Malware Attack on CircleCI Engineer’s Laptop Leads to Recent Security Incident
2023/01/14 TheHackerNews — 2023年1月13日に DevOps プラットフォームの CircleCI が明らかにしたのは、昨年12月に未知の脅威アクターが従業員のラップトップを侵害し、マルウェアを用いて 2FA 認証に裏付けられた認証情報を盗み出し、同社システムに侵入しデータを侵害したことだ。CI/CD サービスの CircleCI によると、この高度な攻撃は、2022年12月16日に行われ、そこで用いられたマルウェアを、同社のウイルス対策ソフトウェアは検出できなかったとのことだ。
Continue reading “CircleCI のデータ侵害:セッションクッキーが窃取され 2FA が突破された”Brave browser’s new Snowflake feature help bypass Tor blocks
2023/01/14 BleepingComputer — 昨日にリリースされた Brave Browser 1.47 には、Snowflake エクステンションが追加されている。この機能により、自分のデバイスを Tor に接続するためのプロキシに設定し、検閲対象国に在住するユーザーを支援できるようになった。すでに Brave は、2022年9月にリリースされた バージョン 1.44 で、Private Windows with Tor の Tor Bridges に対応しており、同社独自のリソースを使って、検閲を回避するユーザーを支援してきた。
Continue reading “Brave ブラウザの新機能 Snowflake:Tor へつなぐ検閲回避のフリーウェイだ”Google Chrome to let you disable or enable extensions per site
2023/01/14 BleepingComputer — Chrome のエクステンションを、サイト単位で無効/有効化できる新機能を、Google が開発している。Chrome Web ストアでは、数多くのエクステンションが提供されている。しかし、一部のエクステンションには、Web サイトで不具合を引き起こす可能性あり、また、広告ブロッカーのようなエクステンションを許可しないサイトもあるという。
Continue reading “Chrome エクステンションに新機能:サイトごとの ON/OFF に取り組み始めた”PoC exploits released for critical bugs in popular WordPress plugins
2023/01/13 BleepingComputer — WordPress が公開したのは、数万インストールされている人気プラグイン3種類に存在する、深刻な SQL インジェクションの脆弱性と、その対策である。SQLインジェクション脆弱性とは、Web サイトのセキュリティ上の欠陥のことを指す。その悪用に成功した攻撃者は、フォームフィールドや URL 経由でデータを入力し、正規のデータベース・クエリーを変更することで、データの改ざんやなどを可能にする。SQL インジェクションの脆弱性を持つ Web サイトのコードに応じて、サイト・データの修正や削除/悪意のスクリプト注入/Web サイトへのフルアクセスなどにいたる恐れがある。
Continue reading “WordPress プラグインの脆弱性と PoC エクスプロイト:SQLi による深刻な影響”Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar
2023/01/13 TheHackerNews — StrRAT/Ratty などのリモート・アクセス型トロイの木馬は、ポリグロット と悪意の Java アーカイブ (JAR) ファイルの組み合わせで配布されており、検知を回避する新しい方法を、脅威アクターが継続的に発見していることを、改めて浮き彫りにしている。Deep Instinct のセキュリティ研究者 Simon Kenin のレポートには、「攻撃者たちは、JAR ファイル形式を適切に検証できないセキュリティ・ソリューションを混乱させるために、ポリグロット手法を使用している」と述べている。
Continue reading “StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される”Russian Hackers Try to Bypass ChatGPT’s Restrictions For Malicious Purposes
2023/01/13 InfoSecurity — ロシアのサイバー犯罪者たちが、OpenAI の API 制限をバイパスして ChatGPT チャットボット にアクセスし、不正なアクションを試みる様子が、ダークウェブ・フォーラムで確認されている。ある脅威アクターたちは、OpenAI の無料アカウント制限を回避するために、アップグレード・ユーザーとして支払いに盗んだカードを使用する方法を議論していた。また、OpenAI の地理的なコントロールを回避する方法についてブログを投稿した者や、半合法的なオンライン SMS サービスを使って ChatGPT に登録するチュートリアルを作成した者もいる。
Continue reading “ChatGPT の悪用が始まる:人工知能の倫理をバイパスするロシアのハッカーたち”Google Chrome ‘SymStealer’ Vulnerability Could Affect 2.5 Billion Users
