Scammers Impersonate Meta in Facebook Campaign With 3200 Profiles
2023/04/24 InfoSecurity — Facebook ユーザーを対象として、3,000以上の偽プロフィールを展開している脅威アクターが、新しいフィッシング・スキームを用いて、認証情報を盗み出そうとしていることが判明した。4月24日 (月) に発表したアドバイザリで、Group-IB DRP (Digital Risk Protection) の専門家たちは、「現時点において依然としてアクティブに活動している」と、このキャンペーンについて説明している。Group-IB の Sharef Hlal と Karam Chatra は、「2023年2月〜3月に、このキャンペーンを操るサイバー犯罪者が侵害/作成した、3,200以上の詐欺プロフィールを発見した」と述べている。
Continue reading “Facebook で新たなフィッシング・キャンペーン:3200件の偽プロフィールを展開 – Group-IB”Google ads push BumbleBee malware used by ransomware gangs
2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom/Cisco AnyConnect/ChatGPT/Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader の代替として、Conti チームが開発したものだと考えられている。
Continue reading “BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks”Kubernetes RBAC Exploited in Large-Scale Campaign for Cryptocurrency Mining
2023/04/21 TheHackerNews — この、野放し状態の大規模な攻撃キャンペーンは、Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを走らせていた。クラウド・セキュリティ会社の Aqua は、「攻撃者は、標的である K8s クラスターのリソースを乗っ取り、ハイジャックするために DaemonSets を展開した。この攻撃を RBAC Buster と名付けた同社は、このキャンペーンの背後にいる脅威アクターにより悪用された、60 件の露出した K8s クラスターを発見した」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Kubernetes の RBAC を悪用:暗号マイニングの大規模キャンペーンが始まっている – Aqua”North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec
2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。
Continue reading “3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec”‘AuKill’ Malware Hunts & Kills EDR Processes
2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。 最近の2つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。
Continue reading “AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始”Attackers use abandoned WordPress plugin to backdoor websites
2023/04/20 BleepingComputer −−− WordPress の正規プラグインである、Eval PHP を悪用する脅威アクターたちはステルス・バックドアを注入することで、Web サイトを侵害している。Eval PHP プラグインとは、サイト管理者が WordPress サイトのページや投稿に PHP コードを埋め込み、ブラウザでページを開いたときにコードを実行できるようにするものだ。このプラグインは、過去 10年間更新されておらず、アバンダンウェアと見なされている。しかし、今も WordPress のプラグイン・リポジトリで入手可能となっている。
Continue reading “WordPress プラグイン Eval PHP:スティルス・バックドアに悪用されている”Google: Ukraine targeted by 60% of Russian phishing attacks in 2023
2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視/妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。
Continue reading “ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査”Takedown of GitHub Repositories Disrupts RedLine Malware Operations
2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ/サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。
Continue reading “RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!”YouTube Videos Distributing Aurora Stealer Malware via Highly Evasive Loader
