Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進

Russian Hackers Heavily Using Malicious Traffic Direction System to Distribute Malware

2022/01/19 TheHackerNews — サブスクリプション・ベースの Crimeware-as-a-Service (CaaS) ソリューションと、クラックされた Cobalt Strike のコピーの連携が確立され、脅威アクターによる侵入後の活動を支えるツールとして提供されていると、研究者たちは疑っている。この種のサービスだと言われる Prometheus の存在は、サイバー・セキュリティ企業である Group-IB が、悪意のソフトウェア配布キャンペーンの詳細を開示した 2021年8月に明らかにされた。

Continue reading “Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進”

クレデンシャル・スタッフィング攻撃:現状を理解して対策を講じるために

The State of Credential Stuffing Attacks

2022/01/17 SecurityIntelligence — この数年において、クレデンシャル・スタッフィングが、デジタル攻撃者の間で好まれる手口となっている。Help Net Security の報告によると、研究者たちは 2020年に、世界で 1,930億件のクレデンシャル・スタッフィング攻撃を検出した。そのうち、金融サービス分野は 34億件の攻撃を受け、前年比で45%以上の増加となっている。Business Wire によると、2021年の上半期に詐欺師たちは、既存のユーザー・アカウントへの侵入や、新しいアカウントの作成などにより、デジタルア・カウントを標的にしてきた。そのうちの 30% ほどが、クレデンシャル・スタッフィングによる攻撃だった。

Continue reading “クレデンシャル・スタッフィング攻撃:現状を理解して対策を講じるために”

サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

2022/01/13 DarkReading — 最近の攻撃キャンペーンには、パブリック・クラウドのインフラを利用して、コモディティ RAT である Nanocore/Netwire/AsyncRAT の亜種を配信し、ユーザーのデータを標的にするものが見られると、研究者たちが報告している。この、10月に発見された攻撃キャンペーンは、攻撃者が自身でインフラをホストせずに目的を達成するために、クラウド利用を増やしていることが明示されていると、Cisco Talos の研究者たちが報告している。

Continue reading “サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち”

Google Docs コメントを武器化する新たなフィッシング・キャンペーンに注意

Google Docs Comments Weaponized in New Phishing Campaign

2022/01/07 DarkReading — 最近のフィッシング・キャンペーンにおいて、Google Docs のコメント機能を悪用することで、正当に見えるメールを送信し、ターゲットに悪意のリンクをクリックさせるものが発見された。このキャンペーンを発見した Avanan の研究者たちによると、Google Suite に対するユーザーの信頼性を悪用する方法は、今回が初めてではないとのことだ。

Continue reading “Google Docs コメントを武器化する新たなフィッシング・キャンペーンに注意”

Elephant Beetle:組織化された金融窃取の背後にあるハッカー・グループとは?

Researchers Uncover Hacker Group Behind Organized Financial-Theft Operation

2022/01/05 TheHackerNews — サイバー・セキュリティの研究者たちは、少なくとも4年間にわたって、主にラテンアメリカに所在するエンティティからのトランザクション処理とサイフォン資金を標的にする、慎重な脅威アクターにより実行される組織的な金融窃取作戦を暴いた。イスラエルのインシデント・レスポンス企業である Sygnia は、Elephant Beetle と名付けた悪質なハッキング・グループが、銀行や小売店を標的に、良心的な活動に紛れて不正な取引を注入していたと発表した。

Continue reading “Elephant Beetle:組織化された金融窃取の背後にあるハッカー・グループとは?”

Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike

Hackers start pushing malware in worldwide Log4Shell attacks

2021/12/12 BleepingComputer — 脅威アクターたちは、Log4j Log4Shell CVE-2021-44228 の脆弱性をスキャン/悪用し、脆弱なサーバを見つけ出しマルウェアの展開などを行っている。この記事では、Log4j の脆弱性を悪用する既知のペイロード/スキャン/攻撃をまとめている。周知の通り、金曜日の早朝に、Web サーバーやアプリケーションのログ・アクセスに使用される、Java ベースのログ・プラットフォーム Apache Log4j に存在する、「Log4Shell」と呼ばれる深刻なゼロデイ脆弱性のエクスプロイトが公開された。

Continue reading “Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike”

Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

2021/12/07 BleepingComputer — Emotet による Cobalt Strike Beacon の、ダイレクトなインストールが可能となり、また、ネットワークへのアクセスが可能となり、ランサムウェアによる攻撃が可能となるという、懸念が生じている。Emotet は、悪意の Word/Excel のドキュメントを取り込んだ、スパム・メールを介して拡散していくマルウェアである。

Continue reading “Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?”

