GitHub-Backed Malware Spread via LNK Files in South Korea
2026/04/06 gbhackers — Windows ショートカット・ファイル (LNK) と GitHub を悪用する攻撃者が、韓国の組織を標的とするステルス性の高い多段階マルウェア攻撃を展開している。 この攻撃は LNK ファイル/PowerShell/GitHub API を連携させ、通常の企業トラフィックに紛れ込みながら監視ツールを配布するものだ。武器化されたスクリプトを取り込む LNK ファイルにより、この攻撃は開始される。
Continue reading “GitHub を悪用する高度なマルウェア:LNK ファイル経由で韓国組織を標的化”Hackers Abuse ScreenConnect to Hijack PCs via Fake Social Security Emails
2026/02/17 hackread — 英国/米国/カナダ/北アイルランドの組織を標的とする、新たなサイバー攻撃の波が確認された。Forcepoint X-labs の最新調査によると、この攻撃者は米国の社会保障局 (SSA:Social Security Administration) を装うことでセキュリティを回避し、それらのコンピュータを完全に掌握しようとしている。Hackread.com と共有された報告書によると、この攻撃は高度な新型マルウェアに依存するのではなく、システムに組み込まれた防御機構を弱体化させることで成功を収めている。
Continue reading “ScreenConnect を用いる PC Hijack:公式の通知を装うメールに御用心”SonicWall VPNs Actively Exploited for 0-Day Vulnerability to Bypass MFA and Deploy Ransomware
2025/08/04 CyberSecurityNews — SonicWall – Secure Mobile Access (SMA) の、VPN/Firewall アプライアンスに存在するとされるゼロデイ脆弱性が、活発に悪用されるという状況にある。攻撃者たちは、初期侵入から僅か数時間で多要素認証 (MFA) 回避し、ランサムウェア展開を可能にしている。一連の攻撃は、SonicWall アプライアンスへの侵入から始まり、迅速かつ一貫した手順により展開されている。Huntress/Arctic Wolf/Sophos などのセキュリティ企業が報告するのは、これらのデバイスを標的とする深刻なインシデントが急増しており、関連組織にとって継続的かつ重大な脅威となっていることだ。
Continue reading “SonicWall VPN の未知の脆弱性:MFA バイパスと Akira ランサムウェアの展開を観測”UNC3944 Attacking VMware vSphere and Enabling SSH on ESXi Hosts to Reset ‘root’ Passwords
2025/07/24 CyberSecurityNews — UNC3944 という金銭目的の脅威組織について確認されたのは、小売/航空/保険などの業界の VMware vSphere 環境を標的とする高度なサイバー・キャンペーンの展開と、”0ktapus”/”Octo Tempest”/”Scattered Spider” との関連性である。この攻撃者が採用する手口は、ソーシャル・エンジニアリングとハイパーバイザー・レベルへの攻撃の併用であるという。米国の小売業界に対する攻撃が激化しているという FBI の警告を受けて、2025年半ばに Google Threat Intelligence Group (GITG) が、このキャンペーンを分析/特定した。
Continue reading “VMware vSphere を攻撃する UNC3944:ESXi Host 上の SSH を介した巧妙な侵入”Threat Actors Exploit Windows and Linux Server Vulnerabilities to Deploy Web Shells
2025/06/28 gbhackers — ファイル・アップロードの脆弱性を悪用する脅威アクターが、Windows/Linux システムに対して、Web シェルや高度なマルウェアを展開する様子が確認されている。この攻撃キャンペーンの特質は、公開されている正規ツールと悪意のカスタム・ペイロードの組み合わせにあり、イニシャル・アクセス/永続化/ラテラル・ムーブメントなどを介して組織ネットワークの侵害を試行する、高度に組織化された取り組みを示している。
Continue reading “Windows/Linux を標的とする活動を観測:正規ツールとマルウェアを組み合わせる戦術”APT Hackers Exploited Windows WebDAV 0-Day RCE Vulnerability in the Wild to Deploy Malware
2025/06/10 CyberSecurityNews — APT グループ Stealth Falcon による高度なサイバー攻撃キャンペーンでは、未知とされてきたゼロデイ脆弱性が悪用され、トルコの大手防衛企業を標的とする、リモートからマルウェアが実行された。この攻撃では、リモート・コード実行の脆弱性 CVE-2025-33053 が悪用された。それにより脅威アクターは、正規の Windows ツールの作業ディレクトリを操作し、攻撃者が管理する WebDAV サーバからの、悪意のファイル実行を可能にしていた。
Continue reading “Windows WebDAV ゼロデイ CVE-2025-33053 の悪用:APT グループ Stealth Falcon の高度な戦略”Cityworks Zero-Day Vulnerability Used by UAT-638 Hackers to Infect IIS Servers with Shell Malware
