Dark Web Data Leak Exposes RaidForums Members
2023/05/30 InfoSecurity — あるハッキング・サイトの主要データベースが公開された後に、もうひとつのサイバー犯罪フォーラムの、約 50 万人のメンバーの詳細が公開された。RaidForums のユーザーデータ 47万8000 人分が、売出し中のフォーラム Exposed で流出させられたというニュースを、VX-Underground のサイバー・セキュリティ研究者たちが確認している。彼らは、「RaidForums のデータベース流出の原因について、Exposed の管理スタッフは何も教えてくれない」とツイートしている。
Continue reading “RaidForums フォーラムから 50万人分のハッカー情報がリーク:同業者 Exposes の仕業?”Human Error Fuels Industrial APT Attacks, Kaspersky Reports
2023/05/30 InfoSecurity — サイバーセキュリティ企業である Kaspersky が、産業部門における APT 攻撃の主要因を特定した。今日の最新レポートで取り上げられている、その第一の要因は OT (Operational Technology) ネットワークにおける隔離の不在である。Kaspersky の専門家たちは、エンジニアリング・ワークステーションが、IT と OTのネットワークに接続されている事例を確認している。このようなネットワーク構成に依存した隔離では、熟練した攻撃者により操作される可能性が生じる。その結果として、隔離されているように見えるネットワークへのマルウェア感染や、その後のマルウェア・トラフィックの管理などが可能になってしまう。
Continue reading “OT ネットワークと人的なエラー:APT 攻撃を助長する要因について考える”Ransomware Gangs Adopting Business-like Practices to Boost Profits
2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。 フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。
Continue reading “ランサムウェアとアクセス・ブローカー:地下でつながり利益を上げるグループたち – WithSecure”CAPTCHA-Breaking Services with Human Solvers Helping Cybercriminals Defeat Security
2023/05/30 TheHackerNews — ボットと正規ユーザーのトラフィックを識別する CAPTCHA システムを、バイパスするための解除サービスが販売されていると、サイバーセキュリティ研究者たちが警告している。Trend Micro は先週のレポートで、「サイバー犯罪者は、CAPTCHA を解除することに熱心であり、この需要に対応した、いくつかのサービスが展開されている。これらの CAPTCHA 解除サービスは、光学式文字認識や機械学習手法などを使用するのではなく、CAPTCHA の解除を実際の人間に委託して解除している」と述べている。
Continue reading “CAPTCHA 解除サービスの蔓延:API を介して手作業を実施する犯罪組織の存在”New GobRAT Remote Access Trojan Targeting Linux Routers in Japan
2023/05/29 TheHackerNews — 日本国内において、Linux ルーターが、新たな Golang RAT である GobRAT の標的になっている。今日の JPCERT Coordination Center (JPCERT/CC) の報告によると、「この攻撃者は、最初に WebUI が公開されているルーターを狙い、脆弱性を悪用するスクリプトを実行し、最終的に GobRAT に感染させている」と述べている。
Continue reading “GobRAT という Golang ベースの RAT:日本国内の Linux ルーターを侵害 – JPCERT/CC”Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains
2023/05/28 BleepingComputer — File Archivers in the Browser という新たなフィッシング・キットは、ZIP ドメインを悪用し、ブラウザに偽の WinRAR/Windows File Explorer などのウィンドウを表示し、悪意のファイルをユーザーに起動させるように仕向ける。2023年5月初旬に Google は、Web サイトや電子メール・アドレスのホスティングに用いるための、ZIP TLD ドメイン (例:bleepingcomputer.zip) の登録機能を提供し始めた。この種の TLD のリリース以来、セキュリティ・リスクや混乱をもたらす可能性について議論が沸騰していた。
Continue reading “ZIP ドメインは大丈夫? File Archiver In The Browser というフィッシング・トリックで攻略可能”US Navy hit by Chinese hacking campaign, report says
2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府/通信/製造/IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。
Continue reading “米海軍 グアムの IT インフラにハッカーが侵入:China 対 Five Eyes の情報戦が始まる?”QBot malware abuses Windows WordPad EXE to infect devices
