Dark Web Sees 230% Rise in Singapore Identity Theft
2024/06/25 InfoSecurity — シンガポール国民から盗んだ個人情報を流通させる、ダークウェブ活動が大幅に増加していることを明らかになった。6月24日に Resecurity が公開したアドバイザリによると、サイバー犯罪者たちが販売している一連の盗難データが、詐欺/ID 窃盗/なりすまし詐欺/Know Your Customer (KYC) プロトコル回避などに悪用されるという。同社による指摘は、シンガポールのユーザーから盗み出した ID データを販売するアンダーグラウンド業者が、前年比で 230% 増加しているというものだ。この急増と、データ侵害の増加は連動しており、消費者情報を保存する各種のオンライン・プラットフォームを危険にさらしている。
Continue reading “シンガポールの個人情報とダークウェブ:アンダーグラウンド取引が前年比で 230% 増 – Resecurity”Neiman Marcus confirms data breach after Snowflake account hack
2024/06/25 BleepingComputer — 高級小売店の Neiman Marcus は、最近の Snowflake データ盗難攻撃の被害に遭遇し、同社から盗み出されたデータベースの売却を、ハッカーが試みていたことを明らかにした。同社がメイン州の司法長官事務所に提出したデータ流出通知によると、この流出により影響を受けた人々は 64,472人に及ぶという。この通知の中で Neiman Marcus は、「2024年4月 〜 5月に、Neiman Marcus グループが使用しているデータベース・プラットフォームに、脅威アクターが不正アクセスしていたことが、5月に入ってから判明した。さらに、当社の調査により、データベース・プラットフォーム上の個人情報が、この脅威アクターにより盗み出されていたことが判った」と述べている。
Continue reading “Neiman Marcus のデータ侵害:Snowflakeアカウントのハッキングで個人情報が漏えい”New Attack Technique Exploits Microsoft Management Console Files
2024/06/25 TheHackerNews — Microsoft Management Console (MMC) を用いる任意のコード実行権を取得して、セキュリティを回避するために、特別に細工された MSC (management saved console ) ファイルを悪用するという、新しい攻撃手法が発見された。2024年6月6日に VirusTotal マルウェア・スキャン・プラットフォームにアップロードされていた、アーティファクト “sccm-updater.msc” を発見した Elastic Security Labs は、この手法を GrimResource と命名した。
Continue reading “Microsoft Management Console の悪用:新たな RCE 攻撃手法が発見された – Elastic”Zyxel NAS Devices Under Attack: CVE-2024-29973 Exploitation Attempts by Mirai-Like Botnet
2024/06/23 SecurityOnline — Zyxel NAS デバイスの脆弱性 CVE-2024-29973 (CVSS:9.8) が、積極的に悪用されている状況を、脅威監視プラットフォーム Shadowserver が警告している。この脆弱性の悪用に成功した未認証の攻撃者には、悪意のリモート・コマンドの注入/実行が許されるため、影響を受けるデバイスのセキュリティと完全性が損なわれる可能性が生じている。なお、この脆弱性は、Outpost24 Ghost Labs の Timothy Hjort により発見されたものだ。
Continue reading “Zyxel NAS の脆弱性 CVE-2024-29973:Mirai ライクなボットネットによる積極的な悪用”Decade-Long Cyber Assault on Asian Telecoms Traced to Chinese State Hackers
2024/06/20 SecurityWeek — 長年にわたってアジア某国の通信会社が、中国のスパイ集団に帰属する悪意のツールの標的となっていることが、Symantec のレポートにより判明した。遅くとも 2021年以降から、通信事業者/通信事業者にサービスを提供する企業/大学などを標的とするキャンペーンが発生し、Coolclient/Quickheal/Rainyday などのカスタム・バックドアが使用されてきた。過去においても、このカスタム・バックドアは、中国に支援される既知の脅威アクターたちと関連付けられてきたが、その中には、10年以上も活動しているグループも含まれるという。
Continue reading “アジアの通信事業者への 10年にわたるサイバー攻撃:中国ハッカーの犯行と判明 – Symantec”New Rust-based Fickle Malware Uses PowerShell for UAC Bypass and Data Exfiltration
2024/06/20 TheHackerNews — Fickle Stealer という Rust ベースの新しい情報窃取マルウェアが、複数の攻撃チェーンを介して配信されて、侵害したホストから機密情報を採取している。Fortinet FortiGuard Labs によると、VBA ドロッパー/VBA ダウンローダー/リンク・ダウンローダー、実行型ファイル・ダウンローダーという4種類の配布形態が確認されており、その中には PowerShell スクリプトを使用して、ユーザー・アカウント制御 (UAC:User Account Control) をバイパスし、Fickle Stealer を実行するものもあるという。
