CommonMagic Malware Implants Linked to New CloudWizard Framework
2023/05/19 InfoSecurity — CommonMagic マルウェア・インプラントは、ロシアーウクライナ紛争に関連する未知の APT キャンペーンで採用されており、新しいモジュラー・フレームワークを用いるものだ。そして、関連が疑われる CloudWizard という名のフレームワークが、Kaspersky のセキュリティ研究者により発見され、今日のアドバイザリで説明されている。
Continue reading “CloudWizard という APT フレームワーク:CommonMagic マルウェアと多数の共通点”Cyber Warfare Escalates Amid China-Taiwan Tensions
2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。
Continue reading “中国 – 台湾の緊張関係とサイバー戦争:PlugX マルウェアを仕込んだフィッシング攻撃が激化”Hackers Using Golang Variant of Cobalt Strike to Target Apple macOS Systems
2023/05/16 TheHackerNews — Golang で実装された Geacon という名の Cobalt Strike 亜種が、Apple macOS システムをターゲットとする脅威アクターたちの注目を集める可能性があるという。VirusTotal に掲載される Geacon ペイロードの数が、この数カ月で増加していることを確認した SentinelOne が調査結果を発表した。セキュリティ研究者である Phil Stokes と Dinesh Devadoss はレポートの中で、「これらのペーロードには、レッドチーム・オペレーションで使用されたものもあると思われるが、本物の悪意あ攻撃の特徴を持つものもある」と述べている。
Continue reading “Cobalt Strike の Golang 亜種が登場:Apple macOS を狙う中国の APT とは?”Camaro Dragon APT Group Exploits TP-Link Routers With Custom Implant
2023/05/16 InfoSecurity — Camaro Dragon という名の、中国に支援される APT グループが、悪意のファームウェアのインプラントを介して、TP-Link ルーター群を悪用していることが確認された。この発見は、Check Point Research (CPR) のセキュリティ専門家によるものであり、今日の未明に同社が発表したアドバイザリに、その内奥が記載されている。
Continue reading “TP-Link ルーター群に危機:中国の APT グループ Camaro Dragon による侵害が始まっている”Stealthy MerDoor malware uncovered after five years of attacks
2023/05/15 BleepingComputer — 南アシア/東南アジアの政府機関/航空機関/通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立/コマンドの実行/キーロギングを行ってきたことだ。
Continue reading “MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec”New Ransomware Gang RA Group Hits U.S. and South Korean Organizations
2023/05/15 TheHackerNews — RA Group という名の新たなランサムウェア・グループが、流出した Babuk ランサムウェアのソースコードを活用して、独自のロッカー・バリアントを派生させている。サイバー セキュリティ企業 Cisco Talos によると、このサイバー犯罪集団は、遅くとも 2023年4月22日から活動しているとされ、急速に活動を拡大しているとのことだ。
Continue reading “RA Group という新たなランサムウェア:Babuk クローンで3社を侵害している”U.S. Government Neutralizes Russia’s Most Sophisticated Snake Cyber Espionage Tool
2023/05/10 TheHackerNews — ロシア連邦の FSB (Federal Security Service) が保有する、高度なマルウェア Snakeが侵害したグローバル・ネットワークを、裁判所の許可を得た米国政府が、5月12日に停止したことが発表された。最も洗練されたサイバー・スパイ・ツールとされる Snake の背後には、Turla (別名 Iron Hunter/Secret Blizzard/SUMMIT/Uroburos/Venomous Bear/Waterbug) と呼ばれるロシアの国家支援グループがいるとされるが、その正体について米国政府は、FSB の Center 16 のユニットであると見ている。
Continue reading “Snake はロシア FSB 由来:米政府が無効化した最強のスパイツールとは?”N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks
2023/05/05 TheHackerNews — Kimsuky という名の、北朝鮮の国家に支援される脅威アクターは、進行中のグローバル・キャンペーンの一環として、ReconShark という新たな偵察ツールを使用していることが判明した。 SentinelOne の研究者である Tom Hegel と Aleksandar Milenkoski は、「ReconShark は、スピアフィッシング・メールおよび、文書のダウンロードにつながる OneDrive リンク、そして、悪意のマクロの実行を介して、標的とする個人に対して配信されている」と述べている。
Continue reading “Kimsuky APT は北朝鮮由来:ReconShark という偵察ツールで標的を狙い続ける”BlackBerry Report Surfaces Increasing Rate of Cyberattacks
2023/05/05 SecurityBoulevard — BlackBerry が発表した脅威インテリジェンス・レポートによると、同社のサイバー・セキュリティ・ソフトウェア/サービスを利用している組織に対して、2022年12月〜2023年2月には1分あたり12件のサイバー攻撃が行われ、そのうち 1.5件は新しいマルウェア・サンプルに基づく攻撃であることが判明した。BlackBerry のレポートでは、これらの攻撃が行われているロケーションの変化についても指摘されている。1位の米国に次いで、2位はブラジル、3位は日本、4位はカナダとなり、シンガポールが初めて Top-10 にランクインしたとのことだ。
Continue reading “BlackBerry 脅威レポート:1位 米国/2位 ブラジル/3位 日本という攻撃頻度が判明”Hackers start using double DLL sideloading to evade detection
2023/05/03 BleepingComputer — Dragon Breath/Golden Eye Dog/APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。 これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。
Continue reading “DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos”Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics
2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。
Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”North Korea-linked ScarCruft APT uses large LNK files in infection chains
2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。
Continue reading “ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point”Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive
2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト/カナダ/マレーシアといった、遠方の国々へと広がっている。
Continue reading “北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査”Microsoft: Cl0p Ransomware Exploited PaperCut Vulnerabilities Since April 13
2023/04/27 SecurityWeek — Microsoft の発表によると、FIN11 および TA505 と提携している Cl0p ランサムウェアのオペレーターが、パッチが適用されたばかりの PaperCut の脆弱性を、4月13日から悪用し始めたようだ。問題の脆弱性は、PaperCut MF/NG プリント管理システムに影響を与えるものだ。この脆弱性 CVE-2023-27350 (CVSS:9.8) の悪用に成功した攻撃者は、認証をバイパスしてシステム権限でリモート・コード実行 (RCE) を行うことが可能になる。この脆弱性は、2023年3月にリリースされたバージョン 20.1.7/21.2.11/22.0.9 で修正されているが、それと同時に、PaperCut MF/NG の情報漏えいの脆弱性 CVE-2023-27351 に対応されている。
Continue reading “PaperCut MF/NG の脆弱性 CVE-2023-27350:Cl0p ランサムウェアが悪用 – Microsoft 報告”Tencent QQ users hacked in mysterious malware attack, says ESET
2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土/香港/マカオ/ナイジェリア/東南アジア/東アジアなどの国々で、さまざまな組織や個人を標的としてきた。