2023/01/12 InfoSecurity — 2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性がある。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開した。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だという。
Continue reading “Google Chrome の脆弱性 SymStealer は危険:Ver 107 以前の 25億人に影響の可能性”Telegram Bot Abuse For Phishing Increased By 800% in 2022
2023/01/12 InfoSecurity — Telegram Bot からのフィッシング情報の流出先として悪用が、2021年〜2022年の間に 800% も増加した。この新データは、2023年1月12日に Cofense のセキュリティ研究者たちが、それらに関する最新データをレポートとして発表した。この伸びを調査した結果は、資格情報をフィッシングする際の配信方法として、HTMLの添付ファイルを使用する戦術が、ますます一般的になっていることに関連している。
Continue reading “Telegram Bot とフィッシング:2022年の悪用は前年比で 800% 増”Microsoft: Cuba ransomware hacking Exchange servers via OWASSRF flaw
2023/01/12 BleepingComputer — Microsoft によると、Cuba ランサムウェア/ギャングも、Exchange サーバに存在する深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用して、Play ランサムウェア攻撃と同様に侵害を繰り返しているようだ。 先日には、この脆弱性 CVE-2022-41080 を悪用する Play ランサムウェアが、 OWASSRF ゼロデイと呼ばれる攻撃により、ProxyNotShell URL リライト緩和策をバイパスした後に、Rackspace ネットワーク上のパッチ未適用の Microsoft Exchange サーバを侵害している。
Continue reading “Cuba ランサムウェアも Exchange 侵害に参戦:Microsoft が警告する OWASSRF 欠陥とは?”IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours
2023/01/12 TheHackerNews — 先日に発生した IcedID マルウェア攻撃では、イニシャル・アクセスから 24時間以内に、無名ターゲットの Active Directory ドメインが侵害されていたという。今週に発表されたレポートで Cybereason の研究者たちは、「この脅威アクターは攻撃の最中に、偵察コマンド操作/認証情報窃取/横方向への移動に加えて、侵入したホスト上での Cobalt Strike の実行という手順を踏んでいた」と述べている。IcedID (別名 BokBot) は、2017年にバンキング・トロイの木馬としてスタートした後に、他のマルウェアを支援するドロッパーへと進化し、Emotet/TrickBot/Qakbot/Bumblebee/Raspberry Robin などの仲間に加わった。
Continue reading “IcedID マルウェアの蔓延:侵入から24時間以内に Active Directory ドメインを侵害”Dark Pink APT Group Targets Governments and Military in APAC Region
2023/01/11 TheHackerNews — アジア太平洋地域における政府機関/軍事組織などが、未知の高度持続的脅威 (APT:Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に7つの攻撃を成功させた」と述べている。
Continue reading “Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成”Unpatchable Hardware Vulnerability Allows Hacking of Siemens PLCs
2023/01/11 SecurityWeek — Siemens の Programmable Logic Controllers (PLCs) シリーズに影響を及ぼす深刻な脆弱性を、ファームウェア・セキュリティ会社である Red Balloon Security の研究者が発見した。この脆弱性を CVE-2022-38773 の悪用に成功した攻撃者は、保護されたブート機能を回避し、コントローラの動作コードとデータを、持続的に変更することが可能になる。Red Balloon Security によると、Siemens の Simatic/Siplus S7-1500 の CPU における、一連のアーキテクチャに問題があるという。
Continue reading “Siemens PLC に修正不能な脆弱性:ハードウェアを構成する CPU のアーキテクチャに問題”Red Hat Announces General Availability of Malware Detection Service
