PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取

PyPI package ‘keep’ mistakenly included a password stealer

2022/06/12 BleepingComputer — PyPI パッケージである keep/pyanxdns/api-res-py の一部のバージョンには、悪意の request との依存関係が存在するため、バックドアが含まれることが判明した。たとえば、keep プロジェクトの大半のバージョンでは、HTTP リクエストを行うために正規の Python モジュール requests を使用しているが、keep v.1.2 にはマルウェアである request (s なし) が含まれている。BleepingComputer は、これが単なる誤植なのか自作自演なのか、それとも、メンテナ・アカウントの乗っ取りによるものなのかを確認するため、それぞれのパッケージの作者に問い合わせた。

Continue reading “PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取”

Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された

‘Follina’ Vulnerability Exploited to Deliver Qbot, AsyncRAT, Other Malware

2022/06/09 SecurityWeek — 最近になって公開された Windows の脆弱性を Follina (CVE-2022-30190) 悪用する、複数のマルウェアが配信されているが、現時点においても公式パッチが提供されていない状態である。この脆弱性は、Microsoft Support Diagnostic Tool (MSDT) に関連しており、特別に細工されたドキュメントを介した、リモートコード実行に悪用される可能性がある。

Continue reading “Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された”

BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う

BPFDoor malware uses Solaris vulnerability to get root privileges

2022/05/25 BleepingComputer — Linux および Solaris 向けのステルス型マルウェア BPFdoor の、内部構造に関する新たな研究により、このマルウェアの背後にいる脅威アクターは、標的システム上で持続性を得るために、古い脆弱性を利用していることが明らかになった。BPFDoor はカスタム・バックドアであり、少なくとも5年間において、通信/政府/教育/物流などの組織への攻撃で、ほとんど検出されずに使用されてきた。

Continue reading “BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う”

PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む

Malicious PyPI package opens backdoors on Windows, Linux, and Macs

2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。

Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”

Linux を侵食する XORDDoS ボットネット:活動量が6ヶ月で 254% の増加

The activity of the Linux XorDdos bot increased by 254% over the last six months

2022/05/20 SecurityAffairs — XORDDoS は XOR.DDoS とも呼ばれる Linux ボットネットであり、2014年に脅威フィールドに登場したものである。ゲームや教育の Web サイト攻撃に利用され、悪意のトラフィックが 150 GB/s に達する大規模な DDoS 攻撃を引き起こしたこともある。XORDDoS は、マルウェア活動の難読化/ルールベース検出メカニズムの回避/ハッシュベースの悪意のファイル検索/永続化メカニズム/アンチフォレンジックなどのテクニックを活用している。Microsoft の専門家は、これまでの6ヶ月の間に、XORDDoS に関連する活動は 254% 増であることを検知している。

Continue reading “Linux を侵食する XORDDoS ボットネット:活動量が6ヶ月で 254% の増加”

Microsoft 警告:MSSQL Server を標的とするブルートフォース攻撃が横行している

Microsoft warns of brute-force attacks targeting MSSQL servers

2022/05/18 BleepingComputer — Microsoft は、インターネットに公開され、セキュリティが不十分な Microsoft SQL Server (MSSQL) データベース・サーバーを標的とした、脆弱なパスワードに対するブルートフォース攻撃について警告を発した。このような攻撃で MSSQL サーバーが標的にされるのは、必ずしも初めてのことではないが、最近に観測された今回のキャンペーンの背後にいる脅威アクターは、SQL Server PowerShell コマンドレットを実行するための LOLBin (living-off-the-land binary) として、正規の SQLPS ツールを使用していると、Microsoft は指摘している。

Continue reading “Microsoft 警告:MSSQL Server を標的とするブルートフォース攻撃が横行している”

BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細

BPFdoor: Stealthy Linux malware bypasses firewalls for remote access

2022/05/12 BleepingComputer — 最近になって発見された BPFdoor (Berkeley Packet Filter) というバックドア・マルウェアは、5年以上も気づかれることなく、こっそりと Linux や Solaris システムを標的にしてきた。BPFdoor は、Linux/Unix のバックドアであり、脅威アクターは Linux シェルにリモートで接続し、侵害したデバイスに対する完全なアクセスを得るようになる。このマルウェアは、ポートを開く必要がなく、ファイアウォールで止めることもできず、Web 上のあらゆる IP アドレスからのコマンドに応答できるため、企業スパイなどの継続的な攻撃にとって最適なツールとなっている。

Continue reading “BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細”

Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する

New stealthy Nerbian RAT malware spotted in ongoing attacks

2022/05/11 BleepingComputer — Nerbian RAT と呼ばれる、新たなリモート・アクセス型トロイの木馬が発見された。この RAT は、研究者による検出や分析を回避する機能などの、豊富な機能を備えていることが判明している。この新しいマルウェアの亜種は、Golang で書かれているため、クロス・プラットフォームの 64 Bit 脅威となっており、現時点においてはマクロが混入された文書の添付ファイルを使用した、小規模な電子メール配信キャンペーンにより配布されている。この電子メール・キャンペーンは、Proofpoint の研究者たちが発見したものであり、同社は Nerbian に関するレポートも発表している。

Continue reading “Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する”

F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:bash を狙ったバックドア展開が多発

Hackers exploiting critical F5 BIG-IP flaw to drop backdoors

2022/05/09 BleepingComputer — F5 BIG-IP の、すべてのモジュールの複数のバージョンに影響を与える、深刻な脆弱性の悪用に成功した攻撃者たちが、悪意のペイロードをドロップするという脅威が大量に発生し始めている。先週に F5 は、BIG-IP iControl の REST 認証コンポーネントに影響を及ぼす、脆弱性 CVE-2022-1388 (CVSS:9.8) に対するパッチをリリースした。

Continue reading “F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:bash を狙ったバックドア展開が多発”

新たなマルウェアを検出:Windows イベントログにシェルコードを隠す高度なスティルス性

Malware campaign hides a shellcode into Windows event logs

2022/05/07 SecurityAffairs — 2022年2月に Kaspersky の研究者たちは、Windows イベント ログにシェルコードを隠すという、新しいテクニックを用いた悪意のキャンペーンを発見した。このテクニックにより、ファイル無しのトロイの木馬を隠すことが可能となる。また、専門家たちは、Event Tracing (ETW) と Anti-Malware Scan Interface (AMSI) に関連する、Windows ネイティブ API 関数にパッチを当てることで、その Dropper モジュールも検出を避けていたことに気づいた。

Continue reading “新たなマルウェアを検出:Windows イベントログにシェルコードを隠す高度なスティルス性”

ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている

Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware

2022/05/06 TheHackerNews — PrivateLoader という PPI (pay-per-install) マルウェア・サービスが、NetDooka という極めて高度なフレームワークを配布し、攻撃者が感染させたデバイスを完全にコントロールしている状況が発見された。木曜日に Trend Micro は、「このフレームワークは、PPI サービスを通じて配布され、ローダー/ドロッパー/保護ドライバーだけではなく、独自のネットワーク通信プロトコルを実装した、フル機能の RAT (remote access trojan) といった、複数のツールを含んでいる」と、レポートの中で述べている。

Continue reading “ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている”

JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出

EmoCheck now detects new 64-bit versions of Emotet malware

2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書/Windows ショートカット/ISO ファイル/パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの1つである。これらのフィッシング・メールは、返信用チェーンメール/出荷通知/税務書類/会計報告書/ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。

Continue reading “JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出”

VMware のレポート Modern Bank Heists:金融機関への破壊的な攻撃が増加

Financial leaders grappling with more aggressive and sophisticated attack methods

2022/04/21 HelpNetSecurity — VMware が発行したレポートは、金融業界のトップ CISO やセキュリティ・リーダーを対象に、サイバー犯罪カルテルの行動変化と、金融業界の守りのシフトについてまとめたものだ。このレポートによると、高度なサイバー犯罪組織の活動は、振り込め詐欺にとどまらず、市場戦略や証券口座の乗っ取りや、アイランド・ホッピングなどへと進化を遂げている。したがって、金融機関は破壊的な攻撃の増加に直面し、ランサムウェアの被害についても、過去数年に比べて増えていることが明らかになった。

Continue reading “VMware のレポート Modern Bank Heists:金融機関への破壊的な攻撃が増加”

Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?

