New Linux Ransomware BlackSuit is similar to Royal ransomware
2023/06/02 SecurityAffairs — 2022年に注目を集めたランサムウェア・ファミリー Royal は、2023年5月初旬にテキサス州ダラスの IT システムに対する攻撃を行っている。人手によるオペレーションを特徴とする Royal ランサムウェアは、2022年9月に初めて脅威環境に登場し、最大で数百万ドルの身代金を要求してきた。Royal ランサムウェアは C++ で書かれており、Windows システムに感染し、データ復旧を防ぐために全てのボリュームシャドウコピーを削除する。このランサムウェアは、ローカルネットワーク上のネットワーク共有とローカルドライブを、AES アルゴリズムで暗号化していくとされる。
Continue reading “Linux の新型ランサムウェア BlackSuit:Royal ランサムウェアとの類似性が判明”Malicious PyPI Packages Use Compiled Python Code to Bypass Detection
2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”Windows 11 to require SMB signing to prevent NTLM relay attacks
2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名:セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。
Continue reading “Windows 11 の SMB 署名を義務化:NTLM リレー攻撃に対する保護を優先する”Chinese Phishing Gang “PostalFurious” Expands Campaign
2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール/フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。
Continue reading “PostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている”Malicious Chrome extensions with 75M installs removed from Web Store
2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。
Continue reading “Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが”New Horabot campaign takes over victim’s Gmail, Outlook accounts
2023/06/01 BleepingComputer — Hotabot ボットネット・マルウェアを取り込んだ、未知のキャンペーンが、遅くとも 2020年11月以降において、ラテン・アメリカのスペイン語圏のユーザーを標的とし、バンキングトロイの木馬とスパム・ツールの感染を広めていた。このマルウェアにより、被害者の Outlook/Gmail/Hotmail/Yahoo のメール・アカウントを制御した攻撃者は、受信箱に届くメールデータや 2FA コードを盗み出し、侵害したアカウントからフィッシング・メールを送信していたようだ。この新しい Horabot とういうマルウェアは、Cisco Talos のアナリストたちにより発見され、その背後にいる脅威アクターは、ブラジルに拠点を置いている可能性が高いと報告されている。
Continue reading “Horabot マルウェア:Outlook/Gmail などを狙う多段階のフィッシング・チェーン”Phishing campaigns thrive as evasive tactics outsmart conventional detection
2023/06/01 HelpNetSecurity — フィッシング攻撃におけるキットの利用が、2022年には 25%増加したことが、Group-IB の研究により判明した。フィッシング・キットの主な傾向としては、アクセス制御と高度な検知回避技術の利用の増加が確認された。また、アンチボット技術やランダム化による回避戦術の増加は、従来の検知システムにとって大きな脅威であり、フィッシング・キャンペーンの寿命を延ばすものとなっている。
Continue reading “フィッシング攻撃の最新分析:キットの利用が増加している理由を考えよう – Group-IB”Critical zero-day vulnerability in MOVEit Transfer exploited by attackers!
2023/06/01 HelpNetSecurity — Progress Software の企業向け MFT (Managed File Transfer) ソリューションである、MOVEit Transfer に存在する深刻なゼロデイ脆弱性が、脅威アクターたちによる企業データ窃取に悪用されている。同社は 5月31日のアドバイザリで、「この脆弱性が悪用されると、権限昇格や環境への不正アクセスにつながる可能性がある。パッチを作成するまで、MOVEit Transfer 環境を保護してほしい」と顧客に呼びかけている。
Continue reading “MOVEit Transfer に深刻なゼロデイ脆弱性:すでに活発に悪用されている”Threat actors can exfiltrate data from Google Drive without leaving a trace
2023/06/01 HelpNetSecurity — Google Workspace (旧 G Suite) には、悪意のサードパーティやインサイダーが Google Drive からデータを流出させても、それを発見できないという欠陥があると、Mitiga の研究者たちは述べている。Google Workspace において、組織の Google Drive リソースを可視化する方法は、ファイルのコピー/削除/ダウンロード/閲覧などのアクションに対して、 “Drive log events” を使用することで達成される。
Continue reading “Google Drive からのデータ流出:痕跡が残らないという欠陥が発見された”Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks
2023/06/01 TheHackerNews — QBot (Qakbot) マルウェアの、高度な回避性と粘着性に関する分析により、その C2 サーバの 25% が、1日しか活動していないことが判明した。Lumen Black Lotus Labs は、「QBot の 50% のサーバーがアクティブなのが、1週間以内であることからして、適応性が高くて動的な C2 インフラが使用されていることが分かる」と、The Hacker News と共有したレポートで指摘している。さらに、セキュリティ研究者である Chris Formosa と Steve Rudd は、「このボットネットは、ホストされた VPS のネットワークに潜むのではなく、住宅用 IP スペースと感染した Web サーバに、そのインフラを隠すための技術を適応させている」と述べている。
Continue reading “QBot マルウェアの延命術:住居用 IP を短期間で切り替える C2 サーバ補充戦略とは?”Russia Blames US Intelligence for iOS Zero-Click Attacks
2023/06/01 SecurityWeek — 2023年6月1日に、ロシアに本拠を置く Kaspersky は、企業ネットワーク内の iOS デバイスに対して、ゼロクリックの iMessage エクスプロイトを仕掛ける APT アクターを発見したと発表した。 同じ日に、ロシアの連邦保安庁 (FSB:Federal Security Service) も、国内の契約者や外国公館が所有する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが進行していることについて、米国の情報機関を非難した。ソ連の KGB を引き継いだ、ロシアのセキュリティ機関 FSB は、NATO 諸国/中国/イスラエル/シリアに赴任する外交官の iPhone が、”米国の諜報機関による偵察オペレーション” により感染したと主張している。
Continue reading “iOS の iMessage を侵害するゼロクリック攻撃:ロシアが米情報機関を非難している”Spyware Found in Google Play Apps With Over 420 Million Downloads
2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集/攻撃者へのファイル送信/クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。
Continue reading “SpinOk というスパイウェア:Google Play アプリに組み込まれ 420M ダウンロード!”RomCom RAT Using Deceptive Web of Rogue Software Sites for Covert Attacks
2023/05/31 TheHackerNews — RomCom RAT の背後にいる脅威アクターたちは、遅くとも 2022年7月以降において、人気ソフトウェアの不正バージョンを宣伝する偽サイトのネットワークを活用して、ターゲットに侵入しているようだ。Trend Micro は、Void Rabisu という名前の悪意のアクティビティを追跡しているが、Unit 42 は Tropical Scorpius と呼び、Mandiant は UNC2596 と呼んでいる。
Continue reading “RomCom RAT と Void Rabisu の関連性:サイバー犯罪と APT 攻撃の境界線は曖昧?”Dark Pink APT Group Expands Tooling and Targets
2023/05/31 InfoSecurity — 著名な APT グループ Dark Pink によるキャンペーンの範囲は、当初に考えられていたよりも広く、その新たな被害者は、ベルギーにおける1件を含む、全体で5件に達していることを、研究者たちは確認している。中国との関連が指摘されている Dark Pink は、主に東南アジア諸国をターゲットに活動していると、これまでは考えられてきた。しかし、Group-IB が確認したところによると、被害者はタイやブルネイだけではなく、ベルギーにも広がっているとのことだ。
Continue reading “Dark Pink がツールを拡充しターゲットを拡大:ベルギーへの攻撃も成功させている”Millions of WordPress Sites Patched Against Critical Jetpack Vulnerability
2023/05/31 SecurityWeek — この数日の間に、約 500万件の WordPress サイトに適用された自動アップデートにより、2012年に発生した深刻な脆弱性が修正された。Automattic 社により管理されている Jetpack は、マルウェア・スキャン/リアルタイム・バックアップと復元、スパムとブルートフォースに対する保護などの、セキュリティ機能を提供する WordPress プラグインである。これらのセキュリティ・ツールは、500万以上のアクティブ・インストールを持つという、このコンテンツ管理システムにおける最も人気のプラグインの1つとなっている。
Continue reading “WordPress の Jetpack プラグインに深刻な脆弱性:2日間で 500万件のパッチが自動配信された”Beware of Ghost Sites: Silent Threat Lurking in Your Salesforce Communities
2023/05/31 TheHackerNews — Salesforce Sites and Communities (別名 Experience Cloud) が不適切に無効化され、さらに放置されている場合おいて、機密データへの不正アクセスなどが生じ、組織に深刻なリスクをもたらす恐れがあるという。データセキュリティ企業である Varonis は、放置され、保護されず、監視されていないリソースを、Ghost Sites と呼んでいる。
Continue reading “Salesforce Communities の Ghost Sites という問題:脅威アクターたちが狙っているかもしれない”Microsoft Details Critical Apple macOS Vulnerability Allowing SIP Protection Bypass
2023/05/31 TheHackerNews — Apple macOS における、すでに修正済の脆弱性の詳細を、Microsoft が発表した。この脆弱性が、root アクセス権を持つ脅威アクターにより悪用されると、影響を受けるデバイス上でセキュリティを回避され、任意のアクションを実行される可能性があるという。
Continue reading “Apple macOS における SIP バイパスの脆弱性:Ventura/Monterey/Big Sur に影響”IDSA: Only 49% of Firms Invest in Identity Protection Before Incidents
2023/05/31 InfoSecurity — セキュリティ・インシデントが発生したことはないが、ID 保護ソリューションに積極的に投資しているという企業は、わずか 49% である。また、セキュリティ・インシデントを経験した後に、ID とセキュリティを保護するために投資したという企業は、わずか 29% に過ぎない。この数字は、5月30日 (火) 発表された Identity Defined Security Alliance (IDSA) の最新レポートによるものだ。
Continue reading “ID 保護ソリューションへの投資:積極的な企業は 49% に過ぎない – IDSA 調査”Toyota finds more misconfigured servers leaking customer info
2023/05/31 BleepingComputer — トヨタ自動車が新たに発見した、クラウドサービスにおける2件のミスコンフィグレーションは、7年以上にわたって自動車所有者の個人情報を流出させてきたものだった。以前にもトヨタ自動車は、200万人以上の顧客の位置情報を、10年間にわたり流出させるという、サーバのミスコンフィグレーションを発見している。そして、トヨタコネクテッド株式会社が管理する、すべてのクラウド環境について徹底的な調査を実施した結果として、今回の発見が得られた。
Continue reading “トヨタで発生したクラウド・ミスコンフィグレーション:Lexus シリーズに影響するが問題は軽微”Exploit released for RCE flaw in popular ReportLab PDF library
2023/05/31 BleepingComputer — HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在する。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開された。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなる。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされている。
Continue reading “Python ReportLab PDF Lib の深刻な脆弱性:悪意の HTML を読ませるだけでコード実行”Dark Web Data Leak Exposes RaidForums Members
2023/05/30 InfoSecurity — あるハッキング・サイトの主要データベースが公開された後に、もうひとつのサイバー犯罪フォーラムの、約 50 万人のメンバーの詳細が公開された。RaidForums のユーザーデータ 47万8000 人分が、売出し中のフォーラム Exposed で流出させられたというニュースを、VX-Underground のサイバー・セキュリティ研究者たちが確認している。彼らは、「RaidForums のデータベース流出の原因について、Exposed の管理スタッフは何も教えてくれない」とツイートしている。
Continue reading “RaidForums フォーラムから 50万人分のハッカー情報がリーク:同業者 Exposes の仕業?”Human Error Fuels Industrial APT Attacks, Kaspersky Reports
2023/05/30 InfoSecurity — サイバーセキュリティ企業である Kaspersky が、産業部門における APT 攻撃の主要因を特定した。今日の最新レポートで取り上げられている、その第一の要因は OT (Operational Technology) ネットワークにおける隔離の不在である。Kaspersky の専門家たちは、エンジニアリング・ワークステーションが、IT と OTのネットワークに接続されている事例を確認している。このようなネットワーク構成に依存した隔離では、熟練した攻撃者により操作される可能性が生じる。その結果として、隔離されているように見えるネットワークへのマルウェア感染や、その後のマルウェア・トラフィックの管理などが可能になってしまう。
Continue reading “OT ネットワークと人的なエラー:APT 攻撃を助長する要因について考える”Ransomware Gangs Adopting Business-like Practices to Boost Profits
2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。 フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。
Continue reading “ランサムウェアとアクセス・ブローカー:地下でつながり利益を上げるグループたち – WithSecure”CAPTCHA-Breaking Services with Human Solvers Helping Cybercriminals Defeat Security
2023/05/30 TheHackerNews — ボットと正規ユーザーのトラフィックを識別する CAPTCHA システムを、バイパスするための解除サービスが販売されていると、サイバーセキュリティ研究者たちが警告している。Trend Micro は先週のレポートで、「サイバー犯罪者は、CAPTCHA を解除することに熱心であり、この需要に対応した、いくつかのサービスが展開されている。これらの CAPTCHA 解除サービスは、光学式文字認識や機械学習手法などを使用するのではなく、CAPTCHA の解除を実際の人間に委託して解除している」と述べている。
Continue reading “CAPTCHA 解除サービスの蔓延:API を介して手作業を実施する犯罪組織の存在”New GobRAT Remote Access Trojan Targeting Linux Routers in Japan
2023/05/29 TheHackerNews — 日本国内において、Linux ルーターが、新たな Golang RAT である GobRAT の標的になっている。今日の JPCERT Coordination Center (JPCERT/CC) の報告によると、「この攻撃者は、最初に WebUI が公開されているルーターを狙い、脆弱性を悪用するスクリプトを実行し、最終的に GobRAT に感染させている」と述べている。
Continue reading “GobRAT という Golang ベースの RAT:日本国内の Linux ルーターを侵害 – JPCERT/CC”Digital nomads drive changes in identity verification
2023/05/29 HelpNetSecurity — Regula のレポートによると、これまでの1年間において、金融会社の約8割が、外国書類が関係する確認案件の増加を経験しているという。残念なことに、すべての組織が、このシフトに対応できるわけではないが、近年におけるデジタルノマド・ムーブメントが、大きく成長していることが示唆される。
Continue reading “デジタルノマドと金融機関:新たな ID 確認のためのテンプレートの必要性について”Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains
2023/05/28 BleepingComputer — File Archivers in the Browser という新たなフィッシング・キットは、ZIP ドメインを悪用し、ブラウザに偽の WinRAR/Windows File Explorer などのウィンドウを表示し、悪意のファイルをユーザーに起動させるように仕向ける。2023年5月初旬に Google は、Web サイトや電子メール・アドレスのホスティングに用いるための、ZIP TLD ドメイン (例:bleepingcomputer.zip) の登録機能を提供し始めた。この種の TLD のリリース以来、セキュリティ・リスクや混乱をもたらす可能性について議論が沸騰していた。
Continue reading “ZIP ドメインは大丈夫? File Archiver In The Browser というフィッシング・トリックで攻略可能”PyPI announces mandatory use of 2FA for all software publishers
2023/05/28 BleepingComputer — Python Package Index (PyPI) が発表したのは、同プラットフォーム上でプロジェクトを管理する全てのアカウントに対して、2023年内に二要素認証 (2FA) をオンにすることの義務付けである。PyPI とは、プログラミング言語 Python で作成されたパッケージのための、ソフトウェア・リポジトリのことである。このインデックスには、20万個のパッケージが登録されており、開発者は各種プロジェクトの要件を満たす既存のパッケージを、ここで見つけることにより、時間と労力を節約することが可能となる。
Continue reading “PyPI による 2FA 義務化のアナウンスメント:すべてのアカウントで年末までに対応”US Navy hit by Chinese hacking campaign, report says
2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府/通信/製造/IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。
Continue reading “米海軍 グアムの IT インフラにハッカーが侵入:China 対 Five Eyes の情報戦が始まる?”QBot malware abuses Windows WordPad EXE to infect devices
2023/05/27 BleepingComputer — マルウェア QBot による最近の活動だが、Windows 10 の WordPad プログラムの DLLハイジャック欠陥を悪用してコンピュータに感染し、正規のプログラムを用いることでセキュリティ・ソフトによる検出を回避し始めているようだ。DLL とは、複数のプログラムで同時に使用できる機能を取り込んだライブラリ・ファイルのことである。したがって、アプリケーションを起動すると、必要な DLL が読み込まれることになる。
Continue reading “QBot の新たなオペレーション:WordPad を悪用する DLL ハイジャックの手口とは?”Zyxel Firewalls Hacked by Mirai Botnet
2023/05/26 SecurityWeek — Mirai ボットネットの亜種が、最近にパッチがリリースされた脆弱性 CVE-2023-28771 を悪用して、Zyxel ファイアウォールを大量にハッキングしている。4月25日の時点で Zyxel は、影響を受ける ATP/VPN/USG Flex/ZyWALL/USG/ファイアウォールに対してパッチをリリースし、このセキュリティ脆弱性について顧客に通知を行っている。
Continue reading “Mirai ボットネットが Zyxel Firewall をハッキング:修正済の CVE-2023-28771 を悪用”CISA Adds CVE-2023-2868 Vulnerability to KEV Catalog
2023/05/26 SecurityOnline — 終わりのないサイバー戦争において、新たな脅威が出現した。米国の Cybersecurity and Infrastructure Security Agency (CISA) が発した警告は、Barracuda の Email Security Gateway (ESG) アプライアンスに存在する、セキュリティ脆弱性に関するものだ。この脆弱性 CVE-2023-2868 (CVSS:9.4) は、リモートの攻撃者にシステム・コマンド実行を許すため、侵入やデータ漏洩の可能性を生じるという。
Continue reading “CISA KEV 警告 23/05/26:Barracuda ESG の脆弱性 CVE-2023-2868 を追加”New Buhti ransomware gang uses leaked Windows, Linux encryptors
2023/05/25 BleepingComputer — Buhti と命名された新しいランサムウェア・オペレーションが、LockBit/Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows/Linux システムを狙っている。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、”double-extortion” として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫している。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されている。
Continue reading “Buhti というランサムウェア:LockBit/Babuk のコードを流用する新たな脅威”Advanced Phishing Attacks Surge 356% in 2022
2023/05/25 InfoSecurity — Perception Point の調査により、高度なフィッシング攻撃の件数が、2022年は 356 %増加したことが判明した。同社の 2023 Annual Report: Cybersecurity Trends & Insights に記されているのは、脅威アクターによる攻撃の総数は 87%増加したという最新データである。この成長の背景には、悪意のアクターが人工知能 (AI) や機械学習 (ML) を搭載した、新たなツールへのアクセスを、広く獲得し続けているという現実がある。
Continue reading “高度なフィッシング攻撃が 356% も急増:2023 Annual Report – Perception Point 調査”AI Used to Create Malware, WithSecure Observes
2023/05/25 InfoSecurity — サイバー・セキュリティの世界では、脅威アクターの手に渡った AI がもたらす潜在的な脅威について、警鐘が鳴り続けている。その中でも、ChatGPT で作成されるマルウェアは、現実のものとなっているようだ。WithSecure の CEO である Juhani Hintikka は、ChatGPT により生成されたマルウェアのサンプルを、同社が発見したことを認めている。
Continue reading “ChatGPT で作成されたポリモーフィックなマルウェア・サンプルを検出 – WithSecure 報告”Microsoft 365 phishing attacks use encrypted RPMSG messages
2023/05/25 BleepingComputer — 侵害済の Microsoft 365 アカウント経由で送信された、暗号化された RPMSG 添付ファイルを使用して、メールセキュリティ・ゲートウェイによる検出を回避しながら、攻撃者たちは標的型フィッシング攻撃で Microsoft の認証情報を盗み出している。RPMSG (Restricted Permission Message) ファイルとは、Microsoft の Rights Management Services (RMS) を用いて作成された、暗号化電子メール・メッセージの添付ファイルであり、そのアクセスを許可された受信者だけに制限することで、機密情報の保護を強化するものだ。
Continue reading “Microsoft 365 に新たなフィッシング攻撃:暗号化された RPMSG メッセージの悪用を検出”D-Link fixes two critical flaws in D-View 8 network management suite
2023/05/25 SecurityAffairs — D-Link は、D-View 8 における2つの深刻な脆弱性 (CVSS:9.8) を修正した。これらの脆弱性は、悪用に成功した攻撃者に対して、認証なしでリモート・コード実行を許すものである。D-View は、ネットワーク管理スイートであり、パフォーマンの監視やデバイスの設定を行い、効率的にネットワークを管理するためのツールだ。これらの脆弱性は、2022年12月23日に Trend Micro の Zero Day Initiative (ZDI) を通じて、D-Link に報告された。
Continue reading “D-Link D-View 8 の脆弱性 CVE-2023-32165/CVE-2023-32169:β 版パッチがリリース”Legion Malware Upgraded to Target SSH Servers and AWS Credentials
2023/05/24 TheHackerNews — コモディティ・マルウェアの一種である Legion がアップデートされ、DynamoDB/CloudWatch に関連する AWS (Amazon Web Services) の認証情報や、SSH サーバを侵害する機能などが追加された。Cado Labs の研究者である Matt Muir は、「最新のアップデートでは、Laravel の Web アプリからの AWS 固有の認証情報の窃取や、SSH サーバの侵害やなどの、新しい機能が追加されており、攻撃範囲の拡大が示されている」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Legion マルウェアがアップデート:AWS の認証情報や SSH サーバを標的に追加”Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs
2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。
Continue reading “Volt Typhoon という中国の APT:グアムの重要インフラへの攻撃を Microsoft が検知”GitLab ‘strongly recommends’ patching max severity flaw ASAP
2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS:10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。
Continue reading “GitLab の深刻な脆弱性 CVE-2023-2825:Ver 16.0.0 ユーザーは直ちにアップデートを!”OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers
2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。
Continue reading “OAuth の深刻な脆弱性が FIX:Expo Framework を介したアカウント乗っ取りの可能性”N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware
2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱な バージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。
Continue reading “北朝鮮の Lazarus Group:Microsoft IIS を侵害してスパイウェアを配布している”Backup Repositories Targeted in 93% of Ransomware Attacks
2023/05/24 InfoSecurity — Veeam の 2023 Ransomware Trends Report によると、依然としてランサムウェアの脅威は生き続けており、これまでの 12ヶ月間において、85% の組織が少なくとも1回は、そのような攻撃を受けたことがあるとしている。このレポートは、「このような傾向が続けば、ランサムウェア攻撃による損失が、利益を上回るという組織が多くなる」と警告している。
Continue reading “バックアップの重要性について再考:ランサムウェアから身を守るために – Veeam”New PowerExchange malware backdoors Microsoft Exchange servers
2023/05/24 BleepingComputer — PowerExchange という名の新たな PowerShell ベースのマルウェアが、イランの国家支援ハッカー APT34 が関与する攻撃で使用され、オンプレミスの Microsoft Exchange サーバをバックドア化している。この脅威アクターは、アーカイブ化された悪意の実行ファイルを取り込んだ、フィッシングメールを介してメール・サーバに侵入した後に、ユーザー認証情報を窃取するための ExchangeLeech と呼ばれる Web シェルを展開している。なお、ExchangeLeech は、2020年の時点で、Digital14 Incident Response チームにより発見されたものだ。
Continue reading “PowerExchange という新たなマルウェア:Exchange サーバを悪用して C2 通信”The fragmented nature of API security ownership
2023/05/23 HelpNetSecurity — Traceable AI によると、API セキュリティの重要性が、今年もサイバーセキュリティにおける最大の課題であるが、ほとんどの企業において、驚くほど対策が実施されていないという。それぞれの企業が苦慮しているのは、チェックされていない API の氾濫 (API Sprawl) および、API セキュリティにおける不明確な責任の所在に加えて、セキュリティ能力の一部として、その動作がベースライン化されていない点である。
Continue reading “API と Security:責任者は CISO なのか? それとも DevOps なのか?”ESET: Android App ‘iRecorder – Screen Recorder’ Trojanized with AhRat
2023/05/23 InfoSecurity — デジタルの世界では、今日には便利なものが、明日には有害になることがある。残念ながら、それが iRecorder – Screen Recorder で起こってしまった。50,000 万件以上のインストール数を誇る、この画面録画用 Android アプリは、2021年9月に正規のアプリとして発売されたものだ。しかし、いまの iRecorder には、AhMyth をベースにした、新たな Android RAT (Remote Access Trojan) が仕込まれている。このオープンソースのリモート管理ツールにより、Android デバイスからのデータ・アクセスに使用できることが、サイバーセキュリティ・ベンダーである ESET により、2023年5月23日に判明した。
Continue reading “iRecorder – Screen Recorder はトロイの木馬:Google Play の正規アプリがマルウェア化”The Rising Threat of Secrets Sprawl and the Need for Action
2023/05/23 TheHackerNews — 今日の情報化時代において、最も貴重な資産はカギでロックされたシークレットである。GitHub の公開アクティビティを分析した、最大規模の レポート 2023 State of Secrets Sprawl が示すように、さらにシークレットの維持が難しくなるという、残念な状況が浮き彫りになっている。このレポートでは、漏えいシークレット数が前年比で 67% 増加し、2022年だけで 1000万個のハードコードされたシークレットが検出された指摘されている。このシークレットの氾濫とも言うべき状況は、安全なソフトウェア開発と対策の必要性を強調するものとなっている。
Continue reading “シークレットが氾濫する GitHub の世界:どのように緩和していくべきなのか – Git Guardian 提案”Arms maker Rheinmetall confirms BlackBasta ransomware attack
2023/05/23 BleepingComputer — ドイツの自動車/兵器メーカーである Rheinmetall AG が公表したのは、BlackBasta ランサムウェア攻撃を受け、民需ビジネスに影響が及んだことだ。 Rheinmetall は、自動車/軍用車/兵器/防空システム/エンジン/各種鉄鋼製品などを製造するドイツのメーカーであり、従業員数は 25,000人以上、$7 billion 以上の年間売上高を有している。
Continue reading “ドイツの兵器メーカー Rheinmetall にランサムウェア攻撃:BlackBasta が犯行を主張”Two-Thirds of IT Leaders Say GDPR Has Reduced Consumer Trust
2023/05/22 InfoSecurity — GDPR (General Data Protection Regulation) のあり方により、それぞれの企業に対する消費者の信頼が低下したという、IT リーダーの3分の2 (66%) の捉え方を、Macro 4 の最新調査が示している。2018年5月25日に、GDPR が欧州で施行されてから5年が経過し、個人データ保護の必要性に対する意識が高まった結果が、この調査に現れている。
Continue reading “GDPR は消費者の信頼を低下させた:IT リーダーの 66% が回答 – Macro 4 調査”Malicious Windows kernel drivers used in BlackCat ransomware attacks
2023/05/22 BleepingComputer — ALPHV ランサムウェア・グループ (別名 BlackCat) が、署名された不正な Windows カーネル・ドライバを採用し、攻撃時におけるセキュリティ・ソフトウェアによる検出を回避していることが確認された。Trend Micro が確認した ALPHV のドライバは、昨年末のランサムウェア攻撃が生じた際に、Microsoft/Mandiant/Sophos/SentinelOne などが発見した、POORTRY という名のマルウェアの改良版である。
Continue reading “Windows 環境に潜む悪意のカーネル・ドライバ:BlackCat ランサムウェアの回避策が判明”
IoT OT Security News 
You must be logged in to post a comment.