Ex-Conti members and FIN7 devs team up to push new Domino malware
2023/04/17 BleepingComputer — Conti ランサムウェアの元メンバーが、FIN7 脅威アクターと手を組み、企業ネットワークへの攻撃において、Domino という新たなマルウェア・ファミリーを配布しているようだ。Domino は、2つのコンポーネントから構成される、比較的に新しいマルウェア・ファミリーである。最初に、Domino Backdoor という名前のバックドアをドロップし、そのバックドアが Domino Loader をドロップすることで、情報を窃取する DLL マルウェアが、他のプロセスやメモリに注入されていく 。
Continue reading “Conti 元メンバーと FIN7 開発者の共闘:新たな Domino マルウェアを配布している”Qbot Banking Trojan Increasingly Delivered Via Business Emails
2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語/ドイツ語/イタリア語/フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。
Continue reading “Qbot バンキング・トロイの木馬:PDF アーカイブ内の JScript スクリプト で PowerShell を起動”Emotet Climbs March 2023’s Most Wanted Malware List With OneNote Campaign
2023/04/12 InfoSecurity — Emotet マルウェアは、悪意の OneNote ファイルを隠し持つスパムメール・キャンペーンにより、Check Point の Most Wanted Malware List ランキングを駆け上がっている。Emotet は、2月の3位から、3月の2位へと順位を上げている。このキャンペーンは、被害者を誘い、悪意の OneNote ファイルを開かせることで、マルウェアをインストールするものだ。
Continue reading “Emotet 攻撃が加速:Microsoft OneNote ファイルの不用意な操作は NG”New IcedID variants shift from bank fraud to malware delivery
2023/03/27 BleepingComputer — IcedID の新しい亜種は、通常のオンライン・バンキング詐欺の機能を持たない代わりに、侵害したシステムに新たなマルウェアをインストールすることに、重点を置いていることが判明した。Proofpoint によると、これらの新しい亜種は、昨年末から7つのキャンペーンで、3つの異なる脅威アクターにより使用されており、ランサムウェアなどのペイロードの配信に重点を置いていることが確認されている。
Continue reading “IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている”Emotet malware now distributed in Microsoft OneNote files to evade defenses
2023/03/18 BleepingComputer — 現時点において Emotet マルウェアは、Microsoft のセキュリティ制限を回避して、より多くのターゲットに感染させるために、OneNote ファイルを添付したEメールで配布されている。Emotet は、歴史的に悪名高いマルウェア・ボットネットであり、悪意のマクロを仕込んだ Word や Excel の添付ファイルを通じて配布されていた。これらの添付ファイルを、ユーザーが開いてマクロを有効にすると、DLL がダウンロード/実行され、Emotet マルウェアがデバイスにインストールされる。このマルウェアがロードされると、Eメールの連絡先やメールの内容が盗まれ、今後のマルウェア・キャンペーンで悪用されるようになる。また、企業ネットワークへのイニシャル・アクセスを提供する、他のペイロードもダウンロードされる。
Continue reading “Emotet が本気の戦略シフト:OneNote ファイルを介した配布が始まった”Chinese and Russian Hackers Using SILKLOADER Malware to Evade Detection
2023/03/16 TheHackerNews — 中国/ロシアのサイバー犯罪エコシステムに属する脅威アクター・グループが、感染させたマシン上に Cobalt Strike をロードするために設計された、新たなマルウェアを使用していることが確認されている。フィンランドのサイバー・セキュリティ企業 WithSecure は、DLL のサイドローディング技術を利用して、商業的アドバイザリを装うソフトウェアを配信する、このマルウェアを SILKLOADERと名付けた。
Continue reading “SILKLOADER という検出回避に優れたマルウェア:中国/ロシアの犯罪エコシステムが連携?”Adobe Acrobat Sign abused to push Redline info-stealing malware
2023/03/16 BleepingComputer — オンライン・ドキュメント署名サービスである Adobe Acrobat Sign が、情報窃取マルウェアの配布に悪用されている。このサービスを悪用する脅威アクターたちは、Adobe を装う悪意のメールをターゲットに送信しすることで、セキュリティ保護を回避して受信者を騙そうとしている。このような、正規のサービスを悪用する手口は新しいものではない。最近に見られた同様のケースに、PayPal の請求書や Google Docs のコメントなどの悪用がある。Avast の研究者たちは、Adobe Acrobat Sign を悪用してセキュリティを回避してターゲットを騙す、この新たな詐欺手法について警告している。
