Magento stores targeted in massive surge of TrojanOrders attacks
2022/11/16 BleepingComputer — Magento 2 を用いる Web サイトを標的とした、TrojanOrders 攻撃が急増している。脆弱性を悪用して脆弱なサーバを侵害する、少なくとも7つのハッキング・グループが背後にいるとされている。Web サイト・セキュリティ会社である Sansec は、Magento 2 Web サイトの約 40%が、この攻撃の標的になっていると述べている。さらに、感染させたサイトの制御をめぐって、ハッキング・グループが互いに争っていると警告している。
Continue reading “Magento と TrojanOrders 攻撃:脆弱性 CVE-2022-24086 未パッチ・サイトが標的”Chinese hackers target government agencies and defense orgs
2022/11/15 BleepingComputer — Billbug (a.k.a. Thrip/Lotus Blossom/Spring Dragon) として追跡されているサイバースパイ活動家が、アジア諸国の認証局/政府機関/防衛組織を標的としたキャンペーンを展開している。最新の攻撃は3月ころから観測されているが、この脅威アクターは、10年以上前からステルスで活動している、中国の国家支援グループだと思われる。Billbug の活動は、過去6年間 [1, 2, 3] にわたり、複数のサイバー・セキュリティ企業により記録されている。
Continue reading “中国のハッカー集団 Billbug:標的はアジア諸国における政府と防衛の機関”42,000 sites used to trap users in brand impersonation scheme
2022/11/14 BleepingComputer — Fangxiao という名の悪質なグループが、有名ブランドになりすまし、ユーザーをアドウェア・アプリ/出会い系サイト/無料景品宣伝するサイトなどにリダイレクトするための、Web ドメイン 42,000 以上で構成される大規模ネットワークを構築している。 これらの偽ドメインは、Fangxiao 自身のサイトの広告収入や、このグループからトラフィックを購入した顧客の、訪問者数を増やすための大規模スキームの一部として使用されているようだ。
Continue reading “Coca-Cola などの有名ブランドを偽装する 42,000 のサイト:中国由来の大キャンペーン”Phishing drops IceXLoader malware on thousands of home, corporate devices
2022/11/10 BleepingComputer — 現在進行中のフィッシング・キャンペーンにより、数千のホーム/コーポレート・ユーザーが、マルウェア IceXLoader の新バージョンに感染していることが判明している。 この夏に、マルウェア・ローダー IceXLoader の野放し状態での悪用が発見されたが、その後にツールの機能が強化され、多段階の配信チェーンを導入されるという、バージョン 3.3.3 がリリースされている。2022年6月に Fortinet が、この Nim ベースのマルウェアを発見したときのバージョンは 3.0 であり、また、ローダーとしての重要な機能が欠けており、開発中というような印象だったという。
Continue reading “IceXLoader マルウェアの感染が増大:Windows Defender を巧みに回避”New hacking group uses custom ‘Symatic’ Cobalt Strike loaders
2022/11/09 BleepingComputer — これまで知られていなかった Earth Longzhi という中国の APT (Advanced Persistent Threat) ハッキング集団が、東アジア/東南アジア/ウクライナの組織を狙っている。この脅威アクターは、2020年から活動しており、カスタム・バージョンの Cobalt Strike ローダーを用いて、被害者のシステムに持続性のあるバックドアを仕込んでいる。Trend Micro の最新レポートによると、Earth Longzhi の TTP は Earth Baku と同様のものであり、この2つのグループは、国家が支援する APT41 の下部組織であると考えられる。
Continue reading “Cobalt Strike ローダーの新種 Symatic:中国 APT41 と持続性のあるバックドア展開”Advanced RAT AgentTesla Most Prolific Malware in October
2022/11/09 InfoSecurity — Check Point によると、10月に最も広まったマルウェア亜種は、情報スティーラー型の3種類であり、全世界の検出数の約 5分の1 (16%) を占めている。セキュリティ・ベンダーである Check Point は、顧客のネットワーク/エンドポイント/モバイル・デバイスに設置された、数億個の脅威インテリジェンス・センサーから取得したデータに基づき、Global Threat Index for October 2022 を作成した。
Continue reading “Check Point のマルウェア調査:10月の上位は AgentTesla などの情報スティーラー系”Malicious extension lets attackers control Google Chrome remotely
2022/11/08 BleepingComputer — Cloud9 という新しい Chrome ブラウザ・ボットネットが、野放し状態で発見された。このボットネットは、悪意のエクステンションを使用して、オンライン・アカウントの窃盗/キーストロークの記録/広告や悪意の JS コードの注入/被害者のブラウザへの DDoS 攻撃などをしていたという。Cloud9 ブラウザ・ボットネットは、Google Chrome/Microsoft Edge を含む Chromium Web ブラウザ用のリモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) であり、脅威アクターによるリモート・コマンドの実行を可能にする。
