65% of IT help desk teams report unsustainable levels of stress
2022/05/18 HelpNetSecurity — これまでの2年間において、IT 部門はビジネスの最前線に立ち、組織はデジタル・トランスフォーメーションを迅速に導入し、完全なリモートワークや分散型労働の実現を支援してきた。その一方で、Splashtop のレポートによると、米国内の IT ヘルプデスク・チームの 65% において、持続不可能なレベルのストレスを訴えるメンバーが増加しているようだ。さらに、回答者の 94% が、これまでの 12カ月間における自社のヘルプデスク部門が、雇用問題/人材確保問題/スキル不足の影響を受けたと回答している。その結果として、回答者の 67% が IT サポート目標の維持に問題があると報告している。
Continue reading “IT ヘルプ・デスクの調査:65% のチームが持続不可能なストレスを訴えている”VMware Releases Patches for New Vulnerabilities Affecting Multiple Products
2022/05/18 TheHackerNews — VMware は、Workspace ONE Access/Identity Manager/vRealize Automation に関連する、2つの脆弱性修正するパッチを発表した。認証バイパスの脆弱性 CVE-2022-22972 (CVSS:9.8) は、ネットワーク経由で UI にアクセスできる脅威アクターに対して、事前の認証なしに root 権限取得を許してしまうものである。もう1つの、ローカル権限昇格の脆弱性 CVE-2022-22973 (CVSS : 7.8) は、ローカル・アクセスを持つ攻撃者に対して、脆弱な仮想アプライアンス上で root への権限昇格を許してしまうものである。
Continue reading “VMware 製品群の2つの深刻な脆弱性が FIX:認証バイパスで root 取得を許してしまう”UpdateAgent Returns with New macOS Malware Dropper Written in Swift
2022/05/17 TheHackerNews — UpdateAgent という名で追跡されている、macOS マルウェアの新亜種が野放しの状態で発見され、また、継続的な機能のアップグレードが実施されていることが判明している。Jamf Threat Labs の研究者は報告書で、「おそらく、このマルウェアの最も大きな特徴の1つは、さまざまなペイロードをホストし、標的サーバーへの感染ステータスを更新するために、AWS インフラストラクチャに依存している点だ」と述べている。
Continue reading “UpdateAgent マルウェアは Mac を狙う:macOS Gatekeeper もバイパスするという”Emotet is the most common malware
2022/05/17 HelpNetSecurity — HP の Wolf Security 脅威リサーチ・チームが、Emotet が再登場した 2021年 Q4 と 2022年 Q1 を比較し、Emotet 悪質スパム・キャンペーンによる検出数が 28倍に増加していることを確認し発表している。現実のサイバー・セキュリティ攻撃の分析を提供する、最新の HP Wolf Security Threat Insights Report Q1-2022 によると、Emotet は 36 ランク・アップして、2022年 Q1 で最も多く検出されたマルウェア・ファミリーとなった (捕捉した全マルウェアの 9%)。
Continue reading “Emotet の検出量が最多になった:HP Wolf Security 調査 2022 Q1”BPFdoor: Stealthy Linux malware bypasses firewalls for remote access
2022/05/12 BleepingComputer — 最近になって発見された BPFdoor (Berkeley Packet Filter) というバックドア・マルウェアは、5年以上も気づかれることなく、こっそりと Linux や Solaris システムを標的にしてきた。BPFdoor は、Linux/Unix のバックドアであり、脅威アクターは Linux シェルにリモートで接続し、侵害したデバイスに対する完全なアクセスを得るようになる。このマルウェアは、ポートを開く必要がなく、ファイアウォールで止めることもできず、Web 上のあらゆる IP アドレスからのコマンドに応答できるため、企業スパイなどの継続的な攻撃にとって最適なツールとなっている。
Continue reading “BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細”Thousands of WordPress Sites Hacked to Redirect Visitors to Scam Sites
2022/05/12 TheHackerNews — サイバー・セキュリティ研究者たちが、侵害済みの WordPress サイトに悪意の JavaScript コードを注入し、訪問者を詐欺ページなどの悪意の Web サイトにリダイレクトし、不正なトラフィックを生成するという、大規模なキャンペーンについて公開している。
