ウクライナのサイバー警察:フェイクニュース拡散に使われた 100万個のボットを停止

Ukraine takes down 1,000,000 bots used for disinformation

2022/08/03 BleepingComputer — ウクライナのサイバー警察 (SSU) は、SNS でフェイク・ニュースを拡散するために使用されていた、100万個のボットによる大規模なボットファームを停止させた。このボットファームの目的は、ウクライナ国家の公式情報を信用させず、同国の社会的/政治的状況を不安定にし、内戦を引き起こすことだった。ボットが拡散していたメッセージは、ロシアのプロパガンダに沿ったものであることから、そのオペレーターはロシアの特殊部隊のメンバーであると考えられている。

Continue reading “ウクライナのサイバー警察:フェイクニュース拡散に使われた 100万個のボットを停止”

Cloudflare 対 Mantis ボットネット:毎秒 2600万リクエストの HTTPS DDoS 攻撃を緩和

Mantis botnet powered the largest HTTPS DDoS attack in June

2022/07/14 SecurityAffairs — 2022年6月に、DDoS 緩和企業である Cloudflare は、彼らが Mantis と呼ぶボットネットにより実施された、最大の HTTPS DDoS 攻撃を緩和したと発表した。Mantis ボットネットは、約 5000台の乗っ取った仮想マシンと、強力なサーバー群を使用して、毎秒 2600万リクエストを発生させたという。

Continue reading “Cloudflare 対 Mantis ボットネット:毎秒 2600万リクエストの HTTPS DDoS 攻撃を緩和”

Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害

Linux botnets now exploit critical Atlassian Confluence bug

2022/06/08 BleepingComputer — Atlassian の Confluence Server/Data Center に存在するリモートコード実行 (RCE) 脆弱性を、複数のボットネットが狙っており、パッチが適用されていない Linux サーバーへの感染が広まっている。この脆弱性 CVE-2021-26084 の悪用に成功した未認証の攻撃者は、新たな管理者アカウントを作成し、コマンドを実行し、インターネットに公開されたサーバーを乗っ取り、最終的にはバックドアとしてリモート操作することが可能となる。

Continue reading “Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害”

XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す

New XLoader botnet uses probability theory to hide its servers

2022/05/31 BleepingComputer — 脅威アナリストたちが明らかにしたのは、ボットネット・マルウェア XLoader の新バージョンでは、確率論を用いた Command and Control (C2) サーバー隠蔽機能が実装され、マルウェアの対策が困難になるという点である。それにより、マルウェアの運営者は、特定された IP アドレスのブロックによりノードを失うというリスクを負うことなく、同じインフラを使い続けることが可能となり、また、追跡/特定のリスクも低減されるという。

Continue reading “XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す”

EnemyBot の狙う脆弱性がエグイ:即座に VMware/Spring/F5 BIG-IP に対応

EnemyBot malware adds exploits for critical VMware, F5 BIG-IP flaws

2022/05/29 BleepingComputer — 複数のマルウェア・コードをベースにしたボットネット EnemyBot は、Webサーバー/CMS/IoT/Android 端末などで公開されたばかりの、深刻な脆弱性の悪用に迅速に対応し、その範囲を拡大している。このボットネットは、Securonix の研究者により 3月に初めて発見され、Fortinet から新しいサンプルの分析結果が提供された 4月には、すでに 12種類以上のプロセッサ・アーキテクチャの不具合を統合していた。このマルウェアは、分散型サービス拒否 (DDoS) 攻撃を主目的としており、新しいターゲット・デバイスをスキャンして感染させるモジュールも備えている。

Continue reading “EnemyBot の狙う脆弱性がエグイ:即座に VMware/Spring/F5 BIG-IP に対応”

EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中

New EnemyBot DDoS botnet recruits routers and IoTs into its army

2022/04/13 BleepingComputer — Mirai ベースの新しいボットネット・マルウェア EnemyBot は、モデム/ルーター/IoT デバイスの脆弱性を介して感染させたデバイスの勢力を拡大させ、それを操作する脅威アクターが Keksec であることが確認されている。この脅威グループは、クリプトマイニングと DDoS を専門としており、いずれも IoT デバイスに巣食い、そのコンピュータ資源を乗っ取ることが可能な、ボットネット・マルウェアにより支えられている。