2023/05/27 BleepingComputer — マルウェア QBot による最近の活動だが、Windows 10 の WordPad プログラムの DLLハイジャック欠陥を悪用してコンピュータに感染し、正規のプログラムを用いることでセキュリティ・ソフトによる検出を回避し始めているようだ。DLL とは、複数のプログラムで同時に使用できる機能を取り込んだライブラリ・ファイルのことである。したがって、アプリケーションを起動すると、必要な DLL が読み込まれることになる。
Continue reading “QBot の新たなオペレーション:WordPad を悪用する DLL ハイジャックの手口とは?”Zyxel Firewalls Hacked by Mirai Botnet
2023/05/26 SecurityWeek — Mirai ボットネットの亜種が、最近にパッチがリリースされた脆弱性 CVE-2023-28771 を悪用して、Zyxel ファイアウォールを大量にハッキングしている。4月25日の時点で Zyxel は、影響を受ける ATP/VPN/USG Flex/ZyWALL/USG/ファイアウォールに対してパッチをリリースし、このセキュリティ脆弱性について顧客に通知を行っている。
Continue reading “Mirai ボットネットが Zyxel Firewall をハッキング:修正済の CVE-2023-28771 を悪用”New Buhti ransomware gang uses leaked Windows, Linux encryptors
2023/05/25 BleepingComputer — Buhti と命名された新しいランサムウェア・オペレーションが、LockBit/Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows/Linux システムを狙っている。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、”double-extortion” として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫している。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されている。
Continue reading “Buhti というランサムウェア:LockBit/Babuk のコードを流用する新たな脅威”Advanced Phishing Attacks Surge 356% in 2022
2023/05/25 InfoSecurity — Perception Point の調査により、高度なフィッシング攻撃の件数が、2022年は 356 %増加したことが判明した。同社の 2023 Annual Report: Cybersecurity Trends & Insights に記されているのは、脅威アクターによる攻撃の総数は 87%増加したという最新データである。この成長の背景には、悪意のアクターが人工知能 (AI) や機械学習 (ML) を搭載した、新たなツールへのアクセスを、広く獲得し続けているという現実がある。
Continue reading “高度なフィッシング攻撃が 356% も急増:2023 Annual Report – Perception Point 調査”AI Used to Create Malware, WithSecure Observes
2023/05/25 InfoSecurity — サイバー・セキュリティの世界では、脅威アクターの手に渡った AI がもたらす潜在的な脅威について、警鐘が鳴り続けている。その中でも、ChatGPT で作成されるマルウェアは、現実のものとなっているようだ。WithSecure の CEO である Juhani Hintikka は、ChatGPT により生成されたマルウェアのサンプルを、同社が発見したことを認めている。
Continue reading “ChatGPT で作成されたポリモーフィックなマルウェア・サンプルを検出 – WithSecure 報告”Microsoft 365 phishing attacks use encrypted RPMSG messages
2023/05/25 BleepingComputer — 侵害済の Microsoft 365 アカウント経由で送信された、暗号化された RPMSG 添付ファイルを使用して、メールセキュリティ・ゲートウェイによる検出を回避しながら、攻撃者たちは標的型フィッシング攻撃で Microsoft の認証情報を盗み出している。RPMSG (Restricted Permission Message) ファイルとは、Microsoft の Rights Management Services (RMS) を用いて作成された、暗号化電子メール・メッセージの添付ファイルであり、そのアクセスを許可された受信者だけに制限することで、機密情報の保護を強化するものだ。
Continue reading “Microsoft 365 に新たなフィッシング攻撃:暗号化された RPMSG メッセージの悪用を検出”Legion Malware Upgraded to Target SSH Servers and AWS Credentials
2023/05/24 TheHackerNews — コモディティ・マルウェアの一種である Legion がアップデートされ、DynamoDB/CloudWatch に関連する AWS (Amazon Web Services) の認証情報や、SSH サーバを侵害する機能などが追加された。Cado Labs の研究者である Matt Muir は、「最新のアップデートでは、Laravel の Web アプリからの AWS 固有の認証情報の窃取や、SSH サーバの侵害やなどの、新しい機能が追加されており、攻撃範囲の拡大が示されている」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Legion マルウェアがアップデート:AWS の認証情報や SSH サーバを標的に追加”Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs
2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。
Continue reading “Volt Typhoon という中国の APT:グアムの重要インフラへの攻撃を Microsoft が検知”OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers
2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。
Continue reading “OAuth の深刻な脆弱性が FIX:Expo Framework を介したアカウント乗っ取りの可能性”N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware
2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱な バージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。
Continue reading “北朝鮮の Lazarus Group:Microsoft IIS を侵害してスパイウェアを配布している”Backup Repositories Targeted in 93% of Ransomware Attacks
2023/05/24 InfoSecurity — Veeam の 2023 Ransomware Trends Report によると、依然としてランサムウェアの脅威は生き続けており、これまでの 12ヶ月間において、85% の組織が少なくとも1回は、そのような攻撃を受けたことがあるとしている。このレポートは、「このような傾向が続けば、ランサムウェア攻撃による損失が、利益を上回るという組織が多くなる」と警告している。
Continue reading “バックアップの重要性について再考:ランサムウェアから身を守るために – Veeam”New PowerExchange malware backdoors Microsoft Exchange servers
2023/05/24 BleepingComputer — PowerExchange という名の新たな PowerShell ベースのマルウェアが、イランの国家支援ハッカー APT34 が関与する攻撃で使用され、オンプレミスの Microsoft Exchange サーバをバックドア化している。この脅威アクターは、アーカイブ化された悪意の実行ファイルを取り込んだ、フィッシングメールを介してメール・サーバに侵入した後に、ユーザー認証情報を窃取するための ExchangeLeech と呼ばれる Web シェルを展開している。なお、ExchangeLeech は、2020年の時点で、Digital14 Incident Response チームにより発見されたものだ。
Continue reading “PowerExchange という新たなマルウェア:Exchange サーバを悪用して C2 通信”ESET: Android App ‘iRecorder – Screen Recorder’ Trojanized with AhRat
2023/05/23 InfoSecurity — デジタルの世界では、今日には便利なものが、明日には有害になることがある。残念ながら、それが iRecorder – Screen Recorder で起こってしまった。50,000 万件以上のインストール数を誇る、この画面録画用 Android アプリは、2021年9月に正規のアプリとして発売されたものだ。しかし、いまの iRecorder には、AhMyth をベースにした、新たな Android RAT (Remote Access Trojan) が仕込まれている。このオープンソースのリモート管理ツールにより、Android デバイスからのデータ・アクセスに使用できることが、サイバーセキュリティ・ベンダーである ESET により、2023年5月23日に判明した。
Continue reading “iRecorder – Screen Recorder はトロイの木馬:Google Play の正規アプリがマルウェア化”Arms maker Rheinmetall confirms BlackBasta ransomware attack
2023/05/23 BleepingComputer — ドイツの自動車/兵器メーカーである Rheinmetall AG が公表したのは、BlackBasta ランサムウェア攻撃を受け、民需ビジネスに影響が及んだことだ。 Rheinmetall は、自動車/軍用車/兵器/防空システム/エンジン/各種鉄鋼製品などを製造するドイツのメーカーであり、従業員数は 25,000人以上、$7 billion 以上の年間売上高を有している。
Continue reading “ドイツの兵器メーカー Rheinmetall にランサムウェア攻撃:BlackBasta が犯行を主張”Malicious Windows kernel drivers used in BlackCat ransomware attacks
2023/05/22 BleepingComputer — ALPHV ランサムウェア・グループ (別名 BlackCat) が、署名された不正な Windows カーネル・ドライバを採用し、攻撃時におけるセキュリティ・ソフトウェアによる検出を回避していることが確認された。Trend Micro が確認した ALPHV のドライバは、昨年末のランサムウェア攻撃が生じた際に、Microsoft/Mandiant/Sophos/SentinelOne などが発見した、POORTRY という名のマルウェアの改良版である。
