Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡

Experts analyzed the evolution of the Emotet supply chain

2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。

Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”

IcedID マルウェア運用に変化:複数の配信経路により効果を測定している?

Hackers behind IcedID malware attacks diversify delivery tactics

2022/10/10 BleepingComputer — IcedID マルウェアによるフィッシング・キャンペーンの背後にいる脅威アクターは、さまざまなターゲットに対して、最も効果的な攻撃を仕掛けるために、多種多様な配布方法を利用していると思われる。2022年9月に、Team Cymru の研究者たちは、複数のキャンペーンを観測したが、いずれも微妙に異なる感染経路を辿っており、有効性を評価するための戦術が取られていると考えているようだ。

Continue reading “IcedID マルウェア運用に変化:複数の配信経路により効果を測定している?”

FB アカウントでのログイン要求に注意:認証情報を盗む 400種以上のマルアプリが判明

Facebook Login Details at Risk as Meta Identifies Over 400 Malicious Apps

2022/10/10 InfoSecurity — Facebook の親会社である Meta は、Facebook のログイン情報を盗み出すことを目的とした、400種類以上の悪質な Android/iOS アプリを発見したと述べている。Meta によると、一連のアプリの発見は 2022年に生じており、発見者たちは Apple と Google に結果を報告している。

Continue reading “FB アカウントでのログイン要求に注意:認証情報を盗む 400種以上のマルアプリが判明”

BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング

Callback phishing attacks evolve their social engineering tactics

2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬/スパイウェア/ランサムウェアなどの、追加のペイロードがドロップされる。

Continue reading “BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング”

Zimbra の深刻な RCE 脆弱性 CVE-2022-41352:悪用するハッカーが出現

Hackers Exploiting Unpatched RCE Flaw in Zimbra Collaboration Suite

2022/10/08 TheHackerNews — Zimbra の企業向けコラボレーション・ソフトウェア/Eメール・プラットフォームに存在する、深刻なリモート・コード実行の脆弱性が活発に悪用されているが、この脆弱性のパッチは現時点で提供されていない。この脆弱性 CVE-2022-41352 (CVSS:9.8) の悪用に成功した攻撃者は、任意のファイルをアップロードし、影響を受けるインストール上で悪意のアクションを実行できる。

Continue reading “Zimbra の深刻な RCE 脆弱性 CVE-2022-41352:悪用するハッカーが出現”

フィッシング最前線:18.8% の確率で Microsoft プラットフォーム防御を回避する悪意のメールたち

Email Defenses Under Siege: Phishing Attacks Dramatically Improve

2022/10/08 DarkReading — 今週は、サイバー攻撃者たちが 仕掛ける攻撃が、Microsoft のデフォルト・セキュリティを回避しているというレポートがあり、また、セキュリティ専門家たちは、フィッシングの手口が驚くほど進化していることを明らかにした。 脅威アクターたちが用いるテクニックには、ゼロポイント・フォントの難読化/クラウド・メッセージング・サービスへの混入/ペイロード起動の遅延などがあり、メール・プラットフォーム防御の弱点をついて、フィッシング攻撃を狡猾に行っている。また、被害者の調査/選定の頻度も上がっている。

Continue reading “フィッシング最前線:18.8% の確率で Microsoft プラットフォーム防御を回避する悪意のメールたち”

LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明

LofyGang Group Linked to Recent Software Supply Chain Attacks

2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。

Continue reading “LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明”

WhatsApp から 100万件の認証情報を窃取:Meta が中国企業を提訴

Meta sues app dev for stealing over 1 million WhatsApp accounts

2022/10/06 BleepingComputer — 2022年5月から非公式な WhatsApp Android アプリを開発/使用して、100万以上の WhatsApp アカウントを盗用したとして、HeyMods/Highlight Mobi/HeyWhatsApp などの複数の中国企業を、Meta が提訴した。Meta の訴状によると、これらの悪質なアプリは、上記3社のサイトに加えて、Google Play Store/APK Pure/APKSFree/iDescargar/Malavida などからダウンロードが可能だったとのことだ。

