Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966:活発な悪用と攻撃

Critical ManageEngine RCE bug now exploited to open reverse shells

2023/01/20 BleepingComputer — 複数の Zoho ManageEngine 製品に影響を及ぼす、深刻な RCE (Remote Code Execution) の脆弱性が、攻撃に悪用されている。この脆弱性の悪用コードと詳細な技術分析を、Horizon3 のセキュリティ研究者たちが公開する2日前に、サイバーセキュリティ企業の Rapid7 が最初の悪用の試みを検知していた。Rapid7 は、「我々は、少なくとも 24種類のオンプレミス ManageEngine 製品に影響を与える、未認証のRCE 脆弱性 CVE-2022-47966 の悪用から生じる、さまざまな侵害に対応している。2023年1月17日 (UTC) の時点で、複数の組織にまたがる悪用を観測している」と述べている。

Continue reading “Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966:活発な悪用と攻撃”

WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用

WordPress Security Alert: New Linux Malware Exploiting Over Two Dozen CMS Flaws

2022/01/02 TheHackerNews — WordPressサイトを標的とする未知の Linuxマルウェアが、20数種類のプラグイン/テーマの欠陥を悪用して、脆弱なシステムを侵害していることが判明した。ロシアのセキュリティ・ベンダーである Doctor Web は、「もし、対象となる WordPress サイトが、重要な修正を行っていない場合や、古いバージョンのアドオンを使用している場合には、標的となる Web ページに悪意の JavaScript が注入される恐れがある。その結果として、攻撃されたページの任意の領域をユーザーがクリックすると、他のサイトにリダイレクトされる」と、先週のレポートで説明している。

Continue reading “WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用”

FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃

FIN7 hackers create auto-attack platform to breach Exchange servers

2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。

Continue reading “FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃”

VMware ESXi に新たな Python バックドア:OpenSLP の既知の脆弱性を悪用か?

Experts detailed a previously undetected VMware ESXi backdoor

2022/12/13 SecurityAffairs — Juniper Networks の研究者たちが、VMware ESXi サーバを標的とする Python バックドアを発見した。この、2022年10月に発見されたバックドアに対する研究者たちの指摘は、インプラントの簡潔性/持続性/能力において注目に値するというものだ。侵害されたサーバのログ保持が限られていたことで、専門家たちは最初の侵害を特定できなかったが、ESXi の OpenSLP サービスにおける既知の脆弱性 (CVE-2019-5544/CVE-2020-3992) が悪用された可能性があると推測している。

Continue reading “VMware ESXi に新たな Python バックドア:OpenSLP の既知の脆弱性を悪用か?”

Redis の CVE-2022-0543 を狙う Redigo マルウェア:ステルス型バックドアを仕掛ける

New Redigo malware drops stealthy backdoor on Redis servers

2022/12/01 BleepingComputer — Redigo と命名された Go ベースの新しいマルウェアが、Redis サーバの脆弱性 CVE-2022-0543 を標的にしてステルス・バックドアを仕込み、コマンド実行を可能にしていることが判明した。この脆弱性 CVE-2022-0543 (CVSS:10.0) は、Redis (Remote Dictionary Server) ソフトウェアに存在し、2022年2月に発見/修正されているものだ。

Continue reading “Redis の CVE-2022-0543 を狙う Redigo マルウェア:ステルス型バックドアを仕掛ける”

Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?

Hackers Exploiting Abandoned Boa Web Servers to Target Critical Industries

2022/11/23 TheHackerNews — 火曜日に Microsoft は、2022年初めにインドの電力網事業体を狙った侵入行為において、現在では廃止されている Boa と呼ばれる Web サーバの、脆弱性が利用された可能性が高いことを明らかにした。この脆弱なコンポーネントは、何百万もの組織やデバイスに影響を与え得る、サプライチェーン・リスクをもたらすと、Microsoft のサイバーセキュリティ部門は述べている。

Continue reading “Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?”

Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール

Backdoored Chrome extension installed by 200,000 Roblox players

2022/11/23 BleepingComputer — Chromeブラウザ・エクステンションであり、20万人以上のゲーム・ユーザーにインストールされている SearchBlox のバックドアにより、Roblox の認証情報が不正に窃取され、Roblox 取引プラットフォーム Rolimons の資産が盗み出されていることが発見された。BleepingComputer は、このエクステンションのコードを解析し、開発者の意図により侵害後に仕掛けられる、バックドアの存在を示すことができた。

Continue reading “Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール”