Continue reading “Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET”Kaspersky Analyzes Links Between Russian State-Sponsored APTs
2023/04/25 SecurityWeek — ロシアと連携する ATP (Advanced Persistent Threat) 脅威アクター Tomiris と Turla の両者は、最小限レベルで協調しているようだ。この情報は、ロシアのサイバー・セキュリティ企業 Kaspersky からのものだ。Snake/Venomous Bear/Krypton/Waterbug としても追跡される Turla は、2006 年から ComRAT マルウェアに関与し、ロシア政府との関係があると考えられている。その一方で Tomiris は、比較的に新しいハッキング・グループであり、2021年に詳細が発表され、現在も活動を続けている。同グループは、主に CIS (Commonwealth of Independent States) 諸国の政府や外交機関をターゲットに、情報収集のために活動している。
Continue reading “ロシア国家支援の APT グループ Tomiris/Turla の関連性を掘り下げる – Kaspersky”North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec
2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。
Continue reading “3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec”Google: Ukraine targeted by 60% of Russian phishing attacks in 2023
2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視/妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。
Continue reading “ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査”MuddyWater Uses SimpleHelp to Target Critical Infrastructure Firms
2023/04/18 InfoSecurity — MuddyWater という、イラン政府に支援される脅威アクターは、被害者のデバイス上で永続性を確立するために、正規の SimpleHelp リモート・サポート・ソフトウェア・ツールを使用していることが確認されている。Group-IB の新たなアドバイザリによると、これらの攻撃の一部として使用されるソフトウェアは、脆弱化されたものではない。その代わりに、この脅威アクターは、公式 Web サイトからツールをダウンロードし、攻撃に使用する方法を発見したようだ。
Continue reading “SimpleHelp というリモート・サポート製品を悪用:イランの MuddyWater の戦術を暴露”Hackers abuse Google Command and Control red team tool in attacks
2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国/欧州/アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。
Continue reading “Google レッドチーム・ツールの悪用:中国の APT41 による攻撃で発見される”CISA warns of Zimbra bug exploited in attacks against NATO countries
2023/04/03 BleepingComputer — CISA が連邦政府機関に要請したのは、NATO 諸国を標的とした攻撃でロシアのハッカーが Eメールを盗むために悪用した、Zimbra Collaboration (ZCS) に存在する XSS (Cross-Site Scripting) の脆弱性の修正である。NATO に加盟する複数の政府のポータルへの攻撃で、Winter Vivern および TA473 として追跡されているロシアのハッキング・グループが、この脆弱性 CVE-2022-27926 を悪用して、当局/政府/軍人/外交官などのメール・ボックスに不正アクセスしていたという。
Continue reading “CISA KEV 警告 23/04/03:Zimbra の脆弱性が NATO 諸国への攻撃で悪用”Cryptocurrency companies backdoored in 3CX supply chain attack
2023/04/03 BleepingComputer — 3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられた。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているという。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows/macOS のデスクトップ・アプリを、トロイの木馬化させてしまった。