Emotet botnet switches to 64-bit modules, increases activity

2022/04/19 BleepingComputer — Emotet マルウェアの配布が急増しているが、現時点のアンチウイルス・エンジンでは少量のみが検出されている、新しいペイロードに間もなく切り替わる可能性もある。2022年3月のことだが、このボットネットを追跡するセキュリティ研究者が、悪意のペイロードを含む電子メールの量が、10倍に増加したことを観察している。Emotet は、ホスト上で持続性をキープし自己増殖する、モジュール型トロイの木馬である。

Continue reading “Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?”

Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ

Qbot malware switches to new Windows Installer infection vector

2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。

Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”

Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す

Google Removes Dangerous Banking Malware From Play Store

2022/04/08 DarkReading — 2021年10月に表面化し、現在も野放しになっている、SharkBot と呼ばれる危険な Android バンキング・トロイの木馬は、Google Play という信頼できるモバイル・アプリ・ストアを通じて、マルウェアを配布しようとする脅威アクターの執念を示す最新の事例である。

この不正プログラムは、発見者が次世代型と表現しているように、銀行口座にログインしている被害者に、感染させた Android 端末を使用させ、多要素認証の制御をバイパスし、銀行口座からひそかに不正送金するものだ。SharkBot は、認証情報やクレジットカード情報を盗むことも可能であり、また、検出の複雑化により発見を遅らせるなどの、複数の機能を搭載している。

Continue reading “Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す”

FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?

FIN7 Hackers Leveraging Password Reuse and Software Supply Chain Attacks

2022/04/05 TheHackerNews — この FIN7 と名付けられたサイバー犯罪グループは、当初からのアクセス・ベクターを多様化させ、ソフトウェア・サプライチェーン侵害や、盗まれた認証情報の利用などを取り入れていることが、新しい調査により明らかになった。インシデント・レスポンス会社である Mandiant は月曜日のレポートで、「複数の組織における FIN7 による活動のあとに続く、データ盗難/ランサムウェア展開/技術的重複から、長年に渡り FIN7 の行為者は、様々なランサムウェア・オペレーションと関連していたことが示唆される」と述べている。

Continue reading “FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?”

VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している

Log4j Attacks Continue Unabated Against VMware Horizon Servers

2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。

今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。

Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”

TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる

TrickBot Malware Abusing MikroTik Routers as Proxies for Command-and-Control

2022/03/17 TheHackerNews — 水曜日に Microsoft は、マルウェア TrickBot について、これまで発見されていなかった、IoT デバイスを仲介した Command and Control (C2) サーバーとの、通信の確立に関する詳細な手法を発表した。Microsoft の Defender for IoT Research Team and Threat Intelligence Center (MSTIC) は、「TrickBotは、C2 サーバーのプロキシ・サーバーとして MikroTik ルーターを使用し、標準以外のポート経由でトラフィックをリダイレクトすることで、標準セキュリティ・システムによる検出から悪質な IP を回避させる、別の永続層を追加している」と述べている。

Continue reading “TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる”

GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染

Hundreds of GoDaddy-hosted sites backdoored in a single day

2022/03/16 BleepingComputer — インターネット・セキュリティ・アナリストたちは、GoDaddy の Managed WordPress サービスでホストされている、WordPress Web サイトへのバックドア感染が急増していることを発見し、すべてのバックドア・ペイロードが同一であることを明らかにした。このインシデントは、MediaTemple/tsoHost/123Reg/Domain Factory/Heart Internet/Host Europe Managed WordPress などの、インターネット・サービス・リセラーに影響を及ぼしている。

Continue reading “GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染”

