ArcaneDoor hackers exploit Cisco zero-days to breach govt networks
2024/04/24 BleepingComputer — 4月24日に公開したアドバイザリで Cisco が警告しているのは、2023年11月以降において国家に支援されるハッカー・グループが、Adaptive Security Appliance (ASA) と Firepower Threat Defense (FTD) ファイアウォールに存在する、2つのゼロデイ脆弱性を悪用していたことだ。 それにより、世界中の政府機関のネットワークで、侵入が発生していたという。
Continue reading “Cisco ASA/FTD のゼロデイ脆弱性:ArcaneDoor ハッカーが政府機関ネットワークへの侵入で悪用”Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability
2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも1ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の1つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。
Continue reading “Palo Alto の脆弱性 CVE-2024-3400:Siemens 製品に影響をおよぼすことが判明”Russia-Linked Hackers Exploit Windows Zero-Day, Deploy “GooseEgg” to Hijack Networks
2024/04/22 SecurityOnline — ロシア国家が支援するハッキング・グループ “Forest Blizzard” の武器庫にある、洗練された新ツールについて、Microsoft が情報を暴露した。この GooseEgg と名付けられたツールを活用して、侵害したシステムに深くアクセスする攻撃者は、欧米の政府や戦略的組織にとって深刻な脅威をもたらしている。
Continue reading “ロシアン APT Forest Blizzard の最新兵器 GooseEgg:Windows の CVE-2022-38028 を狙っている”22,500 Palo Alto firewalls “possibly vulnerable” to ongoing attacks
2024/04/19 BleepingComputer — 2024年3月26日以降において、Palo Alto GlobalProtect ファイアウォール・デバイス約 22,500台に、活発な攻撃で悪用されているコマンド・インジェクションの脆弱性 CVE-2024-3400 が存在する可能性があるという。この脆弱性 CVE-2024-3400 は、GlobalProtect 機能における特定の Palo Alto Networks の PAN-OS バージョンに影響するものであり、未認証の攻撃者に任意のファイル作成をトリガーとするコマンド・インジェクションを許し、その結果として root 権限でのコマンド実行にいたる可能があるという。
Continue reading “Palo Alto の脆弱性 CVE-2024-3400:脆弱なデバイス 22,500 台がインターネット公開”MITRE Revealed That Nation-State Actors Breached Its Systems Via Ivanti Zero-Days
2024/04/19 SecurityAffairs — 2024年4月に MITRE が公表したのは、その研究/試作ネットワークの1つに対して、セキュリティ侵害が生じていたことだ。同組織のセキュリティ・チームは直ちに調査を開始し、脅威アクターをログアウトさせ、サードパーティのフォレンジック・インシデント・レスポンス・チームに依頼し、社内の専門家と協力し、独自の分析を実施した。MITRE Corporation によると、この国家に支援された APT は、2024年1月に Ivanti Connect Secure の2つのゼロデイ脆弱性を連鎖させ、同社のシステムに侵入していた。
Continue reading “MITRE が公表した 2024年1月の侵害:Ivanti のゼロデイを悪用する APT に侵入されていた”PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338)
2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。
Continue reading “Windows Kernel の脆弱性 CVE-2024-21338 に PoC:2024年2月の月例パッチを確認!”Hackers Deploy Python Backdoor in Palo Alto Zero-Day Attack
2024/04/13 TheHackerNews — Palo Alto Networks の PAN-OS ソフトウェアに存在するゼロデイ脆弱性だが、昨日に明るみに出る前の 2024年3月26日の時点から、3週間にわたり脅威アクターたちに悪用されてきたことが判明した。Palo Alto Networks の Unit 42 は、Operation MidnightEclipse という名称で、この活動を追跡している。現時点では、単一の脅威アクターの仕業であるとしているが、その出所は不明とされる。この脆弱性 CVE-2024-3400 (CVSS:10.0) は、コマンド・インジェクションの欠陥であり、認証されていない攻撃者に対して、ファイアウォールの root 権限を用いた任意のコード実行を許すものである。
