Russia,REvil’s TOR sites come alive to redirect to new ransomware operation
2022/04/20 BleepingComputer — REvil ランサムウェアのサーバーが、数ヶ月ぶりに TOR ネットワーク内で復活し、2021年12月中旬から開始されたと思われる、新しいオペレーションへとリダイレクトされている。REvil に関連する新しいオペレーションの背後にいる人物は不明だが、この新しいリークサイトには、過去の REvil 攻撃での被害者を示す大規模なカタログと、新しい2件の攻撃の被害者がリストアップされている。
Continue reading “REvil の TOR サイトが動き出した:新たなランサムウェア運用が始まるのか?”Russian Gamaredon APT continues to target Ukraine
2022/04/20 SecurityAffairs — ロシアに帰属する Gamaredon APT グループ (別名:Armageddon/Primitive Bear/ACTINIUM) は、ウクライナをターゲットにした攻撃を続けており、カスタムな Pterodo バックドア (別名:Pteranodon) の亜種を用いているとのことだ。2021年10月以降に発生している、ウクライナの団体や関連組織を標的とした一連のスピアフィッシング攻撃の背後に、このサイバースパイ・グループが存在すると Microsoftは述べている。なお、2014年ころから Gamaredon は、ウクライナに対するサイバースパイ・キャンペーンを展開している。
Continue reading “ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?”Emotet botnet switches to 64-bit modules, increases activity
2022/04/19 BleepingComputer — Emotet マルウェアの配布が急増しているが、現時点のアンチウイルス・エンジンでは少量のみが検出されている、新しいペイロードに間もなく切り替わる可能性もある。2022年3月のことだが、このボットネットを追跡するセキュリティ研究者が、悪意のペイロードを含む電子メールの量が、10倍に増加したことを観察している。Emotet は、ホスト上で持続性をキープし自己増殖する、モジュール型トロイの木馬である。
Continue reading “Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?”Okta Says Security Breach by Lapsus$ Hackers Impacted Only Two of Its Customers
2022/04/19 TheHackerNews — この火曜日に、ID/アクセス管理プロバイダーの Okta は、Lapsus$ ギャングが 2022年1月下旬に引き起こした、サードパーティ・ベンダー侵入に関する調査を終了したと発表した。これまでに同社は、「このインシデントの影響は、潜在的な最大値よりも大幅に少ない」と述べていたが、当初想定されていた 366件というテナント数から、わずか2件へと減少したことを発表した。
Continue reading “Okta を侵害した Lapsus$:影響を受けたテナントは2件のみだった”Karakurt revealed as data extortion arm of Conti cybercrime syndicate
2022/04/14 BleepingComputer — サイバー犯罪者が管理するサーバーに対して、逆侵入したセキュリティ研究者たちにより、最近になって出現した Karakurt データ強奪グループと、Conti ランサムウェアとの関連性が発見され、この2つのギャングが同じオペレーションに属することが明らかになった。ロシアの組織である Conti ランサムウェア・シンジケートは、あるハッキング・グループによる内部会話やソースコードの大量流出にもかかわらず、機能不全に陥ることもなく、現時点で最も盛んなサイバー犯罪者グループの1つであり続けている。
Continue reading “研究者たちが逆侵入:データ強奪犯 Karakurt は Conti シンジケートの一員だと判明”Wind turbine firm Nordex hit by Conti ransomware attack
2022/04/14 BleepingComputer — 今月の初旬に風力発電機大手の Nordex がサイバー攻撃を受け、IT システムの停止とマネージド・タービンへのリモート・アクセスを余儀なくされた件について、ランサムウェア Conti が犯行を主張している。Nordex は、風力タービンの開発/製造において世界最大級の企業であり、全世界で 8,500人以上の従業員を擁している。Nordex は、4月2日にサイバー攻撃を受けたが、その検知が早期であったことで、攻撃の拡大を防ぐために IT システムを停止させたと明らかにした。
Continue reading “風力発電機大手の Nordex が Conti ランサムウェアの攻撃に遭っている”U.S. Warns of APT Hackers Targeting ICS/SCADA Systems with Specialized Malware
