Tag: Malware

ロシアの FIN7 ギャング:セキュリティ回避ツール AvNeutralizer を販売していた

Notorious FIN7 hackers sell EDR killer to other threat actors

2024/07/17 BleepingComputer — 悪名高いハッキング・グループ FIN7 が、企業ネットワーク上のエンドポイント保護ソフトウェアを破壊して検知を回避するための、カスタム・ツール AvNeutralizer を販売していることが発見された。FIN7 はロシアのハッキング・グループと考えられており、その活動が観測され始めた 2013年頃は金融詐欺に注力しており、組織をハッキングしてデビットカードやクレジットカード情報を窃取してきた。同グループは、やがてランサムウェアの分野にも進出し、DarkSideBlackMatter などの RaaS (ransomware-as-a-service) を使用し始めた。最近では、2024年3月頃に発生した、UnitedHealth からの身代金を持ち逃げるという BlackCat ランサムウェアの活動にも、FIN7 が関係している可能性が高いと見られている。

Continue reading “ロシアの FIN7 ギャング:セキュリティ回避ツール AvNeutralizer を販売していた”

Microsoft MHTMLの脆弱性 CVE-2024-38112:Void Banshee APT が Atlantida スティーラーの配布に悪用

Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer

2024/07/16 TheHackerNews — Void Banshee という APT グループが、最近に公開された Microsoft の MHTML ブラウザ・エンジンのゼロデイ脆弱性 CVE-2024-38112 を悪用し、Atlantida 情報窃取ツールを配信していることが確認された。この活動を 2024年5月中旬に観測したサイバーセキュリティ企業 Trend Micro によると、この脆弱性は、特別に細工されたインターネット・ショートカット (URL) ファイルを使用する、多段階攻撃チェーンの一部として使用されていたという。

Continue reading “Microsoft MHTMLの脆弱性 CVE-2024-38112:Void Banshee APT が Atlantida スティーラーの配布に悪用”

AT&T で発生したデータ侵害:Snowflake データベースからデータが漏えいが原因

AT&T Breach Linked to American Hacker, Telecom Giant Paid $370k Ransom: Reports

2024/07/15 SecurityWeek — 先日に公表された、AT&T で発生したデータ流出は、トルコ在住のアメリカ人ハッカーが関与するものであり、盗まれた情報を確実に削除するために、同社は多額の身代金を支払ったようだ。7月12日に AT&T が公表したのは、同社における、ほぼ全てのワイヤレス顧客に影響が及ぶ、データ漏えいに見舞われたことである。同社によると、ハッキングによりデータが流出したのは、2022年5月1日〜2022年10月31日と、2023年1月2日移行の期間であり、その内容は顧客の call/text のログだという。データの流出元は、AT&T のサードパーティである、Snowflake のクラウド・プラットフォームだとのことだ。

Continue reading “AT&T で発生したデータ侵害:Snowflake データベースからデータが漏えいが原因”

DarkGate マルウェア:Samba と Excel を介して配布されている – Unit 42

Dark Gate Malware Campaign Uses Samba File Shares

2024/07/15 SecurityAffairs — 2024年3月〜4月に展開された、DarkGate マルウェア・キャンペーンに関するレポートを、Palo Alto Networks Unit 42 の研究者たちが公開した。このキャンペーンで用いられた手法は、公開されている SMB ファイル共有から、Microsoft Excel ファイルを介して、悪意のソフトウェア・パッケージをダウンロードさせるというものだった。Unit 42 の研究者たちによると、脅威アクターはマルウェアを配布するために、正規のツールやサービスを巧妙に悪用していたという。

Continue reading “DarkGate マルウェア:Samba と Excel を介して配布されている – Unit 42”

AT&T 侵害の現状:Snowflake からダウンロードしたデータの販売を呼びかける脅威アクターたち

Hackers Downloaded Call Logs from Cloud Platform in AT&T Breach

2024/07/12 InfoSecurity — 通信大手の AT&T が明らかにしたのは、脅威アクターにより、顧客データが不正にダウンロードされたことだ。サードパーティのクラウド・プラットフォーム上の AT&T のワークスペースから、ハッカーがデータを不正ダウンロードしたことを、7月12日に発表した声明で同社は認めている。米証券取引委員会 (SEC) への提出書類によると、同社は 2024年4月19日の時点で、通話ログが不正にアクセス/コピーされたことを初めて知ったようだ。

Continue reading “AT&T 侵害の現状:Snowflake からダウンロードしたデータの販売を呼びかける脅威アクターたち”

AT&T モバイルの大半の call/text ログが盗まれる:2022年に発生していた Snowflake 攻撃とは?