Magento と TrojanOrders 攻撃:脆弱性 CVE-2022-24086 未パッチ・サイトが標的

Magento stores targeted in massive surge of TrojanOrders attacks

2022/11/16 BleepingComputer — Magento 2 を用いる Web サイトを標的とした、TrojanOrders 攻撃が急増している。脆弱性を悪用して脆弱なサーバを侵害する、少なくとも7つのハッキング・グループが背後にいるとされている。Web サイト・セキュリティ会社である Sansec は、Magento 2 Web サイトの約 40%が、この攻撃の標的になっていると述べている。さらに、感染させたサイトの制御をめぐって、ハッキング・グループが互いに争っていると警告している。

Continue reading “Magento と TrojanOrders 攻撃:脆弱性 CVE-2022-24086 未パッチ・サイトが標的”

PowerShell バックドアの新種:Windows Update プロセスに偽装して検出を回避

New PowerShell Backdoor Poses as Part of Windows Update Process

2022/10/19 SecurityWeek — サイバーセキュリティ企業である SafeBreach は、Windows のアップデート・プロセスの一部として自身を偽装し、検出を回避する新たな PowerShell バックドアについて警告を発表した。このバックドアは、洗練された未知の脅威者により操作され、リンクされた Word 文書を通じて配布される。

Continue reading “PowerShell バックドアの新種:Windows Update プロセスに偽装して検出を回避”

Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出

Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers

2022/10/12 TheHackerNews — Poloniumとして追跡されている脅威アクターが、2021年9月以降に7種類のカスタム・バックドアを用いてイスラエルの団体を狙うという、十数件の高度な標的型攻撃に関連していることが判明した。サイバー・セキュリティ企業の ESET は、エンジニアリング/IT/法律/通信/メディア/保険/ソーシャルサービスなどの、さまざまな垂直方向の組織への侵入があったと述べている。

Continue reading “Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出”

PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY/KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Continue reading “PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布”

GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心

35,000 code repos not hacked—but clones flood GitHub to serve malware

2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。

Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”

Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている

Microsoft: IIS extensions increasingly used as Exchange backdoors

2022/07/26 BleepingComputer — Microsoft によると、IIS Web サーバーを狙う悪意のエクステンションは、Web シェルと比較して検出率が低いため、パッチの適用されていない Exchange サーバーをバックドアにしようとする攻撃者にとって、格好の標的になりつつあるようだ。これらの悪意のエクステンションは、侵害されたサーバーの奥深くに隠されており、多くの場合において、正規のモジュールと同じ場所にインストールされ、同じ構造を使用している。したがって、検出が非常に難しく、攻撃者に対して完全な永続化メカニズムを提供してしまう。

Continue reading “Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている”

SessionManager バックドアの発見:Microsoft IIS サーバへの攻撃で採用

SessionManager Backdoor employed in attacks on Microsoft IIS servers worldwide

2022/07/01 SecurityAffairs — Kaspersky Lab の研究者たちは、2021年3月以降に発生した Microsoft IIS Servers 標的の攻撃で採用された、新しい SessionManager バックドアを発見した。Kaspersky が公開した分析結果は、「2022年初頭に、私達は IIS バックドアの1つである SessionManager を調査した。そして、2022年4月下旬の時点で、私たちが特定したサンプルの大半に対して、一般的なオンライン・ファイルスキャン・サービスは悪意のフラグを立てていない状況だった。また、SessionManager は、依然として 20以上の組織に展開されていた。IIS モジュールをバックドアとして導入する脅威アクターは、標的組織の IT インフラへの永続的かつ耐更新性のある、スティルス性のあるアクセスを維持できる」と述べている。

Continue reading “SessionManager バックドアの発見:Microsoft IIS サーバへの攻撃で採用”

Syslogk という Linux rootkit は危険:驚異的なスティルス性でバックドアを自在に制御

New Syslogk Linux rootkit uses magic packets to trigger backdoor

2022/06/13 BleepingComputer — Syslogk という名の新たな Linux rootkit マルウェアは、悪意のあるプロセスを隠すために使用されており、特別に細工された magic packets を用いて、デバイス上で眠っているバックドアを目覚めさせる。現時点において、このマルウェアは活発に開発が進められている。その作者は、古いオープンソースの rootkit である Adore-Ng をベースに、プロジェクトを進めているようだ。

Continue reading “Syslogk という Linux rootkit は危険:驚異的なスティルス性でバックドアを自在に制御”

PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む

Malicious PyPI package opens backdoors on Windows, Linux, and Macs

2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。

Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”

