

Continue reading “BlackCat ランサムウェア:米国の防衛関連企業 NJVC を攻撃”

Apple News の Fast Company アカウントへの侵害:6737 人分の従業員情報がリーク

Hacker Breaches Fast Company Apple News Account, Sends Racist Messages

2022/09/28 InfoSecurity — 火曜日の夜に Fast CompanyのApple News アカウントを侵害したハッカーが、ユーザーのホーム画面にわいせつなプッシュ通知を行った。米ビジネス誌である Fast Company は、同社のコンテンツ管理システム (CMS) に侵入した驚異アクターが、そのアクセス権を悪用して Apple News の購読者に対して、わいせつで人種差別的な、2件のプッシュ通知を行ったと、ソーシャルメディア上で認めた

Continue reading “Apple News の Fast Company アカウントへの侵害:6737 人分の従業員情報がリーク”

アメリカン航空でデータ侵害:フィッシングにより顧客/従業員の個人情報が漏洩

American Airlines discloses data breach after employee email compromise

2022/09/19 BleepingComputer — アメリカン航空は、従業員の電子メール・アカウントが侵害され、個人情報への不正アクセスが生じたことを顧客に通知したが、その侵害の規模は非公表となっている。9月16日 (金) に送付された通知書では、漏洩したデータが悪用された証拠はないと説明されている。アメリカン航空は、7月5日に情報漏洩を発見し、直ちに影響を受けた電子メール・アカウントを保護し、サイバーセキュリティ・フォレンジック会社にインシデントの調査を依頼したとのことだ。

Continue reading “アメリカン航空でデータ侵害:フィッシングにより顧客/従業員の個人情報が漏洩”

Uber が主張する機密情報へのアクセスの証拠は無い:しかし無事だという証拠も無い

Uber Claims No Sensitive Data Exposed in Latest Breach… But There’s More to This

2022/09/17 TheHackerNews — Uber が更新した情報だが、木曜日の遅くに発覚した社内コンピューター・システムの侵害により、ユーザーの個人情報が漏えいしたという証拠は無いと述べている。同社は、「我々は、このインシデントが、機密性の高いユーザーデータへのアクセスに関連しているという証拠はないと捉えている。Uber/Uber Eats/Uber Freight/Uber Driver アプリを含む、当社の全サービスは稼働している」と説明している。

Continue reading “Uber が主張する機密情報へのアクセスの証拠は無い:しかし無事だという証拠も無い”

Starbucks シンガポールでハッキング:219,000 人分の顧客データが漏洩

Hacker sells stolen Starbucks data of 219,000 Singapore customers

2022/09/16 BleepingComputer — アメリカの人気コーヒーハウス・チェーン Starbucks のシンガポール支社は、219,000 人以上の顧客に影響を与えるデータ侵害に遭ったことを発表した。この情報漏えいは、9月10日に脅威者が人気のハッキング・フォーラムで、Starbucks の顧客 219,675 人分の機密情報を含むデータベースの販売を申し出たことで発覚した。

Continue reading “Starbucks シンガポールでハッキング:219,000 人分の顧客データが漏洩”

YouTube ユーザーが標的:RedLine という自己増殖型のスティーラーは危険だ!

YouTube Users Targeted By RedLine Self-Spreading Stealer

2022/09/15 InfoSecurity — RedLine スティーラーを用いる脅威アクーたちが、YouTube ユーザーをターゲットにしたキャンペーンを実施している。今日の未明に Kaspersky のサイバー・セキュリティ研究者たちが、このキャンペーンに関するアドバイザリを発表した。その一方で Oleg Kupreev は、「2020年3月に発見された RedLine は、ブラウザ/FTP クライアント/デスクトップ・メッセンジャーなどから、パスワードや認証情報を盗むために使われる最も一般的なトロイの木馬の1つだ。

Continue reading “YouTube ユーザーが標的:RedLine という自己増殖型のスティーラーは危険だ!”

