Hackers use Citrix Bleed flaw in attacks on govt networks worldwide
2023/11/01 BleepingComputer — Citrix Bleed と名付けられた 脆弱性CVE-2023-4966 を悪用する攻撃者が、南北アメリカ/ヨーロッパ/アフリカ/アジア太平洋地域の、政府/技術/法律などの組織を標的としている。Mandiant の研究者たちによると、現在進行中の4つのキャンペーンはCitrix NetScaler ADC/Gateway アプライアンスの脆弱性を標的としており、2023年8月下旬から攻撃が行われているようだ。
Continue reading “Citrix Bleed を解析:セッション・クッキー窃取と LOLBIN によるステルス化”Quasar RAT Leverages DLL Side-Loading to Fly Under the Radar
2023/10/23 TheHackerNews — Quasar RAT というオープンソースのリモート・アクセス型トロイの木馬は、DLL のサイドローディングを利用して感染させた Windows ホストから、水面下でデータを吸い上げることが確認されている。Uptycs の研究者である Tejaswini Sandapolla と Karthickkumar Kathiresan は、「この手法は、 Windows 環境内で ctfmon.exe/calc.exe ファイルが実行されるという、固有の信頼を利用している」と先週に発表した報告書で述べ、このマルウェアが攻撃チェーンの一部として、ctfmon.exe/calc.exe に依存していることを詳しく説明した。
Continue reading “Quasar RAT は DLL Side-Loading で忍び込む:正規の ctfmon/calc から悪意の DLL を起動”2023/10/07 DarkReading — 今日、統合型サイバーセ・キュリティのグローバル・リーダーである WatchGuard Technologies は、同社の Threat Lab が分析した、マルウェアのトップトレンドや、ネットワークとエンドポイントのセキュリティ脅威について詳述する、最新の Internet Security Report を発表した。この調査結果における要点としては、マルウェアの 95% が暗号化された接続を介して到達することについて、また、広範囲に広がるキャンペーンとエンドポイント・マルウェアの減少や、二重の恐喝攻撃の増加とランサムウェア検出数の減少、いまも悪用される古いソフトウェアの脆弱性の存在などが挙げられている。
Continue reading “WatchGuard Report によるマルウェア/ランサムウェア分析:統計値の増減からトレンドを読み解く”Akira Ransomware Mutates to Target Linux Systems, Adds TTPs
2012/09/23 DarkReading — 2023年3月に登場した Akira ランサムウェアは、それ以降において進化を続けている。その、攻撃範囲は当初の Windows システムから Linux サーバへと拡大され、数々の TTP (Tactics/Techniques/Procedures) を採用するようになっている。LogPoint の Akira に関する詳細なレポートでは、被害者のファイルを暗号化し、シャドウコピーを削除し、データ復旧との引き換えに身代金の支払いを要求するという、高度に洗練されたランサムウェアだと解説されている。その感染チェーンは、多要素認証のない Cisco ASA VPN を積極的にターゲットとし、脆弱性 CVE-2023-20269 をエントリポイントとして悪用するものだ。
Continue reading “Akira ランサムウェア:多様な戦術を用いて Linux システムを狙い始めている”Bumblebee malware returns in new attacks abusing WebDAV folders
2023/09/18 BleepingComputer — 2ヶ月ぶりに再登場した Bumblebee マルウェア・ローダーだが、4shared WebDAV サービスを悪用するという、新たな配布テクニックを用いている。WebDAV (Web Distributed Authoring and Versioning) とは、HTTP プロトコルの拡張機能であり、クライアントからリモート・オーサリング操作を実行し、Web サーバのコンテンツの作成/更新/削除などを可能にするものだ。Intel471 の研究者たちによると、2023年9月7日に開始された Bumblebee の最新キャンペーンは、4shared WebDAV サービスを悪用してローダーを配布し、攻撃チェーンを取り込むことで、いくつかの感染後アクションを実行していくという。
Continue reading “Bumblebee マルウェアが再登場:WebDAV サービスを悪用する新たなキャペーンを展開”BlackCat ransomware hits Azure Storage with Sphynx encryptor
2023/09/16 BleepingComputer −−− BlackCat (ALPHV) ランサムウェア・グループが、窃取した Microsoft アカウントと、最近に発見された Sphynx 暗号化ツールを用いて、ターゲットの Azure クラウド・ストレージを暗号化しているようだ。最近に発生した情報漏えいを調査していた、Sophos X-Ops のインシデント・レスポンス担当者たちが、カスタム認証情報の利用がサポートされた、Sphynx の亜種の運用を発見した。この脅威アクターは、窃取したワンタイム・パスワード (OTP:One-Time Password) を用いて Sophos Central アカウントにアクセスした後に、改ざん防止機能を無効化し、セキュリティ・ポリシーを変更していた。これらの操作は、LastPass Chrome エクステンションを使用して、被害者の LastPass ヴォールトから OTP を盗んだ後に行われていたという。