2025/05/22 gbhackers — 広く利用される資産管理システム Cityworks において、ゼロデイのリモート・コード実行の脆弱性 CVE-2025-0994 が積極的に悪用されていることを、Cisco Talos が発見した。この深刻な脆弱性を悪用するのは、中国語圏の脅威アクターとして追跡される UAT-6382 というグループだと、高い確度で推定されている。このグループは、2025年1月以降において、米国の地方自治体のネットワークを標的としている。
Continue reading “Cityworks のゼロデイ脆弱性 CVE-2025-0994 が FIX:中国由来の UAT-6382 が IIS を攻撃中”Ransomware Gangs Use Skitnet Malware for Stealthy Data Theft and Remote Access
2025/05/19 TheHackerNews — Skitnetと呼ばれるマルウェアを、ポスト・エクスプロイトで使用する複数のランサムウェア・グループが、機密データを窃取し、侵害したホストをリモート制御しようとしている。スイスのサイバー・セキュリティ企業 PRODAFT は、「Skitnet は、RAMP などのアンダーグラウンド・フォーラムで、2024年4月から販売されている。さらに、2025年の初頭以降においては、複数のランサムウェア攻撃者が、実際の攻撃で Skitnet を使用しているのを確認している」と、The Hacker News に述べている。
Continue reading “Skitnet という多段型インフォ・スティーラーに注意:ステルス性を備え Black Basta ランサムウェアなどを配信”Booking.com Phishing Scam Uses Fake CAPTCHA to Install AsyncRAT
2025/04/21 HackRead — 偽の Booking.com メールを使用してホテルのスタッフを狙う、新たなフィッシング・キャンペーンが確認された。この攻撃はソーシャル・エンジニアリングを巧みに利用し、被害者自身のシステム上で悪意のコマンドを実行させ、最終的にホテルのネットワークを AsyncRAT に感染させ、さらなる侵害の拡大を目的とするものだ。
Continue reading “Booking.com を装うフィッシング詐欺:偽の CAPTCHA を使用して AsyncRAT を展開”CVE-2025-26633: Water Gamayun Exploits Windows MMC in Active Zero-Day Campaign
2025/03/25 SecurityOnline — Windows の脆弱性 CVE-2025-26633 だが、Water Gamayun として知られるロシア由来の高度な脅威アクターにより積極的に悪用されているという。この脅威アクターは、EncryptHub や Larva-208 といった別名でも活動している。Trend Research が発表したのは、この攻撃者が MSC EvilTwin という手法を用いて、Windows の Microsoft Management Console (MMC) を悪用するキャンペーンに関する情報である。
Continue reading “Windows MMC の脆弱性 CVE-2025-26633 を悪用:Water Gamayun が展開するキャンペーンとは?”China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access
2025/03/05 TheHackerNews — Microsoft Exchange サーバのセキュリティ欠陥を、2021年1月のゼロデイ攻撃で悪用していた中国由来の脅威アクターだが、企業ネットワークへのイニシャル・アクセスの手段を、IT サプライチェーンを標的とする戦術へと転換しているようだ。この情報は、Microsoft Threat Intelligence チームの新たな調査結果によるものであり、いまの Silk Typhoon (旧 Hafnium) ハッキング・グループは、攻撃の足がかりを得るためにリモート管理ツールやクラウド・アプリなどの、IT ソリューションを標的にしているという。
Continue reading “中国由来の Silk Typhoon の戦術:脆弱性悪用とパスワード・スプレーの採用”Snake Keylogger Targets Chrome, Edge, and Firefox Users in New Attack Campaign
2024/02/19 gbhackers — Snake Keylogger (別名 404 Keylogger) の新たな亜種が、Google Chrome/Microsoft Edge/Mozilla Firefox などの Web ブラウザのユーザーを、ターゲットにしていることが判明した。FortiGuard Labs は、高度な AI/ML を搭載した最先端のマルウェア検出プラットフォーム FortiSandbox v5.0 (FSAv5) を使用して、この脅威を特定したという。
Continue reading “Snake Keylogger というマルウェア:Chrome/ Edge/Firefox ユーザーが標的”Chinese hackers abuse Microsoft APP-v tool to evade antivirus
2025/02/18 BleepingComputer — 中国の APT ハッキング・グループ Mustang Panda が、Microsoft Application Virtualization Injector ユーティリティを LOLBin として悪用し、正規のプロセスに悪意のペイロードを挿入し、ウイルス対策ソフトウェアによる検出を回避していることが確認された。
