WikiLeaks が暴露した CIA の Hive マルウェア:未知の脅威アクターが改造/悪用している

New Backdoor Created Using Leaked CIA’s Hive Malware Discovered in the Wild

2023/01/16 TheHackerNews — 2017年11月の WikiLeaks インシデントにより、ソースコードが公開された米国中央情報局 (CIA) のマルチ・プラットフォーム型マルウェア・スイート Hive だが、その機能を借用した新たなバックドアを、正体不明の脅威アクターが展開していることが判明した。先週に公開された技術文書において、Qihoo Netlab 360 の Alex Turing と Hui Wang は、「CIA Hive 攻撃キットの亜種が、野放し状態で活動している状況を捕捉し、埋め込まれた Bot 側証明書 CN=xdr33 に基づき、xdr33 と命名した」と述べている。

Continue reading “WikiLeaks が暴露した CIA の Hive マルウェア:未知の脅威アクターが改造/悪用している”

Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成

Dark Pink APT Group Targets Governments and Military in APAC Region

2023/01/11 TheHackerNews — アジア太平洋地域における政府機関/軍事組織などが、未知の高度持続的脅威 (APT:Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に7つの攻撃を成功させた」と述べている。

Continue reading “Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成”

Turla APT の奇妙な動き:10年前のマルウェア・インフラからバックドアを展開

Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors

2023/01/08 TheHackerNews — ロシアのサイバー・スパイグループ Turla が、10年前のマルウェアの攻撃インフラを利用して、ウクライナのターゲットに、独自の偵察ツールやバックドア・ツールを配布していることが確認された。Google 傘下の Mandiant は、この活動を UNC4210 という未分類のクラスタ名で追跡しており、乗っ取られたサーバを調査したところ、2013年に VirusTotal にアップロードされた ANDROMEDA (別名 Gamarue) というマルウェアの亜種に該当したと述べている。

Continue reading “Turla APT の奇妙な動き:10年前のマルウェア・インフラからバックドアを展開”

CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft

Adobe, Apple, Cisco, Microsoft Flaws Make Up Half of KEV Catalog

2022/12/30 DarkReading — 2021年11月に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのが、活発に悪用されている脆弱性を、連邦政府機関や重要インフラ組織が特定/是正するための Known Exploited Vulnerabilities (KEV) カタログである。Grey Noise が発表した GreyNoise Mass Exploits Report によると、CISA は 2022年1月〜11月末に 58回の更新を行い、548件の新たな脆弱性をカタログに追加している。2021年11月/12月に追加された約300件の脆弱性を含めると、このカタログが始まってからの1年間で、CISA は約850件の脆弱性をリストアップしたことになる。

Continue reading “CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft”

2023年の地政学を占う:国家に支援される脅威アクターは何を仕掛けてくる?

Geopolitical Tensions Expected to Further Impact Cybersecurity in 2023

2022/12/29 InfoSecurity — 地政学は 2023年においても、組織のサイバー・セキュリティとセキュリティ態勢に影響を与え続けるだろう。2022年2月に、ロシアによるウクライナ侵攻の動きが始まったとき、世界的な紛争がサイバー・セキュリティに与える影響力がクローズアップされた。 それに伴い、ウクライナと西側同盟国が認識したことは、多額のロシア制裁に対する報復として、重要な国家インフラ (CNI : Critical National Infrastructure) へのサイバー攻撃の脅威が生じることだった。しかし、多くのサイバー・セキュリティ専門家が、2023年に向けて考えているのは、地政学的な問題である。

Continue reading “2023年の地政学を占う:国家に支援される脅威アクターは何を仕掛けてくる?”

Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター

APT Hackers Turn to Malicious Excel Add-ins as Initial Intrusion Vector

2022/12/28 TheHackerNews — インターネットからダウンロードされた Office ファイルの Visual Basic for Applications (VBA) マクロについて、Microsoft がデフォルトでのブロックを決定したことで、多くの脅威者が、この数カ月で攻撃方法を変更するようになった。Cisco Talos によると、APT (Advanced Persistent Threat) や各種のマルウェア・ファミリーは、イニシャルの侵入経路として Excel Add-in (.XLL) ファイルを使用する傾向を強めているとのことだ。

Continue reading “Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター”

BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避

BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection

2022/12/27 TheHackerNews — Lazarus Group のサブクラスタである BlueNoroff だが、Windows の Mark of the Web (MoTW) 保護を回避するための、新しい技術を採用していることが確認されている。今日の Kaspersky レポートによると、光ディスクイメージ (拡張子.ISO) および仮想ハードディスク (拡張子.VHD) ファイル形式を用いる、新たな感染チェーンが追加されているとのことだ。セキュリティ研究者である Seongsu Park は、「BlueNoroff は、ベンチャー・キャピタル企業や銀行を装う、多数の偽ドメインを作成している。2022年9月のテレメトリ測定において、この新しい攻撃手順にフラグが立てられた」と述べている。

Continue reading “BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避”

APT と地政学的な背景:2022年に猛威を奮った脅威 Top-5 を分析

2022 Top Five Immediate Threats in Geopolitical Context

2022/12/26 TheHackerNews — 2022年も終わりに近づいているがが、この激動の年に最も懸念された脅威に対するテスト数を見ると、特定の脅威に対する脆弱度について、それぞれのサイバーセキュリティ・チームがチェックした、脅威ベースの視点が得られる。2022年1月1日〜12月1日に、Cymulate Security Posture Management Platform でレジリエンスを検証するために、最も多くテストされた脅威は以下の通りである。

Continue reading “APT と地政学的な背景:2022年に猛威を奮った脅威 Top-5 を分析”

MirrorFace という中国語圏の APT:参院選 2022 で政治団体を狙っていた

Researchers Uncover MirrorFace Cyber Attacks Targeting Japanese Political Entities

2022/12/15 TheHackerNews — MirrorFace というコードネームで呼ばれる、中国語圏の APT (Advanced Persistent Threat) グループが、日本の政治団体を標的としたスピアフィッシング・キャンペーンに関与していることが判明した。このキャンペーンは、ESET により Operation LiberalFace と名付けられ、LODEINFOと呼ばれるインプラントとMirrorStealerと呼ばれる未知のインフォ・スティーラーの配信を目的とし、日本の無名政党のメンバーにフォーカスするものである。

Continue reading “MirrorFace という中国語圏の APT:参院選 2022 で政治団体を狙っていた”

Citrix ADC/Gateway のゼロデイ CVE-2022-27518:中国の APT5 による攻撃を NSA が指摘

Citrix and NSA urge admins to fix actively exploited zero-day in Citrix ADC and Gateway

2022/12/13 SecurityAffairs — Citrix ADC/Gateway のゼロデイ脆弱性 CVE-2022-27518 に対する、セキュリティ・アップデートの適用が管理者たちに推奨されている。この脆弱性は、中国に関連する脅威アクターたちが標的とする、ネットワークへのアクセスのために積極的に悪用されているという。Citrix のブログポストには、「この脆弱性を悪用する、少数の標的型攻撃を認識している」と記されている。この脆弱性の悪用に成功した、認証されていないリモートの攻撃者は、対象となるアプライアンス上で任意のコード実行を可能にするという。 

Continue reading “Citrix ADC/Gateway のゼロデイ CVE-2022-27518:中国の APT5 による攻撃を NSA が指摘”

TAG-53 という親ロシア派ハッカー:米軍の兵器メーカーへの攻撃に関与

Russian Hackers Spotted Targeting U.S. Military Weapons and Hardware Supplier

2022/12/07 TheHackerNews — ロシアとつながりのある国家的なハッキング・グループが、米国に拠点を置く軍事兵器正規サプライヤーである Global Ordnance が使用する、Microsoft のログイン・ページを偽装する攻撃インフラに関連していることが判明した。Recorded Future によると、TAG-53 と命名された脅威アクターが、この新しい攻撃インフラを提供しているようだ。この驚異アクターは、Blue Callisto/Callisto/COLDRIVER/SEABORGIUM/TA446 などの呼び名で、サイバーセキュリティ・コミュニティでは有名な存在だという。

Continue reading “TAG-53 という親ロシア派ハッカー:米軍の兵器メーカーへの攻撃に関与”

ロシアン・ハッカーを釣ってみた:ウクライナと NATO への攻撃体制が浮き彫りに

Russian Hackers Use Western Networks to Attack Ukraine

2022/12/06 InfoSecurity — 英国/米国などの組織において、そのネットワークへのアクセスを不正に維持しているロシアン・ハッカーたちが、ウクライナに対して攻撃を仕掛けていることが、Lupovis の最新レポートで明らかにされたな。スコットランドのセキュリティ企業である Lupovis は、ロシアの脅威アクターをおびき寄せるために Web 上にルアーを展開し、その TTP (Tactics, Techniques and Procedures) の研究で成果をあげた。