Continue reading “WordPress サイトへの大規模攻撃:悪意の JavaScript コード注入とリダイレクトが多発”New stealthy Nerbian RAT malware spotted in ongoing attacks
2022/05/11 BleepingComputer — Nerbian RAT と呼ばれる、新たなリモート・アクセス型トロイの木馬が発見された。この RAT は、研究者による検出や分析を回避する機能などの、豊富な機能を備えていることが判明している。この新しいマルウェアの亜種は、Golang で書かれているため、クロス・プラットフォームの 64 Bit 脅威となっており、現時点においてはマクロが混入された文書の添付ファイルを使用した、小規模な電子メール配信キャンペーンにより配布されている。この電子メール・キャンペーンは、Proofpoint の研究者たちが発見したものであり、同社は Nerbian に関するレポートも発表している。
Continue reading “Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する”E.U. Blames Russia for Cyberattack on KA-SAT Satellite Network Operated by Viasat
2022/05/11 TheHackerNews — オーストラリア/カナダ/ニュージーランド/英国/米国からなる Five Eyes 諸国と、ウクライナと、欧州連合は、国際衛星通信 (SATCOM) プロバイダーへの攻撃を首謀し、欧州全体に影響を及ぼしたとして、ロシアを正式に非難した。2022年2月24日にクレムリンがウクライナに軍事侵攻する1時間前に、このサイバー攻撃は行われ、通信会社 Viasat が運営する KA-SAT 衛星ネットワークを標的とし、中央ヨーロッパの風力発電所とインターネット・ユーザーの業務を麻痺させた。
Continue reading “西側諸国がロシアを批判:Viasat が運営する KA-SAT 衛星ネットワークへのサイバー攻撃”CISA tells federal agencies to fix actively exploited F5 BIG-IP bug
2022/05/11 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されるバグのリストに、BIG-IP ネットワーク・デバイスに深刻な影響を与える、脆弱性 CVE-2022-1388 を新たに追加した。BIG-IP ソリューションを使用する F5 の顧客の中には、連邦政府機関/Fortune 500 企業/銀行/サービス・プロバイダ/コンシューマ・ブランド (Microsoft/Oracle/Facebook など) が含まれているが、同社は Fortune 50 のうちの 48社が F5ユーザーだとしている。
Continue reading “CISA 警告 5/10:F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 を KEV リストに追加”Microsoft fixes new NTLM relay zero-day in all Windows versions
2022/05/10 BleepingComputer — Microsoft は、未認証の攻撃者がリモートから悪用し、Windows NT LAN Manager (NTLM) セキュリティ・プロトコルを介して、ドメイン・コントローラに強制的に認証させるという、Windows LSA スプーフィングのゼロデイ脆弱性に積極的に対処している。この LSA (Local Security Authority) とは、ローカル・セキュリティ・ポリシーを実施し、ローカル/リモートでのサインイン時にユーザーを認証する、保護された Windows サブシステムのことである。
Continue reading “Microsoft Windows における NTLM ゼロデイ脆弱性が FIX:ドメインを乗っ取りの可能性”Critical F5 BIG-IP vulnerability exploited to wipe devices
2022/05/10 BleepingComputer — 先日に公開された F5 BIG-IP の脆弱性は、デバイスのファイル・システムを消去し、サーバを使用不能にするという、破壊的な攻撃に悪用されかねないものである。先週に F5 は、脆弱性 CVE-2022-1388 を公開し、リモート攻撃者が認証なしで BIG-IP ネットワーク・デバイス上で、root としてコマンドを実行できる問題を示した。このバグは極めて深刻であるため、F5 は管理者に対して、可能な限り早急にアップデートを適用するよう促している。
Continue reading “F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:デバイスの消去も起こり得る”Hackers exploiting critical F5 BIG-IP flaw to drop backdoors
2022/05/09 BleepingComputer — F5 BIG-IP の、すべてのモジュールの複数のバージョンに影響を与える、深刻な脆弱性の悪用に成功した攻撃者たちが、悪意のペイロードをドロップするという脅威が大量に発生し始めている。先週に F5 は、BIG-IP iControl の REST 認証コンポーネントに影響を及ぼす、脆弱性 CVE-2022-1388 (CVSS:9.8) に対するパッチをリリースした。
