ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている

ShadowPad-Associated Hackers Targeted Asian Governments

2022/09/13 InfoSecurity — リモートアクセス型トロイの木馬 (RAT) である ShadowPad だが、以前から関連していた脅威グループが新たなツールセットを採用し、アジア各国の政府機関や国営企業に対してキャンペーンを展開している。 このニュースは、9月13日の未明に Symantec の Threat Hunter Team が発表した、脅威に関する新たなアドバイザリがソースとなっている。

Continue reading “ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている”

Shopify の脆弱なパスワード・ポリシー:e コマース業界全体としての改善が必要

Shopify Fails to Prevent Known Breached Passwords

2022/09/08 TheHackerNews — 最近のレポートにより、e コマース・プロバイダーである Shopify は、同社の Web サイトの顧客向けセクションで、特に脆弱なパスワード・ポリシーを使用していることが判明した。報告書によると、Shopify は顧客に対して、少なくとも5文字以上で、スペースで開始/終了しないパスワードの使用を要求しているという。

Continue reading “Shopify の脆弱なパスワード・ポリシー:e コマース業界全体としての改善が必要”

Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた

Infra Used in Cisco Hack Also Targeted Workforce Management Solution

2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。

Continue reading “Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた”

Microsoft が公表した MagicWeb:AD FS 侵害後に機能する APT29 の最新マルウェア

Microsoft Uncovers New Post-Compromise Malware Used by Nobelium Hackers

2022/08/25 TheHackerNews — SolarWinds サプライチェーン攻撃の背後にいる脅威アクターは、侵害した環境への持続的なアクセスを維持に関連し、また、さらに別の高度な標的型ポスト・エクスプロイト・マルウェアに関連していることが判明した。Microsoft の Threat Intelligence Team が MagicWeb と名付けた、この新しいマルウェアは、Nobelium の目的に応じて、機能を開発/維持するための取り組みであることが改めて示された。

Continue reading “Microsoft が公表した MagicWeb:AD FS 侵害後に機能する APT29 の最新マルウェア”

Azure を侵害して Microsoft 365 ユーザーを狙う:ロシア APT29 の凄腕ぶり

Russian APT29 hackers abuse Azure services to hack Microsoft 365 users

2022/08/19 BleepingComputer — 国家を後ろ盾とするロシアのサイバースパイ・グループ Cozy Bear は、NATO 諸国の Microsoft 365 アカウントを標的とし、外交政策情報へのアクセスを試みるなど、2022年に入ってから活発に動き回っている。Microsoft 365 は、主にエンタープライズなどで使用されているクラウド・ベースの生産性スイートであり、コラボレーション/コミュニケーション/データストレージ/電子メールなどの、オフィスでの作業などを容易にする。

Continue reading “Azure を侵害して Microsoft 365 ユーザーを狙う:ロシア APT29 の凄腕ぶり”

Active Directory と Bumblebee:侵害後に BazarLoader/TrickBot/IcedID などをロード

Hackers Using Bumblebee Loader to Compromise Active Directory Services

2022/08/18 TheHackerNews — BazarLoader/TrickBot/IcedID といった脅威アクターたちが、ターゲットのネットワークを侵害する際に、マルウェアローダーとして Bumblebee を利用するケースが増大している。Cybereason の研究者である Meroujan Antonyan と Alon Laufer は、技術文書で、「Bumblebee のオペレーターたちは、集中的な偵察活動を行い、実行されたコマンドの出力をファイルへリダイレクトして抽出する」と述べている。

Continue reading “Active Directory と Bumblebee:侵害後に BazarLoader/TrickBot/IcedID などをロード”

Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?

Microsoft quietly fixes ShadowCoerce Windows NTLM Relay bug

2022/07/05 BleepingComputer — Microsoft は、May 2022 Update において、Windows サーバを標的とした NTLM リレー攻撃を可能にする脆弱性 ShadowCoerce を修正した。この NTLM リレー攻撃は、パッチ未適用のサーバを、自身の支配下にあるサーバに対して強制的に認証させることで、Windows ドメインを乗っ取るというものだ。この問題は非公開であるが、BleepingComputer が Microsoft の広報担当者に確認したところ、「MS-FSRVP coercion abuse PoC (ShadowCoerce) は、同じコンポーネントに影響を与える、脆弱性 CVE-2022-30154 への対策で緩和された」とのことだ。

Continue reading “Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?”