2023/04/18 TheHackerNews — サイバー・セキュリティ企業の Morphisec が The Hacker News に共有したのは、情報スティーラー型マルウェア Aurora の配信に使用される in2al5d p3in4er (invalid printer) という、きわめて検出回避能力の高いローダーの内部構造に関するレポートだ。このレポートで、サイバー・セキュリティ研究者たちは、「in2al5d p3in4er ローダーは、Embarcadero RAD Studio でコンパイルされ、高度なアンチ VM (仮想マシン) 技術を使って、エンドポイント・ワークステーションを標的にしている」と説明している。
Continue reading “Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?”AI tools like ChatGPT expected to fuel BEC attacks
2023/04/17 HelpNetSecurity — Armorblox の調査によると、過去1年間に観測された全ての BEC 攻撃のうちの 57%が、無防備な従業員に攻撃を仕掛けるための主要な攻撃ベクターとして、言葉に依存していたという。その他の注目すべき傾向は、ベンダーへの侵害と詐欺が、新たな攻撃ベクターとして台頭していることや、セキュリティ・チームが毎週 27時間もの時間を、グレーメールの処理に浪費していることだ。
Continue reading “ChatGPT などの AI ツールが BEC を助長:いちばん恐ろしい武器は言葉”Hackers abuse Google Command and Control red team tool in attacks
2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国/欧州/アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。
Continue reading “Google レッドチーム・ツールの悪用:中国の APT41 による攻撃で発見される”Qbot Banking Trojan Increasingly Delivered Via Business Emails
2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語/ドイツ語/イタリア語/フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。
Continue reading “Qbot バンキング・トロイの木馬:PDF アーカイブ内の JScript スクリプト で PowerShell を起動”Android malware infiltrates 60 Google Play apps with 100M installs
2023/04/15 BleepingComputer — Goldoson と命名された新しい Android マルウェアが、合計で1億本もダウンロードされている、60 件の正規アプリを介して Google Play に侵入した。これらのアプリの開発者たちは、サードパーティ・ライブラリの一部として、この悪意のマルウェア・コンポーネントを無意識のうちにアプリに組み込んでいたという。
Continue reading “Goldoson という新しい Android マルウェア:Google Play 上の アプリ 60件に侵入”Hackers start abusing Action1 RMM in ransomware attacks
2023/04/15 BleepingComputer — セキュリティ研究者たちは、サイバー犯罪者が侵害したネットワーク上で、コマンド/スクリプト/バイナリなどを永続的に実行するために、リモート・アクセス・ソフトウェアである Action1 を使用するケースが増えていると警告している。Action1 は RMM (Remote Monitoring and Management) 製品であり、ネットワーク上のエンドポイントをリモートで管理するために、MSP (Managed Service Providers) や企業で使用されている。
Continue reading “Action1 RMM ソフトウェアの悪用:ランサムウェアの永続性を確保している”CISA Introduces Secure-by-design and Secure-by-default Development Principles
2023/04/14 SecurityWeek — CISA は、サイバー・セキュリティ製品を開発する際の、Security-by-Design および Security-by-Default の原則を公表した。2023年3月1日に発表された、Pillar Three of the National Cybersecurity Strategy published の三本目の柱は、Shape market forces to drive security and resilience (セキュリティとレジリエンスを推進するために市場の力を形作る) と題されている。このセクションの中では、2つのポイントが明確にされている。第一に、セキュリティの責任を、セキュリティ製品の使用から開発へとシフトさせることである。第二に、このシフトを促すために、連邦政府の調達力を利用することである。
Continue reading “Security-by-Design と Security-by-Default の原則:政府の調達力を用いて普及させる – CISA”Vice Society ransomware uses new PowerShell data theft tool in attacks
2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。
Continue reading “Vice Society ランサムウェア:新しいデータ窃盗ツールに PowerShell を導入”LastPass Breach Reveals Important Lessons
2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。
Continue reading “LastPass 侵害を再考する:そこから学ぶことがタクサンあるはず”North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack
2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows/macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。
Continue reading “3CX VoIP サプライチェーン攻撃:北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用”‘Blatantly Obvious’: Spyware Offered to Cyberattackers via PyPI Python Repository
2023/04/12 DarkReading — 研究者たちは、プログラミング言語 Python のパブリック・リポジトリである PyPI (Python Package Index) で、大胆な方法で情報スティラーを公開しているマルウェア販売者を発見した。このプログラムは、“reverse-shell” という安直な名前が付けられており、Sonatype の研究者たちは、スペインを拠点とする Malware-as-a-Service (MaaS) グループの SylexSquad と関連づけている。リバースシェルとは、ハッカーが遠隔操作でコマンドを実行する際や、標的となるコンピュータからデータを受信するときに用いるプログラムを指す。
Continue reading “PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は?”Emotet Climbs March 2023’s Most Wanted Malware List With OneNote Campaign
2023/04/12 InfoSecurity — Emotet マルウェアは、悪意の OneNote ファイルを隠し持つスパムメール・キャンペーンにより、Check Point の Most Wanted Malware List ランキングを駆け上がっている。Emotet は、2月の3位から、3月の2位へと順位を上げている。このキャンペーンは、被害者を誘い、悪意の OneNote ファイルを開かせることで、マルウェアをインストールするものだ。
Continue reading “Emotet 攻撃が加速:Microsoft OneNote ファイルの不用意な操作は NG”Attackers Hide RedLine Stealer Behind ChatGPT, Google Bard Facebook Ads
2023/04/12 DarkReading — サイバー犯罪者たちは、Facebook のビジネスページやコミュニティページを乗っ取り、ChatGPT や Google Bard などの正規のスポンサーを装い、AI チャットボットの無料ダウンロードを宣伝する広告を展開している。それらの広告に誘導されたユーザーは、AI チャットボットではなく、RedLine Stealer と呼ばれる有名な情報スティーラー・マルウェアをダウンロードしていることが、研究者たちの調査により判明した。RedLine Stealer とは、オンライン・ハッカー・フォーラムを通じて販売されている Malware-as-a-Service (MaaS) プラットフォームだ。Web ブラウザを標的にして、認証情報や支払いカードの詳細などの、様々なユーザー情報を収集する。さらに、次の攻撃にむけて攻撃対象領域を評価するために、システムのインベントリを取得する。
Continue reading “Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラーを配布している”Apps for Sale: Cybercriminals Sell Android Hacks for Up to $20K a Pop
2023/04/11 DarkReading — サイバー犯罪者たちは、Google Play ストアのセキュリティを回避する手段を見つけ出し、既存の Android アプリをトロイの木馬化するツールを開発している。それらのツールの最高値は、サイバー犯罪市場で1件あたり $20,000 だという。Kaspersky の研究者たちは、4月10日のブログ記事で、最も人気のあるダークウェブ・フォーラムの9つを幅広く調査した結果を発表した。2019年と2023年の活動を追跡したところ、アプリ開発者アカウントへのアクセス/ボットネット/悪意の Android アプリなどを、時には一度に数千ドルで取引される市場が盛んであることが判明した。
Continue reading “Android アプリ侵害:$20K で機能満載のハッキング・ツールが購入できる時代”Hacked sites caught spreading malware via fake Chrome updates
2023/04/11 BleepingComputer — いくつかの Web サイトを侵害したハッカーたちが、偽の Google Chrome 自動更新エラーを表示するスクリプトを注入し、それに気づかない訪問者にマルウェアを配布している。このキャンペーンは、2022年11月から行われている。NTT の Security Analyst である Rintaro Koike によると、2023年2月以降に活動を加速させ、日本語/韓国語/スペイン語を話すユーザーを対象にターゲット範囲を拡大している。このマルウェア配布キャンペーンにより、アダルトサイト/ブログ/ニュースサイト/オンラインストアなどの、多数のサイトがハッキングされたことを、BleepingComputer は確認している。
Continue reading “Google Chrome の偽アップデートに御用心:日韓言語圏から世界へと広がる攻撃範囲”Over 1 Million WordPress Sites Infected by Balada Injector Malware Campaign
2023/04/10 TheHackerNews — Balada Injector というマルウェアを展開する継続的なキャンペーンにより、2017年以降で 100万以上の WordPress サイトが感染したと推定される。GoDaddy の Sucuri によると、WordPressサイトを侵害する、この大規模キャンペーンでは、テーマとプラグインに存在する、ありとあらゆる脆弱性が悪用されているようだ。この攻撃は、数週間に一度のペースで、波状的に展開されると認識されている。
