Ransomware Groups Abuse Microsoft Services for Initial Access
2025/01/21 SecurityWeek — Sophos が警告するのは、2つの脅威グループが Microsoft 365 サービスを侵害し、Microsoft Teams デフォルト・コンフィグレーションを悪用することで、組織内のユーザーとの会話に到達したという問題である。Microsoft 365 テナントを運用する2つのハッキング・グループは、この3ヶ月間に少なくとも 15件の攻撃を仕掛け、ユーザー組織を侵害してランサムウェアを展開し、データ窃取を施行していたという可能性が生じている。
Continue reading “Microsoft Teams を介したソーシャル・エンジニアリング:STAC5143 と STAC5777 の戦術を解析”Cybercriminals Exploit Popular Software Searches to Spread FakeBat Malware
2024/08/19 TheHackerNews — FakeBat マルウェア・ローダーを配布するための、不正な広告キャンペーンを介したマルウェア感染が急増している。Mandiant Managed Defense チームのテクニカル・レポートには、「これらの攻撃は、一般的なビジネス・ソフトウェアを求めるユーザーをターゲットにした、日和見的なものだ。具体的に言うと、トロイの木馬化された MSIX インストーラによりマルウェア感染が始まり、PowerShell スクリプトの実行による二次的なペイロードのダウンロードへといたる」と記されている。
Continue reading “FakeBat マルウェア:Brave/KeePass/Notion/Steam/Zoom などを装い配布”Notorious FIN7 hackers sell EDR killer to other threat actors
2024/07/17 BleepingComputer — 悪名高いハッキング・グループ FIN7 が、企業ネットワーク上のエンドポイント保護ソフトウェアを破壊して検知を回避するための、カスタム・ツール AvNeutralizer を販売していることが発見された。FIN7 はロシアのハッキング・グループと考えられており、その活動が観測され始めた 2013年頃は金融詐欺に注力しており、組織をハッキングしてデビットカードやクレジットカード情報を窃取してきた。同グループは、やがてランサムウェアの分野にも進出し、DarkSide/BlackMatter などの RaaS (ransomware-as-a-service) を使用し始めた。最近では、2024年3月頃に発生した、UnitedHealth からの身代金を持ち逃げるという BlackCat ランサムウェアの活動にも、FIN7 が関係している可能性が高いと見られている。
Continue reading “ロシアの FIN7 ギャング:セキュリティ回避ツール AvNeutralizer を販売していた”BlackCat Ransomware Gang Targets Businesses Via Google Ads
2023/11/15 InfoSecurity — 悪名高い ALPHV/BlackCat ランサムウェアが、Google 広告を利用してマルウェアを配布していることが確認された。eSentire の Threat Response Unit (TRU) によると、このグループは $100M 規模の MGM Resorts の情報流出や、乳がん患者の機密画像流出事件を引き起こし、さらに攻撃手法をマルバタイジングに拡大しているという。
Continue reading “ALPHV/BlackCat ランサムウェア:マルウェアの配布に Google 広告を悪用”FIN7 Hackers Caught Exploiting Recent Veeam Vulnerability
2023/04/26 SecurityWeek — ロシアのサイバー犯罪グループ FIN7 だが、パッチ未適用の Veeam Backup & Replication インスタンスを、最近の攻撃で悪用していることが確認されたと、サイバーセキュリティ企業 WithSecure が報告している。2015年頃から存在し、Anunak/Carbanak とも呼ばれる FIN7 は、主にクレジット・カード情報の窃盗にフォーカスする金銭的動機のあるグループだ。セキュリティ研究者たちは、多数のサブグループが、FIN7 傘下で活動していると考えている。これまでの数年間において、FIN7 の活動と重なる脅威アクターたちの中には、REVIL/DarkSide/BlackMatter/Alphv/Black Basta といったランサムウェアへ移行していった者も見られるという。
Continue reading “Veeam Backup & Replication の脆弱性:ロシアの FIN7 サイバー犯罪組織が狙っている – WithSecure”Ex-Conti members and FIN7 devs team up to push new Domino malware
2023/04/17 BleepingComputer — Conti ランサムウェアの元メンバーが、FIN7 脅威アクターと手を組み、企業ネットワークへの攻撃において、Domino という新たなマルウェア・ファミリーを配布しているようだ。Domino は、2つのコンポーネントから構成される、比較的に新しいマルウェア・ファミリーである。最初に、Domino Backdoor という名前のバックドアをドロップし、そのバックドアが Domino Loader をドロップすることで、情報を窃取する DLL マルウェアが、他のプロセスやメモリに注入されていく 。
Continue reading “Conti 元メンバーと FIN7 開発者の共闘:新たな Domino マルウェアを配布している”Microsoft Excel now blocking untrusted XLL add-ins by default
2023/03/07 BleepingComputer — 世界中の Microsoft 365 テナントに配置される、表計算ソフトの Excel において、信頼できない XLL アドインをデフォルトでブロックするようになったと、Microsoft が発表した。同社は、この変更について 2023年1月に発表しているが、Insiders 向けにロールアウトの初期テスト・フェーズに入ったときに、この新しいエントリーが Microsoft 365 のロードマップに追加された。この新機能は、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの全デスクトップ・ユーザーにロールアウトされた後の3月下旬までに、世界中のマルチ・テナントで一般でも利用可能になる予定だ。
Continue reading “Microsoft Excel の XLL add-ins がデフォルトでブロック:さらなる MoTW の強化”Microsoft urges admins to patch on-premises Exchange servers
2023/01/26 BleepingComputer — 今日、Microsoft が公表したのは、オンプレミスの Exchange サーバに対する累積アップデート (CU: Cumulative Update) の適用であり、また、緊急のセキュリティ・アップデートに対しても、導入の準備を整えておくよう顧客に呼びかけた。Exchange サーバのアップデート・プロセスについて、同社は簡単だと述べているが、多くの管理者が同意しないかもしれない。具体的な手順として、アップデートをインストールした後には必ず、Exchange Server Health Checker スクリプトの実行を推奨しているという。
