Linux Systems Targeted: Open-Source Pupy RAT Exploited in Attacks Across Asia
2024/04/21 SecurityOnline — Pupy と呼ばれるパワフルな RAT (Remote Access Trojan) が、韓国を含むアジア全域の Linux システムを標的とした攻撃で積極的に武器化されている。AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちが、先日に発見したのは、Pupy の巧妙なオペレーションの存在であり、そこでは Decoy Dog という新たな亜種も用いられているという。
Continue reading “Linux を標的とする OSS Pupy RAT:充実したポスト・エクスプロイト機能でアジアを狙う”Hackers Deploy Python Backdoor in Palo Alto Zero-Day Attack
2024/04/13 TheHackerNews — Palo Alto Networks の PAN-OS ソフトウェアに存在するゼロデイ脆弱性だが、昨日に明るみに出る前の 2024年3月26日の時点から、3週間にわたり脅威アクターたちに悪用されてきたことが判明した。Palo Alto Networks の Unit 42 は、Operation MidnightEclipse という名称で、この活動を追跡している。現時点では、単一の脅威アクターの仕業であるとしているが、その出所は不明とされる。この脆弱性 CVE-2024-3400 (CVSS:10.0) は、コマンド・インジェクションの欠陥であり、認証されていない攻撃者に対して、ファイアウォールの root 権限を用いた任意のコード実行を許すものである。
Continue reading “Palo Alto のゼロデイ CVE-2024-3400:公開の3週間前から Python バックドア”Alert: New Phishing Attack Delivers Keylogger Disguised as Bank Payment Notice
2024/03/27 TheHackerNews — 革新的なローダー・マルウェアを活用する、新たなフィッシング・キャンペーンにより、情報窃取とキーロガーの機能を持つ Agent Tesla が配信されている。Trustwave Spider Labs によると、2024年3月8日に、この攻撃チェーンを持つフィッシング・メールが発見されたという。このメッセージは、銀行からの支払い通知を装い、ユーザーにアーカイブ・ファイルの添付ファイルを開くよう促すものだった。このアーカイブ (Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz) には、悪意のローダーが隠されており、感染させたホスト上で Agent Tesla を展開する手順を起動させる。
Continue reading “Agent Tesla というマルウェア:銀行振込通知を装うフィッシングで配布されている”TeamCity Flaw Leads to Surge in Ransomware, Cryptomining, and RAT Attacks
2024/03/20 TheHackerNews — 先日に公開された JetBrains TeamCity の脆弱性を悪用する複数の脅威アクターが、ランサムウェア/暗号通貨マイナー/Cobalt Strike ビーコンや、Spark RATと呼ばれる Golang ベースの RAT などを展開している。この攻撃は、脆弱性 CVE-2024-27198 (CVSS:9.8) を悪用するものであり、敵対者は認証手段を回避し、影響を受けたサーバの管理者権限を取得する可能性を持つ。
Continue reading “TeamCity の脆弱性 CVE-2024-27198:さまざまな脅威アクターが武器化している”Cybereason Uncovers Widespread Exploitation of Apache ActiveMQ Vulnerability
2024/03/14 SecurityOnline — Apache ActiveMQ メッセージング・サービスに存在する深刻な脆弱性 CVE-2023-46604 を狙う危険な攻撃の波について、Cybereason Security Services が警鐘を鳴らしている。この脆弱性を悪用する複数の脅威アクターが、驚くべきスピードで発生しており、その手口は多様であるため、早急な対策が欠かせないと、新たに発表した脅威分析レポートで、Cybereason は指摘している。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604 を悪用する攻撃:多様なペイロードを展開”BianLian Threat Actors Exploiting JetBrains TeamCity Flaws in Ransomware Attacks
2024/03/11 TheHackerNews — BianLian ランサムウェアを操る脅威アクターが、JetBrains TeamCity セキュリティ欠陥を悪用して、恐喝のみを目的とした攻撃を行っていることが確認されている。最近の侵入インシデントを調査した GuidePoint Security のレポートによると、このインシデントは、TeamCity サーバーの悪用から始まり、最終的には BianLian の Go バックドアの PowerShell 実装が展開されという。
