Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている

Emotet Botnet Started Distributing Quantum and BlackCat Ransomware

2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service  (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。

Continue reading “Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている”

FormBook が8月のトップ・マルウェア:Emotet は5位に転落という急激な動き

FormBook Knocks Off Emotet As Most Used Malware in August

2022/09/14 InfoSecurity — FormBook が、現時点で最も多く発見されたマルウェアとなったが、2022年1月に再登場してからトップの座を守ってきた、Emotet を退けての結果である。 FormBook は、Windows OS を標的とする情報窃取ツールであり、認証情報の取得/スクリーン・ショットの収集/キーストローク監視/ログ取得などを行うものである。また、Command and Control (C&C) の命令に従ってファイルをダウンロードし、実行できる。さらに、強力な回避技術と比較的安価な価格も特徴である。

Continue reading “FormBook が8月のトップ・マルウェア:Emotet は5位に転落という急激な動き”

Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増

Ransomware attacks on Linux to surge

2022/09/05 HelpNetSecurity — Trend Micro の予測によると、今後の数年間で、Linux サーバーや組み込みシステムを標的にする、ランサムウェア・グループの攻撃が増えるとのことだ。 これらのシステムに対する攻撃は、2022年上半期において、前年比で2桁の増加を記録している。

Continue reading “Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増”

フィッシング攻撃の変化:コールバック型が 2021 Q1/Q2 比較で 625% の大幅増

Callback phishing attacks see massive 625% growth since Q1 2021

2022/08/15 BleepingComputer — ハッカーたちは、企業ネットワークに侵入するために、そして、ランサムウェアやデータ窃取の攻撃を仕掛けるために、Eメールと音声コールを組み合わせたソーシャル・エンジニアリングという、ハイブリッド型のフィッシング攻撃に主軸を移行しつつある。 Agari の 2022年 Q2 のサイバーインテリジェンス・レポートによると、フィッシング詐欺の件数は、2022年 Q1 と比較して6%しか増加していない。しかし、ハイブリッドなヴィッシング詐欺の利用は、625% という大幅な伸びを見せているという。​

Continue reading “フィッシング攻撃の変化:コールバック型が 2021 Q1/Q2 比較で 625% の大幅増”

Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る

As Microsoft blocks Office macros, hackers find new attack vectors

2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。

Continue reading “Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る”

Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!

Hackers Exploiting Follina Bug to Deploy Rozena Backdoor

2022/07/09 TheHackerNews — 新たに観測されたフィッシング・キャンペーンは、先日に公開された脆弱性 Follina (CVE-2022-30190) を悪用し、これまで文書化されていなかったバックドアを、Windows システム上に配布するものだった。今週に発表したレポートで、Fortinet FortiGuard Labs の 研究者である Cara Lin は、「Rozena は、攻撃者のマシンに戻ってリモートシェル接続を注入することが可能なバックドア・マルウェアだ」と述べている。

Continue reading “Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!”

Microsoft Office の VBA マクロ・ブロック:突然のロールバックと大混乱のユーザー

Microsoft rolls back decision to block Office macros by default

2022/07/07 BleepingComputer — 今年の初めに Microsoft は、ダウンロードした Office 文書に含まれる VBA マクロをデフォルトでブロックすると発表したが、この木曜日には、この変更に関する通知を行うまでの間、「フィードバック」に基づきロールバックすると発表した。 また、同社は、この決定の背後にある理由を説明できず、Access/Excel/PowerPoint/Visio/Word において、悪意の Office 文書に埋め込まれた VBA マクロが自動的にブロックされなくなることを、公には顧客に通知していない。

Continue reading “Microsoft Office の VBA マクロ・ブロック:突然のロールバックと大混乱のユーザー”

Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている

Emotet malware now steals credit cards from Google Chrome users

2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。

Continue reading “Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている”

ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明

Ransomware still winning: Average ransom demand jumped by 45%

2022/05/23 HelpNetSecurity — Group-IB は、ナンバーワン脅威の進化を示すガイド Ransomware Uncovered 2021/2022 を発表した。このレポート第2版における調査結果によると、ランサムウェア帝国は連勝を重ね、2021年の身代金の返金要求額は、45% 増の $247,000 に達したとされる。2020年以降のランサムウェア・ギャングは、ずっと貪欲になっている。Hive がMediaMarkt に対して要求した身代金は、$240 million (2020年は $30 million) という記録的なものだった。Hive だけではなく、2021年のもう1人の新参者 Grief は、専用リークサイト (DLS) に投稿された被害者の数で、Top-10 ギャングの仲間入りを果たした。

Continue reading “ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明”

Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた

Conti ransomware shuts down operation, rebrands into smaller units

2022/05/19 BleepingComputer — 猛威を奮った Conti ランサムウェア・ギャングだが、チームリーダーからブランドが存在しないことが伝えられ、インフラはオフラインにされ、正式に活動を停止した。今日の午後に、Conti の内部インフラが停止されたことが、Advanced Intel の Yelisey Boguslavskiy によりツイートされた。公開されている Conti News の、データ漏洩サイトと身代金交渉サイトはオンラインだが、Boguslavskiy は BleepingComputer に対して、メンバーが交渉に使っていたデータ漏洩サイトで、ニュースを公開するために使用されていた、Tor 管理パネルはオフラインになっていると語った。

Continue reading “Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた”

Emotet の検出量が最多になった:HP Wolf Security 調査 2022 Q1

Emotet is the most common malware

2022/05/17 HelpNetSecurity — HP の Wolf Security 脅威リサーチ・チームが、Emotet が再登場した 2021年 Q4 と 2022年 Q1 を比較し、Emotet 悪質スパム・キャンペーンによる検出数が 28倍に増加していることを確認し発表している。現実のサイバー・セキュリティ攻撃の分析を提供する、最新の HP Wolf Security Threat Insights Report Q1-2022 によると、Emotet は 36 ランク・アップして、2022年 Q1 で最も多く検出されたマルウェア・ファミリーとなった (捕捉した全マルウェアの 9%)。

Continue reading “Emotet の検出量が最多になった:HP Wolf Security 調査 2022 Q1”

JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出

EmoCheck now detects new 64-bit versions of Emotet malware

2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書/Windows ショートカット/ISO ファイル/パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの1つである。これらのフィッシング・メールは、返信用チェーンメール/出荷通知/税務書類/会計報告書/ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。

Continue reading “JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出”

Emotet の新戦術:Windows ショートカット・ファイル内の PowerShell を介して展開される

Emotet malware now installs via PowerShell in Windows shortcut files

2022/04/26 BleepingComputer — 現時点における Emotet ボットネットは、PowerShell コマンドを取り込んだ Windows ショートカット・ファイル (.LNK) を介して、被害者のコンピュータを感染させるという戦術をとっている。つまり、現在はデフォルトで無効になっている Microsoft Office マクロから、新たな作戦へと移行している。これまでも、Emotet は Visual Basic Script (VBS) と .LNK ファイルを組み合わせて、ペイロードをダウンロードするコマンドを構築したので、Windows ショートカットの使用は目新しいものではない。しかし、それにより PowerShell コマンドを、ダイレクトに実行したのは今回が初めてとなる。

Continue reading “Emotet の新戦術:Windows ショートカット・ファイル内の PowerShell を介して展開される”

Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?

Emotet Testing New Delivery Ideas After Microsoft Disables VBA Macros by Default

2022/04/25 TheHackerNews — 大量の Emotet ボットネットを振りまく脅威アクターは、大規模な Malspam キャンペーンに取り込むための、新しい攻撃手法を小規模にテストしており、Microsoft が VBA マクロをデフォルトで無効にしたことに対して、素早く反応している可能性が浮上している。ProofPoint は、このグループの新しい活動を、典型的な行動からの逸脱だと指摘している。つまり、マルウェアを配布するための最新のフィッシング・メールは、典型的な大規模メール・キャンペーンと並行して、より選択的かつ限定的な攻撃を行うものだという、新たな視点を提起している。

Continue reading “Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?”

Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?

Emotet botnet switches to 64-bit modules, increases activity

2022/04/19 BleepingComputer — Emotet マルウェアの配布が急増しているが、現時点のアンチウイルス・エンジンでは少量のみが検出されている、新しいペイロードに間もなく切り替わる可能性もある。2022年3月のことだが、このボットネットを追跡するセキュリティ研究者が、悪意のペイロードを含む電子メールの量が、10倍に増加したことを観察している。Emotet は、ホスト上で持続性をキープし自己増殖する、モジュール型トロイの木馬である。

Continue reading “Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?”

Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ

Qbot malware switches to new Windows Installer infection vector

2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。

Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”

Microsoft Defender の誤検知:Office アップデートをランサムウェアと取り違える

Microsoft Defender tags Office updates as ransomware activity

2022/03/16 BleepingComputer — 今日、Windows 管理者たちに対して、システム上でランサムウェアの挙動を示すアラートが検出されたという Defender for Endpoint の問題により、Office アップデートに対して悪意のタグが付けられるという事態に見舞われた。Windows システム管理者の報告 [1234] によると、この現象は数時間前から発生しており、ランサムウェアの警告が大量に発生するケースにも発展した。

Continue reading “Microsoft Defender の誤検知:Office アップデートをランサムウェアと取り違える”

Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染

Emotet growing slowly but steadily since November resurgence

2022/03/08 BleepingComputer — 現時点で 179カ国で 13万台のシステムに感染している Emotetボットネットは、依然として野放し状態で安定的に配布され続けている。かつては 160万台のデバイスを支配下に置いていた、世界的な支配力には遠く及ばないかもしれないが、このマルウェアは今も復活を続けており、日々強力になっていることが示される。Emotet の活動は、2番目のメジャー・バージョンが配布されていた 2019年に停止し、2021年11月に Trickbot の力を借りて復活している。

Continue reading “Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染”

TrickBot の進化:難読化された 20本以上のモジュールを自在に操る

TrickBot developers continue to refine the malware’s sneakiness and power

2022/02/16 CyberScoop — Check Point Research によると、汎用性の高いマルウェア TrickBot の開発者は、サイバーセキュリティ・アナリストの一歩先を進み、金融機関やテクノロジー企業の顧客に対して大きな危険をもたらし続けているとのことだ。水曜日に発表した調査結果で同社は、「TrickBot の開発者は、アンチ分析と難読化の機能を幾重にも備えており、専門家がマルウェアのコードを解析しようとする際に、Command and Control との通信を遮断し、動作を完全に停止することがある。

Continue reading “TrickBot の進化:難読化された 20本以上のモジュールを自在に操る”

Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF

Microsoft plans to kill malware delivery via Office macros

2022/02/07 BleepingComputer — 4月上旬より Microsoft は、インターネットからダウンロードした VBA マクロを、いくつかの Microsoft Office アプリで有効にし難くし、脅威アクターたちに好まれるマルウェア配布方法を、事実上死滅させることを発表した。悪意の Office 文書に埋め込まれた VBA マクロの悪用は、Emotet/TrickBot/Qbot/Dridex などのマルウェをフィッシング攻撃でプッシュする際の、きわめて一般的な手法である。

Continue reading “Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF”

Microsoft の ms-appinstaller プロトコルが無効化:マルウェア配信での悪用をストップ

Microsoft disables the ms-appinstaller protocol because it was abused to spread malware

2022/02/07 SecurityAffairs — Microsoft は、MSIX の ms-appinstaller プロトコルが、Emotet などのマルウェアに悪用されたことで、一時的に無効にしたと発表した。2021年12月に Microsoft は、Microsoft Windows に影響を与える AppXインストーラの脆弱性 CVE-2021-43890 に対処したが、この脆弱性は現在も悪用されている。