Continue reading “EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中”

MicroTik ルーターの Botnet-as-a-Service 化:20万台以上が支配下に

Over 200,000 MicroTik Routers Worldwide Are Under the Control of Botnet Malware

2022/03/23 TheHackerNews — MikroTik の脆弱なルーターが大規模に悪用され、サイバー・セキュリティ研究者が近年で最大級の Botnet-as-a-Service の1つと呼ばれる物が形成されている。Avast が発表した新たな調査結果によると、新たな破壊型 Glupteba ボットネットと、TrickBot マルウェアを活用した、暗号通貨マイニング・キャンペーンの全てが、同一の Command and Control (C2) サーバーを使用して配布されたようだ。

Continue reading “MicroTik ルーターの Botnet-as-a-Service 化:20万台以上が支配下に”

ウクライナ政府:ハイブリッド戦争の大規模な波に攻撃されている

Ukraine says it’s targeted by ‘massive wave of hybrid warfare’

2022/02/14 BleepingComputer — 今日の、ウクライナ保安局 (Security Service of Ukraine : SSU) の発表によると、国家の能力に対する社会の信頼を損ね、不安を煽ることを目的とした、現在進行中のハイブリッド戦争の波の標的となっているとのことだ。SSU は、「システム的にパニックを引き起こし、偽の情報を広め、現実の状況を歪めようとする試みに、ウクライナは直面している。これは、ハイブリッド戦争の大規模な波に他ならない」と述べている。

Continue reading “ウクライナ政府:ハイブリッド戦争の大規模な波に攻撃されている”

Microsoft が耐えた 3.47 Tbps の DDoS 攻撃:更新され続ける史上最大規模

Microsoft mitigated a 3.47 Tbps DDoS attack, the largest one to date

2022/01/27 SecurityAffairs — Microsoft の Azure DDoS 保護プラットフォームが、同社のある顧客を標的とする、3億4000万パケット/秒 (pps) の、記録的な 3.47 Tbps 攻撃を軽減した。この攻撃に関するニュースは、Azure DDoS Protection -2021 Q3 and Q4 DDoS attack trends で報告されている。2021年11月に Microsoft は、アジアの Azure 顧客を標的としたスループット3.47Tbps、パケットレート3.4億パケット/秒 (pps) の DDoS 攻撃を軽減した。これは史上最大の攻撃であると考えられる。

Continue reading “Microsoft が耐えた 3.47 Tbps の DDoS 攻撃:更新され続ける史上最大規模”

Log4Shell 攻撃で最初のランサムウェアを検出:Khonsari はワイパー型マルウェアかも?

New ransomware now being deployed in Log4Shell attacks

2021/12/14 BleepingComputer — 脆弱性 Log4Shell が、ランサムウェアのダウンロード/インストールに使用されるという、最初の事例が研究者により発見された。先週の金曜日に、Java ベースのロギング・プラットフォーム Apache Log4j に存在する、Log4Shell (CVE-2021-44228) と名付けられた深刻なゼロデイ脆弱性に対するエクスプロイトが公開された。Log4j は、開発者が Java アプリケーションに対して、エラーやイベントのログを追加するための開発フレームワークである。

Continue reading “Log4Shell 攻撃で最初のランサムウェアを検出:Khonsari はワイパー型マルウェアかも?”

Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike

Hackers start pushing malware in worldwide Log4Shell attacks

2021/12/12 BleepingComputer — 脅威アクターたちは、Log4j Log4Shell CVE-2021-44228 の脆弱性をスキャン/悪用し、脆弱なサーバを見つけ出しマルウェアの展開などを行っている。この記事では、Log4j の脆弱性を悪用する既知のペイロード/スキャン/攻撃をまとめている。周知の通り、金曜日の早朝に、Web サーバーやアプリケーションのログ・アクセスに使用される、Java ベースのログ・プラットフォーム Apache Log4j に存在する、「Log4Shell」と呼ばれる深刻なゼロデイ脆弱性のエクスプロイトが公開された。

Continue reading “Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike”