Continue reading “BlackCat ランサムウェア:Sphynx 暗号化ツールで Azure Storage を攻撃”CISA Warning: Nation-State Hackers Exploit Fortinet and Zoho Vulnerabilities
2023/09/08 TheHackerNews — Fortinet FortiOS SSL-VPN と Zoho ManageEngine ServiceDesk Plus の脆弱性を悪用する複数の APT が、侵害したシステムに不正アクセスし、永続性を確立していると、9月12日に CISA が警告した。また、FBI および CNMF との共同アラートには、「国家レベルの APT が脆弱性 CVE-2022-47966 を悪用して、インターネットに公開された Zoho ManageEngine ServiceDesk Plus に不正アクセスし、永続性を確立し、横方向へ移動していると」と記されている。
Continue reading “CISA 警告:Fortinet と Zoho の既知の脆弱性が国家支援ハッカーに狙われている”Hackers Can Exploit Windows Container Isolation Framework to Bypass Endpoint Security
3023/08/30 TheHackerNews — マルウェア検出回避テクニックを活用する脅威アクターたちが、Windows Container Isolation Framework を操作することで、エンドポイント・セキュリティ・ソリューションを回避できる可能性が、新たな調査により判明した。この調査結果は、Deep Instinct のセキュリティ研究者である Daniel Avinoam が、8月の初めに開催された DEF CON セキュリティ・カンファレンスで発表したものだ。Microsoft のコンテナ・アーキテクチャ (Windows Sandbox) は、動的に生成されるイメージと呼ばれるものを用いて、それぞれのコンテナとホストの間でファイル・システムを分離し、また、システム・ファイルの重複を回避するものだ。
Continue reading “Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避”Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege
2023/08/28 TheHackerNews — Microsoft Entra ID (旧 Azure Active Directory) アプリケーションに関連する問題として、放棄された返信 URL の悪用により特権昇格が生じるケースがあることを、サイバー・セキュリティ研究者たちが発見した。Secureworks の CTU (Counter Threat Unit) は、「この放棄された URL の悪用に成功した攻撃者は、認証コードを自分自身にリダイレクトし、不正に入手した認証コードをアクセストークンと交換できる。その後に攻撃者は、中間層のサービスを介して Power Platform API を呼び出し、昇格した権限を取得する」と、先週に発表したテクニカル・レポートの中で述べている。
Continue reading “Microsoft Entra ID (Azure AD) で権限を昇格させる方法:専門家たちが手口を解明”Microsoft: Stealthy Flax Typhoon hackers use LOLBins to evade detection
2023/08/25 BleepingComputer — 政府組織/教育機関/製造業/情報技術などの分野を、スパイ目的で狙う新たなハッキング・グループ Flax Typhoon を、Microsoft が特定した。この脅威アクターは、ほとんどマルウェアには依存せずに、被害者ネットワークへのアクセスを獲得/維持している。つまり、LOLBin (living-off-the-land binaries) や正規のソフトウェアを、オペレーティング・システム上で既に利用可能なコンポーネントとして好んで使用している。
Continue reading “Flax Typhoon という中国ハッカー:政府組織/教育機関/製造業/IT 分野などを攻撃 – Microsoft”Proxyjacking and Cryptomining Campaign Targets GitLab
2023/08/18 InfoSecurity — LABRAT と呼ばれる、金銭的な動機に基づく新たなオペレーションが、Sysdig のセキュリティ研究者たちにより発見された。このキャンペーンの目的は、クリプト・マイニングとプロキシ・ジャッキングで利益を得ることであり、様々なテクニックを使って身を潜めるように設計されている。プロキシ・ジャッキングとは、攻撃手法の1つであり、攻撃者が被害者のシステムを侵害して、不正な操作などを行うものだ。LABRAT のオペレーターは、既知の GitLab のリモート・コード実行の脆弱性 CVE-2021-22205 を悪用して、標的のコンテナを侵害していた。
Continue reading “LABRAT というキャンペーン:GitLab の脆弱性 CVE-2021-22205 を悪用してシステムに侵入”Hackers can abuse Microsoft Office executables to download malware