Continue reading “Palo Alto のゼロデイ CVE-2024-3400:公開の3週間前から Python バックドア”Midnight Blizzard’s Microsoft Corporate Email Hack Threatens Federal Agencies: CISA Warns
2024/04/12 GBHackers — Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft における 企業電子メールシステムの侵害について緊急指令を発表した。この緊急指令 (ED 24-02) は、国家に支援された APT である Midnight Blizzard によるリスクを、軽減するために必要な緊急措置を概説している。このグループは、連邦民間行政府 (FCEB) 機関と Microsoft との間で交わされた機密メールの流出に成功しているため、国家の安全保障に対する潜在的な影響について、CISA は警鐘を鳴らすことにしたようだ。
Continue reading “Midnight Blizzard による Microsoft 侵害:CISA から連邦政府への緊急警告とは?”Popular Rust Crate liblzma-sys Compromised with XZ Utils Backdoor Files
2024/04/12 TheHackerNews —XZ Utilsのバックドアに関連する “テストファイル” が、liblzma-sys という名の Rust crate に紛れ込んでいることが、Phylum の新たな調査で明らかになった。この liblzma-sys は、現時点において 21,000回以上もダウンロードされており、XZ Utils データ圧縮ソフトウェアの一部である、基礎ライブラリ liblzma 実装へのバインディングを、Rust 開発者に提供している。問題のバージョンは、0.3.2 である。
Continue reading “XZ Utils バックドア汚染:Rust Crate liblzma-sys 侵害から手口を辿ってみる”Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities
2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる5つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure/Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用が既に発見/報告されているが、この活度は、その後に続くものである。
Continue reading “Ivanti 製品の脆弱性:中国系のハッカーが新たな TTP を開発している”Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account
2024/03/25 TheHackerNews — 2024年1月に Microsoft は、ロシアのハッカー Midnight Blizzard (別名:Nobelium) によるハッキング被害を受けていたことを発表した。この件で特筆すべきは、Microsoft への侵入が、いかに容易であったかということだ。ハッカーたちは、ゼロデイ脆弱性を悪用した高度な技術的ハッキングではなく、単純なパスワード・スプレーという手法を使って、同社の古い非アクティブなアカウントの制御に成功した。このインシデントは、パスワード・セキュリティの重要性と、組織が全てのユーザー・アカウントを保護すべき理由を、思い知らせる結果となった。
Continue reading “ロシアのハッカー Midnight Blizzard:パスワード・スプレー攻撃で Microsoft を侵害”Chinese State-Linked Hackers Target Critical Systems; Exploit F5 and ScreenConnect Flaws
2024/03/22 SecurityOnline — UNC5174 という新たな脅威アクターが、ゼロデイおよび最近にパッチが適用された脆弱性を悪用して、一連の標的型侵入を仕掛けていることが、Mandiant のレポートにより明らかになった。同グループの活動は、技術力の高い標的攻撃により、特に政府/防衛/学術などの分野における、価値の高い組織をターゲットにするものだ。
Continue reading “UNC5174 という中国ハッカー:F5/ScreenConnect の脆弱性を悪用して攻撃を展開”Chinese APT ‘Earth Krahang’ Compromises 48 Gov’t Orgs on 5 Continents
2024/03/19 DarkReading — これまで正体不明だった、中国のスパイ・グループが特定された。このフループは、標準的な TTP (Tactics/Techniques/Procedures) を用いながらも、23カ国の少なくとも 70組織への侵入に成功したが、そこには政府機関の 48組織も含まれていたという。Earth Krahang は、高レベルの軍事 APT ではないようだ。Trend Micro の研究者たちは新たなレポートの中で、中国共産党 (CCP) が契約した、民間のハッカー雇用オペレーションである、iSoon の一部である可能性を示唆している。
