Experts Uncover the Identity of Mastermind Behind Golden Chickens Malware Service
2023/01/27 TheHackerNews — Golden Chickens という Malware-as-a-Service の背後にいる脅威アクターの身元が、現実世界でのオンライン・ペルソナ “badbullzvenom” として活動している人物であると、サイバー・セキュリティ研究者たちが明らかにした。eSentire の Threat Response Unit (TRU) は、16ヶ月に及ぶ調査を経て発表した包括的なレポートの中で、「2人の人物が “badbullzvenom” アカウントを共有されているという、複数の言及を発見した」と述べている。
Continue reading “Golden Chickens という Malware-as-a-Service:背後で操る人物を追跡せよ”Black Basta Deploys PlugX Malware in USB Devices With New Technique
2023/01/27 InfoSecurity — Black Basta ランサムウェア の侵害に関する調査により、接続されたリムーバブル USB メディアデバイスに自動的に感染する、新しい PlugX マルウェアの亜種が使用されていることが判明した。Palo Alto Networks の Unit 42 は、この調査結果を Infosecurity と共有し、新しい PlugX 亜種はワーム可能であり、Windows OS から自身を隠すように USB デバイスに感染すると付け加えている。
Continue reading “Black Basta ランサムウェアの新戦術:USB デバイスに PlugX の高スティルス亜種”Microsoft urges admins to patch on-premises Exchange servers
2023/01/26 BleepingComputer — 今日、Microsoft が公表したのは、オンプレミスの Exchange サーバに対する累積アップデート (CU: Cumulative Update) の適用であり、また、緊急のセキュリティ・アップデートに対しても、導入の準備を整えておくよう顧客に呼びかけた。Exchange サーバのアップデート・プロセスについて、同社は簡単だと述べているが、多くの管理者が同意しないかもしれない。具体的な手順として、アップデートをインストールした後には必ず、Exchange Server Health Checker スクリプトの実行を推奨しているという。
Continue reading “Exchange サーバと ProxyNotShell:緩和策では攻撃を防げないと Microsoft が警告”An unfaithful employee leaked Yandex source code repositories
2023/01/26 SecurityAffairs — 不正な Yandex git ソースへのマグネット・リンクが含まれたアナウンスメントが、BreachForums に公開された。この投稿の背後にいる脅威アクターは、2022年7月に 44.7GB のファイルを入手したと主張しており、すべてのファイルの日付は 2022年2月24日 (ロシアのウクライナ侵攻の日) にまでさかのぼる。脅威アクターの主張は、このソースコード・リポジトリには、アンチ・スパム・ルールを除くソースコードが含まれているというものだ。
Continue reading “Yandex のソースコードが漏洩:元従業員が BreachForums に 44.7GB のファイルを公開”Google nukes 50,000 accounts pushing Chinese disinformation
2023/01/26 BleepingComputer — Google の Threat Analysis Group (TAG) は、複数のオンライン・プラットフォームで親中派情報を発信しているグループ Dragonbridge/Spamouflage Dragon に関連する、数万件のアカウントを削除した。 Googleによると、Dragonbridge はバルクでアカウントを販売する業者から、新しい Google アカウントを入手してきたという。場合によっては、以前に金銭的な動機で使用されていたアカウントを再利用し、情報操作のための動画/ブログを投稿することもあるようだ。
Continue reading “Google が Dragonbridge をシャットダウン:中国の偽情報アカウント5万件を削除”Over 4,500 WordPress Sites Hacked to Redirect Visitors to Sketchy Ad Pages
2023/01/25 TheHackerNews — 2017年ころから活動しているとされる、長期的かつ大規模なキャンペーンにより、4,500 件以上の WordPress サイトが感染していることが明らかになった。GoDaddy 系列の Sucuri によると、悪意のドメイン track[.]violetlovelines[.]com にホストされている、難読化された JavaScript の注入により感染が広まり、悪意のサイトへと訪問者たちがリダイレクトされているようだ。urlscan.io のデータによると、2022年12月26日から動きが活発になっているようだ。2022年12月初旬に確認された攻撃では 3,600 件以上のサイトが影響を受け、2022年9月に記録された別の攻撃では、7,000以上のサイトが被害に遭ったとされている。
Continue reading “WordPress サイト 4,500 以上でハッキングが発生:ビジターを悪意の広告ページへ誘導”The Definitive Browser Security Checklist