Continue reading “WhatsApp から 100万件の認証情報を窃取:Meta が中国企業を提訴”

RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う

Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices

2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN/電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集/流出させるコマンドを、受信/実行する機能を持つ高度なスパイウェアとして機能するとのことだ。

Continue reading “RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う”

Microsoft SQL Server に感染する多機能バックドア:Maggie 汚染は既に数百台

Hundreds of Microsoft SQL servers backdoored with new malware

2022/10/05 BleepingComputer — Microsoft SQL Server を標的とする新たなマルウェアが、セキュリティ研究者たちにより発見された。この Maggie と名付けられたバックドアは、すでに世界中の数百台のマシンに感染しているようだ。Maggie は、コマンドの実行やファイルとのやり取りを指示する、SQL クエリにより制御される。その機能の及ぶ範囲には、他の Microsoft SQL Server への管理者ログインの強要や、サーバのネットワーク環境へのブリッジヘッドなどが含まれるという。

Continue reading “Microsoft SQL Server に感染する多機能バックドア:Maggie 汚染は既に数百台”

Tor Browser のトロイの木馬版:中国で人気の YouTube チャネルからインストーラが配布される

Popular YouTube Channel Caught Distributing Malicious Tor Browser Installer

2022/10/04 TheHackerNews — 中国語の人気 YouTube チャネルが、トロイの木馬化した Windows 版の Tor Browser インストーラを配布する手段として浮かび上がっている。Kaspersky は、このキャンペーンを OnionPoison と名付け、被害者の全てが中国のユーザーであることを公表した。現時点で、攻撃の規模は不明だが、2022年3月にはテレメトリーで被害者を検出したと、同社は述べている。

Continue reading “Tor Browser のトロイの木馬版:中国で人気の YouTube チャネルからインストーラが配布される”

Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する

Bumblebee Malware Loader’s Payloads Significantly Vary by Victim System

2022/10/04 DarkReading — 3月に表面化した、きわめて悪質なマルウェア・ローダー Bumblebee の最新分析により、企業ネットワークの一部としてのシステム向けのペイロードと、スタンドアロン・システム向けのペイロードでは、その種類が大きく異なることが判明した。たとえば、Active Directory サーバを共有しているような、ドメインの一部として認識されたシステムの場合には、Cobalt Strike のような高度なポスト・エクスプロイト・ツールを実行するよう、このマルウェアはプログラムされている。

Continue reading “Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する”

Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている

Fake Microsoft Exchange ProxyNotShell exploits for sale on GitHub

2022/10/03 BleepingComputer — 詐欺師たちがセキュリティ研究者になりすまし、新たに発見された Microsoft Exchange のゼロデイ脆弱性に対する、偽の PoC エクスプロイト ProxyNotShell を販売しているようだ。先週に、ベトナムのサイバー・セキュリティ企業 GTSC は、Microsoft Exchange の2つの新しいゼロデイ脆弱性を悪用した攻撃を、一部のユーザーが受けていたことを明らかにした。研究者たちは、Trend Micro の Zero Day Initiative と共同で、この脆弱性を Microsoft に対して非公開で報告した。Microsoft は、この脆弱性が攻撃に悪用されていることを確認し、セキュリティ更新プログラムをリリースするスケジュールを早めるとしている。

Continue reading “Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている”

Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用

Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers

2022/10/01 TheHackerNews — 北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されている。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっている。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙/防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となる。

Continue reading “Dell ドライバの脆弱性 CVE-2021-21551:北朝鮮のハッカー集団 Lazarus が悪用”

Windows Logo に隠されたマルウェアは中国由来:中東の政府組織などを攻撃

Hackers Hide Malware in Windows Logo, Target Middle East Governments

2022/09/30 InfoSecurity — Witchetty と呼ばれるハッカー集団が、ステガノグラフィー技術を用いて Windows ロゴにバックドアを隠し、中東の政府をターゲットにしていることが確認された。Broadcom の最新アドバイザリによると、Witchetty (別名 LookingFrog) は国家が支援する中国の脅威アクター APT10 や、以前の米国エネルギー・プロバイダーに対する攻撃に関連した TA410 の、工作員とも関係があるとみられている。