Continue reading “WordPress サイト 100万件を侵害:Balada Injector による大規模マルウェア・キャンペーン”The hidden picture of malware attack trends
2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。
Continue reading “マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?”Threat Actors Increasingly Use Telegram For Phishing Purposes
2023/04/06 InfoSecurity — フィッシング技法の開発に注目する脅威アクターたちが、アクティビティの自動化や各種のサービス提供において、Telegram を悪用するケースが増えている。このような傾向は、Kaspersky のサイバー・セキュリティ専門家たちの調査/分析によるものである。水曜日のアドバイザリで、Web コンテンツ・アナリストである Olga Svistunova は、「フィッシャーたちは商品を宣伝するために Telegram チャネルを作り、そこでフィッシングについて聴衆を教育し、投票によりサブスクライバーを楽しませている。このようなチャネルへのリンクは、彼らのフィッシング・キットや YouTube/GitHub などを通じて拡散される」と述べている。
Continue reading “Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち”STYX Marketplace emerged in Dark Web focused on Financial Fraud
2023/04/05 SecurityAffairs — 2023年の初めに、STYX というマーケットプレイスが立ち上げられた。このプラットフォームは、特に金融犯罪を促進するために設計されており、盗んだ金融データ/クレジットカード情報/偽造文書/マネー・ロンダリング・サービス/被害者の偵察をする “lookups” などの、様々なサービスをサイバー犯罪者たちに提供している。この事例は、サイバー犯罪の流行後の脅威と、それが金融機関とその顧客にもたらす脅威を物語っている。デジタル・バンキングや暗号通貨口座を悪用して、マネー・ロンダリング・サービスを提供する脅威アクターの大幅な増加を、Resecurity の金融犯罪リスクのアナリストたちが観測している。それと、STYX の発見が一致しているのだ。
Continue reading “STYX というダークウェブが登場:金融詐欺に特化してサイバー犯罪者の支持を集める”ALPHV/BlackCat ransomware affiliate targets Veritas Backup solution bugs
2023/04/04 SecurityAffairs — ALPHV/BlackCat ランサムウェア・ギャングのアフィリエイトである UNC4466 が、Veritas Backup の3つの脆弱性を悪用して、ターゲットのネットワークへのイニシャル・アクセスを取得していることが確認された。この UNC4466 は、他の ALPHV のアフィリエイトとは異なり、ターゲットの環境へのイニシャル・アクセスにおいて、盗み出した認証情報に依存していない。2022年10月22日に、Mandiant の研究者たちは、このアフィリエイトが Veritas の脆弱性をターゲットにしていることを初めて観測した。
Continue reading “Veritas Backup の3つの脆弱性:ALPHV/BlackCat ランサムウェアの標的になっている”New “Rorschach” Ransomware Spread Via Commercial Product
2023/04/04 InfoSecurity — 商用セキュリティ製品である Palo Alto Cortex XDR Dump Service Tool を悪用する脅威アクターたちが、新しくユニークなランサムウェア株を展開させている。この Rorschach (ロールシャッハ) と名付けられたマルウェアは、Check Point Research (CPR) および Check Point Incident Response Team (CPIRT) により発見され、今日の未明のアドバイザリで取り上げられた。
Continue reading “Rorschach というランサムウェア:Palo Alto Cortex XDR の DLL を装い拡散している”New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency
2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視/スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。
Continue reading “Rilide マルウェアは Chromium を狙う:偽物の Google Drive エクステンションに要注意”Cryptocurrency companies backdoored in 3CX supply chain attack
2023/04/03 BleepingComputer — 3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられた。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているという。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows/macOS のデスクトップ・アプリを、トロイの木馬化させてしまった。
Continue reading “3CX VoIP にサプライチェーン攻撃:Win/Mac アプリがトロイの木馬化され暗号通貨が狙われる”Researchers Detail Severe “Super FabriXss” Vulnerability in Microsoft Azure SFX
