RAT – Page 7 – IoT OT Security News

QakBot の再来：新たなフィッシング・キャンペーンで再び配布されている

Qbot malware returns after this summer’s law enforcement disruption

2023/12/17 BleepingComputer — QakBot マルウェアが、新たなフィッシング・キャンペーンで再び配布されていることが発見された。2023年8月に、Operation Duck Huntと呼ばれる多国籍法執行機関が、QakBot 管理者のサーバにアクセスし、そのインフラを破壊している。それ以来、QakBot の活動は停止していたが、またしても復活したことになる。

Mirai ボットネット Infectedslurs：FXC／QNAP の Router／NVR のゼロデイ脆弱性を悪用

Infectedslurs Botnet Targets QNAP Viostor Nvr Vulnerability

2023/12/17 SecurityAffairs — 2023年11月の時点で Akamai は、InfectedSlurs という新たな Mirai ベースの DDoS ボットネットが、２つのゼロデイ脆弱性を活発に悪用して、Router や NVR (Network Video Recorder) 機器に感染していることを警告していた。このボットネットが研究者たちに発見されたのは 2023年10月だったが、遅くとも 2022年から活動していたと見られている。専門家たちは、これらの２つの脆弱性を個々の製造元に報告していたが、2023年12月に修正プログラムがリリースされる予定だという。 C

JetBrains TeamCity の脆弱性 CVE-2023-42793：ロシアの APT29 が標的にしている

Russian hackers target unpatched JetBrains TeamCity servers

2023/12/14 HelpNetSecurity — 米国／英国／ポーランドのサイバー・セキュリティ機関と法執行当局の警告によると、2023年9月以降においてロシア政府に支援されたハッカー集団が、JetBrains TeamCity の脆弱性 CVE-2023-42793 を悪用しているとのことだ。この攻撃では、インターネットに露出した、パッチ未適用の JetBrains Team Cityサーバが標的にされているという。ロシアの APT29 (別名 CozyBear／Midnight Blizzard) は、ロシア対外情報庁 (SVR) に関連していると考えられ、2013年から活動しているグループである。

GambleForce ハッキング・グループ：Joomla の脆弱性 CVE-2023-23752 などを悪用している

New Threat Actor Uses SQL Injection Attacks to Steal Data From APAC Companies

2023/12/14 SecurityWeek — 脅威ハンティング・インテリジェンス企業 Group-IB のレポートによると、2023年9月以降において新たな脅威アクターが、８カ国 (主に APAC) の 24の組織を標的としているという。この、GambleForce と名付けられたハッキング・グループは、SQL インジェクションを使用し、ギャンブル／旅行／小売／行政などの分野の組織で利用される、Joomla CMS (Content Management System) の脆弱性を悪用して、ユーザー認証データなどの機密情報を盗んできた。

Blacksmith という APT オペレーション：Log4J の脆弱性を Lazarus が狙っている

Operation Blacksmith: Lazarus Exploits Log4J Flaws To Deploy Dlang Malware

2023/12/12 SecurityAffairs — 北朝鮮に関連する APT グループ Lazarus が、Log4j の脆弱性を悪用して、これまで文書化されていなかった RAT (remote access trojans) を展開するという、新たなハッキング・キャンペーンを操っている。Cisco Talos の研究者たちは、このキャンペーンを “Operation Blacksmith” として追跡しているが、この国家に支援される脅威アクターは、少なくとも３種類の新たな DLang ベースのマルウェア・ファミリーを採用している。それらのマルウェアのうち２系統は RAT であり、NineRAT と DLRAT という名前で追跡されている。また、NineRAT は、C2 通信のために Telegram のボットとチャンネルに依存している。

AsyncRAT による侵害を解説：持続性のための機能と正規プロセスの悪用

Unmasking the Menace: Trend Micro Exposes AsyncRAT’s Deception

2023/12/11 SecurityOnline — 複雑に入り組んだサイバー脅威のエコシステムの中で、強烈な存在感を放つ AsyncRAT が新たに登場した。この RAT (Remote Access Tool) は、キーロギングや RDP 侵害などのために多彩な機能を提供することが確認されており、さまざまなサイバー・セキュリティ・プラットフォームで大きな注目を集めている。