Yanluowang ランサムウェアが米国の金融業界を狙っている

Yanluowang Ransomware Targeting U.S. Financial Corporations

2021/12/01 SecurityWeek — Symantec のセキュリティ研究者たちは、ランサムウェア Yanluowang について、FiveHands グループに所属していた脅威アクターが運用していると考えている。Yanluowang は、10月に公開されたばかりの未開発のランサムウェアとも思えるが、大規模な組織を対象とした一連の標的型攻撃に利用されている。敵対者たちは、この攻撃の一環として、AdFind も偵察のために使用していた。

Continue reading “Yanluowang ランサムウェアが米国の金融業界を狙っている”

未知のマルウェアが南アジアのテレコムを狙っている

State-backed hackers breach telcos with custom malware

2021/10/18 BleepingComputer — 南アジアの通信事業者や IT 企業を標的とした攻撃において、未知だった国家支援型の脅威アクターが、新しいツールセットを利用している。このグループは Symantec の研究者たちにより発見され、Harvester という名前で追跡されているが、その目的は、IT/電気通信/政府機関に焦点を当てた、高度な標的型スパイ活動で情報を収集することにある。

Continue reading “未知のマルウェアが南アジアのテレコムを狙っている”

FBI/CISA/NSA の BlackMatter 対策:防御のための詳細情報を勧告として共有

FBI, CISA, NSA share defense tips for BlackMatter ransomware attacks

2021/10/18 BleepingComputer — 今日、Cybersecurity and Infrastructure Security Agency (CISA) および、Federal Bureau of Investigation (FBI)、National Security Agency (NSA) は、ランサムウェア BlackMatter の活動に関する詳細を記載する勧告を発表した。また、この3組織は、この敵対者のネットワーク上での活動を把握し、防御するのに役立つ情報を提供している。

Continue reading “FBI/CISA/NSA の BlackMatter 対策:防御のための詳細情報を勧告として共有”

ランサムウェア攻撃の進化:いまでは驚異的なレベルに達している

Ransomware Attacks Growing More Sophisticated

2021/09/20 SecurityBoulevard — 2021年前半、サイバー犯罪者たちは精力的に攻撃を行い、その勢いは一向に衰える気配がない。今年の上半期だけで、悪意の行為者は、さまざまな種類のデバイスや OS に存在する深刻な脆弱性を悪用し、燃料ネットワークを停止させたり、企業から数百万ドルを引き出したりするという、大掛かりな攻撃を仕掛け続けた。

Continue reading “ランサムウェア攻撃の進化:いまでは驚異的なレベルに達している”

Microsoft Azure Sentinel の Fusion 機械学習モデルでランサムウェアを検出

Microsoft Azure Sentinel uses Fusion ML to detect ransomware attacks

2021/08/10 SecurityAffairs — Microsoft Azure Sentinel cloud-native SIEM は、Fusion の機械学習モデルを使用して、企業環境全体のデータを分析し、ランサムウェア攻撃などの潜在的な脅威に関連するアクティビティを検出するものだ。Fusion 機械学習モデルによりランサムウェア攻撃の疑いが検出されると、「Multiple alerts possibly related to Ransomware activity detected:ランサムウェアの活動に関連する疑いのある複数のアラートが検出された」というタイトルの、重大度の高いインシデントが Azure Sentinel ワークスペースでトリガーされる。Microsoft のアナウンスメントには、「Microsoft Threat Intelligence Center (MSTIC) との協力により、Fusion によるランサムウェア検出機能の提供開始を発表する。

Continue reading “Microsoft Azure Sentinel の Fusion 機械学習モデルでランサムウェアを検出”

Web アプリのパスワード・リセットと DNS スプーフィングの組合せは最悪の結果を招く

Dozens of web apps vulnerable to DNS cache poisoning via ‘forgot password’ feature

2021/07/23 DailySwig — Web サイトにおいて、電子メールのドメイン解決に脆弱性が存在するため、多くのサイトが DNS 攻撃を受ける可能性があり、また、アカウントの乗っ取りにつながる可能性があることが、新たな調査で明らかになった。SEC Consult のセキュリティ研究者である Timo Longin が、146種類の Web アプリケーションを調査した結果、パスワード・リセットのためのメールを、悪意の行為者たちのサーバーにリダイレクトするために、悪用が可能なコンフィグレーション・ミスを発見した。

Continue reading “Web アプリのパスワード・リセットと DNS スプーフィングの組合せは最悪の結果を招く”

