HPE notifies employees of data breach after Russian Office 365 hack
2025/02/07 BleepingComputer — HPE が従業員たちに通知しているのは、2023年5月のサイバー攻撃でロシアの APT により、同社の Office 365 メール環境からデータが盗まれたインシデントに関する警告である。
Continue reading “HPE からの警告:ロシアの Cozy Bear が Office 365 メール・ボックスに不正アクセス”Russian hackers deliver malicious RDP configuration files to thousands
2024/10/30 HelpNetSecurity — ロシア対外情報局 (SVR) と関連があるとされる、サイバースパイ集団の Midnight Blizzard は、署名された RDP コンフィグ・ファイルを取り込んだフィッシング・メールで、政府/学術/防衛/NGO 関係者を標的にしている。Microsoft の脅威アナリストたちは、「Midnight Blizzard のスピアフィッシング・キャンペーンに関する以前の調査に基づけば、この作戦の目的は、おそらく情報収集であると推測される」と述べている。
Continue reading “悪意の RDP コンフィグを展開するロシアの Midnight Blizzard:Microsoft と AWS が警告”AWS Seizes Domains Used by Russia’s APT29
2024/10/25 SecurityWeek — 10月24日に Amazon Web Services (AWS) が発表したのは、ロシアの脅威グループである APT29 が、フィッシング攻撃に用いたドメインの凍結に関する情報である。同社によると、APT29 が使用していたドメインの一部は、AWS のドメインであるかのような名称であったという。しかし、その攻撃の標的は、Amazon や顧客ではなく政府機関/軍事組織/企業であり、Microsoft Remote Desktop を介した Windows 認証情報の収集が目的だった。
Continue reading “AWS がロシアの APT29 ドメインを凍結:政府/軍事などにフィッシング攻撃”Microsoft Alerts More Customers to Email Theft in Expanding Midnight Blizzard Hack
2024/06/28 SecurityWeek — ロシアのハッキング・グループ Midnight Blizzard による、Microsoft の企業インフラへのハッキングの衝撃が、さらなる広がりを見せている。Microsoft とユーザー企業間のメールも盗まれていたという、顧客に対する新たな通知が発行されたのだ。この、2024年1月に発生した大規模な侵害で、Microsoft のソースコードとEメールが流出したことで、同社に対する米国政府の調査とセキュリティ慣行の大幅な見直し要求へと発展した。しかし、新たに発見された侵害の内容により、より広範なユーザー企業にも被害が及んでいたことが判明した。
Continue reading “Midnight Blizzard による Microsoft 侵害:顧客のEメール流出も判明”Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft
2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的/効果的であるということに気づき始めている。独自のインフラを構築/維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。
Continue reading “Microsoft Graph API :C2 インフラ構築のための悪用が増加している”Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account
2024/03/25 TheHackerNews — 2024年1月に Microsoft は、ロシアのハッカー Midnight Blizzard (別名:Nobelium) によるハッキング被害を受けていたことを発表した。この件で特筆すべきは、Microsoft への侵入が、いかに容易であったかということだ。ハッカーたちは、ゼロデイ脆弱性を悪用した高度な技術的ハッキングではなく、単純なパスワード・スプレーという手法を使って、同社の古い非アクティブなアカウントの制御に成功した。このインシデントは、パスワード・セキュリティの重要性と、組織が全てのユーザー・アカウントを保護すべき理由を、思い知らせる結果となった。
Continue reading “ロシアのハッカー Midnight Blizzard:パスワード・スプレー攻撃で Microsoft を侵害”Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails
2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。
Continue reading “Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた”Microsoft Provides Defense Guidance After Nation-State Compromise
2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium/APT29/Cozy Bear) による、ネットワーク上での悪質な活動を検知した。
Continue reading “Microsoft が公表した防御のガイダンス:Midnight Blizzard の狡猾な戦術を封じる”Russia-Linked Midnight Blizzard Apt Hacked Microsoft Corporate Emails