Continue reading “Fickle Stealer という新たな情報スティーラー:PowerShell を介した UAC バイパスとデータ流出を達成”‘ONNX’ MFA Bypass Targets Microsoft 365 Accounts
2024/06/19 DarkReading — 高度に組織化された PhaaS (phishing-as-a-service operation) が、金融企業の Microsoft 365 アカウントを標的とし、2FA (two-factor authentication) バイパスや QR コードの悪用といった高度な回避技術を活用する、BEC (business email compromise) 攻撃を仕掛けていることが、研究者たちにより明らかになった。 6月18日のブログで EclecticIQ のセキュリティ・アナリストたちは、金融機関を標的とする広範なフィッシング・キャンペーンを、2024年2月の時点で発見したと述べている。標的となった組織には、アメリカ大陸/ヨーロッパ/中東/アフリカ (EMEA) 地域における、銀行/プライベート・ファンディング会社/信用組合のサービス・プロバイダーなどが含まれていたという。
Continue reading “ONNX という PhaaS と QR コード:Microsoft 365 アカウントに BEC 攻撃を展開”UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying
2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。
Continue reading “Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?”Fake Google Chrome errors trick you into running malicious PowerShell scripts
2024/06/17 BleepingComputer — Google Chrome/Microsoft Word/OneDrive のエラーを装い、ユーザーを騙してマルウェアをインストールさせるために、PowerShell の悪質な “修正プログラム” を実行させるという、新たなマルウェア配布キャンペーンが発生している。この新しいキャンペーンは、ClearFake や ClickFix と呼ばれる新しい攻撃クラスターを操る、複数の脅威アクターにより使用されていることが確認されている。また、大量のメールを送信してマルウェアやランサムウェアの感染を引き起こす、スパム配信者 TA571 にも使用されているようだ。
Continue reading “Google Chrome の偽エラー・トリックに要注意:巧みな誘導で悪意の PowerShell を実行”China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices
2024/06/17 TheHackerNews — 中国と密接な関係にあると疑われるサイバー・スパイが、約3年間という長期間にわたり、東アジアの無名の組織に対して攻撃を続けていたことが判明した。この脅威アクターは、F5 BIG-IP のレガシー・アプライアンスを悪用して永続性を確立し、内部 C&C (command-and-control) として使用することで、セキュリティを回避していた。2023年の後半に、この活動に対応したサイバー・セキュリティ企業 Sygnia は、Velvet Ant という名前で追跡した結果として、迅速な機動力と対処策に適応する強力な能力を有すると分析している。
Continue reading “F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia”Microsoft Admits Security Failings Allowed China to Access US Government Emails
2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。
Continue reading “Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言”North Korean Hackers Exploit Old Office Flaw to Deploy Keylogger
2024/06/13 SecurityOnline — 北朝鮮の国家支援グループ Kimsuky により、新たなサイバー・スパイ・キャンペーンが実施されていることを、AhnLab Security Emergency response Center (ASEC) が公表した。このグループは、Microsoft Office の数式エディタに存在する、既知の脆弱性 CVE-2017-11882 を悪用して、高度なキーロガーを配信している。
Continue reading “MS Office の古い脆弱性 CVE-2017-11882 を悪用:北朝鮮の Kimsuky がキーロガーを配信”Chinese hackers breached 20,000 FortiGate systems worldwide