2023/01/11 SecurityWeek — 2023年1月10日に Red Hat は、Red Hat Enterprise Linux (RHEL) システム向けのマルウェア検出サービスの、一般提供を開始したことを発表した。IBM X-Force との提携で生まれた Insights サービスは、既知の Linux マルウェアに関連する 180 以上のシグネチャのデータベースを使用し、RHEL システム内のマルウェアをスキャンするものだ。
Continue reading “Red Hat がマルウェア検知サービスを発表:IBM X-Force との連携で安全を担保”Twitter claims leaked data of 200M users not stolen from its systems
2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。
Continue reading “Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張”Auth0 fixes RCE flaw in JsonWebToken library used by 22,000 projects
2023/01/09 BleepingComputer — Auth0 が修正したリモートコード実行の脆弱性は、22,000 以上プロジェクトで使用され、NPM からは毎月 3600 万回以上もダウンロードされている、人気のオープンソース・ライブラリ JsonWebToken に存在するものだ。このライブラリは、Microsoft/Twilio/Salesforce/Intuit/Box/IBM/Docusign/Slack/SAP などのオープンソース・プロジェクトでも使用されている。
Continue reading “Auth0 が JsonWebToken の脆弱性を FIX:22,000 以上プロジェクトに影響か?”Kinsing Cryptojacking Hits Kubernetes Clusters via Misconfigured PostgreSQL
2023/01/09 TheHackerNews — Kinsing クリプト・ジャッキングを操る脅威アクターは、Kubernetes 環境へのイニシャル・アクセスを得るために、露出した PostgreSQL サーバのミスコンフィグレーションを悪用しているという。Microsoft Defender for Cloud のセキュリティ研究者である Sunders Bruskin は、先週のレポートで、「2番目のイニシャル・アクセス・ベクターの手法には、脆弱なイメージの悪用も含まれる」と述べている。
Continue reading “Kinsing による Kubernetes 攻撃:PostgreSQL のミスコンフィグを狙っている”Fake Pokemon NFT game installer lets hackers hijack your PC
2023/01/08 BleepingComputer — 巧妙に作られたポケモン NFT カードゲーム Web サイトを用いる脅威アクターたちは、NetSupportリモートアクセス・ツールを配布することで、被害者のデバイスを制御している。この Web サイト “pokemon-go[.]io” は、本稿の執筆時点ではオンラインであり、ポケモンのフランチャイズに基づく新しい NFT カードゲームを提供し、戦略的な楽しさと NFT 投資の利益を提供すると、ユーザーに対して主張している。
Continue reading “Pokemon NFT ゲームカード:偽の Web サイトとトロイの木馬に御用心”Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors
2023/01/08 TheHackerNews — ロシアのサイバー・スパイグループ Turla が、10年前のマルウェアの攻撃インフラを利用して、ウクライナのターゲットに、独自の偵察ツールやバックドア・ツールを配布していることが確認された。Google 傘下の Mandiant は、この活動を UNC4210 という未分類のクラスタ名で追跡しており、乗っ取られたサーバを調査したところ、2013年に VirusTotal にアップロードされた ANDROMEDA (別名 Gamarue) というマルウェアの亜種に該当したと述べている。
Continue reading “Turla APT の奇妙な動き:10年前のマルウェア・インフラからバックドアを展開”Malicious PyPi packages create CloudFlare Tunnels to bypass firewalls
2023/01/07 BleepingComputer — PyPI (Python Package Index) 上の6つの悪意のパッケージが Cloudflare Tunnel を悪用し、リモート・アクセスに対するファイアウォール制限をバイパスしている間に、InfoStealer/RAT (Remote Access Trojan) 機能を備えたマルウェアをインストールしていることが発見された。これらの悪意のパッケージは、ブラウザーに保存されている機密情報の窃取/キーロガーを用いた入力情報の窃取に加えて、シェルコマンドの実行などを試みる。この6つのパッケージを発見したのは、新しいキャンペーンについて PyPI を注視している Phylum Research Team である。
Continue reading “PyPI に悪意のパッケージが登場:CloudFlare Tunnel を悪用するトロイの木馬”ChatGPT Artificial Intelligence: An Upcoming Cybersecurity Threat?
