N. Korean Lazarus Group Targets Software Vendor Using Known Flaws
2023/10/27 TheHackerNews — 北朝鮮と連携している Lazarus Group が、知名度の高いソフトウェアに存在する既知の脆弱性を悪用し、無名のソフトウェア・ベンダーを侵害するという、新たなキャンペーンを操っているようだ。Kaspersky が指摘するのは、一連の攻撃により SIGNBT/LPEClient などのマルウェア・ファミリーが展開され、被害者のプロファイリングやペイロードの配信に使用される、ハッキング・ツールとして機能している点だ。
Continue reading “北朝鮮の Lazarus Group:ソフトウェアの脆弱性を突いた多彩な攻撃を仕掛け続ける”Microsoft: 0ktapus Cyberattackers Evolve to ‘Most Dangerous’ Status
2023/10/27 DarkReading — Microsoft の 0ktapus サイバー攻撃集団に対する評価は、最も危険な金融犯罪集団のひとつであり、しかもますます巧妙になっているというものだ。最近になって 0ktapus は、MGM と Caesars Entertainment に対して、ランサムウェアによる破壊的な攻撃を行ったことで話題になった。このグループは、Microsoft が Scatter Swine/UNC3944 とも呼ぶ Octo Tempest であり、英語圏に属している。このグループは、通常、敵対的中間者 (AitM) や、ターゲットへの電話を伴うソーシャル・エンジニアリング、SIM スワッピングなどの攻撃を行っている。また、暗号通貨の窃盗/データ流出による恐喝/ランサムウェア攻撃なども行うとされている。
Continue reading “Microsoft 警告:最も危険なサイバー犯罪集団 0ktapus の分析結果を参照してほしい”Winter Vivern: Zero-Day XSS Exploit Targets Roundcube Servers
2023/10/25 InfoSecurity — Roundcube Webmail サーバに存在するクロス・サイト・スクリプティング (XSS) ゼロデイ脆弱性 CVE-2023-5631 を、Winter Vivern グループが悪用して大規模な攻撃を行っている。10月25日 (水) に発表された ESET Research のアドバイザリには、この新たなキャンペーンの標的は、欧州の政府機関およびシンクタンクで利用される Roundcube Webmail サーバだと記されている。この脆弱性は 10月12日の時点で、ESET Research から Roundcube に報告された。この問題を認めた Roundcube チームは、短期間でパッチを適用し、10月16日にセキュリティアップデートをリリースした。
Continue reading “Roundcube Server の 脆弱性 CVE-2023-5631:Winter Vivern グループが攻撃を開始”Quasar RAT Leverages DLL Side-Loading to Fly Under the Radar
2023/10/23 TheHackerNews — Quasar RAT というオープンソースのリモート・アクセス型トロイの木馬は、DLL のサイドローディングを利用して感染させた Windows ホストから、水面下でデータを吸い上げることが確認されている。Uptycs の研究者である Tejaswini Sandapolla と Karthickkumar Kathiresan は、「この手法は、 Windows 環境内で ctfmon.exe/calc.exe ファイルが実行されるという、固有の信頼を利用している」と先週に発表した報告書で述べ、このマルウェアが攻撃チェーンの一部として、ctfmon.exe/calc.exe に依存していることを詳しく説明した。
Continue reading “Quasar RAT は DLL Side-Loading で忍び込む:正規の ctfmon/calc から悪意の DLL を起動”Cisco patches IOS XE zero-days used to hack over 50,000 devices
2023/10/23 BleepingComputer — Cisco が対処した、2つの脆弱性 CVE-2023-20198/CVE-2023-20273 は、先週にハッカーたちに悪用され、数万台の IOS XE デバイスの侵害を引き起こしたものだ。このリリースは、脅威アクターたちが脆弱性をゼロデイとして悪用し、50,000 台以上の Cisco IOS XE ホストを侵害し、完全に制御した後に行われた。
Continue reading “Cisco IOS XE の脆弱性 CVE-2023-20198/CVE-2023-20273 にパッチ適用”Number of hacked Cisco IOS XE devices plummets from 50K to hundreds
2023/10/22 BleepingComputer — ハッキングされ、悪意のバックドアを埋め込まれた Cisco IOS XE デバイスの数が、50,000 台以上から僅か数百台へと急減するという不思議な現象が起こっており、その原因について研究者たち首を傾げている。先日に Cisco は、2つのゼロデイ脆弱性 CVE-2023-20198/CVE-2023-20273 を悪用するハッカーが、50,000 万台以上の Cisco IOS XE デバイスをハッキングし、特権ユーザー・アカウントを作成し、悪意のある LUA バックドア・インプラントをインストールしたと警告している。この LUA インプラントにより、脅威アクターたちはデバイスの最高特権レベル 15 のコマンドを、リモートで実行できるようになる。
