US Ban on TP-Link Routers More About Politics Than Exploitation Risk
2024/12/21 DarkReading — 米国での TP-Link 製品の販売禁止を、政府機関や議員たちが検討していると報じられている。そこから推測されるのは、いまの TP-Link はサイバー攻撃者に最も頻繁に悪用される脆弱性を持つ、ネットワーク・ベンダーのリストで上位にランクされているという状況である。しかし、それは事実ではない。この中国企業の製品は、消費者や中小企業に人気を博しており、CISA の KEV という既知の悪用脆弱性リストには、現時点で2件のセキュリティ問題が掲載されているに過ぎない。それに対して、Cisco は74件、Ivanti は 23件、D-Link は 20件という状況にある。
Continue reading “TP-Link Router がバンされる? 米政府が懸念する広大なシェアと北京からの影響”Thousands Download Malicious npm Libraries Impersonating Legitimate Tools
2024/12/19 TheHackerNews — npm レジストリへのアップロードが確認された悪意のパッケージは、正規のパッケージである ”typescript-eslint” や ”@types/node” などを装うものである。それらの偽のパッケージは ”@typescript_eslinter/eslint”/”types-node” と名付けられ、それぞれがトロイの木馬をダウンロードするものとして、また、2段階目のペイロードを取得するものとして設計されている。
Continue reading “NPM リポジトリ汚染:タイポスワッティングで正規のパッケージを偽装”Mirai botnet targets SSR devices, Juniper Networks warns
2024/12/19 SecurityAffairs — Juniper Networks SSR (Session Smart Router) の、パスワードがデフォルトに設定されているデバイスを、Mirai ボットネットが標的にしていることが判明した。2024年12月11日の時点で Juniper Networks に寄せられたのは、SSN (Session Smart Network) プラットフォーム上で検知された、異常な動作に関する複数の報告である。Mirai を操る攻撃者たちの手口は、最初に標的デバイスを侵害し、その後に、それらのデバイスを足場にして DDoS 攻撃を仕掛けるというものだ。
Continue reading “Mirai Botnet が Juniper SSR デバイスを悪用:DDoS 攻撃に至る恐れ”Clop ransomware claims responsibility for Cleo data theft attacks
2024/12/15 BleepingComputer — 最近の Cleo データ盗難攻撃において、Clop ランサムウェア・グループが、自らの犯行を認めている。このグループは、ゼロデイ・エクスプロイトにより、企業ネットワークに侵入してデータを盗んでいる。Cleo の Cleo Harmony/VLTrader/LexiComは、エンタープライズ・ユーザーが、そのビジネス・パートナーや顧客との間で、安全にファイルを交換するために使用する、マネージド・ファイル転送プラットフォームである。
Continue reading “Cleo の脆弱性 CVE-2024-50623 の悪用:Clop ランサムウェア・グループの犯行が濃厚”2024 Sees Sharp Increase in Microsoft Tool Exploits
2024/12/13 InfoSecurity — 最新の Sophos Active Adversary Report が示すのは、脅威アクターによる正規の Microsoft ツールの悪用が、2023 年と 2024 年上半期の比較において、51% も増加していることだ。2024 年上半期に分析された 190 件のサイバー・インシデントにおいて、187 件で Microsoft 製品を用いる、Living Off the Land Binaries (LOLbins) が観測された。そのうちの 64 件は、Sophos データセットに1回だけ出現していたと、研究者たちは述べている。
Continue reading “Malware から Microsoft LOLBin へ:2024年上半期の脅威データを分析 – Sophos”New stealthy Pumakit Linux rootkit malware spotted in the wild
2024/12/12 BleepingComputer — Pumakit と呼ばれる、新たな Linux ルートキット・マルウェアが発見された。このマルウェアは、高度な権限昇格とステルス性の技術を用いて、システム上で存在を隠し続けるという。このマルウェアは、複数のコンポーネントのセットである、その内容は、ドロッパー/メモリ常駐実行ファイル/カーネル・モジュール・ルートキット、共有オブジェクト・ユーザーランド・ルートキットなどである。
Continue reading “Pumakit という Linux ルートキットを検出:高度な権限昇格とステルス性が特色”Modular Java Backdoor Emerges in Cleo Exploitation Campaign (CVE-2024-50623)