Continue reading “3CX VoIP にサプライチェーン攻撃:Win/Mac アプリがトロイの木馬化され暗号通貨が狙われる”Google TAG shares details about exploit chains used to install commercial spyware
2023/03/29 SecurityAffairs — Android/iOS/Chrome に対して複数のゼロデイ・エクスプロイトを悪用する、2つのキャンペーンの詳細を、Google Threat Analysis Group (TAG) が公開した。専門家たちは、どちらのキャンペーンも、限定的で高度な標的型であったと述べている。攻撃の背後にいる脅威アクターは、エクスプロイトに Zero-Day と N-Day の両方を使用していたという。これらのエクスプロイト・チェーンは、ターゲットのデバイスに商用スパイウェアや悪意のアプリをインストールするために使用されていたようだ。
Continue reading “Google TAG 警告:複数の Zero-Day/N-Day エクスプロイトを用いるキャンペーンについて”President Biden Signs Executive Order Restricting Use of Commercial Spyware
2023/03/28 TheHackerNews — 2023年3月27日 (月) に、米国のジョー・バイデン米大統領は、連邦政府機関による商用スパイウェアの使用を制限する大統領令に署名した。この大統領令には、「スパイウェアのエコシステムが、米国政府にとって深刻な防諜上のリスクとセキュリティ上のリスクをもたらし、また、外国政府または外国人により不適切に使用される重大なリスクをもたらす」と記されている。また、こうしたツールの政府による使用が、法の支配および、人権と、民主主義の規範/価値の尊重と一致する方法で行われることを、保証するよう求めている。
Continue reading “米大統領令による商用スパイウェア制限:政府による使用については曖昧さが残る”China’s Nuclear Energy Sector Targeted in Cyberespionage Campaign
2023/03/28 SecurityWeek — サイバースパイ・キャンペーンを展開する南アジアの APT アクターが、中国の原子力エネルギー部門を標的にしていると、Intezer が最新情報として報告している。2021年ころから活動している Bitter という名のグループは、中国/バングラデシュ/パキスタン/サウジアラビアのエネルギーおよび政府組織を標的とすることで知られており、その戦術として、Excel/Microsoft Compiled HTML Help (CHM)/Windows Installer (MSI) ファイルの悪用を特徴としている。
Continue reading “中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する”Hackers use new PowerMagic and CommonMagic malware to steal data
2023/03/21 BleepingComputer — セキュリティ研究者たちが発見したのは、CommonMagic と呼ばれる “かつてない悪意のフレームワーク” と、PowerMagic と呼ばれる新しいバックドアを使用した、先進的な脅威アクターによる攻撃だ。これらのマルウェアは、2021年9月ころから現在まで続くオペレーションで使用され、行政/農業/輸送分野の組織をスパイ目的で狙っている。
Continue reading “PowerMagic/CommonMagic というマルウェア:新たなバックドアと悪意のフレームワーク”2022 witnessed a drop in exploited zero-days
2023/03/21 HelpNetSecurity — 2022年に悪用されたゼロデイ脆弱性は 55件であり、2021年の 81件から減少しており、最も狙われたのは Microsoft/Google/Apple の製品だった。 この 55件のうち 53件が、脆弱なデバイス上での攻撃者による特権昇格やリモートコード実行につながるものだと、Mandiant の最新レポートは明らかにしている。
Continue reading “Microsoft/Google/Apple を悩ませたゼロデイ脆弱性: 2022年の統計結果を見てみよう”Fortinet zero-day attacks linked to suspected Chinese hackers
2023/03/16 BleepingComputer — Fortinet のゼロデイ脆弱性 CVE-2022-41328 を悪用してマルウェアを展開するという、政府機関に対する一連の攻撃の背景には、中国のハッカー集団の存在があるようだ。先週に Fortinet が開示したように、この脆弱性の悪用に成功した脅威アクターは、パッチ未適用の FortiGate ファイアウォール・デバイス上で、不正なコード/コマンドを実行することで、マルウェア・ペイロードを展開できるとされる。さらに、このマルウェアの分析を進めることで、データの流出/侵害デバイス上でのファイルのダウンロードと書き込み/細工された ICMP パケット受信によるリモートシェルのオープンといった、サイバースパイ活動にも利用可能なことが判明した。
