Windows 11 Privilege Escalation Flaws Uncovered: CVE-2025-24076 and CVE-2025-24994
2025/04/16 SecurityOnline — Microsoft Windows に存在する2つの権限昇格の脆弱性 CVE-2025-24076/CVE-2025-24994 が、Compass Security の研究者である John Ostrowski の分析結果により明らかになった。必要な権限を持たないユーザーであっても、これらの脆弱性を悪用することで、DLL ハイジャック攻撃を引き起こしり、ローカル SYSTEM レベルの権限を取得する可能性を手にするという。
Continue reading “Windows 11 の権限昇格の脆弱性 CVE-2025-24076/24994:DLL ハイジャックの PoC”AMD Ryzen Master Utility Vulnerable to DLL Hijacking (CVE-2024-21966)
2025/02/13 SecurityOnline — AMD Ryzen Master Utility で新たに発見された、脆弱性 CVE-2024-21966 (CVSS:7.3) の悪用に成功した攻撃者は、影響を受けるシステムで権限を昇格を達成し、任意のコード実行の可能性を手にする。この脆弱性は、Ryzen Master Utility において、DLL の動的ロードを防止できないことに起因している。
Continue reading “AMD Ryzen Master Utility の脆弱性 CVE-2024-21966 が FIX:DLL ハイジャックの恐れ”Activation Context Hijacking: “Eclipse” PoC Weaponizes Trusted Processes
2024/12/08 SecurityOnline — BlackArrow のレッド チーム・オペレーターである、Kurosh Dabbagh Escalante が発表したのは、Eclipse という名の PoC ツールである。この Eclipse は、Activation Contexts ハイジャックと呼ばれる手法をエミュレートするものであり、ターゲット・プロセス内での任意の DLL のロード/実行を達成する。Escalante は、このツールを “DLL サイドローディング + DLL プロキシのより柔軟な代替手段” と表現し、信頼されたプロセスに任意のコードを挿入するという点で、幅広い用途があると述べている。
Continue reading “DLL サイドローディングをエミュレート:Eclipse でコンテキスト・ハイジャック”Elpaco Ransomware: A New Threat Actor Leverages CVE-2020-1472 for Global Attacks
2024/11/27 SecurityOnline — 洗練されたランサムウェアの亜種 Elpaco が、Mimic ランサムウェア・ファミリーの進化形とし登場したことを、Kaspersky Labs が発表した。この高度なマルウェアは、多数のカスタマイズ機能を備えており、既知の脆弱性と正規のソフトウェア・ツールを悪用しながら密かに操作を実行し、世界中の被害者をターゲットにしている。
Continue reading “RDP の脆弱性 CVE-2020-1472 がターゲット:Elpaco ランサムウェアの活動が捕捉された”Malware force-installs Chrome extensions on 300,000 browsers, patches DLLs
2024/08/09 BleepingComputer — 現時点において進行中の広範なマルウェア・キャンペーンにより、30万以上の Web ブラウザに悪意の Chrome/Edge エクステンションが強制インストールされ、ブラウザの実行ファイルが変更され、ホームページがハイジャックされ、閲覧履歴が盗まれるという被害が発生している。問題のインストーラーとエクステンションは、通常ウイルス対策ツールでは検出されないものであり、感染したデバイス上でのデータ窃取やりコマンド実行を試行するよう設計されているという。このキャンペーンを発見した ReasonLabs の研究者たちが警告するのは、初期感染を達成するために、その背後にいる脅威アクターが多様な不正広告テーマを採用している点である。
Continue reading “Chrome/Edge を狙うキャンペーン:エクステンションの弱点を突いて 30万台の DLL を侵害”PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338)
2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。
Continue reading “Windows Kernel の脆弱性 CVE-2024-21338 に PoC:2024年2月の月例パッチを確認!”Popular Text Editor Notepad++ Compromised in “WikiLoader” Malware Attack
2024/04/14 SecurityOnline — 広く使用されているテキスト・エディタ Notepad++ を標的とする巧妙なマルウェアキャンペーンが、AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちにより発見された。この WikiLoader と名付けられた攻撃は、現代の脅威アクターたちの驚くべき巧妙さと、一見すると信頼できるソフトウェアにさえ、リスクが存在することを示している。
Continue reading “Notepad++ を侵害する WikiLoader というマルウェア:DLL ハイジャックで C2 通信”From PDFs to Payload: Bogus Adobe Acrobat Reader Installers Distribute Byakugan Malware
2024/04/05 TheHackerNews —Adobe Acrobat Reader 用を装う偽インストーラーが、Byakuganという新たな多機能マルウェアの配布に使用されている。この攻撃の起点となるのは、ポルトガル語で書かれた PDF ファイルであり、それを開くと不鮮明な画像が表示され、コンテンツを閲覧するためには必要だと欺き、Reader アプリケーションをダウンロードするためのリンクを、クリックするよう被害者に要求するという。
Continue reading “偽の Adobe Acrobat Reader に注意:PDF から Byakugan マルウェアにつなげる攻撃とは?”Warning: DLL Hijacking in Modern Malware Campaigns