2024/12/12 SecurityOnline — Cleo ファイル転送ソフトウェアを標的とする多段階攻撃で展開された、洗練されたモジュール型の Java ベース RAT の存在を、Rapid7 Labs の MDR) チームが発見した。すでに問題視されている、脆弱性 CVE-2024-50623 を悪用するキャンペーンが示唆するのは、いまの脅威アクターたちの能力の、大幅な向上である。
Continue reading “Cleo の脆弱性 CVE-2024-50623 が標的:洗練された Java バックドアを検出”New Malware Technique Could Exploit Windows UI Framework to Evade EDR Tools
2024/12/11 TheHackerNews — Akamai の研究者が発見した新たなマルウェア手法は、UIA (UI Automation)と呼ばれる Windows のアクセシビリティ・フレームワークを悪用し、EDR (endpoint detection and response) ソリューションに検知されることなく、広範な悪意のアクティビティを可能にするものだ。同社のセキュリティ研究者である Tomer Peled は、「この手法を悪用する攻撃者は、UI Automation を使用するプログラムの実行を、ユーザーに事前に承諾させる必要がある。そうすることで、ステルス・コマンドの実行が可能となり、機密データの収集/フィッシング・サイトへのリダイレクトなどが試行されていく」と、The Hacker News に共有されたレポートで述べている。
Continue reading “Windows UI Framework を悪用する新たな脅威:EDR ツールを回避する可能性”Governments, Telcos Ward Off China’s Hacking Typhoons
2024/12/11 DarkReading — 中国由来の Salt Typhoon グループからの侵害に対して、米国政府と8社の通信会社が、ネットワークの保護に苦戦している。それと並行して、他国における多くの通信会社も、APT の主標的にされている。それに先行するかたちで、2023年には、Salt Typhoonとの重複が疑われる中国由来の グループ Earth Estries が、APAC/中東/北アフリカ(MENA)地域、そして米国の通信会社を侵害している。
Continue reading “テレコムと政府と国民は Salt Typhoon に対抗できるのか? End-to-End 暗号化通信の必要性”Open source malware up 200% since 2023
2024/12/11 HelpNetSecurity — Sonatype の 2024 Open Source Malware Threat Report によると、2019 年に追跡が開始された悪意のパッケージの数が 778,500 件を超えている。そして 2024年になり、カスタム AI モデルを構築する企業が、オープンソース・ツールを採用するケースが増えるにつれて、悪意のオープンソース・パッケージを用いる脅威アクターたちが、開発者を標的にするケースが増えている。この記事で概説するのは、こうしたトレンドについて調査した結果である。
Continue reading “OSS リポジトリを汚染するマルウェア:2024 は前年比で 200% の増大”ZLoader Malware Returns With DNS Tunneling to Stealthily Mask C2 Comms
2024/12/11 TheHackerNews — ZLoader マルウェアの新バージョンが、Zscaler ThreatLabz の研究者たちにより発見された。2024年1月に再登場した ZLoader だが、その後もツールを改良し続け、C2 (command-and-control) 通信に DNS トンネルを使用する方向へと進化している。
Continue reading “ZLoader マルウェアの改良版:DNS トンネリング機能/インタラクティブなシェルを搭載”Ultralytics AI Library with 60M Downloads Compromised for Cryptomining
2024/12/09 HackRead — PyPI (Python Package Index) で人気を博す、Ultralytics AI ライブラリに悪意のコードを注入して、暗号通貨のマイニングを行うという攻撃が、ReversingLabs のサイバーセキュリティ研究者たちにより発見された。
Continue reading “PyPI における Ultralytics AI の悪用:ビルド環境の侵害と XMRig マルウェアの展開”Activation Context Hijacking: “Eclipse” PoC Weaponizes Trusted Processes
2024/12/08 SecurityOnline — BlackArrow のレッド チーム・オペレーターである、Kurosh Dabbagh Escalante が発表したのは、Eclipse という名の PoC ツールである。この Eclipse は、Activation Contexts ハイジャックと呼ばれる手法をエミュレートするものであり、ターゲット・プロセス内での任意の DLL のロード/実行を達成する。Escalante は、このツールを “DLL サイドローディング + DLL プロキシのより柔軟な代替手段” と表現し、信頼されたプロセスに任意のコードを挿入するという点で、幅広い用途があると述べている。
