Subscription Trojan Downloaded 600K Times From Google Play
2023/05/05 InfoSecurity — セキュリティ研究者たちが発見した新しいトロイの木馬型マルウェアは、Google Play から提供される 11種類の Android アプリ内に潜み、620,000 台以上のデバイスにインストールされているというものだ。Kaspersky により Fleckpe と命名された、このマルウェアは Jocker および Harly 系統に類似しており、2022年から活動を開始している。このマルウェアは、被害者を密かにプレミアム・サービスに加入させ、ユーザーが気づかない間にオペレーターに収益をもたらすように設計されている。
Continue reading “Fleckpe というトロイの木馬:Google Playから 60万回ダウンロードされている”New Android Malware ‘FluHorse’ Targeting East Asian Markets with Deceptive Tactics
2023/05/05 TheHackerNews — Flutter ソフトウェア開発フレームワークを悪用した、FluHorse という名の新たな Android マルウェア系統を配布する、電子メール・フィッシング・キャンペーンが、東アジア・マーケットの様々な分野で展開されていることが判明した。Check Point のテクニカル・レポートには、「このマルウェアは、正規のアプリケーションを模倣した、複数の悪意の Android アプリケーションに仕込まれ、その大半が 100万回以上もインストールされている。これらの悪意のあるアプリは、被害者の認証情報と二要素認証 (2FA) コードを盗み出す」と記されている。
Continue reading “FluHorse は新たな Android マルウェア:検出を巧みに回避して認証情報などを窃取”Hackers start using double DLL sideloading to evade detection
2023/05/03 BleepingComputer — Dragon Breath/Golden Eye Dog/APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。 これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。
Continue reading “DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos”Facebook disrupts new NodeStealer information-stealing malware
2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta/Gmail/Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。
Continue reading “Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明”Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics
2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。
Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”North Korea-linked ScarCruft APT uses large LNK files in infection chains
2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。
Continue reading “ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point”New ‘Lobshot’ hVNC Malware Used by Russian Cybercriminals
2023/05/01 SecurityWeek — ロシアのサイバー犯罪グループ TA505 が、最近の攻撃で新たな hVNC (Hidden Virtual Network Computing) マルウェアを使用していると、脅威情報会社 Elastic が報告している。この、Lobshot と呼ばれるマルウェアは、不正検知エンジンを回避し、感染させたマシンに対して、攻撃者によるステルス・アクセスを可能にする。その攻撃は、Google 広告や偽サイトのネットワークを悪用して、ユーザーを騙すところから始まる。そして、バックドアを含む正規のインストーラをダウンロードさせる、マルバタイジングにより配布されていく。
Continue reading “hVNC は高スティルス性のマルウェア:ロシアの犯罪グループ Lobshot が API を介して悪用”White hat hackers showed how to take over a European Space Agency satellite
2023/04/30 SecurityAffairs — 宇宙産業のサイバー・セキュリティに特化した、欧州のイベントである CYSAT の第3回目が開催された。同イベントで ESA (European Space Agency) は、衛星のテスト・ベンチを設置し、ホワイトハット・ハッカーを招き、デモンストレーション目的で運用している超小型衛星 OPS-SAT を制御する試みを行った。そこで、Thales の Offensive Cybersecurity Team は、世界初の倫理的衛星ハッキング演習とされる、ESA 衛星の制御方法を実演した。
Continue reading “人工衛星の乗っ取りを実演:Thales が証明した制御方法とは?”ViperSoftX info-stealing malware now targets password managers
2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。
Continue reading “ViperSoftX 情報スティーラー:KeePass/1Password も標的にする最凶のマルウェアとは?”Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive
2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト/カナダ/マレーシアといった、遠方の国々へと広がっている。
