WinRAR Vulnerability Affects Traders Worldwide
2023/08/23 InfoSecurity — トレーダーの専門フォーラムを標的とするサイバー犯罪者たちが、WinRAR 圧縮ツールのゼロデイ脆弱性 CVE-2023-38831 を悪用していると、サイバー・セキュリティ研究者が警告を発している。この脆弱性の悪用に成功した攻撃者は、悪意のあるペイロードを取り込んだ ZIP アーカイブを作成し、トレーダーの金融資産に重大なリスクをもたらすという。Group-IB の Threat Intelligence Unit は、2023年7月に DarkMe マルウェア配布について調査した際に、WinRAR の ZIP ファイル・フォーマットの処理に、未知の脆弱性があることを見した。
Continue reading “WinRAR のゼロデイ CVE-2023-38831 の悪用:世界中のトレーダーが狙われている”More Than Half of Browser Extensions Pose Security Risks
2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。
Continue reading “Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果”New stealthy techniques let hackers gain Windows SYSTEM privileges
2023/08/23 BleepingComputer — セキュリティ研究者たちが、Windows Filtering Platform を利用して、Windows の最高権限レベルである SYSTEM にまで、ユーザー権限を昇格させるツール NoFilter をリリースした。このユーティリティは、感染させたデバイスにログインしている正規ユーザのアカウントを用いた、より高い権限での悪意のコード実行や、ネットワーク上での横方向への移動といった、攻撃者による悪用シナリオの追跡に有用なものとなる。
Continue reading “Windows SYSTEM 権限を取得する3つのテクニック:Filtering Platform の悪用方法とは?”Bogus OfficeNote app delivers XLoader macOS malware
2023/08/23 HelpNetSecurity — 既知のマルウェアである XLoader の macOS 対応の亜種が、”OfficeNote” アプリを装いながら配信されている。SentinelOne の研究者たちは、「XLoader マルウェアのサンプルは、7月を通じて VirusTotal に投稿され続けており、野放し状態で広範に配布されていることが示される」と述べている。2015年から活動している XLoader は Malware-as-a-Service 型の情報スティーラー/ボットネットであり、2021年に Java で書かれた macOS 亜種が登場した。
Continue reading “OfficeNote アプリを装う XLoader:野放し状態で macOS ユーザーを攻撃中”3,000 Openfire Servers Exposed to Attacks Targeting Recent Vulnerability
2023/08/23 SecurityWeek — Openfire の脆弱性 CVE-2023-32315 に対するパッチが適用されていない、3,000台以上のサーバに対する新たな悪用方法により、その多くが攻撃にさらされていることが、VulnCheck の報告で明らかになった。Ignite Realtime が管理する Openfire は、XMPP プロトコルを使用し、Javaで書かれた、クロスプラットフォームのリアルタイム・コラボレーション・サーバであり、Web インターフェイスによる管理をサポートしている。
Continue reading “Openfire Server への攻撃:約 3,000 台の未パッチ・サーバが標的になっている”Carderbee Attacks: Hong Kong Organizations Targeted via Malicious Software Updates
2023/08/22 TheHackerNews — 未知の脅威クラスターが、香港などを中心とするアジア圏の組織を標的として、ソフトウェア・サプライチェーン攻撃に関与していることが判明した。Broadcom 傘下の Symantec Threat Hunter Team が、Carderbee という名前で、この活動を追跡している。この攻撃は、EsafeNet Cobra DocGuard Client と呼ばれる正規ソフトウェアのトロイの木馬化バージョンを悪用し、被害者のネットワーク上に PlugX (別名 Korplug) という既知のバックドアを配信するものだ。
Continue reading “Carderbee というサプライチェーン攻撃を観測:香港などのアジア圏の組織が標的?”CISA adds critical Adobe ColdFusion flaw to its Known Exploited Vulnerabilities catalog
2023/08/22 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Adobe ColdFusion に存在する深刻な脆弱性 CVE-2023-26359 (CVSS : 9.8) を KEV (Known Exploited Vulnerabilities) カタログに追加した。2023年3月に Adobe は、この深刻な脆弱性を修正している。この欠陥は、Adobe ColdFusion における、信頼できないデータのデシリアライズに起因するものであり、正規ユーザーのコンテキストで、任意のコード実行を引き起こす可能性があるという。