Continue reading “Microsoft APP-v Tool を LOLBin として悪用:中国の Mustang Panda が採用する検知回避チェーンとは?”Ransomware abuses Amazon AWS feature to encrypt S3 buckets
2025/01/13 BleepingComputer — 新たに発見されたランサムウェア・キャンペーンの特徴は、脅威アクターだけが知っている AWS の Server-Side Encryption with Customer Provided Keys (SSE-C) の悪用により、Amazon S3 バケットが暗号化され、復号キーとの交換条件として、身代金が要求されるところにある。このキャンペーンは、Halcyon により発見されたものであり、Codefinger と呼ばれる脅威アクターにより、少なくとも2件の暗号化インシデントが発生している。なお、このオペレーターにはエスカレーションの可能性があり、また、他の脅威アクターたちに素早く採用される可能性もあるという。
Continue reading “AWS の正規サービス SSE-C を悪用:ユーザーの S3 バケットを暗号化する Codefinger とは?”16 Chrome Extensions Hacked, Exposing Over 600,000 Users to Data Theft
2024/12/29 TheHackerNews — Chrome ブラウザのエクステンションを標的にする、新たな攻撃キャンペーンが発見された。この攻撃では、少なくとも 16 個のエクステンションが侵害され、60万人以上のユーザーが、データ漏洩や認証情報窃取の危険に直面する状況となっている。この攻撃は、Chrome Web Store のブラウザ・エクステンションの発行者を、フィッシング・キャンペーンの標的として侵害し、そのアクセス権限を悪用することで正規のエクステンションに悪意のコードを挿入し、ユーザーのクッキーやアクセス・トークンを盗み出すものだ。最初に被害を受けたエクステンション発行者は、サイバー・セキュリティ企業 Cyberhaven である。
Continue reading “Chrome Extension の危機:16種類の拡張機能をハックするキャンペーンが発覚”2024 Sees Sharp Increase in Microsoft Tool Exploits
2024/12/13 InfoSecurity — 最新の Sophos Active Adversary Report が示すのは、脅威アクターによる正規の Microsoft ツールの悪用が、2023 年と 2024 年上半期の比較において、51% も増加していることだ。2024 年上半期に分析された 190 件のサイバー・インシデントにおいて、187 件で Microsoft 製品を用いる、Living Off the Land Binaries (LOLbins) が観測された。そのうちの 64 件は、Sophos データセットに1回だけ出現していたと、研究者たちは述べている。
Continue reading “Malware から Microsoft LOLBin へ:2024年上半期の脅威データを分析 – Sophos”New Malware Technique Could Exploit Windows UI Framework to Evade EDR Tools
2024/12/11 TheHackerNews — Akamai の研究者が発見した新たなマルウェア手法は、UIA (UI Automation)と呼ばれる Windows のアクセシビリティ・フレームワークを悪用し、EDR (endpoint detection and response) ソリューションに検知されることなく、広範な悪意のアクティビティを可能にするものだ。同社のセキュリティ研究者である Tomer Peled は、「この手法を悪用する攻撃者は、UI Automation を使用するプログラムの実行を、ユーザーに事前に承諾させる必要がある。そうすることで、ステルス・コマンドの実行が可能となり、機密データの収集/フィッシング・サイトへのリダイレクトなどが試行されていく」と、The Hacker News に共有されたレポートで述べている。
Continue reading “Windows UI Framework を悪用する新たな脅威:EDR ツールを回避する可能性”New DCOM Attack Exploits Windows Installer for Backdoor Access
2024/12/11 HackRead — Microsoft の DCOM (Distributed Component Object Model) を悪用し、標的の Windows システムにバックドアをステルス展開するという新たな強力な攻撃手法が、Deep Instinct のサイバーセキュリティ研究者たちにより発見された。この攻撃手法は、Windows Installer サービスを悪用して、カスタム DLL をリモートで書き込み、アクティブなサービス内にロードし、任意のパラメータで実行するというものだ。なお、DLL (Dynamic Link Library) とは、複数のプログラムで共有されるコード/データ/リソースを含む Windows ファイルである。
Continue reading “Windows Installer を悪用する DCOM 攻撃:バックドアをステルス展開”Activation Context Hijacking: “Eclipse” PoC Weaponizes Trusted Processes