Continue reading “JetBrains TeamCity の脆弱性 CVE-2024-27198:BianLian ランサムウェア攻撃に悪用されている”ScreenConnect flaws exploited to drop new ToddleShark malware
2024/03/04 BleepingComputer — 北朝鮮の APT ハッキング・グループである Kimsuky は、ScreenConnect の脆弱性を、特に CVE-2024-1708/CVE-2024-1709 を悪用して、ToddleShark という新しいマルウェアの亜種をターゲットに感染させている。Kimsuky (別名 Thallium/Velvet Chollima) は、北朝鮮の国家支援ハッキング・グループであり、世界中の組織や政府に対するサイバー・スパイ攻撃で知られている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1708/CVE-2024-1709:マルウェアの投下に悪用されている”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”New SSH-Snake malware steals SSH keys to spread across the network
2024/02/21 BleepingComputer — SSH-Snake というオープンソースのネットワーク・マッピングツールを操る脅威アクターが、被害者のインフラ上で密かに秘密鍵を探し出し、横方向へと移動している。Sysdig の Threat Research Team (TRT) が発見した SSH-Snake は、”自己修正型ワーム” と表現されている。このマルウェアは、一般的なスクリプト攻撃に散見されるパターンを回避するという意味で、従来からの SSH ワームとは一線を画している。
Continue reading “SSH-Snake という最新のマルウェア:SSH キーを効果的に窃取してネットワーク全体に拡散”Anatsa Android Trojan Bypasses Google Play Security, Expands Reach to New Countries
2024/02/19 TheHackerNews — 新たなキャンペーンとして 2023年11月に観測された、Anatsa と呼ばれる Android バンキング型トロイの木馬は、スロバキア/スロベニア/チェコへと活動の範囲を拡大している。ThreatFabric は、「このキャンペーンにおけるドロッパーの一部は、Google Play の強化された検出/保護メカニズムを回避して、Accessibility Service の悪用に成功している」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Anatsa という Android トロイの木馬:Google Play のセキュリティを回避していた”Malicious Ads on Google Target Chinese Users with Fake Messaging Apps
2024/01/26 TheHackerNews — Google Ads で展開されている、Telegram などのメッセージング・アプリの不正広告キャンペーンにより、中国語圏のユーザーが狙われているという。1月25日のレポートで Malwarebytes の Jerome Segura は、「この脅威アクターは、Google の広告主アカウントを使用して悪意の広告を作成し、無防備なユーザーを RAT (Remote Administration Trojan) のダウンロード・ページに誘導している。この種の RAT は、攻撃者による被害者マシンの完全なコントロールを達成し、追加のマルウェアをドロップする能力を与える」と述べている。
Continue reading “FakeAPP という不正広告キャンペーン:偽の Google Ads で Line ユーザーも標的に!”Blackwood hackers hijack WPS Office update to install malware
2024/01/25 BleepingComputer — Blackwood という新たな APT (advanced threat actor) が、企業や個人に対するサイバースパイ攻撃のために、NSPX30 と呼ばれる高度なマルウェアを使用していることが判明した。この脅威アクターは、遅くとも 2018年から活動しており、中間者攻撃 (AitM:Adversary-in-the-Middle) に加えて、単純なバックドアに根ざしたコードベースを持つ、インプラントである NSPX30 マルウェアを 2005年から利用している。
Continue reading “Blackwood という APT:WPS Office などのアップデートから NSPX30 マルウェアを配布”Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion
2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。