Continue reading “北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査”Global Cyber Attacks Rise by 7% in Q1 2023
2023/04/28 InfoSecurity — 2023年 Q1 におけるサイバー攻撃は、昨年同期と比較して全世界で 7% 増加し、調査対象となった各企業は、平均で 1248件/週の攻撃に直面していることが判明した。この数字は、Check Point の最新調査レポートによるものであり、教育/研究の分野が最も多くの攻撃を受け、平均で 2507件/週 (前年比で 15% 増) まで上昇したことも示されている。このレポートには、「攻撃の量は僅かな上昇に留まっているが、正規のツールを武器化する方法を見つけ出したサイバー犯罪者による、洗練された悪意のキャンペーンを目撃している」と記されている。
Continue reading “2023年 Q1 のサイバー攻撃:グローバルでの件数は 7% の増加 – Check Point 調査”Minecraft Clones with 35 Million Installs Contained Adware
2023/04/28 InfoSecurity — Google Play からダウンロードした Minecraft 風のモバイル・ゲーム数十本に、秘密のアドウェアが含まれていたことが McAfee の調べで明らかになった。McAfee によると、Block Box Master Diamond/Craft Monster Crazy Sword/Craft Rainbow Mini Builder といったタイトルのゲーム計 38本が発見され、世界中で少なくとも 3500万人のユーザーがインストールしたことを明らかにした。McAfee が検出した問題のアドウェア Android/HiddenAds.BJL とは、ユーザーに知られることなく収益を得るために、バックグラウンドで広告をロードするものだ。
Continue reading “Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee”Google Blocked 1.4 Million Bad Apps From Google Play in 2022
2023/04/28 SecurityWeek — Google Play におけるセキュリティ機能の強化により、悪質なアプリケーションの公開が、2022年には 140万件以上もブロックされたとのことだ。強化されたポリシーに加えて、機械学習とアプリ審査プロセスの改善を組み合わせたことで、Google Play のポリシーに違反する悪質なアプリを、自動的にブロックすることができたと、同社は述べている。さらに、Android の保護とポリシーの強化に加えて、開発者への教育が進んだことで、これまでの3年間で 50万件以上のアプリにおいて、不必要な機密権限へのアクセスが遮断されたと Google は付け加えている。
Continue reading “Google Play の 2022年の戦い:ブロックした悪質なアプリは 140万件!”Microsoft: Cl0p Ransomware Exploited PaperCut Vulnerabilities Since April 13
2023/04/27 SecurityWeek — Microsoft の発表によると、FIN11 および TA505 と提携している Cl0p ランサムウェアのオペレーターが、パッチが適用されたばかりの PaperCut の脆弱性を、4月13日から悪用し始めたようだ。問題の脆弱性は、PaperCut MF/NG プリント管理システムに影響を与えるものだ。この脆弱性 CVE-2023-27350 (CVSS:9.8) の悪用に成功した攻撃者は、認証をバイパスしてシステム権限でリモート・コード実行 (RCE) を行うことが可能になる。この脆弱性は、2023年3月にリリースされたバージョン 20.1.7/21.2.11/22.0.9 で修正されているが、それと同時に、PaperCut MF/NG の情報漏えいの脆弱性 CVE-2023-27351 に対応されている。
Continue reading “PaperCut MF/NG の脆弱性 CVE-2023-27350:Cl0p ランサムウェアが悪用 – Microsoft 報告”Google Gets Court Order to Take Down CryptBot That Infected Over 670,000 Computers
2023/04/27 TheHackerNews — 4月26日 (水) に Google は、CryptBot と呼ばれる Windows ベースの情報窃取型マルウェアの配信を阻止し、その増殖を減速させるために、米国の裁判所から仮の命令を取得したことを発表した。この取り組みは、マルウェアの犯罪オペレーターだけでなく、その配布により利益を得る者に対して責任を追求する措置でもあると、Google の Mike Trinh と Pierre-Marc Bureau は述べている。
Continue reading “CryptBot 配布者を Google が訴訟:サイバー犯罪エコシステムに責任を求める”FIN7 Hackers Caught Exploiting Recent Veeam Vulnerability
2023/04/26 SecurityWeek — ロシアのサイバー犯罪グループ FIN7 だが、パッチ未適用の Veeam Backup & Replication インスタンスを、最近の攻撃で悪用していることが確認されたと、サイバーセキュリティ企業 WithSecure が報告している。2015年頃から存在し、Anunak/Carbanak とも呼ばれる FIN7 は、主にクレジット・カード情報の窃盗にフォーカスする金銭的動機のあるグループだ。セキュリティ研究者たちは、多数のサブグループが、FIN7 傘下で活動していると考えている。これまでの数年間において、FIN7 の活動と重なる脅威アクターたちの中には、REVIL/DarkSide/BlackMatter/Alphv/Black Basta といったランサムウェアへ移行していった者も見られるという。
Continue reading “Veeam Backup & Replication の脆弱性:ロシアの FIN7 サイバー犯罪組織が狙っている – WithSecure”Tencent QQ users hacked in mysterious malware attack, says ESET
2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土/香港/マカオ/ナイジェリア/東南アジア/東アジアなどの国々で、さまざまな組織や個人を標的としてきた。