2023/01/25 TheHackerNews — セキュリティ関係者は、現代の企業環境におけるブラウザの重要な役割と、その管理/保護の再評価が必要であることを認識するようになった。少し前までは、エンドポイント/ネットワーク/クラウドの各ソリューションのパッチワークで Web ベースのリスクに対応していたが、これらのソリューションが提供する部分的な保護では、もはや不十分であることが明らかになった。そのため、多くのセキュリティ・チームが、ブラウザのセキュリティ上の課題に対する答えとして、専用に構築されたブラウザ・セキュリティ・プラットフォームという、新たなカテゴリーに注目するようになってきた。
Continue reading “Web ブラウザのセキュリティ:体系化された5本の柱で分解/整理してみよう”Yahoo Overtakes DHL As Most Impersonated Brand in Q4 2022
2023/01/25 InfoSecurity — Check Point チェック・ポイントのセキュリティ研究者たちは、2022年 Q4 に最も成りすまされたブランドは、フィッシングの全試行の 20% を占めた Yahoo であり、DHL をトップから陥落させたことを明らかにした。この調査結果は、同社の最新ブランド・フィッシング・レポートから得られたものであり、数十万ドル相当の賞金が Yahoo から提供されるというメールを、複数のサイバー犯罪者たちが配信していることが確認されたようだ。メールの送信者は、”Award Promotion” や “Award Center” といった名前を使用している。
Continue reading “フィッシング・ブランドの首位は Yahoo:2022年 Q4 の調査結果で DHL を逆転”New stealthy Python RAT malware targets Windows in attacks
2023/01/25 BleepingComputer — Python ベースの新しいマルウェアが発見されたが、侵入したシステムを操作するための (RAT:Remote Access Trojan) 機能を備えていることが判明した。脅威分析会社 Securonix の研究者により、PY#RATION と名付けられた新しい RAT は、WebSocket プロトコルを用いて C2 Server と通信し、被害者のホストからデータを流出させるものだ。同社の技術レポートでは、このマルウェアの動作が分析されている。PY#RATION キャンペーンが始まった 2022年8月以降において、複数のバージョンが確認されていることから、この RAT が活発に開発されていると、研究者たちは示唆している。
Continue reading “Python に PY#RATION というマルウェア:WebSocket でスティルス C2 通信”Malicious Prompt Engineering With ChatGPT
2023/01/25 SecurityWeek — 2022年末に、誰もが OpenAI の ChatGPT を利用できるようになったことで、AI の可能性が良くも悪くも実証された。ChatGPT は、大規模な AI ベースの自然言語生成器であり、LLM (Large Language Model) と呼ばれるものである。そして、プロンプト・エンジニアリングという概念を、一般に知らしめたものでもある。ChatGPT は、2022年11月に OpenAI がリリースしたチャットボットであり、OpenAI の LLM である GPT-3 ファミリーの上に構築されている。
Continue reading “ChatGPT がもたらす変化:Social エンジニアリング から Prompt エンジニアリングへ”Hackers use Golang source code interpreter to evade detection
2023/01/24 BleepingComputer — DragonSpark という名で追跡されている、中国語を話すハッキング・グループは、東アジアの組織に対してスパイ攻撃を行う際に、検出を回避するために Golang ソースコードの解釈を採用していることが確認された。この攻撃は SentinelLabs により追跡されており、DragonSpark は SparkRAT と呼ばれるオープンソース・ツールに採用し、感染させシステムから機密データを盗み、コマンドを実行し、ネットワーク上での横移動などを行うと、研究者たちは報告している。SentinelLabs が観測した侵入経路は、オンラインで公開されている脆弱な MySQL データベース・サーバだった。
Continue reading “DragonSpark という中国の APT:Golang ソースの実行時解釈で検出を回避”Hunting Insider Threats on the Dark Web
2023/01/24 DarkReading — インサイダーによる脅威は、深刻な問題であり、拡大している問題でもある。最近の Verizon の調査によると、悪意の従業員がインシデントの 20% に関連しており、内部関係者が関与する攻撃は外部関係者によるが攻撃の 10倍ほどになる。 また、ProofPoint のデータによると、パンデミックによるリモートワークでリスクが高まり、過去2年間においてはインサイダーによる攻撃の増加が示されている。
Continue reading “ダークウェブの監視が重要:Verizon DBI が示すインサイダー・リスク軽減のヒントとは?”FBI: North Korean hackers stole $100 million in Harmony crypto hack