2022/04/13 TheHackerNews — 4月22日に米国政府は、Industrial Control Systems (ICS) や Supervisory Control And Data Acquisition (SCADA) への不正なアクセスを維持するために、国家的な驚異アクターたちが特殊なマルウェアを展開していると警告を発した。複数の米国機関はアドバイザリで「APT 行為者たちは、ICS/SCADA デバイス標的とするカスタムメイドのツールを開発している。このツールにより、彼らは OT ネットワークへのイニシャル・アクセスを確立した後に、影響を受けるデバイスをスキャン/侵害/制御できるようになる」と述べている。
Continue reading “米国政府機関の警告:ICS/SCADA を標的とする危険なマルウェアが活動し始めた”Hackers exploit critical VMware CVE-2022-22954 bug, patch now
2022/04/13 BleepingComputer — VMware のリモートコード実行の脆弱性 CVE-2022-22954 を悪用し、コインマイナーをサーバーに感染させる攻撃に、すでに積極的に利用されている PoC エクスプロイトがオンラインで公開された。この脆弱性は、広範囲で使用されている VMware Workspace ONE Access/VMware Identity Manager に影響をおよぼす Critical (CVSS:9.8) なリモートコード実行 (RCE) の欠陥である。
Continue reading “VMware の脆弱性 CVE-2022-22954 が FIX:積極的な悪用が観察されている”Microsoft disrupts Zloader malware in global operation
2022/04/13 BleepingComputer — Microsoft の Digital Crimes Unit (DCU) が主導する、数カ月にわたるグローバルな作戦により、ZLoader ボットネットの Command and Control (C2) サーバーとして使用されていた数十のドメインが破壊された。Microsoft が取得した裁判所命令により、ZLoader サイバー犯罪組織がボットネットの制御に使用していた 65 のハードコード・ドメインと、フォールバック/バックアップ通信チャネルの作成で使用していた、ドメイン生成アルゴリズムをにより登録された 319 のドメインを陥落させることになった。
Continue reading “Microsoft の Digital Crimes Unit が Zloader マルウェアのグローバル・インフラを破壊”SAP Releases Patches for Spring4Shell Vulnerability
2022/04/13 SecurityWeek — 4月13日にドイツのソフトウェア・メーカー SAP は、April 2022 Security Patch Day で Spring4Shell 脆弱性に対処を含む、30以上の新規/更新のセキュリティ・アドバイザリを公開した。この Spring4Shellと呼ばれる脆弱性 CVE-2022-22965 は、世界で最も人気の Java アプリ開発フレームワークである Spring に存在し、リモートでコード実行を許す可能性がある。セキュリティ研究者たちは、すでにこの脆弱性を悪用しようとする動きを観測している。
Continue reading “SAP の Spring4Shell 情報が公開:全体で 30件以上のアドバイザリを提供”New EnemyBot DDoS botnet recruits routers and IoTs into its army
2022/04/13 BleepingComputer — Mirai ベースの新しいボットネット・マルウェア EnemyBot は、モデム/ルーター/IoT デバイスの脆弱性を介して感染させたデバイスの勢力を拡大させ、それを操作する脅威アクターが Keksec であることが確認されている。この脅威グループは、クリプトマイニングと DDoS を専門としており、いずれも IoT デバイスに巣食い、そのコンピュータ資源を乗っ取ることが可能な、ボットネット・マルウェアにより支えられている。
Continue reading “EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中”Qbot malware switches to new Windows Installer infection vector
2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。
Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”Google Removes Dangerous Banking Malware From Play Store
2022/04/08 DarkReading — 2021年10月に表面化し、現在も野放しになっている、SharkBot と呼ばれる危険な Android バンキング・トロイの木馬は、Google Play という信頼できるモバイル・アプリ・ストアを通じて、マルウェアを配布しようとする脅威アクターの執念を示す最新の事例である。