2023/08/03 BleepingComputer — LOLBAS ファイル (Windows に存在し、悪用される可能性のある正規のバイナリやスクリプト) のリストには、Microsoft の電子メール・クライアント Outlook や、データベース管理システム Access の主要な実行ファイルが、まもなく含まれることになる。Microsoft Publisher アプリケーションのメイン実行ファイルに関しては、リモート・サーバからペイロードをダウンロードできることが、すでに確認されている。なお、LOLBAS とは、Living-off-the-Land Binaries and Scripts の略であり、Windows OS でネイティブのもの、また、Microsoft からダウンロードされた、署名付きファイルのことを指す。
Continue reading “LOLBAS という難題:Microsoft Office がステルス性マルウェア・ローダーになり得る”Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks
2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。
Continue reading “Volt Typhoon という中国ハッカー:重要インフラを攻撃する手口が明らかになってきた”Fortinet: New FortiOS RCE bug “may have been exploited” in attacks
2023/06/12 BleepingComputer — 先週パッチが適用された FortiOS SSL VPN の深刻な脆弱性だが、政府機関/製造業/重要インフラ組織に影響を与える攻撃において、悪用された可能性があると、Fortinet が発表した。この脆弱性 CVE-2023-27997 (FG-IR-23-097) は、FortiOS および FortiProxy SSL-VPN におけるヒープバッファ・オーバーフローに起因し、悪意を持って細工されたリクエストを介して、認証されていない攻撃者にリモートコード実行 (RCE) を許すものだ。
Continue reading “Fortinet の脆弱性 CVE-2023-27997 が悪用されている:Volt Typhoon が攻撃?”US Navy hit by Chinese hacking campaign, report says
2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府/通信/製造/IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。
Continue reading “米海軍 グアムの IT インフラにハッカーが侵入:China 対 Five Eyes の情報戦が始まる?”Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs
2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。
Continue reading “Volt Typhoon という中国の APT:グアムの重要インフラへの攻撃を Microsoft が検知”Dark Pink APT Group Deploys KamiKakaBot Against South Asian Entities
2023/03/13 InfoSecurity — Dark Pink として知られる脅威アクターが、ASEAN (東南アジア諸国連合) 諸国の複数の政府機関に対する KamiKakaBot マルウェアの配布に関与していたことが判明した。先週に EclecticIQ の研究者たちは、2023年2月に行われた攻撃に関するレポートを公開した。このレポートでは、「この新しいキャンペーンでは、東南アジア諸国の軍事/政府機関に対するソーシャル・エンジニアリングのルアーとして、ヨーロッパと ASEAN 諸国の交流関係が悪用されている可能性が非常に高い。EclecticIQ の研究者たちは、このグループの国籍を特定するだけの決定的な証拠を得ていないが、攻撃者の目的や行動パターンから、Dark Pink は中国の APT グループであろうと考えている」と説明されている。
Continue reading “Dark Pink は中国の APT グループ:ASEAN 諸国の政府機関に KamiKakaBot を配布”BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection
2022/12/27 TheHackerNews — Lazarus Group のサブクラスタである BlueNoroff だが、Windows の Mark of the Web (MoTW) 保護を回避するための、新しい技術を採用していることが確認されている。今日の Kaspersky レポートによると、光ディスクイメージ (拡張子.ISO) および仮想ハードディスク (拡張子.VHD) ファイル形式を用いる、新たな感染チェーンが追加されているとのことだ。セキュリティ研究者である Seongsu Park は、「BlueNoroff は、ベンチャー・キャピタル企業や銀行を装う、多数の偽ドメインを作成している。2022年9月のテレメトリ測定において、この新しい攻撃手順にフラグが立てられた」と述べている。
Continue reading “BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避”Experts analyzed the evolution of the Emotet supply chain
2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。
Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”
IoT OT Security News 