2023/01/06 DarkReading — 人工知能 (AI) に秘められる可能性は、サイバー・セキュリティへの取り組み方を含めて、私たちの生活の多くの側面に革命をもたらす。しかし、それは、慎重に管理する必要がある、新たなリスクと課題も提示している。AI をサイバー・セキュリティに活用する方法の1つは、サイバー脅威を検知して対応できる、インテリジェントなシステムの開発を通じてとなる。これは、ある AI チャット・ボットからの返答であり、私が AI とサイバー脅威について書いてほしいと頼んだときのものだ。もうお分かりだと思うが、この世で一番人気の ChatGPT である。
Continue reading “ChatGPT という人工知能:フィッシング/BEC/マルウェア開発に利用できる?”VSCode Marketplace can be abused to host malicious extensions
2023/01/06 BleepingComputer — 悪意の Visual Studio Code エクステンションを、VSCode Marketplace に驚くほど簡単にアップロードできることを、そして、この弱点を脅威アクターたちが、すでに悪用している兆候を、研究者たちは発見した。Visual Studio Code (VSC) とは、Microsoft が公開しているソースコード・エディタであり、世界中のプロフェッショナル・ソフトウェア開発者の約 70%が使用しているものだ。Microsoft は、VSCode Marketplace とという名の、IDE 用のエクステンション・マーケットを運営することで、アプリ機能の拡張や、多様なカスタマイズ・オプションをアドオンとして提供している。
Continue reading “Visual Studio Code Marketplace の侵害は容易:悪意のエクステンションの登録方法とは?”SpyNote Strikes Again: Android Spyware Targeting Financial Institutions
2023/01/05 TheHackerNews — 2022年10月以降において、SpyNoteと呼ばれる Android マルウェアの新バージョンが、金融機関を標的にしている。ThreatFabric は The Hacker News と共有したレポートの中で、「このスパイウェアが増加した背景には、開発者がソースコードを公開したことにある。つまり、他の脅威アクターによるスパイウェアの開発/ 配布が容易になり、銀行機関をターゲットにするケースが増えている」と述べている。このマルウェアが装う有名な金融機関には、Deutsche Bank/HSBC U.K./Kotak Mahindra Bank/Nubank などがある。
Continue reading “SpyNote のオープン化:金融機関を標的とする Android スパイウェアが進化”Hackers use CAPTCHA bypass to make 20K GitHub accounts in a month
2023/01/05 BleepingComputer — Automated Libra と呼ばれる南アフリカの脅威アクターは、クラウド・プラットフォームのリソースを悪用した、暗号通貨マイニングから利益を得る手法を進化させている。Palo Alto Networks Unit 42 によると、この脅威アクターは、新しい CAPTCHA 解決システムをマイニングに用いて、CPU リソースを積極的に悪用している。また、Feejacking と Play and Run を組み合わせて、クラウド・リソースを無料で乱用しているとのことだ。
Continue reading “Automated Libra という脅威:GitHub CAPTCHA のバイパスで 20,000 アカウントを作成”Toyota, Mercedes, BMW API flaws exposed owners’ personal info
2023/01/04 BleepingComputer — 約20社の自動車メーカーおよび自動車サービスに影響を及ぼす、API の脆弱性が存在する。それにより、車両のロック解除/始動/追跡から顧客の個人情報の流出にいたるまで、悪意の行為をハッカーに許す可能性があることが判明した。この脆弱性は、BMW/Roll Royce/Mercedes-Benz/Ferrari/Porsche/Jaguar/Land Rover/Ford/KIA/Honda/Infiniti/Nissan/Acura/Hyundai/Toyota/Genesis といった有名ブランドに影響を及ぼしている。また、この脆弱性は、車両技術ブランドである Spireon および Reviver と、ストリーミングサービスの SiriusXM にも影響を与える。
Continue reading “Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘”Enforcement vs. Enrollment-based Security: How to Balance Security and Employee Trust
2023/01/03 TheHackerNews — セキュリティに対して強制を重視するアプローチは、セキュリティ・コントロールに裏打ちされたセキュリティ・ポリシーから始まる。多くのケースにおいて、危険な行動に走る従業員を引き止め、不注意による攻撃対象領域の拡大を抑制するよう、強引な設計が施されている。
Continue reading “セキュリティの強制は行き詰まる:従業員を信頼する登録型アプローチが不可欠”BitRAT malware campaign uses stolen bank data for phishing
