DDoS – Page 2 – IoT OT Security News

Apache Tomcat サーバが標的：ハニーポットで収集された Mirai ボットネットを分析

Hackers Target Apache Tomcat Servers for Mirai Botnet and Crypto Mining

2023/07/27 TheHackerNews — ボットネット・マルウェア Mirai などの標的として、また、暗号通貨マイナーを配信する新たなキャンペーンの一環として、コンフィグレーションやセキュリティに不備がある Apache Tomcat サーバーが狙われている。この調査結果は Aqua によるもので、Tomcat サーバのハニーポットに対して、２年間で 800件以上の攻撃を検出し、そのうちの 96％が、Mirai ボットネットに関連していたことが判明した。これらの攻撃のうちの 20％ (152件) は、24のユニークな IP アドレスから発信された “neww” と呼ばれる Web シェル・スクリプトの使用を伴うものであり、その 68％は単一の IP アドレス (104.248.157[.]218) から発信されていた。

Zyxel ファイアウォールの脆弱性 CVE-2023-28771：Mirai 亜種による積極的な悪用を観測

Zyxel Vulnerability Exploited by DDoS Botnets on Linux Systems

2023/07/20 InfoSecurity — Zyxelファイアウォールで発見された深刻な脆弱性が、分散型サービス拒否 (DDoS) ボットネットに積極的に悪用されている。Fortinet のセキュリティ研究者たちが特定した、この脆弱性 CVE-2023-28771 は Linux プラットフォームに影響を及ぼすものだ。この脆弱性の悪用に成功したリモートの攻撃者は、脆弱性のあるシステムを不正に制御し、DDoS 攻撃を行うことが可能になる。

P2PInfect という新種のワーム：Redis サーバの脆弱性 CVE-2022-0543 が狙われている

New P2PInfect worm malware targets Linux and Windows Redis servers

2023/07/23 BleepingComputer — 7月11日にセキュリティ研究者たちは、インターネットに公開された Windows／Linux 上で動作する Redis インスタンスを標的とする、自己拡散機能を備えた新しい P2P マルウェアを発見した。Lua サンドボックス・エスケープの脆弱性 CVE-2022-0543 が放置されている Redis サーバに、この Rust ベースのワーム (P2PInfect と命名) が侵入することも、Unit 42 の研究者たちは発見した。この２週間において、インターネットに公開された 307,000 台以上の Redis サーバが発見されているが、P2PInfect の攻撃に対して潜在的に脆弱なのは 934 インスタンスに過ぎないと、研究者たちは述べている。

3000万人分の顧客データ窃取：Anonymous Sudan は主張し Microsoft は否定する

Microsoft denies data breach, theft of 30 million customer accounts

2023/07/03 BleepingComputer — Microsoft は否定しているが、ハクティビストである Anonymous Sudan は、同社のサーバに侵入して 3000万人分の顧客アカウントの、認証情報を盗んだと主張している。ここ数カ月間において Anonymous Sudan は、欧米の組織に対する分散型サービス妨害 (DDoS) 攻撃で目立っている。同グループは、Killnet のような親ロシア派ハクティビストとの関連性を認めている。

D-Link／Zyxel／Netgear デバイス：Mirai ボットネットが 22件の脆弱性を狙っている

Mirai botnet targets 22 flaws in D-Link, Zyxel, Netgear devices

2023/06/22 BleepingComputer — Mirai ボットネットの亜種が、D-Link／Arris／Zyxel／TP-Link／Tenda／Netgear／MediaTek などのデバイスを制御し、分散型サービス拒否 (DDoS) 攻撃を実行するために、約 20件の脆弱性を標的にしているという。このマルウェアは、3月14日に始まり 4月と6月に急増している。そして、この２つの進行中のキャンペーンを調査していた、Palo Alto Networks Unit 42 の研究者たちにより発見されている。6月22日に発表されたレポートの中で研究者たちは、このボットネット開発者は、悪用可能な脆弱性に関するコードを追加し続けていると警告している。

OpenSSH のトロイの木馬：Linux ベースの Hiveon OS を乗っ取りクリプト・ジャッキング

Microsoft: Hackers hijack Linux systems using trojanized OpenSSH version

2023/06/22 BleepingComputer — 最近に確認されたクリプト・ジャッキング・キャンペーンの一環として、インターネットに公開された Linux や IoT デバイスが、ブルートフォース攻撃で乗っ取られていると、Microsoft が警告している。標的とするシステムへのアクセスを取得した攻撃者は、トロイの木馬化された OpenSSH パッケージを展開し、侵害されたデバイスをバックドア化し、SSH 認証情報を盗んで永続性を維持する。

