Botnet Exploits Old GeoVision IoT Devices via CVE-2024-6047 & CVE-2024-11120
2025/05/07 SecurityOnline — GeoVision の製造中止となった IoT デバイスに存在する、2つのコマンド・インジェクション脆弱性が積極的に悪用されていることを、Akamai の Security Intelligence and Response Team (SIRT) が特定した。Akamai は、「2024年6月/11月に公開された、脆弱性 CVE-2024-6047/CVE-2024-11120 が、積極的に悪用された初めての事例となる」と述べている。
Continue reading “GeoVision の製造中止 IoT 機器の脆弱性 CVE-2024-6047/11120:ボットネット LZRD による悪用を観測”Hackers Exploit Ivanti Connect Secure 0-Day to Deploy DslogdRAT and Web Shell
2025/04/24 gbhackers — Ivanti Connect Secure のゼロデイ脆弱性 CVE-2025-0282 を悪用する脅威アクターが、Web シェルや DslogdRAT などの、高度な悪意のツールを展開している。JPCERT/CC の詳細な分析によると、これらの攻撃が浮き彫りにするのは、サイバー犯罪者たちに頻繁に標的化される、Ivanti 製品における執拗かつ最新のリスクである。
Continue reading “Ivanti Connect Secure の脆弱性 CVE-2025-0282 が標的:DslogdRAT の展開を検証 – JPCERT/CC”Booking.com Phishing Scam Uses Fake CAPTCHA to Install AsyncRAT
2025/04/21 HackRead — 偽の Booking.com メールを使用してホテルのスタッフを狙う、新たなフィッシング・キャンペーンが確認された。この攻撃はソーシャル・エンジニアリングを巧みに利用し、被害者自身のシステム上で悪意のコマンドを実行させ、最終的にホテルのネットワークを AsyncRAT に感染させ、さらなる侵害の拡大を目的とするものだ。
Continue reading “Booking.com を装うフィッシング詐欺:偽の CAPTCHA を使用して AsyncRAT を展開”CoffeeLoader Malware Loader Linked to SmokeLoader Operations
2025/03/27 InfoSecurity — 新たに特定された CoffeeLoader というマルウェア・ローダーだが、エンドポイント・セキュリティ対策を回避しながら、第2段階のペイロードを展開することが確認されている。Zscaler ThreatLabz の研究者たちは、この 2024年9月に登場したマルウェアを追跡しており、SmokeLoader と組み合わせも確認しているという。
Continue reading “CoffeeLoader という最新のマルウェア・ローダーを発見:SmokeLoader との連携も疑われる”Ransomware gang creates tool to automate VPN brute-force attacks
2025/03/14 BleepingComputer — Black Basta ランサムウェアは、ブルートフォース攻撃を自動化するフレームワーク “BRUTED” を使用し、ファイアウォールや VPN などのエッジ・ネットワーク・デバイスを標的にしている。このグループは、独自に開発した BRUTED により、効果的にネットワークへのイニシャル・アクセスを獲得し、インターネット上に公開された脆弱なエンドポイントへのランサムウェア攻撃を拡大させている。流出した Black Basta の内部チャット・ログを、EclecticIQ の研究者である Arda Buyukkaya が詳細に分析した結果により、この BRUTED の存在が明らかになったという。
Continue reading “Black Basta が開発した BRUTED Framework:ブルートフォース攻撃の最適化と自動化”Cobalt Strike Abuse Dropped 80% in Two Years
2025/03/10 SecurityWeek — Cobalt Strike の開発元である Fortra によると、この敵対者シミュレーション・ツールの悪用が、直近の2年間で大幅に減少しているという。Cobalt Strike は、敵対者シミュレーション用に設計された正規のポスト・エクスプロイト・ツールだが、悪意の活動に活用できるクラック版のコピー (通常は旧バージョン) を作成する方法を、脅威アクターたちは見つけ出した。このツールは、利益を追求するサイバー犯罪者と、国家に支援される APT グループにより悪用されている。
Continue reading “Cobalt Strike の無許可コピーが 80% も減少:Fortra の2年間にわたる努力が報われてきた”PHP-CGI RCE Flaw Exploited in Attacks on Japan’s Tech, Telecom, and E-Commerce Sectors