2023/01/03 BleepingComputer — クラウド・セキュリティ企業の Qualys によると、最近のマルウェア・キャンペーンにおける脅威アクターたちは、リモート・アクセス型トロイの木馬 BitRAT に感染させるために、コロンビアの銀行から窃取した顧客情報を、フィッシング・メールのルアーに用いているという。さらに同社は、アクティブなフィッシング攻撃における BitRAT ルアーを調査していたところ、コロンビアの非公開の銀行インフラが、攻撃者により乗っ取られていたことを発見した。
Continue reading “BitRAT マルウェアは $20 で使い放題:銀行の顧客情報を悪用するフィッシング・キャンペーン”Ransomware impacts over 200 govt, edu, healthcare orgs in 2022
2023/01/02 BleepingComputer — 2022年のランサムウェア攻撃は、米国の政府/教育/医療などのパブリックな分野における、200以上の大規模組織に影響を与えた。情報源としての、公開レポート/開示ドキュメント/ダークウェブ・リーク/サードパーティなどから収集したデータによると、これらのランサムウェア攻撃の約半分において、ハッカーたちはデータを盗み出していたことが判明した。
Continue reading “2022年のランサムウェア攻撃:米国での被害は政府/教育/医療など 200件”Personal health information of 42M Americans leaked between 2016 and 2021
2022/12/31 SecurityAffairs — 2016年以降において、4200万人のアメリカ人の医療記録がダークウェブで販売されている。これらの情報は、医療機関へのサイバー攻撃により窃取されたものである。Jama Network の研究者たちは、米国の病院/診療所/医療提供組織に対する、2016年〜2021年のランサムウェア攻撃の傾向を分析した。攻撃による一般的な業務上の混乱としては、予約と手術のキャンセル/電子システムのダウンタイム/救急車の迂回などがあった。研究者たちは、業務上の混乱期間と、攻撃に関連する、その他のデータを算出した。
Continue reading “医療機関へのランサムウェア攻撃:米国の 4200万人分の情報がダークウェブへ”Adobe, Apple, Cisco, Microsoft Flaws Make Up Half of KEV Catalog
2022/12/30 DarkReading — 2021年11月に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのが、活発に悪用されている脆弱性を、連邦政府機関や重要インフラ組織が特定/是正するための Known Exploited Vulnerabilities (KEV) カタログである。Grey Noise が発表した GreyNoise Mass Exploits Report によると、CISA は 2022年1月〜11月末に 58回の更新を行い、548件の新たな脆弱性をカタログに追加している。2021年11月/12月に追加された約300件の脆弱性を含めると、このカタログが始まってからの1年間で、CISA は約850件の脆弱性をリストアップしたことになる。
Continue reading “CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft”Google Home speakers allowed hackers to snoop on conversations
2022/12/29 BleepingComputer — Google Home Smart Speaker のバグにより、リモートからの操作が可能なバックドア・アカウントのインストールや、マイクフィードへのアクセスする盗聴が可能であることが判明した。2021年に、この問題を発見した研究者は Google に報告し、$107,500 の報奨金を受け取っている。今週の初めに、この研究者が公開したのは、発見された技術的な詳細と、悪用の方法を示す攻撃シナリオである。
Continue reading “Google Home Speaker の欠陥が FIX:リモートから会話が盗聴される可能性”APT Hackers Turn to Malicious Excel Add-ins as Initial Intrusion Vector
2022/12/28 TheHackerNews — インターネットからダウンロードされた Office ファイルの Visual Basic for Applications (VBA) マクロについて、Microsoft がデフォルトでのブロックを決定したことで、多くの脅威者が、この数カ月で攻撃方法を変更するようになった。Cisco Talos によると、APT (Advanced Persistent Threat) や各種のマルウェア・ファミリーは、イニシャルの侵入経路として Excel Add-in (.XLL) ファイルを使用する傾向を強めているとのことだ。
Continue reading “Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター”Thousands of Citrix servers vulnerable to patched critical flaws