2024/12/08 SecurityOnline — BlackArrow のレッド チーム・オペレーターである、Kurosh Dabbagh Escalante が発表したのは、Eclipse という名の PoC ツールである。この Eclipse は、Activation Contexts ハイジャックと呼ばれる手法をエミュレートするものであり、ターゲット・プロセス内での任意の DLL のロード/実行を達成する。Escalante は、このツールを “DLL サイドローディング + DLL プロキシのより柔軟な代替手段” と表現し、信頼されたプロセスに任意のコードを挿入するという点で、幅広い用途があると述べている。
Continue reading “DLL サイドローディングをエミュレート:Eclipse でコンテキスト・ハイジャック”Elpaco Ransomware: A New Threat Actor Leverages CVE-2020-1472 for Global Attacks
2024/11/27 SecurityOnline — 洗練されたランサムウェアの亜種 Elpaco が、Mimic ランサムウェア・ファミリーの進化形とし登場したことを、Kaspersky Labs が発表した。この高度なマルウェアは、多数のカスタマイズ機能を備えており、既知の脆弱性と正規のソフトウェア・ツールを悪用しながら密かに操作を実行し、世界中の被害者をターゲットにしている。
Continue reading “RDP の脆弱性 CVE-2020-1472 がターゲット:Elpaco ランサムウェアの活動が捕捉された”Critical Veeam RCE bug now used in Frag ransomware attacks
2024/11/08 BleepingComputer — Akira/Fog ランサムウェアによる悪用が確認された、Veeam Backup & Replication (VBR) の重大な脆弱性 CVE-2024-40711 が、Frag ランサムウェアの展開にも悪用されていたことが明らかになった。この脆弱性 CVE-2024-40711 は、信頼されていないデータに対するデシリアライゼーションの欠陥により生じるものだ。この脆弱性の悪用に成功した未認証の
攻撃者による、Veeam VBR サーバ上での RCE (remote code execution) 攻撃が可能になることが、セキュリティ研究者 Florian Hauser により発見されている。
Continue reading “Veeam VBR の 脆弱性 CVE-2024-40711:Frag ランサムウェアによる悪用も確認”New “CRON#TRAP” Campaign Exploits Emulated Linux Environments to Evade Detection
2024/11/06 SecurityOnline — Securonix 脅威調査チームが検出したのは、”CRON#TRAP” と呼ばれる高度なマルウェア・キャンペーンの存在である。このキャンペーンは、軽量のエミュレートされた Linux 環境内で攻撃を仕掛けるものである。人気のオープンソース仮想化ソフトウェア QEMU などの、正規のツールを悪用する攻撃者は、セキュリティ対策を回避し、正規のソフトウェアを使用しているように見せかけ、悪意のアクティビティの存在を隠し続ける。
Continue reading “Linux のエミュレート環境が標的:“CRON#TRAP” キャンペーンの巧妙な検出回避術とは?”China-linked group Salt Typhoon hacked US broadband providers and breached wiretap systems
2024/10/06 SecurityAffairs — Verizon/AT&T/Lumen Technologies などの米国のブロードバンド・プロバイダーに侵入した、中国由来の APT グループ Salt Typhoon (別名 FamousSparrow/GhostEmperor) が、米政府のためのデータ盗聴システムにアクセスした可能性があるという。このニュースを独占的に報じた Wall Street Journal によると、このセキュリティ侵害は、きわめて大きなリスクをもたらすものとなる。それにより、国家安全保障に影響が生じる可能性もあるため、侵害の内容は公表されていないと、WSJ は述べている。専門家たちは、この脅威アクターの目的は情報収集にあると捉えている。
Continue reading “Salt Typhoon という中国由来の脅威アクター:Verizon/AT&T などのブロードバンド・プロバイダーに侵入”New MS-SQL Server Attack Campaign Leverages GotoHTTP for Remote Access
2024/10/05 SecurityOnline — セキュリティ保護されていないアカウントと脆弱なパスワードを狙う、MS SQL Server に対する新しい攻撃が、AhnLab Security Intelligence Center (ASEC) の専門家たちにより発見された。この悪意のキャンペーンで攻撃者は、正規のリモート管理ツール GotoHTTP を使用しているが、この種のオペレーターでが悪用されるのは、きわめて稀なツールである。
Continue reading “MS SQL Server に対する新たな攻撃キャンペーン:GotoHTTP でリモート・アクセスを狙っている”Stealthy Cyberattack Turns Visual Studio Code into a Remote Access Tool
2024/10/01 SecurityOnline — Visual Studio Code (VSCode) を悪用して、被害者のシステムに不正なリモート アクセスを確立する高度なサイバー攻撃を、Cyble Research and Intelligence Labs (CRIL) が発見した。この攻撃は、一般的な検出メカニズムを回避し、信頼できるソフトウェアを悪用することで、悪意のアクションを実行するという、高度なステルス性を発揮している。