ウクライナの IT Army を標的とするトロイの木馬が蔓延している

Malware disguised as security tool targets Ukraine’s IT Army

2022/03/10 BleepingComputer — 新しいマルウェア・キャンペーンが、ウクライナの対ロシア・サイバー戦争を支援する人々の意欲に乗じて、パスワードを盗み出すトロイの木馬に感染させようとしている。先月にウクライナ政府は、ロシア企業に対するサイバー攻撃や DDoS 攻撃を行うために、世界中のボランティアで構成された新たな IT Army の創設を発表した。この取り組みにより、たとえその活動が違法と見なされたとしても、ロシアの組織やサイトを標的にする活動に対して、世界中の多くの人々による支援の輪が広がっている。

Continue reading “ウクライナの IT Army を標的とするトロイの木馬が蔓延している”

Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?

Microsoft Finds FoxBlade Malware Hit Ukraine Hours Before Russian Invasion

2022/03/01 TheHackerNews — 月曜日に Microsoft は、ロシアがミサイル攻撃を開始する数時間前に、ウクライナのデジタル・インフラに向けられた攻撃的で破壊的なサイバー攻撃の、新しいラウンドを検出したと表明した。Microsoft Threat Intelligence Center (MSTIC) によると、この攻撃には FoxBlade と呼ばれる新しいマルウェアが使用されており、発見から3時間以内にマルウェア対策サービス Defender に新しいシグネチャを追加し、この攻撃を検出したとのことだ。

Continue reading “Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?”

中国人ハッカーが台湾に対してサプライチェーン攻撃:主な標的は金融機関

Chinese Hackers Target Taiwan’s Financial Trading Sector with Supply Chain Attack

2022/02/22 TheHackerNews — 中国政府に協力することを目的とする APT (Advanced Persistent Threat) グループが、台湾の金融部門に対する組織的なサプライチェーン攻撃に関連していることが判明した。この攻撃は、2021年11月末に最初に開始されたと言われており、その侵入は APT10 として追跡される、脅威アクターによるものだとされている。この APT 10 は、Stone Panda/MenuPass/Bronze Riverside とも呼ばれ、遅くとも 2009年から活動している。

Continue reading “中国人ハッカーが台湾に対してサプライチェーン攻撃:主な標的は金融機関”

25 種類の 悪意の JavaScript ライブラリ:NPM 公式パッケージ・レジストリ

25 Malicious JavaScript Libraries Distributed via Official NPM Package Repository

2022/02/22 TheHackerNews — 悪意を持った 25種類の JavaScript ライブラリが、公式の NPM パッケージ・レジストリに新たに登録され。感染したシステムから Discord トークンや環境変数を盗みだそうとしている。DevOps セキュリティ企業である JFrog は、「問題のライブラリは typosquatting 技術を活用し、colors.js/crypto-js/discord.js/marked/noblox.js といった正規パッケージを装っているが、これらのパッケージは “ビギナー・マルウェア作者の作品” だ」と指摘している。

Continue reading “25 種類の 悪意の JavaScript ライブラリ:NPM 公式パッケージ・レジストリ”

Conti が TrickBot を買収:高ステルス性のマルウェア BazarBackdor へと移行か?

Conti ransomware gang takes over TrickBot malware operation

2022/02/18 BleepingComputer — TrickBot は、4年間にわたって活動を続け、何度もテイクダウンを経験してきたが、そのトップ・メンバーたちはランサムウェア・シンジケート Conti の傘下へと移動し、よりステルス性の高いマルウェア BazarBackdoor への置き換えを計画しているようだ。したがって、TrickBot の名前は消えていくと予測される。TrickBot は、機密情報やパスワードの窃取/Windows ドメインへの侵入/ネットワークへの初期アクセス確立/マルウェア配信などの、多様な悪意のアクティビティのために、複数のモジュールを使用する Windows マルウェアのプラットフォームである。

Continue reading “Conti が TrickBot を買収:高ステルス性のマルウェア BazarBackdor へと移行か?”