2023/01/24 BleepingComputer — FBI の発表によると、2022年6月に Harmony Horizon から $100 million 相当の Ethereum が盗まれたが、その背後には、北朝鮮の国家的なハッキング・グループ Lazarus と APT38 が存在することが確認されたという。Harmony Horizon は Ethereum のクロス・チェーンブリッジであり、2022年6月に侵害を受け、MultiSigWallet の制御をハッカーが奪ったことで、大量のトークンが犯罪者のアドレスに転送された。
Continue reading “Ethereum $100M 相当が Harmony から消えた:北朝鮮の Lazarus と APT38 の犯行”GoTo Says Hackers Stole Encrypted Backups, MFA Settings
2023/01/24 SecurityWeek — IT マネージメント・ソフトウェアを提供する GoTo は、2022年に発生した LastPass 関連会社に影響を及ぼしたセキュリティ侵害において、暗号化されたバックアップと一部の暗号化キーが、正体不明の脅威アクターに盗まれたと発表した。GoTo の CEO である Paddy Srinivasan は、このセキュリティ侵害が、当初の報告よりもはるかに深刻であることを認めている。具体的に言うと、アカウントのユーザー名および、ソルト化/ハッシュ化されたパスワード、MFA 設定の一部に加えて、一部製品のコンフィグレーション/ライセンス情報が盗まれたようだ。
Continue reading “GoTo で発生したデータ侵害:暗号化されたバックアップや MFA 設定などを窃取”Emotet Malware Makes a Comeback with New Evasion Techniques
2023/01/24 TheHackerNews — マルウェア Emotet は、Bumblebee/IcedID などの危険なマルウェアの感染経路となる一方で、その手口を改良し、レーダーを回避し続けている。2021年初頭に、捜査当局が Emotet のインフラを排除したが、同年末には活動を再開しており、フィッシング・メールを介して配布される、持続的な脅威として存在し続けている。このウイルスは、サイバー犯罪グループ TA542 (別名 Gold Crestwood/Mummy Spider) に帰属するものであり、バンキング型トロイの木馬として 2014年に登場した後に、マルウェア配布者へと進化してきた。
Continue reading “Emotet が新たなバイパス手法で再登場:クレカ窃取と横移動の新モジュールを追加”Learning to Lie: AI Tools Adept at Creating Disinformation
2023/01/24 SecurityWeek — 人工知能は小説を書き、ゴッホにインスパイアされた画像を作り、山火事の消火活動を支援するにまでいたった。そして今、人工知能は、かつて人間に限られていた活動において、つまりプロパガンダや偽情報の作成において競争を始めた。オンライン AI チャットボット ChatGPT に、広く否定されている主張 (たとえば COVID-19 ワクチンは危険だという主張) を支持する、ブログ記事/ニュース記事/エッセイを作成するよう、研究者たちは依頼してみた。すると、このサイトは応じることがあり、オンライン・コンテンツのモデレーターを長年にわたり悩ませてきた、同様の主張と見分けがつかないほどの出来栄えで、それらを作文したという。
Continue reading “ChatGPT が明らかにした問題点: AI を騙して悪用するのは簡単だ”CISA warns of critical ManageEngine RCE bug exploited in attacks
2023/01/23 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Zoho ManageEngine 製品群の大半に影響を及ぼすリモートコード実行 (RCE) を、野放し状態で悪用されているとして KEV カタログに追加した。この脆弱性 CVE-2022-47966 は、2022年10月27日から製品ごとにパッチが適用されている。SAML ベースのシングルサインオン (SSO) が有効である場合や、一度でも有効であった場合に、未認証の脅威アクターに悪用され、任意のコード実行にいたる恐れがある。
Continue reading “CISA KEV 警告 23/01/23:Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966 を追加”Russia’s largest ISP says 2022 broke all DDoS attack records
2023/01/23 BleepingComputer — ロシア最大の ISP (internet service provider) である Rostelecom によると、同国内の組織を標的とした分散型サービス拒否攻撃 (DDoS) が、2022年に最悪の記録を樹立したという。DDoS 攻撃とは、インターネットに接続された Web サイトやサービスに対して、大量のリクエストを送信することで、新しい接続を受け入れるサーバの能力を枯渇させ、サービスを応答不能にすることを目的としたサイバー攻撃である。ウクライナとロシアの紛争の両側で、それぞれのハクティビストたちが、進行中の戦争に関連する行動や報復として、重要なサービスを妨害するために DDoS 攻撃を使用している。
Continue reading “DDoS 攻撃によるロシア側の被害:最大手 ISP の Rostelecom が語る惨状”Microsoft plans to kill malware delivery via Excel XLL add-ins