Continue reading “CISA KEV 警告 23/08/21:Adobe ColdFusion の脆弱性をカタログに追加”Continued MOVEit Exploitation Drives Record Ransomware Attacks
2023/08/22 InfoSecurity — Clop ギャングによる MOVEit 脆弱性の継続的な悪用により、2023年7月のランサムウェア攻撃件数が記録的なレベルに達したと、NCC Group の脅威インテリジェンス・チームは述べている。研究者たちは、7月だけで 502件という、最大規模のランサムウェア攻撃を観測した。この数値は、2022年7月との比較で154% 増であり、2023年6月との比較で 16% 増となっている。
Continue reading “MOVEit 脆弱性への Clop 攻撃が止まらない:NCC Group の脅威レポート”Akira ransomware targets Cisco VPNs to breach organizations
2023/08/22 BleepingComputer — Akira ランサムウェアが、Cisco VPN 製品を攻撃ベクターとして企業ネットワークに侵入し、データ窃取を行った後に暗号化するという証拠が増えている。Akira ランサムウェアは、2023年3月以降に検出された新しいランサムウェアであり、その後に、VMware ESXi 仮想マシンを標的とする Linux 暗号化ツールも開発している。
Continue reading “Akira ランサムウェア:Cisco VPN 製品を標的として組織に侵入している”HiatusRAT Malware Resurfaces: Taiwan Firms and U.S. Military Under Attack
2032/08/21 TheHackerNews — HiatusRAT マルウェアを背後から操る脅威アクターは、台湾を拠点とする組織と米軍調達システムを狙うために復帰し、新たな偵察と標的さがしの活動に入った。先週に発表したレポートで Lumen Black Lotus Labs は、このマルウェアのサンプルを調査した結果として、複数の CPU に対応する再コンパイルが行われ、新しい VPS 上でアーティファクトがホストされていると指摘している。Lumen は、この活動群を最も大胆なものと表現しており、その勢いに衰える気配がないことを指摘している。現在のところ、脅威アクターの身元や帰属は不明である。
Continue reading “HiatusRAT マルウェアが復活: 台湾企業と米軍にサイバー攻撃を仕掛けている”Ivanti warns of new actively exploited MobileIron zero-day bug
2023/08/21 BleepingComputer — 8月21日に、米国の IT ソフトウェア会社 Ivanti は、Sentry API 認証バイパスの脆弱性が悪用されているとして、顧客へ向けて警告を発した。 Ivanti Sentry (旧 MobileIron Sentry) は、Microsoft Exchange Server のようなエンタープライズ ActiveSync サーバや、Sharepoint サーバのようなバックエンド・リソースのゲートキーパーとして機能するものであり、Kerberos Key Distribution Center Proxy (KKDCP) サーバとしても機能する。
Continue reading “Ivanti Sentry の深刻な脆弱性 CVE-2023-38035 が FIX:Apache HTTPD 認証がカギ”Japanese watchmaker Seiko breached by BlackCat ransomware gang
2023/08/21 BleepingComputer — BlackCat/ALPHV ランサムウェア・ギャングの恐喝サイトに、SEIKO の名前が加わり、今月の初めに同社が公表した、サイバー攻撃への対応を要求している。SEIKO は世界最大級の規模を誇る歴史のある時計メーカーであり、従業員数は約 12,000人/年間売上高は $1.6 billion を超える。2023年8月10日に同社は、データ漏洩の通知を発表し、無許可の第三者が IT インフラの一部に不正アクセスし、流出させたことを認めた。
Continue reading “SEIKO がハッキングされた:犯行を主張する BlackCat がサンプル・データを公開”Google Chrome to warn when installed extensions are malware
2023/08/20 BleepingComputer — Google がテストしている Chrome の新機能は、インストールされたエクステンションが Chrome Web Store から削除された場合に、ユーザーに警告を表示するためのものである。Chrome Web Store では、問題のあるエクステンションなどが次々と公開され、ポップアップ広告やリダイレクト広告を介して宣伝されている。これらのエクステンションは、詐欺師や脅威アクターにより作成され、不要な広告の挿入/検索履歴の追跡/アフィリエイト・ページへのリダイレクトなどを行い、さらに深刻なケースでは、Gmail や Facebook のアカウント窃盗などにも悪用される。
Continue reading “Google Chrome Check for Extension:マル・エクステンションを判定してくれる”Thousands of Android Malware Apps Using Stealthy APK Compression to Evade Detection