保険大手 CNA のデータ侵害は偽のブラウザ・アップデートが入口だった

Ransomware gang breached CNA’s network via fake browser update

2021/07/22 BleepingComputer — 米国の大手保険会社 CNA Financial は、2021年3月に生じたランサムウェア攻撃において、Phoenix CryptoLocker のオペレーターたちが、どのようにネットワークに侵入し、データを盗み出し、ランサムウェア・ペイロードをディプロイ展開したのかを明らかにした。2ヵ月前の5月13日に CNA は、攻撃で影響を受けたシステムを復旧させた後に、完全に回復した状態で業務を開始したと発表した。そして、今月の初めに提出した法的通知で明らかにしたように、CNA は事件の発見直後から第三者のセキュリティ専門家と協力して調査を実施し、ランサムウェア攻撃の正確なタイムラインを見つけ出した。

Continue reading “保険大手 CNA のデータ侵害は偽のブラウザ・アップデートが入口だった”

CISA 警告:Pulse Secure に潜むスティルス・マルウェアに注意せよ

CISA warns of stealthy malware found on hacked Pulse Secure devices

2021/07/21 BleepingComputer — 今日のことだが、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、感染した Pulse Secure デバイスで見つかった十数個のマルウェア・サンプルを公表したが、それらはアンチ・ウイルス製品では、ほとんど検出されないものだと警告している。遅くとも 2020年6月以降には、米国の政府機関および、重要インフラ事業体、各種の民間組織の Pulse Secure デバイスが、脅威アクターによる攻撃の対象となっている。

Continue reading “CISA 警告:Pulse Secure に潜むスティルス・マルウェアに注意せよ”

イスラエルのサイバー兵器企業がスパイウェアを各国政府に売っている?

Israeli Firm Helped Governments Target Journalists, Activists with 0-Days and Spyware

2021/07/16 TheHackerNews — 今週初めの Microsoft Patch Tuesday で修正された、Windows のゼロデイ脆弱性のうち2つは、イスラエルの Candiru により一連の高精度な攻撃に利用され、世界中のジャーナリスト/学者/活動家/政治的反体制派をなど、100人以上の人々がハッキングされた。University of Toronto の Citizen Lab が発表したレポートによると、このスパイウェア・ベンダーは、Chrome ブラウザの複数のゼロデイ脆弱性を悪用してアルメニアの被害者を狙っていたことを、Google の Threat Analysis Group (TAG) が明らかにした、商業監視会社であることが正式に判明した。

Continue reading “イスラエルのサイバー兵器企業がスパイウェアを各国政府に売っている?”

Magecart ハッカーたちは盗んだクレカ情報をイメージファイルに隠し持つ

Magecart Hackers Hide Stolen Credit Card Data Into Images for Evasive Exfiltration

2021/07/09 TheHackerNews — Magecart グループに属するサイバー犯罪者たちは、コメント・ブロック内に難読化されたマルウェアコードを仕込み、盗み出したクレジットカード情報をサーバー上の画像などのファイルにエンコードするという、新しい手口を使い始めている。それにより示されるのは、攻撃者が検知を逃れるために、感染経路を継続的に消し去っているという実態だ。

Continue reading “Magecart ハッカーたちは盗んだクレカ情報をイメージファイルに隠し持つ”

Cobalt Strike はハッカー御用達のツールになってしまったのか?

Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups

2021/05/19 DarkReading — RSA CONFERENCE 2021 – オープンソース・ハッキング・プラットフォームである Metasploit は、ネットワーク・テストに必要なツールであると同時に、サイバー犯罪者たちによる悪用に不安を抱く人々から、20年近くにわたり熱狂と不満の声を集めてきた。いまもなお、Metasploit は善良なハッカーと悪質なハッカーから人気を得ているが、レッドチームのツールである Cobalt Strike も、攻撃において重要な役割を果たすようになってきた。

Continue reading “Cobalt Strike はハッカー御用達のツールになってしまったのか?”

ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?

Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild

2021/05/08 TheHackerNews — 英国と米国の情報機関が、5月7日に共同で発表した勧告によると、ロシアの Foreign Intelligence Service (SVR) と密接に関連するサイバー工作員たちは、これまでに公開された脆弱性に対応するかたちで、その戦術を変更しているようだ。

Continue reading “ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?”

中国の老舗サイバー犯罪グループからの脅威が高まっている

Behind the Great Firewall: Chinese cyber-espionage adapts to post-Covid world with stealthier attacks

2021/04/15 PortSwigger — 中国における複数の老舗サイバー犯罪グループは、広く利用されている悪意のツールや独自の悪意のツールによるリソースを蓄積し、コロナウイルスの大流行の中でレパートリーを多様化している。

Continue reading “中国の老舗サイバー犯罪グループからの脅威が高まっている”