2025/03/07 TheHackerNews — 2025年1月以降から、日本の組織を主な標的とする悪意のキャンペーンが確認されている。現時点において、その背後にいる脅威アクターの正体は不明だ。2025年3月6日に公開された技術レポートで、「攻撃者は、Windows 上の PHP-CGI 実装に存在するリモート・コード実行 (RCE) の脆弱性 CVE-2024-4577 を悪用し、被害者マシンでイニシャル・アクセスを獲得していた。続いて、一般に公開されている Cobalt Strike kit である TaoWu のプラグインを利用し、侵害後の攻撃活動を行っていた」と、Cisco Talos の研究員である Chetan Raghuprasad は述べている。
Continue reading “PHP-CGI の脆弱性 CVE-2024-4577 を悪用:日本の技術/通信/e コマースへの攻撃を観測”Over 4,000 ISP IPs Targeted in Brute-Force Attacks to Deploy Info Stealers and Cryptominers
2025/03/04 TheHackerNews — 侵害済のホストに情報窃取や暗号通貨マイニングなどのツールを展開する、大規模なエクスプロイト・キャンペーンのターゲットとして、中国と米国西海岸の ISP (Internet Service Providers) が攻撃されている。この悪意のアクティビティにより、データの流出が容易になるだけではなく、標的システム上で永続性を確立するための、各種のバイナリも配信されたと、調査を実施した Splunk Threat Research Team は述べている。
Continue reading “大規模ブルートフォース・キャンペーンを検出:米中の 4,000 社以上の ISP が標的”Silver Fox APT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations
2025/02/27 TheHackerNews — 台湾で新たに発見された攻撃キャンペーンは、同国の国税局を装うフィッシング・メールに潜ませた、Winos 4.0 という名のマルウェアにより、企業を狙うものだ。2025年1月に、この攻撃を検出した Fortinet FortiGuard Labs は、悪意のゲーム関連アプリケーションを介していた、それまでの攻撃チェーンからの脱却を示していると指摘している。
Continue reading “台湾を攻撃する Silver Fox APT:Winos 4.0 マルウェアと洗練された手口とは?”Hackers Exploiting Cisco Small Business Routers RCE Vulnerability Deploying Webshell
2025/02/25 gbhackers — Cisco Small Business Router に影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2023-20118 が、Web シェルや高度なバックドア・ペイロードを展開するサイバー犯罪者の注目を集めている。
Continue reading “Cisco の脆弱性 CVE-2023-20118 を積極的に悪用:PolarEdgeという名の洗練されたバックドア”Snake Keylogger Targets Chrome, Edge, and Firefox Users in New Attack Campaign
2024/02/19 gbhackers — Snake Keylogger (別名 404 Keylogger) の新たな亜種が、Google Chrome/Microsoft Edge/Mozilla Firefox などの Web ブラウザのユーザーを、ターゲットにしていることが判明した。FortiGuard Labs は、高度な AI/ML を搭載した最先端のマルウェア検出プラットフォーム FortiSandbox v5.0 (FSAv5) を使用して、この脅威を特定したという。
Continue reading “Snake Keylogger というマルウェア:Chrome/ Edge/Firefox ユーザーが標的”Chinese hackers abuse Microsoft APP-v tool to evade antivirus
2025/02/18 BleepingComputer — 中国の APT ハッキング・グループ Mustang Panda が、Microsoft Application Virtualization Injector ユーティリティを LOLBin として悪用し、正規のプロセスに悪意のペイロードを挿入し、ウイルス対策ソフトウェアによる検出を回避していることが確認された。
Continue reading “Microsoft APP-v Tool を LOLBin として悪用:中国の Mustang Panda が採用する検知回避チェーンとは?”New Golang-based backdoor relies on Telegram for C2 communication
2025/02/17 SecurityAffairs — C2 に Telegram を悪用する Golang ベースのバックドアを、Netskope Threat Labs が発見した。このマルウェアは、現在も開発中のようだが機能しており、クラウド・アプリの悪用により検出を回避している。この新しい Go バックドアは、ロシア起源である可能性があると、専門家たちは考えている。
