New Mockingjay process injection technique evades EDR detection
2023/06/27 BleepingComputer — Mockingjay と名付けられた、新しいプロセス・インジェクションの手法により、脅威たちは EDR (Endpoint Detection and Response) などのセキュリティ製品による検知を回避し、侵害したシステム上で悪意のコードを密かに実行できるという。この手法を発見したのは、サイバー・セキュリティ企業 Security Joes の研究者たちである、具体的に言うと、RWX (Read/Write/Execute) セクションを持つ正規の DLL を利用して、EDR のフックを回避し、リモート・プロセスにコードを注入するものとなる。
Continue reading “Mockingjay という新たなプロセス・インジェクションの手法:既存の EDR 検出を回避していく”Study Reveals Alarming Gap in SIEM Detection of Adversary Techniques
2023/06/27 InfoSecurity — 企業における Security Information and Event Management (SIEM) ソリューションは、サイバー脅威の検出と対策に対して不十分だという。この CardinalOps の分析は、Splunk/Microsoft Sentinel/IBM QRadar/Sumo Logic などのプロダクション SIEM から、4000件を超える検出ルールおよび、100万件のログソース、固有のログソースタイプを調査した結果である。
Continue reading “SIEM の分析と現実の脅威:4000件のルールと 100万件のログソースが示すギャップとは?”Internet Systems Consortium (ISC) fixed three DoS flaw in BIND
2023/06/26 SecurityAffairs — DNS ソフトウェア・スイートである BIND に存在する、3件のサービス拒否 (DoS) 脆弱性に対処するためのセキュリティ・アップデートを、ISC (Internet Systems Consortium) がリリースした。CVE-2023-2828/CVE-2023-2829/CVE-2023-2911 として追跡されている、これらの脆弱性は、リモートから悪用可能だ。ISC によると、これらの3つの脆弱性は深刻度が高く、悪用されるとデバイス・メモリの飽和や、BIND のデーモン named のクラッシュにいたる可能性があるという。
Continue reading “ISC BIND の3つの DoS 脆弱性 CVE-2023-2828 などが FIX”Anatsa Android trojan now steals banking info from users in US, UK
2023/06/26 BleepingComputer — 2023年3月以降の新たなモバイル・マルウェア・キャンペーンにより、米国/英国/ドイツ/オーストリア/スイスのオンライン・バンキング利用者に対して、Android バンキング型トロイの木馬 Anatsa が押し付けられている。この悪質な活動を追跡している ThreatFabric のセキュリティ研究者によると、このマルウェアは Google Play ストア経由で配布され、このチャネルだけで既に3万件以上がインストールされているとのことだ。
Continue reading “Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている”Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks
2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。
Continue reading “Volt Typhoon という中国ハッカー:重要インフラを攻撃する手口が明らかになってきた”Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack
2023/06/26 TheHackerNews — 6月の初めに、日本のある暗号通貨取引所が、JokerSpy と呼ばれる Apple macOS バックドアを展開する新たな攻撃の標的になった。Elastic Security Labs は、JokerSpy に関連する侵害行為を、REF9134 という名前で監視している。同社は、この攻撃により、SeatBelt というオープンソースのユーティリティにインスパイアされた、Swift ベースの列挙ツール Swiftbelt がインストールされたと述べている。先週に JokerSky は、Bitdefender により初めて文書化され、macOS マシンに侵入するために設計された、洗練されたツールキットであると報告されている。
Continue reading “日本の暗号通貨取引所でサイバー攻撃?JokerSpy という macOS バックドアが展開されたらしい”Grafana warns of critical auth bypass due to Azure AD integration
2023/06/24 BleepingComputer — Grafana がリリースした、複数のバージョン向けにセキュリティ修正は、攻撃に成功した脅威アクターに対して、認証バイパスを許すという深刻なものだ。具体的に言うと、認証に Azure Active Directory を使用している、すべての Grafana アカウントに乗っ取り可能性が生じることになる。Grafanaは、広範 に使用されているインタラクティブなオープンソースの分析および可視化のアプリであり、監視のためのプラットフォームや、アプリケーション統合のオプションを提供している。
Continue reading “Grafana の深刻な脆弱性 CVE-2023-3128 が FIX:Azure AD 統合によるアカウント乗っ取りとは?”LastPass users furious after being locked out due to MFA resets
