“Gitgub” Malware Campaign Targets Github Users With Risepro Info-Stealer
2024/03/17 SecurityAffairs — RisePro インフォ・スティーラーを配信するように設計され、クラック済みのソフトウェアをホストする、少なくとも 13 の GitHub リポジトリを、G-Data の研究者たちが発見した。専門家たちが気づいたのは、このキャンペーンの運営者が、”gitgub” という名称を用いていたことだ。悪意の GitHub リポジトリに関する Arstechnica の情報を得て、研究者たちは調査を開始した。彼らは、このキャンペーンに関与しているリポジトリを特定するために、脅威ハンティング・ツールを作成した。その結果として判明したのは、すべてのリポジトリが同じダウンロード・リンクにつながるという、新たに作成されたリポジトリの存在である。
Continue reading ““gitgub” というマルウェア・キャンペーン:GitHub ユーザーにRisePro インフォ・スティーラーを配布”Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoor
2024/02/12 BleepingComputer — Ivanti Connect Secure/Policy Secure/ZTA Gateway の SSRF (Server-Side Request Forgery) 脆弱性の悪用に成功した攻撃者が、脆弱なデバイス上に新しい DSLog バックドアを展開していることが分かった。この脆弱性 CVE-2024-21893 は、2024年1月31日にアクティブに悪用されるゼロデイとして公開されたものであり、Ivanti からはセキュリティ・アップデートと緩和策が共有されている。
Continue reading “Ivanti の SSRF 脆弱性 CVE-2024-21893:新たな DSLog バックドアの展開に悪用される”Malware-as-a-Service Now the Top Threat to Organizations
2024/02/06 InfoSecurity — Darktrace の最新の研究によると、2023年下半期に、組織にとっての最大の脅威となったのは、MaaS (Malware-as-a-Service) 感染だったという。Darktrace の 2023 年の “End of Year Threat Report” では、多くのマルウェアが機能横断的に適応していることが強調されている。そこに含まれるものには、リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojans) のようなマルウェア・ローダーと、情報窃取型マルウェアとの組み合わせも存在する。
Continue reading “MaaS 感染が最大の脅威:2023年下半期のサイバー攻撃 – Darktrace 調査”New variant of Mispadu Stealer is Exploiting CVE-2023-36025 Vulnerability
2024/02/04 SecurityOnline — 悪名高い Mispadu Stealer インフォ・スティーラーは、2019年以降のラテンアメリカ (LATAM) において、主にスペイン語/ポルトガル語圏の被害者を標的としている。最近になって Unit 42 の研究者たちが、Mispadu Stealer の現状/進化に関連する重要な情報を取得し、このマルウェアが悪用する SmartScreen の脆弱性に注目している。
Continue reading “Mispadu Stealer の亜種:Microsoft SmartScreen の CVE-2023-36025 を悪用”Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines
2024/01/29 TheHackerNews — Python Package Index (PyPI) レポジトリ上で発見されたのは、WhiteSnake Stealer という情報窃取型マルウェアを、Windows システム上に配布する悪意のパッケージである。それらのマルウェアが埋め込まれたパッケージの名前は、nigpal/figflix/terer/seGMM/fbdebug/sGMM/myGens/NewGends/TestLibs111 である。そして、これらのパッケージをアップロードしているのは “WS “という脅威アクターだと、サイバーセキュリティ研究者たちは述べている。
Continue reading “PyPI に新たな悪意のパッケージ: Windows デバイス上に WhiteSnake マルウェアを展開”Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion
2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。
Continue reading “Phemedrone スティーラー:Windows の脆弱性 CVE-2023-36025 を悪用している”“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers
2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。
Continue reading “PyPI に潜む Blank Grabber マルウェア:Python 開発者たちを狙い続ける”New Version Of Meduza Stealer Released In Dark Web
