WooCommerce Bug Exploited in Targeted WordPress Attacks
2023/07/18 InfoSecurity — 人気の WordPress プラグインを侵害しようとする試みが、この数日間で 100万回以上を記録したと、セキュリティ研究者たちが警告している。Wordfence によると、この攻撃は 7月14日に始まり、週末にかけて続き、7月16日には 157,000 件のサイトに対する 130万件の攻撃というピークに達したという。この攻撃は WooCommerce Payments プラグインの、深刻な脆弱性 CVE-2023-28121 (CVSS:9.8) を悪用するものだ。
Continue reading “WooCommerce の深刻な脆弱性 CVE-2023-28121:侵害の試みが 100万回以上も記録される”MOVEit Hack: Number of Impacted Organizations Exceeds 340
2023/07/17 SecurityWeek — Clop グループが仕掛ける MOVEit 攻撃により、影響を受けた組織の数は 340 に達し、1800万人を超える被害者を生み出したと報じられている。サイバー・セキュリティ企業 Emsisoft の脅威アナリストであり、このキャンペーンを監視している Brett Callow は、現時点において米国内の 58 の教育機関を含む、347 の組織が影響を受けていると述べた。この中には、先週に学生と従業員のデータが盗まれた可能性のある、コロラド州立大学も含まれている。
Continue reading “MOVEit ハッキング:340 の組織と 1800万人を超える個人が侵害された – Emsisoft”Microsoft still unsure how hackers stole Azure AD signing key
2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。
Continue reading “Azure AD 署名キーが盗まれた方法:依然として不明だと Microsoft が公表”New SOHO Router Botnet AVrecon Spreads to 70,000 Devices Across 20 Countries
2023/07/14 TheHackerNews — SOHO (Small Office/Home Office) ルーターを2年以上にわたって密かに標的とし、70,000台以上のデバイスに侵入した上で、20カ国にまたがる 40,000 ノードのボットネットを構築した、新種のマルウェアが発見された。Lumen Black Lotus Labs により、AVrecon と名付けられたマルウェアは 、この1年間において SOHO ルーターに焦点を当てた、 ZuoRAT と HiatusRAT に続く3番目のマルウェアとなった。Black Lotus Labs は、「AVrecon は、SOHO ルーターを標的とするボットネットとしては、過去最大級のものである。このキャンペーンの目的は、パスワードの散布からデジタル広告詐欺に至るまで、さまざまな犯罪行為を下支えする秘密のネットワークの構築にあるようだ」と述べている。
Continue reading “AVrecon という SOHO Router ボットネット:20カ国の 70,000 万台のデバイスを制御”LokiBot Malware Targets Windows Users in Office Document Attacks
2023/07/14 InfoSecurity — 悪意の Office 文書を介して拡散する、LokiBot と呼ばれる巧妙なマルウェアに、Windows ユーザーたちが再び狙われている。Fortinet の Security Researcher である Cara Lin の最新アドバイザリによると、攻撃者たちは既知の脆弱性 CVE-2021-40444/CVE-2022-30190 などを悪用することで、Microsoft Office 文書内に悪意のマクロを埋め込んでいるという。これらのマクロが実行されると、被害者のシステム上に LokiBot マルウェアがドロップされ、機密情報の収集などが行われる。
Continue reading “MS Office ドキュメントを悪用する攻撃:LokiBot マルウェアの新たな手口に注意”Ransomware Costs Financial Services $32bn in Five Years
2023/07/14 InfoSecurity — 世界の金融サービス組織は、2018年以降におけるランサムウェアの侵入により、$32bn 相当以上のダウンタイムを生じていると、最新のレポートが主張している。Comparitech は、これまでの5年間における、金融業界で確認された 225件の攻撃を分析し、平均的な組織で起こったインシデントにより、2週間のダウンタイムが生じていることを明らかにした。
Continue reading “金融サービスにおけるランサムウェア被害額:2018〜2022 の5年間で $32 bn”Genesis Market infrastructure and inventory sold on hacker forum
2023/07/14 BleepingComputer — 盗まれた認証情報の取引所である Genesis Market の管理者は、ハッカーフォーラムでストアを売却し、8月にはオーナーが変わることを発表した。この発表の3ヶ月前には、法執行機関が “Operation Cookie Monster” として、クリアネット上におけるマーケットプレイスのドメインの一部を押収している。