UNC3524 という新しい APT:バックドアを仕掛けてメールを盗み出す

UNC3524 APT uses IP cameras to deploy backdoors and target Exchange

2022/05/03 SecurityAffairs — Mandiant の研究者たちが、新しい APT グループを発見し、UNC3524 として追跡している。このグループは、企業における事業計画/M&A/大規模商取引などに焦点を当て、それらの企業に所属する従業員の電子メールを標的にしている。この UNC3524 は、ターゲット・システムへのイニシャル・アクセスを獲得すると、Mandiant が QUIETEXIT と名付けた、これまでに検知されたことのないバックドアを展開する。

Continue reading “UNC3524 という新しい APT:バックドアを仕掛けてメールを盗み出す”

VMware の深刻な RCE 脆弱性 CVE-2022-22954:イランからのバックドア展開を検出

Iranian Hackers Exploiting VMware RCE Bug to Deploy ‘Core Impact’ Backdoor

2022/04/25 TheHackerNews — 先日にパッチが適用された VMware の脆弱性を悪用する、Rocket Kitten というイランに関連する脅威アクターが、脆弱なシステムにイニシャル・アクセスを仕掛け、Core Impact ペンテスト・ツールを展開する様子が観察されている。この深刻な脆弱性 CVE-2022-22954 (CVSS:9.8) は、VMware Workspace ONE Access and Identity Manager に影響を与える、リモートコード実行 (RCE) の欠陥に起因するものだ。

Continue reading “VMware の深刻な RCE 脆弱性 CVE-2022-22954:イランからのバックドア展開を検出”

ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?

Russian Gamaredon APT continues to target Ukraine

2022/04/20 SecurityAffairs — ロシアに帰属する Gamaredon APT グループ (別名:Armageddon/Primitive Bear/ACTINIUM) は、ウクライナをターゲットにした攻撃を続けており、カスタムな Pterodo バックドア (別名:Pteranodon) の亜種を用いているとのことだ。2021年10月以降に発生している、ウクライナの団体や関連組織を標的とした一連のスピアフィッシング攻撃の背後に、このサイバースパイ・グループが存在すると Microsoftは述べている。なお、2014年ころから Gamaredon は、ウクライナに対するサイバースパイ・キャンペーンを展開している。

Continue reading “ロシアの Gamaredon はウクライナを狙い続ける:永続性を維持する APT の仕組みとは?”

GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染

Hundreds of GoDaddy-hosted sites backdoored in a single day

2022/03/16 BleepingComputer — インターネット・セキュリティ・アナリストたちは、GoDaddy の Managed WordPress サービスでホストされている、WordPress Web サイトへのバックドア感染が急増していることを発見し、すべてのバックドア・ペイロードが同一であることを明らかにした。このインシデントは、MediaTemple/tsoHost/123Reg/Domain Factory/Heart Internet/Host Europe Managed WordPress などの、インターネット・サービス・リセラーに影響を及ぼしている。

Continue reading “GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染”

米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術

Defense contractors hit by stealthy SockDetour Windows backdoor

2022/02/24 BleepingComputer — 米国の防衛関連企業のシステムで見つかった、SockDetour と名付けられた新しいカスタム・マルウェアは、侵害したネットワークへのアクセスを維持するための、バックアップ・バックドアとして使用されている。この悪意のペイロードは Unit 42 のセキュリティ研究者により発見され、2019年7月頃からワイルドに使用されていることから、その運営者は長い間バックドアを潜伏させていたと考えられる。

Continue reading “米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術”

中国のハッカーが台湾の金融機関を狙う:スティルス・バックドアで 250日も潜伏

Chinese Hackers Target Taiwanese Financial Institutions with a new Stealthy Backdoor

2022/02/06 TheHackerNews — 中国の APT (Advanced Persistent Threat) グループが、少なくとも1年半にわたって、台湾の金融機関を標的にした「執拗なキャンペーン」を展開していたことが判明した。Broadcom 傘下の Symantec は、先週に発表したレポート「Antlion: Chinese APT Uses Custom Backdoor to Target Financial Institutions in Taiwan」の中で、スパイ活動を主目的とした Antlion の侵入行為により、xPack と呼ばれるバックドアが導入され、侵入したマシンを広範囲で制御できるようにしていたと述べている。

Continue reading “中国のハッカーが台湾の金融機関を狙う:スティルス・バックドアで 250日も潜伏”

WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア

Over 90 WordPress themes, plugins backdoored in supply chain attack

2022/01/21 BleepingComputer — 大規模なサプライ・チェーン攻撃により、WordPress の 93個のテーマとプラグインが侵害され、バックドアが含まれていたことで、脅威アクターは Web サイトへのフルアクセスを手に入れている。この攻撃では、36万件以上の Web サイトで使用されている WordPress に対して、アドオンを開発している AccessPress のテーマ 40個とプラグイン 53個が侵害されている。

Continue reading “WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア”

Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表

FBI links Diavol ransomware to the TrickBot cybercrime group

2022/01/20 BleepingComputer — FBI の正式な発表により、ランサムウェア Diavol の活動と、バンキングトロイの木馬 TrickBot グループが結びつけられた。Wizard Spider として知られる TrickBot グループは、長年にわたって企業ネットワークに大損害を与えてきたマルウェアの開発者であり、Conti や Ryuk などのランサムウェアの攻撃や、ネットワークへの侵入、金融詐欺、企業スパイなどにつながっている。

Continue reading “Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表”

Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに

New Mac Malware Samples Underscore Growing Threat

2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。

Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”

米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害

Experts Discover Backdoor Deployed on the U.S. Federal Agency’s Network

2021/12/20 TheHackerNews — 国際的な権利に関連する米国連邦政府の委員会がバックドアの標的となり、古典的な APT 型の操作による内部ネットワーク侵害が生じたと、研究者たちが報告している。チェコのセキュリティ企業である Avast は、先週に発表したレポートの中で、「この攻撃は、ネットワークを完全に可視化し、システムの完全な制御を可能にした。したがって、対象となるネットワークあるいは、他のネットワークの深部に侵入するための、多段階攻撃の最初のステップとして使用することができた」と述べている。

Continue reading “米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害”

Slack API の悪用:国家支援ハッカーが航空会社にバックドアを仕掛ける

State-sponsored hackers abuse Slack API to steal airline data

2021/12/15 BleepingComputer — イランが国家支援すると疑われている脅威アクターが、新たに発見された Aclip というバックドアを展開し、Slack API を悪用して秘密の通信を行っている。この脅威アクターの活動は 2019年に始まり、無名のアジアの航空会社を標的にしてフライト予約データを盗み出している。IBM Security X-Force のレポートによると、この脅威アクターは、世界中の組織を標的にして非常に活発に動き続けるハッキンググループ MuddyWater こと、ITG17 である可能性が高いとのことだ。

Continue reading “Slack API の悪用:国家支援ハッカーが航空会社にバックドアを仕掛ける”

Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる

Hackers deploy Linux malware, web skimmer on e-commerce servers

2021/11/18 BleepingComputer — セキュリティ研究者たちは、オンラインシ・ョップの Web サイトにクレジットカード・スキマーを注入した攻撃者が、侵害した電子商取引サーバーに Linux バックドアを展開していることを発見した。PHP でコーディングされた、この Web スキマー (顧客の決済情報/個人情報を盗むスクリプト) は、/app/design/frontend/ フォルダ内に .JPG 画像ファイルとして追加され、カモフラージュされている。

Continue reading “Linux マルウェアの浸透:Web スキマーとバックドアで e-Commerce が狙われる”

Node.js NPM パッケージにバックドア:2200万回/週も DL される人気のライブラリ

Two NPM Packages With 22 Million Weekly Downloads Found Backdoored

2021/11/07 TheHackerNews — オープンソース・ソフトウェアのリポジトリを標的とした、新たなサプライチェーン攻撃が発生した。毎週の累積ダウンロード数が、約2,200万にも上る人気の NPM パッケージ2つが、開発者のアカウントへの不正アクセスにより、悪意のコードで侵害されていたことが判明した。

Continue reading “Node.js NPM パッケージにバックドア:2200万回/週も DL される人気のライブラリ”

Tomiris バックドアが発見:SolarWinds 攻撃との関連性を調べてみた

New Tomiris Backdoor Found Linked to Hackers Behind SolarWinds Cyberattack

2021/09/30 TheHackerNews — サイバーセキュリティ研究者たちが、これまで文書化されていなかったバックドアを公開した。このバックドアは、昨年の SolarWinds サプライチェーン攻撃を仕掛けた Nobelium APT (Advanced Persistent Threat) により設計/開発された可能性が高く、この脅威アクターは保有するハッキング・ツールの数を増やしているようだ。

Continue reading “Tomiris バックドアが発見:SolarWinds 攻撃との関連性を調べてみた”

FamousSparrow という APT が Exchange や Oracle にバックドアを仕掛けている

New FamousSparrow APT group used ProxyLogon exploits in its attacks

2021/09/24 SecurityAffairs — ESET の研究者たちは、FamousSparrow として追跡されている新たなサイバー・スパイ・グループを発見した。この APT (Advanced Persistent Threat) グループは、2019年頃から世界中のホテルや、法律事務所、政府、民間企業などの、より知名度の高いターゲットも攻撃している。専門家によると、このグループはサイバー・スパイ活動に重点を置いていとのことだ。

Continue reading “FamousSparrow という APT が Exchange や Oracle にバックドアを仕掛けている”