Continue reading “Earth Krahang は中国由来の APT:ありきたりの OSS ツールで 48の政府機関を侵害”Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails
2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。
Continue reading “Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた”China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks
2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。
Continue reading “中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?”ScreenConnect flaws exploited to drop new ToddleShark malware
2024/03/04 BleepingComputer — 北朝鮮の APT ハッキング・グループである Kimsuky は、ScreenConnect の脆弱性を、特に CVE-2024-1708/CVE-2024-1709 を悪用して、ToddleShark という新しいマルウェアの亜種をターゲットに感染させている。Kimsuky (別名 Thallium/Velvet Chollima) は、北朝鮮の国家支援ハッキング・グループであり、世界中の組織や政府に対するサイバー・スパイ攻撃で知られている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1708/CVE-2024-1709:マルウェアの投下に悪用されている”TA577 Exploits NTLM Authentication Vulnerability
2024/03/04 InfoSecurity — Proofpoint のサイバー・セキュリティ研究者たちが注目しているのは、サイバー犯罪者である TA577 アクターが採用する新たな戦術であり、また、これまでの彼らの活動において稀有だった狙いである。この脅威グループは、NT LAN Manager (NTLM) の認証情報を盗み出し、攻撃チェーンを利用していることが判明した。この攻撃方法は、機密データの収集に悪用される可能性があり、さらなる悪意のある活動を促進する可能性を持つものだ。
Continue reading “NTLM 認証の脆弱性を悪用:TA577 が仕掛けるキャンペーンの実態とは?”Threat Actors Hacked Taiwan-Based Chunghwa Telecom
2024/03/04 SecurityAffairs — 中華電信 (Chunghwa Telecom Company, Ltd.) は、台湾最大の総合電気通信サービス・プロバイダーであり、同国のローカル・エクスチェンジ・キャリアとして、PSTN/モバイル/ブロードバンド・サービスなどを提供している。その中華電信から、軍事文書や政府文書を含む機密情報が、脅威アクターにより窃取されたことを、台湾の国防省が明らかにした。この脅威アクターは、政府関連の契約書類を含む 1.7 TB のデータを盗み出したと主張しているという。
Continue reading “台湾の中華電信でデータ侵害が発生:軍事文書/政府文書などが窃取された”Microsoft Zero-Day Used by Lazarus in Rootkit Attack
2024/03/01 DarkReading — Microsoft のアプリケーション・ホワイトリスト・ソフトウェア AppLocker の、ゼロデイ脆弱性は修正されている。しかし、北朝鮮に支援される Lazarus Group が実施する、ルートキット型サイバー攻撃において、この脆弱性が悪用されることは防げなかった。Avast の研究者たちの説明によると、Microsoft Windows のゼロデイ脆弱性 CVE-2024-21338 を発見した Lazarus は、FudModule と呼ばれる独自のルートキット・マルウェアの更新版を介して、Admin から Kernel へと権限を引き上げたという。
Continue reading “Microsoft のゼロデイ CVE-2024-21338:Lazarus の Rootkit 攻撃で悪用される”State-sponsored hackers know enterprise VPN appliances inside out
2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード/パッチ適用/工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。
Continue reading “Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”APT29’s Espionage Campaign Exploits WinRAR Flaw, Targets Embassies
