Bing Chat responses infiltrated by ads pushing malware
2023/09/28 BleepingComputer — OpenAI の GPT-4 エンジンを搭載した Bing Chat が、検索業界における Google の優位性に挑戦するために、2023年2月から Microsoft により展開されている。従来の検索クエリや検索結果の形式ではなく、インタラクティブなチャット・ベースのエクスペリエンスをユーザーに提供することで、オンライン検索をより直感的でユーザー・フレンドリーにすることを、Bing Chat は目指している。そして Microsoft は、この新しいプラットフォームから収入を得るために、2023年3月から Bing Chat に広告を挿入し始めた。
Continue reading “Bing Chat チャットに御用心:マルウェアのダウンロードを推奨されることもある”Researchers Release Details of New RCE Exploit Chain for SharePoint
2023/09/28 DarkReading — Microsoft SharePoint Server に存在する、2つの深刻な脆弱性を発見した研究者たちが、それらを連鎖させることで、影響を受けるサーバ上でのリモート・コード実行を可能にする、エクスプロイトの詳細を公開した。それとは別に、今週には別のセキュリティ研究者が、SharePoint の脆弱性に関する PoC エクスプロイトコードを GitHub に投稿し、この欠陥を悪用して脆弱なシステムの管理者権限を取得する方法を示している。
Continue reading “SharePoint の脆弱性 CVE-2023-29357/CVE-2023-24955:PoC エクスプロイトが登場”US and Japan warn of Chinese hackers backdooring Cisco routers
2023/09/27 BleepingComputer — 日本と米国の法執行機関およびサイバーセキュリティ機関が、中国の BlackTech というハッカーがネットワーク機器を侵害し、企業ネットワークにアクセスするためのカスタム・バックドアを設置していると警告している。この共同勧告は、FBI/NSA/CISA に加えて、日本の NISC と警察庁が発行したものであり、国家に支援されたハッカー集団が、事前に海外子会社のネットワーク機器を侵害し、本社のネットワークに軸足を移していると説明している。
Continue reading “日米の共同勧告:中国の APT BlackTech が Cisco ルーターをバックドアにしている”ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers
2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの1年間で ShadowSyndicate は、7種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum/Nokoyawa/BlackCat/ALPHV/Clop/Royal/Cactus/Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。
Continue reading “ShadowSyndicate というハッカー集団:複数のランサムウェアと C2 サーバを巧みに運用”MITRE ATT&CK project leader on why the framework remains vital for cybersecurity pros
2023/09/26 HelpNetSecurity — この秋に 10 周年を迎える MITRE ATT&CK は、サイバーセキュリティの専門家が互いにコミュニケーションを図り、敵対者の行動をよりよく理解するための共通言語である。Help Net Security のインタビューでは、プロジェクト・リーダーの Adam Pennington がフレームワークについて、また、防御者によるフレームワークの活用方法について、さらに今後の展開について語っている。
Continue reading “MITRE ATT&CK へのインタビュー:新たな悪用手法をカタログ化し続けていく”Hackers actively exploiting Openfire flaw to encrypt servers
2023/09/26 BleepingComputer — Openfireメッセージング・サーバの深刻な脆弱性を積極的に悪用するハッカーたちが、ランサムウェアによる暗号化と、クリプトマイナー侵害を展開している。Openfire は、Java ベースのオープンソース・チャット (XMPP) サーバであり、すでに 900 万回もダウンロードされ、安全なマルチプラットフォーム・チャット通信のために広く使用されているものだ。脆弱性 CVE-2023-32315 の悪用により、Openfire の管理コンソールで、認証バイパスが引き起こされる。その結果として、未認証の攻撃者による、脆弱なサーバー上での新たな管理者アカウント作成にいたる可能性が生じる。
Continue reading “Openfire の脆弱性 CVE-2023-32315:野放し状態での悪用が観測されている”Predator Spyware Delivered to iOS, Android Devices via Zero-Days, MitM Attacks
