PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取

PyPI package ‘keep’ mistakenly included a password stealer

2022/06/12 BleepingComputer — PyPI パッケージである keep/pyanxdns/api-res-py の一部のバージョンには、悪意の request との依存関係が存在するため、バックドアが含まれることが判明した。たとえば、keep プロジェクトの大半のバージョンでは、HTTP リクエストを行うために正規の Python モジュール requests を使用しているが、keep v.1.2 にはマルウェアである request (s なし) が含まれている。BleepingComputer は、これが単なる誤植なのか自作自演なのか、それとも、メンテナ・アカウントの乗っ取りによるものなのかを確認するため、それぞれのパッケージの作者に問い合わせた。

Continue reading “PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取”

Symbiote マルウエアの詳細:金融業界の Linux-Based システムに脅威をもたらす?

Symbiote Malware Poses Stealthy, Linux-Based Threat to Financial Industry

2022/06/11 DarkReading — ステルス性の高い Symbiote という Linux 上の脅威が、ラテン・アメリカの金融機関を標的としている。それにより、すべてのファイル/プロセス/ネットワークのアーティファクトがマルウェアにより隠され、ライブ・フォレンジックによる検出が事実上不可能な状態に陥っている。BlackBerry Research のブログ記事によると、このマルウェアは 2021年11月に露見している。Symbiote が、他の Linux マルウェアと異なる点は、単独で実行可能なファイルを使用して被害を与えるのではなく、実行中のプロセスに感染させるというアプローチにある。

Continue reading “Symbiote マルウエアの詳細:金融業界の Linux-Based システムに脅威をもたらす?”

Symbiote という新型 Linux マルウェア:巧妙なカモフラージュにより検出が不可能?

New Linux Malware ‘Nearly Impossible to Detect’

2022/06/11 DarkReading — Linux システムを攻撃する新型マルウェアが、認証情報を盗み出し、カモフラージュしながら被害者のマシンにリモート・アクセスしている。このマルウェアを研究している専門家たちは、それが標的型や大規模型の攻撃キャンペーンで使用されているのかどうか、結論づけられないと述べている。

Continue reading “Symbiote という新型 Linux マルウェア:巧妙なカモフラージュにより検出が不可能?”

Deepwatch 調査:38% の専門家が 24 x 365 の SOC カバーは不可能と回答

Only 43% of security pros can respond to critical alerts in less than an hour

2022/06/10 HelpNetSecurity — Deepwatch が発表した State of the Modern SOC レポートにより、ビジネスに被害をおよぼすサイバー攻撃は、より優れた対応能力を備えていれば阻止できたと、ほとんどの IT セキュリティ専門家たちが考えていることが明らかになった。このレポートは、従業員数 1,000 人以上の米国企業に勤務する、300 人以上のセキュリティ専門家を対象に、Dimensional Research が実施した調査の結果に基づく。このレポートによると、IT セキュリティ専門家の 85 %が、不十分な対応手順に起因する予防可能なビジネスへの打撃を経験しており、97 %が、より正確なアラートがあれば脅威対応の自動化への信頼が高まると回答している。

Continue reading “Deepwatch 調査:38% の専門家が 24 x 365 の SOC カバーは不可能と回答”

Apple M1 Kernel の脆弱性 PACKMAN:ARM のポインタ認証を狙う攻撃が可能?

Design Weakness Discovered in Apple M1 Kernel Protections

2022/06/10 DarkReading — 今日、セキュリティ研究者たちは、Apple M1 プロセッサに対する、新しい攻撃の形態にについて詳細を発表した。それにより、メモリ破壊攻撃からオペレーティングシステム (OS) のカーネルを保護するための、重要なセキュリティ機能が危殆化するという。この、PACMAN と名付けられた概念実証 (PoC) 攻撃とは、ARM Pointer Authentication (ポインタ認証) を標的とするものであり、ソフトウェアのバグに対する最終防衛ラインとして用いられる、ハードウェア・プロセッサの問題を指す。それが適切に機能しないと、メモリ・ロケーションの内容が破壊され、走っているプログラムの実行フローが乗っ取られ、最終的にはシステムを完全に制御されるという。

Continue reading “Apple M1 Kernel の脆弱性 PACKMAN:ARM のポインタ認証を狙う攻撃が可能?”

Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する

DogWalk Vulnerability Detection: New Path Traversal Flaw in Microsoft Windows

2022/06/09 SOCPrime — DogWalk と呼ばれる、Microsoft Support Diagnostic Tool (MSDT) のゼロデイ脆弱性が、積極的に悪用されているリモートコード実行の脆弱性 Follina CVE-2022-30190 の直後に発生した。MSDT に影響を与える、深刻なセキュリティ問題である Follina のときと同様に、Microsoft のトラブル・シューターは、この脆弱性が最初に注目されたときに見過ごしており、この文章を書いている時点では、この脆弱性に CVE は割り当てられていない。

Continue reading “Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する”

Meeting Owl Pro の脆弱性 CVE-2022-31460 が FIX:悪用が始まり CISA も対応を表明

Threat Actors Start Exploiting Meeting Owl Pro Vulnerability Days After Disclosure

2022/06/09 SecurityWeek — 今週の初めから、Owl Labs はビデオ会議デバイスに生じた深刻な脆弱性に対処しているが、すでに脅威アクターたちは悪用し始めている。この脆弱性 CVE-2022-31460 (CVSS 7.4) が、脆弱な Owl デバイスに対して悪用されると、自身が接続している Wi-Fi ネットワーク内の、不正なアクセスポイントにされる可能性が生じる。

Continue reading “Meeting Owl Pro の脆弱性 CVE-2022-31460 が FIX:悪用が始まり CISA も対応を表明”

IoT アーキテクチャ@カーネギーメロン大:データ最小化の原則に基づく動作とは?

New Privacy Framework for IoT Devices Gives Users Control Over Data Sharing

2022/06/09 TheHackerNews — プライバシーに配慮した、新たにデザインされたアーキテクチャでは、開発者がデータ共有の懸念に対処し、ユーザーが個人情報を管理できるような方法で、スマートホーム・アプリを作成することが目的となっている。カーネギーメロン大学の研究者たちにより Peekaboo と名付けられたシステムは、「家庭内のハブを活用し、外部のクラウド・サーバーに送信する前に、構造的かつ強制力のある方法で、送信データを前処理して最小化する」と説明されている。

Continue reading “IoT アーキテクチャ@カーネギーメロン大:データ最小化の原則に基づく動作とは?”

Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害

Linux botnets now exploit critical Atlassian Confluence bug

2022/06/08 BleepingComputer — Atlassian の Confluence Server/Data Center に存在するリモートコード実行 (RCE) 脆弱性を、複数のボットネットが狙っており、パッチが適用されていない Linux サーバーへの感染が広まっている。この脆弱性 CVE-2021-26084 の悪用に成功した未認証の攻撃者は、新たな管理者アカウントを作成し、コマンドを実行し、インターネットに公開されたサーバーを乗っ取り、最終的にはバックドアとしてリモート操作することが可能となる。

Continue reading “Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害”

Facebook Messenger で大規模フィッシング:リダイレクト料で数百万米ドルを稼いだようだ

Massive Facebook Messenger phishing operation generates millions

2022/06/08 BleepingComputer — Facebook と Messenger を悪用した大規模なフィッシング・キャンペーンが、研究者たちにより発見された。それは、数百万人のユーザーをフィッシング・ページに誘い込み、アカウント情報を入力させ、広告を表示させるというものである。このキャンペーン運営者たちは、盗んだアカウントから友人たちをたどり、さらにフィッシング・メッセージを送ることにで、オンライン広告手数料から多額の収益を得ていた。

Continue reading “Facebook Messenger で大規模フィッシング:リダイレクト料で数百万米ドルを稼いだようだ”

Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている

Emotet malware now steals credit cards from Google Chrome users

2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。

Continue reading “Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている”

Radware 調査:2022 Q1 における DDoS 攻撃と App 攻撃の状況は悲惨だった

Q1 2022 DDoS and Application Attack Activity: An Overview

2022/06/08 SecurityBoulevard — 2022年 Q1 におけるサイバー・セキュリティの脅威の状況は、旧来/新規の敵が混在するものとなった。DDoS の脅威は新たな勢力により支配され、アプリケーション・セキュリティは従来からの攻撃ベクターに直面し続けている。これらの攻撃は、地政学的な不安定さ、ハクティビスト、国民国家の脅威者、新たな脆弱性の悪用にフォーカスする、脅威の状況により大幅に加速されている。2022年 Q1 に発生したネットワーク/アプリケーションに対する攻撃活動の詳細な分析は、Radware 2021-2022 Global Threat Analysis Report で確認できる。以下のハイライトを参照し、驚くべき結果を確認してほしい。

Continue reading “Radware 調査:2022 Q1 における DDoS 攻撃と App 攻撃の状況は悲惨だった”