Linux 環境を標的とするマルウェア:驚異について VMware が解説

How cybercriminals are using malware to target Linux-based operating systems

2022/02/09 HelpNetSecurity — 最も一般的なクラウド・オペレーティング・システムである Linux は、デジタル・インフラの中核を成しており、マルチ・クラウド環境に侵入する攻撃者のチケットになり始めている。現在のマルウェア対策は、主に Windows ベースの脅威への対応に重点が置かれており、Linux ベースのクラウド・ワークロードを標的とした攻撃に対して脆弱であることが、VMware によって明らかにされている。サイバー犯罪者が Linux ベースの OS を標的とするマルウェアを、どのように使用しているかを詳しく説明した主な調査結果は以下の通りである。

Continue reading “Linux 環境を標的とするマルウェア:驚異について VMware が解説”

Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中

Several Malware Families Using Pay-Per-Install Service to Expand Their Targets

2022/02/08 TheHackerNews — PrivateLoader と呼ばれる Pay-Per-Install (PPI) 型のマルウェア・サービスを詳細に調査した結果、少なくとも 2021年5月以降で、SmokeLoader/RedLine Stealer/Vidar/Raccoon/GCleaner などのマルウェアの配信において、重要な役割を担っていることが明らかになった。

Continue reading “Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中”

ロシアのハッキング・グループ Gamaredon:標的はウクライナの西側政府組織

Russian Gamaredon Hackers Targeted ‘Western Government Entity’ in Ukraine

2022/02/04 TheHackerNews — 先月に、ロシアのハッキング・グループ Gamaredon は、ウクライナで活動する欧米政府機関への侵入を試みましたが、それは両国間の緊張が続く中でのことだった。Palo Alto Networks 脅威インテリジェンス・チーム Unit 42 は、2月3日に公開した新しいレポートの中で、「このフィッシング攻撃は 1月19日に行われたと述べ、別のフィッシングやマルウェアをサポートするために使用されている、彼らのインフラの3つの大規模なクラスターをマッピングした 」と付け加えている。

Continue reading “ロシアのハッキング・グループ Gamaredon:標的はウクライナの西側政府組織”

Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散

Chaes banking trojan hijacks Chrome with malicious extensions

2022/01/26 BleepingComputer — 800 以上の侵害された WordPress Web サイトを含む、大規模なキャンペーンにより、ブラジルの電子銀行ユーザーの認証情報を狙うバンキング・トロイの木馬が拡散している。Avast の研究者たちによると、このキャンペーンで使用されているトロイの木馬は Chaes と呼ばれており、2021年後半から活発に拡散しているとのことだ。

Continue reading “Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散”

Google Drive の警告バナー:悪意のファイルへのアクセスを止める

Google Drive now warns you of suspicious phishing, malware docs

2022/01/25 BleepingComputer — Google は、Google Drive に新たな警告バナーを導入し、脅威アクターがマルウェア配信やフィッシング攻撃に使用する可能性のある、疑わしいファイルについてユーザーに警告を発している。この新しい警告バナーは、2021年10月に開催されたユーザー・カンファレンス Google Cloud Next 2021 で発表されたものだ。Google は、「Google Drive に存在する疑わしいファイルや危険なファイルを、ユーザーが開いた場合に警告バナーを表示して、マルウェア/フィッシング/ランサムウェアなどから保護する」と説明している。

Continue reading “Google Drive の警告バナー:悪意のファイルへのアクセスを止める”

Trickbot の巧妙なインジェクション手法:防御側の検出と分析を困難にする

Trickbot Injections Get Harder to Detect & Analyze

2022/01/25 DarkReading — トロイの木馬 Trickbot の作者は、このマルウェアに複数の防御層を追加し、悪意のオペレーションで用いられるインジェクションの、防御側による検出と分析を困難にしている。これらの機能は、マルウェアの配布目的で Trickbot が再利用される前に設計されていたものであり、オンライン・バンキング詐欺を目的とした攻撃を、想定したものと思われる。