Continue reading “Visual Studio Code を悪用する攻撃を検出:Remote-Tunnels エクステンションで C2 通信”Ransomware attackers hop from on-premises systems to cloud to compromise Microsoft 365 accounts
2024/09/30 HelpNetSecurity — RaaS (ransomware-as-a-service) 組織の1つである Storm-0501 が、標的のクラウドとオンプレミスの環境を侵害していることが確認された。9月26日に公開したブログで Microsoft は 、「最新の脅威アクターである Storm-0501 は、企業のオンプレミス環境からクラウド環境へと移動するために、脆弱な認証情報や過剰な特権のアカウントを悪用していることが確認された。彼らは認証情報を盗み、それを使ってネットワークを制御し、最終的にクラウド環境への持続的なバックドア・アクセスを確立する。そして、オンプレミスにランサムウェアを展開していた」と詳述している。
Continue reading “新規の脅威アクター Storm-0501:オンプレからクラウドに侵入して Microsoft 365 アカウントを狙う”CVE-2023-48788 Exploited: Researcher Details Cyberattacks on Fortinet EMS
2024/09/19 SecurityOnline — Fortinet FortiClient EMS の脆弱性に対する、サイバー犯罪者による悪用を詳述するレポートが、Darktrace のサイバーセキュリティ研究者から発表された。同レポートでは、特に CVE-2023-48788 という重大な脆弱性に焦点を当て、さまざまな環境で観測された巧妙な攻撃チェーンと悪用後の戦術の概要が詳述されている。エンドポイント・セキュリティの集中管理に広く使用されている、FortiClient EMS に存在する SQLインジェクション脆弱性 CVE-2023-48788 は、は、CVSS スコア 9.8 と評価されている。
Continue reading “Fortinet EMS の脆弱性 CVE-2023-48788:悪用に関する詳細が公開 – Darktrace”Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC
2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信/電力/政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。
Continue reading “Earth Baxia サイバー・スパイ:GeoServer の CVE-2024-36401 を武器にして APAC を狙う”Medusa Exploits Fortinet Flaw (CVE-2023-48788) for Stealthy Ransomware Attacks
2024/09/14 SecurityOnline — Medusa ランサムウェア・グループは、執拗な攻撃を継続しているだけではなく、ダークウェブ/サーフェスウェブの双方において独自の基盤を確立していると、Bitdefender の最新のレポートが指摘している。他のランサムウェア・グループに対する Medusa の相違点は、サーフェスウェブ上で Name and Shame (名指し非難) ブログを運営するところにある。そのブログには、従来のダークウェブのリークサイトと同様に、被害者に関する情報が投稿されている。
Continue reading “Medusa の活動が拡大:Fortinet CVE-2023-48788 の悪用と OSINT を装うサービスの展開”WhatsUp Gold Under Attack: New RCE Vulnerabilities Exploited
2024/09/12 SecurityOnline — Progress WhatsUp Gold を標的とする、リモート・コード実行 (RCE:remote code execution) 攻撃が、Trend Micro により発見された。同社の WhatsUp Gold に存在する、脆弱性 CVE-2024-6670/CVE-2024-6671 を悪用することで、一連の攻撃が展開されている。攻撃が観測された 2024年8月30日より前の 8月16日に、これらの脆弱性に対してパッチが適用されているが、PoC エクスプロイト・コードの公開により、急速な攻撃の波が引き起こされている。それが浮き彫りにするのは、ユーザー組織におけるパッチ管理により、常に最新の状態に保つことの重要性である。
Continue reading “Progress WhatsUp Gold を狙う RCE 攻撃:脆弱性 CVE-2024-6670/6671 を悪用して展開”RansomHub ransomware gang relies on Kaspersky TDSKiller tool to disable EDR
2024/09/11 SecurityAffairs — TDSSKiller ツールを悪用するランサムウェア・グループ RansomHub が、EDR (endpoint detection and response) システムを無効化していることが、Malwarebytes ThreatDown の調査により判明した。サイバーセキュリティ企業 Kaspersky が開発する TDSSKiller は、ルートキットを削除するための正規ツールである。しかし、このツールを悪用することで、コマンドライン・スクリプトやバッチファイルを通じて、EDR ソリューションを無効化することも可能になる。さらに、RansomHub は、認証情報を収集するために、オープンソースのパスワード復旧ツールである、LaZagne も悪用していることが判明した。