Azure／Outlook／OneDrive への執拗な DDoS 攻撃：Anonymous Sudan の犯行だと Microsoft が判定

Microsoft confirms Azure, Outlook outages caused by DDoS attacks

2023/06/18 BleepingComputer — Microsoft が発表したのは、先日に Azure／Outlook／OneDrive の Web ポータルで発生した障害が、同社サービスの Layer 7 に対する DDoS 攻撃であったというものだ。この攻撃は、Microsoft が Storm-1359 として追跡している脅威アクター (別名 Anonymous Sudan) に起因するものだと見られている。この障害は 2023年6月初旬に発生し、Outlook.com (7日)／OneDrive (8日)／Microsoft Azure (9日) という順序で、それぞれの Web ポータルが標的となった。

Killnet の主張：REvil／Anonymous Sudan と連携して欧米の金融組織を攻撃する

Killnet Threatens Imminent SWIFT, World Banking Attacks

2023/06/17 DarkReading — Killnet と呼ばれる親ロシア派のハッカー集団が、ランサムウェア・ギャング REvil の復活に関与していると主張している。その目的はというと、欧米の金融システムに対する攻撃である。しかし、これまで Killnet が行ってきた DDoS 攻撃の実績からすると、単なる威勢のいい脅しに過ぎないのかどうかは不明である。6月16日にロシアの Telegram チャンネルに投稿されたビデオで Killnet は、SWIFT 銀行システム (2018年に Lazarus の標的となった)／Wise 国際電信送金システム／SEPA欧州内決済サービス／欧州米国の中央銀行などの機関に対して、攻撃を仕掛けるという脅しをかけている。

Microsoft Azure ポータルが DDoS 攻撃でダウン：Anonymous Sudan が攻撃を主張

Microsoft’s Azure portal down following new claims of DDoS attacks

2023/06/09 BleepingComputer — Microsoft Azure ポータルが停止しているが、その一方では、Anonymous Sudan と名乗る脅威アクターが、このサイトを DDoS 攻撃のターゲットにしたと主張している。このポータルの URL である https://portal.azure.com にアクセスすると、「現時点で、私たちたのサービスは利用できない。可能な限り早急に、すべてのサービスを復元するために取り組んでいる。時間をおいて再アクセスしてほしい」という内容のメッセージが表示される。なお、モバイル・アプリは、現時点では影響を受けていないようだ。

Outlook.com を攻撃し続ける DDoS アクター：Anonymous Sudan が犯行を主張

Outlook.com hit by outages as hacktivists claim DDoS attacks

2023/06/06 BleepingComputer — 6月5日に Outlook.com は、何度もダウンした。そして翌日も、一連の障害に見舞われていたが、Anonymous Sudan と名乗るハクティビストが、同サービスに DDoS 攻撃を行ったと主張している。これらの障害により、世界中の Outlook ユーザーに広範な混乱がもたらされ、メールの送受信や、Mobile Outlook アプリの使用に支障をきたした。

Mirai ボットネットが Zyxel Firewall をハッキング：修正済の CVE-2023-28771 を悪用

Zyxel Firewalls Hacked by Mirai Botnet

2023/05/26 SecurityWeek — Mirai ボットネットの亜種が、最近にパッチがリリースされた脆弱性 CVE-2023-28771 を悪用して、Zyxel ファイアウォールを大量にハッキングしている。4月25日の時点で Zyxel は、影響を受ける ATP／VPN／USG Flex／ZyWALL／USG／ファイアウォールに対してパッチをリリースし、このセキュリティ脆弱性について顧客に通知を行っている。

AndoryuBot という新たなボットネット：Ruckus Wireless の脆弱性を突いて増殖している

New Botnet Campaign Exploits Ruckus Wireless Flaw

2023/05/09 InfoSecurity — Linux ベースの Ruckus AP (access point) に存在する深刻な脆弱性が、リモート攻撃を仕掛ける脅威アクターにより制御を奪われる可能性があることが判明した。Fortinet の最新アドバイザリによると、2023年2月に発見された脆弱性 CVE-2023-25717 が、AndoryuBot という新たなボットネットに悪用されているという。

