BlackCat Ransomware Targets Industrial Companies
2022/04/07 SecurityWeek — BlackCat/ALPHV/Noberus として追跡されているランサムウェア・グループが使用するデータ窃取ツールを分析すると、このサイバー犯罪者が製造業ををターゲットにすることに、強い関心を持っていることが示唆される。2021年11月に BlackCat は 出現し、Ransomware-as-a-Service (RaaS) モデルを利用することで、米国などの組織を標的にしてきた。
Continue reading “BlackCat ランサムウェアが石油/ガス/鉱山/建設をターゲットにしている証拠とは?”63% of organizations paid the ransom last year
2022/04/06 HelpNetSecurity — CyberEdge Group のレポートによると、昨年は 71% の組織がランサムウェア攻撃の被害を受け、2017年の 55% から増加し、過去最悪の結果となった。また、被害に遭った組織のうち、要求された身代金を支払ったのは 63% であり、2017年の 39% から大きく増加している。
Continue reading “ランサムウェアに関する 2021年の調査:63% の組織が身代金を支払っている”SpringShell attacks target about one in six vulnerable orgs
2022/04/05 BleepingComputer — あるサイバー・セキュリティ企業の統計によると、ゼロデイ脆弱性 Spring4Shell の影響を受ける世界中の組織の約6社に1社は、すでに脅威者に狙われていることが判明した。この、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-22965 の、エクスプロイト・コードが公開されてから4日間で、悪用の試みが行われているようだ。テレメトリ・データを基にレポートをまとめた Check Point によると、この週末だけで 37,000件の Spring4Shell 攻撃が検出されたとのことだ。
Continue reading “SpringShell 問題を抱える組織と脅威アクターたち:すでに6社に1社がターゲットに”FIN7 Hackers Leveraging Password Reuse and Software Supply Chain Attacks
2022/04/05 TheHackerNews — この FIN7 と名付けられたサイバー犯罪グループは、当初からのアクセス・ベクターを多様化させ、ソフトウェア・サプライチェーン侵害や、盗まれた認証情報の利用などを取り入れていることが、新しい調査により明らかになった。インシデント・レスポンス会社である Mandiant は月曜日のレポートで、「複数の組織における FIN7 による活動のあとに続く、データ盗難/ランサムウェア展開/技術的重複から、長年に渡り FIN7 の行為者は、様々なランサムウェア・オペレーションと関連していたことが示唆される」と述べている。
Continue reading “FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?”CISA Warns of Active Exploitation of Critical Spring4Shell Vulnerability
2022/04/05 TheHackerNews — 月曜日に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日に公開された Spring Framework に影響を及ぼすリモートコード実行 (RCE) の脆弱性が、活発に悪用されているという証拠に基づき、Known Exploited Vulnerabilities Catalog に追加した。この深刻な脆弱性 CVE-2022-22965 (CVSS : 9.8) は、Java Development Kit 9 以降で動作する Spring Model-view-Controller (MVC) および、 Spring WebFlux アプリケーションに影響を与える。
Continue reading “CISA 警告:積極的に悪用されている Spring4Shell などを脆弱性リストに追加”Microsoft detects Spring4Shell attacks across its cloud services
2022/04/05 BleepingComputer — Microsoft は、深刻なリモートコード実行 (RCE) 脆弱性 (Spring4Shell/SpringShell) を標的とした少量の悪用の試みを、同社のクラウド・サービスにおいて追跡していると発表した。この Spring4Shell の脆弱性 CVE-2022-22965 は、最も広く使用されているライトウェイト Java オープンソース・フレームワークとされる、Spring Framework に影響を与える。
Continue reading “Microsoft が Spring4Shell 攻撃を検出:広範囲のクラウドで少量の悪用の施行”Russians bypass website blocks to access Western news sources