Zoho ManageEngine ADAudit Plus のバグ:Active Directory アカウント侵害にいたる

Zoho ManageEngine ADAudit Plus bug gets public RCE exploit

2022/07/01 BleepingComputer — セキュリティ研究者たちは、Active Directory のアクティビティを監視するツール Zoho ManageEngine ADAudit Plus に存在する、深刻な脆弱性 CVE-2022-28219 (CVSS:9.8)の技術詳細と概念実証のためのエクスプロイト・コードを公開した。この脆弱性により、未認証の攻撃者がリモートでコードを実行し、Active Directory のアカウントを侵害することが可能になる。Horizon3.ai のセキュリティ研究者 Naveen Sunkavally から報告を受けた Zoho は、3月末に ADAudit Plus build 7060 で、この問題に対処している。

Continue reading “Zoho ManageEngine ADAudit Plus のバグ:Active Directory アカウント侵害にいたる”

CISA 勧告と Exchange Online:10月までに Basic 認証から Modern 認証へ切り替えよ

CISA warns orgs to switch to Exchange Online Modern Auth until October

2022/06/29 BleepingComputer — CISA は政府機関/民間企業に対して、クラウドメール・プラットフォームである Microsoft Exchange を、ベーシック認証からモダン認証 (MFA) へと早急に切り替えるよう促している。ベーシック認証 (プロキシ認証) は、アプリがサーバー/エンドポイント/オンラインサービスに認証情報を平文で送信する、HTTP ベースの認証スキームである。

Continue reading “CISA 勧告と Exchange Online:10月までに Basic 認証から Modern 認証へ切り替えよ”

DFSCoerce という新たな NTLM リレー攻撃:PetitPotam にように Windows ドメインを乗っ取る?

New NTLM Relay Attack Lets Attackers Take Control Over Windows Domain

2022/06/21 TheHackerNews — DFSCoerce と呼ばれる、新しい種類の Windows NTLM リレー攻撃が発見された。この攻撃では、ドメインの制御を掌握するために、Distributed File System (DFS): Namespace Management Protocol (MS-DFSNM) が悪用されていることが判明した。

Continue reading “DFSCoerce という新たな NTLM リレー攻撃:PetitPotam にように Windows ドメインを乗っ取る?”

CISA 警告:Patch Tuesday 5月を Windows Server AD DC に適用しないで欲しい

CISA warns not to install May Windows updates on domain controllers

2022/05/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、May 2022 Patch Tuesday の更新プログラムが引き起こす Active Directory (AD) 認証の問題を考慮し、この Windows セキュリティ不具合を、KEV (Known Exploited Vulnerabilities) カタログから一時的に削除した。

Continue reading “CISA 警告:Patch Tuesday 5月を Windows Server AD DC に適用しないで欲しい”

サイバー攻撃の初期感染:脆弱性悪用とサプライチェーン侵害が 50% 以上を占める

More Than Half of Initial Infections in Cyberattacks Come Via Exploits, Supply Chain Compromises

2022/04/20 DarkReading — Mandiant が実施した Incident Response (IR) 調査の最新レポートによると、攻撃者が被害者のネットワーク上で検知されずにいる日数は4年連続で減少し、2020年の 24日間から 2021年の 21日間へと短縮していることが明らかになった。この、Mandiant の IR 事例によると、最も危険な攻撃を素早く見つけるための検知能力は高まり、ランサムウェアは平均5日以内に検知され、ランサムウェア以外の攻撃は 2020年の45日間から 2021年の36日間へと短縮され、アクティブな状態を維持しているとのことだ。

Continue reading “サイバー攻撃の初期感染:脆弱性悪用とサプライチェーン侵害が 50% 以上を占める”

Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ

Qbot malware switches to new Windows Installer infection vector

2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。

Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”

Microsoft Windows AD のバグ:1月の定例アップデートで生じた問題を FIX

Microsoft fixes Windows Active Directory bug caused by Jan updates

2022/02/07 BleepingComputer — Microsoft によると、先月の Windows アップデートをきっかけに発生した、既知の問題を修正したとのことだ。具体的には、Microsoft .NET を使用するアプリが、Active Directory Forest Trust Information の取得または設定時に、失敗/終了/エラーなどの、問題が発生するというものだ。この問題は、Windows Server 2022/Windows Server 2019/Windows Server 2016/Windows Server 2012 R2/Windows Server 2012 などの、Windows Server プラットフォームに影響していた。

Continue reading “Microsoft Windows AD のバグ:1月の定例アップデートで生じた問題を FIX”

BlackMatter ランサムウェアのロジックに欠陥:Active Directory 保護のヒントになるのか?