米政府とキプロス警察:SSNDOB という個人情報ブラック・マーケットを押収

US dismantled and seized SSNDOB cybercrime marketplace

2022/06/08 SecurityAffairs — 米国司法省は、米国内の個人が所有する氏名/生年月日/社会保障番号などの個人情報を、不正に提供する一連の Web サイト SSNDOB Marketplace を差し押さえたと発表した。当局によると、SSNDOB Marketplace は、米国内の約 2400万人分の個人情報を掲載し、$19 million USD の利益を計上しているとのことだ。この国際作戦は、FBI/DoJ/Internal Revenue Service と、キプロス警察により実施された。

Continue reading “米政府とキプロス警察:SSNDOB という個人情報ブラック・マーケットを押収”

Cybereason のランサムウェア調査:リピーター被害者になる企業が 80% に達した

It Doesn’t Pay to Pay: Study Finds Eighty Percent of Ransomware Victims Attacked Again

2022/06/08 SecurityWeek — 支払うことはない。この、ランサムウェア支払いに関するアドバイスは、よく言われるものであるが、その事例が列挙されることは殆どなかった。それが、ようやく実現した。新しい調査によると、身代金を支払った企業の 80% が2回目の被害に遭い、40% が再び支払っていることが分かった。そのうちの 70% は、2回目のほうが高額の身代金を支払っている。

Continue reading “Cybereason のランサムウェア調査:リピーター被害者になる企業が 80% に達した”

ThreatLabz 調査:ランサムウェア攻撃は前年比で 80% 増で手口も多様化

Ransomware attacks setting new records

2022/06/07 HelpNetSecurity — Zscaler は、毎年恒例の ThreatLabz Ransomware Report の調査結果を発表し、ランサムウェア攻撃が前年比で80%増加したことを明らかにした。2022年に最も広まったランサムウェアのトレンドとしては、二重脅迫/サプライチェーン攻撃/RaaS/リブランディング/地政学的扇動などが挙げられている。このレポートでは、サイバー犯罪者に最も狙われている業界の詳細や、二重脅迫やサプライチェーン攻撃による被害などが説明され、現在活動している最も活発なランサムウェアグループが紹介されている。

Continue reading “ThreatLabz 調査:ランサムウェア攻撃は前年比で 80% 増で手口も多様化”

Pegasus Airline から漏洩した 6.5TB の機密情報:CSPM があれば AWS S3 バケットを守れたのか?

6.5TB of Sensitive Data Flies Away in Airline Cloud Data Breach

2022/06/07 SecurityBoulevard — つい先日のこと、Pegasus Airline は大規模なAWSデータ侵害に見舞われ、6.5TB のデータを危険にさらすことになった。最終的に、乗務員の個人情報/平文パスワード/秘密鍵/ソースコードなどの機密情報を含む、2300万件のファイルが公開されてしまった。犯人と思われるのは、悪名高い S3 バケット問題である。

Continue reading “Pegasus Airline から漏洩した 6.5TB の機密情報:CSPM があれば AWS S3 バケットを守れたのか?”

SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減

Gathering Momentum: 3 Steps Forward to Expand SBoM Use

2022/06/06 DarkReading — IT 環境における Software Bills of Materials (SBoM) の普及を求める声は大きくなっているが、アプリケーション・ポートフォリオで使用されている、ソフトウェア・コンポーネントの追跡のために SBoM を一貫して導入している組織は、相対的に少ないという現実がある。

Continue reading “SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減”

Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている

Windows zero-day exploited in US local govt phishing attacks

2022/06/06 BleepingComputer — 欧州政府および米国の地方自治体が、Windows の深刻なゼロデイ脆弱性 Follina を悪用する、RTF 文書を介したフィッシング・キャンペーンのターゲットになっている。BleepingComputer は、このキャンペーンの標的となった、少なくとも2つの米国の地方自治体を確認している。エンタープライズ・セキュリティ企業 Proofpoint のセキュリティ研究者は、「Proofpoint は、脆弱性 Follina CVE-2022-30190 を悪用しようとする、欧州政府および米国の地方政府を標的とした、国家ぐるみのフィッシング・キャンペーンをブロックした」と明かしている。

Continue reading “Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている”

Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用までの対応を詳述する

Actively Exploited Atlassian Zero-Day Bug Allows Full System Takeover

2022/06/04 DarkReading — UPDATE — Atlassian Confluence の深刻な脆弱性を悪用する攻撃が多発しており、サーバーが完全に乗っ取られる可能性があると、セキュリティ研究者たちが警告している。この脆弱性 CVE-2022-26134 は、未認証のリモート・コード実行を可能にするコマンド・インジェクションの問題であり、Confluence Server/Confluence Data Center のすべての現行バージョンに影響を及ぼす。Volexity による、2つのゼロデイ攻撃に関するフォレンジック調査では、特別に細工した Web リクエストを Confluence のシステムに送信するだけで、認証情報やユーザーの操作を必要とせずに、攻撃者による悪用が成功する可能性があるとのことだ。なお、Atlassian Cloud サイトに影響はない — UPDATE

Continue reading “Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用までの対応を詳述する”

Apple App Store の 2021年:160万件の危険/脆弱なアプリの配信が阻止された

Apple blocked 1.6 millions apps from defrauding users in 2021

2022/06/04 BleepingComputer — 今週、Apple App Store のアプリ審査チームは、2021年に申請された iOS アプリについて、343,000 件以上がプライバシー違反でブロックされ、157,000 件が 詐欺/スパムの理由で却下されたと発表した。さらに App Store では、34,500 件以上のアプリが、文書化されていない機能や隠し機能を理由にブロックされ、155,000件のアプリが、承認後に新しい機能/性能を追加したことなどで削除されている。2021年を通じて App Review チームは、160 万件以上の危険/脆弱なアプリの追加やアップデートを阻止している。

Continue reading “Apple App Store の 2021年:160万件の危険/脆弱なアプリの配信が阻止された”

Evil の新たな戦略:LockBit ランサムウェアの運用により制裁を逃れる?

Evil Corp switches to LockBit ransomware to evade sanctions

2022/06/02 BleepingComputer — 現時点におけるサイバー犯罪グループ Evil Corp は、米国財務省外国資産管理局 (OFAC:Office of Foreign Assets Control) が課す制裁を回避するため、ランサムウェア LockBit を標的ネットワークに展開する方法へと、切り替えていることが明らかになった。2007年から活動している Evil Corp (INDRIK SPIDER/ Dridex) は、Dridex マルウェアを展開した後にランサムウェアをビジネスへと転換した、パイオニアとして知られている。

Continue reading “Evil の新たな戦略:LockBit ランサムウェアの運用により制裁を逃れる?”

RaaS ギャングとアクセス・ブローカーの緊密な関係:深化するエコシステムを追跡

Access Brokers and Ransomware-as-a-Service Gangs Tighten Relationships

2022/06/02 SecurityWeek — ここ数年、ダークウェブ・ウォッチャーたちは、サイバー犯罪集団の専門性の高まりに注目している。脅威アクターたちは、利益を最大化するための業務の効率化という目的のもとに、うまく組織化されている。アクセス・ブローカーと Ransomware-as-a-Service (RaaS) グループがより密接な関係になっていることは、明らかな進展である。

Continue reading “RaaS ギャングとアクセス・ブローカーの緊密な関係:深化するエコシステムを追跡”

ウクライナの不安定化を狙うロシア:サイバー空間での戦いに “Z” は失敗している

Russia is ‘failing’ in its mission to destabilize Ukraine’s networks after a series of thwarted cyber-attacks

2022/06/02 DailySwig — ウクライナのサイバー耐性を揺るがすという任務に、ロシアは失敗している。言い換えるなら、ウクライナは、同国は圧制者からのサイバー攻撃をうまく阻止し続けている。これは、今週に開催された WithSecure の Sphere Conference で得られた教訓であり、同社の CRO である Mikko Hyppönen は、「プーチン政権は、ほぼ失敗している」と出席者に伝えた。

Continue reading “ウクライナの不安定化を狙うロシア:サイバー空間での戦いに “Z” は失敗している”

Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない

Conti ransomware targeted Intel firmware for stealthy attacks

2022/06/02 BleepingComputer — Conti ランサムウェアから流出したチャットを分析した研究者たちは、ロシアのサイバー犯罪グループ内のチームが、ファームウェアのハッキングを積極的に行ってきたことを発見した。このサイバー犯罪シンジケートのメンバーたちが交わしたメッセージによると、Conti の開発者は、Intel の Management Engine (ME) を活用してフラッシュを上書きし、System Management Mode (SMM) を実行させる PoC コードを作成していたことが判明した。

Continue reading “Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない”