2022/04/04 BleepingComputer — Cloudflare は、ウクライナ情勢に関する正確な情報を得るために、ロシアの人々が欧米のニュースソースを利用するという傾向が強まっている兆候を捉えている。今日、Cloudflare が発表した新しいブログ記事では、ロシアのネット・ユーザーが英国/米国/フランスのニュースサイトにアクセスするために、ブロッキング回避ツールを積極的に採用していることを示す、統計的な証拠が提示されている。
Continue reading “ロシアの人々に情報を届ける:Cloudflare が説明するブロック回避の状況”VMware patches Spring4Shell RCE flaw in multiple products
2022/04/04 Bleeping Computer — VMware は、同社のクラウドおよび仮想化の製品のいくつかに影響を及ぼす、深刻なリモートコード実行の脆弱性 (Spring4Shell) に対するセキュリティ・アップデートを公開した。Spring4Shell の影響を受ける VMware 製品の一覧は、同社のアドバイザリで確認できる。修正プログラムが提供されていないケースのために、VMware は一時的な解決策としてワークアラウンドをリリースしている。現時点において、Spring4Shell は活発に悪用される脆弱性でり、セキュリティ速報に記載されているアドバイスに従うことが極めて重要となる。
Continue reading “VMware と Spring4Shell:RCE に対する複数のパッチが提供された”UK charges two teenagers linked to the Lapsus$ hacking group
2022/04/02 BleepingComputer — 恐喝組織である Lapsus$ に協力した容疑で起訴された、英国の2人のティーンエイジャーが、金曜日の午前中に Highbury Corner Magistrates Court 法廷に出廷し、保釈された。ロンドン市警のMichael O’Sullivan 刑事の声明によると、16歳と 17歳の少年は、ハッキング・グループに関する国際的な捜査の結果、起訴されたとのことだ。
Continue reading “ロンドン市警の声明:Lapsus$ のメンバーとされる少年たちを逮捕/起訴した”Vulnerabilities in Rockwell Automation PLCs Could Enable Stuxnet-Like Attacks
2022/04/01 DarkReading — Rockwell Automation の Programmable Logic Controller (PLC) を、研究者たちが分析したところ、オートメーション・プロセスを変更する方法を攻撃者に提供することで、産業工程を中断し、工場に物理的損害を与えるなどの、悪意の行動を許す可能性のある、2つの深刻な脆弱性が発見された。
今週に、それらの脆弱性を発見した Claroty Team82 の研究者たちによると、攻撃者は異常な動作を検知されることなく、PLC 上で悪意のコードを実行できることから、Stuxnet 的な性質があるとされる。Rockwell Automation は、この2つの欠陥に関するアドバイザリを発表し、顧客に提供している。一連のアドバイザリには here と here からアクセスできるが、アカウントが必要となる。
Continue reading “Rockwell の PLC に深刻な脆弱性:検知されずに物理的に影響をおよぼす Stuxnet タイプか?”Trend Micro fixes actively exploited remote code execution bug
2022/04/01 BleepingComputer — 日本のサイバー・セキュリティ企業である Trend Micro は、製品管理コンソールである Apex Central に存在する、任意のリモート・コード実行を攻撃者に許してしまう、深刻度の高いセキュリティ不具合にパッチを適用した。Apex Central とは、ネットワーク上の展開された Trend Micro 全体の製品およびサービスを、システム・アドミニストレータが管理するための Web ベース・コンソールである。このコンソールを使用すると、事前にスケジュールされたアップデートにより、各種のコンポーネントを展開することが可能になる。
Continue reading “Trend Micro の Apex Central における RCE の脆弱性 CVE-2022-26871 がFIX”Viasat confirms satellite modems were wiped with AcidRain malware
2022/03/31 BleepingComputer — 2022年2月24日に発生した、KA-SAT 衛星ブロードバンド・サービスを標的とした攻撃では、SATCOM ルーター/モデムを消去するデータワイパー・マルウェアが投入され、ウクライナで数千人が、ヨーロッパ全体では数万人が影響を受けたという。SentinelOne の研究者たちが AcidRain と名付けた、このマルウェアはデバイスのファイル名にブルートフォースを仕掛け、見つかった全てのファイルを消去するよう設計されており、今後の攻撃でも容易に再展開できる。
Continue reading “Viasat 衛星ブロードバンド・サービスを攻撃する AcidRain マルウェアとは?”LAPSUS$ Claims to Have Breached IT Firm Globant; Leaks 70GB of Data
