Malicious npm Packages Aim to Target Developers for Source Code Theft
2023/08/30 TheHackerNews — 悪意の npm パッケージを用いる未知の脅威アクターが、被害者のマシンからソースコードや設定ファイルを盗む目的で開発者を標的にするという、オープンソース・リポジトリにおける脅威が消え去らない状況が示唆されている。ソフトウェア・サプライチェーン・セキュリティ企業 Checkmarx は、「このキャンペーンの背後にいる脅威アクターの活動は、2021年ころから発生している。それ以来、彼らは継続的に、悪意のパッケージを公開している」と、The Hacker News と共有したレポートで述べている。
Continue reading “npm に悪意のパッケージ:特定のディレクトリからソースコードと機密情報を採取”Japan’s JPCERT Warns of New ‘Maldoc In Pdf’ Attack Technique
2023/08/29 SecurityAffairs — 先日に、日本の JPCERT/CC (computer emergency response team) が、悪意の Word ファイルを PDF ファイルに埋め込むことで検知を回避する、MalDoc in PDF と呼ばれる新たな攻撃手法を観測した。研究者たちは、MalDoc in PDF で作成されたファイルは、PDF の magic numbers and file 構造を持っているが、Wordで開くことができると説明している。このファイルに悪意のマクロが含まれていれば、ファイルを開くことで悪意のコードが実行される。JPCERT/CC が観測した攻撃では、脅威アクターはファイル拡張子 “.doc” を使用していたという。
Continue reading “日本の JPCERT/CC が新たな攻撃手法について警告:Maldoc In PDF とは?”3 Malware Loaders Detected in 80% of Attacks: Security Firm
2023/08/28 SecurityWeek — サイバー犯罪者たちの間で最も人気のマルウェア・ローダーは、QakBot/SocGholish/Raspberry Robin の3つであり、観測された攻撃の 80% を占めていると、サイバー・セキュリティ企業 ReliaQuest が報告している。2023年1月1日〜7月31日で観測されたインシデントのうち、QakBot 30%/SocGholish 27%/Raspberry Robin 23% を占めるという状況になっている。同社によると、観測されたインシデントの全てが、ネットワークの侵害につながったわけではなく、問題を引き起こす前に検出/停止されたローダーもあるとのことだ。
Continue reading “マルウェア・ローダー Top-3 による寡占化:QakBot/SocGholish/Raspberry Robin”Microsoft: Stealthy Flax Typhoon hackers use LOLBins to evade detection
2023/08/25 BleepingComputer — 政府組織/教育機関/製造業/情報技術などの分野を、スパイ目的で狙う新たなハッキング・グループ Flax Typhoon を、Microsoft が特定した。この脅威アクターは、ほとんどマルウェアには依存せずに、被害者ネットワークへのアクセスを獲得/維持している。つまり、LOLBin (living-off-the-land binaries) や正規のソフトウェアを、オペレーティング・システム上で既に利用可能なコンポーネントとして好んで使用している。
Continue reading “Flax Typhoon という中国ハッカー:政府組織/教育機関/製造業/IT 分野などを攻撃 – Microsoft”Creative QakBot Attack Tactics Challenge Security Defenses
2023/08/25 InfoSecurity — 2023 Q2 に最も活発だったマルウェア・ファミリーの1つとして、QakBot が挙げられていることが、HP Wolf の最新レポート Threat Insights Report Q2 2023 により判明した。同社の分析によると、セキュリティ・ポリシーや検知ツールを回避するために、サイバー犯罪者たちは攻撃の手法を多様化させている。その一例として、“building blog style attacks” を利用して、キャンペーンを実行していることが確認されているという。
Continue reading “QakBot というマルウェア:ユニークな感染チェーンで検知を回避 – HP Wolf”Urgent FBI Warning: Barracuda Email Gateways Vulnerable Despite Recent Patches
2023/08/25 TheHackerNews — 米国連邦捜査局 (FBI) は、先日に公開された Barracuda の Networks Email Security Gateway (ESG) アプライアンスの脆弱性に関して、パッチは適用されているが、中国のハッキング・グループと思われる集団から、侵害されるリスクにさらされていると警告している。また、修正パッチは「効果がない」と判断した FBI は、「活発な侵入を観察し続けており、すべての Barracuda ESGア プライアンスは侵害されており、このエクスプロイトに対して脆弱であると考えている」と述べている。
Continue reading “Barracuda ESG のゼロデイ脆弱性 CVE-2023-2868 はパッチの効果なし – FBI 警告”WinRAR Security Flaw Exploited in Zero-Day Attacks to Target Traders