2024/01/20 SecurityAffairs — Microsoft の警告は、同社の企業メール・アカウントの一部が、ロシア由来のサイバー・スパイ集団 Midnight Blizzard に侵害されたというものであり、法執行機関と関連規制当局への通知も完了しているという。Midnight Blizzard グループ (別名 APT29/Cozy Bear/Nobelium/BlueBravo/The Dukes) は APT28 と連携するかたちで、民主党全国委員会へのハッキングや、2016年の米国大統領選挙への攻撃に関与していたという。このグループは、Microsoft を含む 18,000 以上の顧客組織を襲った、2020年の SolarWinds サプライチェーン攻撃でも知られている。
Continue reading “Microsoft の報告:ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された”Russia’s APT29 Targets Embassies With Ngrok and WinRAR Exploit
2023/11/20 InfoSecurity — ウクライナのセキュリティ研究者たちは、ロシアの大規模な新しいサイバースパイ・キャンペーンを明らかにした。このキャンペーンは、アゼルバイジャンの軍事戦略に関する情報を収集するために設計された可能性があると、彼らは主張している。ウクライナの NDSC (National Security and Defense Council) の新しい報告書によると、この攻撃の背後には APT29 がいたという。同グループは、Cozy Bear/Nobelium などの呼び名でも知られている。
Continue reading “ロシアの APT29:WinRAR の脆弱性 CVE-2023-38831 を悪用したキャンペーンを展開”Threat Actors Turn to Sliver as Open Source Alternative to Popular C2 Frameworks
2023/01/23 TheHackerNews — Cobalt Strike や Metasploit に代わるオープンソースのフレームワークであり、合法的な Command and Control (C2) フレームワークである Sliver が、脅威アクターたちの支持を集めていることが判明した。サイバー・セキュリティ企業である BishopFox が開発した Sliver は、Golang ベースのクロスプラットフォームなポスト・エクスプロイト・フレームワークであり、レッドチームが使用することを想定して設計されている。先週に Cybereason が実施した徹底的な分析により、この Sliver の内部構造が詳細まで明らかにされた。
Continue reading “Sliver は Cobalt Strike の後継:多様な機能を搭載する C2 フレームワーク”Hackers adopt Sliver toolkit as a Cobalt Strike alternative
2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット/動作/コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。
Continue reading “Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?”Microsoft Uncovers New Post-Compromise Malware Used by Nobelium Hackers
2022/08/25 TheHackerNews — SolarWinds サプライチェーン攻撃の背後にいる脅威アクターは、侵害した環境への持続的なアクセスを維持に関連し、また、さらに別の高度な標的型ポスト・エクスプロイト・マルウェアに関連していることが判明した。Microsoft の Threat Intelligence Team が MagicWeb と名付けた、この新しいマルウェアは、Nobelium の目的に応じて、機能を開発/維持するための取り組みであることが改めて示された。
Continue reading “Microsoft が公表した MagicWeb:AD FS 侵害後に機能する APT29 の最新マルウェア”Russian APT29 hackers abuse Azure services to hack Microsoft 365 users
2022/08/19 BleepingComputer — 国家を後ろ盾とするロシアのサイバースパイ・グループ Cozy Bear は、NATO 諸国の Microsoft 365 アカウントを標的とし、外交政策情報へのアクセスを試みるなど、2022年に入ってから活発に動き回っている。Microsoft 365 は、主にエンタープライズなどで使用されているクラウド・ベースの生産性スイートであり、コラボレーション/コミュニケーション/データストレージ/電子メールなどの、オフィスでの作業などを容易にする。
Continue reading “Azure を侵害して Microsoft 365 ユーザーを狙う:ロシア APT29 の凄腕ぶり”Russian Use of Cyberweapons in Ukraine and the Growing Threat to the West
2022/08/19 SecurityWeek — その始まりは AcidRain だった。AcidRain は、イタリアの Viasat のサーバーを標的とした攻撃のことであり、ウクライナからヨーロッパ全域において、同社における多数のモデムと、インターネット通信を管理するサーバを狙ったものだった。この攻撃は、ロシアによるウクライナ侵攻のタイミングに合わせて実施され、ロシアからウクライナへ向けたサイバー戦争のテンポを劇的に速めることになった。AcidRain を用いる、戦術的な論拠は明白である。ウクライナの通信機能を低下させることで、ロシア軍は戦況を有利に展開できるからだ。
