FormBook が8月のトップ・マルウェア:Emotet は5位に転落という急激な動き

FormBook Knocks Off Emotet As Most Used Malware in August

2022/09/14 InfoSecurity — FormBook が、現時点で最も多く発見されたマルウェアとなったが、2022年1月に再登場してからトップの座を守ってきた、Emotet を退けての結果である。 FormBook は、Windows OS を標的とする情報窃取ツールであり、認証情報の取得/スクリーン・ショットの収集/キーストローク監視/ログ取得などを行うものである。また、Command and Control (C&C) の命令に従ってファイルをダウンロードし、実行できる。さらに、強力な回避技術と比較的安価な価格も特徴である。

Continue reading “FormBook が8月のトップ・マルウェア:Emotet は5位に転落という急激な動き”

日本政府の Web サイトが攻撃される:犯行を主張する Killnet とは?

Japan Government Websites Hit By Cyber-Attacks, Killnet Suspected

2022/09/07 InfoSecurity — ロシア系のハッカー集団 Killnet が、日本政府の4組織における 20件の Web サイトおよび、日本企業に対する一連のサイバー攻撃の犯行を主張している。松野博一官房長官によると、日本政府 Web サイトにおける問題と、サービス妨害 (DDoS) 攻撃との関連性について調べているとのことだ。また、日本政府のデジタル庁は、水曜日に e-Gov 行政ポータルの一部で、サービスへのログインに問題があったと述べたが、原因は明らかにしていない。

Continue reading “日本政府の Web サイトが攻撃される:犯行を主張する Killnet とは?”

Google Translate アプリを装う Windows マルウェアが登場:1ヶ月の潜伏を経て発症

Windows malware delays coinminer install by a month to evade detection

2022/08/29 BleepingComputer — Google Translate/MP3 Downloader を装う新たな悪意のキャンペーンにより、暗号通貨マイニング・マルウェアが 11ヶ国に配布されていることが判明した。この偽のアプリケーション群は、正規のフリーソフトウェア・サイトを通じて配布されている。そのため、サイトの一般訪問者に対して、また、検索エンジンを介して、悪意のアプリケーションを広められていることになる。

Continue reading “Google Translate アプリを装う Windows マルウェアが登場:1ヶ月の潜伏を経て発症”

PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮

One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious

2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。

Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”

PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取

10 Credential Stealing Python Libraries Found on PyPI Repository

2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。

Continue reading “PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取”

SMS Bomber + Nimbda Backdoor:中国発のグレーウェアを悪用する意図はどこに?

Chinese Hackers Distributing SMS Bomber Tool with Malware Hidden Inside

2022/06/23 TheHackerNews — ハッカー集団 Tropic Trooper と関係のある脅威クラスタが、新たなキャンペーンの一環として、Nim 言語でコーディングされた、未知のマルウェアを使用していることが確認された。Nimbda と命名されたこの新しいローダーは、中国語のグレーウェア SMS Bomber ツールにバンドルされており、中国語圏で違法に配布されている可能性が高いと、イスラエルのサイバー・セキュリティ企業である Check Point は報告書で述べている

Continue reading “SMS Bomber + Nimbda Backdoor:中国発のグレーウェアを悪用する意図はどこに?”

XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す

New XLoader botnet uses probability theory to hide its servers

2022/05/31 BleepingComputer — 脅威アナリストたちが明らかにしたのは、ボットネット・マルウェア XLoader の新バージョンでは、確率論を用いた Command and Control (C2) サーバー隠蔽機能が実装され、マルウェアの対策が困難になるという点である。それにより、マルウェアの運営者は、特定された IP アドレスのブロックによりノードを失うというリスクを負うことなく、同じインフラを使い続けることが可能となり、また、追跡/特定のリスクも低減されるという。

Continue reading “XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す”

