Command and Comtrol – Page 2 – IoT OT Security News

Blackwood という APT：WPS Office などのアップデートから NSPX30 マルウェアを配布

Blackwood hackers hijack WPS Office update to install malware

2024/01/25 BleepingComputer — Blackwood という新たな APT (advanced threat actor) が、企業や個人に対するサイバースパイ攻撃のために、NSPX30 と呼ばれる高度なマルウェアを使用していることが判明した。この脅威アクターは、遅くとも 2018年から活動しており、中間者攻撃 (AitM：Adversary-in-the-Middle) に加えて、単純なバックドアに根ざしたコードベースを持つ、インプラントである NSPX30 マルウェアを 2005年から利用している。

Phemedrone スティーラー：Windows の脆弱性 CVE-2023-36025 を悪用している

Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion

2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。

Chameleon という Android マルウエア：バイオメトリック・プロンプトをバイパス

Chameleon Android Malware Can Bypass Biometric Security

2023/12/22 SecurityWeek — Chameleon という Android バンキング型トロイの木馬のは、新しいバイパス機能を備えており、その標的地域を拡大していると、オンライン詐欺検出会社 ThreatFabric が報告している。この、2023年初頭から活動しているマルウェアは、オーストラリアとポーランドのモバイル・バンキング・アプリケーションを標的化するところから始まり、その後にはイギリスとイタリアにまで、その侵害の範囲を広げている。

悪意の VPN Chrome エクステンション：すでに 150万回インストールされている

Fake VPN Chrome extensions force-installed 1.5 million times

2023/12/22 BleepingComputer — VPN (Virtual Private Networks) を装う悪意の Chrome エクステンションが、150万回もダウンロードされていることが判明した。この悪意のエクステンションは、ブラウザ・ハイジャッカー／キャッシュバック・ハックツール／データ・スティーラーとしての、３つの機能を有しているという。この悪質なエクステンションを発見した ReasonLabs によると、それらのエクステンションは、Grand Theft Auto／Assassins Creed／The Sims 4 などの、人気ビデオゲームの海賊版に隠されたインストーラーを介して、多数のサイトから拡散しているという。

GitHub の gists／commits 機能：マルウェアのホストに悪用されている

Unsung GitHub Features Anchor Novel Hacker C2 Infrastructure

2023/12/19 DarkReading — ある GitHub アカウントが、このサイトの２つのユニークな機能を悪用して、ステージ２のマルウェアをホストしていることを、研究者たちが発見した。この、パブリックなサービスが、不正行為の拠点としてハッカーに再利用されることが、最近になって増えてきている。ハッカーたちは、コード・リポジトリやファイル共有サービスにマルウェアを格納し、メッセージング・アプリから Command and Control (C2) を実行することに加えて、SaaS (Software-as-a-Service) プラットフォームを悪用することで、想像もつかないような手口で悪事を働くことがある。

GambleForce ハッキング・グループ：Joomla の脆弱性 CVE-2023-23752 などを悪用している

New Threat Actor Uses SQL Injection Attacks to Steal Data From APAC Companies

2023/12/14 SecurityWeek — 脅威ハンティング・インテリジェンス企業 Group-IB のレポートによると、2023年9月以降において新たな脅威アクターが、８カ国 (主に APAC) の 24の組織を標的としているという。この、GambleForce と名付けられたハッキング・グループは、SQL インジェクションを使用し、ギャンブル／旅行／小売／行政などの分野の組織で利用される、Joomla CMS (Content Management System) の脆弱性を悪用して、ユーザー認証データなどの機密情報を盗んできた。

AsyncRAT による侵害を解説：持続性のための機能と正規プロセスの悪用

Unmasking the Menace: Trend Micro Exposes AsyncRAT’s Deception

2023/12/11 SecurityOnline — 複雑に入り組んだサイバー脅威のエコシステムの中で、強烈な存在感を放つ AsyncRAT が新たに登場した。この RAT (Remote Access Tool) は、キーロギングや RDP 侵害などのために多彩な機能を提供することが確認されており、さまざまなサイバー・セキュリティ・プラットフォームで大きな注目を集めている。

