North Korean Hackers Exploit Zero-Day Flaw (CVE-2024-38178) in “Operation Code on Toast”
2024/10/16 SecurityOnline — Microsoft Internet Explorer (IE) の脆弱性 CVE-2024-38178 が、北朝鮮のハッカーたちにより積極的に悪用されていることが、AhnLab Security Emergency response Center (ASEC) と National Cyber Security Center (NCSC) の共同レポートにより判明した。 この攻撃は Operation Code on Toast と呼ばれ、時代遅れの Toast 広告プログラムのユーザーをターゲットにして、マルウェアを配信している。
Continue reading “Internet Explorer (IE) の脆弱性 CVE-2024-38178 を悪用:北朝鮮の TA-RedAnt とは?”Japan warns of attacks linked to North Korean Kimsuky hackers
2024/07/10 BleepingComputer — 北朝鮮の脅威アクターである Kimsuky が、日本の組織を攻撃の標的にしていると、JPCERT/CC (Japan’s Computer Emergency Response Team Coordination Center) が警告している。この Kimsuky は、北朝鮮の APT (advanced persistent threat) グループだと米国政府は位置づけている。同グループは、北朝鮮政府にとって関心のある情報を収集するために、世界中の標的に対して攻撃を行っている。
Continue reading “北朝鮮のハッカー Kimsuky が日本の組織を標的にしている – JPCERT/CC”North Korean Hackers Exploit Old Office Flaw to Deploy Keylogger
2024/06/13 SecurityOnline — 北朝鮮の国家支援グループ Kimsuky により、新たなサイバー・スパイ・キャンペーンが実施されていることを、AhnLab Security Emergency response Center (ASEC) が公表した。このグループは、Microsoft Office の数式エディタに存在する、既知の脆弱性 CVE-2017-11882 を悪用して、高度なキーロガーを配信している。
Continue reading “MS Office の古い脆弱性 CVE-2017-11882 を悪用:北朝鮮の Kimsuky がキーロガーを配信”Hackers Exploit OpenMetadata Flaws to Mine Crypto on Kubernetes
2024/04/18 TheHackerNews — OpenMetadata の深刻な脆弱性を悪用する脅威アクターたちが、Kubernetes のワークロードに不正アクセスし、暗号通貨マイニングに悪用していることが判明した。Microsoft Threat Intelligence チームによると、この脆弱性は、2024年4月の始めから武器化されているという。
Continue reading “OpenMetadata の脆弱性:Kubernetes 上で暗号通貨のマイニングに悪用されている”ShellBot Cracks Linux SSH Servers, Debuts New Evasion Tactic
2023/10/14 DarkReading — ShellBot マルウェアを操り Linux SSH サーバを狙うサイバー攻撃者たちが、新たな手法である 16 進数 IP (Hex IP) アドレスを用いて、振る舞いベースの検出を回避し、その活動を隠していることが判明した。AhnLab Security Emergency Response Center (ASEC) の研究者たちによると、この脅威アクターは、従来のドット付き10進数 Command-and-Control URL 形式 (hxxp://39.99.218[.]78) を、Hex IP アドレス形式 (hxxp://0x2763da4e/など) に変換することで、大半の URL ベースの検出シグネチャを回避しているという。
Continue reading “ShellBot マルウェア:Hex IP アドレスを用いた新たな回避手法で Linux SSH サーバを狙う”Hackers Target Apache Tomcat Servers for Mirai Botnet and Crypto Mining
2023/07/27 TheHackerNews — ボットネット・マルウェア Mirai などの標的として、また、暗号通貨マイナーを配信する新たなキャンペーンの一環として、コンフィグレーションやセキュリティに不備がある Apache Tomcat サーバーが狙われている。この調査結果は Aqua によるもので、Tomcat サーバのハニーポットに対して、2年間で 800件以上の攻撃を検出し、そのうちの 96%が、Mirai ボットネットに関連していたことが判明した。これらの攻撃のうちの 20% (152件) は、24のユニークな IP アドレスから発信された “neww” と呼ばれる Web シェル・スクリプトの使用を伴うものであり、その 68%は単一の IP アドレス (104.248.157[.]218) から発信されていた。
Continue reading “Apache Tomcat サーバが標的:ハニーポットで収集された Mirai ボットネットを分析”Lazarus hackers hijack Microsoft IIS servers to spread malware
2023/07/24 BleepingComputer — 北朝鮮の国家支援のハッカー・グループである Lazarus が、Windows IIS (Internet Information Service) Web サーバを乗っ取り、マルウェアを配布していることが明らかになった。Microsoft の Web Server ソリューションである IIS は、Web サイトや Microsoft Exchange Outlook Web などのアプリケーション・サービスをホストするために使用されるものだ。
Continue reading “北朝鮮のハッカー Lazarus:Microsoft IIS Server を乗っ取ってマルウェアを配布”N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware
2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱な バージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。
Continue reading “北朝鮮の Lazarus Group:Microsoft IIS を侵害してスパイウェアを配布している”Hackers Exploiting Remote Desktop Software Flaws to Deploy PlugX Malware
2023/03/09 TheHackerNews — リモート・デスクトップ・プログラムである、Sunlogin/AweSun のセキュリティ脆弱性を悪用する脅威アクターたちが、マルウェア PlugX を展開していることが判明した。この脆弱性は、侵害したシステム上に各種のペイロードを配信するために悪用され続けていると、AhnLab Security Emergency Response Center (ASEC) は最新の調査結果で述べている。こうして配信されたマルウェアには、Sliver post-exploitation framework/XMRig cryptocurrency miner/Gh0st RAT/Paradise ransomware などが含まれている。そして PlugX は、最近になって配布されるようになったという。
Continue reading “Sunlogin/AweSun の脆弱性を悪用して展開:PlugX マルウェア感染が止まらない”Hackers backdoor Windows devices in Sliver and BYOVD attacks
2023/02/06 BleepingComputer — Sunlogin の脆弱性を悪用して Sliver ポスト・エクスプロイト・ツールキットを展開し、Windows Bring Your Own Vulnerable Driver (BYOVD) 攻撃を仕掛けることで、セキュリティ・ソフトウェアを無効化するという、新しいハッキング・キャンペーンが観測されている。Sliver とは、Bishop Fox が作成したポスト・エクスプロイト・ツールキットであり、Cobalt Strike の代替手段として、昨年の夏から脅威アクターたちが利用し始めているものだ。その機能としては、ネットワーク監視/コマンド実行、反射型 DLL ロード/セッション生成/プロセス操作などが提供されている。
Continue reading “Sliver マルウェアによる BYOVD 攻撃:Windows にバックドアを作る手順とは?”Fake Pokemon NFT game installer lets hackers hijack your PC
2023/01/08 BleepingComputer — 巧妙に作られたポケモン NFT カードゲーム Web サイトを用いる脅威アクターたちは、NetSupportリモートアクセス・ツールを配布することで、被害者のデバイスを制御している。この Web サイト “pokemon-go[.]io” は、本稿の執筆時点ではオンラインであり、ポケモンのフランチャイズに基づく新しい NFT カードゲームを提供し、戦略的な楽しさと NFT 投資の利益を提供すると、ユーザーに対して主張している。
Continue reading “Pokemon NFT ゲームカード:偽の Web サイトとトロイの木馬に御用心”Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers
2022/10/01 TheHackerNews — 北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されている。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっている。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙/防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となる。
Continue reading “Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用”
IoT OT Security News 