Continue reading “Adobe Acrobat Sign を悪用:Redline マルウェアを配布する手口が暴かれた”Emotet, QSnatch Malware Dominate Malicious DNS Traffic
2023/03/15 DarkReading — インターネットの DNS (domain name system) は、脅威アクターたちにとって、一種のスーパー・ハイウェイとなっているようだ。この四半期において、6 組織に 1 組織の割合で、悪質なネットワーク・トラフィックを経験しているが、それらは、Emotet などのマルウェア/フィッシング攻撃/コマンド&コントロール (C2) アクティビティの、いずれかの形態であることが、研究者たちにより明らかになった。
Continue reading “Emotet や QSnatch などが御用達:DNS を悪意のハイウェイとして活用するマルウェアたち”Emotet malware attacks return after three-month break
2023/03/07 BleepingComputer — 2023年03月07日 (火) の朝の時点で、Emotet マルウェアの活性化が観測されている。このマルウェアは、3ヶ月間の休息を経て、再び悪意の電子メールを送信し、そのネットワークを再構築し、世界中のデバイスへの感染を広め始めている。Emotet は、悪意の Word/Excel 添付ファイルを隠し持つ子メールで配布される、悪名高いマルウェアである。それらの文書をユーザーが開いたとき、マクロが有効になっていると、Emotet DLL がダウンロードされ、メモリにロードされる。そして、ロードされた Emotet は静かに待機し、リモートの Command and Control (C2) サーバからの指示を待つ。
Continue reading “Emotet の活動再開を捕捉:2023 大規模キャンーペンのトリックは大容量ファイル?”Russian Invasion Sparks Global Wiper Malware Surge
2023/02/23 InfoSecurity — セキュリティ・ベンダーの Fortinet によると、ウクライナ戦争により破壊的なマルウェアの新しい波が世界中に押し寄せており、それをサービスとして提供する、サイバー犯罪グループが増えているという。昨年にロシア軍が利用したワイパー・マルウェアだが、昨年にウクライナ国境を越えて急速に拡大し、その活動量は 2022 Q3 と Q4 の比較において 53% 増になると、同社は指摘している。
Continue reading “ワイパー・マルウェアが急増:ウクライナ侵攻により世界中で蔓延し始める”Hackers Use TrickGate Software to Deploy Emotet, REvil, Other Malware
2023/01/30 InfoSecurity — TrickGate という名の悪意のソフトウェア・サービスは、6年以上にわたり脅威アクターたちに利用され、EDR (Endpoint Detection and Response) 保護ソフトウェアをバイパスしてきたようだ。この Check Point Research (CPR) が発表した調査結果は、今日の未明に InfoSecurity と共有された。最新のアドバイザリによると、Emotet/REvil/Maze などのグループに属する複数の脅威アクターたちが、このサービスを悪用してマルウェアを展開していたことが示唆される。
Continue reading “Emotet/REvil を配信する TrickGate:巧妙な検出回避で6年間も生き続ける”Emotet Malware Makes a Comeback with New Evasion Techniques
2023/01/24 TheHackerNews — マルウェア Emotet は、Bumblebee/IcedID などの危険なマルウェアの感染経路となる一方で、その手口を改良し、レーダーを回避し続けている。2021年初頭に、捜査当局が Emotet のインフラを排除したが、同年末には活動を再開しており、フィッシング・メールを介して配布される、持続的な脅威として存在し続けている。このウイルスは、サイバー犯罪グループ TA542 (別名 Gold Crestwood/Mummy Spider) に帰属するものであり、バンキング型トロイの木馬として 2014年に登場した後に、マルウェア配布者へと進化してきた。
Continue reading “Emotet が新たなバイパス手法で再登場:クレカ窃取と横移動の新モジュールを追加”Qbot Overtakes Emotet in December 2022’s Most Wanted Malware List
2023/01/16 InfoSecurity — 2022年12月において、野放し状態での悪用が発見されたマルウェアとして、Qbot トロイの木馬が Emotet を追い抜き、世界中の組織の 7% に影響を及ぼしたことが判明した。さらに、ブロックチェーン対応の、トロイの木馬型ボットネットである Grupteba マルウェアが、2022年7月以降において、初めて Top-10 に返り咲いた。この調査結果は、2022年12月の Global Threat Index に発表した Check Point Software Technologies が、電子メールで InfoSecurity と共有したものだ。
Continue reading “Qbot 7%/Emotet 4%/XMRig 3% という調査結果:2022年12月のマルウェア・レポート”IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours
2023/01/12 TheHackerNews — 先日に発生した IcedID マルウェア攻撃では、イニシャル・アクセスから 24時間以内に、無名ターゲットの Active Directory ドメインが侵害されていたという。今週に発表されたレポートで Cybereason の研究者たちは、「この脅威アクターは攻撃の最中に、偵察コマンド操作/認証情報窃取/横方向への移動に加えて、侵入したホスト上での Cobalt Strike の実行という手順を踏んでいた」と述べている。IcedID (別名 BokBot) は、2017年にバンキング・トロイの木馬としてスタートした後に、他のマルウェアを支援するドロッパーへと進化し、Emotet/TrickBot/Qakbot/Bumblebee/Raspberry Robin などの仲間に加わった。