RedLine マルウェアと ScrubCrypt 難読化ツール：脅威アクターたちの最新テクニックを解析

RedLine Stealer Malware Deployed Via ScrubCrypt Evasion Tool

2023/11/30 InfoSecurity — RedLine Stealer マルウェアによりユーザー組織を標的にするために、ScrubCrypt という難読化ツールの新バージョンが使用されていると、詐欺センサー・ネットワークの Human Security が警告している。Human の Satori Threat Intelligence Team は、ダークウェブで販売されている ScrubCrypt の新たなビルドを発見した。そして、RedLine Stealer によるアカウント乗っ取りや詐欺において、このビルドの利用が確認されたと述べている。

Apache ActiveMQ の脆弱性 CVE-2023-46604：GoTitan ボットネットも巧撃に参戦

GoTitan Botnet Spotted Exploiting Recent Apache ActiveMQ Vulnerability

2023/11/29 TheHackerNews — 先日に公開された、Apache ActiveMQ に影響を及ぼす深刻なセキュリティ欠陥が、脅威アクターたちにより積極的に悪用されている。そこで配布されるマルウェアには、GoTitan という新たな Golang ベースのボットネットや、感染させたホストをリモートかんら操作する、悪意の .NET プログラム PrCtrl Rat などがある。この数週間における一連の攻撃では、Lazarus Group などのハッキング集団により武器化された、リモートコード実行の脆弱性 CVE-2023-46604 (CVSS：10.0) が悪用されている。

Mirai ボットネットによる大規模な DDoS 攻撃：Router／NVR のゼロデイ脆弱性を悪用

Mirai-based Botnet Exploiting Zero-Day Bugs in Routers and NVRs for Massive DDoS Attacks

2023/11/23 TheHackerNews — ２つの RCE ゼロデイ脆弱性を悪用して、Mirai ベースの分散型サービス妨害 (DDoS) ボットネット配信し、ルーターやビデオレコーダーを悪意のネットワークに接続させるという、活発なマルウェア・キャンペーンが発生している。Akamai は今週に発表したアドバイザリで、「このペイロードは、ルーターおよび NVR (Network Video Recorder) デバイス存在する、管理者用のデフォルト認証情報を標的として、侵入に成功した後に Mirai の亜種をインストールするものだ」と説明している。

WailingCrab マルウェアの進化：MQTT C2 通信でステルス性が進化

WailingCrab Malware Evolves: Embracing MQTT for Stealthier C2 Communication

2023/11/23 SecurityOnline — 進化を続けるサイバーセキュリティの脅威の中で、マルウェアの運営者たちは絶えず戦術を洗練させ、検知を回避しながらシステムを侵害し続けている。IBM X-Force の研究者たちが明らかにしたのは、2022年12月に発見された WailingCrab マルウェア・ファミリーが、この傾向を例証していることである。具体的に言うと、その C2 通信メカニズムとステルス技術において、絶え間ない進化が示されているという。

Agent Tesla マルウェアの新たな亜種：Office の脆弱性 CVE-2017-11882 を悪用？

New Agent Tesla Malware Variant Using ZPAQ Compression in Email Attacks

2023/11/21 TheHackerNews — Agent Tesla マルウェアの新たな亜種が、ZPAQ 圧縮形式のルアー・ファイルを介して配信され、複数の電子メール・クライアントと、40近くの Web ブラウザから、データを採取していることが確認された。G Data のマルウェア・アナリストである Anna Lvova は、「ZIP や RAR などの広く使用されているフォーマットと比較して ZPAQ は、より優れた圧縮率とジャーナリング機能を提供する、ファイル圧縮フォーマットである」と、月曜日の分析で述べている。