NATO の機密文書がダークウェブで販売される:流出元はポルトガル政府

Classified NATO documents sold on darkweb after they were stolen from Portugal

2022/09/08 SecurityAffairs — ポルトガル軍参謀本部機関 (EMGFA : Estado-Maior-General das Forças Armadas) が所有する NATO 機密文書が、ダークウェブ上で売りに出されていたことで、同機関に対するサイバー攻撃が判明した。EMGFA は、ポルトガルの最高軍事機関であり、ポルトガル軍の計画/指揮/統制を担当する組織である。

Continue reading “NATO の機密文書がダークウェブで販売される:流出元はポルトガル政府”

WT1SHOP というオンライン犯罪市場:国際法執行機関によりシャットダウン

Authorities Shut Down WT1SHOP Site for Selling Stolen Credentials and Credit Cards

2022/09/07 TheHackerNews — 盗み出されたログイン認証情報や、その他の個人情報の販売に特化した、オンライン犯罪市場の WT1SHOP が、国際法執行機関により閉鎖された。今回の押収はポルトガル当局により計画され、この Web サイトが使用していた4つのドメイン wt1shop.net/wt1store.cc/wt1store.com/wt1store.net を、米国当局が掌握したとのことだ。

Continue reading “WT1SHOP というオンライン犯罪市場:国際法執行機関によりシャットダウン”

NATO 調査:ダークウェブで販売される MBDA ミサイルの機密情報とは?

NATO Investigates Dark Web Leak of Data Stolen From Missile Vendor

2022/08/29 DarkReading — NATO が調査している事案として、ヨーロッパのミサイル・システム会社から盗まれたとされるデータ漏洩の事件がある。NATO のレポートによると、この事件の背後にいるハッカーは、窃取したデータをダークウェブで売り出しているという。漏洩したデータには、現在のロシアとの戦争でウクライナが使用している兵器の設計図が含まれている。

Continue reading “NATO 調査:ダークウェブで販売される MBDA ミサイルの機密情報とは?”

COVID-19 の情報を含む PII が漏洩:ダークウェブがタイ政府のデータを販売

COVID-19 data put for sale on the Dark Web

2022/08/29 HelpNetSecurity — カリフォルニアに本拠を置き、Fortune 500 を保護するサイバーセキュリティ企業 Resecurity は、タイの医療科学省から盗まれた 個人情報 (PII:Personally Identifiable Information) の漏洩を確認した。この PII には、COVID-19 の症状がある市民の情報を含まれるという。このインシデントは発見されたのち、タイの CERTと共有された。

Continue reading “COVID-19 の情報を含む PII が漏洩:ダークウェブがタイ政府のデータを販売”

Microsoft Office/Adob​​e PDF ドキュメントの兵器化:Escanor RAT は機能満載

Escanor Malware delivered in Weaponized Microsoft Office Documents

2022/08/22 SecurityAffairs — ロサンゼルスを拠点にして Fortune 500 を保護する、グローバル・サイバー・セキュリティ企業である Resecurity は、新しいRAT (Remote Administration Tool) である Escanor が、ダークウェブや Telegram などで宣伝されていることを確認している。この攻撃者は、Android/PC ベースの RAT に加えて、HVNC (HiddenVNC)/Exploit Builder を提供し、Microsoft Office/Adobe PDF ドキュメントを兵器化することで、悪意のコードを配信している。

Continue reading “Microsoft Office/Adob​​e PDF ドキュメントの兵器化:Escanor RAT は機能満載”

VNC サーバ 9000 台が危機的な状況:パスワードを持たずにインターネットに露出

Over 9,000 VNC servers exposed online without a password

2022/08/14 BleepingComputer — 研究者たちが発見したのは、認証なしでアクセスして使用できる、少なくとも 9,000 のインターネットに露出した VNC エンドポイントであり、脅威アクターたちに内部ネットワークへのアクセスを簡単に許すものである。VNC (Virtual Network Computing) は、監視や調整が必要なシステムへの接続を支援するプラットフォーム非依存のシステムであり、ネットワーク接続を介した RFB (Remote Frame Buffer Protocol) 経由で、リモート・コンピュータの制御を可能にする。

Continue reading “VNC サーバ 9000 台が危機的な状況:パスワードを持たずにインターネットに露出”

BEC を誘発するランサムウェア:恐喝で暴露された機密データが繰り返して悪用される

Cybercriminals Weaponizing Ransomware Data for BEC Attacks

2022/08/13 DarkReading — 攻撃を一度されると、何度でも被害に遭う。ダークウェブのデータ市場で、ランサムウェア攻撃中に流出したデータを驚異アクターたちは容易に見つけ出し、後続の攻撃に利用することができる。Accenture Cyber Threat Intelligence (ACTI) の最新分析によると、サイバー犯罪者や脅威アクターたちは、ランサムウェア攻撃から流出したデータを二次的に悪用し、ビジネスメール侵害 (BEC : Business Email Compromise) 攻撃を仕掛ける傾向が強まっているとのことだ。  