2023/01/23 BleepingComputer — Microsoft が取り組んでいるのは、インターネットからダウンロードされた XLL アドインを、自動的にブロックする機能を追加することで、Microsoft 365 における XLL アドインを保護することである。それにより、この感染経路を悪用するマルウェア増加の傾向に、対処することが可能となる。Microsoft は、「この数カ月で増加しているマルウェア攻撃に対抗するため、インターネットからダウンロードされる XLL アドインを、ブロックするための対策を実施している」と述べている。同社によると、この新機能は 2023年3月から、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの、デスクトップ・ユーザーを対象に一般提供される予定だという。
Continue reading “Microsoft のマルウェア対策:Excel XLL add-in の制限が 2023年3月から始まる”Hackers now use Microsoft OneNote attachments to spread malware
2023/01/21 BleepingComputer — OneNote の添付ファイルをフィッシング・メールに使用する攻撃者たちが、被害者のマシンにリモート・アクセスに対応するマルウェアを感染させ、さらなるマルウェアのインストールや、パスワードの窃取、暗号通貨ウォレット侵害へとエスカレートさせようとしている。長年にわたり攻撃者たちは、電子メールに添付した Word/Excel ファイルに隠したマクロを起動させ、マルウェアをダウンロード/インストールするという方式で、マルウェアを配布してきた。しかし、2022年7月に Microsoft は、Office 文書に含まれるマクロをデフォルトで無効にし、マルウェアの配布に利用できないようにした。
Continue reading “Microsoft OneNote ファイルに要注意:新たなマルウェア配布が始まっている”Massive ad-fraud op dismantled after hitting millions of iOS devices
2023/01/21 BleepingComputer — iOS を主体として展開された、Vastflux という名の大規模な広告詐欺作戦は、 120社のパブリッシャーから提供される 1,700件以上のアプリを偽装していたが、サイバー・セキュリティ企業 HUMAN の研究者たちにより阻止されたことが明らかになった。このオペレーション名は、広告配信テンプレート VAST と、単一のドメインに関連する大量の IP アドレスや DNS レコードを迅速に変更することで、悪意のあるコードを隠す回避手法 fast flux に由来しているという。HUMAN のレポートによると、ピーク時の Vastflux では 120億以上/日の入札リクエストが生成され、約 1100万台のデバイス (大半が iOS エコシステム) に影響を与えたとされている。
Continue reading “iOS デバイスを汚染するアドウェア Vastflux:ピーク時で 120億/日のリクエスト”Critical Manufacturing Sector in the Bull’s-eye
2023/01/21 DarkReading — 製造業の4社に3社以上が、未パッチの深刻度の高い脆弱性をシステム内に抱えていることが、この分野に関する調査で明らかになった。SecurityScorecard による最新のテレメトリ測定では、これらの組織における深刻な脆弱性は、前年比で増加していることが示されている。同社の共同設立者/CEO である Aleksandr Yampolskiy は、「2022年において、我々のプラットフォーム上の製造業の IP アドレスから調べたところ、約 76% 組織でパッチが適用されていない CVE を発見された」と述べている。
Continue reading “製造業の 76% に未パッチの深刻な脆弱性:マルウェア感染は 40% 以上”Compromised Zendesk Employee Credentials Lead to Breach
2023/01/21 DarkReading — SaaS 版の CRM (Customer Relationship Management) を提供する Zendesk が、2022年10月に脅威アクターによる不正アクセスを受け、顧客情報の漏洩が発生したこと明らかになった。ことの発端は、2023年1月13日に同社から顧客に送られたメールである。インシデントの詳細が記された Zendesk からのメールは、仮想ウォレット・サービスを提供する Coinigy により公開されたものだ。Coinigy は侵害に関する投稿で、「我々の顧客に開示する必要性を感じた」と述べている。
Continue reading “Zendesk で顧客情報の漏洩が発生:従業員を狙った SMS フィッシングに起因”API Attacker Steals Data on 37 Million T-Mobile Customers
2023/01/20 InfoSecurity — T-Mobile は、数千万人の顧客の個人情報やアカウント情報に対して、脅威アクターがAPI 経由で不正にアクセスしたことを認めた。同社は、2023年1月19日の SEC ファイリングで、この攻撃は 2022年11月25日頃に始まり、また、2023年1月5日まで発見されなかったが、発見後の1日以内にインシデントは解決したと説明している。
Continue reading “T-Mobile にデータ侵害が発生:API 攻撃により 3,700万人分の顧客情報が漏えい”Critical ManageEngine RCE bug now exploited to open reverse shells
