Robin Banks phishing-as-a-service platform continues to evolve
2022/11/07 SecurityAffairs — Phishing-as-a-Service (PhaaS) プラットフォームの Robin Banks は、以前は Cloudflare のプロバイダーによりホストされていたが、7月に通知を受けた同社が、Robin Banks のフィッシング・インフラをサービスから切り離し、現在に至っている。この変化により、Robin Banks の運営には数日の混乱が生じたが、このプラットフォームの管理者により、ロシアの防弾ホスティング・プロバイダー DDoS-Guard への移行などが行われたようだ。
Continue reading “Robin Banks は Phishing-as-a-Service:機能を充実させて脅威を増大させる”Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities
2022/11/05 TheHackerNews — Microsoft が警告するのは、公表されたゼロデイ脆弱性を国家や犯罪者が利用し、標的の環境を侵害するケースが増加していることだ。Microsoft は、114 ページにも及ぶ Digital Defense Report の中で、「脆弱性の発表から、その脆弱性が商品化されるまでの時間が、明らかに短縮されている」と述べている。したがって、ユーザー組織にとっては、このような脆弱性にタイムリーにパッチを当てることが不可欠であると指摘している。
Continue reading “Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している”“Disturbing” Rise in Nation State Activity, Microsoft Reports
2022/11/04 InfoSecurity — Microsoft の Corporate VP, Customer Security & Trust である Tom Burt は、11月3日に開催されたオンライン・プレス・ブリーフィングにおいて、2022 Microsoft Digital Defence Report (MDDR) について説明し、国家による攻撃的なサイバー活動が、この1年の間に劇的に増加していると述べている。
Continue reading “Microsoft の 2022 Digital Defence Report:ロシア対ウクライナのハイブリッド戦争の影響”The 10th edition of the ENISA Threat Landscape (ETL) report is out!
2022/11/04 SecurityAffairs — ENISA (European Union Agency for Cybersecurity) は、サイバー・セキュリティにおける脅威の状況を示す、年次レポート ENISA Threat Landscape 2022 (ETL) を発表した。この、年次レポートの第10版は、2021年7月〜2022年7月に発生した事象を分析している。同レポートでは、地政学的状況が脅威の状況に与える影響が強調されている。ENISA の専門家たちは、上記の期間中に、サイバー戦争やハクティビズムに関連する悪意の活動の増加を確認している。
Continue reading “ENISA Threat Landscape 2022 が公開:欧州のサイバー脅威を俯瞰する”Hackers Using Rogue Versions of KeePass and SolarWinds Software to Distribute RomCom RAT
2022/11/03 TheHackerNews — RomCom RAT のオペレーターは、SolarWinds Network Performance Monitor/KeePass Password Manager/PDF Reader Pro などの、不正なバージョンを悪用するかたちでキャンペーンを進化させ続けている。このオペレーションのターゲットを構成するのは、ウクライナや英国などの英語圏の被害者たちである。BlackBerry Threat Research and Intelligence Team は、「ターゲットの地理的条件と、現在の地政学的状況を考慮すると、RomCom RAT の動機が経済的なサイバー犯罪にあるとは考えにくい」と新たな分析で述べている。
Continue reading “RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心”Zurich and Mondelez Reach NotPetya Settlement, but Cyber-Risk May Increase
2022/11/03 InfoSecurity — Zurich American Insurance と製菓大手 Mondelez International の間で生じた、2017年の NotPetya サイバー攻撃に関連する、$100m の請求に関する論争に決着がついた。この訴訟は、サイバー攻撃に関連する戦争の状況と、保証の除外のテスト・ケースとして注目を集めていたが、イリノイの州裁判所で4年間続いた争いの末に和解が成立した。
Continue reading “Zurich と Mondelez の和解が成立:NotPetya マルウェアに関連する $100M の保険請求”Threat Actor “OPERA1ER” Steals Millions from Banks and Telcos
2022/11/03 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、フランス語圏の脅威グループによる長期的な APT キャンペーンの存在であり、4年間で銀行や通信事業者から少なくとも $11m を盗み出したグループのことである。Group-IB は、このグループを OPERA1ER と名付けたが、以前には DESKTOP-group や Common Raven など呼ばれていたようだ。Group-IB は、Orange CERT Coordination Center と協力して、レポート OPERA1ER. Playing God without permission を作成した。