Continue reading “Trickbot の巧妙なインジェクション手法:防御側の検出と分析を困難にする”

Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進

Russian Hackers Heavily Using Malicious Traffic Direction System to Distribute Malware

2022/01/19 TheHackerNews — サブスクリプション・ベースの Crimeware-as-a-Service (CaaS) ソリューションと、クラックされた Cobalt Strike のコピーの連携が確立され、脅威アクターによる侵入後の活動を支えるツールとして提供されていると、研究者たちは疑っている。この種のサービスだと言われる Prometheus の存在は、サイバー・セキュリティ企業である Group-IB が、悪意のソフトウェア配布キャンペーンの詳細を開示した 2021年8月に明らかにされた。

Continue reading “Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進”

Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増

Linux malware sees 35% growth during 2021

2022/01/15 BleepingComputer — Linux デバイスを標的としたマルウェアの感染件数は、2021年に 35%増加しており、その多くは DDoS 攻撃のための IoT デバイスの取り込みが目標となっている。IoT デバイスは多様な Linux ディストリビューションを実行するが、一般的にパワー不足のスマート・デバイスであり、その機能も特定の範囲に制限されている。しかし、それらのリソースが、大規模なグループにまとめられると、十分に保護されたインフラに対して大規模な DDoS 攻撃を仕掛ける能力を持つことになる。

Continue reading “Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増”

サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

2022/01/13 DarkReading — 最近の攻撃キャンペーンには、パブリック・クラウドのインフラを利用して、コモディティ RAT である Nanocore/Netwire/AsyncRAT の亜種を配信し、ユーザーのデータを標的にするものが見られると、研究者たちが報告している。この、10月に発見された攻撃キャンペーンは、攻撃者が自身でインフラをホストせずに目的を達成するために、クラウド利用を増やしていることが明示されていると、Cisco Talos の研究者たちが報告している。

Continue reading “サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち”

Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに

New Mac Malware Samples Underscore Growing Threat

2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。

Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”

米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害

Experts Discover Backdoor Deployed on the U.S. Federal Agency’s Network

2021/12/20 TheHackerNews — 国際的な権利に関連する米国連邦政府の委員会がバックドアの標的となり、古典的な APT 型の操作による内部ネットワーク侵害が生じたと、研究者たちが報告している。チェコのセキュリティ企業である Avast は、先週に発表したレポートの中で、「この攻撃は、ネットワークを完全に可視化し、システムの完全な制御を可能にした。したがって、対象となるネットワークあるいは、他のネットワークの深部に侵入するための、多段階攻撃の最初のステップとして使用することができた」と述べている。

Continue reading “米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害”

Log4j 脆弱性を悪用する侵入者:ベルギー国防総省のネットワークを侵害

Intruders leverage Log4j flaw to breach Belgian Defense Department

2021/12/20 CyberScoop — ベルギー国防省 (Belgian Defense Ministry) のコンピュータ・ネットワークの一部が、Apache Log4j の脆弱性を悪用するサイバー攻撃を受け、木曜日から停止していると、同国の政府関係者が発表した。Olivier Séverin 報道官は VRT ニュースの取材に対して、「この週末は、すべてチームを動員して問題をコントロールし、活動を継続し、パートナーに警告を発している。最優先事項は、ネットワークの運用を継続することであり、引き続き状況を監視していく」と述べている。

Continue reading “Log4j 脆弱性を悪用する侵入者:ベルギー国防総省のネットワークを侵害”

DarkWatchman マルウェアに注意:高スティルス性で Windows Registry に潜む

New stealthy DarkWatchman malware hides in the Windows Registry

2021/12/19 BleepingComputer — DarkWatchman という新しいマルウェアが、サイバー犯罪の世界に出現した。このマルウェアは、C# キーロガーとペアになった、高機能なライトウェイトな JavaScript RAT (Remote Access Trojan) である。Prevailion の研究者のテクニカル・レポートによると、この斬新な RAT は、主にロシアの組織を標的とする、ロシア語を話す脅威アクターにより採用されているとのことだ。