Continue reading “Windows 環境に潜む悪意のカーネル・ドライバ:BlackCat ランサムウェアの回避策が判明”CISA adds iPhone bugs to its Known Exploited Vulnerabilities catalog
2023/05/22 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、iPhone/iPad/Mac に影響を及ぼす3件のつのゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この3つの問題は、WebKit ブラウザ・エンジンに存在する、脆弱性 CVE-2023-32409/CVE-2023-28204/CVE-2023-32373 となる。
Continue reading “CISA KEV 警告 23/05/22:iPhone/iPad/Mac の3つの脆弱性を追加”Vulnerability in Zyxel firewalls may soon be widely exploited (CVE-2023-28771)
2023/05/22 HelpNetSecurity — 先日に修正された、Zyxel ファイアウォールに存在するコマンド・インジェクションの脆弱性 CVE-2023-28771 が、近い将来において野放し状態で悪用される可能性があると、Rapid7 の研究者たちが警告を発している。彼らは、この脆弱性をトリガーして、リバース root シェルへといたる、PoC スクリプトも公開している。
Continue reading “Zyxel Firewall の深刻な脆弱性 CVE-2023-28771:root 権限での OS コマンド実行 PoC が提供される”Android phones are vulnerable to fingerprint brute-force attacks
2023/05/21 BleepingComputer — BrutePrint と呼ばれる新しい攻撃手法について、Tencent Labs と Zhejiang University の研究者たちが調査結果を発表した。この攻撃は、最新のスマートフォンの指紋をブルートフォースしてユーザー認証を突破し、デバイスを制御するものだ。ブルートフォース攻撃では、コード/キー/パスワードなどを解読して、アカウント/システム/ネットワークなどへ不正アクセスするために、あらゆる手段が試みられている。
Continue reading “BrutePrint という新たな攻撃手法:スマフォの指紋認証をブルートフォースで突破”Once Again, Malware Discovered Hidden in npm
2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ/レジストリに存在する、“nodejs-encrypt-agent” という名前の2つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。
Continue reading “npm で発見された悪意のライブラリ:正規パッケージを装う TurkoRat マルウェア”Cyber Warfare Escalates Amid China-Taiwan Tensions
2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。
Continue reading “中国 – 台湾の緊張関係とサイバー戦争:PlugX マルウェアを仕込んだフィッシング攻撃が激化”Social Engineering Risks Found in Microsoft Teams
2023/05/17 InfoSecurity — ソーシャル・エンジニアリングを介して、Microsoft Teams を悪用しようとする、いくつかの新たな手口が、Proofpoint のセキュリティ研究者たちにより発見された。同社が 2023年5月17日に発表したレポートには、「最近のことだが、2022年後半にかけて確認された、Microsoft 365 クラウド・テナントを標的とした 4億5000万以上の悪意のセッションを分析した。この調査結果によると、Microsoft Teams は、最も標的とされた 10 のサインイン・アプリケーションの1つであり、標的とされた組織の 40% 近くで、少なくとも1回の不正ログインが試みられていた」と記されている。
Continue reading “Microsoft Teams を狙うソーシャル・エンジニアリング:新たな手口が発見された”Cisco warns of critical switch bugs with public exploit code
2023/05/17 BleepingComputer — Cisco は 5月17日に、複数の Small Business Series Switches に影響を及ぼす4つの深刻なリモート・コード実行の脆弱性について、顧客に警告した。これらのセキュリティ脆弱性は、エクスプロイト・コードが公開されており、深刻度は CVSS スコア 9.8 と、ほぼ最大の評価を受けている。この脆弱性の悪用に成功した攻撃者は、侵害したデバイス上で認証を必要とすることなく、root 権限で任意のコードを実行できる。
Continue reading “Cisco Small Business Switches の RCE 脆弱性 CVE-2023-20159 などが FIX:直ちにパッチ適用を!”Malicious Microsoft VSCode extensions steal passwords, open remote shells
2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、3種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報/システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。