Continue reading “Genesis Market インフラの売買が成立:ダークウェブの老舗は8月に新オーナーへ”Fake Linux vulnerability exploit drops data-stealing malware
2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続/未承認のシステム・アクセス試行/非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。
Continue reading “Linux の偽 PoC エクスプロイトに御用心:GitHub を悪用してマルウェアを配布”Zimbra urges admins to manually fix zero-day exploited in attacks
2023/07/13 BleepingComputer — 7月13日 (木) に Zimbra は、Zimbra Collaboration Suite (ZCS) の電子メール・サーバを標的とする攻撃で悪用されている、ゼロデイ脆弱性を手動で修正するよう、管理者に呼びかけた。この、広く採用されている電子メールおよびコラボレーションのプラットフォームは、世界の 140カ国にまたがる 20万以上の企業で採用されており、その中には 1,000以上の政府機関や金融機関も含まれている。
Continue reading “Zimbra Collaboration Suite に深刻なゼロデイ脆弱性:管理者に推奨されるパラメータの変更とは?”Only 45% of cloud data is currently encrypted
2023/07/13 HelpNetSecurity — Thales によると、2022年にクラウド環境でデータ漏洩を経験した企業は 39% であり、前年に報告された 35% を上回っている。さらに、調査対象の 55%が クラウド・データ漏洩の主な原因として、人為的ミスを挙げている。その一方で、クラウドに保存される機密データのレベルが、劇的に高まっていることを多くの企業が報告している。クラウドに保存されているデータの40%以上が、機密データに分類されると、75% の企業が回答した。ハッカーの主な標的として挙げられるのは、38% の SaaS (Software as a Service) と、36% がクラウド・ストレージである。
Continue reading “暗号化されたクラウド・データは 45% に過ぎない:ハッカーの標的は SaaS/Storage に集中”Crypto Crime Down 62% but Ransomware Activity Surges
2023/07/12 InfoSecurity — Chainalysisによると、2023年上半期の既知の犯罪組織への暗号通貨の流入は、2022年の同時期と比較して 65% 減少したが、ランサムウェアは最大級の1年になる勢いだという。同社は 2023年上半期のブロックチェーン活動を分析し、Crypto Crime Midyear Update をまとめた。それによると、暗号ミキサーやリスクの高い取引所のような、危険なエンティティでの取引量も、前年同期比 で 42%減と大幅に減少した。しかし、合法的なサービスにとの取引量も 28% 減少した。
Continue reading “2023年の恐喝型ランサムウェアは大成功:暗号通貨犯罪の被害額は 62% ダウン”Scam Page Volumes Surge 304% Annually
2023/07/12 InfoSecurity — 2022年にはフィッシング・サイトが前年比で 62%増加し、詐欺ページが 304% も急増したことが、セキュリティ研究者たちの研究により明らかになった。Group-IB が 7月12日に発表したレポート Digital Risk Trends 2023 では、フィッシングについては個人情報の窃取につながる脅威として、詐欺については被害者を騙して金銭や機密情報を自発的に引き出す試みとして、それぞれを分類している。同レポートによると、ブランドのイメージやロゴが、詐欺キャンペーンに使用された平均件数は前年比で 162% も増加しており、APAC に至っては 211% も増加していたという。
Continue reading “2022 年の詐欺調査:フィッシング・サイトは 62% 増で、ページ数は 304% 増 – Group-IB”Clop: Behind MOVEit Lies a Loud, Adaptable and Persistent Threat Group
2023/07/12 InfoSecurity — MOVEit サイバー攻撃は拡大し続けており、毎日のように数多くの企業が被害者リストに挙げられている。Emsisoft の脅威アナリストである Brett Callow によると、2023年7月11日までに、この攻撃の犠牲となった企業は 257社で、個人は 17,750,524名に上るという。その一方で、この攻撃を行ったとされるランサムウェア・グループ Clop は、リークサイトの被害者リストを更新し続けている。新たに追加されたのは、大手金融会社 (Deutsche Bank/ING Bank/Post Bank) や 25 の米国の学校などだ。
Continue reading “MOVEit の脆弱性 CVE-2023-34362:Clop ランサムウェア攻撃が 257社に達した”Unpatched Office zero-day CVE-2023-36884 actively exploited in targeted attacks
2023/07/12 SecurityAffairs — Microsoft が明らかにしたのは、複数の Windows/Office 製品に存在する、パッチ未適用のゼロデイ脆弱性の悪用である。この脆弱性 CVE-2023-36884 は、悪意の Office 文書を介してリモートでコードを実行するために、国家に支援される脅威アクターやサイバー犯罪者に悪用されている。同社は、Windows/Office 製品に影響を及ぼす、一連のリモート・コード実行の脆弱性に関する報告を調査しており、特別に作成された Office 文書を用いて、この脆弱性を悪用しようとする攻撃を認識しているという。