Continue reading “F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:bash を狙ったバックドア展開が多発”Malware campaign hides a shellcode into Windows event logs
2022/05/07 SecurityAffairs — 2022年2月に Kaspersky の研究者たちは、Windows イベント ログにシェルコードを隠すという、新しいテクニックを用いた悪意のキャンペーンを発見した。このテクニックにより、ファイル無しのトロイの木馬を隠すことが可能となる。また、専門家たちは、Event Tracing (ETW) と Anti-Malware Scan Interface (AMSI) に関連する、Windows ネイティブ API 関数にパッチを当てることで、その Dropper モジュールも検出を避けていたことに気づいた。
Continue reading “新たなマルウェアを検出:Windows イベントログにシェルコードを隠す高度なスティルス性”Anonymous and Ukraine IT Army continue to target Russian entities
2022/05/06 SecurityAffairs — Anonymous の集団は、ロシアの企業や政府組織に対するサイバー戦争を継続している。以下は、同集団に標的とされた組織の最新リストであり、盗まれたデータは DDoSecrets プラットフォームを介して流出している。
Continue reading “Anonymous と Ukraine IT Army の継続的な攻撃:ロシアの政府機関などのデータをリーク”Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware
2022/05/06 TheHackerNews — PrivateLoader という PPI (pay-per-install) マルウェア・サービスが、NetDooka という極めて高度なフレームワークを配布し、攻撃者が感染させたデバイスを完全にコントロールしている状況が発見された。木曜日に Trend Micro は、「このフレームワークは、PPI サービスを通じて配布され、ローダー/ドロッパー/保護ドライバーだけではなく、独自のネットワーク通信プロトコルを実装した、フル機能の RAT (remote access trojan) といった、複数のツールを含んでいる」と、レポートの中で述べている。
Continue reading “ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている”REvil ransomware returns: New malware sample confirms gang is back
2022/04/30 BleepingComputer — ロシアと米国の緊張が高まる中、ランサムウェア REvil が、新たなインフラの構築と、暗号化方式の変更により、より標的を絞った攻撃を目論みながら再登場した。2021年10月に法的執行機関は、REvil ランサムウェア・ギャングの Tor サーバーを乗っ取り、その後に、ロシア当局によりメンバーが逮捕され、活動を停止した。しかし、ウクライナ侵攻の後に、米国は REvil ギャングに関する交渉プロセスから撤退し、通信手段を閉じたと、ロシア側は表明している。
Continue reading “REvil の復活は本物:新たなマルウェア・サンプルから確認された継承の証拠とは?”New OpenSSF Project Hunts for Malicious Packages in Open Source Repositories
2022/04/29 SecurityWeek — Open Source Security Foundation (OpenSSF) が発表した新しいプロジェクトとは、オープンソース・リポジトリ内の悪意のパッケージの特定を、支援することを目的とするものだ。OpenSSF によると、この Package Analysis プロジェクトは、オープンソース・パッケージの挙動と機能 (アクセスするファイル/サポートするコマンド/接続する IP など) を特定し、疑わしい活動を明らかにし、変更を追跡することを目的としている。
Continue reading “OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す”EmoCheck now detects new 64-bit versions of Emotet malware
2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書/Windows ショートカット/ISO ファイル/パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの1つである。これらのフィッシング・メールは、返信用チェーンメール/出荷通知/税務書類/会計報告書/ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。