Continue reading “Cisco IOS XE のインシデント:侵入されたデバイス数が 50,000 から 1,000 台前後に急減?”QR Codes Used in 22% of Phishing Attacks
2023/10/19 InfoSecurity — Hoxhunt Challenge が明らかにしたのは、フィッシング攻撃に対する従業員の感受性の驚くべき傾向であり、人的リスクの低減におけるエンゲージメントの重要な役割を強調するものだ。10月19日に発表されたのは、9つの業界と 125カ国にまたがる、38の組織で実施された調査の結果であり、2023年10月の最初の週に発生したフィッシング攻撃の 22% において、悪意のペイロード配信のために QR コードが悪用されたと指摘している。
Continue reading “QR コード・フィッシングは全体の 22%:Quishing という新たな脅威に対抗するには?”Fake KeePass site uses Google Ads and Punycode to push malware
2023/10/19 BleepingComputer — Punycode を用いて KeePass パスワード・マネージャーの公式ドメインを装い、マルウェアを配布する偽 KeePass ダウンロード・サイトをプッシュするという、Google 広告キャンペーンが発見された。Google が戦っている、現在進行中の不正広告キャンペーンとは、検索結果の上に表示されるスポンサー広告を、脅威アクターが写し取るものである。
Continue reading “KeePass の偽サイトに御用心:Google Ads と Punycode を用いる巧妙なトリック”Number of Cisco Devices Hacked via Unpatched Vulnerability Increases to 40,000
2023/10/19 securityweek — 複数のサイバー・セキュリティ企業からの報告によると、IOS XE に存在するパッチ未適用の脆弱性の悪用により、Cisco デバイスの約 40,000 台がハッキングされているという。悪用された脆弱性 CVE-2023-20198 は、IOS XE の Web UI に影響を及ぼす深刻な欠陥であり、リモートの未認証の攻撃者に対して、特権昇格を許す可能性があるされる。現時点においても、Cisco はパッチをリリースしていない。また、遅くとも9月中旬以降に、この脆弱性がゼロデイとして悪用されていると、同社は警告している。
Continue reading “Cisco の未パッチ・ゼロデイ CVE-2023-20198:40,000 台のハッキングが観測されている”Google Play Protect Bolsters Security Against Malicious Apps
2023/10/18 InfoSecurity — Google Play Protect の大幅なアップデートにより、Android 端末のセキュリティが強化される。Google によると、今回のアップデートは、モバイル端末を狙ったサイバー脅威の増加に対応するものだという。この Google Play Protect は、約 1250億個のアプリを毎日スキャンし、マルウェアや不要なソフトウェアを検出するために、すでに存在しているセキュリティ機能である。今日のブログ投稿で発表された新たな機能の強化は、コード・レベルのリアルタイム・スキャンを導入するものであり、進化する不正アプリへの対抗を目的とした事前の対策である。
Continue reading “Google Play Protect による保護:悪意のアプリに対するスキャンと排除”North Korean hackers exploit critical TeamCity flaw to breach networks
2023/10/18 BleepingComputer — 北朝鮮のハッキンググループ Lazarus と Andariel が、TeamCity サーバの脆弱性 CVE-2023-42793 を悪用してバックドア型マルウェアを展開し、ソフトウェア・サプライチェーン攻撃を行っているようだと、Microsoft が述べている。TeamCity は、組織がソフトウェア開発インフラの一部として使用する CI/CD (continuous integration and continuous deployment) サーバである。2023年9月に TeamCity は、脆弱性 CVE-2023-42793 (CVSS:9.8/10) を修正し、未認証の攻撃者によるリモートコード実行に対処した。こうして、TeamCity による修正は完了したが、その一方では、ランサムウェア集団などの脅威アクターが、企業ネットワークに侵入するために、この欠陥を悪用し始めている。
Continue reading “JetBrains TeamCity の脆弱性 CVE-2023-42793:北朝鮮の Lazarus が悪用を開始”Malicious Notepad++ Google ads evade detection for months
2023/10/17 BleepingComputer — Google 検索に表示される新たな不正広告キャンペーンにより、人気のテキスト・エディタ Notepad++ をダウンロードしようとするユーザーが標的とされているが、そこでは検出や分析を回避するための高度なテクニックが使用されているという。マルウェアを配布するために作られた、偽ソフトウェアの Web サイトを宣伝する不正広告キャンペーンが盛んであり、Google 広告を悪用する脅威アクターが増加している。