Continue reading “Telegram を C2 として悪用:Golang ベースの新たなバックドアが発見された”CVE-2024-1709 and CVE-2023-48788: Exploits Fueling Russia’s BadPilot Campaign
2025/02/16 SecurityOnline — ロシア政府が支援するハッキング・グループ Seashell Blizzard (別名 APT44/Sandworm/BlackEnergy Lite) のサブグループが、複数年にわたって実行したサイバースパイ活動を、Microsoft Threat Intelligence が明らかにした。この、BadPilot として追跡されるアクティビティは、遅くとも 2021年から実行されており、エネルギー/通信/軍需/行政などの重要セクターに存在する、世界の組織を侵害してきたという。
Continue reading “ConnectWise/Fortinet/Exchange/Zimbra の脆弱性が標的:ロシアの BadPilot”DeepSeek’s popularity exploited to push malicious packages via PyPI
2025/02/03 HelpNetSecurity — DeepSeek の名前を悪用する、2つの悪意のパッケージが Python Package Index (PyPI) に公開され、その後の約 30分間で 36回もダウンロードされたという。この攻撃は、2025年1月29日の時点で、すでに存在するアカウントが、2つのパッケージを公開したときから始まっていた。
Continue reading “DeepSeek の人気に便乗:PyPI で公開されたインフォ・スティーラーとは?”.Gov No More: Government Domains Weaponized in Phishing Surge
2025/02/02 SecurityOnline — 最近の Cofense Intelligence レポートで明らかになったのは、フィッシング・キャンペーンで .gov TLD (top-level domains) を悪用する脅威アクターが増えているという、懸念すべき傾向である。この2年間 (2022年1 月~ 2024年11月) において攻撃者たちは、複数の国々の政府 Web サイトにおいて、そこに存在する脆弱性の悪用や、悪意のコンテンツのホスト、Command and Control (C2) サーバとしての悪用、認証情報フィッシング・サイトへのユーザーのリダイレクトなどを行ってきた。
Continue reading ““.gov” は信用できない?数多くのフィッシング・キャンペーンにおける悪用の実態”Researchers Uncover Lazarus Group Admin Layer for C2 Servers
2025/01/30 DarkReading — 世界中の暗号通貨企業やソフトウェア開発者に対する、最近の北朝鮮の Lazarus グループによる攻撃の調査により、攻撃者が一連のキャンペーンの Command and Control (C2) インフラを集中管理するために使用していた、隠されたマネージメント・レイヤーの存在が明らかになった。
Continue reading “北朝鮮 Lazarus の舞台裏:巧妙に隠されたインフラ Phantom Circuit が判明 – SecurityScorecard”FBI deleted Chinese malware from 4,200 US computers
2025/01/14 NextGov — 2025年1月14日 (火) に FBI が発表したのは、中国政府が支援するマルウェアに感染した、米国内のコンピューター 約4,200台 から悪意のソフトウェアを排除するために、数か月にわたるオペレーションを実施していたことである。この悪意のソフトウェアは、被害者のマシンに感染した後に、それらを不正に制御し、情報を盗むようにデザインされている。
Continue reading “FBI による法的措置:中国由来のマルウェア PlugX を 4,200台のコンピュータから削除”CVE-2024-33112 and More: How FICORA and CAPSAICIN Botnets Are Exploiting D-Link Devices
2024/12/28 SecurityOnline — 2024年10月/11 月に FortiGuard Labs が観測したのは、悪名高い2つのボットネットである FICORA と CAPSAICIN の活動が著しく増加したことである。これらのボットネットは、長年にわたり D-Link デバイスの脆弱性を悪用して、広範囲に及ぶ攻撃を仕掛けている。
Continue reading “D-Link の脆弱性 CVE-2024-33112 などを悪用:FICORA/CAPSAICIN ボットネットを分析”CVE-2024-9474 Exploited: LITTLELAMB.WOOLTEA Backdoor Discovered in Palo Alto Devices