Continue reading “Exchange サーバと ProxyNotShell:緩和策では攻撃を防げないと Microsoft が警告”Microsoft plans to kill malware delivery via Excel XLL add-ins
2023/01/23 BleepingComputer — Microsoft が取り組んでいるのは、インターネットからダウンロードされた XLL アドインを、自動的にブロックする機能を追加することで、Microsoft 365 における XLL アドインを保護することである。それにより、この感染経路を悪用するマルウェア増加の傾向に、対処することが可能となる。Microsoft は、「この数カ月で増加しているマルウェア攻撃に対抗するため、インターネットからダウンロードされる XLL アドインを、ブロックするための対策を実施している」と述べている。同社によると、この新機能は 2023年3月から、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの、デスクトップ・ユーザーを対象に一般提供される予定だという。
Continue reading “Microsoft のマルウェア対策:Excel XLL add-in の制限が 2023年3月から始まる”Over 60,000 Exchange servers vulnerable to ProxyNotShell attacks
2023/01/03 BleepingComputer — オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の1つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明した。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明した。
Continue reading “Exchange Server の脆弱性 ProxyNotShell:60,000 台以上のサーバがパッチ未適用”APT Hackers Turn to Malicious Excel Add-ins as Initial Intrusion Vector
2022/12/28 TheHackerNews — インターネットからダウンロードされた Office ファイルの Visual Basic for Applications (VBA) マクロについて、Microsoft がデフォルトでのブロックを決定したことで、多くの脅威者が、この数カ月で攻撃方法を変更するようになった。Cisco Talos によると、APT (Advanced Persistent Threat) や各種のマルウェア・ファミリーは、イニシャルの侵入経路として Excel Add-in (.XLL) ファイルを使用する傾向を強めているとのことだ。
Continue reading “Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター”FIN7 hackers create auto-attack platform to breach Exchange servers
2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。
Continue reading “FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃”Conti Affiliates Black Basta, BlackByte Continue to Attack Critical Infrastructure
2022/11/08 InfoSecurity — 2022年の2月末から 7月中旬にかけて、BlackByte と Black Basta のデータ漏洩サイトに 81件の被害者組織が掲載された。そのうち 41% は欧州に拠点を置いており、大半がエネルギー/政府/運輸/製薬/施設/食品/教育などの主要インフラ分野に属している。残りの 59% は主に米国にあり、農業機械メーカー/小規模食料品チェーン/建設会社などの、複数の被害者が含まれている。
Continue reading “Conti は死んでいない:Black Basta/BlackByte へのリブランドと欧米インフラへの攻撃”FIN7 Hackers Leveraging Password Reuse and Software Supply Chain Attacks
2022/04/05 TheHackerNews — この FIN7 と名付けられたサイバー犯罪グループは、当初からのアクセス・ベクターを多様化させ、ソフトウェア・サプライチェーン侵害や、盗まれた認証情報の利用などを取り入れていることが、新しい調査により明らかになった。インシデント・レスポンス会社である Mandiant は月曜日のレポートで、「複数の組織における FIN7 による活動のあとに続く、データ盗難/ランサムウェア展開/技術的重複から、長年に渡り FIN7 の行為者は、様々なランサムウェア・オペレーションと関連していたことが示唆される」と述べている。
Continue reading “FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?”Russian Hackers Heavily Using Malicious Traffic Direction System to Distribute Malware
2022/01/19 TheHackerNews — サブスクリプション・ベースの Crimeware-as-a-Service (CaaS) ソリューションと、クラックされた Cobalt Strike のコピーの連携が確立され、脅威アクターによる侵入後の活動を支えるツールとして提供されていると、研究者たちは疑っている。この種のサービスだと言われる Prometheus の存在は、サイバー・セキュリティ企業である Group-IB が、悪意のソフトウェア配布キャンペーンの詳細を開示した 2021年8月に明らかにされた。
Continue reading “Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進”FBI: Hackers use BadUSB to target defense firms with ransomware
2022/01/07 BleepingComputer — 米連邦捜査局 (FBI) は、最近に更新された Flash Alert の中で、金銭的な動機を持つサイバー犯罪グループ FIN7 が、ランサムウェアを展開する悪意の USB デバイスが入ったパッケージを介して、米国の防衛産業を標的にしていると米国企業に警告した。この攻撃者たちは、LilyGO のロゴの付いた BadUSB/Bad Beetle USB デバイスが入ったパッケージを郵送している。
Continue reading “FBI 警告:米国の防衛産業を標的に悪意の USB デバイスが郵送されている”After Joker’s Stash shutdown, the market for stolen financial data looks a lot different
2021/12/20 CyberScoop — サイバー犯罪フォーラム Joker’s Stash が閉鎖されたことで、ダークウェブ上で取引される盗難ペイメントカード情報の市場全体に、持続性のある打撃が与えていると、研究者たちは指摘している。サイバー・セキュリティ企業である Group-IB によると、2020年半ばから2021年半ばにかけて、カーディング市場の規模は前年比で $1.9 billion から $1.4 billion に減少した。
Continue reading “サイバー犯罪フォーラム Joker’s Stash が閉鎖:金融データの闇市場が大きく変化している”
IoT OT Security News 