2023/01/20 BleepingComputer — 複数の Zoho ManageEngine 製品に影響を及ぼす、深刻な RCE (Remote Code Execution) の脆弱性が、攻撃に悪用されている。この脆弱性の悪用コードと詳細な技術分析を、Horizon3 のセキュリティ研究者たちが公開する2日前に、サイバーセキュリティ企業の Rapid7 が最初の悪用の試みを検知していた。Rapid7 は、「我々は、少なくとも 24種類のオンプレミス ManageEngine 製品に影響を与える、未認証のRCE 脆弱性 CVE-2022-47966 の悪用から生じる、さまざまな侵害に対応している。2023年1月17日 (UTC) の時点で、複数の組織にまたがる悪用を観測している」と述べている。
Continue reading “Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966:活発な悪用と攻撃”Ransomware Revenue Plunged in 2022 as More Victims Refuse to Pay Up: Report
2023/01/20 SecurityWeek — Chainalysis のデータが示すのは、身代金要求の支払いを拒否する被害者が増えたことで、2022年のランサムウェア攻撃による収入が、2021年と比較して大幅に減少したことだ。2023年1月19日に、このブロックチェーン・データ企業が発表したレポートによると、ランサムウェア・グループが使用したと認識される、暗号通貨アドレスが受け取った $457 million は、2021年の $766 million in 2021 との比較において、40% 以上の減少を示している。
Continue reading “ランサムウェア・ギャングたちの総決算 2022年:身代金収益は 40% 減”Massive Credential Stuffing Campaign Hits 35,000 PayPal Users
2023/01/20 InfoSecurity — 今週に PayPal が公表したのは、2022年12月に発生したアカウントへの不正アクセスと、米国の数万人の顧客に対して通知が行われたことだ。この不正アクセスは、12月6日〜12月8日に発生し、その後に事態を把握した同社は、脅威となった人物によるアクセスを排除した。PayPal からメイン州司法長官事務所に提出された侵害通知書には、「この間において、不正な第三者が、特定の PayPal ユーザーの個人情報の一部を閲覧し、取得した可能性がある」と記されている。
Continue reading “PayPal ユーザー 35,000 人の個人情報に不正アクセス:クレデンシャル・スタッフィングの可能性大”Phishers Use Blank Images to Disguise Malicious Attachments
2023/01/20 InfoSecurity — フィッシング詐欺師たちが、従来からのセキュリティ・フィルタを回避するために、透明の画像イメージを使用するという新たな革新的な手法を、セキュリティ研究者たちが発見した。Check Point の事業会社である Avanan が検知した問題の電子メールは、一見すると正規の DocuSign メッセージとして受信されたものだ。メール本文に記載されたリンクは、ユーザーを通常の DocuSign のページへと誘導するものだが、末尾に記載された HTML 添付ファイルは疑わしいものだった。
Continue reading “透明の SVG ファイルにマルウェア:この見えない敵に対処できるのか?”New Microsoft Azure Vulnerability Uncovered — EmojiDeploy for RCE Attacks
2023/01/19 TheHackerNews — Microsoft Azure に関連する複数のサービスに影響を及ぼす、新規かつ深刻なリモートコード実行 (RCE) の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者により、ターゲット・アプリケーションの完全な制御が可能になるようだ。Ermetic の研究者である Liv Matan は、The Hacker News と共有したレポートの中で、「ユビキタス SCM サービスである Kudu に、CRFS (Cross Site Request Forgery) の脆弱性が存在する。この脆弱性の悪用に成功した攻撃者は、ペイロードを含む悪意の ZIP ファイルを、被害者の Azure アプリケーションに展開できる」と述べている。
Continue reading “Microsoft Azure の CRFS 脆弱性 EmojiDeploy が FIX:RCE 攻撃の可能性”Exploited Control Web Panel Flaw Added to CISA ‘Must-Patch’ List
2023/01/18 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、広く使われている CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877 を、KEV(Known Exploited Vulnerabilities)カタログに追加し、連邦機関に対して2月初旬までに修正するよう指示している。
Continue reading “CISA KEV 警告 23/01/17:CentOS CWP の深刻な脆弱性 CVE-2022-44877 を追加”Vendors Actively Bypass Security Patch for Year-Old Magento Vulnerability
2023/01/18 SecurityWeek — Adobe Commerce/Magento ストアのメール・テンプレートに存在する、深刻な脆弱性 CVE-2022-24086 に対して、2022年2月に Adobe が公開したセキュリティ・パッチが、適用されていないケースが多いと、eコマース・セキュリティ企業である Sansec が警告している。この脆弱性 CVE-2022-24086 (CVSS: 9.8) は、チェックアウト・プロセスにおける不適切な入力検証のバグだと説明されている。このバグの悪用に成功した攻撃者に対して、任意のコード実行を許す可能性があり、また、パッチが提供されてから1週間ほどで、実環境での悪用も確認されている。