Continue reading “OPERA1ER という現金強奪者:4年間で銀行などから $11M 以上を盗み出した”Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App
2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。
Continue reading “SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染”Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware
2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。
Continue reading “PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける”2022/11/02 TheHackerNews — Raccoon Stealer が再び話題になっている。米国当局は、このプログラムの背後にいるマルウェア・アクターの一人である Mark Sokolovsky を逮捕した。2022年7月に Raccoon Stealer は閉鎖されたが、その数カ月後に Raccoon Stealer V2 が流行りだしている。先週の、司法省 (DoJ) プレスリリースによると、このマルウェアは 5,000万件のクレデンシャルを収集したとのことだ。この記事では、Raccoon Stealer V2 情報窃盗犯の最新バージョンについて簡単に説明していく。
Continue reading “Raccoon Stealer V2 の調査:収集されたアクティビティから実行プロセスを推測”Emotet botnet starts blasting malware again after 5 month break
2022/11/02 BleepingComputer — マルウェア Emotet のオペレーションだが、サイバー犯罪作戦の活動がほとんど見られなかった約5ヶ月間の休暇を経て、再び悪質な電子メールを送信し始めている。Emotet のフィッシング・キャンペーンは、悪意の Excel/Word 文書を介して、マルウェアを配布し感染させるものだ。それらの文書を開いたユーザーが、マクロを有効にしていると、Emotet DLL がダウンロードされ、メモリに読み込まれる。
Continue reading “Emotet が 11月2日に活動を再開:Microsoft の Protected View を回避する戦術とは?”Hacking group abuses antivirus software to launch LODEINFO malware
2022/10/31 BleepingComputer — APT10 として追跡されている中国のハッキング・グループ Cicada は、セキュリティ・ソフトウェアを悪用することで、日本の組織に対してマルウェア LODEINFO の新バージョンをインストールしていたことが確認されている。 標的となったのは、日本国内の報道機関/外交機関/政府機関/公共機関/シンクタンクなどであり、いずれもサイバー犯罪の標的として高い関心を集める組織である。
Continue reading “中国 APT10 の標的は日本の政府機関など:K7Security を悪用する LODEINFO マルウェアとは?”Hackers use Microsoft IIS web server logs to control malware
2022/10/28 BleepingComputer — Microsoft Internet Information Services (IIS) の Web サーバのログを経由して、感染端末のマルウェアを制御するという、これまでにはなかった手法を、ハッキング・グループ Cranefly (UNC3524) が採用しているという。Microsoft IIS は Web サーバであり、Web サイトや Web アプリをホストするために使用されている。また、Microsoft Exchange の Outlook on the Web (OWA) などのソフトウェアでも、管理アプリや Web インターフェイスをホストするために使用されている。
Continue reading “Microsoft IIS ログを悪用する Cranefly マルウェア:3つの文字列で侵害を完遂”New Cryptojacking Campaign Targeting Vulnerable Docker and Kubernetes Instances
2022/10/27 TheHackerNews — 脆弱な Docker/Kubernetes インフラを標的とし、暗号通貨の不正マイニングを行う、新たなクリプトジャッキング・キャンペーンが発覚した。このアクティビティを Kiss-a-dog と名付けた CrowdStrike は、その Command and Control インフラについて、ミスコンフィグレーションのある Docker/Kubernetes インスタンスへの攻撃で知られる、TeamTNT などのグループとの重複があることを明らかにした。この、kiss.a-dog[.]top というドメインに由来する侵入は、2022年9月に発見されており、Base64 エンコードされた Python コマンドを用いて、侵入したコンテナでシェル・スクリプト・ペイロードを起動するものである。
Continue reading “Docker/Kubernetes の脆弱なインスタンスを狙う:Kiss-a-dog クリプトジャッキング”Ransomware Threat Shifts from US to EMEA and APAC
