Microsoft Azure の CRFS 脆弱性 EmojiDeploy が FIX:RCE 攻撃の可能性

New Microsoft Azure Vulnerability Uncovered — EmojiDeploy for RCE Attacks

2023/01/19 TheHackerNews — Microsoft Azure に関連する複数のサービスに影響を及ぼす、新規かつ深刻なリモートコード実行 (RCE) の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者により、ターゲット・アプリケーションの完全な制御が可能になるようだ。Ermetic の研究者である Liv Matan は、The Hacker News と共有したレポートの中で、「ユビキタス SCM サービスである Kudu に、CRFS (Cross Site Request Forgery) の脆弱性が存在する。この脆弱性の悪用に成功した攻撃者は、ペイロードを含む悪意の ZIP ファイルを、被害者の Azure アプリケーションに展開できる」と述べている。

Continue reading “Microsoft Azure の CRFS 脆弱性 EmojiDeploy が FIX:RCE 攻撃の可能性”

Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成

Dark Pink APT Group Targets Governments and Military in APAC Region

2023/01/11 TheHackerNews — アジア太平洋地域における政府機関/軍事組織などが、未知の高度持続的脅威 (APT:Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に7つの攻撃を成功させた」と述べている。

Continue reading “Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成”

AnyDesk に大量の偽サイト:Vidar マルウェアを配布する 1,300 以上のドメイン

Over 1,300 fake AnyDesk sites push Vidar info-stealing malware

2023/01/10 BleepingComputer — AnyDesk の公式サイトを装う 1,300以上のドメインを用いて、情報スティーラー・マルウェア Vidar を仕込んだ Dropbox フォルダーへと、すべてのターゲットをリダイレクトさせる、大規模なキャンペーンが進行中だ。AnyDesk は、Windows/Linux/mac OS向けの、リモート・デスクトップ・アプリであり、セキュアなリモート接続/システム管理のために、世界中で数百万人が使用している。この人気から、AnyDesk は、マルウェア配布キャンペーンで頻繁に悪用されている。たとえば、2022年10月に、AnyDesk のフィッシング・サイトを利用する Mitsu Stealer のオペレーターが、新しいマルウェアをプッシュしていることを Cyble が報告している。

Continue reading “AnyDesk に大量の偽サイト:Vidar マルウェアを配布する 1,300 以上のドメイン”

Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント

Why Attackers Target GitHub, and How You Can Secure It

2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox/Gentoo Linux/Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。

Continue reading “Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント”

Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント

Ducktail information stealer continues to evolve

2022/11/23 SecurityAffairs — 2022年7月下旬に WithSecure (旧 F-Secure Business) の研究者たちが発見したのは、Facebook Business/Ads プラットフォームの組織/個人を標的とする、Ducktail という名の進行中のオペレーションだ。このキャンペーンの主体については、2018年から活動していると見られる、ベトナムの経済的な動機を持つ脅威アクターだと、専門家たちは考えている。この脅威アクターの主目的は、ターゲットの Facebook Business アカウントを乗っ取ることだ。

Continue reading “Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント”

Dropbox API を悪用する Worok:PNG に埋め込んだマルウェアでバックドアを展開

Worok Hackers Abuse Dropbox API to Exfiltrate Data via Backdoor Hidden in Images

2022/11/14 TheHackerNews — 最近に発見された Worokと呼ばれるサイバー・スパイ・グループは、無害に見える画像ファイルにマルウェアを隠していることが判明し、脅威アクターによる感染連鎖の重要なリンクになっていることが裏付けられた。 チェコのサイバー・セキュリティ企業である Avast は、この PNG ファイルの目的は、情報の窃盗を容易にするペイロードを隠すことだと述べている。同社は、「注目すべきは、Dropbox のリポジトリを使用する被害者のマシンからデータを収集し、最終段階での通信に Dropbox API を使用する攻撃者である」と述べている。

Continue reading “Dropbox API を悪用する Worok:PNG に埋め込んだマルウェアでバックドアを展開”

Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出

130 Dropbox code repos plundered after successful phishing attack

2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント/パスワード/支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。

Continue reading “Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出”

Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

Continue reading “Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心”

ロシアの国家支援 APT29 ハッキング・グループ:DropBox/Google を介してマルウェアを配布

Russian Hackers Using DropBox and Google Drive to Drop Malicious Payloads

2022/07/19 TheHackerNews — APT29 として知られるロシアの国家支援されたハッキング・グループが、Google Drive や Dropbox などの正規のクラウド・サービスを利用して、侵害したシステム上に悪意のペイロードを配信するという、新しいフィッシング・キャンペーンを立ち上げていることが判明した。

Continue reading “ロシアの国家支援 APT29 ハッキング・グループ:DropBox/Google を介してマルウェアを配布”

中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した

The return of TA402 Molerats APT after a short pause

2021/06/18 SecurityAffairs — TA402 APT グループ (別名:MoleratsGaza Cybergang) だが、2ヶ月間の活動停止の後に復活し、中東の政府機関や同地域に関心を持つグローバルな政府機関を標的としている。Molerats は、政治的な動機を持ちアラビア語を話すハッカー集団であり、2012年から活動している。2018年当時に同集団の活動を監視していた Kaspersky は、きわめて類似した攻撃手法を MENA 地域で発見した。

Continue reading “中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した”