023/12/29 SecurityAffairs — クリスマス・イブの夜に Resecurity の HUNTER 部隊は、透視型パスワード・スティーラーである Meduza の作者が、新バージョン 2.2 をリリースしたことを発見した。重要かつ主要な変更点には、より多くのソフトウェア・クライアント (ブラウザ/ウォレット・ベース) のサポートに加えて、アップグレードされたクレジットカード (CC) グラバーがある。そして、各種プラットフォーム上でパスワード・ストレージ・ダンプし、認証情報とトークンを抽出するための高度なメカニズムである。これら機能を総合する Meduza は、サイバー犯罪者による ATO (account takeover)/オンライン・バンキング情報窃取/金融詐欺において、Azorult/Redline/Racoon/Vidar Stealer の強力なライバルになるだろう。
Continue reading “Meduza Stealer の新バージョン:106種類のブラウザと 107 種類の暗号通貨ウォレットに対応”Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts
2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。
Continue reading “OAuth エンドポイント MultiLogin:Google 認証クッキー復元の PoC もリリース”Info Stealers And How To Protect Against Them
2023/12/18 SecurityAffairs — インフォ・スティーラーとは、その名の通り、その他のマルウェアと同様に企業や個人のユーザーを麻痺させる可能性があるものだ。この種のマルウェアを、どのように防御すればよいのだろうか。インフォ・スティーラーは、情報窃盗とも呼ばれ、被害者のコンピュータやネットワークから機密情報や個人情報を密かに収集するように設計された、悪意のマルウェアの一種である。それらのマルウェアは、ログイン情報/財務情報/個人情報などの貴重なデータを盗むことを目的として作成されている。
Continue reading “インフォ・スティーラーが台頭した 2023年:一般的なマルウェアとの違いは?”RedLine Stealer Malware Deployed Via ScrubCrypt Evasion Tool
2023/11/30 InfoSecurity — RedLine Stealer マルウェアによりユーザー組織を標的にするために、ScrubCrypt という難読化ツールの新バージョンが使用されていると、詐欺センサー・ネットワークの Human Security が警告している。Human の Satori Threat Intelligence Team は、ダークウェブで販売されている ScrubCrypt の新たなビルドを発見した。そして、RedLine Stealer によるアカウント乗っ取りや詐欺において、このビルドの利用が確認されたと述べている。
Continue reading “RedLine マルウェアと ScrubCrypt 難読化ツール:脅威アクターたちの最新テクニックを解析”Booking.com Customers Scammed in Novel Social Engineering Campaign
2023/11/30 InfoSecurity — Secureworks の新しい調査によると、Booking.com の顧客が斬新なソーシャル・エンジニアリング・キャンペーンの標的となり、サイバー犯罪者にとって大きな利益をもたらしているという。研究者たちによると、このキャンペーンは遅くとも1年前から行われているようだ。最初に、Vidar infostealer を介して、パートナー・ホテルの Booking.com 認証情報にアクセスする。続いて、この情報を悪用して Booking.com の顧客にフィッシング・メールを送り、支払い情報を渡すように騙して、金銭を盗み出すというインシデントが多発している。
Continue reading “Booking.com を介したソーシャル・エンジニアリング:巧妙なキルチェーンを解説”Atomic Stealer malware strikes macOS via fake browser updates
2023/11/25 BleepingComputer — ClearFake という名の偽ブラウザ・アップデート・キャンペーンが macOS にも拡大し、Atomic Stealer (AMOS) マルウェアによる、Apple コンピュータの標的化が進んでいるという。2023年7月に始まった、Windows ユーザーを標的とする ClearFake キャンペーンは、JavaScript インジェクションを介して侵害したサイト上に、偽の Chrome アップデート・プロンプトを表示するものだ。
Continue reading “Mac ユーザーを狙う偽のブラウザ・アップデート:Atomic Stealer というマルウェアが配布される”New Ransomware Group Emerges with Hive’s Source Code and Infrastructure
2023/11/13 TheHackerNews — Hunters International という新たなランサムウェアを操る脅威アクターが、すでに解体された Hive オペレーションからソースコードとインフラを入手して、独自の脅威活動を開始した。Bitdefender の Technical Solutions Director である Martin Zugec は、先週に発表したレポートの中で、「Hive の活動が停止した後に、そのリーダーは、残された資産を別のグループ Hunters International に譲渡するという、戦略的決定を下したようだ」と述べている。
Continue reading “Hunters International というランサムウェア集団:Hive のソースコードとインフラを再利用”New BunnyLoader threat emerges as a feature-rich malware-as-a-service
2023/10/02 BleepingComputer —