Hackers stole call, text records of “nearly all” of AT&T’s cellular customers

2024/07/12 HelpNetSecurity — 盗まれた Snowflake アカウントの認証情報を悪用するハッカーが、2022年5月〜2022年10月において、ほぼ全ての AT&T 携帯の話顧客の通話とメールのログを、盗み出していることが確認された。その一方で AT&T は、「この盗まれたとされるデータには、通話およびメールの内容や、社会保障番号、生年月日といった、個人を特定できる情報は含まれていない。また、通話やメールのタイムスタンプなどの、利用明細に記載される典型的な情報も含まれていない」と述べている。

Continue reading “AT&T モバイルの大半の call/text ログが盗まれる:2022年に発生していた Snowflake 攻撃とは?”

PHP の脆弱性 CVE-2024-4577:脅威アクターたちが悪用してマルウェアを配布 – Akamai

Multiple Threat Actors Exploit PHP Flaw Cve-2024-4577 To Deliver Malware

2024/07/11 SecurityAffairs — PHP の脆弱性 CVE-2024-4577 を悪用する脅威アクターたちが、Gh0st RAT/RedTail cryptominers/XMRig などの多様なマルウェア・ファミリーを配信していると、Akamai の Security Intelligence Response Team (SIRT) が警告している。Akamai は、「新たな CVE-2024-4577 を迅速に悪用した脅威アクターたちは、脆弱性情報の公開から悪用までの時間が、短縮されているという傾向を維持している。Akamai のハニーポット・ネットワークでは、この PHP の欠陥を標的とする悪用の試みが、公開から 24時間以内に確認されている」と述べている。

Continue reading “PHP の脆弱性 CVE-2024-4577:脅威アクターたちが悪用してマルウェアを配布 – Akamai”

北朝鮮のハッカー Kimsuky が日本の組織を標的にしている – JPCERT/CC

Japan warns of attacks linked to North Korean Kimsuky hackers

2024/07/10 BleepingComputer — 北朝鮮の脅威アクターである Kimsuky が、日本の組織を攻撃の標的にしていると、JPCERT/CC (Japan’s Computer Emergency Response Team Coordination Center) が警告している。この Kimsuky は、北朝鮮の APT (advanced persistent threat) グループだと米国政府は位置づけている。同グループは、北朝鮮政府にとって関心のある情報を収集するために、世界中の標的に対して攻撃を行っている。

Continue reading “北朝鮮のハッカー Kimsuky が日本の組織を標的にしている – JPCERT/CC”

EstateRansomware という新たなランサムウェア:Veeam Backup & Replication の脆弱性を悪用

New Ransomware Group Exploiting Veeam Backup Software Vulnerability

2024/07/10 TheHackerNews — Veeam Backup & Replication ソフトウェアの、すでにパッチが適用されているセキュリティ欠陥が、EstateRansomware という新たなランサムウェアに悪用されている。この脅威を 2024年4月初旬に発見したのは、シンガポールに本社を置く Group-IB であり、その悪質な活動は CVE-2023-27532 (CVSS:7.5) を悪用して行われたと述べている。ターゲットの環境へのイニシャル・アクセスは、Fortinet FortiGate firewall SSL VPN アプライアンスの、休眠アカウントを使用して確立されていた。

Continue reading “EstateRansomware という新たなランサムウェア:Veeam Backup & Replication の脆弱性を悪用”

富士通のデータ侵害:シングルポイントから侵入して 49台の PC に感染したマルウェア

Fujitsu confirms customer data exposed in March cyberattack

2024/07/09 BleepingComputer — 富士通が認めたのは、2024年の3月に発生したデータ侵害で、一部の個人と顧客のビジネスに関連する情報が漏洩したことである。同社の発表によると、この攻撃にはランサムウェアは関与していなかったが、詳細情報を流出させながら検知を回避するという、高度なメカニズムが用いられていたという。2024年3月に富士通は、複数のシステムがマルウェアに感染していることを発見し、機密性の高い顧客情報が漏洩した可能性を指摘していた。同社は、影響を受けたコンピュータを隔離し、外部専門家の協力を得て調査を開始し、侵害の範囲を特定した。

Continue reading “富士通のデータ侵害:シングルポイントから侵入して 49台の PC に感染したマルウェア”

Microsoft SmartScreen の脆弱性 CVE-2024-21412:情報窃取マルウェアの展開に悪用されている

Cybercriminals Escalate Attacks Exploiting Microsoft SmartScreen Flaw (CVE-2024-21412)