Service Location Protocol (SLP) の脆弱性：665 種類の製品に存在する高密度 DDoS の要因とは？

New SLP Vulnerability Could Let Attackers Launch 2200x Powerful DDoS Attacks

2023/04/25 TheHackerNews — Service Location Protocol (SLP) に存在する深刻な脆弱性を悪用する脅威アクターが、大規模な標的型サービス拒否攻撃を行う可能性があることが判明した。Bitsight と Curesec の研究者である Pedro Umbelino と Marco Lux は、「この脆弱性の悪用に成功した攻撃者は、脆弱なインスタンスを利用して、2200倍という高倍率で大規模なサービス拒否 (DoS) 増幅攻撃を行う可能性があり、これまで報告された中で最大の増幅攻撃の１つになり得る」と、The Hacker News に寄せた報告書で述べている。

TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX：Mirai による悪用も検出

TP-Link Archer WiFi router flaw exploited by Mirai malware

2023/04/25 BleepingComputer — マルウェア・ボットネット Mirai は、TP-Link Archer A21 (AX1800) WiFi ルーターに存在する脆弱性 CVE-2023-1389 を積極的に悪用して、このデバイスを DDoS (分散サービス拒否) の大群に組み込んでいる。2022年12月に開催された Pwn2Own Toronto のハッキング・イベントで、この欠陥の悪用に挑んだ２つのハッキング・チームが、異なる経路 (LAN／WAN インターフェイス・アクセス) を介して、このデバイスへの侵入を成功させた。

DDoS 2023 Q1 レポート：VPS インフラを侵害／悪用するケースが増加 – Cloudflare 調査

DDoS attacks shifting to VPS infrastructure for increased power

2023/04/12 BleepingComputer — 2023年 Q1 ハイパーボリューメトリック DDoS (分散型サービス拒否) 攻撃は、危険な IoT デバイスへの依存から、侵入した VPS (Virtual Private Servers) を活用する方向へとシフトしている。インターネット・セキュリティ企業の Cloudflare によると、新しい世代のボットネットは、脆弱な IoT デバイスの大群を構築する戦術を徐々に放棄する方向へと向かっている。その代わりとして、現在は、脆弱なコンフィグレーションを持つ VPS サーバを、漏洩した API 認証情報や既知のエクスプロイトの悪用により、制御する方向へとシフトしている。

npm への DoS 攻撃：レジストリが断続的にダウンするという最悪の事態に

Malicious Spam Campaign Downs npm RegiSEO poisoningstry

2023/04/05 InfoSecurity — この１ヶ月の間に、npm レジストリが断続的なサービス拒否 (DoS) 停止に陥っていたことを、セキュリティ専門家たちが明らかにした。そして、ボット対策技術を導入するよう促している。 npm は、世界最大のソフトウェア・レジストリとして知られており、200万以上の JavaScript パッケージがダウンロードできるようになっている。Checkmarx の Head of Software Supply Chain Security である Jossef Harush Kadouri は、「過去にもスパム・キャンペーンによる被害があったが、この１ヶ月間における被害は、それらとは比較にならないほどの酷いものであった」と述べている。

HTTP/S DDoS 攻撃が３年間で 487%急増：ウクライナをめぐるサイバー戦争が激化

HTTP/S DDoS Attacks Soar 487% in Three Years

2023/04/04 InfoSecurity — Netscout によると、HTTP／HTTPS の Web サイトを標的としたアプリケーション層の DDoS (Distributed Denial of Service) 攻撃の量は、Killnet などにより、2019年から2022年にかけて 487% も急増したという。セキュリティ・ベンダーである Netscout の 2022 H2 レポート “DDoS Threat Intelligence Report” は、93カ国と世界のインターネット・トラフィックの 50％以上をカバーする、同社の ATLAS ネットワークが収集したデータを基に作成されたものだ。2019年以降に、Web サイトへの攻撃が最も急増したのは 2022年下半期で、親ロシア・ハクティビストの活動による影響が大きい。