2022/10/26 InfoSecurity — SonicWall の 2022 Threat Mindset Survey によると、2022年 Q3 におけるランサムウェアの検出量は、過去2年間で最低となり、米国の組織への攻撃が衰退した。しかし、その他の地域での標的が、拡大していることも判明している。セキュリティ・ベンダーである SonicWall は、200カ国以上に展開された、100万個以上のセキュリティ・センサーなどを用いた独自の脅威検知ネットワークにより、こうした現状を明らかにしている。
Continue reading “SonicWall ランサムウェア統計 2022 Q3:米国は 51% 減で APAC は 56% 増”Notorious ‘BestBuy’ hacker arraigned for running dark web market
2022/10/26 BleepingComputer — 今は亡きダークウェブ・マーケットプレイス The Real Deal を運営していた疑いで、この水曜日に、英国のハッカーが米国司法省に喚問された。Daniel Kaye 被告 34歳 (別名:Bestbuy/Spdrman/Popopret/UserL0ser) は、The Real Deal が立ち上げられた 2015年初頭から、閉鎖された 2016年11月までの間に、違法なサービス市場を運営したとされる。
Continue reading “BestBuy という名のダークウェブ運営者が逮捕:米政府の機密データなどを販売”Ukrainian charged for operating Raccoon Stealer malware service
2022/10/25 BleepingComputer — 26歳のウクライナ人 Mark Sokolovsky が、Raccoon Stealer というマルウェア・サービス (MaaS:Malware-as-a-Service) を介した、サイバー犯罪に関与したとして起訴された。Raccoon Stealer とは、MaaS モデルで配布される情報窃取型トロイの木馬であり、脅威アクターは $75/週あるいは $200/月でレンタルできる。利用者は、マルウェアのカスタマイズ/盗み出したデータ (ログとも呼ばれる) の取得/新しいマルウェア・ビルドの作成などを行うための、管理パネルへのアクセスが可能になる。
Continue reading “Raccoon Stealer が解体:ウクライナ人の Malware-as-a-Service 運営者が逮捕/起訴”Thousands of GitHub repositories deliver fake PoC exploits with malware
2022/10/23 BleepingComputer — Leiden Institute of Advanced Computer Science の研究者たちは、様々な脆弱性に対する偽の PoC エクスプロイトを提供する、GitHub 上の数千のリポジトリを発見した。それらのリポジトリには、マルウェアも含まれていたという。GitHub は最大のコード・ホスティング・プラットフォームの1つである。そして、研究者たちが GitHub を用いて PoC エクスプロイトを公開し、セキュリティ・コミュニティが脆弱性の修正を検証することで、脆弱性の影響と範囲を判断できるようにしている。
Continue reading “GitHub に潜む偽 PoC エクスプロイト:騙されてマルウェアを配信される確率は 10.3%”Emotet Botnet Distributing Self-Unlocking Password-Protected RAR Files to Drop Malware
2022/10/21 TheHackerNews — Emotet ボットネットの新しいマルスパム・キャンペーンは、パスワードで保護されたアーカイブ・ファイルを利用して、感染させたシステムに CoinMiner と Quasar RAT をドロップするものだ。Trustwave SpiderLabs の研究者たちが検出した攻撃チェーンの手口では、請求書を装う ZIP ファイルのルアーに、ネストした自己解凍 (SFX) アーカイブが含まれており、最初のアーカイブを媒介として機能させ、2番目のアーカイブを起動することが判明している。
Continue reading “Emotet の新たなマルスパム・キャンペーン:CoinMiner と Quasar RAT のドロップが始まった”These 16 Clicker Malware Infected Android Apps Were Downloaded Over 20 Million Times
2022/10/20 TheHackerNews — モバイル広告における詐欺の摘発を受け、累計ダウンロード数が 2000万を超える 16種類もの悪質なアプリが、Google Play Store から削除された。McAfee によると、一連の Clicker マルウェアは、カメラ/通貨変換/単位変換/QR コードリーダー/メモ帳アプリ/辞書などの、無害なユーティリティに見せかけて、ユーザーを騙してダウンロードさせようとするものだ。
Continue reading “Clicker マルウェア 16種類:Google Play から削除されたがダウンロード数は 2,000万回”New PowerShell Backdoor Poses as Part of Windows Update Process
2022/10/19 SecurityWeek — サイバーセキュリティ企業である SafeBreach は、Windows のアップデート・プロセスの一部として自身を偽装し、検出を回避する新たな PowerShell バックドアについて警告を発表した。このバックドアは、洗練された未知の脅威者により操作され、リンクされた Word 文書を通じて配布される。