Continue reading “Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる”Hackers Using Rogue Versions of KeePass and SolarWinds Software to Distribute RomCom RAT
2022/11/03 TheHackerNews — RomCom RAT のオペレーターは、SolarWinds Network Performance Monitor/KeePass Password Manager/PDF Reader Pro などの、不正なバージョンを悪用するかたちでキャンペーンを進化させ続けている。このオペレーションのターゲットを構成するのは、ウクライナや英国などの英語圏の被害者たちである。BlackBerry Threat Research and Intelligence Team は、「ターゲットの地理的条件と、現在の地政学的状況を考慮すると、RomCom RAT の動機が経済的なサイバー犯罪にあるとは考えにくい」と新たな分析で述べている。
Continue reading “RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心”Threat Actor “OPERA1ER” Steals Millions from Banks and Telcos
2022/11/03 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、フランス語圏の脅威グループによる長期的な APT キャンペーンの存在であり、4年間で銀行や通信事業者から少なくとも $11m を盗み出したグループのことである。Group-IB は、このグループを OPERA1ER と名付けたが、以前には DESKTOP-group や Common Raven など呼ばれていたようだ。Group-IB は、Orange CERT Coordination Center と協力して、レポート OPERA1ER. Playing God without permission を作成した。
Continue reading “OPERA1ER という現金強奪者:4年間で銀行などから $11M 以上を盗み出した”Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App
2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。
Continue reading “SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染”These Dropper Apps On Play Store Targeting Over 200 Banking and Cryptocurrency Wallets
2022/10/28 TheHackerNews — 累計インストール数が 130,000 を超える、悪質なドロッパー型 Android アプリ5個が Google Play ストアで発見された。それらにより、SharkBot と Vultur といったバンキング・トロイの木馬が配布され、金融データの窃取などを含む、端末上での不正行為が生じていることも判明した。
Continue reading “Google Play に5つの危険なドロッパー・アプリ:銀行口座や暗号通貨ウォレットが狙われている”Hackers use Microsoft IIS web server logs to control malware
2022/10/28 BleepingComputer — Microsoft Internet Information Services (IIS) の Web サーバのログを経由して、感染端末のマルウェアを制御するという、これまでにはなかった手法を、ハッキング・グループ Cranefly (UNC3524) が採用しているという。Microsoft IIS は Web サーバであり、Web サイトや Web アプリをホストするために使用されている。また、Microsoft Exchange の Outlook on the Web (OWA) などのソフトウェアでも、管理アプリや Web インターフェイスをホストするために使用されている。
Continue reading “Microsoft IIS ログを悪用する Cranefly マルウェア:3つの文字列で侵害を完遂”Raspberry Robin Operators Selling Cybercriminals Access to Thousands of Endpoints
2022/10/28 TheHackerNews — Raspberry Robin ワームは Access-as-a-Service へと進化し、IcedID/Bumblebee/TrueBot (Silence)/Clop などの、他のペイロード展開に採用されつつある。Microsoft Security Threat Intelligence Center (MSTIC) は、「このマルウェアは、複雑で相互接続されたマルウェア・エコシステムの一部であり、従来からの USB ドライブ拡散を超えた、多様な感染方式を実現している」と詳述している。Raspberry Robin は、USB ドライブを介して Windows システムに拡散するマルウェアであり、感染させた QNAP ストレージ・サーバを Command and Control に使用することから、 サイバー・セキュリティ企業 Red Canary は QNAP Worm とも呼んでいる。
Continue reading “Access-as-a-Service へと進化した Raspberry Robin:Clop ランサムウェアの展開を推進か?”New Cryptojacking Campaign Targeting Vulnerable Docker and Kubernetes Instances