2024/06/11 BleepingComputer — オランダ軍の情報セキュリティ局 (MIVD:Military Intelligence and Security Service) が 6月11日に公開したアラートは、2024年の初頭に公表中国のサイバースパイ・キャンペーンの影響が、これまで考えられていたよりも遥かに大きいと警告するものだ。2024年2月に MIVD は、オランダの情報機関である AIVD (Algemene Inlichtingen- en Veiligheidsdienst) との共同レポートで、この件について情報を公開している。同レポートによると、中国のハッカーは 2022〜2023年の数カ月間にわたり、Fortinet FortiOS/FortiProxy の深刻なリモート・コード実行の脆弱性 CVE-2022-42475 を悪用し、脆弱な Fortigate ネットワーク・セキュリティ・アプライアンスにマルウェアを展開していたという。
Continue reading “FortiOS/FortiProxy の脆弱性 CVE-2022-42475:中国 APT が 20,000台のデバイスに RAT を展開”Malicious VSCode extensions with millions of installs discovered
2024/06/09 BleepingComputer — Visual Studio Code マーケットプレイスの、セキュリティを調査していたイスラエルの研究者グループが、人気の公式テーマである “Dracula Official” のコピーに、実験として悪意のコードを取り込んだトロイの木馬により、100以上の組織を擬似的に感染させることに成功した。さらに、彼らが VSCode マーケットプレイスを調査したところ、数千もの悪意のエクステンションが、数百万もインストールされていることが判明した。
Continue reading “Microsoft VSCode 調査:数百万回もインストールされた悪意のエクステンションを発見!”Muhstik Malware Exploits Apache RocketMQ Flaw: Thousands at Risk
2024/06/06 SecurityOnline — Apache RocketMQ のインストールを標的とする、Muhstik マルウェアのキャンペーンを、Aqua Nautilus のサイバーセキュリティ研究者たちが発見した。この新たな攻撃の波において、攻撃者は RocketMQ バージョン 5.1.0 以下の脆弱性 CVE-2023-33246 を悪用してリモートでコードを実行し、侵害されたシステムに悪名高い Muhstik マルウェアをダウンロードする。
Continue reading “Apache RocketMQ の脆弱性 CVE-2023-33246:Muhstik マルウェアの配布に悪用されている”Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI
2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている。
Continue reading “PyPI に新たな悪意のパッケージ :Crytic-Compiler を装い Lumma スティーラーを配布”Over 600,000 SOHO Routers Were Destroyed By Chalubo Malware In 72 Hours
2024/05/31 SecurityAffairs — Chalubo マルウェアが、2023年10月25日〜10月27日の間にわたって、同じ ISP に属する 600,000 台以上の SOHO (small office/home office) ルーターを破壊していたことが、Lumen の Black Lotus Labs の研究により判明した。Black Lotus Labs は、影響を受けた ISP の名前を挙げていない。しかし Bleeping Computer の推測は、同時期に発生した Windstream の障害に、この攻撃が関連しているというものだ。Chalubo (ChaCha-Lua-bot) は Linux マルウェアであり、IoT デバイスに DDoS 攻撃を仕掛けるためのボットネットとして使用されていた状況を、2018年8月下旬に Sophos Labs が検知していた。
Continue reading “Chalubo マルウェア:600,000 台以上の SOHO ルーターを破壊していた – Lumen”Critical WordPress Plugin Flaws Exploited to Inject Malicious Scripts and Backdoors
2024/05/30 SecurityWeek — Fastly からの警告によると、3つの WordPress プラグインの脆弱性が悪用され、悪意のスクリプトやバックドアが Web サイトに注入されている。これらの脆弱性には、認証を必要としない蓄積型クロス・サイト・スクリプティング (XSS) 攻撃の実行で、悪用される可能性があるという。具体的に言うと、攻撃者は新しい WordPress 管理者アカウントを作成し、プラグインやテーマのファイルに PHP バックドアを注入し、感染させたターゲットを監視するための、追跡スクリプトを設定できる。
Continue reading “WordPress プラグインを悪用するキャンペーン:スクリプトやバックドアを Web サイトに注入”WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites
2024/05/28 TheHackerNews — WordPress の Code Snippet という、あまり知られていないプラグインを悪用して、標的サイトに悪意の PHP コードを挿入することで、クレジットカード情報を窃取するという攻撃が発生している。このキャンペーンは、2024年5月11日に Sucuri により発見されたものであり、ユーザーによるカスタム PHP コードの追加を可能にする、Dessky Snippets という WordPress プラグインを悪用するものだ。なお、このプラグイン は、200 件以上インストールされている。