2024/02/21 SecurityOnline — 悪名高いロシア系サイバースパイ・グループ APT29 が、2023年9月に複数の国々の大使館に対して、巧妙な攻撃を行っていた。この攻撃は、WinRAR の重大な脆弱性 CVE-2023-38831 を悪用して、標的のシステムに足がかりを作るところから始まったと、SecurityCafe が解説している。それにより浮き彫りにされるのは、国家に支援される巧妙かつ継続的な脅威と、絶え間ない警戒の必要性である。
Continue reading “ロシアの APT29:WinRAR の脆弱性 CVE-2023-38831 を悪用して各国の大使館を攻撃”Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities
2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN/Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK/CHAINLINE/FRAMESTING/LIGHTWIRE などの、カスタム Web シェルの亜種である。
Continue reading “Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複”CISA Sets 48-hour Deadline for Removal of Insecure Ivanti Products
2024/02/01 SecurityWeek — 米国政府のサイバーセキュリティ機関 CISA は連邦政府機関に対して、Ivanti Connect Secure/Policy Secure の全製品のインスタンスを、48時間以内に切断せよという、前例のない要求を通達している。CISA は、「可能な限り早急に、また、遅くとも 2024年2月2日 (金) の午後11時59分までに、Ivanti Connect Secure/Policy Secure ソリューションの全インスタンスを、政府機関のネットワークから切断せよ」と、新たな緊急指令において圧力を強めている。防御側にとって必要とされるのは、実環境で積極的に悪用されている、少なくとも3件の Ivanti セキュリティ欠陥を軽減することである。
Continue reading “CISA が異例の通達:Ivanti の疑わしいインスタンスを 48時間以内に隔離せよ”Pawn Storm’s Stealthy Net-NTLMv2 Assault Revealed
2024/01/31 InfoSecurity — APT28 としても知られる APT アクターである Pawn Storm は、遅くとも 2004年以降において各種のテクニックを駆使し、世界的に価値の高い事業体を標的としてきた。このグループは、一見すると 10年前のフィッシング・キャンペーンのような時代遅れの手法に頼っているが、現実には何千もの電子メール・アカウントを侵害し続けている。1月31日に、Trend Micro の研究者 Feike Hacquebord と Fernando Merces が発表したアドバイザリによると、最近の Pawn Storm は、Net-NTLMv2 ハッシュ・リレー攻撃に関与しており、世界中の政府/防衛/軍事ネットワークへのブルートフォース侵入を試みている。
Continue reading “Pawn Storm という APT:ステルス性 Net-NTLMv2 リレー攻撃に注意が必要”Hackers Exploiting Ivanti VPN Flaws to Deploy KrustyLoader Malware
2024/01/31 TheHackerNews — 最近に公開された Ivanti Connect Secure (ICS) VPN (Virtual Private Network) デバイスの2つのゼロデイ脆弱性が、KrustyLoader というペイロードの配信に悪用されている。KrustyLoader とは、オープンソースの Sliver 攻撃シミュレーション・ツールを投下するために使用される、Rust ベースのツールのことである。悪用が確認されている脆弱性 CVE-2023-46805 (CVSS:8.2)/CVE-2024-21887 (CVSS:9.1) は、認証されていない攻撃者に対して、影響を受けやすいアプライアンス上でのリモート・コード実行を許す可能性があるものだ。
Continue reading “Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887:KrustyLoader マルウェアの配布に悪用”Microsoft Provides Defense Guidance After Nation-State Compromise
2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium/APT29/Cozy Bear) による、ネットワーク上での悪質な活動を検知した。
Continue reading “Microsoft が公表した防御のガイダンス:Midnight Blizzard の狡猾な戦術を封じる”Microsoft reveals how hackers breached its Exchange Online accounts