ランサムウェアの調査:全体的な損失の 約 15% が身代金の平均値

Ransom payment is roughly 15% of the total cost of ransomware attacks

2022/04/28 BleepingComputer —ランサムウェアの攻撃がもたらす副次的な影響について、研究者たちが分析したところ、脅威アクターが要求した身代金の約7倍ものコストが掛かることが判明した。これらのコストには、インシデント対応作業/システムの復旧/弁護士費用/モニタリングなどに加えて、ビジネスの中断による全体的な経済的負担が含まれる。一般的に、ランサムウェア攻撃では、企業からデータが盗み出され、システムが暗号化されることで、被害者に圧力が掛かることで、ファイルを復号するための費用を支払い、データ漏洩を回避することになる。

Continue reading “ランサムウェアの調査:全体的な損失の 約 15% が身代金の平均値”

Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?

Emotet botnet switches to 64-bit modules, increases activity

2022/04/19 BleepingComputer — Emotet マルウェアの配布が急増しているが、現時点のアンチウイルス・エンジンでは少量のみが検出されている、新しいペイロードに間もなく切り替わる可能性もある。2022年3月のことだが、このボットネットを追跡するセキュリティ研究者が、悪意のペイロードを含む電子メールの量が、10倍に増加したことを観察している。Emotet は、ホスト上で持続性をキープし自己増殖する、モジュール型トロイの木馬である。

Continue reading “Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?”

LinkedIn ユーザーなりすましが急増:大量の実用的な情報を狙うハッカーたち

LinkedIn brand takes lead as most impersonated in phishing attacks

2022/04/19 BleepingComputer — セキュリティ研究者たちの警告によると、フィッシング攻撃で最も詐称されるブランドは LinkedIn であり、世界レベルで全体の 52% 以上を占めているとのことだ。サイバー・セキュリティ企業の Check Point のデータによると、2022年 Q1 のフィッシング・インシデントにおける、LinkedIn ブランドの悪用が劇的に増加している。同社によると、2021年 Q4 は、LinkedIn はリストの5位であり、なりすまし攻撃の件数は 8% というレベルであった。

Continue reading “LinkedIn ユーザーなりすましが急増:大量の実用的な情報を狙うハッカーたち”

Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す

Google Removes Dangerous Banking Malware From Play Store

2022/04/08 DarkReading — 2021年10月に表面化し、現在も野放しになっている、SharkBot と呼ばれる危険な Android バンキング・トロイの木馬は、Google Play という信頼できるモバイル・アプリ・ストアを通じて、マルウェアを配布しようとする脅威アクターの執念を示す最新の事例である。

この不正プログラムは、発見者が次世代型と表現しているように、銀行口座にログインしている被害者に、感染させた Android 端末を使用させ、多要素認証の制御をバイパスし、銀行口座からひそかに不正送金するものだ。SharkBot は、認証情報やクレジットカード情報を盗むことも可能であり、また、検出の複雑化により発見を遅らせるなどの、複数の機能を搭載している。

Continue reading “Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す”

Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?

Mirai malware now delivered using Spring4Shell exploits

2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。

Continue reading “Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?”

SpringShell 問題を抱える組織と脅威アクターたち:すでに6社に1社がターゲットに

SpringShell attacks target about one in six vulnerable orgs

2022/04/05 BleepingComputer — あるサイバー・セキュリティ企業の統計によると、ゼロデイ脆弱性 Spring4Shell の影響を受ける世界中の組織の約6社に1社は、すでに脅威者に狙われていることが判明した。この、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-22965 の、エクスプロイト・コードが公開されてから4日間で、悪用の試みが行われているようだ。テレメトリ・データを基にレポートをまとめた Check Point によると、この週末だけで 37,000件の Spring4Shell 攻撃が検出されたとのことだ。

Continue reading “SpringShell 問題を抱える組織と脅威アクターたち:すでに6社に1社がターゲットに”

