Emotet 2022 を予測する:このマルウェアの歴史から何が見えてくるのか?

All You Need to Know About Emotet in 2022

2022/11/26 TheHackerNews — 直近の6ヶ月間において、ほとんど活動していなかった Emotet ボットネットだが、いまは悪質なスパムを配信し始めている。ここでは、この悪名高いマルウェアに対抗するために、知っておくべきことを詳しく説明していく。Emotet は、これまでに作られたトロイの木馬の中で、最も危険な 1 つであることに間違いはない。このマルウェアは、規模と精巧さを増すにつれて、きわめて破壊的なプログラムとなった。スパムメール・キャンペーンにさらされた企業ユーザーから個人ユーザーまで、誰でもが被害者になり得る。

Continue reading “Emotet 2022 を予測する:このマルウェアの歴史から何が見えてくるのか?”

Windows Server IKE の深刻な RCE 脆弱性 CVE-2022-34721:中国からの攻撃を観測

Remote Code Execution Vulnerability Found in Windows Internet Key Exchange

2022/11/25 InfoSecurity — Windows Internet Key Exchange (IKE) Protocol Extensions を標的とした一連のエクスプロイトが、野放し状態で悪用されていることが発見された。セキュリティ企業の Cyfirma が InfoSecurity と共有した最新のアドバイザリによると、発見された脆弱性は、およそ 1000 のシステムをターゲットに悪用されている可能性があるようだ。また、同社が観測した攻撃は、中国語話者の脅威アクターによる、“bleed you” と訳されるキャンペーンの一部である可能性があるという。

Continue reading “Windows Server IKE の深刻な RCE 脆弱性 CVE-2022-34721:中国からの攻撃を観測”

OpenVPN/SoftVPN とトロイの木馬:Android ユーザーを狙う Bahamut というハッカー

Hackers modify popular OpenVPN Android app to include spyware

2022/11/24 BleepingComputer — 2017 年以降のサイバー・スパイ活動に関与する脅威アクターたちが、正規のソフトウェア SoftVPN や OpenVPN をトロイの木馬化し、Android 向けの偽 VPN ソフトウェアを作成し、被害者を誘い込んでいることが判明した。研究者たちによると、このキャンペーンは “高度な標的型“ であり、複数のアプリから連絡先/通話データ/デバイスの位置情報/メッセージなどの窃取を目的としているとのことだ。

Continue reading “OpenVPN/SoftVPN とトロイの木馬:Android ユーザーを狙う Bahamut というハッカー”

Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?

Hackers Exploiting Abandoned Boa Web Servers to Target Critical Industries

2022/11/23 TheHackerNews — 火曜日に Microsoft は、2022年初めにインドの電力網事業体を狙った侵入行為において、現在では廃止されている Boa と呼ばれる Web サーバの、脆弱性が利用された可能性が高いことを明らかにした。この脆弱なコンポーネントは、何百万もの組織やデバイスに影響を与え得る、サプライチェーン・リスクをもたらすと、Microsoft のサイバーセキュリティ部門は述べている。

Continue reading “Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?”

EU 議会のサイトが DDoS でダウン:親ロシア派の Anonymous Russia が攻撃を主張

Pro-Russian hacktivists take down EU Parliament site in DDoS attack

2022/11/23 BleepingComputer — 親ロシア派のハッカー集団 Killnet の一部である、Anonymous Russia が主張する DDoS 攻撃を受けて、欧州議会の Web サイトがダウンした。欧州議会議長は、このインシデントについて、「この攻撃に対抗するために、議会の IT 専門家がシステムを保護している」と述べている。Director General for Communication/Spokesperson である Jaume Dauch は、Web サイトがダウンした後に、この障害は進行中の DDoS 攻撃によるものだと指摘している。

Continue reading “EU 議会のサイトが DDoS でダウン:親ロシア派の Anonymous Russia が攻撃を主張”

Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール

Backdoored Chrome extension installed by 200,000 Roblox players

2022/11/23 BleepingComputer — Chromeブラウザ・エクステンションであり、20万人以上のゲーム・ユーザーにインストールされている SearchBlox のバックドアにより、Roblox の認証情報が不正に窃取され、Roblox 取引プラットフォーム Rolimons の資産が盗み出されていることが発見された。BleepingComputer は、このエクステンションのコードを解析し、開発者の意図により侵害後に仕掛けられる、バックドアの存在を示すことができた。

Continue reading “Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール”