Continue reading “Phemedrone スティーラー:Windows の脆弱性 CVE-2023-36025 を悪用している”Chameleon Android Malware Can Bypass Biometric Security
2023/12/22 SecurityWeek — Chameleon という Android バンキング型トロイの木馬のは、新しいバイパス機能を備えており、その標的地域を拡大していると、オンライン詐欺検出会社 ThreatFabric が報告している。この、2023年初頭から活動しているマルウェアは、オーストラリアとポーランドのモバイル・バンキング・アプリケーションを標的化するところから始まり、その後にはイギリスとイタリアにまで、その侵害の範囲を広げている。
Continue reading “Chameleon という Android マルウエア:バイオメトリック・プロンプトをバイパス”Fake VPN Chrome extensions force-installed 1.5 million times
2023/12/22 BleepingComputer — VPN (Virtual Private Networks) を装う悪意の Chrome エクステンションが、150万回もダウンロードされていることが判明した。この悪意のエクステンションは、ブラウザ・ハイジャッカー/キャッシュバック・ハックツール/データ・スティーラーとしての、3つの機能を有しているという。この悪質なエクステンションを発見した ReasonLabs によると、それらのエクステンションは、Grand Theft Auto/Assassins Creed/The Sims 4 などの、人気ビデオゲームの海賊版に隠されたインストーラーを介して、多数のサイトから拡散しているという。
Continue reading “悪意の VPN Chrome エクステンション:すでに 150万回インストールされている”Unsung GitHub Features Anchor Novel Hacker C2 Infrastructure
2023/12/19 DarkReading — ある GitHub アカウントが、このサイトの2つのユニークな機能を悪用して、ステージ2のマルウェアをホストしていることを、研究者たちが発見した。この、パブリックなサービスが、不正行為の拠点としてハッカーに再利用されることが、最近になって増えてきている。ハッカーたちは、コード・リポジトリやファイル共有サービスにマルウェアを格納し、メッセージング・アプリから Command and Control (C2) を実行することに加えて、SaaS (Software-as-a-Service) プラットフォームを悪用することで、想像もつかないような手口で悪事を働くことがある。
Continue reading “GitHub の gists/commits 機能:マルウェアのホストに悪用されている”New Threat Actor Uses SQL Injection Attacks to Steal Data From APAC Companies
2023/12/14 SecurityWeek — 脅威ハンティング・インテリジェンス企業 Group-IB のレポートによると、2023年9月以降において新たな脅威アクターが、8カ国 (主に APAC) の 24の組織を標的としているという。この、GambleForce と名付けられたハッキング・グループは、SQL インジェクションを使用し、ギャンブル/旅行/小売/行政などの分野の組織で利用される、Joomla CMS (Content Management System) の脆弱性を悪用して、ユーザー認証データなどの機密情報を盗んできた。
Continue reading “GambleForce ハッキング・グループ:Joomla の脆弱性 CVE-2023-23752 などを悪用している”Unmasking the Menace: Trend Micro Exposes AsyncRAT’s Deception
2023/12/11 SecurityOnline — 複雑に入り組んだサイバー脅威のエコシステムの中で、強烈な存在感を放つ AsyncRAT が新たに登場した。この RAT (Remote Access Tool) は、キーロギングや RDP 侵害などのために多彩な機能を提供することが確認されており、さまざまなサイバー・セキュリティ・プラットフォームで大きな注目を集めている。
Continue reading “AsyncRAT による侵害を解説:持続性のための機能と正規プロセスの悪用”RedLine Stealer Malware Deployed Via ScrubCrypt Evasion Tool
2023/11/30 InfoSecurity — RedLine Stealer マルウェアによりユーザー組織を標的にするために、ScrubCrypt という難読化ツールの新バージョンが使用されていると、詐欺センサー・ネットワークの Human Security が警告している。Human の Satori Threat Intelligence Team は、ダークウェブで販売されている ScrubCrypt の新たなビルドを発見した。そして、RedLine Stealer によるアカウント乗っ取りや詐欺において、このビルドの利用が確認されたと述べている。