2022/03/30 TheHackerNews — データ強奪組織である Lapsus$ は、1週間の休暇後に Telegram で復帰を発表し、ソフトウェア・サービス企業の Globant のデータだと主張するものを流出させた。このグループは、54,000人のメンバーを有する Telegram チャンネルに、「我々は正式に休暇から戻ってきた」と書き込み、Globant の DevOps インフラに属するとされる、抽出されたデータと認証情報の画像を掲載した。
Continue reading “Lapsus$ の犯行声明:IT 企業 Globant のデータ 70GB を流出させた”New Spring Java framework zero-day allows remote code execution
2022/03/30 BleepingComputer — Framework Spring Core の新たなゼロデイ脆弱性 Spring4Shell が公開され、それを利用するアプリケーション上で、未認証のリモートコード実行が可能になることが明らかにされた。Spring は、エンタープライズ・レベルの機能を持つ Java アプリケーションを、迅速かつ容易に開発できるようにするため、ソフトウェア開発者にとって極めて人気の高いアプリケーション・フレームワークである。それらのアプリケーションは、必要な依存関係をすべて備えたスタンドアロン・パッケージとして、Apache Tomcat などのサーバーにディプロイできる。
Continue reading “Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963:RCE 防御のための緩和策”Log4j Attacks Continue Unabated Against VMware Horizon Servers
2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。
今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。
Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”Subdomain takeover attacks on the rise and harder to monitor
2022/03/29 HelpNetSecurity — Detectify の調査によると、サブドメインの乗っ取りが増加傾向にあるが、現時点において、それらのドメインには多くの脆弱性があり、また、監視が難しくなっていることが判明した。Detectify は、2021年と 2020年の比較において、顧客の Web 資産の脆弱性が 25% 増となり、ドメインあたりの脆弱性数の中央値は2倍になったとしている。そして、組織のサイバー・セキュリティ・プログラムに対して、EASM (External Attack Surface Monitoring) ツールが提供する有用性が実証されたと述べている。
Continue reading “サブドメインの乗っ取りが増加:クラウド台頭によりエスカレートしている”A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages
2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに1つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。
Continue reading “悪意の NPM パッケージを量産:サプライチェーン攻撃のための驚異のシステム”CISA warns orgs to patch actively exploited Chrome, Redis bugs
2022/03/28 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対し、野放し状態で積極的に悪用されている Google Chome のゼロデイと、Redis の深刻な脆弱性に対して、3週間以内にパッチするよう命じた。金曜日に公開された Google アドバイザリによると、Chrome のゼロデイ脆弱性 CVE-2022-1096 は、Chrome V8 JavaScript エンジンに存在するタイプ・コンフュージョンであり、脅威者に対して標的デバイス上で任意のコード実行を許す可能性があるとのことだ。
Continue reading “CISA 警告:Chrome/Redis などの 32 件の脆弱性を悪用リストに追加”Anonymous Claimed Data Leak to Force Nestlé Out of Russia
2022/03/28 SecurityBoulevard — プーチン大統領がウクライナへの無謀な侵攻を開始してからというもの、世界中の多国籍企業が自主的にロシアでの事業から撤退したが、ハッカー集団 Anonymous は、それに追随しない企業の背中を押そうと決意している。最近の Anonymous は、食品大手 Nestlé を攻撃し、顧客のデータ/電子メール/パスワードを流出させ、ロシアでビジネスを続けている他の企業に対して、次はアナタたちの番だと警告している。
Continue reading “Anonymous が Nestlé を脅迫:ロシアから撤退しないとデータをリークする”Hive ransomware ports its Linux VMware ESXi encryptor to Rust