2023/03/30 TheHackerNews — Azure Service Fabric Explorer (SFX) に存在する、未認証のリモートコード実行につながる脆弱性の詳細が明らかになったが、すでにパッチが適用されたという。この脆弱性 CVE-2023-23383 (CVSS:8.2) は、2022年10月に Microsoft が修正した 脆弱性 FabriXss (CVE-2022-35829 CVSS:6.2) にちなんで、Super FabriXss という名前が ORCA Security により付けられた。
Continue reading “Microsoft Azure SFX の深刻な脆弱性:Super FabriXss と命名された CVE-2023-23383”Over 70% of Employees Keep Work Passwords on Personal Devices
2023/03/30 InfoSecurity — 従業員の5人に4人 (71%) が、個人のスマフォに仕事用の機密パスワードを保存し、66% が個人用のテキスト・アプリを仕事に使用している。このデータは、SlashNext の最新の Mobile BYOD Security Report によるものであり、プライベート・メッセージング・アプリを介したフィッシング攻撃について、セキュリティ・リーダーの 95% が懸念を強めていることも示されている。SlashNext の CEO である Patrick Harr は、「職場において個人のモバイル・デバイスが広く使われるようになり、機密情報のセキュリティを雇用主が確保することが、ますます難しくなっている」と述べている。
Continue reading “従業員の 70% 以上に問題あり:個人のデバイスに仕事用のパスワードを保持”New AlienFox toolkit steals credentials for 18 cloud services
2023/03/30 BleepingComputer — AlienFox と呼ばれる新しいツールキットを利用する脅威アクターたちが、サーバのミスコンフィグレーションをスキャンし、クラウドベースのメールサービスの認証情報や機密情報を窃取していることが判明した。このツールキットがサイバー犯罪者たちに販売される、Telegram のプライベート・チャネルは、マルウェア開発者とハッカーが取引する際の、一般的な手段となっている。 SentinelLabs の研究者たちによると、AlienFox はモジュール式のツールセットであり、Laravel/Drupal/Joomla/Magento/Opencart/Prestashop/WordPress などのオンライン・ホスティング・フレームワークの、一般的なサービスにおけるミスコンフィグレーションをターゲットにしているという。
Continue reading “AlienFox というツールキットが登場:ミスコンフィグ・スキャナーでクラウドの機密情報を狙う”Microsoft Cloud Vulnerability Led to Bing Search Hijacking, Exposure of Office 365 Data
2023/03/30 SecurityWeek — サイバー・セキュリティ企業の Wiz によると、Azure Active Directory (AAD) のミスコンフィグレーションにより、アプリケーションが不正アクセスにさらされ、Bing.com が乗っ取られる可能性もあったという。Microsoft AAD は、クラウドベースの IAM (Identity and Access Management) サービスであり、一般的には Azure App Services/Azure Functions アプリケーションの認証メカニズムとして使用される。このサービスは、マルチテナントを含む各種のアカウント・アクセスをサポートしており、適切な制限がない限り、任意の Azure テナントに属するユーザーが、自分自身の OAuth トークンを発行できるようになっている。
Continue reading “Microsoft Cloud の脆弱性:Bing 検索のハイジャック/Office 365 でデータ流出の可能性”Volume of HTTPS Phishing Sites Surges 56% Annually
2023/03/30 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、HTTPS を使用するフィッシング・サイトの急増である。つまり、ブラウザに南京錠のマークが表示されている Web サイトであっても、要注意だと警告しているのだ。この調査結果は、9,500 万台ものエンドポイント/センサー/サードパーティのデータベースから収集した情報を、Open Text Cybersecurity が取りまとめた “2023 Global Threat Report” によるものだ。同レポートによると、HTTPS を使用していたフィッシング・サイトの割合は前年比で 56%近くも増加し、全体に占める割合は 2021年の32%から 2022年の 49%以上へと跳ね上がっている。
Continue reading “フィッシングの HTTPS 化:悪意のサイトの 49% が ブラウザに南京錠マークを表示”Google TAG shares details about exploit chains used to install commercial spyware
2023/03/29 SecurityAffairs — Android/iOS/Chrome に対して複数のゼロデイ・エクスプロイトを悪用する、2つのキャンペーンの詳細を、Google Threat Analysis Group (TAG) が公開した。専門家たちは、どちらのキャンペーンも、限定的で高度な標的型であったと述べている。攻撃の背後にいる脅威アクターは、エクスプロイトに Zero-Day と N-Day の両方を使用していたという。これらのエクスプロイト・チェーンは、ターゲットのデバイスに商用スパイウェアや悪意のアプリをインストールするために使用されていたようだ。
Continue reading “Google TAG 警告:複数の Zero-Day/N-Day エクスプロイトを用いるキャンペーンについて”Attacks Targeting APIs Increased By 400% in Last Six Months