223/08/19 TheHackerNews — マルウェア解析を逃れる脅威アクターたちが、未知の圧縮方法を用いる Android Package (APK) ファイルを使用しているという。Zimperium の調査結果によると、このような圧縮アルゴリズムを利用した 3,300件のアーティファクトが、野放し状態で活動していることが判明したという。確認されたサンプルのうち 71件は、何の問題もなく Android にロードできるようだ。
Continue reading “Android マルウェアの新たな手口:未知の圧縮アルゴリズムで検出を回避している”Hackers use VPN provider’s code certificate to sign malware
2023/08/19 BleepingComputer — Bronze Starlight として知られる中国系の APT (Advanced Persistent Threat) グループが、Ivacy VPN プロバイダーの有効な証明書で署名したマルウェアを用いて、東南アジアのギャンブル業界をターゲットにしていることが確認された。有効な証明書を悪用することの主なメリットは、セキュリティ対策やシステム・アラートによる検知を回避し、正規のソフトウェアやトラフィックに紛れ込める点にある。このキャンペーンを分析した SentinelLabs は、その証明書について、Ivacy VPN のシンガポールのベンダーである PMG PTE LTD のものだと見ている。
Continue reading “Bronze Starlight という中国の APT:Ivancy VPN の証明書をマルウェアの署名に悪用”Companies Respond to ‘Downfall’ Intel CPU Vulnerability
2023/08/18 SecurityWeek — 先日に公表された Intel CPU の脆弱性 Downfall に対して、複数の大手企業がセキュリティ・アドバイザリ発表した。Google の研究者により発見され、CVE-2022-40982 として追跡されている Downfall には、サイドチャネル攻撃を引き起こす可能性がある。その悪用に成功したローカルの攻撃者には、パスワードや暗号化キーなどの機密性の高い情報を、対象となるデバイスから取得する可能性が生じるという。クラウド環境も影響を受けることになり、Web ブラウザ経由でリモート攻撃などが起こるかもしれないが、そのような攻撃を実証するには、さらなる研究が必要だという。
Continue reading “Intel CPU の脆弱性 Downfall CVE-2022-40982:影響を受けるベンダーたちの対応は?”2023/08/18 SecurityAffairs — ハッカー・グループである Anonymous は、#OpFukushima と呼ばれるオペレーションの一環として、日本の原発関連団体に対するサイバー攻撃を開始した。このキャンペーンは、福島原発の処理水を海に放出するという、日本政府の計画に抗議するために開始された。NTT Security Japan によると、IAEA (International Atomic Energy Agency) が報告書を公表した直後の 2023年7月から、攻撃が増加しているという。IAEA は、この処理水の放出は世界的な安全基準に適合していると、報告書で述べている。また、Anonymous は、東京電力の福島第一原子力発電所から処理水を放出することを、2021年に日本政府が正式に決定した後に、”ターゲット・リスト” を公開していたことも、NTT Security Japan は明らかにした。
Continue reading “Anonymous による #OpFukushima オペレーション:福島原発の汚染水放出の計画に抗議”Proxyjacking and Cryptomining Campaign Targets GitLab
2023/08/18 InfoSecurity — LABRAT と呼ばれる、金銭的な動機に基づく新たなオペレーションが、Sysdig のセキュリティ研究者たちにより発見された。このキャンペーンの目的は、クリプト・マイニングとプロキシ・ジャッキングで利益を得ることであり、様々なテクニックを使って身を潜めるように設計されている。プロキシ・ジャッキングとは、攻撃手法の1つであり、攻撃者が被害者のシステムを侵害して、不正な操作などを行うものだ。LABRAT のオペレーターは、既知の GitLab のリモート・コード実行の脆弱性 CVE-2021-22205 を悪用して、標的のコンテナを侵害していた。
Continue reading “LABRAT というキャンペーン:GitLab の脆弱性 CVE-2021-22205 を悪用してシステムに侵入”Phishing campaign steals accounts for Zimbra email servers worlwide
2023/08/17 BleepingComputer — 世界中の Zimbra Collaboration メール・サーバから、認証情報を盗み出そうとするフィッシング・キャンペーンが、遅くとも 2023年4月以降から進行している。ESET のレポートによると、一連のフィッシング・メールは、世界中の組織に対して送信されており、特定の組織や分野に焦点を当てたものではないという。このオペレーションの背後にいる脅威アクターについては、現時点では不明だとされる。
Continue reading “世界中の Zimbra メール・サーバに危機:フィッシング・キャンペーンが成功を収めている”Microsoft PowerShell Gallery vulnerable to spoofing, supply chain attacks