Continue reading “DLL サイドローディングをエミュレート:Eclipse でコンテキスト・ハイジャック”QR codes bypass browser isolation for malicious C2 communication
2024/12/08 BleepingComputer — Mandiant が特定したのは、ブラウザの分離技術を回避し、QR コードを通じて Command and Control (C2) 操作を実現する、新しい方法である。このブラウザの分離技術とは、クラウド環境または仮想マシンでホストされるリモート Web ブラウザを介して、すべてのローカル Web ブラウザ・リクエストをルーティングするセキュリティ技術のことであり、日増しに普及するという状況にある。
Continue reading “Web ブラウザの分離技術を回避:QR コード C2 通信のための PoC ツールとは?”Trojan-as-a-Service Hits Euro Banks, Crypto Exchanges
2024/12/06 DarkReading — DroidBot と呼ばれるパワフルな Android RAT は、キーロギング/モニタリング/送受信データ転送などのスパイウェア機能を介して、銀行/暗号通貨取引所などの公的な組織からデータを盗み出している。その一方で、サイバー・セキュリティア研究者たちが懸念しているのは、完全な MaaS (Malware-as-a-Service) へと、DroidBot RAT が拡大しているように見える点である。
Continue reading “金融機関を狙う DroidBot というAndroid RAT:Trojan-as-a-Service へと進化する?”How the Shadowserver Foundation helps network defenders with free intelligence feeds
2024/12/05 HelpNetSecurity — Shadowserver Foundation の CEO である Piotr Kijewski が、Help Net Security のインタビューで語ったのは、脆弱性/悪意の活動/新たな脅威を明らかにすることで、インターネット・セキュリティを強化するという、同組織の使命に関する事柄である。Kijewski が説明してくれたのは、サイバー犯罪を追跡/阻止するための自動化された取り組みの詳細であり、また、法執行機関への支援と、開発サービスのグローバルな展開の内容である。
Continue reading “Shadowserver インタビュー:その立ち位置と脅威/防御に対する認識を説明しよう”At least 8 US carriers hit in Chinese telecom hacks, senior official says
2024/12/04 NextGov — 12月4日 (水) の政府高官のコメントは、通信事業者を標的とする中国のサイバー・スパイ活動が広まり、少なくとも米国の通信事業者8社が攻撃を受け、数十カ国でビジネスを展開する他の通信会社も侵害されたというものだ。中国政府が支援する Salt Typhoon が実行したハッキングは、この1~2年間にわたって続いていた可能性があり、この侵害においては、政府や政治とつながりのある個人も標的にされていたという。ホワイトハウスの報道ガイドラインに従い、匿名を条件に記者団に語った同高官は、このように付け加えた。
Continue reading “米国の通信キャリア8社が侵害された:中国の Salt Typhoon について FBI がコメント”Security Alert: Bootkitty Bootkit Targets Linux via UEFI Vulnerability (CVE-2023-40238)
2024/12/01 SecurityOnline — Bootkitty という、史上で初めて Linux システムを標的にする UEFI ブートキット が、Binarly と ESET のセキュリティ研究者たちにより発見された。この新たな脅威は、UEFI ファームウェアの欠陥である LogoFAIL と命名された脆弱性 CVE-2023-40238 を悪用するものであり、Secure Boot の保護をバイパスし、悪意のペイロードを注入する。
Continue reading “Linux 標的のブートキット Bootkitty が登場:UEFI の脆弱性 LogoFAIL CVE-2023-40238 を悪用”Phishing-as-a-Service “Rockstar 2FA” Targets Microsoft 365 Users with AiTM Attacks
2024/11/29 TheHackerNews — Microsoft 365 アカウントの認証情報を盗むことを目的とし、Rockstar 2FA と呼ばれる PhaaS (phishing-as-a-service) ツールキットを利用する、悪意のメール・キャンペーンについて、サイバー・セキュリティ研究者たちが警告している。Trustwave の研究者である Diana Solomon と John Kevin Adriano は、「このキャンペーンでは AitM [adversary-in-the-middle] 攻撃が採用され、攻撃者はユーザーの認証情報とセッション Cookie の傍受を達成する。つまり、多要素認証 (MFA) が有効化されているユーザーであっても、脆弱になる可能性がある」と述べている。
