PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY/KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Continue reading “PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布”

GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心

35,000 code repos not hacked—but clones flood GitHub to serve malware

2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。

Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”

Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている

Microsoft: IIS extensions increasingly used as Exchange backdoors

2022/07/26 BleepingComputer — Microsoft によると、IIS Web サーバーを狙う悪意のエクステンションは、Web シェルと比較して検出率が低いため、パッチの適用されていない Exchange サーバーをバックドアにしようとする攻撃者にとって、格好の標的になりつつあるようだ。これらの悪意のエクステンションは、侵害されたサーバーの奥深くに隠されており、多くの場合において、正規のモジュールと同じ場所にインストールされ、同じ構造を使用している。したがって、検出が非常に難しく、攻撃者に対して完全な永続化メカニズムを提供してしまう。

Continue reading “Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている”

SessionManager バックドアの発見:Microsoft IIS サーバへの攻撃で採用

SessionManager Backdoor employed in attacks on Microsoft IIS servers worldwide

2022/07/01 SecurityAffairs — Kaspersky Lab の研究者たちは、2021年3月以降に発生した Microsoft IIS Servers 標的の攻撃で採用された、新しい SessionManager バックドアを発見した。Kaspersky が公開した分析結果は、「2022年初頭に、私達は IIS バックドアの1つである SessionManager を調査した。そして、2022年4月下旬の時点で、私たちが特定したサンプルの大半に対して、一般的なオンライン・ファイルスキャン・サービスは悪意のフラグを立てていない状況だった。また、SessionManager は、依然として 20以上の組織に展開されていた。IIS モジュールをバックドアとして導入する脅威アクターは、標的組織の IT インフラへの永続的かつ耐更新性のある、スティルス性のあるアクセスを維持できる」と述べている。

Continue reading “SessionManager バックドアの発見:Microsoft IIS サーバへの攻撃で採用”

Syslogk という Linux rootkit は危険:驚異的なスティルス性でバックドアを自在に制御

New Syslogk Linux rootkit uses magic packets to trigger backdoor

2022/06/13 BleepingComputer — Syslogk という名の新たな Linux rootkit マルウェアは、悪意のあるプロセスを隠すために使用されており、特別に細工された magic packets を用いて、デバイス上で眠っているバックドアを目覚めさせる。現時点において、このマルウェアは活発に開発が進められている。その作者は、古いオープンソースの rootkit である Adore-Ng をベースに、プロジェクトを進めているようだ。

Continue reading “Syslogk という Linux rootkit は危険:驚異的なスティルス性でバックドアを自在に制御”

PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む

Malicious PyPI package opens backdoors on Windows, Linux, and Macs

2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。

Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”

UNC3524 という新しい APT:バックドアを仕掛けてメールを盗み出す

UNC3524 APT uses IP cameras to deploy backdoors and target Exchange

2022/05/03 SecurityAffairs — Mandiant の研究者たちが、新しい APT グループを発見し、UNC3524 として追跡している。このグループは、企業における事業計画/M&A/大規模商取引などに焦点を当て、それらの企業に所属する従業員の電子メールを標的にしている。この UNC3524 は、ターゲット・システムへのイニシャル・アクセスを獲得すると、Mandiant が QUIETEXIT と名付けた、これまでに検知されたことのないバックドアを展開する。

Continue reading “UNC3524 という新しい APT:バックドアを仕掛けてメールを盗み出す”

VMware の深刻な RCE 脆弱性 CVE-2022-22954:イランからのバックドア展開を検出

Iranian Hackers Exploiting VMware RCE Bug to Deploy ‘Core Impact’ Backdoor

2022/04/25 TheHackerNews — 先日にパッチが適用された VMware の脆弱性を悪用する、Rocket Kitten というイランに関連する脅威アクターが、脆弱なシステムにイニシャル・アクセスを仕掛け、Core Impact ペンテスト・ツールを展開する様子が観察されている。この深刻な脆弱性 CVE-2022-22954 (CVSS:9.8) は、VMware Workspace ONE Access and Identity Manager に影響を与える、リモートコード実行 (RCE) の欠陥に起因するものだ。

Continue reading “VMware の深刻な RCE 脆弱性 CVE-2022-22954:イランからのバックドア展開を検出”

ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?