Continue reading “RedLine マルウェアと ScrubCrypt 難読化ツール:脅威アクターたちの最新テクニックを解析”GoTitan Botnet Spotted Exploiting Recent Apache ActiveMQ Vulnerability
2023/11/29 TheHackerNews — 先日に公開された、Apache ActiveMQ に影響を及ぼす深刻なセキュリティ欠陥が、脅威アクターたちにより積極的に悪用されている。そこで配布されるマルウェアには、GoTitan という新たな Golang ベースのボットネットや、感染させたホストをリモートかんら操作する、悪意の .NET プログラム PrCtrl Rat などがある。この数週間における一連の攻撃では、Lazarus Group などのハッキング集団により武器化された、リモートコード実行の脆弱性 CVE-2023-46604 (CVSS:10.0) が悪用されている。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604:GoTitan ボットネットも巧撃に参戦”Mirai-based Botnet Exploiting Zero-Day Bugs in Routers and NVRs for Massive DDoS Attacks
2023/11/23 TheHackerNews — 2つの RCE ゼロデイ脆弱性を悪用して、Mirai ベースの分散型サービス妨害 (DDoS) ボットネット配信し、ルーターやビデオレコーダーを悪意のネットワークに接続させるという、活発なマルウェア・キャンペーンが発生している。Akamai は今週に発表したアドバイザリで、「このペイロードは、ルーターおよび NVR (Network Video Recorder) デバイス存在する、管理者用のデフォルト認証情報を標的として、侵入に成功した後に Mirai の亜種をインストールするものだ」と説明している。
Continue reading “Mirai ボットネットによる大規模な DDoS 攻撃:Router/NVR のゼロデイ脆弱性を悪用”WailingCrab Malware Evolves: Embracing MQTT for Stealthier C2 Communication
2023/11/23 SecurityOnline — 進化を続けるサイバーセキュリティの脅威の中で、マルウェアの運営者たちは絶えず戦術を洗練させ、検知を回避しながらシステムを侵害し続けている。IBM X-Force の研究者たちが明らかにしたのは、2022年12月に発見された WailingCrab マルウェア・ファミリーが、この傾向を例証していることである。具体的に言うと、その C2 通信メカニズムとステルス技術において、絶え間ない進化が示されているという。
Continue reading “WailingCrab マルウェアの進化:MQTT C2 通信でステルス性が進化”New Agent Tesla Malware Variant Using ZPAQ Compression in Email Attacks
2023/11/21 TheHackerNews — Agent Tesla マルウェアの新たな亜種が、ZPAQ 圧縮形式のルアー・ファイルを介して配信され、複数の電子メール・クライアントと、40近くの Web ブラウザから、データを採取していることが確認された。G Data のマルウェア・アナリストである Anna Lvova は、「ZIP や RAR などの広く使用されているフォーマットと比較して ZPAQ は、より優れた圧縮率とジャーナリング機能を提供する、ファイル圧縮フォーマットである」と、月曜日の分析で述べている。
Continue reading “Agent Tesla マルウェアの新たな亜種:Office の脆弱性 CVE-2017-11882 を悪用?”MySQL Servers, Docker Hosts Infected With DDoS Malware
2023/11/14 SecurityWeek — MySQL サーバと Docker ホストをターゲットにする脅威アクターが、分散型サービス拒否 (DDoS) 攻撃をするマルウェアを仕込んでいると、AhnLab Security Emergency Response Center の研究者たちが警告している。AhnLab によると、Windows 上の MySQL を標的とする攻撃が、脆弱な MySQL サーバ が Ddostf に感染することで頻度を増しているという。Ddostf は、遅くとも 2016年から存在する、中国起源の DDoS 対応ボットネットである。
Continue reading “MySQL/Docker にホストされる DDoS マルウェア:Ddostf と OracleIV の動向に注意”Python Malware Poses DDoS Threat Via Docker API Misconfiguration
2023/11/13 InfoSecurity — Docker Engine API の一般公開されたインスタンスを標的とする、新たなサイバー脅威が、セキュリティ研究者たちにより発見された。この OracleIV キャンペーンで、ミス・コンフィグレーションを悪用する攻撃者は、”oracleiv_latest “という名前のイメージからビルドされ、ELF (Executable and Linking Format) ファイルとしてコンパイルされる、 Python マルウェアを取り込んだ悪意の Docker コンテナをデプロイしている。この悪意のツールは、分散型サービス拒否 (DDoS) ボット・エージェントとして機能し、DoS 攻撃を行うための各種の攻撃手法を提示している。