Continue reading “Magento の1年前の脆弱性 CVE-2022-24086:対策の混乱による積極的な悪用が止まらない”ChatGPT Creates Polymorphic Malware
2023/01/18 InfoSecurity — CyberArk のサイバー・セキュリティ研究者が、OpenAI の ChatGPT とテキストベースの対話を行い、新たな多形態マルウェア (Polymorphic Malware) を作成したと報告している。先日に同社が InfoSecurity と共有した技術文書によると、ChatGPT を用いて作成されたマルウェアは、「攻撃者による努力や投資を大幅に抑制した上で、簡単にセキュリティ製品を回避し、緩和を面倒なものにする」ことが可能だという。
Continue reading “ChatGPT でマルウェア開発:継続的な変異により捕捉/検出が困難になる”Over 4,000 Sophos Firewall devices vulnerable to RCE attacks
2023/01/17 BleepingComputer — インターネットに接続される 4,000 台以上の Sophos Firewall に存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-3236 を狙って、サイバー攻撃が発生する可能性があることが判明した。Sophos Webadmin/Sophos Firewall の User Portal に存在する、このコードインジェクションの脆弱性は 2022年9月に公開され、複数の Sophos Firewall バージョンに対するホットフィックスがリリースされた (正式な修正プログラムは3カ月後の2022年12月に発行)。
Continue reading “Sophos Firewall 4,000台が危険な状況:インターネットに露出するサーバの 6% が未パッチ”Russia’s Ukraine War Drives 62% Slump in Stolen Cards
2023/01/17 InfoSecurity — Recorded Futureによると、2022年初頭に始まったロシアのウクライナ侵攻により、ダークウェブに公開されるペイメントカードの盗難記録が大きく減少したようだ。同社の Insikt Group 部門は、サイバー犯罪の地下組織から得た詳細な脅威情報を分析し、Annual Payment Fraud Report : 2022 をまとめ上げた。それによると、2022年にダークウェブのカードショップに記録されている、正規には存在しないカードは前年比 24% 減の 4560万件に、また、正規に存在するカードは 62%減の 1380万件になると報告されている。
Continue reading “クレジットカード犯罪が 62% 減:ウクライナ戦争に影響されるダークウェブ市場”Hackers Can Abuse Legitimate GitHub Codespaces Feature to Deliver Malware
2023/01/17 TheHackerNews — 脅威アクターたちが、GitHub Codespaces の正規の機能を悪用して、被害者のシステムへマルウェアを配信することが可能であるという、新たな研究の結果が明らかになった。GitHub Codespaces とは、クラウドベースのカスタマイズ可能な開発環境のことである。それを利用するユーザーは、Web ブラウザや Visual Studio Code との統合を介して、指定したコードベースのデバッグ/メンテナンス/変更のコミットを実行できる。また、ポート・フォワーディング機能により、コードスペース内の特定のポートで動作する Web アプリケーションに、ローカルマシンのブラウザから直接にアクセスし、テスト/デバッグを行うことも可能だ。
Continue reading “GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布”Datadog rotates RPM signing key exposed in CircleCI hack
2023/01/16 BleepingComputer — クラウド・セキュリティ企業 Datadog の発表によると、先日に発生した CircleCI のセキュリティ侵害により、同社の RPM (Redhat Package Manager) における GPG (Gnu Privacy Guard) 署名キーの1つと、そのパスフレーズが流出したとのことだ。ただし同社は、この署名キーの流出/悪用については、現時点で証拠は見つかっていないと付け加えている。
Continue reading “Datadog が RPM 署名キーを変更:CircleCI ハッキング・インシデントを受けて”Malicious ‘Lolip0p’ PyPi packages install info-stealing malware
2023/01/16 BleepingComputer — ある脅威アクターが、PyPI (Python Package Index) リポジトリにアップロードした3つの悪意のパッケージには、開発者たちのシステムに情報窃取マルウェアをドロップするコードが搭載されている。Fortinet が発見した悪意のパッケージは、その全てが 2023年1月7日〜12日の間に、”Lolip0p” という作者によりにアップロードされたものだ。それらの名称は、colorslib/httpslib/libhttps であり、すでに PyPI からは削除されている。