この不正プログラムは、発見者が次世代型と表現しているように、銀行口座にログインしている被害者に、感染させた Android 端末を使用させ、多要素認証の制御をバイパスし、銀行口座からひそかに不正送金するものだ。SharkBot は、認証情報やクレジットカード情報を盗むことも可能であり、また、検出の複雑化により発見を遅らせるなどの、複数の機能を搭載している。
Mirai malware now delivered using Spring4Shell exploits
2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。
Continue reading “Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?”FIN7 Hackers Leveraging Password Reuse and Software Supply Chain Attacks
2022/04/05 TheHackerNews — この FIN7 と名付けられたサイバー犯罪グループは、当初からのアクセス・ベクターを多様化させ、ソフトウェア・サプライチェーン侵害や、盗まれた認証情報の利用などを取り入れていることが、新しい調査により明らかになった。インシデント・レスポンス会社である Mandiant は月曜日のレポートで、「複数の組織における FIN7 による活動のあとに続く、データ盗難/ランサムウェア展開/技術的重複から、長年に渡り FIN7 の行為者は、様々なランサムウェア・オペレーションと関連していたことが示唆される」と述べている。
Continue reading “FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?”Germany Shuts Down Russian Hydra Darknet Market; Seizes $25 Million in Bitcoin
2022/04/05 TheHackerNews — 3月24日にドイツの連邦刑事局 (Bundeskriminalamt:BKA) は、これまでの累計で $5 billion 相当の Bitcoin 取引を行ってきた、世界最大の違法ダークウェブ Hydra を摘発したと公表した。BKA はプレスリリースで、「このマーケットプレイスに起因するものとして、現時点で €23 million 相当の Bitcoin が押収された」と述べている。ブロックチェーン分析会社である Elliptic は、2022年4月5日に 543.3 BTC に相当する、88件の取引に対して摘発が行われたことを確認している。
Continue reading “ロシアの Hydra ダークウェブを摘発:ドイツ当局が $25M 相当の Bitcoin を押収”Log4j Attacks Continue Unabated Against VMware Horizon Servers
2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。
今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。
Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages
2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに1つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。
Continue reading “悪意の NPM パッケージを量産:サプライチェーン攻撃のための驚異のシステム”Another Chinese Hacking Group Spotted Targeting Ukraine Amid Russia Invasion
2022/03/26 TheHackerNews — 先月のロシアによるウクライナ侵攻が始まってから、ウクライナを標的とする、複数のキャンペーンが立ち上がっている。その一環として、中国語を話す Scarabという脅威アクターが、HeaderTip と呼ばれるカスタム・バックドアを仕掛けているが、この紛争に関連する中国ベースのハッキング・グループとしては、Mustang Panda に続いて2つ目となる。SentinelOne の研究者である Tom Hegel は、今週に発表されたレポートの中で、「この悪質な活動は、侵攻が始まって以来、中国の脅威者がウクライナを標的とした最初の公的事例の 1 つとなるものだ」と述べている。
Continue reading “ロシアの侵略:ウクライナを標的にする中国のハッキング・グループ Scarab”Phishing kits constantly evolve to evade security software
2022/03/24 BleepingComputer — サイバー犯罪フォーラムで販売されている最新の Phishing Kit は、インターネット・セキュリティ・ソリューションが脅威として認識しないように、複数の高度な検知回避システムとトラフィック・フィルタリング・システムを備えている。有名ブランドを模倣した偽 Web サイトは、インターネット上に数多く存在し、被害者を誘い出し、支払詳細やアカウント情報を盗み出す。これらの偽 Web サイトの多くは、ブランドのロゴやリアルなログ・インページを提供するが、基本的な要素から組み立てられた動的な Web ページなどを特徴とする、高度な Phishing Kit も存在する。