Continue reading “Docker API のミス・コンフィグレーション:悪意の Docker コンテナ展開で悪用”New GootLoader Malware Variant Evades Detection and Spreads Rapidly
2023/11/07 TheHackerNews — GootBot と呼ばれる GootLoader マルウェアの新たな亜種は、侵害したシステム上で容易に横方向へ移動し、検出を回避することが判明した。IBM X-Force の研究者である Golo Mühr と Ole Villadsen は、「GootLoader グループが、攻撃チェーンの後半ステージに独自のカスタム・ボットを導入した理由は、CobaltStrike や RDP のような C2 用の既製ツールを使用した場合の、検出回避の試みにある。この新しい亜種は軽量かつ効果的なマルウェアであり、攻撃範囲はネットワーク全体へと急速に拡大し、さらなるペイロードの展開へといたる」と述べている。
Continue reading “GootLoader マルウェアの新たな亜種:検出回避と横展開を強化している”Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel
2023/11/06 TheHackerNews — Google Calendar サービスを悪用して、Command and Control (C2) インフラをホストする PoC エクスプロイトを、複数の脅威アクターが共有していることを、Google 自身が警告している。この、Google Calendar RAT (GCR) と呼ばれるツールは、Gmail アカウントを介して、C2 サーバとして Google Calendar Events を悪用するものだ。そして、2023年6月に GitHub に公開さてから、脅威アクターたちの間で共有されているという。
Continue reading “Google Calendar の悪用が露見:イベント記述を介して C2 通信が行われる”StripedFly malware framework infects 1 million Windows, Linux hosts
2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を5年間にわたり回避し、100万台以上の Windows/Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年 から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。
Continue reading “StripedFly という APT:5年間で 100万台以上の Windows/Linux システムに感染”Researchers warn of increased malware delivery via fake browser updates
2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。
Continue reading “Chrome/Edge/Firefox の偽アップデート:狡猾な手口で誘う ClearFake マルウェア”ShellBot Cracks Linux SSH Servers, Debuts New Evasion Tactic
2023/10/14 DarkReading — ShellBot マルウェアを操り Linux SSH サーバを狙うサイバー攻撃者たちが、新たな手法である 16 進数 IP (Hex IP) アドレスを用いて、振る舞いベースの検出を回避し、その活動を隠していることが判明した。AhnLab Security Emergency Response Center (ASEC) の研究者たちによると、この脅威アクターは、従来のドット付き10進数 Command-and-Control URL 形式 (hxxp://39.99.218[.]78) を、Hex IP アドレス形式 (hxxp://0x2763da4e/など) に変換することで、大半の URL ベースの検出シグネチャを回避しているという。
Continue reading “ShellBot マルウェア:Hex IP アドレスを用いた新たな回避手法で Linux SSH サーバを狙う”New BunnyLoader threat emerges as a feature-rich malware-as-a-service
2023/10/02 BleepingComputer —
セキュリティ研究者たちがハッカー・フォーラムで発見した新しい MaaS (Malware-as-a-Service) は、システム・クリップボードの内容を盗んで置き換えることができるファイルレス・ローダーであり、BunnyLoader と名付けられている。このマルウェアの開発は急速に進んでおり、新機能の追加やバグ修正が行われたアップデート版が提供されている。現時点で提供されている機能としては、ペイロードのダウンロードと実行/キーログの収集/機密データと暗号通貨の窃取/リモートコマンド実行などがある。