Continue reading “Fortinet のゼロデイ悪用:ハッキングの背景に存在する中国系ハッカー集団とは?”BEC Volumes Double on Phishing Surge
2023/03/16 InfoSecurity — Secureworks の調査により、昨年の BEC (Business Email Compromise) インシデントが倍増し、ランサムウェアに取って代わる、最多のサイバー犯罪のカテゴリとなった。脅威の検知/対応の企業である Secureworks は、調査依頼を受けた数百件の実戦的なインシデントを基に、 “Learning from Incident Response“ レポートを作成した。同社は、BEC の件数の大幅増の背景にはフィッシングの急増があり、イニシャル・アクセス・ベクターの 33% を占めており、2021年の 13%から増加したと発表している。
Continue reading “BEC の発生件数が2倍に増えた:急増するフィッシングから移行している?”Tick APT Group Hacked East Asian DLP Software Firm
2023/03/15 InfoSecurity — 政府機関や軍事機関向けの DLP (data-loss prevention) ソフトウェアを開発する、東アジアの企業を標的とした新たなマルウェアキャン・ペーンは、Tick という名の APT グループに起因することが判明した。2023年3月14日 (火) に ESET が発表したアドバイザリによると、この脅威アクターは DLP 企業の内部アップデート・サーバに侵入し、ネットワーク内にマルウェアを配信したという。その後に、同社が使用する正規のツール・インストーラをトロイの木馬化し、同社の顧客2社のコンピュータでマルウェアが実行される状況に至ったという。
Continue reading “Tick APT Group:東アジアの政府機関や軍事機関をサプライチェーンから狙っている”Emotet, QSnatch Malware Dominate Malicious DNS Traffic
2023/03/15 DarkReading — インターネットの DNS (domain name system) は、脅威アクターたちにとって、一種のスーパー・ハイウェイとなっているようだ。この四半期において、6 組織に 1 組織の割合で、悪質なネットワーク・トラフィックを経験しているが、それらは、Emotet などのマルウェア/フィッシング攻撃/コマンド&コントロール (C2) アクティビティの、いずれかの形態であることが、研究者たちにより明らかになった。
Continue reading “Emotet や QSnatch などが御用達:DNS を悪意のハイウェイとして活用するマルウェアたち”Microsoft fixes Outlook zero-day used by Russian hackers since April 2022
2023/03/14 BleepingComputer — ロシアの軍事情報機関 GRU に関連するハッキング・グループが、欧州の組織への攻撃に悪用した Outlook のゼロデイ脆弱性 (CVE-2023-23397) に、Microsoft はパッチを適用した。この脆弱性は、2022年4月中旬から 12月までの間に、政府/軍事/エネルギー/輸送機関などのネットワークを標的にした、15件ほどの攻撃で悪用されてきた。この攻撃を仕掛けたのは、APT28/STRONTIUM/Sednit/Sofacy/Fancy Bear などの名前で追跡されているハッキング・グループである。その手口は、悪意の Outlook のメモとタスクを送信し、NTLM ネゴシエーション・リクエストを介して NTLM ハッシュを盗み出し、攻撃者が制御する SMB 共有に対して、ターゲットのデバイスを強制的に認証させるというものだ。
Continue reading “Microsoft Outlook のゼロデイ CVE-2023-23397 が FIX:直ちにパッチ適用を!”Dark Pink APT Group Deploys KamiKakaBot Against South Asian Entities
2023/03/13 InfoSecurity — Dark Pink として知られる脅威アクターが、ASEAN (東南アジア諸国連合) 諸国の複数の政府機関に対する KamiKakaBot マルウェアの配布に関与していたことが判明した。先週に EclecticIQ の研究者たちは、2023年2月に行われた攻撃に関するレポートを公開した。このレポートでは、「この新しいキャンペーンでは、東南アジア諸国の軍事/政府機関に対するソーシャル・エンジニアリングのルアーとして、ヨーロッパと ASEAN 諸国の交流関係が悪用されている可能性が非常に高い。EclecticIQ の研究者たちは、このグループの国籍を特定するだけの決定的な証拠を得ていないが、攻撃者の目的や行動パターンから、Dark Pink は中国の APT グループであろうと考えている」と説明されている。