セキュリティ研究者たちがハッカー・フォーラムで発見した新しい MaaS (Malware-as-a-Service) は、システム・クリップボードの内容を盗んで置き換えることができるファイルレス・ローダーであり、BunnyLoader と名付けられている。このマルウェアの開発は急速に進んでおり、新機能の追加やバグ修正が行われたアップデート版が提供されている。現時点で提供されている機能としては、ペイロードのダウンロードと実行/キーログの収集/機密データと暗号通貨の窃取/リモートコマンド実行などがある。
Continue reading “BunnyLoader は最強の Malware-as-a-Service:信じられないスピードで機能を強化している”Raccoon Stealer malware returns with new stealthier version
2023/08/15 BleepingComputer — 情報スティーラー・マルウェア Raccoon Stealer の開発者は、そのマルウェアの新バージョン 2.3.0 をサイバー犯罪者たちに宣伝するために、6ヶ月間の休暇を終えてハッカーフォーラムに復帰した。Raccoon は、最も有名かつ広範に利用されている情報スティーラー・マルウェアの1つであり、2019年から存在し、月額 $200 のサブスクリプションを通じて脅威アクターたちに販売されている。
Continue reading “Raccoon Stealer が復活:使い勝手と検出回避の能力を高めているようだ”Chrome malware Rilide targets enterprise users via PowerPoint guides
2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome/Edge/Brave/Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。
Continue reading “Rilide という最凶の Chrome エクステンション:PowerPoint ファイルなどがルアー”New Infostealer Uncovered in Phishing Scam Targeting Facebook Business Accounts
2023/08/01 InfoSecurity — Facebook のビジネス・アカウントを乗っ取るために、新種の情報スティーラーを用いるフィッシング・キャンペーンが、Unit 42 の研究者たちにより発見された。この、ベトナムの脅威アクターによると思われる、過去1年間にわたるキャンペーンは、広告詐欺などを目的として Facebook ビジネス・アカウントを標的とする、攻撃者が増加しているトレンドの一部とされている。ベトナムとの関連性については、Python スクリプトの文字列の多くがベトナム語で書かれているなどの、いくつかの要因に基づいて判断されている。
Continue reading “Facebook のビジネス・アカウントが標的:新種の情報スティーラー NodeStealer 2.0 とは?”IcedID Malware Adapts and Expands Threat with Updated BackConnect Module
2023/07/28 TheHackerNews — IcedID マルウェア・ローダーに関与する脅威アクターが、ハッキング済のシステムでの活動に使用さする BackConnect (BC) モジュールにアップデートを施していることが、Team Cymru の新たな調査結果で明らかになった。IcedID は BokBot とも呼ばれ、Emotet や QakBot に似たマルウェアの一種であり、2017年にバンキング型トロイの木馬として始まり、その後に他のペイロードのインシャル・アクセスを促進する役割へと移行している。このマルウェアの最新バージョンでは、ランサムウェアの配信を優先するために、オンライン・バンキング詐欺に関連する機能が削除されていることも確認されている。
Continue reading “IcedID の BackConnect モジュールの進化:被害者をプロキシとして悪用するケースも”New SOHO Router Botnet AVrecon Spreads to 70,000 Devices Across 20 Countries
2023/07/14 TheHackerNews — SOHO (Small Office/Home Office) ルーターを2年以上にわたって密かに標的とし、70,000台以上のデバイスに侵入した上で、20カ国にまたがる 40,000 ノードのボットネットを構築した、新種のマルウェアが発見された。Lumen Black Lotus Labs により、AVrecon と名付けられたマルウェアは 、この1年間において SOHO ルーターに焦点を当てた、 ZuoRAT と HiatusRAT に続く3番目のマルウェアとなった。Black Lotus Labs は、「AVrecon は、SOHO ルーターを標的とするボットネットとしては、過去最大級のものである。このキャンペーンの目的は、パスワードの散布からデジタル広告詐欺に至るまで、さまざまな犯罪行為を下支えする秘密のネットワークの構築にあるようだ」と述べている。
Continue reading “AVrecon という SOHO Router ボットネット:20カ国の 70,000 万台のデバイスを制御”RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors
2023/07/05 TheHackerNews — RedEnergy と名付けられた高度なランサムウェアの脅威が、ブラジルとフィリピンの公共/電力/石油/ガス/テレコム/機械などの部門を標的として、LinkedIn のページを介した野放し状態での攻撃を行っていることが発見された。Zscaler の研究者である Shatak Jain と Gurkirat Singh は、「このマルウェアは各種のブラウザから情報を盗み出す能力を持ち、機密データの流出を可能にすると同時に、ランサムウェア活動を実行するための、さまざまなモジュールを組み込んでいる」と、最近の分析結果を説明している。研究者たちは、被害者に最大限の損害を与えることを目的として、データ窃盗と暗号化を組み合わせていると指摘している。