Continue reading “Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET”TP-Link Archer WiFi router flaw exploited by Mirai malware
2023/04/25 BleepingComputer — マルウェア・ボットネット Mirai は、TP-Link Archer A21 (AX1800) WiFi ルーターに存在する脆弱性 CVE-2023-1389 を積極的に悪用して、このデバイスを DDoS (分散サービス拒否) の大群に組み込んでいる。2022年12月に開催された Pwn2Own Toronto のハッキング・イベントで、この欠陥の悪用に挑んだ2つのハッキング・チームが、異なる経路 (LAN/WAN インターフェイス・アクセス) を介して、このデバイスへの侵入を成功させた。
Continue reading “TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX:Mirai による悪用も検出”Kaspersky Analyzes Links Between Russian State-Sponsored APTs
2023/04/25 SecurityWeek — ロシアと連携する ATP (Advanced Persistent Threat) 脅威アクター Tomiris と Turla の両者は、最小限レベルで協調しているようだ。この情報は、ロシアのサイバー・セキュリティ企業 Kaspersky からのものだ。Snake/Venomous Bear/Krypton/Waterbug としても追跡される Turla は、2006 年から ComRAT マルウェアに関与し、ロシア政府との関係があると考えられている。その一方で Tomiris は、比較的に新しいハッキング・グループであり、2021年に詳細が発表され、現在も活動を続けている。同グループは、主に CIS (Commonwealth of Independent States) 諸国の政府や外交機関をターゲットに、情報収集のために活動している。
Continue reading “ロシア国家支援の APT グループ Tomiris/Turla の関連性を掘り下げる – Kaspersky”Decoy Dog malware toolkit found after analyzing 70 billion DNS queries
2023/04/23 BleepingComputer — 通常のインターネット・アクティビティとは言えない、異常な DNS トラフィックを検査した結果として、企業を標的とする新たなマルウェア・ツールキット Decoy Dog が発見された。この Decoy Dog は、戦略的なドメイン・エイジングと DNS クエリ・ドリブルにより標準的な検出方法を回避し、セキュリティ・ベンダーから良い評判を得た後に、サイバー犯罪のオペレーションを促進することを目的としている。2023年4月上旬に Infoblox の研究者たちは、異常または疑わしいアクティビティの兆候を探すために、毎日 700億以上のDNSレコードを分析した結果として、このツールキットを発見した。
Continue reading “DNS クエリ 700億を調査:Decoy Dog というマルウェア・ツールキットを発見 – Infoblox”Google ads push BumbleBee malware used by ransomware gangs
2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom/Cisco AnyConnect/ChatGPT/Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader の代替として、Conti チームが開発したものだと考えられている。
Continue reading “BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks”North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec
2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。
Continue reading “3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec”Evil Extractor Targets Windows Devices to Steal Sensitive Data
2023/04/21 InfoSecurity — Kodex が “教育用“ として開発した、Evil Extractor という攻撃ツールが、Windows ベースのマシンを標的とした攻撃に悪用されている。2023年4月10日 (木) に公開されたアドバイザリで、「このマルウェアは、3月30日に観測されたフィッシング・キャンペーンで見つかったものであり、アドバイザリに含まれるサンプルまで辿り着いた。このキャンペーンは、正規の Adobe PDF や Dropbox ファイルなどを装うものであり、ロードすると PowerShell を活用した悪意の活動を開始する」と、Fortinet のセキュリティ研究者たちは主張している。
Continue reading “Evil Extractor という攻撃ツール:情報スティーラーでありランサムウェアも含む”‘AuKill’ Malware Hunts & Kills EDR Processes
2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。 最近の2つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。
Continue reading “AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始”Attackers use abandoned WordPress plugin to backdoor websites
2023/04/20 BleepingComputer −−− WordPress の正規プラグインである、Eval PHP を悪用する脅威アクターたちはステルス・バックドアを注入することで、Web サイトを侵害している。Eval PHP プラグインとは、サイト管理者が WordPress サイトのページや投稿に PHP コードを埋め込み、ブラウザでページを開いたときにコードを実行できるようにするものだ。このプラグインは、過去 10年間更新されておらず、アバンダンウェアと見なされている。しかし、今も WordPress のプラグイン・リポジトリで入手可能となっている。