2022/10/27 TheHackerNews — 脆弱な Docker/Kubernetes インフラを標的とし、暗号通貨の不正マイニングを行う、新たなクリプトジャッキング・キャンペーンが発覚した。このアクティビティを Kiss-a-dog と名付けた CrowdStrike は、その Command and Control インフラについて、ミスコンフィグレーションのある Docker/Kubernetes インスタンスへの攻撃で知られる、TeamTNT などのグループとの重複があることを明らかにした。この、kiss.a-dog[.]top というドメインに由来する侵入は、2022年9月に発見されており、Base64 エンコードされた Python コマンドを用いて、侵入したコンテナでシェル・スクリプト・ペイロードを起動するものである。
Continue reading “Docker/Kubernetes の脆弱なインスタンスを狙う:Kiss-a-dog クリプトジャッキング”Notorious ‘BestBuy’ hacker arraigned for running dark web market
2022/10/26 BleepingComputer — 今は亡きダークウェブ・マーケットプレイス The Real Deal を運営していた疑いで、この水曜日に、英国のハッカーが米国司法省に喚問された。Daniel Kaye 被告 34歳 (別名:Bestbuy/Spdrman/Popopret/UserL0ser) は、The Real Deal が立ち上げられた 2015年初頭から、閉鎖された 2016年11月までの間に、違法なサービス市場を運営したとされる。
Continue reading “BestBuy という名のダークウェブ運営者が逮捕:米政府の機密データなどを販売”Thousands of GitHub repositories deliver fake PoC exploits with malware
2022/10/23 BleepingComputer — Leiden Institute of Advanced Computer Science の研究者たちは、様々な脆弱性に対する偽の PoC エクスプロイトを提供する、GitHub 上の数千のリポジトリを発見した。それらのリポジトリには、マルウェアも含まれていたという。GitHub は最大のコード・ホスティング・プラットフォームの1つである。そして、研究者たちが GitHub を用いて PoC エクスプロイトを公開し、セキュリティ・コミュニティが脆弱性の修正を検証することで、脆弱性の影響と範囲を判断できるようにしている。
Continue reading “GitHub に潜む偽 PoC エクスプロイト:騙されてマルウェアを配信される確率は 10.3%”Emotet Botnet Distributing Self-Unlocking Password-Protected RAR Files to Drop Malware
2022/10/21 TheHackerNews — Emotet ボットネットの新しいマルスパム・キャンペーンは、パスワードで保護されたアーカイブ・ファイルを利用して、感染させたシステムに CoinMiner と Quasar RAT をドロップするものだ。Trustwave SpiderLabs の研究者たちが検出した攻撃チェーンの手口では、請求書を装う ZIP ファイルのルアーに、ネストした自己解凍 (SFX) アーカイブが含まれており、最初のアーカイブを媒介として機能させ、2番目のアーカイブを起動することが判明している。
Continue reading “Emotet の新たなマルスパム・キャンペーン:CoinMiner と Quasar RAT のドロップが始まった”Black Basta Ransomware Hackers Infiltrate Networks via Qakbot to Deploy Brute Ratel C4
2022/10/17 TheHackerNews — Black Basta ランサムウェア・ファミリーの背後にいる脅威アクターは、 Qakbotトロイの木馬を用いる最近の攻撃において、第2段階のペイロードとして Brute Ratel C4フレームワークを展開していることが確認された。Trend Micro は、先週に発表した技術分析で、最新の敵対的シミュレーション・ソフトウェア Brute Ratel C4 が、Qakbot 感染を通じて配信される初めてのケースだと述べている。この侵入は、兵器化された ZIP アーカイブ・リンクを含むフィッシング・メールを介して達成され、横方向への移動には Cobalt Strike が使用されている。
Continue reading “Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開”New PHP Version of Ducktail Malware Hijacking Facebook Business Accounts
2022/10/14 TheHackerNews — Zscaler の最新の調査結果によると、Ducktail と呼ばれる情報窃取マルウェアの PHP バージョンが、クラックされた正規のアプリやゲーム用のインストーラーの形で、野放し状態で配布されていることが発覚した。Zscaler ThreatLabz の研究者である Tarun Dewan と Stuti Chaturvedi は、「旧バージョン (.NetCore) と同様に、最新バージョン (PHP) も、保存したブラウザ認証情報/Facebook アカウント情報などの、機密情報の流出を目的としている」と述べている。
Continue reading “Ducktail の PHP バージョン:Facebook ビジネス・アカウントの窃取を狙っている”Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers
2022/10/12 TheHackerNews — Poloniumとして追跡されている脅威アクターが、2021年9月以降に7種類のカスタム・バックドアを用いてイスラエルの団体を狙うという、十数件の高度な標的型攻撃に関連していることが判明した。サイバー・セキュリティ企業の ESET は、エンジニアリング/IT/法律/通信/メディア/保険/ソーシャルサービスなどの、さまざまな垂直方向の組織への侵入があったと述べている。