Continue reading “WordPress Dessky Snippets Plugin:クレジットカード情報の窃取に悪用されている – Sucuri”Hackers target Check Point VPNs to breach enterprise networks
2024/05/27 BleepingComputer — Check Point のRemote Access VPN デバイスを標的とする、エンタープライズ・ネットワークへの侵害キャンペーンが進行中であることが、同社が 5月27日に公開だけしたアドバイザリで明らかになった。このリモート・アクセス機能は、Check Point の全てのネットワーク・ファイアウォールに組み込まれている。この機能の設定により、VPN クライアントを介して企業ネットワークにアクセスする Client-to-Site VPN として、また、Web ベースでアクセスする SSL VPN ポータルとしての利用が可能となる。
Continue reading “Check Point VPN の脆弱性 CVE-2024-24919:企業ネットワークへの不正アクセスで悪用”MITRE December 2023 Attack: Threat Actors Created Rogue VMS To Evade Detection
2024/05/25 SecurityAffairs — MITRE Corporation は、昨年末に発生した攻撃に関するアップデート情報を公開した。MITRE は、研究/試作ネットワークの1つにセキュリティ侵害があったことを、2024年4月に明らかにしている。同組織のセキュリティ・チームは速やかに調査を開始し、脅威アクターをログアウトさせ、サードパーティの DFIR (Forensics and Incident Response) チームに依頼し、社内の専門家たちと共同で独自の分析を実施した。
Continue reading “MITRE が公表した 2024年1月の攻撃:不正な VMS を用いて検知を回避”Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern
2024/05/23 TheHackerNews — VMware ESXi インフラを標的とするランサムウェア攻撃は、展開されたファイル暗号化マルウェアに関係なく、確立されたパターンに従って実行されている。サイバー・セキュリティ企業 Sygnia のレポートには、「ユーザー組織において、IT インフラの中核的なコンポーネントである仮想化プラットフォームは、ミスコンフィグや脆弱性が生じることが多い。そのため、脅威アクターにとって格好の、きわめて効果的なターゲットになっている」と記されている。
Continue reading “VMware ESXi の脆弱性を悪用したランサムウェア攻撃が深刻化している – Sygnia”Log4j Campaign Exploited to Deploy XMRig Cryptominer
2023/05/17 SecurityOnline — 大規模かつ継続的な悪名高い Log4j キャンペーンの活動を、Uptycs Threat Research Team が発見した。当初はハニーポット・コレクション内で検出されたが、このダイナミックなキャンペーンの複雑さを解明するために、Uptycs が詳細な分析を直ちに開始した。
Continue reading “Log4j の大規模かつ継続的なキャンペーン:XMRig などの多様なマルウェアを配信”Threat Actors Abuse GitHub to Distribute Multiple Information Stealers
2024/05/15 SecurityWeek — 5月13日 (火) に脅威インテリジェンス企業 Recorded Future は、正規の GitHub プロフィールを悪用して情報窃取マルウェアを配布する、悪質なキャンペーンに対して警鐘を鳴らした。このキャンペーンの一環として、Commonwealth of Independent States (CIS) で活動するロシア語圏の脅威アクターたちが、1Password/Bartender 5/Pixelmator Proなどの正規アプリケーションを装いながら、Atomic macOS Stealer (AMOS)/Vidar/Lumma/Octo などのマルウェアを配布している。
Continue reading “GitHub とマルウェア群:共通のインフラから AMOS/Vidar/Lumma/Octo などで侵害”Windows Quick Assist abused in Black Basta ransomware attacks
2024/05/15 BleepingComputer — 金銭的な動機に基づくサイバー犯罪者たちが、ソーシャル・エンジニアリング攻撃で Windows Quick Assist 機能を悪用し、被害者のネットワーク上に Black Basta ランサムウェアのペイロードを展開している。Microsoft は、遅くとも 2024年4月中旬から、このキャンペーンを調査している。同社の観察によると、脅威グループ (Storm-1811) は、さまざまな電子メール配信サービスにアドレスを登録した後に、標的に対する大量の電子メール配信を行うことで攻撃を開始する。
Continue reading “Black Basta の戦術:ソーシャル・エンジニアリングで Windows Quick Assist を侵害”Ebury Botnet Malware Compromises 400,000 Linux Servers Over Past 14 Years