Continue reading “Rockstar 2FA という Phishing-as-a-Service:Microsoft 365 などを標的に AiTM 攻撃”T-Mobile Shares More Information on China-Linked Cyberattack
2024/11/28 SecurityWeek — 11月27日 (水) に T-Mobile が発表したのは、中国由来の脅威グループ Salt Typhoon が実行したとみられる、サイバー攻撃に関する追加情報であり、また、攻撃はブロックされているという声明である。今月の初めに明らかになったのは、米国の複数の通信会社を標的とする、Salt Typhoon による大規模なサイバー・スパイ活動に、T-Mobile も巻き込まれていたことだ。
Continue reading “中国由来の Salt Typhoon:大規模なスパイ活動の被害は T-Mobile にも?”Elpaco Ransomware: A New Threat Actor Leverages CVE-2020-1472 for Global Attacks
2024/11/27 SecurityOnline — 洗練されたランサムウェアの亜種 Elpaco が、Mimic ランサムウェア・ファミリーの進化形とし登場したことを、Kaspersky Labs が発表した。この高度なマルウェアは、多数のカスタマイズ機能を備えており、既知の脆弱性と正規のソフトウェア・ツールを悪用しながら密かに操作を実行し、世界中の被害者をターゲットにしている。
Continue reading “RDP の脆弱性 CVE-2020-1472 がターゲット:Elpaco ランサムウェアの活動が捕捉された”Salt Typhoon Builds Out Malware Arsenal With GhostSpider
2024/11/27 DarkReading — 中国由来の脅威アクター Salt Typhoon は、数年前から政府や通信などの重要組織をスパイしてきたが、新しいバックドア・マルウェアである GhostSpider もリリースしている。Salt Typhoon (別名 Earth Estries/FamousSparrow/GhostEmperor/UNC2286) は、中華人民共和国における最も選定的な APT の 1つである。そのキャンペーンを、2023 年にまで遡ると、20 を超える組織を侵害してきたことが分かる。それらの標的となった組織には、世界中の最高レベルの組織という傾向があり、何年にもわたって侵害が検出されていないケースもある。最近の標的としては、米国の T-Mobile USA などの通信会社や、北米の ISP などが挙げられる。
Continue reading “Salt Typhoon の武器庫を探査する:破壊力を静かに維持し続ける秘密は?”CVE-2024-11680 (CVSS 9.8): Critical ProjectSend Vulnerability Actively Exploited, PoC Published
2024/11/27 SecurityOnline — ProjectSend の深刻な脆弱性 CVE-2024-11680 (CVSS:9.8) が、積極的に悪用されていると、VulnCheck がレポートしている。この OSS のファイル共有 Web アプリケーションに対しては、2023年5月の時点でパッチが提供されているが驚くべきことに、ProjectSend インスタンスの 99% がパッチ未適用であり、悪用の危険性が高まっている。
Continue reading “ProjectSend の脆弱性 CVE-2024-11680 (CVSS 9.8):大量の未パッチ・インスタンスと PoC エクスプロイト”PyPI Python Library “aiocpa” Found Exfiltrating Crypto Keys via Telegram Bot
2024/11/25 TheHackerNews — Python Package Index (PyPI) リポジトリの管理者が隔離したのは、Telegram 経由で秘密鍵を盗み出すための悪意のコードを埋め込んだ、“aiocpa” パッケージのアップデート版である。この問題のパッケージは、Crypto Pay API の同期/非同期クライアントとして説明されている。2024年9月にリリースされた “aiocpa” パッケージは、現在までに 12,100 回もダウンロードされている。今回の Python ライブラリの隔離により、クライアントにおけるインストールが防止され、メンテナーによる変更もできなくなった。
Continue reading “PyPI の “aiocpa” は悪意のライブラリ:Telegram Bot で Crypto Keys を盗み出す手口とは?”Google Docs and Weebly Weaponized in New Phishing Scheme