Russian Gamaredon APT continues to target Ukraine

2022/04/20 SecurityAffairs — ロシアに帰属する Gamaredon APT グループ (別名:Armageddon/Primitive Bear/ACTINIUM) は、ウクライナをターゲットにした攻撃を続けており、カスタムな Pterodo バックドア (別名:Pteranodon) の亜種を用いているとのことだ。2021年10月以降に発生している、ウクライナの団体や関連組織を標的とした一連のスピアフィッシング攻撃の背後に、このサイバースパイ・グループが存在すると Microsoftは述べている。なお、2014年ころから Gamaredon は、ウクライナに対するサイバースパイ・キャンペーンを展開している。

Continue reading “ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?”

GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染

Hundreds of GoDaddy-hosted sites backdoored in a single day

2022/03/16 BleepingComputer — インターネット・セキュリティ・アナリストたちは、GoDaddy の Managed WordPress サービスでホストされている、WordPress Web サイトへのバックドア感染が急増していることを発見し、すべてのバックドア・ペイロードが同一であることを明らかにした。このインシデントは、MediaTemple/tsoHost/123Reg/Domain Factory/Heart Internet/Host Europe Managed WordPress などの、インターネット・サービス・リセラーに影響を及ぼしている。

Continue reading “GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染”

米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術

Defense contractors hit by stealthy SockDetour Windows backdoor

2022/02/24 BleepingComputer — 米国の防衛関連企業のシステムで見つかった、SockDetour と名付けられた新しいカスタム・マルウェアは、侵害したネットワークへのアクセスを維持するための、バックアップ・バックドアとして使用されている。この悪意のペイロードは Unit 42 のセキュリティ研究者により発見され、2019年7月頃からワイルドに使用されていることから、その運営者は長い間バックドアを潜伏させていたと考えられる。

Continue reading “米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術”

中国のハッカーが台湾の金融機関を狙う:スティルス・バックドアで 250日も潜伏

Chinese Hackers Target Taiwanese Financial Institutions with a new Stealthy Backdoor

2022/02/06 TheHackerNews — 中国の APT (Advanced Persistent Threat) グループが、少なくとも1年半にわたって、台湾の金融機関を標的にした「執拗なキャンペーン」を展開していたことが判明した。Broadcom 傘下の Symantec は、先週に発表したレポート「Antlion: Chinese APT Uses Custom Backdoor to Target Financial Institutions in Taiwan」の中で、スパイ活動を主目的とした Antlion の侵入行為により、xPack と呼ばれるバックドアが導入され、侵入したマシンを広範囲で制御できるようにしていたと述べている。

Continue reading “中国のハッカーが台湾の金融機関を狙う:スティルス・バックドアで 250日も潜伏”

WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア

Over 90 WordPress themes, plugins backdoored in supply chain attack

2022/01/21 BleepingComputer — 大規模なサプライ・チェーン攻撃により、WordPress の 93個のテーマとプラグインが侵害され、バックドアが含まれていたことで、脅威アクターは Web サイトへのフルアクセスを手に入れている。この攻撃では、36万件以上の Web サイトで使用されている WordPress に対して、アドオンを開発している AccessPress のテーマ 40個とプラグイン 53個が侵害されている。

Continue reading “WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア”

Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表

FBI links Diavol ransomware to the TrickBot cybercrime group

2022/01/20 BleepingComputer — FBI の正式な発表により、ランサムウェア Diavol の活動と、バンキングトロイの木馬 TrickBot グループが結びつけられた。Wizard Spider として知られる TrickBot グループは、長年にわたって企業ネットワークに大損害を与えてきたマルウェアの開発者であり、Conti や Ryuk などのランサムウェアの攻撃や、ネットワークへの侵入、金融詐欺、企業スパイなどにつながっている。

Continue reading “Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表”

Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに

New Mac Malware Samples Underscore Growing Threat

2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。

Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”

米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害

Experts Discover Backdoor Deployed on the U.S. Federal Agency’s Network

2021/12/20 TheHackerNews — 国際的な権利に関連する米国連邦政府の委員会がバックドアの標的となり、古典的な APT 型の操作による内部ネットワーク侵害が生じたと、研究者たちが報告している。チェコのセキュリティ企業である Avast は、先週に発表したレポートの中で、「この攻撃は、ネットワークを完全に可視化し、システムの完全な制御を可能にした。したがって、対象となるネットワークあるいは、他のネットワークの深部に侵入するための、多段階攻撃の最初のステップとして使用することができた」と述べている。

Continue reading “米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害”

Slack API の悪用:国家支援ハッカーが航空会社にバックドアを仕掛ける

State-sponsored hackers abuse Slack API to steal airline data

2021/12/15 BleepingComputer — イランが国家支援すると疑われている脅威アクターが、新たに発見された Aclip というバックドアを展開し、Slack API を悪用して秘密の通信を行っている。この脅威アクターの活動は 2019年に始まり、無名のアジアの航空会社を標的にしてフライト予約データを盗み出している。IBM Security X-Force のレポートによると、この脅威アクターは、世界中の組織を標的にして非常に活発に動き続けるハッキンググループ MuddyWater こと、ITG17 である可能性が高いとのことだ。

Continue reading “Slack API の悪用:国家支援ハッカーが航空会社にバックドアを仕掛ける”

Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる

Hackers deploy Linux malware, web skimmer on e-commerce servers

2021/11/18 BleepingComputer — セキュリティ研究者たちは、オンラインシ・ョップの Web サイトにクレジットカード・スキマーを注入した攻撃者が、侵害した電子商取引サーバーに Linux バックドアを展開していることを発見した。PHP でコーディングされた、この Web スキマー (顧客の決済情報/個人情報を盗むスクリプト) は、/app/design/frontend/ フォルダ内に .JPG 画像ファイルとして追加され、カモフラージュされている。

Continue reading “Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる”

Node.js NPM パッケージにバックドア:2200万回/週も DL される人気のライブラリ

Two NPM Packages With 22 Million Weekly Downloads Found Backdoored

2021/11/07 TheHackerNews — オープンソース・ソフトウェアのリポジトリを標的とした、新たなサプライチェーン攻撃が発生した。毎週の累積ダウンロード数が、約2,200万にも上る人気の NPM パッケージ2つが、開発者のアカウントへの不正アクセスにより、悪意のコードで侵害されていたことが判明した。

Continue reading “Node.js NPM パッケージにバックドア:2200万回/週も DL される人気のライブラリ”

Tomiris バックドアが発見:SolarWinds 攻撃との関連性を調べてみた

New Tomiris Backdoor Found Linked to Hackers Behind SolarWinds Cyberattack

2021/09/30 TheHackerNews — サイバーセキュリティ研究者たちが、これまで文書化されていなかったバックドアを公開した。このバックドアは、昨年の SolarWinds サプライチェーン攻撃を仕掛けた Nobelium APT (Advanced Persistent Threat) により設計/開発された可能性が高く、この脅威アクターは保有するハッキング・ツールの数を増やしているようだ。

Continue reading “Tomiris バックドアが発見:SolarWinds 攻撃との関連性を調べてみた”

FamousSparrow という APT が Exchange や Oracle にバックドアを仕掛けている

New FamousSparrow APT group used ProxyLogon exploits in its attacks

2021/09/24 SecurityAffairs — ESET の研究者たちは、FamousSparrow として追跡されている新たなサイバー・スパイ・グループを発見した。この APT (Advanced Persistent Threat) グループは、2019年頃から世界中のホテルや、法律事務所、政府、民間企業などの、より知名度の高いターゲットも攻撃している。専門家によると、このグループはサイバー・スパイ活動に重点を置いていとのことだ。

Continue reading “FamousSparrow という APT が Exchange や Oracle にバックドアを仕掛けている”