2024/07/07 SecurityOnline — Microsoft Defender SmartScreen の脆弱性 CVE-2024-21412 を悪用するサイバー攻撃が急増していることが、Cyble Research and Intelligence Labs (CRIL) が公開したレポートにより明らかになった。この脆弱性に対しては、すでにパッチが適用されているが、以前にも DarkGate や Water Hydra などの脅威グループのキャンペーンで悪用されていた。しかし、現在では、Lumma や MeduzaStealer といった情報窃取マルウェアを展開する、サイバー犯罪者たちにより広く悪用されている。

Continue reading “Microsoft SmartScreen の脆弱性 CVE-2024-21412:情報窃取マルウェアの展開に悪用されている”

Jenkins サーバのミスコンフィグ:クリプトジャッキング攻撃に悪用されている

Misconfigured Jenkins Servers Targeted in Cryptojacking Attacks

2024/07/06 SecurityOnline — Jenkins サーバのミスコンフィグを標的とする攻撃が相次いでいることを、サイバー・セキュリティの世界のリーダー Trend Micro が警告している。脅威アクターたちは、Jenkins Script Console の脆弱性を悪用して、暗号通貨マイニング・ソフトウェアを不正にインストール/運用し、無防備な組織から計算リソースを抜き取っている。

Continue reading “Jenkins サーバのミスコンフィグ:クリプトジャッキング攻撃に悪用されている”

Microsoft MSHTML の脆弱性 CVE-2021-40444:スパイウェア MerkSpy の配布で悪用

Microsoft MSHTML Flaw Exploited to Deliver MerkSpy Spyware Tool

2024/07/03 TheHackerNews — Microsoft MSHTML の脆弱性 CVE-2021-40444 を悪用して、MerkSpy という監視ツールを配信する、未知の脅威アクターが発見された。このキャンペーンでは、カナダ/インド/ポーランド/米国のユーザーが、主要ターゲットにされているという。Fortinet FortiGuard Labs の研究者である Cara Lin は、「MerkSpy は、ユーザーの活動を密かに監視して、機密情報を取得することに加えて、侵害したシステム上で永続性を確立するよう設計されている」と、先週に公開されたレポートで述べている。

Continue reading “Microsoft MSHTML の脆弱性 CVE-2021-40444:スパイウェア MerkSpy の配布で悪用”

Juniper SRX の脆弱性 CVE-2024-21586 が FIX:DoS 攻撃の恐れ

CVE-2024-21586: Juniper SRX Vulnerability Leaves Networks Open to Attack

2024/07/03 SecurityOnline — Juniper Networks が公表したのは、同社の SRX Series ファイアウォールに存在する、深刻な脆弱性のセキュリティ・アドバイザリである。この脆弱性 CVE-2024-21586 (CVSSv4 8.7) の悪用に成功した未認証の攻撃者は、リモートでパケット転送エンジン (PFE) をクラッシュさせ、サービス拒否 (DoS) 状態を引き起こす可能性を手にする。

Continue reading “Juniper SRX の脆弱性 CVE-2024-21586 が FIX:DoS 攻撃の恐れ”

ProxyLogon/ProxyShell の脆弱性が復活:政府機関の電子メールが侵害される

ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached

2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約3年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア/ヨーロッパ/南米などの、複数の地域の政府機関に影響を及ぼしている。

Continue reading “ProxyLogon/ProxyShell の脆弱性が復活:政府機関の電子メールが侵害される”

Cisco NX-OS のゼロデイ悪用が発見される:カスタム・マルウェアの展開を警告

Cisco warns of NX-OS zero-day exploited to deploy custom malware

2024/07/01 BleepingComputer — Cisco が公表したのは、脆弱なスイッチに root 権限で未知のマルウェアをインストールするという、2024年4月の攻撃で悪用された、NX-OS のゼロデイ脆弱性 CVE-2024-20399 に対する修正である。サイバー・セキュリティ企業の Sygnia は、このインシデントを Cisco に報告し、同社が追跡している脅威アクター “Velvet Ant” による攻撃と関連付けた。Sygnia のインシデント対応の担当ディレクターである Amnon Kushnir は、「Velvet Ant として追跡している、中国由来のサイバー・スパイ・グループに関する大規模なフォレンジック調査中に、この悪用を検出した」と、 BleepingComputer に語っている。

Continue reading “Cisco NX-OS のゼロデイ悪用が発見される:カスタム・マルウェアの展開を警告”

Midnight Blizzard による Microsoft 侵害:顧客のEメール流出も判明

Microsoft Alerts More Customers to Email Theft in Expanding Midnight Blizzard Hack

2024/06/28 SecurityWeek — ロシアのハッキング・グループ Midnight Blizzard による、Microsoft の企業インフラへのハッキングの衝撃が、さらなる広がりを見せている。Microsoft とユーザー企業間のメールも盗まれていたという、顧客に対する新たな通知が発行されたのだ。この、2024年1月に発生した大規模な侵害で、Microsoft のソースコードとEメールが流出したことで、同社に対する米国政府の調査セキュリティ慣行の大幅な見直し要求へと発展した。しかし、新たに発見された侵害の内容により、より広範なユーザー企業にも被害が及んでいたことが判明した。

Continue reading “Midnight Blizzard による Microsoft 侵害:顧客のEメール流出も判明”

悪意の Chrome エクステンション TRANSLATEXT:機密データを窃取する北朝鮮 Kimsuky の手口とは?