Apache Log4j アプリの 30％以上が脆弱なライブラリを使用している – Veracode 調査

Over 30% of Log4J apps use a vulnerable version of the library

2023/12/10 BleepingComputer — Apache Log4j ライブラリの一連の脆弱性に対しては、２年以上も前からパッチがリリースされているが、それらを使用するアプリケーションの約 38% では、依然として脆弱なバージョンが用いられていることが判明した。それらの脆弱性の中には、深刻度が評価最大である、Log4Shell 脆弱性 CVE-2021-44228 も含まれている。

Outlook の脆弱性 CVE-2023-23397：ロシアの APT28 が NATO 攻撃に悪用

Russian military hackers target NATO fast reaction corps

2023/12/07 BleepingComputer — ロシアの APT28 軍事ハッカーは、Microsoft Outlook のゼロデイ脆弱性を利用して、NATO 加盟国の Rapid Deployable Corps をなどを標的としている。ロシアの政府および軍事において、戦略的な諜報活動が重要であると考えられる 14 カ国の、少なくとも 30 の組織に対する３つのキャンペーンで、約20カ月にわたって脆弱性 CVE-2023-23397 が悪用されてきたと、Paro Alto Networks の Unit 42 の研究者たちが指摘している。

Citrix Bleed CVE-2023-4966：全米の病院におけるパッチ適用を保険省が要請

US Health Dept urges hospitals to patch critical Citrix Bleed bug

2023/12/02 BleepingComputer — 今週に、米国の保健社会福祉省 (HHS：Health and Human Services) は複数の病院に対して、攻撃で活発に悪用されている Netscaler の深刻な脆弱性 Citrix Bleed (CVE-2023-4966) にパッチを当てるよう警告を発した。Citrix Bleed を悪用する複数のランサムウェア・グループが、すでにログイン要件や多要素認証保護を回避し、標的のネットワークに侵入している。

RedLine マルウェアと ScrubCrypt 難読化ツール：脅威アクターたちの最新テクニックを解析

RedLine Stealer Malware Deployed Via ScrubCrypt Evasion Tool

2023/11/30 InfoSecurity — RedLine Stealer マルウェアによりユーザー組織を標的にするために、ScrubCrypt という難読化ツールの新バージョンが使用されていると、詐欺センサー・ネットワークの Human Security が警告している。Human の Satori Threat Intelligence Team は、ダークウェブで販売されている ScrubCrypt の新たなビルドを発見した。そして、RedLine Stealer によるアカウント乗っ取りや詐欺において、このビルドの利用が確認されたと述べている。

Booking.com を介したソーシャル・エンジニアリング：巧妙なキルチェーンを解説

Booking.com Customers Scammed in Novel Social Engineering Campaign

2023/11/30 InfoSecurity — Secureworks の新しい調査によると、Booking.com の顧客が斬新なソーシャル・エンジニアリング・キャンペーンの標的となり、サイバー犯罪者にとって大きな利益をもたらしているという。研究者たちによると、このキャンペーンは遅くとも１年前から行われているようだ。最初に、Vidar infostealer を介して、パートナー・ホテルの Booking.com 認証情報にアクセスする。続いて、この情報を悪用して Booking.com の顧客にフィッシング・メールを送り、支払い情報を渡すように騙して、金銭を盗み出すというインシデントが多発している。

Okta のデータ侵害：サポート・システム巧撃の影響が開示された

Okta Discloses Broader Impact Linked to October 2023 Support System Breach

2023/11/29 TheHackerNews — ID サービス・プロバイダの Okta は、2023年10月に発生した同社のサポート・ケース管理システムの侵害に関連して、新たな脅威アクターの活動を検知したことを明らかにした。同社は、「脅威アクターは、Okta の顧客サポート・システムの全ユーザーの名前およびメールアドレスをダウンロードしていた」と、The Hacker News と共有した声明で述べている。

JAXA でデータ侵害：機密情報が危険にさらされた可能性

Japanese Space Agency JAXA hacked in summer cyberattack

2023/11/29 BleepingComputer — 2023年の夏に JAXA (Japan Aerospace Exploration Agency) がサイバー攻撃を受け、宇宙関連技術などを含む機密情報が危険にさらされた可能性があることが判明した。読売新聞が最初に報じたように、このセキュリティ侵害は、今秋に法執行当局が日本の宇宙機関のシステムが危険にさらされていると警告したことで発覚した。