Continue reading “ロシアン・ハッカーを釣ってみた:ウクライナと NATO への攻撃体制が浮き彫りに”

NATO の大規模サイバー演習:Cyber Coalition 22 の開催とウクライナへの意識

NATO Launches Massive Cyber-Defense Exercise

2022/12/02 InfoSecurity — 今週に NATO は、加盟国間のサイバー耐性強化を目的とする、Cyber Coalition 22 演習を開始した。この軍事同盟には、加盟国26カ国に加え、フィンランド/スウェーデン/ジョージア/アイルランド/スイス/日本/EU から 1000人の防衛担当者が集まり、産業界や学術界からも参加者が集まった。5日間にわたる演習は、電力網や NATO の資産に対するサイバー攻撃といった、現実的な課題を参加者に与え、ネットワークを守り、サイバースペースでの協力能力を強化することを目的にしているとのことだ。

Continue reading “NATO の大規模サイバー演習:Cyber Coalition 22 の開催とウクライナへの意識”

Variston IT というスパイウェア:Chrome/Firefox/Defender の N-Day 脆弱性を悪用

Spyware Vendor Variston Exploited N-Days in Chrome, Firefox, Windows

2022/12/01 InfoSecurity — スペインの カスタム・セキュリティ・ソリューション・プロバイダーとされる Variston IT は、自社の Heliconia フレームワークで Chrome/Firefox/Microsoft Defender の N-Day 脆弱性を悪用し、ターゲット・デバイスにペイロードを展開するためのツールを配布している。これは、Google Threat Analysis Group (TAG) が、11月30日のアドバイザリで明らかにしたものであり、Google/Microsoft/Mozilla は 2021年と 2022年初旬に、この脆弱性を修正しているという。

Continue reading “Variston IT というスパイウェア:Chrome/Firefox/Defender の N-Day 脆弱性を悪用”

OpenVPN/SoftVPN とトロイの木馬:Android ユーザーを狙う Bahamut というハッカー

Hackers modify popular OpenVPN Android app to include spyware

2022/11/24 BleepingComputer — 2017 年以降のサイバー・スパイ活動に関与する脅威アクターたちが、正規のソフトウェア SoftVPN や OpenVPN をトロイの木馬化し、Android 向けの偽 VPN ソフトウェアを作成し、被害者を誘い込んでいることが判明した。研究者たちによると、このキャンペーンは “高度な標的型“ であり、複数のアプリから連絡先/通話データ/デバイスの位置情報/メッセージなどの窃取を目的としているとのことだ。

Continue reading “OpenVPN/SoftVPN とトロイの木馬:Android ユーザーを狙う Bahamut というハッカー”

Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?

Hackers Exploiting Abandoned Boa Web Servers to Target Critical Industries

2022/11/23 TheHackerNews — 火曜日に Microsoft は、2022年初めにインドの電力網事業体を狙った侵入行為において、現在では廃止されている Boa と呼ばれる Web サーバの、脆弱性が利用された可能性が高いことを明らかにした。この脆弱なコンポーネントは、何百万もの組織やデバイスに影響を与え得る、サプライチェーン・リスクをもたらすと、Microsoft のサイバーセキュリティ部門は述べている。

Continue reading “Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?”

Nighthawk というレッドチームツール:Cobalt Strike のように悪用される可能性

Experts Warn Threat Actors May Abuse Red Team Tool Nighthawk

2022/11/22 InfoSecurity — Nighthawk と名付けられた、新たなレッドチーム・ツールが、脅威アクターにより間もなく悪用される可能性があると、セキュリティ研究者たちが警告している。このツールは、2021年後半に MDSec 社により開発されている。そして、Cobalt Strike や Brute Ratel のように、合法的な使用を目的として商業的に配布される RAT (Remote Access Trojan) として機能する、高度な C2 フレームワークと表現するのが適切だろう。しかし、これまでの2つのツールと同様に、悪意の人々に直ちに利用される可能性があると、Proofpoint は最新レポートの中で警告している。

Continue reading “Nighthawk というレッドチームツール:Cobalt Strike のように悪用される可能性”