Continue reading “Notepad++ に仕込まれた悪意のコード:Google 検索の広告で偽アプリが宣伝されている”Researchers warn of increased malware delivery via fake browser updates
2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。
Continue reading “Chrome/Edge/Firefox の偽アップデート:狡猾な手口で誘う ClearFake マルウェア”Pro-Russian Hackers Exploiting Recent WinRAR Vulnerability in New Campaign
2023/10/16 TheHackerNews — 先日に公表された WinRAR アーカイブ・ユーティリティの脆弱性を悪用する、親ロシア派のハッキング・グループが、脆弱なシステムから認証情報を採取するフィッシング・キャンペーンを展開している。先週の Cluster25 のレポートには、「この攻撃は、WinRAR 圧縮ソフトウェアのバージョン 6.23 未満に存在する脆弱性 CVE-2023-38831 を介して、悪意のアーカイブ・ファイルを使用するものだ」と記されている。
Continue reading “WinRAR の脆弱性 CVE-2023-38831 を悪用:ロシアのハッカーたちの攻撃で検出”ShellBot Cracks Linux SSH Servers, Debuts New Evasion Tactic
2023/10/14 DarkReading — ShellBot マルウェアを操り Linux SSH サーバを狙うサイバー攻撃者たちが、新たな手法である 16 進数 IP (Hex IP) アドレスを用いて、振る舞いベースの検出を回避し、その活動を隠していることが判明した。AhnLab Security Emergency Response Center (ASEC) の研究者たちによると、この脅威アクターは、従来のドット付き10進数 Command-and-Control URL 形式 (hxxp://39.99.218[.]78) を、Hex IP アドレス形式 (hxxp://0x2763da4e/など) に変換することで、大半の URL ベースの検出シグネチャを回避しているという。
Continue reading “ShellBot マルウェア:Hex IP アドレスを用いた新たな回避手法で Linux SSH サーバを狙う”DarkGate Malware Spreading via Messaging Services Posing as PDF Files
2023/10/13 TheHackerNews — Microsoft の Skype や Teams などの IM (Instant Messaging) プラットフォームを介して、DarkGate というマルウェアが拡散していることが確認されている。これらの攻撃では、PDFドキュメントを装う VBA (Visual Basic for Applications) ローダー・スクリプトを配信するために、それらのメッセージング・アプリが使用される。そして、それらの悪意のスクリプトを開かれると、AutoIt スクリプトのダウンロードと実行がトリガーされ、マルウェアを起動するように設計されている。
Continue reading “DarkGate マルウェア:Skype/Teams を介して悪意の VBA を埋め込んだ PDF を配布”Microsoft Set to Retire Grunge-Era VBScript, to Cybercrime’s Chagrin
2012/10/13 DarkReading — 今週に Microsoft が発表したのは、使い古された VBScript を非推奨にするという方針である。VBScript はサイバー犯罪者たちが愛用するツールであるため、彼らにとっては悪いニュースである。今後の Windows のリリースでは、VBScript の利用範囲が限定され、必要に応じて提供される機能としてのみ利用できるようになるという。そして、最終的には、オペレーティング・システムから完全に削除される予定である。
Continue reading “VBScript の非推奨化と侵害経路の遮断:Microsoft が廃止へ向けて舵を切った”Microsoft Defender now auto-isolates compromised accounts
2023/10/11 BleepingComputer — Microsoft Defender for Endpoint の、新たな Contain User 機能のプレビューは、人手による攻撃で侵害されたユーザー・アカウントを分離し、横方向の移動をブロックするという、自動的な攻撃阻止を目指すものとなっている。この種のハンズオンキーボード攻撃では、人間により操作されるランサムウェアのケースと同様に、脅威者がネットワークに侵入し、盗んだアカウントで権限を昇格させた後に、横方向への移動や悪意のペイロード展開が行われる。
Continue reading “Microsoft Defender の新機能:侵害されたアカウントの自動ブロック”Mirai DDoS malware variant expands targets with 13 router exploits
2023/10/10 BleepingComputer — IZ1H9 として追跡されている Mirai ベースのDDoS (分散型サービス拒否) マルウェア・ボットネットが、D-Link/Zyxel/TP-Link/TOTOLINK などのルーターや Linux ベースのルーターを標的とする、13種類の新たなペイロードを追加したようだ。Fortinet の研究者たちが報告しているのは、9月の第1週頃に悪用率がピークに達し、脆弱なデバイスに対する悪用の試行回数が数万回に達したことである。
