Developers Beware! 16 React Native Packages With Million of Download Compromised Overnight
2025/06/09 CyberSecurityNews — 一週間のダウンロード数が合計で 100万回以上に達するという、人気の React Nativeパッケージ 16件が、巧妙なサプライチェーン攻撃により侵害され、NPM エコシステムに対する脅威が深刻化している。この、2025年6月6日に開始された攻撃では、React Native Aria エコシステムと GlueStack フレームワーク内のパッケージに体系的なバックドアが仕掛けられ、持続的なシステム制御とデータ窃取機能を確立する、高度なリモートアクセス型トロイの木馬 (RAT) が展開された。
Continue reading “React Native Package 16種類に RAT:一晩で仕込まれた組織的な悪意とは?”Magento supply chain attack compromises hundreds of e-stores
2025/05/02 BleepingComputer — Magento エクステンション 21種類を狙うサプライチェーン攻撃により、500~1,000 件の eコマース・ストアが侵害を受けており、その中には、$40 billion 規模の多国籍企業のものも含まれている。この攻撃を発見した Sansec の研究者によると、2019年から一部のエクステンションにはバックドアが仕掛けられていたが、悪意のあるコードが有効化されたのは、2025年4月になってからだという。
Continue reading “Magento エクステンションを狙うサプライチェーン攻撃:6年前から Tigren/Meetanshi/MGS が標的化?”CVE-2024-9474 Exploited: LITTLELAMB.WOOLTEA Backdoor Discovered in Palo Alto Devices
2024/12/24 SecurityOnline — Palo Alto Networks のファイアウォールを標的とする、高度なバックドア LITTLELAMB.WOOLTEA を、Northwave Cyber Security が特定した。このバックドアは、侵害された Palo Alto Networks デバイスのフォレンジック調査中に発見されたものだという。この攻撃の直前に公開された、脆弱性 CVE-2024-9474 が悪用されるという状況にある。それをエントリ ポイントとして用いる脅威アクターが、bwmupdate という悪意のスクリプトを展開し、バックドアをインストールしている。
Continue reading “Palo Alto の脆弱性 CVE-2024-9474 を悪用:LITTLELAMB.WOOLTEA バックドアを展開”Hackers Exploit PHP Vulnerability to Deploy Stealthy Msupedge Backdoor
2024/08/20 TheHackerNews — Msupedge という新たなバックドアを用いるハッカーたちが、台湾の大学を標的にしたサイバー攻撃を行っている。Broadcom 傘下の Symantec Threat Hunter Team は、「Msupedge の最大の特徴は、DNS トラフィックを介して C&C (command-and-control) サーバと通信する点だ」と述べている。この攻撃の目的とバックドアの出どころは、現在のところ不明である。
Continue reading “Msupedge という新たなバックドア:DNS と PHP の CVE-2024-4577 を悪用”XZ Utils backdoor: Detection tools, scripts, rules
2024/04/08 HelpNetSecurity — XZ Utils のバックドアに関する分析が続く中で、Linux システム上のバックドアの存在を検出するためのツールやアドバイスが、複数のセキュリティ企業から提供され始めた。先日に判明したのは、オープンソースの XZ Utils 圧縮ユーティリティに対して、バックドア CVE-2024-3094 が、熟練した脅威アクターにより注入されていたことである。脅威アクターたちの狙いは、主要 Linux ディストリビューションに悪意のパッケージを埋め込むことで、世界中の Linux システムに対する SSH ステルス・アクセスを、無制限に獲得することにある。
Continue reading “XZ Utils の脆弱性 CVE-2024-3094 とバックドア:検出のためのツール/スクリプト/ルールが公開”Recent Fortinet FortiClient EMS Vulnerability Exploited in Attacks
2024/03/26 SecurityWeek — 米国のサイバーセキュリティ機関 CISA は、先日に公開された Fortinet FortiClient Enterprise Management Server (EMS) の脆弱性 CVE-2023-48788 が、サイバー攻撃で悪用されているとユーザー組織に警告している。このエンタープライズ・エンドポイント管理ソリューションに影響を及ぼす脆弱性は、特別に細工されたリクエストを介して任意のコード/コマンドの実行を許すため、未認証の攻撃者により悪用される可能性のある、深刻な SQL インジェクションのバグになると説明されている。
Continue reading “CISA KEV 警告 24/03/25:Fortinet FortiClient EMS の脆弱性 CVE-2023-48788 の悪用”BianLian Threat Actors Exploiting JetBrains TeamCity Flaws in Ransomware Attacks