2023/03/29 InfoSecurity — API (Application Programming Interfaces) を標的とした攻撃が、この6ヶ月間で 400% も増加している。この調査結果は、Salt Security の最新レポートからのものであり、これらの攻撃における 80%が、認証された API で生じているという。このレポート ”State of API Security Q1 Report 2023″ は、400人のセキュリティ専門家と API 開発者を対象とした、調査の回答から作成されたものだ。この1年間の特筆すべき数値として、回答者の 94%がプロダクション環境での API でセキュリティ問題を経験し、17% が API 関連の侵害を経験したことも示されている。このような問題が生じたことで、API セキュリティが経営陣で議論されたと、48% が回答している。
Continue reading “API セキュリティの調査:この6ヶ月の攻撃件数が 400% も増加している!”Trojanized Tor browsers target Russians with crypto-stealing malware
2023/03/28 BleepingComputer — トロイの木馬化した Tor Browser のインストーラーが急増し、ロシアや東欧のユーザーをターゲットにして、感染したユーザーの暗号通貨取引を盗むクリップボード・ハイジャック・マルウェアを仕掛けている。Kaspersky のアナリストたちは、この攻撃は新しくもなく、特に独創的でもないが、依然として効果が高く、世界中の多くのユーザーへの感染が蔓延していると警告している。Kaspersky によると、これらの悪意の Tor インストーラーは世界中の国々をターゲットにしているが、主な標的はロシアと東欧とのことだ。
Continue reading “Tor Browser のトロイの木馬 :ロシア/東欧のユーザーを標的にしている”China’s Nuclear Energy Sector Targeted in Cyberespionage Campaign
2023/03/28 SecurityWeek — サイバースパイ・キャンペーンを展開する南アジアの APT アクターが、中国の原子力エネルギー部門を標的にしていると、Intezer が最新情報として報告している。2021年ころから活動している Bitter という名のグループは、中国/バングラデシュ/パキスタン/サウジアラビアのエネルギーおよび政府組織を標的とすることで知られており、その戦術として、Excel/Microsoft Compiled HTML Help (CHM)/Windows Installer (MSI) ファイルの悪用を特徴としている。
Continue reading “中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する”New IcedID variants shift from bank fraud to malware delivery
2023/03/27 BleepingComputer — IcedID の新しい亜種は、通常のオンライン・バンキング詐欺の機能を持たない代わりに、侵害したシステムに新たなマルウェアをインストールすることに、重点を置いていることが判明した。Proofpoint によると、これらの新しい亜種は、昨年末から7つのキャンペーンで、3つの異なる脅威アクターにより使用されており、ランサムウェアなどのペイロードの配信に重点を置いていることが確認されている。
Continue reading “IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている”New MacStealer macOS malware steals passwords from iCloud Keychain
2023/03/27 BleepingComputer — Mac ユーザーを標的とする、MacStealer とう名の新たな情報スティーラー・マルウェアが、iCloud KeyChain や Web ブラウザに保存されている認証情報や暗号通貨ウォレットなどの、機密ファイルなどを窃取しているようだ。この MacStealer は、Malware-as-a-Service (MaaS) として配布されており、開発者はプレメイドのビルドを $100 で販売し、購入者はキャンペーンでマルウェアを拡散している。Uptycs 脅威研究チームが発見した MacStealer は、macOS Catalina 10.15 〜 Ventura 13.2 の環境で動作するという。
Continue reading “MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取”Microsoft shares guidance for investigating attacks exploiting CVE-2023-23397
2023/03/26 SecurityAffairs — 先日にパッチが適用された Outlook の脆弱性 CVE-2023-23397 について、Microsoft が悪用と攻撃に関するガイダンスを公開した。Microsoft Outlook における成りすましの脆弱性から生じる、この問題は認証バイパスへとつながるものだ。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステムに対して特別に細工した電子メールを送信することで、ユーザーの Net-NTLMv2 ハッシュに、未認証でアクセスできる。
Continue reading “Outlook の脆弱性 CVE-2023-23397 の悪用:Microsoft のガイダンスで攻撃に対抗”New Dark Power ransomware claims 10 victims in its first month