Continue reading “JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出”Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild
2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。
Continue reading “Bumblebee という新たなマルウェア:TrickBot/BazaLoader 系で最凶か?”1.2 Million Bad Apps Blocked From Reaching Google Play in 2021
2022/04/28 SecurityWeek — 2021年の Google は、Google Play にエントリーされた、120万件の悪質なアプリをブロックしたと主張している。しかし、依然としてサイバー犯罪者たちは、公式 Android アプリ・ストアを介して、マルウェアを配信する方法を見つけ出そうとしている。水曜日に Google が共有したデータによると、同社の自動化されたシステムにより、ポリシー違反アプリ 120万件がブロックされ、Google Play への公開が阻止され、数十億件の有害なインストールが防止されたようだ。
Continue reading “Google Play 2021年の奮闘記:120 万件の悪質アプリをブロックしたけど・・・”Wind Turbine giant Deutsche Windtechnik hit by a professional Cyberattack
2022/04/27 SecurityAffairs — ドイツの風力発電機大手 Deutsche Windtechnik は、今月の上旬に同社システムの一部が、標的型プロフェッショナル・サイバー攻撃を受けたと発表した。この攻撃は 4月11日から12日の夜間にかけて行われ、同社はセキュリティ上の理由から、風力タービンへのリモート・データ・モニタリング接続を停止した。2日後に接続が再開されたが、同社は風力タービンに被害はなく、危険な状態にはならなかったと述べている。
Continue reading “ドイツの風力発電機大手 Deutsche Windtechnik:標的型サイバー攻撃に遭う”Conti ransomware operations surge despite the recent leak
2022/04/27 SecurityAffairs — Secureworks の研究者たちは、ロシアを拠点とする脅威アクター Gold Ulrick として追跡されている Conti ランサムウェアについて、内部活動に関するデータリークにもかかわらず、活発に活動し続けていると述べている。このグループの、通信内容/ソースコード/運用情報などが公開されたが、その活動は 2021年に記録したピーク・レベルへと戻っている。
Continue reading “Conti の活動がピーク値に戻る:逆リークを跳ね除けて被害者を増やしている?”Emotet malware now installs via PowerShell in Windows shortcut files
2022/04/26 BleepingComputer — 現時点における Emotet ボットネットは、PowerShell コマンドを取り込んだ Windows ショートカット・ファイル (.LNK) を介して、被害者のコンピュータを感染させるという戦術をとっている。つまり、現在はデフォルトで無効になっている Microsoft Office マクロから、新たな作戦へと移行している。これまでも、Emotet は Visual Basic Script (VBS) と .LNK ファイルを組み合わせて、ペイロードをダウンロードするコマンドを構築したので、Windows ショートカットの使用は目新しいものではない。しかし、それにより PowerShell コマンドを、ダイレクトに実行したのは今回が初めてとなる。
Continue reading “Emotet の新戦術:Windows ショートカット・ファイル内の PowerShell を介して展開される”Public interest in Log4Shell fades but attack surface remains
2022/04/25 BleepingComputer — Apache Log4j ライブラリに存在する、深刻なゼロデイ脆弱性 Log4Shell が発見されてから4ヶ月が経過したが、利用可能なはずの修正プログラムの適用が、依然として大幅に遅れていることを、脅威アナリストたちは警告している。世間の関心と情報セキュリティ・コミュニティの焦点は、より新しい脆弱性の悪用などに移っているが、Log4Shell は引き続き大規模な問題であり、重大なセキュリティ・リスクであることに変わりはない。
Continue reading “Log4Shell の現状調査:いまだに山積する問題と解決できない理由とは?”Emotet Testing New Delivery Ideas After Microsoft Disables VBA Macros by Default