Aurora インフォ・スティーラー:サイバー犯罪者の間で採用が増加している

Aurora infostealer malware increasingly adopted by cybergangs

2022/11/21 BleepingComputer — サイバー犯罪者たちが、Go ベースの新たなインフォ・スティーラー Aurora を用いて、ブラウザや暗号通貨アプリからの機密情報の窃取/ディスクからのデータ流出/追加ペイロードのロードなどを行う傾向が強まっている。サイバー・セキュリティ企業の SEKOIA によると、少なくとも7つの著名なサイバー・ギャングたちのアクティビティが目立っており、Aurora だけを単独で使用するケースと、他の情報窃盗マルウェア・ファミリー RedLine/Raccoon と併用するケースが観察されている。

Continue reading “Aurora インフォ・スティーラー:サイバー犯罪者の間で採用が増加している”

Chrome の悪意のエクステンション VenomSoftX:Google Sheets を装い暗号通貨を窃取 

Google Chrome extension used to steal cryptocurrency, passwords

2022/11/21 BleepingComputer — VenomSoftX という情報窃取型の Google Chrome エクステンションが、Windows マルウェアにより展開され、ユーザーの暗号通貨やクリップボードの内容を窃取している。 この Chrome エクステンションは、Windows マルウェア ViperSoftX によりインストールされ、JavaScript ベース の RAT (Remote Access Trojan) として、また、暗号通貨ハイジャッカーとして機能する。 ViperSoftX は 2020年から存在しており、CerberusColin Cowie のセキュリティ研究者により、また、Fortinet のレポートにより、以前から公表されている。

Continue reading “Chrome の悪意のエクステンション VenomSoftX:Google Sheets を装い暗号通貨を窃取 “

Cobalt Strike のハッキング・バージョンは 34 種類:YARA ルールで排除を目指す Google

Google Identifies 34 Cracked Versions of Popular Cobalt Strike Hacking Toolkit in the Wild

2022/11/21 TheHackerNews — 先週に Google Cloud は、Cobalt Strike には 34 種類のハッキングされたバージョンが存在、野放し状態で悪用されていることを明らかにした。その中で、最も古いものは、2012年11月にリリースされたバージョンだという。GCTI (Google Cloud Threat Intelligence) チームの調査結果によると、Cobalt Strike は 1.44 から 4.7  までのバージョンがあり、合計で 275 種類のユニークな JAR ファイルが存在するようだ。そして、最新のバージョンは 4.7.2 だ。

Continue reading “Cobalt Strike のハッキング・バージョンは 34 種類:YARA ルールで排除を目指す Google”

Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ

Notorious Emotet Malware Returns With High-Volume Malspam Campaign

2022/11/21 TheHackerNews — Emotet マルウェアだが、IcedID や Bumblebee などのペイロードをドロップするためにデザインされた、大規模なマルスパム・キャンペーンの一部として、再び勢いを増して戻ってきた。先週に Proofpoint は、「2022 年11月初旬から、1日あたり数十万通の電子メールが送信されている。この、新たなアクティビティは、Emotet が主要なマルウェア群の配信ネットワークとして機能し、完全に復活したことを示唆している」と述べている。標的となる主な国々としては、米国/英国/日本/ドイツ/イタリア/フランス/スペイン/メキシコ/ブラジルなどが挙げられている。

Continue reading “Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ”

Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚

New attacks use Windows security bypass zero-day to drop malware

2022/11/19 BleepingComputer — 新たに発見されたフィッシング攻撃は、Windows のゼロデイ脆弱性を利用して、Mark of the Web のセキュリティ警告を表示せずに、マルウェア Qbot をドロップするものだ。Web やメールなどを介して、信頼できないリモートからのファイルがダウンロードされると、Windows は Mark of the Web (MoTW) と呼ばれる特別フラグを、それらのファイルに追加する。

Continue reading “Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚”

Netflix なりすましフィッシング・メール:10月のキャンペーンで 78% の急増

Netflix Phishing Emails Surge 78%

2022/11/18 InfoSecurity — Egress のセキュリティ研究者たちは、Netflix になりすましたメール攻撃が 10月以降に 78%増加しており、企業アカウントが危険にさらされる可能性があると警告している。このようなキャンペーンから生じる懸念は、Netflix のような個人のアカウントと仕事のアカウントで、従業員たちが同じ認証情報を使用している場合に、企業のシステムやデータを危険にさらさる可能性にあると、Egress は指摘している。