2023/09/25 SecurityWeek — Google の Threat Analysis Group によると、iOS/Chrome のゼロデイ脆弱性の悪用と中間者攻撃 (MitM) により、Predator スパイウェアが iPhone/Android デバイスに配信されているという。先週に Apple が通知したのは、脆弱性 CVE-2023-41991 (署名検証バイパス)/CVE-2023-41992 (ローカル特権の昇格)/CVE-2023-41993 (悪意の Web ページを介した任意のコード実行) という3つのゼロデイにして、パッチが適用されたことである。Apple は、iOS/macOS などのソフトウェアの脆弱性を修正したが、その一方で、悪用を認識しているのは、iOS のバージョン 16.7 以前のデバイスのみだと指摘していた。
Continue reading “iOS/Android のゼロデイを悪用:エジプトの野党指導者を狙った MitM 攻撃が発覚”Akira Ransomware Mutates to Target Linux Systems, Adds TTPs
2012/09/23 DarkReading — 2023年3月に登場した Akira ランサムウェアは、それ以降において進化を続けている。その、攻撃範囲は当初の Windows システムから Linux サーバへと拡大され、数々の TTP (Tactics/Techniques/Procedures) を採用するようになっている。LogPoint の Akira に関する詳細なレポートでは、被害者のファイルを暗号化し、シャドウコピーを削除し、データ復旧との引き換えに身代金の支払いを要求するという、高度に洗練されたランサムウェアだと解説されている。その感染チェーンは、多要素認証のない Cisco ASA VPN を積極的にターゲットとし、脆弱性 CVE-2023-20269 をエントリポイントとして悪用するものだ。
Continue reading “Akira ランサムウェア:多様な戦術を用いて Linux システムを狙い始めている”Evasive Gelsemium hackers spotted in attack against Asian govt
2023/09/23 BleepingComputer — Gelsemium として追跡されているステルス性の APT が、2022年から2023年の半年間にわたって、東南アジアの政府を標的とした攻撃で観測された。Gelsemium は2014年から活動しているサイバースパイ集団であり、東アジアおよび中東の政府/教育機関/電子機器メーカーを標的としている。
Continue reading “Gelsemium というステルス APT の柔軟性:悪意のツール群を防御策に応じて運用”Over 700 Dark Web Ads Offer DDoS Attacks Via IoT in 2023
2023/09/22 InfoSecurity — IoT (Internet of Things) デバイスを悪用した分散型サービス拒否 (DDoS) 攻撃に関して、2023年のダークウェブ広告が 700件以上に急増したことが、Kaspersky の最新レポートで示唆されている。これらのサービスは、標的における DDoS 防御などを検証した結果により価格帯が異なり、1日あたり $20 や月額 $10,000 などで販売されている。平均すると、1日あたり $63.5で、1カ月あたり $1350 となっている。
Continue reading “IoT 攻撃とダークウェブの関係性:2023年には 700 件以上のマルウェア広告”Bot Attack Costs Double to $86m Annually
2023/09/21 InfoSecurity — Netacea の最新レポートによると、悪質なボット攻撃が原因となり、一般的な米国/英国の企業は、毎年オンライン収益の 4% 以上を失っているという。Netacea の Death by a Billion Bots レポートは、米国と英国におけるツアー/エンターテインメント/eコマース/金融サービス/電気通信の各分野において、440社を対象とした調査から作成された。なお、それらの企業におけるオンライン収益は、平均で $1.9bn にいたるという。
Continue reading “ボット攻撃による利益損失は平均で $86m:2020年の $33.3m から急増”Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys
2023/09/20 TheHackerNews — 侵害済のマシンからリモート・サーバへ向けて、Kubernetes のコンフィグと SSH キーを流出させるようにデザインされた、悪意のパッケージを連携させる新たなバッチを、研究者たちが npm パッケージ・レジストリで発見した。Sonatype は、これまでに14種類の npm パッケージを発見したと発表した。具体的には、@am-fe/hooks、@am-fe/provider、@am-fe/request、@am-fe/utils、@am-fe/watermark、@am-fe/watermark-core、@dynamic-form-components/mui、@dynamic-form-components/shineout、@expue/app、@fixedwidthtable/fixedwidthtable、@soc-fe/use、@spgy/eslint-plugin-spgy-fe、@virtualsearchtable/virtualsearchtable、shineouts などである。
Continue reading “npm の悪意のパッケージの新たな動向:Kubernetes コンフィグと SSH キーを盗み出す”‘Culturestreak’ Malware Lurks Inside GitLab Python Package
2023/09/20 DarkReading — 現在の脅威の状況において、あまりにも有りふれたことだが、新たな悪意のオープンソース・パッケージが、セキュリティ研究たちにより発見された。今回は、暗号通貨をマイニングするために、システム・リソースのハイジャックを試みる、GitLab 上のアクティブな Python ファイルである。この、Culturestreak と呼ばれる悪意のパッケージが、GitLab 開発者サイト上の Aldri Terakhir というユーザーのアクティブなリポジトリから発信されていることを、9月19日の Checkmarx ブログが明らかにした。