Continue reading “Kaspersky の TDSKiller ツール:RansomHub が EDR の無効化で悪用”BlackByte Ransomware group targets recently patched VMware ESXi flaw CVE-2024-37085
2024/08/27 SecurityAffairs — 先日にパッチが適用されたVMware ESXi の認証バイパスの脆弱性 CVE-2024-37085 (CVSS:6.8) を、BlackByte ランサムウェア・グループが悪用していることを、Cisco Talos が確認した。以前にも複数のランサムウェア・グループが、この脆弱性を悪用していることが確認されている。この7月末には Microsoft が、「複数のランサムウェア・オペレーターが VMware ESXi の脆弱性を悪用し、ドメイン結合された ESXi ハイパーバイザーの完全な管理者権限を取得している状況を、研究者たちが発見した」と警告を発している。
Continue reading “VMware ESXi の脆弱性 CVE-2024-37085:BlackByte ランサムウェアによる悪用を確認”Hackers Use Rare Stealth Techniques to Down Asian Military, Gov’t Orgs
2024/08/27 DarkReading — 東南アジアで進行中の攻撃では、政府の高官組織を感染させるために、ほとんど知られていない2つのステルス技術が使用されている。1つ目の “GrimResource” は、Microsoft Management Console (MMC) で攻撃者が任意のコードを実行できるようにするという、新しいテクニックである。2つ目の “AppDomainManager Injection” は、悪意の DLL を使用するものだが、従来のサイドローディングよりも簡単な方法となる。この手法は7年前から存在しており、イランや中国の脅威アクターや、オープン ソース・コミュニティにおける侵入テスト担当者などに使用されている。ただし、悪意を持った攻撃で実際に見られることは稀であるという。
Continue reading “東南アジアで新たなステルス・テクニック:台湾/フィリピン/ベトナムなどの政府機関に被害 – NTT”Stealthy ‘sedexp’ Linux malware evaded detection for two years
2024/08/24 BleepingComputer — ステルス性の Linux マルウェアである sedexp は、現時点では MITRE ATT&CK フレームワークに取り込まれていない永続化技術を使用して、2022 年から検出を逃れているという。このマルウェアのオペレーターは、リモート・アクセス用のリバース・シェルを作成して攻撃を続行できるという。このマルウェアを発見した、Aon Insurance 傘下のリスク管理会社 Stroz Friedberg は、「この記事の執筆時点では、sedexp が使用する永続化技術 (udev ルール) は 、MITRE ATT&CK では文書化されていない」と指摘している。つまり、sedexp は平凡な場所に隠れているが、高度な脅威であることが強調されている。
Continue reading ““sedexp” はステルス性の Linux マルウェア:2年間にわたり検出を回避してきた”Researchers Uncover Flaws in Windows Smart App Control and SmartScreen
2024/08/05 TheHackerNews — Microsoft の Windows Smart App Control と SmartScreen に設計上の弱点があること、サイバー・セキュリティ研究者たちが明らかにした。Microsoft が Windows 11 で導入した Smart App Control (SAC) は、クラウド・パワーのセキュリティ機能であり、悪意のある、信頼できない、また、潜在的に望ましくないアプリが、システム上で実行されるのをブロックするものだ。また、このサービスにより、アプリについて推測が不可能な場合には、そのアプリの署名の有無や、署名の有効性についてチェックし、実行できるようにする。
Continue reading “Windows の Smart App Control と SmartScreen の欠陥:研究者たちが指摘する回避方法とは?”Dark Gate Malware Campaign Uses Samba File Shares
2024/07/15 SecurityAffairs — 2024年3月〜4月に展開された、DarkGate マルウェア・キャンペーンに関するレポートを、Palo Alto Networks Unit 42 の研究者たちが公開した。このキャンペーンで用いられた手法は、公開されている SMB ファイル共有から、Microsoft Excel ファイルを介して、悪意のソフトウェア・パッケージをダウンロードさせるというものだった。Unit 42 の研究者たちによると、脅威アクターはマルウェアを配布するために、正規のツールやサービスを巧妙に悪用していたという。
Continue reading “DarkGate マルウェア:Samba と Excel を介して配布されている – Unit 42”Akira Ransomware: Lightning-Fast Data Exfiltration in 2-ish Hours