2024/11/24 SecurityOnline — EclecticIQ の研究者が発見した、最近のフィッシング・キャンペーンが浮き彫りにするのは、信頼できるプラットフォームやインフラ悪用するために、攻撃者が費やす労力である。通信/金融セクターをターゲットにする金銭目的の脅威アクターたちは、Google Docs を悪用してフィッシング・リンクを配信し、Weebly を悪用して偽のログイン・ページをホストしている。この合法的なプラットフォームの戦略的な組み合わせにより、悪意の計画の擬態性を高める攻撃者は、標準のメール・フィルターとエンドポイント防御を回避していく。
Continue reading “Google Docs と Weebly を武器化:新たなフィッシング戦術について分析する”CVE-2024-8811: WinZip Flaw Allows Malicious Code Execution
2024/11/22 SecurityOnline — 人気のファイル・アーカイブ・ツールである WinZip に、重大な脆弱性 CVE-2024-8811 (CVSS:7.8) が発見された。この脆弱性の悪用に成功した攻撃者は、セキュリティをバイパスし、ユーザーのシステム上で悪意のコード実行の可能性を得る。この WinZip の脆弱性 CVE-2024-8811 は、Mark-of-the-Web を処理する方法に起因するものであり、バージョン 76.8 未満に影響を及ぼす。
Continue reading “WinZip の脆弱性 CVE-2024-8811 が FIX:Windows の MoTW を無効化”ANY.RUN Sandbox Now Automates Interactive Analysis of Complex Cyber Attack Chains
2024/11/20 HackRead — ANY.RUN が発表したのは、自動インタラクション機能内の高度なメカニズムである、Smart Content Analysis リリースである。このメカニズムを搭載するサービスにより、複雑なマルウェア/フィッシング攻撃を自動的に実行できるようになり、ユーザーによる調査は迅速化され、悪意の動作に関する詳細な洞察の取得が容易になる。
Continue reading “ANY.RUN の最新 Sandbox:インタラクションを自動化する高度なメカニズムとは?”Right-Click to Hack: Zero-Day CVE-2024-43451 Vulnerability Targets Windows Users
2024/11/13 SecurityOnline — Windows システムに影響を与える、新たなゼロデイ脆弱性 CVE-2024-43451 が、ClearSky Cyber Security により発見された。この欠陥を突く攻撃者は、右シングル・クリックという単純な操作をユーザーに実行させるだけで、悪意のアクティビティに URL ファイルを悪用できるようになる。
Continue reading “Windows ゼロデイ NTLM 脆弱性 CVE-2024-43451:1回の右クリックで C2 通信を確立”Researcher Finds Trojanized Apps with 2 Million Downloads on Google Play
2024/11/12 SecurityOnline — Google Play 上の悪意のアプリの危険な動向を、Dr.Web の研究チームが新しいレポートで報告している。このレポートによると、Android.FakeApp ファミリーなどのトロイの木馬化されたアプリを、無意識のうちに 200 万人以上のユーザーが、ダウンロードしていたことが明らかにされている。
Continue reading “Google Play 上のアプリに潜むトロイの木馬:200万ダウンロードの可能性が”Silent Skimmer Reemerges: New Tactics Target Payment Gateways
2024/11/10 SecurityOnline — Unit 42 の研究者が検出したのは、悪名高い金銭目的の脅威アクター Silent Skimmer による、新たな活動の足跡である。このサイバー犯罪者グループは、2023年に初めて特定されたが、その後は影に隠れたように見えた。しかし 2024年5月に、多国籍組織の決済インフラに対する、北米を拠点とする標的型攻撃で再浮上し、侵害したサーバから決済データを収集するという、新たな手法が明らかにされた。
Continue reading “Silent Skimmer の復活:支払決済組織をターゲットにする持続性の高い手口とは?”Critical Veeam RCE bug now used in Frag ransomware attacks
2024/11/08 BleepingComputer — Akira/Fog ランサムウェアによる悪用が確認された、Veeam Backup & Replication (VBR) の重大な脆弱性 CVE-2024-40711 が、Frag ランサムウェアの展開にも悪用されていたことが明らかになった。この脆弱性 CVE-2024-40711 は、信頼されていないデータに対するデシリアライゼーションの欠陥により生じるものだ。この脆弱性の悪用に成功した未認証の
攻撃者による、Veeam VBR サーバ上での RCE (remote code execution) 攻撃が可能になることが、セキュリティ研究者 Florian Hauser により発見されている。