Continue reading “Phishing Kit を解説:検出を回避する手口と延命のための悪知恵とは?”Over 200,000 MicroTik Routers Worldwide Are Under the Control of Botnet Malware
2022/03/23 TheHackerNews — MikroTik の脆弱なルーターが大規模に悪用され、サイバー・セキュリティ研究者が近年で最大級の Botnet-as-a-Service の1つと呼ばれる物が形成されている。Avast が発表した新たな調査結果によると、新たな破壊型 Glupteba ボットネットと、TrickBot マルウェアを活用した、暗号通貨マイニング・キャンペーンの全てが、同一の Command and Control (C2) サーバーを使用して配布されたようだ。
Continue reading “MicroTik ルーターの Botnet-as-a-Service 化:20万台以上が支配下に”FBI: Ransomware hit 649 critical infrastructure orgs in 2021
2022/03/23 BleepingComputer — FBI は、Crime Complaint Center (IC3) の 2021 Internet Crime Report を引用するかたちで、昨年には米国の複数の重要インフラ部門の少なくとも 649 組織が、ランサムウェアによりネットワークを侵害されたと発表した。ただし FBI は、重要インフラ分野で報告されたランサムウェア・インシデントの追跡が、2021年6月に開始されていることから、実際の数字は増大するはずだと述べている。また FBI は、Crime Complaint Center (IC3) に被害者が苦情を申し立てなかった場合も、その攻撃は統計に含まれないとしている。
Continue reading “FBI レポート:2021年のランサムウェアは重要インフラ 649 件を攻撃”Lapsus$ gang claims to have hacked Microsoft source code repositories
2022/03/21 SecurityAffairs — Microsoft は、サイバー犯罪組織 Lapsus$ が社内の Azure DevOps ソースコード・リポジトリに侵入し、データを盗み出したという主張を調査していると発表した。この数ヶ月の間に、Lapsus$ は NVIDIA/Samsung/Ubisoft/Mercado Libre/Vodafone といった有名企業にも侵入している。
Continue reading “Lapsus$ ランサムウェアの主張:Microsoft のコード・リポジトリに侵入した”Google Uncovers ‘Initial Access Broker’ Working with Conti Ransomware Gang
2022/03/18 TheHackerNews — Google の Threat Analysis Group (TAG) は、ロシアのサイバー犯罪組織である Conti や Diavol などと密接に関係しているとされる、新たなイニシャル・アクセス・ブローカーの情報を公表した。この Exotic Lily と名付けられた脅威アクターは、Microsoft Windows の MSHTML プラットフォームに存在する、修正済みの深刻な脆弱性 CVE-2021-40444 を悪用し、世界 の 650 の標的組織に対して、1日に 5000通以上のビジネス提案をテーマにした電子メールを送信する、フィッシング・キャンペーンを広く展開していると確認されている。
Continue reading “Google が追跡:Conti/Diavol と連携するアクセス・ブローカー Exotic Lily”Google: Chinese state hackers target Ukraine’s government
2022/03/18 BleepingComputer — Google の Threat Analysis Group (TAG) によると、人民解放軍 (PLA) を含む中国情報機関が、ロシアによるウクライナ侵攻について、より多くの情報を得ようとして動き回っているようだ。Google TAG の Security Engineer である Billy Leonard によると、中国が支援するハッキング・グループの標的となったウクライナ政府機関に対して、Google から通知が行われているようだ。
Continue reading “Google 警告:中国の国家支援ハッカーたちがウクライナ政府を狙っている”Microsoft Releases Open Source Tool for Securing MikroTik Routers