Continue reading “PyPI に悪意の3つのパッケージ:数日で 500件以上のダウンロードにいたる”Raccoon and Vidar Stealers Spreading via Massive Network of Fake Cracked Software
2023/01/16 TheHackerNews — Raccoon や Vidar などの情報窃取型マルウェアの配布において、250以上のドメインで構成される大規模で弾力性のあるインフラが、2020年初頭から利用されている。サイバー・セキュリティ企業である SEKOIA は、今月の初めに発表した分析で、「偽のソフトウェア・カタログを使用すると、約 100 の Web サイトへとリダイレクトされた後に、GitHub などのファイル共有プラットフォームでホストされている、ペイロードをダウンロードすることになる」と述べている。
Continue reading “Raccoon/Vidar 情報スティーラーが蔓延:AnyDesk/Notepad++/Zoom などをルアーに使う”Most internet-exposed Cacti servers exposed to hacking
2023/01/14 SecurityAffairs — Cacti は、堅牢で拡張性の高い運用監視/障害管理フレームワークを、ユーザーに提供するオープンソースのプラットフォームである。Censys の研究者が発見したのは、インターネットに公開されている Cacti サーバの大部分に、現時点で積極的に悪用されている、深刻な脆弱性 CVE-2022-46169 が存在することだ。
Continue reading “Cacti の脆弱性 CVE-2022-46169:大量の未パッチ・サーバがインターネットに露出している”Malware Attack on CircleCI Engineer’s Laptop Leads to Recent Security Incident
2023/01/14 TheHackerNews — 2023年1月13日に DevOps プラットフォームの CircleCI が明らかにしたのは、昨年12月に未知の脅威アクターが従業員のラップトップを侵害し、マルウェアを用いて 2FA 認証に裏付けられた認証情報を盗み出し、同社システムに侵入しデータを侵害したことだ。CI/CD サービスの CircleCI によると、この高度な攻撃は、2022年12月16日に行われ、そこで用いられたマルウェアを、同社のウイルス対策ソフトウェアは検出できなかったとのことだ。
Continue reading “CircleCI のデータ侵害:セッションクッキーが窃取され 2FA が突破された”NortonLifeLock warns that hackers breached Password Manager accounts
2023/01/13 BleepingComputer — Gen Digital (旧 Symantec Corporation、NortonLifeLock) が顧客に送付したデータ侵害通知は、ハッカーによるクレデンシャル・スタッフィング攻撃で、Norton Password Manager アカウントの侵害に成功したことを知らせるものだ。バーモント州司法長官事務所に提出された書簡のサンプルによると、この攻撃の原因は、同社への侵入ではなく、他のプラットフォームでのアカウント侵害によるものとのことだ。
Continue reading “NortonLifeLock の Password Manager アカウントに侵害が発生:PW の使い回しが原因?”Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar
2023/01/13 TheHackerNews — StrRAT/Ratty などのリモート・アクセス型トロイの木馬は、ポリグロット と悪意の Java アーカイブ (JAR) ファイルの組み合わせで配布されており、検知を回避する新しい方法を、脅威アクターが継続的に発見していることを、改めて浮き彫りにしている。Deep Instinct のセキュリティ研究者 Simon Kenin のレポートには、「攻撃者たちは、JAR ファイル形式を適切に検証できないセキュリティ・ソリューションを混乱させるために、ポリグロット手法を使用している」と述べている。
Continue reading “StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される”LockBit ransomware operation behind the Royal Mail cyberattack
2023/01/13 SecurityAffairs — 英国で国際的な郵便と宅配を担う Royal Mail が、 サイバー。インシデントにより業務が深刻な事態に陥っていることを発表した。このインシデントは、Royal Mail の国際輸出サービスにだけに影響を与えているものであり、一時的に海外への商品発送が不能になったと、同社は述べている。攻撃の詳細については明らかにされていないが、その業務を復旧させるために、同社は 24時間体制で取り組んでいるとしている。
Continue reading “英 Royal Mail の国際郵便が止まった:LockBit ランサムウェアが脅迫を開始”Millions of Insurance Customers Compromised Via Supplier
2023/01/13 InfoSecurity — 保険会社である Aflac/Zurich は、第三者である請負業者がハッキングについて報告した後に、数百万人の日本人顧客の情報が侵害され、売りに出されていたことを明らかにした。両社の発表では、ハッキングされた業者の名前は明らかにされていないが、東京の通信社である時事通信の現地レポートでは、米国内の下請け業者に原因があるとされている。このインシデントの被害を受けたのは、Aflac のがん保険加入者 130万人と、Zurich の自動車保険契約者 76万人を含む、合計で約 200万人の顧客だという。