Continue reading “WordPress プラグイン Eval PHP:スティルス・バックドアに悪用されている”Google: Ukraine targeted by 60% of Russian phishing attacks in 2023
2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視/妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。
Continue reading “ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査”MuddyWater Uses SimpleHelp to Target Critical Infrastructure Firms
2023/04/18 InfoSecurity — MuddyWater という、イラン政府に支援される脅威アクターは、被害者のデバイス上で永続性を確立するために、正規の SimpleHelp リモート・サポート・ソフトウェア・ツールを使用していることが確認されている。Group-IB の新たなアドバイザリによると、これらの攻撃の一部として使用されるソフトウェアは、脆弱化されたものではない。その代わりに、この脅威アクターは、公式 Web サイトからツールをダウンロードし、攻撃に使用する方法を発見したようだ。
Continue reading “SimpleHelp というリモート・サポート製品を悪用:イランの MuddyWater の戦術を暴露”Takedown of GitHub Repositories Disrupts RedLine Malware Operations
2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ/サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。
Continue reading “RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!”YouTube Videos Distributing Aurora Stealer Malware via Highly Evasive Loader
2023/04/18 TheHackerNews — サイバー・セキュリティ企業の Morphisec が The Hacker News に共有したのは、情報スティーラー型マルウェア Aurora の配信に使用される in2al5d p3in4er (invalid printer) という、きわめて検出回避能力の高いローダーの内部構造に関するレポートだ。このレポートで、サイバー・セキュリティ研究者たちは、「in2al5d p3in4er ローダーは、Embarcadero RAD Studio でコンパイルされ、高度なアンチ VM (仮想マシン) 技術を使って、エンドポイント・ワークステーションを標的にしている」と説明している。
Continue reading “Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?”AI tools like ChatGPT expected to fuel BEC attacks
2023/04/17 HelpNetSecurity — Armorblox の調査によると、過去1年間に観測された全ての BEC 攻撃のうちの 57%が、無防備な従業員に攻撃を仕掛けるための主要な攻撃ベクターとして、言葉に依存していたという。その他の注目すべき傾向は、ベンダーへの侵害と詐欺が、新たな攻撃ベクターとして台頭していることや、セキュリティ・チームが毎週 27時間もの時間を、グレーメールの処理に浪費していることだ。
Continue reading “ChatGPT などの AI ツールが BEC を助長:いちばん恐ろしい武器は言葉”Ex-Conti members and FIN7 devs team up to push new Domino malware
2023/04/17 BleepingComputer — Conti ランサムウェアの元メンバーが、FIN7 脅威アクターと手を組み、企業ネットワークへの攻撃において、Domino という新たなマルウェア・ファミリーを配布しているようだ。Domino は、2つのコンポーネントから構成される、比較的に新しいマルウェア・ファミリーである。最初に、Domino Backdoor という名前のバックドアをドロップし、そのバックドアが Domino Loader をドロップすることで、情報を窃取する DLL マルウェアが、他のプロセスやメモリに注入されていく 。
Continue reading “Conti 元メンバーと FIN7 開発者の共闘:新たな Domino マルウェアを配布している”Hackers abuse Google Command and Control red team tool in attacks
2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国/欧州/アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。
Continue reading “Google レッドチーム・ツールの悪用:中国の APT41 による攻撃で発見される”Qbot Banking Trojan Increasingly Delivered Via Business Emails
2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語/ドイツ語/イタリア語/フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。
Continue reading “Qbot バンキング・トロイの木馬:PDF アーカイブ内の JScript スクリプト で PowerShell を起動”Android malware infiltrates 60 Google Play apps with 100M installs
2023/04/15 BleepingComputer — Goldoson と命名された新しい Android マルウェアが、合計で1億本もダウンロードされている、60 件の正規アプリを介して Google Play に侵入した。これらのアプリの開発者たちは、サードパーティ・ライブラリの一部として、この悪意のマルウェア・コンポーネントを無意識のうちにアプリに組み込んでいたという。
