Discord – IoT OT Security News

PyPI に colorfool という悪意のパッケージが登場：情報スティーラー／RAT を配布

Experts Identify Fully-Featured Info Stealer and Trojan in Python Package on PyPI

2023/03/02 TheHackerNews — 完全な機能を備えた情報スティラーとリモート・アクセス型トロイの木馬を含む、悪意の Python パッケージが、PyPI (Python Package Index) にアップロードされていたことが判明した。この、colorfool と名付けられたパッケージは、Kroll の Cyber Threat Intelligence Team により発見され、このマルウェア自体は Colour-Blind と呼ばれている。Kroll の研究者である Dave Truman と George Glass は、「Colour-Blind マルウェアは、他から調達したコードから複数の亜種を生成する。つまり、サイバー犯罪の不偏化により、脅威が激化していく可能性を示している」と、The Hacker News と共有したレポートで述べている。

PureCrypter のキャンペーンの狙いは政府機関：AgentTesla などのマルウェアを配布

PureCrypter used to deliver AgentTesla to govt organizations

2023/02/27 SecurityAffairs — PureCrypter マルウェア・ローダーを使用し、政府機関を標的としたキャンペーンを展開する未知の脅威アクターを、Menlo Labs の研究者たちが発見した。このキャンペーンは、侵害した NPO のドメインを C2 サーバとして悪用して、Redline Stealer／AgentTesla／Eternity／Blackmoon／Philadelphia Ransomware などのマルウェアを配信し、セカンド・ステージ・ペイロードを展開しようとするものだ。専門家たちが発見したのは、アジア太平洋地域 (APAC) ／北米の複数の政府系組織に対する、複数のマルウェア配信の試みである

PyPI パッケージに潜む W4SP Stealer：あらゆる機密情報を盗み取る

Devs targeted by W4SP Stealer malware in malicious PyPi packages

2023/02/12 BleepingComputer — Python Package Index (PyPI) 上で発見された５つの悪意のパッケージは、無防備な開発者からパスワード／Discord 認証クッキー／暗号通貨ウォレットを盗み出すものだ。PyPI とは、プログラミング言語 Python で作成されたパッケージのためのソフトウェア・リポジトリであり、約 20万個のパッケージをホストしている。そのため、開発者は各種のプロジェクト要件を満たす、既存のパッケージを見つけることが可能となり、時間と労力を節約できる。

LofyGang という犯罪グループ：ソフトウェア・サプライチェーン攻撃への大規模な関与が判明

LofyGang Group Linked to Recent Software Supply Chain Attacks

2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、１年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード／一般的なパスワード窃盗ツール／Discord 専用の永続的マルウェアなどが含まれていたという。

Brute Ratel ポスト・エクスプロイト・キットのクラック版：残念なことに蔓延の兆し

Hackers now sharing cracked Brute Ratel post-exploitation kit online

2022/09/28 BleepingComputer — Brute Ratel のポスト・エクスプロイト・ツールキットがクラックされ、ロシア語圏と英語圏のハッキング・コミュニティで無料で共有されている。Brute Ratel C4 (BRC4) を知らない人のために説明すると、これは Mandiant と CrowdStrike の元レッドチーマーである、Chetan Nayak が作成したポスト・エクスプロイト・ツールキットのことである。

Electron ベース・アプリ 18種類に深刻な脆弱性： Teams／WhatsApp／Slack などに影響

Security Analysis Leads to Discovery of Vulnerabilities in 18 Electron Applications

2022/08/17 SecurityWeek — 各社の研究者チームが、Electron ベースのデスクトップ・アプリケーションを解析した結果、広く利用されている複数のソフトウェアに脆弱性が存在していることが判明した。Electron は、クロスプラットフォームのデスクトップ・アプリケーションを開発するための、無償で提供されるオープンソース・フレームワークである。たとえば、Microsoft Teams／WhatsApp／Slack といった、非常に人気の高いアプリケーションの構築にも利用されている。

PyPI に悪意のパッケージ：Discord を改ざんしてパスワードなどを盗み出す

Malicious PyPi packages turn Discord into password-stealing malware

2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。

25 種類の悪意の JavaScript ライブラリ：NPM 公式パッケージ・レジストリ

25 Malicious JavaScript Libraries Distributed via Official NPM Package Repository

2022/02/22 TheHackerNews — 悪意を持った 25種類の JavaScript ライブラリが、公式の NPM パッケージ・レジストリに新たに登録され。感染したシステムから Discord トークンや環境変数を盗みだそうとしている。DevOps セキュリティ企業である JFrog は、「問題のライブラリは typosquatting 技術を活用し、colors.js／crypto-js／discord.js／marked／noblox.js といった正規パッケージを装っているが、これらのパッケージは “ビギナー・マルウェア作者の作品” だ」と指摘している。

サイバー犯罪フォーラム Joker’s Stash が閉鎖：金融データの闇市場が大きく変化している

After Joker’s Stash shutdown, the market for stolen financial data looks a lot different

2021/12/20 CyberScoop — サイバー犯罪フォーラム Joker’s Stash が閉鎖されたことで、ダークウェブ上で取引される盗難ペイメントカード情報の市場全体に、持続性のある打撃が与えていると、研究者たちは指摘している。サイバー・セキュリティ企業である Group-IB によると、2020年半ばから2021年半ばにかけて、カーディング市場の規模は前年比で $1.9 billion から $1.4 billion に減少した。

ZLoader マルウェア亜種：TeamViewer フェイク広告から忍び込む

New Stealthier ZLoader Variant Spreading Via Fake TeamViewer Download Ads

2021/09/14 TheHackerNews — Google などの検索エンジンで、RDP (remote desktop) ソフトウェア TeamViewer を検索するユーザーは、気をつけないと悪意のリンクに誘導され、ZLoader マルウェアをシステムにドロップすることになる。その瞬間に、感染したデバイスに ZLoaderは留まり、セキュリティ・ソリューションによる検知を逃れ、ステルス性の高い感染チェーンを広げていく。