How to Proactively Limit Damage From BlackMatter Ransomware

2022/01/08 DarkReading — 米国の重要インフラ企業や大規模組織などへの攻撃に多用される、ランサムウェア BlackMatter のコードに重大な論理的欠陥があり、状況によってはマルウェアの有効性を制限できる。Illusive は、この欠陥のあるロジックを起動できれば、BlackMatter が自社の環境にもたらす被害を軽減できる可能性があると発表した。

Continue reading “BlackMatter ランサムウェアのロジックに欠陥:Active Directory 保護のヒントになるのか?”

Active Directory の脆弱性:Windows ドメイン・コントローラ乗っ取りの PoC が公開

Active Directory Bugs Could Let hackers Take Over Windows Domain Controllers

2021/12/21 TheHackerNews — Microsoft は、11月に対処した Active Directory ドメイン・コントローラの2つのセキュリティ脆弱性に関して、12月12日に PoC ツールを公開し、パッチを適用するよう顧客に呼びかけている。この2つの脆弱性は、CVE-2021-42278 および CVE-2021-42287 として追跡されており、深刻度を示す CVSS 値は 7.5 であり、Active Directory Domain Services (AD DS) コンポーネントに影響を与える特権昇格の欠陥を示す。この2つのバグを発見/報告したのは、Catalyst IT の Andrew Bartlett である。

Continue reading “Active Directory の脆弱性:Windows ドメイン・コントローラ乗っ取りの PoC が公開”

Yanluowang ランサムウェアが米国の金融業界を狙っている

Yanluowang Ransomware Targeting U.S. Financial Corporations

2021/12/01 SecurityWeek — Symantec のセキュリティ研究者たちは、ランサムウェア Yanluowang について、FiveHands グループに所属していた脅威アクターが運用していると考えている。Yanluowang は、10月に公開されたばかりの未開発のランサムウェアとも思えるが、大規模な組織を対象とした一連の標的型攻撃に利用されている。敵対者たちは、この攻撃の一環として、AdFind も偵察のために使用していた。

Continue reading “Yanluowang ランサムウェアが米国の金融業界を狙っている”

Microsoft 警告: Nobelium による新たなサプライチェーン攻撃が発見された

Microsoft Warns of Continued Supply-Chain Attacks by the Nobelium Hacker Group

2021/10/25 TheHackerNews — 2020年12月に発生した SolarWinds 不正アクセス事件の背後には、複数のクラウド・サービス・プロバイダー (CSP) や、マネージド・サービス・プロバイダー (MSP) などの、IT サービス企業の下流顧客 14社を標的にした、継続的な攻撃の波が押し寄せている。そのため、「1つの侵害から複数の侵害へ」というアプローチでサプライチェーンを標的にする、敵対者の継続的な関心が示されている。

Continue reading “Microsoft 警告: Nobelium による新たなサプライチェーン攻撃が発見された”

FBI/CISA/NSA の BlackMatter 対策:防御のための詳細情報を勧告として共有

FBI, CISA, NSA share defense tips for BlackMatter ransomware attacks

2021/10/18 BleepingComputer — 今日、Cybersecurity and Infrastructure Security Agency (CISA) および、Federal Bureau of Investigation (FBI)、National Security Agency (NSA) は、ランサムウェア BlackMatter の活動に関する詳細を記載する勧告を発表した。また、この3組織は、この敵対者のネットワーク上での活動を把握し、防御するのに役立つ情報を提供している。

Continue reading “FBI/CISA/NSA の BlackMatter 対策:防御のための詳細情報を勧告として共有”

Microsoft Azure AD に新たな脆弱性:ブルートフォース攻撃が成立する?