2023/08/24 TheHackerNews — 先日にパッチが適用された WinRAR の脆弱性が、2023年4月以降においてゼロデイとして悪用されていることが、Group-IB の新たな調査結果により判明した。この脆弱性 CVE-2023-38831 の悪用に成功した脅威アクターは、ファイル拡張子を詐称し、無害に見えるイメージ・ファイルやテキスト・ファイルを装うアーカイブに、悪意のスクリプトを仕込んで起動することが可能になる。ただし、この脆弱性は、2023年8月2日にリリースされたバージョン 6.23 で、CVE-2023-40477 とともに対処されている。
Continue reading “WinRAR 脆弱性の悪用:DarkMe はマルウェアは Visual Basic のトロイの木馬”Lazarus APT exploits Zoho ManageEngine flaw to target an Internet backbone infrastructure provider
2023/08/24 SecurityAffairs — 北朝鮮が関与する APT グループ Lazarus は、Zoho の ManageEngine ServiceDesk に存在する脆弱性 CVE-2022-47966 悪用し、インターネット・バックボーン・インフラ・プロバイダーや医療機関を狙った攻撃を仕掛けている。この、国家に支援されたハッカーは、欧州と米国の組織を標的として、PoC エクスプロイトが公開された僅か数日後に、この脆弱性を悪用し始めた。この欠陥を悪用する Lazarus は、QuiteRAT として追跡されている新しいマルウェアを展開している。セキュリティ研究者が、このインプラントを発見したのは2023年2月のことだった。
Continue reading “北朝鮮の APT グループ Lazarus:Zoho ManageEngine の脆弱性 CVE-2022-47966 を悪用”WinRAR Vulnerability Affects Traders Worldwide
2023/08/23 InfoSecurity — トレーダーの専門フォーラムを標的とするサイバー犯罪者たちが、WinRAR 圧縮ツールのゼロデイ脆弱性 CVE-2023-38831 を悪用していると、サイバー・セキュリティ研究者が警告を発している。この脆弱性の悪用に成功した攻撃者は、悪意のあるペイロードを取り込んだ ZIP アーカイブを作成し、トレーダーの金融資産に重大なリスクをもたらすという。Group-IB の Threat Intelligence Unit は、2023年7月に DarkMe マルウェア配布について調査した際に、WinRAR の ZIP ファイル・フォーマットの処理に、未知の脆弱性があることを見した。
Continue reading “WinRAR のゼロデイ CVE-2023-38831 の悪用:世界中のトレーダーが狙われている”Bogus OfficeNote app delivers XLoader macOS malware
2023/08/23 HelpNetSecurity — 既知のマルウェアである XLoader の macOS 対応の亜種が、”OfficeNote” アプリを装いながら配信されている。SentinelOne の研究者たちは、「XLoader マルウェアのサンプルは、7月を通じて VirusTotal に投稿され続けており、野放し状態で広範に配布されていることが示される」と述べている。2015年から活動している XLoader は Malware-as-a-Service 型の情報スティーラー/ボットネットであり、2021年に Java で書かれた macOS 亜種が登場した。
Continue reading “OfficeNote アプリを装う XLoader:野放し状態で macOS ユーザーを攻撃中”3,000 Openfire Servers Exposed to Attacks Targeting Recent Vulnerability
2023/08/23 SecurityWeek — Openfire の脆弱性 CVE-2023-32315 に対するパッチが適用されていない、3,000台以上のサーバに対する新たな悪用方法により、その多くが攻撃にさらされていることが、VulnCheck の報告で明らかになった。Ignite Realtime が管理する Openfire は、XMPP プロトコルを使用し、Javaで書かれた、クロスプラットフォームのリアルタイム・コラボレーション・サーバであり、Web インターフェイスによる管理をサポートしている。
Continue reading “Openfire Server への攻撃:約 3,000 台の未パッチ・サーバが標的になっている”Carderbee Attacks: Hong Kong Organizations Targeted via Malicious Software Updates
2023/08/22 TheHackerNews — 未知の脅威クラスターが、香港などを中心とするアジア圏の組織を標的として、ソフトウェア・サプライチェーン攻撃に関与していることが判明した。Broadcom 傘下の Symantec Threat Hunter Team が、Carderbee という名前で、この活動を追跡している。この攻撃は、EsafeNet Cobra DocGuard Client と呼ばれる正規ソフトウェアのトロイの木馬化バージョンを悪用し、被害者のネットワーク上に PlugX (別名 Korplug) という既知のバックドアを配信するものだ。
Continue reading “Carderbee というサプライチェーン攻撃を観測:香港などのアジア圏の組織が標的?”Akira ransomware targets Cisco VPNs to breach organizations
2023/08/22 BleepingComputer — Akira ランサムウェアが、Cisco VPN 製品を攻撃ベクターとして企業ネットワークに侵入し、データ窃取を行った後に暗号化するという証拠が増えている。Akira ランサムウェアは、2023年3月以降に検出された新しいランサムウェアであり、その後に、VMware ESXi 仮想マシンを標的とする Linux 暗号化ツールも開発している。