Continue reading “Veeam VBR の 脆弱性 CVE-2024-40711:Frag ランサムウェアによる悪用も確認”New “CRON#TRAP” Campaign Exploits Emulated Linux Environments to Evade Detection
2024/11/06 SecurityOnline — Securonix 脅威調査チームが検出したのは、”CRON#TRAP” と呼ばれる高度なマルウェア・キャンペーンの存在である。このキャンペーンは、軽量のエミュレートされた Linux 環境内で攻撃を仕掛けるものである。人気のオープンソース仮想化ソフトウェア QEMU などの、正規のツールを悪用する攻撃者は、セキュリティ対策を回避し、正規のソフトウェアを使用しているように見せかけ、悪意のアクティビティの存在を隠し続ける。
Continue reading “Linux のエミュレート環境が標的:“CRON#TRAP” キャンペーンの巧妙な検出回避術とは?”Beyond VPNs and Botnets: Understanding the Danger of ORB Networks
2024/11/05 SecurityOnline — 最近の Team Cymru の S2 研究チームは、サイバーセキュリティ分野で拡大している脅威である、ORB (Operational Relay Box) ネットワークにフォーカスしている。VPN と Botnet のハイブリッドとして定義される ORB ネットワークは、攻撃の難読化における新たなレベルの洗練を示し、それを悪用する脅威アクターたちは、強化された匿名性と回復力で活動を継続している。このレポートは、「ORB ネットワークは、隠蔽/メッシュ/難読化ネットワークであり、回避手法を継続的に改良する脅威アクターたちの間で、その普及の度合いを増している」と指摘している。
Continue reading “VPN/Botnet を組み合わせた脅威:きわめて危険な ORB (Operational Relay Box) とは?”EDRsandblast Exploited: How Attackers are Weaponizing Open-Source Code
2024/11/03 SecurityOnline — Unit 42 の研究者たちが発見したのは、最近に発生した EDR (endpoint detection and response) 回避において、脅威アクターたちが使用していた、新たなツール・キットの存在である。この調査では、EDR 防御を回避するために攻撃者が用いた、戦術が明らかになっただけではなく、攻撃を背後で操る1人の脅威アクターの、身元に関する重大な発見にもつながった。
Continue reading “Cortex XDR を回避する脅威アクター:痛恨のミスにより暴露されたツールキットと戦略”PythonRatLoader: The Malware Loader That’s Turning Phishing Into a Multi-Stage Attack
2024/11/01 SecurityOnline — Cofense Phishing Defense Center (PDC) の最近レポートは、XWorm/VenomRAT/AsyncRAT/DCRat などの各種の RAT (Remote Access Trojans) を配布する、高度なマルウェア・ローダー “PythonRatLoader” に関するものだ。このローダーは、エンタープライズ環境に対して複雑かつ有害な攻撃を仕掛けるために、多層的な難読化と回避技術を採用しており、キャンペーンの標的となるあらゆる組織に深刻なリスクをもたらすものだと、PDC の Adam Martin と Kian Buckley Maher は述べている。
Continue reading “PythonRatLoader という新たなマルウェア・ローダー:フィッシングから多段階攻撃を展開”Uncovering a New Persistence Technique: TypeLib Hijacking with Explorer.exe
2024/10/30 SecurityOnline — MTS Innovation Center CICADA8 チームの Michael Zhmailo により、永続化のための新しい方法が発見された。この方法は、Windows COM (Component Object Model) システム内の TypeLib ライブラリをハイジャックし、explorer.exe などのプロセスを具体的にターゲットにして、ステルス性の高い永続的なコード実行を実現するものだ。
Continue reading “新しい永続化の手法を発見:Windows Explorer.exe の TypeLib をハイジャック”Russian hackers deliver malicious RDP configuration files to thousands
2024/10/30 HelpNetSecurity — ロシア対外情報局 (SVR) と関連があるとされる、サイバースパイ集団の Midnight Blizzard は、署名された RDP コンフィグ・ファイルを取り込んだフィッシング・メールで、政府/学術/防衛/NGO 関係者を標的にしている。Microsoft の脅威アナリストたちは、「Midnight Blizzard のスピアフィッシング・キャンペーンに関する以前の調査に基づけば、この作戦の目的は、おそらく情報収集であると推測される」と述べている。