Dark Mirai ボットネット:TP-Link の脆弱性 CVE-2021-41653 を狙っている

Dark Mirai botnet targeting RCE on popular TP-Link router

2021/12/09 BleepingComputer — Dark Mirai (通称:MANGA) と呼ばれるボットネットが、2017年に発売されたホームルーター TP-Link TL-WR840N EU V5 に存在する、新たな脆弱性を悪用していることが確認された。この欠陥は、CVE-2021-41653 として追跡されており、認証されたユーザーがデバイス上でコマンドを実行するために使用する、脆弱な host 変数が原因となっている。

Continue reading “Dark Mirai ボットネット:TP-Link の脆弱性 CVE-2021-41653 を狙っている”

Emotet が偽の Adobe インストーラーを介して広まり始めている

Emotet now spreads via fake Adobe Windows App Installer packages

2021/12/01 BleepingComputer — 現在、マルウェア Emotet は、Adobe PDF ソフトウェアを装う、悪意の Windows App Installer パッケージを介して配布されている。Emotet は、フィッシング・メールや悪意の添付ファイルを介して拡散する、悪名高いマルウェアである。インストールされると、他のスパム・キャンペーンのために被害者のメールを盗み、TrickBot や Qbot などのマルウェアを展開して、ランサムウェア攻撃などへつなげる。

Continue reading “Emotet が偽の Adobe インストーラーを介して広まり始めている”

TP-Link Wi-Fi 6 にゼロデイ脆弱性:ダークウェブでエクスプロイトが販売されている?

Exclusive: Resecurity discovered 0-day vulnerability in TP-Link Wi-Fi 6 devices

2021/11/26 SecurityAffairs — 米国ロサンゼルスに拠点を置くサイバーセキュリティ企業 Resecurity は、主に企業向けに販売されている TP-Link TL-XVR1800L (Enterprise AX1800 Dual Band Gigabit Wi-Fi 6 Wireless VPN Router) に存在するゼロデイ脆弱性を発見した。この脆弱性を悪用されると、リモートコード実行 (RCE) が可能となり、デバイスを乗っ取った後に、悪意の目的での使用や、機密データの窃取などを許すことにもなる。また、この脆弱性は、同一シリーズの他のデバイスにも存在する可能性がある。

Continue reading “TP-Link Wi-Fi 6 にゼロデイ脆弱性:ダークウェブでエクスプロイトが販売されている?”

Cloudflare 対 Mirai:2 Tbps の DDoS 攻撃が緩和される

Cloudflare mitigated 2 Tbps DDoS attack, the largest attack it has seen to date

2021/11/15 SecurityAffairs — 米国の Web インフラ/セキュリティ企業である Cloudflare, Inc.は、コンテンツ配信ネットワークおよび DDoS 対策サービスを提供している。Cloudflare は、同社において最大規模となる、毎秒2TBytes (Tbps) 弱の分散型サービス拒否 (DDoS) 攻撃を軽減したと発表した。

Continue reading “Cloudflare 対 Mirai:2 Tbps の DDoS 攻撃が緩和される”

Emotet が再生/復活:TrickBot を介してインフラを急速に拡大

Emotet malware is back and rebuilding its botnet via TrickBot

2021/11/15 BleepingComputer — スパム・キャンペーンや悪意の添付ファイルを介して広まる Emotet は、これまでに最も拡散したマルウェアだと言われてきた。Emotet は、感染したデバイスを悪用して他のスパム・キャンペーンを行い、QakBot (Qbot)/Trickbot マルウェアなどのペイロードをインストールしていた。これらのペイロードは、その後に、Ryuk/Conti/ProLock/Egregor などのランサムウェアを展開する脅威アクターのための、初期アクセスに使用されてきた。

Continue reading “Emotet が再生/復活:TrickBot を介してインフラを急速に拡大”

中国で発見された Pink ボットネット:160 万台のデバイスに感染していた

Researchers Uncover ‘Pink’ Botnet Malware That Infected Over 1.6 Million Devices

2021/11/01 TheHackerNews — サイバー・セキュリティ研究者たちが、過去6年間で悪用が観測された、最大のボットネットについて詳細を公開した。主に中国にある 160万台以上のデバイスに感染し、分散型サービス拒否 (DDoS) 攻撃や、無防備なユーザーが訪れる Web サイトへの悪意の広告挿入などに用いられてきた。

Continue reading “中国で発見された Pink ボットネット:160 万台のデバイスに感染していた”

MyKings ボットネット:クリップボード情報を盗み出して $24 million を稼ぐ?