Continue reading “Akira ランサムウェア:Cisco VPN 製品を標的として組織に侵入している”Google Chrome to warn when installed extensions are malware
2023/08/20 BleepingComputer — Google がテストしている Chrome の新機能は、インストールされたエクステンションが Chrome Web Store から削除された場合に、ユーザーに警告を表示するためのものである。Chrome Web Store では、問題のあるエクステンションなどが次々と公開され、ポップアップ広告やリダイレクト広告を介して宣伝されている。これらのエクステンションは、詐欺師や脅威アクターにより作成され、不要な広告の挿入/検索履歴の追跡/アフィリエイト・ページへのリダイレクトなどを行い、さらに深刻なケースでは、Gmail や Facebook のアカウント窃盗などにも悪用される。
Continue reading “Google Chrome Check for Extension:マル・エクステンションを判定してくれる”Thousands of Android Malware Apps Using Stealthy APK Compression to Evade Detection
223/08/19 TheHackerNews — マルウェア解析を逃れる脅威アクターたちが、未知の圧縮方法を用いる Android Package (APK) ファイルを使用しているという。Zimperium の調査結果によると、このような圧縮アルゴリズムを利用した 3,300件のアーティファクトが、野放し状態で活動していることが判明したという。確認されたサンプルのうち 71件は、何の問題もなく Android にロードできるようだ。
Continue reading “Android マルウェアの新たな手口:未知の圧縮アルゴリズムで検出を回避している”Hackers use VPN provider’s code certificate to sign malware
2023/08/19 BleepingComputer — Bronze Starlight として知られる中国系の APT (Advanced Persistent Threat) グループが、Ivacy VPN プロバイダーの有効な証明書で署名したマルウェアを用いて、東南アジアのギャンブル業界をターゲットにしていることが確認された。有効な証明書を悪用することの主なメリットは、セキュリティ対策やシステム・アラートによる検知を回避し、正規のソフトウェアやトラフィックに紛れ込める点にある。このキャンペーンを分析した SentinelLabs は、その証明書について、Ivacy VPN のシンガポールのベンダーである PMG PTE LTD のものだと見ている。
Continue reading “Bronze Starlight という中国の APT:Ivancy VPN の証明書をマルウェアの署名に悪用”Phishing campaign steals accounts for Zimbra email servers worlwide
2023/08/17 BleepingComputer — 世界中の Zimbra Collaboration メール・サーバから、認証情報を盗み出そうとするフィッシング・キャンペーンが、遅くとも 2023年4月以降から進行している。ESET のレポートによると、一連のフィッシング・メールは、世界中の組織に対して送信されており、特定の組織や分野に焦点を当てたものではないという。このオペレーションの背後にいる脅威アクターについては、現時点では不明だとされる。
Continue reading “世界中の Zimbra メール・サーバに危機:フィッシング・キャンペーンが成功を収めている”Microsoft PowerShell Gallery vulnerable to spoofing, supply chain attacks
2023/08/17 BleepingComputer — Microsoft の PowerShell Gallery コード・リポジトリには、パッケージの命名に関する不適切なポリシーが存在する。それを悪用する脅威アクターは typosquatting 攻撃を実行し、人気のパッケージを詐称し、大規模なサプライチェーン攻撃の基礎を築く可能性を有している。PowerShell Gallery は Microsoft が運営するオンライン・リポジトリであり、PowerShell コミュニティから様々なアップロードされたパッケージとして、各種のスクリプトとコマンドレットのモジュールをホストしている。現時点において、とても人気のあるコード・ホスティング・プラットフォームであり、月間で数千万もダウンロードされるパッケージもあるという。
Continue reading “Microsoft PowerShell Gallery に不適切なポリシー問題:サプライ・チェーン攻撃の危険性”Massive 400,000 proxy botnet built with stealthy malware infections
2023/08/16 BleepingComputer — 少なくとも 40万台の Windows システムに、プロキシ・サーバ・アプリを配信するという、大規模なキャンペーンが発見された。これらのデバイスは、ユーザーの同意なしにレジデンシャル用の出口ノードとして機能し、マシンを介して実行されるプロキシ・トラフィックの料金が発生することになる。レジデンシャル・プロキシは、大量の新規 IP アドレスを必要とする、大規模なクレデンシャル・スタッフィング攻撃の展開に有用であるため、サイバー犯罪者にとって貴重な存在となる。
Continue reading “40万のプロキシ・ボットネット:ステルス・マルウェア感染で構築される”Raccoon Stealer malware returns with new stealthier version