Continue reading “Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出”Experts analyzed the evolution of the Emotet supply chain
2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。
Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”Hackers behind IcedID malware attacks diversify delivery tactics
2022/10/10 BleepingComputer — IcedID マルウェアによるフィッシング・キャンペーンの背後にいる脅威アクターは、さまざまなターゲットに対して、最も効果的な攻撃を仕掛けるために、多種多様な配布方法を利用していると思われる。2022年9月に、Team Cymru の研究者たちは、複数のキャンペーンを観測したが、いずれも微妙に異なる感染経路を辿っており、有効性を評価するための戦術が取られていると考えているようだ。
Continue reading “IcedID マルウェア運用に変化:複数の配信経路により効果を測定している?”Callback phishing attacks evolve their social engineering tactics
2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬/スパイウェア/ランサムウェアなどの、追加のペイロードがドロップされる。
Continue reading “BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング”Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices
2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN/電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集/流出させるコマンドを、受信/実行する機能を持つ高度なスパイウェアとして機能するとのことだ。
Continue reading “RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う”Bumblebee Malware Loader’s Payloads Significantly Vary by Victim System
2022/10/04 DarkReading — 3月に表面化した、きわめて悪質なマルウェア・ローダー Bumblebee の最新分析により、企業ネットワークの一部としてのシステム向けのペイロードと、スタンドアロン・システム向けのペイロードでは、その種類が大きく異なることが判明した。たとえば、Active Directory サーバを共有しているような、ドメインの一部として認識されたシステムの場合には、Cobalt Strike のような高度なポスト・エクスプロイト・ツールを実行するよう、このマルウェアはプログラムされている。
Continue reading “Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する”Fake Microsoft Exchange ProxyNotShell exploits for sale on GitHub
2022/10/03 BleepingComputer — 詐欺師たちがセキュリティ研究者になりすまし、新たに発見された Microsoft Exchange のゼロデイ脆弱性に対する、偽の PoC エクスプロイト ProxyNotShell を販売しているようだ。先週に、ベトナムのサイバー・セキュリティ企業 GTSC は、Microsoft Exchange の2つの新しいゼロデイ脆弱性を悪用した攻撃を、一部のユーザーが受けていたことを明らかにした。研究者たちは、Trend Micro の Zero Day Initiative と共同で、この脆弱性を Microsoft に対して非公開で報告した。Microsoft は、この脆弱性が攻撃に悪用されていることを確認し、セキュリティ更新プログラムをリリースするスケジュールを早めるとしている。
Continue reading “Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている”Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers
2022/10/01 TheHackerNews — 北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されている。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっている。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙/防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となる。
Continue reading “Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用”Dangerous New Attack Technique Compromising VMware ESXi Hypervisors
2022/09/30 DarkReading — ESXi Hypervisors に複数の永続的バックドアをインストールする、厄介な新手法を用いる中国ベースの脅威者を、Mandiant が検出したことを受け、9月29日に VMware は新しい緩和策とガイダンスを、vSphere 仮想化技術の顧客向けに緊急発表した。この、Mandiant が確認した手法は、UNC3886 として追跡されている脅威アクターが、悪意の vSphere Installation Bundles (VIB) を用いて、標的システムにマルウェアを忍び込ませるというものだ。