Continue reading “Dark Pink は中国の APT グループ:ASEAN 諸国の政府機関に KamiKakaBot を配布”557 CVEs Added to CISA’s Known Exploited Vulnerabilities Catalog in 2022
2023/03/06 SecurityWeek — 脆弱性インテリジェンス企業の VulnCheck によると、米国の Cybersecurity and Infrastructure Security Agency (CISA) が管理する Known Exploited Vulnerabilities (KEV) カタログには、約900件の脆弱性が存在するが、そのうちの 557件の CVE は、2022年に追加されたものだという。VulnCheck は CISA の KEV リストの分析を行い、このデータの重要性に関するレポートを発表した。
Continue reading “CISA KEV の 2022年を分析 :新たに追加された CVE 557件に関する統計データとは?”Chinese Hackers Targeting European Entities with New MQsTTang Backdoor
2023/03/03 TheHackerNews — 中国に拠点を置く Mustang Panda が、2023年1月に開始したソーシャルエンジニアリング・キャンペーンの一環として、MQsTTang と呼ばれる新たなカスタム・バックドアを使用していることが確認された。ESET の研究者である Alexandre Côté Cyr は、新しいレポートの中で「MQsTTang は、このグループにおける大半のマルウェアとは異なり、既存のファミリーや一般に公開されているプロジェクトをベースにしていないようだ」と述べている。
Continue reading “Mustang Panda は中国由来:新たな MQsTTang バックドアで欧州/台湾を狙っている”Iron Tiger hackers create Linux version of their custom malware
2023/03/01 BleepingComputer — Iron Tiger こと APT27 ハッキング・グループは、カスタム・リモートアクセス・マルウェア SysUpdate の新しい Linux 版を用意し、企業で使用される広範なサービスを標的にしようとしている。Trend Micro の最新レポートによると、このハッカーは 2022年7月より Linux 版をテストし始めている。そして、2022年10月になると、複数のペイロードが野放し状態で活動し始めまた。
Continue reading “Iron Tiger ハッキング・グループは中国由来の APT27:Linux 版のカスタム・マルウェアを投入”News Corp says state hackers were on its network for two years
2023/02/24 BleepingComputer — マスメディア News Corp の発表によると、2022年に公開された情報漏えいの背後にいる攻撃者は、2020年2月から同社のシステムにアクセスし続けていたとのことだ。この状況が明らかになったのは、データ侵害の影響を受けた従業員にデータ侵害通知書が送られたからである。具体的に言うと、従業員の個人情報や健康情報の一部に不正アクセスが生じていたこと、そして、News Corp の複数の事業で使用されている、メールと文書保存システムにも不正アクセスが生じていたことが判明したのだ。
Continue reading “News Corp への不正侵入:2020〜2022年において中国由来の APT が潜み続けていた”Russian Invasion Sparks Global Wiper Malware Surge
2023/02/23 InfoSecurity — セキュリティ・ベンダーの Fortinet によると、ウクライナ戦争により破壊的なマルウェアの新しい波が世界中に押し寄せており、それをサービスとして提供する、サイバー犯罪グループが増えているという。昨年にロシア軍が利用したワイパー・マルウェアだが、昨年にウクライナ国境を越えて急速に拡大し、その活動量は 2022 Q3 と Q4 の比較において 53% 増になると、同社は指摘している。
Continue reading “ワイパー・マルウェアが急増:ウクライナ侵攻により世界中で蔓延し始める”Putin Speech Interrupted by DDoS Attack
2023/02/21 InfoSecurity — Reuters の報道によると、2月21日 (火) のプーチン大統領による演説を放送していた複数の Web サイトがダウンしたが、分散型サービス妨害 (DDoS) 攻撃の疑いがあるという。この演説の間、複数の場所にいたジャーナリストたちは、All-Russia State Television and Radio Broadcasting Company (VGTRK) の Web サイトや、Smotrim のライブ・ストリーミング・プラットフォームにアクセスできない時間帯があったとのことだ。それぞれが表示したエラー・メッセージは、”技術的な作業が行われている” と “単にロードされなかっただけ” というものだった。
Continue reading “プーチン大統領の演説を DDoS で妨害:ウクライナ IT Army の仕業か?”New Privilege Escalation Bug Class Found on macOS and iOS