2023/08/17 BleepingComputer — Microsoft の PowerShell Gallery コード・リポジトリには、パッケージの命名に関する不適切なポリシーが存在する。それを悪用する脅威アクターは typosquatting 攻撃を実行し、人気のパッケージを詐称し、大規模なサプライチェーン攻撃の基礎を築く可能性を有している。PowerShell Gallery は Microsoft が運営するオンライン・リポジトリであり、PowerShell コミュニティから様々なアップロードされたパッケージとして、各種のスクリプトとコマンドレットのモジュールをホストしている。現時点において、とても人気のあるコード・ホスティング・プラットフォームであり、月間で数千万もダウンロードされるパッケージもあるという。
Continue reading “Microsoft PowerShell Gallery に不適切なポリシー問題:サプライ・チェーン攻撃の危険性”CISA Adds Citrix ShareFile Flaw to KEV Catalog Due to In-the-Wild Attacks
2023/08/17 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現実の世界で活発に悪用されている証拠に基づき、ShareFile Storage Zones Controller に存在する深刻な脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性 CVE-2023-24489 (CVSS:9.8) は、不適切なアクセス制御のバグとして説明されている。その悪用に成功した未認証の攻撃者は、脆弱なインスタンスをリモートから侵害することが可能になるという。
Continue reading “CISA KEV 警告 23/08/16:Citrix ShareFile の脆弱性が積極的に悪用されている”LinkedIn users targeted in account hijacking campaign
2023/08/16 HelpNetSecurity — 複数の LinkedIn ユーザーが、アカウント乗っ取りキャンペーンの標的にされ、アカウントからロックアウトされている。最近になって Cyberint の調査チームが気づいたことは、LinkedIn アカウントの乗っ取りについて、各種の SNS 上の会話が大幅に増加していることだった。Google Trends によると、”LinkedIn account hacked 2023″ や “LinkedIn account recovery appeal “といった検索クエリが爆発的に増加しており、5000% 以上の伸びを示しているという。
Continue reading “LinkedIn ユーザーは御用心:大規模なアカウント・ハイジャック・キャンペーンが発生”Massive 400,000 proxy botnet built with stealthy malware infections
2023/08/16 BleepingComputer — 少なくとも 40万台の Windows システムに、プロキシ・サーバ・アプリを配信するという、大規模なキャンペーンが発見された。これらのデバイスは、ユーザーの同意なしにレジデンシャル用の出口ノードとして機能し、マシンを介して実行されるプロキシ・トラフィックの料金が発生することになる。レジデンシャル・プロキシは、大量の新規 IP アドレスを必要とする、大規模なクレデンシャル・スタッフィング攻撃の展開に有用であるため、サイバー犯罪者にとって貴重な存在となる。
Continue reading “40万のプロキシ・ボットネット:ステルス・マルウェア感染で構築される”Major U.S. energy org targeted in QR code phishing attack
2023/08/16 BleepingComputer — 米国の著名なエネルギー会社などを標的とするフィッシング・キャンペーンが観測されているが、この攻撃では、悪意の電子メールを受信トレイに送り込み、セキュリティを回避するために、 QR コードが使用されているという。このキャンペーンに関連する、約 1,000通ほどの電子メールの 29% は、米国の大手エネルギー会社を標的としている。その他の攻撃は、製造業 (15%)/保険 (9%)/テクノロジー (7%)/金融サービス (6%) などの企業に対して行われている。
Continue reading “QR コード・フィッシングとは? 米国のエネルギー産業などを狙う新たな手口”Critical Security Flaws Affect Ivanti Avalanche, Threatening 30,000 Organizations
2023/08/16 TheHackerNews — 30,000 もの組織で使用されているエンタープライズ・モバイル・デバイス管理ソリューション Ivanti Avalanche に、複数の深刻なセキュリティ欠陥が存在すると報告されている。これらの脆弱性は、Ivanti Avalanche WLAvanacheServer.exe v6.4.0.0 のスタックバッファ・オーバーフローとして、CVE-2023-32560 (CVSS:9.8) にまとめられている。この欠陥は、特定のデータ・タイプを処理した結果として発生する、バッファ・オーバーフローに起因していると、サイバー・セキュリティ企業 Tenable は述べている。