Apache ActiveMQ の脆弱性 CVE-2023-46604：GoTitan ボットネットも巧撃に参戦

GoTitan Botnet Spotted Exploiting Recent Apache ActiveMQ Vulnerability

2023/11/29 TheHackerNews — 先日に公開された、Apache ActiveMQ に影響を及ぼす深刻なセキュリティ欠陥が、脅威アクターたちにより積極的に悪用されている。そこで配布されるマルウェアには、GoTitan という新たな Golang ベースのボットネットや、感染させたホストをリモートかんら操作する、悪意の .NET プログラム PrCtrl Rat などがある。この数週間における一連の攻撃では、Lazarus Group などのハッキング集団により武器化された、リモートコード実行の脆弱性 CVE-2023-46604 (CVSS：10.0) が悪用されている。

北朝鮮発のサプライチェーン攻撃：日本／台湾／米国／カナダに到達している

North Korean Software Supply Chain Attack Hits North America, Asia

2023/11/24 SecurityWeek — 今週に Microsoft が報告したのは、北朝鮮の脅威グループ Diamond Sleet (Zinc) が台湾のソフトウェア会社に侵入し、そのシステムを悪用して、北米とアジアに展開されるデバイスへ向けてマルウェアを配信したことだ。この脅威グループは、以前は Lazarus のサブ・グループとされてきたハッカー集団であり、データ窃盗／スパイ活動／破壊／金銭的利益を目的とする攻撃を行なってきた。そして、サイバー・セキュリティやハイテク企業の従業員に加えて、セキュリティ研究者や侵入テスト担当者も攻撃してきたという。

Mirai ボットネットによる大規模な DDoS 攻撃：Router／NVR のゼロデイ脆弱性を悪用

Mirai-based Botnet Exploiting Zero-Day Bugs in Routers and NVRs for Massive DDoS Attacks

2023/11/23 TheHackerNews — ２つの RCE ゼロデイ脆弱性を悪用して、Mirai ベースの分散型サービス妨害 (DDoS) ボットネット配信し、ルーターやビデオレコーダーを悪意のネットワークに接続させるという、活発なマルウェア・キャンペーンが発生している。Akamai は今週に発表したアドバイザリで、「このペイロードは、ルーターおよび NVR (Network Video Recorder) デバイス存在する、管理者用のデフォルト認証情報を標的として、侵入に成功した後に Mirai の亜種をインストールするものだ」と説明している。

WailingCrab マルウェアの進化：MQTT C2 通信でステルス性が進化

WailingCrab Malware Evolves: Embracing MQTT for Stealthier C2 Communication

2023/11/23 SecurityOnline — 進化を続けるサイバーセキュリティの脅威の中で、マルウェアの運営者たちは絶えず戦術を洗練させ、検知を回避しながらシステムを侵害し続けている。IBM X-Force の研究者たちが明らかにしたのは、2022年12月に発見された WailingCrab マルウェア・ファミリーが、この傾向を例証していることである。具体的に言うと、その C2 通信メカニズムとステルス技術において、絶え間ない進化が示されているという。

Citrix NetScaler のセッションは削除すべき：脆弱性 CVE-2023-4966 対策を提示

Citrix warns admins to kill NetScaler user sessions to block hackers

2023/11/21 BleepingComputer — 11月21日に Citrix が管理者に呼びかけたのは、NetScaler アプライアンスの脆弱性 Citrix Bleed (CVE-2023-4966) に対するパッチを適用した後であっても、追加の対策を講じて脆弱なデバイスを保護する必要があることだ。必要なセキュリティ・アップデートを適用するだけでは不十分であり、以前のユーザー・セッションを全て消去し、アクティブなセッションを全て終了することが推奨されている。現在進行中の Citrix Bleed 悪用の攻撃で認証トークンが盗み出され、パッチを適用した後であっても侵害したデバイスへの不正アクセスが可能という状況を考えると、このステップは、きわめて重要である。

Agent Tesla マルウェアの新たな亜種：Office の脆弱性 CVE-2017-11882 を悪用？

New Agent Tesla Malware Variant Using ZPAQ Compression in Email Attacks

2023/11/21 TheHackerNews — Agent Tesla マルウェアの新たな亜種が、ZPAQ 圧縮形式のルアー・ファイルを介して配信され、複数の電子メール・クライアントと、40近くの Web ブラウザから、データを採取していることが確認された。G Data のマルウェア・アナリストである Anna Lvova は、「ZIP や RAR などの広く使用されているフォーマットと比較して ZPAQ は、より優れた圧縮率とジャーナリング機能を提供する、ファイル圧縮フォーマットである」と、月曜日の分析で述べている。