Microsoft が Spring4Shell 攻撃を検出:広範囲のクラウドで少量の悪用の施行

Microsoft detects Spring4Shell attacks across its cloud services

2022/04/05 BleepingComputer — Microsoft は、深刻なリモートコード実行 (RCE) 脆弱性 (Spring4Shell/SpringShell) を標的とした少量の悪用の試みを、同社のクラウド・サービスにおいて追跡していると発表した。この Spring4Shell の脆弱性 CVE-2022-22965 は、最も広く使用されているライトウェイト Java オープンソース・フレームワークとされる、Spring Framework に影響を与える。

Continue reading “Microsoft が Spring4Shell 攻撃を検出:広範囲のクラウドで少量の悪用の施行”

Microsoft Teams チャットを介したマルウェアの展開:過大な信頼は危険

Hackers slip into Microsoft Teams chats to distribute malware

2022/02/17 BleepingComputer — Microsoft Teams のアカウントを侵害してチャットに潜入し、会話の参加者に悪意の実行ファイルを拡散させる攻撃者がいると、セキュリティ研究者たちが警告している。毎月 2億7千万人以上のユーザーが Microsoft Teams を利用しているが、悪意のファイルに対する保護機能がないにもかかわらず、このプラットフォームは暗黙のうちに信頼されている。

Continue reading “Microsoft Teams チャットを介したマルウェアの展開:過大な信頼は危険”

TrickBot の進化:難読化された 20本以上のモジュールを自在に操る

TrickBot developers continue to refine the malware’s sneakiness and power

2022/02/16 CyberScoop — Check Point Research によると、汎用性の高いマルウェア TrickBot の開発者は、サイバーセキュリティ・アナリストの一歩先を進み、金融機関やテクノロジー企業の顧客に対して大きな危険をもたらし続けているとのことだ。水曜日に発表した調査結果で同社は、「TrickBot の開発者は、アンチ分析と難読化の機能を幾重にも備えており、専門家がマルウェアのコードを解析しようとする際に、Command and Control との通信を遮断し、動作を完全に停止することがある。

Continue reading “TrickBot の進化:難読化された 20本以上のモジュールを自在に操る”

Adobe Magento の深刻な脆弱性 CVE-2022-24086 が FIX:RCE の可能性

Emergency Magento update fixes zero-day bug exploited in attacks

2022/02/14 BleepingComputer — Adobe は、深刻な脆弱性 CVE-2022-24086 を修正し、Adobe Commerce と Magento Open Source に対して緊急アップデートを提供した。この脆弱性について、現時点では技術的な詳細は公表されていないが、この脆弱性を悪用する際に認証は必要されないと、Adobe は強調し、深刻度を示す CVSS 値は 9.8 だと評価している。

Continue reading “Adobe Magento の深刻な脆弱性 CVE-2022-24086 が FIX:RCE の可能性”

Microsoft RDP 脆弱性 CVE-2022-21893:データ窃取やスマートカード PIN 傍受が生じる

Microsoft RDP Bug Enables Data Theft, Smart-Card Hijacking

2022/01/13 DarkReading — 少なくとも、Microsoft Windows Server 2012 R2 以降のシステムは、Remote Desktop Services プロトコルの脆弱性の影響を受けるようだ。この脆弱性により、RDP 経由でリモートシステムに接続した攻撃者は、接続している正当なユーザーたちの、そのマシン上のファイル・システムにアクセスすることが可能になる。

Continue reading “Microsoft RDP 脆弱性 CVE-2022-21893:データ窃取やスマートカード PIN 傍受が生じる”

イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下

State hackers use new PowerShell backdoor in Log4j attacks

2022/01/11 BleepingComputer — イランの国家支援グループ APT35 (Charming Kitten/Phosphorus) に属すると思われるハッカーが、Log4Shell 攻撃により新たな PowerShell バックドアを投下していることが確認されている。このモジュール型ペイロードは、C2 通信を処理し、システムの列挙を行い、最終的には追加モジュールの受信/復号化/ロードを行うことが可能とされる。Log4Shell は、12月に公開された Apache Log4j の深刻なリモートコード実行の脆弱性 CVE-2021-44228 を悪用するものである。