Continue reading “Ivanti Avalanche の深刻な脆弱性 CVE-2023-32560 が FIX:脅威アクターが探索!”New CVE-2023-3519 scanner detects hacked Citrix ADC, Gateway devices
2023/08/15 BleepingComputer — Citrix NetScaler Application Delivery Controller (ADC)/NetScaler Gateway Appliance に存在する、CVE-2023-3519 脆弱性の悪用の有無を判定するスキャナを、Mandiant がリリースした。この深刻な Citrix の脆弱性は、ゼロデイとして 2023年7月中旬に発見されたものであり、脆弱なデバイス上で認証なしでリモート・コード実行が可能であるため、広範囲で積極的に悪用されている。
Continue reading “Citrix ADC/Gateway の脆弱性 CVE-2023-3519:Mandiant がハッキング・スキャナーを提供”US Cyber Safety Board to Review Cloud Attacks
2023/08/14 SecurityWeek — 8月11日 (金) に米国政府は、DHS (Homeland Security) のサイバー安全審査委員会 (CSRB:Cyber Safety Review Board) が、クラウド環境を標的とした悪意の攻撃に関する審査を実施すると発表した。このイニシアティブは、政府/産業界/CSP (Cloud Service Provider) に対して、クラウドにおける ID 管理と認証を改善するための、提言を行うことに重点を置くという。
Continue reading “米国政府によるクラウド攻撃の分析:Microsoft ハッキングを受けて活動を開始”Ongoing Xurum Attacks on E-commerce Sites Exploiting Critical Magento 2 Vulnerability
2023/08/14 TheHackerNews — Adobe の Magento 2 ソフトウェアを使用する E コマース・サイトが、遅くとも 2023年1月以降に発生しているキャンペーンで、継続的に標的とされている。この、Akamai により Xurum と名付けられた攻撃は、Adobe Commerce および Magento Open Source の、すでにパッチ適用されている深刻な脆弱性 CVE-2022-24086 (CVSS:9.8) を利用するものであり、その悪用に成功した攻撃者は、任意のコード実行を可能にするという。この攻撃者は、過去 10 日間に Magento ストアで行われた、注文の支払い統計に興味を持っているらしい。
Continue reading “Magento 2 の脆弱性 CVE-2022-24086 が狙い:Xurum いう名のキャンペーンとは?”Over 100K hacking forums accounts exposed by info-stealing malware
2023/08/14 BleepingComputer — 研究者たちが発見した 120,000 の感染したシステムには、サイバー犯罪フォーラムにおける認証情報が含めているという。研究者たちによると、これらのコンピュータの多くはハッカーのものだという。データを分析したところ、ハッキング・フォーラムへのログインに使用されるパスワードは、政府組織で用いられている一般的な Web サイトのパスワードよりも強力であることが判明した。
Continue reading “ハッキング・フォーラムの認証情報 10万件が流出:インフォ・スティーラーが活躍する別の世界”US cyber safety board to analyze Microsoft Exchange hack of govt emails
2023/08/11 BleepingComputer — 米国土安全保障省の CSRB (Cyber Safety Review Board) は、米政府機関で使用される Microsoft Exchange アカウントが、最近になって中国からハッキングされていることを受け、クラウド・セキュリティの実践について詳細な審査を実施することを発表した。CSRB は官民が協力する機関であり、重大な事象に対する理解を深め、根本的な原因を見極め、サイバー・セキュリティに関する情報に基づく提言を行うための、詳細な調査の実施を目的として設立された。
Continue reading “Exchange をハッキングする中国の Storm-0558:米政府と Microsoft が共同で分析”#BHUSA: Only 22% of Firms Have Mature Threat Intelligence Programs
2023/08/10 InfoSecurity — サイバーセキュリティ・ソリューション・プロバイダー OPSWAT の、最新レポートが発表された。このレポートによると、脅威インテリジェンス・プログラムが十分な企業は 22%に過ぎないという。8月9日にラスベガスで開催された Black Hat USA で、この調査結果が同社から発表された。マルウェアの検出と対応を専門とする、従業員 50人以上の組織の IT専門家 300人以上を対象に、この初調査は実施されたという。
Continue reading “十分な脅威インテリジェンス・プログラムを導入している企業は僅か 22% – OPSWAT 調査”New Statc Stealer Malware Emerges: Your Sensitive Data at Risk