Cacti／Realtek／IBM Aspera の脆弱性：複数の DDoS ボットネットとランサムウェアが悪用

Cacti, Realtek, and IBM Aspera Faspex Vulnerabilities Under Active Exploitation

2023/04/01 TheHackerNews — Cacti／Realtek／IBM Aspera Faspex の深刻なセキュリティ脆弱性を悪用する脅威アクターたちにより、パッチ未適用のシステムを標的としたハッキングが行われている。今週の Fortinet FortiGuard Labs レポートによると、MooBot／ShellBot (別名 PerlBot) の配信に、CVE-2022-46169 (CVSS：9.8)／CVE-2021-35394 (CVSS：9.8) が悪用されているようだ。

HinataBot というボットネットが登場：Mirai 由来のハッカーたちが開発

Mirai Hackers Use Golang to Create a Bigger, Badder DDoS Botnet

2023/03/21 DarkReading — HinataBot と名付けられた新しいボットネットを、Mirai 由来のハッカーたちが開発した。このボットネットは、従来のものと比べて、はるかに少ないリソースで大きなダメージを与える可能性があるという。Mirai は、世界で最も悪名高いボットネットの１つだ。2010年代半ばから流通し、ルーターやカメラなどの IoT 機器を利用して、大量のトラフィックでターゲットを攻撃し、分散型サービス拒否 (DDoS) を仕掛けてきた。最も被害の大きかった攻撃は、フランスのテクノロジー企業 OVH／リベリア政府／DNS プロバイダー Dyn などに対するものであり、Twitter／Reddit／GitHub／CNN などの Web サイトが被害を被った。

KillNet による DDoS 攻撃：Microsoft Azure のヘルスケア・アプリが狙われている

KillNet Group Uses DDoS Attacks Against Azure-Based Healthcare Apps

2023/03/20 InfoSecurity — KillNet として知られるロシア系のハクティビスト・グループが、Microsoft Azure にホストされているヘルスケア・アプリを標的としていることが、３ヶ月以上も前から確認されている。Microsoft は、金曜日に公開されたアドバイザリで、この新しいキャンペーンの詳細を公開した。Azure Network Security Team によると、2022年11月には１日あたり 10～20回、2023年2月には１日あたり 40～60回の攻撃が確認されたという。

Akamai が DDoS 攻撃を緩和：アジアでは最大級の 900Gbps という規模だった

Akamai mitigates record-breaking 900Gbps DDoS attack in Asia

2023/03/09 BleepingComputer — Akamai が発表したのは、APAC 地域の顧客に仕掛けられた、過去最大の DDoS 攻撃を緩和したというものである。DDoS (Distributed Denial of Service) 攻撃とは、標的となるサーバに大量のリクエストを送信してキャパシティを枯渇させることで、そのサーバがホストする Web サイト／アプリケーションなどのオンライン・サービスを、正規のユーザーからアクセスできない状態にするものだ。

プーチン大統領の演説を DDoS で妨害：ウクライナ IT Army の仕業か？

Putin Speech Interrupted by DDoS Attack

2023/02/21 InfoSecurity — Reuters の報道によると、2月21日 (火) のプーチン大統領による演説を放送していた複数の Web サイトがダウンしたが、分散型サービス妨害 (DDoS) 攻撃の疑いがあるという。この演説の間、複数の場所にいたジャーナリストたちは、All-Russia State Television and Radio Broadcasting Company (VGTRK) の Web サイトや、Smotrim のライブ・ストリーミング・プラットフォームにアクセスできない時間帯があったとのことだ。それぞれが表示したエラー・メッセージは、”技術的な作業が行われている” と “単にロードされなかっただけ” というものだった。

Cloudflare が HTTP DDoS 攻撃を阻止：過去最大級の 71M RPS という規模だった

Cloudflare blocks record-breaking 71 million RPS DDoS attack

2023/02/13 BleepingComputer — 今週末に発生した過去最大規模の DDoS 攻撃を、Cloudflare が阻止した。同社は、顧客を狙った超大規模な DDoS 攻撃を、数十回にわたって検知／緩和したという。Cloudflare の Omer Yoachimik／Julien Desgats／Alex Forster は、「大半の攻撃のピークは、毎秒 50M〜70M RPS (requests per second) で、最大のものは 71M RPS を超えた。これは、2022年6月に報告された 46M RPS という前回の記録を 35%以上も上回る、過去最大の HTTP DDoS 攻撃だった」と語っている。