ロシアの APT29：WinRAR の脆弱性 CVE-2023-38831 を悪用したキャンペーンを展開

Russia’s APT29 Targets Embassies With Ngrok and WinRAR Exploit

2023/11/20 InfoSecurity — ウクライナのセキュリティ研究者たちは、ロシアの大規模な新しいサイバースパイ・キャンペーンを明らかにした。このキャンペーンは、アゼルバイジャンの軍事戦略に関する情報を収集するために設計された可能性があると、彼らは主張している。ウクライナの NDSC (National Security and Defense Council) の新しい報告書によると、この攻撃の背後には APT29 がいたという。同グループは、Cozy Bear／Nobelium などの呼び名でも知られている。

Apache ActiveMQ の脆弱性 CVE-2023-46604：Kinsing マルウェアも侵害に参戦

Kinsing malware exploits Apache ActiveMQ RCE to plant rootkits

2023/11/20 BleepingComputer — Apache ActiveMQ に存在する深刻な脆弱性 CVE-2023-46604 を、Kinsing マルウェアが積極的に悪用し、Linux システムを侵害しようとしている。このリモート・コード実行の脆弱性は、すでに 10月下旬に修正されている。Apache が開示した情報では、この問題により、OpenWire プロトコルのシリアライズされたクラス型を悪用し、任意のシェルコマンドを実行できると説明されている。研究者たちが発見したのは、パッチのリリース後も数千台のサーバーが攻撃にさらされ、HelloKitty や TellYouThePass などのランサムウェア・ギャングが、この機会を利用し始めていることだ。

Zimbra の脆弱性 CVE-2023-37580：ゼロデイの隙間で侵害が発生

Zimbra Zero-Day Exploited to Hack Government Emails

2023/11/16 SecurityWeek — 11月16日 (木) に Google の TAG (Threat Analysis Group) が明らかにしたのは、2023年の初頭に Zimbra Collaboration Suite のゼロデイ脆弱性が悪用され、数カ国の政府組織から電子メールデータが盗まれたことである。この脆弱性 CVE-2023-37580 の存在は、７月中旬に Zimbra が、同社の電子メール・サーバー・ソリューションの顧客に通知した際に判明している。

ALPHV／BlackCat ランサムウェア：マルウェアの配布に Google 広告を悪用

BlackCat Ransomware Gang Targets Businesses Via Google Ads

2023/11/15 InfoSecurity — 悪名高い ALPHV／BlackCat ランサムウェアが、Google 広告を利用してマルウェアを配布していることが確認された。eSentire の Threat Response Unit (TRU) によると、このグループは $100M 規模の MGM Resorts の情報流出や、乳がん患者の機密画像流出事件を引き起こし、さらに攻撃手法をマルバタイジングに拡大しているという。

Apache ActiveMQ の脆弱性 CVE-2023-46604：ステルス攻撃の手法が判明

New PoC Exploit for Apache ActiveMQ Flaw Could Let Attackers Fly Under the Radar

2023/11/15 TheHackerNews — Apache ActiveMQ の深刻なセキュリティ上の脆弱性を悪用し、メモリ上で任意のコードを実行する新しいテクニックを、サイバー・セキュリティ研究者が実証した。このリモートコード実行の脆弱性 CVE-2023-46604 (CVSS：10.0) の悪用に成功した脅威アクターは、任意のシェルコマンドを実行できるという。なお、この Apache の脆弱性は、先月末にリリースされた ActiveMQ のバージョン 5.15.16／5.16.7／5.17.6／5.18.3 で修正されている。

MySQL／Docker にホストされる DDoS マルウェア：Ddostf と OracleIV の動向に注意

MySQL Servers, Docker Hosts Infected With DDoS Malware

2023/11/14 SecurityWeek — MySQL サーバと Docker ホストをターゲットにする脅威アクターが、分散型サービス拒否 (DDoS) 攻撃をするマルウェアを仕込んでいると、AhnLab Security Emergency Response Center の研究者たちが警告している。AhnLab によると、Windows 上の MySQL を標的とする攻撃が、脆弱な MySQL サーバが Ddostf に感染することで頻度を増しているという。Ddostf は、遅くとも 2016年から存在する、中国起源の DDoS 対応ボットネットである。