Continue reading “BunnyLoader は最強の Malware-as-a-Service:信じられないスピードで機能を強化している”GitHub Repositories Hit by Password-Stealing Commits Disguised as Dependabot Contributions
2023/09/28 TheHackerNews — 開発者からパスワードを盗むことを目的として、GitHub アカウントをハイジャックし、Dependabot の投稿を装いながら悪意のコードをコミットするという、新たな悪意のキャンペーンが観察された。Checkmarx はテクニカル・レポートで、「この悪意のコードは、GitHub プロジェクトで定義されたシークレットを、悪意の C2 サーバへと流出させる。それに加えて、攻撃したプロジェクト内の既存の javascript ファイルを、Webフォーム・パスワード・ステーラー・マルウェア・コードを用いて変更する」と述べている。
Continue reading “GitHub における偽装 Dependabot:悪意のコードをコミットさせる新たなキャンペーン”ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers
2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの1年間で ShadowSyndicate は、7種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum/Nokoyawa/BlackCat/ALPHV/Clop/Royal/Cactus/Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。
Continue reading “ShadowSyndicate というハッカー集団:複数のランサムウェアと C2 サーバを巧みに運用”Evasive Gelsemium hackers spotted in attack against Asian govt
2023/09/23 BleepingComputer — Gelsemium として追跡されているステルス性の APT が、2022年から2023年の半年間にわたって、東南アジアの政府を標的とした攻撃で観測された。Gelsemium は2014年から活動しているサイバースパイ集団であり、東アジアおよび中東の政府/教育機関/電子機器メーカーを標的としている。
Continue reading “Gelsemium というステルス APT の柔軟性:悪意のツール群を防御策に応じて運用”Over 700 Dark Web Ads Offer DDoS Attacks Via IoT in 2023
2023/09/22 InfoSecurity — IoT (Internet of Things) デバイスを悪用した分散型サービス拒否 (DDoS) 攻撃に関して、2023年のダークウェブ広告が 700件以上に急増したことが、Kaspersky の最新レポートで示唆されている。これらのサービスは、標的における DDoS 防御などを検証した結果により価格帯が異なり、1日あたり $20 や月額 $10,000 などで販売されている。平均すると、1日あたり $63.5で、1カ月あたり $1350 となっている。
Continue reading “IoT 攻撃とダークウェブの関係性:2023年には 700 件以上のマルウェア広告”Fake WinRAR proof-of-concept exploit drops VenomRAT malware
2023/09/20 BleepingComputer −−− 最近に修正された WinRAR の脆弱性に対する偽 PoC エクスプロイトが、あるハッカーにより GitHub で広めており、VenomRAT マルウェアのダウンローダーに感染させようとしている。この偽 PoC エクスプロイトは、Palo Alto Networks の Unit 42 チームの研究者たちにより発見され、2023年8月21日の時点で攻撃者により、悪意のコードが GitHub にアップロードされたことが報告されている。この攻撃は、すでに阻止されているが、 GitHub から調達した PoC の、安全性を確認せずに実行することのリスクが、改めて浮き彫りにされている。
Continue reading “WinRAR 用の 偽 PoC エクスプロイト:PowerShell を介して VenomRAT を展開”Earth Lusca’s New SprySOCKS Linux Backdoor Targets Government Entities
2023/09/19 TheHackerNews — Earth Lusca と呼ばれる中国由来の脅威アクターが、SprySOCKS という未知の Linux バックドアを用いて、各国の政府機関を標的としていることが確認された。Earth Lusca は、2022年1月に Trend Micro により初めて文書化され、アジア/オーストラリア/ヨーロッパ/北米の公共機関および民間企業に対する攻撃の詳細が報告された。この 2021年から活動しているグループは、スピアフィッシングや水飲み場攻撃を利用して、サイバー・スパイ活動を展開している。なお、その活動の一部は、RedHotel という名前で Recorded Future が追跡している、別の脅威クラスターと重複している。