Continue reading “Microsoft Office ゼロデイ CVE-2023-36884:標的型攻撃で活発に悪用されている”Chinese hackers forged authentication tokens to breach government emails
2023/07/11 HelpNetSecurity — Microsoft Account (MSA) のコンシューマ署名キーを取得した高度なハッカーが、偽造した認証トークンを介して、政府の組織や機関の電子メール・アカウントにアクセスしていたことが、Microsoft により公表された。このインシデントに関連付けられる脅威アクターは、Microsoft が Storm-0558 と呼ぶ、中国を拠点とする敵対者である。この脅威アクターは、情報収集のために電子メール・システムにアクセスする、スパイ行為に重点を置いているとされる。
Continue reading “Microsoft Account コンシューマ署名キーの悪用:中国由来のハッカーが米政府の Eメールを侵害”Hackers Exploit Windows Policy Loophole to Forge Kernel-Mode Driver Signatures
2023/07/11 TheHackerNews — Microsoft Windows におけるポリシーの抜け穴が、主に中国語を用いる脅威アクターにより悪用され、カーネルモード・ドライバー署名の偽造に使われていることが確認されていた。Cisco Talos は、「この脅威アクターは、期限切れの証明書で署名された悪意の未検証のドライバーをロードするために、カーネルモード・ドライバーの署名日を変更するという、複数のオープンソース・ツールを活用している。カーネルへのアクセスは、システムへの完全なアクセスを可能にするため深刻な脅威となる」と、The Hacker News と共有した2部構成の包括的なレポートの中で述べている。
Continue reading “Windows Policy の抜け穴を悪用:カーネル・モード・ドライバー偽署名が横行している”E-commerce Fraud Surges By Over 50% Annually
2023/07/11 InfoSecurity — Ravelin によると、世界の大半の eコマース業者は、過去12ヶ月間において詐欺に悩まされた後に、今年に入ってからは詐欺対策のスペシャリストを雇う予定だという。不正対策ベンダーである同社は、年間売上高 $50m の企業に勤務する世界の不正対策専門家 1,900人を対象に、Global Fraud Trends 2023 調査を実施した。その結果として、59% の回答者がオンライン決済詐欺の増加を経験し、51% がアカウント乗っ取りについても、同様の回答をしていることが明らかになった。
Continue reading “E コマース調査:59% の決済詐欺の増加を経験し、51% がアカウント乗っ取りを経験”Exploit Code Published for Remote Root Flaw in VMware Logging Software
2023/07/10 SecurityWeek — 7月10日 (月) に仮想化技術大手の VMware は、企業向けの VMware Aria Operations for Logs 製品に存在する、認証前のリモート・コード実行の脆弱性対するエクスプロイト・コードが公開されたことを警告した。今年の4月に発表されたクリティカル・レベルのアドバイザリのアップデートで VMware は、脆弱性 CVE-2023-20864 の悪用コードが公開されていることを確認したと述べ、企業のネットワーク管理者に対して利用可能なパッチを適用すべきという、緊急性を強調していた。
Continue reading “VMware Aria Operations for Logs の脆弱性 CVE-2023-20864:PoC エクスプロイトが公開”Chinese Spyware Discovered on Google Play Store
2023/07/07 InfoSecurity — Google Play Store で発見された、ファイル管理ツールを装う2つのスパイウェア・アプリは 、少なくとも合計で 150万回もインストールされたという。サイバーセキュリティ企業 Pradeo が発見した、これらのアプリは同じ開発者によるものであり、同様の悪意のある動作を示し、ユーザーの操作なしで動作する。これらのアプリの主な目的は、ユーザーの機密データを秘密裏に抽出し、中国に拠点を置く悪意のあるサーバーに送信することである。この発見は Google に報告された。
Continue reading “中国由来のスパイウェア:Google Play Store で発見された2つのファイル管理ツールとは?”Vishing Goes High-Tech: New ‘Letscall’ Malware Employs Voice Traffic Routing
2023/07/07 TheHackerNews — Letscall と呼ばれる、音声フィッシング (vishing) の新たな高度な形態について、研究者たちが警告を発している。現時点において、この手口により、韓国の個人が標的にされているようだ。Letscall の背後にいる犯罪者たちは、ユーザーを欺いて偽の Google Play Store の Web サイトから、悪意のアプリをダウンロードさせるために、多段階攻撃を採用している。悪意のソフトウェアがインストールしてしまうと、ユーザーへの着信は犯罪者の管理下にあるコールセンターにリダイレクトされる。そして、最終的には、銀行の行員を装うように訓練されたオペレーターが、疑うことを知らない被害者から機密情報を引き出すことになるという。