2024/01/26 BleepingComputer — 2023年11月に Microsoft 幹部の電子メール・アカウントに侵入した、ロシア政府 Foreign Intelligence Service (SVR) のハッキング・グループが、悪意のキャンペーンの一環として他の組織にも侵入したことが確認された。Midnight Blizzard (別名 Nobelium/APT29) は、ロシアの SVR 傘下のサイバー・スパイ集団と考えられており、主に米国/欧州の政府組織/NGO/ソフトウェア開発者/IT サービス・プロバイダーを標的としている。
Continue reading “Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard:手口の詳細を解説”Blackwood hackers hijack WPS Office update to install malware
2024/01/25 BleepingComputer — Blackwood という新たな APT (advanced threat actor) が、企業や個人に対するサイバースパイ攻撃のために、NSPX30 と呼ばれる高度なマルウェアを使用していることが判明した。この脅威アクターは、遅くとも 2018年から活動しており、中間者攻撃 (AitM:Adversary-in-the-Middle) に加えて、単純なバックドアに根ざしたコードベースを持つ、インプラントである NSPX30 マルウェアを 2005年から利用している。
Continue reading “Blackwood という APT:WPS Office などのアップデートから NSPX30 マルウェアを配布”Russia-Linked Midnight Blizzard Apt Hacked Microsoft Corporate Emails
2024/01/20 SecurityAffairs — Microsoft の警告は、同社の企業メール・アカウントの一部が、ロシア由来のサイバー・スパイ集団 Midnight Blizzard に侵害されたというものであり、法執行機関と関連規制当局への通知も完了しているという。Midnight Blizzard グループ (別名 APT29/Cozy Bear/Nobelium/BlueBravo/The Dukes) は APT28 と連携するかたちで、民主党全国委員会へのハッキングや、2016年の米国大統領選挙への攻撃に関与していたという。このグループは、Microsoft を含む 18,000 以上の顧客組織を襲った、2020年の SolarWinds サプライチェーン攻撃でも知られている。
Continue reading “Microsoft の報告:ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された”China-Linked Apt UNC3886 Exploits VMware Zero-Day Since 2021
2024/01/19 SecurityAffairs — 中国由来の APT グループ UNC3886 が、遅くとも 2021年後半から、VMware vCenter Server のゼロデイ脆弱性 CVE-2023-34048 を悪用していることが、Mandiant の研究者たちにより報告された。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェア群の重要なコンポーネントであり、VMware の仮想化データセンターのための、集権的かつ包括的な管理プラットフォームとして機能している。
Continue reading “VMware の脆弱性 CVE-2023-34048:2021年から中国の APT がゼロデイとして悪用”CVE-2023-7102: A zero-day flaw affects Barracuda Email Security Gateway
2023/12/25 SecurityOnline — 複雑なサイバー・セキュリティの世界において、いまの Barracuda Networks が直面しているのは、Spreadsheet::ParseExcel ライブラリに存在する、2つのゼロデイ脆弱性 CVE-2023-7102/CVE-2023-7101 という難題である。これらの脆弱性は、サードパーティ・ライブラリ Spreadsheet::ParseExcel の任意のコード実行 (ACE:Arbitrary Code Execution) の欠陥に起因するものであり、中国の脅威アクター UNC4841 による悪用が確認されている。また、この脆弱性は、同社の Email Security Gateway (ESG) デバイスを標的として、メールに添付されたファイル (Excel 形式) を介して悪用されていたことが、Barracuda と Mandiant の共同調査で判明している。
Continue reading “Barracuda ESG におけるゼロデイ脆弱性 CVE-2023-7102:エクスプロイトも観測?”US Cyber Safety Board to Review Cloud Attacks
2023/08/14 SecurityWeek — 8月11日 (金) に米国政府は、DHS (Homeland Security) のサイバー安全審査委員会 (CSRB:Cyber Safety Review Board) が、クラウド環境を標的とした悪意の攻撃に関する審査を実施すると発表した。このイニシアティブは、政府/産業界/CSP (Cloud Service Provider) に対して、クラウドにおける ID 管理と認証を改善するための、提言を行うことに重点を置くという。