2022/03/27 BleepingComputer — ランサムウェア Hive は、VMware ESXi Linux 用の暗号化ツールを、Rust プログラミング言語で書き換え、セキュリティ研究者による身代金交渉のチェックを、難しくするための新機能を追加した。企業における仮想マシンへの依存度は、コンピュータ・リソースの節約/サーバの統合/バックアップの容易化などのニーズの中で高まっているが、このランサムウェア集団は、それらのサービスに特化した専用の暗号化ツールを作成している。
Continue reading “Hive が Linux VMware ESXi 暗号化ツールを Rust に移植:解析と分析が困難に”Another Chinese Hacking Group Spotted Targeting Ukraine Amid Russia Invasion
2022/03/26 TheHackerNews — 先月のロシアによるウクライナ侵攻が始まってから、ウクライナを標的とする、複数のキャンペーンが立ち上がっている。その一環として、中国語を話す Scarabという脅威アクターが、HeaderTip と呼ばれるカスタム・バックドアを仕掛けているが、この紛争に関連する中国ベースのハッキング・グループとしては、Mustang Panda に続いて2つ目となる。SentinelOne の研究者である Tom Hegel は、今週に発表されたレポートの中で、「この悪質な活動は、侵攻が始まって以来、中国の脅威者がウクライナを標的とした最初の公的事例の 1 つとなるものだ」と述べている。
Continue reading “ロシアの侵略:ウクライナを標的にする中国のハッキング・グループ Scarab”Kaspersky added to FCC list that bans Huawei, ZTE from US networks
2022/03/25 CyberScoop — 金曜日に連邦通信委員会 (FCC) は、ロシアに本拠を置くサイバー・セキュリティ大手 Kaspersky を、米国の国家安全保障にとって受け入れがたいリスクをもたらす企業の、対象リストに追加した。この決定により、実質的に Kaspersky は、このリストが始まった 2021年に最初にリストに追加された、中国の通信ハードウェア・メーカーである Huawei や ZTE と同じクラスに入ることになる。
Continue reading “Kaspersky が FCC の禁止リストに追加:Huawei や ZTE と同じクラスに分類”Russian Nationals Indicted for Epic Triton/Trisis and Dragonfly Cyberattacks on Energy Firms
2022/03/25 DarkReading — 今日、米国政府は、2012年から2018年にかけて、世界のエネルギー分野を標的とした、2つの大規模な産業システム・サイバー攻撃キャンペーンを行った疑いで、ロシア政府のために働くロシア人4人を起訴するという、2021年に下された超大型起訴状を初公開した。
Continue reading “エネルギー分野への攻撃:米政府がロシアの国家支援ハッカーを起訴”Honda bug lets a hacker unlock and start your car via replay attack
2022/03/25 BleepingComputer — 研究者たちは、Honda と Acura の一部の車種に影響をおよぼすリプレイ攻撃の脆弱性を公表した。この脆弱性により、車両の近くにいるハッカーは車のロックを解除し、エンジンを始動させることさえ可能になる。この攻撃は、キーフォブから車に送信される RF 信号を脅威者が捕捉し、その信号を再送信して車のリモート・キーレス・エントリー・システムを制御するものだ。研究者たちによると、この脆弱性は、ほとんどの古いモデルでは修正されていないとのことだ。しかし、ホンダのオーナーは、この攻撃から身を守るために、何らかの行動を起こすことができるかもしれない。
Continue reading “Honda の車両にバグ:リプレイ攻撃によりロック解除からエンジン始動まで”Cyber Insurance and War Exclusions
2022/03/24 DarkReading — サイバー保険は、通常、「戦争排除」または「敵対行為排除」の文言を組み込んでいる。基本的に保険会社は、戦争行為を防御できないという文言である。2022年 Q1 において、すでにサイバー保険市場は戦争排除条項を強化し、補償を拒否するようになっていた。ロシアによるウクライナ侵攻、そして予想されるサイバー攻撃の影響を考慮し、セキュリティ専門家は補償のギャップを判断するために、サイバー保険の補償内容を見直す必要がある。
Continue reading “サイバー保険の現状:ウクライナ侵攻と戦争免責の関係は慎重に考えるべき”FBI: Ransomware hit 649 critical infrastructure orgs in 2021
2022/03/23 BleepingComputer — FBI は、Crime Complaint Center (IC3) の 2021 Internet Crime Report を引用するかたちで、昨年には米国の複数の重要インフラ部門の少なくとも 649 組織が、ランサムウェアによりネットワークを侵害されたと発表した。ただし FBI は、重要インフラ分野で報告されたランサムウェア・インシデントの追跡が、2021年6月に開始されていることから、実際の数字は増大するはずだと述べている。また FBI は、Crime Complaint Center (IC3) に被害者が苦情を申し立てなかった場合も、その攻撃は統計に含まれないとしている。