2023/08/15 BleepingComputer — 情報スティーラー・マルウェア Raccoon Stealer の開発者は、そのマルウェアの新バージョン 2.3.0 をサイバー犯罪者たちに宣伝するために、6ヶ月間の休暇を終えてハッカーフォーラムに復帰した。Raccoon は、最も有名かつ広範に利用されている情報スティーラー・マルウェアの1つであり、2019年から存在し、月額 $200 のサブスクリプションを通じて脅威アクターたちに販売されている。
Continue reading “Raccoon Stealer が復活:使い勝手と検出回避の能力を高めているようだ”Over 100K hacking forums accounts exposed by info-stealing malware
2023/08/14 BleepingComputer — 研究者たちが発見した 120,000 の感染したシステムには、サイバー犯罪フォーラムにおける認証情報が含めているという。研究者たちによると、これらのコンピュータの多くはハッカーのものだという。データを分析したところ、ハッキング・フォーラムへのログインに使用されるパスワードは、政府組織で用いられている一般的な Web サイトのパスワードよりも強力であることが判明した。
Continue reading “ハッキング・フォーラムの認証情報 10万件が流出:インフォ・スティーラーが活躍する別の世界”#BHUSA: Only 22% of Firms Have Mature Threat Intelligence Programs
2023/08/10 InfoSecurity — サイバーセキュリティ・ソリューション・プロバイダー OPSWAT の、最新レポートが発表された。このレポートによると、脅威インテリジェンス・プログラムが十分な企業は 22%に過ぎないという。8月9日にラスベガスで開催された Black Hat USA で、この調査結果が同社から発表された。マルウェアの検出と対応を専門とする、従業員 50人以上の組織の IT専門家 300人以上を対象に、この初調査は実施されたという。
Continue reading “十分な脅威インテリジェンス・プログラムを導入している企業は僅か 22% – OPSWAT 調査”New Statc Stealer Malware Emerges: Your Sensitive Data at Risk
2023/08/10 TheHackerNews — Statc Stealer と呼ばれる新種の情報マルウェアが、Microsoft Windows が動作するデバイスに感染し、機密性の高い個人情報や決済情報を窃取していることが判明した。Zscaler Threat Labz の研究者である Shivam Sharma と Amandeep Kumar は、今週に発表されたテクニカル・レポートで、「Statc Stealer は様々な窃取機能を備えた、深刻な脅威だ。同ツールは、ログインデータ/クッキー/Web データ/プリファレンスなど、さまざまな Web ブラウザから機密情報を盗むことができる。さらに、暗号通貨のウォレット/認証情報/パスワード/Telegram のようなメッセージング・アプリのデータさえも盗み出すことができる」と延べている。
Continue reading “新たなマルウェア Statc Stealer が出現: 機密データが危険にさらされる”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”EvilProxy used in massive cloud account takeover scheme
2023/08/09 SecurityAffairs — Microsoft 365 アカウントの窃取を狙う EvilProxy が、100以上の組織へ向けて 12万通のフィッシング・メールを送信していることが確認された。それにより、クラウド・アカウントの侵害が、過去5ヶ月間に急増していることを、Proofpoint が発見した。攻撃の大半は、高位の幹部を標的としていた。研究者たちは、このキャンペーンは全世界の 100以上の組織/150万人の従業員を対象としていると推定している。被害者の約 39% はCレベルのエグゼクティブであり、そのうち 17% は最高財務責任者 (CFO) であり、9% は最高経営責任者 (CEO) だったという。
Continue reading “EvilProxy という PhaaS:大規模なクラウド・アカウント乗っ取りに利用されている”43 Android apps in Google Play with 2.5M installs loaded ads when a phone screen was off
2023/08/08 SecurityAffairs −−− 先日に McAfee の Mobile Research Team の研究者たちが、Google Play で発見したのは、携帯電話の画面がオフのときであっても、広告を読み込む 43 種類の Android アプリであり、そのインストール総数は 250万に達するという。
Continue reading “Google Play の 43種類の Android アプリ:画面 OFF 時に広告を読み込んで稼いでいる”Microsoft Office update breaks actively exploited RCE attack chain
2023/08/08 BleepingComputer — Microsoft は 8月8日に、CVE-2023-36884 として追跡されている RCE 脆弱性の悪用を防ぐ、Microsoft Office のアップデートをリリースした。このアップデートは、7月に公開された CVE-2023-36884 を修正するものだ。その当時、Microsoft はパッチを適用せずに、緩和のためのアドバイスを提供していた。当初、この脆弱性は、Microsoft Office の RCE (Remote Code Execution) として報告されていたが、さらなる検証の結果、Windows Search の RCE として分類された。
