PythonRatLoader: The Malware Loader That’s Turning Phishing Into a Multi-Stage Attack
2024/11/01 SecurityOnline — Cofense Phishing Defense Center (PDC) の最近レポートは、XWorm/VenomRAT/AsyncRAT/DCRat などの各種の RAT (Remote Access Trojans) を配布する、高度なマルウェア・ローダー “PythonRatLoader” に関するものだ。このローダーは、エンタープライズ環境に対して複雑かつ有害な攻撃を仕掛けるために、多層的な難読化と回避技術を採用しており、キャンペーンの標的となるあらゆる組織に深刻なリスクをもたらすものだと、PDC の Adam Martin と Kian Buckley Maher は述べている。
Continue reading “PythonRatLoader という新たなマルウェア・ローダー:フィッシングから多段階攻撃を展開”New Xiū gǒu Phishing Kit Hits UK, US, Japan, Australia Across Key Sectors
2024/10/31 HackRead — 英国/米国/スペイン/オーストラリア/日本のユーザーをターゲットにする “Xiū gǒu” フィッシング・キットが、サイバー・セキュリティ研究者たちにより発見された。このキットが標的とするのは、公共/郵便/銀行などの分野であり、正当なサービスを模倣してデータを収集している。Netcraft のサイバー・セキュリティ研究者たちが発見した、”Xiū gǒu” という新たなフィッシング・キットは実際に機能している。このキットは、2024年9月から、英国/米国/スペイン/オーストラリア/日本の無防備なユーザーを、積極的にターゲットにしている。
Continue reading “Xiū gǒu という新たなフィッシング・キット:米/英/豪/日を積極的に標的化”Russian hackers deliver malicious RDP configuration files to thousands
2024/10/30 HelpNetSecurity — ロシア対外情報局 (SVR) と関連があるとされる、サイバースパイ集団の Midnight Blizzard は、署名された RDP コンフィグ・ファイルを取り込んだフィッシング・メールで、政府/学術/防衛/NGO 関係者を標的にしている。Microsoft の脅威アナリストたちは、「Midnight Blizzard のスピアフィッシング・キャンペーンに関する以前の調査に基づけば、この作戦の目的は、おそらく情報収集であると推測される」と述べている。
Continue reading “悪意の RDP コンフィグを展開するロシアの Midnight Blizzard:Microsoft と AWS が警告”Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code
2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。
Hackers Exploit Roundcube Webmail XSS Vulnerability to Steal Login Credentials
2024/10/20 TheHackerNews — オープンソースの Web メールソフトウェア Roundcube の、すでに修正済みの脆弱性 CVE-2024-37383 を、正体不明の脅威アクターがフィッシング攻撃で悪用し、ユーザー認証情報の窃取を試行していることが確認された。ロシアのサイバーセキュリティ企業 Positive Technologies が 2024年9月に公表したのは、CIS (Commonwealth of Independent States) 加盟国のに所在する不特定の政府機関に対して、不審なメールが送信されたことである。特筆すべきは、そのメッセージが、2024年6月の時点で送信されていたことだ。
Continue reading “Roundcube Webmail の XSS 脆弱性 CVE-2024-37383:フィッシング攻撃での悪用を確認”ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS
2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome/Google Meet/Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。
Continue reading “Google Meet アラートを偽装:ClickFix 攻撃によるマルウェア配信が蔓延”$50,000 Bounty: Researcher Reveals Critical Zendesk Email Spoofing Flaw (CVE-2024-49193)
2024/10/13 SecurityOnline — Zendesk のメール管理システムに存在する、深刻な脆弱性 CVE-2024-49193 が、セキュリティ研究者の Daniel により発見され、詳細に分析されている。この脆弱性の悪用に成功した攻撃者は、スプーフィング攻撃により、機密情報であるサポート・チケット履歴への、不正アクセスの可能性を得るという。この Daniel の報告に対して、Zendesk は否定していたが、問題の深刻さが明らかになったことで、同社は早急な対策を講じることになった。