Continue reading “FBI レポート:2021年のランサムウェアは重要インフラ 649 件を攻撃”Qihoo 360 says US NSA is behind hacking group that has stolen Chinese data
2022/03/23 SCMP — 米国の制裁対象となっている、中国のサイバー・セキュリティ企業の主張は、米国政府の支援を受けたハッカー集団が、10年以上にわたって中国を攻撃しているというものだ。中国の起業家 Zhou Hongyi が設立した Qihoo 360 は、APT-C-40 と呼ばれるハッキンググループが米国政府と提携しており、過去10年にわたり中国の大手企業/政府/研究機関/インフラをひそかに攻撃していると、最近の報告書で述べている。
Continue reading “Qihoo 360 の主張:中国からデータを盗み出すハッカーの背後に米 NSA がいる”White House issues call to action in light of new intelligence on Russian cyberthreat
2022/03/21 CyberScoop — 月曜日にバイデン政権は、国内インフラへのロシアからのサイバー攻撃の可能性が迫っていることを踏まえ、既知の脆弱性に対処し、サイバー防御を強化するよう民間企業に改めて呼びかけた。月曜日の記者会見で、ホワイトハウスの国家安全保障顧問である Anne Neuberger は、「この最新の警告は、進化する脅威情報に基づき、ロシア政府が米国の重要インフラに対するサイバー攻撃の可能性を模索している」ことを明らかにした。
Continue reading “ホワイトハウスからの要請:ロシアからのサイバー攻撃に備える体制が必要”Ukrainian Security Researcher Leaks Newer Conti Ransomware Source Code
2022/03/21 SecurityWeek — ロシアがウクライナ侵攻を開始した直後に、ランサムウェア・グループ Conti はロシアへの攻撃の報復として、ロシアの敵国の重要インフラを攻撃する用意があると声明を発表した。これを受けて、匿名の人物が Conti Leaks という Twitter アカウントを開設し、このランサムウェアから盗んだとされるファイルの公開を開始した。最初のリーク情報は、過去1年間に Conti のメンバー間で交わされたメッセージだった。
Continue reading “ウクライナの研究者の反撃:Conti の最新ソースコードが新たにリークされる”Lapsus$ gang claims to have hacked Microsoft source code repositories
2022/03/21 SecurityAffairs — Microsoft は、サイバー犯罪組織 Lapsus$ が社内の Azure DevOps ソースコード・リポジトリに侵入し、データを盗み出したという主張を調査していると発表した。この数ヶ月の間に、Lapsus$ は NVIDIA/Samsung/Ubisoft/Mercado Libre/Vodafone といった有名企業にも侵入している。
Continue reading “Lapsus$ ランサムウェアの主張:Microsoft のコード・リポジトリに侵入した”Anonymous leaked data stolen from Russian pipeline company Transneft
2022/03/20 SecurityAffairs — Anonymous の主張は、ロシアに本拠を置く国営石油パイプライン会社 Transneft の、社内研究開発部門である Omega Company をハッキングしたというものだ。Transneft は世界最大の石油パイプライン会社であり、ハッカーたちは 79GB の電子メールを盗み出し、非営利の内部告発組織 Distributed Denial of Secrets のリークサイトに公開した。ロシアによるウクライナ侵攻が続き、罪のない人々が亡くなっている中で、Anonymous はロシアの政府機関や民間企業を標的にしている。
Continue reading “Anonymous がロシア国営石油パイプラインを攻撃:機密情報をリークサイトで公開”EU and US agencies warn that Russia could attack satellite communications networks
2022/03/20 SecurityAffairs — 衛星通信ネットワーク (SATCOM) は、現代社会にとって重要なインフラであり、米国 とEU の機関は、それに対する脅威の可能性を警告している。ウクライナの国家特殊通信情報保護局 (SSSCIP) の Chief Digital Transformation Officer である Victor Zhora は、VIASAT 攻撃について、「まさに戦争の始まりであり、本当に深刻な通信の損失だった」と述べている。紛争が続く中、European Union Aviation Safety Agency (EASA) は、ウクライナ紛争地域付近における Global Navigation Satellite Systems (GNSS) の断続的な停止について警告を発した。
Continue reading “CISA/FBI/EU の警告:ロシアによる衛星通信ネットワークの破壊は可能”How prepared are organizations to face a ransomware attack on Kubernetes?