Docker API のミス・コンフィグレーション：悪意の Docker コンテナ展開で悪用

Python Malware Poses DDoS Threat Via Docker API Misconfiguration

2023/11/13 InfoSecurity — Docker Engine API の一般公開されたインスタンスを標的とする、新たなサイバー脅威が、セキュリティ研究者たちにより発見された。この OracleIV キャンペーンで、ミス・コンフィグレーションを悪用する攻撃者は、”oracleiv_latest “という名前のイメージからビルドされ、ELF (Executable and Linking Format) ファイルとしてコンパイルされる、 Python マルウェアを取り込んだ悪意の Docker コンテナをデプロイしている。この悪意のツールは、分散型サービス拒否 (DDoS) ボット・エージェントとして機能し、DoS 攻撃を行うための各種の攻撃手法を提示している。

Atlassian Confluence の脆弱性：パッチを適用後も Effluence バックドアは生き続ける

Alert: ‘Effluence’ Backdoor Persists Despite Patching Atlassian Confluence Servers

2023/11/10 TheHackerNews — Effluence いうステルス性のバックドアを、サイバー・セキュリティ研究者たちが発見した。先日に公開された Atlassian Confluence Data Center／Server の脆弱性だが、その悪用に成功した攻撃者が、その後に Effluence を展開しているようだ。Aon の Incident Response Services に所属する Stroz Friedberg は、「このマルウェアは永続的なバックドアとして機能し、Confluence にパッチを適用しても修復されない」と、今週の初めに発表したレポートで述べている。

SysAid IT のゼロデイ CVE-2023-47246：Clop ランサムウェアが攻撃を仕掛ける

Zero-Day Alert: Lace Tempest Exploits SysAid IT Support Software Vulnerability

2023/11/09 TheHackerNews — Microsoft の新たな調査結果によると、SysAid IT サポート・ソフトウェアのゼロデイ脆弱性を悪用する限定的な攻撃に、Lace Tempest という脅威アクターが関連しているようだ。Cl0p ランサムウェアを配布する Lace Tempest は、これまでに MOVEit Transfer や PaperCut サーバのゼロデイ脆弱性を悪用してきた。SysAid IT のパス・トラバーサルの脆弱性 CVE-2023-47246 は、オンプレミス・インストール内でコード実行にいたるものだとされ、バージョン 23.3.36 で修正されている。

PyPI 汚染が露見：BlazeStealer マルウェアを隠し持つ悪意の Python パッケージ

Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI

2023/11/08 TheHackerNews — PyPI (Python Package Index) リポジトリに忍び込み、開発者のシステムを侵害して機密情報を盗み出す、悪質な Python パッケージの新しいセットが発見された。 Checkmarx は、「これらのパッケージは、無害な難読化ツールを装っているが、BlazeStealer と呼ばれるマルウェアを隠し持っている」と、The Hacker News と共有したレポートで述べている。

GootLoader マルウェアの新たな亜種：検出回避と横展開を強化している

New GootLoader Malware Variant Evades Detection and Spreads Rapidly

2023/11/07 TheHackerNews — GootBot と呼ばれる GootLoader マルウェアの新たな亜種は、侵害したシステム上で容易に横方向へ移動し、検出を回避することが判明した。IBM X-Force の研究者である Golo Mühr と Ole Villadsen は、「GootLoader グループが、攻撃チェーンの後半ステージに独自のカスタム・ボットを導入した理由は、CobaltStrike や RDP のような C2 用の既製ツールを使用した場合の、検出回避の試みにある。この新しい亜種は軽量かつ効果的なマルウェアであり、攻撃範囲はネットワーク全体へと急速に拡大し、さらなるペイロードの展開へといたる」と述べている。

Google Calendar の悪用が露見：イベント記述を介して C2 通信が行われる

Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel

2023/11/06 TheHackerNews — Google Calendar サービスを悪用して、Command and Control (C2) インフラをホストする PoC エクスプロイトを、複数の脅威アクターが共有していることを、Google 自身が警告している。この、Google Calendar RAT (GCR) と呼ばれるツールは、Gmail アカウントを介して、C2 サーバとして Google Calendar Events を悪用するものだ。そして、2023年6月に GitHub に公開さてから、脅威アクターたちの間で共有されているという。