Cobalt Strike のハッキング・バージョンは 34 種類:YARA ルールで排除を目指す Google

Google Identifies 34 Cracked Versions of Popular Cobalt Strike Hacking Toolkit in the Wild

2022/11/21 TheHackerNews — 先週に Google Cloud は、Cobalt Strike には 34 種類のハッキングされたバージョンが存在、野放し状態で悪用されていることを明らかにした。その中で、最も古いものは、2012年11月にリリースされたバージョンだという。GCTI (Google Cloud Threat Intelligence) チームの調査結果によると、Cobalt Strike は 1.44 から 4.7  までのバージョンがあり、合計で 275 種類のユニークな JAR ファイルが存在するようだ。そして、最新のバージョンは 4.7.2 だ。

Continue reading “Cobalt Strike のハッキング・バージョンは 34 種類:YARA ルールで排除を目指す Google”

LockBit が引き続きトップの座:Trellix の 2022年 Q3 サイバー脅威レポート

LockBit Remains Most Prolific Ransomware in Q3

2022/11/16 InfoSecurity — Trellix の最新レポートによると、2022年 Q3 に最も広まった LockBit ランサムウェアの亜種が、全体的な検出数の 5分の1以上 (22%) を占めたとのことだ。脅威インテリジェンス・ベンダーである Trellix は、センサーネット・ワークからのデータ/オープンソース・インテリジェンス/Trellix Advanced Research Center などから得たデータを調査/分析し、The Threat Report: Fall 2022 を編纂している。

Continue reading “LockBit が引き続きトップの座:Trellix の 2022年 Q3 サイバー脅威レポート”

中国のハッカー集団 Billbug:標的はアジア諸国における政府と防衛の機関

Chinese hackers target government agencies and defense orgs

2022/11/15 BleepingComputer — Billbug (a.k.a. Thrip/Lotus Blossom/Spring Dragon) として追跡されているサイバースパイ活動家が、アジア諸国の認証局/政府機関/防衛組織を標的としたキャンペーンを展開している。最新の攻撃は3月ころから観測されているが、この脅威アクターは、10年以上前からステルスで活動している、中国の国家支援グループだと思われる。Billbug の活動は、過去6年間  [123] にわたり、複数のサイバー・セキュリティ企業により記録されている。

Continue reading “中国のハッカー集団 Billbug:標的はアジア諸国における政府と防衛の機関”

ウイグル人を弾圧するスパイウェア:国家に支援される APT15 が悪意のアプリを配布

Uyghurs Targeted With Spyware, Courtesy of PRC

2022/11/12 DarkReading — 中国政府は、イスラム教徒のウイグル族弾圧の一環として、スパイウェアを導入し、宗教的過激派と見なされる人物を検挙/拘束していると報告されている。Lookout Threat Labs の研究者たちによると、中国の支援を受けた脅威グループが、スパイウェア BadBazaar/Moonshine を、ウイグル語のサイトや SNS に広めているようだ。これらのスパイウェアは、VPN/WhatsApp/イスラム教アプリなどを使用する、同政府の言う “犯罪予備軍“ の捕捉を目的としているという。

Continue reading “ウイグル人を弾圧するスパイウェア:国家に支援される APT15 が悪意のアプリを配布”

Cobalt Strike ローダーの新種 Symatic:中国 APT41 と持続性のあるバックドア展開

New hacking group uses custom ‘Symatic’ Cobalt Strike loaders

2022/11/09 BleepingComputer — これまで知られていなかった Earth Longzhi という中国の APT (Advanced Persistent Threat) ハッキング集団が、東アジア/東南アジア/ウクライナの組織を狙っている。この脅威アクターは、2020年から活動しており、カスタム・バージョンの Cobalt Strike ローダーを用いて、被害者のシステムに持続性のあるバックドアを仕込んでいる。Trend Micro の最新レポートによると、Earth Longzhi の TTP は Earth Baku と同様のものであり、この2つのグループは、国家が支援する APT41 の下部組織であると考えられる。

Continue reading “Cobalt Strike ローダーの新種 Symatic:中国 APT41 と持続性のあるバックドア展開”