2022/03/18 HelpNetSecurity — Veritas Technologies の新しい調査結果により、大半の組織が Kubernetes 環境において、直面する脅威対する準備が不十分であることが明らかになった。Kubernetes の急速な導入が、世界中の組織のミッション・クリティカルな環境で進んでいる。それらの組織の 86% が、今後2~3年の間に、この技術の導入を想定している。
Continue reading “Kubernetes を悪用するランサムウェア:Veritas の調査から見えてくるもの”Google Uncovers ‘Initial Access Broker’ Working with Conti Ransomware Gang
2022/03/18 TheHackerNews — Google の Threat Analysis Group (TAG) は、ロシアのサイバー犯罪組織である Conti や Diavol などと密接に関係しているとされる、新たなイニシャル・アクセス・ブローカーの情報を公表した。この Exotic Lily と名付けられた脅威アクターは、Microsoft Windows の MSHTML プラットフォームに存在する、修正済みの深刻な脆弱性 CVE-2021-40444 を悪用し、世界 の 650 の標的組織に対して、1日に 5000通以上のビジネス提案をテーマにした電子メールを送信する、フィッシング・キャンペーンを広く展開していると確認されている。
Continue reading “Google が追跡:Conti/Diavol と連携するアクセス・ブローカー Exotic Lily”Google: Chinese state hackers target Ukraine’s government
2022/03/18 BleepingComputer — Google の Threat Analysis Group (TAG) によると、人民解放軍 (PLA) を含む中国情報機関が、ロシアによるウクライナ侵攻について、より多くの情報を得ようとして動き回っているようだ。Google TAG の Security Engineer である Billy Leonard によると、中国が支援するハッキング・グループの標的となったウクライナ政府機関に対して、Google から通知が行われているようだ。
Continue reading “Google 警告:中国の国家支援ハッカーたちがウクライナ政府を狙っている”Microsoft Releases Open Source Tool for Securing MikroTik Routers
2022/03/17 SecurityWeek — TrickBot は、2016年から出回っているマルウェアである。当初は金融データを盗むために設計されたバンキング・トロイの木馬だったが、現在では幅広い情報を狙うことができる、モジュール型の情報窃取マルウェアへと進化している。研究者の中には、このマルウェアは限界に達しており、利用可能な膨大な IoC により簡単に検出できるようになったことで、その開発チームはランサムウェア・グループの Conti により買収されたと考える者もいる。
Continue reading “Microsoft が Trickbot 対策オープンソース・ツールを公表: MikroTik ルーターをスキャン”New Variant of Russian Cyclops Blink Botnet Targeting ASUS Routers
2022/03/17 TheHackerNews — ASUS ルーターが、Cyclops Blink と呼ばれる新たなボットネットのターゲットとして浮上してきた。このマルウェアは、侵害したネットワークへのリモート・アクセスを取得する足がかりとして、WatchGuard ファイアウォール・アプライアンスを悪用したことが明らかになってから、約1ヶ月後のことである。
Trend Micro が発表した新しいレポートによると、このボットネットの主な目的は、価値の高いターゲットに対するさらなる攻撃のための、インフラを構築することである。ただし、感染した全てのホストについて調べたところ、重要な経済/政治/軍事などの組織は標的にしていないことが判明している。
New Unix rootkit used to steal ATM banking data
2022/03/17 BleepingComputer — 金銭的な動機を持つハッカー LightBasin の活動を追う脅威アナリストたちは、このグループが ATM から銀行データを盗み、不正な取引を行うために使用している、未知の Unix rootkit を発見したと報告した。このハッカー集団は、2020年にマネージド・サービス・プロバイダーを危険にさらし、そのクライアントを犠牲にしていることが確認されているが、最近ではカスタム・インプラントを用いて、通信会社をターゲットにしているようだ。
Continue reading “Unix で新たな rootkit が発見:Oracle Solaris に展開され ATM データを操作”TrickBot Malware Abusing MikroTik Routers as Proxies for Command-and-Control