Continue reading “IcedID マルウェアの蔓延:侵入から24時間以内に Active Directory ドメインを侵害”AgentTesla Remains Most Prolific Malware in November, Emotet and Qbot Grow
2022/12/14 InfoSecurity — 静かな夏を経て、最も流行しているマルウェアの1つとして、Emotet が戻ってきた。さらに、トロイの木馬 Qbot が 2021年以来のリスト入りを果たし、Raspberry Robin ワームも目立っている。しかし、昨日に発表された Check Point Research (CPR) の November 2022’s Most Wanted Malware レポートによると、11月に最も活発だったマルウエアとして、AgentTesla の存在が強調されている。Check Point は、全世界の 6% の組織に AgentTesla は影響を及ぼし、その後に Emotet と Qbot が 4% で続いていると述べている。
Continue reading “Check Point のマルウエア・レポート:AgentTesla/Emotet/Qbot が 11月の Top-3”All You Need to Know About Emotet in 2022
2022/11/26 TheHackerNews — 直近の6ヶ月間において、ほとんど活動していなかった Emotet ボットネットだが、いまは悪質なスパムを配信し始めている。ここでは、この悪名高いマルウェアに対抗するために、知っておくべきことを詳しく説明していく。Emotet は、これまでに作られたトロイの木馬の中で、最も危険な 1 つであることに間違いはない。このマルウェアは、規模と精巧さを増すにつれて、きわめて破壊的なプログラムとなった。スパムメール・キャンペーンにさらされた企業ユーザーから個人ユーザーまで、誰でもが被害者になり得る。
Continue reading “Emotet 2022 を予測する:このマルウェアの歴史から何が見えてくるのか?”Notorious Emotet Malware Returns With High-Volume Malspam Campaign
2022/11/21 TheHackerNews — Emotet マルウェアだが、IcedID や Bumblebee などのペイロードをドロップするためにデザインされた、大規模なマルスパム・キャンペーンの一部として、再び勢いを増して戻ってきた。先週に Proofpoint は、「2022 年11月初旬から、1日あたり数十万通の電子メールが送信されている。この、新たなアクティビティは、Emotet が主要なマルウェア群の配信ネットワークとして機能し、完全に復活したことを示唆している」と述べている。標的となる主な国々としては、米国/英国/日本/ドイツ/イタリア/フランス/スペイン/メキシコ/ブラジルなどが挙げられている。
Continue reading “Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ”Advanced RAT AgentTesla Most Prolific Malware in October
2022/11/09 InfoSecurity — Check Point によると、10月に最も広まったマルウェア亜種は、情報スティーラー型の3種類であり、全世界の検出数の約 5分の1 (16%) を占めている。セキュリティ・ベンダーである Check Point は、顧客のネットワーク/エンドポイント/モバイル・デバイスに設置された、数億個の脅威インテリジェンス・センサーから取得したデータに基づき、Global Threat Index for October 2022 を作成した。
Continue reading “Check Point のマルウェア調査:10月の上位は AgentTesla などの情報スティーラー系”Emotet botnet starts blasting malware again after 5 month break
2022/11/02 BleepingComputer — マルウェア Emotet のオペレーションだが、サイバー犯罪作戦の活動がほとんど見られなかった約5ヶ月間の休暇を経て、再び悪質な電子メールを送信し始めている。Emotet のフィッシング・キャンペーンは、悪意の Excel/Word 文書を介して、マルウェアを配布し感染させるものだ。それらの文書を開いたユーザーが、マクロを有効にしていると、Emotet DLL がダウンロードされ、メモリに読み込まれる。
Continue reading “Emotet が 11月2日に活動を再開:Microsoft の Protected View を回避する戦術とは?”LockBit Dominates Ransomware Campaigns in 2022: Deep Instinct
2022/11/01 InfoSecurity — 2022年 Q1/Q2/Q3 におけるランサムウェア・キャンペーンでは、全体の 44% を LockBit RaaS グループが占めることになった。それに続くのが、Conti (23%)/Hive (21%)/Black Cat (7%)/Conti Splinters (5%) などであり、Quantum/Black Basta/Black Byte などの脅威アクター・グループで構成されるものだ。この数字は、Deep Instinct のレポートである 2022 Interim Cyber Threat Report をベースにしたものだ。
Continue reading “Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭”Emotet Botnet Distributing Self-Unlocking Password-Protected RAR Files to Drop Malware