Continue reading “悪意の RDP コンフィグを展開するロシアの Midnight Blizzard:Microsoft と AWS が警告”Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code
2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。
Dutch Police Disrupt Major Info Stealers RedLine and MetaStealer in Operation Magnus
2024/10/29 TheHackerNews —オランダ国家警察が発表したのは、2つの情報窃取ツールである RedLine/ MetaStealer を動かすインフラを、各国のパートナーと共にテイクダウンしたことだ。2024年10月28日に行われた、このテイクダウンは、コードネーム Operation Magnus の成果であり、国際的な法執行機関のタスクフォースに、米国/英国/ベルギー/ポルトガル/オーストラリアの当局が参加した結果でもある。
Continue reading “情報窃取マルウェア RedLine/MetaStealer:国際協調 Operation Magnus がテイクダウン”Chinese Hackers Use CloudScout Toolset to Steal Session Cookies from Cloud Services
2024/10/28 TheHackerNews — 中国の脅威アクター Evasive Panda に標的とされた台湾の政府機関と宗教団体が、未知のポスト・コンプロマイズ・ツールセットである、CloudScout という名の文書化されていないマルウェアに感染したことが判明した。ESET のセキュリティ研究者である Anh Ho は、「CloudScout ツールセットは、盗み出された Web セッション・クッキーを悪用することで、様々なクラウド・サービスからデータを取得している。さらに、Evasive Panda の代表的なマルウェア・フレームワークである MgBot と、プラグインを介してシームレスに連携する」と説明している。
Chrome’s App-Bound Encryption Cracked: Open-Source Tool Bypasses Security Measure
2024/10/27 SecurityOnline — Chrome の App-Bound Encryption で保護されたキーの復号を、新しくリリースされたオープンソース・ツールが成功させたことで、このセキュリティ機能の長期的な有効性について懸念が高まっている。Google Chrome のバージョン 127 で導入された App-Bound Encryption (ABE) は、復号機能を特定のアプリケーションにリンクすることで、ユーザーのセキュリティを強化することを目的としている。それにより、Cookie/パスワード/支払い情報などの機密データへの、悪意のプログラムによるアクセスを防止している。
Continue reading “Chrome の App-Bound Encryption がクラックされた:OSS のツールが GitHub で提供”Fake CAPTCHA Pages Used by Lumma Stealer to Spread Fileless Malware
2024/10/22 HackRead — Qualys TRU (Threat Research Unit) が公表したのは、MaaS (Malware-as-a-Service) モデルとして提供されるマルウェア Lumma Stealer が、ユーザーを欺くための手口を大幅に進化させていることだ。Qualys が HackRead に共有した調査結果は、偽の CAPTCHA ページを使用してユーザーを騙して永続的なペイロードを実行させる、アクティブな Lumma Stealer キャンペーンに関するものだ。この攻撃は、複数のステップで構成され、ファイルレス技術を用いる、巧妙かつ持続的なものとなっている。
Continue reading “Lumma Stealer マルウェア:偽の CAPTCHA ページを使用してペイロードを実行”VOIDMAW: A New Bypass Technique for Memory Scanners
2024/10/21 SecurityOnline — マルウェア検出技術が進化するにつれ、それらの回避を試みる、攻撃者たちの手法も進化している。そのような手法の1つである VOIDMAW とは、悪意のコードを巧妙に隠蔽してアンチウイルス・ソフトウェアを回避する、革新的なメモリ・スキャン・バイパス技術のことである。VOIDMAW は、マルチスレッド・ペイロードをサポートし、すべての C2 (Command-and-Control) ビーコンと互換性があり、さらに、 .NET 以外のバイナリ・ファイルも実行できるため、攻撃者にとって強力なツールとなる。
Continue reading “VOIDMAW というテクノロジー:メモリス・キャナーに対する新たなバイパス手法を提示”ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS
2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome/Google Meet/Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。