Continue reading “PowerShell バックドアの新種:Windows Update プロセスに偽装して検出を回避”Black Basta Ransomware Hackers Infiltrate Networks via Qakbot to Deploy Brute Ratel C4
2022/10/17 TheHackerNews — Black Basta ランサムウェア・ファミリーの背後にいる脅威アクターは、 Qakbotトロイの木馬を用いる最近の攻撃において、第2段階のペイロードとして Brute Ratel C4フレームワークを展開していることが確認された。Trend Micro は、先週に発表した技術分析で、最新の敵対的シミュレーション・ソフトウェア Brute Ratel C4 が、Qakbot 感染を通じて配信される初めてのケースだと述べている。この侵入は、兵器化された ZIP アーカイブ・リンクを含むフィッシング・メールを介して達成され、横方向への移動には Cobalt Strike が使用されている。
Continue reading “Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開”Malware dev claims to sell new BlackLotus Windows UEFI bootkit
2022/10/17 BleepingComputer — ある脅威アクターが、新しい UEFI ブートキット BlackLotus をハッキングフォーラムで販売している。このツールは、国家を後ろ盾とする脅威グループに関連する機能を有している。UEFI ブートキットとは、システムのファームウェアに仕込まれるものであり、マルウェアが起動シーケンスの初期段階でロードされるため、OS 内で動作するセキュリティ・ソフトウェアからは検出されない。
Continue reading “BlackLotus は新種の Windows UEFI ブートキット:ハッキングフォーラムで販売されている”CISA releases open-source ‘RedEye’ C2 log visualization tool
2022/10/14 BleepingComputer — 米国の Cybersecurity and Infrastructure Security (CISA) は、Command and Control (C2) アクティビティ可視化し報告するオペレーター向けに、オープンソースの分析ツール RedEye を発表した。この RedEye は、レッドチームとブルーチームの双方に対応し、実用的な意思決定につながるデータを、簡単に測定する方法を提供する。
Continue reading “CISA が RedEye をリリース:C2 ログの可視化や Cobalt Strike 追跡などに対応”New PHP Version of Ducktail Malware Hijacking Facebook Business Accounts
2022/10/14 TheHackerNews — Zscaler の最新の調査結果によると、Ducktail と呼ばれる情報窃取マルウェアの PHP バージョンが、クラックされた正規のアプリやゲーム用のインストーラーの形で、野放し状態で配布されていることが発覚した。Zscaler ThreatLabz の研究者である Tarun Dewan と Stuti Chaturvedi は、「旧バージョン (.NetCore) と同様に、最新バージョン (PHP) も、保存したブラウザ認証情報/Facebook アカウント情報などの、機密情報の流出を目的としている」と述べている。
Continue reading “Ducktail の PHP バージョン:Facebook ビジネス・アカウントの窃取を狙っている”Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers
2022/10/12 TheHackerNews — Poloniumとして追跡されている脅威アクターが、2021年9月以降に7種類のカスタム・バックドアを用いてイスラエルの団体を狙うという、十数件の高度な標的型攻撃に関連していることが判明した。サイバー・セキュリティ企業の ESET は、エンジニアリング/IT/法律/通信/メディア/保険/ソーシャルサービスなどの、さまざまな垂直方向の組織への侵入があったと述べている。
Continue reading “Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出”QBot Malware Infects Over 800 Corporate Users in New, Ongoing Campaign
2022/10/12 SecurityWeek — 9月28日以降に発生した、マルウェア QBot の最新キャンペーンにより、800以上の企業ユーザーが感染したと Kaspersky が警告している。Qakbot/Pinkslipbot とも呼ばれる QBot は、2009年から存在するバックドア/自己拡散機能を持つ情報窃取ツールであり、悪意の攻撃のイニシャル感染ベクターとして広く使用されてきた。2022年初めには、Microsoft Support Diagnostic Tool (MSDT) のリモート・コード実行の脆弱性 Follina (CVE-2022-30190) を悪用した攻撃で、QBot が配布されていた。
Continue reading “QBot マルウェアの最新キャンペーン:企業ユーザー 800人以上の感染を Kaspersky が警告”Microsoft Exchange servers hacked to deploy LockBit ransomware
2022/10/11 BleepingComputer — Microsoft が進めている調査は、Exchange Server の新たなゼロデイ脆弱性がハッキングに悪用され、その後にランサムウェア Lockbit 攻撃の起動に使用されたという報告に対するものだ。2022年7月に発生した、少なくとも1件のインシデントでは、事前に Exchange Server に配置していた WebShell を用いて、侵入に成功した攻撃者が Active Directory 管理者への権限昇格を実行し、約 1.3TB のデータを窃取し、ネットワーク・システムの暗号化を行ったとされている。