Continue reading “Microsoft Office/Windows Search の RCE 脆弱性 CVE-2023-36884 が FIX”Google explains how Android malware slips onto Google Play Store
2023/08/04 BleepingComputer — Google Play ストアの審査プロセスやセキュリティ制御を回避して、Android 端末にマルウェアを送り込むために脅威アクターたちが用いる、バージョニングと呼ばれる一般的な手口が存在することを、Google Cloud のセキュリティ・チームは認めた。この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して、悪意のペイロードを導入するものである。また、DCL (Dynamic Code Loading) という方法で、脅威アクターの制御下にあるサーバから。悪意のあるコードをロードする方式もある。DCL は、アプリストアの静的解析チェックを回避することで、ネイティブ/Dalvik/JavaScript のコードとして、ペイロードを Android デバイス上に展開するものである。
Continue reading “Google Play Store にマルウェアが出回る理由:G 先生の言い訳を聞かせてもらおう”Fake VMware vConnector package on PyPI targets IT pros
2023/08/04 BleepingComputer — VMware vSphere のコネクタ・モジュール vConnector を模倣する悪質なパッケージが、PyPI (Python Package Index) に VMConnect という名前でアップロードされている。VMware vSphere は仮想化ツール群であり、vConnector は開発者やシステム管理者が使用するインターフェース Python モジュールであり、全体的な PyPI 経由のダウンロード数は、毎月およそ 40,000件にも達するという。Sonatype の研究者であり BleepingComputer のレポーターでもある Ax Sharma によると、この悪意のパッケージは、2023年7月28日に PyPI にアップロードされた後に、2023年8月1日に削除されるまでに、237 件ほどダウンロードされたという。
Continue reading “VMware vConnector などを装う悪意の PyPI パッケージ:開発者をターゲットに展開”Malicious npm Packages Found Exfiltrating Sensitive Data from Developers
2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。
Continue reading “npm に新たな悪意のパッケージ:開発者たちをサプライチェーン攻撃に組み込む”Hackers can abuse Microsoft Office executables to download malware
2023/08/03 BleepingComputer — LOLBAS ファイル (Windows に存在し、悪用される可能性のある正規のバイナリやスクリプト) のリストには、Microsoft の電子メール・クライアント Outlook や、データベース管理システム Access の主要な実行ファイルが、まもなく含まれることになる。Microsoft Publisher アプリケーションのメイン実行ファイルに関しては、リモート・サーバからペイロードをダウンロードできることが、すでに確認されている。なお、LOLBAS とは、Living-off-the-Land Binaries and Scripts の略であり、Windows OS でネイティブのもの、また、Microsoft からダウンロードされた、署名付きファイルのことを指す。
Continue reading “LOLBAS という難題:Microsoft Office がステルス性マルウェア・ローダーになり得る”Chrome malware Rilide targets enterprise users via PowerPoint guides
2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome/Edge/Brave/Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。
Continue reading “Rilide という最凶の Chrome エクステンション:PowerPoint ファイルなどがルアー”Microsoft Teams Targeted in Midnight Blizzard Phishing Attacks
2023/08/03 InfoSecurity — Microsoft Teams のチャットを悪用して認証情報を盗むフィッシングのルアーを配信する、高度に標的化されたソーシャル・エンジニアリング攻撃を、Microsoft Threat Intelligence が検知した。8月2日に Microsoft が発表したアドバイザリによると、これらの攻撃は Midnight Blizzard という脅威アクターによるものとのことだ。同グループは、以前は Nobelium と呼ばれていた。この、ロシアを拠点とする攻撃は、中小企業が所有する Microsoft 365 のテナントを悪用し、正規のものを装うテクニカル・サポート・エンティティを作成するという手口を用いるものだ。
Continue reading “Microsoft Teams が Midnight Blizzard フィッシング攻撃に悪用されている”OT/IoT Malware Surges Tenfold in First Half of the Year