2023/03/25 BleepingComputer — Dark Power という名の新たなランサムウェア・オペレーションが登場し、ダークウェブのデータ漏洩サイトに最初の被害者をリストアップし、身代金を支払わなければデータを公開すると脅迫している。このランサムウェア・グループのエンクリプターの日付を見ると、攻撃が開始された 2023年1月29日にコンパイルされたものだった。さらに、現時点のハッカー・フォーラムやダークウェブ・スペースでは、このオペレーションのプロモーションが行われていないため、プライベート・プロジェクトである可能性が高い。
Continue reading “Dark Power という 新種のランサムウェア:すでに脅迫が開始されている”Procter & Gamble confirms data theft via GoAnywhere zero-day
2023/03/24 BleepingComputer — 2023年2月上旬に、消費財メーカーである Procter & Gamble の GoAnywhere MFT セキュアファイル共有プラットフォームに不正侵入が発生し、非公開にされている従業員データが侵害された。このセキュリティ侵害の背後にいる人物については、同社は言及していないが、世界中の Fortra GoAnywhere セキュア・ストレージ・サーバを標的とし、Clop ランサムウェア・ギャングが継続している、一連の攻撃に関連するものだとされる。ただし、Procter & Gamble によると、従業員の財務情報や社会保障情報に対しては、攻撃者によるアクセスは生じていないとのことだ。
Continue reading “GoAnywhere ゼロデイの被害者:Procter & Gamble が5番目として公表される”Critical WooCommerce Payments Plugin Flaw Patched for 500,000+ WordPress Sites
2023/03/24 TheHackerNews — WordPress のプラグインであり、50万以上の Web サイトにインストールされている WooCommerce Payments に影響を及ぼす、深刻なセキュリティ欠陥に対するパッチがリリースされた。この欠陥を放置すると、脆弱なオンラインショップに対して、脅威アクターによる不正なアクセスが可能になると、2023年3月23日のアドバイザリで同社は発表している。この問題は、バージョン 4.8.0〜5.6.1 に影響を及ぼすという。
Continue reading “WooCommerce 決済プラグインの深刻な脆弱性:WordPress サイト 50万以上に影響を及ぼす?”IRS Phishing Emails Used to Distribute Emotet
2023/03/24 InfoSecurity — 悪名高いトロイの木馬 Emotet を配布するために、ルアーとして IRS (Internal Revenue Service:アメリカ合衆国内国歳入庁) を用いる、新たなフィッシング・キャンペーンに、米国の納税者たちが引っかからないよう、セキュリティ専門家たちは警告している。以前から詐欺師たちは、確定申告の季節を消費者を騙す機会として利用しており、Malwarebytes が新たに発見した試みも、その例に漏れない。問題のフィッシング・メールは、”IRS Tax Forms W-9″ という件名を持ち、”IRS Online Center” という送信者アドレスで偽装されている。
Continue reading “Emotet の新たな配信戦略:アメリカ合衆国歳入庁がフィッシング・ルアーに使われている”SharePoint Phishing Scam Targets 1600 Across US, Europe
2023/03/23 InfoSecurity — Microsoft のコラボレーション・プラットフォーム SharePoint の、正規サーバを悪用する新たなフィッシング詐欺が、ネイティブの通知メカニズムを介して、欧州/米国などの国々で、少なくとも 1600人の個人を標的にしていることが判明した。2023年3月23日の未明に、Kaspersky のセキュリティ研究者たちが発表したアドバイザリでは、この詐欺を実行するサイバー犯罪者たちが、Yahoo!/AOL/Outlook/Office 365 などの、電子メール・アカウントの認証情報を盗んでいると説明されている。
Continue reading “SharePoint を狙うフィッシング活動を発見:欧米の 1600 人の個人がターゲット”Python info-stealing malware uses Unicode to evade detection
2023/03/23 BleepingComputer — PyPI 上の悪意の Python パッケージが、難読化技術として Unicode を悪用することで検出を回避し、侵害したデバイスから開発者のアカウント情報などの機密データを、盗み出して流出させている。この onyxproxy と名付けられた悪意のパッケージは、ソースコード内で複数の Unicode フォントを組み合わせて使用している。それにより、悪意の関数を特定するための、自動スキャンや文字列照合といった防御を回避していく。Phylum のサイバー・セキュリティ専門家たちが onyxproxy を発見し、その手法を説明するレポートを発表している。
Continue reading “Python の Unicode を悪用:新たな情報スティーラーは巧妙に検出を回避する”Nexus: A New Rising Android Banking Trojan Targeting 450 Financial Apps
2023/03/23 TheHackerNews — Nexus という名の新たな Android バンキング・トロイの木馬は、450種類の金融アプリケーションを標的とした詐欺において、すでに脅威アクターたちにより採用されている。今週に発表したレポートの中で、イタリアのサイバー・セキュリティ企業 Cleafy は、「Nexus は開発の初期段階にあるようだ。Nexus は、銀行ポータルや暗号通貨サービスに対して、認証情報の窃取や SMS の傍受といった ATO 攻撃 (Account Takeover) を行うための、すべての主要な機能を備えている」と述べている。
Continue reading “Nexus というバンキング・トロイの木馬:450 種類の金融アプリがターゲット”
IoT OT Security News 
You must be logged in to post a comment.