Continue reading “Goldoson という新しい Android マルウェア:Google Play 上の アプリ 60件に侵入”Hackers start abusing Action1 RMM in ransomware attacks
2023/04/15 BleepingComputer — セキュリティ研究者たちは、サイバー犯罪者が侵害したネットワーク上で、コマンド/スクリプト/バイナリなどを永続的に実行するために、リモート・アクセス・ソフトウェアである Action1 を使用するケースが増えていると警告している。Action1 は RMM (Remote Monitoring and Management) 製品であり、ネットワーク上のエンドポイントをリモートで管理するために、MSP (Managed Service Providers) や企業で使用されている。
Continue reading “Action1 RMM ソフトウェアの悪用:ランサムウェアの永続性を確保している”Vice Society ransomware uses new PowerShell data theft tool in attacks
2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。
Continue reading “Vice Society ランサムウェア:新しいデータ窃盗ツールに PowerShell を導入”Google delivers secure open source software packages
2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。
Continue reading “Google が発表した Assured OSS サービス:Java/Python エコシステムからサポートを開始”Researchers Uncover 7000 Malicious Open Source Packages
2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを3月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。
Continue reading “悪意のオープンソース・パッケージが約 7,000 個も発見された – Sonatype 調査”North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack
2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows/macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。
Continue reading “3CX VoIP サプライチェーン攻撃:北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用”‘Blatantly Obvious’: Spyware Offered to Cyberattackers via PyPI Python Repository
2023/04/12 DarkReading — 研究者たちは、プログラミング言語 Python のパブリック・リポジトリである PyPI (Python Package Index) で、大胆な方法で情報スティラーを公開しているマルウェア販売者を発見した。このプログラムは、“reverse-shell” という安直な名前が付けられており、Sonatype の研究者たちは、スペインを拠点とする Malware-as-a-Service (MaaS) グループの SylexSquad と関連づけている。リバースシェルとは、ハッカーが遠隔操作でコマンドを実行する際や、標的となるコンピュータからデータを受信するときに用いるプログラムを指す。
Continue reading “PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は?”Emotet Climbs March 2023’s Most Wanted Malware List With OneNote Campaign
2023/04/12 InfoSecurity — Emotet マルウェアは、悪意の OneNote ファイルを隠し持つスパムメール・キャンペーンにより、Check Point の Most Wanted Malware List ランキングを駆け上がっている。Emotet は、2月の3位から、3月の2位へと順位を上げている。このキャンペーンは、被害者を誘い、悪意の OneNote ファイルを開かせることで、マルウェアをインストールするものだ。
Continue reading “Emotet 攻撃が加速:Microsoft OneNote ファイルの不用意な操作は NG”Attackers Hide RedLine Stealer Behind ChatGPT, Google Bard Facebook Ads
2023/04/12 DarkReading — サイバー犯罪者たちは、Facebook のビジネスページやコミュニティページを乗っ取り、ChatGPT や Google Bard などの正規のスポンサーを装い、AI チャットボットの無料ダウンロードを宣伝する広告を展開している。それらの広告に誘導されたユーザーは、AI チャットボットではなく、RedLine Stealer と呼ばれる有名な情報スティーラー・マルウェアをダウンロードしていることが、研究者たちの調査により判明した。RedLine Stealer とは、オンライン・ハッカー・フォーラムを通じて販売されている Malware-as-a-Service (MaaS) プラットフォームだ。Web ブラウザを標的にして、認証情報や支払いカードの詳細などの、様々なユーザー情報を収集する。さらに、次の攻撃にむけて攻撃対象領域を評価するために、システムのインベントリを取得する。
Continue reading “Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラーを配布している”Apps for Sale: Cybercriminals Sell Android Hacks for Up to $20K a Pop