New Azure AD Bug Lets Hackers Brute-Force Passwords Without Getting Caught

2021/09/30 TheHackerNews — サイバー・セキュリティ研究者たちが、Microsoft Azure Active Directory で使用されているプロトコルに、パッチが適用されていない脆弱性が存在していることを明らかにした。Secureworks Counter Threat Unit (CTU) の研究者たちは、この脆弱性を悪用すると、Azure Active Directory (Azure AD) の標的となるテナントで、サインインのイベントを発生させることなく、シングル・ファクタによるブルートフォース攻撃を行うことができる、と水曜日に発表した。

Continue reading “Microsoft Azure AD に新たな脆弱性:ブルートフォース攻撃が成立する?”

ブルートフォースと脆弱性が人気の突破口:セキュリティ対策にズレは無いか?

Brute-Force Attacks, Vulnerability Exploits Top Initial Attack Vectors

2021/09/14 DarkReading — 物事が変われば変わるほど、同じことが繰り返されているように見える。少なくとも、一部の企業のサイバー・セキュリティ対策に関しては、それが言える。2020年に Kaspersky が対応した、セキュリティ・インシデントのデータを分析したところ、原因の 63% がパッチやパスワード管理の不備によるものだった。

Continue reading “ブルートフォースと脆弱性が人気の突破口:セキュリティ対策にズレは無いか?”

国連のネットワーク侵害が判明:ダークウェブ上のログイン情報が悪用される?

Experts confirmed that the networks of the United Nations were hacked earlier this year

2021/09/10 SecurityAffairs — この木曜日に国連 (United Nations) は、今年初めに同組織のコンピュータ・ネットワークが、サイバー攻撃を受けたことを確認した。UN Secretary-General のスポークスマンである Stéphane Dujarric は Bloomberg に対して、「未知の攻撃者が 2021年4月に、国連のインフラの一部に侵入したことを認めた。国連は、持続的なキャンペーンを含め、頻繁にサイバー攻撃の標的となっている。また、この侵害に関連した、さらなる攻撃も検知され、対応していることを確認している」と述べている。

Continue reading “国連のネットワーク侵害が判明:ダークウェブ上のログイン情報が悪用される?”

企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始

Attackers Moving Faster Inside Target Networks

2021/09/09 DarkReading — セキュリティ研究者たちの報告によると、金銭的な動機を持った攻撃者や国家に支援されたグループは、標的となるネットワークに侵入し、足場を確保した後に、横方向へと移動する能力を高めている。CrowdStrike の Falcon OverWatch チームは、「2021 Threat Hunting Report」の中で、平均ブレイクアウト・タイム (攻撃者が最初のアクセスポイントからターゲット・ネットワーク内の他システムへ横方向に移動し始めるまでの時間) を、大幅にスピードアップしたと指摘している。

Continue reading “企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始”

Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用

Zoho warns of zero-day authentication bypass flaw actively exploited

2021/09/09 SecurityAffairs — Zoho は、ManageEngine ADSelfService Plus に存在する認証バイパスの脆弱性 CVE-2021-40539 に対処するための、セキュリティ・パッチをリリースした。この脆弱性は、リモートコード実行 (RCE) につながる可能性があり、すでにワイルドな攻撃で悪用されていると警告している。

Continue reading “Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用”

Conti PlayBook 英訳版:ランサムウェアの手口が明らかに

Translated Conti ransomware playbook gives insight into attacks

2021/09/02 BleepingComputer — Conti グループの攻撃 PlayBook が流出してから1ヶ月ほどが経ったが、(ロシア語からの) 自動翻訳による誤訳を解消するために、セキュリティ研究者たちが翻訳版を公開してくれた。この PlayBook は、Conti におけるランサムウェア攻撃の方法や、徹底した指示に関する情報を提供するだけではなく、スキルの低いアクターであっても、Conti ランサムウェアのアフィリエイトになれば、貴重なターゲットを攻撃できるようになっている。

Continue reading “Conti PlayBook 英訳版:ランサムウェアの手口が明らかに”