2024/03/11 TheHackerNews — BianLian ランサムウェアを操る脅威アクターが、JetBrains TeamCity セキュリティ欠陥を悪用して、恐喝のみを目的とした攻撃を行っていることが確認されている。最近の侵入インシデントを調査した GuidePoint Security のレポートによると、このインシデントは、TeamCity サーバーの悪用から始まり、最終的には BianLian の Go バックドアの PowerShell 実装が展開されという。
Continue reading “JetBrains TeamCity の脆弱性 CVE-2024-27198:BianLian ランサムウェア攻撃に悪用されている”China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks
2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。
Continue reading “中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?”Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoor
2024/02/12 BleepingComputer — Ivanti Connect Secure/Policy Secure/ZTA Gateway の SSRF (Server-Side Request Forgery) 脆弱性の悪用に成功した攻撃者が、脆弱なデバイス上に新しい DSLog バックドアを展開していることが分かった。この脆弱性 CVE-2024-21893 は、2024年1月31日にアクティブに悪用されるゼロデイとして公開されたものであり、Ivanti からはセキュリティ・アップデートと緩和策が共有されている。
Continue reading “Ivanti の SSRF 脆弱性 CVE-2024-21893:新たな DSLog バックドアの展開に悪用される”Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability
2024/01/15 TheHackerNews — WordPress で脆弱な Popup Builder プラグインを使用している数千のサイトが、Balada Injector と呼ばれるマルウェアに感染しているようだ。この、2023年1月に Doctor Web が報告したキャンペーンは、セキュリティ上に欠陥のある WordPress プラグインを武器にして、一連の定期的な攻撃の波を引き起こしている。それらのサイトにバックドアが注入され、偽の技術サポート/宝くじ当選/プッシュ通知などの詐欺ページへと、訪問者たちをリダイレクトしていく。
Continue reading “WordPress の 7,100 サイトを侵害する Balada:Popup Builder の脆弱性 CVE-2023-6000 を武器化”Palo Alto Reveals New Features in Russian APT Turla’s Kazuar Backdoor
2023/11/01 InfoSecurity — Palo Alto Networks によると、Kazuar バックドアの最新バージョンは、これまで想像されていた以上に狡猾な可能性があるという。Kazuar バックドアとは、ロシアのハッキング・グループ Turla により、2023年7月にウクライナの防衛セクターを標的に使用されたものだと、ウクライナの CERT-UA (Ukrainian Computer Emergency and Response Team) が報告している。Palo Alto Unit 42 の研究者たちは、Kazuarの最新の亜種である .NET バックドアにおいて、これまで文書化されていなかった機能を発見した。
Continue reading “Turla の Kazuar バックドア:新たな機能群を Palo Alto Unit 42 が分析”Evasive Gelsemium hackers spotted in attack against Asian govt
2023/09/23 BleepingComputer — Gelsemium として追跡されているステルス性の APT が、2022年から2023年の半年間にわたって、東南アジアの政府を標的とした攻撃で観測された。Gelsemium は2014年から活動しているサイバースパイ集団であり、東アジアおよび中東の政府/教育機関/電子機器メーカーを標的としている。
Continue reading “Gelsemium というステルス APT の柔軟性:悪意のツール群を防御策に応じて運用”Over 640 Citrix servers backdoored with web shells in ongoing attacks
2023/08/02 BleepingComputer — Citrix Netscaler ADC/Gateway に存在する、深刻なリモートコード実行 (RCE) 脆弱性 CVE-2023-3519 を標的とする一連の攻撃で、すでに数百台のサーバが侵害され、バックドア化されているという。以前にも、この脆弱性はゼロデイとして悪用され、米国の重要インフラ組織のネットワークへの侵入の原因となっている。インターネット・セキュリティの強化に取り組む非営利団体 Shadowserver Foundation のセキュリティ研究者たちは、今回の攻撃において、少なくとも 640台の Citrix サーバ上に、Web シェルが展開されていると指摘している。
Continue reading “Citrix Netscaler の脆弱性 CVE-2023-3519 の活発な悪用:640台以上のサーバが侵害”Patchwork Hackers Target Chinese Research Organizations Using EyeShell Backdoor
2023/07/31 TheHackerNews — Patchwork と命名されたハッキング・グループが、最近に確認されたキャンペーンの一環として、中国の大学および研究機関を攻撃していることが判明した。KnownSec 404 Team によると、このキャンペーンでは、コードネーム EyeShell と呼ばれるバックドアが使用されていたという。Patchwork は、別名 Operation Hangover/Zinc Emerson でも知られており、インドが支援する脅威グループであると見られている。遅くとも 2015年12月から活動している同グループは、スピア・フィッシングやウォータリング・ホール攻撃を通じて、パキスタンや中国の組織に対して、BADNEWS などのカスタムイン・プラントを仕掛けてきた。