Killnet の Proxy IP リストを公開：ブラックリスト化してロシアからの攻撃に備える

Experts published a list of proxy IPs used by the pro-Russia group Killnet

2023/02/09 SecurityAffairs — 親ロシア派グループ Killnet の運営を妨害し、その攻撃をブロックするために、SecurityScorecard の研究者たちが Killnet のプロキシ IP リストを公開した。彼らは、「ユーザー組織の保護を強化するために、Killnet DDoS ボットのブロックに役立つ、プロキシ IP リストを公開した」と述べている。Killnet は 2022年3月から活動しているグループであり、ウクライナ支援を表明したイタリア／ルーマニア／モルドバ／チェコ／リトアニア／ノルウェー／ラトビアなどの、政府や重要インフラに対して DDoS 攻撃を仕掛け続けている。

Tor ネットワークの戦い：７ヶ月間も DDoS 攻撃にさらされる

Tor Network Under DDoS Pressure for 7 Months

2023/02/08 SecurityWeek — 匿名ネットワーク Tor が、過去７ヶ月間にわたって DDoS (Distributed Denial-of-Service) 攻撃を受けていたことが、同ネットワークの保守担当者たちにより発表された。一部の攻撃は、ページのロードやオニオンサービスへのアクセスが不可能になるほどの深刻なものだったと、今週に Tor Project は述べている。

Mirai ベースの Medusa ボットネット：ランサムウェア機能を備えて再登場

Medusa botnet returns as a Mirai-based variant with ransomware sting

2023/02/07 BleepingComputer — Miraiコードをベースにした、Medusa という DDoS ボットネットの新バージョンが、ランサムウェア・モジュールと Telnet ブルートフォースターを搭載し、野放し状態で暴れまわっている。Medusa とは、2015年からダークウェブで宣伝されている、昔からのマルウェア株 (同名の Android トロイの木馬とは別物) であり、2017年には HTTP ベースの DDoS 機能が追加されている。

Realtek の脆弱性 CVE-2021-35394：IoT サプライチェーン 1.4 億のデバイスに危機

Realtek Vulnerability Under Attack: Over 134 Million Attempts to Hack IoT Devices

2023/01/30 TheHackerNews — 2022年8月から始まった、Realtek Jungle SDKのリモートコード実行の脆弱性を悪用する攻撃が急増していることに、研究者たちが警告を発している。Palo Alto Networks の Unit 42 によると、現在進行中のキャンペーンは、2022年12月の時点で 1億3400万件のエクスプロイト試行を記録し、その 97％が直近の４ヶ月間で発生したと言われている。攻撃の 50% 近くが米国 (48.3%) から発生しており、それに続くのが、ベトナム (17.8%)／ロシア (14.6%)／オランダ (7.4%)／フランス (6.4%)／ドイツ (2.3%)／ルクセンブルク (1.6%) などである。さらに、ロシアで発生した攻撃の 95% は、オーストラリアの組織を標的にしていた。

DDoS 攻撃によるロシア側の被害：最大手 ISP の Rostelecom が語る惨状

Russia’s largest ISP says 2022 broke all DDoS attack records

2023/01/23 BleepingComputer — ロシア最大の ISP (internet service provider) である Rostelecom によると、同国内の組織を標的とした分散型サービス拒否攻撃 (DDoS) が、2022年に最悪の記録を樹立したという。DDoS 攻撃とは、インターネットに接続された Web サイトやサービスに対して、大量のリクエストを送信することで、新しい接続を受け入れるサーバの能力を枯渇させ、サービスを応答不能にすることを目的としたサイバー攻撃である。ウクライナとロシアの紛争の両側で、それぞれのハクティビストたちが、進行中の戦争に関連する行動や報復として、重要なサービスを妨害するために DDoS 攻撃を使用している。

KmsdBot ボットネットは DDoS 傭兵：ゲームサーバから高級ブランドまでが標的

KmsdBot Botnet Suspected of Being Used as DDoS-for-Hire Service

2022/12/20 TheHackerNews — KmsdBot ボットネットの継続的な分析により、それが DDoS-for-Hire であり、他の脅威アクターに提供されている可能性が浮上してきた。Akamai は、その理由として、KmsdBot ボットネットが攻撃した業界や地域が異なる点を挙げている。注目すべきターゲットとしては、Grand Theft Auto V や Red Dead Redemption 2 のゲーム改造を行う FiveM や RedM があるが、その一方では、高級ブランドやセキュリティ企業なども挙げられている。