Continue reading “Mirai DDoS マルウェアの亜種を検出:13種類のルーターを悪用するための武器とは?”2023/10/07 DarkReading — 今日、統合型サイバーセ・キュリティのグローバル・リーダーである WatchGuard Technologies は、同社の Threat Lab が分析した、マルウェアのトップトレンドや、ネットワークとエンドポイントのセキュリティ脅威について詳述する、最新の Internet Security Report を発表した。この調査結果における要点としては、マルウェアの 95% が暗号化された接続を介して到達することについて、また、広範囲に広がるキャンペーンとエンドポイント・マルウェアの減少や、二重の恐喝攻撃の増加とランサムウェア検出数の減少、いまも悪用される古いソフトウェアの脆弱性の存在などが挙げられている。
Continue reading “WatchGuard Report によるマルウェア/ランサムウェア分析:統計値の増減からトレンドを読み解く”North Korea’s Lazarus Group Launders $900 Million in Cryptocurrency
2023/10/06 TheHackerNews — 暗号通貨 $7 billion 相当が、クロスチェーン犯罪により違法に洗浄されている。そして、北朝鮮と関連のある Lazarus Group は、2022年7月〜20237月に、その収益のうち約 $900 million の窃盗に関与している。今週にブロックチェーン分析会社 Elliptic は発表した最新レポートの中では、「コイン・ミキサーなどを提供する従来からの組織が、いまでも押収や制裁の対象として監視されているため、チェーンホッピングやアセットホッピングへと切り替える、暗号通貨の犯罪組織が増加している」と記されている。
Continue reading “北朝鮮の Lazarus Group:$900 M の暗号資産を盗んでロンダリング”Hundreds of malicious Python packages found stealing sensitive data
2023/10/04 BleepingComputer — この半年で複雑さを増した悪質なキャンペーンにより、OSS プラットフォームに数百の情報窃取パッケージが仕掛けられ、そのダウンロード数は約 75,000回を数えるという。このキャンペーンについては、4月上旬から Checkmarx の Supply Chain Security チームのアナリストたちが監視しており、標的となったシステムから機密データを盗み出すためのコードを取り込んだ、272種類のパッケージが発見されている。最初に確認されたときと比べて、この種の攻撃は大幅に進化しており、さらに巧妙になった難読化レイヤと検出回避の技術が、悪意のパッケージ作成者たちにより実装されているという。
Continue reading “Python に潜むマルウェア:272種類のパッケージと 75,000回のダウンロード”Rogue npm Package Deploys Open-Source Rootkit in New Supply Chain Attack
2023/10/04 TheHackerNews — npm パッケージ・レジストリで新種の偽装パッケージが発見され、r77 と呼ばれるオープンソースの rootkit が配布されていたことが判明した。問題のパッケージは、”node-hide-console-windows” であり、正規の npm パッケージ “node-hide-console-window” を模倣する、典型的なタイポスクワッティング・キャンペーンの事例となる。このパッケージは、削除されるまでの2ヶ月間に、704回もダウンロードされている。
Continue reading “npm に悪意の rootkit パッケージ:2ヶ月間で 700 回もダウンロードされている”Upstream Supply Chain Attacks Triple in a Year
2023/10/03 InfoSecurity — OSS エコシステムにおけるサイバーリスクの急増を、セキュリティ専門家たちが警告している。Sonatype の 9th Annual State of the Software Supply Chain Report は、公開されているデータと独自データの分析から構成されるものだ。そこには、4,000億件以上の Maven Central ダウンロードにおける、依存関係の更新パターンも含まれている。2023年に Sonatype は、245,032件の悪意のパッケージを検出したが、この件数と 2019年〜2022年の件数を比較すると、ソフトウェア・サプライ・チェーン攻撃は約2倍に増加していることになる。
Continue reading “OSS 調査:2023年は 245,032件の悪意のパッケージを検出 – Sonatype”EvilProxy uses indeed.com open redirect for Microsoft 365 phishing
2023/10/03 BleepingComputer — 最近になって発覚したフィッシング・キャンペーンは、求人情報サイト Indeed からのオープン・リダイレクトを悪用し、米国を拠点とする組織の主要幹部の、Microsoft 365 アカウントを標的にするものだ。この脅威アクターは、EvilProxy フィッシング・サービスを使用している。EvilProxy により、多要素認証 (MFA) メカニズムをバイパスするための、セッション・クッキーの収集も可能になるという。
Continue reading “EvilProxy は Phishing-as-a-Service:巧妙な手口で Microsoft 365 アカウントを狙う”Dozens of Malicious NPM Packages Steal User, System Data