Continue reading “Windows Logo に隠されたマルウェアは中国由来:中東の政府組織などを攻撃”

VMware ESXi を侵害する危険な攻撃:VIB 署名レベルの弱点をつく高度な手法

Dangerous New Attack Technique Compromising VMware ESXi Hypervisors

2022/09/30 DarkReading — ESXi Hypervisors に複数の永続的バックドアをインストールする、厄介な新手法を用いる中国ベースの脅威者を、Mandiant が検出したことを受け、9月29日に VMware は新しい緩和策とガイダンスを、vSphere 仮想化技術の顧客向けに緊急発表した。この、Mandiant が確認した手法は、UNC3886 として追跡されている脅威アクターが、悪意の vSphere Installation Bundles (VIB) を用いて、標的システムにマルウェアを忍び込ませるというものだ。

Continue reading “VMware ESXi を侵害する危険な攻撃:VIB 署名レベルの弱点をつく高度な手法”

Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出

WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation

2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。

Continue reading “Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出”

米政府組織などを装う Word 文書フィッシング:Bitbucket から Cobalt Strike を展開

Government, Union-Themed Lures Used to Deliver Cobalt Strike Payloads

2022/09/29 InfoSecurity — 2022年8月に Cisco Talos の研究者たちは、モジュール化された攻撃手法により Cobalt Strike ビーコンを配信し、後続の攻撃に使用するという、悪質なキャンペーンを発見した。同社は 9月28日に、このキャンペーンについて新たなアドバイザリを発表し、このキャンペーンの背後にいる脅威アクターは、フィッシング・メールを使用していたと述べた。最初の攻撃ベクターとして、悪意の Microsoft Word 文書を添付して、米国の政府組織またはニュージーランドの労働組合に成りすましているという。

Continue reading “米政府組織などを装う Word 文書フィッシング:Bitbucket から Cobalt Strike を展開”

Brute Ratel ポスト・エクスプロイト・キットのクラック版:残念なことに蔓延の兆し

Hackers now sharing cracked Brute Ratel post-exploitation kit online

2022/09/28 BleepingComputer — Brute Ratel のポスト・エクスプロイト・ツールキットがクラックされ、ロシア語圏と英語圏のハッキング・コミュニティで無料で共有されている。Brute Ratel C4 (BRC4) を知らない人のために説明すると、これは Mandiant と CrowdStrike の元レッドチーマーである、Chetan Nayak が作成したポスト・エクスプロイト・ツールキットのことである。

Continue reading “Brute Ratel ポスト・エクスプロイト・キットのクラック版:残念なことに蔓延の兆し”

軍事産業への PowerShell 攻撃:洗練された7段階の実行チェーンとスティルス性

Stealthy hackers target military and weapons contractors in recent attack

2022/09/28 BleepingComputer — セキュリティ研究者たちが発見したのは、F-35 Lightning II 戦闘機部品サプライヤーなどの、兵器製造に携わる複数の軍事関連業者を標的とした新たなキャンペーンである。この高度な標的型攻撃は、従業員にフィッシング・メールを送信することから始まり、検知回避システムを用いた、永続性を確保する感染にいたるまでの、多段階で構成される。このキャンペーンは、安全な C2 インフラと、PowerShell ステージャによる、何重もの難読化という点で際立っている。

Continue reading “軍事産業への PowerShell 攻撃:洗練された7段階の実行チェーンとスティルス性”

Chaos は Golang ベースのマルウェア:複数の CPU にまたがり Windows/Linux に感染

Researchers Warn of New Go-based Malware Targeting Windows and Linux Systems

2022/09/28 TheHackerNews — この数カ月にわたり、Chaos と呼ばれる多機能な Go ベースの新たなマルウェアが、Windows/Linux/SOHO ルーター/企業サーバーなどをボットネットに取り込み、その勢力を急速に拡大している状況が明らかになった。Lumen の Black Lotus Labs の研究者たちは、「Chaos の機能には、ホスト環境の列挙/リモートシェル・コマンドの実行/追加モジュールのロード/SSH 秘密鍵の窃盗/ブルートフォースによる自動伝播などに加えて、DDoS 攻撃の設定も含まれている」 と、The Hacker News に述べている。