2022/12/28 BleepingComputer — Citrix ADC/Gateway だが、この数ヶ月の間に修正された2つの脆弱性が、そのまま放置されているサーバが数千台はあるという。1つ目の欠陥は、11月8日に修正された CVE-2022-27510 であり、Citrix の両製品に影響を与える認証バイパスの脆弱性である。その悪用に成功した攻撃者は、デバイスへの不正アクセス/リモートデスクトップの乗っ取り/ログインブルート・フォースなどの攻撃を行えるようになる。2つ目の欠陥は、12月13日に修正された CVE-2022-27518 であり、認証されていない攻撃者による、脆弱なデバイス上でのリモートコマンド実行と乗っ取りを許すものだ。
Continue reading “Citrix ADC/Gateway のパッチ未適用:深刻な脆弱性を引きずる数千台のサーバ”Enterprises waste money on identity tools they don’t use
2022/12/27 HelpNetSecurity — One Identity によると、複数の ID ツールに対する企業の誤った投資により、現在の脅威の状況に対する不十分な防御が生じているようだ。96%の企業が複数の ID 管理ツールを使用しており、41%はアクセス権を管理するために、少なくとも 25種類のシステムを導入していると報告されている。その一方で、70%の企業が、積極的に使用していない ID ツールのために、費用を支払っていると報告している。このように、複数の異なる ID ツールに投資することが、全体的なセキュリティ態勢に直接的な影響を及ぼしている。
Continue reading “Identity Tools の用法とコスト:統合できない企業は無駄なコストを費やす”Modern technology and cyber recovery will intersect in the next generation of attacks
2022/12/27 HelpNetSecurity — Experian によると、企業/個人で使用されえる技術が進化し続ける中、サイバー犯罪者たちもイノベーションを活用し、次世代型の攻撃を仕掛けているという。2023年のハッカーたちは、メタバース/宇宙/人工知能などの革新的な技術を取り込んだ、攻撃方法を開拓するための探索を進めてくるだろう。Experian の最新レポートでは、サイバー犯罪者が潜む場所や、攻撃の方法について、企業の理解を促すための、いくつかの予測について概説している。
Continue reading “2023年のサイバー攻撃を予測:テクノロジーとリカバリーが交差していく”BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection
2022/12/27 TheHackerNews — Lazarus Group のサブクラスタである BlueNoroff だが、Windows の Mark of the Web (MoTW) 保護を回避するための、新しい技術を採用していることが確認されている。今日の Kaspersky レポートによると、光ディスクイメージ (拡張子.ISO) および仮想ハードディスク (拡張子.VHD) ファイル形式を用いる、新たな感染チェーンが追加されているとのことだ。セキュリティ研究者である Seongsu Park は、「BlueNoroff は、ベンチャー・キャピタル企業や銀行を装う、多数の偽ドメインを作成している。2022年9月のテレメトリ測定において、この新しい攻撃手順にフラグが立てられた」と述べている。
Continue reading “BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避”GuLoader Malware Utilizing New Techniques to Evade Security Software
2022/12/26 TheHackerNews — サイバー・セキュリティ研究者たちは、GuLoader と呼ばれる高度なマルウェア・ダウンローダと、そこで採用されるセキュリティ・ソフトウェア回避のための、各種のテクニックを公開した。CrowdStrike の研究者である Sarang Sonawane と Donato Onofri は、先週に公開された技術レポートで、「新しいシェルコード分析防止技術は、プロセス・メモリ全体をスキャンして、仮想マシン (VM) 関連の文字列を探すことで、研究者や敵対者の環境を妨害しようと試みる」と述べている。
Continue reading “GuLoader という VBScript ダウンローダ:セキュリティを回避してシェルコードを注入”2022 Top Five Immediate Threats in Geopolitical Context
2022/12/26 TheHackerNews — 2022年も終わりに近づいているがが、この激動の年に最も懸念された脅威に対するテスト数を見ると、特定の脅威に対する脆弱度について、それぞれのサイバーセキュリティ・チームがチェックした、脅威ベースの視点が得られる。2022年1月1日〜12月1日に、Cymulate Security Posture Management Platform でレジリエンスを検証するために、最も多くテストされた脅威は以下の通りである。
Continue reading “APT と地政学的な背景:2022年に猛威を奮った脅威 Top-5 を分析”PrivateLoader PPI Service Found Distributing Info-Stealing RisePro Malware
