Tag: Deep Instinct

Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用

Stealthier version of Linux BPFDoor malware spotted in the wild

2023/05/11 BleepingComputer — Linux マルウェアである BPFDoor で、高ステルス性の新たな亜種が発見された。このマルウェアの特徴は、より強固な暗号化とリバース・シェル通信を備えている点にある。BPFDoor はステルス性の高いバックドア・マルウェアであり、遅くとも 2017年から活動していたと見られているが、セキュリティ研究者により発見されたのは、1年ほど前のことである。このマルウェアの名前は、Berkley Packet Filter  (BPF) を悪用して、受信トラフィックのファイアウォール制限を回避することに由来している。BPFDoor は、侵入した Linux システム上で、脅威アクターが長時間の持続性を維持し、長期間にわたって検出を回避するように設計されている。

Continue reading “Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用”

Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う

Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics

2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。

Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”

MyloBot ボットネットが全世界に拡大:毎日5万台以上のデバイスを感染させている

MyloBot Botnet Spreading Rapidly Worldwide: Infecting Over 50,000 Devices Daily

2023/02/21 TheHackerNews — MyloBot という高度なボットネットは、数千のシステムを侵害しており、その大半がインド/米国/インドネシア/イランなどに配置されている。 これは BitSight の最新の調査結果によるもので、現時点において、毎日 50,000 以上のユニークな感染システムが確認されているが、2020年の最高値である 250,000 のユニークなホストからは減少しているとのことだ。また、MyloBot のインフラの分析により、BHProxies と呼ばれる住宅用プロキシ・サービスへの接続が見つかり、侵害されたマシンが利用されていたことが判明した。

Continue reading “MyloBot ボットネットが全世界に拡大:毎日5万台以上のデバイスを感染させている”

Microsoft Visual Studio アドインを悪用するマルウェア:リモート配布を検知

Hackers weaponize Microsoft Visual Studio add-ins to push malware

2023/02/03 BleepingComputer — Microsoft Visual Studio Tools for Office (VSTO) を悪用するハッカーたちが、ターゲット・マシン上で悪意の Office アドインを用いて、持続性を維持しながらコードを実行する攻撃へと移行するだろうと、セキュリティ研究者たちが警告している。このテクニックは、Office 文書に VBA マクロを忍び込ませ、外部ソースからマルウェアを取得させる手法に代わるものだ。Microsoft が Office の VBA/XL4 マクロの実行を、デフォルトでブロックすると発表した以降において、脅威アクターたちがマルウェアを配布する手法は、アーカイブ (.ZIP、.ISO)/ショートカット (.LNK) ファイルに移行している。

Continue reading “Microsoft Visual Studio アドインを悪用するマルウェア:リモート配布を検知”

StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される

Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar

2023/01/13 TheHackerNews — StrRAT/Ratty などのリモート・アクセス型トロイの木馬は、ポリグロット と悪意の Java アーカイブ (JAR) ファイルの組み合わせで配布されており、検知を回避する新しい方法を、脅威アクターが継続的に発見していることを、改めて浮き彫りにしている。Deep Instinct のセキュリティ研究者 Simon Kenin のレポートには、「攻撃者たちは、JAR ファイル形式を適切に検証できないセキュリティ・ソリューションを混乱させるために、ポリグロット手法を使用している」と述べている。

Continue reading “StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される”

Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭

LockBit Dominates Ransomware Campaigns in 2022: Deep Instinct

2022/11/01 InfoSecurity — 2022年 Q1/Q2/Q3 におけるランサムウェア・キャンペーンでは、全体の 44% を LockBit RaaS グループが占めることになった。それに続くのが、Conti (23%)/Hive (21%)/Black Cat (7%)/Conti Splinters (5%) などであり、Quantum/Black Basta/Black Byte などの脅威アクター・グループで構成されるものだ。この数字は、Deep Instinct のレポートである 2022 Interim Cyber Threat Report をベースにしたものだ。

Continue reading “Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭”

Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している

Emotet Is Back and More Dangerous Than Before

2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。

Continue reading “Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している”