2024/12/24 SecurityOnline — Palo Alto Networks のファイアウォールを標的とする、高度なバックドア LITTLELAMB.WOOLTEA を、Northwave Cyber Security が特定した。このバックドアは、侵害された Palo Alto Networks デバイスのフォレンジック調査中に発見されたものだという。この攻撃の直前に公開された、脆弱性 CVE-2024-9474 が悪用されるという状況にある。それをエントリ ポイントとして用いる脅威アクターが、bwmupdate という悪意のスクリプトを展開し、バックドアをインストールしている。
Continue reading “Palo Alto の脆弱性 CVE-2024-9474 を悪用:LITTLELAMB.WOOLTEA バックドアを展開”ZLoader Malware Returns With DNS Tunneling to Stealthily Mask C2 Comms
2024/12/11 TheHackerNews — ZLoader マルウェアの新バージョンが、Zscaler ThreatLabz の研究者たちにより発見された。2024年1月に再登場した ZLoader だが、その後もツールを改良し続け、C2 (command-and-control) 通信に DNS トンネルを使用する方向へと進化している。
Continue reading “ZLoader マルウェアの改良版:DNS トンネリング機能/インタラクティブなシェルを搭載”QR codes bypass browser isolation for malicious C2 communication
2024/12/08 BleepingComputer — Mandiant が特定したのは、ブラウザの分離技術を回避し、QR コードを通じて Command and Control (C2) 操作を実現する、新しい方法である。このブラウザの分離技術とは、クラウド環境または仮想マシンでホストされるリモート Web ブラウザを介して、すべてのローカル Web ブラウザ・リクエストをルーティングするセキュリティ技術のことであり、日増しに普及するという状況にある。
Continue reading “Web ブラウザの分離技術を回避:QR コード C2 通信のための PoC ツールとは?”Google Docs and Weebly Weaponized in New Phishing Scheme
2024/11/24 SecurityOnline — EclecticIQ の研究者が発見した、最近のフィッシング・キャンペーンが浮き彫りにするのは、信頼できるプラットフォームやインフラ悪用するために、攻撃者が費やす労力である。通信/金融セクターをターゲットにする金銭目的の脅威アクターたちは、Google Docs を悪用してフィッシング・リンクを配信し、Weebly を悪用して偽のログイン・ページをホストしている。この合法的なプラットフォームの戦略的な組み合わせにより、悪意の計画の擬態性を高める攻撃者は、標準のメール・フィルターとエンドポイント防御を回避していく。
Continue reading “Google Docs と Weebly を武器化:新たなフィッシング戦術について分析する”Researcher Finds Trojanized Apps with 2 Million Downloads on Google Play
2024/11/12 SecurityOnline — Google Play 上の悪意のアプリの危険な動向を、Dr.Web の研究チームが新しいレポートで報告している。このレポートによると、Android.FakeApp ファミリーなどのトロイの木馬化されたアプリを、無意識のうちに 200 万人以上のユーザーが、ダウンロードしていたことが明らかにされている。
Continue reading “Google Play 上のアプリに潜むトロイの木馬:200万ダウンロードの可能性が”New “CRON#TRAP” Campaign Exploits Emulated Linux Environments to Evade Detection
2024/11/06 SecurityOnline — Securonix 脅威調査チームが検出したのは、”CRON#TRAP” と呼ばれる高度なマルウェア・キャンペーンの存在である。このキャンペーンは、軽量のエミュレートされた Linux 環境内で攻撃を仕掛けるものである。人気のオープンソース仮想化ソフトウェア QEMU などの、正規のツールを悪用する攻撃者は、セキュリティ対策を回避し、正規のソフトウェアを使用しているように見せかけ、悪意のアクティビティの存在を隠し続ける。
Continue reading “Linux のエミュレート環境が標的:“CRON#TRAP” キャンペーンの巧妙な検出回避術とは?”Beyond VPNs and Botnets: Understanding the Danger of ORB Networks
2024/11/05 SecurityOnline — 最近の Team Cymru の S2 研究チームは、サイバーセキュリティ分野で拡大している脅威である、ORB (Operational Relay Box) ネットワークにフォーカスしている。VPN と Botnet のハイブリッドとして定義される ORB ネットワークは、攻撃の難読化における新たなレベルの洗練を示し、それを悪用する脅威アクターたちは、強化された匿名性と回復力で活動を継続している。このレポートは、「ORB ネットワークは、隠蔽/メッシュ/難読化ネットワークであり、回避手法を継続的に改良する脅威アクターたちの間で、その普及の度合いを増している」と指摘している。