MyKings botnet operators already amassed at least $24 million

2021/10/13 SecurityAffairs — Avast Threat Labs の研究者たちは、MyKings ボットネット (別名:Smominru または DarkCloud) がまだ生きており、そのオペレータがクリプト・マイニング活動により、巨額の資金を稼いでいることを報告した。2019年以降、MyKings のオペレーターは、Bitcoin/Ethereum/Dogecoin などで、少なくとも $24 million を蓄えているとのことだ。

Continue reading “MyKings ボットネット:クリップボード情報を盗み出して $24 million を稼ぐ?”

Mirai ボットネットが Microsoft Azure の OMIGOD 脆弱性を積極的に悪用

Mirai Botnet Exploiting OMIGOD Azure Vulnerability

2021/09/18 DarkReading — 今週の初めに公開され、パッチが適用された Microsoft Azure の深刻なな脆弱性を、攻撃者たちがが悪用し始めていると、セキュリティ研究者が報告している。Wiz Research Team が発見した OMIGOD 脆弱性は、Azure の各種サービスに組み込まれ広く使われているが、あまり知られていないソフトウェア・エージェントであるOpen Management Infrastructure (OMI) に存在する。

Continue reading “Mirai ボットネットが Microsoft Azure の OMIGOD 脆弱性を積極的に悪用”

TeamTNT ボットネットの狙いは Org:潜み続けて暗号をマイニング

TeamTNT cybercrime gang expands its arsenal to target thousands of orgs worldwide

2021/09/09 SecurityAffairs — AT&T Alien Labs の研究者たちは、TeamTNT グループが Chimaera という名の新しいキャンペーンで、世界中の Org を狙っていることを発見した。専門家が収集した証拠によると、このキャンペーンは 2021年7月25日に開始され、脅威アクターたちはオープンソースのツールを、攻撃のために大量に使用していた。

Continue reading “TeamTNT ボットネットの狙いは Org:潜み続けて暗号をマイニング”

Mēris ボットネット:Yandex DDoS 攻撃で 2180 万 RPS を記録

New Mēris botnet breaks DDoS record with 21.8 million RPS attack

2021/09/09 BleepingComputer — この夏の間に増え続けた新たな DDoS ボットネットが、この1か月の間にロシアのインターネット大手 Yandex を攻撃し続け、ピーク時には 21.8 million RPS (requests per second) という、前代未聞のリクエスト数を記録した。このボットネットは、Mēris (メリス) と名付けられており、研究者たちの推測によると、強力なネットワーク機器で構成される、数万台の危険なデバイスにからパワーを得ているという。

Continue reading “Mēris ボットネット:Yandex DDoS 攻撃で 2180 万 RPS を記録”

Mozi IoT Botnet は Mirai の進化形:狙いはネットワーク・ゲートウェイ?

Mozi IoT Botnet Now Also Targets Netgear, Huawei, and ZTE Network Gateways

2021/08/20 TheHackerNews — IoT デバイスを標的とする P2P ボットネットの Mozi が、Netgear / Huawei / ZTE が製造するネットワーク・ゲートウェイ上で、持続性を実現する新たな機能を獲得したという、新たな調査結果が明らかになった。Microsoft Security Threat Intelligence Center および Azure Defender for IoT の Section 52 の研究者たちは、その技術文書の中で、「ネットワーク・ゲートウェイは、企業ネットワークへの理想的なイニシャル・アクセス・ポイントであり、敵対者にとって特に魅力的なターゲットである」と述べている

Continue reading “Mozi IoT Botnet は Mirai の進化形:狙いはネットワーク・ゲートウェイ?”

DirtyMoe ボトネットは 2021年前半だけで 10万台以上の Windows に感染している

DirtyMoe botnet infected 100,000+ Windows systems in H1 2021

2021/06/22 SecurityAffairs — Avast の研究者たちが、DirtyMoe ボットネット (PurpleFox / Perkiler / NuggetPhantom) が急速に拡大しており、2020年に1万台だった感染システムが、2021年前半には10万台以上になったことを警告している。専門家たちは、DirtyMoe をモジュラー・システムとして設計された複雑なマルウェアだと定義している。

Continue reading “DirtyMoe ボトネットは 2021年前半だけで 10万台以上の Windows に感染している”