Continue reading “VMware ESXi を侵害する危険な攻撃:VIB 署名レベルの弱点をつく高度な手法”WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation
2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。
Continue reading “Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出”Stealthy hackers target military and weapons contractors in recent attack
2022/09/28 BleepingComputer — セキュリティ研究者たちが発見したのは、F-35 Lightning II 戦闘機部品サプライヤーなどの、兵器製造に携わる複数の軍事関連業者を標的とした新たなキャンペーンである。この高度な標的型攻撃は、従業員にフィッシング・メールを送信することから始まり、検知回避システムを用いた、永続性を確保する感染にいたるまでの、多段階で構成される。このキャンペーンは、安全な C2 インフラと、PowerShell ステージャによる、何重もの難読化という点で際立っている。
Continue reading “軍事産業への PowerShell 攻撃:洗練された7段階の実行チェーンとスティルス性”Researchers Warn of New Go-based Malware Targeting Windows and Linux Systems
2022/09/28 TheHackerNews — この数カ月にわたり、Chaos と呼ばれる多機能な Go ベースの新たなマルウェアが、Windows/Linux/SOHO ルーター/企業サーバーなどをボットネットに取り込み、その勢力を急速に拡大している状況が明らかになった。Lumen の Black Lotus Labs の研究者たちは、「Chaos の機能には、ホスト環境の列挙/リモートシェル・コマンドの実行/追加モジュールのロード/SSH 秘密鍵の窃盗/ブルートフォースによる自動伝播などに加えて、DDoS 攻撃の設定も含まれている」 と、The Hacker News に述べている。
Continue reading “Chaos は Golang ベースのマルウェア:複数の CPU にまたがり Windows/Linux に感染”New NullMixer Malware Campaign Stealing Users’ Payment Data and Credentials
2022/09/27 TheHackerNews — このサイバー犯罪者は、クラックされた海賊版ソフトウェアを探そうとするユーザーを、武器化されたインストーラーをホストする不正な Web サイトに誘導してシステムを侵害し、NullMixer と呼ばれるマルウェアを展開している。月曜日のレポートで Kaspersky は、「ユーザーが NullMixer を解凍/実行すると、感染したマシンに多数のマルウェア・ファイルがドロップされる。NullMixer は、バックドア/バンカー/ダウンローダー/スパイウェアなどのような、さまざまな悪意のバイナリをドロップして、マシンに感染させる」と述べている。
Continue reading “NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布”Critical Magento vulnerability targeted in new surge of attacks
2022/09/22 BleepingComputer — Magento 2 に存在する脆弱性 CVE-2022-24086 を狙う、ハッキング行為が急増している。Magento は、Adobe が所有するオープンソースの eコマースプラットフォームであり、全世界の約17万件のオンライン・ショッピング・サイトで利用されている。この脆弱性 CVE-2022-24086 は、2022年2月に発見され、パッチが適用されているが、すでに侵害に成功した脅威アクターにより、野放状態で悪用されている。その当時に、CISA はサイト管理者に対して、提供されたセキュリティ更新プログラムを適用するよう、アラートで促していた。
Continue reading “Adobe Magento 2 の深刻な脆弱性 CVE-2022-24086:大規模な攻撃が発生”ShadowPad-Associated Hackers Targeted Asian Governments
2022/09/13 InfoSecurity — リモートアクセス型トロイの木馬 (RAT) である ShadowPad だが、以前から関連していた脅威グループが新たなツールセットを採用し、アジア各国の政府機関や国営企業に対してキャンペーンを展開している。 このニュースは、9月13日の未明に Symantec の Threat Hunter Team が発表した、脅威に関する新たなアドバイザリがソースとなっている。
Continue reading “ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている”New Worok cyber-espionage group targets governments, high-profile firms
2022/09/06 BleepingComputer — 既存の悪意のツールとカスタム・ツールを組み合わせて、2020年頃からアジアの政府や著名な企業をハッキングしている、新たなサイバースパイ・グループが発見された。最初に発見した ESET セキュリティ研究者たちにより、Worok として名付けられ追跡されている脅威グループは、アフリカと中東も攻撃の標的としている。これまでに Worok は、通信/銀行/海運/エネルギーなどの企業や、軍事/政府/公共部門の事業体に対する攻撃に、関与してきたとされる。