Minecraft を狙う DDoS ボットネット：PC から IoT デバイスへと広がる感染経路

Minecraft Servers Under Attack: Microsoft Warns About Cross-Platform DDoS Botnet

2022/12/16 TheHackerNews — 12月15日 (木) に Microsoft は、主にプライベートな Minecraft サーバに対して DDoS 攻撃を行うために設計された、クロスプラットフォーム・ボットネットにフラグを立てた。このボットネットは MCCrash と呼ばれ、Windows ホスト上でダウンロードされた悪意のソフトウェアから発生するが、Linux ベースのデバイスに伝播するという、独自の拡散メカニズムが特徴となっている。

ロシアの VTB 銀行で史上最大の DDoS：自国の IP アドレスからも攻撃

Russia’s VTB Bank Suffers its Biggest Ever DDoS

2022/12/07 InfoSecurity — ロシア第２位の銀行が、親ウクライナのハクティビストが仕掛けていると思われる、史上最大の DDoS 攻撃と戦っていることを認めた。同行は、システムは正常に稼働しており、顧客データは安全であると強調したが、一時的にアプリや Web サイトが機能停止に陥っていると指摘する Reuters レポートもある。

金融サービス Web App／API への攻撃が 257% の急増：Akamai の調査レポート2022

Web App and API Attacks Surge 257% in Financial Services

2022/11/29 InfoSecurity — クラウド・セキュリティ・ベンダーの Akamai によると、過去 12ヶ月間に検出された Web アプリケーション／API への攻撃は、金融サービス分野においては前年比 3.5 倍に急増し、あらゆる業種の中で最多となっているという。同社の最新レポート Enemy at the Gates は、2021年10月1日から 2022年9月26日までの世界の顧客トラフィックの分析に基づいたものとなっている。

EU 議会のサイトが DDoS でダウン：親ロシア派の Anonymous Russia が攻撃を主張

Pro-Russian hacktivists take down EU Parliament site in DDoS attack

2022/11/23 BleepingComputer — 親ロシア派のハッカー集団 Killnet の一部である、Anonymous Russia が主張する DDoS 攻撃を受けて、欧州議会の Web サイトがダウンした。欧州議会議長は、このインシデントについて、「この攻撃に対抗するために、議会の IT 専門家がシステムを保護している」と述べている。Director General for Communication／Spokesperson である Jaume Dauch は、Web サイトがダウンした後に、この障害は進行中の DDoS 攻撃によるものだと指摘している。

Cloud9 は Chrome ボットネット：リモート操作＋多彩な機能で攻めてくる

Malicious extension lets attackers control Google Chrome remotely

2022/11/08 BleepingComputer — Cloud9 という新しい Chrome ブラウザ・ボットネットが、野放し状態で発見された。このボットネットは、悪意のエクステンションを使用して、オンライン・アカウントの窃盗／キーストロークの記録／広告や悪意の JS コードの注入／被害者のブラウザへの DDoS 攻撃などをしていたという。Cloud9 ブラウザ・ボットネットは、Google Chrome／Microsoft Edge を含む Chromium Web ブラウザ用のリモート・アクセス型トロイの木馬 (RAT：Remote Access Trojan) であり、脅威アクターによるリモート・コマンドの実行を可能にする。

BestBuy という名のダークウェブ運営者が逮捕：米政府の機密データなどを販売

Notorious ‘BestBuy’ hacker arraigned for running dark web market

2022/10/26 BleepingComputer — 今は亡きダークウェブ・マーケットプレイス The Real Deal を運営していた疑いで、この水曜日に、英国のハッカーが米国司法省に喚問された。Daniel Kaye 被告 34歳 (別名：Bestbuy／Spdrman／Popopret／UserL0ser) は、The Real Deal が立ち上げられた 2015年初頭から、閉鎖された 2016年11月までの間に、違法なサービス市場を運営したとされる。

Cloudflare の DDoS 2022 Q3 レポート：攻撃の傾向および規模と持続時間

Cloudflare mitigated record DDoS attack against Minecraft server

2022/10/13 BleepingComputer — 最近のことだが、最大級の Minecraft サーバである Wynncraft が、2.5 Tbps の分散型サービス拒否 (DDoS：Distributed Denial-of-Service) 攻撃を受けた。Cloudflare によると、今回の DDoS は約２分間続いたマルチベクトル攻撃であり、UDP／TCPのフラッド・パケットで構成され、サーバを過負荷に陥れることで、数十万人のプレイヤーをシャットアウトしようとするものだったという。