2023/06/24 BleepingComputer — LastPass パスワード・マネージャのユーザーたちが、5月上旬から認証アプリをリセットするよう促されたことで、ログインに重大な問題が発生している。同社による 5月9日の発表は、「セキュリティのアップグレードが予定されているため、ユーザーは LastPass アカウントにログインし、多要素認証の設定をリセットする必要があるかもしれない」というものだった。しかし、それ以降において、数多くのユーザーたちがロックアウトされ、MFA アプリケーション (LastPass Authenticator/Microsoft Authenticator/Google Authenticator など) のリセットに成功しても、LastPass vault にアクセスできなくなっている。
Continue reading “LastPass でユーザーがロックアウト:パスワード強化アルゴリズムに関連した不具合?”Powerful JavaScript Dropper PindOS Distributes Bumblebee and IcedID Malware
2023/06/23 TheHackerNews — 新種の JavaScript ドロッパーにより、ネクスト・ステージ・ペイロードが配信されていることが確認された。サイバー・セキュリティ企業 Deep Instinct は、この Bumblebee や IcedID にも似ているマルウェアを、User-Agent 内に名前を持つ PindOS として追跡している。Bumblebee と IcedID は、どちらもローダーとしての役割を担い、侵害したホスト上でランサムウェアなどのベクターとして機能する。最近の Proofpoint のレポートでは、IcedID が銀行詐欺の機能を放棄し、マルウェア配信のみに特化していることが強調されている。
Continue reading “PindOS という JavaScript マルウェア・ローダー: Bumblebee/IcedID との関係は?”Fortinet fixes critical FortiNAC RCE, install updates asap
2023/06/23 SecurityAffairs — Fortinet の Network Access Control (NAC) ソリューションである FortiNAC は、セキュリティポリシーの適用/デバイスの監視/アクセス権限の管理などにより、企業におおけるネットワークへのアクセスを安全に制御するためのものである。その FortiNAC で、未認証の攻撃者が任意のコード/コマンドを実行できる、深刻な脆弱性 CVE-2023-33299 (CVSS:9.6) が発見され、Fortinet によるセキュリティ・アップデートがリリースされた。
Continue reading “Fortinet FortiNAC の深刻な脆弱性 CVE-2023-33299 が FIX:RCE の可能性”MOVEIt breach impacts GenWorth, CalPERS as data for 3.2 million exposed
2023/06/23 BleepingComputer — PBI Research Services (PBI) を侵害した、最近の MOVEit Transfer データ窃取攻撃により、合計で 475万人分のデータが盗まれたと、同社の顧客三社が公表している。一連の攻撃は 2023年5月27日に始まっており、Clop ランサムウェア・ギャングが MOVEit Transfer のゼロデイ脆弱性を悪用し、数百の企業からデータを盗んだインシデントだとされている。この1週間において Clop ランサムウェア・ギャングは、被害者に対する身代金支払いのプレッシャーとして、影響を受けた組織をデータ漏洩サイトに段階的にリストアップし、企業を恐喝し始めている。
Continue reading “MOVEit ゼロデイ侵害の被害が拡大:保険/年金などの契約者 3.2M 人分のデータが流出?”Microsoft Teams vulnerability allows attackers to deliver malware to employees
2023/06/23 HelpNetSecurity — Microsoft Teams の受信トレイへ向けて、攻撃者たちがダイレクトにマルウェアを配信できる脆弱性を、セキュリティ研究者たちが発見した。Jumpsec の研究者である Max Corbridge は、「Microsoft Teams を使用している組織は、Microsoft のデフォルト設定を継承しているため、組織外のユーザから内部の従業員へ向けて、連絡を取ることが可能になっている」と説明している。この脆弱性を悪用したマルウェア配信攻撃は、ソーシャル・エンジニアリングを入り口として、高確率で成功しているようだ。
Continue reading “Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下”Mirai botnet targets 22 flaws in D-Link, Zyxel, Netgear devices
2023/06/22 BleepingComputer — Mirai ボットネットの亜種が、D-Link/Arris/Zyxel/TP-Link/Tenda/Netgear/MediaTek などのデバイスを制御し、分散型サービス拒否 (DDoS) 攻撃を実行するために、約 20件の脆弱性を標的にしているという。このマルウェアは、3月14日に始まり 4月と6月に急増している。そして、この2つの進行中のキャンペーンを調査していた、Palo Alto Networks Unit 42 の研究者たちにより発見されている。6月22日に発表されたレポートの中で研究者たちは、このボットネット開発者は、悪用可能な脆弱性に関するコードを追加し続けていると警告している。
Continue reading “D-Link/Zyxel/Netgear デバイス:Mirai ボットネットが 22件の脆弱性を狙っている”VMware fixes vCenter Server bugs allowing code execution, auth bypass