Continue reading “Microsoft Exchange の新たな別のゼロデイ:悪用により LockBit ランサムウェアを配布?”Experts analyzed the evolution of the Emotet supply chain
2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。
Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”Hackers behind IcedID malware attacks diversify delivery tactics
2022/10/10 BleepingComputer — IcedID マルウェアによるフィッシング・キャンペーンの背後にいる脅威アクターは、さまざまなターゲットに対して、最も効果的な攻撃を仕掛けるために、多種多様な配布方法を利用していると思われる。2022年9月に、Team Cymru の研究者たちは、複数のキャンペーンを観測したが、いずれも微妙に異なる感染経路を辿っており、有効性を評価するための戦術が取られていると考えているようだ。
Continue reading “IcedID マルウェア運用に変化:複数の配信経路により効果を測定している?”Facebook Login Details at Risk as Meta Identifies Over 400 Malicious Apps
2022/10/10 InfoSecurity — Facebook の親会社である Meta は、Facebook のログイン情報を盗み出すことを目的とした、400種類以上の悪質な Android/iOS アプリを発見したと述べている。Meta によると、一連のアプリの発見は 2022年に生じており、発見者たちは Apple と Google に結果を報告している。
Continue reading “FB アカウントでのログイン要求に注意:認証情報を盗む 400種以上のマルアプリが判明”Callback phishing attacks evolve their social engineering tactics
2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬/スパイウェア/ランサムウェアなどの、追加のペイロードがドロップされる。
Continue reading “BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング”Hackers Exploiting Unpatched RCE Flaw in Zimbra Collaboration Suite
2022/10/08 TheHackerNews — Zimbra の企業向けコラボレーション・ソフトウェア/Eメール・プラットフォームに存在する、深刻なリモート・コード実行の脆弱性が活発に悪用されているが、この脆弱性のパッチは現時点で提供されていない。この脆弱性 CVE-2022-41352 (CVSS:9.8) の悪用に成功した攻撃者は、任意のファイルをアップロードし、影響を受けるインストール上で悪意のアクションを実行できる。
Continue reading “Zimbra の深刻な RCE 脆弱性 CVE-2022-41352:悪用するハッカーが出現”Email Defenses Under Siege: Phishing Attacks Dramatically Improve
2022/10/08 DarkReading — 今週は、サイバー攻撃者たちが 仕掛ける攻撃が、Microsoft のデフォルト・セキュリティを回避しているというレポートがあり、また、セキュリティ専門家たちは、フィッシングの手口が驚くほど進化していることを明らかにした。 脅威アクターたちが用いるテクニックには、ゼロポイント・フォントの難読化/クラウド・メッセージング・サービスへの混入/ペイロード起動の遅延などがあり、メール・プラットフォーム防御の弱点をついて、フィッシング攻撃を狡猾に行っている。また、被害者の調査/選定の頻度も上がっている。
Continue reading “フィッシング最前線:18.8% の確率で Microsoft プラットフォーム防御を回避する悪意のメールたち”LofyGang Group Linked to Recent Software Supply Chain Attacks
2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。
Continue reading “LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明”Meta sues app dev for stealing over 1 million WhatsApp accounts
2022/10/06 BleepingComputer — 2022年5月から非公式な WhatsApp Android アプリを開発/使用して、100万以上の WhatsApp アカウントを盗用したとして、HeyMods/Highlight Mobi/HeyWhatsApp などの複数の中国企業を、Meta が提訴した。Meta の訴状によると、これらの悪質なアプリは、上記3社のサイトに加えて、Google Play Store/APK Pure/APKSFree/iDescargar/Malavida などからダウンロードが可能だったとのことだ。
Continue reading “WhatsApp から 100万件の認証情報を窃取:Meta が中国企業を提訴”Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices
2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN/電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集/流出させるコマンドを、受信/実行する機能を持つ高度なスパイウェアとして機能するとのことだ。
Continue reading “RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う”Hundreds of Microsoft SQL servers backdoored with new malware
2022/10/05 BleepingComputer — Microsoft SQL Server を標的とする新たなマルウェアが、セキュリティ研究者たちにより発見された。この Maggie と名付けられたバックドアは、すでに世界中の数百台のマシンに感染しているようだ。Maggie は、コマンドの実行やファイルとのやり取りを指示する、SQL クエリにより制御される。その機能の及ぶ範囲には、他の Microsoft SQL Server への管理者ログインの強要や、サーバのネットワーク環境へのブリッジヘッドなどが含まれるという。
Continue reading “Microsoft SQL Server に感染する多機能バックドア:Maggie 汚染は既に数百台”Popular YouTube Channel Caught Distributing Malicious Tor Browser Installer
2022/10/04 TheHackerNews — 中国語の人気 YouTube チャネルが、トロイの木馬化した Windows 版の Tor Browser インストーラを配布する手段として浮かび上がっている。Kaspersky は、このキャンペーンを OnionPoison と名付け、被害者の全てが中国のユーザーであることを公表した。現時点で、攻撃の規模は不明だが、2022年3月にはテレメトリーで被害者を検出したと、同社は述べている。
Continue reading “Tor Browser のトロイの木馬版:中国で人気の YouTube チャネルからインストーラが配布される”Bumblebee Malware Loader’s Payloads Significantly Vary by Victim System
2022/10/04 DarkReading — 3月に表面化した、きわめて悪質なマルウェア・ローダー Bumblebee の最新分析により、企業ネットワークの一部としてのシステム向けのペイロードと、スタンドアロン・システム向けのペイロードでは、その種類が大きく異なることが判明した。たとえば、Active Directory サーバを共有しているような、ドメインの一部として認識されたシステムの場合には、Cobalt Strike のような高度なポスト・エクスプロイト・ツールを実行するよう、このマルウェアはプログラムされている。
Continue reading “Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する”Fake Microsoft Exchange ProxyNotShell exploits for sale on GitHub
2022/10/03 BleepingComputer — 詐欺師たちがセキュリティ研究者になりすまし、新たに発見された Microsoft Exchange のゼロデイ脆弱性に対する、偽の PoC エクスプロイト ProxyNotShell を販売しているようだ。先週に、ベトナムのサイバー・セキュリティ企業 GTSC は、Microsoft Exchange の2つの新しいゼロデイ脆弱性を悪用した攻撃を、一部のユーザーが受けていたことを明らかにした。研究者たちは、Trend Micro の Zero Day Initiative と共同で、この脆弱性を Microsoft に対して非公開で報告した。Microsoft は、この脆弱性が攻撃に悪用されていることを確認し、セキュリティ更新プログラムをリリースするスケジュールを早めるとしている。
Continue reading “Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている”Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers
2022/10/01 TheHackerNews — 北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されている。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっている。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙/防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となる。
Continue reading “Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用”Hackers Hide Malware in Windows Logo, Target Middle East Governments
2022/09/30 InfoSecurity — Witchetty と呼ばれるハッカー集団が、ステガノグラフィー技術を用いて Windows ロゴにバックドアを隠し、中東の政府をターゲットにしていることが確認された。Broadcom の最新アドバイザリによると、Witchetty (別名 LookingFrog) は国家が支援する中国の脅威アクター APT10 や、以前の米国エネルギー・プロバイダーに対する攻撃に関連した TA410 の、工作員とも関係があるとみられている。
Continue reading “Windows Logo に隠されたマルウェアは中国由来:中東の政府組織などを攻撃”Dangerous New Attack Technique Compromising VMware ESXi Hypervisors