Continue reading “Worok というサイバースパイ・グループ が登場:アジアの政府機関や著名企業を攻撃”Moobot botnet is coming for your unpatched D-Link router
2022/09/06 BleepingComputer — MooBot として知られる Mirai 亜種のマルウェア・ボットネットが、8月初旬から始まった新たな攻撃に再登場し、新旧のエクスプロイトを取り混ぜて、脆弱な D-Link ルーターをターゲットにしている。2021年12月に Fortinet のアナリストが発見した MooBot は、Hikvision カメラの脆弱性を標的にして急速に拡散し、多数のデバイスを DDoS (分散型サービス拒否) に陥らせてきた。
Continue reading “D-Link を狙う Moobot ボットネットは Mirai 亜種:新旧の脆弱性を取り混ぜて攻撃”Minecraft is hackers’ favorite game title for hiding malware
2022/09/06 BleepingComputer — セキュリティ研究者たちが気づいたのは、サイバー犯罪者に最も酷使されているゲームタイトルが Minecraft であり、それを使って無防備なプレイヤーを誘い出し、マルウェアをインストールさせているという実態である。2021年7月〜2022年7月に Kaspersky が収集した統計データによると、ゲームブランドの悪用により拡散する悪質ファイルのうち、Minecraft 関連ファイルが 25%を占め、それ以降に FIFA (11%)/Roblox (9.5%)/Far Cry (9.4%)/Call of Duty (9%) と続いている。
Continue reading “Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?”SharkBot malware sneaks back on Google Play to steal your logins
2022/09/04 BleepingComputer — マルウェア SharkBot の新バージョン/アップグレード版が Google Play ストアに復活し、数万回インストールされているアプリを介して、Android ユーザーのバンキング・ログイン情報を狙っていることが判明した。 このマルウェアは2つの Android アプリに存在し、Google の自動審査に提出された時点では、悪意のコードは含まれていなかった。ただし、ユーザーがドロッパー・アプリをインストールし起動した後に発生するアップデートで、SharkBot が追加されていたという。
Continue reading “Google Play に侵入/潜伏する SharkBot:狙いはバンキング・ログイン情報の窃取”Infra Used in Cisco Hack Also Targeted Workforce Management Solution
2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。
Continue reading “Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた”Hackers adopt Sliver toolkit as a Cobalt Strike alternative
2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット/動作/コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。
Continue reading “Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?”Escanor Malware delivered in Weaponized Microsoft Office Documents
2022/08/22 SecurityAffairs — ロサンゼルスを拠点にして Fortune 500 を保護する、グローバル・サイバー・セキュリティ企業である Resecurity は、新しいRAT (Remote Administration Tool) である Escanor が、ダークウェブや Telegram などで宣伝されていることを確認している。この攻撃者は、Android/PC ベースの RAT に加えて、HVNC (HiddenVNC)/Exploit Builder を提供し、Microsoft Office/Adobe PDF ドキュメントを兵器化することで、悪意のコードを配信している。
Continue reading “Microsoft Office/Adobe PDF ドキュメントの兵器化:Escanor RAT は機能満載”WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware
2022/08/20 BleepingComputer — WordPress サイトをハッキングし、偽の Cloudflare DDoS 保護スクリーンを表示するというキャンペーンが展開されている。それに騙されると、マルウェアが配布され、パスワード窃盗型トロイの木馬である NetSupport RAT/Raccoon Stealer のインストールにいたるという。DDoS (Distributed Denial of Service) 保護スクリーンは、インターネット上では一般的なものであり、不要なトラフィックでサイトを圧迫する、不正なリクエストを ping 送信するボットから身を守るものである。
Continue reading “WordPress ハッキングに御用心:偽の Cloudflare DDoS 警告がマルウェアを配布”SOVA Android Banking Trojan Returns With New Capabilities and Targets
2022/08/15 TheHackerNews — Android バンキング型トロイの木馬 SOVA は、バンキング・アプリ/仮想通貨取引/ウォレットなどの、200以上のモバイルアプリを標的とするために、積極的にアップグレードが続けられている。そして、ターゲットとなるアプリの数は、開発当初の 90から増加している。