2022/10/21 TheHackerNews — Emotet ボットネットの新しいマルスパム・キャンペーンは、パスワードで保護されたアーカイブ・ファイルを利用して、感染させたシステムに CoinMiner と Quasar RAT をドロップするものだ。Trustwave SpiderLabs の研究者たちが検出した攻撃チェーンの手口では、請求書を装う ZIP ファイルのルアーに、ネストした自己解凍 (SFX) アーカイブが含まれており、最初のアーカイブを媒介として機能させ、2番目のアーカイブを起動することが判明している。
Continue reading “Emotet の新たなマルスパム・キャンペーン:CoinMiner と Quasar RAT のドロップが始まった”Black Basta Ransomware Hackers Infiltrate Networks via Qakbot to Deploy Brute Ratel C4
2022/10/17 TheHackerNews — Black Basta ランサムウェア・ファミリーの背後にいる脅威アクターは、 Qakbotトロイの木馬を用いる最近の攻撃において、第2段階のペイロードとして Brute Ratel C4フレームワークを展開していることが確認された。Trend Micro は、先週に発表した技術分析で、最新の敵対的シミュレーション・ソフトウェア Brute Ratel C4 が、Qakbot 感染を通じて配信される初めてのケースだと述べている。この侵入は、兵器化された ZIP アーカイブ・リンクを含むフィッシング・メールを介して達成され、横方向への移動には Cobalt Strike が使用されている。
Continue reading “Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開”Experts analyzed the evolution of the Emotet supply chain
2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。
Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”Emotet Botnet Started Distributing Quantum and BlackCat Ransomware
2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。
Continue reading “Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている”FormBook Knocks Off Emotet As Most Used Malware in August
2022/09/14 InfoSecurity — FormBook が、現時点で最も多く発見されたマルウェアとなったが、2022年1月に再登場してからトップの座を守ってきた、Emotet を退けての結果である。 FormBook は、Windows OS を標的とする情報窃取ツールであり、認証情報の取得/スクリーン・ショットの収集/キーストローク監視/ログ取得などを行うものである。また、Command and Control (C&C) の命令に従ってファイルをダウンロードし、実行できる。さらに、強力な回避技術と比較的安価な価格も特徴である。
Continue reading “FormBook が8月のトップ・マルウェア:Emotet は5位に転落という急激な動き”Ransomware attacks on Linux to surge
2022/09/05 HelpNetSecurity — Trend Micro の予測によると、今後の数年間で、Linux サーバーや組み込みシステムを標的にする、ランサムウェア・グループの攻撃が増えるとのことだ。 これらのシステムに対する攻撃は、2022年上半期において、前年比で2桁の増加を記録している。
Continue reading “Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増”Callback phishing attacks see massive 625% growth since Q1 2021
2022/08/15 BleepingComputer — ハッカーたちは、企業ネットワークに侵入するために、そして、ランサムウェアやデータ窃取の攻撃を仕掛けるために、Eメールと音声コールを組み合わせたソーシャル・エンジニアリングという、ハイブリッド型のフィッシング攻撃に主軸を移行しつつある。 Agari の 2022年 Q2 のサイバーインテリジェンス・レポートによると、フィッシング詐欺の件数は、2022年 Q1 と比較して6%しか増加していない。しかし、ハイブリッドなヴィッシング詐欺の利用は、625% という大幅な伸びを見せているという。
Continue reading “フィッシング攻撃の変化:コールバック型が 2021/2022 比較で 625% の大幅増”As Microsoft blocks Office macros, hackers find new attack vectors
2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。
Continue reading “Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る”Hackers Exploiting Follina Bug to Deploy Rozena Backdoor
2022/07/09 TheHackerNews — 新たに観測されたフィッシング・キャンペーンは、先日に公開された脆弱性 Follina (CVE-2022-30190) を悪用し、これまで文書化されていなかったバックドアを、Windows システム上に配布するものだった。今週に発表したレポートで、Fortinet FortiGuard Labs の 研究者である Cara Lin は、「Rozena は、攻撃者のマシンに戻ってリモートシェル接続を注入することが可能なバックドア・マルウェアだ」と述べている。