GNU C Library の脆弱性 CVE-2023-4911：クラウドを狙う脅威アクターが兵器化

‘Looney Tunables’ Glibc Vulnerability Exploited in Cloud Attacks

2023/11/06 SecurityWeek — 最近パッチが適用された GNU C Library (glibc) に存在する深刻な特権昇格の脆弱性が、Kinsing マルウェアの展開やクリプトジャッキング攻撃を操る脅威グループにより、クラウドへの攻撃で悪用されている。Looney Tunablesと名付けられた脆弱性 CVE-2023-4911 は、Debian／Gentoo／Red Hat／Ubuntu などの主要 Linux ディストリビューションに影響を及ぼすことが判明している。この脆弱性により、ローカル攻撃者は昇格した権限で、任意のコードを実行できるという。

Atlassian Confluence の脆弱性 CVE-2023-22518：Cerber ランサムウェアの攻撃を観測

Critical Atlassian Confluence bug exploited in Cerber ransomware attacks

2023/11/06 BleepingComputer — 先日にパッチが適用された、Atlassian Confluence に存在する深刻な認証バイパスの脆弱性を悪用する Cerber ランサムウェアが、被害者のファイルを暗号化している。Atlassian が不適切な認証の脆弱性と説明する CVE-2023-22518 (CVSS：9.1) は、Confluence Data Center／Confluence Server ソフトウェアの全てのバージョンに影響を及ぼす。10月31日 (火) にセキュリティ・アップデートをリリースした Atlassian は、この脆弱性の悪用によりデータが消去される可能性もあるため、脆弱性のある全てのインスタンスに対して、直ちにパッチを当てるよう管理者たちに警告した。

Apache ActiveMQ の脆弱性 CVE-2023-46604：TellYouThePass ランサムウェアが積極的に悪用

TellYouThePass ransomware joins Apache ActiveMQ RCE attacks

2023/11/06 BleepingComputer — インターネットに公開された Apache ActiveMQ サーバに存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2023-46604 が、TellYouThePass ランサムウェア攻撃の標的にもなっている。この脆弱性 CVE-2023-46604 は、スケーラブルなオープンソース・メッセージ・ブローカーである ActiveMQ に存在し、悪用に成功した未認証の攻撃者に、任意のシェルコマンド実行を許してしまうものである。

Okta の失敗：従業員の Google パーソナル・アカウントから情報が漏洩していた

Okta Hack Blamed on Employee Using Personal Google Account on Company Laptop

2023/11/03 SecurityWeek — つい先日に Okta のサポート・システムがハッキングされたが、同社の従業員に支給されたノートパソコンで、個人の Google アカウントへのログインが行われ、認証情報が流出したことが判明した。それにより、複数の Okta 顧客からのデータ窃取が生み出された。Okta のセキュリティ・チーフである David Bradbury が、「サイバーセキュリティ企業である BeyondTrust や Cloudflare を含む、数百の Okta 顧客を巻き込んだ情報漏えいの、最も可能性の高い経路は、社内の過失であった」と事後報告行っている。

Turla の Kazuar バックドア：新たな機能群を Palo Alto Unit 42 が分析

Palo Alto Reveals New Features in Russian APT Turla’s Kazuar Backdoor

2023/11/01 InfoSecurity — Palo Alto Networks によると、Kazuar バックドアの最新バージョンは、これまで想像されていた以上に狡猾な可能性があるという。Kazuar バックドアとは、ロシアのハッキング・グループ Turla により、2023年7月にウクライナの防衛セクターを標的に使用されたものだと、ウクライナの CERT-UA (Ukrainian Computer Emergency and Response Team) が報告している。Palo Alto Unit 42 の研究者たちは、Kazuarの最新の亜種である .NET バックドアにおいて、これまで文書化されていなかった機能を発見した。

Cisco IOS XE の脆弱性 CVE-2023-20198：PoC エクスプロイトが共有された

Exploit released for critical Cisco IOS XE flaw, many hosts still hacked

2023/10/30 BleepingComputer — Cisco IOS XE の深刻な脆弱性 CVE-2023-20198 に対する、エクスプロイト・コードが公開された。Cisco は、IOS XE ソフトウェアの大半のリリースに対してパッチをリリースしているが、インターネット・スキャンによると、何千ものシステムが侵害され続けている。