Mirai ボットネットが Minecraft Server に DDoS 攻撃：2.5 Tbps のピーク値を記録

Mirai Botnet Launched 2.5 Tbps DDoS Attack Against Minecraft Server

2022/10/13 SecurityWeek — Cloudflare によると、Mirai ボットネットの亜種が分散型サービス拒否 (DDoS) 攻撃を開始し、そのピークは 2.5テラバイト／秒 (Tbps) に達し、これまでのビットレートの中で最大の攻撃だったと述べている。この攻撃は、Wynncraft という名前の Minecraft サーバを狙ったものであり、UDP と TCP のフラッドを含んでいた。しかし、この攻撃は緩和され、ゲームの利用に支障をきたすことはなかったと、Cloudflare は述べている。

親ロシア派ハッカー KillNet の DDoS 攻撃：米国の主要空港 Web サイトが軒並みダウン

US airports’ sites taken down in DDoS attacks by pro-Russian hackers

2022/10/10 BleepingComputer — 親ロシア派のハッカー集団 KillNet が、米国内の主要空港 Web サイトに対して大規模な分散型サービス妨害 (DDoS) 攻撃を行い、アクセス不能に陥らせたと主張している。この DDoS 攻撃は、これらのサイトをホストするサーバを大量のリクエストで圧迫するものでありし、旅行者が予約しているフライトの最新情報の取得や、空港サービスの予約などが不可能にしている。

Imperva が DDoS を緩和：25.3 B リクエストの総量と 3.9 M RPS のピーク値

Imperva blocked a record DDoS attack with 25.3 billion requests

2022/09/21 SecurityAffairs — サイバー・セキュリティ企業の Imperva は、2022年6月27日に発生した 253回億以上のリクエストによる、DDoS 攻撃を緩和させた。専門家たちによると、この攻撃は Imperva のアプリケーションである DDoS 軽減ソリューションの新記録となったという。今回の攻撃は、中国の無名の電気通信会社を標的とし、４時間以上にわたって発生し、ピーク時には 3.9 million RPS を記録したとされる。

Akamai が阻止した 704.8Mpps の DDoS 攻撃：狙われ続ける東欧企業の防衛策は？

Akamai stopped new record-breaking DDoS attack in Europe

2022/09/15 BleepingComputer — 2022年9月12日に発生した、新たな分散型サービス妨害 (DDoS) 攻撃は、この７月に Akamai が記録した従来からの記録を更新した。DDoS 攻撃とは、偽のリクエストなどのトラフィックでサーバをあふれさせ、正当な訪問者や顧客が利用できないようにするサイバー攻撃のことである。

日本政府の Web サイトが攻撃される：犯行を主張する Killnet とは？

Japan Government Websites Hit By Cyber-Attacks, Killnet Suspected

2022/09/07 InfoSecurity — ロシア系のハッカー集団 Killnet が、日本政府の４組織における 20件の Web サイトおよび、日本企業に対する一連のサイバー攻撃の犯行を主張している。松野博一官房長官によると、日本政府 Web サイトにおける問題と、サービス妨害 (DDoS) 攻撃との関連性について調べているとのことだ。また、日本政府のデジタル庁は、水曜日に e-Gov 行政ポータルの一部で、サービスへのログインに問題があったと述べたが、原因は明らかにしていない。

Cobalt Strike サーバに DDoS 攻撃：ロシアン・ランサムウェアを追撃するのは誰なのか？

Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages

2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum／Hive／BlackCat といった他のランサムウェア・ギャングに分散していった。

D-Link を狙う Moobot ボットネットは Mirai 亜種：新旧の脆弱性を取り混ぜて攻撃

Moobot botnet is coming for your unpatched D-Link router

2022/09/06 BleepingComputer — MooBot として知られる Mirai 亜種のマルウェア・ボットネットが、８月初旬から始まった新たな攻撃に再登場し、新旧のエクスプロイトを取り混ぜて、脆弱な D-Link ルーターをターゲットにしている。2021年12月に Fortinet のアナリストが発見した MooBot は、Hikvision カメラの脆弱性を標的にして急速に拡散し、多数のデバイスを DDoS (分散型サービス拒否) に陥らせてきた。