2024/05/15 TheHackerNews — Eburyと呼ばれるボットネット・マルウェアは、2009年以降において 40万台の Linux サーバを危険にさらしており、そのうち10万台以上が、2023年の時点でも危険な状況にあると推定されている。この調査結果は、スロバキアのサイバーセキュリティ企業 ESET によるものである。同社は、このマルウェアについて、金銭的な利益を目的とした最も高度なサーバ・サイド・マルウェア・キャンペーンの1つだとしている。
Continue reading “Ebury ボットネットの脅威:14年をかけて 40万台の Linux サーバを侵害”Microsoft fixes Windows zero-day exploited in QakBot malware attacks
2024/05/14 BleepingComputer — Microsoft が修正したゼロデイ脆弱性は、影響を受ける Windows システム上で、 QakBot などのマルウェア・ペイロードを配信する攻撃で、悪用される可能性のあるものだ。この特権昇格の脆弱性 CVE-2024-30051 は、DWM (Desktop Window Manager) コア・ライブラリのヒープバッファ・オーバーフローが起因するものであり、悪用に成功した攻撃者に、SYSTEM 権限の取得を許すものである。
Continue reading “Microsoft が FIX した脆弱性 CVE-2024-30051:QakBot のマルウェア配信で悪用”Botnet sent millions of emails in LockBit Black ransomware campaign
2024/05/13 BleepingComputer — 2024年4月以降において、大規模な LockBit Black ランサムウェア・キャンペーンを実施するために、Phorpiex ボットネットを介して数百万通のフィッシング・メールが送信されているという。5月10日 (金) に、ニュージャージー州の Cybersecurity and Communications Integration Cell (NJCCIC) が警告したように、この攻撃者が使用しているのは、起動すると受信者のシステムを暗号化する LockBit Black ペイロードを展開するための、実行ファイルを取り込んだ ZIP 添付ファイルである。
Continue reading “LockBit Black の大規模キャンペーン:Phorpiex ボットネットから大量のフィッシング・メール”Mobile Banking Malware Surges 32%
2023/05/09 InfoSecurity — Kaspersky 最新年次レポート “Financial Threats Report for 2023” のデータによると、世界のモバイル・バンキング向けマルウェアは、2022年と比べて 32% も増加している。この、5月6日に発表されたレポートが指摘するのは、Android ユーザーを狙う攻撃が急増し、アフガニスタン/トルクメニスタン/タジキスタンでは、バンキング型トロイの木馬に遭遇する割合が最も高くなっている点だ。特筆すべきは、モバイル・バンキングを狙うマルウェア攻撃ではトルコがトップであり、約3%のユーザーが感染しているという。
Continue reading “Mobile Banking マルウェアが 32% の急増:サイバー犯罪者にとって金銭は魅力的 – Kaspersky”Zscaler Investigates Hacking Claims After Data Offered for Sale
2024/05/09 SecurityWeek — 5月8日 (水) にサイバー・セキュリティ大手 Zscaler は、同社のシステムへのアクセス権を、悪名高いハッカーが販売すると言い出したことを受けて調査を開始した。そのハッカーである IntelBroker は、人気のサイバー犯罪フォーラムで、「最大手のサイバー・セキュリティ企業へのアクセスを販売する」と発表している。この投稿には、標的である企業の名前は記されていないが、フォーラムのシャウト・ボックスで Zscaler であることが確認されている。
Continue reading “Zscaler をハッキングしたと主張する IntelBroker:$20,000 相当の暗号通貨でデータを販売”Mirai Botnet Exploits Ivanti Vulnerabilities (CVE-2023-46805 & CVE-2024-21887)
2024/05/07 SecurityOnline — Ivanti Connect Secure (ICS) および Ivanti Policy Secure Gateway を標的とする攻撃の、きわめて危険なエスカレーションを、Juniper Threat Labs のセキュリティ研究者たちが発見した。この2つの脆弱性 CVE-2023-46805 (認証バイパス)/CVE-2024-21887 (リモートコード実行) を武器化する攻撃者たちは、悪名高い Mirai ボットネット・マルウェアを拡散している。この強力な組み合わせは、広範なネットワークにおける侵害と混乱への扉を開く。
Continue reading “Mirai ボットネットが Ivanti を悪用:脆弱性 CVE-2023-46805/21887 の連鎖に要注意”MITRE Attributes The Recent Attack To China-Linked UNC5221
2024/05/07 SecurityAffairs — MITRE が共有したのは、先日の攻撃に関連する攻撃者/マルウェア/タイムラインなどの、ハッキングの詳細情報である。2024年4月に MITRE は、同社の研究/試作ネットワークの1つに、セキュリティ侵害があったことを公表した。同組織のセキュリティ・チームは直ちに調査を開始し、脅威行アクターをログアウトさせ、サードパーティのフォレンジック・インシデント対応チームと社内の専門家を協力させ、独自の分析を実施した。