2022/03/17 SecurityWeek — TrickBot は、2016年から出回っているマルウェアである。当初は金融データを盗むために設計されたバンキング・トロイの木馬だったが、現在では幅広い情報を狙うことができる、モジュール型の情報窃取マルウェアへと進化している。研究者の中には、このマルウェアは限界に達しており、利用可能な膨大な IoC により簡単に検出できるようになったことで、その開発チームはランサムウェア・グループの Conti により買収されたと考える者もいる。
Continue reading “Microsoft が Trickbot 対策オープンソース・ツールを公表: MikroTik ルーターをスキャン”New Variant of Russian Cyclops Blink Botnet Targeting ASUS Routers
2022/03/17 TheHackerNews — ASUS ルーターが、Cyclops Blink と呼ばれる新たなボットネットのターゲットとして浮上してきた。このマルウェアは、侵害したネットワークへのリモート・アクセスを取得する足がかりとして、WatchGuard ファイアウォール・アプライアンスを悪用したことが明らかになってから、約1ヶ月後のことである。
Trend Micro が発表した新しいレポートによると、このボットネットの主な目的は、価値の高いターゲットに対するさらなる攻撃のための、インフラを構築することである。ただし、感染した全てのホストについて調べたところ、重要な経済/政治/軍事などの組織は標的にしていないことが判明している。
New Unix rootkit used to steal ATM banking data
2022/03/17 BleepingComputer — 金銭的な動機を持つハッカー LightBasin の活動を追う脅威アナリストたちは、このグループが ATM から銀行データを盗み、不正な取引を行うために使用している、未知の Unix rootkit を発見したと報告した。このハッカー集団は、2020年にマネージド・サービス・プロバイダーを危険にさらし、そのクライアントを犠牲にしていることが確認されているが、最近ではカスタム・インプラントを用いて、通信会社をターゲットにしているようだ。
Continue reading “Unix で新たな rootkit が発見:Oracle Solaris に展開され ATM データを操作”TrickBot Malware Abusing MikroTik Routers as Proxies for Command-and-Control
2022/03/17 TheHackerNews — 水曜日に Microsoft は、マルウェア TrickBot について、これまで発見されていなかった、IoT デバイスを仲介した Command and Control (C2) サーバーとの、通信の確立に関する詳細な手法を発表した。Microsoft の Defender for IoT Research Team and Threat Intelligence Center (MSTIC) は、「TrickBotは、C2 サーバーのプロキシ・サーバーとして MikroTik ルーターを使用し、標準以外のポート経由でトラフィックをリダイレクトすることで、標準セキュリティ・システムによる検出から悪質な IP を回避させる、別の永続層を追加している」と述べている。
Continue reading “TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる”Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion
2022/03/17 TheHackerNews — ロシアのウクライナ侵攻に抗議するために、人気の NPM パッケージ node-ipc の開発者が新バージョンを出荷したが、そのことで、オープンソースとソフトウェア・サプライチェーンにおけるセキュリティへの懸念が高まっている。この変更は、ライブラリの Ver 10.1.1/10.1.2 に影響するものだが、そのメンテナである RIAEvangelist による望ましくない動作を導入し、ロシアおよびベラルーシの IP アドレスを持つユーザーをターゲットにして、任意のファイルのコンテンツを消去し、ハートの絵文字に置き換えるものになっている。
Continue reading “人気の NPM Package が抗議活動:ファイル破壊などでロシア/ベラルーシを狙い撃ち”Hundreds of GoDaddy-hosted sites backdoored in a single day
2022/03/16 BleepingComputer — インターネット・セキュリティ・アナリストたちは、GoDaddy の Managed WordPress サービスでホストされている、WordPress Web サイトへのバックドア感染が急増していることを発見し、すべてのバックドア・ペイロードが同一であることを明らかにした。このインシデントは、MediaTemple/tsoHost/123Reg/Domain Factory/Heart Internet/Host Europe Managed WordPress などの、インターネット・サービス・リセラーに影響を及ぼしている。
Continue reading “GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染”IOCs vs. IOAs — How to Effectively Leverage Indicators