Continue reading “DarkWatchman マルウェアに注意:高スティルス性で Windows Registry に潜む”

Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike

Hackers start pushing malware in worldwide Log4Shell attacks

2021/12/12 BleepingComputer — 脅威アクターたちは、Log4j Log4Shell CVE-2021-44228 の脆弱性をスキャン/悪用し、脆弱なサーバを見つけ出しマルウェアの展開などを行っている。この記事では、Log4j の脆弱性を悪用する既知のペイロード/スキャン/攻撃をまとめている。周知の通り、金曜日の早朝に、Web サーバーやアプリケーションのログ・アクセスに使用される、Java ベースのログ・プラットフォーム Apache Log4j に存在する、「Log4Shell」と呼ばれる深刻なゼロデイ脆弱性のエクスプロイトが公開された。

Continue reading “Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike”

TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い

140,000 Reasons Why Emotet is Piggybacking on TrickBot in its Return from the Dead

2021/12/08 TheHackerNews — この高度なトロイの木馬 TrickBot は、2021年初頭にダウンしたボットネット Emotet を復活させる、新たなエントリー・ポイントになりつつある。その TrickBot も解体が試みられたが、それから1年あまりで、149カ国の14万人の被害者に感染したと推定されている。

Continue reading “TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い”

Microsoft 報告:中国ハッカーが使用する 42 の悪意の Web ドメインが押収された

Microsoft Seizes 42 Malicious Web Domains Used By Chinese Hackers

2021/12/07 TheHackerNews — 米国バージニア州の連邦裁判所が発行した令状に基づき、米国などの28カ国の組織を標的とする、中国のサイバー・スパイ集団が使用していた42個のドメインを押収されたと、Microsoft が発表した。同社は、この悪質なスパイ行為について、Nickel と呼ばれるグループおよび、APT15/Bronze Palace/Ke3Chang/Mirage/Playful Dragon/Vixen Panda と呼ばれているグループの仕業だとしている。この APT アクターは、2012年ごろから活動していると考えられている。

Continue reading “Microsoft 報告:中国ハッカーが使用する 42 の悪意の Web ドメインが押収された”

Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

2021/12/07 BleepingComputer — Emotet による Cobalt Strike Beacon の、ダイレクトなインストールが可能となり、また、ネットワークへのアクセスが可能となり、ランサムウェアによる攻撃が可能となるという、懸念が生じている。Emotet は、悪意の Word/Excel のドキュメントを取り込んだ、スパム・メールを介して拡散していくマルウェアである。

Continue reading “Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?”

悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す

Malicious Excel XLL add-ins push RedLine password-stealing malware

2021/12/05 BleepingComputer — Web サイトの問合せフォームやフォーラムにスパムを送り、パスワードなどの情報を盗むマルウェア RedLine をダウンロード/インストールさせる Excel XLL ファイルが、サイバー犯罪者たちにより配布されている。RedLine は情報窃取型のトロイの木馬であり、Web ブラウザに保存されているクッキー/ユーザー名/パスワード/クレジットカードなどの情報のほか、感染したデバイスから FTP 認証情報やファイルを盗み出す。

Continue reading “悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す”

Nginx に潜む NginRAT:Linux サブシステムを狙う CronRAT とタッグで攻めてくる

New Payment Data Stealing Malware Hides in Nginx Process on Linux Servers

2021/12/03 TheHackerNews — 米国/ドイツ/フランスの eコマース・プラットフォームが、Nginx サーバーを標的とした新種のマルウェアの攻撃を受けている。このマルウェアは、自分の存在を偽装し、セキュリティ・ソリューションによる検出をすり抜けようとする。Sansec の Threat Research チームは「この新種のコードは、ホストの Nginx アプリケーションに自身を注入し、ほとんど目立たないようにする。この寄生コードは、eコマース・サーバーからデータを盗むために使用され、server-side Magecart とも呼ばれている」と述べている。

Continue reading “Nginx に潜む NginRAT:Linux サブシステムを狙う CronRAT とタッグで攻めてくる”