MySQL／Docker にホストされる DDoS マルウェア：Ddostf と OracleIV の動向に注意

MySQL Servers, Docker Hosts Infected With DDoS Malware

2023/11/14 SecurityWeek — MySQL サーバと Docker ホストをターゲットにする脅威アクターが、分散型サービス拒否 (DDoS) 攻撃をするマルウェアを仕込んでいると、AhnLab Security Emergency Response Center の研究者たちが警告している。AhnLab によると、Windows 上の MySQL を標的とする攻撃が、脆弱な MySQL サーバが Ddostf に感染することで頻度を増しているという。Ddostf は、遅くとも 2016年から存在する、中国起源の DDoS 対応ボットネットである。

Docker API のミス・コンフィグレーション：悪意の Docker コンテナ展開で悪用

Python Malware Poses DDoS Threat Via Docker API Misconfiguration

2023/11/13 InfoSecurity — Docker Engine API の一般公開されたインスタンスを標的とする、新たなサイバー脅威が、セキュリティ研究者たちにより発見された。この OracleIV キャンペーンで、ミス・コンフィグレーションを悪用する攻撃者は、”oracleiv_latest “という名前のイメージからビルドされ、ELF (Executable and Linking Format) ファイルとしてコンパイルされる、 Python マルウェアを取り込んだ悪意の Docker コンテナをデプロイしている。この悪意のツールは、分散型サービス拒否 (DDoS) ボット・エージェントとして機能し、DoS 攻撃を行うための各種の攻撃手法を提示している。

GootLoader マルウェアの新たな亜種：検出回避と横展開を強化している

New GootLoader Malware Variant Evades Detection and Spreads Rapidly

2023/11/07 TheHackerNews — GootBot と呼ばれる GootLoader マルウェアの新たな亜種は、侵害したシステム上で容易に横方向へ移動し、検出を回避することが判明した。IBM X-Force の研究者である Golo Mühr と Ole Villadsen は、「GootLoader グループが、攻撃チェーンの後半ステージに独自のカスタム・ボットを導入した理由は、CobaltStrike や RDP のような C2 用の既製ツールを使用した場合の、検出回避の試みにある。この新しい亜種は軽量かつ効果的なマルウェアであり、攻撃範囲はネットワーク全体へと急速に拡大し、さらなるペイロードの展開へといたる」と述べている。

Google Calendar の悪用が露見：イベント記述を介して C2 通信が行われる

Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel

2023/11/06 TheHackerNews — Google Calendar サービスを悪用して、Command and Control (C2) インフラをホストする PoC エクスプロイトを、複数の脅威アクターが共有していることを、Google 自身が警告している。この、Google Calendar RAT (GCR) と呼ばれるツールは、Gmail アカウントを介して、C2 サーバとして Google Calendar Events を悪用するものだ。そして、2023年6月に GitHub に公開さてから、脅威アクターたちの間で共有されているという。

StripedFly という APT：５年間で 100万台以上の Windows／Linux システムに感染

StripedFly malware framework infects 1 million Windows, Linux hosts

2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を５年間にわたり回避し、100万台以上の Windows／Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。

Chrome／Edge／Firefox の偽アップデート：狡猾な手口で誘う ClearFake マルウェア

Researchers warn of increased malware delivery via fake browser updates

2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。

ShellBot マルウェア：Hex IP アドレスを用いた新たな回避手法で Linux SSH サーバを狙う

ShellBot Cracks Linux SSH Servers, Debuts New Evasion Tactic

2023/10/14 DarkReading — ShellBot マルウェアを操り Linux SSH サーバを狙うサイバー攻撃者たちが、新たな手法である 16 進数 IP (Hex IP) アドレスを用いて、振る舞いベースの検出を回避し、その活動を隠していることが判明した。AhnLab Security Emergency Response Center (ASEC) の研究者たちによると、この脅威アクターは、従来のドット付き10進数 Command-and-Control URL 形式 (hxxp://39.99.218[.]78) を、Hex IP アドレス形式 (hxxp://0x2763da4e/など) に変換することで、大半の URL ベースの検出シグネチャを回避しているという。