Continue reading “Patchwork はインドの APT:EyeShell バックドアを使って中国の研究機関を攻撃”Microsoft: Hackers hijack Linux systems using trojanized OpenSSH version
2023/06/22 BleepingComputer — 最近に確認されたクリプト・ジャッキング・キャンペーンの一環として、インターネットに公開された Linux や IoT デバイスが、ブルートフォース攻撃で乗っ取られていると、Microsoft が警告している。標的とするシステムへのアクセスを取得した攻撃者は、トロイの木馬化された OpenSSH パッケージを展開し、侵害されたデバイスをバックドア化し、SSH 認証情報を盗んで永続性を維持する。
Continue reading “OpenSSH のトロイの木馬:Linux ベースの Hiveon OS を乗っ取りクリプト・ジャッキング”RomCom RAT Using Deceptive Web of Rogue Software Sites for Covert Attacks
2023/05/31 TheHackerNews — RomCom RAT の背後にいる脅威アクターたちは、遅くとも 2022年7月以降において、人気ソフトウェアの不正バージョンを宣伝する偽サイトのネットワークを活用して、ターゲットに侵入しているようだ。Trend Micro は、Void Rabisu という名前の悪意のアクティビティを追跡しているが、Unit 42 は Tropical Scorpius と呼び、Mandiant は UNC2596 と呼んでいる。
Continue reading “RomCom RAT と Void Rabisu の関連性:サイバー犯罪と APT 攻撃の境界線は曖昧?”Stealthy MerDoor malware uncovered after five years of attacks
2023/05/15 BleepingComputer — 南アシア/東南アジアの政府機関/航空機関/通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立/コマンドの実行/キーロギングを行ってきたことだ。
Continue reading “MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec”Stealthier version of Linux BPFDoor malware spotted in the wild
2023/05/11 BleepingComputer — Linux マルウェアである BPFDoor で、高ステルス性の新たな亜種が発見された。このマルウェアの特徴は、より強固な暗号化とリバース・シェル通信を備えている点にある。BPFDoor はステルス性の高いバックドア・マルウェアであり、遅くとも 2017年から活動していたと見られているが、セキュリティ研究者により発見されたのは、1年ほど前のことである。このマルウェアの名前は、Berkley Packet Filter (BPF) を悪用して、受信トラフィックのファイアウォール制限を回避することに由来している。BPFDoor は、侵入した Linux システム上で、脅威アクターが長時間の持続性を維持し、長期間にわたって検出を回避するように設計されている。
Continue reading “Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用”Tencent QQ users hacked in mysterious malware attack, says ESET
2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土/香港/マカオ/ナイジェリア/東南アジア/東アジアなどの国々で、さまざまな組織や個人を標的としてきた。
Continue reading “Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET”R1Soft Server Backup Manager Vulnerability Exploited to Deploy Backdoor
2023/02/22 SecurityWeek — 昨年に発見された、ConnectWise の R1Soft Server Backup Manager に存在する脆弱性の悪用により、数百台のサーバーにバックドアが展開されていることが判明した。2022年10月下旬に ConnectWise は、R1Soft Server Backup Manager に存在する深刻な脆弱性に対してパッチを提供し、また、それを悪用する攻撃者による、任意のコード実行および機密データへのアクセスを防ぐよう顧客に通知した。その時点において同社は、この脆弱性が野放し状態で悪用される可能性が高いことを警告し、ユーザーに対しては、可能な限り速やかに、パッチを適用するよう促していた。
Continue reading “R1Soft Server Backup Manager にバックドア:2022年5月の脆弱性 CVE-2022-36537 が要因”New WhiskerSpy malware delivered via trojanized codec installer
2023/02/18 BleepingComputer — セキュリティ研究者たちが発見したのは、北朝鮮に関心を示す個人を標的とする、最近の脅威アクター Earth Kitsune のキャンペーンで使用されている、新しいバックドア WhiskerSpy だ。この脅威アクターは、試行錯誤の末に、北朝鮮の親サイトのビジターからターゲットを選び出すという、ウォータリング・ホール攻撃として知られる手口を採用していた。この新しいオペレーションの存在は、2019年から Earth Kitsune の活動を追跡してきた、サイバーセキュリティ企業の Trend Micro の研究者たちにより、昨年末に発見された。