Continue reading “VPN/Botnet を組み合わせた脅威:きわめて危険な ORB (Operational Relay Box) とは?”Fake CAPTCHA Pages Used by Lumma Stealer to Spread Fileless Malware
2024/10/22 HackRead — Qualys TRU (Threat Research Unit) が公表したのは、MaaS (Malware-as-a-Service) モデルとして提供されるマルウェア Lumma Stealer が、ユーザーを欺くための手口を大幅に進化させていることだ。Qualys が HackRead に共有した調査結果は、偽の CAPTCHA ページを使用してユーザーを騙して永続的なペイロードを実行させる、アクティブな Lumma Stealer キャンペーンに関するものだ。この攻撃は、複数のステップで構成され、ファイルレス技術を用いる、巧妙かつ持続的なものとなっている。
Continue reading “Lumma Stealer マルウェア:偽の CAPTCHA ページを使用してペイロードを実行”VOIDMAW: A New Bypass Technique for Memory Scanners
2024/10/21 SecurityOnline — マルウェア検出技術が進化するにつれ、それらの回避を試みる、攻撃者たちの手法も進化している。そのような手法の1つである VOIDMAW とは、悪意のコードを巧妙に隠蔽してアンチウイルス・ソフトウェアを回避する、革新的なメモリ・スキャン・バイパス技術のことである。VOIDMAW は、マルチスレッド・ペイロードをサポートし、すべての C2 (Command-and-Control) ビーコンと互換性があり、さらに、 .NET 以外のバイナリ・ファイルも実行できるため、攻撃者にとって強力なツールとなる。
Continue reading “VOIDMAW というテクノロジー:メモリス・キャナーに対する新たなバイパス手法を提示”GhostStrike: Open-source tool for ethical hacking
2024/10/17 HelpNetSecurity — GhostStrike は、倫理的ハッキングやレッドチームでの運用に特化された、高度なサイバー・セキュリティのための、オープンソース・ツールである。このツールは、Windows システム上での検知をステルス的に回避する hollowing プロセスなどの、最先端の技術を組み込んでおり、ペンテストやセキュリティ評価に役立つものとなっている。
Continue reading “GhostStrike の解説:Sliver C2 の解析から Cobalt Strike などへと対象を拡大”DNS Tunneling: The Hidden Threat Exploited by Cyberattackers
2024/10/07 SecurityOnline — サイバー攻撃者が用いる DNS トンネリングという手法は、検出を回避しながら悪意の活動を行い、データを盗み出すための隠された戦術である。Palo Alto Networks の最新レポートでは、従来のセキュリティ対策を回避する DNS トンネリング・テクニック用いる、新たな脅威とキャンペーンが取り上げられている。インターネットの要である DNS は監視されないままに放置されることが多く、攻撃者にとっての主要なターゲットとなっている。この Palo Alto Networks のレポートには、「DNS トンネリングは、DNS プロトコルを悪用して、DNS クエリ/レスポンスのデータをエンコードするため、攻撃者は気付かれることなく、セキュリティ・システムを回避していく」と記されている。
Continue reading “DNS Tunneling キャンペーン:Palo Alto Unit42 が発見した検出回避と攻撃の方式とは?”Stealthy Cyberattack Turns Visual Studio Code into a Remote Access Tool
2024/10/01 SecurityOnline — Visual Studio Code (VSCode) を悪用して、被害者のシステムに不正なリモート アクセスを確立する高度なサイバー攻撃を、Cyble Research and Intelligence Labs (CRIL) が発見した。この攻撃は、一般的な検出メカニズムを回避し、信頼できるソフトウェアを悪用することで、悪意のアクションを実行するという、高度なステルス性を発揮している。
Continue reading “Visual Studio Code を悪用する攻撃を検出:Remote-Tunnels エクステンションで C2 通信”CyberVolk Ransomware: A New and Evolving Threat to Global Cybersecurity