Continue reading “Letscall という音声フィッシング:自前のコールセンターを備えて銀行と顧客を騙す”MOVEit Transfer customers warned to patch new critical flaw
2023/07/07 BleepingComputer — Clop ランサムウェアの最近における大規模な侵入で、主として悪用されているソフトウェアである MOVEit Transfer の、深刻な SQL インジェクション脆弱性を含む3つの脆弱性が修正された。この SQL インジェクションの脆弱性は、特別なクエリを細工した攻撃者による、データベースへの不正アクセスやコード実行および、データベースの改ざんを可能にするものだ。そして、これらの攻撃の前提条件として挙げられるのは、対象となるアプリケーションの入出力データにおける、適切なサニタイズが欠落となる。
Continue reading “MOVEit Transfer の3つの深刻な脆弱性が FIX:各バージョンごとに確認すべきアップデートとは?”Cl0p’s MOVEit Campaign Represents a New Era in Cyberattacks
2023/07/06 DarkReading — 6月1日に発見された MOVEit ファイル転送のゼロデイ脆弱性は、6月30日までに少なくとも 160社への侵入に悪用されている。この大規模な恐喝キャンペーンの成功は、ロシア支援のランサムウェア・グループ Cl0p による戦術の進化を象徴している。そして、専門家たちは、ライバルの脅威アクターの注目を集める可能性も高いとしている。MOVEit キャンペーンは、サプライチェーンに対するサイバー攻撃の将来を推測する上で、防衛側の対応方法に関するヒントにもなり得ると、Huntress は指摘している。
Continue reading “Cl0p の MOVEit キャンペーン:160社への侵入は新時代のサイバー攻撃の象徴か?”RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors
2023/07/05 TheHackerNews — RedEnergy と名付けられた高度なランサムウェアの脅威が、ブラジルとフィリピンの公共/電力/石油/ガス/テレコム/機械などの部門を標的として、LinkedIn のページを介した野放し状態での攻撃を行っていることが発見された。Zscaler の研究者である Shatak Jain と Gurkirat Singh は、「このマルウェアは各種のブラウザから情報を盗み出す能力を持ち、機密データの流出を可能にすると同時に、ランサムウェア活動を実行するための、さまざまなモジュールを組み込んでいる」と、最近の分析結果を説明している。研究者たちは、被害者に最大限の損害を与えることを目的として、データ窃盗と暗号化を組み合わせていると指摘している。
Continue reading “RedEnergy という Stealer-as-a-Ransomware:ブラジルとフィリピンのインフラを攻撃している”Japan’s largest port stops operations after ransomware attack
2023/07/05 BleepingComputer — 日本最大の港湾である名古屋港がランサムウェア攻撃の標的となり、現在コンテナ・ターミナルの運営に影響が出ている。日本の総貿易量のおよそ 10%を占めている名古屋港は、21の埠頭と 290のバースを運営しており、毎年 200万個以上のコンテナと 1億6500万トンの貨物を取り扱っている。また、世界最大の自動車メーカーのひとつであるトヨタ自動車は、この港を利用して大半の自動車を輸出している。
Continue reading “名古屋港に最大規模のランサムウェア攻撃:操業停止に追い込まれる”New Python tool checks NPM packages for manifest confusion issues
2023/07/04 BleepingComputer — NPM JavaScript ソフトウェア・レジストリのパッケージにおける、マニフェストの不一致をチェックする際に有効なツールが開発/公開された。先週に、GitHub/NPM の元 Engineering Manager である Darcy Clarke は、依存関係の中に潜むマルウェアや、インストール中のスクリプト実行の危険性をもたらす、”Manifest Confusion” の問題について警告を発した。”Manifest Confusion” という言葉が指すのは、JavaScript プログラミング言語用のパッケージ・マネージャーであり、Node.js 環境のデフォルトである NPM (Node Package Manager) のセキュリティ問題である。
Continue reading “NPM パッケージの Manifest Confusion :チェックのための Python ツールがリリース”Neo_Net runs eCrime campaign targeting clients of banks globally
2023/07/04 SecurityAffairs — 先日に vx-underground と SentinelOne が実施した共同調査により、Neo_Net というメキシコの脅威アクターが、世界中の金融機関を標的とした Android マルウェア・キャンペーンを仕掛けていることが明らかになった。この件は、セキュリティ研究者の Pol Thill により報告された。Neo_Net の eCrime キャンペーンは、2021年6月〜2023年4月にスペインとチリの銀行を中心に、世界中の銀行の顧客を標的としていたと報告されている。この脅威アクターは、比較的洗練されていないツールを使用しているが、このキャンペーンが成功した背景には、攻撃インフラを特定のターゲットに合わせて調整する能力があるためだと、専門家は推測している。