Clipminer マルウエアが野放し状態:トランザクション・ハイジャックにより $1.7 M が盗まれた

Clipminer malware gang stole $1.7M by hijacking crypto payments

2022/06/02 BleepingComputer — 脅威アナリストたちが、Clipminer という名の暗号通貨マイニング・マルウェアの大規模キャンペーン発見し、トランザクション・ハイジャックを行うオペレーターたちが、少なくとも $1.7 million の利益を得ていることが明らかになった。Broadcom 傘下 Symantec の研究者たちによると、Clipminer は KryptoCibule マルウェアをベースにしているとのことだ。どちらのトロイの木馬も、ウォレットを盗み出し、トランザクションをハイジャックし、感染させたマシンで暗号通貨を採掘することに重点を置いている。

Continue reading “Clipminer マルウエアが野放し状態:トランザクション・ハイジャックにより $1.7 M が盗まれた”

FluBot がテイクダウン:FedEx/DHL 追跡アプリを装うマルウェアを確認しよう

FluBot Android Spyware Taken Dwn in Global Law Enforcement Operation

2022/06/01 TheHackerNews — 今回の国際的な法執行活動に参加した 11カ国により、FluBot と呼ばれるモバイル・マルウェアの脅威は取り除かれた。欧州警察機構 (Europol) は「この Android マルウェアは、SMS を介して積極的に拡散され、世界中の感染したスマートフォンから、パスワードやオンライン・バンキングの詳細などの、機密情報が盗み出された」と声明で述べている。この複雑な捜査には、オーストラリア/ベルギー/フィンランド/ハンガリー/アイルランド/ルーマニア/スペイン/スウェーデン/スイス/オランダ/米国などの各当局が関与している。

Continue reading “FluBot がテイクダウン:FedEx/DHL 追跡アプリを装うマルウェアを確認しよう”

R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明

Researchers Devise Attack Using IoT and IT to Deliver Ransomware Against OT

2022/06/01 SecurityWeek — ランサムウェアとは、恐喝の一種である。その唯一の目的は、被害者から金銭を引き出すことだ。産業界が身代金要求の回避に成功すると、攻撃者はもう一つのレベルの強要を、すなわちデータ恐喝を追加するという、二重の強要を作り出した。防御側が二重の恐喝を上手くわすようになると、攻撃者は再び進化を遂げるだろう。最も明白な道は、IT だけでなく OT (Operational Technology も攻撃することだろう。OT に対する攻撃の実現は困難だが、その効果を緩和することも同様に困難である。サイバー恐喝の進化は、OT に対する攻撃を、単なる可能性には留まらせない。

Continue reading “R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明”

Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?

New Windows Search zero-day added to Microsoft protocol nightmare

2022/06/01 BleepingComputer — Windows Search で見つかった新たなゼロデイ脆弱性は、Word 文書を起動するだけで、リモートにホストされているマルウェア実行ファイルを取り込んだかたちで、検索ウィンドウを自動的に開いてしまうとされる。このセキュリティ上の問題は、Windows が search-ms と呼ばれる URI プロトコル・ハンドラをサポートしているため、アプリケーションと HTML リンクを組み合わたせた、悪意の検索にも利用されてしまう。

Continue reading “Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?”

YODA という WordPress 検査ツール:24,000 のサイトで 47,000 の悪意の Plugin を検出

YODA Tool Found ~47,000 Malicious WordPress Plugins Installed in Over 24,000 Sites

2022/06/01 TheHackerNews — 24,931 の Web サイトで、47,337 もの不正な Plugin が発見され た。そのうちの 3,685 の Plugin は正規のマーケットプレイスで販売され、攻撃者たちは $41,500 もの不正な収益を手にしている。ジョージア工科大学の研究者グループが実施した、8年間にわたる調査によると、この結果は、不正な WordPress Plugin を検出し、その起源を追跡することを目的とした、YODA と呼ばれる新しいツールから得られたものとなる。

Continue reading “YODA という WordPress 検査ツール:24,000 のサイトで 47,000 の悪意の Plugin を検出”

ランサムウェアの調査:IBM X-Force が指摘する攻防時間の大幅な短縮とは?

Ransomware attacks need less than four days to encrypt systems

2022/06/01 BleepingComputer — 2021年におけるランサムウェア攻撃の持続時間は、イニシャル・ネットワーク・アクセスからペイロード展開までを計測した結果、平均で 92.5時間でとなった。2020年のランサムウェア・アクターたちは、攻撃を完了するまでに平均で 230時間を、また、2019年は 1637.6時間を費やしていた。この変化は、大規模オペレーションと高収益性を目指して、ランサムウェア運用者たちが時間をかけて進化させてきた、より合理的なアプローチを反映するものだ。

Continue reading “ランサムウェアの調査:IBM X-Force が指摘する攻防時間の大幅な短縮とは?”