2022/04/25 TheHackerNews — 大量の Emotet ボットネットを振りまく脅威アクターは、大規模な Malspam キャンペーンに取り込むための、新しい攻撃手法を小規模にテストしており、Microsoft が VBA マクロをデフォルトで無効にしたことに対して、素早く反応している可能性が浮上している。ProofPoint は、このグループの新しい活動を、典型的な行動からの逸脱だと指摘している。つまり、マルウェアを配布するための最新のフィッシング・メールは、典型的な大規模メール・キャンペーンと並行して、より選択的かつ限定的な攻撃を行うものだという、新たな視点を提起している。
Continue reading “Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?”Iranian Hackers Exploiting VMware RCE Bug to Deploy ‘Core Impact’ Backdoor
2022/04/25 TheHackerNews — 先日にパッチが適用された VMware の脆弱性を悪用する、Rocket Kitten というイランに関連する脅威アクターが、脆弱なシステムにイニシャル・アクセスを仕掛け、Core Impact ペンテスト・ツールを展開する様子が観察されている。この深刻な脆弱性 CVE-2022-22954 (CVSS:9.8) は、VMware Workspace ONE Access and Identity Manager に影響を与える、リモートコード実行 (RCE) の欠陥に起因するものだ。
Continue reading “VMware の深刻な RCE 脆弱性 CVE-2022-22954:イランからのバックドア展開を検出”Financial leaders grappling with more aggressive and sophisticated attack methods
2022/04/21 HelpNetSecurity — VMware が発行したレポートは、金融業界のトップ CISO やセキュリティ・リーダーを対象に、サイバー犯罪カルテルの行動変化と、金融業界の守りのシフトについてまとめたものだ。このレポートによると、高度なサイバー犯罪組織の活動は、振り込め詐欺にとどまらず、市場戦略や証券口座の乗っ取りや、アイランド・ホッピングなどへと進化を遂げている。したがって、金融機関は破壊的な攻撃の増加に直面し、ランサムウェアの被害についても、過去数年に比べて増えていることが明らかになった。
Continue reading “VMware のレポート Modern Bank Heists:金融機関への破壊的な攻撃が増加”T-Mobile confirms Lapsus$ hackers breached internal systems
2022/04/21 BleepingComputer — T-Mobile が確認したことは、恐喝組織 Lapsus$ が盗んだ認証情報を使って、数週間前に同社のネットワークに侵入し、内部システムにアクセスしたことである。T-Mobile は、セキュリティ侵害を発見した後に、このサイバー犯罪グループによるネットワークへのアクセスを遮断し、ハッキングに用いられた認証情報を無効にしたと付け加えている。また、このインシデントで、Lapsus$ で顧客や政府の機密情報を盗むことはなかったという。
Continue reading “T-Mobile の内部システムを Lapsus$ がハッキング:盗み出された認証情報で侵入?”Docker servers hacked in ongoing cryptomining malware campaign
2022/04/21 BleepingComputer — Linux サーバ上の Docker API が、Lemon_Duck ボットネット・オペレーターによる、大規模な Monero 暗号キャンペーンの標的になっている。このクリプトマイニング・マイニング集団は、セキュリティが不十分な Docker システムや、ミス・コンフィグレーションのある Docker システムにとって常に脅威であり、近年では複数の大規模なエクスプロイト・キャンペーンが報告されている。
Continue reading “Linux 上の Docker API 狙う暗号マイナー・マルウェア Lemon_Duck とは?”Microsoft Exchange servers hacked to deploy Hive ransomware
2022/04/20 BleepingComputer — Hive ランサムウェアのアフィリエイトが、ProxyShell のセキュリティ問題に対して脆弱な Microsoft Exchange サーバーを標的として、Cobalt Strike ビーコンなどの様々なバックドアを展開している。この脅威アクターは、そこからネットワークを偵察し、管理者アカウントの認証情報を盗み、貴重なデータを流出させ、最終的にはファイル暗号化ペイロードを展開する。この情報は、セキュリティ分析を行う Varonis が、同社の顧客に対するランサムウェア攻撃を調査した際に得られたものである。
Continue reading “Microsoft Exchange をハックする Hive ランサムウェア:新たな攻撃手法で被害を拡大”More Than Half of Initial Infections in Cyberattacks Come Via Exploits, Supply Chain Compromises