Continue reading “WhiskerSpy という北朝鮮のマルウェア:ウォータリング・ホール攻撃で中国と日本を狙う”MagicWeb Mystery Highlights Nobelium Attacker’s Sophistication
2023/02/11 DarkReading — ロシアに関連する Nobelium グループが開発した、Active Directory Federated Services (AD FS) に対する高度な認証バイパス・マルウェアを、Microsoft が検出した。 この、Microsoft が MagicWeb と呼ぶ Nobelium のマルウェアは、ユーザーの AD FS サーバにバックドアを埋め込み、特別に細工した証明書を使用して通常の認証プロセスを迂回させるものだ。Microsoft のインシデント対応担当者は、認証フローのデータを収集し、攻撃者が使用した認証証明書をキャプチャし、バックドアコードをリバース・エンジニアリングした。
Continue reading “MagicWeb という AD FS 狙いのマルウェア:ロシアの国家支援ハッカー Nobelium が開発”Critical ManageEngine RCE bug now exploited to open reverse shells
2023/01/20 BleepingComputer — 複数の Zoho ManageEngine 製品に影響を及ぼす、深刻な RCE (Remote Code Execution) の脆弱性が、攻撃に悪用されている。この脆弱性の悪用コードと詳細な技術分析を、Horizon3 のセキュリティ研究者たちが公開する2日前に、サイバーセキュリティ企業の Rapid7 が最初の悪用の試みを検知していた。Rapid7 は、「我々は、少なくとも 24種類のオンプレミス ManageEngine 製品に影響を与える、未認証のRCE 脆弱性 CVE-2022-47966 の悪用から生じる、さまざまな侵害に対応している。2023年1月17日 (UTC) の時点で、複数の組織にまたがる悪用を観測している」と述べている。
Continue reading “Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966:活発な悪用と攻撃”WordPress Security Alert: New Linux Malware Exploiting Over Two Dozen CMS Flaws
2022/01/02 TheHackerNews — WordPressサイトを標的とする未知の Linuxマルウェアが、20数種類のプラグイン/テーマの欠陥を悪用して、脆弱なシステムを侵害していることが判明した。ロシアのセキュリティ・ベンダーである Doctor Web は、「もし、対象となる WordPress サイトが、重要な修正を行っていない場合や、古いバージョンのアドオンを使用している場合には、標的となる Web ページに悪意の JavaScript が注入される恐れがある。その結果として、攻撃されたページの任意の領域をユーザーがクリックすると、他のサイトにリダイレクトされる」と、先週のレポートで説明している。
Continue reading “WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用”FIN7 hackers create auto-attack platform to breach Exchange servers
2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。
Continue reading “FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃”Experts detailed a previously undetected VMware ESXi backdoor
2022/12/13 SecurityAffairs — Juniper Networks の研究者たちが、VMware ESXi サーバを標的とする Python バックドアを発見した。この、2022年10月に発見されたバックドアに対する研究者たちの指摘は、インプラントの簡潔性/持続性/能力において注目に値するというものだ。侵害されたサーバのログ保持が限られていたことで、専門家たちは最初の侵害を特定できなかったが、ESXi の OpenSLP サービスにおける既知の脆弱性 (CVE-2019-5544/CVE-2020-3992) が悪用された可能性があると推測している。
Continue reading “VMware ESXi に新たな Python バックドア:OpenSLP の既知の脆弱性を悪用か?”New Redigo malware drops stealthy backdoor on Redis servers
2022/12/01 BleepingComputer — Redigo と命名された Go ベースの新しいマルウェアが、Redis サーバの脆弱性 CVE-2022-0543 を標的にしてステルス・バックドアを仕込み、コマンド実行を可能にしていることが判明した。この脆弱性 CVE-2022-0543 (CVSS:10.0) は、Redis (Remote Dictionary Server) ソフトウェアに存在し、2022年2月に発見/修正されているものだ。
Continue reading “Redis の CVE-2022-0543 を狙う Redigo マルウェア:ステルス型バックドアを仕掛ける”Hackers Exploiting Abandoned Boa Web Servers to Target Critical Industries