2023/02/21 InfoSecurity — Trellix のサイバー・セキュリティ研究者たちが、macOS/iOS に存在する6つの脆弱性と、新しいバグクラスに関する調査結果を発表した。今日の未明に公開された同社のアドバイザリでは、新しいクラスの権限昇格の脆弱性は、NSO Group のモバイル・マルウェア Pegasus を展開するために macOS/iOS の機能を悪用した、ForcedEntry 攻撃に基づくものだと述べられている。
Continue reading “macOS/iOS で権限昇格の新たなバグ:Pegasus スパイウェアの二の舞はゴメンだ!”Norway Seizes Millions in North Korean Crypto
2023/02/20 InfoSecurity — 昨年にノルウェー当局は、北朝鮮の脅威アクターが盗み出した 60 million kroner ($5.9m) の暗号通貨を追跡/奪還し、この種の出来事としては過去最大の記録を打ち立てた。スカンジナビア諸国の対経済犯罪機関 (Økokrim) は、2022年3月の Ronin Network への襲撃以来、北朝鮮の脅威アクターたちによる大規模なマネーロンダリング指摘してきた。Økokrim の弁護士である Marianne Bender は、「Økokrim は、金銭の追跡が得意である。犯罪者が高度な手法を使ったとしても、ブロックチェーンには、金銭を追跡する高い能力があったことを、今回のケースが示している」と述べている。
Continue reading “ノルウェーの Økokrim が大活躍:北朝鮮の APT グループ Lazarus から $5.9M を奪還”New WhiskerSpy malware delivered via trojanized codec installer
2023/02/18 BleepingComputer — セキュリティ研究者たちが発見したのは、北朝鮮に関心を示す個人を標的とする、最近の脅威アクター Earth Kitsune のキャンペーンで使用されている、新しいバックドア WhiskerSpy だ。この脅威アクターは、試行錯誤の末に、北朝鮮の親サイトのビジターからターゲットを選び出すという、ウォータリング・ホール攻撃として知られる手口を採用していた。この新しいオペレーションの存在は、2019年から Earth Kitsune の活動を追跡してきた、サイバーセキュリティ企業の Trend Micro の研究者たちにより、昨年末に発見された。
Continue reading “WhiskerSpy という北朝鮮のマルウェア:ウォータリング・ホール攻撃で中国と日本を狙う”Google Report Reveals Russia’s Elaborate Cyber Strategy in Ukraine
2023/02/17 InfoSecurity — ロシアが支援するサイバー攻撃は、2020年と 2022年の比較において、ウクライナを標的としたものは 250% の、NATO 諸国を標的としたものは 300% の増加となった。このデータを提供しているのは、2月16日に公開された Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape という、Google Trust & Safety と Mandiant (現在は Google Cloud の一部) の共同レポートであり、Google Threat Analysis Group (TAG) による調査の結果の1つである。同レポートで Google が明らかにしているのは、サイバー・スペースで決定的な戦時的優位を得ようとする、ロシアの積極的かつ多面的な戦略が、2019年にまでさかのぼる可能性である。
Continue reading “ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する”Hackers start using Havoc post-exploitation framework in attacks
2023/02/15 BleepingComputer — Cobalt Strike や Brute Ratel などの有料オプションに代わるものとして、Havoc という新しいオープンソースの Command and Control (C2) フレームワークへと脅威アクターが乗り換えていることを、セキュリティ研究者たちは確認している。クロス・プラットフォームに対応する Havoc は、スリープの難読化/リターン・アドレス・スタックのスプーフィング/間接的なシステムコールを用いて、最新の Windows 11 と Microsoft Defender をバイパスしていく。
Continue reading “Havoc という OSS C2 フレームワーク:Microsoft Defender をバイパスする能力とは?”MagicWeb Mystery Highlights Nobelium Attacker’s Sophistication