Continue reading “Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!”Microsoft rolls back decision to block Office macros by default
2022/07/07 BleepingComputer — 今年の初めに Microsoft は、ダウンロードした Office 文書に含まれる VBA マクロをデフォルトでブロックすると発表したが、この木曜日には、この変更に関する通知を行うまでの間、「フィードバック」に基づきロールバックすると発表した。 また、同社は、この決定の背後にある理由を説明できず、Access/Excel/PowerPoint/Visio/Word において、悪意の Office 文書に埋め込まれた VBA マクロが自動的にブロックされなくなることを、公には顧客に通知していない。
Continue reading “Microsoft Office の VBA マクロ・ブロック:突然のロールバックと大混乱のユーザー”Emotet malware now steals credit cards from Google Chrome users
2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。
Continue reading “Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている”Ransomware still winning: Average ransom demand jumped by 45%
2022/05/23 HelpNetSecurity — Group-IB は、ナンバーワン脅威の進化を示すガイド Ransomware Uncovered 2021/2022 を発表した。このレポート第2版における調査結果によると、ランサムウェア帝国は連勝を重ね、2021年の身代金の返金要求額は、45% 増の $247,000 に達したとされる。2020年以降のランサムウェア・ギャングは、ずっと貪欲になっている。Hive がMediaMarkt に対して要求した身代金は、$240 million (2020年は $30 million) という記録的なものだった。Hive だけではなく、2021年のもう1人の新参者 Grief は、専用リークサイト (DLS) に投稿された被害者の数で、Top-10 ギャングの仲間入りを果たした。
Continue reading “ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明”Conti ransomware shuts down operation, rebrands into smaller units
2022/05/19 BleepingComputer — 猛威を奮った Conti ランサムウェア・ギャングだが、チームリーダーからブランドが存在しないことが伝えられ、インフラはオフラインにされ、正式に活動を停止した。今日の午後に、Conti の内部インフラが停止されたことが、Advanced Intel の Yelisey Boguslavskiy によりツイートされた。公開されている Conti News の、データ漏洩サイトと身代金交渉サイトはオンラインだが、Boguslavskiy は BleepingComputer に対して、メンバーが交渉に使っていたデータ漏洩サイトで、ニュースを公開するために使用されていた、Tor 管理パネルはオフラインになっていると語った。
Continue reading “Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた”Emotet is the most common malware
2022/05/17 HelpNetSecurity — HP の Wolf Security 脅威リサーチ・チームが、Emotet が再登場した 2021年 Q4 と 2022年 Q1 を比較し、Emotet 悪質スパム・キャンペーンによる検出数が 28倍に増加していることを確認し発表している。現実のサイバー・セキュリティ攻撃の分析を提供する、最新の HP Wolf Security Threat Insights Report Q1-2022 によると、Emotet は 36 ランク・アップして、2022年 Q1 で最も多く検出されたマルウェア・ファミリーとなった (捕捉した全マルウェアの 9%)。
Continue reading “Emotet の検出量が最多になった:HP Wolf Security 調査 2022 Q1”EmoCheck now detects new 64-bit versions of Emotet malware
2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書/Windows ショートカット/ISO ファイル/パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの1つである。これらのフィッシング・メールは、返信用チェーンメール/出荷通知/税務書類/会計報告書/ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。
Continue reading “JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出”Emotet malware now installs via PowerShell in Windows shortcut files