2022/04/20 DarkReading — Mandiant が実施した Incident Response (IR) 調査の最新レポートによると、攻撃者が被害者のネットワーク上で検知されずにいる日数は4年連続で減少し、2020年の 24日間から 2021年の 21日間へと短縮していることが明らかになった。この、Mandiant の IR 事例によると、最も危険な攻撃を素早く見つけるための検知能力は高まり、ランサムウェアは平均5日以内に検知され、ランサムウェア以外の攻撃は 2020年の45日間から 2021年の36日間へと短縮され、アクティブな状態を維持しているとのことだ。
Continue reading “サイバー攻撃の初期感染:脆弱性悪用とサプライチェーン侵害が 50% 以上を占める”Russia,REvil’s TOR sites come alive to redirect to new ransomware operation
2022/04/20 BleepingComputer — REvil ランサムウェアのサーバーが、数ヶ月ぶりに TOR ネットワーク内で復活し、2021年12月中旬から開始されたと思われる、新しいオペレーションへとリダイレクトされている。REvil に関連する新しいオペレーションの背後にいる人物は不明だが、この新しいリークサイトには、過去の REvil 攻撃での被害者を示す大規模なカタログと、新しい2件の攻撃の被害者がリストアップされている。
Continue reading “REvil の TOR サイトが動き出した:新たなランサムウェア運用が始まるのか?”Russian Gamaredon APT continues to target Ukraine
2022/04/20 SecurityAffairs — ロシアに帰属する Gamaredon APT グループ (別名:Armageddon/Primitive Bear/ACTINIUM) は、ウクライナをターゲットにした攻撃を続けており、カスタムな Pterodo バックドア (別名:Pteranodon) の亜種を用いているとのことだ。2021年10月以降に発生している、ウクライナの団体や関連組織を標的とした一連のスピアフィッシング攻撃の背後に、このサイバースパイ・グループが存在すると Microsoftは述べている。なお、2014年ころから Gamaredon は、ウクライナに対するサイバースパイ・キャンペーンを展開している。
Continue reading “ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?”Emotet botnet switches to 64-bit modules, increases activity
2022/04/19 BleepingComputer — Emotet マルウェアの配布が急増しているが、現時点のアンチウイルス・エンジンでは少量のみが検出されている、新しいペイロードに間もなく切り替わる可能性もある。2022年3月のことだが、このボットネットを追跡するセキュリティ研究者が、悪意のペイロードを含む電子メールの量が、10倍に増加したことを観察している。Emotet は、ホスト上で持続性をキープし自己増殖する、モジュール型トロイの木馬である。
Continue reading “Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?”Okta Says Security Breach by Lapsus$ Hackers Impacted Only Two of Its Customers
2022/04/19 TheHackerNews — この火曜日に、ID/アクセス管理プロバイダーの Okta は、Lapsus$ ギャングが 2022年1月下旬に引き起こした、サードパーティ・ベンダー侵入に関する調査を終了したと発表した。これまでに同社は、「このインシデントの影響は、潜在的な最大値よりも大幅に少ない」と述べていたが、当初想定されていた 366件というテナント数から、わずか2件へと減少したことを発表した。
Continue reading “Okta を侵害した Lapsus$:影響を受けたテナントは2件のみだった”Karakurt revealed as data extortion arm of Conti cybercrime syndicate
2022/04/14 BleepingComputer — サイバー犯罪者が管理するサーバーに対して、逆侵入したセキュリティ研究者たちにより、最近になって出現した Karakurt データ強奪グループと、Conti ランサムウェアとの関連性が発見され、この2つのギャングが同じオペレーションに属することが明らかになった。ロシアの組織である Conti ランサムウェア・シンジケートは、あるハッキング・グループによる内部会話やソースコードの大量流出にもかかわらず、機能不全に陥ることもなく、現時点で最も盛んなサイバー犯罪者グループの1つであり続けている。
Continue reading “研究者たちが逆侵入:データ強奪犯 Karakurt は Conti シンジケートの一員だと判明”Wind turbine firm Nordex hit by Conti ransomware attack
2022/04/14 BleepingComputer — 今月の初旬に風力発電機大手の Nordex がサイバー攻撃を受け、IT システムの停止とマネージド・タービンへのリモート・アクセスを余儀なくされた件について、ランサムウェア Conti が犯行を主張している。Nordex は、風力タービンの開発/製造において世界最大級の企業であり、全世界で 8,500人以上の従業員を擁している。Nordex は、4月2日にサイバー攻撃を受けたが、その検知が早期であったことで、攻撃の拡大を防ぐために IT システムを停止させたと明らかにした。