Hunters International という新たな RaaS：Hive からソースコードを購入したと主張

New Hunters International ransomware possible rebrand of Hive

2023/10/29 BleepingComputer — Hive ランサムウェアが用いていたコードを再利用する、Hunters International という新たな RaaS (Ransomware-as-a-Service) ブランドが登場した。両者を関連性を示唆する仮説は、新しい暗号化プログラムの分析で明らかになった、この２つのランサムウェア・ギャングの間での、複数のコードの重複により裏付けられている。

北朝鮮の Lazarus Group：ソフトウェアの脆弱性を突いた多彩な攻撃を仕掛け続ける

N. Korean Lazarus Group Targets Software Vendor Using Known Flaws

2023/10/27 TheHackerNews — 北朝鮮と連携している Lazarus Group が、知名度の高いソフトウェアに存在する既知の脆弱性を悪用し、無名のソフトウェア・ベンダーを侵害するという、新たなキャンペーンを操っているようだ。Kaspersky が指摘するのは、一連の攻撃により SIGNBT／LPEClient などのマルウェア・ファミリーが展開され、被害者のプロファイリングやペイロードの配信に使用される、ハッキング・ツールとして機能している点だ。

StripedFly という APT：５年間で 100万台以上の Windows／Linux システムに感染

StripedFly malware framework infects 1 million Windows, Linux hosts

2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を５年間にわたり回避し、100万台以上の Windows／Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。

Quasar RAT は DLL Side-Loading で忍び込む：正規の ctfmon／calc から悪意の DLL を起動

Quasar RAT Leverages DLL Side-Loading to Fly Under the Radar

2023/10/23 TheHackerNews — Quasar RAT というオープンソースのリモート・アクセス型トロイの木馬は、DLL のサイドローディングを利用して感染させた Windows ホストから、水面下でデータを吸い上げることが確認されている。Uptycs の研究者である Tejaswini Sandapolla と Karthickkumar Kathiresan は、「この手法は、 Windows 環境内で ctfmon.exe／calc.exe ファイルが実行されるという、固有の信頼を利用している」と先週に発表した報告書で述べ、このマルウェアが攻撃チェーンの一部として、ctfmon.exe／calc.exe に依存していることを詳しく説明した。

Cisco IOS XE の脆弱性 CVE-2023-20198／CVE-2023-20273 にパッチ適用

Cisco patches IOS XE zero-days used to hack over 50,000 devices

2023/10/23 BleepingComputer — Cisco が対処した、２つの脆弱性 CVE-2023-20198／CVE-2023-20273 は、先週にハッカーたちに悪用され、数万台の IOS XE デバイスの侵害を引き起こしたものだ。このリリースは、脅威アクターたちが脆弱性をゼロデイとして悪用し、50,000 台以上の Cisco IOS XE ホストを侵害し、完全に制御した後に行われた。

Cisco IOS XE のインシデント：侵入されたデバイス数が 50,000 から 1,000 台前後に急減？

Number of hacked Cisco IOS XE devices plummets from 50K to hundreds

2023/10/22 BleepingComputer — ハッキングされ、悪意のバックドアを埋め込まれた Cisco IOS XE デバイスの数が、50,000 台以上から僅か数百台へと急減するという不思議な現象が起こっており、その原因について研究者たち首を傾げている。先日に Cisco は、２つのゼロデイ脆弱性 CVE-2023-20198／CVE-2023-20273 を悪用するハッカーが、50,000 万台以上の Cisco IOS XE デバイスをハッキングし、特権ユーザー・アカウントを作成し、悪意のある LUA バックドア・インプラントをインストールしたと警告している。この LUA インプラントにより、脅威アクターたちはデバイスの最高特権レベル 15 のコマンドを、リモートで実行できるようになる。

QR コード・フィッシングは全体の 22%：Quishing という新たな脅威に対抗するには？

QR Codes Used in 22% of Phishing Attacks

2023/10/19 InfoSecurity — Hoxhunt Challenge が明らかにしたのは、フィッシング攻撃に対する従業員の感受性の驚くべき傾向であり、人的リスクの低減におけるエンゲージメントの重要な役割を強調するものだ。10月19日に発表されたのは、９つの業界と 125カ国にまたがる、38の組織で実施された調査の結果であり、2023年10月の最初の週に発生したフィッシング攻撃の 22% において、悪意のペイロード配信のために QR コードが悪用されたと指摘している。