2023/08/10 TheHackerNews — Statc Stealer と呼ばれる新種の情報マルウェアが、Microsoft Windows が動作するデバイスに感染し、機密性の高い個人情報や決済情報を窃取していることが判明した。Zscaler Threat Labz の研究者である Shivam Sharma と Amandeep Kumar は、今週に発表されたテクニカル・レポートで、「Statc Stealer は様々な窃取機能を備えた、深刻な脅威だ。同ツールは、ログインデータ/クッキー/Web データ/プリファレンスなど、さまざまな Web ブラウザから機密情報を盗むことができる。さらに、暗号通貨のウォレット/認証情報/パスワード/Telegram のようなメッセージング・アプリのデータさえも盗み出すことができる」と延べている。
Continue reading “新たなマルウェア Statc Stealer が出現: 機密データが危険にさらされる”2023/08/10 SecurityAffairs −−− 米国 CISA は、.NET/Visual Studio に影響を及ぼすゼロデイ脆弱性 CVE-2023-38180 (CVSS:7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性が悪用されると、サービス運用妨害 (DoS) 状態が引き起こされる可能性があるとして、Microsoft は August 2023 Patch Tuesday で対処している。なお、この脆弱性のあるシステムは、ユーザーの操作なしに悪用可能であり、悪用には権限が不要だと、同社は述べている。
Continue reading “CISA KEV 警告 23/08/10:.NET/Visual Studio の脆弱性 CVE-2023-38180 を追加”Western Digital, Synology NAS Vulnerabilities Exposed Millions of Users’ Files
2023/08/09 SecurityWeek — IoT/OT サイバー・セキュリティ企業 Claroty の調査により、Western Digital (WD) と Synology の NAS (Network Attached Storage) 製品に深刻な脆弱性が発見された。同社によると、数百万人のユーザーの、ファイルが流出した可能性があるという。これらの脆弱性と、その悪用の検証は、2022年12月に Zero Day Initiative がトロントで開催した、ハッカー・コンテスト Pwn2Own で実演されている。参加者たちはスマートフォン/プリンター/ルーター/NAS デバイス/スマート・スピーカーなどをハッキングして、総額 $1M 近くの報奨金を獲得した。
Continue reading “Western Digital/Synology NAS デバイスの脆弱性:数百万ユーザーのファイルが流出”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”China-Linked Hackers Strike Worldwide: 17 Nations Hit in 3-Year Cyber Campaign
2023/08/09 TheHackerNews — 中国の国家安全部 (MSS:Ministry of State Security) に関連するハッカーたちが、2021〜2023年にかけて、アジア/ヨーロッパ/北米などの 17カ国に攻撃を仕掛けてきたことが判った。サイバー・セキュリティ企業 Recorded Future は、この一連の攻撃について、RedHotel (以前は Threat Activity Group-22/TAG-222) として追跡している国家グループによるものであり、Aquatic Panda/Bronze University/Charcoal Typhoon/Earth Lusca/Red Scylla (または Red Dev 10) などの活動群と重複していると述べている。
Continue reading “世界を襲う中国系ハッカー RedHotel:3年間で日本などの 17カ国を攻撃”EvilProxy used in massive cloud account takeover scheme
2023/08/09 SecurityAffairs — Microsoft 365 アカウントの窃取を狙う EvilProxy が、100以上の組織へ向けて 12万通のフィッシング・メールを送信していることが確認された。それにより、クラウド・アカウントの侵害が、過去5ヶ月間に急増していることを、Proofpoint が発見した。攻撃の大半は、高位の幹部を標的としていた。研究者たちは、このキャンペーンは全世界の 100以上の組織/150万人の従業員を対象としていると推定している。被害者の約 39% はCレベルのエグゼクティブであり、そのうち 17% は最高財務責任者 (CFO) であり、9% は最高経営責任者 (CEO) だったという。
Continue reading “EvilProxy という PhaaS:大規模なクラウド・アカウント乗っ取りに利用されている”Interpol takes down 16shop phishing-as-a-service platform
2023/08/08 BleepingComputer −−− 16shop いう名の PhaaS (phishing-as-a-service) プラットフォームが、インターポールとサイバー・セキュリティ企業の共同作戦により閉鎖され、その関係者が逮捕された。PhaaS プラットフォームとは、フィッシング攻撃を行うサイバー犯罪者たちに、ワンストップ・ショップを提供するものだ。これらのプラットフォームには、メール配信/有名ブランド偽装キット/ホスティング/データプロキシ/被害者概要ダッシュボードなどの、オペレーションを成功へと導く、すべての必要なものが含まれている。