2022/04/26 BleepingComputer — 現時点における Emotet ボットネットは、PowerShell コマンドを取り込んだ Windows ショートカット・ファイル (.LNK) を介して、被害者のコンピュータを感染させるという戦術をとっている。つまり、現在はデフォルトで無効になっている Microsoft Office マクロから、新たな作戦へと移行している。これまでも、Emotet は Visual Basic Script (VBS) と .LNK ファイルを組み合わせて、ペイロードをダウンロードするコマンドを構築したので、Windows ショートカットの使用は目新しいものではない。しかし、それにより PowerShell コマンドを、ダイレクトに実行したのは今回が初めてとなる。
Continue reading “Emotet の新戦術:Windows ショートカット・ファイル内の PowerShell を介して展開される”Emotet Testing New Delivery Ideas After Microsoft Disables VBA Macros by Default
2022/04/25 TheHackerNews — 大量の Emotet ボットネットを振りまく脅威アクターは、大規模な Malspam キャンペーンに取り込むための、新しい攻撃手法を小規模にテストしており、Microsoft が VBA マクロをデフォルトで無効にしたことに対して、素早く反応している可能性が浮上している。ProofPoint は、このグループの新しい活動を、典型的な行動からの逸脱だと指摘している。つまり、マルウェアを配布するための最新のフィッシング・メールは、典型的な大規模メール・キャンペーンと並行して、より選択的かつ限定的な攻撃を行うものだという、新たな視点を提起している。
Continue reading “Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?”Emotet botnet switches to 64-bit modules, increases activity
2022/04/19 BleepingComputer — Emotet マルウェアの配布が急増しているが、現時点のアンチウイルス・エンジンでは少量のみが検出されている、新しいペイロードに間もなく切り替わる可能性もある。2022年3月のことだが、このボットネットを追跡するセキュリティ研究者が、悪意のペイロードを含む電子メールの量が、10倍に増加したことを観察している。Emotet は、ホスト上で持続性をキープし自己増殖する、モジュール型トロイの木馬である。
Continue reading “Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?”Qbot malware switches to new Windows Installer infection vector
2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。
Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”Microsoft Defender tags Office updates as ransomware activity
2022/03/16 BleepingComputer — 今日、Windows 管理者たちに対して、システム上でランサムウェアの挙動を示すアラートが検出されたという Defender for Endpoint の問題により、Office アップデートに対して悪意のタグが付けられるという事態に見舞われた。Windows システム管理者の報告 [1, 2, 3, 4] によると、この現象は数時間前から発生しており、ランサムウェアの警告が大量に発生するケースにも発展した。
Continue reading “Microsoft Defender の誤検知:Office アップデートをランサムウェアと取り違える”Emotet growing slowly but steadily since November resurgence
2022/03/08 BleepingComputer — 現時点で 179カ国で 13万台のシステムに感染している Emotetボットネットは、依然として野放し状態で安定的に配布され続けている。かつては 160万台のデバイスを支配下に置いていた、世界的な支配力には遠く及ばないかもしれないが、このマルウェアは今も復活を続けており、日々強力になっていることが示される。Emotet の活動は、2番目のメジャー・バージョンが配布されていた 2019年に停止し、2021年11月に Trickbot の力を借りて復活している。
Continue reading “Emotet の追跡調査:2021年11月より着実に勢力を回復し 13万台に感染”TrickBot developers continue to refine the malware’s sneakiness and power
2022/02/16 CyberScoop — Check Point Research によると、汎用性の高いマルウェア TrickBot の開発者は、サイバーセキュリティ・アナリストの一歩先を進み、金融機関やテクノロジー企業の顧客に対して大きな危険をもたらし続けているとのことだ。水曜日に発表した調査結果で同社は、「TrickBot の開発者は、アンチ分析と難読化の機能を幾重にも備えており、専門家がマルウェアのコードを解析しようとする際に、Command and Control との通信を遮断し、動作を完全に停止することがある。
Continue reading “TrickBot の進化:難読化された 20本以上のモジュールを自在に操る”Microsoft plans to kill malware delivery via Office macros
2022/02/07 BleepingComputer — 4月上旬より Microsoft は、インターネットからダウンロードした VBA マクロを、いくつかの Microsoft Office アプリで有効にし難くし、脅威アクターたちに好まれるマルウェア配布方法を、事実上死滅させることを発表した。悪意の Office 文書に埋め込まれた VBA マクロの悪用は、Emotet/TrickBot/Qbot/Dridex などのマルウェをフィッシング攻撃でプッシュする際の、きわめて一般的な手法である。