LockBit ランサムウェアが復活:セキュリティ・ベンダーたちが警鐘を鳴らす

Security Vendors Sound the Alarm on LockBit Ransomware’s Return

2021/08/19 DarkReading — 2019年に登場した Ransomware-as-a-Service (RaaS) である LockBit の運営者が再登場し、マルウェアの改良版を発表するとともに、ダークウェブや標的となる組織内からアフィリエイトを募るという、不吉で積極的なキャンペーンを展開している。

Continue reading “LockBit ランサムウェアが復活:セキュリティ・ベンダーたちが警鐘を鳴らす”

AMaaS >IDaaS:クラウドとオンプレの ID を統合

Pushing the Limits of IDaaS with AMaaS

2021/07/29 SecurityBoulevard — データへの安全なアクセスは、誰にとっても大きな懸念となる。そこで、クラウド ID 管理ソリューションとして、IDaaS (identity-as-a-service) が随所で採用され、アプリケーションにアクセスするユーザーが、本人であることの確認が、つまり、ID の認証が行われている。しかし、IDaaS は、問題の半分しか解決できない。個人情報保護法では、個人を特定できる情報 (PII) などの機密データに、適切な人だけが適切なタイミングでアクセスするよう求められている。

Continue reading “AMaaS >IDaaS:クラウドとオンプレの ID を統合”

オンプレミスとクラウドの ID を効果的にブリッジするには

How to Bridge On-Premises and Cloud Identity

2021/07/15 DarkReading — 組織が管理すべき ID の数は膨大であり、気が遠くなるほどだ。場合によっては、何十万/何百万もの人々/デバイスが存在することもある。歴史的にみるとは、これらの ID は、ビジネスアプリケーションや、レガシーの ID インフラストラクチャ、そして特定のデータセンターにハードコードされた、いくつかの内部 ID サイロに分散していた。

Continue reading “オンプレミスとクラウドの ID を効果的にブリッジするには”

Microsoft Windows PrintNightmare セロデイ脆弱性を緩和するには?

Microsoft shares mitigations for Windows PrintNightmare zero-day bug

2021/07/02 BleepingComputer — Microsoft は、Windows Print Spooler のゼロデイ脆弱性 PrintNightmare を狙った、攻撃を阻止するための緩和策を提供している。このリモートコード実行 (RCE : remote code execution) のバグは、CVE-2021-34527 として追跡されている。Microsoft によると、すべての Windows に影響があるが、この脆弱性の悪用については調査中とのことだ。

Continue reading “Microsoft Windows PrintNightmare セロデイ脆弱性を緩和するには?”

Trickbot ボットネットと Diavol ランサムウェアの関係性は?

Trickbot cybercrime group linked to new Diavol ransomware

2021/07/01 BleepingComputer — FortiGuard Labs のセキュリティ研究者は、Diavol という名の新しいランサムウェアの系統を、Trickbot ボットネットを開発した Wizard Spider という、サイバー犯罪グループに結びつけた。Diavol と Conti ランサムウェア・ペイロードは、2021年6月初旬に Fortinet の EDR ソリューションがブロックしたランサムウェア攻撃において、異なるシステム上に展開されていた。

Continue reading “Trickbot ボットネットと Diavol ランサムウェアの関係性は?”

ランサムウェア攻撃への準備:リカバリーのための5つの Step

5 Critical Steps to Recover From a Ransomware Attack

2021/06/21 TheHackerNews — ビジネスを混乱させるハッカーたちが、悪意の活動で資金を得るための効果的なツールとして、ランサムウェアを利用するケースが増えている。サイバー・セキュリティ企業である Group-IB が、最近に実施した分析によると、ランサムウェアによる攻撃は 2020年に倍増しているが、Cybersecurity Ventures の予測によると、2021年には 11秒ごとにランサムウェア攻撃が発生するとのことだ。

Continue reading “ランサムウェア攻撃への準備:リカバリーのための5つの Step”

CISA がリリースするツールが危殆化された Microsoft 365 を救う

CISA releases tool to review Microsoft 365 post-compromise activity

2021/04/08 BleepingComputer — CISA(Cybersecurity and Infrastructure Security Agency)は、危殆化された Microsoft Azure Active Directory および、Office 365、Microsoft 365 の状況を調査するための、Splunk ベースのダッシュボード・シリーズをリリースした。

Continue reading “CISA がリリースするツールが危殆化された Microsoft 365 を救う”