Continue reading “Aflac/Zurich でハッキングが発生:日本人顧客約 200万人の情報が漏洩”Hackers exploit Control Web Panel flaw to open reverse shells
2023/01/12 BleepingComputer — 以前には CentOS Web Panel として知られていた、サーバ管理用ツール Control Web Panel (CWP) で発生した深刻な脆弱性が、ハッカーたちに積極的に悪用されている。このセキュリティ脆弱性 CVE-2022-44877 は、認証されない攻撃者であってもリモートコード実行が可能であるため、CVSS 値は 9.8 と評価されている。
Continue reading “CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877:RCE が容易に生じる”Telegram Bot Abuse For Phishing Increased By 800% in 2022
2023/01/12 InfoSecurity — Telegram Bot からのフィッシング情報の流出先として悪用が、2021年〜2022年の間に 800% も増加した。この新データは、2023年1月12日に Cofense のセキュリティ研究者たちが、それらに関する最新データをレポートとして発表した。この伸びを調査した結果は、資格情報をフィッシングする際の配信方法として、HTMLの添付ファイルを使用する戦術が、ますます一般的になっていることに関連している。
Continue reading “Telegram Bot とフィッシング:2022年の悪用は前年比で 800% 増”Microsoft: Cuba ransomware hacking Exchange servers via OWASSRF flaw
2023/01/12 BleepingComputer — Microsoft によると、Cuba ランサムウェア/ギャングも、Exchange サーバに存在する深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用して、Play ランサムウェア攻撃と同様に侵害を繰り返しているようだ。 先日には、この脆弱性 CVE-2022-41080 を悪用する Play ランサムウェアが、 OWASSRF ゼロデイと呼ばれる攻撃により、ProxyNotShell URL リライト緩和策をバイパスした後に、Rackspace ネットワーク上のパッチ未適用の Microsoft Exchange サーバを侵害している。
Continue reading “Cuba ランサムウェアも Exchange 侵害に参戦:Microsoft が警告する OWASSRF 欠陥とは?”IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours
2023/01/12 TheHackerNews — 先日に発生した IcedID マルウェア攻撃では、イニシャル・アクセスから 24時間以内に、無名ターゲットの Active Directory ドメインが侵害されていたという。今週に発表されたレポートで Cybereason の研究者たちは、「この脅威アクターは攻撃の最中に、偵察コマンド操作/認証情報窃取/横方向への移動に加えて、侵入したホスト上での Cobalt Strike の実行という手順を踏んでいた」と述べている。IcedID (別名 BokBot) は、2017年にバンキング・トロイの木馬としてスタートした後に、他のマルウェアを支援するドロッパーへと進化し、Emotet/TrickBot/Qakbot/Bumblebee/Raspberry Robin などの仲間に加わった。
Continue reading “IcedID マルウェアの蔓延:侵入から24時間以内に Active Directory ドメインを侵害”Fortinet: Govt networks targeted with now-patched SSL-VPN zero-day
2023/01/12 BleepingComputer — Fortinet によると、2022年12月にパッチ適用された FortiOS SSL-VPN のゼロデイ脆弱性を悪用する脅威アクターが、政府の機関や関連組織にターゲットを狙った攻撃を行っていたことが判明した。一連のインシデントで悪用されたのは、FortiOS SSL-VPN に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2022-42475 であり、認証されていないリモートの攻撃者に対して、デバイスの毀損やコード実行を許すものである。
Continue reading “FortiOS のゼロデイ CVE-2022-42475 が FiX:高度かつ活発な悪用を検出”Dark Pink APT Group Targets Governments and Military in APAC Region
2023/01/11 TheHackerNews — アジア太平洋地域における政府機関/軍事組織などが、未知の高度持続的脅威 (APT:Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に7つの攻撃を成功させた」と述べている。
Continue reading “Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成”
IoT OT Security News 
You must be logged in to post a comment.