Continue reading “世界中の銀行の顧客が標的:メキシコの Neo_Net が eCrime キャンペーンを実施”Microsoft denies data breach, theft of 30 million customer accounts
2023/07/03 BleepingComputer — Microsoft は否定しているが、ハクティビストである Anonymous Sudan は、同社のサーバに侵入して 3000万人分の顧客アカウントの、認証情報を盗んだと主張している。ここ数カ月間において Anonymous Sudan は、欧米の組織に対する分散型サービス妨害 (DDoS) 攻撃で目立っている。同グループは、Killnet のような親ロシア派ハクティビストとの関連性を認めている。
Continue reading “3000万人分の顧客データ窃取:Anonymous Sudan は主張し Microsoft は否定する”300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug
2023/07/03 BleepingComputer — 数十万台の FortiGate ファイアウォールに影響を及ぼすとされる、深刻な脆弱性 CVE-2023-27997 だが、この問題に対処するアップデートを Fortinet がリリースしてから、約 1ヶ月が経過した。この、深刻度スコア 9.8 の脆弱性は、リモートコード実行にいたるものであり、すべてのネットワーキング・コンポーネントを、Fortiner のセキュリティ・ファブリック・プラットフォームに接続する、FortiOS のヒープバッファ・オーバーフローに起因するものだと説明されている。
Continue reading “Fortinet FortiGate の脆弱性 CVE-2023-27997:依然として30万台の未パッチが公開”Evasive Meduza Stealer Targets 19 Password Managers and 76 Crypto Wallets
2023/07/03 TheHackerNews — CaaS (Crimeware-as-a-Service) エコシステムが収益を上げている、新たな兆候が見つかった。ソフトウェア・ソリューションによる検出を回避し、活発に開発が継続されている Windows ベースの Meduza Stealer を、Uptycs のサイバー・セキュリティ研究者たちが発見したという。Uptycs は、「Meduza ステーラーが持つ唯一の目的は、包括的なデータ窃盗である。ユーザーのブラウジング活動を盗み出し、ブラウザに関連する各種のデータを抽出している。重要なログイン認証情報から、貴重な閲覧の履歴を綿密に記録/管理したブックマークにいたるまで、あらゆるデジタル成果物の安全性を脅かしている。暗号ウォレット・エクステンション/パスワード管理機能、2FA 拡張機能でさえも脆弱である」と述べている。
Continue reading “Meduza Stealer という Crimeware-as-a-Service:徹底的な情報窃取で収益を上げている”BlackCat ransomware pushes Cobalt Strike via WinSCP search ads
2023/07/01 BleepingComputer — BlackCat ランサムウェア・グループ (別名 ALPHV) は、Windows 用ファイル転送アプリケーション WinSCP の公式 Web サイトを模倣した偽ページに人々を誘い込み、マルウェアを仕込んだインストーラーをプッシュするという、マルバータイズ・キャンペーンを行っている。WinSCP (Windows Secure Copy) とは、SFTP/FTP/S3/SCP クライアントおよび、SSH ファイル転送機能を持つ、人気のフリー・オープンソースのファイル・マネージャでああり、SourceForge だけで毎週 40万もダウンロードされている。
Continue reading “WinSCP の偽サイトへ誘導:Google と Bing での悪意の広告キャンペーンでCobalt Strike を展開”Hackers exploit zero-day in Ultimate Member WordPress plugin with 200K installs
2023/06/30 BleepingComputer — WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されている。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル/メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有する。
Continue reading “WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性:WordFence はアンインストールを推奨”TSMC denies LockBit hack as ransomware gang demands $70 million
2023/06/30 BleepingComputer — 台湾のチップ製造大手の TSMC (Taiwan Semiconductor Manufacturing Company) に対して、LockBit ランサムウェア が $70 million を要求しているが、同社はハッキングされたことを否定している。TSMC は世界最大級の半導体メーカーであり、その製品は、スマートフォン/高性能コンピューティング/IoT デバイス/自動車/デジタル家電などの、さまざまなデバイスで使用されている。