2022/11/23 TheHackerNews — 火曜日に Microsoft は、2022年初めにインドの電力網事業体を狙った侵入行為において、現在では廃止されている Boa と呼ばれる Web サーバの、脆弱性が利用された可能性が高いことを明らかにした。この脆弱なコンポーネントは、何百万もの組織やデバイスに影響を与え得る、サプライチェーン・リスクをもたらすと、Microsoft のサイバーセキュリティ部門は述べている。
Continue reading “Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?”Backdoored Chrome extension installed by 200,000 Roblox players
2022/11/23 BleepingComputer — Chromeブラウザ・エクステンションであり、20万人以上のゲーム・ユーザーにインストールされている SearchBlox のバックドアにより、Roblox の認証情報が不正に窃取され、Roblox 取引プラットフォーム Rolimons の資産が盗み出されていることが発見された。BleepingComputer は、このエクステンションのコードを解析し、開発者の意図により侵害後に仕掛けられる、バックドアの存在を示すことができた。
Continue reading “Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール”Magento stores targeted in massive surge of TrojanOrders attacks
2022/11/16 BleepingComputer — Magento 2 を用いる Web サイトを標的とした、TrojanOrders 攻撃が急増している。脆弱性を悪用して脆弱なサーバを侵害する、少なくとも7つのハッキング・グループが背後にいるとされている。Web サイト・セキュリティ会社である Sansec は、Magento 2 Web サイトの約 40%が、この攻撃の標的になっていると述べている。さらに、感染させたサイトの制御をめぐって、ハッキング・グループが互いに争っていると警告している。
Continue reading “Magento と TrojanOrders 攻撃:脆弱性 CVE-2022-24086 未パッチ・サイトが標的”New PowerShell Backdoor Poses as Part of Windows Update Process
2022/10/19 SecurityWeek — サイバーセキュリティ企業である SafeBreach は、Windows のアップデート・プロセスの一部として自身を偽装し、検出を回避する新たな PowerShell バックドアについて警告を発表した。このバックドアは、洗練された未知の脅威者により操作され、リンクされた Word 文書を通じて配布される。
Continue reading “PowerShell バックドアの新種:Windows Update プロセスに偽装して検出を回避”Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers
2022/10/12 TheHackerNews — Poloniumとして追跡されている脅威アクターが、2021年9月以降に7種類のカスタム・バックドアを用いてイスラエルの団体を狙うという、十数件の高度な標的型攻撃に関連していることが判明した。サイバー・セキュリティ企業の ESET は、エンジニアリング/IT/法律/通信/メディア/保険/ソーシャルサービスなどの、さまざまな垂直方向の組織への侵入があったと述べている。
Continue reading “Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出”Hackers trojanize PuTTY SSH client to backdoor media company
2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY/KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。
Continue reading “PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布”35,000 code repos not hacked—but clones flood GitHub to serve malware
2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。
Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”Microsoft: IIS extensions increasingly used as Exchange backdoors
2022/07/26 BleepingComputer — Microsoft によると、IIS Web サーバーを狙う悪意のエクステンションは、Web シェルと比較して検出率が低いため、パッチの適用されていない Exchange サーバーをバックドアにしようとする攻撃者にとって、格好の標的になりつつあるようだ。これらの悪意のエクステンションは、侵害されたサーバーの奥深くに隠されており、多くの場合において、正規のモジュールと同じ場所にインストールされ、同じ構造を使用している。したがって、検出が非常に難しく、攻撃者に対して完全な永続化メカニズムを提供してしまう。
Continue reading “Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている”SessionManager Backdoor employed in attacks on Microsoft IIS servers worldwide