2023/10/03 SecurityWeek — Fortinet のセキュリティ研究者たちは、被害者のシステムから大量の情報を採取するように設計された難読化スクリプトを取り込んでいる、複数の悪意の NPM パッケージを特定した。10月2日 (月) に Fortinet は、NPM レジストリ内の 35件の悪意のパッケージについて警告した。それらのパッケージに取り込まれているスクリプトにより、システムおよびユーザーデータが収集され、Web フックまたはファイル共有リンクを介したデータ流出が実行されるという。
Continue reading “NPM パッケージ汚染:悪意の実装を9パターンに分類 – Fortinet”New BunnyLoader threat emerges as a feature-rich malware-as-a-service
2023/10/02 BleepingComputer —
セキュリティ研究者たちがハッカー・フォーラムで発見した新しい MaaS (Malware-as-a-Service) は、システム・クリップボードの内容を盗んで置き換えることができるファイルレス・ローダーであり、BunnyLoader と名付けられている。このマルウェアの開発は急速に進んでおり、新機能の追加やバグ修正が行われたアップデート版が提供されている。現時点で提供されている機能としては、ペイロードのダウンロードと実行/キーログの収集/機密データと暗号通貨の窃取/リモートコマンド実行などがある。
Continue reading “BunnyLoader は最強の Malware-as-a-Service:信じられないスピードで機能を強化している”Microsoft Defender no longer flags Tor Browser as malware
2023/10/02 BleepingComputer — 最近のバージョンの Tor Browser は、更新された tor.exe ファイルが取り込まれていることが原因となり、それを潜在的な脅威だと誤解する Windows Defender によりフラグを立てられていた。ユーザーはトロイの木馬の可能性を警告され、コミュニティにさざ波が立ったが、それは誤検知のケースであった。TorBrowser は、この件に関して最新情報を提供している。この問題について Microsoft に問い合わせた Tor Browser は、明確な回答を得たとしている。
Continue reading “Microsoft Defender による Tor Browser へのマルウェア・フラグ:誤検知が確認され解除”ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers
2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの1年間で ShadowSyndicate は、7種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum/Nokoyawa/BlackCat/ALPHV/Clop/Royal/Cactus/Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。
Continue reading “ShadowSyndicate というハッカー集団:複数のランサムウェアと C2 サーバを巧みに運用”Hackers actively exploiting Openfire flaw to encrypt servers
2023/09/26 BleepingComputer — Openfireメッセージング・サーバの深刻な脆弱性を積極的に悪用するハッカーたちが、ランサムウェアによる暗号化と、クリプトマイナー侵害を展開している。Openfire は、Java ベースのオープンソース・チャット (XMPP) サーバであり、すでに 900 万回もダウンロードされ、安全なマルチプラットフォーム・チャット通信のために広く使用されているものだ。脆弱性 CVE-2023-32315 の悪用により、Openfire の管理コンソールで、認証バイパスが引き起こされる。その結果として、未認証の攻撃者による、脆弱なサーバー上での新たな管理者アカウント作成にいたる可能性が生じる。
Continue reading “Openfire の脆弱性 CVE-2023-32315:野放し状態での悪用が観測されている”Predator Spyware Delivered to iOS, Android Devices via Zero-Days, MitM Attacks
2023/09/25 SecurityWeek — Google の Threat Analysis Group によると、iOS/Chrome のゼロデイ脆弱性の悪用と中間者攻撃 (MitM) により、Predator スパイウェアが iPhone/Android デバイスに配信されているという。先週に Apple が通知したのは、脆弱性 CVE-2023-41991 (署名検証バイパス)/CVE-2023-41992 (ローカル特権の昇格)/CVE-2023-41993 (悪意の Web ページを介した任意のコード実行) という3つのゼロデイにして、パッチが適用されたことである。Apple は、iOS/macOS などのソフトウェアの脆弱性を修正したが、その一方で、悪用を認識しているのは、iOS のバージョン 16.7 以前のデバイスのみだと指摘していた。
Continue reading “iOS/Android のゼロデイを悪用:エジプトの野党指導者を狙った MitM 攻撃が発覚”Evasive Gelsemium hackers spotted in attack against Asian govt