LockBit の DDoS 宣言：防御力を高めて攻撃にも活用する三重恐喝の戦略とは？

LockBit ransomware gang gets aggressive with triple-extortion tactic

2022/08/28 BleepingComputer — ランサムウェア・ギャング LockBit は、分散型サービス拒否 (DDoS) 攻撃に対する防御を強化し、三重恐喝のレベルにまで、攻撃力を高めると発表した。先日に LockBit は、デジタル・セキュリティ大手 Entrust の代理人が行ったと噂される DDoS 攻撃を受け、リークサイトで公開したデータへのアクセスが不能になるという状況に陥った。

LockBit のリークサイトが DDoS 攻撃でダウン：Entrust のデータ漏洩への対抗索か？

LockBit Ransomware Site Hit by DDoS Attack as Hackers Start Leaking Entrust Data

2022/08/23 SecurityWeek — ランサムウェア LockBit のリークサイトが、分散型サービス妨害 (DDoS) 攻撃によりオフラインになった。これは、LockBit が、セキュリティ企業である Entrust から盗んだデータを、公開したことに対抗して行われたと見られている。Entrust の情報漏えいは 6月18日に発見され、同社は 7月6日に顧客への通知を開始した。しかし、この侵害が明るみに出たのは、セキュリティ研究者が Entrust から顧客に送信された通知のコピーを発見した、7月21日のことだった。

WordPress ハッキングに御用心：偽の Cloudflare DDoS 警告がマルウェアを配布

WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware

2022/08/20 BleepingComputer — WordPress サイトをハッキングし、偽の Cloudflare DDoS 保護スクリーンを表示するというキャンペーンが展開されている。それに騙されると、マルウェアが配布され、パスワード窃盗型トロイの木馬である NetSupport RAT／Raccoon Stealer のインストールにいたるという。DDoS (Distributed Denial of Service) 保護スクリーンは、インターネット上では一般的なものであり、不要なトラフィックでサイトを圧迫する、不正なリクエストを ping 送信するボットから身を守るものである。

Entrust 対 LockBit：セキュリティ大手へのランサムウェア攻撃とリークをめぐる戦い

LockBit claims ransomware attack on security giant Entrust

2022/08/18 BleepingComputer — ランサムウェア・グループ LockBit が、2022年6月にデジタル・セキュリティ大手 Entrust に対して、サイバー攻撃を仕掛けたと主張している。2022年6月18日に Entrust がランサムウェア攻撃を受けたことは、BleepingComputer も７月に報じている。Entrust は、内部システムからデータが窃取されるサイバー攻撃を受けたと、6月上旬から顧客に伝えていた。

Google が史上最大の HTTPS DDoS を阻止：ピーク時には 4600万 RPS を記録

Google blocked the largest Layer 7 DDoS reported to date

2022/08/18 SecurityAffairs — Google は、Google Cloud Armor の顧客を標的とする、過去最大の HTTPs DDoS 攻撃を阻止し、そのピーク時には 46 million RPS (requests per second) が記録されたと発表した。この HTTP/S Load Balancer を標的とした攻撃は、2022年6月1日の午前9時45分に発生した。10,000 RPS 以上から始まり、８分後に 100,000 RPS に増加し、10分後には 46 million RPS に達した。この DDoS 攻撃は、69分間続いたという。

PyPI に悪意のパッケージ 12個：Counter-Strike への DDoS 攻撃に巻き込まれる恐れ

Malicious PyPi packages aim DDoS attacks at Counter-Strike servers

2022/08/15 BleepingComputer — 今週末、ロシアの Counter-Strike 1.6サーバーにDDoS攻撃を仕掛けるタイポスクワッティング攻撃のために、悪意の Python パッケージ 12個が PyPI レポジトリにアップロードされた。Python Package Index (PyPI) とは、オープンソースのソフトウェア・パッケージのリポジトリであり、開発者は自身の Python プロジェクトに、それらのパッケージを簡単に組み込み、最小限の労力で複雑なアプリを構築できる。

Lockheed Martin への不正侵入を主張：Killnet は親ロシアのハッカー・グループ

Killnet claims to have breached Lockheed Martin

2022/08/13 SecurityAffairs — モスクワ・タイムズは、航空宇宙／防衛大手である Lockheed Martin を襲った最近の DDoS 攻撃について、親ロシア派のハッカーグループ Killnet が犯行声明を出していると報じた。さらに、Killnet は、Lockheed Martin の従業員から盗み出したデータを公開すると脅迫しているという。