BunnyLoader は最強の Malware-as-a-Service：信じられないスピードで機能を強化している

New BunnyLoader threat emerges as a feature-rich malware-as-a-service

2023/10/02 BleepingComputer —

セキュリティ研究者たちがハッカー・フォーラムで発見した新しい MaaS (Malware-as-a-Service) は、システム・クリップボードの内容を盗んで置き換えることができるファイルレス・ローダーであり、BunnyLoader と名付けられている。このマルウェアの開発は急速に進んでおり、新機能の追加やバグ修正が行われたアップデート版が提供されている。現時点で提供されている機能としては、ペイロードのダウンロードと実行／キーログの収集／機密データと暗号通貨の窃取／リモートコマンド実行などがある。

GitHub における偽装 Dependabot：悪意のコードをコミットさせる新たなキャンペーン

GitHub Repositories Hit by Password-Stealing Commits Disguised as Dependabot Contributions

2023/09/28 TheHackerNews — 開発者からパスワードを盗むことを目的として、GitHub アカウントをハイジャックし、Dependabot の投稿を装いながら悪意のコードをコミットするという、新たな悪意のキャンペーンが観察された。Checkmarx はテクニカル・レポートで、「この悪意のコードは、GitHub プロジェクトで定義されたシークレットを、悪意の C2 サーバへと流出させる。それに加えて、攻撃したプロジェクト内の既存の javascript ファイルを、Webフォーム・パスワード・ステーラー・マルウェア・コードを用いて変更する」と述べている。

ShadowSyndicate というハッカー集団：複数のランサムウェアと C2 サーバを巧みに運用

ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers

2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの１年間で ShadowSyndicate は、７種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum／Nokoyawa／BlackCat/ALPHV／Clop／Royal／Cactus／Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。

Gelsemium というステルス APT の柔軟性：悪意のツール群を防御策に応じて運用

Evasive Gelsemium hackers spotted in attack against Asian govt

2023/09/23 BleepingComputer — Gelsemium として追跡されているステルス性の APT が、2022年から2023年の半年間にわたって、東南アジアの政府を標的とした攻撃で観測された。Gelsemium は2014年から活動しているサイバースパイ集団であり、東アジアおよび中東の政府／教育機関／電子機器メーカーを標的としている。

IoT 攻撃とダークウェブの関係性：2023年には 700 件以上のマルウェア広告

Over 700 Dark Web Ads Offer DDoS Attacks Via IoT in 2023

2023/09/22 InfoSecurity — IoT (Internet of Things) デバイスを悪用した分散型サービス拒否 (DDoS) 攻撃に関して、2023年のダークウェブ広告が 700件以上に急増したことが、Kaspersky の最新レポートで示唆されている。これらのサービスは、標的における DDoS 防御などを検証した結果により価格帯が異なり、１日あたり $20 や月額 $10,000 などで販売されている。平均すると、１日あたり $63.5で、１カ月あたり $1350 となっている。

WinRAR 用の偽 PoC エクスプロイト：PowerShell を介して VenomRAT を展開

Fake WinRAR proof-of-concept exploit drops VenomRAT malware

2023/09/20 BleepingComputer −−− 最近に修正された WinRAR の脆弱性に対する偽 PoC エクスプロイトが、あるハッカーにより GitHub で広めており、VenomRAT マルウェアのダウンローダーに感染させようとしている。この偽 PoC エクスプロイトは、Palo Alto Networks の Unit 42 チームの研究者たちにより発見され、2023年8月21日の時点で攻撃者により、悪意のコードが GitHub にアップロードされたことが報告されている。この攻撃は、すでに阻止されているが、 GitHub から調達した PoC の、安全性を確認せずに実行することのリスクが、改めて浮き彫りにされている。

Earth Lusca の SprySOCKS という Linux バックドア：中国から各国の政府機関を狙っている

Earth Lusca’s New SprySOCKS Linux Backdoor Targets Government Entities

2023/09/19 TheHackerNews — Earth Lusca と呼ばれる中国由来の脅威アクターが、SprySOCKS という未知の Linux バックドアを用いて、各国の政府機関を標的としていることが確認された。Earth Lusca は、2022年1月に Trend Micro により初めて文書化され、アジア／オーストラリア／ヨーロッパ／北米の公共機関および民間企業に対する攻撃の詳細が報告された。この 2021年から活動しているグループは、スピアフィッシングや水飲み場攻撃を利用して、サイバー・スパイ活動を展開している。なお、その活動の一部は、RedHotel という名前で Recorded Future が追跡している、別の脅威クラスターと重複している。