Continue reading “Netflix なりすましフィッシング・メール:10月のキャンペーンで 78% の急増”

Instagram を装うフィッシング攻撃:Microsoft のメール・セキュリティを回避して到達

Instagram Credential Phishing Attacks Bypass Microsoft Email Security

2022/11/18 InfoSecurity — Instagram になりすましたキャンペーンにおいて、国立教育機関の学生 22,000人をターゲットにしたクレデンシャル・フィッシング攻撃が発見された。この情報は、Armorblox のセキュリティ専門家たちによるものであり、2022年11月17日のアドバイザリで新たな脅威として警告されている。 その内容は、「このメールのタイトルは、標的に対してメッセージを開くように促している。そして、ターゲットに切迫感を訴え、将来の被害を防ぐために必要な、行動をとるよう誘導していく」というものだ。

Continue reading “Instagram を装うフィッシング攻撃:Microsoft のメール・セキュリティを回避して到達”

FBI/CISA/HHS 共同警告:ランサムウェア Hive の被害額が約 $100M に到達

Hive Ransomware Has Made $100m to Date

2022/11/18 InfoSecurity — 昨日に FBI/CISA/HHS (Health and Human Services) が発表した共同警告によると、ランサムウェア亜種 Hive は、これまでに 1,300以上のグローバル企業から約 $100 million の利益を得ているという。この推定利益は、2021年6月に Hive が発見されてから、約15カ月の間に発生したものだ。被害組織は、政府/通信/主要な製造業/IT企業 など多岐にわたるが、特に医療機関へ攻撃が集中しているようだ。

Continue reading “FBI/CISA/HHS 共同警告:ランサムウェア Hive の被害額が約 $100M に到達”

Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表

Exploit released for actively abused ProxyNotShell Exchange bug

2022/11/18 BleepingComputer — Microsoft Exchange に存在し、ProxyNotShellと総称される2つの深刻な脆弱性に対して、PoC エクスプロイト・コードが公開された。この2つの脆弱性 CVE-2022-41082/CVE-2022-41040 は、Microsoft Exchange Server 2013/2016/2019 に影響を及ぼし、権限を昇格した攻撃者がシステムのコンテキストで PowerShell を実行することで、侵害したサーバー上で任意のコード実行またはリモート・コード実行が可能なるというものだ。

Continue reading “Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表”

RDP ブルートフォース攻撃で狙われる最弱パスワード:Top-10 をリストアップ

Top passwords used in RDP brute-force attacks

2022/11/17 HelpNetSecurity — Specops Software が発表したのは、Remote Desktop Protocol (RDP) ポートに対する、現状の攻撃で使用される上位パスワードを分析した調査結果である。この分析により、30億以上のユニークな漏洩パスワードが含まれる Specops Breached Password Protection Service に、3400万以上の漏洩パスワードが追加されることになった。

Continue reading “RDP ブルートフォース攻撃で狙われる最弱パスワード:Top-10 をリストアップ”

Magento と TrojanOrders 攻撃:脆弱性 CVE-2022-24086 未パッチ・サイトが標的

Magento stores targeted in massive surge of TrojanOrders attacks

2022/11/16 BleepingComputer — Magento 2 を用いる Web サイトを標的とした、TrojanOrders 攻撃が急増している。脆弱性を悪用して脆弱なサーバを侵害する、少なくとも7つのハッキング・グループが背後にいるとされている。Web サイト・セキュリティ会社である Sansec は、Magento 2 Web サイトの約 40%が、この攻撃の標的になっていると述べている。さらに、感染させたサイトの制御をめぐって、ハッキング・グループが互いに争っていると警告している。

Continue reading “Magento と TrojanOrders 攻撃:脆弱性 CVE-2022-24086 未パッチ・サイトが標的”

LockBit が引き続きトップの座:Trellix の 2022年 Q3 サイバー脅威レポート

LockBit Remains Most Prolific Ransomware in Q3

2022/11/16 InfoSecurity — Trellix の最新レポートによると、2022年 Q3 に最も広まった LockBit ランサムウェアの亜種が、全体的な検出数の 5分の1以上 (22%) を占めたとのことだ。脅威インテリジェンス・ベンダーである Trellix は、センサーネット・ワークからのデータ/オープンソース・インテリジェンス/Trellix Advanced Research Center などから得たデータを調査/分析し、The Threat Report: Fall 2022 を編纂している。

Continue reading “LockBit が引き続きトップの座:Trellix の 2022年 Q3 サイバー脅威レポート”