Continue reading “Microsoft の ms-appinstaller プロトコルが無効化:マルウェア配信での悪用をストップ”

Emotet の新バージョンは奇抜な IP アドレス形式により検知を回避する

Emotet Now Using Unconventional IP Address Formats to Evade Detection

2022/01/23 TheHackerNews — マルウェア Emotet を用いたソーシャル・エンジニアリング・キャンペーンにおいて、セキュリティ・ソリューションによる検知を逃れるための、従来とは異なる IP アドレス形式が、初めて使用されたことが確認されている。Trend Micro の Threat Analyst である Ian Kenefick は、金曜日に発表したレポートの中で、IP アドレスの 16進数および8進数での表現が使用されており、これらの表現がオペレーティングシステムで処理されると、リモート・サーバーからのリクエストを開始するために、ドット付きの 10進数表現に自動的に変換されると述べている。

Continue reading “Emotet の新バージョンは奇抜な IP アドレス形式により検知を回避する”

Microsoft 2021-12 月例アップデートは6件のゼロデイと 67件の脆弱性に対応

Microsoft December 2021 Patch Tuesday fixes 6 zero-days, 67 flaws

2021/12/14 BleepingComputer — 今日は、Microsoft の December 2021 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性と合計で67件の欠陥が修正された。これらのアップデートには、マルウェアの配布キャンペーンで積極的に悪用されている、Windows Installer の脆弱性の修正も含まれている。Microsoft は、今日のアップデートで 55件の脆弱性 (Microsoft Edge を除く) を修正し、7件を Critical に、60件を Important に分類した。

Continue reading “Microsoft 2021-12 月例アップデートは6件のゼロデイと 67件の脆弱性に対応”

Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している

Emotet Is Back and More Dangerous Than Before

2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。

Continue reading “Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している”

TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い

140,000 Reasons Why Emotet is Piggybacking on TrickBot in its Return from the Dead

2021/12/08 TheHackerNews — この高度なトロイの木馬 TrickBot は、2021年初頭にダウンしたボットネット Emotet を復活させる、新たなエントリー・ポイントになりつつある。その TrickBot も解体が試みられたが、それから1年あまりで、149カ国の14万人の被害者に感染したと推定されている。

Continue reading “TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い”

Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

2021/12/07 BleepingComputer — Emotet による Cobalt Strike Beacon の、ダイレクトなインストールが可能となり、また、ネットワークへのアクセスが可能となり、ランサムウェアによる攻撃が可能となるという、懸念が生じている。Emotet は、悪意の Word/Excel のドキュメントを取り込んだ、スパム・メールを介して拡散していくマルウェアである。

Continue reading “Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?”

Emotet が偽の Adobe インストーラーを介して広まり始めている

Emotet now spreads via fake Adobe Windows App Installer packages

2021/12/01 BleepingComputer — 現在、マルウェア Emotet は、Adobe PDF ソフトウェアを装う、悪意の Windows App Installer パッケージを介して配布されている。Emotet は、フィッシング・メールや悪意の添付ファイルを介して拡散する、悪名高いマルウェアである。インストールされると、他のスパム・キャンペーンのために被害者のメールを盗み、TrickBot や Qbot などのマルウェアを展開して、ランサムウェア攻撃などへつなげる。

Continue reading “Emotet が偽の Adobe インストーラーを介して広まり始めている”

Microsoft Defender の Emotet 誤検知:Office ファイルも開けず Admin たちは大混乱

Microsoft Defender scares admins with Emotet false positives

2021/11/30 BleepingComputer — Microsoft Defender for Endpoint の現状だが、Emotet マルウェアのペイロードがバンドルされている可能性があるという、誤ったタグをファイルに付けているため、Office ドキュメントがオープンできず、一部の実行ファイルの起動がプロックされるという問題が存在している。

Continue reading “Microsoft Defender の Emotet 誤検知:Office ファイルも開けず Admin たちは大混乱”