2022/07/01 SecurityAffairs — Kaspersky Lab の研究者たちは、2021年3月以降に発生した Microsoft IIS Servers 標的の攻撃で採用された、新しい SessionManager バックドアを発見した。Kaspersky が公開した分析結果は、「2022年初頭に、私達は IIS バックドアの1つである SessionManager を調査した。そして、2022年4月下旬の時点で、私たちが特定したサンプルの大半に対して、一般的なオンライン・ファイルスキャン・サービスは悪意のフラグを立てていない状況だった。また、SessionManager は、依然として 20以上の組織に展開されていた。IIS モジュールをバックドアとして導入する脅威アクターは、標的組織の IT インフラへの永続的かつ耐更新性のある、スティルス性のあるアクセスを維持できる」と述べている。
Continue reading “SessionManager バックドアの発見:Microsoft IIS サーバへの攻撃で採用”New Syslogk Linux rootkit uses magic packets to trigger backdoor
2022/06/13 BleepingComputer — Syslogk という名の新たな Linux rootkit マルウェアは、悪意のあるプロセスを隠すために使用されており、特別に細工された magic packets を用いて、デバイス上で眠っているバックドアを目覚めさせる。現時点において、このマルウェアは活発に開発が進められている。その作者は、古いオープンソースの rootkit である Adore-Ng をベースに、プロジェクトを進めているようだ。
Continue reading “Syslogk という Linux rootkit は危険:驚異的なスティルス性でバックドアを自在に制御”Malicious PyPI package opens backdoors on Windows, Linux, and Macs
2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。
Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”UNC3524 APT uses IP cameras to deploy backdoors and target Exchange
2022/05/03 SecurityAffairs — Mandiant の研究者たちが、新しい APT グループを発見し、UNC3524 として追跡している。このグループは、企業における事業計画/M&A/大規模商取引などに焦点を当て、それらの企業に所属する従業員の電子メールを標的にしている。この UNC3524 は、ターゲット・システムへのイニシャル・アクセスを獲得すると、Mandiant が QUIETEXIT と名付けた、これまでに検知されたことのないバックドアを展開する。
Continue reading “UNC3524 という新しい APT:バックドアを仕掛けてメールを盗み出す”Iranian Hackers Exploiting VMware RCE Bug to Deploy ‘Core Impact’ Backdoor
2022/04/25 TheHackerNews — 先日にパッチが適用された VMware の脆弱性を悪用する、Rocket Kitten というイランに関連する脅威アクターが、脆弱なシステムにイニシャル・アクセスを仕掛け、Core Impact ペンテスト・ツールを展開する様子が観察されている。この深刻な脆弱性 CVE-2022-22954 (CVSS:9.8) は、VMware Workspace ONE Access and Identity Manager に影響を与える、リモートコード実行 (RCE) の欠陥に起因するものだ。
Continue reading “VMware の深刻な RCE 脆弱性 CVE-2022-22954:イランからのバックドア展開を検出”Russian Gamaredon APT continues to target Ukraine
2022/04/20 SecurityAffairs — ロシアに帰属する Gamaredon APT グループ (別名:Armageddon/Primitive Bear/ACTINIUM) は、ウクライナをターゲットにした攻撃を続けており、カスタムな Pterodo バックドア (別名:Pteranodon) の亜種を用いているとのことだ。2021年10月以降に発生している、ウクライナの団体や関連組織を標的とした一連のスピアフィッシング攻撃の背後に、このサイバースパイ・グループが存在すると Microsoftは述べている。なお、2014年ころから Gamaredon は、ウクライナに対するサイバースパイ・キャンペーンを展開している。
Continue reading “ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?”Hundreds of GoDaddy-hosted sites backdoored in a single day
2022/03/16 BleepingComputer — インターネット・セキュリティ・アナリストたちは、GoDaddy の Managed WordPress サービスでホストされている、WordPress Web サイトへのバックドア感染が急増していることを発見し、すべてのバックドア・ペイロードが同一であることを明らかにした。このインシデントは、MediaTemple/tsoHost/123Reg/Domain Factory/Heart Internet/Host Europe Managed WordPress などの、インターネット・サービス・リセラーに影響を及ぼしている。
Continue reading “GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染”Defense contractors hit by stealthy SockDetour Windows backdoor
2022/02/24 BleepingComputer — 米国の防衛関連企業のシステムで見つかった、SockDetour と名付けられた新しいカスタム・マルウェアは、侵害したネットワークへのアクセスを維持するための、バックアップ・バックドアとして使用されている。この悪意のペイロードは Unit 42 のセキュリティ研究者により発見され、2019年7月頃からワイルドに使用されていることから、その運営者は長い間バックドアを潜伏させていたと考えられる。