Bumblebee マルウェアが再登場：WebDAV サービスを悪用する新たなキャペーンを展開

Bumblebee malware returns in new attacks abusing WebDAV folders

2023/09/18 BleepingComputer — ２ヶ月ぶりに再登場した Bumblebee マルウェア・ローダーだが、4shared WebDAV サービスを悪用するという、新たな配布テクニックを用いている。WebDAV (Web Distributed Authoring and Versioning) とは、HTTP プロトコルの拡張機能であり、クライアントからリモート・オーサリング操作を実行し、Web サーバのコンテンツの作成／更新／削除などを可能にするものだ。Intel471 の研究者たちによると、2023年9月7日に開始された Bumblebee の最新キャンペーンは、4shared WebDAV サービスを悪用してローダーを配布し、攻撃チェーンを取り込むことで、いくつかの感染後アクションを実行していくという。

Free Download Manager サプライチェーン攻撃：数年前から Linux ユーザーにマルウェアを配布

Free Download Manager site redirected Linux users to malware for years

2023/09/12 BleepingComputer — Free Download Manager を悪用して、脅威アクターが所有する Debian パッケージ・リポジトリにリダイレクトさせ、Linux ユーザーに情報窃取型のマルウェアをインストールさせるという、サプライ・チェーン攻撃が発見された。このキャンペーンで使用されたマルウェアは、C2 サーバへのリバースシェルを確立し、ユーザのデータとアカウント認証情報を収集する、Bash スティーラーをインストールするものだ。Kaspersky が、不審なドメインの調査中に、このサプライチェーン侵害の兆候を発見したが、３年以上も前から実施されているキャンペーンであることを突き止めた。

HijackLoader というマルウェア・ローダー：アンチ回避とインジェクション機能に優れる

New HijackLoader Modular Malware Loader Making Waves in the Cybercrime World

2023/09/11 TheHackerNews — DanaBot／SystemBC／RedLine Stealer などの各種ペイロードを配信する、HijackLoaderと呼ばれる新たなマルウェア・ローダーが、サイバー犯罪者コミュニティで人気を集めている。Zscaler ThreatLabz の研究者である Nikolaos Pantazopoulos は、「HijackLoaderは高度な機能を備えていないが、大半のローダーが備えていないモジュラー・アーキテクチャを用いることで、コード・インジェクションを容易にする」と述べている。

Chaes という新種の Python マルウェア亜種：銀行と物流業界を標的にしている

New Python Variant of Chaes Malware Targets Banking and Logistics Industries

2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。

npm に悪意のパッケージ：特定のディレクトリからソースコードと機密情報を採取

Malicious npm Packages Aim to Target Developers for Source Code Theft

2023/08/30 TheHackerNews — 悪意の npm パッケージを用いる未知の脅威アクターが、被害者のマシンからソースコードや設定ファイルを盗む目的で開発者を標的にするという、オープンソース・リポジトリにおける脅威が消え去らない状況が示唆されている。ソフトウェア・サプライチェーン・セキュリティ企業 Checkmarx は、「このキャンペーンの背後にいる脅威アクターの活動は、2021年ころから発生している。それ以来、彼らは継続的に、悪意のパッケージを公開している」と、The Hacker News と共有したレポートで述べている。

日本の JPCERT/CC が新たな攻撃手法について警告：Maldoc In PDF とは？

Japan’s JPCERT Warns of New ‘Maldoc In Pdf’ Attack Technique

2023/08/29 SecurityAffairs — 先日に、日本の JPCERT/CC (computer emergency response team) が、悪意の Word ファイルを PDF ファイルに埋め込むことで検知を回避する、MalDoc in PDF と呼ばれる新たな攻撃手法を観測した。研究者たちは、MalDoc in PDF で作成されたファイルは、PDF の magic numbers and file 構造を持っているが、Wordで開くことができると説明している。このファイルに悪意のマクロが含まれていれば、ファイルを開くことで悪意のコードが実行される。JPCERT/CC が観測した攻撃では、脅威アクターはファイル拡張子 “.doc” を使用していたという。