Continue reading “TSMC への LockBit 攻撃:身代金として $70 million が要求されているが・・・”Cybercriminals Hijacking Vulnerable SSH Servers in New Proxyjacking Campaign
2023/06/30 TheHackerNews — 金銭的な動機を持つ活発なキャンペーンが、脆弱な SSH サーバを標的とし、それらを秘密裏にプロキシ・ネットワークに参加させている。6月29日 (木) のレポートで Akamai の研究者である Allen West は、「SSH をリモートアクセスに活用する攻撃者が、悪質なスクリプトを実行して被害者のサーバを、 Peer2Profit や Honeygain などの P2P プロキシ・ネットワークへと、密かに参加させる活発なキャンペーンである」と述べている。
Continue reading “Proxyjacking という新たなキャンペーン:SSH サーバを Peer2Profit などに参加させて帯域を搾取”PoC for Arcserve UDP authentication bypass flaw published (CVE-2023-26258)
2023/06/29 HelpNetSecurity — Arcserve Unified Data Protection (UDP) エンタープライズ・データ保護ソリューションの認証バイパスの脆弱性 (CVE-2023-26258) を悪用して、管理者アカウントを侵害し、脆弱なインスタンスを乗っ取ることが可能である。この問題を発見した、MDSec の研究者である Juan Manuel Fernández と Sean Doherty は PoC エクスプロイトも公開している。
Continue reading “Arcserve UDP の認証バイパスの脆弱性 CVE-2023-26258:PoC エクスプロイトが登場”Japan in the Crosshairs of Many State-Sponsored Threat Actors New Report Finds
2023/06/29 InfoSecurity — Rapid7 の最新レポートによると、日本は数多くのサイバー脅威にさらされ、スパイ活動や金銭的な動機によるキャンペーンなどの標的になっているという。Rapid7 は、2023年6月28日に発表したレポート ”Japan and Its Global Business Footprint: The Cyberthreat Landscape Report” で、典型的な国家的脅威の発生源である3カ国 (中国/北朝鮮/ロシア) から、この東アジアの国が標的にされていることを明らかにした。また、2022年上半期におけるランサムウェア攻撃の 32.5%が、製造業に対するものであることも判明した。これに対して、同期間中にヘルスケア業界から報告されたものは、わずか 7.9%だった。
Continue reading “日本の官民における脆弱なサイバー・セキュリティ:数多くの APT に狙われている – Rapid7”Linux version of Akira ransomware targets VMware ESXi servers
2023/06/28 BleepingComputer — Akira ランサムウェアは、Linux 暗号化ツールを使用して VMware ESXi 仮想マシンを暗号化することで、世界中の企業に対して二重の恐喝攻撃を仕掛けている。このランサムウェアは、2023年3月に登場して以来 、教育/金融/不動産/製造/コンサルティングなどの、さまざまな業界の Windows システムを標的としてきた。Akira を操る脅威アクターは、企業を標的とした他のランサムウェア・ギャングと同様に、侵害したネットワークからデータを盗み、ファイルを暗号化して、被害者に二重の恐喝を行い、数百万ドルもの支払いを要求する。
Continue reading “Akira ランサムウェアの Linux 版が登場:VMware ESXi サーバが標的に”EncroChat Bust Leads to 6,558 Criminals’ Arrests and €900 Million Seizure
2023/06/27 TheHackerNews — 2020年7月の EncroChat 摘発により、全世界で 6,558人が逮捕され、€900 million 相当の不正な犯罪収益が押収されたと、6月24日に Europol (欧州刑事警察機構) が発表した。2020年の摘発をフォローするかたちで実施された、フランスとオランダの当局による共同捜査により、この暗号化されたメッセージング・プラットフォーム上で交わされた、6万人以上のユーザーの 1億1500万件以上の会話が傍受/分析されたと、Europol は述べている。
Continue reading “Europol 対 EncroChat:2020年の摘発により 6,558人の逮捕と €900M の押収へと至る”Anatsa Android trojan now steals banking info from users in US, UK
2023/06/26 BleepingComputer — 2023年3月以降の新たなモバイル・マルウェア・キャンペーンにより、米国/英国/ドイツ/オーストリア/スイスのオンライン・バンキング利用者に対して、Android バンキング型トロイの木馬 Anatsa が押し付けられている。この悪質な活動を追跡している ThreatFabric のセキュリティ研究者によると、このマルウェアは Google Play ストア経由で配布され、このチャネルだけで既に3万件以上がインストールされているとのことだ。