2023/08/02 InfoSecurity — OT (Operational Technology)/IoT (Internet of Things) 環境におけるマルウェア関連のサイバー脅威は、2023年上半期に前年の 10倍に急増したことが、セキュリティ・ベンダーである Nozomi Networks の調査で判った。Nozomi Networks の最新のレポートである Nozomi Networks Labs OT & IoT Security Report は、ICS の脆弱性/IoT ハニーポット/OT 環境の攻撃統計などのデータから作成されている。同社はレポートを公開したブログで、「マルウェアに限れば、サービス拒否 (DoS) 活動は依然として OT システムに対する最も一般的な攻撃の1つだ」と述べている。
Continue reading “2023年の上半期の OT/IoT:マルウェアの脅威が 10倍に急増”Phishers Exploit Salesforce’s Email Services Zero-Day in Targeted Facebook Campaign
2023/08/02 TheHackerNews — Salesforce の E メール・サービスに存在する、ゼロデイ脆弱性を悪用する巧妙な Facebook フィッシング・キャンペーンが確認された。この脅威アクターは、Facebook のドメインとインフラを使用して、標的型フィッシング・メッセージを作成できるという。Guardio Labs の研究者である Oleg Zaytsev と Nati Tal は、「このフィッシング・キャンペーンは、Facebook の Web ゲーム・プラットフォーム存在するレガシーな問題と、Salesforce の脆弱性を連鎖させることで、従来の検出方法を巧みに回避している」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Facebook ユーザーを狙うフィッシング・キャンペーン:Salesforce のゼロデイを悪用”Over 640 Citrix servers backdoored with web shells in ongoing attacks
2023/08/02 BleepingComputer — Citrix Netscaler ADC/Gateway に存在する、深刻なリモートコード実行 (RCE) 脆弱性 CVE-2023-3519 を標的とする一連の攻撃で、すでに数百台のサーバが侵害され、バックドア化されているという。以前にも、この脆弱性はゼロデイとして悪用され、米国の重要インフラ組織のネットワークへの侵入の原因となっている。インターネット・セキュリティの強化に取り組む非営利団体 Shadowserver Foundation のセキュリティ研究者たちは、今回の攻撃において、少なくとも 640台の Citrix サーバ上に、Web シェルが展開されていると指摘している。
Continue reading “Citrix Netscaler の脆弱性 CVE-2023-3519 の活発な悪用:640台以上のサーバが侵害”Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan
2023/08/02 TheHackerNews — Windows および Linux 環境上でリモート・アクセス・トロイの木馬として、AWS Systems Manager Agent (SSM Agent) を実行させることが可能な、Amazon Web Services (AWS) の新たなポスト・エクスプロイト手法を、サイバー・セキュリティ研究者たちが発見した。Mitiga の研究者である Ariel Szarf と Or Aspir は、「この SSM Agent は、Admin によるインスタンス管理で使用される正当なツールだが、SSM Agent がインストールされたエンドポイント上で、高特権のアクセスを獲得した攻撃者が、悪意の活動を継続的に実行することも可能にする」と、The Hacker News と共有したレポートで述べている。
Continue reading “AWS の SSM Agent を悪用するシナリオ:高スティルス性 RAT の構築が可能”Patchwork Hackers Target Chinese Research Organizations Using EyeShell Backdoor
2023/07/31 TheHackerNews — Patchwork と命名されたハッキング・グループが、最近に確認されたキャンペーンの一環として、中国の大学および研究機関を攻撃していることが判明した。KnownSec 404 Team によると、このキャンペーンでは、コードネーム EyeShell と呼ばれるバックドアが使用されていたという。Patchwork は、別名 Operation Hangover/Zinc Emerson でも知られており、インドが支援する脅威グループであると見られている。遅くとも 2015年12月から活動している同グループは、スピア・フィッシングやウォータリング・ホール攻撃を通じて、パキスタンや中国の組織に対して、BADNEWS などのカスタムイン・プラントを仕掛けてきた。
Continue reading “Patchwork はインドの APT:EyeShell バックドアを使って中国の研究機関を攻撃”New P2PInfect Worm Targets Redis Servers with Undocumented Breach Methods
2023/07/31 TheHackerNews — P2PInfect P2 ワーム は、これまで文書化されていないイニシャル・アクセス方法を用いて、影響を受けやすい Redis サーバに侵入し、ボットネットへと取り込んでいることが確認されている。Cado Security の研究者である Nate Bill と Matt Muir は、「このマルウェアは、レプリケーション機能を悪用することで、Redis データストアの露出したインスタンスを侵害する。クラウド環境の Redis に対する一般的な攻撃パターンは、悪意のインスタンスを介して上記の機能を悪用し、レプリケーションを有効化することである。具体的に言うと、公開された Redis インスタンスに接続し、SLAVEOF コマンドを発行することで実現する」と、The Hacker Newsと共有したレポートの中で述べている。