Continue reading “Culturestreak というクリプト・マイナー:GitLab Python に潜んでいる”Fake WinRAR proof-of-concept exploit drops VenomRAT malware
2023/09/20 BleepingComputer −−− 最近に修正された WinRAR の脆弱性に対する偽 PoC エクスプロイトが、あるハッカーにより GitHub で広めており、VenomRAT マルウェアのダウンローダーに感染させようとしている。この偽 PoC エクスプロイトは、Palo Alto Networks の Unit 42 チームの研究者たちにより発見され、2023年8月21日の時点で攻撃者により、悪意のコードが GitHub にアップロードされたことが報告されている。この攻撃は、すでに阻止されているが、 GitHub から調達した PoC の、安全性を確認せずに実行することのリスクが、改めて浮き彫りにされている。
Continue reading “WinRAR 用の 偽 PoC エクスプロイト:PowerShell を介して VenomRAT を展開”GitLab urges users to install security updates for critical pipeline flaw
2023/09/19 BleepingComputer — スケジュールされたセキュリティ・スキャン・ポリシーを悪用する攻撃者が、他のユーザーを装いながらパイプライン実行を可能にする、深刻な脆弱性に対処するセキュリティアップデートを、GitLab がリリースした。GitLab は、Web ベースの OSS プロジェクト管理および作業トラッキングのための、人気のプラットフォームであり、無料版と商用版を提供している。この脆弱性 CVE-2023-5009 (CVSS:9.6) は、GitLab Community Edition (CE)/Enterprise Edition (EE) の、バージョン 13.12〜16.2.7 と、バージョン 16.3〜16.3.4に影響を与える。
Continue reading “GitLab パイプラインの脆弱性 CVE-2023-5009:ハイリスク・シナリオの可能性”Bumblebee malware returns in new attacks abusing WebDAV folders
2023/09/18 BleepingComputer — 2ヶ月ぶりに再登場した Bumblebee マルウェア・ローダーだが、4shared WebDAV サービスを悪用するという、新たな配布テクニックを用いている。WebDAV (Web Distributed Authoring and Versioning) とは、HTTP プロトコルの拡張機能であり、クライアントからリモート・オーサリング操作を実行し、Web サーバのコンテンツの作成/更新/削除などを可能にするものだ。Intel471 の研究者たちによると、2023年9月7日に開始された Bumblebee の最新キャンペーンは、4shared WebDAV サービスを悪用してローダーを配布し、攻撃チェーンを取り込むことで、いくつかの感染後アクションを実行していくという。
Continue reading “Bumblebee マルウェアが再登場:WebDAV サービスを悪用する新たなキャペーンを展開”When LockBit Ransomware Fails, Attackers Deploy Brand-New ‘3AM’
2023/09/14 DarkReading — ある建設業に対する最近の攻撃では、標的とするネットワーク上で LockBit の実行に失敗したハッカーが、未知のランサムウェアを二番手として展開することに成功したという。この新しいツールの機能として挙げられるのは、ホスト・コンピューター上のファイルをロックする前に、各種のサイバー・セキュリティやバックアップ関連のソフトウェアをブロックするという、どちらかというと標準的なものだ。
Continue reading “3AM という新たなランサムウェア:LockBit の代替えとして攻撃を成功させる”Free Download Manager site redirected Linux users to malware for years
2023/09/12 BleepingComputer — Free Download Manager を悪用して、脅威アクターが所有する Debian パッケージ・リポジトリにリダイレクトさせ、Linux ユーザーに情報窃取型のマルウェアをインストールさせるという、サプライ・チェーン攻撃が発見された。このキャンペーンで使用されたマルウェアは、C2 サーバへのリバースシェルを確立し、ユーザのデータとアカウント認証情報を収集する、Bash スティーラーをインストールするものだ。Kaspersky が、不審なドメインの調査中に、このサプライチェーン侵害の兆候を発見したが、3年以上も前から実施されているキャンペーンであることを突き止めた。
Continue reading “Free Download Manager サプライチェーン攻撃:数年前から Linux ユーザーにマルウェアを配布”New HijackLoader Modular Malware Loader Making Waves in the Cybercrime World
2023/09/11 TheHackerNews — DanaBot/SystemBC/RedLine Stealer などの各種ペイロードを配信する、HijackLoaderと呼ばれる新たなマルウェア・ローダーが、サイバー犯罪者コミュニティで人気を集めている。Zscaler ThreatLabz の研究者である Nikolaos Pantazopoulos は、「HijackLoaderは高度な機能を備えていないが、大半のローダーが備えていないモジュラー・アーキテクチャを用いることで、コード・インジェクションを容易にする」と述べている。