Continue reading “Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている”Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks
2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。
Continue reading “Volt Typhoon という中国ハッカー:重要インフラを攻撃する手口が明らかになってきた”Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack
2023/06/26 TheHackerNews — 6月の初めに、日本のある暗号通貨取引所が、JokerSpy と呼ばれる Apple macOS バックドアを展開する新たな攻撃の標的になった。Elastic Security Labs は、JokerSpy に関連する侵害行為を、REF9134 という名前で監視している。同社は、この攻撃により、SeatBelt というオープンソースのユーティリティにインスパイアされた、Swift ベースの列挙ツール Swiftbelt がインストールされたと述べている。先週に JokerSky は、Bitdefender により初めて文書化され、macOS マシンに侵入するために設計された、洗練されたツールキットであると報告されている。
Continue reading “日本の暗号通貨取引所でサイバー攻撃?JokerSpy という macOS バックドアが展開されたらしい”MOVEIt breach impacts GenWorth, CalPERS as data for 3.2 million exposed
2023/06/23 BleepingComputer — PBI Research Services (PBI) を侵害した、最近の MOVEit Transfer データ窃取攻撃により、合計で 475万人分のデータが盗まれたと、同社の顧客三社が公表している。一連の攻撃は 2023年5月27日に始まっており、Clop ランサムウェア・ギャングが MOVEit Transfer のゼロデイ脆弱性を悪用し、数百の企業からデータを盗んだインシデントだとされている。この1週間において Clop ランサムウェア・ギャングは、被害者に対する身代金支払いのプレッシャーとして、影響を受けた組織をデータ漏洩サイトに段階的にリストアップし、企業を恐喝し始めている。
Continue reading “MOVEit ゼロデイ侵害の被害が拡大:保険/年金などの契約者 3.2M 人分のデータが流出?”Microsoft Teams vulnerability allows attackers to deliver malware to employees
2023/06/23 HelpNetSecurity — Microsoft Teams の受信トレイへ向けて、攻撃者たちがダイレクトにマルウェアを配信できる脆弱性を、セキュリティ研究者たちが発見した。Jumpsec の研究者である Max Corbridge は、「Microsoft Teams を使用している組織は、Microsoft のデフォルト設定を継承しているため、組織外のユーザから内部の従業員へ向けて、連絡を取ることが可能になっている」と説明している。この脆弱性を悪用したマルウェア配信攻撃は、ソーシャル・エンジニアリングを入り口として、高確率で成功しているようだ。
Continue reading “Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下”Mirai botnet targets 22 flaws in D-Link, Zyxel, Netgear devices
2023/06/22 BleepingComputer — Mirai ボットネットの亜種が、D-Link/Arris/Zyxel/TP-Link/Tenda/Netgear/MediaTek などのデバイスを制御し、分散型サービス拒否 (DDoS) 攻撃を実行するために、約 20件の脆弱性を標的にしているという。このマルウェアは、3月14日に始まり 4月と6月に急増している。そして、この2つの進行中のキャンペーンを調査していた、Palo Alto Networks Unit 42 の研究者たちにより発見されている。6月22日に発表されたレポートの中で研究者たちは、このボットネット開発者は、悪用可能な脆弱性に関するコードを追加し続けていると警告している。
Continue reading “D-Link/Zyxel/Netgear デバイス:Mirai ボットネットが 22件の脆弱性を狙っている”Microsoft: Hackers hijack Linux systems using trojanized OpenSSH version
2023/06/22 BleepingComputer — 最近に確認されたクリプト・ジャッキング・キャンペーンの一環として、インターネットに公開された Linux や IoT デバイスが、ブルートフォース攻撃で乗っ取られていると、Microsoft が警告している。標的とするシステムへのアクセスを取得した攻撃者は、トロイの木馬化された OpenSSH パッケージを展開し、侵害されたデバイスをバックドア化し、SSH 認証情報を盗んで永続性を維持する。
Continue reading “OpenSSH のトロイの木馬:Linux ベースの Hiveon OS を乗っ取りクリプト・ジャッキング”PoC Exploit Published for Cisco AnyConnect Secure Vulnerability