Continue reading “16shop という Phishing-as-a-Service がテイクダウン:インドネシアと日本で犯人が逮捕される”43 Android apps in Google Play with 2.5M installs loaded ads when a phone screen was off
2023/08/08 SecurityAffairs −−− 先日に McAfee の Mobile Research Team の研究者たちが、Google Play で発見したのは、携帯電話の画面がオフのときであっても、広告を読み込む 43 種類の Android アプリであり、そのインストール総数は 250万に達するという。
Continue reading “Google Play の 43種類の Android アプリ:画面 OFF 時に広告を読み込んで稼いでいる”Malicious extensions can abuse VS Code flaw to steal auth tokens
2023/08/08 BleepingComputer — Microsoft のコード・エディターおよび開発環境である、VS Code (Visual Studio Code) に脆弱性により、Windows/Linux/macOS のクレデンシャル・マネージャーに保存されている認証トークンの取得を、悪意のエクステンションに許す可能性があることが発見された。これらのトークンは、Git/GitHub などのコーディング・プラットフォームや、各種のサードパーティ・サービスおよび API との統合に使用されるものだ。そのため、これらのトークンの窃取により、組織のデータ・セキュリティに深刻な影響が生じ、不正なシステム・アクセスやデータ侵害などにいたる可能性があるという。
Continue reading “Microsoft VS Code に脆弱性:悪意のエクステンションに認証トークン窃取の構造的な欠陥?”Understanding Active Directory Attack Paths to Improve Security
2023/08/08 TheHackerNews — 1999年に導入された Microsoft AD (Active Directory) は、Windows ネットワークにおけるデフォルトの ID/アクセス管理サービスであり、全てのネットワーク・エンドポイントに対するセキュリティ・ポリシーの割当/実施を担っている。それによりユーザーは、ネットワーク上の様々なリソースにアクセスできるようになる。そして数年前に Microsoft は、AD のパラダイムを拡張するクラウドベースの Azure Active Directory を発表し、クラウドとオンプレミスの両方に IDaaS (Identity-as-a-Service) ソリューションを提供した。2023年7月11日付で、このサービスは Microsoft Entra ID に名称変更されたが、分かりやすくするために、この記事では Azure AD と呼ぶことにする。
Continue reading “Microsoft Active Directory への攻撃経路:セキュリティ向上のために知っておくべきことは?”Microsoft Office update breaks actively exploited RCE attack chain
2023/08/08 BleepingComputer — Microsoft は 8月8日に、CVE-2023-36884 として追跡されている RCE 脆弱性の悪用を防ぐ、Microsoft Office のアップデートをリリースした。このアップデートは、7月に公開された CVE-2023-36884 を修正するものだ。その当時、Microsoft はパッチを適用せずに、緩和のためのアドバイスを提供していた。当初、この脆弱性は、Microsoft Office の RCE (Remote Code Execution) として報告されていたが、さらなる検証の結果、Windows Search の RCE として分類された。
Continue reading “Microsoft Office/Windows Search の RCE 脆弱性 CVE-2023-36884 が FIX”UK Electoral Commission discloses a data breach
2023/08/08 SecurityAffairs — 英国の選挙管理委員会は、英国内の有権者の個人情報が流出するデータ侵害が 2014〜2022年の間に発生していたことを公表した。また、同委員会は ICO (Information Commissioner’s Office) への通知を行っている。8月8日に同委員会は 、「今日、私たちは複雑なサイバー攻撃の対象となり、我々のシステムが脅威アクターによる不正アクセスを受けた」と Twitter で発表した。セキュリティ侵害が始まったのは 2021年8月と見られており、発見されたのは 2022年10月のことだという。
Continue reading “英国の選挙管理委員会でデータ侵害が発生:不正アクセスは 2014年から始まっていた”Microsoft August 2023 Patch Tuesday warns of 2 zero-days, 87 flaws
2023/08/08 BleepingComputer −−− 今日は Microsoft の August 2023 Patch Tuesday であり、積極的に悪用される脆弱性2件と、リモート・コード実行の脆弱性 23件を含む、87件の脆弱性に対するセキュリティ更新プログラムが提供された。23件の RCE バグが修正されたが、Microsoft が Critical と評価したのは、そのうちの6件のみである。