2023/09/23 BleepingComputer — Gelsemium として追跡されているステルス性の APT が、2022年から2023年の半年間にわたって、東南アジアの政府を標的とした攻撃で観測された。Gelsemium は2014年から活動しているサイバースパイ集団であり、東アジアおよび中東の政府/教育機関/電子機器メーカーを標的としている。
Continue reading “Gelsemium というステルス APT の柔軟性:悪意のツール群を防御策に応じて運用”Over 700 Dark Web Ads Offer DDoS Attacks Via IoT in 2023
2023/09/22 InfoSecurity — IoT (Internet of Things) デバイスを悪用した分散型サービス拒否 (DDoS) 攻撃に関して、2023年のダークウェブ広告が 700件以上に急増したことが、Kaspersky の最新レポートで示唆されている。これらのサービスは、標的における DDoS 防御などを検証した結果により価格帯が異なり、1日あたり $20 や月額 $10,000 などで販売されている。平均すると、1日あたり $63.5で、1カ月あたり $1350 となっている。
Continue reading “IoT 攻撃とダークウェブの関係性:2023年には 700 件以上のマルウェア広告”Bot Attack Costs Double to $86m Annually
2023/09/21 InfoSecurity — Netacea の最新レポートによると、悪質なボット攻撃が原因となり、一般的な米国/英国の企業は、毎年オンライン収益の 4% 以上を失っているという。Netacea の Death by a Billion Bots レポートは、米国と英国におけるツアー/エンターテインメント/eコマース/金融サービス/電気通信の各分野において、440社を対象とした調査から作成された。なお、それらの企業におけるオンライン収益は、平均で $1.9bn にいたるという。
Continue reading “ボット攻撃による利益損失は平均で $86m:2020年の $33.3m から急増”Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys
2023/09/20 TheHackerNews — 侵害済のマシンからリモート・サーバへ向けて、Kubernetes のコンフィグと SSH キーを流出させるようにデザインされた、悪意のパッケージを連携させる新たなバッチを、研究者たちが npm パッケージ・レジストリで発見した。Sonatype は、これまでに14種類の npm パッケージを発見したと発表した。具体的には、@am-fe/hooks、@am-fe/provider、@am-fe/request、@am-fe/utils、@am-fe/watermark、@am-fe/watermark-core、@dynamic-form-components/mui、@dynamic-form-components/shineout、@expue/app、@fixedwidthtable/fixedwidthtable、@soc-fe/use、@spgy/eslint-plugin-spgy-fe、@virtualsearchtable/virtualsearchtable、shineouts などである。
Continue reading “npm の悪意のパッケージの新たな動向:Kubernetes コンフィグと SSH キーを盗み出す”‘Culturestreak’ Malware Lurks Inside GitLab Python Package
2023/09/20 DarkReading — 現在の脅威の状況において、あまりにも有りふれたことだが、新たな悪意のオープンソース・パッケージが、セキュリティ研究たちにより発見された。今回は、暗号通貨をマイニングするために、システム・リソースのハイジャックを試みる、GitLab 上のアクティブな Python ファイルである。この、Culturestreak と呼ばれる悪意のパッケージが、GitLab 開発者サイト上の Aldri Terakhir というユーザーのアクティブなリポジトリから発信されていることを、9月19日の Checkmarx ブログが明らかにした。
Continue reading “Culturestreak というクリプト・マイナー:GitLab Python に潜んでいる”Earth Lusca’s New SprySOCKS Linux Backdoor Targets Government Entities
2023/09/19 TheHackerNews — Earth Lusca と呼ばれる中国由来の脅威アクターが、SprySOCKS という未知の Linux バックドアを用いて、各国の政府機関を標的としていることが確認された。Earth Lusca は、2022年1月に Trend Micro により初めて文書化され、アジア/オーストラリア/ヨーロッパ/北米の公共機関および民間企業に対する攻撃の詳細が報告された。この 2021年から活動しているグループは、スピアフィッシングや水飲み場攻撃を利用して、サイバー・スパイ活動を展開している。なお、その活動の一部は、RedHotel という名前で Recorded Future が追跡している、別の脅威クラスターと重複している。
Continue reading “Earth Lusca の SprySOCKS という Linux バックドア:中国から各国の政府機関を狙っている”Bumblebee malware returns in new attacks abusing WebDAV folders