2022/03/17 TheHackerNews — 水曜日に Microsoft は、マルウェア TrickBot について、これまで発見されていなかった、IoT デバイスを仲介した Command and Control (C2) サーバーとの、通信の確立に関する詳細な手法を発表した。Microsoft の Defender for IoT Research Team and Threat Intelligence Center (MSTIC) は、「TrickBotは、C2 サーバーのプロキシ・サーバーとして MikroTik ルーターを使用し、標準以外のポート経由でトラフィックをリダイレクトすることで、標準セキュリティ・システムによる検出から悪質な IP を回避させる、別の永続層を追加している」と述べている。
Continue reading “TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる”Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion
2022/03/17 TheHackerNews — ロシアのウクライナ侵攻に抗議するために、人気の NPM パッケージ node-ipc の開発者が新バージョンを出荷したが、そのことで、オープンソースとソフトウェア・サプライチェーンにおけるセキュリティへの懸念が高まっている。この変更は、ライブラリの Ver 10.1.1/10.1.2 に影響するものだが、そのメンテナである RIAEvangelist による望ましくない動作を導入し、ロシアおよびベラルーシの IP アドレスを持つユーザーをターゲットにして、任意のファイルのコンテンツを消去し、ハートの絵文字に置き換えるものになっている。
Continue reading “人気の NPM Package が抗議活動:ファイル破壊などでロシア/ベラルーシを狙い撃ち”Europe warns of aircraft GPS outages tied to Russian invasion
2022/03/17 BleepingComputer — EU における航空の安全および環境保護を管轄する European Union Aviation Safety Agency (EASA) は、ロシアによるウクライナ侵攻に関連して、Global Navigation Satellite Systems (GNSS) に影響を及ぼす、断続的な障害が発生していることについて、今日に警告を発した。
一連の GNSS の停止は、ウクライナ周辺で激化している妨害や、スプーフィング問題の可能性により、航行や監視の劣化につながる可能性を生じる。ロシアが2月24日にウクライナに侵攻して以来、カリーニングラード地域/東フィンランド/黒海/東地中海地域において、衛星ナビに対するスプーフィングやジャミングの件数が拡大していると、Eurocontrol やオープンソースのデータ報告に基づき、EASA は警告している。
Continue reading “欧州各国が警告:ロシアのウクライナ侵攻に伴う GPS 停止が相次いでいる”Hacker breaches key Russian ministry in blink of an eye
2022/03/16 SecurityAffairs — 匿名を望む Spielerkid89 は、組織に危害を加えるつもりはなく、システムに触れることもない。しかし、彼の実験は、サイバー・ハイジーン衛生が悪いと、サイバー攻撃に弱い組織になることを示す好例である。ロシアによる国家主導のサイバー攻撃は、クレムリンが敵とみなす何十万人もの人々を、水も電気も使えない状態に陥れるという、壊滅的な被害をもたらす。しかし、この超大国の不正なサイバー能力は、ウクライナにおける軍事的姿勢と同様に脆弱であり、反撃に遭った場合には、その弱さを示すことになる。
Continue reading “あるハッカーによる調査:簡単に侵入できるロシア政府組織のネットワーク”US Warns About Russian Attacks Exploiting MFA Protocols, PrintNightmare Flaw
2022/03/16 SecurityWeek — 3月2日に、米国 Cybersecurity and Infrastructure Security Agency (CISA) と FBI は、ロシアの国家に支援された脅威アクターが、デフォルトの多要素認証 (MFA) プロトコルと、PrintNightmare と呼ばれる Windows の脆弱性を悪用して、ネットワークやシステムに不正にアクセスしていると、各組織に警告を発した。この正体不明の脅威グループは、早ければ 2021年5月に NGO を標的とし、デフォルトの MFA プロトコル上に構成された、誤った設定のアカウントを悪用し、被害者のネットワークにアクセスしたとのことだ。
Continue reading “CISA/FBI 警告:MFA プロトコルと PrintNightmare を悪用するロシアからの攻撃”OpenSSL cert parsing bug causes infinite denial of service loop
2022/03/16 BleepingComputer — OpenSSL が公開したセキュリティ・アップデートは、そのライブラリの脆弱性を悪用により無限ループ関数が作動し、サービス拒否状態に陥るという脆弱性に対処するためのものである。サービス拒否攻撃は、最も悲惨なセキュリティ問題ではないかもしれないが、重要な事業の中断/長期的な財務的影響、ブランド評価の低下などを引き起こす可能性が生じる。