IKEA のシステムがリプライチェーン・メール攻撃の渦中にある

IKEA email systems hit by ongoing cyberattack

2021/11/26 BleepingComputer — IKEA が、サイバー攻撃の渦中にいる。この攻撃では、盗まれた機密情報をもとに、リプライチェーン・メールにより従業員に対して、内部的なフィッシング攻撃が行われている。リプライチェーン型のメール攻撃とは、脅威アクターが企業からの正当なメールを盗み出し、そのメールに対して悪意のドキュメントなどへのリンクを返信して、受信者のデバイスにマルウェアをインストールするものである。

Continue reading “IKEA のシステムがリプライチェーン・メール攻撃の渦中にある”

Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?

Emotet botnet comeback orchestrated by Conti ransomware gang

2021/11/19 BleepingComputer — ボットネット Emotet が復活した背景には、ランサムウェア Conti のメンバーに説得された、元オペレーターの存在があるという。Advanced Intelligence (AdvIntel) のセキュリティ研究者たちは、10ヶ月前に法執行機関が Emotet を停止した後に生じた、高品質なイニシャル・アクセス分野での空白が、このプロジェクトの再開を後押ししたと考えている。

Continue reading “Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?”

Emotet が再生/復活:TrickBot を介してインフラを急速に拡大

Emotet malware is back and rebuilding its botnet via TrickBot

2021/11/15 BleepingComputer — スパム・キャンペーンや悪意の添付ファイルを介して広まる Emotet は、これまでに最も拡散したマルウェアだと言われてきた。Emotet は、感染したデバイスを悪用して他のスパム・キャンペーンを行い、QakBot (Qbot)/Trickbot マルウェアなどのペイロードをインストールしていた。これらのペイロードは、その後に、Ryuk/Conti/ProLock/Egregor などのランサムウェアを展開する脅威アクターのための、初期アクセスに使用されてきた。

Continue reading “Emotet が再生/復活:TrickBot を介してインフラを急速に拡大”

VirusTotal 調査:8,000万件のランサムウェアを分析してみた

VirusTotal Releases Ransomware Report Based on Analysis of 80 Million Samples

2021/10/14 TheHackerNews — 2020年から 2021年前半にかけて、イスラエル/中国/韓国/シンガポール/ベトナム/インド/カザフスタン/フィリピン/イラン/英国において、130種類ものランサムウェアが活動していたことが、8,000万件のランサムウェア関連サンプルの包括的な分析により明らかになった。

Continue reading “VirusTotal 調査:8,000万件のランサムウェアを分析してみた”

Conti ランサムウェアはヘルスケア機関を標的にすると FBI が警告

FBI Issues Conti Ransomware Alert as Attacks Target Healthcare

2021/05/21 DarkReading — 米国の医療機関や救急隊員のネットワークを標的とした、ランサムウェア Conti による攻撃が、少なくとも 16件確認されたという発表があった。FBI が発した警告は、法執行機関/救急医療サービス/911 ディスパッチセンター/自治体などを標的とした Conti 攻撃が、この 1年間に少なくとも 16件が確認されたことを受けてのものだ。

Continue reading “Conti ランサムウェアはヘルスケア機関を標的にすると FBI が警告”

Emotet が悪用する 400万件のメールアドレスが Have I Been Pwned で共有される

FBI shares 4 million email addresses used by Emotet with Have I Been Pwned

2021/04/27 BleepingComputer — 米国連邦捜査局 FBI は、マルウェアに感染したコンピュータを浄化する活動の一環として、ボットネット Emotet がマルウェア配布のために収集した、数百万件の電子メールアドレスを、Have I Been Pwned で共有している。個人ユーザーやドメイン所有者は、電子メールアドレスをデータベースで検索することで、自身のアカウントへの Emotet の影響を知ることができる。

Continue reading “Emotet が悪用する 400万件のメールアドレスが Have I Been Pwned で共有される”