Continue reading “MITRE への侵害:中国由来の APT UNC5221 の侵害の手法とマルウェアを分析する”#RSAC: Log4J Still Among Top Exploited Vulnerabilities, Cato Finds
2024/05/07 InfoSecurity — Log4J の脆弱性 CVE-2021-44228 だが、発見から3年が経過した現在においても、最も悪用されるエクスプロイトの1つであることが、クラウド・セキュリティ・プロバイダーである Cato Networks の観測から判明している。Cato Cyber Threat Research Labs (CTRL) は、RSA Conference 2024 の会期中の 5月6日に、SASE Threat Report for Q1 2024 レポートを発表した。
Continue reading “Log4J の脆弱性 CVE-2021-44228:依然として悪用トラフィックは最大級 – Cato”Microsoft Outlook Flaw Exploited by Russia’s APT28 to Hack Czech, German Entities
2024/05/04 TheHackerNews — 5月3日 (金) にチェコとドイツの両国は、ロシアに支援される 脅威アクター APT28 により実施された、長期的なサイバースパイ・キャンペーンの標的であったことを明らかにし、EU/NATO/英国/米国から非難を浴びた。チェコ共和国の外務省 (MFA) は声明の中で、2023年初頭に明るみに出た Microsoft Outlook の脆弱性を悪用する攻撃により、同国内の無名の団体が被害を受けたと述べている。MFA は、「政治団体/国家機関/重要インフラを標的とするサイバー攻撃は、国家安全保障に対する脅威であるだけではなく、我々の自由な社会が基盤としている民主主義のプロセスを混乱させるものだ」と述べている。
Continue reading “Outlook の脆弱性 CVE-2023-23397 と APT28:チェコとドイツに対するスパイ行為が発覚”Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft
2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的/効果的であるということに気づき始めている。独自のインフラを構築/維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。
Continue reading “Microsoft Graph API :C2 インフラ構築のための悪用が増加している”DBIR: Vulnerability Exploits Triple as Initial Access Point for Data Breaches
2024/05/01 InfoSecurity — 侵害のイニシャル・アクセス・ステップとしての脆弱性の悪用は、2022年から 2023年の間に 180% も増加した。5月1日に Verizon が発表した 2024 Data Breach Investigations Report (DBIR) によると、この方式でネットワークに侵入する脅威アクターが 14% に達し、そこから不正アクセスや侵害につながっていった。1位のクレデンシャル窃取と、2位のフィッシングに続いて、脆弱性の悪用は3位となっている。この増加は、MOVEit の脆弱性の悪用や、2024年を通してランサムウェア・ギャングが用いた、いくつかのゼロデイ・エクスプロイトが要因になっていると、同レポートは指摘している。
Continue reading “侵害のイニシャル・アクセスとしての脆弱性悪用:2023年は 180% 増 – Verizon DBIR”Millions of Docker repos found pushing malware, phishing sites
2024/04/30 BleepingComputer — Docker Hub ユーザーを標的として、2021年初めから展開されている3つの大規模なキャンペーンにより 、マルウェアやフィッシング・サイトをプッシュする、数百万のリポジトリが設置されていたことが判明した。Docker Hub がホストする 1,500 万件のリポジトリのうちの約 20%に、スパムからマルウェアやフィッシング・サイトなどにいたる、悪意のコンテンツが含まれていたことが、JFrog のセキュリティ研究者たちにより発見された。
Continue reading “Docker Hub ユーザーを標的にした3つのキャンペーン:2021年から展開されていたことが判明”Google Says it Blocked 2.28 Million Apps from Google Play Store
2024/04/29 SecurityWeek — 4月29日 (月) に Google が発表したのは、セキュリティのプロセスを改善したことで、2023年の Google Play アプリ・ストアでは、プライバシーを侵害する 228万件のアプリの公開が阻止されたというトピックだ。悪質な Android アプリや脅威アクターたちとの戦いにおいて、優れたセキュリティ機能/更新されたポリシー/高度な機械学習/アプリケーション審査プロセス/開発者のオンボーディング強化への投資などが効果的だったと、同社は述べている。