Continue reading “OpenSSL 証明書解析の脆弱性 CVE-2022-0778 が FIX:サービス拒否が発生”IOCs vs. IOAs — How to Effectively Leverage Indicators
2022/03/16 SecurityIntelligence — サイバーセキュリティ・チームは、サイバー・セキュリティ攻撃/敵対的行動/高度持続的脅威 (APT)、そして、恐ろしいゼロデイ脆弱性の特定を任務としている。この取り組みを通じて、サイバーセキュリティ担当者と運用チームは、効果的な監視/検出/対応の戦略において Indicators of Compromise (IOC) と Indicators of Attack (IOA) を適切に活用することに、同じ苦労を抱えている。
Continue reading “サイバー・セキュリティの指標:IOC と IOA の違いと活用方法”CISA adds 15 vulnerabilities to list of flaws exploited in attacks
2022/03/16 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、積極的な悪用が認められる脆弱性のリストに、さらに 15件の不具合を追加した。これらのアドバイザリは、セキュリティ更新プログラムを適用していないシステム管理者の注意を喚起し、優先的な対応を促すことを目的としている。一連の欠陥をターゲットにする脅威アクターが確認されているため、これらの問題に対処しないと、ネットワークが侵害され、データ漏洩やランサムウェア攻撃につながる可能性がある。
Continue reading “CISA 警告:Microsoft ゼロデイを含む 15件の脆弱性を悪用リストに追加”New Linux botnet exploits Log4J, uses DNS tunneling for comms
2022/03/15 BleepingComputer — 最近のことだが、Linux システムを標的とするボットネットが発見された。それにより一般的なユーザーが、ルートキットをインストールされ、リバースシェルを作成され、Webトラフィックのプロキシとして機能し、機密情報を盗むボット軍団に巻き込まれる可能性が生じる。このマルウェアは、Linux ARM/X64 CPU アーキテクチャ・デバイスの攻撃に特化されたものであり、Qihoo 360 の Network Security Research Lab (360 Netlab) により B1txor20 と名付けられている。
Continue reading “Log4j 脆弱性を悪用する Linux ボットネット:DNS トンネリングを巧みに操る”Massive phishing campaign uses 500+ domains to steal credentials
2022/03/15 BleepingComputer — Google ライクな、韓国のオンラインプ・ラットフォーム Naver の認証情報を盗むために、数百のドメインを用いる大規模なフィッシング活動は、TrickBot ボットネットに関連するインフラとの重複を示している。この攻撃に使用されたリソースは、さまざまな攻撃に使用するためにログイン・データを収集する、サイバー犯罪者の取り組みの規模が大きいことを示している。Google と同様に、Naver は Web 検索から、電子メールや、ニュース、オンライン Q&A である Naver Knowledge iN に至るまで、多様なサービスを提供している。
Continue reading “韓国の Naver が狙われている:大規模なフィッシングを仕掛けるのは TrickBot か?”Thousands of Secret Keys Found in Leaked Samsung Source Code
2022/03/15 SecurityWeek — 先日に流出した Samsung のソースコードを分析した結果、数千の秘密鍵が公開されており、悪意の行為者にとって非常に有用な鍵も、その中には多数含まれていることが明らかになった。この分析は、Git のセキュリティ・スキャンと秘密検出を専門とする、GitGuardian により行われた。同社の研究者たちは、Lapsus$ と名乗るサイバー犯罪グループが、先日に流出させたソースコードに注目した。
Continue reading “Samsung から流出したソースコード:数 1000 の機密情報が含まれている”New CaddyWiper data wiping malware hits Ukrainian networks
2022/03/15 BleepingComputer — 今日の未明に発生した、ウクライナの組織を標的とした攻撃で、侵入されたネットワーク上のシステム全体のデータが削除されたが、そこで発見されたのは新たなデータ破壊マルウェアである。ESET Research Labs は、「この新しいマルウェアは、接続されたドライブからユーザー・データやパーティション情報を消去する。ESET のテレメトリー測定によると、限られた組織の数十台のシステムで被害が確認されている」と述べている。
Continue reading “CaddyWiper という新たなデータワイパー:ウクライナのネットワークを攻撃”
IoT OT Security News 
You must be logged in to post a comment.