Continue reading “Chaos は Golang ベースのマルウェア:複数の CPU にまたがり Windows/Linux に感染”

NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布

New NullMixer Malware Campaign Stealing Users’ Payment Data and Credentials

2022/09/27 TheHackerNews — このサイバー犯罪者は、クラックされた海賊版ソフトウェアを探そうとするユーザーを、武器化されたインストーラーをホストする不正な Web サイトに誘導してシステムを侵害し、NullMixer と呼ばれるマルウェアを展開している。月曜日のレポートで Kaspersky は、「ユーザーが NullMixer を解凍/実行すると、感染したマシンに多数のマルウェア・ファイルがドロップされる。NullMixer は、バックドア/バンカー/ダウンローダー/スパイウェアなどのような、さまざまな悪意のバイナリをドロップして、マシンに感染させる」と述べている。

Continue reading “NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布”

PowerPoint のマウスオーバーだけで感染:Graphite マルウェアは VBA 非依存で攻めてくる

Hackers use PowerPoint files for ‘mouseover’ malware delivery

2022/09/26 BleepingComputer — ロシア政府に所属すると思われるハッカーが、Microsoft PowerPoint プレゼンテーションのマウスの動きにより、悪意の PowerShell スクリプトをトリガーする、新しいコード実行テクニックを使用し始めたようだ。悪意のマクロに依存することなく、悪意のコードを実行しペイロードをダウンロードできるため、脅威アクターはより狡猾に攻撃を行うことができる。脅威情報企業 Cluster25 のレポートでは、9月9日の時点で、ロシアの参謀本部主要情報局 (GRU:Main Intelligence Directorate of the Russian General Staff) に帰属する脅威グループ APT28 (通称 Fancy Bear) が、この新しい手法を用いて Graphite マルウェアを配信していると報告されている。

Continue reading “PowerPoint のマウスオーバーだけで感染:Graphite マルウェアは VBA 非依存で攻めてくる”

Google Play/Apple Store のアドウェア:巧妙に振る舞い 1,300万回インストールに到達

Adware on Google Play and Apple Store installed 13 million times

2022/09/26 BleepingComputer — 広告詐欺を調査しているセキュリティ研究者たちは、Google Play で 75 件のアプリが、Apple App Store で 10件のアプリが、関与していることを発見した。これらのアプリは、合計で 1300万回もインストールされていた。インストールされた不正アプリは、ユーザーを広告で埋め尽くすだけではなく、正規のアプリやインプレッションになりすまして収益も得ていた。この種のアプリは深刻な脅威とは見なされていないが、そのオペレーターは、より危険な行為での悪用へと転換することも可能だ。  

Continue reading “Google Play/Apple Store のアドウェア:巧妙に振る舞い 1,300万回インストールに到達”

Adobe Magento 2 の深刻な脆弱性 CVE-2022-24086:大規模な攻撃が発生

Critical Magento vulnerability targeted in new surge of attacks

2022/09/22 BleepingComputer — Magento 2 に存在する脆弱性 CVE-2022-24086 を狙う、ハッキング行為が急増している。Magento は、Adobe が所有するオープンソースの eコマースプラットフォームであり、全世界の約17万件のオンライン・ショッピング・サイトで利用されている。この脆弱性 CVE-2022-24086 は、2022年2月に発見され、パッチが適用されているが、すでに侵害に成功した脅威アクターにより、野放状態で悪用されている。その当時に、CISA はサイト管理者に対して、提供されたセキュリティ更新プログラムを適用するよう、アラートで促していた。

Continue reading “Adobe Magento 2 の深刻な脆弱性 CVE-2022-24086:大規模な攻撃が発生”

Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?

Malicious NPM Package Caught Mimicking Material Tailwind CSS Package

2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。

Continue reading “Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?”