Continue reading “Microsoft VSCode に悪意のエクステンション:パスワード窃取やリモートシェル確立などが目的”MalasLocker ransomware targets Zimbra servers, demands charity donation
2023/05/17 BleepingComputer — Zimbra サーバをハッキングして電子メールを盗み出し、ファイルを暗号化するという、新たなランサムウェア・オペレーションが確認されている。しかし、この脅威アクターは、暗号化装置を提供しデータ漏洩を防ぐために、身代金の支払いに代えて慈善団体への寄付を要求すると主張している。BleepingComputer により MalasLocker と名付けられた、このランサムウェア・オペレーションは、2023年3月末に Zimbra サーバへの攻撃を開始し、メールが暗号化されたと、Zimbra フォーラムでは被害者たちは報告している。
Continue reading “MalasLocker ランサムウェアが Zimbra サーバを攻撃:身代金のかわりに慈善団体への寄付を要求”Hackers Using Golang Variant of Cobalt Strike to Target Apple macOS Systems
2023/05/16 TheHackerNews — Golang で実装された Geacon という名の Cobalt Strike 亜種が、Apple macOS システムをターゲットとする脅威アクターたちの注目を集める可能性があるという。VirusTotal に掲載される Geacon ペイロードの数が、この数カ月で増加していることを確認した SentinelOne が調査結果を発表した。セキュリティ研究者である Phil Stokes と Dinesh Devadoss はレポートの中で、「これらのペーロードには、レッドチーム・オペレーションで使用されたものもあると思われるが、本物の悪意あ攻撃の特徴を持つものもある」と述べている。
Continue reading “Cobalt Strike の Golang 亜種が登場:Apple macOS を狙う中国の APT とは?”Apple blocked 1.7 million apps for privacy, security issues in 2022
2023/05/16 BleepingComputer — Apple App Store チームは 2022年に、プライバシー/セキュリティ/コンテンツ・ポリシーに違反した 約170万件のアプリをブロックし、不正の可能性があるとタグ付けされた $2 billion 以上の取引を阻止した。また、アカウント詐欺を撃退するための、不正行為に対する継続的な取り組みの一環として、顧客アカウント 2億8200万件の無効化、および、1億500万件のデベロッパー・アカウント作成のブロック、42万8000件のデベロッパー・アカウントの停止を実施した。
Continue reading “Apple App Store の 2022年の戦い:ブロックした悪質なアプリは 170万件!”Camaro Dragon APT Group Exploits TP-Link Routers With Custom Implant
2023/05/16 InfoSecurity — Camaro Dragon という名の、中国に支援される APT グループが、悪意のファームウェアのインプラントを介して、TP-Link ルーター群を悪用していることが確認された。この発見は、Check Point Research (CPR) のセキュリティ専門家によるものであり、今日の未明に同社が発表したアドバイザリに、その内奥が記載されている。
Continue reading “TP-Link ルーター群に危機:中国の APT グループ Camaro Dragon による侵害が始まっている”Infostealer Malware Surges: Stolen Logs Up 670% on Russian Market
2023/05/16 InfoSecurity — Secureworks Counter Threat Unit (CTU) が明らかにしたのは、ロシアのオンライン市場で、盗まれたログ情報の販売が活性化しており、その増加率は 670%を記録していることである。この最新の調査結果は、”The Growing Threat From Infostealers” というレポートに記載されているものだ。同レポートは、ランサムウェア攻撃などのサイバー犯罪活動を円滑にする上で、きわめて重要な役割を果たす、情報スティーラー市場の繁栄ぶりにフォーカスしている。Secureworks の VP of CTU である Don Smith は、「企業へのアクセスを素早く獲得し、そのアクセスからの収益化を狙うサイバー犯罪者たちが、情報スティーラーに目をつけるのは自然なことだ」とコメントしている。
Continue reading “情報スティーラー・ビジネスの活性化:ロシア市場での盗難ログ取引量が 670% 増”New ZIP domains spark debate among cybersecurity experts
2023/05/16 BleepingComputer — Google た立ち上げる新たな ZIP/MOV インターネット・ドメインについて、脅威アクターがフィッシング攻撃やマルウェア配信に悪用する可能性があると、サイバー・セキュリティ研究者たちと IT 管理者たちが警告している。Google は5月初めに、Web サイトやEメールのホスティングに使用できる、8つの新しい TLD (Top-Level Domains) を発表した。それらの新しい TLD は、.dad/.esq/.prof/.phd/.nexus/.foo、そして本記事で取り上げる .zip/.mov だ。
Continue reading “ZIP/MOV という新たな TLD は危険か? セキュリティ専門家たちの間で議論が沸騰”Qilin’s Dark Web Ransomware Targets Critical Sectors