Continue reading “P2PInfect ワームが Redis を侵害:洗練された手口と Rust で書かれたコードとは?”AVRecon Botnet Leveraging Compromised Routers to Fuel Illegal Proxy Service
2023/07/31 TheHackerNews — AVReconと呼ばれるボットネットの詳細が明らかになった。このボットネットは、遅くとも 2021年5月以降における、複数年にわたるキャンペーンの一環として、侵害した SOHO ルーターを悪用していることが確認されている。7月の初めに AVRecon は、Lumen Black Lotus Labsにより公開されたマルウェアであり、追加コマンドを実行し、被害者の帯域幅を盗み、他の脅威アクターが利用できるようするという、違法なプロキシ・サービスだと思われる。また、その規模は QakBot を上回り、世界20カ国に存在する 41,000台を超えるノードに侵入していという。
Continue reading “AVRecon ボットネットの標的は SOHO ルーター:不正なプロキシを増殖してサーバー犯罪を支援”Fruity Trojan Uses Deceptive Software Installers to Spread Remcos RAT
2023/07/31 TheHackerNews — 脅威アクターたちは、トロイの木馬化されたソフトウェアをホストする偽の Web サイトを作成してユーザーを騙し、Fruity と呼ばれるマルウェア・ローダーをダウンロードさせた後に、Remcos RAT などのリモート型トロイの木馬ツールをインストールさせている。セキュリティ・ベンダーである Doctor Web は、「問題のソフトウェアの中には、CPU/グラフィックカード/BIOS など微調整するツールや、PC ハードウェア・モニタリング・ツールなどのアプリも含まれている。このようなインストーラーはオトリとして使用され、潜在的な被害者が望むソフトウェアに加えて、トロイの木馬を構成するコンポーネントが含まれている」と述べている。
Continue reading “Fruity マルウェア・ローダーと Remcos RAT のセット:偽の DL サイトでユーザーを待ち伏せ”CISA: New Submarine Backdoor Used in Barracuda Campaign
2023/07/31 InfoSecurity — Barracuda セキュリティ・アプライアンスを標的として連邦政府ネットワークに侵入した中国の脅威アクターが、Submarine と呼ばれる新たなバックドアを、攻撃の一部で利用していたことが明らかにされた。この攻撃に関する Mandiant のオリジナル・レポートでは、このグループが使用した3種類のバックドア Seaside/Saltwater/Seaspy に焦点が当てられている。しかし、7月28日に CISA が、”永続性を確立し維持する” ためにの、新たなバックドア型マルウェアが配備されたことを明らかにした。
Continue reading “Barracuda ESG 攻撃に新たなマルウェア:Submarine と呼ばれるバックドア – CISA”New Android Malware CherryBlos Utilizing OCR to Steal Sensitive Data
2023/07/29 TheHackerNews — CherryBlos という新たな Android マルウェアが、OCR 技術を悪用することで、写真に保存された機密データを収集していることが確認された。Trend Micro によると、SNS プラットフォーム上の偽の投稿を介して配布される CherryBlosは、暗号通貨ウォレット関連の認証情報を盗む機能を備えており、事前に定義された形式に一致する文字列を、被害者がクリップボードにコピーした際に、ウォレット・アドレスを置き換えるクリッパーとして動作する。
Continue reading “Android マルウェアの新たな手口:OCR を悪用してキャプチャ画像から機密情報を窃取”IcedID Malware Adapts and Expands Threat with Updated BackConnect Module
2023/07/28 TheHackerNews — IcedID マルウェア・ローダーに関与する脅威アクターが、ハッキング済のシステムでの活動に使用さする BackConnect (BC) モジュールにアップデートを施していることが、Team Cymru の新たな調査結果で明らかになった。IcedID は BokBot とも呼ばれ、Emotet や QakBot に似たマルウェアの一種であり、2017年にバンキング型トロイの木馬として始まり、その後に他のペイロードのインシャル・アクセスを促進する役割へと移行している。このマルウェアの最新バージョンでは、ランサムウェアの配信を優先するために、オンライン・バンキング詐欺に関連する機能が削除されていることも確認されている。
Continue reading “IcedID の BackConnect モジュールの進化:被害者をプロキシとして悪用するケースも”Hackers Abusing Windows Search Feature to Install Remote Access Trojans
2023/07/28 TheHackerNews — Windows の正規の検索機能が、脅威アクターたちにより悪用されている。その結果として、リモート・サーバから AsyncRAT/Remcos RAT などのリモート・アクセス型トロイの木馬がダウンロードされ、標的とされるシステムが危険にさらされている。Trellix によると、この新しい攻撃手法は、”search-ms:” URI プロトコル・ハンドラを悪用しているようだ。URI プロトコル・ハンドラとは、デバイス上でアプリや HTML リンクが、カスタム・ローカル検索を起動するための機能であり、”search:” アプリケーション・プロトコルは、Windows 上でデスクトップ検索アプリケーションを呼び出すためのメカニズムである。