Redis 運用で判明した問題:39,000 件のインターネット接続サーバが狙われている

Over 39,000 Unauthenticated Redis Instances Found Exposed on the Internet

2022/09/21 TheHackerNews — 未知の攻撃者が、インターネット上に公開されている、数万台の未認証 Redis サーバを標的とし、暗号通貨採マイナーをインストールしようとした。これらのホストに対する、すべての侵入の成功/失敗については、すぐには判明しないだろう。しかし、2018年9月に初めて文書化された、サーバを騙して任意のファイルにデータを書き込むように設計された、あまり知られていない技術が使用された不正アクセスの事例だとされる。

Continue reading “Redis 運用で判明した問題:39,000 件のインターネット接続サーバが狙われている”

オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機

Open Source Repository Attacks Soar 700% in Three Years

2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。

Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”

VMware/Microsoft 警告:アドウェアからランサムローダーへと進化する ChromeLoader

VMware, Microsoft warn of widespread Chromeloader malware attacks

2022/09/19 BleepingComputer — VMware と Microsoft の警告は、現在進行中で蔓延している ChromeLoader マルウェア・キャンペーンにより、悪意のブラウザ・エクステンションや、node-WebKit マルウェアが、場合によってはランサムウェアまでがドロップされるという、かなり危険な脅威が迫っているというものだ。ChromeLoader の感染は 2022 Q1 に急増しており、Red Canary の研究者たちは、マーケティングのアフィリエイトや広告詐欺に利用される、ブラウザ・ハイジャッカーの危険性について警鐘を鳴らしていた。

Continue reading “VMware/Microsoft 警告:アドウェアからランサムローダーへと進化する ChromeLoader”

Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている

Emotet Botnet Started Distributing Quantum and BlackCat Ransomware

2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service  (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。

Continue reading “Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている”

YouTube ユーザーが標的:RedLine という自己増殖型のスティーラーは危険だ!

YouTube Users Targeted By RedLine Self-Spreading Stealer

2022/09/15 InfoSecurity — RedLine スティーラーを用いる脅威アクーたちが、YouTube ユーザーをターゲットにしたキャンペーンを実施している。今日の未明に Kaspersky のサイバー・セキュリティ研究者たちが、このキャンペーンに関するアドバイザリを発表した。その一方で Oleg Kupreev は、「2020年3月に発見された RedLine は、ブラウザ/FTP クライアント/デスクトップ・メッセンジャーなどから、パスワードや認証情報を盗むために使われる最も一般的なトロイの木馬の1つだ。

Continue reading “YouTube ユーザーが標的:RedLine という自己増殖型のスティーラーは危険だ!”

PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY/KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Continue reading “PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布”

Docker の調査:TeamTNT が仕掛けた不正イメージが 15万回以上もダウンロード

TeamTNT Hits 150K Docker Containers via Malicious Cloud Images

2022/09/14 DarkReading — TeamTNT 脅威グループ・メンバーの明らかな不手際により、不適切なコンフィグレーションで運用されている Docker サーバを、悪用するために用いられていた戦術の一部が暴露された。先日に Trend Micro のセキュリティ研究者たちは、Docker REST API を公開するハニーポットを設置し、広く利用されているクラウド・コンテナ・プラットフォームの脆弱性やミスコンフィグレーションを、一般的な脅威者が悪用する方式を理解しようと試みた。

Continue reading “Docker の調査:TeamTNT が仕掛けた不正イメージが 15万回以上もダウンロード”

マルウェアを解析する:ANY.RUN サンドボックスを用いたハンティングの流れとは?

How to Do Malware Analysis?

2022/09/14 TheHackerNews — Malwarebytes’ Threat Review for 2022 の調査結果によると、2021年には4000万台の Windows ビジネス・コンピュータで脅威が検出された。このような攻撃に対抗し、脅威を回避するためには、マルウェアの解析が欠かせない。今回は、悪意のプログラムの調査の目的と、サンドボックスを使ったマルウェア解析の方法を紹介していく。

Continue reading “マルウェアを解析する:ANY.RUN サンドボックスを用いたハンティングの流れとは?”

ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている

ShadowPad-Associated Hackers Targeted Asian Governments

2022/09/13 InfoSecurity — リモートアクセス型トロイの木馬 (RAT) である ShadowPad だが、以前から関連していた脅威グループが新たなツールセットを採用し、アジア各国の政府機関や国営企業に対してキャンペーンを展開している。 このニュースは、9月13日の未明に Symantec の Threat Hunter Team が発表した、脅威に関する新たなアドバイザリがソースとなっている。

Continue reading “ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている”

VMware 警告:Linux ESXi VM の性能が Retbleed 緩和により 70% ダウン

VMware: 70% drop in Linux ESXi VM performance with Retbleed fixes

2022/09/12 BleepingComputer — VMware は、Linux kernel 5.19 で動作するESXi VM について、Retbleed 緩和機能を有効にした場合に Linux kernel 5.18 版と比較して、最大で 70% の性能低下を引き起こす可能性があると警告している。VMware のパフォーマンス・チームは、ESXi 仮想マシンにおいて、コンピューティングで最大 70%/ネットワーキングで 30%/ストレージで 13% の性能低下を検知している。

Continue reading “VMware 警告:Linux ESXi VM の性能が Retbleed 緩和により 70% ダウン”

Bumblebee マルウェアはディスクに触れない:高度なスティルス性で侵害し続ける

Bumblebee malware adds post-exploitation tool for stealthy infections

2022/09/08 BleepingComputer — 新たに発見されたマルウェア・ローダー Bumblebee は、PowerSploit フレームワークを用いて、DLL ペイロードをメモリにステルス的に注入するものであり、野放し状態で感染を広げている。Bumblebee は4月に発見され、BazarLoader や TrickBot の背後にいると推測される、Conti シンジケートが組織するフィッシング・キャンペーンに関与している。

Continue reading “Bumblebee マルウェアはディスクに触れない:高度なスティルス性で侵害し続ける”

Cobalt Strike サーバに DDoS 攻撃:ロシアン・ランサムウェアを追撃するのは誰なのか?

Ransomware gang’s Cobalt Strike servers DDoSed with anti-Russia messages

2022/09/07 BleepingComputer — ランサムウェア・ギャングの元メンバーが運営する Cobalt Strike のサーバに、何者かが反ロシアのメッセージを流し込んで活動を妨害している。 最近のランサムウェアに関する動向だが、2022年5月に ContI は、内部インフラのシャットダウンを完了し、そのメンバーたちは Quantum/Hive/BlackCat といった他のランサムウェア・ギャングに分散していった。

Continue reading “Cobalt Strike サーバに DDoS 攻撃:ロシアン・ランサムウェアを追撃するのは誰なのか?”

Shikitega というステルス型 Linux マルウェア:多段階展開で検知を巧みに回避

New Linux malware evades detection using multi-stage deployment

2022/09/06 BleepingComputer — Shikitega という新たなステルス型 Linux マルウェアが、PC や IoT デバイスにペイロードを流し込み、感染させていることが発見された。このマルウェアは、脆弱性を悪用して権限を昇格させ、crontab を介してホスト上で永続性を確立する。そして最終的に、感染させたデバイス上で、暗号通貨マイナーを起動させる。Shikitega は非常にステルス性が高く、静的な署名ベースの検出を不可能にするポリモーフィック・エンコーダを使用して、ウイルス検出を回避する。

Continue reading “Shikitega というステルス型 Linux マルウェア:多段階展開で検知を巧みに回避”

D-Link を狙う Moobot ボットネットは Mirai 亜種:新旧の脆弱性を取り混ぜて攻撃

Moobot botnet is coming for your unpatched D-Link router

2022/09/06 BleepingComputer — MooBot として知られる Mirai 亜種のマルウェア・ボットネットが、8月初旬から始まった新たな攻撃に再登場し、新旧のエクスプロイトを取り混ぜて、脆弱な D-Link ルーターをターゲットにしている。2021年12月に Fortinet のアナリストが発見した MooBot は、Hikvision カメラの脆弱性を標的にして急速に拡散し、多数のデバイスを DDoS (分散型サービス拒否) に陥らせてきた。

Continue reading “D-Link を狙う Moobot ボットネットは Mirai 亜種:新旧の脆弱性を取り混ぜて攻撃”

Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?