Continue reading “Zendesk のメール・スプーフィングの脆弱性 CVE-2024-49193 が FIX:長々と放置された理由は?”Sonatype Reports 156% Increase in OSS Malicious Packages
2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。
Continue reading “オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査”OpenAI Blocks 20 Global Malicious Campaigns Using AI for Cybercrime and Disinformation
2024/10/10 TheHackerNews — 10月9日に OpenAI が発表したのは、同社のプラットフォームをグローバルで悪用する、20件以上の悪意のアクティビティとネットワークを、2024年に入ってから阻止したというメッセージである。阻止された悪質な活動として挙げられるのは、マルウェアのデバッグ/悪意の Web サイト記事執筆/悪意の SNS アカウント経歴の作成/X の偽アカウント用の AI 生成プロフィール画像の作成などである。
Continue reading “OpenAI を悪用するサイバー犯罪と偽情報拡散:20件以上の悪意のキャンペーンを阻止”Stealthy Cyberattack Turns Visual Studio Code into a Remote Access Tool
2024/10/01 SecurityOnline — Visual Studio Code (VSCode) を悪用して、被害者のシステムに不正なリモート アクセスを確立する高度なサイバー攻撃を、Cyble Research and Intelligence Labs (CRIL) が発見した。この攻撃は、一般的な検出メカニズムを回避し、信頼できるソフトウェアを悪用することで、悪意のアクションを実行するという、高度なステルス性を発揮している。
Continue reading “Visual Studio Code を悪用する攻撃を検出:Remote-Tunnels エクステンションで C2 通信”Necro Trojan Infects Google Play Apps With Millions of Downloads
2024/09/23 SecurityWeek — マルウェア対策ベンダーの Kaspersky の報告で判明したのは、公式 Google Play ストアにおいて、合計約1,100 万回もダウンロードされた2つのアプリが、トロイの木馬 Necro に感染していることだ。2019 年の時点でマルチステージ・ローダー Necro は、Google Play で1億回以上ダウンロードされた Phone PDF 作成アプリ CamScanner に感染し、その後に発見されている。
Continue reading “Google Play に潜む Necro というトロイの木馬:著名なアプリを感染させてユーザーを狙う”Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC
2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信/電力/政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。
Continue reading “Earth Baxia サイバー・スパイ:GeoServer の CVE-2024-36401 を武器にして APAC を狙う”Beyond HTML: The Hidden Danger of Phishing in HTTP Response Headers
2024/09/12 SecurityOnline — Palo Alto Networks – Unit 42 の研究者たちは、あまり知られていない手法である、HTTP リフレッシュ・レスポンス・ヘッダーを通じて配信される、フィッシング・ページによる大規模なフィッシング・キャンペーンを発見しました。従来からの、悪意のHTML コンテンツに依存するフィッシング戦術とは異なり、この手法は、サーバから送信されたレスポンス・ヘッダーを使用して、HTML コンテンツが処理される前に、ユーザーを不正なサイトへとリダイレクトするものだ。2024年5月〜7月に、研究者たちが検出した悪意の URL は、1日あたり 2,000 件に達しており、この手法が広く使用されていることを示している。
Continue reading “HTTP Response Header を悪用するフィッシング・キャンペーン:危険性が高まる理由は何処に?”Researchers Find Over 22,000 Removed PyPI Packages at Risk of Revival Hijack
2024/09/04 TheHackerNews — Python Package Index (PyPI) レジストリを標的とする、新たなサプライチェーン攻撃手法が、下流組織への侵入手段として悪用されていると、ソフトウェア・サプライチェーン・セキュリティ企業 JFrog が指摘している。この Revival Hijack と命名された攻撃手法により、既存の PyPI パッケージ 2万2000個に乗っ取りの可能性が生じ、さらに、数十万の悪意のパッケージのダウンロードへといたる恐れがあるとしている。なお、それらの脆弱なパッケージとは、ダウンロード数が10万回を超えているものであり、また、6か月以上にわたってアクティブになっているものである。