2022/03/16 SecurityIntelligence — サイバーセキュリティ・チームは、サイバー・セキュリティ攻撃/敵対的行動/高度持続的脅威 (APT)、そして、恐ろしいゼロデイ脆弱性の特定を任務としている。この取り組みを通じて、サイバーセキュリティ担当者と運用チームは、効果的な監視/検出/対応の戦略において Indicators of Compromise (IOC) と Indicators of Attack (IOA) を適切に活用することに、同じ苦労を抱えている。
Continue reading “サイバー・セキュリティの指標:IOC と IOA の違いと活用方法”New Linux botnet exploits Log4J, uses DNS tunneling for comms
2022/03/15 BleepingComputer — 最近のことだが、Linux システムを標的とするボットネットが発見された。それにより一般的なユーザーが、ルートキットをインストールされ、リバースシェルを作成され、Webトラフィックのプロキシとして機能し、機密情報を盗むボット軍団に巻き込まれる可能性が生じる。このマルウェアは、Linux ARM/X64 CPU アーキテクチャ・デバイスの攻撃に特化されたものであり、Qihoo 360 の Network Security Research Lab (360 Netlab) により B1txor20 と名付けられている。
Continue reading “Log4j 脆弱性を悪用する Linux ボットネット:DNS トンネリングを巧みに操る”Massive phishing campaign uses 500+ domains to steal credentials
2022/03/15 BleepingComputer — Google ライクな、韓国のオンラインプ・ラットフォーム Naver の認証情報を盗むために、数百のドメインを用いる大規模なフィッシング活動は、TrickBot ボットネットに関連するインフラとの重複を示している。この攻撃に使用されたリソースは、さまざまな攻撃に使用するためにログイン・データを収集する、サイバー犯罪者の取り組みの規模が大きいことを示している。Google と同様に、Naver は Web 検索から、電子メールや、ニュース、オンライン Q&A である Naver Knowledge iN に至るまで、多様なサービスを提供している。
Continue reading “韓国の Naver が狙われている:大規模なフィッシングを仕掛けるのは TrickBot か?”New CaddyWiper data wiping malware hits Ukrainian networks
2022/03/15 BleepingComputer — 今日の未明に発生した、ウクライナの組織を標的とした攻撃で、侵入されたネットワーク上のシステム全体のデータが削除されたが、そこで発見されたのは新たなデータ破壊マルウェアである。ESET Research Labs は、「この新しいマルウェアは、接続されたドライブからユーザー・データやパーティション情報を消去する。ESET のテレメトリー測定によると、限られた組織の数十台のシステムで被害が確認されている」と述べている。
Continue reading “CaddyWiper という新たなデータワイパー:ウクライナのネットワークを攻撃”Fake antivirus updates used to deploy Cobalt Strike in Ukraine
2022/03/14 BleepingComputer — ウクライナの Computer Emergency Response Team は、脅威アクターたちが Windows アンチウイルスのフェイク更新プログラムを配布し、Cobalt Strike などのマルウェアをインストールしていると警告を発している。このフィッシング・メールは、ウクライナの政府機関になりすまし、ネットワークのセキュリティを高める手段を提供すると受信者を騙し、 “BitdefenderWindowsUpdatePackage.exe ” という名前の 60MB のファイルとして提供される、重要なセキュリティ・アップデートをダウンロードするよう促す。
Continue reading “ウクライナで横行するフィッシング:偽の BitDefender 更新で Cobalt Strike をドロップ”Malware disguised as security tool targets Ukraine’s IT Army
2022/03/10 BleepingComputer — 新しいマルウェア・キャンペーンが、ウクライナの対ロシア・サイバー戦争を支援する人々の意欲に乗じて、パスワードを盗み出すトロイの木馬に感染させようとしている。先月にウクライナ政府は、ロシア企業に対するサイバー攻撃や DDoS 攻撃を行うために、世界中のボランティアで構成された新たな IT Army の創設を発表した。この取り組みにより、たとえその活動が違法と見なされたとしても、ロシアの組織やサイトを標的にする活動に対して、世界中の多くの人々による支援の輪が広がっている。
Continue reading “ウクライナの IT Army を標的とするトロイの木馬が蔓延している”Russian government sites hacked in supply chain attack