Continue reading “米国政府によるクラウド攻撃の分析:Microsoft ハッキングを受けて活動を開始”US cyber safety board to analyze Microsoft Exchange hack of govt emails
2023/08/11 BleepingComputer — 米国土安全保障省の CSRB (Cyber Safety Review Board) は、米政府機関で使用される Microsoft Exchange アカウントが、最近になって中国からハッキングされていることを受け、クラウド・セキュリティの実践について詳細な審査を実施することを発表した。CSRB は官民が協力する機関であり、重大な事象に対する理解を深め、根本的な原因を見極め、サイバー・セキュリティに関する情報に基づく提言を行うための、詳細な調査の実施を目的として設立された。
Continue reading “Exchange をハッキングする中国の Storm-0558:米政府と Microsoft が共同で分析”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”China-Linked Hackers Strike Worldwide: 17 Nations Hit in 3-Year Cyber Campaign
2023/08/09 TheHackerNews — 中国の国家安全部 (MSS:Ministry of State Security) に関連するハッカーたちが、2021〜2023年にかけて、アジア/ヨーロッパ/北米などの 17カ国に攻撃を仕掛けてきたことが判った。サイバー・セキュリティ企業 Recorded Future は、この一連の攻撃について、RedHotel (以前は Threat Activity Group-22/TAG-222) として追跡している国家グループによるものであり、Aquatic Panda/Bronze University/Charcoal Typhoon/Earth Lusca/Red Scylla (または Red Dev 10) などの活動群と重複していると述べている。
Continue reading “世界を襲う中国系ハッカー RedHotel:3年間で日本などの 17カ国を攻撃”Microsoft Office update breaks actively exploited RCE attack chain
2023/08/08 BleepingComputer — Microsoft は 8月8日に、CVE-2023-36884 として追跡されている RCE 脆弱性の悪用を防ぐ、Microsoft Office のアップデートをリリースした。このアップデートは、7月に公開された CVE-2023-36884 を修正するものだ。その当時、Microsoft はパッチを適用せずに、緩和のためのアドバイスを提供していた。当初、この脆弱性は、Microsoft Office の RCE (Remote Code Execution) として報告されていたが、さらなる検証の結果、Windows Search の RCE として分類された。
Continue reading “Microsoft Office/Windows Search の RCE 脆弱性 CVE-2023-36884 が FIX”Microsoft August 2023 Patch Tuesday warns of 2 zero-days, 87 flaws
2023/08/08 BleepingComputer −−− 今日は Microsoft の August 2023 Patch Tuesday であり、積極的に悪用される脆弱性2件と、リモート・コード実行の脆弱性 23件を含む、87件の脆弱性に対するセキュリティ更新プログラムが提供された。23件の RCE バグが修正されたが、Microsoft が Critical と評価したのは、そのうちの6件のみである。
Continue reading “Microsoft 2023-08 月例アップデート:2件のゼロデイと 87件の脆弱性に対応”Microsoft Teams Targeted in Midnight Blizzard Phishing Attacks
2023/08/03 InfoSecurity — Microsoft Teams のチャットを悪用して認証情報を盗むフィッシングのルアーを配信する、高度に標的化されたソーシャル・エンジニアリング攻撃を、Microsoft Threat Intelligence が検知した。8月2日に Microsoft が発表したアドバイザリによると、これらの攻撃は Midnight Blizzard という脅威アクターによるものとのことだ。同グループは、以前は Nobelium と呼ばれていた。この、ロシアを拠点とする攻撃は、中小企業が所有する Microsoft 365 のテナントを悪用し、正規のものを装うテクニカル・サポート・エンティティを作成するという手口を用いるものだ。
Continue reading “Microsoft Teams が Midnight Blizzard フィッシング攻撃に悪用されている”Patchwork Hackers Target Chinese Research Organizations Using EyeShell Backdoor