2024/07/12 DarkReading — Akira ランサムウェアの攻撃者は、わずか2時間強で被害者のデータを盗み出せるようになった。つまり、サイバー犯罪者が最初のアクセスから情報流出までに要する平均時間に、大きな変化がもたらされている。この動向は、BlackBerry Threat Research and Intelligence Team の発表で明かされたものだ。同チームは 7月11日に、6月に発生した LATAM Airline への Akira ランサムウェア攻撃に関するブログを公開した。BlackBerry の攻撃分析によると、Akira は Secure Shell (SSH)プロトコルを使用して、パッチが適用されていない Veeam バックアップ・サーバーを介したイニシャル・アクセスを獲得し、翌日に Akira ランサムウェアを展開する前に、重要な情報の窃取に成功したという。
Continue reading “Akira ランサムウェア攻撃:2時間強で LATAM Airline からのデータ窃取を完了”Cybercriminals Escalate Attacks Exploiting Microsoft SmartScreen Flaw (CVE-2024-21412)
2024/07/07 SecurityOnline — Microsoft Defender SmartScreen の脆弱性 CVE-2024-21412 を悪用するサイバー攻撃が急増していることが、Cyble Research and Intelligence Labs (CRIL) が公開したレポートにより明らかになった。この脆弱性に対しては、すでにパッチが適用されているが、以前にも DarkGate や Water Hydra などの脅威グループのキャンペーンで悪用されていた。しかし、現在では、Lumma や MeduzaStealer といった情報窃取マルウェアを展開する、サイバー犯罪者たちにより広く悪用されている。
Continue reading “Microsoft SmartScreen の脆弱性 CVE-2024-21412:情報窃取マルウェアの展開に悪用されている”ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached
2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約3年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア/ヨーロッパ/南米などの、複数の地域の政府機関に影響を及ぼしている。
Continue reading “ProxyLogon/ProxyShell の脆弱性が復活:政府機関の電子メールが侵害される”Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw
2024/06/12 TheHackerNews — 先日に公開された Microsoft Windows Error Reporting Service の権限昇格の脆弱性を、Black Basta 由来と思われるランサム・アクターが、ゼロデイとして悪用した可能性があることが、Symantec の最新レポートにより判明した。Windows Error Reporting Service に存在する、権限昇格の脆弱性 CVE-2024-26169 (CVSS:7.8) の悪用に成功した攻撃者は、SYSTEM 権限を得ることが可能になる。なお、この脆弱性に対して Microsoft は、2024年3月の時点でパッチを適用している。
Continue reading “Windows Error Reporting Service の脆弱性 CVE-2024-26169:Black Basta が悪用?”PHP Vulnerability (CVE-2024-4577) Actively Exploited in TellYouThePass Ransomware Attacks
2024/06/10 SecurityOnline — Web 開発で多用されるスクリプト言語 PHP に、深刻な脆弱性 CVE-2024-4577 が発見され、サイバーセキュリティ界は厳戒態勢を敷いている。現時点において、TellYouThePass と呼ばれるランサムウェアの大規模キャンペーンで、この脆弱性が脅威アクターにより積極的に悪用されている。
Continue reading “PHP の脆弱性 CVE-2024-4577:TellYouThePass ランサムウェアの標的に!”WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites
2024/05/28 TheHackerNews — WordPress の Code Snippet という、あまり知られていないプラグインを悪用して、標的サイトに悪意の PHP コードを挿入することで、クレジットカード情報を窃取するという攻撃が発生している。このキャンペーンは、2024年5月11日に Sucuri により発見されたものであり、ユーザーによるカスタム PHP コードの追加を可能にする、Dessky Snippets という WordPress プラグインを悪用するものだ。なお、このプラグイン は、200 件以上インストールされている。
Continue reading “WordPress Dessky Snippets Plugin:クレジットカード情報の窃取に悪用されている – Sucuri”Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft
2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的/効果的であるということに気づき始めている。独自のインフラを構築/維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。