Continue reading “PyPI の Revival Hijack 攻撃:パッケージ再登録のギャップを狙う脅威が判明”Red Teaming Tool Abused for Malware Deployment
2024/09/04 InfoSecurity — レッドチームの演習用ツールである MacroPack が、マルウェアの展開に悪用されていることが、Cisco Talos の調査により判明した。Cisco Talos の研究者たちが発見したのは、2024年5月〜7月に VirusTotal にアップロードされた、悪意の Microsoft 文書群である。それら全ては、MacroPack と呼ばれるペイロード・ジェネレータ・フレームワークにより生成されたものだった。これらの文書は、中国/パキスタン/ロシア/米国などの国々の脅威アクターからアップロードされていた。
Continue reading “レッドチーム演習ツール MacroPack:複数の脅威アクターがマルウェア展開に悪用”Cyberattackers Spoof Palo Alto VPNs to Spread WikiLoader Variant
2024/09/04 DarkReading — サイバー犯罪者たちは、Palo Alto の VPN (virtual private network) ソフトウェアである GlobalProtect の販売者になりすまし、SEO (search engine optimization) ポイズニングを通じて WikiLoader マルウェアの新しい亜種を配信している。
Continue reading “WikiLoader マルウェア:Palo Alto VPN 販売を装う犯罪者が配信”Travelers Targeted: Booking.com Phishing Scam Unveiled
2024/09/03 SecurityOnline — オンライン旅行予約プラットフォームの Booking.com を標的とする、巧妙なフィッシング・キャンペーンについて詳述されたレポートが、OSINTMATTER から公開された。この攻撃は、ホテル支配人のアカウントの侵害から始まり、Booking.com のアプリを通じてホテルの顧客をダイレクトに騙すという、多段階のアプローチで構成されている。
Continue reading “Booking.com を狙うフィッシング:ホテルのアカウント侵害から個人アカウントの侵害へ”Cybercriminals Exploit Popular Software Searches to Spread FakeBat Malware
2024/08/19 TheHackerNews — FakeBat マルウェア・ローダーを配布するための、不正な広告キャンペーンを介したマルウェア感染が急増している。Mandiant Managed Defense チームのテクニカル・レポートには、「これらの攻撃は、一般的なビジネス・ソフトウェアを求めるユーザーをターゲットにした、日和見的なものだ。具体的に言うと、トロイの木馬化された MSIX インストーラによりマルウェア感染が始まり、PowerShell スクリプトの実行による二次的なペイロードのダウンロードへといたる」と記されている。
Continue reading “FakeBat マルウェア:Brave/KeePass/Notion/Steam/Zoom などを装い配布”Beware of Fake PoC Exploits for 0-Click RCE CVE-2024-38063 on GitHub
2024/08/18 SecurityOnline — Windows システムに影響を及ぼす深刻な脆弱性 CVE-2024-38063 に対して、いくつかの偽の PoC エクスプロイト・コードが公開されていることを、セキュリティ研究者たちが発見している。それらの、GitHub に登場した詐欺エクスプロイトは、誤解を招くだけではなく、マルウェアを配布する手段として悪用されている。Windows 10/11/Server の脆弱性 CVE-2024-38063 は、Kunlun Lab の XiaoWei により発見されたものであり、深刻度は CVSS 値で 9.8 と評価されている。この脆弱性は、整数アンダーフローの欠陥に起因しており、それを悪用する攻撃者により、バッファ・オーバーフローが引き起こされ、任意のコード実行にいたる可能性を持つ。
Continue reading “Windows の深刻な脆弱性 CVE-2024-38063:GitHub 上の偽 PoC エクスプロイトに御用心”Cybercriminals Evolve Social Engineering Tactics, Exploit CVE-2022-26923 in Sophisticated Campaign
2024/08/16 SecurityOnline — 先日にサイバーセ・キュリティ企業 Rapid7 が特定したのは、同社の脅威インテリジェンス・チームが継続的に監視している、進行中のソーシャル・エンジニアリング・キャンペーンに関連する一連の巧妙な侵入の試みである。このキャンペーンは、欺瞞的かつ技術的なテクニックを織り交ぜて組織を標的とするものであり、最近では、セキュリティ対策の迂回や、新たなツールやテクニックの採用により、システム侵害の確率を高めている。