2022/03/09 BleepingComputer — ロシア政府によると、複数の機関の訪問者数を追跡するために使用されている統計ウィジェットが、未知の攻撃者によりハッキングされた後の火曜日に、サプライチェーン攻撃が発生したことで一部の連邦機関の Web サイトが侵害されたとのことだ。この攻撃で影響を受けたサイトのリストには、エネルギー省/連邦国家統計局/連邦刑務所局/連邦保釈局/連邦反独占局/文化省などの、ロシアの国家機関の Web サイトが含まれている。
Continue reading “ロシア政府の複数の Web サイトにサプライチェーン攻撃が発生”Google blocked China-linked APT31’s attacks targeting U.S. Government
2022/03/09 SecurityAffairs — Google は、中国に関連するサイバー・スパイ・グループ APT31 (別名:Zirconium/Judgment Panda/Red Keres) が実施した、米国政府関連 Gmail ユーザーを狙ったフィッシング・キャンペーンをブロックしたと発表した。このキャンペーンは2月に行われたが、Google Threat Analysis Group (TAG) チームは、現在進行中のウクライナ侵攻と関連付けてはいない。Google TAG の Director である Shane Huntley は、同社により全てのフィッシング・メッセージが検知され、ブロックされたことを確認した。
Continue reading “Google が中国由来の APT31 をブロック:米政府関係者の Gmail にフィッシング”HP patches 16 UEFI firmware bugs allowing stealthy malware infections
2022/03/08 BleepingComputer — セキュリティ・ソフトウェアで検出されないマルウェアをデバイスを感染させ、脅威アクターに高い特権を取得させる可能性のある、UEFI ファームウェアに存在する 16件の脆弱性を、HP が開示した。これらの脆弱性は、ノートパソコン/デスクトップパソコン/POS システム/エッジコンピューティング・ノードなどの、HP の複数の機種に影響を与える。
Continue reading “HP が 16 件の UEFI ファームウェア・バグに対応:永続的マルウェア埋め込みの可能性”U.S. State Governments Targeted by Chinese Hackers via Zero-Day in Agriculture Tool
2022/03/08 SecurityWeek — 中国政府に支援されていると思われる脅威グループが、ゼロデイ脆弱性などを悪用し、米国の州政府のネットワークに侵入していたことが明らかになった。サイバー・セキュリティの調査企業である Mandiant は、2021年5月に米国州政府のネットワークへの攻撃を調査するよう要請され、このキャンペーンに気づいたと、火曜日に公開したブログ記事で述べている。
Continue reading “中国 APT41 動きを捕捉:米国州政府のネットワークをゼロデイ脆弱性で狙っている”Emotet growing slowly but steadily since November resurgence
2022/03/08 BleepingComputer — 現時点で 179カ国で 13万台のシステムに感染している Emotetボットネットは、依然として野放し状態で安定的に配布され続けている。かつては 160万台のデバイスを支配下に置いていた、世界的な支配力には遠く及ばないかもしれないが、このマルウェアは今も復活を続けており、日々強力になっていることが示される。Emotet の活動は、2番目のメジャー・バージョンが配布されていた 2019年に停止し、2021年11月に Trickbot の力を借りて復活している。
Continue reading “Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染”Russia shares list of 17,000 IPs allegedly DDoSing Russian orgs
2o22/03/05 BleepingComputer — ロシア政府は、ロシアの組織とネットワークを標的とした、分散型サービス妨害 (DDoS) 攻撃に使われたとされる 17,576 の IP アドレス・リストを公開した。このリストは、ロシア連邦保安庁 (FSB) が設立した組織である、National Coordination Center for Computer Incidents (NKTsKI) が、防御のためのガイダンスと攻撃者のリファラー・ドメイン情報を含む第2のリストとともに共有したものだ。NKTsKI は、一連の DDoS 攻撃で使用された 17,576 の IP アドレスと、攻撃者のリファラード・メイン情報、および、攻撃者のリファラード・メニューを公開した。
Continue reading “ロシア国内の組織に DDoS 攻撃を仕掛けた 17,000 の IP が公開された”Russia-Ukraine, who are the soldiers that crowd cyberspace?