Microsoft の 2022 Digital Defense Report:国家による主要インフラへのハッキングが急増

Nation-State Hacker Attacks on Critical Infrastructure Soar: Microsoft

2022/11/07 SecurityWeek — Microsoft の 2022 Digital Defense Report によると、ウクライナとその同盟国を標的としたロシアのサイバー攻撃が主な原因で、主要インフラに対する国民国家のハッカー攻撃が急増しているという。2020年6月〜2021年6月にかけて、Microsoft が観測した国民国家の攻撃のうち、主要インフラを狙ったものは全体の 20%だった。その割合は、2021年7月〜2022年6月の期間には、40%に増加している。

Continue reading “Microsoft の 2022 Digital Defense Report:国家による主要インフラへのハッキングが急増”

RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心

Hackers Using Rogue Versions of KeePass and SolarWinds Software to Distribute RomCom RAT

2022/11/03 TheHackerNews — RomCom RAT のオペレーターは、SolarWinds Network Performance Monitor/KeePass Password Manager/PDF Reader Pro などの、不正なバージョンを悪用するかたちでキャンペーンを進化させ続けている。このオペレーションのターゲットを構成するのは、ウクライナや英国などの英語圏の被害者たちである。BlackBerry Threat Research and Intelligence Team は、「ターゲットの地理的条件と、現在の地政学的状況を考慮すると、RomCom RAT の動機が経済的なサイバー犯罪にあるとは考えにくい」と新たな分析で述べている。

Continue reading “RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心”

OPERA1ER という現金強奪者:4年間で銀行などから $11M 以上を盗み出した

Threat Actor “OPERA1ER” Steals Millions from Banks and Telcos

2022/11/03 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、フランス語圏の脅威グループによる長期的な APT キャンペーンの存在であり、4年間で銀行や通信事業者から少なくとも $11m を盗み出したグループのことである。Group-IB は、このグループを OPERA1ER と名付けたが、以前には DESKTOP-group や Common Raven など呼ばれていたようだ。Group-IB は、Orange CERT Coordination Center と協力して、レポート OPERA1ER. Playing God without permission を作成した。

Continue reading “OPERA1ER という現金強奪者:4年間で銀行などから $11M 以上を盗み出した”

SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染

Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App

2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。

Continue reading “SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染”

中国 APT10 の標的は日本の政府機関など:K7Security を悪用する LODEINFO マルウェアとは?

Hacking group abuses antivirus software to launch LODEINFO malware

2022/10/31 BleepingComputer — APT10 として追跡されている中国のハッキング・グループ Cicada は、セキュリティ・ソフトウェアを悪用することで、日本の組織に対してマルウェア LODEINFO の新バージョンをインストールしていたことが確認されている。 標的となったのは、日本国内の報道機関/外交機関/政府機関/公共機関/シンクタンクなどであり、いずれもサイバー犯罪の標的として高い関心を集める組織である。

Continue reading “中国 APT10 の標的は日本の政府機関など:K7Security を悪用する LODEINFO マルウェアとは?”

BlackLotus は新種の Windows UEFI ブートキット:ハッキングフォーラムで販売されている

Malware dev claims to sell new BlackLotus Windows UEFI bootkit

2022/10/17 BleepingComputer — ある脅威アクターが、新しい UEFI ブートキット BlackLotus をハッキングフォーラムで販売している。このツールは、国家を後ろ盾とする脅威グループに関連する機能を有している。UEFI ブートキットとは、システムのファームウェアに仕込まれるものであり、マルウェアが起動シーケンスの初期段階でロードされるため、OS 内で動作するセキュリティ・ソフトウェアからは検出されない。

Continue reading “BlackLotus は新種の Windows UEFI ブートキット:ハッキングフォーラムで販売されている”

Zimbra のゼロデイ CVE-2022-41352:約 900台のサーバーにハッキング被害

Almost 900 servers hacked using Zimbra zero-day flaw

2022/10/15 BleepingComputer — Zimbra Collaboration Suite (ZCS) の深刻な脆弱性が悪用され、約 900台のサーバがハッキングされていることが判明した。この脆弱性は公開から約 1ヶ月半にわたり、パッチ未適用のゼロデイ脆弱性だった。この脆弱性 CVE-2022-41352 は、攻撃者が ZCS サーバに Web シェルを植え付けると同時に、アンチウイルス・チェックを回避する悪意のアーカイブを添付した、メールの送信を可能にするリモート・コード実行の脆弱性である。

Continue reading “Zimbra のゼロデイ CVE-2022-41352:約 900台のサーバーにハッキング被害”