Continue reading “Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF”Microsoft disables the ms-appinstaller protocol because it was abused to spread malware
2022/02/07 SecurityAffairs — Microsoft は、MSIX の ms-appinstaller プロトコルが、Emotet などのマルウェアに悪用されたことで、一時的に無効にしたと発表した。2021年12月に Microsoft は、Microsoft Windows に影響を与える AppXインストーラの脆弱性 CVE-2021-43890 に対処したが、この脆弱性は現在も悪用されている。
Continue reading “Microsoft の ms-appinstaller プロトコルが無効化:マルウェア配信での悪用をストップ”Emotet Now Using Unconventional IP Address Formats to Evade Detection
2022/01/23 TheHackerNews — マルウェア Emotet を用いたソーシャル・エンジニアリング・キャンペーンにおいて、セキュリティ・ソリューションによる検知を逃れるための、従来とは異なる IP アドレス形式が、初めて使用されたことが確認されている。Trend Micro の Threat Analyst である Ian Kenefick は、金曜日に発表したレポートの中で、IP アドレスの 16進数および8進数での表現が使用されており、これらの表現がオペレーティングシステムで処理されると、リモート・サーバーからのリクエストを開始するために、ドット付きの 10進数表現に自動的に変換されると述べている。
Continue reading “Emotet の新バージョンは奇抜な IP アドレス形式により検知を回避する”Microsoft December 2021 Patch Tuesday fixes 6 zero-days, 67 flaws
2021/12/14 BleepingComputer — 今日は、Microsoft の December 2021 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性と合計で67件の欠陥が修正された。これらのアップデートには、マルウェアの配布キャンペーンで積極的に悪用されている、Windows Installer の脆弱性の修正も含まれている。Microsoft は、今日のアップデートで 55件の脆弱性 (Microsoft Edge を除く) を修正し、7件を Critical に、60件を Important に分類した。
Continue reading “Microsoft 2021-12 月例アップデートは6件のゼロデイと 67件の脆弱性に対応”Emotet Is Back and More Dangerous Than Before
2021/12/10 DarkReading — アーノルド・シュワルツェネッガーが演じたターミネーターのように、恐ろしいマルウェア Emotet が、再び世界中のコンピュータに感染し、あらゆる組織をランサムウェア攻撃の危険にさらしている。今週、Check Point の研究者たちは、バンキング・トロイの木馬からマルウェアのダウンローダーに変化した Trickbot に感染したシステム上で、Emotet サンプルが投下されているのを確認したと報告している。
Continue reading “Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している”140,000 Reasons Why Emotet is Piggybacking on TrickBot in its Return from the Dead
2021/12/08 TheHackerNews — この高度なトロイの木馬 TrickBot は、2021年初頭にダウンしたボットネット Emotet を復活させる、新たなエントリー・ポイントになりつつある。その TrickBot も解体が試みられたが、それから1年あまりで、149カ国の14万人の被害者に感染したと推定されている。
Continue reading “TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い”Emotet now drops Cobalt Strike, fast forwards ransomware attacks
2021/12/07 BleepingComputer — Emotet による Cobalt Strike Beacon の、ダイレクトなインストールが可能となり、また、ネットワークへのアクセスが可能となり、ランサムウェアによる攻撃が可能となるという、懸念が生じている。Emotet は、悪意の Word/Excel のドキュメントを取り込んだ、スパム・メールを介して拡散していくマルウェアである。
Continue reading “Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?”Emotet now spreads via fake Adobe Windows App Installer packages
2021/12/01 BleepingComputer — 現在、マルウェア Emotet は、Adobe PDF ソフトウェアを装う、悪意の Windows App Installer パッケージを介して配布されている。Emotet は、フィッシング・メールや悪意の添付ファイルを介して拡散する、悪名高いマルウェアである。インストールされると、他のスパム・キャンペーンのために被害者のメールを盗み、TrickBot や Qbot などのマルウェアを展開して、ランサムウェア攻撃などへつなげる。
Continue reading “Emotet が偽の Adobe インストーラーを介して広まり始めている”
IoT OT Security News 
You must be logged in to post a comment.