Continue reading “Earth Lusca の SprySOCKS という Linux バックドア:中国から各国の政府機関を狙っている”Bumblebee malware returns in new attacks abusing WebDAV folders
2023/09/18 BleepingComputer — 2ヶ月ぶりに再登場した Bumblebee マルウェア・ローダーだが、4shared WebDAV サービスを悪用するという、新たな配布テクニックを用いている。WebDAV (Web Distributed Authoring and Versioning) とは、HTTP プロトコルの拡張機能であり、クライアントからリモート・オーサリング操作を実行し、Web サーバのコンテンツの作成/更新/削除などを可能にするものだ。Intel471 の研究者たちによると、2023年9月7日に開始された Bumblebee の最新キャンペーンは、4shared WebDAV サービスを悪用してローダーを配布し、攻撃チェーンを取り込むことで、いくつかの感染後アクションを実行していくという。
Continue reading “Bumblebee マルウェアが再登場:WebDAV サービスを悪用する新たなキャペーンを展開”Free Download Manager site redirected Linux users to malware for years
2023/09/12 BleepingComputer — Free Download Manager を悪用して、脅威アクターが所有する Debian パッケージ・リポジトリにリダイレクトさせ、Linux ユーザーに情報窃取型のマルウェアをインストールさせるという、サプライ・チェーン攻撃が発見された。このキャンペーンで使用されたマルウェアは、C2 サーバへのリバースシェルを確立し、ユーザのデータとアカウント認証情報を収集する、Bash スティーラーをインストールするものだ。Kaspersky が、不審なドメインの調査中に、このサプライチェーン侵害の兆候を発見したが、3年以上も前から実施されているキャンペーンであることを突き止めた。
Continue reading “Free Download Manager サプライチェーン攻撃:数年前から Linux ユーザーにマルウェアを配布”New HijackLoader Modular Malware Loader Making Waves in the Cybercrime World
2023/09/11 TheHackerNews — DanaBot/SystemBC/RedLine Stealer などの各種ペイロードを配信する、HijackLoaderと呼ばれる新たなマルウェア・ローダーが、サイバー犯罪者コミュニティで人気を集めている。Zscaler ThreatLabz の研究者である Nikolaos Pantazopoulos は、「HijackLoaderは高度な機能を備えていないが、大半のローダーが備えていないモジュラー・アーキテクチャを用いることで、コード・インジェクションを容易にする」と述べている。
Continue reading “HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる”New Python Variant of Chaes Malware Targets Banking and Logistics Industries
2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。
Continue reading “Chaes という新種の Python マルウェア亜種:銀行と物流業界を標的にしている”Malicious npm Packages Aim to Target Developers for Source Code Theft
2023/08/30 TheHackerNews — 悪意の npm パッケージを用いる未知の脅威アクターが、被害者のマシンからソースコードや設定ファイルを盗む目的で開発者を標的にするという、オープンソース・リポジトリにおける脅威が消え去らない状況が示唆されている。ソフトウェア・サプライチェーン・セキュリティ企業 Checkmarx は、「このキャンペーンの背後にいる脅威アクターの活動は、2021年ころから発生している。それ以来、彼らは継続的に、悪意のパッケージを公開している」と、The Hacker News と共有したレポートで述べている。
Continue reading “npm に悪意のパッケージ:特定のディレクトリからソースコードと機密情報を採取”Japan’s JPCERT Warns of New ‘Maldoc In Pdf’ Attack Technique
2023/08/29 SecurityAffairs — 先日に、日本の JPCERT/CC (computer emergency response team) が、悪意の Word ファイルを PDF ファイルに埋め込むことで検知を回避する、MalDoc in PDF と呼ばれる新たな攻撃手法を観測した。研究者たちは、MalDoc in PDF で作成されたファイルは、PDF の magic numbers and file 構造を持っているが、Wordで開くことができると説明している。このファイルに悪意のマクロが含まれていれば、ファイルを開くことで悪意のコードが実行される。JPCERT/CC が観測した攻撃では、脅威アクターはファイル拡張子 “.doc” を使用していたという。