Continue reading “Windows の脆弱性 CVE-2022-26923 の悪用:電子メール爆弾から RAT へつなげる手口とは?”Google Products Exploited in Sophisticated Malvertising Scheme
2024/08/16 SecurityOnline — Google 検索を利用する人々をターゲットにする巧妙なマルバタイジング・キャンペーンを、Malwarebytes Labs のサイバー・セキュリティ研究者が発見した。詐欺師たちは悪質な検索広告を介して、被害者を偽の Google ホームページへとリダイレクトするが、そこでは、Google の全製品ラインナップが大胆に偽装されている。
Continue reading “Google 広告を狙うマルバタイジング:偽ページへとリダイレクトさせた後の仕掛けとは?”New Windows SmartScreen bypass exploited as zero-day since March
2024/08/13 BleepingComputer — 今日になって Microsoft が明らかにしたのは、SmartScreen 保護をバイパスするゼロデイとして攻撃者に悪用された、Mark of the Web セキュリティ・バイパスの脆弱性が、2024日6月の Patch Tuesday で修正されたことだ。Windows 8で導入されたセキュリティ機能 SmartScreen は、Mark of the Web (MotW) ラベルの付いたダウンロード・ファイルを開く際に、悪意の可能性のあるソフトウェアからユーザーを保護するものだ。
Continue reading “Windows SmartScreen バイパスの脆弱性 CVE-2024-38213:3月の攻撃でゼロデイとして悪用”Malware force-installs Chrome extensions on 300,000 browsers, patches DLLs
2024/08/09 BleepingComputer — 現時点において進行中の広範なマルウェア・キャンペーンにより、30万以上の Web ブラウザに悪意の Chrome/Edge エクステンションが強制インストールされ、ブラウザの実行ファイルが変更され、ホームページがハイジャックされ、閲覧履歴が盗まれるという被害が発生している。問題のインストーラーとエクステンションは、通常ウイルス対策ツールでは検出されないものであり、感染したデバイス上でのデータ窃取やりコマンド実行を試行するよう設計されているという。このキャンペーンを発見した ReasonLabs の研究者たちが警告するのは、初期感染を達成するために、その背後にいる脅威アクターが多様な不正広告テーマを採用している点である。
Continue reading “Chrome/Edge を狙うキャンペーン:エクステンションの弱点を突いて 30万台の DLL を侵害”Microsoft 365 anti-phishing feature can be bypassed with CSS
2024/08/07 BleepingComputer — 研究者は、Microsoft 365 (旧 Office 365) のフィッシング対策を回避する方法が実証され、悪意のメールをユーザーが開封するリスクが高いことが判明した。具体的に言うと、”First Contact Safety Tip” という、見慣れないアドレスからのメッセージを受信した際に、Outlook のメール受信者に警告を出すフィッシング対策が隠されてしまうのだ。この欠陥を発見した Certitude のアナリストが、Microsoft に調査結果を報告したが、現時点では対処しないことが、同社により決定されている。
Continue reading “Microsoft 365 フィッシング対策のバイパス:HTML メールの CSS 操作でアラートを隠す”2024/08/06 HelpNetSecurity — Acronis の “Cyberthreats Report H1 2024” によると、2024年上半期の電子メール攻撃は、2023年の同時期と比較して 293% も急増した。ランサムウェアの検出数も増加傾向にあり、2023年 Q1〜2024年 Q1 で32% 増加している。
Continue reading “2024年 上半期のサイバー脅威レポート:Email 攻撃が 293% 増 – Acronis”E-Commerce Fraud Campaign Uses 600+ Fake Sites
2024/08/01 InfoSecurity — 悪意の Facebook 広告を通じて偽の Web ショップへと被害者を誘い込む、巧妙な情報窃取詐欺ネットワークが、Recorded Future のセキュリティ研究者たちにより発見された。このキャンペーンが “Eriakos” と名付けられたのは、脅威アクターが使用する CDN (content delivery network) に由来している。
Continue reading “Facebook の偽広告に御用心:600以上の詐欺キャンペーン・サイトが発見された”Hackers abuse free TryCloudflare to deliver remote access malware