Continue reading “ロシアによるサイバー攻撃:ウクライナから NATO へと標的が拡大する可能性は?”Russian Hackers Using DropBox and Google Drive to Drop Malicious Payloads
2022/07/19 TheHackerNews — APT29 として知られるロシアの国家支援されたハッキング・グループが、Google Drive や Dropbox などの正規のクラウド・サービスを利用して、侵害したシステム上に悪意のペイロードを配信するという、新しいフィッシング・キャンペーンを立ち上げていることが判明した。
Continue reading “ロシアの国家支援 APT29 ハッキング・グループ:DropBox/Google を介してマルウェアを配布”New Malware Used by SolarWinds Attackers Went Undetected for Years
2022/02/02 TheHackerNews — SolarWinds サプライチェーン侵害の背後にいる脅威アクターは、この攻撃に新しいツールやテクニックを投入し、2019年からマルウェアを強化し続けることで、とらえどころのない性質を持つキャンペーンに成長し、何年もアクセスを維持する敵対者の能力を示してきた。
Nobelium ハッキング・グループの斬新な戦術を解説する、サイバー・セキュリティ企業である CrowdStrike によると、攻撃の規模が拡大する以前から、2つの洗練されたマルウェア・ファミリーが被害者のシステムに潜入していたという。それらは、GoldMax の Linux 版と、TrailBlazer という新たなインプラントである。
Continue reading “SolarWinds 攻撃と新たなマルウェア:長期間の潜伏を可能にする手法とは?”SolarWinds hackers kept busy in the year since the seminal hack, Mandiant finds
2021/12/06 CyberScoop — SolarWinds サプライチェーン侵害に関連したハッカーたちは、この攻撃が明らかになってから1年の間に、ロシアの関心を示すデータを盗み出した。そして、さらに被害者を増やすルートを見つけることを目的に、複数のクラウド・ソリューション企業を侵害していたことが、新たな調査で明らかになった。
Continue reading “SolarWinds を侵害した脅威アクター:UNC2652 と UNC3004 は活動を継続している?”Russian hacking group uses new stealthy Ceeloader malware
2021/12/06 BleepingComputer— Nobelium ハッキング・グループは、CSP (Cloud Service Provider) や MSP (Managed Service Provider) を標的する、新しいカスタム・マルウェア Ceeloader を用いて、世界中の政府機関や企業のネットワークへの侵入を続けている。Nobelium は、米国の複数の連邦政府機関からの情報漏洩につながった、昨年の SolarWinds サプライチェーン攻撃の背後にいる脅威アクターであり、その名前は Microsoft がつけたものだ。
Continue reading “Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う”Microsoft: Russian state hackers behind 53% of attacks on US govt agencies
2021/10/08 BleepingComputer — Microsoft によると、ロシア由来のハッキング・グループが、米国の政府機関を標的にするケースが増えており、2020年7月〜2021年6月に観測された、国民支援型攻撃の 58% がロシアからのものだという。
Continue reading “Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来”Microsoft Warns of FoggyWeb Malware Targeting Active Directory FS Servers
2021/09/27 TheHackerNews — Microsoft は、昨年12月に発生した SolarWinds サプライチェーン攻撃に関与したハッキング・グループが、Active Directory Federation Services (AD FS) サーバーからペイロードを配信し、機密情報を盗み出すために使用した、新しいマルウェアに関する情報を公開した。
Continue reading “Microsoft 警告:FoggyWeb は AD FS を狙う最強のマルウェアだ!”APT focus: ‘Noisy’ Russian hacking crews are among the world’s most sophisticated
2021/09/22 DailySwig — 国家に支援されるロシアのサイバースパイ集団は、国々への脅威の中で最も洗練された存在であり、その上、最も狡猾な敵となるような欺瞞の才能を備えている。The Daily Swig が取材した専門家によると、ロシアのサイバー脅威アクターは、中国と肩を並べる世界最高レベルの存在であり、また、西側の情報機関および、連邦保安局 (FSB : Federal Security Service)、そして米軍と関係を持つ機関などに、比肩する能力を持っているようだ。
Continue reading “ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた”Autodesk reveals it was targeted by Russian SolarWinds hackers