2023/09/18 BleepingComputer — 2ヶ月ぶりに再登場した Bumblebee マルウェア・ローダーだが、4shared WebDAV サービスを悪用するという、新たな配布テクニックを用いている。WebDAV (Web Distributed Authoring and Versioning) とは、HTTP プロトコルの拡張機能であり、クライアントからリモート・オーサリング操作を実行し、Web サーバのコンテンツの作成/更新/削除などを可能にするものだ。Intel471 の研究者たちによると、2023年9月7日に開始された Bumblebee の最新キャンペーンは、4shared WebDAV サービスを悪用してローダーを配布し、攻撃チェーンを取り込むことで、いくつかの感染後アクションを実行していくという。
Continue reading “Bumblebee マルウェアが再登場:WebDAV サービスを悪用する新たなキャペーンを展開”When LockBit Ransomware Fails, Attackers Deploy Brand-New ‘3AM’
2023/09/14 DarkReading — ある建設業に対する最近の攻撃では、標的とするネットワーク上で LockBit の実行に失敗したハッカーが、未知のランサムウェアを二番手として展開することに成功したという。この新しいツールの機能として挙げられるのは、ホスト・コンピューター上のファイルをロックする前に、各種のサイバー・セキュリティやバックアップ関連のソフトウェアをブロックするという、どちらかというと標準的なものだ。
Continue reading “3AM という新たなランサムウェア:LockBit の代替えとして攻撃を成功させる”Free Download Manager site redirected Linux users to malware for years
2023/09/12 BleepingComputer — Free Download Manager を悪用して、脅威アクターが所有する Debian パッケージ・リポジトリにリダイレクトさせ、Linux ユーザーに情報窃取型のマルウェアをインストールさせるという、サプライ・チェーン攻撃が発見された。このキャンペーンで使用されたマルウェアは、C2 サーバへのリバースシェルを確立し、ユーザのデータとアカウント認証情報を収集する、Bash スティーラーをインストールするものだ。Kaspersky が、不審なドメインの調査中に、このサプライチェーン侵害の兆候を発見したが、3年以上も前から実施されているキャンペーンであることを突き止めた。
Continue reading “Free Download Manager サプライチェーン攻撃:数年前から Linux ユーザーにマルウェアを配布”New HijackLoader Modular Malware Loader Making Waves in the Cybercrime World
2023/09/11 TheHackerNews — DanaBot/SystemBC/RedLine Stealer などの各種ペイロードを配信する、HijackLoaderと呼ばれる新たなマルウェア・ローダーが、サイバー犯罪者コミュニティで人気を集めている。Zscaler ThreatLabz の研究者である Nikolaos Pantazopoulos は、「HijackLoaderは高度な機能を備えていないが、大半のローダーが備えていないモジュラー・アーキテクチャを用いることで、コード・インジェクションを容易にする」と述べている。
Continue reading “HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる”Millions Infected by Spyware Hidden in Fake Telegram Apps on Google Play
2023/09/09 TheHackerNews — Google Play ストアで Telegram を装い、侵害した Android デバイスから機密情報を収集するという、スパイウェアが発見された。Kaspersky のセキュリティ研究者である Igor Golovin によると、このアプリには、名前/ユーザー ID/連絡先/電話番号/チャット・メッセージなどを取得し、脅威アクターが管理するサーバーに流出させるという、悪質な機能が搭載されているという。
Continue reading “Google Play に偽 Telegram アプリ:隠されたスパイウェアに数百万人が感染”Microsoft Teams phishing attack pushes DarkGate malware
2023/09/09 BleepingComputer — Microsoft Teams メッセージを悪用して DarkGate Loader というマルウェアをインストールし、悪意の添付ファイルを送信するという、新たなフィッシング・キャンペーンが展開されている。このキャンペーンは 2023年8月下旬に開始されたものであり、Microsoft Teams のフィッシング・メッセージが、侵害された 2つの Office 365 の外部アカウントから、他の組織に送信されていることが確認された。これらのアカウントは、他の Microsoft Teams ユーザーを騙して “Changes to the vacation schedule” という ZIP ファイルをダウンロードさせ、開封させるために使用されていた。
Continue reading “Microsoft Teams を悪用したフィッシング攻撃:DarkGate マルウェアを配布している”Experts Uncover Underground Phishing “Empire” W3LL