2024/08/01 BleepingComputer — Cloudflare Tunnel サービスを悪用して RAT (Remote Access Trojans) を配信する、マルウェア・キャンペーンの拡大について、研究者たちが警告を発している。このサイバー犯罪活動は、2024年2月に検出されたものであり、TryCloudflare の無料サービスを悪用することで、AsyncRAT/GuLoader/VenomRAT/Remcos RAT/Xworm などの複数の RAT を配布している。
Continue reading “Cloudflare Tunnel を悪用したマルウェア・キャンペーンが展開されている – Proofpoint”Fake Google Authenticator Ads Spread Malware Through Google Search
2024/07/30 SecurityOnline — Google を装う脅威アクターたちが、Google Authenticator の偽広告を通じてマルウェアを拡散するという悪質なキャンペーンを、Malwarebytes Labs のサイバー・セキュリティ研究者が発見した。
Continue reading “Google Authenticator の偽広告に御用心:マルウェアを拡散する悪質なキャンペーンが発覚”Phishing Campaign Exploited Proofpoint Email Protections for Spoofing
2024/07/29 SecurityWeek — Proofpoint のメール保護サービスの脆弱性を悪用し、有名企業に成りすますフィッシング・キャンペーンが展開されていることが、Guardio Labs のレポートにより明らかになった。このキャンペーンでは、1日あたり数百万通のフィッシング・メッセージが配信されている。攻撃者たちは、Proofpoint を悪王することで、フィッシング・メッセージが本物であるように見せかけている。彼らは、過剰なアクセス許可を与えるという 、Proofpoint のミス・コンフィグを悪用することで、電子メールのセキュリティ保護を回避しているという。
Continue reading “Proofpoint の脆弱性 EchoSpoofing:フィッシング・キャンペーンに悪用されている”Cyberattacks Soar in Q2 2024: BEC and Ransomware Dominate
2024/07/28 SecurityOnline — Cisco Talos Incident Response (TalosIR) のレポートによると、2024年 Q2 はサイバー攻撃が急増し、ビジネス・メール侵害 (BEC:Business email compromise) とランサムウェアが主要な脅威として浮上している。この2種類の攻撃は、記録されたインシデント全体の 60%を占めている。BEC 攻撃の件数は、2024年 Q1 よりも減少してはいるが、依然として大きな脅威であることに変わりはない。その一方で、ランサムウェア攻撃は若干増加し、以前から知られている Black Basta や BlackSuit に加えて、Mallox や Underground Team が出現した。
Continue reading “サイバー攻撃 2024 Q2 調査:BEC 攻撃とランサムウェアがトップの脅威に”Targeted PyPi Package Steals Google Cloud Credentials from macOS Devs
2024/07/27 DarkReading — macOS ユーザーの一部から Google Cloud Platform の認証情報を盗み出す、かなり奇妙な悪意の Python コードのパッケージを、研究者たちが発見した。Checkmarx の 7月26日のブログによると、このパッケージ “lr-utils-lib” は、6月初旬の時点で Python Package Index (PyPI) にアップロードされたものだが、セットアップ・ファイルに悪意のコードを隠し持っていた。 そのコードは、macOS システム上で実行されていることをチェックし、続いて、システムの IOPlatformUUID をチェックする。この値は、特定の Mac コンピュータを識別するために使用されるものである。
Continue reading “lr-utils-lib という悪意の PyPI パッケージ:macOS 開発者から Google Cloud の認証情報を窃取”2024/07/25 SecurityAffairs — 脆弱性 CVE-2024-21412 (CVSS:8.1) を悪用して、ACR Stealer/Lumma/Meduza などの情報スティーラーを拡散するマルウェア・キャンペーンが、Fortinet FortiGuard Labs の研究者たちにより発見された。悪用が観測された CVE-2024-21412 は、Microsoft Windows SmartScreen に存在する脆弱性であり、インターネット・ショートカット・ファイルのセキュリティ機能バイパスの欠陥だとされる。
Continue reading “Microsoft SmartScreen の脆弱性 CVE-2024-21412:マルウェア 拡散に悪用されている”Over 3,000 GitHub accounts used by malware distribution service
2024/07/24 BleepingComputer — Stargazer Goblin として知られる脅威アクターが作成したのは、GitHub 上の 3,000以上の偽アカウントで構成される Distribution-as-a-Service (DaaS) であり、そこから情報スティーラー・マルウェアをプッシュしているという。このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害済みの WordPress サイトを利用して、パスワード保護されたアーカイブを配布するが、その中にマルウェアが含まれている。ほとんどのケースにおいて、そこから配布されるマルウェアは、RedLine/Lumma Stealer/Rhadamanthys/RisePro/Atlantida Stealer などのインフォ・スティーラーである。
Continue reading “GitHub 上の 3,000以上の偽アカウントで構成される DaaS:マルウェア配布で成功している”Cloudflare WARP Abused to Hijack Cloud Services, Cado Security Report Reveals
2024/07/22 SecurityOnline — Cloudflare の WARP サービスを悪用して、脆弱なインターネット向けサービスを攻撃する複数のキャンペーンについて、先日に Cado Security の研究者が情報を公開した。WARP は無料の VPN サービスであり、また、ユーザー・トラフィックを最適化するために設計されている。その一方で、この VPN サービスを悪用する攻撃者が、真の出所を隠蔽し、セキュリティ対策を回避している。
Continue reading “Cloudflare WARP トラフィックへの信頼:regreSSHion CVE-2024-6387 を悪用するシナリオも”Telegram zero-day allowed sending malicious Android APKs as videos
2024/07/22 BleepingComputer — EvilVideo と呼ばれる Telegram for Android のゼロデイ脆弱性により、攻撃者は動画ファイルに偽装した悪意のある Android APK ペイロードを送信できるようになった。ロシア語圏の XSS ハッキング・フォーラムで、2024年6月6日に脅威アクター Ancryno は、この欠脆弱性 Telegram v10.14.4 以下に存在すると投稿し、Telegram のゼロデイ・エクスプロイトの販売を開始した。
Continue reading “Telegam ゼロデイ脆弱性:ビデオを装いながら悪意の Android APK を配信”Fake CrowdStrike updates target companies with malware, data wipers
2024/07/21 BleepingComputer — 金曜日に CrowdStrike が引き起こした、アップデートの不具合による大規模なビジネスの混乱を悪用し、データ・ワイパーやリモート・アクセス・ツールを使って組織を狙っている脅威アクターたちがいるようだ。組織が影響を受けた Windows ホストを修正するために、誰もがサポートを求めている最中に、研究者や政府機関などが発見したのは、この状況を悪用するするフィッシング・メールの増加である。
Continue reading “CrowdStrike 障害:混乱に乗じてマルウェアやデータ・ワイパーが配布されている”Dark Gate Malware Campaign Uses Samba File Shares
2024/07/15 SecurityAffairs — 2024年3月〜4月に展開された、DarkGate マルウェア・キャンペーンに関するレポートを、Palo Alto Networks Unit 42 の研究者たちが公開した。このキャンペーンで用いられた手法は、公開されている SMB ファイル共有から、Microsoft Excel ファイルを介して、悪意のソフトウェア・パッケージをダウンロードさせるというものだった。Unit 42 の研究者たちによると、脅威アクターはマルウェアを配布するために、正規のツールやサービスを巧妙に悪用していたという。
Continue reading “DarkGate マルウェア:Samba と Excel を介して配布されている – Unit 42”Cybercriminals Escalate Attacks Exploiting Microsoft SmartScreen Flaw (CVE-2024-21412)
2024/07/07 SecurityOnline — Microsoft Defender SmartScreen の脆弱性 CVE-2024-21412 を悪用するサイバー攻撃が急増していることが、Cyble Research and Intelligence Labs (CRIL) が公開したレポートにより明らかになった。この脆弱性に対しては、すでにパッチが適用されているが、以前にも DarkGate や Water Hydra などの脅威グループのキャンペーンで悪用されていた。しかし、現在では、Lumma や MeduzaStealer といった情報窃取マルウェアを展開する、サイバー犯罪者たちにより広く悪用されている。
Continue reading “Microsoft SmartScreen の脆弱性 CVE-2024-21412:情報窃取マルウェアの展開に悪用されている”Microsoft MSHTML Flaw Exploited to Deliver MerkSpy Spyware Tool
2024/07/03 TheHackerNews — Microsoft MSHTML の脆弱性 CVE-2021-40444 を悪用して、MerkSpy という監視ツールを配信する、未知の脅威アクターが発見された。このキャンペーンでは、カナダ/インド/ポーランド/米国のユーザーが、主要ターゲットにされているという。Fortinet FortiGuard Labs の研究者である Cara Lin は、「MerkSpy は、ユーザーの活動を密かに監視して、機密情報を取得することに加えて、侵害したシステム上で永続性を確立するよう設計されている」と、先週に公開されたレポートで述べている。
Continue reading “Microsoft MSHTML の脆弱性 CVE-2021-40444:スパイウェア MerkSpy の配布で悪用”Water Sigbin Threat Actor Targets Oracle WebLogic Servers to Deploy XMRig Cryptominer
2024/06/30 SecurityOnline — Oracle WebLogic サーバを標的とし、XMRig 暗号通貨マイナーを展開する Water Sigbin という脅威アクター (別名 8220 Gang) による巧妙なキャンペーンが、Trend Micro の研究者たちにより発見された。このグループが主として狙っているのは、暗号マイニング・マルウェアの展開であり、Oracle WebLogic Server の脆弱性 CVE-2017-3506/CVE-2023-21839 などを悪用して、多段攻撃を開始していることが判明している。
Continue reading “Oracle WebLogic の古い脆弱性を悪用:暗号マイナーを展開する Water Sigbin とは?”TeamViewer Confirms Cyberattack by Notorious APT Group
2024/06/27 SecurityOnline — リモート・コントロール・ツールの TeamViewer が、深刻なサイバー攻撃を受けたことを公表した。TeamViewer のシステムへの侵入に成功したのは、APT29 (Midnight Blizzard) と呼ばれる洗練されたハッカー集団であり、未知の手法が用いられているという。しかし、現時点においては、TeamViewer の製品やユーザー・データは侵害されていない。
Continue reading “TeamViewer へのサイバー攻撃を確認:APT29 の犯行だと特定される”Breaking News: Widespread WordPress Plugin Compromise in Active Supply Chain Attack
2024/06/24 SecurityOnline — 世界で最も人気の CMS である WordPress が、広範なサプライチェーン攻撃に遭遇するという、重大なセキュリティ脅威に直面している。WordPress.org の公式リポジトリで提供されている5種類の人気プラグインが侵害され、数千の Web サイトが危険にさらされる可能性があるという。この、Wordfence Threat Intelligence により発見された侵害は、Social Warfare plugin 注入された悪質なコードから始まっていた。同チームが調査を進めたところ、4種類プラグインにも同じコードが含まれていることが判明し、協調的かつ継続的な攻撃が行われていることが判明した。
Continue reading “WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた”‘ONNX’ MFA Bypass Targets Microsoft 365 Accounts
2024/06/19 DarkReading — 高度に組織化された PhaaS (phishing-as-a-service operation) が、金融企業の Microsoft 365 アカウントを標的とし、2FA (two-factor authentication) バイパスや QR コードの悪用といった高度な回避技術を活用する、BEC (business email compromise) 攻撃を仕掛けていることが、研究者たちにより明らかになった。 6月18日のブログで EclecticIQ のセキュリティ・アナリストたちは、金融機関を標的とする広範なフィッシング・キャンペーンを、2024年2月の時点で発見したと述べている。標的となった組織には、アメリカ大陸/ヨーロッパ/中東/アフリカ (EMEA) 地域における、銀行/プライベート・ファンディング会社/信用組合のサービス・プロバイダーなどが含まれていたという。
Continue reading “ONNX という PhaaS と QR コード:Microsoft 365 アカウントに BEC 攻撃を展開”Fake Google Chrome errors trick you into running malicious PowerShell scripts
2024/06/17 BleepingComputer — Google Chrome/Microsoft Word/OneDrive のエラーを装い、ユーザーを騙してマルウェアをインストールさせるために、PowerShell の悪質な “修正プログラム” を実行させるという、新たなマルウェア配布キャンペーンが発生している。この新しいキャンペーンは、ClearFake や ClickFix と呼ばれる新しい攻撃クラスターを操る、複数の脅威アクターにより使用されていることが確認されている。また、大量のメールを送信してマルウェアやランサムウェアの感染を引き起こす、スパム配信者 TA571 にも使用されているようだ。
Continue reading “Google Chrome の偽エラー・トリックに要注意:巧みな誘導で悪意の PowerShell を実行”Truist Bank confirms breach after stolen data shows up on hacking forum
2024/06/13 BleepingComputer — 米国の大手商業銀行 Truist が認めたのは、2023年10月のサイバー攻撃で同社のシステムが侵害されたことだ。その後に、ハッキング・フォーラムで脅威アクターが、同社のデータの一部を売りに出している。ノースカロライナ州シャーロットに本社を置く Truist Bank は、2019年12月の SunTrust Banks と BB&T (Branch Banking and Trust Company ) の合併により誕生している。
Continue reading “Truist Bank から盗まれたデータが $1 M で販売されている:Snowflake との関連性は?”Phishing emails abuse Windows search protocol to push malicious scripts
2024/06/12 BleepingComputer — 新たに発見されたフィッシング・キャンペーンで用いられるのは、Windows 検索プロトコル (search-ms URI) を悪用する HTML 添付ファイルである。そこから、リモート・サーバにホストされているバッチ・ファイルがプッシュされ、最終的にはマルウェアの配信にいたるという。Windows Search プロトコルは URI (Uniform Resource Identifier) であり、アプリケーションが Windows エクスプローラを開き、特定のパラメータを介した検索を可能にするものだ。
Continue reading “Windows の検索プロトコルを悪用するフィッシング:ローカルとリモートの認識を混乱させる”Gitloker attacks abuse GitHub notifications to push malicious oAuth apps
2024/06/10 BleepingComputer — フィッシング攻撃を介して GitHub のセキュリティ/リクルート・チームになりすまし、悪意の OAuth アプリを用いてリポジトリを乗っ取り、侵害したリポジトリを消去すると脅すキャンペーンが現在進行中だという。遅くとも 2024年2月以降において、このキャンペーンで標的とされた数十人の開発者が、侵害された GitHub アカウントを用いて、ランダムなリポジトリの課題や、プルリクエストに追加されたスパム・コメントにタグ付けされた後に、”notifications@github.com” から偽の求人や警告のメールを受け取っているようだ。
Continue reading “GitHub のノーティフィケーションを介したフィッシング:悪意の oAuth アプリ・プッシュには要注意”Malicious VSCode extensions with millions of installs discovered
2024/06/09 BleepingComputer — Visual Studio Code マーケットプレイスの、セキュリティを調査していたイスラエルの研究者グループが、人気の公式テーマである “Dracula Official” のコピーに、実験として悪意のコードを取り込んだトロイの木馬により、100以上の組織を擬似的に感染させることに成功した。さらに、彼らが VSCode マーケットプレイスを調査したところ、数千もの悪意のエクステンションが、数百万もインストールされていることが判明した。
Continue reading “Microsoft VSCode 調査:数百万回もインストールされた悪意のエクステンションを発見!”Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI
2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている。
Continue reading “PyPI に新たな悪意のパッケージ :Crytic-Compiler を装い Lumma スティーラーを配布”361 million account credentials leaked on Telegram: Are yours among them?
2024/06/04 HelpNetSecurity — Have I Been Pwned (HIBP) とは、ユーザーのアカウント情報などのデータが、データ侵害で漏洩したかどうかをチェックできる無料のオンライン・サービスである。その HIBP に、3億6,100万件のメール・アドレスが新たに追加されてしまった。同サービスの作成者である Troy Hunt は、そのうち 1億5100万件は、これまでの HIBP では確認されたことがないものだと言う。彼は、「これらのメール・アドレスと一緒に、パスワードがある。多くの場合において、データが関連する Web サイトもあった」と述べている。
Continue reading “Telegram アカウントから 3億6,100万件のメール・アドレスが流出:あなたは大丈夫?”
IoT OT Security News 
You must be logged in to post a comment.