2021/09/02 BleepingComputer — Autodesk だが、同社のサーバーの1つが Sunburst マルウェアによりバックドアを作られたことを発見し約9ヶ月後に、大規模な SolarWinds Orion サプライチェーン攻撃の背後にいる、ロシアの国家支援ハッカーからも狙われていたことを認めた。米国のソフトウェア/サービス企業である SolarWinds は、デザイン/エンジニアリング/建設などの分野の顧客に、CAD (computer-aided design)/Drafting/3D Modeling などのツールを提供している。
Continue reading “Autodesk もロシアン SolarWinds ハッカーに狙われていた”Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day
2021.07/14 BleepingComputer — Google Threat Analysis Group (TAG) と Google Project Zero の研究者たちは、Google Chrome / Internet Explorer / Apple Safari で使用されている WebKit の、4つのゼロデイ脆弱性を明らかにした。今年の初めに Google の研究者により発見された4つのゼロデイ・エクスプロイトは、悪用の実例があるものになった。
・ Chrome の CVE-2021-21166 / CVE-2021-30551
・ Internet Explorer の CVE-2021-33742
・ WebKit (Safari) の CVE-2021-1879
Russian hackers had months-long access to Denmark’s central bank
2021/06/29 BleepingComputer — ロシアの国家支援ハッカーが、デンマークの中央銀行 (Danmarks Nationalbank) を侵害し、ネットワーク・アクセスが可能なマルウェアを、半年以上にわたって検知されることなく仕込んでいた。この侵入は、昨年の SolarWinds によるサイバー・スパイ活動の一環であり、ロシア対外情報庁 (SVR) のハッキング部門 (APT29 / The Dukes / Cozy Bear / Nobelium) によるものだと、米国は断定している。
Continue reading “デンマークの中央銀行にロシアンハッカーが長期にわたりアクセスしていた”Nobelium hackers accessed Microsoft customer support tools
2021/06/26 BleepingComputer — Microsoft によると、ハッキンググループ Nobelium が新たな攻撃を行い、同社の Support Agent Computer から、顧客のサブスクリプション情報が流出したとのことだ。Microsoft が命名した Nobelium とは、SolarWinds サプライチェーン攻撃を行った、国家支援されるリシアのハッキング・グループである。このハッキング・グループが企業ネットワークへのアクセスを得るために、パスワードスプレー攻撃やブルートフォース攻撃を行っていたと、金曜日の夜に公開されたブログの中で Microsoft は述べている。
Continue reading “Nobelium ハッキンググループが Microsoft Customer Support に不正アクセス”Spear-phishing campaign linked to SolarWinds attackers halted following domain seizure
2021/06/03 DailySwig — Agency for International Development (USAID) のアドレスを装ったスピア・フィッシング・メールに関連する、2つのコマンド&コントロール・ハブを、米国当局が差し押さえた。この米国司法省による取締りは、昨年の悪名高い SolarWinds のハッキングで非難された、サイバースパイ集団である Nobelium Group の悪質な活動に対する、Microsoft の警告を受けてのものとなる。
Continue reading “SolarWinds ハッカーたちのドメインが当局に差し押さえられた”US seizes domains used by APT29 in recent USAID phishing attacks
2021/06/01 BleepingComputer — 米国司法省は、U.S. Agency for International Development (USAID) を装った最近のフィッシング攻撃で、マルウェア配布および内部ネットワークへのアクセスに使用された、2つのインターネット・ドメインを押収した。
Continue reading “米 USAID に成りすますフィッシング攻撃サイトが差し押さえられた”Microsoft: SolarWinds hackers target govt agencies from 24 countries
2021/05/28 BleepingComputer — Microsoft Threat Intelligence Center (MSTIC) は、世界の政府機関を標的とした継続的なスピア・フィッシング・キャンペーンの背後に、SolarWinds を狙うハッカーが存在することを発見した。
Continue reading “SolarWinds ハッカーたちが 24カ国の政府組織を狙っている”US government confirms Russian SVR behind the SolarWinds hack
2021/04/15 BleepingComputer — 複数の米国政府機関および民間企業のネットワークに不正アクセスする、SolarWinds サプライチェーン攻撃について、米国政府がロシア政府を正式に非難している。ホワイトハウスは、米国の利益を損なう行為に関連するロシア制裁を発表する中で、高度なハッカー集団である Cozy Bear グループを、SolarWinds Orion プラットフォームを悪用したサイバー・スパイ活動の実行者だとみなしている。
Continue reading “米政府:SolarWinds ハッキングの背後にはロシアの SVR がいるらしい”
IoT OT Security News 