Microsoft Office のゼロデイ脆弱性 Follina:中国の国家支援ハッカーが積極的に悪用

Chinese Hackers Begin Exploiting Latest Microsoft Office Zero-Day Vulnerability

2022/05/31 TheHackerNews — 中国国家に支援される高度持続的脅威 (APT) 脅威アクターが、Microsoft Office の新しいゼロデイ脆弱性を武器にして、侵害したシステムでコード実行を可能にしていることが確認された。エンタープライズ・セキュリティ企業である Proofpoint は、「この TA413 CN APT は、脆弱性 Follina を悪用することで、悪意の URL から ZIP アーカイブを配信し、そこに含まれる Word ドキュメントを攻撃に使用する。いまは、それが野放しの状態である。このキャンペーンは、中央チベット自治政府の Women Empowerments Desk になりすまし、ドメイン tibet-gov.web[.]app を使用している」とツイートで述べている。

Continue reading “Microsoft Office のゼロデイ脆弱性 Follina:中国の国家支援ハッカーが積極的に悪用”

MySQL Server と攻撃面積:360万台以上がインターネットに露出していると判明

Over 3.6 million MySQL servers found exposed on the Internet

2022/05/31 BleepingComputer — MySQL Server 360万台以上がインターネット上に公開され、クエリに応答しているため、ハッカーや脅威アクターたちの魅力的なターゲットとなっている。これらのリモート・アクセスが可能な MySQL サーバーのうち、230万台が IPv4、130万台が IPv6 で接続されている。

Continue reading “MySQL Server と攻撃面積:360万台以上がインターネットに露出していると判明”

XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す

New XLoader botnet uses probability theory to hide its servers

2022/05/31 BleepingComputer — 脅威アナリストたちが明らかにしたのは、ボットネット・マルウェア XLoader の新バージョンでは、確率論を用いた Command and Control (C2) サーバー隠蔽機能が実装され、マルウェアの対策が困難になるという点である。それにより、マルウェアの運営者は、特定された IP アドレスのブロックによりノードを失うというリスクを負うことなく、同じインフラを使い続けることが可能となり、また、追跡/特定のリスクも低減されるという。

Continue reading “XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す”

Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が

Microsoft Releases Workarounds for Office Vulnerability Under Active Exploitation

2022/05/30 TheHackerNews — 日本マイクロソフトは、同社の Office で発見されたゼロデイ脆弱性の悪用に成功した攻撃者に、システム上でのコード実行を許してしまう問題への緩和策を発表した。現時点で、この脆弱性 CVE-2022-30190 の CVSS 値は 7.8 と評価されている。Microsoft の Office 2013/2016/2019/2021、および Professional Plus エディションが影響を受けるとされている。

Continue reading “Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が”

Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行

Watch Out! Researchers Spot New Microsoft Office Zero-Day Exploit in the Wild

2022/05/30 TheHackerNews — サイバー・セキュリティ研究者たちは、Microsoft Office のゼロデイ脆弱性の悪用に成功した脅威アクターに、Windows システム上での任意のコード実行を許す可能性があるという注意を呼びかけている。この脆弱性は、nao_sec として知られる独立系のサイバー・セキュリティ研究チームが、ベラルーシの IP アドレスから VirusTotal にアップロードされた Word 文書 [05-2022-0438.doc] を発見したことで明らかになった。

Continue reading “Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行”

EnemyBot の狙う脆弱性がエグイ:即座に VMware/Spring/F5 BIG-IP に対応

EnemyBot malware adds exploits for critical VMware, F5 BIG-IP flaws

2022/05/29 BleepingComputer — 複数のマルウェア・コードをベースにしたボットネット EnemyBot は、Webサーバー/CMS/IoT/Android 端末などで公開されたばかりの、深刻な脆弱性の悪用に迅速に対応し、その範囲を拡大している。このボットネットは、Securonix の研究者により 3月に初めて発見され、Fortinet から新しいサンプルの分析結果が提供された 4月には、すでに 12種類以上のプロセッサ・アーキテクチャの不具合を統合していた。このマルウェアは、分散型サービス拒否 (DDoS) 攻撃を主目的としており、新しいターゲット・デバイスをスキャンして感染させるモジュールも備えている。

Continue reading “EnemyBot の狙う脆弱性がエグイ:即座に VMware/Spring/F5 BIG-IP に対応”