2022/03/04 SecurityAffairs — 現時点でのサイバー空間におけるシナリオを分析しようとしても、複数の脅威アクターが存在し、攻撃のアトリビューションが難解であるため、容易なことではない。セキュリティ・グループである CyberKnow は、グループとオペレーション、そして活動を公開するために使用されるチャネルについて、興味深い分析結果を提供している。
Continue reading “ロシア対ウクライナのサイバー戦争:誰が誰を攻撃しているのか?”Hacked Ukrainian Military Emails Used in Attacks on European Governments
2022/03/03 SecurityWeek — ヨーロッパ各政府機関の職員が、ウクライナ軍の関係者のメール・アカウントを装った、悪質な偽メールを受け取っていることが判明した。ロシアとウクライナの戦争は、現実世界とサイバー空間の双方で行われており、国家が支援するハッカーとハクティビストの間でも戦いが発生している。また、ネットワークを介した戦いでは、分散型サービス妨害 (DDoS) 攻撃/マルウェア/データ侵害/フェイク情報などの、さまざまな戦術やツールが用いられている。
Continue reading “欧州各政府へ向けた偽メール:ハッキングされたウクライナ軍人のアカウントが使われている”Log4shell exploits now used mostly for DDoS botnets, cryptominers
2022/03/02 BleepingComputer — Log4j ソフトウェアの Log4Shell 脆弱性は、今日でも広く悪用されており、脅威アクターによる様々なマルウェア・ペイロード展開に利用されているが、そこには、DDoS ボットネット・デバイスへの取り込みや、クリプトマイナーの埋め込みなどもある。Barracuda のレポートによると、この数ヶ月のおいて、Log4Shell を標的とする動きは乱高下しているが、悪用の試行量は比較的一定している。これらの攻撃を分析した Barracuda は、大半の悪用の試みが米国ベースの IP アドレスから発生し、それに続いて、日本/中央ヨーロッパ/ロシアなどが悪用されている状況を確認している。
Continue reading “Log4j の問題は続いている:日本での悪用率は世界の 10% に達している”Microsoft Finds FoxBlade Malware Hit Ukraine Hours Before Russian Invasion
2022/03/01 TheHackerNews — 月曜日に Microsoft は、ロシアがミサイル攻撃を開始する数時間前に、ウクライナのデジタル・インフラに向けられた攻撃的で破壊的なサイバー攻撃の、新しいラウンドを検出したと表明した。Microsoft Threat Intelligence Center (MSTIC) によると、この攻撃には FoxBlade と呼ばれる新しいマルウェアが使用されており、発見から3時間以内にマルウェア対策サービス Defender に新しいシグネチャを追加し、この攻撃を検出したとのことだ。
Continue reading “Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?”Toyota to Close Japan Plants After Suspected Cyberattack
2022/02/28 Threatpost — 火曜日には、一連の工場が閉鎖され、同社の世界生産の約3分の1が停止する。Toyota は、どれくらいの期間において、14ヶ所の工場が生産停止になるのか分からずにいる。なんらかのサイバー攻撃と思われるものが、Toyota の部品サプライヤーの1社を襲い、同社は世界生産の約3分の1を停止するよう対処した。月曜日に、Toyota は、そう発表した。
Continue reading “Toyota の国内工場 14ヶ所と 28生産ラインが停止:サイバー攻撃が生じた?”Defense contractors hit by stealthy SockDetour Windows backdoor
2022/02/24 BleepingComputer — 米国の防衛関連企業のシステムで見つかった、SockDetour と名付けられた新しいカスタム・マルウェアは、侵害したネットワークへのアクセスを維持するための、バックアップ・バックドアとして使用されている。この悪意のペイロードは Unit 42 のセキュリティ研究者により発見され、2019年7月頃からワイルドに使用されていることから、その運営者は長い間バックドアを潜伏させていたと考えられる。
Continue reading “米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術”Ransomware used as decoy in data-wiping attacks on Ukraine
2022/02/24 BleepingComputer — ロシアがウクライナに侵攻する直前の水曜日に、ウクライナのネットワークに対する破壊的な攻撃で使用された新しいデータワイパー・マルウェアは、GoLang ベースのランサムウェアのデコイを伴うケースもあった。今日、Symantec は、「これまでに調査した、いくつかの攻撃では、ワイパー・マルウェアと同時にランサムウェアも、標的となる組織に対して展開されていた。ワイパーと同様に、ランサムウェアを展開するための、スケジュールされたタスクが使用されていた」と明らかにした。
Continue reading “ウクライナをサイバー侵害するロシア:ランサムウェアを囮にしたワイパー攻撃”
IoT OT Security News 
You must be logged in to post a comment.