2023/09/06 InfoSecurity — Microsoft 365 アカウントを標的とする洗練されたツールを、わずか 10ヶ月の間に推定 56,000本も販売した、新しいフィッシング・オペレーションを、セキュリティ研究者たちが発見した。Group-IB は、最新のレポート “W3LL Done: Hidden Phishing Ecosystem Driving BEC Attacks” において、W3LL 脅威アクターの存在を明らかにした。
Continue reading “W3LL という PhaaS:フィシング・ツールセットを 10ヶ月で 56,000本も販売”Old vulnerabilities are still a big problem
2023/09/06 HelpNetSecurity — Microsoft Office に存在する、古いリモートコード実行の脆弱性を悪用して、無防備なユーザーに Agent Tesla RAT 配信するィッシングキャンペーンが、つい先日に発見された。Fortinet の研究者である Xiaopeng Zhang は、「脆弱性 CVE-2017-11882/CVE-2018-0802 に対するパッチは、2017年11月と 2018年1月に、Microsoft からリリースされている。しかし、脅威アクターたちにとって、これらは依然として人気の脆弱性であり、5年以上が経過した今でも、まだパッチが適用されていないデバイスが野放しになっていることが示唆される。私たちは、IPS レベルで、1日あたり 3000件の攻撃を観測し、緩和している。観測された脆弱なデバイスの数は、1日あたり約 1300台である」と述べている。
Continue reading “Microsoft Office を攻撃する Agent Tesla RAT:古い脆弱性が悪用されるという現実”New Python Variant of Chaes Malware Targets Banking and Logistics Industries
2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。
Continue reading “Chaes という新種の Python マルウェア亜種:銀行と物流業界を標的にしている”Social Engineering Attacks Target Okta Customers To Achieve A Highly Privileged Role
2023/09/02 SecurityAffairs — Okta が顧客に発している警告は、この数週間で観察されている、管理者権限への昇格を目的としたソーシャル・エンジニアリング攻撃に関するものだ。この攻撃は、IT サービス・デスクのスタッフを騙して、高度な権限を持つユーザーが登録した、すべての多要素認証 (MFA) 要素をリセットするよう促すものである。なお、現時点において同社は、この攻撃を実施した脅威アクターを特定していない。Okta の顧客組織 (テナント) において、高度な特権ロールを獲得した脅威アクターは、横方向への移動を行い、また、防御回避の斬新な手法を採用している。
Continue reading “Okta ユーザーを欺くソーシャル・エンジニアリング:Super Admin アカウントが狙われている”Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware
2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア/RAT ペイロード/クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。
Continue reading “Microsoft SQL がターゲット:FreeWorld ランサムウェアを展開する脅威アクターたち”SapphireStealer Malware: A Gateway to Espionage and Ransomware Operations
2023/08/31 TheHackerNews — .NET ベースのオープンソース情報窃取マルウェア SapphireStealer だが、その機能が強化されたことで、複数のエンティティにより悪用され、独自の亜種を生み出している。Cisco Talos の研究者である Edmund Brumaghin は、「SapphireStealer のような情報窃取マルウェアは、企業における認証情報などの機密情報を取得するために使用される可能性がある。また、そのアクセスが他の攻撃者に転売され、スパイ行為や恐喝型ランサムウェアなどが行われることも多々ある」と、The Hacker News に語っている。
Continue reading “SapphireStealer という .NET 情報スティーラー:スパイ/ランサムウェア活動の入口に”North Korean hackers behind malicious VMConnect PyPI campaign
2023/08/31 BleepingComputer — PyPI (Python Package Index) リポジトリに対して、悪意のパッケージをアップロードする VMConnect キャンペーンの背後には、北朝鮮の国家に支援を受けたハッカーたちが存在し、その中には VMware vSphere の正規のコネクタ・モジュール vConnector を模倣するものがある。この、VMConnect という名前の悪意のパッケージは8月初旬にアップロードされ、仮想化ツールを求める IT スペシャリストを標的としている。すでに、PyPI プラットフォームからは削除されているが、その時点で VMConnect は 237回もダウンロードされている。
Continue reading “北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施”
IoT OT Security News 
You must be logged in to post a comment.