Continue reading “Microsoft Graph API :C2 インフラ構築のための悪用が増加している”Evil XDR: Researcher Turns Palo Alto Software Into Perfect Malware
2024/04/19 DarkReading — Palo Alto Networks の XDR (Extended Detection and Response) ソフトウェアの狡猾な悪用により、それを悪意のマルチ・ツールのように、攻撃者たちに操られる。4月17日に開催された Black Hat Asia のブリーフィングで、SafeBreach のセキュリティ研究者である Shmuel Cohen は、同社の代表的な製品である Cortex をリバース・エンジニアリングでクラックさせただけでなく、リバースシェルとランサムウェアを展開するために、それを武器化する方法も説明した。
Continue reading “悪魔の XDR:Palo Alto のソフトウェアをマルウェアに変身させる – Black Hat Asia”TeamCity Flaw Leads to Surge in Ransomware, Cryptomining, and RAT Attacks
2024/03/20 TheHackerNews — 先日に公開された JetBrains TeamCity の脆弱性を悪用する複数の脅威アクターが、ランサムウェア/暗号通貨マイナー/Cobalt Strike ビーコンや、Spark RATと呼ばれる Golang ベースの RAT などを展開している。この攻撃は、脆弱性 CVE-2024-27198 (CVSS:9.8) を悪用するものであり、敵対者は認証手段を回避し、影響を受けたサーバの管理者権限を取得する可能性を持つ。
Continue reading “TeamCity の脆弱性 CVE-2024-27198:さまざまな脅威アクターが武器化している”Hackers abuse QEMU to covertly tunnel network traffic in cyberattacks
2024/03/05 BleepingComputer — ある大企業に対するサイバー攻撃を分析したところ、オープンソースのハイパーバイザー・ツールである QEMU が、トンネリング・ツールとして悪用されていることが判明した。QEMU は、コンピュータ上で、他のオペレーティング・システムをゲストとして実行するための、無料のエミュレータ/ハイパーバイザーである。
Continue reading “QEMU がトンネリング・ツールとしてハッカーに悪用されている – Kaspersky 調査”ScreenConnect flaws exploited to drop new ToddleShark malware
2024/03/04 BleepingComputer — 北朝鮮の APT ハッキング・グループである Kimsuky は、ScreenConnect の脆弱性を、特に CVE-2024-1708/CVE-2024-1709 を悪用して、ToddleShark という新しいマルウェアの亜種をターゲットに感染させている。Kimsuky (別名 Thallium/Velvet Chollima) は、北朝鮮の国家支援ハッキング・グループであり、世界中の組織や政府に対するサイバー・スパイ攻撃で知られている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1708/CVE-2024-1709:マルウェアの投下に悪用されている”State-sponsored hackers know enterprise VPN appliances inside out
2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード/パッチ適用/工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。
Continue reading “Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用”Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities
2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN/Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK/CHAINLINE/FRAMESTING/LIGHTWIRE などの、カスタム Web シェルの亜種である。
Continue reading “Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複”CISA: Vendors must secure SOHO routers against Volt Typhoon attacks
2024/01/31 BleepingComputer — CISA が発した警告は、進行中の攻撃から機器のセキュリティを確保するよう、SOHO (small office/home office) ルーターの製造業者に求めるものだ。展開されている攻撃というのは、特に中国が支援するハッキング・グループ Volt Typhoon (別名:Bronze Silhouette) が、ルーターの乗っ取りを試みているというものだ。CISA/FBI による共同ガイダンスで、両機関がベンダーに求めているのは、設計/開発段階における SOHO ルーターの WMI (Web Management Interface) の脆弱性の解消だ。
Continue reading “CISA/FBI 共同警告:SOHO ルーターへの Volt Typhoon 攻撃の対処を要請”
IoT OT Security News 
You must be logged in to post a comment.