Continue reading “Google Meet アラートを偽装:ClickFix 攻撃によるマルウェア配信が蔓延”North Korean Hackers Exploit Zero-Day Flaw (CVE-2024-38178) in “Operation Code on Toast”
2024/10/16 SecurityOnline — Microsoft Internet Explorer (IE) の脆弱性 CVE-2024-38178 が、北朝鮮のハッカーたちにより積極的に悪用されていることが、AhnLab Security Emergency response Center (ASEC) と National Cyber Security Center (NCSC) の共同レポートにより判明した。 この攻撃は Operation Code on Toast と呼ばれ、時代遅れの Toast 広告プログラムのユーザーをターゲットにして、マルウェアを配信している。
Continue reading “Internet Explorer (IE) の脆弱性 CVE-2024-38178 を悪用:北朝鮮の TA-RedAnt とは?”EDRSilencer: The Red Team Tool Turned Cybercriminal Weapon
2024/10/15 SecurityOnline — EDR (Endpoint Detection and Response) ソリューションを妨害するように設計された、レッドチーム・ツール EDRSilencer に関連する問題が、Trend Micro の Threat Hunting Team により発見された。もともとは、EDR システムの脆弱性を特定/解決する、セキュリティ専門家たちを支援するために設計されたツールであるが、現在ではサイバー犯罪者が検出を回避するために、また、秘密裏に攻撃を実行するために再利用されている。
Continue reading “EDRSilencer の武器化:脅威アクターが変容させたレッドチーム・ツールに要注意”Sonatype Reports 156% Increase in OSS Malicious Packages
2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。
Continue reading “オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査”OpenAI Blocks 20 Global Malicious Campaigns Using AI for Cybercrime and Disinformation
2024/10/10 TheHackerNews — 10月9日に OpenAI が発表したのは、同社のプラットフォームをグローバルで悪用する、20件以上の悪意のアクティビティとネットワークを、2024年に入ってから阻止したというメッセージである。阻止された悪質な活動として挙げられるのは、マルウェアのデバッグ/悪意の Web サイト記事執筆/悪意の SNS アカウント経歴の作成/X の偽アカウント用の AI 生成プロフィール画像の作成などである。
Continue reading “OpenAI を悪用するサイバー犯罪と偽情報拡散:20件以上の悪意のキャンペーンを阻止”DNS Tunneling: The Hidden Threat Exploited by Cyberattackers
2024/10/07 SecurityOnline — サイバー攻撃者が用いる DNS トンネリングという手法は、検出を回避しながら悪意の活動を行い、データを盗み出すための隠された戦術である。Palo Alto Networks の最新レポートでは、従来のセキュリティ対策を回避する DNS トンネリング・テクニック用いる、新たな脅威とキャンペーンが取り上げられている。インターネットの要である DNS は監視されないままに放置されることが多く、攻撃者にとっての主要なターゲットとなっている。この Palo Alto Networks のレポートには、「DNS トンネリングは、DNS プロトコルを悪用して、DNS クエリ/レスポンスのデータをエンコードするため、攻撃者は気付かれることなく、セキュリティ・システムを回避していく」と記されている。
Continue reading “DNS Tunneling キャンペーン:Palo Alto Unit42 が発見した検出回避と攻撃の方式とは?”New MS-SQL Server Attack Campaign Leverages GotoHTTP for Remote Access
2024/10/05 SecurityOnline — セキュリティ保護されていないアカウントと脆弱なパスワードを狙う、MS SQL Server に対する新しい攻撃が、AhnLab Security Intelligence Center (ASEC) の専門家たちにより発見された。この悪意のキャンペーンで攻撃者は、正規のリモート管理ツール GotoHTTP を使用しているが、この種のオペレーターでが悪用されるのは、きわめて稀なツールである。
Continue reading “MS SQL Server に対する新たな攻撃キャンペーン:GotoHTTP でリモート・アクセスを狙っている”
IoT OT Security News 
You must be logged in to post a comment.