Continue reading “日本の JPCERT/CC が新たな攻撃手法について警告:Maldoc In PDF とは?”Bogus OfficeNote app delivers XLoader macOS malware
2023/08/23 HelpNetSecurity — 既知のマルウェアである XLoader の macOS 対応の亜種が、”OfficeNote” アプリを装いながら配信されている。SentinelOne の研究者たちは、「XLoader マルウェアのサンプルは、7月を通じて VirusTotal に投稿され続けており、野放し状態で広範に配布されていることが示される」と述べている。2015年から活動している XLoader は Malware-as-a-Service 型の情報スティーラー/ボットネットであり、2021年に Java で書かれた macOS 亜種が登場した。
Continue reading “OfficeNote アプリを装う XLoader:野放し状態で macOS ユーザーを攻撃中”Massive 400,000 proxy botnet built with stealthy malware infections
2023/08/16 BleepingComputer — 少なくとも 40万台の Windows システムに、プロキシ・サーバ・アプリを配信するという、大規模なキャンペーンが発見された。これらのデバイスは、ユーザーの同意なしにレジデンシャル用の出口ノードとして機能し、マシンを介して実行されるプロキシ・トラフィックの料金が発生することになる。レジデンシャル・プロキシは、大量の新規 IP アドレスを必要とする、大規模なクレデンシャル・スタッフィング攻撃の展開に有用であるため、サイバー犯罪者にとって貴重な存在となる。
Continue reading “40万のプロキシ・ボットネット:ステルス・マルウェア感染で構築される”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”Malicious npm Packages Found Exfiltrating Sensitive Data from Developers
2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。
Continue reading “npm に新たな悪意のパッケージ:開発者たちをサプライチェーン攻撃に組み込む”Chrome malware Rilide targets enterprise users via PowerPoint guides
2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome/Edge/Brave/Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。
Continue reading “Rilide という最凶の Chrome エクステンション:PowerPoint ファイルなどがルアー”Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan
2023/08/02 TheHackerNews — Windows および Linux 環境上でリモート・アクセス・トロイの木馬として、AWS Systems Manager Agent (SSM Agent) を実行させることが可能な、Amazon Web Services (AWS) の新たなポスト・エクスプロイト手法を、サイバー・セキュリティ研究者たちが発見した。Mitiga の研究者である Ariel Szarf と Or Aspir は、「この SSM Agent は、Admin によるインスタンス管理で使用される正当なツールだが、SSM Agent がインストールされたエンドポイント上で、高特権のアクセスを獲得した攻撃者が、悪意の活動を継続的に実行することも可能にする」と、The Hacker News と共有したレポートで述べている。
Continue reading “AWS の SSM Agent を悪用するシナリオ:高スティルス性 RAT の構築が可能”AVRecon Botnet Leveraging Compromised Routers to Fuel Illegal Proxy Service
2023/07/31 TheHackerNews — AVReconと呼ばれるボットネットの詳細が明らかになった。このボットネットは、遅くとも 2021年5月以降における、複数年にわたるキャンペーンの一環として、侵害した SOHO ルーターを悪用していることが確認されている。7月の初めに AVRecon は、Lumen Black Lotus Labsにより公開されたマルウェアであり、追加コマンドを実行し、被害者の帯域幅を盗み、他の脅威アクターが利用できるようするという、違法なプロキシ・サービスだと思われる。また、その規模は QakBot を上回り、世界20カ国に存在する 41,000台を超えるノードに侵入していという。
Continue reading “AVRecon ボットネットの標的は SOHO ルーター:不正なプロキシを増殖してサーバー犯罪を支援”
IoT OT Security News 
You must be logged in to post a comment.