Continue reading “Windows ローカル検索の悪用:攻撃者のサーバからトロイの木馬をダウンロード”CISA: New Submarine malware found on hacked Barracuda ESG appliances
2023/07/28 BleepingComputer — Barracuda ESG (Email Security Gateway) アプライアンスの、すでにパッチが適用されているゼロデイバグを悪用する、Submarine と呼ばれる新しいマルウェアが、連邦政府機関のネットワーク上にバックドアに仕掛けていると、CISA が警告している。2023年5月に検出された一連のデータ盗難攻撃で、親中国派と見られるハッカー・グループ UNC4841 が、バックドアを展開していたことが確認された。そして、同グループは、遅くとも 2022年10月から活動していたとされる。
Continue reading “新種のマルウェア Submarine:Barracuda ESG のゼロデイ CVE-2023-2868 を悪用”Hackers Target Apache Tomcat Servers for Mirai Botnet and Crypto Mining
2023/07/27 TheHackerNews — ボットネット・マルウェア Mirai などの標的として、また、暗号通貨マイナーを配信する新たなキャンペーンの一環として、コンフィグレーションやセキュリティに不備がある Apache Tomcat サーバーが狙われている。この調査結果は Aqua によるもので、Tomcat サーバのハニーポットに対して、2年間で 800件以上の攻撃を検出し、そのうちの 96%が、Mirai ボットネットに関連していたことが判明した。これらの攻撃のうちの 20% (152件) は、24のユニークな IP アドレスから発信された “neww” と呼ばれる Web シェル・スクリプトの使用を伴うものであり、その 68%は単一の IP アドレス (104.248.157[.]218) から発信されていた。
Continue reading “Apache Tomcat サーバが標的:ハニーポットで収集された Mirai ボットネットを分析”New Nitrogen malware pushed via Google Ads for ransomware attacks
2023/07/26 BleepingComputer — Nitrogen マルウェアによる、イニシャル・アクセス・キャンペーンは、Google や Bing などの検索広告で偽ソフトウェア・サイトを宣伝し、疑念を持たないユーザーたちに、Cobalt Strike やランサムウェアのペイロードに感染させていくものだ。Nitrogen マルウェアの目的は、企業ネットワークへのイニシャル・アクセスを脅威アクターたちに提供し、データ窃取やサイバー・スパイ活動を行わせ、最終的に BlackCat/ALPHV ランサムウェアを展開させることにある。7月26日に Sophos が発表したレポートには、Nitrogen キャンペーンに関する詳細な説明として、AnyDesk/Cisco AnyConnect VPN/TreeSize Free/WinSCP などの一般的なソフトウェアになりすまし、主に北米の技術組織や非営利組織をターゲットにしている状況が記されている。
Continue reading “Nitrogen というキャンペーン:Google/Bing の広告を介してマルウェアを展開”New AI Tool ‘FraudGPT’ Emerges, Tailored for Sophisticated Attacks
2023/07/26 TheHackerNews — WormGPT の足跡をたどる脅威アクターたちは、さまざまなダークウェブ・マーケットプレイスや Telegram チャンネルで、FraudGPT と名付けたサイバー犯罪生成 AI ツールを宣伝している。7月25日 (火) に発表されたレポートの中で、Netenrich の Security Researcher である Rakesh Krishnan は、「これは AI ボットであり、スピアフィッシング・メールの作成/クラッキングツールの作成/カーディングなどの攻撃に特化したものだ」と述べている。Netenrich によると、このサービスは遅くとも 2023年7月22日以降において、月額 $200 (半年 $1,000/1年 $1,700) で提供されているという。
Continue reading “FraudGPT という悪意の生成 AI ツール:月額 $200 で ChatGPT の代替品”Decoy Dog Malware Upgraded to Include New Features
2023/07/25 InfoSecurity — 今日に発表された Infoblox の脅威レポートにより、Decoy Dog という RAT ツールキットの最新情報が公開された。この Decoy Dog は、2023年4月に発見・公開されたものであるが、DNS を Command and Control (C2) に使用するという特徴を持ち、以前に考えられていたよりも巧妙なことが判明しており、現在進行中の国家によるサイバー攻撃で使用されている疑いがある。そのツールキットを Infoblox を公開した後に、背後で操る脅威アクターは迅速に対応し、侵害したデバイスへのアクセスを維持するためにシステムを適応させている。
Continue reading “Decoy Dog マルウェア:DNS を悪用する APT たちが好むツールキットとは?”
IoT OT Security News 
You must be logged in to post a comment.