Continue reading “RedEnergy という Stealer-as-a-Ransomware:ブラジルとフィリピンのインフラを攻撃している”Evasive Meduza Stealer Targets 19 Password Managers and 76 Crypto Wallets
2023/07/03 TheHackerNews — CaaS (Crimeware-as-a-Service) エコシステムが収益を上げている、新たな兆候が見つかった。ソフトウェア・ソリューションによる検出を回避し、活発に開発が継続されている Windows ベースの Meduza Stealer を、Uptycs のサイバー・セキュリティ研究者たちが発見したという。Uptycs は、「Meduza ステーラーが持つ唯一の目的は、包括的なデータ窃盗である。ユーザーのブラウジング活動を盗み出し、ブラウザに関連する各種のデータを抽出している。重要なログイン認証情報から、貴重な閲覧の履歴を綿密に記録/管理したブックマークにいたるまで、あらゆるデジタル成果物の安全性を脅かしている。暗号ウォレット・エクステンション/パスワード管理機能、2FA 拡張機能でさえも脆弱である」と述べている。
Continue reading “Meduza Stealer という Crimeware-as-a-Service:徹底的な情報窃取で収益を上げている”New Mockingjay process injection technique evades EDR detection
2023/06/27 BleepingComputer — Mockingjay と名付けられた、新しいプロセス・インジェクションの手法により、脅威たちは EDR (Endpoint Detection and Response) などのセキュリティ製品による検知を回避し、侵害したシステム上で悪意のコードを密かに実行できるという。この手法を発見したのは、サイバー・セキュリティ企業 Security Joes の研究者たちである、具体的に言うと、RWX (Read/Write/Execute) セクションを持つ正規の DLL を利用して、EDR のフックを回避し、リモート・プロセスにコードを注入するものとなる。
Continue reading “Mockingjay という新たなプロセス・インジェクションの手法:既存の EDR 検出を回避していく”New RDStealer malware steals from drives shared over Remote Desktop
2023/06/20 BleepingComputer — RedClouds として追跡されているサイバースパイ/ハッキングのキャンペーンは、カスタム・マルウェア RDStealer を使用し、Remote Desktop 接続を介して共有されたドライブから、データを自動的に盗み出すものだ。この、Bitdefender Labs が発見した悪質なキャンペーンは、2022年以降において東アジアのシステムを標的にしていることが確認されている。このキャンペーンを、特定の脅威アクターによるものと断定はできないが、国家に支援される洗練された APT レベルの技術を持ち、関心の対象は中国と一致しているという。
Continue reading “RDStealer という強力なマルウェアが登場:RDP 侵害に特化した機能で東アジアを狙っている”New Mystic Stealer Malware Targets 40 Web Browsers and 70 Browser Extensions
2023/06/19 TheHackerNews — Mystic Stealer と呼ばれる新たな情報窃取マルウェアが、約40種類の Web ブラウザと70種類以上の Web ブラウザ・エクステンションから、データを窃取できることが判明した。2023年4月25日に、このマルウェアは、月額 $150 という価格で発売されていたが、そこで採用されるメカニズムは、暗号通貨ウォレット/Steam/Telegram などを標的にするものであり、分析にも抵抗するという。InQuest と Zscaler の研究者たちは、「そのコードは、ポリモーフィック文字列難読化/ハッシュベースのインポート解決/定数のランタイム計算を使用して、高度に難読化されている」と、先週に発表された分析で述べている。
Continue reading “Mystic Stealer という新種のマルウェア:40 の Web ブラウザと 70 のエクステンションが標的”New Horabot campaign takes over victim’s Gmail, Outlook accounts
2023/06/01 BleepingComputer — Hotabot ボットネット・マルウェアを取り込んだ、未知のキャンペーンが、遅くとも 2020年11月以降において、ラテン・アメリカのスペイン語圏のユーザーを標的とし、バンキングトロイの木馬とスパム・ツールの感染を広めていた。このマルウェアにより、被害者の Outlook/Gmail/Hotmail/Yahoo のメール・アカウントを制御した攻撃者は、受信箱に届くメールデータや 2FA コードを盗み出し、侵害したアカウントからフィッシング・メールを送信していたようだ。この新しい Horabot とういうマルウェアは、Cisco Talos のアナリストたちにより発見され、その背後にいる脅威アクターは、ブラジルに拠点を置いている可能性が高いと報告されている。
Continue reading “Horabot マルウェア:Outlook/Gmail などを狙う多段階のフィッシング・チェーン”Beware of Ghost Sites: Silent Threat Lurking in Your Salesforce Communities