中国のハッカー集団 Billbug:標的はアジア諸国における政府と防衛の機関

Chinese hackers target government agencies and defense orgs

2022/11/15 BleepingComputer — Billbug (a.k.a. Thrip/Lotus Blossom/Spring Dragon) として追跡されているサイバースパイ活動家が、アジア諸国の認証局/政府機関/防衛組織を標的としたキャンペーンを展開している。最新の攻撃は3月ころから観測されているが、この脅威アクターは、10年以上前からステルスで活動している、中国の国家支援グループだと思われる。Billbug の活動は、過去6年間  [123] にわたり、複数のサイバー・セキュリティ企業により記録されている。

Continue reading “中国のハッカー集団 Billbug:標的はアジア諸国における政府と防衛の機関”

ウクライナ CERT 対 ロシア IAB:新たなデータワイパー・キャンペーンの発見と追跡

Ukrainian CERT Discloses New Data-Wiping Campaign

2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。

Continue reading “ウクライナ CERT 対 ロシア IAB:新たなデータワイパー・キャンペーンの発見と追跡”

Coca-Cola などの有名ブランドを偽装する 42,000 のサイト:中国由来の大キャンペーン

42,000 sites used to trap users in brand impersonation scheme

2022/11/14 BleepingComputer — Fangxiao という名の悪質なグループが、有名ブランドになりすまし、ユーザーをアドウェア・アプリ/出会い系サイト/無料景品宣伝するサイトなどにリダイレクトするための、Web ドメイン 42,000 以上で構成される大規模ネットワークを構築している。 これらの偽ドメインは、Fangxiao 自身のサイトの広告収入や、このグループからトラフィックを購入した顧客の、訪問者数を増やすための大規模スキームの一部として使用されているようだ。

Continue reading “Coca-Cola などの有名ブランドを偽装する 42,000 のサイト:中国由来の大キャンペーン”

Dropbox API を悪用する Worok:PNG に埋め込んだマルウェアでバックドアを展開

Worok Hackers Abuse Dropbox API to Exfiltrate Data via Backdoor Hidden in Images

2022/11/14 TheHackerNews — 最近に発見された Worokと呼ばれるサイバー・スパイ・グループは、無害に見える画像ファイルにマルウェアを隠していることが判明し、脅威アクターによる感染連鎖の重要なリンクになっていることが裏付けられた。 チェコのサイバー・セキュリティ企業である Avast は、この PNG ファイルの目的は、情報の窃盗を容易にするペイロードを隠すことだと述べている。同社は、「注目すべきは、Dropbox のリポジトリを使用する被害者のマシンからデータを収集し、最終段階での通信に Dropbox API を使用する攻撃者である」と述べている。

Continue reading “Dropbox API を悪用する Worok:PNG に埋め込んだマルウェアでバックドアを展開”

Cookie 窃取と MFA バイパス:この組み合わせがサーバー攻撃を加速させる

Cookies for MFA Bypass Gain Traction Among Cyberattackers

2022/11/12 DarkReading — 最近の Lapsus$ マルウェア・グループは、侵害したシステムのアクセスを取得する際に、パスワードを探し出すだけではなく、デバイスやブラウザを正当なものとして認証するために使用される、Cookie セッション・トークンも検索している。このようなイニシャル・アクセスに関する傾向は、クラウド・サービスやオンプレミス・アプリケーションへのアクセスに攻撃者が使用するパスワードやクッキーが、犯罪者の予備軍から購入されるという状況を浮き彫りにしている。

Continue reading “Cookie 窃取と MFA バイパス:この組み合わせがサーバー攻撃を加速させる”

FBI が Web ドメイン 18件を押収:マネーミュールで運び屋にされないために

U.S. seized 18 web domains used for recruiting money mules

2022/11/11 BleepingComputer — FBI と U.S. Postalは、在宅ワーク詐欺や再出荷詐欺に使用されていた、18件の Web ドメインを押収した。押収された Web サイトは、”品質管理検査員” としての正規の仕事を提供すると謳っており、”検査員” の自宅からの商品の発送や、”検査員” 自身のクレジットカードによる商品の購入など要求していた。被害者は受け取った荷物を写真に撮り、指示通りに別の住所に再発送し、処理した商品1個につき $20 を受け取っていた。

Continue reading “FBI が Web ドメイン 18件を押収:マネーミュールで運び屋にされないために”