Continue reading “イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下”

Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに

New Mac Malware Samples Underscore Growing Threat

2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。

Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”

Zloader バンキング・マルウェアの新キャンペーン:Microsoft 署名検証を悪用

New Zloader Banking Malware Campaign Exploiting Microsoft Signature Verification

2022/01/04 TheHackerNews — 現在進行中の ZLoader マルウェア・キャンペーンは、リモート監視ツールおよび Microsoft のデジタル署名検証に関する9年前の欠陥を悪用することで、ユーザーの認証情報や機密情報を吸い上げていることが判明している。イスラエルのサイバー・セキュリティ企業である Golan Cohen Research は、この巧妙な感染経路を 2021年11月から追跡してきましたが、過去の攻撃との類似点を指摘し、Malsmoke と呼ばれる脅威アクター・グループの犯行であるとしている。

Continue reading “Zloader バンキング・マルウェアの新キャンペーン:Microsoft 署名検証を悪用”

Log4j の攻撃手法が LDAP から RMI へ:現時点では Monero マイナーが使用

Log4j attackers switch to injecting Monero miners via RMI

2021/12/16 BleepingComputer — Apache Log4j の脆弱性を悪用する一部の脅威アクターたちは、LDAP コールバック URL から RMI への切り替えを図り、また、成功の可能性を最大限に高めるために、1つのリクエストで双方を使用しているようだ。この移行は、進行中の攻撃における顕著な変化であり、すべての潜在的な攻撃ベクターを、防御者が保護しようとする際に注意する必要が生じる。

Continue reading “Log4j の攻撃手法が LDAP から RMI へ:現時点では Monero マイナーが使用”

Log4j の悪用:企業ネットワークの 40% が攻撃者の標的になり得る

40% of Corporate Networks Targeted by Attackers Seeking to Exploit Log4j

2021/12/14 DarkReading — Log4j の脆弱性が、インターネット・セキュリティにとって最大の脅威の1つであるという初期の懸念は、週末に爆発的に増加した脆弱性の悪用と悪用活動により早急に確認されており、企業が行うべき修復作業の膨大さが明らかになっている。

Continue reading “Log4j の悪用:企業ネットワークの 40% が攻撃者の標的になり得る”

Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している

Emotet Is Back and More Dangerous Than Before

2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。

Continue reading “Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している”

Trickbot マルウェア開発者の逮捕:バンキング・トロイの木馬などの容疑

Trickbot arrest: Russian national extradited to US for alleged role in developing notorious banking trojan

2021/10/29 DailySwig — Trickbot グループのメンバーとして疑われているロシア人が、韓国から米国に送還され、連邦裁判所に初出廷した。Vladimir Dunaev (38歳) は、Trickbot グループのマルウェア開発者として、マルウェアの実行管理、および、ブラウザ改竄プログラムの開発、マルウェアの難読化といった、技術支援を行っていたとされる。

Continue reading “Trickbot マルウェア開発者の逮捕:バンキング・トロイの木馬などの容疑”

北米の組織に対するサイバー攻撃:平均で 497 件/週という密度

North American Orgs Hit With an Average of 497 Cyberattacks per Week

2021/10/09 DarkReading — 今週に発表された新しいデータは、COVID-19パンデミックにより職場や業務に劇的な変化がもたらされ、世界中の組織に対するサイバー攻撃が急増しているという、数多くの報告を裏付けるものとなった。

Continue reading “北米の組織に対するサイバー攻撃:平均で 497 件/週という密度”

Netflix を装う Android マルウェアが WhatsApp 経由で増殖

Android malware infects wannabe Netflix thieves via WhatsApp

2021/04/07 BleepingComputer — 先日に Google Play Store で発見された、Netflix ツールを装う Android マルウェアは、WhatsApp の自動メッセージ返信機能を悪用して、他のデバイスに自動的に拡散されるようデザインされている。

Continue reading “Netflix を装う Android マルウェアが WhatsApp 経由で増殖”