2023/04/11 DarkReading — サイバー犯罪者たちは、Google Play ストアのセキュリティを回避する手段を見つけ出し、既存の Android アプリをトロイの木馬化するツールを開発している。それらのツールの最高値は、サイバー犯罪市場で1件あたり $20,000 だという。Kaspersky の研究者たちは、4月10日のブログ記事で、最も人気のあるダークウェブ・フォーラムの9つを幅広く調査した結果を発表した。2019年と2023年の活動を追跡したところ、アプリ開発者アカウントへのアクセス/ボットネット/悪意の Android アプリなどを、時には一度に数千ドルで取引される市場が盛んであることが判明した。
Continue reading “Android アプリ侵害:$20K で機能満載のハッキング・ツールが購入できる時代”Hacked sites caught spreading malware via fake Chrome updates
2023/04/11 BleepingComputer — いくつかの Web サイトを侵害したハッカーたちが、偽の Google Chrome 自動更新エラーを表示するスクリプトを注入し、それに気づかない訪問者にマルウェアを配布している。このキャンペーンは、2022年11月から行われている。NTT の Security Analyst である Rintaro Koike によると、2023年2月以降に活動を加速させ、日本語/韓国語/スペイン語を話すユーザーを対象にターゲット範囲を拡大している。このマルウェア配布キャンペーンにより、アダルトサイト/ブログ/ニュースサイト/オンラインストアなどの、多数のサイトがハッキングされたことを、BleepingComputer は確認している。
Continue reading “Google Chrome の偽アップデートに御用心:日韓言語圏から世界へと広がる攻撃範囲”Over 1 Million WordPress Sites Infected by Balada Injector Malware Campaign
2023/04/10 TheHackerNews — Balada Injector というマルウェアを展開する継続的なキャンペーンにより、2017年以降で 100万以上の WordPress サイトが感染したと推定される。GoDaddy の Sucuri によると、WordPressサイトを侵害する、この大規模キャンペーンでは、テーマとプラグインに存在する、ありとあらゆる脆弱性が悪用されているようだ。この攻撃は、数週間に一度のペースで、波状的に展開されると認識されている。
Continue reading “WordPress サイト 100万件を侵害:Balada Injector による大規模マルウェア・キャンペーン”Breached shutdown sparks migration to ARES data leak forums
2023/04/08 BleepingComputer — ARES と呼ばれる脅威グループが、企業や公的機関から盗み出したデータベースを販売/流出させることで、サイバー犯罪シーンで評判を呼んでいる。この脅威アクターは、2021年後半に Telegram に登場し、ランサムウェア RansomHouse オペレーションや、データ漏洩プラットフォーム KelvinSecurity、ネットワーク・アクセスグループ Adrastea などと関連している。
Continue reading “ARES Data Leak フォーラムの台頭:Breached のシャットダウンを追い風にしている”The hidden picture of malware attack trends
2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。
Continue reading “マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?”Microsoft and Fortra crack down on malicious Cobalt Strike servers
2023/04/06 BleepingComputer — Microsoft/Fortra/Health-ISAC (Health Information Sharing and Analysis Center) の三者は、サイバー犯罪者が使用する主要ハッキングツールである、Cobalt Strike のクラック・コピーをホストするサーバに対する、広範な法的取り締まりを発表した。Microsoft の Digital Crimes Unit (DCU) の Amy Hogan-Burney は、「世界中でホストされている Cobalt Strike のクラックされたレガシー・コピーを取り締まるには、粘り強く取り組む必要がある。Fortra のセキュリティ・ツールの、正当な利用を保護するための重要な行動である。Microsoft も同様に、自社の製品/サービスの正当な利用を守るために尽力している」と述べている。
Continue reading “Cobalt Strike のクラック版を潰せ:Microsoft と Fortra が取り締まりを発表”Threat Actors Increasingly Use Telegram For Phishing Purposes
2023/04/06 InfoSecurity — フィッシング技法の開発に注目する脅威アクターたちが、アクティビティの自動化や各種のサービス提供において、Telegram を悪用するケースが増えている。このような傾向は、Kaspersky のサイバー・セキュリティ専門家たちの調査/分析によるものである。水曜日のアドバイザリで、Web コンテンツ・アナリストである Olga Svistunova は、「フィッシャーたちは商品を宣伝するために Telegram チャネルを作り、そこでフィッシングについて聴衆を教育し、投票によりサブスクライバーを楽しませている。このようなチャネルへのリンクは、彼らのフィッシング・キットや YouTube/GitHub などを通じて拡散される」と述べている。
Continue reading “Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち”New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency
2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視/スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。
Continue reading “Rilide マルウェアは Chromium を狙う:偽物の Google Drive エクステンションに要注意”
IoT OT Security News 
You must be logged in to post a comment.