Continue reading “米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術”Chinese Hackers Target Taiwanese Financial Institutions with a new Stealthy Backdoor
2022/02/06 TheHackerNews — 中国の APT (Advanced Persistent Threat) グループが、少なくとも1年半にわたって、台湾の金融機関を標的にした「執拗なキャンペーン」を展開していたことが判明した。Broadcom 傘下の Symantec は、先週に発表したレポート「Antlion: Chinese APT Uses Custom Backdoor to Target Financial Institutions in Taiwan」の中で、スパイ活動を主目的とした Antlion の侵入行為により、xPack と呼ばれるバックドアが導入され、侵入したマシンを広範囲で制御できるようにしていたと述べている。
Continue reading “中国のハッカーが台湾の金融機関を狙う:スティルス・バックドアで 250日も潜伏”Over 90 WordPress themes, plugins backdoored in supply chain attack
2022/01/21 BleepingComputer — 大規模なサプライ・チェーン攻撃により、WordPress の 93個のテーマとプラグインが侵害され、バックドアが含まれていたことで、脅威アクターは Web サイトへのフルアクセスを手に入れている。この攻撃では、36万件以上の Web サイトで使用されている WordPress に対して、アドオンを開発している AccessPress のテーマ 40個とプラグイン 53個が侵害されている。
Continue reading “WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア”FBI links Diavol ransomware to the TrickBot cybercrime group
2022/01/20 BleepingComputer — FBI の正式な発表により、ランサムウェア Diavol の活動と、バンキングトロイの木馬 TrickBot グループが結びつけられた。Wizard Spider として知られる TrickBot グループは、長年にわたって企業ネットワークに大損害を与えてきたマルウェアの開発者であり、Conti や Ryuk などのランサムウェアの攻撃や、ネットワークへの侵入、金融詐欺、企業スパイなどにつながっている。
Continue reading “Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表”New Mac Malware Samples Underscore Growing Threat
2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。
Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”Experts Discover Backdoor Deployed on the U.S. Federal Agency’s Network
2021/12/20 TheHackerNews — 国際的な権利に関連する米国連邦政府の委員会がバックドアの標的となり、古典的な APT 型の操作による内部ネットワーク侵害が生じたと、研究者たちが報告している。チェコのセキュリティ企業である Avast は、先週に発表したレポートの中で、「この攻撃は、ネットワークを完全に可視化し、システムの完全な制御を可能にした。したがって、対象となるネットワークあるいは、他のネットワークの深部に侵入するための、多段階攻撃の最初のステップとして使用することができた」と述べている。
Continue reading “米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害”State-sponsored hackers abuse Slack API to steal airline data
2021/12/15 BleepingComputer — イランが国家支援すると疑われている脅威アクターが、新たに発見された Aclip というバックドアを展開し、Slack API を悪用して秘密の通信を行っている。この脅威アクターの活動は 2019年に始まり、無名のアジアの航空会社を標的にしてフライト予約データを盗み出している。IBM Security X-Force のレポートによると、この脅威アクターは、世界中の組織を標的にして非常に活発に動き続けるハッキンググループ MuddyWater こと、ITG17 である可能性が高いとのことだ。
Continue reading “Slack API の悪用:国家支援ハッカーが航空会社にバックドアを仕掛ける”Hackers deploy Linux malware, web skimmer on e-commerce servers
2021/11/18 BleepingComputer — セキュリティ研究者たちは、オンラインシ・ョップの Web サイトにクレジットカード・スキマーを注入した攻撃者が、侵害した電子商取引サーバーに Linux バックドアを展開していることを発見した。PHP でコーディングされた、この Web スキマー (顧客の決済情報/個人情報を盗むスクリプト) は、/app/design/frontend/ フォルダ内に .JPG 画像ファイルとして追加され、カモフラージュされている。
Continue reading “Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる”
IoT OT Security News 
You must be logged in to post a comment.