2024/02/25 SecurityOnline — サイバー・セキュリティの脅威において、DLL (Dynamic-link library) ハイジャッキングは、依然として脅威アクターたちの定番の手口となっている。この手法は、古くから存在しているにもかかわらず、マルウェアを展開するためのステルス的な通路を、いまだに脅威アクターたちに提供し続けている。それが浮き彫りにするのは、サイバー・セキュリティにおける、防衛者と攻撃者の間の軍拡競争である。Unit42 の最新レポートは、DLL ハイジャッキングの進化にスポットを当て、この永続的な脅威の複雑さを明らかにし、この攻撃範囲を軽減するための指針を提示している。
Continue reading “Unit42 調査:進化し続ける DLL ハイジャッキング”Hackers use VPN provider’s code certificate to sign malware
2023/08/19 BleepingComputer — Bronze Starlight として知られる中国系の APT (Advanced Persistent Threat) グループが、Ivacy VPN プロバイダーの有効な証明書で署名したマルウェアを用いて、東南アジアのギャンブル業界をターゲットにしていることが確認された。有効な証明書を悪用することの主なメリットは、セキュリティ対策やシステム・アラートによる検知を回避し、正規のソフトウェアやトラフィックに紛れ込める点にある。このキャンペーンを分析した SentinelLabs は、その証明書について、Ivacy VPN のシンガポールのベンダーである PMG PTE LTD のものだと見ている。
Continue reading “Bronze Starlight という中国の APT:Ivancy VPN の証明書をマルウェアの署名に悪用”Critical Zero-Days in Atera Windows Installers Expose Users to Privilege Escalation Attacks
2023/07/24 TheHackerNews — リモート監視/管理ソフトウェアである Atera の Windows インストーラーに、権限昇格のゼロデイ脆弱性が発見された。これらの脆弱性は、2023年2月28日に Mandiant により発見され、CVE-2023-26077/CVE-2023-26078 として追跡されており、Atera が 2023年4月17日にリリースした 1.8.3.7 と、2023年6月26日にリリースした 1.8.4.9 で、それぞれが修正されている。
Continue reading “Atera Windows インストーラのゼロデイ CVE-2023-26077/CVE-2023-26078:権限昇格攻撃の危険性”A Few More Reasons Why RDP is Insecure (Surprise!)
2023/07/20 TheHackerNews — Remote Desktop Protocol (RDP) が、ずっと昔から存在しているように見えるとしたら、わずか数年の間に栄枯盛衰を繰り返す多くのテクノロジーに比べて、それはそうだと納得できる。RDP 4.0 として知られる初期バージョンは、1996年に Windows NT 4.0 Terminal Server エディションの一部としてリリースされた。それにより、ネットワーク接続を介するユーザーが、Windows ベースのコンピューターにリモート・アクセスし、操作できるようになった。その後の数十年の間に、 RDP は Windows ベースのシステムにおける、リモート・アクセスや管理で広範に利用されるプロトコルとなった。RDP が果たす役割により、リモートワーク/IT サポート/システム管理などが実現されてきた。そして、さまざまなリモート・デスクトップや VDI (Virtual Desktop Infrastructure) ソリューションの基盤となっている。
Continue reading “RDP は便利だが RCE が怖い:脅威アクターたちが一点突破を狙う脆弱性とは?”Malicious PyPI Packages Use Compiled Python Code to Bypass Detection
2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”QBot malware abuses Windows WordPad EXE to infect devices
2023/05/27 BleepingComputer — マルウェア QBot による最近の活動だが、Windows 10 の WordPad プログラムの DLLハイジャック欠陥を悪用してコンピュータに感染し、正規のプログラムを用いることでセキュリティ・ソフトによる検出を回避し始めているようだ。DLL とは、複数のプログラムで同時に使用できる機能を取り込んだライブラリ・ファイルのことである。したがって、アプリケーションを起動すると、必要な DLL が読み込まれることになる。
Continue reading “QBot の新たなオペレーション:WordPad を悪用する DLL ハイジャックの手口とは?”Researchers Shed Light on CatB Ransomware’s Evasion Techniques
2023/03/20 TheHackerNews — CatB ランサムウェアのオペレーターは、検出を回避してペイロードを起動するために、DLL 検索順序ハイジャックと呼ばれる攻撃手法を使用していると確認されている。2022年末に出現した CatB99/Baxtoy とも呼ばれる CatB だが、Pandora という別のランサムウェア株の “進化形または直接的なリブランド” だと言われるのは、コード・レベルの類似性に関する分析が進んだ結果である。Pandora を使用してきたのは、Bronze Starlight (別名 DEV-0401/Emperor Dragonfly) だとされている。中国に拠点を置く、この脅威アクターは、真の目的を隠すために、短命のランサムウェア・ファミリーを採用することで知られている。
Continue reading “CatB ランサムウェアの検出回避テクニック:DLL 検索順序ハイジャックとは?”Trend Micro fixes bug Chinese hackers exploited for espionage
2022/05/24 BleepingComputer — Trend Micro が発表した内容は、中国の脅威グループが不正な DLL をサイドロードし、マルウェアを展開するために使用した、Trend Micro Security の DLL ハイジャック脆弱性に対するパッチ適用についてである。5月上旬に Sentinel Labs が明らかにしたように、Windows 上で動作するセキュリティ製品の高権限を悪用する攻撃者は、悪意を持って細工した独自の DLL をメモリ上にロードし、権限昇格とコードの実行を可能にしていたようだ。
Continue reading “Trend Micro の DLL ハイジャック脆弱性が FIX:中国の APT による悪用が生じていた?”
IoT OT Security News 