2023/07/31 TheHackerNews — Patchwork と命名されたハッキング・グループが、最近に確認されたキャンペーンの一環として、中国の大学および研究機関を攻撃していることが判明した。KnownSec 404 Team によると、このキャンペーンでは、コードネーム EyeShell と呼ばれるバックドアが使用されていたという。Patchwork は、別名 Operation Hangover/Zinc Emerson でも知られており、インドが支援する脅威グループであると見られている。遅くとも 2015年12月から活動している同グループは、スピア・フィッシングやウォータリング・ホール攻撃を通じて、パキスタンや中国の組織に対して、BADNEWS などのカスタムイン・プラントを仕掛けてきた。
Continue reading “Patchwork はインドの APT:EyeShell バックドアを使って中国の研究機関を攻撃”CISA: New Submarine Backdoor Used in Barracuda Campaign
2023/07/31 InfoSecurity — Barracuda セキュリティ・アプライアンスを標的として連邦政府ネットワークに侵入した中国の脅威アクターが、Submarine と呼ばれる新たなバックドアを、攻撃の一部で利用していたことが明らかにされた。この攻撃に関する Mandiant のオリジナル・レポートでは、このグループが使用した3種類のバックドア Seaside/Saltwater/Seaspy に焦点が当てられている。しかし、7月28日に CISA が、”永続性を確立し維持する” ためにの、新たなバックドア型マルウェアが配備されたことを明らかにした。
Continue reading “Barracuda ESG 攻撃に新たなマルウェア:Submarine と呼ばれるバックドア – CISA”CISA: New Submarine malware found on hacked Barracuda ESG appliances
2023/07/28 BleepingComputer — Barracuda ESG (Email Security Gateway) アプライアンスの、すでにパッチが適用されているゼロデイバグを悪用する、Submarine と呼ばれる新しいマルウェアが、連邦政府機関のネットワーク上にバックドアに仕掛けていると、CISA が警告している。2023年5月に検出された一連のデータ盗難攻撃で、親中国派と見られるハッカー・グループ UNC4841 が、バックドアを展開していたことが確認された。そして、同グループは、遅くとも 2022年10月から活動していたとされる。
Continue reading “新種のマルウェア Submarine:Barracuda ESG のゼロデイ CVE-2023-2868 を悪用”North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder
2023/07/25 TheHackerNews — 北朝鮮の General Bureau (RGB) に所属する活動家たちが、JumpCloud のハッキングに関与しているようだ。Google 傘下の Mandiant は、UNC4899 という名前で追跡している脅威アクターに起因する活動だとしている。このグループは、ブロックチェーンと暗号通貨セクターを攻撃してきた Jade Sleet/TraderTraitor として監視されている、クラスターと重複している可能性が高いようだ。また、UNC4899 は APT43 とも重なっている。APT43 とは、北朝鮮 (DPRK) に関連する別のハッキング・グループであり、2023年3月の初旬に、標的とした企業から暗号通貨を吸い上げるための、一連のキャンペーンを実施していることが明らかになっている。
Continue reading “JumpCloud ハッキング:北朝鮮の RGB に属する脅威アクターが関与か?”Lazarus hackers hijack Microsoft IIS servers to spread malware
2023/07/24 BleepingComputer — 北朝鮮の国家支援のハッカー・グループである Lazarus が、Windows IIS (Internet Information Service) Web サーバを乗っ取り、マルウェアを配布していることが明らかになった。Microsoft の Web Server ソリューションである IIS は、Web サイトや Microsoft Exchange Outlook Web などのアプリケーション・サービスをホストするために使用されるものだ。
Continue reading “北朝鮮のハッカー Lazarus:Microsoft IIS Server を乗っ取ってマルウェアを配布”Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks
2023/07/24 SecurityWeek — 7月24日に Apple は、同社の主力プラットフォームである iOS/macOS/iPadOS に対して、大規模なセキュリティ・アップデートを行なった。今回のアップデートには、iOS/macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれている。また、Apple によると、iOS/iPadOS/macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたという。