2023/05/15 InfoSecurity — Qilin ランサムウェア・グループの、オペレーションおよび Ransomware-as-a-Service (RaaS) プログラムに関する、新たな情報が明らかになった。Group-IB の Threat Intelligence Team は、最新の調査研究の一環として Qilin 内部に潜入した。そこから得られた分析の結果として、重要セクターをターゲットとしていることや、採用されている高度な技術に関する洞察が明らかになったと述べている。Qilin は Agenda とも呼ばれるランサムウェアであり、2022年8月に発見されてから、深刻な脅威として浮上しているとのことだ。
Continue reading “Qilin は新たな RaaS:Rust/Go を採用により高度なステルス攻撃を成功させている”Stealthy MerDoor malware uncovered after five years of attacks
2023/05/15 BleepingComputer — 南アシア/東南アジアの政府機関/航空機関/通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立/コマンドの実行/キーロギングを行ってきたことだ。
Continue reading “MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec”Introducing the DRM-Report Q1 2023: Unveiling the Current State of Ransomware
2023/05/15 SecurityAffairs — サイバー・セキュリティ監視の独立したプラットフォームである Dashboard Ransomware Monitor が、2023年 Q1 における DRM-Report を発表した。この包括的なレポートは、世界中で憂慮すべきランサムウェア攻撃の増加を掘り下げ、サイバー犯罪者の活動の状況について、貴重な洞察を提供するものだ。
Continue reading “2023 Q1 のランサムウェア・レポートを提供:Dashboard Ransomware Monitor というプロジェクト”Discord Breached After Service Agent Targeted
2023/05/15 InfoSecurity — Discord のユーザーに送られた通知は、サードパーティ・カスタマー・サービス・エージェントのサポート・チケット・キューに、脅威アクターが不正アクセスした際に発生したデータ侵害に関するものだ。影響を受けたユーザーに送られたメッセージには、「このインシデントの性質上、あなたの電子メールアドレスおよび、あなたと Discordの 間で交換された顧客サービス・メッセージの内容および添付ファイルが、第三者に公開されている可能性がある」と書かれていることを InfoSecurity は確認している。
Continue reading “Discord で発生したサプライチェーン攻撃:ユーザーの機密情報が流出した可能性”New Ransomware Gang RA Group Hits U.S. and South Korean Organizations
2023/05/15 TheHackerNews — RA Group という名の新たなランサムウェア・グループが、流出した Babuk ランサムウェアのソースコードを活用して、独自のロッカー・バリアントを派生させている。サイバー セキュリティ企業 Cisco Talos によると、このサイバー犯罪集団は、遅くとも 2023年4月22日から活動しているとされ、急速に活動を拡大しているとのことだ。
Continue reading “RA Group という新たなランサムウェア:Babuk クローンで3社を侵害している”How Cybercriminals Adapted to Microsoft Blocking Macros by Default
2023/05/13 DarkReading — Office Macro をデフォルトでブロックすることを、Microsoft が決定してからというもの、脅威アクターたちは進化を余儀なくされ、マルウェア配信のための新たな方法を。かつてない速度で導入している。長期間にわたって脅威アクターたちは、悪意の Microsoft Office マクロを使用して、ターゲットのコンピュータの内部にフックを仕掛けてきた。そのため、2022年に Microsoft は、インターネットからダウンロードされるファイルに対して、デフォルトでマクロをブロックするようになった (不均一ではあっても) 。
Continue reading “Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint”PaperCut Software Flaw Sparks Ransomware Attacks, CISA Warns
2023/05/12 InfoSecurity — PaperCut ソフトウェアの深刻な脆弱性が、近ごろの一連のランサムウェア攻撃に悪用されていると、米国の CISA が警告を発している。広く採用されている印刷管理ソリューション PaperCut に存在する、脆弱性 CVE-2023-27350 の悪用に成功した攻撃者は、認証情報を必要とせずに悪意のコードをリモートで実行できるようになる。その結果として、攻撃者はランサムウェアの展開に成功し、機密データへの不正アクセスに成功している。
Continue reading “CISA/FBI の共同勧告:PaperCut の脆弱性 CVE-2023-27350 が悪用されている”Netgear Routers’ Flaws Expose Users to Malware, Remote Attacks, and Surveillance