2024/09/05 SecurityOnline — サイバー犯罪の世界では新しいプレーヤーである、インドのハッカー・グループ CyberVolk だが、その洗練されたランサムウェアの技法で波紋を引き起こしている。2024年7月に初めて検出された CyberVolk ランサムウェアは、高度な機能と急速な進化により、急速に悪評を高めている。このグループの最大の武器である CyberVolk ランサムウェアは、その高度な機能と拡大する影響により、ThreatMon などのサイバー・セキュリティ専門家の注目を集めている。
Continue reading “CyberVolk ランサムウェアの台頭:C2 サーバを必要としない自律型の暗号化機能を備えている”Cyberattackers Exploit Google Sheets for Malware Control in Likely Espionage Campaign
2024/08/30 TheHackerNews — Google Sheets を Command and Control (C2) メカニズムとして悪用する、新しいマルウェア・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、Proofpoint により検出された活動は、2024年8月5日から始まり、世界中の 70 を超える組織を標的にしているようだ。具体的に言うと、ヨーロッパ/アジア/米国における税務当局になりすまし、情報を収集して追加のペイロードを配信するために、Voldemort と呼ばれる独自のツールを使っている。
Continue reading “Google Sheets を悪用するマルウェア:基本的な技術/機能による巧妙な手口とは?”North Korean Hackers Launch New Wave of npm Package Attacks
2024/08/29 InfoSecurity — 北朝鮮に関連する脅威グループが関与する悪意のアクティビティが、最近になって急増していることがサイバー・セキュリティ研究者によって特定された。それにより明らかになったのは、npm エコシステムを標的とする組織的なキャンペーンの存在である。この、2024年8月12日に始まったキャンペーンは、開発者たちの環境に侵入して、機密データを盗むように設計された悪意の npm パッケージを公開するものである。
Continue reading “npm へ攻撃:難読化された悪意のパッケージを展開する北朝鮮の脅威グループ”SonicWall Warns: New Malware Targets Gmail
2024/08/27 SecurityOnline — Gmail アカウントを標的とする、コンパイル済みの AutoIT 実行ファイルが、SonicWall Capture Labs の脅威リサーチ・チームにより発見された。このマルウェアは、元々 “File.exe” と命名されており、各種の手口を用いてユーザー・アカウントを侵害するものである。具体的には、クリップボード・データの読み取り/キー入力のキャプチャ/マウス・イベントの取得などを行うとされる。
Continue reading “Gmail を狙う新たなマルウェア:MalAgent.AutoITBot を SonicWall が発見”Hacking the Hacker: Researcher Found Critical Flaw (CVE-2024-45163) in Mirai Botnet
2024/08/25 SecurityOnline — 2016年以降において IoT とサーバの環境を悩ませてきた、悪名高いマルウェア Mirai ボットネット内に深刻な脆弱性が存在することを、セキュリティ研究者である Jacob Masse が明らかにした。この脆弱性 CVE-2024-45163 (CVSS 9.1) を活用することで、Mirai ボットネットの C2 サーバに対するリモート・サービス拒否 (DoS) 攻撃が可能になり、その運用が麻痺させる可能性が生じている。
Continue reading “ハッカーを逆ハッキング:Mirai Botnet の脆弱性 CVE-2024-45163 を活用する PoC が登場!”Hackers Exploit PHP Vulnerability to Deploy Stealthy Msupedge Backdoor
2024/08/20 TheHackerNews — Msupedge という新たなバックドアを用いるハッカーたちが、台湾の大学を標的にしたサイバー攻撃を行っている。Broadcom 傘下の Symantec Threat Hunter Team は、「Msupedge の最大の特徴は、DNS トラフィックを介して C&C (command-and-control) サーバと通信する点だ」と述べている。この攻撃の目的とバックドアの出どころは、現在のところ不明である。
Continue reading “Msupedge という新たなバックドア:DNS と PHP の CVE-2024-4577 を悪用”Cybercriminals Evolve Social Engineering Tactics, Exploit CVE-2022-26923 in Sophisticated Campaign
2024/08/16 SecurityOnline — 先日にサイバーセ・キュリティ企業 Rapid7 が特定したのは、同社の脅威インテリジェンス・チームが継続的に監視している、進行中のソーシャル・エンジニアリング・キャンペーンに関連する一連の巧妙な侵入の試みである。このキャンペーンは、欺瞞的かつ技術的なテクニックを織り交ぜて組織を標的とするものであり、最近では、セキュリティ対策の迂回や、新たなツールやテクニックの採用により、システム侵害の確率を高めている。