2023/06/22 BleepingComputer — VMware は、vCenter Server における複数の深刻なセキュリティ脆弱性に対処した。VMware の vSphere スイートのコントロールセンターである vCenter Server は、管理者が仮想化インフラを管理/監視するのに役立つサーバ管理ソリューションである。新たに修正されたセキュリティ脆弱性は、vCenter Server で使用されている DCE/RPC プロトコルの実装で発見されたものだ。このプロトコルは、仮想的な統合コンピューティング環境を構築することで、複数のシステム間でのシームレスな運用を可能にするとされる。
Continue reading “VMware vCenter Server の深刻な脆弱性 CVE-2023-20892 などが FIX”Microsoft: Hackers hijack Linux systems using trojanized OpenSSH version
2023/06/22 BleepingComputer — 最近に確認されたクリプト・ジャッキング・キャンペーンの一環として、インターネットに公開された Linux や IoT デバイスが、ブルートフォース攻撃で乗っ取られていると、Microsoft が警告している。標的とするシステムへのアクセスを取得した攻撃者は、トロイの木馬化された OpenSSH パッケージを展開し、侵害されたデバイスをバックドア化し、SSH 認証情報を盗んで永続性を維持する。
Continue reading “OpenSSH のトロイの木馬:Linux ベースの Hiveon OS を乗っ取りクリプト・ジャッキング”Alert: Million of GitHub Repositories Likely Vulnerable to RepoJacking Attack
2023/06/22 TheHackerNews — GitHub 上の何百万ものソフトウェア・リポジトリが、RepoJackingと呼ばれる攻撃に対して脆弱である可能性が高いことが、新たな研究で明らかになった。マサチューセッツ州を拠点とするクラウドネイティブ・セキュリティ企業 Aqua が、水曜日に発表したレポートによると、それらの脆弱なリポジトリには、Google や Lyft などの、いくつかの組織のものも含まれているという。この、リポジトリ依存関係ハイジャックとも呼ばれるサプライチェーンの脆弱性は、活動を停止した組織やユーザーの名前を乗っ取り、悪意のコードを忍び込ませ、トロイの木馬化したバージョンのリポジトリを公開する攻撃の一種である。
Continue reading “GitHub で懸念される RepoJacking 攻撃:変更された名称の悪用が容易だと判明”PoC Exploit Published for Cisco AnyConnect Secure Vulnerability
2023/06/22 SecurityWeek — 先日にパッチが適用された、Cisco AnyConnect Secure Mobility Client および Secure Client for Windows の深刻な脆弱性を証明するために、あるセキュリティ研究者が PoC エクスプロイト・コードを公開した。この Cisco のソフトウェアは、組織のネットワークへの安全な VPN 接続を、リモートの従業員に提供し、また、その監視機能を実現するものである。そして、脆弱性 CVE-2023-20178 (CVSS:7.8) は、このソフトウェアのクライアント・アップデート・プロセスに影響を及ぼし、低権限のローカル攻撃者に対して、アクセス権を昇格とシステム特権でのコード実行を許すものである。
Continue reading “Cisco AnyConnect/Secure Client の脆弱性 CVE-2023-20178:PoC エクスプロイトが登場”Apple addressed actively exploited zero-day flaws in iOS, macOS, and Safari
2023/06/22 SecurityAffairs — Apple は、iOS/iPadOS/macOS/watchOS/Safari で発見された脆弱性のうち、野放し状態で活発に悪用されている脆弱性に対処した。具体的に言うと、先日に公開された Triangulation オペレーションでも悪用されていた、セロデイ脆弱性 CVE-2023-32434/CVE-2023-32435 である。Kaspersky の研究者たちは、Triangulation オペレーションを調査し、iOS デバイスにスパイウェアを配信するために採用された、エクスプロイト・チェーンに関する詳細を発見した。6月の上旬に Kaspersky の研究者たちは、Triangulation という名の長期的なキャンペーンの一環として、ゼロクリックのエクスプロイトで iOS デバイスを標的にする未知の APT グループを発見している。
Continue reading “Apple が iOS/macOS/Safari のゼロデイ脆弱性に対応:ゼロクリックで RCE という強敵”Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites
2023/06/21 SecurityWeek — WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。
Continue reading “WordPress Plugin の深刻な脆弱性が FIX:脆弱なオンライン販売サイトが数万件”Supply Chain and APIs Top Security Concerns, CISO Survey Shows
2023/06/21 InfoSecurity — 最近の CISO (Chief Information Security Officers) 調査により、主要なセキュリティ懸念事項として、サプライチェーンと API が浮上していることが分かった。この調査は、API セキュリティ企業の Salt Security が委託し、Global Surveyz が実施したものであり、グローバルにおける 300人の CISO/CSO からの意見がまとめられている。この調査結果によると、CISO の 89% が、デジタル・サービスの急速な展開から生じ、重要なビジネス・データのセキュリティを脅かす、予期せぬリスクに取り組んでいるという。
Continue reading “CISO の最大の懸念:サプライチェーンと API のセキュリティ – Salt Security”Chrome and Its Vulnerabilities – Is the Web Browser Safe to Use?
2023/06/21 SecurityWeek — 多くの主要なアプリケーションと同様に、Google Chrome も、その脆弱性に悩まされている。2022年に SecurityWeek が報告した Chrome の脆弱性は、456件 (1ヶ月あたり 38件) にのぼるが、その中には9件のゼロデイも含まれる。パッチが必要な脆弱性の多い Chrome は、はたして安全なのだろうかという、素朴な疑問を投げかける。
Continue reading “Google Chrome と脆弱性:この Web ブラウザは安全に使えるのか?”VMware Aria Operations for Networks vulnerability exploited in the wild (CVE-2023-20887)
2023/06/21 HelpNetSecurity — VMware Aria Operations for Networks (旧 vRealize Network Insight) に存在する、コマンド・インジェクションの脆弱性 CVE-2023-20887 の悪用が検出された。企業の管理担当者に対しては、パッチを適用してデプロイメントをアップグレードすることが推奨される。
Continue reading “VMware Aria Operations for Networks の脆弱性 CVE-2023-20887:すでに悪用を検出”3CX data exposed, third-party to blame
2023/06/20 SecurityAffairs — サイバー攻撃の被害者を嘲笑うべきではないが、「初めて騙されたのなら相手が悪いが、続けて騙されたのなら自分が悪い」という言葉が、昔から繰り返して使われてきたのには、なんらかの理由があるのだろう。2023年の初めに、北朝鮮のハッカーと思われる人物が 3CX にサプライチェーン攻撃を仕掛け、同社のソフトウェアを使用してデバイス上にマルウェアをばらまいた。
Continue reading “3CX のデータ漏洩:Elasticsearch/Kibana のオープンなインスタンスが原因だったのか?”New RDStealer malware steals from drives shared over Remote Desktop
2023/06/20 BleepingComputer — RedClouds として追跡されているサイバースパイ/ハッキングのキャンペーンは、カスタム・マルウェア RDStealer を使用し、Remote Desktop 接続を介して共有されたドライブから、データを自動的に盗み出すものだ。この、Bitdefender Labs が発見した悪質なキャンペーンは、2022年以降において東アジアのシステムを標的にしていることが確認されている。このキャンペーンを、特定の脅威アクターによるものと断定はできないが、国家に支援される洗練された APT レベルの技術を持ち、関心の対象は中国と一致しているという。
Continue reading “RDStealer という強力なマルウェアが登場:RDP 侵害に特化した機能で東アジアを狙っている”Norton Parent Says Employee Data Stolen in MOVEit Ransomware Attack
2023/06/20 SecurityWeek — Avast/Avira/AVG/Norton/LifeLock などの有名なサイバーセキュリティ・ブランドを展開する Gen Digital (NASDAQ: GEN) は、先日の MOVEit ランサムウェア攻撃により、従業員の個人情報が漏洩したことを発表した。この攻撃は、5月31日に Progress Software が公表した MFT (managed file transfer) ソフトウェア MOVEit Transfer のゼロデイ脆弱性を悪用したものだ。この SQL インジェクションの脆弱性 CVE-2023-34362 (深刻度 Critical) の大規模な悪用が始まったのは、2023年5月下旬のことだ。しかし、2021年の時点で攻撃者が、この脆弱性について既に知っており、悪用をテストを実施していたことを示唆する証拠が発見された。
Continue reading “Norton/Avast などの親会社 Gen Digital でデータ侵害:MOVEit ゼロデイ攻撃が確認された”What to Know About the CISA Software Bill of Materials Sharing Lifecycle Phases
2023/06/20 SecurityBoulevard — Software Bill of Materials (SBOM) を採用するための取り組みが、成熟へ向けて動き出している。先日に Cybersecurity and Infrastructure Security Agency (CISA) が発表した報告書では、SBOM 共有ライフサイクルの各フェーズを実施するための、時間/リソース/専門知識/労力/ツールへのアクセス量をベースにした、適切な SBOM 共有プラットフォームを選択する際の指針が示されている。
Continue reading “SBOM Lifecycle:CISA が分析する発見/アクセス/転送の各フェーズとは?”Over 100,000 ChatGPT Accounts Found in Dark Web Marketplaces
2023/06/20 InfoSecurity — OpenAI の LLM (Large Language Models) である ChatGPT の、10万件以上の侵害されたアカウントが、ダークウェブ・マーケットプレイスで発見された。それを発見した、シンガポール拠点のサイバー・セキュリティ企業 Group-IB が、6月20日のブログ記事で説明している。Group-IB の Head of Threat Intelligence である Dmitry Shestakov は、「多くの企業が、ChatGPT を業務フローに組み込んでいる。具体的なアクティビティとしては、従業員による機密通信の入力や、ボットを用いたコードを最適化などが挙げられる」とコメントしている。
Continue reading “ChatGPT のアカウント 10万件がダークウェブで販売されている:侵害されると何が起こる?”Zyxel addressed critical flaw CVE-2023-27992 in NAS Devices
2023/06/20 SecurityAffairs — Zyxel の NAS デバイスに影響を及ぼす、脆弱性 CVE-2023-27992 (CVSS: 9.8) に対する、セキュリティ・アップデートがリリースされた。この脆弱性は、認証前のコマンド・インジェクションの問題である。リモートの認証されていない攻撃者が、特別に細工された HTTP リクエストを送信し、この脆弱性の悪用に成功すると、オペレーティング・システム (OS) コマンドを実行することが可能になる。なお、この脆弱性が影響を及ぼす範囲は、Zyxel NAS326 ファームウェア V5.21 (AAZF.14) C0 以前、および、NAS540 ファームウェア V5.21 (AATB.11) C0 以前、NAS542 ファームウェア V5.21 (ABAG.11) C0 以前となる。
Continue reading “Zyxel NAS のコマンド・インジェクションの脆弱性 CVE-2023-27992 が FIX:ただちにパッチを!”Researchers Flag Account Takeover Flaw in Microsoft Azure AD OAuth Apps
2023/05/20 SecurityWeek — セキュリティ分野のスタートアップ Descope の研究者たちは、Microsoft Azure AD OAuth アプリケーションに存在する深刻なミスコンフィグレーションを発見し、”Log in with Microsoft” を使用している組織においては、アカウント乗っ取りの可能性が生じていると警告を発した。このセキュリティ上の欠陥は nOAuth と呼ばれ、Microsoft Azure AD のマルチ・テナント OAuth アプリケーションに影響を及ぼす、認証実装の欠陥だと説明されている。
Continue reading “Microsoft Azure AD の OAuth に深刻な問題:認証の目的での “email” クレーム使用は不可”Android spyware camouflaged as VPN, chat apps on Google Play
2023/06/19 BleepingComputer — Google Play 上の3件の Android アプリが、標的のデバイスから位置情報や連絡先リストなどを収集するに、国家に支援された脅威アクターにより運用されていたことが判明した。それらの悪意の Android アプリを発見した Cyfirma は、「遅くとも 2018年以降において、東南アジアの著名な組織を標的としている、インドのハッキング・グループ APT-C-35 (DoNot) が操作していたと、中程度の信頼性で判断している」と述べている。
Continue reading “Google Play にインド APT 由来のスパイウェア:VPN/Chat アプリを装っていた”New Mystic Stealer Malware Targets 40 Web Browsers and 70 Browser Extensions
2023/06/19 TheHackerNews — Mystic Stealer と呼ばれる新たな情報窃取マルウェアが、約40種類の Web ブラウザと70種類以上の Web ブラウザ・エクステンションから、データを窃取できることが判明した。2023年4月25日に、このマルウェアは、月額 $150 という価格で発売されていたが、そこで採用されるメカニズムは、暗号通貨ウォレット/Steam/Telegram などを標的にするものであり、分析にも抵抗するという。InQuest と Zscaler の研究者たちは、「そのコードは、ポリモーフィック文字列難読化/ハッシュベースのインポート解決/定数のランタイム計算を使用して、高度に難読化されている」と、先週に発表された分析で述べている。
Continue reading “Mystic Stealer という新種のマルウェア:40 の Web ブラウザと 70 のエクステンションが標的”ASUS urges customers to patch critical router vulnerabilities
2023/06/19 BleepingComputer — ASUS が公開したのは、複数のルーター・モデルの脆弱性に対応した。累積的なセキュリティ更新プログラムを含む新しいファームウェアであり、直ちに各デバイスをアップデートするよう警告している。また、何らかの事情でアップデートが不可能な場合には、安全が確保されるまで WAN アクセスを制限するよう顧客に推奨している。同社の説明によると、今回リリースされたファームウェアには、Critical および High と評価されるものを含む、9件の脆弱性に対する修正が含まれていとのことだ。
Continue reading “ASUS ルーター群に緊急パッチ:対応が難しい場合には WAN アクセス遮断を推奨”Microsoft confirms Azure, Outlook outages caused by DDoS attacks