Continue reading “Microsoft 2023-08 月例アップデート:2件のゼロデイと 87件の脆弱性に対応”Clop ransomware now uses torrents to leak data and evade takedowns
2023/08/05 BleepingComputer — ランサムウェア・グループの Clop は、MOVEit 攻撃で盗んだデータを流出させる手段として、新たに Torrent を使用するようになっている。Clop は 5月27日に、ファイル転送プラットフォームである MOVEit Transfer のゼロデイ脆弱性を悪用したデータ窃取攻撃を開始した。同グループは、このゼロデイ脆弱性 CVE-2023-34362 を悪用することで、ハッキングに気付かれる前に、世界中の約 600の組織からデータを盗み出すことに成功した。
Continue reading “Clop ランサムウェアの MOVEit 攻撃:データ流出に Torrent の利用を開始”Google explains how Android malware slips onto Google Play Store
2023/08/04 BleepingComputer — Google Play ストアの審査プロセスやセキュリティ制御を回避して、Android 端末にマルウェアを送り込むために脅威アクターたちが用いる、バージョニングと呼ばれる一般的な手口が存在することを、Google Cloud のセキュリティ・チームは認めた。この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して、悪意のペイロードを導入するものである。また、DCL (Dynamic Code Loading) という方法で、脅威アクターの制御下にあるサーバから。悪意のあるコードをロードする方式もある。DCL は、アプリストアの静的解析チェックを回避することで、ネイティブ/Dalvik/JavaScript のコードとして、ペイロードを Android デバイス上に展開するものである。
Continue reading “Google Play Store にマルウェアが出回る理由:G 先生の言い訳を聞かせてもらおう”Fake VMware vConnector package on PyPI targets IT pros
2023/08/04 BleepingComputer — VMware vSphere のコネクタ・モジュール vConnector を模倣する悪質なパッケージが、PyPI (Python Package Index) に VMConnect という名前でアップロードされている。VMware vSphere は仮想化ツール群であり、vConnector は開発者やシステム管理者が使用するインターフェース Python モジュールであり、全体的な PyPI 経由のダウンロード数は、毎月およそ 40,000件にも達するという。Sonatype の研究者であり BleepingComputer のレポーターでもある Ax Sharma によると、この悪意のパッケージは、2023年7月28日に PyPI にアップロードされた後に、2023年8月1日に削除されるまでに、237 件ほどダウンロードされたという。
Continue reading “VMware vConnector などを装う悪意の PyPI パッケージ:開発者をターゲットに展開”Malicious npm Packages Found Exfiltrating Sensitive Data from Developers
2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。
Continue reading “npm に新たな悪意のパッケージ:開発者たちをサプライチェーン攻撃に組み込む”Hackers can abuse Microsoft Office executables to download malware
2023/08/03 BleepingComputer — LOLBAS ファイル (Windows に存在し、悪用される可能性のある正規のバイナリやスクリプト) のリストには、Microsoft の電子メール・クライアント Outlook や、データベース管理システム Access の主要な実行ファイルが、まもなく含まれることになる。Microsoft Publisher アプリケーションのメイン実行ファイルに関しては、リモート・サーバからペイロードをダウンロードできることが、すでに確認されている。なお、LOLBAS とは、Living-off-the-Land Binaries and Scripts の略であり、Windows OS でネイティブのもの、また、Microsoft からダウンロードされた、署名付きファイルのことを指す。
Continue reading “LOLBAS という難題:Microsoft Office がステルス性マルウェア・ローダーになり得る”Chrome malware Rilide targets enterprise users via PowerPoint guides
2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome/Edge/Brave/Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。
Continue reading “Rilide という最凶の Chrome エクステンション:PowerPoint ファイルなどがルアー”
IoT OT Security News 
You must be logged in to post a comment.