Microsoft Defender の Emotet 誤検知:Office ファイルも開けず Admin たちは大混乱

Microsoft Defender scares admins with Emotet false positives

2021/11/30 BleepingComputer — Microsoft Defender for Endpoint の現状だが、Emotet マルウェアのペイロードがバンドルされている可能性があるという、誤ったタグをファイルに付けているため、Office ドキュメントがオープンできず、一部の実行ファイルの起動がプロックされるという問題が存在している。

Continue reading “Microsoft Defender の Emotet 誤検知:Office ファイルも開けず Admin たちは大混乱”

IKEA のシステムがリプライチェーン・メール攻撃の渦中にある

IKEA email systems hit by ongoing cyberattack

2021/11/26 BleepingComputer — IKEA が、サイバー攻撃の渦中にいる。この攻撃では、盗まれた機密情報をもとに、リプライチェーン・メールにより従業員に対して、内部的なフィッシング攻撃が行われている。リプライチェーン型のメール攻撃とは、脅威アクターが企業からの正当なメールを盗み出し、そのメールに対して悪意のドキュメントなどへのリンクを返信して、受信者のデバイスにマルウェアをインストールするものである。

Continue reading “IKEA のシステムがリプライチェーン・メール攻撃の渦中にある”

Linux CronRAT という強敵:2月31日に設定されたタスクで Magecart 攻撃を実行

New Linux CronRAT hides in cron jobs to evade detection in Magecart attacks

2021/11/25 SecurityAffairs — Sansec のセキュリティ研究者たちは、2月31日の Linux Task Scheduling System (cron) に潜む、CronRAT という名で追跡される、新たな Linux リモート・アクセス・トロイの木馬 (RAT) を発見した。この CronRAT という RATは、タスク名にマルウェアを潜ませた後に、圧縮と base64 デコーディングを何度も繰り返し、悪意のコードを構築していく。

Continue reading “Linux CronRAT という強敵:2月31日に設定されたタスクで Magecart 攻撃を実行”

JavaScript スティルス・マルウェアの新種:Windows PC 侵食する RATDispenser とは?

Stealthy new JavaScript malware infects Windows PCs with RATs

2021/11/24 BleepingComputer -javescript– RATDispenser と名付けられた、ステルス性の高い新しい JavaScript ローダーが、フィッシング攻撃を介して、さまざまなリモート・アクセス・トロイの木馬 (RAT) をデ感染させている。この新しいローダーは、少なくとも8つのマルウェア・ファミリーに対して、配布に関するパートナーシップを確立しており、いずれのケースにおいても情報を盗み出し、ターゲット・デバイスの制御権を脅威アクターに与えることを目的としている。

Continue reading “JavaScript スティルス・マルウェアの新種:Windows PC 侵食する RATDispenser とは?”

CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害

Experts Detail Malicious Code Dropped Using ManageEngine ADSelfService Exploit

2021/11/08 TheHackerNews — Zoho ManageEngine ADSelfService Plus における、セルフサービス・パスワード管理およびシングル・サインオン (SSO) のソリューションだが、先日にパッチが適用された深刻な脆弱性を悪用され、テクノロジー/防衛/ヘルスケア/エネルギー/教育などの業界の、少なくとも9組織が不正な侵入を許してしまった。

Continue reading “CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害”

FBI 警告:企業の合併/買収などを狙うランサムウェア攻撃が増加している

FBI: Ransomware Attacks Exploit Financial Business Events

2021/11/02 SecurityWeek — 先週に FBI は、ランサムウェアの実行者が、企業の合併/買収や株式評価に関する情報を利用して恐喝攻撃を仕掛けていることについて、業界全体の注意を喚起する通知を発出した。ランサムウェアの実行者が、被害者への攻撃を開始する前に、公開されている情報や重要な未公開データを利用して、広範な調査を行うことは周知のとおりである。

Continue reading “FBI 警告:企業の合併/買収などを狙うランサムウェア攻撃が増加している”