Continue reading “HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる”Millions Infected by Spyware Hidden in Fake Telegram Apps on Google Play
2023/09/09 TheHackerNews — Google Play ストアで Telegram を装い、侵害した Android デバイスから機密情報を収集するという、スパイウェアが発見された。Kaspersky のセキュリティ研究者である Igor Golovin によると、このアプリには、名前/ユーザー ID/連絡先/電話番号/チャット・メッセージなどを取得し、脅威アクターが管理するサーバーに流出させるという、悪質な機能が搭載されているという。
Continue reading “Google Play に偽 Telegram アプリ:隠されたスパイウェアに数百万人が感染”Microsoft Teams phishing attack pushes DarkGate malware
2023/09/09 BleepingComputer — Microsoft Teams メッセージを悪用して DarkGate Loader というマルウェアをインストールし、悪意の添付ファイルを送信するという、新たなフィッシング・キャンペーンが展開されている。このキャンペーンは 2023年8月下旬に開始されたものであり、Microsoft Teams のフィッシング・メッセージが、侵害された 2つの Office 365 の外部アカウントから、他の組織に送信されていることが確認された。これらのアカウントは、他の Microsoft Teams ユーザーを騙して “Changes to the vacation schedule” という ZIP ファイルをダウンロードさせ、開封させるために使用されていた。
Continue reading “Microsoft Teams を悪用したフィッシング攻撃:DarkGate マルウェアを配布している”Researchers Discover Critical Vulnerability in PHPFusion CMS
2023/09/06 DarkReading — PHPFusion に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この人気のオープンソース CMS (Content Management System) には、2つの脆弱性があるという。先日に Synopsys の研究者たちが発見した、1つ目の脆弱性 CVE-2023-2453 は、認証されたローカル・ファイル・インクルージョンの欠陥である。この脆弱性の悪用に成功した攻撃者が、悪意を持って細工した “.php” ファイルをターゲット・システム上の既知のパスにアップロードすると、リモート・コード実行が可能になるという。2つ目の脆弱性 CVE-2023-4480 は、その悪用に成功した攻撃者に対して、システム上のファイルの Read/Write を許すものであり、深刻度は Medium とされている。
Continue reading “PHPFusion CMS にゼロデイ脆弱性 CVE-2023-2453 など:現状ではパッチが無い!”Hackers stole Microsoft signing key from Windows crash dump
2023/09/06 BleepingComputer — 中国人ハッキング・グループ Storm-0558 は、Microsoft のエンジニアの企業アカウントを侵害した後に、Windows のクラッシュダンプから署名キーを盗み出し、政府機関の電子メール・アカウントに侵入していた。攻撃者は盗んだ MSA キーを使って、米国の国務省や商務省など含む、約 20の組織の Exchange Online/Azure Active Directory (AD) アカウントに侵入したとされる。Storm-0558 は、GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用し、署名されたアクセス・トークンを偽造し、標的である組織内のアカウントになりすましていた。
Continue reading “中国のハッカー Storm-0558:Windows クラッシュダンプから署名キーを窃取と判明”New Python Variant of Chaes Malware Targets Banking and Logistics Industries
2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。
Continue reading “Chaes という新種の Python マルウェア亜種:銀行と物流業界を標的にしている”Hackers Exploit MinIO Storage System Vulnerabilities to Compromise Servers
2023/09/04 TheHackerNews — MinIO 高性能オブジェクト・ストレージ・システムに存在する、深刻度の高いセキュリティ欠陥を武器にする未知の脅威アクターが、影響を生じているサーバ上で不正なコードを実行していることが確認された。サイバー・セキュリティ企業 Security Joes は、この侵入は MinIO インスタンスをバックドア化するために公開されている、エクスプロイト・チェーンを活用したものだと述べている。このチェーンは、脆弱性 CVE-2023-28432 (CVSS:7.5) と CVE-2023-28434 (CVSS:8.8) で構成されているが、前者に関しては、2023年4月21日に米 CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されている。
Continue reading “MinIO ストレージ・サーバ侵害:脆弱性 CVE-2023-28432/CVE-2023-28434 の悪用”Chrome extensions can steal plaintext passwords from websites
2023/09/02 BleepingComputer — Chrome Web Store にアップロードされた PoC エクステンションは、Web サイトのソースコードから平文のパスワードを盗むためのものであり、ウィスコンシン大学マディソン校の研究チームが作成したものである。Web ブラウザのテキスト入力フィールドを調査した結果として、Chrome エクステンションを支える粗視化 (coarse-grained) 許可モデルが、最小特権と完全仲介の原則に違反していることが明らかになったという。さらに研究者たちは、Google や Cloudflare のポータルなど含む多数の Web サイトにおいて、数百万人のビジターたちが、Web ページの HTML ソースコード内にパスワードを平文で保存していることを発見した。そして、それらの情報の不正な取得が、悪意のエクステンションを介して可能なことが判明した。
Continue reading “Chrome エクステンションによる平文パスワードの窃取:大量の Web サイトが脆弱な状態”Social Engineering Attacks Target Okta Customers To Achieve A Highly Privileged Role
2023/09/02 SecurityAffairs — Okta が顧客に発している警告は、この数週間で観察されている、管理者権限への昇格を目的としたソーシャル・エンジニアリング攻撃に関するものだ。この攻撃は、IT サービス・デスクのスタッフを騙して、高度な権限を持つユーザーが登録した、すべての多要素認証 (MFA) 要素をリセットするよう促すものである。なお、現時点において同社は、この攻撃を実施した脅威アクターを特定していない。Okta の顧客組織 (テナント) において、高度な特権ロールを獲得した脅威アクターは、横方向への移動を行い、また、防御回避の斬新な手法を採用している。
Continue reading “Okta ユーザーを欺くソーシャル・エンジニアリング:Super Admin アカウントが狙われている”Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware
2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア/RAT ペイロード/クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。
Continue reading “Microsoft SQL がターゲット:FreeWorld ランサムウェアを展開する脅威アクターたち”SapphireStealer Malware: A Gateway to Espionage and Ransomware Operations
2023/08/31 TheHackerNews — .NET ベースのオープンソース情報窃取マルウェア SapphireStealer だが、その機能が強化されたことで、複数のエンティティにより悪用され、独自の亜種を生み出している。Cisco Talos の研究者である Edmund Brumaghin は、「SapphireStealer のような情報窃取マルウェアは、企業における認証情報などの機密情報を取得するために使用される可能性がある。また、そのアクセスが他の攻撃者に転売され、スパイ行為や恐喝型ランサムウェアなどが行われることも多々ある」と、The Hacker News に語っている。
Continue reading “SapphireStealer という .NET 情報スティーラー:スパイ/ランサムウェア活動の入口に”North Korean hackers behind malicious VMConnect PyPI campaign
2023/08/31 BleepingComputer — PyPI (Python Package Index) リポジトリに対して、悪意のパッケージをアップロードする VMConnect キャンペーンの背後には、北朝鮮の国家に支援を受けたハッカーたちが存在し、その中には VMware vSphere の正規のコネクタ・モジュール vConnector を模倣するものがある。この、VMConnect という名前の悪意のパッケージは8月初旬にアップロードされ、仮想化ツールを求める IT スペシャリストを標的としている。すでに、PyPI プラットフォームからは削除されているが、その時点で VMConnect は 237回もダウンロードされている。
Continue reading “北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施”Hackers Can Exploit Windows Container Isolation Framework to Bypass Endpoint Security
3023/08/30 TheHackerNews — マルウェア検出回避テクニックを活用する脅威アクターたちが、Windows Container Isolation Framework を操作することで、エンドポイント・セキュリティ・ソリューションを回避できる可能性が、新たな調査により判明した。この調査結果は、Deep Instinct のセキュリティ研究者である Daniel Avinoam が、8月の初めに開催された DEF CON セキュリティ・カンファレンスで発表したものだ。Microsoft のコンテナ・アーキテクチャ (Windows Sandbox) は、動的に生成されるイメージと呼ばれるものを用いて、それぞれのコンテナとホストの間でファイル・システムを分離し、また、システム・ファイルの重複を回避するものだ。
Continue reading “Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避”Malicious npm Packages Aim to Target Developers for Source Code Theft
2023/08/30 TheHackerNews — 悪意の npm パッケージを用いる未知の脅威アクターが、被害者のマシンからソースコードや設定ファイルを盗む目的で開発者を標的にするという、オープンソース・リポジトリにおける脅威が消え去らない状況が示唆されている。ソフトウェア・サプライチェーン・セキュリティ企業 Checkmarx は、「このキャンペーンの背後にいる脅威アクターの活動は、2021年ころから発生している。それ以来、彼らは継続的に、悪意のパッケージを公開している」と、The Hacker News と共有したレポートで述べている。
Continue reading “npm に悪意のパッケージ:特定のディレクトリからソースコードと機密情報を採取”Hacking campaign bruteforces Cisco VPNs to breach networks
2023/08/30 BleepingComputer — Cisco Adaptive Security Appliance (ASA) の SSL VPN を標的とし、多要素認証 (MFA) 未実施などのセキュリティ防御の不備を利用した、クレデンシャル・スタッフィング攻撃やブルートフォース攻撃が、ハッカーたちにより行われている。先週に BleepingComputer は、Akira ランサムウェア・ギャングがイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破していることを報告した。
Continue reading “Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開”Japan’s JPCERT Warns of New ‘Maldoc In Pdf’ Attack Technique
2023/08/29 SecurityAffairs — 先日に、日本の JPCERT/CC (computer emergency response team) が、悪意の Word ファイルを PDF ファイルに埋め込むことで検知を回避する、MalDoc in PDF と呼ばれる新たな攻撃手法を観測した。研究者たちは、MalDoc in PDF で作成されたファイルは、PDF の magic numbers and file 構造を持っているが、Wordで開くことができると説明している。このファイルに悪意のマクロが含まれていれば、ファイルを開くことで悪意のコードが実行される。JPCERT/CC が観測した攻撃では、脅威アクターはファイル拡張子 “.doc” を使用していたという。
Continue reading “日本の JPCERT/CC が新たな攻撃手法について警告:Maldoc In PDF とは?”Easy-to-exploit Skype vulnerability reveals users’ IP address
2023/08/29 HelpNetSecurity — Skype モバイル・アプリの脆弱性が攻撃者に悪用され、ユーザーの IP アドレスが判明するという可能性が生じている。このセキュリティ脆弱性は、Yossi というセキュリティ研究者により発見されたものであり、彼から Microsoft への報告が行われ、ジャーナリストである Joseph Cox が効果的な悪用を証明した。現時点ではパッチが適用されていないため、脆弱性の詳細は公表されていないが、Joseph Cox は、「悪用は非常に簡単であり、リンクに関連する特定のパラメータを変更により実現できる」と述べている。
Continue reading “Skype に悪用が容易な脆弱性:ユーザーの IP アドレスが暴露される”New Ransomware Campaign Targets Citrix NetScaler Flaw
2023/08/29 InfoSecurity — Citrix NetScaler の、インターネットに公開されているパッチ未適用の システムを標的とする一連の攻撃を、Sophos X-Ops のサイバー・セキュリティ専門家たちが発見した。8月25日 (金) の X (Twitter) で共有された、この悪意あるキャンペーンに関する説明では、深刻なリモートコード実行の脆弱性 CVE-2023-3519 が悪用され、その結果として脅威アクターがシステムに侵入し、ドメインを覆う規模での攻撃キャンペーンが発生していると、セキュリティ研究者たちは述べている。
Continue reading “Citrix NetScaler の RCE 脆弱性 CVE-2023-3519:新たなランサムウェアが悪用”Phishing-as-a-Service Gets Smarter: Microsoft Sounds Alarm on AiTM Attacks
2023/08/29 TheHackerNews — Phishing-as-a-Service (PhaaS) サイバー犯罪モデルの一部として、Adversary-in-The-Middle 攻撃が広まっていると、Microsoft が警告している。AiTM に対応した PhaaS プラットフォームの増加に加えて、PerSwaysion のような既存のフィッシング・サービスも、この AiTM 機能を組み込んでいると、同社は指摘している。Microsoft Threat Intelligence チームは、「この、PhaaS エコシステムにおける進化により、MFA 保護の回避を試みるフィッシング・キャンペーンを、攻撃者は大規模に展開できるようになる」と X (Twitter) への投稿で述べている。
Continue reading “Phishing-as-a-Service の進化が止まらない:Microsoft が AiTM 攻撃を警告”Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege
2023/08/28 TheHackerNews — Microsoft Entra ID (旧 Azure Active Directory) アプリケーションに関連する問題として、放棄された返信 URL の悪用により特権昇格が生じるケースがあることを、サイバー・セキュリティ研究者たちが発見した。Secureworks の CTU (Counter Threat Unit) は、「この放棄された URL の悪用に成功した攻撃者は、認証コードを自分自身にリダイレクトし、不正に入手した認証コードをアクセストークンと交換できる。その後に攻撃者は、中間層のサービスを介して Power Platform API を呼び出し、昇格した権限を取得する」と、先週に発表したテクニカル・レポートの中で述べている。
Continue reading “Microsoft Entra ID (Azure AD) で権限を昇格させる方法:専門家たちが手口を解明”Kroll Suffers Data Breach: Employee Falls Victim to SIM Swapping Attack
2023/08/26 TheHackerNews — Risk and Financial のアドバイザリー・ソリューションを提供する Kroll だが、8月25日 (金) に明らかにしたのは、同社の従業員の一人が高度に洗練された SIM スワッピング攻撃の被害に遭ったことである。このインシデントは、2023年8月19日に発生し、従業員の T-Mobile アカウントが標的にされたという。
Continue reading “Kroll でデータ侵害が発生: 社員が SIM スワッピング攻撃のターゲットに”Microsoft: Stealthy Flax Typhoon hackers use LOLBins to evade detection
2023/08/25 BleepingComputer — 政府組織/教育機関/製造業/情報技術などの分野を、スパイ目的で狙う新たなハッキング・グループ Flax Typhoon を、Microsoft が特定した。この脅威アクターは、ほとんどマルウェアには依存せずに、被害者ネットワークへのアクセスを獲得/維持している。つまり、LOLBin (living-off-the-land binaries) や正規のソフトウェアを、オペレーティング・システム上で既に利用可能なコンポーネントとして好んで使用している。
Continue reading “Flax Typhoon という中国ハッカー:政府組織/教育機関/製造業/IT 分野などを攻撃 – Microsoft”Creative QakBot Attack Tactics Challenge Security Defenses
2023/08/25 InfoSecurity — 2023 Q2 に最も活発だったマルウェア・ファミリーの1つとして、QakBot が挙げられていることが、HP Wolf の最新レポート Threat Insights Report Q2 2023 により判明した。同社の分析によると、セキュリティ・ポリシーや検知ツールを回避するために、サイバー犯罪者たちは攻撃の手法を多様化させている。その一例として、“building blog style attacks” を利用して、キャンペーンを実行していることが確認されているという。
Continue reading “QakBot というマルウェア:ユニークな感染チェーンで検知を回避 – HP Wolf”Urgent FBI Warning: Barracuda Email Gateways Vulnerable Despite Recent Patches
2023/08/25 TheHackerNews — 米国連邦捜査局 (FBI) は、先日に公開された Barracuda の Networks Email Security Gateway (ESG) アプライアンスの脆弱性に関して、パッチは適用されているが、中国のハッキング・グループと思われる集団から、侵害されるリスクにさらされていると警告している。また、修正パッチは「効果がない」と判断した FBI は、「活発な侵入を観察し続けており、すべての Barracuda ESGア プライアンスは侵害されており、このエクスプロイトに対して脆弱であると考えている」と述べている。
Continue reading “Barracuda ESG のゼロデイ脆弱性 CVE-2023-2868 はパッチの効果なし – FBI 警告”Lazarus APT exploits Zoho ManageEngine flaw to target an Internet backbone infrastructure provider
2023/08/24 SecurityAffairs — 北朝鮮が関与する APT グループ Lazarus は、Zoho の ManageEngine ServiceDesk に存在する脆弱性 CVE-2022-47966 悪用し、インターネット・バックボーン・インフラ・プロバイダーや医療機関を狙った攻撃を仕掛けている。この、国家に支援されたハッカーは、欧州と米国の組織を標的として、PoC エクスプロイトが公開された僅か数日後に、この脆弱性を悪用し始めた。この欠陥を悪用する Lazarus は、QuiteRAT として追跡されている新しいマルウェアを展開している。セキュリティ研究者が、このインプラントを発見したのは2023年2月のことだった。
Continue reading “北朝鮮の APT グループ Lazarus:Zoho ManageEngine の脆弱性 CVE-2022-47966 を悪用”More Than Half of Browser Extensions Pose Security Risks