2023/05/31 TheHackerNews — Salesforce Sites and Communities (別名 Experience Cloud) が不適切に無効化され、さらに放置されている場合おいて、機密データへの不正アクセスなどが生じ、組織に深刻なリスクをもたらす恐れがあるという。データセキュリティ企業である Varonis は、放置され、保護されず、監視されていないリソースを、Ghost Sites と呼んでいる。
Continue reading “Salesforce Communities の Ghost Sites という問題:脅威アクターたちが狙っているかもしれない”Once Again, Malware Discovered Hidden in npm
2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ/レジストリに存在する、“nodejs-encrypt-agent” という名前の2つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。
Continue reading “npm で発見された悪意のライブラリ:正規パッケージを装う TurkoRat マルウェア”Stealthy MerDoor malware uncovered after five years of attacks
2023/05/15 BleepingComputer — 南アシア/東南アジアの政府機関/航空機関/通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立/コマンドの実行/キーロギングを行ってきたことだ。
Continue reading “MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec”Fake in-browser Windows updates push Aurora info-stealer malware
2023/05/10 BleepingComputer — 先日に発見された不正広告キャンペーンは、ブラウザ内の Windows アップデート・シミュレーションでユーザーを騙し、情報窃取マルウェア Aurora を配信するものだ。Golang で書かれた Aurora は、広範な機能を持ち、アンチウイルス検出率が低い情報シティーラーとして、1年以上も前から各種ハッカー・フォーラムで公開されている。Malwarebytes の研究者たちによると、このマルバーター作戦は、トラフィックの多いアダルト・コンテンツの Web サイト上のポップ・アンダー広告を用いて、そこを訪れた潜在的な被害者を、マルウェア提供場所へとリダイレクトさせるものだという。
Continue reading “Windows のフェイク・アップデートが登場:Aurora 情報スティーラーをプッシュしている”Facebook disrupts new NodeStealer information-stealing malware
2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta/Gmail/Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。
Continue reading “Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明”Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics
2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。
Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”Hackers leak images to taunt Western Digital’s cyberattack response
2023/05/01 BleepingComputer — BlackCat という名で活動する ALPHV ランサムウェア・オペレーションだが、Western Digital から盗んだとする内部メールやビデオ会議のスクリーン・ショットを公開し、同社が侵害に対応する間もシステムにアクセスし続けていた可能性が高いことを示した。この情報の開示は、4月17日に脅威アクターが Western Digital に対して、身代金が支払われない場合は、我慢できないところまで痛めつけると、警告した後のことである。
Continue reading “Western Digital のデータ侵害:脅威アクター ALPHV からの脅迫がエスカレート”ViperSoftX info-stealing malware now targets password managers
2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。
Continue reading “ViperSoftX 情報スティーラー:KeePass/1Password も標的にする最凶のマルウェアとは?”North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec
2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。
Continue reading “3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec”Takedown of GitHub Repositories Disrupts RedLine Malware Operations
2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ/サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。
Continue reading “RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!”Researchers Uncover 7000 Malicious Open Source Packages