ドイツ銀行へのアクセスを IAB が販売:多数の引き合いがあると主張

An initial access broker claims to have hacked Deutsche Bank

2022/11/11 SecurityAffairs — 脅威アクター (0x_dump) は、多国籍投資銀行であるドイツ銀行をハッキングしたと主張し、そのネットワークへのアクセス権をオンラインで販売している。この IAB (Initial Access Broker) は、銀行ネットワークの約21000台のマシンにアクセス可能だと主張しており、その大半は Windows システムだとされる。また、侵害されたマシンは、Symantec EDR ソリューションで保護されていたと主張している。

Continue reading “ドイツ銀行へのアクセスを IAB が販売:多数の引き合いがあると主張”

IceXLoader マルウェアの感染が増大:Windows Defender を巧みに回避

Phishing drops IceXLoader malware on thousands of home, corporate devices

2022/11/10 BleepingComputer — 現在進行中のフィッシング・キャンペーンにより、数千のホーム/コーポレート・ユーザーが、マルウェア IceXLoader の新バージョンに感染していることが判明している。 この夏に、マルウェア・ローダー IceXLoader の野放し状態での悪用が発見されたが、その後にツールの機能が強化され、多段階の配信チェーンを導入されるという、バージョン 3.3.3 がリリースされている。2022年6月に Fortinet が、この Nim ベースのマルウェアを発見したときのバージョンは 3.0 であり、また、ローダーとしての重要な機能が欠けており、開発中というような印象だったという。

Continue reading “IceXLoader マルウェアの感染が増大:Windows Defender を巧みに回避”

PyPI 内の apicolor という悪意のパッケージ:画像ファイルに悪意のコード隠蔽

Researchers Uncover PyPI Package Hiding Malicious Code Behind Image File

2022/11/10 TheHackerNews — PyPI (Python Package Index) が提供されるパッケージの中に、ステガノグラフィを用いて画像ファイル内に、悪意のコードを隠すものが発見された。イスラエルのサイバー・セキュリティ企業 Check Point の説明によると、そのパッケージは apicolor という名前で提供される、REST API 用の Core lib とのことだ。2022年10月31日に apicolor は、Python のサードパーティ・リポジトリにアップロードされたが、その後に削除されている。

Continue reading “PyPI 内の apicolor という悪意のパッケージ:画像ファイルに悪意のコード隠蔽”

Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能

Microsoft Patches MotW Zero-Day Exploited for Malware Delivery

2022/11/09 SecurityWeek — Microsoft の最新 Patch Tuesday では、サイバー犯罪者がマルウェアを送り込むために悪用している、Mark-of-The-Web (MoTW) セキュリティ機能の欠陥などを含む、6つのゼロデイ脆弱性が対処された。Windows では、ブラウザからのダウンロード・ファイルや電子メールの添付ファイルといった、信頼できない場所から送られてくるファイルに、MoTW フラグが追加される。そして、MoTW が設定されたファイルを開こうとすると、潜在的なリスクについて警告が表示され、それが Office ファイルの場合には、悪質なコードの実行を防ぐために VBA マクロがブロックされる。

Continue reading “Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能”

Google 検索と 悪意の SEO:汚染されたサイト 15,000 件の大半は WordPress

15,000 sites hacked for massive Google SEO poisoning campaign

2022/11/09 BleepingComputer — 約 15,000件の Web サイトを侵害し、訪問者を偽の Q&A ディスカッション・フォーラムにリダイレクトするという、大規模なブラック・ハット SEO (Search Engine Optimization) キャンペーンが行われている。この攻撃は、Sucuri により発見された。Sucuri によると、侵害された各 Web サイトには、検索エンジン・スパム・キャンペーンの一部として使用される、約20,000 のファイルが含まれており、その大半のサイトがWordPressで構成されているとのことだ。

Continue reading “Google 検索と 悪意の SEO:汚染されたサイト 15,000 件の大半は WordPress”

Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる

Malicious extension lets attackers control Google Chrome remotely

2022/11/08 BleepingComputer — Cloud9 という新しい Chrome ブラウザ・ボットネットが、野放し状態で発見された。このボットネットは、悪意のエクステンションを使用して、オンライン・アカウントの窃盗/キーストロークの記録/広告や悪意の JS コードの注入/被害者のブラウザへの DDoS 攻撃などをしていたという。Cloud9 ブラウザ・ボットネットは、Google Chrome/Microsoft Edge を含む Chromium Web ブラウザ用のリモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) であり、脅威アクターによるリモート・コマンドの実行を可能にする。