2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。
Continue reading “Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果”New stealthy techniques let hackers gain Windows SYSTEM privileges
2023/08/23 BleepingComputer — セキュリティ研究者たちが、Windows Filtering Platform を利用して、Windows の最高権限レベルである SYSTEM にまで、ユーザー権限を昇格させるツール NoFilter をリリースした。このユーティリティは、感染させたデバイスにログインしている正規ユーザのアカウントを用いた、より高い権限での悪意のコード実行や、ネットワーク上での横方向への移動といった、攻撃者による悪用シナリオの追跡に有用なものとなる。
Continue reading “Windows SYSTEM 権限を取得する3つのテクニック:Filtering Platform の悪用方法とは?”Carderbee Attacks: Hong Kong Organizations Targeted via Malicious Software Updates
2023/08/22 TheHackerNews — 未知の脅威クラスターが、香港などを中心とするアジア圏の組織を標的として、ソフトウェア・サプライチェーン攻撃に関与していることが判明した。Broadcom 傘下の Symantec Threat Hunter Team が、Carderbee という名前で、この活動を追跡している。この攻撃は、EsafeNet Cobra DocGuard Client と呼ばれる正規ソフトウェアのトロイの木馬化バージョンを悪用し、被害者のネットワーク上に PlugX (別名 Korplug) という既知のバックドアを配信するものだ。
Continue reading “Carderbee というサプライチェーン攻撃を観測:香港などのアジア圏の組織が標的?”Akira ransomware targets Cisco VPNs to breach organizations
2023/08/22 BleepingComputer — Akira ランサムウェアが、Cisco VPN 製品を攻撃ベクターとして企業ネットワークに侵入し、データ窃取を行った後に暗号化するという証拠が増えている。Akira ランサムウェアは、2023年3月以降に検出された新しいランサムウェアであり、その後に、VMware ESXi 仮想マシンを標的とする Linux 暗号化ツールも開発している。
Continue reading “Akira ランサムウェア:Cisco VPN 製品を標的として組織に侵入している”HiatusRAT Malware Resurfaces: Taiwan Firms and U.S. Military Under Attack
2032/08/21 TheHackerNews — HiatusRAT マルウェアを背後から操る脅威アクターは、台湾を拠点とする組織と米軍調達システムを狙うために復帰し、新たな偵察と標的さがしの活動に入った。先週に発表したレポートで Lumen Black Lotus Labs は、このマルウェアのサンプルを調査した結果として、複数の CPU に対応する再コンパイルが行われ、新しい VPS 上でアーティファクトがホストされていると指摘している。Lumen は、この活動群を最も大胆なものと表現しており、その勢いに衰える気配がないことを指摘している。現在のところ、脅威アクターの身元や帰属は不明である。
Continue reading “HiatusRAT マルウェアが復活: 台湾企業と米軍にサイバー攻撃を仕掛けている”Google Chrome to warn when installed extensions are malware
2023/08/20 BleepingComputer — Google がテストしている Chrome の新機能は、インストールされたエクステンションが Chrome Web Store から削除された場合に、ユーザーに警告を表示するためのものである。Chrome Web Store では、問題のあるエクステンションなどが次々と公開され、ポップアップ広告やリダイレクト広告を介して宣伝されている。これらのエクステンションは、詐欺師や脅威アクターにより作成され、不要な広告の挿入/検索履歴の追跡/アフィリエイト・ページへのリダイレクトなどを行い、さらに深刻なケースでは、Gmail や Facebook のアカウント窃盗などにも悪用される。
Continue reading “Google Chrome Check for Extension:マル・エクステンションを判定してくれる”Thousands of Android Malware Apps Using Stealthy APK Compression to Evade Detection
223/08/19 TheHackerNews — マルウェア解析を逃れる脅威アクターたちが、未知の圧縮方法を用いる Android Package (APK) ファイルを使用しているという。Zimperium の調査結果によると、このような圧縮アルゴリズムを利用した 3,300件のアーティファクトが、野放し状態で活動していることが判明したという。確認されたサンプルのうち 71件は、何の問題もなく Android にロードできるようだ。
Continue reading “Android マルウェアの新たな手口:未知の圧縮アルゴリズムで検出を回避している”
IoT OT Security News 
You must be logged in to post a comment.