Continue reading “Windows の脆弱性 CVE-2022-26923 の悪用:電子メール爆弾から RAT へつなげる手口とは?”Malware force-installs Chrome extensions on 300,000 browsers, patches DLLs
2024/08/09 BleepingComputer — 現時点において進行中の広範なマルウェア・キャンペーンにより、30万以上の Web ブラウザに悪意の Chrome/Edge エクステンションが強制インストールされ、ブラウザの実行ファイルが変更され、ホームページがハイジャックされ、閲覧履歴が盗まれるという被害が発生している。問題のインストーラーとエクステンションは、通常ウイルス対策ツールでは検出されないものであり、感染したデバイス上でのデータ窃取やりコマンド実行を試行するよう設計されているという。このキャンペーンを発見した ReasonLabs の研究者たちが警告するのは、初期感染を達成するために、その背後にいる脅威アクターが多様な不正広告テーマを採用している点である。
Continue reading “Chrome/Edge を狙うキャンペーン:エクステンションの弱点を突いて 30万台の DLL を侵害”C2 Tracker: A Community-Driven IOC Feed for Cybersecurity
2024/08/06 SecurityOnline — 日々進化するサイバー・セキュリティ脅威の状況において、最新かつ信頼できる脅威インテリジェンスへのアクセスは、最も重要なことである。この C2 Tracker は、Shodan と Censys の検索を活用して、既知のマルウェア/ボットネット Command and Control (C2) インフラに関連する IP アドレスを収集する、無料のオープンソース IOC (Indicator of Compromise) フィードである。
Continue reading “C2 Tracker はコミュニティ主導の IOC Feed ツール:Shodan と Censys を活用して何ができる?”MISP: Open-source threat intelligence and sharing platform
2024/08/05 HelpNetSecurity — MISP (Malware Information Sharing Platform) とは、インシデントやマルウェア分析に関連するサイバー・セキュリティ指標や脅威を、収集/保存/配布/共有するための、脅威インテリジェンスを共有するための OSS プラットフォームのことである。Cyber Security/ICT の専門家たちや、マルウェア解析者たちのために設計されており、構造化された情報を効率的に共有することで、彼らの日常業務をサポートする。
Continue reading “MISP とは? 脅威インテリジェンスを共有するための OSS プラットフォーム”New Linux Variant of Play Ransomware Targeting VMware ESXi Systems
2024/07/22 TheHackerNews — VMware ESXi 環境を標的とするように設計された、Play (別名:Balloonfly/PlayCrypt) というランサムウェアの Linux 亜種が、サイバーセキュリティ研究者たちにより発見された。Trend Micro の研究者たちは、7月19日に公開されたレポートの中で、「この動向は、グループの攻撃対象が Linux プラットフォーム全体に広がっている可能性を示唆している。それにより Play は、被害者の拡大と身代金交渉の成功を得ている」と述べている。
Continue reading “Linux 版ランサムウェア Play の新種が登場:VMware ESXi システムを狙っている”Chinese Hacking Group APT41 Infiltrates Global Shipping and Tech Sectors, Mandiant Warns
2024/07/18 SecurityWeek — ヨーロッパとアジアの海運/ロジスティクス/テクノロジー/自動車産業の組織に侵入したとして摘発された、中国政府が支援する多発ハッキング・チーム APT41 によるマルウェア攻撃が、大規模なレベルで復活していることを、Mandiant の研究者たちが指摘している。Mandiant の警告によると、侵入された組織の大部分は英国/イタリア/スペイン/トルコ/タイ/台湾にあるという。これらの組織に侵入した APT41 は、遅くとも 2023年以降において、不正アクセスを長期にわたって維持することに成功しているようだ。
Continue reading “中国由来の APT41 が復活:世界のロジスティクスやテクノロジーなどの産業を狙っている – Mandiant”UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying
2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。
