Tag: Deep Instinct

Windows UI Framework を悪用する新たな脅威:EDR ツールを回避する可能性

New Malware Technique Could Exploit Windows UI Framework to Evade EDR Tools

2024/12/11 TheHackerNews — Akamai の研究者が発見した新たなマルウェア手法は、UIA (UI Automation)と呼ばれる Windows のアクセシビリティ・フレームワークを悪用し、EDR (endpoint detection and response) ソリューションに検知されることなく、広範な悪意のアクティビティを可能にするものだ。同社のセキュリティ研究者である Tomer Peled は、「この手法を悪用する攻撃者は、UI Automation を使用するプログラムの実行を、ユーザーに事前に承諾させる必要がある。そうすることで、ステルス・コマンドの実行が可能となり、機密データの収集/フィッシング・サイトへのリダイレクトなどが試行されていく」と、The Hacker News に共有されたレポートで述べている。

Continue reading “Windows UI Framework を悪用する新たな脅威:EDR ツールを回避する可能性”

Windows Installer を悪用する DCOM 攻撃:バックドアをステルス展開

New DCOM Attack Exploits Windows Installer for Backdoor Access

2024/12/11 HackRead — Microsoft の DCOM (Distributed Component Object Model) を悪用し、標的の Windows システムにバックドアをステルス展開するという新たな強力な攻撃手法が、Deep Instinct のサイバーセキュリティ研究者たちにより発見された。この攻撃手法は、Windows Installer サービスを悪用して、カスタム DLL をリモートで書き込み、アクティブなサービス内にロードし、任意のパラメータで実行するというものだ。なお、DLL (Dynamic Link Library) とは、複数のプログラムで共有されるコード/データ/リソースを含む Windows ファイルである。

Continue reading “Windows Installer を悪用する DCOM 攻撃:バックドアをステルス展開”

Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避

Hackers Can Exploit Windows Container Isolation Framework to Bypass Endpoint Security

3023/08/30 TheHackerNews — マルウェア検出回避テクニックを活用する脅威アクターたちが、Windows Container Isolation Framework を操作することで、エンドポイント・セキュリティ・ソリューションを回避できる可能性が、新たな調査により判明した。この調査結果は、Deep Instinct のセキュリティ研究者である Daniel Avinoam が、8月の初めに開催された DEF CON セキュリティ・カンファレンスで発表したものだ。Microsoft のコンテナ・アーキテクチャ (Windows Sandbox) は、動的に生成されるイメージと呼ばれるものを用いて、それぞれのコンテナとホストの間でファイル・システムを分離し、また、システム・ファイルの重複を回避するものだ。

Continue reading “Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避”

Windows SYSTEM 権限を取得する3つのテクニック:Filtering Platform の悪用方法とは?

New stealthy techniques let hackers gain Windows SYSTEM privileges

2023/08/23 BleepingComputer — セキュリティ研究者たちが、Windows Filtering Platform を利用して、Windows の最高権限レベルである SYSTEM にまで、ユーザー権限を昇格させるツール NoFilter をリリースした。このユーティリティは、感染させたデバイスにログインしている正規ユーザのアカウントを用いた、より高い権限での悪意のコード実行や、ネットワーク上での横方向への移動といった、攻撃者による悪用シナリオの追跡に有用なものとなる。

Continue reading “Windows SYSTEM 権限を取得する3つのテクニック:Filtering Platform の悪用方法とは?”

Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用

Stealthier version of Linux BPFDoor malware spotted in the wild

2023/05/11 BleepingComputer — Linux マルウェアである BPFDoor で、高ステルス性の新たな亜種が発見された。このマルウェアの特徴は、より強固な暗号化とリバース・シェル通信を備えている点にある。BPFDoor はステルス性の高いバックドア・マルウェアであり、遅くとも 2017年から活動していたと見られているが、セキュリティ研究者により発見されたのは、1年ほど前のことである。このマルウェアの名前は、Berkley Packet Filter  (BPF) を悪用して、受信トラフィックのファイアウォール制限を回避することに由来している。BPFDoor は、侵入した Linux システム上で、脅威アクターが長時間の持続性を維持し、長期間にわたって検出を回避するように設計されている。

Continue reading “Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用”

Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う

Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics

2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。

Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”

MyloBot ボットネットが全世界に拡大:毎日5万台以上のデバイスを感染させている

MyloBot Botnet Spreading Rapidly Worldwide: Infecting Over 50,000 Devices Daily

2023/02/21 TheHackerNews — MyloBot という高度なボットネットは、数千のシステムを侵害しており、その大半がインド/米国/インドネシア/イランなどに配置されている。 これは BitSight の最新の調査結果によるもので、現時点において、毎日 50,000 以上のユニークな感染システムが確認されているが、2020年の最高値である 250,000 のユニークなホストからは減少しているとのことだ。また、MyloBot のインフラの分析により、BHProxies と呼ばれる住宅用プロキシ・サービスへの接続が見つかり、侵害されたマシンが利用されていたことが判明した。

Continue reading “MyloBot ボットネットが全世界に拡大:毎日5万台以上のデバイスを感染させている”

Microsoft Visual Studio アドインを悪用するマルウェア:リモート配布を検知

Hackers weaponize Microsoft Visual Studio add-ins to push malware

2023/02/03 BleepingComputer — Microsoft Visual Studio Tools for Office (VSTO) を悪用するハッカーたちが、ターゲット・マシン上で悪意の Office アドインを用いて、持続性を維持しながらコードを実行する攻撃へと移行するだろうと、セキュリティ研究者たちが警告している。このテクニックは、Office 文書に VBA マクロを忍び込ませ、外部ソースからマルウェアを取得させる手法に代わるものだ。Microsoft が Office の VBA/XL4 マクロの実行を、デフォルトでブロックすると発表した以降において、脅威アクターたちがマルウェアを配布する手法は、アーカイブ (.ZIP、.ISO)/ショートカット (.LNK) ファイルに移行している。

Continue reading “Microsoft Visual Studio アドインを悪用するマルウェア:リモート配布を検知”

StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される

Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar

2023/01/13 TheHackerNews — StrRAT/Ratty などのリモート・アクセス型トロイの木馬は、ポリグロット と悪意の Java アーカイブ (JAR) ファイルの組み合わせで配布されており、検知を回避する新しい方法を、脅威アクターが継続的に発見していることを、改めて浮き彫りにしている。Deep Instinct のセキュリティ研究者 Simon Kenin のレポートには、「攻撃者たちは、JAR ファイル形式を適切に検証できないセキュリティ・ソリューションを混乱させるために、ポリグロット手法を使用している」と述べている。

Continue reading “StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される”

Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭

LockBit Dominates Ransomware Campaigns in 2022: Deep Instinct

2022/11/01 InfoSecurity — 2022年 Q1/Q2/Q3 におけるランサムウェア・キャンペーンでは、全体の 44% を LockBit RaaS グループが占めることになった。それに続くのが、Conti (23%)/Hive (21%)/Black Cat (7%)/Conti Splinters (5%) などであり、Quantum/Black Basta/Black Byte などの脅威アクター・グループで構成されるものだ。この数字は、Deep Instinct のレポートである 2022 Interim Cyber Threat Report をベースにしたものだ。

Continue reading “Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭”

Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している

Emotet Is Back and More Dangerous Than Before

2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。

Continue reading “Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している”