Continue reading “Google Play から排除された 228万件のアプリ:プライバシー侵害との 2023年の戦い”CISA Adds Microsoft Windows Print Spooler Flaw To Its Known Exploited Vulnerabilities Catalog
2024/04/25 SecurityAffairs — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) は、Microsoft Windows Print Spooler の権限昇格の脆弱性 CVE-2022-38028 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。ロシアに関連する APT28 (別名:Forest Blizzard/Fancybear/Strontium) について、CISA は Microsoft からの報告を受けた。具体的な内容は、GooseEgg と名付けられた未知のツールにより、Windows Print Spooler の脆弱性 CVE-2022-38028 が悪用されたというものであり、この脆弱性が KEV カタログに追加された。
Continue reading “CISA KEV 警告 24/04/25:Microsoft Windows Print Spooler の脆弱性 CVE-2022-38028 を追加”56% of cyber insurance claims originate in the email inbox
2024/04/24 HelpNetSecurity — サイバー保険会社である Coalition は、2023年1月1日〜12月31日に報告された保険金支払いデータに基づき、新たなレポート ”2024 Cyber Claims Report” を公開した。Coalition の Head of Global Claims である Robert Jones は、「金銭的な利得を求める攻撃者は、Eメールの受信トレイで支払情報を見つけ出し、支払プロセスに潜在的に介入して資金を盗む。つまり、受信トレイは、犯行が容易な場所であることが証明されている」と述べている。
Continue reading “サイバー保険請求の 56%はEメールの受信トレイから発生している – Coalition 調査”CISA Added Critical Vulnerabilities in Cisco Products and CrushFTP to KEV
2024/04/24 SecurityOnline — 米国の Cybersecurity Infrastructure Security Agency (CISA) が連邦政府機関に対して発動したのは、Cisco 製品で発見された2件深刻な脆弱性と、ファイル転送ツール CrushFTP の脆弱性に対して、最優先でパッチを適用すべきという警告である。これらの問題の緊急性は、国家の支援を受けたハッカーによる積極的な悪用に起因しており、脅威の状況の深刻さを強調している。
Continue reading “CISA KEV 警告 24/04/24:Cisco と CrushFTP の深刻な脆弱性に 5月1日までに対処せよ!”ArcaneDoor hackers exploit Cisco zero-days to breach govt networks
2024/04/24 BleepingComputer — 4月24日に公開したアドバイザリで Cisco が警告しているのは、2023年11月以降において国家に支援されるハッカー・グループが、Adaptive Security Appliance (ASA) と Firepower Threat Defense (FTD) ファイアウォールに存在する、2つのゼロデイ脆弱性を悪用していたことだ。 それにより、世界中の政府機関のネットワークで、侵入が発生していたという。
Continue reading “Cisco ASA/FTD のゼロデイ脆弱性:ArcaneDoor ハッカーが政府機関ネットワークへの侵入で悪用”GitLab affected by GitHub-style CDN flaw allowing malware hosting
2024/04/22 BleepingComputer — 先日に BleepingComputer は、GitHub の欠陥 (あるいは設計上の仕様) を悪用する脅威アクターが、Microsoft のリポジトリに関連付けられた URL を介して、信頼できるファイルを装いながら、マルウェアを配布していることを報告した。この問題は、GitLab に対しても影響を及ぼすものであり、同様の方法で悪用される可能性が生じることが判明した。このマルウェアに関連する活動の大半は、Microsoft GitHub の URL に基づくものだった。しかしこの “欠陥” は、GitHub や GitLab の、あらゆる公開リポジトリで悪用が可能であり、きわめて説得力のあるルアーを、脅威アクターたちは作成できるという。
Continue reading “GitLab にも GitHub スタイルの コメント悪用の問題:マルウェアのホスティングが容易になる”Linux Systems Targeted: Open-Source Pupy RAT Exploited in Attacks Across Asia
2024/04/21 SecurityOnline — Pupy と呼ばれるパワフルな RAT (Remote Access Trojan) が、韓国を含むアジア全域の Linux システムを標的とした攻撃で積極的に武器化されている。AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちが、先日に発見したのは、Pupy の巧妙なオペレーションの存在であり、そこでは Decoy Dog という新たな亜種も用いられているという。