OfficeNote アプリを装う XLoader：野放し状態で macOS ユーザーを攻撃中

Bogus OfficeNote app delivers XLoader macOS malware

2023/08/23 HelpNetSecurity — 既知のマルウェアである XLoader の macOS 対応の亜種が、”OfficeNote” アプリを装いながら配信されている。SentinelOne の研究者たちは、「XLoader マルウェアのサンプルは、７月を通じて VirusTotal に投稿され続けており、野放し状態で広範に配布されていることが示される」と述べている。2015年から活動している XLoader は Malware-as-a-Service 型の情報スティーラー／ボットネットであり、2021年に Java で書かれた macOS 亜種が登場した。

40万のプロキシ・ボットネット：ステルス・マルウェア感染で構築される

Massive 400,000 proxy botnet built with stealthy malware infections

2023/08/16 BleepingComputer — 少なくとも 40万台の Windows システムに、プロキシ・サーバ・アプリを配信するという、大規模なキャンペーンが発見された。これらのデバイスは、ユーザーの同意なしにレジデンシャル用の出口ノードとして機能し、マシンを介して実行されるプロキシ・トラフィックの料金が発生することになる。レジデンシャル・プロキシは、大量の新規 IP アドレスを必要とする、大規模なクレデンシャル・スタッフィング攻撃の展開に有用であるため、サイバー犯罪者にとって貴重な存在となる。

オープンソースの Merlin ツールキット：国家組織に対する攻撃に悪用される

Hackers use open source Merlin post-exploitation toolkit in attacks

2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト／C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。

npm に新たな悪意のパッケージ：開発者たちをサプライチェーン攻撃に組み込む

Malicious npm Packages Found Exfiltrating Sensitive Data from Developers

2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。

Rilide という最凶の Chrome エクステンション：PowerPoint ファイルなどがルアー

Chrome malware Rilide targets enterprise users via PowerPoint guides

2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome／Edge／Brave／Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。

AWS の SSM Agent を悪用するシナリオ：高スティルス性 RAT の構築が可能

Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan

2023/08/02 TheHackerNews — Windows および Linux 環境上でリモート・アクセス・トロイの木馬として、AWS Systems Manager Agent (SSM Agent) を実行させることが可能な、Amazon Web Services (AWS) の新たなポスト・エクスプロイト手法を、サイバー・セキュリティ研究者たちが発見した。Mitiga の研究者である Ariel Szarf と Or Aspir は、「この SSM Agent は、Admin によるインスタンス管理で使用される正当なツールだが、SSM Agent がインストールされたエンドポイント上で、高特権のアクセスを獲得した攻撃者が、悪意の活動を継続的に実行することも可能にする」と、The Hacker News と共有したレポートで述べている。

AVRecon ボットネットの標的は SOHO ルーター：不正なプロキシを増殖してサーバー犯罪を支援

AVRecon Botnet Leveraging Compromised Routers to Fuel Illegal Proxy Service

2023/07/31 TheHackerNews — AVReconと呼ばれるボットネットの詳細が明らかになった。このボットネットは、遅くとも 2021年5月以降における、複数年にわたるキャンペーンの一環として、侵害した SOHO ルーターを悪用していることが確認されている。７月の初めに AVRecon は、Lumen Black Lotus Labsにより公開されたマルウェアであり、追加コマンドを実行し、被害者の帯域幅を盗み、他の脅威アクターが利用できるようするという、違法なプロキシ・サービスだと思われる。また、その規模は QakBot を上回り、世界20カ国に存在する 41,000台を超えるノードに侵入していという。