2022/12/26 TheHackerNews — PrivateLoader として知られる Pay-Per-Install (PPI) マルウェア・ダウンローダー・サービスが、既知の情報搾取マルウェア RisePro の配布に使用されていることが判明した。2022年12月13日に Flashpoint は、Russian Market と呼ばれる不正なサイバー犯罪マーケットにおいて、このマルウェアを用いて流出した複数のログセットを検出し、新たな窃盗グループを発見した。
Continue reading “PrivateLoader という PPI サービス:情報窃取型マルウェア RisePro を配布”Container Verification Bug Allows Malicious Images to Cloud Up Kubernetes
2022/12/24 DarkReading — Kyverno の Admission Controller for Container Images に存在する深刻なセキュリティ脆弱性により、クラウド・プロダクション環境へ向けて、悪意の行為者がに多数の不正コードを流し込める可能性があることが判明した。Kyverno Admission Controller は、署名/検証されたコンテナ・イメージのみが、所定の Kubernetes クラスタに取り込まれることを保証するために設計された、署名検証機構を提供している。つまり、暗号化されたコンテナ・イメージには、クリプトマイナ/ルートキット/コンテナ・エスケープ/横移動エクスプロイト・キット/クレデンシャル・スティーラーなどの、さまざまなペイロードが含まる可能性があるため、それらの悪意の行為を回避するための機能として利用されている。
Continue reading “Kubernetes と Kyverno:コンテナ・イメージ検証/署名における深刻な脆弱性が FIX”Google: With Cloud Comes APIs & Security Headaches
2022/12/24 DarkReading — Web Application Programming Interfaces (API) は、クラウド・アプリとインフラの統合という意味で重要な役割を担っている。しかし、これらのエンドポイントへの攻撃は日々増加しており、これまでの 12カ月間において、企業の半数が API 関連のセキュリティ・インシデントが発生したと認めている。Google Cloud が実施した調査によると、企業の API 利用に影響を与える、最も厄介なセキュリティ問題として挙げられるのは、セキュリティのミスコンフィグレーション/古い API やコンポーネント/スパムとボットによる侵害である。そして、40% の企業はミスコンフィグレーションによるインシデントに対して、33% 企業は後者の2つの問題に対して、取り組んでいるという。
Continue reading “Google 調査:クラウドの API 利用におけるセキュリティ問題”Microsoft Patches Azure Cross-Tenant Data Access Flaw
2022/12/23 SecurityWeek — Azure Cognitive Search (ACS) のバグによる、クロステナントのネットワーク・バイパス攻撃の可能性について、外部研究者の警告を受けた Microsoft は、重要かつ深刻なセキュリティ欠陥をサイレント修正した。Mnemonic の研究者が報告した脆弱性とは、インターネットから隔離された Azure Cognitive Search インスタンスの、ネットワークと ID の境界全体を効果的に取り除いてしまうものである。その結果として、ネットワーク露出が明示されていないインスタンスを含む、あらゆる場所から ACS インスタンスのデータプレーンに対して、クロステナントでのアクセスが可能になるものだ。
Continue reading “Microsoft Azure のクロステナント・アクセスの脆弱性:サイレント・パッチで対応”Threat predictions for 2023: From hacktivism to cyberwar
2022/12/23 HelpNetSecurity — 2023年の脅威予測について Trellix は、アジア/ヨーロッパにおける地政学的な動機による攻撃の急増、および、対立する政治的な緊張に起因するハクティビズム、コアとなるソフトウェアのサプライチェーン脆弱性などを予測している。
Continue reading “2023年の脅威を予測:サイバー戦争から Alexa に指示する Bitcoin 採掘まで”LastPass Admits to Severe Data Breach, Encrypted Password Vaults Stolen
2022/12/23 TheHackerNews — 2022年8月に発生した LastPass におけるセキュリティ侵害は、以前に同社が公表したよりも深刻なものだった可能性があるという。木曜日に、人気のパスワード管理サービスである LastPass は、前回の侵入で吸い上げたデータを悪意の行為者が利用し、暗号化されたパスワード保管庫を含む、同社の顧客に属する個人情報の山を入手したことを明らかにした。
Continue reading “LastPass が認めたデータ侵害:暗号化されたパスワードなどが盗み出されている”FIN7 hackers create auto-attack platform to breach Exchange servers
2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。
Continue reading “FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃”Play ransomware attacks use a new exploit to bypass ProxyNotShell mitigations on Exchange servers
2022/12/21 SecurityAffairs — Crowdstrike によると、Play ランサムウェアの運営者は OWASSRF と呼ばれる新しいエクスプロイト・チェーンを用いて、ProxyNotShell 脆弱性に対する緩和策をバイパスすることで、Microsoft Exchange サーバをターゲットにしているようだ。この脆弱性の悪用に成功した認証済の攻撃者は、Exchange Server 2013/2016/2019 で権限を昇格を行い、そのシステムのコンテキストで PowerShell を実行し、脆弱なサーバ上で任意コード実行またはリモートコード実行の可能性を生じるという。
Continue reading “Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス”GodFather Android Banking Trojan Targeting Users of Over 400 Banking and Crypto Apps
2022/12/21 TheHackerNews — GodFather と呼ばれる Android バンキング・トロイの木馬が、16カ国にまたがる 400以上の銀行および、暗号通貨アプリのユーザーを標的としている。Group-IB が The Hacker Newsと共有したレポートには、「米国/トルコ/スペイン/イタリア/カナダなどのユーザーにサービスを提供する、215 の銀行および、94 の暗号ウォレット・プロバイダ、110 の暗号交換プラットフォームが、そのターゲットに含まれている」と記されている。
Continue reading “GodFather というバンキング・トロイの木馬:400 以上の金融アプリが標的”Hackers bombard PyPi platform with information-stealing malware
2022/12/20 BleepingComputer — Python パッケージ・リポジトリである PyPI に、情報窃取マルウェアを取り込んだ悪意のパッケージが相次いでドロップされ、ソフトウェア開発者のデータが盗み出されている。このキャンペーンでドロップされたマルウェアは、オープンソース W4SP Stealer のクローンであり、PyPI 上で 2022年11月に広まったマルウェア感染の原因となったものでもある。それ以来、W4SP をドロップする 31個のパッケージが、PyPI リポジトリから削除されてはいるが、このマルウェアの運営者は、マルウェアを再導入するための新たな方法を模索し続けているようだ。
Continue reading “PyPI に W4SP Stealer:大量の亜種が出回り 2500回もダウンロードされた”KmsdBot Botnet Suspected of Being Used as DDoS-for-Hire Service
2022/12/20 TheHackerNews — KmsdBot ボットネットの継続的な分析により、それが DDoS-for-Hire であり、他の脅威アクターに提供されている可能性が浮上してきた。Akamai は、その理由として、KmsdBot ボットネットが攻撃した業界や地域が異なる点を挙げている。注目すべきターゲットとしては、Grand Theft Auto V や Red Dead Redemption 2 のゲーム改造を行う FiveM や RedM があるが、その一方では、高級ブランドやセキュリティ企業なども挙げられている。
Continue reading “KmsdBot ボットネットは DDoS 傭兵:ゲームサーバから高級ブランドまでが標的”VirusTotal cheat sheet makes it easy to search for specific results
2022/12/20 BleepingComputer — VirusTotal が公開したチートシートは、このマルウェアの情報プラットフォーム上でクエリを作成するものであり、より具体的な検索結果を、研究者たちは得られるようになる。このチートシートは、検索結果の絞り込みに役立つファイル検索修飾子を、どのように組み合わせれば、特定のデータを検出できるのかを示している。
Continue reading “VirusTotal チートシートが登場:より具体的なデータ検索が可能に”Malicious Python Trojan Impersonates SentinelOne Security Client
2022/12/20 DarkReading — 最新のサプライチェーン攻撃を仕掛ける未知の脅威アクターが、SentinelOne の人気のSDK (Software Development Kit) を装う、悪質な Python パッケージを作成しているようだ。月曜日にサイバー・セキュリティ企業 ReversingLabs が発表したアドバイザリによると、この SentinelSneak と名付けられたパッケージは、高機能な SentinelOne クライアントのように見えるものであり、Python コードの主要リポジトリである Python Package Index (PyPI) で、頻繁に更新されながら開発中であるとのことだ。
Continue reading “SentinelOne SDK を装う悪意の PyPI パッケージ:SentinelSneak はトロイの木馬”
IoT OT Security News 
You must be logged in to post a comment.