中国によるサイバー攻撃:過去 10年間にわたる APT の実態を整理する

Report Shows How China Has Been Using Cyberattacks Over the Past Decade

2022/10/14 InfoSecurity — 2022年10月12日に、コンサルティング会社  Booz Allen Hamilton が発表したレポートによると、中国の国家が支援するサイバー攻撃は、米国の国家安全保障に対する脅威を増大させているという。このレポート Same Cloak, More Dagger: Decoding How the People’s Republic of China (PRC) Uses Cyber Attacks は、米国企業や同盟国の CISO/脅威アナリストを対象にしている。

Continue reading “中国によるサイバー攻撃:過去 10年間にわたる APT の実態を整理する”

Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出

Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers

2022/10/12 TheHackerNews — Poloniumとして追跡されている脅威アクターが、2021年9月以降に7種類のカスタム・バックドアを用いてイスラエルの団体を狙うという、十数件の高度な標的型攻撃に関連していることが判明した。サイバー・セキュリティ企業の ESET は、エンジニアリング/IT/法律/通信/メディア/保険/ソーシャルサービスなどの、さまざまな垂直方向の組織への侵入があったと述べている。

Continue reading “Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出”

NSA/CISA/FBI の共同勧告:Log4j の脆弱性などが中国系ハッカーに悪用されている

RCE on Log4j Among Top CVEs Exploited By Chinese-Backed Hackers

2022/10/07 InfoSecurity — NSA/CISA/FBI が 2022年10月6日に発表したアドバイザリによると、中国の国家に支援された脅威アクターたちが、米国/同盟国のネットワークや企業を標的とし、既知の脆弱性を悪用し続けているとのことだ。同アドバイザリには、「悪質なことに、それらの脅威アクターは、より多くの新しい技術や、適応性のある技術を使用するようになっている。その一部は IT 部門 (電気通信事業者を含む) /防衛産業基盤 (DIB:Defense Industrial Base) 部門/その他の重要インフラ組織などに、大きなリスクをもたらす」と記されている。

Continue reading “NSA/CISA/FBI の共同勧告:Log4j の脆弱性などが中国系ハッカーに悪用されている”

米政府の勧告:中国の国家支援ハッカーが好んで悪用する脆弱性 Top-20 とは?

US govt shares top flaws exploited by Chinese hackers since 2020

2022/10/06 BleepingComputer — 今日、NSA/CISA/FBI は、中華人民共和国 (PRC) の支援を受けるハッカーが、政府や重要インフラのネットワークを標的として悪用する、最も深刻なセキュリティ脆弱性の Top-20 を明らかにした。それらの連邦機関は共同勧告の中で、中国の支援を受けたハッカーが、米国および同盟国のネットワークや技術系企業を標的にしえ、機密ネットワークへのアクセスや知的財産の窃盗を試みていると述べている。

Continue reading “米政府の勧告:中国の国家支援ハッカーが好んで悪用する脆弱性 Top-20 とは?”

RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う

Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices

2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN/電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集/流出させるコマンドを、受信/実行する機能を持つ高度なスパイウェアとして機能するとのことだ。

Continue reading “RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う”

NRA という反政府ハッキング組織:ロシア国内の標的にサイバー攻撃を開始

Russian Hackers Take Aim at Kremlin Targets: Report

2022/10/04 InfoSecurity — ロシアの脅威アクターたちが、ウクライナとの無用な戦争に対する報復として、自国内のターゲットにサイバー攻撃を開始した。Kyiv Post 誌は、プーチン政権打倒を目指すロシアのハッキング組織である、国民共和軍 (NRA:National Republican Army) のメンバーに対して、インタビューを行ったっとしている。その NRA メンバーによると、最初のターゲットはロシアのソフトウェア開発会社であり、政府の顧客と密接に仕事をしているとされている Unisoftware だったという。

Continue reading “NRA という反政府ハッキング組織:ロシア国内の標的にサイバー攻撃を開始”

Tor Browser のトロイの木馬版:中国で人気の YouTube チャネルからインストーラが配布される

Popular YouTube Channel Caught Distributing Malicious Tor Browser Installer

2022/10/04 TheHackerNews — 中国語の人気 YouTube チャネルが、トロイの木馬化した Windows 版の Tor Browser インストーラを配布する手段として浮かび上がっている。Kaspersky は、このキャンペーンを OnionPoison と名付け、被害者の全てが中国のユーザーであることを公表した。現時点で、攻撃の規模は不明だが、2022年3月にはテレメトリーで被害者を検出したと、同社は述べている。