Continue reading “Linux を標的とする OSS Pupy RAT:充実したポスト・エクスプロイト機能でアジアを狙う”GitHub comments abused to push malware via Microsoft repo URLs
2024/04/20 BleepingComputer — GitHub のバグ (あるいは設計上の仕様) を悪用する脅威アクターたちが、Microsoft のリポジトリに関連する URL を使って信頼できるファイルを装い、マルウェアを配布している。先日に発見されたマルウェアの多くは、Microsoft GitHub の URL を中心に活動していた。さらに、この “欠陥” の悪用は、GitHub 上のあらゆる公開リポジトリで応用できるため、きわめて説得力のあるルアーを、脅威アクターたちが作成するという可能性が生じている。
Continue reading “GitHub のコメント機能を悪用:Microsoft のリポジトリ URL 経由でマルウェア配布”22,500 Palo Alto firewalls “possibly vulnerable” to ongoing attacks
2024/04/19 BleepingComputer — 2024年3月26日以降において、Palo Alto GlobalProtect ファイアウォール・デバイス約 22,500台に、活発な攻撃で悪用されているコマンド・インジェクションの脆弱性 CVE-2024-3400 が存在する可能性があるという。この脆弱性 CVE-2024-3400 は、GlobalProtect 機能における特定の Palo Alto Networks の PAN-OS バージョンに影響するものであり、未認証の攻撃者に任意のファイル作成をトリガーとするコマンド・インジェクションを許し、その結果として root 権限でのコマンド実行にいたる可能があるという。
Continue reading “Palo Alto の脆弱性 CVE-2024-3400:脆弱なデバイス 22,500 台がインターネット公開”Evil XDR: Researcher Turns Palo Alto Software Into Perfect Malware
2024/04/19 DarkReading — Palo Alto Networks の XDR (Extended Detection and Response) ソフトウェアの狡猾な悪用により、それを悪意のマルチ・ツールのように、攻撃者たちに操られる。4月17日に開催された Black Hat Asia のブリーフィングで、SafeBreach のセキュリティ研究者である Shmuel Cohen は、同社の代表的な製品である Cortex をリバース・エンジニアリングでクラックさせただけでなく、リバースシェルとランサムウェアを展開するために、それを武器化する方法も説明した。
Continue reading “悪魔の XDR:Palo Alto のソフトウェアをマルウェアに変身させる – Black Hat Asia”Hackers Exploit OpenMetadata Flaws to Mine Crypto on Kubernetes
2024/04/18 TheHackerNews — OpenMetadata の深刻な脆弱性を悪用する脅威アクターたちが、Kubernetes のワークロードに不正アクセスし、暗号通貨マイニングに悪用していることが判明した。Microsoft Threat Intelligence チームによると、この脆弱性は、2024年4月の始めから武器化されているという。
Continue reading “OpenMetadata の脆弱性:Kubernetes 上で暗号通貨のマイニングに悪用されている”Bots dominate internet activity, account for nearly half of all traffic
2024/04/18 HelpNetSecurity — 2023 年の全インターネット・トラフィックの、49.6% はボットによるものであり、前年比で 2%増加しているという。Thales の子会社である Imperva が 2013年に 自動トラフィック監視を開始して以来、この数字は最も高い水準となった。悪質なボットが生み出す Web トラフィックの割合は、5年連続で増加し続けており、2022年の 30.2% から 2023年の 32% へと増加し、人間であるユーザーからのトラフィックは 50.4% に減少した。Web サイト/API/アプリケーションなどへの、自動化されたトラフィックが引き起こす攻撃により、年間で数十億ドル (USD) 相当の損害が、ユーザー組織に発生している。
Continue reading “増加し続ける悪質なボット:全インターネット・トラフィックの約半数に到達 – Imperva”Linux Cerber Ransomware Variant Exploits Atlassian Servers
2024/04/17 InfoSecurity — パッチ未適用の Atlassian サーバを悪用する攻撃者たちが、Cerber ランサムウェア (別名:C3RB3R) の Linux 亜種を展開していることが確認された。Atlassian Confluence Data Center/Server に存在する、深刻なセキュリティ脆弱性 CVE-2023-22518 の悪用に成功した攻撃者たちは、認証なしで Confluence をリセットし、管理者アカウントを作成することが可能になる。
Continue reading “Atlassian の脆弱性 CVE-2023-22518:Linux 版 Cerber ランサムウェアの配布に悪用されている”
IoT OT Security News 
You must be logged in to post a comment.