China-Aligned TA415 Hackers Uses Google Sheets and Google Calendar for C2 Communications
2025/09/17 CyberSecurityNews — 中国政府に支援される脅威アクター TA415 は、米国の政府/学術機関/シンクタンクを標的とする最近のキャンペーンにおいて、Google の Sheets や Calendar といった正規のクラウド・サービスを C2 通信に活用する戦術を示し、TTP (tactics, techniques, and procedures) を進化させている。2025年7月〜8月に、この洗練されたグループは、米中間の戦略と競合に関する特別委員会の現委員長などの著名人を装い、米国と中国の経済をテーマとするルアーを用いたスピアフィッシング攻撃を展開していた。
Continue reading “Google の Sheets と Calendar を C2 通信に悪用:中国 APT グループ TA415 の洗練された手法とは?”Hackers Found Using CrossC2 to Expand Cobalt Strike Beacon’s Reach to Linux and macOS
2025/08/14 TheHackerNews — 8月14日 (木) に、日本の CERT Coordination Center (JPCERT/CC) が明らかにしたのは、Cobalt Strike の機能を Linux/Apple macOS などのプラットフォームに拡張し、クロスプラットフォームのシステム制御を可能にする、C2 フレームワーク CrossC2 によるインシデントが確認されたことだ。
Continue reading “CrossC2 という新たな C2 フレームワーク:Cobalt Strike Beacon を拡張して Linux/macOS を標的化?”New Ghost Calls tactic abuses Zoom and Microsoft Teams for C2 operations
2025/08/06 BleepingComputer — Ghost Call と呼ばれる新たなポスト・エクスプロイトの C2 手法は、Zoom や Microsoft Teams などの会議アプリケーションが用いる TURN サーバを悪用することで、信頼性の高いインフラを経由したトラフィックのトンネリングを達成するものだ。Ghost Call で用いられるのは、正規の認証情報/WebRTC/カスタム・ツールなどであり、他のエクスプロイトに依存することなく、既存の防御策や検出対策の多くを回避していく。
Continue reading “Ghost Call という新たな C2 トンネリング手法:Zoom/Teams の TURN ネットワーク・プロトコルを悪用”Hackers behind IcedID malware attacks diversify delivery tactics
2022/10/10 BleepingComputer — IcedID マルウェアによるフィッシング・キャンペーンの背後にいる脅威アクターは、さまざまなターゲットに対して、最も効果的な攻撃を仕掛けるために、多種多様な配布方法を利用していると思われる。2022年9月に、Team Cymru の研究者たちは、複数のキャンペーンを観測したが、いずれも微妙に異なる感染経路を辿っており、有効性を評価するための戦術が取られていると考えているようだ。
Continue reading “IcedID マルウェア運用に変化:複数の配信経路により効果を測定している?”New Linux malware evades detection using multi-stage deployment
2022/09/06 BleepingComputer — Shikitega という新たなステルス型 Linux マルウェアが、PC や IoT デバイスにペイロードを流し込み、感染させていることが発見された。このマルウェアは、脆弱性を悪用して権限を昇格させ、crontab を介してホスト上で永続性を確立する。そして最終的に、感染させたデバイス上で、暗号通貨マイナーを起動させる。Shikitega は非常にステルス性が高く、静的な署名ベースの検出を不可能にするポリモーフィック・エンコーダを使用して、ウイルス検出を回避する。
Continue reading “Shikitega というステルス型 Linux マルウェア:多段階展開で検知を巧みに回避”Thousands of hackers flock to ‘Dark Utilities’ C2-as-a-Service
2022/08/04 BleepingComputer — セキュリティ研究者たちが、サイバー犯罪者が悪意の作戦で使用する Command and Control (C2) センターを、簡単かつ安価に設置できる Dark Utilities という新たなサービスを発見した。Dark Utilities とは、Windows/Linux/Python ベースのペイロードをサポートするプラットフォームを脅威アクターに提供し、C2 通信路の実装に関連する労力を不要にするサービスである。
Continue reading “Dark Utilities という C2-as-a-Service が登場:すでに 3,000人のサブスクライバーを獲得”New Linux malware brute-forces SSH servers to breach networks