Continue reading “Apple が大規模なセキュリティ・アップデートを実施:カーネルの脆弱性 CVE-2023-38606 などが FIX”Azure AD Token Forging Technique in Microsoft Attack Extends Beyond Outlook, Wiz Reports
2023/07/21 TheHackerNews — Microsoft のEメールインフラに対する、中国の APT である Storm-0558 の攻撃だが、これまで考えられていたよりも、広範囲に及んでいることが、最近になって分かってきた。この攻撃の対象となっているのは、OneDrive/SharePoint/Teams などの個人アカウント認証をサポートする全てのアプリケーション、および、”Login with Microsoft functionality” をサポートするユーザー・アプリケーション、そして、特定の条件下でのマルチテナント・アプリケーションなどである。
Continue reading “Microsoft プラットフォームを攻撃する Azure AD 偽造トークン: Outlook 以外にも拡大している”APT41 hackers target Android users with WyrmSpy, DragonEgg spyware
2023/07/20 BleepingComputer — 中国に支援されるハッキング・グループ APT41 が、WyrmSpy と DragonEgg と命名された2つの新種のスパイウェアで、Android デバイスを標的にしていると、Lookout のセキュリティ研究者たちが警告している。 APT41 は最も古い APT ハッキング・グループの1つであり、米国/アジア/ヨーロッパなどの様々な産業を標的としてきた。このグループが攻撃する分野は、ソフトウェア開発/ハードウェア製造/シンクタンク/通信事業者/大学/海外政府などであり、さまざまな組織/事業体に対してサイバースパイ・オペレーションを仕掛けている。
Continue reading “WyrmSpy/DragonEgg スパイウェア:Android ユーザーを狙う APT41 の新戦略”Microsoft Expands Cloud Logging to Counter Rising Nation-State Cyber Threats
2023/07/20 TheHackerNews — 7月19日 (水) に Microsoft が発表したのは、同社の電子メール・インフラを狙う最近のスパイ攻撃キャンペーンを受けて、ユーザー組織におけるサイバー・セキュリティ・インシデントの、調査を促進して可視化を高めるための、クラウド・ロギング機能を拡張するというものだ。同社は、国家に支援されるサイバー犯罪が進化し、また、攻撃の頻度が増加していることにダイレクトに対応するために、この変更を行うと述べている。この変更は、2023年9月から。すべての政府機関および民間企業の顧客に展開される予定だ。
Continue reading “Microsoft がクラウド・ロギング機能を拡張:中国政府に支援される Storm-0558 攻撃への対応”Recently Patched GE Cimplicity Vulnerabilities Reminiscent of Russian ICS Attacks
2023/07/19 SecurityWeek — 先日に GE がパッチを適用した、Cimplicity 製品における十数件の脆弱性は、悪名高いロシアのハッカー・グループによる ICS 攻撃を彷彿とさせるものだ。7月18日 (火) に CISA は、世界中の主要組織の重要インフラ部門などで使用されている、GE の Cimplicity の HMI/SCADA 製品で見つかった脆弱性について、ユーザーに対するアドバイザリを発表した。CISA アドバイザリには、任意のコード実行のために悪用される可能性のある、一連の欠陥に割り当てられた CVE-2023-3463 について記されている。
Continue reading “GE Cimplicity の深刻な脆弱性:ロシアの Sandworm グループに悪用される可能性”Microsoft: Hackers turn Exchange servers into malware control centers
3023/07/19 BleepingComputer — Microsoft と Ukraine CERT (CERT-UA) は、ロシア政府に支援されたハッキング・グループ Turla による新たな攻撃について警告している。この新たな “DeliveryCheck” マルウェアは、バックドアを用いて防衛産業と Microsoft Exchange サーバを標的としている。Turla (別名 Secret Blizzard/KRYPTON/UAC-0003) とは、ロシア連邦保安庁 (FSB) につながる、高度持続的脅威行為者 (APT) だと考えられている。このサイバー・スパイは、Operation MEDUSA という名の国際的な法執行活動により破壊された、サイバー・スパイ・マルウェア・ボットネット Snake を含め、長年にわたる欧米への攻撃に関与してきた。
Continue reading “Exchange サーバを C2 サーバとして悪用:Turla の DeliveryCheck マルウェアに注意”
IoT OT Security News 
You must be logged in to post a comment.