ChromeLoader ブラウザ・ハイジャックの恐怖:PowerShell と ISO の悪用について深堀りする

ChromeLoader Malware Hijacks Browsers With ISO Files

2022/05/28 DarkReading — 今週に発表された2つのアドバイザリによると、ChromeLoader と呼ばれるブラウザ・ハイジャック・マルウェアは、その活動を盛んにし、運用も巧妙になってきているようであり、ビジネス・ユーザーにとって大きな脅威となっている。ChromeLoader は、オートメーションとコンフィグレーションを管理するフレームワーク PowerShell を悪用し、ブラウザに自身を注入し、悪意の拡張機能を追加するという洗練されたマルウェアである。今日における企業の環境は、柔軟な労働環境と多様なエンドポイントを持ち、SaaS への依存度を高めているため、この種の脅威は攻撃対象領域を大幅に拡大させる。

Continue reading “ChromeLoader ブラウザ・ハイジャックの恐怖:PowerShell と ISO の悪用について深堀りする”

Microsoft が Azure AD 全テナントに対して Security Defaults を有効化

Microsoft to force better security defaults for all Azure AD tenants

2022/05/27 BleepingComputer — Microsoft の発表によると、すべての既存 Azure Active Directory (Azure AD) テナントにおいて、厳格なセキュリティ設定である Security Defaults を、2022年6月下旬には自動的に有効にするとのことだ。2019年10月に、新規テナントのみに対して導入された Security Defaults は、IT チームを持たない組織であっても、最小限の労力で優れた ID セキュリティ衛生を導入できるように設計された、一連の基本的なセキュリティ機構である。

Continue reading “Microsoft が Azure AD 全テナントに対して Security Defaults を有効化”

GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明

GitHub: Attackers stole login details of 100K npm user accounts

2022/05/27 BleepingComputer — GitHub が明らかにしたのは、4月中旬に発生したセキュリティ侵害において、Heroku と Travis-CI に発行された OAuth アプリ・トークンを悪用した攻撃者により、約10万件の npm アカウントのログイン情報が盗み出されたという状況である。この脅威アクターは、数十の組織が所有するプライベート・リポジトリからの侵入と、データの窃取に成功したという。

Continue reading “GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明”

MITRE の ATT&CK Framework:悪意の行動を分類する TTP の重要性とは?

MITRE ATT&CK Framework Explained: Why it Matters

2022/05/27 SecurityBoulevard — サイバー脅威は、より頻繁に、より密かに、より巧妙になっていることが、周知の事実になっている。さらに、IP アドレス/ドメイン/ファイルハッシュなどのマーカーを用いた IoC (indicator of compromise) 探索で、脅威を検出するという従来からリアクティブなアプローチは、急速に時代遅れになりつつある。攻撃者は容易に、それらのマーカーを変更して検出を回避するため、侵害が達成された後に、初めて脅威が検出されることも少なくはない。

Continue reading “MITRE の ATT&CK Framework:悪意の行動を分類する TTP の重要性とは?”

Windows 11 KB5014019 の適用により Trend Micro ランサムウェア防御が破壊される

Windows 11 KB5014019 breaks Trend Micro ransomware protection

2022/05/26 BleepingComputer — 今週の Windows 累積更新プログラムのオプション・プレビューでは、Trend Micro のセキュリティ製品の一部との互換性に問題があり、ランサムウェア保護機能などの機能が破壊されることが判明した。Trend Micro は、「当社における複数のエンドポイントおよびサーバープロテクション製品で使用されている UMH コンポーネントは、ランサムウェア保護などの高度な機能を担っている、しかし、Microsoft Windows 11/Windows 2022 オプション・プレビュー・パッチ (KB5014019) を適用して再起動すると、Trend Micro UMH ドライバーが停止するという問題を認識している」と述べている。

Continue reading “Windows 11 KB5014019 の適用により Trend Micro ランサムウェア防御が破壊される”

Google と ロシア制裁:ISP 2社のキャッシュ・サーバーがシャットダウン

Google shut down caching servers at two Russian ISPs

2022/05/26 BleepingComputer — ロシアの ISP 2社が、自社のネットワーク上のグローバル・キャッシング・サーバーが無効化された旨の通知を、Google から受け取った。このキャッシング・サーバーとは、Google のコンテンツをインターネット・ユーザーに高速で提供し、障害が発生したときにも、アクセスに対する信頼性を維持するための ISP 向けノードである。ISP がサーバーに保持するキャッシュとは、ユーザーによる高速でのデータ・ロードを実現するためのものであり、たとえば YouTube コンテンツにとっては必要不可欠なものである。