KeePass の偽サイトに御用心：Google Ads と Punycode を用いる巧妙なトリック

Fake KeePass site uses Google Ads and Punycode to push malware

2023/10/19 BleepingComputer — Punycode を用いて KeePass パスワード・マネージャーの公式ドメインを装い、マルウェアを配布する偽 KeePass ダウンロード・サイトをプッシュするという、Google 広告キャンペーンが発見された。Google が戦っている、現在進行中の不正広告キャンペーンとは、検索結果の上に表示されるスポンサー広告を、脅威アクターが写し取るものである。

Cisco の未パッチ・ゼロデイ CVE-2023-20198：40,000 台のハッキングが観測されている

Number of Cisco Devices Hacked via Unpatched Vulnerability Increases to 40,000

2023/10/19 securityweek — 複数のサイバー・セキュリティ企業からの報告によると、IOS XE に存在するパッチ未適用の脆弱性の悪用により、Cisco デバイスの約 40,000 台がハッキングされているという。悪用された脆弱性 CVE-2023-20198 は、IOS XE の Web UI に影響を及ぼす深刻な欠陥であり、リモートの未認証の攻撃者に対して、特権昇格を許す可能性があるされる。現時点においても、Cisco はパッチをリリースしていない。また、遅くとも９月中旬以降に、この脆弱性がゼロデイとして悪用されていると、同社は警告している。

JetBrains TeamCity の脆弱性 CVE-2023-42793：北朝鮮の Lazarus が悪用を開始

North Korean hackers exploit critical TeamCity flaw to breach networks

2023/10/18 BleepingComputer — 北朝鮮のハッキンググループ Lazarus と Andariel が、TeamCity サーバの脆弱性 CVE-2023-42793 を悪用してバックドア型マルウェアを展開し、ソフトウェア・サプライチェーン攻撃を行っているようだと、Microsoft が述べている。TeamCity は、組織がソフトウェア開発インフラの一部として使用する CI/CD (continuous integration and continuous deployment) サーバである。2023年9月に TeamCity は、脆弱性 CVE-2023-42793 (CVSS：9.8/10) を修正し、未認証の攻撃者によるリモートコード実行に対処した。こうして、TeamCity による修正は完了したが、その一方では、ランサムウェア集団などの脅威アクターが、企業ネットワークに侵入するために、この欠陥を悪用し始めている。

Chrome／Edge／Firefox の偽アップデート：狡猾な手口で誘う ClearFake マルウェア

Researchers warn of increased malware delivery via fake browser updates

2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。

WinRAR の脆弱性 CVE-2023-38831 を悪用：ロシアのハッカーたちの攻撃で検出

Pro-Russian Hackers Exploiting Recent WinRAR Vulnerability in New Campaign

2023/10/16 TheHackerNews — 先日に公表された WinRAR アーカイブ・ユーティリティの脆弱性を悪用する、親ロシア派のハッキング・グループが、脆弱なシステムから認証情報を採取するフィッシング・キャンペーンを展開している。先週の Cluster25 のレポートには、「この攻撃は、WinRAR 圧縮ソフトウェアのバージョン 6.23 未満に存在する脆弱性 CVE-2023-38831 を介して、悪意のアーカイブ・ファイルを使用するものだ」と記されている。

ShellBot マルウェア：Hex IP アドレスを用いた新たな回避手法で Linux SSH サーバを狙う

ShellBot Cracks Linux SSH Servers, Debuts New Evasion Tactic

2023/10/14 DarkReading — ShellBot マルウェアを操り Linux SSH サーバを狙うサイバー攻撃者たちが、新たな手法である 16 進数 IP (Hex IP) アドレスを用いて、振る舞いベースの検出を回避し、その活動を隠していることが判明した。AhnLab Security Emergency Response Center (ASEC) の研究者たちによると、この脅威アクターは、従来のドット付き10進数 Command-and-Control URL 形式 (hxxp://39.99.218[.]78) を、Hex IP アドレス形式 (hxxp://0x2763da4e/など) に変換することで、大半の URL ベースの検出シグネチャを回避しているという。