Continue reading “Android バンキング型トロイの木馬 SOVA:新たな機能でターゲットを拡大”New Woody RAT used in attacks aimed at Russian entities
2022/08/04 SecurityAffairs — Malwarebytes の研究者たちは、Woody RAT と呼ばれる新たなリモート・アクセス型トロイの木馬で、ロシアの組織を標的とする未知の脅威アクターを観察した。攻撃者は、Follina Windows の欠陥 (CVE-2022-30190) を悪用するアーカイブ・ファイルや Microsoft Office ドキュメントを用いて、マルウェアを配信していた。
Continue reading “Woody RAT というリモートアクセス・トロイの木馬が登場:標的はロシアの組織”These 28+ Android Apps with 10 Million Downloads from the Play Store Contain Malware
2022/07/27 TheHackerNews — Google Play Store においてアドウェアを配布する、累積ダウンロード数が 1000万近くに達する 30種もの悪質な Android アプリが発見された。火曜日の Dr.Web のポストには、「いずれのアドウェアも、画像編集ソフト/仮想キーボード/システムツール/ユーティリティ/通話アプリ/壁紙収集アプリなど、様々なプログラムに組み込まれていた」と記されている。
Continue reading “Google Play Store 上の悪質アプリ 28種:マルウェアによる不正料金の請求など”Microsoft: IIS extensions increasingly used as Exchange backdoors
2022/07/26 BleepingComputer — Microsoft によると、IIS Web サーバーを狙う悪意のエクステンションは、Web シェルと比較して検出率が低いため、パッチの適用されていない Exchange サーバーをバックドアにしようとする攻撃者にとって、格好の標的になりつつあるようだ。これらの悪意のエクステンションは、侵害されたサーバーの奥深くに隠されており、多くの場合において、正規のモジュールと同じ場所にインストールされ、同じ構造を使用している。したがって、検出が非常に難しく、攻撃者に対して完全な永続化メカニズムを提供してしまう。
Continue reading “Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている”PLC and HMI Password Cracking Tools Deliver Malware
2022/07/18 SecurityWeek — HMI/PLC などの産業用製品のパスワードを解読できると主張するツールに、ゼロデイ脆弱性が発見され、これらのツールを使ったマルウェア配信が、脅威アクターにより行われていることが判明した。組織内の産業用システムを担当するエンジニアが、ある日、突然に、更新が必要な PLC/HMI や、プロジェクト・ファイルがパスワードで保護され、ログインできないとうい状況に直面することがある (パスワードの失念や、退職者による設定)。
Continue reading “PLC/HMI パスワード・クラッキング・ツールによるマルウェア配信とは?”Attackers scan 1.6 million WordPress sites for vulnerable plugin
2022/07/15 BleepingComputer — セキュリティ研究者たちは、160万近い WordPress サイトをスキャンし、認証なしでファイルをアップロードする脆弱なプラグインの存在を探し出そうとする、大規模なキャンペーンを検出した。この攻撃者は、Kaswara Modern WPBakery Page Builderをターゲットにしているが、真の狙いは深刻な脆弱性 CVE-2021-24284 に対するパッチを受ける前に、作者により放棄されたサイトへの攻撃にある。
Continue reading “WordPress Plugin の脆弱性:160万のサイトをスキャンするキャンペーンが見つかった”Hackers Exploiting Follina Bug to Deploy Rozena Backdoor
2022/07/09 TheHackerNews — 新たに観測されたフィッシング・キャンペーンは、先日に公開された脆弱性 Follina (CVE-2022-30190) を悪用し、これまで文書化されていなかったバックドアを、Windows システム上に配布するものだった。今週に発表したレポートで、Fortinet FortiGuard Labs の 研究者である Cara Lin は、「Rozena は、攻撃者のマシンに戻ってリモートシェル接続を注入することが可能なバックドア・マルウェアだ」と述べている。
Continue reading “Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!”Russian Cybercrime Trickbot Group is systematically attacking Ukraine
2022/07/08 SecurityAffairs — IBM の研究者たちは、ロシアを拠点とするサイバー犯罪者 Trickbot グループ (別名 Wizard Spider/DEV-0193/ITG23) が、ウクライナ侵攻以来、組織的に攻撃を続けてきたことを示す証拠を収集した。また、2022年2月以降においては、Conti ランサムウェア・グループが TrickBot マルウェアの運用を引き継ぎ、さらに BazarBackdoor マルウェアへと置き換えることを計画していた。
Continue reading “Trickbot のシステマチックな活動:ロシアによるウクライナ攻撃で観測”
IoT OT Security News 
You must be logged in to post a comment.