Continue reading “Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる”

Conti は死んでいない:Black Basta/BlackByte へのリブランドと欧米インフラへの攻撃

Conti Affiliates Black Basta, BlackByte Continue to Attack Critical Infrastructure

2022/11/08 InfoSecurity — 2022年の2月末から 7月中旬にかけて、BlackByte と Black Basta のデータ漏洩サイトに 81件の被害者組織が掲載された。そのうち 41% は欧州に拠点を置いており、大半がエネルギー/政府/運輸/製薬/施設/食品/教育などの主要インフラ分野に属している。残りの 59% は主に米国にあり、農業機械メーカー/小規模食料品チェーン/建設会社などの、複数の被害者が含まれている。

Continue reading “Conti は死んでいない:Black Basta/BlackByte へのリブランドと欧米インフラへの攻撃”

T-Mobile/Experian と米国 40州が合意:和解金の総額は $16 million 以上

US States Announce $16M Settlement With Experian, T-Mobile Over Data Breaches

2022/11/08 SecurityWeek — 2012年/2015年に Experian と T-Mobile で生じたデータ侵害をめぐり、米国 40州の当局が総額 $16 million 以上の和解に合意した。Experian との複数州での和解金は総額 $13.67 million 以上、T-Mobile との和解金は $2.5 million となった。さらに、各社は、データ・セキュリティの実践を改善するための措置を講じることに同意している。

Continue reading “T-Mobile/Experian と米国 40州が合意:和解金の総額は $16 million 以上”

Microsoft Exchange のゼロデイ ProxyNotShell が FIX:2013/2016/2019 に影響

Microsoft fixes ProxyNotShell Exchange zero-days exploited in attacks

2022/11/08 BleepingComputer — Microsoft Exchange に存在し、野放し状態で悪用されている、ProxyNotShell と名付けられた2つのゼロデイ脆弱性に対して、セキュリティ更新プログラムがリリースされた。2022年9月以降において、この2つのセキュリティ欠陥を連鎖させた攻撃者は、侵害したサーバ上に Chinese Chopper Web シェルを展開し、永続性を確保しながら被害者のネットワーク内で横方向へと移動することで、データを窃取してきたと思われる。

Continue reading “Microsoft Exchange のゼロデイ ProxyNotShell が FIX:2013/2016/2019 に影響”

Microsoft の 2022 Digital Defense Report:国家による主要インフラへのハッキングが急増

Nation-State Hacker Attacks on Critical Infrastructure Soar: Microsoft

2022/11/07 SecurityWeek — Microsoft の 2022 Digital Defense Report によると、ウクライナとその同盟国を標的としたロシアのサイバー攻撃が主な原因で、主要インフラに対する国民国家のハッカー攻撃が急増しているという。2020年6月〜2021年6月にかけて、Microsoft が観測した国民国家の攻撃のうち、主要インフラを狙ったものは全体の 20%だった。その割合は、2021年7月〜2022年6月の期間には、40%に増加している。

Continue reading “Microsoft の 2022 Digital Defense Report:国家による主要インフラへのハッキングが急増”

サイバー保険市場の動向:顧客のセキュリティ意識の向上が安定を導く

Cyber Insurance Market Stabilizing as Security Awareness Improves

2022/11/07 InfoSecurity — Risk Strategies の State of the Market 2022 Update によると、サイバー保険市場は、数年にわたる急激な料率上昇を経て、安定し始めているとのことだ。この保険代理店は、適切な条件の下において、2023年には料率の上昇が 10%~25% の範囲に減速する可能性があると予測している。つまり、2022年 Q1〜Q2 には平均で 50% の料率上昇があり、Q3 には 30%-40% に減速しているが、その傾向が続くとしている。

Continue reading “サイバー保険市場の動向:顧客のセキュリティ意識の向上が安定を導く”

Robin Banks は Phishing-as-a-Service:機能を充実させて脅威を増大させる

Robin Banks phishing-as-a-service platform continues to evolve

2022/11/07 SecurityAffairs — Phishing-as-a-Service (PhaaS) プラットフォームの Robin Banks は、以前は Cloudflare のプロバイダーによりホストされていたが、7月に通知を受けた同社が、Robin Banks のフィッシング・インフラをサービスから切り離し、現在に至っている。この変化により、Robin Banks の運営には数日の混乱が生じたが、このプラットフォームの管理者により、ロシアの防弾ホスティング・プロバイダー DDoS-Guard への移行などが行われたようだ。