2023/02/11 DarkReading — ロシアに関連する Nobelium グループが開発した、Active Directory Federated Services (AD FS) に対する高度な認証バイパス・マルウェアを、Microsoft が検出した。 この、Microsoft が MagicWeb と呼ぶ Nobelium のマルウェアは、ユーザーの AD FS サーバにバックドアを埋め込み、特別に細工した証明書を使用して通常の認証プロセスを迂回させるものだ。Microsoft のインシデント対応担当者は、認証フローのデータを収集し、攻撃者が使用した認証証明書をキャプチャし、バックドアコードをリバース・エンジニアリングした。
Continue reading “MagicWeb という AD FS 狙いのマルウェア:ロシアの国家支援ハッカー Nobelium が開発”Hackers backdoor Windows devices in Sliver and BYOVD attacks
2023/02/06 BleepingComputer — Sunlogin の脆弱性を悪用して Sliver ポスト・エクスプロイト・ツールキットを展開し、Windows Bring Your Own Vulnerable Driver (BYOVD) 攻撃を仕掛けることで、セキュリティ・ソフトウェアを無効化するという、新しいハッキング・キャンペーンが観測されている。Sliver とは、Bishop Fox が作成したポスト・エクスプロイト・ツールキットであり、Cobalt Strike の代替手段として、昨年の夏から脅威アクターたちが利用し始めているものだ。その機能としては、ネットワーク監視/コマンド実行、反射型 DLL ロード/セッション生成/プロセス操作などが提供されている。
Continue reading “Sliver マルウェアによる BYOVD 攻撃:Windows にバックドアを作る手順とは?”IT Leaders Reveal Cyber Fears Around ChatGPT
2023/02/03 InfoSecurity — BlackBerry の最新調査によると、ChatGPT が1年以内にサイバー攻撃の中核として成功すると、セキュリティ・リーダーたちの過半数 (51%) が予想していることが明らかになった。この、北米/英国/オーストラリアの IT 意思決定者 1500人を対象にした調査では、すでに ChatGPT が他国への悪意の目的で使用されている可能性が高いと、71% が推定していることも判明した。ChatGPT とは OpenAI が開発した人工知能 (AI) 言語モデルをチャットボット形式で展開し、ユーザーの質問に対して迅速かつ詳細な回答を提供するものであり、2022年末に製品化されている。
Continue reading “ChatGPT に関する調査:IT リーダーの 51% がサイバー攻撃の中核になると回答”Record $3.8bn Stolen Via Crypto in 2022
2023/02/02 InfoSecurity — 北朝鮮の国家に支援されたハッカーと、安全性が担保されない DeFi (Decentralized Finance) プロトコルにより、2022年は暗号通貨強盗の記録的な年になったと、Chainalysis がレポートしている。ブロックチェーン分析の同社は、発表を予定されている Annual Crypto Crime Report に先立ち、その数字を予告している。2022年には合計で $3.8bn 相当の暗号通貨が盗まれたが、そのうちの 82% が DeFi プロトコルの弱点を狙ったものであり、2021年との比較で73% の増加となる。
Continue reading “2022年に盗まれた暗号通貨は総額で $3.8bn 相当:北朝鮮へは $1.7bn が流れた”Cybercrime job ads on the dark web pay up to $20k per month
2023/01/30 BleepingComputer — サイバー犯罪グループによるダークウェブでの求人広告は、高額給与/有給休暇/有給病欠などを開発者やハッカーに提示することで、ビジネスとしての運営を支えているようだ。Kaspersky は 2020年3月〜6月の間に、155ヶ所のダークウェブに掲載された 20万件の求人広告を分析し、Hacking/APT グループは主にソフトウェア開発者 (全広告の61%) の採用を目指し、きわめて競争力の高い条件で勧誘しているようだ。
Continue reading “サイバー犯罪組織の求人広告:開発者 61%/攻撃者 16%/設計者 10% という分布”Black Basta Deploys PlugX Malware in USB Devices With New Technique
2023/01/27 InfoSecurity — Black Basta ランサムウェア の侵害に関する調査により、接続されたリムーバブル USB メディアデバイスに自動的に感染する、新しい PlugX マルウェアの亜種が使用されていることが判明した。Palo Alto Networks の Unit 42 は、この調査結果を Infosecurity と共有し、新しい PlugX 亜種はワーム可能であり、Windows OS から自身を隠すように USB デバイスに感染すると付け加えている。
Continue reading “Black Basta ランサムウェアの新戦術:USB デバイスに PlugX の高スティルス亜種”
IoT OT Security News 
You must be logged in to post a comment.