Continue reading “Google と ロシア制裁:ISP 2社のキャッシュ・サーバーがシャットダウン”

米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた

FTC fines Twitter $150M for using 2FA info for targeted advertising

2022/05/25 BleepingComputer — 米連邦取引委員会 (FTC) は、二要素認証を運用するために収集した電話番号や電子メールアドレスを、Twitter がターゲット広告に使用したとして、$150 million の罰金を科した。裁判資料 [PDF] によると、2013年から Twitter は 1億4千万人以上のユーザーに対して、そのアカウントを保護するための情報を求めたが、そのデータがターゲット広告にも使われることを伝えていなかった。

Continue reading “米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた”

ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす

New ChromeLoader malware surge threatens browsers worldwide

2022/05/25 BleepingComputer — マルウェア ChromeLoader は、2022年に入っていからの検出量が平均していたが、5月に入ってからは増加しており、ブラウザ・ハイジャックの脅威を拡大させる原因となっている。ChromeLoader は、被害者の Web ブラウザーの設定を変更し、不要なソフトウェアや、偽の景品やアンケート、アダルトゲーム、出会い系サイトなどを宣伝するための、検索結果を表示するブラウザー・ハイジャッカーである。

Continue reading “ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす”

BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う

BPFDoor malware uses Solaris vulnerability to get root privileges

2022/05/25 BleepingComputer — Linux および Solaris 向けのステルス型マルウェア BPFdoor の、内部構造に関する新たな研究により、このマルウェアの背後にいる脅威アクターは、標的システム上で持続性を得るために、古い脆弱性を利用していることが明らかになった。BPFDoor はカスタム・バックドアであり、少なくとも5年間において、通信/政府/教育/物流などの組織への攻撃で、ほとんど検出されずに使用されてきた。

Continue reading “BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う”

Verizon 2022 DBIR 調査:23,896件のインシデントを分析して得られた指標とは?

Verizon 2022 DBIR: External attacks and ransomware reign

2022/05/25 HelpNetSecurity — Verizon Business は 2022 Data Breach Investigations Report (2022 DBIR) において、ランサムウェアによる侵害の比率は 25% に達し、前年比で 13% 増であることを明らかにした。これまでの 15年間にわたり、Verizon は年次レポートである DBIR を発行し、世界中のセキュリティ専門家や経営者に対して、サイバー・インシデントやデータ侵害に関連する、グローバルなトレンドやパターンを提供してきた。今回の最新版では、2020年11月1日〜2021年10月31日に発生した 23,896件のセキュリティ・インシデント (そのうちの 5,212件は侵入が確認) を、同社のアナリストが調査/分析し、以下の項目を明らかにしている。

Continue reading “Verizon 2022 DBIR 調査:23,896件のインシデントを分析して得られた指標とは?”

偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式

Cybersecurity Community Warned of Fake PoC Exploits Delivering Malware

2022/05/24 SecurityWeek — サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれた。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告した。

Continue reading “偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式”

ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明

Ransomware still winning: Average ransom demand jumped by 45%

2022/05/23 HelpNetSecurity — Group-IB は、ナンバーワン脅威の進化を示すガイド Ransomware Uncovered 2021/2022 を発表した。このレポート第2版における調査結果によると、ランサムウェア帝国は連勝を重ね、2021年の身代金の返金要求額は、45% 増の $247,000 に達したとされる。2020年以降のランサムウェア・ギャングは、ずっと貪欲になっている。Hive がMediaMarkt に対して要求した身代金は、$240 million (2020年は $30 million) という記録的なものだった。Hive だけではなく、2021年のもう1人の新参者 Grief は、専用リークサイト (DLS) に投稿された被害者の数で、Top-10 ギャングの仲間入りを果たした。

Continue reading “ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明”

PayPal の未パッチ脆弱性:クリック・ジャックの一撃で現金が盗まれる

New Unpatched Bug Could Let Attackers Steal Money from PayPal Users

2022/05/23 TheHackerNews — あるセキュリティ研究者が、PayPal 送金サービスに存在する、パッチが適用されていない脆弱性を発見したと主張している。この脆弱性を悪用する攻撃者が被害者を騙して、攻撃者が指示した取引を1回のクリックで完了させる可能性があると述べている。

Continue reading “PayPal の未パッチ脆弱性:クリック・ジャックの一撃で現金が盗まれる”