Minecraft is hackers’ favorite game title for hiding malware

2022/09/06 BleepingComputer — セキュリティ研究者たちが気づいたのは、サイバー犯罪者に最も酷使されているゲームタイトルが Minecraft であり、それを使って無防備なプレイヤーを誘い出し、マルウェアをインストールさせているという実態である。2021年7月〜2022年7月に Kaspersky が収集した統計データによると、ゲームブランドの悪用により拡散する悪質ファイルのうち、Minecraft 関連ファイルが 25%を占め、それ以降に FIFA (11%)/Roblox (9.5%)/Far Cry (9.4%)/Call of Duty (9%) と続いている。

Continue reading “Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?”

EvilProxy という Phishing-as-a-Service:低スキル・ハッカーに高度な手口を提供

New EvilProxy service lets all hackers use advanced phishing tactics

2022/09/05 BleepingComputer — 新たに登場した EvilProxy は、リバース・プロキシ型の Phishing-as-a-Service (PaaS) プラットフォームであり、Apple/Google/Facebook/Microsoft/Twitter/GitHub/GoDaddy に加えて、PyPI における多要素認証 (MFA) をバイパスするために認証トークンを窃取する。この、犯罪者のためのサービスにより、リバース・プロキシの設定方法を知らない低スキルの脅威アクターであっても、強固に保護されているアカウント情報の窃取が可能になる。

Continue reading “EvilProxy という Phishing-as-a-Service:低スキル・ハッカーに高度な手口を提供”

QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃

QNAP patches zero-day used in new Deadbolt ransomware attacks

2022/09/05 BleepingComputer — QNAP Photo Station のゼロデイ脆弱性を悪用する、土曜日から始まった新たな DeadBolt ランサムウェア攻撃について、顧客へ警告が発せられた。同社は、このセキュリティ脆弱性にパッチを適用したが、攻撃は今日も続いている。QNAP はセキュリティ通知において、「今日、QNAP は、セキュリティ脅威として DeadBolt ランサムウェアを検出した。この攻撃は、ダイレクトにインターネット接続されている QNAP NAS を暗号化するために、Photo Station の脆弱性を悪用している」と述べている。

Continue reading “QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃”

American Express 顧客を狙うフィッシング・メール:Google Workspace の検出を回避

A new phishing scam targets American Express cardholders

2022/09/04 SecurityAffairs — Armorblox の研究者たちにより、American Express 顧客をターゲットにする新たなフィッシング・キャンペーンが発見された。このフィッシング・メッセージの内容は、カード所有者を騙して、悪意の添付ファイルを開かせようとするものだ。メールの件名は「Important Notification About Your Account」となっており、受信者に開封を促そうとしている。

Continue reading “American Express 顧客を狙うフィッシング・メール:Google Workspace の検出を回避”

Google Play に侵入/潜伏する SharkBot:狙いはバンキング・ログイン情報の窃取

SharkBot malware sneaks back on Google Play to steal your logins

2022/09/04 BleepingComputer — マルウェア SharkBot の新バージョン/アップグレード版が Google Play ストアに復活し、数万回インストールされているアプリを介して、Android ユーザーのバンキング・ログイン情報を狙っていることが判明した。 このマルウェアは2つの Android アプリに存在し、Google の自動審査に提出された時点では、悪意のコードは含まれていなかった。ただし、ユーザーがドロッパー・アプリをインストールし起動した後に発生するアップデートで、SharkBot が追加されていたという。

Continue reading “Google Play に侵入/潜伏する SharkBot:狙いはバンキング・ログイン情報の窃取”

Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える

Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps

2022/09/04 BleepingComputer — Win32/Hive.ZY 誤検知の修正に必要な、Defender の更新バージョンなどの、記事の追加更新も末尾に追記されている— Microsoft Defender におけるシグネチャー更新の失敗により、Google Chrome/Microsoft Edge/Discord に加えて各種の Electron アプリが、Windows 上でオープンされるたびに、Win32/Hive.ZY として誤検出されている。

Continue reading “Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える”

Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた

Infra Used in Cisco Hack Also Targeted Workforce Management Solution

2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。

Continue reading “Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた”