Microsoft Secure Boot のゼロデイ CVE-2023-24932:アップデートしてもデフォルトでは無効?

Microsoft issues optional fix for Secure Boot zero-day used by malware

2023/05/09 BleepingComputer — Microsoft がリリースしたセキュリティ・アップデートは、Secure Boot のゼロデイ脆弱性に対応するものであり、パッチを適用した Windows システムであっても、BlackLotus UEFI Bootkit による感染を許すものだった。Secure Boot とは、セキュリティ機能のひとつである。Unified Extensible Firmware Interface (UEFI) ファームウェアと Trusted Platform Module (TPM) チップを搭載したコンピュータにおいて、OEM に信頼されていないブートローダーがブロックされ、起動プロセス中にルートキットがロードされないようにするものだ。

Continue reading “Microsoft Secure Boot のゼロデイ CVE-2023-24932:アップデートしてもデフォルトでは無効?”

Linux カーネルの NetFilter に新たな脆弱性 CVE-2023-32233:root レベルへの権限昇格が可能

New Linux kernel NetFilter flaw gives attackers root privileges

2023/05/09 BleepingComputer — Linux カーネルの NetFilter コンポーネントで、新たな脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、権限のないローカル・ユーザーから root レベルまで権限を昇格させ、システムを完全にコントロールできるようになるという。この脆弱性 CVE-2023-32233 だが、現時点では深刻度レベルが決定されていない (訳者注記:NVD では CVSS 値 7.5) 。この脆弱性は、Netfilter nf_tables が設定に対する、無効な更新を受け入れることに起因しており、無効なバッチ要求がサブシステムの内部状態の破壊につながるという、特定のシナリオが可能になるという。

Continue reading “Linux カーネルの NetFilter に新たな脆弱性 CVE-2023-32233:root レベルへの権限昇格が可能”

API の氾濫という深刻な問題:過去のインシデントを学習して将来を見据える

Unattended API challenge: How we’re losing track and can we get full visibility

2023/05/09 HelpNetSecurity — かつてないスピードで、API が開発/導入される現代の企業において、API スプロール (氾濫) の問題が広まり始めている。Postman の 2022 State of the API Report では、「回答者の 89%が、組織の API への時間とリソースの投資は、今後 12ヶ月間で増加するか、変わらないだろうと答えている」と指摘されている。つまり、API の開発/展開が進むだろうと、それぞれの組織は自信を持っているのだ。

Continue reading “API の氾濫という深刻な問題:過去のインシデントを学習して将来を見据える”

AndoryuBot という新たなボットネット:Ruckus Wireless の脆弱性を突いて増殖している

New Botnet Campaign Exploits Ruckus Wireless Flaw

2023/05/09 InfoSecurity — Linux ベースの Ruckus AP (access point) に存在する深刻な脆弱性が、リモート攻撃を仕掛ける脅威アクターにより制御を奪われる可能性があることが判明した。Fortinet の最新アドバイザリによると、2023年2月に発見された脆弱性 CVE-2023-25717 が、AndoryuBot という新たなボットネットに悪用されているという。

Continue reading “AndoryuBot という新たなボットネット:Ruckus Wireless の脆弱性を突いて増殖している”

IT Security 意思決定者たちの困惑:分かっていない取締役が多すぎる – Delinea 調査

Only 39% of IT Security Decision-Makers See it As Business Enabler

2023/05/09 InfoSecurity — ITセ キュリティの意思決定者 2000人以上を対象とした最近の調査で、ビジネスの成功におけるサイバー・セキュリティの役割を、自社のリーダーが的確に把握していると考えている人が、39% に過ぎないことが判明した。PAM (Privileged Access Management) ソリューション・プロバイダーの Delinea が発表したレポートでは、コンプライアンスや規制上の要求の観点からのみ、サイバー・セキュリティが重視されていると、回答者の 36% が捉えていることも示唆されている。

Continue reading “IT Security 意思決定者たちの困惑:分かっていない取締役が多すぎる – Delinea 調査”

Microsoft 2023-5 月例アップデートは3件のゼロデイと 38件の脆弱性に対応

Microsoft May 2023 Patch Tuesday fixes 3 zero-days, 38 flaws

2023/05/09 BleepingComputer — 今日は Microsoft の May 2023 Patch Tuesday の日だ。このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性3件と、合計で 38件の不具合が修正された。このうち、Critical と評価された6つの脆弱性は、リモート・コード実行にいたる恐れのあるものだ。

Continue reading “Microsoft 2023-5 月例アップデートは3件のゼロデイと 38件の脆弱性に対応”

SBOM エコシステムを CISA が推進:OSS の可視性を高めていく – ETIC 2023

ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility

2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ/バージョン/コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。

Continue reading “SBOM エコシステムを CISA が推進:OSS の可視性を高めていく – ETIC 2023”

QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染

QR codes used in fake parking tickets, surveys to steal your money

2023/05/08 BleepingComputer — QR コードは便利なものであるため、スーパーボウルの広告や駐車料金の徴収といった、合法的な組織で多く利用されている一方で、この技術を悪用する詐欺師も出現している。シンガポールではタピオカの専門店で QR コード・アンケートに答えた女性が $20,000 を騙し取られ、米国や英国では QR コード付きの偽駐車違反キップの事例が確認されている。

Continue reading “QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染”

Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施

Microsoft enforces number matching to fight MFA fatigue attacks

2023/05/08 BleepingComputer — Microsoft は、MFA 疲労攻撃を防ぐため、Microsoft Authenticator のプッシュ通知において番号照合を実施することにした。この種の、プッシュボミング/MFA プッシュスパム攻撃を実施する脅威アクターたちは、盗み出した認証情報を悪用し、モバイル・プッシュ通知が承認されるまでターゲットに送り続け、企業アカウントにログインしようとする。多くのケースにおいて、標的にされた被害者は、無限に続く警告を止めるために、あるいは、誤って悪意の MFA プッシュ要求に応じ、アカウントへの攻撃者のログインを許してしまう。

Continue reading “Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施”

AI による音声クローン作成:3秒間のデータがあれば詐欺の成功率は 85% というレベル – McAfee

Your voice could be your biggest vulnerability

2023/05/08 HelpNetSecurity — McAfee によると、オンライン音声詐欺の増加に AI 技術が拍車をかけており、人の声を複製するのに必要な音声は、わずか3秒であることが判明している。7カ国の 7,054人を対象に McAfee が調査したところ、成人の 4分の1 が何らかの AI 音声詐欺を経験したことがあり、10人に 1人が個人的に狙われ、15% が知人に起こったと回答している。結果として、被害者の 77% が騙され、金銭を失ったと回答している。McAfee Labs のセキュリティ研究者たちは、AI 音声クローニング技術と、サイバー犯罪者による悪用に関する、徹底的な調査から得た知見と分析を明らかにした。

Continue reading “AI による音声クローン作成:3秒間のデータがあれば詐欺の成功率は 85% というレベル – McAfee”

Akira というランサムウェアが登場:すでに 16社を侵害したと主張している

Meet Akira — A new ransomware operation targeting the enterprise

2023/05/07 BleepingComputer — 新たなランサムウェア Akira が、世界中の企業ネットワークに侵入してファイルを暗号化し、徐々に犠牲者のリストを増やし、million-dollar の身代金を要求している。2023年3月に検出された Akira は、すでに 16社の企業に対して攻撃を行ったと主張している。それらの企業には、教育/金融/不動産/製造/コンサルティングなどの、さまざまな業種が含まれている。Akira という名前の、別のランサムウェアが、2017年にリリースされているが、今回のオペレーションとは関連性はないと考えられている。

Continue reading “Akira というランサムウェアが登場:すでに 16社を侵害したと主張している”

Western Digital へのデータ侵害:3月のサイバー攻撃で顧客データが盗まれたことを認める

Western Digital says hackers stole customer data in March cyberattack

2023/05/07 BleepingComputer — 2023年3月にサイバー攻撃を受けた Western Digital は、ハッカーに機密個人情報が盗まれたことを認め、オンラインストアを休止し、顧客にデータ侵害の通知を送った。同社は、2023年5月5日(金) の午後にデータ侵害通知をEメールで送信し、顧客のデータが保存されていた、Western Digital のデータベースが盗まれたことを警告した。Western Digital は、「2023年3月26日頃に、不正な第三者による侵害が発生し、当社のオンラインストア・ユーザーの限定的な個人情報を含む、Western Digital データベースのコピーを取得したことが、調査により判明した」と述べている。 

Continue reading “Western Digital へのデータ侵害:3月のサイバー攻撃で顧客データが盗まれたことを認める”

Python パッケージに新たなマルウェア Kekw:データ窃取と暗号ハイジャックを仕掛ける

“Kekw” Malware in Python Packages Could Steal Data and Hijack Crypto

2023/05/05 InfoSecurity — PyPI (Python Package Index) 上で発見された、Kekw と呼ばれる新しいマルウェアを取り込んだ、複数の有害な Python .whl ファイルが存在しているという。Cyble Research and Intelligence Labs (CRIL) の最新の調査によると、Kekw マルウェアは感染済のシステムからの機密情報の窃取および、暗号通貨取引をハイジャックするクリッパー・アクティビティなどを行うという。

Continue reading “Python パッケージに新たなマルウェア Kekw:データ窃取と暗号ハイジャックを仕掛ける”

OSI の 7-Layers モデルをセキュリティ面から考える:各層と攻撃手法をマッピングしてみた

An overview of the OSI model and its security threats

2023/05/05 Tripwire — Open Systems Interconnection (OSI) モデルは、International Standards Organization (ISO) が作成した概念的なフレームワークであり、あらゆるコンピュータ・ネットワーク書籍において、40年以上にわたって使用されている。また、ほぼ全てのサイバー・セキュリティ試験で、好んで使用されるリソースでもある。OSI モデル は、コンピュータ・システム間の通信が行われる方式を理解する際に有効な、7つの層で表現されている。具体的に言うと、各層におけるプロトコル/サービス/インターフェイスを排他的に分離するため、ネットワークに関連するトラブルシューティングに有益であり、メーカーが技術を定義する際に、他社との互換性を維持するためにも有効である。

Continue reading “OSI の 7-Layers モデルをセキュリティ面から考える:各層と攻撃手法をマッピングしてみた”

Kimsuky APT は北朝鮮由来:ReconShark という偵察ツールで標的を狙い続ける

N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks

2023/05/05 TheHackerNews — Kimsuky という名の、北朝鮮の国家に支援される脅威アクターは、進行中のグローバル・キャンペーンの一環として、ReconShark という新たな偵察ツールを使用していることが判明した。 SentinelOne の研究者である Tom Hegel と Aleksandar Milenkoski は、「ReconShark は、スピアフィッシング・メールおよび、文書のダウンロードにつながる OneDrive リンク、そして、悪意のマクロの実行を介して、標的とする個人に対して配信されている」と述べている。

Continue reading “Kimsuky APT は北朝鮮由来:ReconShark という偵察ツールで標的を狙い続ける”

HTML 内に仕込まれたマルウェアの進化:セキュリティ・スキャンを難しくする手口とは

Barracuda Networks Reports Shift in HTML Malware Tactics

2023/05/05 SecurityBoulevard — Barracuda Networks が発表したレポートによると、HTML ファイル内にマルウェアを埋め込むバー犯罪者が、外部サイトへのリンクを介して悪意のペイロードを配信するケースが増えているようだ。このようなアプローチの変化により、一部のセキュリティ・スキャナでは、メールに埋め込まれたマルウェアを検出することが難しくなっている。

Continue reading “HTML 内に仕込まれたマルウェアの進化:セキュリティ・スキャンを難しくする手口とは”

BlackBerry 脅威レポート:1位 米国/2位 ブラジル/3位 日本という攻撃頻度が判明

BlackBerry Report Surfaces Increasing Rate of Cyberattacks

2023/05/05 SecurityBoulevard — BlackBerry が発表した脅威インテリジェンス・レポートによると、同社のサイバー・セキュリティ・ソフトウェア/サービスを利用している組織に対して、2022年12月〜2023年2月には1分あたり12件のサイバー攻撃が行われ、そのうち 1.5件は新しいマルウェア・サンプルに基づく攻撃であることが判明した。BlackBerry のレポートでは、これらの攻撃が行われているロケーションの変化についても指摘されている。1位の米国に次いで、2位はブラジル、3位は日本、4位はカナダとなり、シンガポールが初めて Top-10 にランクインしたとのことだ。

Continue reading “BlackBerry 脅威レポート:1位 米国/2位 ブラジル/3位 日本という攻撃頻度が判明”

Fleckpe というトロイの木馬:Google Playから 60万回ダウンロードされている

Subscription Trojan Downloaded 600K Times From Google Play

2023/05/05 InfoSecurity — セキュリティ研究者たちが発見した新しいトロイの木馬型マルウェアは、Google Play から提供される 11種類の Android アプリ内に潜み、620,000 台以上のデバイスにインストールされているというものだ。Kaspersky により Fleckpe と命名された、このマルウェアは Jocker および Harly 系統に類似しており、2022年から活動を開始している。このマルウェアは、被害者を密かにプレミアム・サービスに加入させ、ユーザーが気づかない間にオペレーターに収益をもたらすように設計されている。

Continue reading “Fleckpe というトロイの木馬:Google Playから 60万回ダウンロードされている”

WordPress プラグイン Advanced Custom Fields:XSS 脆弱性 CVE-2023-30777 が FIX

WordPress custom field plugin bug exposes over 1M sites to XSS attacks

2023/05/05 BleepingComputer — セキュリティ研究者たちは、数百万件のレベルでインストールされている、WordPress プラグイン Advanced Custom Fields と Advanced Custom Fields Pro が、XSS (Cross-Site Scripting) 攻撃に対して脆弱であると警告している。この2つのプラグインは、WordPress で最も人気のあるカスタム・フィールド・ビルダーであり、世界中のサイトに 2,000,000 のアクティブ・インストールが存在している。2023年5月2日に、Patchstack の研究者である Rafie Muhammad は、これらのプラグインで深刻な反射型 XSS の欠陥を発見し、この脆弱性には識別子 CVE-2023-30777 が付与された。

Continue reading “WordPress プラグイン Advanced Custom Fields:XSS 脆弱性 CVE-2023-30777 が FIX”

FluHorse は新たな Android マルウェア:検出を巧みに回避して認証情報などを窃取

New Android Malware ‘FluHorse’ Targeting East Asian Markets with Deceptive Tactics

2023/05/05 TheHackerNews — Flutter ソフトウェア開発フレームワークを悪用した、FluHorse という名の新たな Android マルウェア系統を配布する、電子メール・フィッシング・キャンペーンが、東アジア・マーケットの様々な分野で展開されていることが判明した。Check Point のテクニカル・レポートには、「このマルウェアは、正規のアプリケーションを模倣した、複数の悪意の Android アプリケーションに仕込まれ、その大半が 100万回以上もインストールされている。これらの悪意のあるアプリは、被害者の認証情報と二要素認証 (2FA) コードを盗み出す」と記されている。

Continue reading “FluHorse は新たな Android マルウェア:検出を巧みに回避して認証情報などを窃取”

Fortinet の FortiADC/FortiOS に存在する深刻な脆弱性が FIX:任意のコマンド実行

Fortinet fixed two severe issues in FortiADC and FortiOS

2023/05/05 SecurityAffairs — Fortinet が対処した9件の脆弱性は、同社の複数の製品に影響を与えるものであり、その中には、FortiADC/FortiOS/FortiProxy に存在する、CVE-2023-27999/CVE-2023-22640 という深刻な欠陥も含まれる。

Continue reading “Fortinet の FortiADC/FortiOS に存在する深刻な脆弱性が FIX:任意のコマンド実行”

Cisco Phone Adapter の脆弱性 CVE-2023-20126:EoL のためパッチは適用されない

Cisco phone adapters vulnerable to RCE attacks, no fix available

2023/05/04 BleepingComputer — Cisco SPA112 2-Port Phone Adapters の、Web ベースの管理インターフェイスに存在する脆弱性の悪用により、認証されていないリモートの攻撃者が、デバイス上で任意のコードを実行できることが公表された。この脆弱性 CVE-2023-20126 (CVSS:9.8:Critical) は、ファームウェアのアップグレード機能における、認証プロセスの欠落が原因となっている。

Continue reading “Cisco Phone Adapter の脆弱性 CVE-2023-20126:EoL のためパッチは適用されない”

SBOM によるセキュリティ強化:Gartner の予測値について考える – Rezilion

Enhance Your Cybersecurity With An SBOM

2023/05/04 SecurityBoulevard — SBOM が提供するサイバー・セキュリティの利点は、ずっと以前からソフトウェア開発のライフサイクルで、使用されていなかったことが不思議なくらいのものだ。現代のソフトウェア開発では、オープンソースがコアとして用いられるため、SBOM を必要とする声が増している。

Continue reading “SBOM によるセキュリティ強化:Gartner の予測値について考える – Rezilion”

Microsoft Azure の API Management の脆弱性が FIX:SSRF などに対応 – Ermetic

Researchers Discover 3 Vulnerabilities in Microsoft Azure API Management Service

2023/05/04 TheHackerNews — Microsoft Azure API Management サービスにおいて、機密情報やバックエンド・サービスへのアクセスを試みる脅威アクターに、悪用される可能性のある3つの新たな脆弱性が公開された。イスラエルのクラウド・セキュリティ企業 Ermetic によると、そこに含まれるのは、2つの SSRF (Server-Side Request Forgery) の欠陥と、API Management 開発者ポータルにおける無制限ファイル・アップロード機能の欠陥である。

Continue reading “Microsoft Azure の API Management の脆弱性が FIX:SSRF などに対応 – Ermetic”

PaperCut 脆弱性の悪用:新たな PoC エクスプロイトが証明する検出回避の手口

Researchers Uncover New Exploit for PaperCut Vulnerability That Can Bypass Detection

2023/05/04 TheHackerNews — 先日に公開された PaperCut サーバの深刻な欠陥だが、現時点における全ての検出方法を回避しながら悪用する手口を、サイバー・セキュリティ研究者たちが解明している。この脆弱性 CVE-2023-27350 (CVSS:9.8) は、PaperCut MF/NG のインストールに影響を及ぼし、認証されていない攻撃者に対して、SYSTEM 権限での任意のコード実行を許すものである。オーストラリアに本拠を置く PaperCut により、この欠陥は 2023年3月8日にパッチが適用されたが、活発な悪用の兆候が 2023年4月13日に観測されている。

Continue reading “PaperCut 脆弱性の悪用:新たな PoC エクスプロイトが証明する検出回避の手口”

DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos

Hackers start using double DLL sideloading to evade detection

2023/05/03 BleepingComputer — Dragon Breath/Golden Eye Dog/APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。 これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。

Continue reading “DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos”

Netgear NMS300 ProSAFE の深刻な脆弱性:権限昇格と認証情報の漏えい – Flashpoint

Netgear Vulnerabilities Lead to Credentials Leak, Privilege Escalation

2023/05/03 SecurityWeek — Netgear の NMS300 ProSAFE に存在する脆弱性の悪用に成功した攻撃者が、平文の認証情報を取得し、権限昇格を可能にすると、サイバー・セキュリティ企業 Flashpoint が報告している。この Netgear のネットワーク・ツールは、デバイスを管理するための Web ベース・インターフェイスをユーザーに提供するものだ。その通信には TCP ポート 8080 を使用し、管理者アカウントに加えて、権限の低いオペレーターや、オブザーバーなどの、アカウント・ロールをサポートしている。その中でも、オブザーバー・アカウントのユーザーに許されるのは、ネットワーク機能の表示と監視だけであるが、この低特権のロールからから、デバイスを管理するロールへと、権限昇格が可能なことを Flashpoint は確認している。

Continue reading “Netgear NMS300 ProSAFE の深刻な脆弱性:権限昇格と認証情報の漏えい – Flashpoint”

Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明

Facebook disrupts new NodeStealer information-stealing malware

2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta/Gmail/Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。

Continue reading “Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明”

Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う

Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics

2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。

Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”

Apple と Google が連携:AirTags 悪用などによる不正追跡を排除するスタンダードとは?

Apple and Google Join Forces to Stop Unauthorized Tracking Alert System

2023/05/03 TheHackerNews — Apple と Google が連携して取り組み始めたのは、たとえば AirTags のようなデバイスが悪用され、ユーザーの知らないうちに追跡されている場合に警告し、安全上のリスクを取り除くための仕様のドラフトである。両社は共同声明で、「この業界初の仕様により、Bluetooth 位置追跡デバイスは、Android/iOS プラットフォームにおいて、不正な追跡の検出と警告の対象になる」と述べている。

Continue reading “Apple と Google が連携:AirTags 悪用などによる不正追跡を排除するスタンダードとは?”

BGP に存在する3つの脆弱性:DoS 状態が無期限に延長される可能性 – Forescout

Researchers found DoS flaws in popular BGP implementation

2023/05/03 SecurityAffairs — Forescout Vedere Labs の研究者が、Border Gateway Protocol (BGP) のソフトウェア実装に存在する、複数の脆弱性を発見した。これらの問題は、プロトコルの主要なオープンソース実装である、FRRouting 実装のバージョン 8.4 における BGP メッセージの解析に起因するものだ。この脆弱性の悪用に成功した攻撃者が、BGP ピアでのサービス拒否 (DoS) 状態を引き起こす可能性が生じる。技術的に見ると、この欠陥を悪用することで、すべての BGP セッションとルーティング・テーブルを削除し、ピアを無応答にすることができるという。

Continue reading “BGP に存在する3つの脆弱性:DoS 状態が無期限に延長される可能性 – Forescout”

ChatGPT の偽デスクトップ・アプリ:Chrome のログイン・データを盗み出すマルウェアだ – Trend Micro

Fake ChatGPT desktop client steals Chrome login data

2023/05/02 HelpNetSecurity — ChatGPT Windows デスクトップ・クライアントを模倣したマルウェアにより、Google Chrome のログインデータ・フォルダに保存された認証情報をコピーしていく情報窃盗犯について、研究者たちが警告を発している。ChatGPT は公式のデスクトップ・クライアントをリリースしていないが、この偽バージョンは、ユーザーが期待するものを作り込んでいるという。

Continue reading “ChatGPT の偽デスクトップ・アプリ:Chrome のログイン・データを盗み出すマルウェアだ – Trend Micro”

1Password からの誤通知:Secret Key/Password の変更は生じていなかった

1Password explains scary Secret Key and password change alerts

2023/05/02 BleepingComputer — 先日に 1Password で発生した、パスワードの変更に関する顧客への通知というインシデントは、サービスの中断の結果であり、セキュリティ侵害が生じたわけではないとのことだ。1Password のインシデント・レポートが明らかにしたのは、この通知は誤りであること、そして、4月27日 (木) に予定されていた定期的なデータベース・メンテナンスに関連していたことである。

Continue reading “1Password からの誤通知:Secret Key/Password の変更は生じていなかった”

ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point

North Korea-linked ScarCruft APT uses large LNK files in infection chains

2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。

Continue reading “ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point”

CISA KEV 警告 23/05/01:Oracle WebLogic の脆弱性 CVE-2023-21839 などが追加

CISA Warns of Attacks Exploiting Oracle WebLogic Vulnerability Patched in January

2023/05/02 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、KEV (Known Exploited Vulnerabilities) カタログに3件の脆弱性を追加したが、その中には 2023年1月にパッチが適用された Oracle WebLogic の脆弱性も含まれる。ただし、WebLogic の脆弱性の悪用について記述された、公的な報告は存在しないようだ。この脆弱性 CVE-2023-21839 は、リモート・コードの実行において悪用される可能性があり、攻撃者による対象サーバの完全な制御に至る恐れがある。この脆弱性は、Oracle の January 2023 Critical Patch Update (CPU) で修正されたものだ。

Continue reading “CISA KEV 警告 23/05/01:Oracle WebLogic の脆弱性 CVE-2023-21839 などが追加”

TBK DVR カメラの脆弱性 CVE-2018-9995 の悪用:攻撃試行が5万回に達した – Fortinet

Hackers Exploit High Severity Flaw in TBK DVR Camera System

2023/05/02 InfoSecurity — TBK の DVR カメラ・システムに存在する5年前の脆弱性 CVE-2018-9995 が、2023年4月の時点で、野放し状態で悪用されていることが、Fortinet のセキュリティ研究者たちの調査により判明した。この深刻な脆弱性は、悪意を持って細工された HTTP クッキーを処理する際に、カメラで生じるエラーに起因する。この脆弱性の悪用に成功したリモートの攻撃者は、認証を回避して管理者権限を取得し、最終的にはカメラからビデオ・フィードへとアクセスする可能性を引き起こす。

Continue reading “TBK DVR カメラの脆弱性 CVE-2018-9995 の悪用:攻撃試行が5万回に達した – Fortinet”

hVNC は高スティルス性のマルウェア:ロシアの犯罪グループ Lobshot が API を介して悪用

New ‘Lobshot’ hVNC Malware Used by Russian Cybercriminals

2023/05/01 SecurityWeek — ロシアのサイバー犯罪グループ TA505 が、最近の攻撃で新たな hVNC (Hidden Virtual Network Computing) マルウェアを使用していると、脅威情報会社 Elastic が報告している。この、Lobshot と呼ばれるマルウェアは、不正検知エンジンを回避し、感染させたマシンに対して、攻撃者によるステルス・アクセスを可能にする。その攻撃は、Google 広告や偽サイトのネットワークを悪用して、ユーザーを騙すところから始まる。そして、バックドアを含む正規のインストーラをダウンロードさせる、マルバタイジングにより配布されていく。

Continue reading “hVNC は高スティルス性のマルウェア:ロシアの犯罪グループ Lobshot が API を介して悪用”

T-Mobile でデータ侵害が発生:2023 年に入って二度目の深刻なインシデントを公表

T-Mobile discloses second data breach since the start of 2023

2023/05/01 BleepingComputer — 2023年2月下旬から1ヶ月以上にわたって、T-Mobile の数百人分の個人情報に、攻撃者がアクセスしていたことが判明し、同社は今年に入ってからの2度目のデータ漏洩を公表した。T-Mobile が過去に報告したデータ漏洩インシデント (最新のものは 3700万人に影響を与えた) と比較すると、今回は 836人の顧客が影響を受けただけだった。それでも、漏洩した情報の量はきわめて広範囲に及び、影響を受けた個人は、個人情報の盗難やフィッシング攻撃にさらされることになる。

Continue reading “T-Mobile でデータ侵害が発生:2023 年に入って二度目の深刻なインシデントを公表”

Western Digital のデータ侵害:脅威アクター ALPHV からの脅迫がエスカレート

Hackers leak images to taunt Western Digital’s cyberattack response

2023/05/01 BleepingComputer — BlackCat という名で活動する ALPHV ランサムウェア・オペレーションだが、Western Digital から盗んだとする内部メールやビデオ会議のスクリーン・ショットを公開し、同社が侵害に対応する間もシステムにアクセスし続けていた可能性が高いことを示した。この情報の開示は、4月17日に脅威アクターが Western Digital に対して、身代金が支払われない場合は、我慢できないところまで痛めつけると、警告した後のことである。

Continue reading “Western Digital のデータ侵害:脅威アクター ALPHV からの脅迫がエスカレート”

人工衛星の乗っ取りを実演:Thales が証明した制御方法とは?

White hat hackers showed how to take over a European Space Agency satellite

2023/04/30 SecurityAffairs — 宇宙産業のサイバー・セキュリティに特化した、欧州のイベントである CYSAT の第3回目が開催された。同イベントで ESA (European Space Agency) は、衛星のテスト・ベンチを設置し、ホワイトハット・ハッカーを招き、デモンストレーション目的で運用している超小型衛星 OPS-SAT を制御する試みを行った。そこで、Thales の Offensive Cybersecurity Team は、世界初の倫理的衛星ハッキング演習とされる、ESA 衛星の制御方法を実演した。

Continue reading “人工衛星の乗っ取りを実演:Thales が証明した制御方法とは?”

Zyxel Firewall の RCE 脆弱性 CVE-2023-28771 などが FIX:直ちにパッチ適用を!

Zyxel fixed a critical RCE flaw in its firewall devices and urges customers to install the patches

2023/04/28 SecurityAffairs — TRAPA Security の研究者たちは、Zyxel Firewall に影響を及ぼす深刻な脆弱性 CVE-2023-28771 (CVSS:9.8) を発見した。CVE-2023-28771 は、以下のファームウェアにおける不適切なエラー・メッセージ処理に起因する、リモート・コード実行の脆弱性だ。この脆弱性の悪用に成功した攻撃者は、未認証の状態で脆弱なデバイスに特別に細工したパケットを送信し、リモートで OS コマンドを実行することが可能になる。

Continue reading “Zyxel Firewall の RCE 脆弱性 CVE-2023-28771 などが FIX:直ちにパッチ適用を!”

ViperSoftX 情報スティーラー:KeePass/1Password も標的にする最凶のマルウェアとは?

ViperSoftX info-stealing malware now targets password managers

2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。

Continue reading “ViperSoftX 情報スティーラー:KeePass/1Password も標的にする最凶のマルウェアとは?”

北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査

Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive

2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト/カナダ/マレーシアといった、遠方の国々へと広がっている。

Continue reading “北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査”

2023年 Q1 のサイバー攻撃:グローバルでの件数は 7% の増加 – Check Point 調査

Global Cyber Attacks Rise by 7% in Q1 2023

2023/04/28 InfoSecurity — 2023年 Q1 におけるサイバー攻撃は、昨年同期と比較して全世界で 7% 増加し、調査対象となった各企業は、平均で 1248件/週の攻撃に直面していることが判明した。この数字は、Check Point の最新調査レポートによるものであり、教育/研究の分野が最も多くの攻撃を受け、平均で 2507件/週 (前年比で 15% 増) まで上昇したことも示されている。このレポートには、「攻撃の量は僅かな上昇に留まっているが、正規のツールを武器化する方法を見つけ出したサイバー犯罪者による、洗練された悪意のキャンペーンを目撃している」と記されている。

Continue reading “2023年 Q1 のサイバー攻撃:グローバルでの件数は 7% の増加 – Check Point 調査”

Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee

Minecraft Clones with 35 Million Installs Contained Adware

2023/04/28 InfoSecurity — Google Play からダウンロードした Minecraft 風のモバイル・ゲーム数十本に、秘密のアドウェアが含まれていたことが McAfee の調べで明らかになった。McAfee によると、Block Box Master Diamond/Craft Monster Crazy Sword/Craft Rainbow Mini Builder といったタイトルのゲーム計 38本が発見され、世界中で少なくとも 3500万人のユーザーがインストールしたことを明らかにした。McAfee が検出した問題のアドウェア Android/HiddenAds.BJL とは、ユーザーに知られることなく収益を得るために、バックグラウンドで広告をロードするものだ。

Continue reading “Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee”

Google Play の 2022年の戦い:ブロックした悪質なアプリは 140万件!

Google Blocked 1.4 Million Bad Apps From Google Play in 2022

2023/04/28 SecurityWeek — Google Play におけるセキュリティ機能の強化により、悪質なアプリケーションの公開が、2022年には 140万件以上もブロックされたとのことだ。強化されたポリシーに加えて、機械学習とアプリ審査プロセスの改善を組み合わせたことで、Google Play のポリシーに違反する悪質なアプリを、自動的にブロックすることができたと、同社は述べている。さらに、Android の保護とポリシーの強化に加えて、開発者への教育が進んだことで、これまでの3年間で 50万件以上のアプリにおいて、不必要な機密権限へのアクセスが遮断されたと Google は付け加えている。

Continue reading “Google Play の 2022年の戦い:ブロックした悪質なアプリは 140万件!”

Codenotary SBOM Center のプレビューが公開:セキュアな SBOM の作成が可能に

Codenotary Previews Secure SBOM Creation Service

2023/04/27 DevOps — 今日、Codenotary が公開したのは、SBOM (Software Bills Of Materials) を作成/保管し、必要に応じて安全に共有するための、集中型リポジトリ・サービスのプレビューである。このサービスについて、Codenotary の CEO である Moshe Bar は、「SBOMCenter は、ソフトウェアのサプライチェーン保護の必要性の高まりにつれて頻繁になる SBOM の作成を、より簡単に運用するのに役立つ」と説明している。彼によると、現時点で無料トライアルとして提供されている SBOMCenter は、改ざんされていないことを保証する方法で、SBOM を作成/保存する機能を備えているという。

Continue reading “Codenotary SBOM Center のプレビューが公開:セキュアな SBOM の作成が可能に”

PaperCut MF/NG の脆弱性 CVE-2023-27350:Cl0p ランサムウェアが悪用 – Microsoft 報告

Microsoft: Cl0p Ransomware Exploited PaperCut Vulnerabilities Since April 13

2023/04/27 SecurityWeek — Microsoft の発表によると、FIN11 および TA505 と提携している Cl0p ランサムウェアのオペレーターが、パッチが適用されたばかりの PaperCut の脆弱性を、4月13日から悪用し始めたようだ。問題の脆弱性は、PaperCut MF/NG プリント管理システムに影響を与えるものだ。この脆弱性 CVE-2023-27350 (CVSS:9.8) の悪用に成功した攻撃者は、認証をバイパスしてシステム権限でリモート・コード実行 (RCE) を行うことが可能になる。この脆弱性は、2023年3月にリリースされたバージョン 20.1.7/21.2.11/22.0.9 で修正されているが、それと同時に、PaperCut MF/NG の情報漏えいの脆弱性 CVE-2023-27351 に対応されている。

Continue reading “PaperCut MF/NG の脆弱性 CVE-2023-27350:Cl0p ランサムウェアが悪用 – Microsoft 報告”

CryptBot 配布者を Google が訴訟:サイバー犯罪エコシステムに責任を求める

Google Gets Court Order to Take Down CryptBot That Infected Over 670,000 Computers

2023/04/27 TheHackerNews — 4月26日 (水) に Google は、CryptBot と呼ばれる Windows ベースの情報窃取型マルウェアの配信を阻止し、その増殖を減速させるために、米国の裁判所から仮の命令を取得したことを発表した。この取り組みは、マルウェアの犯罪オペレーターだけでなく、その配布により利益を得る者に対して責任を追求する措置でもあると、Google の Mike Trinh と Pierre-Marc Bureau は述べている。

Continue reading “CryptBot 配布者を Google が訴訟:サイバー犯罪エコシステムに責任を求める”