2023/05/12 TheHackerNews — Netgear RAX30 ルーターに存在する、5つものセキュリティ脆弱性が公表された。これらの脆弱性は、連鎖的に認証を回避し、リモート・コード実行を許すものだ。Claroty のセキュリティ研究者である Uri Katz は、「これらの脆弱性の悪用に成功した攻撃者たちは、ユーザーのインターネット活動の監視/インターネット接続の乗っ取り/悪意の Web サイトへのトラフィックのリダイレクト/ネットワーク・トラフィックへのマルウェア注入などが可能になる」とレポートで述べている。
Continue reading “Netgear RAX30 ルーターに5つの脆弱性:連鎖によるリモート・コード実行が可能”Software Supply Chain Attacks Hit 61% of Firms
2023/05/12 InfoSecurity — Capterra の最新のレポートによると、これまでの1年間において米国企業の5分の3以上 (61%) が、ソフトウェア・サプライチェーンからのダイレクトな影響を受けていたことが分かった。この調査は、サードパーティー・ソフトウェアにおける脆弱性のリスクについて、米国企業の理解を深めることを目的にしたものであり、271人の IT 専門家/IT セキュリティ専門家を対象に実施された。回答者の半数は、ソフトウェア・サプライチェーンの脅威を “High” または “Extreme” と評価しており、さらに 41%は “Moderate” と評価している。
Continue reading “米国企業の 61%でソフトウェア・サプライチェーン攻撃が発生していた – Capterra 調査”2023/05/12 SecurityAffairs — 2021年に流出した Babuk ランサムウェアのソースコードをベースにして、VMware ESXi ロッカーを使用する 10件のランサムウェア・ファミリーを、SentinelLabs の研究者たちが特定した。研究者たちが指摘するのは、これらのランサムウェア・ファミリーが、2022年下半期〜2023年上半期に確認されている点である。つまり、Babuk ランサムウェアのソースコードを使用する、脅威アクターが増加していると推測されるという。それらの脅威アクターたちは、流出したソースコードを利用することで、Linux システムを標的としたランサムウェアを、専門知識がなくても作成できるようになると、専門家たちは説明している。
Continue reading “Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された”XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks
2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk/Tim Peck/Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。
Continue reading “XWorm マルウェアを配信するフィッシング攻撃が急増中:脆弱性 Follina が悪用されている”Risk Intelligence Index: The April 2023 Cyber Threat Landscape
2023/05/11 SecurityBoulevard — Flashpoint の最新のランサムウェア・インフォグラフィックは、サイバー犯罪者が採用する戦術の洗練と、進化する脅威の状況を痛烈に描き出している。2023年4月に、同社のアナリストたちは、合計で 411件のランサムウェア攻撃を観測している。
Continue reading “Cyber Threat Landscape 2023/04:リスク・インテリジェンスの指標 – Flashpoint”Stealthier version of Linux BPFDoor malware spotted in the wild
2023/05/11 BleepingComputer — Linux マルウェアである BPFDoor で、高ステルス性の新たな亜種が発見された。このマルウェアの特徴は、より強固な暗号化とリバース・シェル通信を備えている点にある。BPFDoor はステルス性の高いバックドア・マルウェアであり、遅くとも 2017年から活動していたと見られているが、セキュリティ研究者により発見されたのは、1年ほど前のことである。このマルウェアの名前は、Berkley Packet Filter (BPF) を悪用して、受信トラフィックのファイアウォール制限を回避することに由来している。BPFDoor は、侵入した Linux システム上で、脅威アクターが長時間の持続性を維持し、長期間にわたって検出を回避するように設計されている。
Continue reading “Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用”Bad Bots Now Account For 30% of All Internet Traffic
2023/05/11 InfoSecurity — 自動化された悪意のソフトウェアに起因するインターネット・トラフィックの量は、2021年以降において 2.5% ほど増加し、いまでは 30% を超えているようだ。この値は、2013年に Imperva が Bad Bot Report の初版を発表した以降において、最高の数値となっている。この、長期にわたるレポートの最新版で Imperva が主張しているのは、アカウント侵害/データ窃取/スパム/インフラ・コスト増加/オンライン・サービス劣化/顧客離れなどにつながる、悪質なボット攻撃により年間で数十億ドルが失われているという点だ。
Continue reading “悪意のボット・トラフィックの増大:ついにインターネット全体の 30% を埋め尽くす – Imperva 調査”
IoT OT Security News 
You must be logged in to post a comment.