2023/06/18 BleepingComputer — Microsoft が発表したのは、先日に Azure/Outlook/OneDrive の Web ポータルで発生した障害が、同社サービスの Layer 7 に対する DDoS 攻撃であったというものだ。この攻撃は、Microsoft が Storm-1359 として追跡している脅威アクター (別名 Anonymous Sudan) に起因するものだと見られている。この障害は 2023年6月初旬に発生し、Outlook.com (7日)/OneDrive (8日)/Microsoft Azure (9日) という順序で、それぞれの Web ポータルが標的となった。
Continue reading “Azure/Outlook/OneDrive への執拗な DDoS 攻撃:Anonymous Sudan の犯行だと Microsoft が判定”Killnet Threatens Imminent SWIFT, World Banking Attacks
2023/06/17 DarkReading — Killnet と呼ばれる親ロシア派のハッカー集団が、ランサムウェア・ギャング REvil の復活に関与していると主張している。その目的はというと、欧米の金融システムに対する攻撃である。しかし、これまで Killnet が行ってきた DDoS 攻撃の実績からすると、単なる威勢のいい脅しに過ぎないのかどうかは不明である。6月16日にロシアの Telegram チャンネルに投稿されたビデオで Killnet は、SWIFT 銀行システム (2018年に Lazarus の標的となった)/Wise 国際電信送金システム/SEPA欧州内決済サービス/欧州米国の中央銀行などの機関に対して、攻撃を仕掛けるという脅しをかけている。
Continue reading “Killnet の主張:REvil/Anonymous Sudan と連携して欧米の金融組織を攻撃する”Western Digital boots outdated NAS devices off of My Cloud
2023/06/16 BleepingComputer — Western Digital は、同社の My Cloud シリーズ・ユーザーに対して、最新ファームウェア Ver 5.26.202 へのアップグレードが行われない場合は、2023年6月15日からクラウド・サービスに接続できなくなると警告している。このストレージ・メーカーは、未認証の脅威アクターにリモート・コード実行を許す脆弱性に対して、最新のファームウェアで対応したことで、ユーザーをサイバー攻撃から保護するために抜本的な対策をとるという判断を下した。
Continue reading “Western Digital の決断:アップデートしない NAS デバイスの My Cloud 接続を拒否”Millions of Oregon, Louisiana state IDs stolen in MOVEit breach
2023/06/16 BleepingComputer — ルイジアナ州とオレゴン州が警告を発したのは、MOVEit Transfer MFT (Managed File Transfer) セキュリティファイル転送システムをハッキングしたランサムウェア・ギャングが、数百万の運転免許証がデータなどを含むデータを窃取し、流出させたインシデントに関するものである。これらの攻撃は、ゼロデイ脆弱性 CVE-2023-34362 を悪用して、5月27日に MOVEit Transfer サーバに対する世界的なハッキングを開始した、Clop ランサムウェア・オペレーションによるものである。一連の攻撃により、世界中で流出したデータが広く公開され、企業/政府/自治体などに影響が及んでいる。
Continue reading “MOVEit と行政データ:ルイジアナとオレゴンの数百万人の個人情報が漏えい”Cybersecurity culture improves despite the dark clouds of the past year
2023/06/16 HelpNetSecurity — 経済情勢の悪化や、世界的な緊張の高まり、そして、サイバー犯罪を容易にする新技術の登場などの状況が危惧されている。しかし、ClubCISO と Telstra Purple の調査によると、CISO の 76%が、過去12ヶ月間に重大な侵害は発生していないと回答し、60%が重大なサイバーセキュリティ・インシデントは発生していないと回答したという。このようなセキュリティ対策の結果は、それぞれの CISO が組織の全体的なセキュリティ態勢について、前年よりも低下したと評価する状況を考えると、非常に興味深いものとなる。
Continue reading “サイバー・セキュリティ態勢が改善された:CISO たちが経営陣に話し続けた結果だ!”XSS Vulnerabilities in Azure Led to Unauthorized Access to User Sessions
2023/06/15 SecurityWeek — Azure Bastion と Azure Container Registry (ACR) に存在する2つの XSS (cross-site scripting) の脆弱性により、ユーザー・セッションへの不正アクセスおよび、データの改ざん、サービスの中断につながる可能性があったと、クラウド・セキュリティ企業 Orca が警告している。この問題は、2023年4月/5月で解決されたが、具体的に言うと、postMessage iframe の欠陥に起因するものであり、攻撃者による iframe タグを介したリモートサーバ内へのエンドポイントの埋め込むみが可能になり、悪意の JavaScript コードを実行できるものだったという。
Continue reading “Azure における XSS の脆弱性:ユーザー・セッションに対する未認証のアクセスが生じていた”New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries
2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID/パスワード/ローカルマシン環境変数/ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。
Continue reading “Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見”Clop ransomware gang starts extorting MOVEit data-theft victims
2023/06/15 BleepingComputer — MOVEit を介したデータ窃取攻撃の被害者となった企業に対する、Clop ランサムウェア・グループによる恐喝が始まった。この動きは、5月27日に Clop が、ファイル転送プラットフォーム MOVEit Transfer のゼロデイ脆弱性を悪用し、そのサーバに保存されているファイルを盗み出したことに起因している。Clop の主張は、この攻撃により数百の企業に侵入したというものであり、交渉が成立しなければ 6月14日にデータ漏洩サイトに掲載すると脅迫している。さらに、要求額が支払われない場合には、盗み出したデータの流出を、6月21日から開始すると述べている。
Continue reading “MOVEit とデータ窃取攻撃:Clop ランサムウェア・ギャングが被害者への恐喝を開始”CISA and NSA Publish BMC Hardening Guidelines
2023/06/15 InfoSecurity — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、BMC (Baseboard Management Controller) のセキュリティ強化に関する共同指針を発表した。6月14日に発表された、この文書の目的は、重要なインフラ・システムの侵害を試みる脅威アクターにとって、潜在的な侵入経路となり得る BMC の、見落された脆弱性への対処である。
Continue reading “CISA/NSA の共同指針:BMC セキュリティ強化ガイドラインを発表”Barracuda ESG zero-day attacks linked to suspected Chinese hackers
2023/06/15 BleepingComputer — Mandiant が UNC4841 として追跡している親中派ハッカー・グループへの疑いが、Barracuda ESG (Email Security Gateway) アプライアンス上の、パッチ適用済みゼロデイ脆弱性を悪用する、データ窃取攻撃と関連していることが判明した。この脅威アクターは、2022年10月10日頃から、Barracuda の添付ファイル・スキャン・モジュールに存在する、ゼロデイ・リモート・コマンド・インジェクション脆弱性 CVE-2023-2868 を悪用し始めた。5月19日に、この欠陥を発見した Barracuda は、脆弱性が悪用されていることを直ちに公表し、CISA は米国連邦政府機関に対して、セキュリティ更新プログラムを適用するよう警告を発した。
Continue reading “Barracuda ESG がデバイス交換を選択:中国 APT が仕掛けた強力なバックドアとは?”ICS Patch Tuesday: Siemens Addresses Over 180 Third-Party Component Vulnerabilities
2023/06/14 SecurityWeek — Siemens が発表したのは、合計で約200件の脆弱性をカバーする、12件の新たなアドバイザリである。これらの脆弱性の大部分は、サードパーティのコンポーネントに影響を与えるものだとされる。Siemens は顧客に通知したのは、Simatic S7-1500 に対して、特に TM MFP (Multi Functional Platform) に影響を及ぼす、Linux カーネルの 108件の脆弱性である。同社は、これらの脆弱性に対するパッチを準備中であり、それらが提供されるまでの間の、回避策と緩和策を共有している。
Continue reading “ICS Patch Tuesday: Siemens が公表した 180件の OSS コンポーネントにおける脆弱性”Microsoft Outs New Russian APT Linked to Wiper Attacks in Ukraine
2023/06/14 SecurityWeek — Microsoft のセキュリティ研究者たちは、ロシアの General Staff Main Intelligence Directorate (GRU) に関連する新たな APT グループの情報を公表し、この脅威アクターがウクライナの組織へ向けた破壊的なワイパー・マルウェア攻撃に取り組んでいることを警告している。同社の脅威情報チームが発表した新しいレポートでは、このグループは Cadet Blizzard と名付けられ、戦時環境におけるマルウェアの範囲と使用方法を明確にするための、兆候と証拠が記録されている。
Continue reading “Microsoft が警告するロシアの APT:ワイパー攻撃における WhisperGate と Cadet Blizzard の関連性”Fake Researcher Profiles Spread Malware through GitHub Repositories as PoC Exploits
2023/06/14 TheHackerNews — 不正なサイバー・セキュリティ企業の研究者たちによる、少なくとも6つの GitHub アカウントが、7つの悪意のリポジトリをプッシュしていることが確認された。この7つのリポジトリは、Discord/Google Chrome/Microsoft Exchange Server などの、ゼロデイ脆弱性の概念実証 (PoC) だと見られている。
Continue reading “GitHub リポジトリで発見されたマルウェア拡散の新手口:研究者たちの偽プロファイルを悪用”CISA: LockBit ransomware extorted $91 million in 1,700 U.S. attacks
2023/06/14 BleepingComputer — CISA が発表した共同アドバイザリには、2020年以降の米国組織に対する約 1,700件の攻撃において、LockBit ランサムウェア・ギャングが、約 $91M の恐喝に成功していると記されている。RaaS (Ransomware-as-a-Service) オペレーションである LockBit は、2022年におけるランサムウェアの脅威をリードし、そのデータ漏洩サイトで開示した犠牲者の数は最多であったと、米国/英国/オーストラリア/カナダ/ドイツ/フランス/ニュージーランドなどの、それぞれの当局が述べている。
Continue reading “LockBit の被害総額が $91M に達した:CISA/FBI/MS-ISAC などが共同勧告”MFA Bypass Kits Account For One Million Monthly Messages
2023/06/14 InfoSecurity — Proofpoint によると、脅威アクターは 2022年もユーザー防御を回避するための戦術を進化させ続けており、その中でも多要素認証 (MFA) バイパス・キットは、数百万件ものフィッシング・メッセージで利用されていたという。Proofpoint は最新のレポート The Human Factor 2023 で、数年前から市販のツールキットが、サイバー犯罪者たちによるフィッシング活動を推進してきたが、MFA バイパス専用の特殊ツールは、比較的新しい光景であると述べている。
Continue reading “MFA 侵害キットの台頭:月間で 100万件のバイパス・メッセージを記録 – Proofpoint”Adversary-in-the-Middle Attack Campaign Hits Dozens of Global Organizations
2023/06/13 TheHackerNews — AitM (Adversary-in-The-Middle) 技術を用いた広範な BEC (Business Email Compromise) キャンペーンにより、世界の数十の組織が標的にされていることが判明した。Sygnia の研究者たちは、「フィッシングに成功した脅威アクターは、ユーザー組織の従業員アカウントにアクセスし、Office365 の認証をバイパスし、そのアカウントへの永続的なアクセスを得るために AiTM 攻撃を実行している」と The Hacker Newsと共有したレポートで述べている。
Continue reading “AiTM フィッシング攻撃が多発:Office 365 認証をバイパスして BEC へと至る”The First Kubernetes Bill of Materials Standard Arrives
2023/06/13 TheNewStack — Software Bill of Materials (SBOM) を使っていない組織であっても、すぐに使うことになるだろう。SBOM は、ビルディング・コードのセキュリティ防御における、不可欠な基盤として捉えられている。Software Package Data Exchange (SPDX) や CycloneDX に加えて、GitHub における依存関係サブミッション・フォーマットなどの、いくつかの SBOM 標準が存在していたが、これまでは Kubernetes 専用の標準が存在しなかった。しかし、Kubernetes Security Operations Center (KSOC) の、Kubernetes Bill of Materials (KBOM) スタンダードが出てきたようだ。
Continue reading “Kubernetes の SBOM:KBOM スタンダードの第一稿が登場”RDP honeypot targeted 3.5 million times in brute-force attacks
2023/06/13 BleepingComputer — リモート・デスクトップ接続は、ハッカーにとって極めて強力なマグネットであり、さまざまな IP アドレスからの、露出したコネクションに対するアクセスは、毎日平均 37,000 回に達するという実験結果が出た。この段階の攻撃は、自動化されているものだ。しかし、正しいアクセス認証情報を入手したハッカーたちは、重要なファイルや機密情報を手動で探し始める。
Continue reading “RDP ハニーポットで 350万回のブルートフォース攻撃を分析:脅威アクターたちの動きが見えてきた”
IoT OT Security News 
You must be logged in to post a comment.