Continue reading “風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている”U.S. Warns of APT Hackers Targeting ICS/SCADA Systems with Specialized Malware
2022/04/13 TheHackerNews — 4月22日に米国政府は、Industrial Control Systems (ICS) や Supervisory Control And Data Acquisition (SCADA) への不正なアクセスを維持するために、国家的な驚異アクターたちが特殊なマルウェアを展開していると警告を発した。複数の米国機関はアドバイザリで「APT 行為者たちは、ICS/SCADA デバイス標的とするカスタムメイドのツールを開発している。このツールにより、彼らは OT ネットワークへのイニシャル・アクセスを確立した後に、影響を受けるデバイスをスキャン/侵害/制御できるようになる」と述べている。
Continue reading “米国政府機関の警告:ICS/SCADA を標的とする危険なマルウェアが活動し始めた”Hackers exploit critical VMware CVE-2022-22954 bug, patch now
2022/04/13 BleepingComputer — VMware のリモートコード実行の脆弱性 CVE-2022-22954 を悪用し、コインマイナーをサーバーに感染させる攻撃に、すでに積極的に利用されている PoC エクスプロイトがオンラインで公開された。この脆弱性は、広範囲で使用されている VMware Workspace ONE Access/VMware Identity Manager に影響をおよぼす Critical (CVSS:9.8) なリモートコード実行 (RCE) の欠陥である。
Continue reading “VMware の脆弱性 CVE-2022-22954 が FIX:積極的な悪用が観察されている”Microsoft disrupts Zloader malware in global operation
2022/04/13 BleepingComputer — Microsoft の Digital Crimes Unit (DCU) が主導する、数カ月にわたるグローバルな作戦により、ZLoader ボットネットの Command and Control (C2) サーバーとして使用されていた数十のドメインが破壊された。Microsoft が取得した裁判所命令により、ZLoader サイバー犯罪組織がボットネットの制御に使用していた 65 のハードコード・ドメインと、フォールバック/バックアップ通信チャネルの作成で使用していた、ドメイン生成アルゴリズムをにより登録された 319 のドメインを陥落させることになった。
Continue reading “Microsoft の Digital Crimes Unit が Zloader マルウェアのグローバル・インフラを破壊”SAP Releases Patches for Spring4Shell Vulnerability
2022/04/13 SecurityWeek — 4月13日にドイツのソフトウェア・メーカー SAP は、April 2022 Security Patch Day で Spring4Shell 脆弱性に対処を含む、30以上の新規/更新のセキュリティ・アドバイザリを公開した。この Spring4Shellと呼ばれる脆弱性 CVE-2022-22965 は、世界で最も人気の Java アプリ開発フレームワークである Spring に存在し、リモートでコード実行を許す可能性がある。セキュリティ研究者たちは、すでにこの脆弱性を悪用しようとする動きを観測している。
Continue reading “SAP の Spring4Shell 情報が公開:全体で 30件以上のアドバイザリを提供”New EnemyBot DDoS botnet recruits routers and IoTs into its army
2022/04/13 BleepingComputer — Mirai ベースの新しいボットネット・マルウェア EnemyBot は、モデム/ルーター/IoT デバイスの脆弱性を介して感染させたデバイスの勢力を拡大させ、それを操作する脅威アクターが Keksec であることが確認されている。この脅威グループは、クリプトマイニングと DDoS を専門としており、いずれも IoT デバイスに巣食い、そのコンピュータ資源を乗っ取ることが可能な、ボットネット・マルウェアにより支えられている。
Continue reading “EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中”Qbot malware switches to new Windows Installer infection vector
2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。
Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”Google Removes Dangerous Banking Malware From Play Store
2022/04/08 DarkReading — 2021年10月に表面化し、現在も野放しになっている、SharkBot と呼ばれる危険な Android バンキング・トロイの木馬は、Google Play という信頼できるモバイル・アプリ・ストアを通じて、マルウェアを配布しようとする脅威アクターの執念を示す最新の事例である。
この不正プログラムは、発見者が次世代型と表現しているように、銀行口座にログインしている被害者に、感染させた Android 端末を使用させ、多要素認証の制御をバイパスし、銀行口座からひそかに不正送金するものだ。SharkBot は、認証情報やクレジットカード情報を盗むことも可能であり、また、検出の複雑化により発見を遅らせるなどの、複数の機能を搭載している。
Mirai malware now delivered using Spring4Shell exploits
2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。
Continue reading “Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?”FIN7 Hackers Leveraging Password Reuse and Software Supply Chain Attacks
2022/04/05 TheHackerNews — この FIN7 と名付けられたサイバー犯罪グループは、当初からのアクセス・ベクターを多様化させ、ソフトウェア・サプライチェーン侵害や、盗まれた認証情報の利用などを取り入れていることが、新しい調査により明らかになった。インシデント・レスポンス会社である Mandiant は月曜日のレポートで、「複数の組織における FIN7 による活動のあとに続く、データ盗難/ランサムウェア展開/技術的重複から、長年に渡り FIN7 の行為者は、様々なランサムウェア・オペレーションと関連していたことが示唆される」と述べている。
Continue reading “FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?”Germany Shuts Down Russian Hydra Darknet Market; Seizes $25 Million in Bitcoin
2022/04/05 TheHackerNews — 3月24日にドイツの連邦刑事局 (Bundeskriminalamt:BKA) は、これまでの累計で $5 billion 相当の Bitcoin 取引を行ってきた、世界最大の違法ダークウェブ Hydra を摘発したと公表した。BKA はプレスリリースで、「このマーケットプレイスに起因するものとして、現時点で €23 million 相当の Bitcoin が押収された」と述べている。ブロックチェーン分析会社である Elliptic は、2022年4月5日に 543.3 BTC に相当する、88件の取引に対して摘発が行われたことを確認している。
Continue reading “ロシアの Hydra ダークウェブを摘発:ドイツ当局が $25M 相当の Bitcoin を押収”Log4j Attacks Continue Unabated Against VMware Horizon Servers
2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。
今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。
Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages
2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに1つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。
Continue reading “悪意の NPM パッケージを量産:サプライチェーン攻撃のための驚異のシステム”Another Chinese Hacking Group Spotted Targeting Ukraine Amid Russia Invasion
2022/03/26 TheHackerNews — 先月のロシアによるウクライナ侵攻が始まってから、ウクライナを標的とする、複数のキャンペーンが立ち上がっている。その一環として、中国語を話す Scarabという脅威アクターが、HeaderTip と呼ばれるカスタム・バックドアを仕掛けているが、この紛争に関連する中国ベースのハッキング・グループとしては、Mustang Panda に続いて2つ目となる。SentinelOne の研究者である Tom Hegel は、今週に発表されたレポートの中で、「この悪質な活動は、侵攻が始まって以来、中国の脅威者がウクライナを標的とした最初の公的事例の 1 つとなるものだ」と述べている。
Continue reading “ロシアの侵略:ウクライナを標的にする中国のハッキング・グループ Scarab”
IoT OT Security News 
You must be logged in to post a comment.