2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを3月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。
Continue reading “悪意のオープンソース・パッケージが約 7,000 個も発見された – Sonatype 調査”North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack
2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows/macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。
Continue reading “3CX VoIP サプライチェーン攻撃:北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用”Attackers Hide RedLine Stealer Behind ChatGPT, Google Bard Facebook Ads
2023/04/12 DarkReading — サイバー犯罪者たちは、Facebook のビジネスページやコミュニティページを乗っ取り、ChatGPT や Google Bard などの正規のスポンサーを装い、AI チャットボットの無料ダウンロードを宣伝する広告を展開している。それらの広告に誘導されたユーザーは、AI チャットボットではなく、RedLine Stealer と呼ばれる有名な情報スティーラー・マルウェアをダウンロードしていることが、研究者たちの調査により判明した。RedLine Stealer とは、オンライン・ハッカー・フォーラムを通じて販売されている Malware-as-a-Service (MaaS) プラットフォームだ。Web ブラウザを標的にして、認証情報や支払いカードの詳細などの、様々なユーザー情報を収集する。さらに、次の攻撃にむけて攻撃対象領域を評価するために、システムのインベントリを取得する。
Continue reading “Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラーを配布している”New MacStealer macOS malware steals passwords from iCloud Keychain
2023/03/27 BleepingComputer — Mac ユーザーを標的とする、MacStealer とう名の新たな情報スティーラー・マルウェアが、iCloud KeyChain や Web ブラウザに保存されている認証情報や暗号通貨ウォレットなどの、機密ファイルなどを窃取しているようだ。この MacStealer は、Malware-as-a-Service (MaaS) として配布されており、開発者はプレメイドのビルドを $100 で販売し、購入者はキャンペーンでマルウェアを拡散している。Uptycs 脅威研究チームが発見した MacStealer は、macOS Catalina 10.15 〜 Ventura 13.2 の環境で動作するという。
Continue reading “MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取”Nexus: A New Rising Android Banking Trojan Targeting 450 Financial Apps
2023/03/23 TheHackerNews — Nexus という名の新たな Android バンキング・トロイの木馬は、450種類の金融アプリケーションを標的とした詐欺において、すでに脅威アクターたちにより採用されている。今週に発表したレポートの中で、イタリアのサイバー・セキュリティ企業 Cleafy は、「Nexus は開発の初期段階にあるようだ。Nexus は、銀行ポータルや暗号通貨サービスに対して、認証情報の窃取や SMS の傍受といった ATO 攻撃 (Account Takeover) を行うための、すべての主要な機能を備えている」と述べている。
Continue reading “Nexus というバンキング・トロイの木馬:450 種類の金融アプリがターゲット”Experts Identify Fully-Featured Info Stealer and Trojan in Python Package on PyPI
2023/03/02 TheHackerNews — 完全な機能を備えた情報スティラーとリモート・アクセス型トロイの木馬を含む、悪意の Python パッケージが、PyPI (Python Package Index) にアップロードされていたことが判明した。この、colorfool と名付けられたパッケージは、Kroll の Cyber Threat Intelligence Team により発見され、このマルウェア自体は Colour-Blind と呼ばれている。Kroll の研究者である Dave Truman と George Glass は、「Colour-Blind マルウェアは、他から調達したコードから複数の亜種を生成する。つまり、サイバー犯罪の不偏化により、脅威が激化していく可能性を示している」と、The Hacker News と共有したレポートで述べている。
Continue reading “PyPI に colorfool という悪意のパッケージが登場:情報スティーラー/RAT を配布”Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware
2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。
Continue reading “PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける”
IoT OT Security News 