IcedID の BackConnect モジュールの進化：被害者をプロキシとして悪用するケースも

IcedID Malware Adapts and Expands Threat with Updated BackConnect Module

2023/07/28 TheHackerNews — IcedID マルウェア・ローダーに関与する脅威アクターが、ハッキング済のシステムでの活動に使用さする BackConnect (BC) モジュールにアップデートを施していることが、Team Cymru の新たな調査結果で明らかになった。IcedID は BokBot とも呼ばれ、Emotet や QakBot に似たマルウェアの一種であり、2017年にバンキング型トロイの木馬として始まり、その後に他のペイロードのインシャル・アクセスを促進する役割へと移行している。このマルウェアの最新バージョンでは、ランサムウェアの配信を優先するために、オンライン・バンキング詐欺に関連する機能が削除されていることも確認されている。

Nitrogen というキャンペーン：Google／Bing の広告を介してマルウェアを展開

New Nitrogen malware pushed via Google Ads for ransomware attacks

2023/07/26 BleepingComputer — Nitrogen マルウェアによる、イニシャル・アクセス・キャンペーンは、Google や Bing などの検索広告で偽ソフトウェア・サイトを宣伝し、疑念を持たないユーザーたちに、Cobalt Strike やランサムウェアのペイロードに感染させていくものだ。Nitrogen マルウェアの目的は、企業ネットワークへのイニシャル・アクセスを脅威アクターたちに提供し、データ窃取やサイバー・スパイ活動を行わせ、最終的に BlackCat／ALPHV ランサムウェアを展開させることにある。7月26日に Sophos が発表したレポートには、Nitrogen キャンペーンに関する詳細な説明として、AnyDesk／Cisco AnyConnect VPN／TreeSize Free／WinSCP などの一般的なソフトウェアになりすまし、主に北米の技術組織や非営利組織をターゲットにしている状況が記されている。

Decoy Dog マルウェア：DNS を悪用する APT たちが好むツールキットとは？

Decoy Dog Malware Upgraded to Include New Features

2023/07/25 InfoSecurity — 今日に発表された Infoblox の脅威レポートにより、Decoy Dog という RAT ツールキットの最新情報が公開された。この Decoy Dog は、2023年4月に発見・公開されたものであるが、DNS を Command and Control (C2) に使用するという特徴を持ち、以前に考えられていたよりも巧妙なことが判明しており、現在進行中の国家によるサイバー攻撃で使用されている疑いがある。そのツールキットを Infoblox を公開した後に、背後で操る脅威アクターは迅速に対応し、侵害したデバイスへのアクセスを維持するためにシステムを適応させている。

バンキング OSS サプライチェーン攻撃：銀行員を装う脅威アクターが悪意の npm パッケージを展開

Banking Sector Targeted in Open-Source Software Supply Chain Attacks

2023/07/24 TheHackerNews — 銀行業界を初めて標的とする、オープンソース・ソフトウェアのサプライチェーン攻撃が、サイバー・セキュリティの研究者たちにより発見された。Checkmarx は先週に公開したレポートで、「これらの攻撃では、被害者である銀行の Web 資産に悪意の機能を追加することで、特定のコンポーネントを標的にするといった、高度なテクニックが使用されている」と述べている。

WyrmSpy／DragonEgg スパイウェア：Android ユーザーを狙う APT41 の新戦略

APT41 hackers target Android users with WyrmSpy, DragonEgg spyware

2023/07/20 BleepingComputer — 中国に支援されるハッキング・グループ APT41 が、WyrmSpy と DragonEgg と命名された２つの新種のスパイウェアで、Android デバイスを標的にしていると、Lookout のセキュリティ研究者たちが警告している。 APT41 は最も古い APT ハッキング・グループの１つであり、米国／アジア／ヨーロッパなどの様々な産業を標的としてきた。このグループが攻撃する分野は、ソフトウェア開発／ハードウェア製造／シンクタンク／通信事業者／大学／海外政府などであり、さまざまな組織／事業体に対してサイバースパイ・オペレーションを仕掛けている。