Continue reading “Robin Banks は Phishing-as-a-Service:機能を充実させて脅威を増大させる”

Medibank にランサムウェア攻撃が発生:オーストラリア保険大手への脅迫が始まった

Ransomware gang threatens to release stolen Medibank data

2022/11/07 BleepingComputer — オーストラリアの医療保険会社 Medibank Private Limited に対する、10月のランサムウェア攻撃については、REvil の再始動と推測する説もあるが、BlogXX として追跡されているランサムウェア・グループが犯行を主張している。 Medibank は、オーストラリア最大の民間医療保険会社の1つであり、390 万人以上をカバーし、4,000人の従業員を擁している。これまでの Medibank への攻撃は、特定のランサムウェア・グループに起因するものとはされてなかった。しかし、今回の攻撃においては、同社のネットワーク上で観測された悪質な活動が、あるランサムウェアの活動に一致することが確認された。

Continue reading “Medibank にランサムウェア攻撃が発生:オーストラリア保険大手への脅迫が始まった”

LockBit 3.0 がタイマーをセット:Kearney & Company に身代金 $2M を要求

LockBit 3.0 gang claims to have stolen data from Kearney & Company

2022/11/06 SecurityAffairs — Kearney & Company は、政府機関向けに財務管理全般のサービスを提供する、最高峰の公認会計士事務所である。具体的に言うと、同社は米国政府に対して監査/コンサルティング/IT サービスを提供し、連邦政府全体における財務業務の有効性と効率性の向上に貢献している。

Continue reading “LockBit 3.0 がタイマーをセット:Kearney & Company に身代金 $2M を要求”

Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している

Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities

2022/11/05 TheHackerNews — Microsoft が警告するのは、公表されたゼロデイ脆弱性を国家や犯罪者が利用し、標的の環境を侵害するケースが増加していることだ。Microsoft は、114 ページにも及ぶ Digital Defense Report の中で、「脆弱性の発表から、その脆弱性が商品化されるまでの時間が、明らかに短縮されている」と述べている。したがって、ユーザー組織にとっては、このような脆弱性にタイムリーにパッチを当てることが不可欠であると指摘している。

Continue reading “Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している”

LockBit のハッキング主張:自動車部品グループ Continental のデータを窃取

LockBit Claims Ransomware Attack on Continental

2022/11/04 InfoSecurity — ハッキング・グループ LockBit は、この8月に多国籍自動車グループ Continental にサイバー攻撃を仕掛けたと主張している。11月2日に LockBit は、リークサイトにおいて発表を行い、11月4日までの間に身代金が支払われなければ、Continental のデータを公開すると脅している。ダークウェブのブログ記事によると、Continental のネットワークから盗み出したデータの内容や、侵入の記事については、詳細を明らかにしていないとのことだ。

Continue reading “LockBit のハッキング主張:自動車部品グループ Continental のデータを窃取”

Microsoft の 2022 Digital Defence Report:ロシア対ウクライナのハイブリッド戦争の影響

“Disturbing” Rise in Nation State Activity, Microsoft Reports

2022/11/04 InfoSecurity — Microsoft の Corporate VP, Customer Security & Trust である Tom Burt は、11月3日に開催されたオンライン・プレス・ブリーフィングにおいて、2022 Microsoft Digital Defence Report (MDDR) について説明し、国家による攻撃的なサイバー活動が、この1年の間に劇的に増加していると述べている。

Continue reading “Microsoft の 2022 Digital Defence Report:ロシア対ウクライナのハイブリッド戦争の影響”

BEC グループ Crimson Kingsnake:米/英/豪 92件の悪質ドメインとの関連性が判明

BEC Group Crimson Kingsnake Linked to 92 Malicious Domains

2022/11/04 InfoSecurity — Crimson Kingsnake と呼ばれるビジネスメール詐欺 (BEC:Business Email Compromise) グループだが、有名な国際法律事務所になりすまして受信者を騙し、期限切れの請求書の支払いを承認させていることが、最近になって確認された。クラウドメール・セキュリティ・プラットフォームの Abnormal が発表した技術レポートによると、米国/英国/オーストラリアの 19の法律事務所/債権回収会社を装う、92件の悪質なドメインが特定され、この脅威アクターに関連づけられたという。

Continue reading “BEC グループ Crimson Kingsnake:米/英/豪 92件の悪質ドメインとの関連性が判明”

Microsoft Dynamics 365 でフィッシング:Customer Voice の悪用に御用心

Attackers leverage Microsoft Dynamics 365 to phish users

2022/11/04 HelpNetSecurity — Microsoft Dynamics 365 の Customer Voice を悪用する脅威アクターたちが、メール・フィルターを回避し、Microsoft ユーザーの受信トレイにフィッシング・メールを配信していると、Avanan の研究者たちが警告している。

Continue reading “Microsoft Dynamics 365 でフィッシング:Customer Voice の悪用に御用心”

ENISA Threat Landscape 2022 が公開:欧州のサイバー脅威を俯瞰する

The 10th edition of the ENISA Threat Landscape (ETL) report is out!