Continue reading “Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?”China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices
2024/06/17 TheHackerNews — 中国と密接な関係にあると疑われるサイバー・スパイが、約3年間という長期間にわたり、東アジアの無名の組織に対して攻撃を続けていたことが判明した。この脅威アクターは、F5 BIG-IP のレガシー・アプライアンスを悪用して永続性を確立し、内部 C&C (command-and-control) として使用することで、セキュリティを回避していた。2023年の後半に、この活動に対応したサイバー・セキュリティ企業 Sygnia は、Velvet Ant という名前で追跡した結果として、迅速な機動力と対処策に適応する強力な能力を有すると分析している。
Continue reading “F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia”North Korean Hackers Exploit Old Office Flaw to Deploy Keylogger
2024/06/13 SecurityOnline — 北朝鮮の国家支援グループ Kimsuky により、新たなサイバー・スパイ・キャンペーンが実施されていることを、AhnLab Security Emergency response Center (ASEC) が公表した。このグループは、Microsoft Office の数式エディタに存在する、既知の脆弱性 CVE-2017-11882 を悪用して、高度なキーロガーを配信している。
Continue reading “MS Office の古い脆弱性 CVE-2017-11882 を悪用:北朝鮮の Kimsuky がキーロガーを配信”MITRE December 2023 Attack: Threat Actors Created Rogue VMS To Evade Detection
2024/05/25 SecurityAffairs — MITRE Corporation は、昨年末に発生した攻撃に関するアップデート情報を公開した。MITRE は、研究/試作ネットワークの1つにセキュリティ侵害があったことを、2024年4月に明らかにしている。同組織のセキュリティ・チームは速やかに調査を開始し、脅威アクターをログアウトさせ、サードパーティの DFIR (Forensics and Incident Response) チームに依頼し、社内の専門家たちと共同で独自の分析を実施した。
Continue reading “MITRE が公表した 2024年1月の攻撃:不正な VMS を用いて検知を回避”Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern
2024/05/23 TheHackerNews — VMware ESXi インフラを標的とするランサムウェア攻撃は、展開されたファイル暗号化マルウェアに関係なく、確立されたパターンに従って実行されている。サイバー・セキュリティ企業 Sygnia のレポートには、「ユーザー組織において、IT インフラの中核的なコンポーネントである仮想化プラットフォームは、ミスコンフィグや脆弱性が生じることが多い。そのため、脅威アクターにとって格好の、きわめて効果的なターゲットになっている」と記されている。
Continue reading “VMware ESXi の脆弱性を悪用したランサムウェア攻撃が深刻化している – Sygnia”Threat Actors Abuse GitHub to Distribute Multiple Information Stealers
2024/05/15 SecurityWeek — 5月13日 (火) に脅威インテリジェンス企業 Recorded Future は、正規の GitHub プロフィールを悪用して情報窃取マルウェアを配布する、悪質なキャンペーンに対して警鐘を鳴らした。このキャンペーンの一環として、Commonwealth of Independent States (CIS) で活動するロシア語圏の脅威アクターたちが、1Password/Bartender 5/Pixelmator Proなどの正規アプリケーションを装いながら、Atomic macOS Stealer (AMOS)/Vidar/Lumma/Octo などのマルウェアを配布している。
Continue reading “GitHub とマルウェア群:共通のインフラから AMOS/Vidar/Lumma/Octo などで侵害”Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft
2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的/効果的であるということに気づき始めている。独自のインフラを構築/維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。
Continue reading “Microsoft Graph API :C2 インフラ構築のための悪用が増加している”
IoT OT Security News 
You must be logged in to post a comment.