2022/09/30 DarkReading — ESXi Hypervisors に複数の永続的バックドアをインストールする、厄介な新手法を用いる中国ベースの脅威者を、Mandiant が検出したことを受け、9月29日に VMware は新しい緩和策とガイダンスを、vSphere 仮想化技術の顧客向けに緊急発表した。この、Mandiant が確認した手法は、UNC3886 として追跡されている脅威アクターが、悪意の vSphere Installation Bundles (VIB) を用いて、標的システムにマルウェアを忍び込ませるというものだ。
Continue reading “VMware ESXi を侵害する危険な攻撃:VIB 署名レベルの弱点をつく高度な手法”WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation
2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。
Continue reading “Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出”Government, Union-Themed Lures Used to Deliver Cobalt Strike Payloads
2022/09/29 InfoSecurity — 2022年8月に Cisco Talos の研究者たちは、モジュール化された攻撃手法により Cobalt Strike ビーコンを配信し、後続の攻撃に使用するという、悪質なキャンペーンを発見した。同社は 9月28日に、このキャンペーンについて新たなアドバイザリを発表し、このキャンペーンの背後にいる脅威アクターは、フィッシング・メールを使用していたと述べた。最初の攻撃ベクターとして、悪意の Microsoft Word 文書を添付して、米国の政府組織またはニュージーランドの労働組合に成りすましているという。
Continue reading “米政府組織などを装う Word 文書フィッシング:Bitbucket から Cobalt Strike を展開”Hackers now sharing cracked Brute Ratel post-exploitation kit online
2022/09/28 BleepingComputer — Brute Ratel のポスト・エクスプロイト・ツールキットがクラックされ、ロシア語圏と英語圏のハッキング・コミュニティで無料で共有されている。Brute Ratel C4 (BRC4) を知らない人のために説明すると、これは Mandiant と CrowdStrike の元レッドチーマーである、Chetan Nayak が作成したポスト・エクスプロイト・ツールキットのことである。
Continue reading “Brute Ratel ポスト・エクスプロイト・キットのクラック版:残念なことに蔓延の兆し”Stealthy hackers target military and weapons contractors in recent attack
2022/09/28 BleepingComputer — セキュリティ研究者たちが発見したのは、F-35 Lightning II 戦闘機部品サプライヤーなどの、兵器製造に携わる複数の軍事関連業者を標的とした新たなキャンペーンである。この高度な標的型攻撃は、従業員にフィッシング・メールを送信することから始まり、検知回避システムを用いた、永続性を確保する感染にいたるまでの、多段階で構成される。このキャンペーンは、安全な C2 インフラと、PowerShell ステージャによる、何重もの難読化という点で際立っている。
Continue reading “軍事産業への PowerShell 攻撃:洗練された7段階の実行チェーンとスティルス性”Researchers Warn of New Go-based Malware Targeting Windows and Linux Systems
2022/09/28 TheHackerNews — この数カ月にわたり、Chaos と呼ばれる多機能な Go ベースの新たなマルウェアが、Windows/Linux/SOHO ルーター/企業サーバーなどをボットネットに取り込み、その勢力を急速に拡大している状況が明らかになった。Lumen の Black Lotus Labs の研究者たちは、「Chaos の機能には、ホスト環境の列挙/リモートシェル・コマンドの実行/追加モジュールのロード/SSH 秘密鍵の窃盗/ブルートフォースによる自動伝播などに加えて、DDoS 攻撃の設定も含まれている」 と、The Hacker News に述べている。
Continue reading “Chaos は Golang ベースのマルウェア:複数の CPU にまたがり Windows/Linux に感染”New NullMixer Malware Campaign Stealing Users’ Payment Data and Credentials
2022/09/27 TheHackerNews — このサイバー犯罪者は、クラックされた海賊版ソフトウェアを探そうとするユーザーを、武器化されたインストーラーをホストする不正な Web サイトに誘導してシステムを侵害し、NullMixer と呼ばれるマルウェアを展開している。月曜日のレポートで Kaspersky は、「ユーザーが NullMixer を解凍/実行すると、感染したマシンに多数のマルウェア・ファイルがドロップされる。NullMixer は、バックドア/バンカー/ダウンローダー/スパイウェアなどのような、さまざまな悪意のバイナリをドロップして、マシンに感染させる」と述べている。
Continue reading “NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布”
IoT OT Security News 
You must be logged in to post a comment.