Continue reading “Tor Browser のトロイの木馬版:中国で人気の YouTube チャネルからインストーラが配布される”

Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用

Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers

2022/10/01 TheHackerNews — 北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されている。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっている。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙/防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となる。

Continue reading “Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用”

Windows Logo に隠されたマルウェアは中国由来:中東の政府組織などを攻撃

Hackers Hide Malware in Windows Logo, Target Middle East Governments

2022/09/30 InfoSecurity — Witchetty と呼ばれるハッカー集団が、ステガノグラフィー技術を用いて Windows ロゴにバックドアを隠し、中東の政府をターゲットにしていることが確認された。Broadcom の最新アドバイザリによると、Witchetty (別名 LookingFrog) は国家が支援する中国の脅威アクター APT10 や、以前の米国エネルギー・プロバイダーに対する攻撃に関連した TA410 の、工作員とも関係があるとみられている。

Continue reading “Windows Logo に隠されたマルウェアは中国由来:中東の政府組織などを攻撃”

Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出

WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation

2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。

Continue reading “Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出”

Notepad++ Plugin を悪用する脅威アクターたち:侵入後に永続性を確保する可能性

Notepad++ Plugins Allow Attackers to Infiltrate Systems, Achieve Persistence

2022/09/15 InfoSecurity — Notepad++ プラグインの悪用に成功した行為アクターたちが、セキュリティ機構を回避し、被害者のマシン上で永続性を確保する可能性があることを、セキュリティ企業 Cybereason の最新調査結果が示唆している。同社の水曜日のアドバイザリには、「オープンソース・プロジェクトである Notepad++ Plugin Pack を用いて、RastaMouse と名乗るセキュリティ研究者が、永続化メカニズムとして使用できる悪意のプラグインの構築方法を実証した」と記している。

Continue reading “Notepad++ Plugin を悪用する脅威アクターたち:侵入後に永続性を確保する可能性”

PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY/KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Continue reading “PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布”

ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている

ShadowPad-Associated Hackers Targeted Asian Governments

2022/09/13 InfoSecurity — リモートアクセス型トロイの木馬 (RAT) である ShadowPad だが、以前から関連していた脅威グループが新たなツールセットを採用し、アジア各国の政府機関や国営企業に対してキャンペーンを展開している。 このニュースは、9月13日の未明に Symantec の Threat Hunter Team が発表した、脅威に関する新たなアドバイザリがソースとなっている。

Continue reading “ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている”

米政府がイランを制裁:MuddyWater と APT34 に対する国家による支援を指摘

US Sanctions Iran Over APT Cyberattack Activity

2022/09/10 DarkReading — 米国連邦政府は、イラン政府が APT (advanced persistent threat) グループを介して組織的に、米国を標的にしてきたサイバー犯罪行為について、制裁に乗り出した。米国財務省外国資産管理局 (OFAC : Department of the Treasury’s Office of Foreign Assets Control) は、イラン情報安全保障省 (MOIS : Ministry of Intelligence and Security) に対して、2007年以降における米国と同盟国に対するサイバー犯罪に関与していると判断/指定した。

Continue reading “米政府がイランを制裁:MuddyWater と APT34 に対する国家による支援を指摘”

APT40 が利用する ScanBox:中国に関連する大規模スパイ・キャンペーンのコア?

China-linked APT40 used ScanBox Framework in a long-running espionage campaign

2022/08/31 SecurityAffairs — Proofpoint の Threat Research Team が、中国とつながりのある脅威アクターが仕組んだ、世界の事業体を標的とするサイバー・スパイ・キャンペーンを発見した。このキャンペーンは、オーストラリア/マレーシア/ヨーロッパの事業体および、南シナ海で活動する組織を対象としていた。そして Proofpoint は、PwC の脅威インテリジェンス研究者たちの協力を得ながら、このキャンペーンを分析した。

Continue reading “APT40 が利用する ScanBox:中国に関連する大規模スパイ・キャンペーンのコア?”

NATO 調査:ダークウェブで販売される MBDA ミサイルの機密情報とは?