2022/08/04 BleepingComputer — 2022年6月の中旬から、RapperBot と呼ばれる新しいボットネットが攻撃が検知されているが、その後の調査により、Linux SSH サーバーにブルートフォースで侵入し、デバイスに足場を築くことに重点を置いていることが判明した。研究者たちによると、RapperBot は Mirai トロイの木馬をベースにしているが、可能な限り多くのデバイスを無秩序に感染させるという、マルウェア本来の動作から逸脱しているようだ。
Continue reading “RapperBot ボットネットは Mirai 由来:SSH サーバにブルートフォースを仕掛けて休眠”Chinese Hackers Distributing SMS Bomber Tool with Malware Hidden Inside
2022/06/23 TheHackerNews — ハッカー集団 Tropic Trooper と関係のある脅威クラスタが、新たなキャンペーンの一環として、Nim 言語でコーディングされた、未知のマルウェアを使用していることが確認された。Nimbda と命名されたこの新しいローダーは、中国語のグレーウェア SMS Bomber ツールにバンドルされており、中国語圏で違法に配布されている可能性が高いと、イスラエルのサイバー・セキュリティ企業である Check Point は報告書で述べている。
Continue reading “SMS Bomber + Nimbda Backdoor:中国発のグレーウェアを悪用する意図はどこに?”New EnemyBot DDoS botnet recruits routers and IoTs into its army
2022/04/13 BleepingComputer — Mirai ベースの新しいボットネット・マルウェア EnemyBot は、モデム/ルーター/IoT デバイスの脆弱性を介して感染させたデバイスの勢力を拡大させ、それを操作する脅威アクターが Keksec であることが確認されている。この脅威グループは、クリプトマイニングと DDoS を専門としており、いずれも IoT デバイスに巣食い、そのコンピュータ資源を乗っ取ることが可能な、ボットネット・マルウェアにより支えられている。
Continue reading “EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中”Google Removes Dangerous Banking Malware From Play Store
2022/04/08 DarkReading — 2021年10月に表面化し、現在も野放しになっている、SharkBot と呼ばれる危険な Android バンキング・トロイの木馬は、Google Play という信頼できるモバイル・アプリ・ストアを通じて、マルウェアを配布しようとする脅威アクターの執念を示す最新の事例である。
この不正プログラムは、発見者が次世代型と表現しているように、銀行口座にログインしている被害者に、感染させた Android 端末を使用させ、多要素認証の制御をバイパスし、銀行口座からひそかに不正送金するものだ。SharkBot は、認証情報やクレジットカード情報を盗むことも可能であり、また、検出の複雑化により発見を遅らせるなどの、複数の機能を搭載している。
IOCs vs. IOAs — How to Effectively Leverage Indicators
2022/03/16 SecurityIntelligence — サイバーセキュリティ・チームは、サイバー・セキュリティ攻撃/敵対的行動/高度持続的脅威 (APT)、そして、恐ろしいゼロデイ脆弱性の特定を任務としている。この取り組みを通じて、サイバーセキュリティ担当者と運用チームは、効果的な監視/検出/対応の戦略において Indicators of Compromise (IOC) と Indicators of Attack (IOA) を適切に活用することに、同じ苦労を抱えている。
Continue reading “サイバー・セキュリティの指標:IOC と IOA の違いと活用方法”Malicious Notepad++ installers push StrongPity malware
2021/12/09 BleepingComputer — StrongPity という洗練されたハッキング・グループが、Notepad++ のインストーラーにターゲットにして、マルウェアを拡散している。この、APT-C-41 および Promethium とも呼ばれるハッキング・グループは、2016年〜2018年にもトロイの木馬化した WinRAR インストーラーを拡散し、ターゲットを絞り込んだキャンペーン行っており、この手法は新しいものではない。
Continue reading “悪意の Notepad++ インストーラー:StrongPity マルウェアにログを抜き出される”Microsoft: Russian state hackers behind 53% of attacks on US govt agencies