2022/11/04 SecurityAffairs — ENISA (European Union Agency for Cybersecurity) は、サイバー・セキュリティにおける脅威の状況を示す、年次レポート ENISA Threat Landscape 2022 (ETL) を発表した。この、年次レポートの第10版は、2021年7月〜2022年7月に発生した事象を分析している。同レポートでは、地政学的状況が脅威の状況に与える影響が強調されている。ENISA の専門家たちは、上記の期間中に、サイバー戦争やハクティビズムに関連する悪意の活動の増加を確認している。

Continue reading “ENISA Threat Landscape 2022 が公開:欧州のサイバー脅威を俯瞰する”

Zurich と Mondelez の和解が成立:NotPetya マルウェアに関連する $100M の保険請求

Zurich and Mondelez Reach NotPetya Settlement, but Cyber-Risk May Increase

2022/11/03 InfoSecurity — Zurich American Insurance と製菓大手 Mondelez International の間で生じた、2017年の NotPetya サイバー攻撃に関連する、$100m の請求に関する論争に決着がついた。この訴訟は、サイバー攻撃に関連する戦争の状況と、保証の除外のテスト・ケースとして注目を集めていたが、イリノイの州裁判所で4年間続いた争いの末に和解が成立した。

Continue reading “Zurich と Mondelez の和解が成立:NotPetya マルウェアに関連する $100M の保険請求”

OPERA1ER という現金強奪者:4年間で銀行などから $11M 以上を盗み出した

Threat Actor “OPERA1ER” Steals Millions from Banks and Telcos

2022/11/03 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、フランス語圏の脅威グループによる長期的な APT キャンペーンの存在であり、4年間で銀行や通信事業者から少なくとも $11m を盗み出したグループのことである。Group-IB は、このグループを OPERA1ER と名付けたが、以前には DESKTOP-group や Common Raven など呼ばれていたようだ。Group-IB は、Orange CERT Coordination Center と協力して、レポート OPERA1ER. Playing God without permission を作成した。

Continue reading “OPERA1ER という現金強奪者:4年間で銀行などから $11M 以上を盗み出した”

SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染

Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App

2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。

Continue reading “SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染”

PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける

Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware

2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。

Continue reading “PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける”

Raccoon Stealer V2 の調査:収集されたアクティビティから実行プロセスを推測

Inside Raccoon Stealer V2

2022/11/02 TheHackerNews — Raccoon Stealer が再び話題になっている。米国当局は、このプログラムの背後にいるマルウェア・アクターの一人である Mark Sokolovsky を逮捕した。2022年7月に Raccoon Stealer は閉鎖されたが、その数カ月後に Raccoon Stealer V2 が流行りだしている。先週の、司法省 (DoJ) プレスリリースによると、このマルウェアは 5,000万件のクレデンシャルを収集したとのことだ。この記事では、Raccoon Stealer V2 情報窃盗犯の最新バージョンについて簡単に説明していく。

Continue reading “Raccoon Stealer V2 の調査:収集されたアクティビティから実行プロセスを推測”

Emotet が 11月2日に活動を再開:Microsoft の Protected View を回避する戦術とは?

Emotet botnet starts blasting malware again after 5 month break

2022/11/02 BleepingComputer — マルウェア Emotet のオペレーションだが、サイバー犯罪作戦の活動がほとんど見られなかった約5ヶ月間の休暇を経て、再び悪質な電子メールを送信し始めている。Emotet のフィッシング・キャンペーンは、悪意の Excel/Word 文書を介して、マルウェアを配布し感染させるものだ。それらの文書を開いたユーザーが、マクロを有効にしていると、Emotet DLL がダウンロードされ、メモリに読み込まれる。

Continue reading “Emotet が 11月2日に活動を再開:Microsoft の Protected View を回避する戦術とは?”