P2PInfect という新種のワーム：Redis サーバの脆弱性 CVE-2022-0543 が狙われている

New P2PInfect worm malware targets Linux and Windows Redis servers

2023/07/23 BleepingComputer — 7月11日にセキュリティ研究者たちは、インターネットに公開された Windows／Linux 上で動作する Redis インスタンスを標的とする、自己拡散機能を備えた新しい P2P マルウェアを発見した。Lua サンドボックス・エスケープの脆弱性 CVE-2022-0543 が放置されている Redis サーバに、この Rust ベースのワーム (P2PInfect と命名) が侵入することも、Unit 42 の研究者たちは発見した。この２週間において、インターネットに公開された 307,000 台以上の Redis サーバが発見されているが、P2PInfect の攻撃に対して潜在的に脆弱なのは 934 インスタンスに過ぎないと、研究者たちは述べている。

Exchange サーバを C2 サーバとして悪用：Turla の DeliveryCheck マルウェアに注意

Microsoft: Hackers turn Exchange servers into malware control centers

3023/07/19 BleepingComputer — Microsoft と Ukraine CERT (CERT-UA) は、ロシア政府に支援されたハッキング・グループ Turla による新たな攻撃について警告している。この新たな “DeliveryCheck” マルウェアは、バックドアを用いて防衛産業と Microsoft Exchange サーバを標的としている。Turla (別名 Secret Blizzard／KRYPTON／UAC-0003) とは、ロシア連邦保安庁 (FSB) につながる、高度持続的脅威行為者 (APT) だと考えられている。このサイバー・スパイは、Operation MEDUSA という名の国際的な法執行活動により破壊された、サイバー・スパイ・マルウェア・ボットネット Snake を含め、長年にわたる欧米への攻撃に関与してきた。

Sophos の名を語る SophosEncrypt という RaaS：ID Ransomware に被害者からの投稿

Cybersecurity firm Sophos impersonated by new SophosEncrypt ransomware

2023/07/18 BleepingComputer — サイバー・セキュリティ・ベンダーの Sophos が、新しい RaaS (ransomware-as-a-service) になりすまされているが、この脅威アクターは同社の名前を取り込んだ、SophosEncrypt という名前で活動している。この、昨日に MalwareHunterTeam により発見されたランサムウェアは、当初は Sophos 自身のレッドチームによる演習の一環と考えられていた。しかし、Sophos X-Ops チームは、この暗号化ツールを作成したのは自分たちではなく、その立ち上げについて調査中であるとツイートした。

AVrecon という SOHO Router ボットネット：20カ国の 70,000 万台のデバイスを制御

New SOHO Router Botnet AVrecon Spreads to 70,000 Devices Across 20 Countries

2023/07/14 TheHackerNews — SOHO (Small Office/Home Office) ルーターを２年以上にわたって密かに標的とし、70,000台以上のデバイスに侵入した上で、20カ国にまたがる 40,000 ノードのボットネットを構築した、新種のマルウェアが発見された。Lumen Black Lotus Labs により、AVrecon と名付けられたマルウェアは、この１年間において SOHO ルーターに焦点を当てた、 ZuoRAT と HiatusRAT に続く３番目のマルウェアとなった。Black Lotus Labs は、「AVrecon は、SOHO ルーターを標的とするボットネットとしては、過去最大級のものである。このキャンペーンの目的は、パスワードの散布からデジタル広告詐欺に至るまで、さまざまな犯罪行為を下支えする秘密のネットワークの構築にあるようだ」と述べている。

Linux の偽 PoC エクスプロイトに御用心：GitHub を悪用してマルウェアを配布

Fake Linux vulnerability exploit drops data-stealing malware

2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続／未承認のシステム・アクセス試行／非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。

NATO 首脳会議を標的にした攻撃：RomCom によるマルウェア配布が確認された

RomCom Group Targets Ukraine Supporters Ahead of NATO Summit

2023/07/10 InfoSecurity — NATO 首脳会議が開催される数日前に、ウクライナを支援する組織や個人を狙う標的型サイバー・キャンペーンが、RomCom により開始されたと報じられている。BlackBerry Threat, Research and Intelligence チームは、この巧妙な作戦を発見し、本日の未明に発表されたアドバイザリで説明している。同チームによると、7月4日に RomCom グループがオトリとして使用した、２つの偽装文書を発見したとのことだ。