2021/10/08 BleepingComputer — Microsoft によると、ロシア由来のハッキング・グループが、米国の政府機関を標的にするケースが増えており、2020年7月〜2021年6月に観測された、国民支援型攻撃の 58% がロシアからのものだという。
Continue reading “Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来”Threat actor has been targeting the aviation industry since at least 2018
2021/09/18 SecurityAffairs — Cisco Talos のセキュリティ研究者たちが発見した、Operation Layover と呼ばれるスピアフィッシング・キャンペーンだが、航空業界をターゲットに2年間にわたって検知されずに行われていたという。専門家たちは、このキャンペーンの背後にいる脅威アクターは、高い確率でナイジェリアを拠点としており、技術的には洗練されていないようだが、このマルウェア・キャンペーンを5年以上前から成功させている疑いがある。
Continue reading “航空業界を狙うトロイの木馬:2018年から活動を続けてきたことが判明”Linux Implementation of Cobalt Strike Beacon Targeting Organizations Worldwide
2021/09/13 TheHackerNews — 月曜日に研究者たちは、政府機関/通信事業者/情報技術者/金融機関などを標的にした、Cobalt Strike Beacon の Linux 版と Windows 版を新たに発見した。この、ペネトレーション・テスト・ツールの、未確認バージョンは Vermilion Strike というコードネームで呼ばれ、あまり使われない Linux ポートの1つを指している。
Continue reading “Cobalt Strike 亜種の Vermilion Strike が Linux 上に展開されている”Experts Shed Light On New Russian Malware-as-a-Service Written in Rust
2021/08/12 TheHackerNews — ロシアのアンダーグラウンド・フォーラムで販売/配布されている新種のマルウェアは、セキュリティの保護や解析を回避し、リバース・エンジニアリング作業を妨害するために、Rust で書かれるという新たな傾向を示している。この Ficker Stealer という名のマルウェアは、トロイの木馬化した Web リンクや、危険な Web サイトを経由して伝播し、Spotify Music や YouTube Premium やMicrosoft Store などの正規サービスの、無料ダウンロードを提供するという詐欺ページに被害者を誘い込む。
Continue reading “Rust で書かれた Ficker Malware-as-a-Service はロシアから世界を狙う”Beware! New Android Malware Hacks Thousands of Facebook Accounts
2021/08/09 TheHackerNews — Google Play Store やサードパーティ・アプリストアで配布された、不正なアプリを介して新しい Android トロイの木馬が、少なくとも 144カ国 1万人以上のユーザーの Facebook アカウントを、2021年3月以降に侵害していることが判明した。
Continue reading “Facebook アカウントをハッキングする新手の Android マルウェアに注意!”Experts Uncover Several C&C Servers Linked to WellMess Malware
2021/07/30 TheHackerNews — サイバー・セキュリティ研究者たちが、APT29 として追跡されているロシアの脅威アクター Cozy Bear が所有する、新たな C2 (command-and-control) インフラストラクチャの正体を明らかにした。Microsoft のサイバーセキュリティ子会社である RiskIQ は、The Hacker News に寄せられたレポートの中で、ロシアの SVR (対外情報機関) が運営する、30台以上の C2 サーバーの発見を発表した。
Continue reading “WellMess マルウェアと関連する C2 サーバークラスタが発見された”Wormable DarkRadiation Ransomware Targets Linux and Docker Instances
2021/06/22 TheHackerNews — このランサムウェアは、すべてが Bash で実装されており、Linux や Docker クラウド・コンテナを標的とし、メッセージング・サービス Telegram を command-and-control (C2) 通信に利用している。Trend Micro の研究者たちは、先週に発表したレポートの中で、「このランサムウェアは、Bash スクリプトで書かれており、Red Hat/CentOS および Debian の Linux ディストリビューションをターゲットにしている。
Continue reading “DarkRadiation ランサムウェアは Linux と Docker インスタンスに感染していく?”
IoT OT Security News 