2023/06/22 SecurityWeek — 先日にパッチが適用された、Cisco AnyConnect Secure Mobility Client および Secure Client for Windows の深刻な脆弱性を証明するために、あるセキュリティ研究者が PoC エクスプロイト・コードを公開した。この Cisco のソフトウェアは、組織のネットワークへの安全な VPN 接続を、リモートの従業員に提供し、また、その監視機能を実現するものである。そして、脆弱性 CVE-2023-20178 (CVSS:7.8) は、このソフトウェアのクライアント・アップデート・プロセスに影響を及ぼし、低権限のローカル攻撃者に対して、アクセス権を昇格とシステム特権でのコード実行を許すものである。
Continue reading “Cisco AnyConnect/Secure Client の脆弱性 CVE-2023-20178:PoC エクスプロイトが登場”Apple addressed actively exploited zero-day flaws in iOS, macOS, and Safari
2023/06/22 SecurityAffairs — Apple は、iOS/iPadOS/macOS/watchOS/Safari で発見された脆弱性のうち、野放し状態で活発に悪用されている脆弱性に対処した。具体的に言うと、先日に公開された Triangulation オペレーションでも悪用されていた、セロデイ脆弱性 CVE-2023-32434/CVE-2023-32435 である。Kaspersky の研究者たちは、Triangulation オペレーションを調査し、iOS デバイスにスパイウェアを配信するために採用された、エクスプロイト・チェーンに関する詳細を発見した。6月の上旬に Kaspersky の研究者たちは、Triangulation という名の長期的なキャンペーンの一環として、ゼロクリックのエクスプロイトで iOS デバイスを標的にする未知の APT グループを発見している。
Continue reading “Apple が iOS/macOS/Safari のゼロデイ脆弱性に対応:ゼロクリックで RCE という強敵”Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites
2023/06/21 SecurityWeek — WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。
Continue reading “WordPress Plugin の深刻な脆弱性が FIX:脆弱なオンライン販売サイトが数万件”VMware Aria Operations for Networks vulnerability exploited in the wild (CVE-2023-20887)
2023/06/21 HelpNetSecurity — VMware Aria Operations for Networks (旧 vRealize Network Insight) に存在する、コマンド・インジェクションの脆弱性 CVE-2023-20887 の悪用が検出された。企業の管理担当者に対しては、パッチを適用してデプロイメントをアップグレードすることが推奨される。
Continue reading “VMware Aria Operations for Networks の脆弱性 CVE-2023-20887:すでに悪用を検出”Norton Parent Says Employee Data Stolen in MOVEit Ransomware Attack
2023/06/20 SecurityWeek — Avast/Avira/AVG/Norton/LifeLock などの有名なサイバーセキュリティ・ブランドを展開する Gen Digital (NASDAQ: GEN) は、先日の MOVEit ランサムウェア攻撃により、従業員の個人情報が漏洩したことを発表した。この攻撃は、5月31日に Progress Software が公表した MFT (managed file transfer) ソフトウェア MOVEit Transfer のゼロデイ脆弱性を悪用したものだ。この SQL インジェクションの脆弱性 CVE-2023-34362 (深刻度 Critical) の大規模な悪用が始まったのは、2023年5月下旬のことだ。しかし、2021年の時点で攻撃者が、この脆弱性について既に知っており、悪用をテストを実施していたことを示唆する証拠が発見された。
Continue reading “Norton/Avast などの親会社 Gen Digital でデータ侵害:MOVEit ゼロデイ攻撃が確認された”Android spyware camouflaged as VPN, chat apps on Google Play
2023/06/19 BleepingComputer — Google Play 上の3件の Android アプリが、標的のデバイスから位置情報や連絡先リストなどを収集するに、国家に支援された脅威アクターにより運用されていたことが判明した。それらの悪意の Android アプリを発見した Cyfirma は、「遅くとも 2018年以降において、東南アジアの著名な組織を標的としている、インドのハッキング・グループ APT-C-35 (DoNot) が操作していたと、中程度の信頼性で判断している」と述べている。
Continue reading “Google Play にインド APT 由来のスパイウェア:VPN/Chat アプリを装っていた”
IoT OT Security News 
You must be logged in to post a comment.