NATO Investigates Dark Web Leak of Data Stolen From Missile Vendor

2022/08/29 DarkReading — NATO が調査している事案として、ヨーロッパのミサイル・システム会社から盗まれたとされるデータ漏洩の事件がある。NATO のレポートによると、この事件の背後にいるハッカーは、窃取したデータをダークウェブで売り出しているという。漏洩したデータには、現在のロシアとの戦争でウクライナが使用している兵器の設計図が含まれている。

Continue reading “NATO 調査:ダークウェブで販売される MBDA ミサイルの機密情報とは?”

Azure を侵害して Microsoft 365 ユーザーを狙う:ロシア APT29 の凄腕ぶり

Russian APT29 hackers abuse Azure services to hack Microsoft 365 users

2022/08/19 BleepingComputer — 国家を後ろ盾とするロシアのサイバースパイ・グループ Cozy Bear は、NATO 諸国の Microsoft 365 アカウントを標的とし、外交政策情報へのアクセスを試みるなど、2022年に入ってから活発に動き回っている。Microsoft 365 は、主にエンタープライズなどで使用されているクラウド・ベースの生産性スイートであり、コラボレーション/コミュニケーション/データストレージ/電子メールなどの、オフィスでの作業などを容易にする。

Continue reading “Azure を侵害して Microsoft 365 ユーザーを狙う:ロシア APT29 の凄腕ぶり”

ロシアによるサイバー攻撃:ウクライナから NATO へと標的が拡大する可能性は?

Russian Use of Cyberweapons in Ukraine and the Growing Threat to the West

2022/08/19 SecurityWeek — その始まりは AcidRain だった。AcidRain は、イタリアの Viasat のサーバーを標的とした攻撃のことであり、ウクライナからヨーロッパ全域において、同社における多数のモデムと、インターネット通信を管理するサーバを狙ったものだった。この攻撃は、ロシアによるウクライナ侵攻のタイミングに合わせて実施され、ロシアからウクライナへ向けたサイバー戦争のテンポを劇的に速めることになった。AcidRain を用いる、戦術的な論拠は明白である。ウクライナの通信機能を低下させることで、ロシア軍は戦況を有利に展開できるからだ。 

Continue reading “ロシアによるサイバー攻撃:ウクライナから NATO へと標的が拡大する可能性は?”

Facebook が摘発した南アジアのサイバー・ギャングたち:騙しのテクニックを分析

Meta Cracks Down on Cyber Espionage Operations in South Asia Abusing Facebook

2022/08/08 TheHackerNews — Facebook の親会社である Meta は、同社の SNS を利用してマルウェアを配布していた、南アジアにおける2つのスパイ活動への対策を講じたことを発表した。1つ目のアクティビティは、ニュージーランド/インド/パキスタン/イギリスの個人を標的とした、ハッキング・グループ Bitter APT (別名 APT-C-08/T-APT-17) により実施されたものだ。Meta は、この活動について、十分な持続性とリソースを持つと表現している。

Continue reading “Facebook が摘発した南アジアのサイバー・ギャングたち:騙しのテクニックを分析”

台湾政府に DDoS 攻撃:ペロシ下院議長の訪問中に総統府 Web サイトなどがダウン

Taiwan Government websites suffered DDoS attacks during the Nancy Pelosi visit

2022/08/04 SecurityAffairs — ナンシー・ペロシ米下院議長の台北訪問中に、台湾政府の主要な Web サイトに対して DDoS 攻撃が行われ、一時的にオフラインに追い込まれるという事態が発生した。このサイバー攻撃により、政府の英語版ポータルサイトや、総統府/外務省/国防省における一部の Web サイトがオフラインになった。

Continue reading “台湾政府に DDoS 攻撃:ペロシ下院議長の訪問中に総統府 Web サイトなどがダウン”

Woody RAT というリモートアクセス・トロイの木馬が登場:標的はロシアの組織

New Woody RAT used in attacks aimed at Russian entities

2022/08/04 SecurityAffairs — Malwarebytes の研究者たちは、Woody RAT と呼ばれる新たなリモート・アクセス型トロイの木馬で、ロシアの組織を標的とする未知の脅威アクターを観察した。攻撃者は、Follina Windows の欠陥 (CVE-2022-30190) を悪用するアーカイブ・ファイルや Microsoft Office ドキュメントを用いて、マルウェアを配信していた。

Continue reading “Woody RAT というリモートアクセス・トロイの木馬が登場:標的はロシアの組織”