Continue reading “BEC を誘発するランサムウェア:恐喝で暴露された機密データが繰り返して悪用される”

Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供

Genesis IAB Market Brings Polish to the Dark Web

2022/08/08 DarkReading — アンダーグラウンドのサイバー犯罪経済における 、イニシャル・アクセス・ブローカー (IAB initial access brokers) の役割の増大は、老舗の1つである Genesis Marketplace の進化に反映されており、時間の経過とともに洗練されてきたことが窺える。今週の Sophos のレポートでは、招待制として 2017年にスタートしたマーケット・プレイスを介して、認証情報やクッキーからデジタル指紋にいたるまで、他者のデータへの不正アクセスを脅威アクターに提供している、Genesis のビジネスが包括的に取り上げられている。

Continue reading “Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供”

Classiscam という Scam-as-a-Service:ヨーロッパとシンガポールで稼ぎ続ける

Researchers Uncover Classiscam Scam-as-a-Service Operations in Singapore

2022/08/08 TheHackerNews — Classiscamと呼ばれる巧妙な Scam-as-a-Service が、ヨーロッパでの拡大から1年半以上を経過した後に、シンガポールに潜入している。Group-IB は The Hacker News と共有したレポートの中で、「正当な買い手を装った詐欺師が、出品物から商品を購入するよう売り手に依頼し、支払いデータを盗むことが最終目的である」と述べている。同社は、このオペレーターについて、「上手に組織化された、技術的に高度な詐欺師の犯罪ネットワーク」と呼んでいる。

Continue reading “Classiscam という Scam-as-a-Service:ヨーロッパとシンガポールで稼ぎ続ける”

Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される

Twitter confirms zero-day used to expose data of 5.4 million accounts

2022/08/05 BleepingComputer — Twitter は、最近発生したデータ流出の原因が、現在は修正済みのゼロデイ脆弱性にあったこと、そして、メールアドレス/電話番号をユーザーのアカウントにリンクさせるために悪用されていたことを発表した。BleepingComputer が7月に行った、ある脅威アクターたちへのインタビューで、この脆弱性を悪用に成功した彼らは、 540万人のユーザーアカウントのリストを作成していたことが判明した。

Continue reading “Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される”

Dark Utilities という C2-as-a-Service が登場:すでに 3,000人のサブスクライバーを獲得

Thousands of hackers flock to ‘Dark Utilities’ C2-as-a-Service

2022/08/04 BleepingComputer — セキュリティ研究者たちが、サイバー犯罪者が悪意の作戦で使用する Command and Control (C2) センターを、簡単かつ安価に設置できる Dark Utilities という新たなサービスを発見した。Dark Utilities とは、Windows/Linux/Python ベースのペイロードをサポートするプラットフォームを脅威アクターに提供し、C2 通信路の実装に関連する労力を不要にするサービスである。

Continue reading “Dark Utilities という C2-as-a-Service が登場:すでに 3,000人のサブスクライバーを獲得”

Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ

Gootkit AaaS malware is still active and uses updated tactics

2022/08/02 SecurityAffairs — AaaS (Access-as-a-Service) モデルで動作するマルウェア Gootkit は、侵害されたシステム上に悪意のあるペイロードをドロップする手段として、さまざまな脅威グループに使用されている。Gootkit は、ファイルレス技術を使用して、SunCrypt/REvil (Sodinokibi) /Kronos/Cobalt Strike などの、バンキング・マルウェア/ランサムウェアをドロップすることで知られている。

Continue reading “Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ”

Twitter のアカウント情報が大量に流出:548万人分が $30k で販売されている

Hacker selling Twitter account data of 5.4 million users for $30k

2022/07/22 BleepingComputer — Twitter の脆弱性が脅威アクターに悪用されたことで、540万件のアカウントに関する電話番号と電子メールアドレスのデータベースが構築され、そのデータがハッカー・フォーラムで $30,000 で販売されるというデータ侵害が生じている。 昨日に devil と呼ばれる脅威アクターが、このデータベースには有名人/企業/一般的なユーザーを含む、さまざまなアカウントに関する情報が含まれていると、ダークウェブで述べている。

Continue reading “Twitter のアカウント情報が大量に流出:548万人分が $30k で販売されている”

Entrust にランサムウェア攻撃が発生:ダークウェブでイニシャル・アクセスを取得か?

Digital security giant Entrust breached by ransomware gang

2022/07/22 BleepingComputer — デジタル・セキュリティ大手の Entrust だが、脅威アクターによる同社ネットワークへの侵害が生じ、内部システムからデータを盗み出されるという、サイバー攻撃を受けたことを認めた。Entrust は、オンラインの信頼性と ID 管理に特化したセキュリティ企業であり、暗号化通信/セキュア・デジタル決済/ID 発行ソリューションなどの、幅広いサービスを提供している。

Continue reading “Entrust にランサムウェア攻撃が発生:ダークウェブでイニシャル・アクセスを取得か?”

Luna という Rust ベースのランサムウェアが登場:Windows/Linux/ESXi システムを狙う

New Rust-based Ransomware Family Targets Windows, Linux, and ESXi Systems

2022/07/20 TheHackerNews — Kaspersky のセキュリティ研究者たちは、Rust で書かれた、全く新しいランサムウェアである Luna の詳細を公開した。これは、BlackCat/Hive に続いて、このプログラミング言語を使用する3番目のマルウェアとなる。Luna は、非常にシンプルであり、Windows/Linux/ESXi システム上で動作し、Curve25519/AES を組み合わせて暗号化を行う。

Continue reading “Luna という Rust ベースのランサムウェアが登場:Windows/Linux/ESXi システムを狙う”

iOS/macOS に追加された Lockdown Mode:国家支援スパイウェアに対抗する最強の防御

Apple Adds ‘Lockdown Mode’ to Thwart .Gov Mercenary Spyware

2022/07/06 SecurityWeek — Apple は、同社の主力プラットフォームである iOS を標的とした、国家に支援された傭兵スパイウェア攻撃の急増に直面している。その攻撃表面を大幅に縮小し、ソフトウェアの狡猾な悪用を制限するための技術バリアーとして、新たな Lockdown Mode の導入を計画している。カリフォルニア州クパチーノにある Apple は、「この Lockdown Mode は、いくつかの政府により監視の対象とされている、ごく少数のユーザーに対する究極の保護策として、iOS 16/iPadOS 16/macOS Ventura などで利用可能になると述べている。

Continue reading “iOS/macOS に追加された Lockdown Mode:国家支援スパイウェアに対抗する最強の防御”

Google が悪意のドメインをブロック:hack-for-hire グループを叩け!

Google blocked dozens of domains used by hack-for-hire groups

2022/06/30 BleepingComputer — Google の Threat Analysis Group (TAG) は、世界中の高リスクな標的を狙う攻撃のために、複数の hack-for-hire グループが用いている、数十の悪質なドメインと Web サイトをブロックした。悪意の商用監視ベンダーが、その顧客による攻撃に使用されるのとは異なり、hack-for-hire オペレーターはダイレクトに攻撃に関与し、通常は、そのような悪意のサービスを提供する驚異アクターに雇用される。また、フリーランスの脅威アクターが、その役割を担うこともある。

Continue reading “Google が悪意のドメインをブロック:hack-for-hire グループを叩け!”

Atlassian Confluence の脆弱性 CVE-2022-26134:50件のアクセス権を販売する驚異アクターが登場

Threat actors sell access to tens of vulnerable networks compromised by exploiting Atlassian 0day

2022/06/26 SecurityAffairs — 先日に発見された、Atlassian Confluence のゼロデイ欠陥 (CVE-2022-26134) の悪用により、侵入を許してしまった 50件の脆弱のネットワークへのイニシャル・アクセスが、ある脅威アクターにより販売されている。この発見は、Rapid7 Threat Intelligence チームによるものでありで、その情報は The Record で公開されている。この脆弱なネットワークへのイニシャル・アクセスは、ロシア語のフォーラム XSS で提供されていた。

Continue reading “Atlassian Confluence の脆弱性 CVE-2022-26134:50件のアクセス権を販売する驚異アクターが登場”

AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ

Multiple Backdoored Python Libraries Caught Stealing AWS Secrets and Keys

2022/06/24 TheHackerNews — 研究者たちは、一般公開されたエンドポイントへ向けて、AWS の認証情報/環境変数を流出させるよう設計された悪意の Python パッケージを、サードパーティの公式ソフトウェア・リポジトリで数多く発見した。Sonatype のセキュリティ研究者 Ax Sharma によると、それらのパッケージには loglib-modules/pyg-modules/pygrata/pygrata-utils/hkg-sol-utils が含まれていたが、現在では一連のエンドポイントも含めて削除されているとのことだ。彼は、「これらのパッケージのいくつかは、ユーザーの機密情報を窃取/流出させるコードを含んでいるか、その機能をもつ依存関係を使用している」と述べている。

Continue reading “AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ”