Category: TTP

情報スティーラー・ビジネスの活性化:ロシア市場での盗難ログ取引量が 670% 増

Infostealer Malware Surges: Stolen Logs Up 670% on Russian Market

2023/05/16 InfoSecurity — Secureworks Counter Threat Unit (CTU) が明らかにしたのは、ロシアのオンライン市場で、盗まれたログ情報の販売が活性化しており、その増加率は 670%を記録していることである。この最新の調査結果は、”The Growing Threat From Infostealers” というレポートに記載されているものだ。同レポートは、ランサムウェア攻撃などのサイバー犯罪活動を円滑にする上で、きわめて重要な役割を果たす、情報スティーラー市場の繁栄ぶりにフォーカスしている。Secureworks の VP of CTU である Don Smith は、「企業へのアクセスを素早く獲得し、そのアクセスからの収益化を狙うサイバー犯罪者たちが、情報スティーラーに目をつけるのは自然なことだ」とコメントしている。

Continue reading “情報スティーラー・ビジネスの活性化:ロシア市場での盗難ログ取引量が 670% 増”

ZIP/MOV という新たな TLD は危険か? セキュリティ専門家たちの間で議論が沸騰

New ZIP domains spark debate among cybersecurity experts

2023/05/16 BleepingComputer — Google た立ち上げる新たな ZIP/MOV インターネット・ドメインについて、脅威アクターがフィッシング攻撃やマルウェア配信に悪用する可能性があると、サイバー・セキュリティ研究者たちと IT 管理者たちが警告している。Google は5月初めに、Web サイトやEメールのホスティングに使用できる、8つの新しい TLD (Top-Level Domains) を発表した。それらの新しい TLD は、.dad/.esq/.prof/.phd/.nexus/.foo、そして本記事で取り上げる .zip/.mov だ。

Continue reading “ZIP/MOV という新たな TLD は危険か? セキュリティ専門家たちの間で議論が沸騰”

Qilin は新たな RaaS:Rust/Go を採用により高度なステルス攻撃を成功させている

Qilin’s Dark Web Ransomware Targets Critical Sectors

2023/05/15 InfoSecurity — Qilin ランサムウェア・グループの、オペレーションおよび Ransomware-as-a-Service (RaaS) プログラムに関する、新たな情報が明らかになった。Group-IB の Threat Intelligence Team は、最新の調査研究の一環として Qilin 内部に潜入した。そこから得られた分析の結果として、重要セクターをターゲットとしていることや、採用されている高度な技術に関する洞察が明らかになったと述べている。Qilin は Agenda とも呼ばれるランサムウェアであり、2022年8月に発見されてから、深刻な脅威として浮上しているとのことだ。

Continue reading “Qilin は新たな RaaS:Rust/Go を採用により高度なステルス攻撃を成功させている”

MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec

Stealthy MerDoor malware uncovered after five years of attacks

2023/05/15 BleepingComputer — 南アシア/東南アジアの政府機関/航空機関/通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立/コマンドの実行/キーロギングを行ってきたことだ。

Continue reading “MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec”

Discord で発生したサプライチェーン攻撃:ユーザーの機密情報が流出した可能性

Discord Breached After Service Agent Targeted

2023/05/15 InfoSecurity — Discord のユーザーに送られた通知は、サードパーティ・カスタマー・サービス・エージェントのサポート・チケット・キューに、脅威アクターが不正アクセスした際に発生したデータ侵害に関するものだ。影響を受けたユーザーに送られたメッセージには、「このインシデントの性質上、あなたの電子メールアドレスおよび、あなたと Discordの 間で交換された顧客サービス・メッセージの内容および添付ファイルが、第三者に公開されている可能性がある」と書かれていることを InfoSecurity は確認している。

Continue reading “Discord で発生したサプライチェーン攻撃:ユーザーの機密情報が流出した可能性”

Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint

How Cybercriminals Adapted to Microsoft Blocking Macros by Default

2023/05/13 DarkReading — Office Macro をデフォルトでブロックすることを、Microsoft が決定してからというもの、脅威アクターたちは進化を余儀なくされ、マルウェア配信のための新たな方法を。かつてない速度で導入している。長期間にわたって脅威アクターたちは、悪意の Microsoft Office マクロを使用して、ターゲットのコンピュータの内部にフックを仕掛けてきた。そのため、2022年に Microsoft は、インターネットからダウンロードされるファイルに対して、デフォルトでマクロをブロックするようになった (不均一ではあっても) 。

Continue reading “Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint”

Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された

Leaked source code of Babuk ransomware used by 10 different ransomware families targeting VMware ESXi

2023/05/12 SecurityAffairs — 2021年に流出した Babuk ランサムウェアのソースコードをベースにして、VMware ESXi ロッカーを使用する 10件のランサムウェア・ファミリーを、SentinelLabs の研究者たちが特定した。研究者たちが指摘するのは、これらのランサムウェア・ファミリーが、2022年下半期〜2023年上半期に確認されている点である。つまり、Babuk ランサムウェアのソースコードを使用する、脅威アクターが増加していると推測されるという。それらの脅威アクターたちは、流出したソースコードを利用することで、Linux システムを標的としたランサムウェアを、専門知識がなくても作成できるようになると、専門家たちは説明している。

Continue reading “Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された”

XWorm マルウェアを配信するフィッシング攻撃が急増中:脆弱性 Follina が悪用されている

XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks

2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk/Tim Peck/Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。

Continue reading “XWorm マルウェアを配信するフィッシング攻撃が急増中:脆弱性 Follina が悪用されている”

Cyber Threat Landscape 2023/04:リスク・インテリジェンスの指標 – Flashpoint

Risk Intelligence Index: The April 2023 Cyber Threat Landscape

2023/05/11 SecurityBoulevard — Flashpoint の最新のランサムウェア・インフォグラフィックは、サイバー犯罪者が採用する戦術の洗練と、進化する脅威の状況を痛烈に描き出している。2023年4月に、同社のアナリストたちは、合計で 411件のランサムウェア攻撃を観測している。

Continue reading “Cyber Threat Landscape 2023/04:リスク・インテリジェンスの指標 – Flashpoint”

Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用

Stealthier version of Linux BPFDoor malware spotted in the wild

2023/05/11 BleepingComputer — Linux マルウェアである BPFDoor で、高ステルス性の新たな亜種が発見された。このマルウェアの特徴は、より強固な暗号化とリバース・シェル通信を備えている点にある。BPFDoor はステルス性の高いバックドア・マルウェアであり、遅くとも 2017年から活動していたと見られているが、セキュリティ研究者により発見されたのは、1年ほど前のことである。このマルウェアの名前は、Berkley Packet Filter  (BPF) を悪用して、受信トラフィックのファイアウォール制限を回避することに由来している。BPFDoor は、侵入した Linux システム上で、脅威アクターが長時間の持続性を維持し、長期間にわたって検出を回避するように設計されている。

Continue reading “Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用”

Windows のフェイク・アップデートが登場:Aurora 情報スティーラーをプッシュしている

Fake in-browser Windows updates push Aurora info-stealer malware

2023/05/10 BleepingComputer — 先日に発見された不正広告キャンペーンは、ブラウザ内の Windows アップデート・シミュレーションでユーザーを騙し、情報窃取マルウェア Aurora を配信するものだ。Golang で書かれた Aurora は、広範な機能を持ち、アンチウイルス検出率が低い情報シティーラーとして、1年以上も前から各種ハッカー・フォーラムで公開されている。Malwarebytes の研究者たちによると、このマルバーター作戦は、トラフィックの多いアダルト・コンテンツの Web サイト上のポップ・アンダー広告を用いて、そこを訪れた潜在的な被害者を、マルウェア提供場所へとリダイレクトさせるものだという。

Continue reading “Windows のフェイク・アップデートが登場:Aurora 情報スティーラーをプッシュしている”

Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!

New ‘Greatness’ service simplifies Microsoft 365 phishing attacks

2023/05/10 BleepingComputer — Greatness という名の Phishing-as-a-Service (PhaaS) プラットフォームは、Microsoft 365 を使用している組織を、米国/英国/カナダ/オーストラリア/南アフリカでターゲットとしており、活動量を急増させていることが判明した。クラウドベースの Microsoft 365 は、世界中の多くの組織で使用されており、ネットワーク侵害で悪用するデータや認証情報を盗み出すサイバー犯罪者にとって、貴重なターゲットになっている。

Continue reading “Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!”

Snake はロシア FSB 由来:米政府が無効化した最強のスパイツールとは?

U.S. Government Neutralizes Russia’s Most Sophisticated Snake Cyber Espionage Tool

2023/05/10 TheHackerNews — ロシア連邦の FSB (Federal Security Service) が保有する、高度なマルウェア Snakeが侵害したグローバル・ネットワークを、裁判所の許可を得た米国政府が、5月12日に停止したことが発表された。最も洗練されたサイバー・スパイ・ツールとされる Snake の背後には、Turla (別名 Iron Hunter/Secret Blizzard/SUMMIT/Uroburos/Venomous Bear/Waterbug) と呼ばれるロシアの国家支援グループがいるとされるが、その正体について米国政府は、FSB の Center 16 のユニットであると見ている。

Continue reading “Snake はロシア FSB 由来:米政府が無効化した最強のスパイツールとは?”

Microsoft Secure Boot のゼロデイ CVE-2023-24932:アップデートしてもデフォルトでは無効?

Microsoft issues optional fix for Secure Boot zero-day used by malware

2023/05/09 BleepingComputer — Microsoft がリリースしたセキュリティ・アップデートは、Secure Boot のゼロデイ脆弱性に対応するものであり、パッチを適用した Windows システムであっても、BlackLotus UEFI Bootkit による感染を許すものだった。Secure Boot とは、セキュリティ機能のひとつである。Unified Extensible Firmware Interface (UEFI) ファームウェアと Trusted Platform Module (TPM) チップを搭載したコンピュータにおいて、OEM に信頼されていないブートローダーがブロックされ、起動プロセス中にルートキットがロードされないようにするものだ。

Continue reading “Microsoft Secure Boot のゼロデイ CVE-2023-24932:アップデートしてもデフォルトでは無効?”

AndoryuBot という新たなボットネット:Ruckus Wireless の脆弱性を突いて増殖している

New Botnet Campaign Exploits Ruckus Wireless Flaw

2023/05/09 InfoSecurity — Linux ベースの Ruckus AP (access point) に存在する深刻な脆弱性が、リモート攻撃を仕掛ける脅威アクターにより制御を奪われる可能性があることが判明した。Fortinet の最新アドバイザリによると、2023年2月に発見された脆弱性 CVE-2023-25717 が、AndoryuBot という新たなボットネットに悪用されているという。

Continue reading “AndoryuBot という新たなボットネット:Ruckus Wireless の脆弱性を突いて増殖している”

QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染

QR codes used in fake parking tickets, surveys to steal your money

2023/05/08 BleepingComputer — QR コードは便利なものであるため、スーパーボウルの広告や駐車料金の徴収といった、合法的な組織で多く利用されている一方で、この技術を悪用する詐欺師も出現している。シンガポールではタピオカの専門店で QR コード・アンケートに答えた女性が $20,000 を騙し取られ、米国や英国では QR コード付きの偽駐車違反キップの事例が確認されている。

Continue reading “QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染”

Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施

Microsoft enforces number matching to fight MFA fatigue attacks

2023/05/08 BleepingComputer — Microsoft は、MFA 疲労攻撃を防ぐため、Microsoft Authenticator のプッシュ通知において番号照合を実施することにした。この種の、プッシュボミング/MFA プッシュスパム攻撃を実施する脅威アクターたちは、盗み出した認証情報を悪用し、モバイル・プッシュ通知が承認されるまでターゲットに送り続け、企業アカウントにログインしようとする。多くのケースにおいて、標的にされた被害者は、無限に続く警告を止めるために、あるいは、誤って悪意の MFA プッシュ要求に応じ、アカウントへの攻撃者のログインを許してしまう。

Continue reading “Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施”

AI による音声クローン作成:3秒間のデータがあれば詐欺の成功率は 85% というレベル – McAfee

Your voice could be your biggest vulnerability

2023/05/08 HelpNetSecurity — McAfee によると、オンライン音声詐欺の増加に AI 技術が拍車をかけており、人の声を複製するのに必要な音声は、わずか3秒であることが判明している。7カ国の 7,054人を対象に McAfee が調査したところ、成人の 4分の1 が何らかの AI 音声詐欺を経験したことがあり、10人に 1人が個人的に狙われ、15% が知人に起こったと回答している。結果として、被害者の 77% が騙され、金銭を失ったと回答している。McAfee Labs のセキュリティ研究者たちは、AI 音声クローニング技術と、サイバー犯罪者による悪用に関する、徹底的な調査から得た知見と分析を明らかにした。

Continue reading “AI による音声クローン作成:3秒間のデータがあれば詐欺の成功率は 85% というレベル – McAfee”

Akira というランサムウェアが登場:すでに 16社を侵害したと主張している

Meet Akira — A new ransomware operation targeting the enterprise

2023/05/07 BleepingComputer — 新たなランサムウェア Akira が、世界中の企業ネットワークに侵入してファイルを暗号化し、徐々に犠牲者のリストを増やし、million-dollar の身代金を要求している。2023年3月に検出された Akira は、すでに 16社の企業に対して攻撃を行ったと主張している。それらの企業には、教育/金融/不動産/製造/コンサルティングなどの、さまざまな業種が含まれている。Akira という名前の、別のランサムウェアが、2017年にリリースされているが、今回のオペレーションとは関連性はないと考えられている。

Continue reading “Akira というランサムウェアが登場:すでに 16社を侵害したと主張している”

Python パッケージに新たなマルウェア Kekw:データ窃取と暗号ハイジャックを仕掛ける

“Kekw” Malware in Python Packages Could Steal Data and Hijack Crypto

2023/05/05 InfoSecurity — PyPI (Python Package Index) 上で発見された、Kekw と呼ばれる新しいマルウェアを取り込んだ、複数の有害な Python .whl ファイルが存在しているという。Cyble Research and Intelligence Labs (CRIL) の最新の調査によると、Kekw マルウェアは感染済のシステムからの機密情報の窃取および、暗号通貨取引をハイジャックするクリッパー・アクティビティなどを行うという。

Continue reading “Python パッケージに新たなマルウェア Kekw:データ窃取と暗号ハイジャックを仕掛ける”

OSI の 7-Layers モデルをセキュリティ面から考える:各層と攻撃手法をマッピングしてみた

An overview of the OSI model and its security threats

2023/05/05 Tripwire — Open Systems Interconnection (OSI) モデルは、International Standards Organization (ISO) が作成した概念的なフレームワークであり、あらゆるコンピュータ・ネットワーク書籍において、40年以上にわたって使用されている。また、ほぼ全てのサイバー・セキュリティ試験で、好んで使用されるリソースでもある。OSI モデル は、コンピュータ・システム間の通信が行われる方式を理解する際に有効な、7つの層で表現されている。具体的に言うと、各層におけるプロトコル/サービス/インターフェイスを排他的に分離するため、ネットワークに関連するトラブルシューティングに有益であり、メーカーが技術を定義する際に、他社との互換性を維持するためにも有効である。

Continue reading “OSI の 7-Layers モデルをセキュリティ面から考える:各層と攻撃手法をマッピングしてみた”

Kimsuky APT は北朝鮮由来:ReconShark という偵察ツールで標的を狙い続ける

N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks

2023/05/05 TheHackerNews — Kimsuky という名の、北朝鮮の国家に支援される脅威アクターは、進行中のグローバル・キャンペーンの一環として、ReconShark という新たな偵察ツールを使用していることが判明した。 SentinelOne の研究者である Tom Hegel と Aleksandar Milenkoski は、「ReconShark は、スピアフィッシング・メールおよび、文書のダウンロードにつながる OneDrive リンク、そして、悪意のマクロの実行を介して、標的とする個人に対して配信されている」と述べている。

Continue reading “Kimsuky APT は北朝鮮由来:ReconShark という偵察ツールで標的を狙い続ける”

HTML 内に仕込まれたマルウェアの進化:セキュリティ・スキャンを難しくする手口とは

Barracuda Networks Reports Shift in HTML Malware Tactics

2023/05/05 SecurityBoulevard — Barracuda Networks が発表したレポートによると、HTML ファイル内にマルウェアを埋め込むバー犯罪者が、外部サイトへのリンクを介して悪意のペイロードを配信するケースが増えているようだ。このようなアプローチの変化により、一部のセキュリティ・スキャナでは、メールに埋め込まれたマルウェアを検出することが難しくなっている。

Continue reading “HTML 内に仕込まれたマルウェアの進化:セキュリティ・スキャンを難しくする手口とは”

BlackBerry 脅威レポート:1位 米国/2位 ブラジル/3位 日本という攻撃頻度が判明

BlackBerry Report Surfaces Increasing Rate of Cyberattacks

2023/05/05 SecurityBoulevard — BlackBerry が発表した脅威インテリジェンス・レポートによると、同社のサイバー・セキュリティ・ソフトウェア/サービスを利用している組織に対して、2022年12月〜2023年2月には1分あたり12件のサイバー攻撃が行われ、そのうち 1.5件は新しいマルウェア・サンプルに基づく攻撃であることが判明した。BlackBerry のレポートでは、これらの攻撃が行われているロケーションの変化についても指摘されている。1位の米国に次いで、2位はブラジル、3位は日本、4位はカナダとなり、シンガポールが初めて Top-10 にランクインしたとのことだ。

Continue reading “BlackBerry 脅威レポート:1位 米国/2位 ブラジル/3位 日本という攻撃頻度が判明”

Fleckpe というトロイの木馬:Google Playから 60万回ダウンロードされている

Subscription Trojan Downloaded 600K Times From Google Play

2023/05/05 InfoSecurity — セキュリティ研究者たちが発見した新しいトロイの木馬型マルウェアは、Google Play から提供される 11種類の Android アプリ内に潜み、620,000 台以上のデバイスにインストールされているというものだ。Kaspersky により Fleckpe と命名された、このマルウェアは Jocker および Harly 系統に類似しており、2022年から活動を開始している。このマルウェアは、被害者を密かにプレミアム・サービスに加入させ、ユーザーが気づかない間にオペレーターに収益をもたらすように設計されている。

Continue reading “Fleckpe というトロイの木馬:Google Playから 60万回ダウンロードされている”

DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos

Hackers start using double DLL sideloading to evade detection

2023/05/03 BleepingComputer — Dragon Breath/Golden Eye Dog/APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。 これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。

Continue reading “DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos”

Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う

Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics

2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。

Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”

ChatGPT の偽デスクトップ・アプリ:Chrome のログイン・データを盗み出すマルウェアだ – Trend Micro

Fake ChatGPT desktop client steals Chrome login data

2023/05/02 HelpNetSecurity — ChatGPT Windows デスクトップ・クライアントを模倣したマルウェアにより、Google Chrome のログインデータ・フォルダに保存された認証情報をコピーしていく情報窃盗犯について、研究者たちが警告を発している。ChatGPT は公式のデスクトップ・クライアントをリリースしていないが、この偽バージョンは、ユーザーが期待するものを作り込んでいるという。

Continue reading “ChatGPT の偽デスクトップ・アプリ:Chrome のログイン・データを盗み出すマルウェアだ – Trend Micro”

ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point

North Korea-linked ScarCruft APT uses large LNK files in infection chains

2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。

Continue reading “ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point”

hVNC は高スティルス性のマルウェア:ロシアの犯罪グループ Lobshot が API を介して悪用

New ‘Lobshot’ hVNC Malware Used by Russian Cybercriminals

2023/05/01 SecurityWeek — ロシアのサイバー犯罪グループ TA505 が、最近の攻撃で新たな hVNC (Hidden Virtual Network Computing) マルウェアを使用していると、脅威情報会社 Elastic が報告している。この、Lobshot と呼ばれるマルウェアは、不正検知エンジンを回避し、感染させたマシンに対して、攻撃者によるステルス・アクセスを可能にする。その攻撃は、Google 広告や偽サイトのネットワークを悪用して、ユーザーを騙すところから始まる。そして、バックドアを含む正規のインストーラをダウンロードさせる、マルバタイジングにより配布されていく。

Continue reading “hVNC は高スティルス性のマルウェア:ロシアの犯罪グループ Lobshot が API を介して悪用”

T-Mobile でデータ侵害が発生:2023 年に入って二度目の深刻なインシデントを公表

T-Mobile discloses second data breach since the start of 2023

2023/05/01 BleepingComputer — 2023年2月下旬から1ヶ月以上にわたって、T-Mobile の数百人分の個人情報に、攻撃者がアクセスしていたことが判明し、同社は今年に入ってからの2度目のデータ漏洩を公表した。T-Mobile が過去に報告したデータ漏洩インシデント (最新のものは 3700万人に影響を与えた) と比較すると、今回は 836人の顧客が影響を受けただけだった。それでも、漏洩した情報の量はきわめて広範囲に及び、影響を受けた個人は、個人情報の盗難やフィッシング攻撃にさらされることになる。

Continue reading “T-Mobile でデータ侵害が発生:2023 年に入って二度目の深刻なインシデントを公表”

人工衛星の乗っ取りを実演:Thales が証明した制御方法とは?

White hat hackers showed how to take over a European Space Agency satellite

2023/04/30 SecurityAffairs — 宇宙産業のサイバー・セキュリティに特化した、欧州のイベントである CYSAT の第3回目が開催された。同イベントで ESA (European Space Agency) は、衛星のテスト・ベンチを設置し、ホワイトハット・ハッカーを招き、デモンストレーション目的で運用している超小型衛星 OPS-SAT を制御する試みを行った。そこで、Thales の Offensive Cybersecurity Team は、世界初の倫理的衛星ハッキング演習とされる、ESA 衛星の制御方法を実演した。

Continue reading “人工衛星の乗っ取りを実演:Thales が証明した制御方法とは?”

ViperSoftX 情報スティーラー:KeePass/1Password も標的にする最凶のマルウェアとは?

ViperSoftX info-stealing malware now targets password managers

2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。

Continue reading “ViperSoftX 情報スティーラー:KeePass/1Password も標的にする最凶のマルウェアとは?”

北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査

Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive

2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト/カナダ/マレーシアといった、遠方の国々へと広がっている。

Continue reading “北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査”

2023年 Q1 のサイバー攻撃:グローバルでの件数は 7% の増加 – Check Point 調査

Global Cyber Attacks Rise by 7% in Q1 2023

2023/04/28 InfoSecurity — 2023年 Q1 におけるサイバー攻撃は、昨年同期と比較して全世界で 7% 増加し、調査対象となった各企業は、平均で 1248件/週の攻撃に直面していることが判明した。この数字は、Check Point の最新調査レポートによるものであり、教育/研究の分野が最も多くの攻撃を受け、平均で 2507件/週 (前年比で 15% 増) まで上昇したことも示されている。このレポートには、「攻撃の量は僅かな上昇に留まっているが、正規のツールを武器化する方法を見つけ出したサイバー犯罪者による、洗練された悪意のキャンペーンを目撃している」と記されている。

Continue reading “2023年 Q1 のサイバー攻撃:グローバルでの件数は 7% の増加 – Check Point 調査”

Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee

Minecraft Clones with 35 Million Installs Contained Adware

2023/04/28 InfoSecurity — Google Play からダウンロードした Minecraft 風のモバイル・ゲーム数十本に、秘密のアドウェアが含まれていたことが McAfee の調べで明らかになった。McAfee によると、Block Box Master Diamond/Craft Monster Crazy Sword/Craft Rainbow Mini Builder といったタイトルのゲーム計 38本が発見され、世界中で少なくとも 3500万人のユーザーがインストールしたことを明らかにした。McAfee が検出した問題のアドウェア Android/HiddenAds.BJL とは、ユーザーに知られることなく収益を得るために、バックグラウンドで広告をロードするものだ。

Continue reading “Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee”

Google Play の 2022年の戦い:ブロックした悪質なアプリは 140万件!

Google Blocked 1.4 Million Bad Apps From Google Play in 2022

2023/04/28 SecurityWeek — Google Play におけるセキュリティ機能の強化により、悪質なアプリケーションの公開が、2022年には 140万件以上もブロックされたとのことだ。強化されたポリシーに加えて、機械学習とアプリ審査プロセスの改善を組み合わせたことで、Google Play のポリシーに違反する悪質なアプリを、自動的にブロックすることができたと、同社は述べている。さらに、Android の保護とポリシーの強化に加えて、開発者への教育が進んだことで、これまでの3年間で 50万件以上のアプリにおいて、不必要な機密権限へのアクセスが遮断されたと Google は付け加えている。

Continue reading “Google Play の 2022年の戦い:ブロックした悪質なアプリは 140万件!”

Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET

Tencent QQ users hacked in mysterious malware attack, says ESET

2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土/香港/マカオ/ナイジェリア/東南アジア/東アジアなどの国々で、さまざまな組織や個人を標的としてきた。

Continue reading “Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET”

TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX:Mirai による悪用も検出

TP-Link Archer WiFi router flaw exploited by Mirai malware

2023/04/25 BleepingComputer — マルウェア・ボットネット Mirai は、TP-Link Archer A21 (AX1800) WiFi ルーターに存在する脆弱性 CVE-2023-1389 を積極的に悪用して、このデバイスを DDoS (分散サービス拒否) の大群に組み込んでいる。2022年12月に開催された Pwn2Own Toronto のハッキング・イベントで、この欠陥の悪用に挑んだ2つのハッキング・チームが、異なる経路 (LAN/WAN インターフェイス・アクセス) を介して、このデバイスへの侵入を成功させた。

Continue reading “TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX:Mirai による悪用も検出”

ロシア国家支援の APT グループ Tomiris/Turla の関連性を掘り下げる – Kaspersky

Kaspersky Analyzes Links Between Russian State-Sponsored APTs

2023/04/25 SecurityWeek — ロシアと連携する ATP (Advanced Persistent Threat) 脅威アクター Tomiris と Turla の両者は、最小限レベルで協調しているようだ。この情報は、ロシアのサイバー・セキュリティ企業 Kaspersky からのものだ。Snake/Venomous Bear/Krypton/Waterbug としても追跡される Turla は、2006 年から ComRAT マルウェアに関与し、ロシア政府との関係があると考えられている。その一方で Tomiris は、比較的に新しいハッキング・グループであり、2021年に詳細が発表され、現在も活動を続けている。同グループは、主に CIS (Commonwealth of Independent States) 諸国の政府や外交機関をターゲットに、情報収集のために活動している。

Continue reading “ロシア国家支援の APT グループ Tomiris/Turla の関連性を掘り下げる – Kaspersky”

フィッシングの 2022年を総括:AI ツールにより高度化/急増しているキャンペーン – Zscaler

AI tools help attackers develop sophisticated phishing campaigns

2023/04/25 HelpNetSecurity — Zscaler のレポートによると、フィッシング詐欺の手法が洗練され、検知やブロックが困難になっていることで、サイバー犯罪の脅威が増大しているとのことだ。このレポートでは、現代のフィッシング攻撃の大半が、盗まれた認証情報に依存していることも明らかにされている。さらに、最近トレンドとして、中間者攻撃 (AitM) や、InterPlanetary File System (IPFS) の利用増加、ブラックマーケットから調達したフィッシング・キット、ChatGPT などの AI ツールへの依存についても概説している。

Continue reading “フィッシングの 2022年を総括:AI ツールにより高度化/急増しているキャンペーン – Zscaler”

Facebook で新たなフィッシング・キャンペーン:3200件の偽プロフィールを展開 – Group-IB

Scammers Impersonate Meta in Facebook Campaign With 3200 Profiles

2023/04/24 InfoSecurity — Facebook ユーザーを対象として、3,000以上の偽プロフィールを展開している脅威アクターが、新しいフィッシング・スキームを用いて、認証情報を盗み出そうとしていることが判明した。4月24日 (月) に発表したアドバイザリで、Group-IB DRP (Digital Risk Protection) の専門家たちは、「現時点において依然としてアクティブに活動している」と、このキャンペーンについて説明している。Group-IB の Sharef Hlal と Karam Chatra は、「2023年2月〜3月に、このキャンペーンを操るサイバー犯罪者が侵害/作成した、3,200以上の詐欺プロフィールを発見した」と述べている。

Continue reading “Facebook で新たなフィッシング・キャンペーン:3200件の偽プロフィールを展開 – Group-IB”

BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks

Google ads push BumbleBee malware used by ransomware gangs

2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom/Cisco AnyConnect/ChatGPT/Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader  の代替として、Conti チームが開発したものだと考えられている。

Continue reading “BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks”

Kubernetes の RBAC を悪用:暗号マイニングの大規模キャンペーンが始まっている – Aqua

Kubernetes RBAC Exploited in Large-Scale Campaign for Cryptocurrency Mining

2023/04/21 TheHackerNews — この、野放し状態の大規模な攻撃キャンペーンは、Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを走らせていた。クラウド・セキュリティ会社の Aqua は、「攻撃者は、標的である K8s クラスターのリソースを乗っ取り、ハイジャックするために DaemonSets を展開した。この攻撃を RBAC Buster と名付けた同社は、このキャンペーンの背後にいる脅威アクターにより悪用された、60 件の露出した K8s クラスターを発見した」と、The Hacker News と共有したレポートの中で述べている。

Continue reading “Kubernetes の RBAC を悪用:暗号マイニングの大規模キャンペーンが始まっている – Aqua”

3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec

North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec

2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。

Continue reading “3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec”

AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始

‘AuKill’ Malware Hunts & Kills EDR Processes

2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。 最近の2つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。

Continue reading “AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始”

WordPress プラグイン Eval PHP:スティルス・バックドアに悪用されている

Attackers use abandoned WordPress plugin to backdoor websites

2023/04/20 BleepingComputer −−− WordPress の正規プラグインである、Eval PHP を悪用する脅威アクターたちはステルス・バックドアを注入することで、Web サイトを侵害している。Eval PHP プラグインとは、サイト管理者が WordPress サイトのページや投稿に PHP コードを埋め込み、ブラウザでページを開いたときにコードを実行できるようにするものだ。このプラグインは、過去 10年間更新されておらず、アバンダンウェアと見なされている。しかし、今も WordPress のプラグイン・リポジトリで入手可能となっている。

Continue reading “WordPress プラグイン Eval PHP:スティルス・バックドアに悪用されている”

ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査

Google: Ukraine targeted by 60% of Russian phishing attacks in 2023

2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視/妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。

Continue reading “ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査”

RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!

Takedown of GitHub Repositories Disrupts RedLine Malware Operations

2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ/サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。

Continue reading “RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!”

Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?

YouTube Videos Distributing Aurora Stealer Malware via Highly Evasive Loader

2023/04/18 TheHackerNews — サイバー・セキュリティ企業の Morphisec が The Hacker News に共有したのは、情報スティーラー型マルウェア Aurora の配信に使用される in2al5d p3in4er  (invalid printer) という、きわめて検出回避能力の高いローダーの内部構造に関するレポートだ。このレポートで、サイバー・セキュリティ研究者たちは、「in2al5d p3in4er ローダーは、Embarcadero RAD Studio でコンパイルされ、高度なアンチ VM (仮想マシン) 技術を使って、エンドポイント・ワークステーションを標的にしている」と説明している。

Continue reading “Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?”