Kimsuky Using TRANSLATEXT Chrome Extension to Steal Sensitive Data

2024/06/28 TheHackerNews — 北朝鮮の脅威アクター Kimsuky が、機密情報を盗むように設計された、新たな悪意の Google Chrome エクステンションを使用して、情報収集活動を展開している。この活動を 2024年3月初旬に観測した Zscaler ThreatLabz は、このエクステンションのコードネームを TRANSLATEXT とし、電子メールアドレス/ユーザー名/パスワード/クッキー/ブラウザのスクリーン・ショットなどを、収集する機能を持つと指摘している。この標的型キャンペーンは、韓国の学術界を狙うものであり、特に北朝鮮の政治問題に関連するアカウントを標的にしたものだと見られている。

Continue reading “悪意の Chrome エクステンション TRANSLATEXT:機密データを窃取する北朝鮮 Kimsuky の手口とは?”

TeamViewer へのサイバー攻撃を確認:APT29 の犯行だと特定される

TeamViewer Confirms Cyberattack by Notorious APT Group

2024/06/27 SecurityOnline — リモート・コントロール・ツールの TeamViewer が、深刻なサイバー攻撃を受けたことを公表した。TeamViewer のシステムへの侵入に成功したのは、APT29 (Midnight Blizzard) と呼ばれる洗練されたハッカー集団であり、未知の手法が用いられているという。しかし、現時点においては、TeamViewer の製品やユーザー・データは侵害されていない。

Continue reading “TeamViewer へのサイバー攻撃を確認:APT29 の犯行だと特定される”

シンガポールの個人情報とダークウェブ:アンダーグラウンド取引が前年比で 230% 増 – Resecurity

Dark Web Sees 230% Rise in Singapore Identity Theft

2024/06/25 InfoSecurity — シンガポール国民から盗んだ個人情報を流通させる、ダークウェブ活動が大幅に増加していることを明らかになった。6月24日に Resecurity が公開したアドバイザリによると、サイバー犯罪者たちが販売している一連の盗難データが、詐欺/ID 窃盗/なりすまし詐欺/Know Your Customer (KYC) プロトコル回避などに悪用されるという。同社による指摘は、シンガポールのユーザーから盗み出した ID データを販売するアンダーグラウンド業者が、前年比で 230% 増加しているというものだ。この急増と、データ侵害の増加は連動しており、消費者情報を保存する各種のオンライン・プラットフォームを危険にさらしている。

Continue reading “シンガポールの個人情報とダークウェブ:アンダーグラウンド取引が前年比で 230% 増 – Resecurity”

Neiman Marcus のデータ侵害:Snowflakeアカウントのハッキングで個人情報が漏えい

Neiman Marcus confirms data breach after Snowflake account hack

2024/06/25 BleepingComputer — 高級小売店の Neiman Marcus は、最近の Snowflake データ盗難攻撃の被害に遭遇し、同社から盗み出されたデータベースの売却を、ハッカーが試みていたことを明らかにした。同社がメイン州の司法長官事務所に提出したデータ流出通知によると、この流出により影響を受けた人々は 64,472人に及ぶという。この通知の中で Neiman Marcus は、「2024年4月 〜 5月に、Neiman Marcus グループが使用しているデータベース・プラットフォームに、脅威アクターが不正アクセスしていたことが、5月に入ってから判明した。さらに、当社の調査により、データベース・プラットフォーム上の個人情報が、この脅威アクターにより盗み出されていたことが判った」と述べている。

Continue reading “Neiman Marcus のデータ侵害:Snowflakeアカウントのハッキングで個人情報が漏えい”

Microsoft Management Console の悪用:新たな RCE 攻撃手法が発見された – Elastic

New Attack Technique Exploits Microsoft Management Console Files

2024/06/25 TheHackerNews — Microsoft Management Console (MMC) を用いる任意のコード実行権を取得して、セキュリティを回避するために、特別に細工された MSC (management saved console ) ファイルを悪用するという、新しい攻撃手法が発見された。2024年6月6日に VirusTotal マルウェア・スキャン・プラットフォームにアップロードされていた、アーティファクト “sccm-updater.msc” を発見した Elastic Security Labs は、この手法を GrimResource と命名した。

Continue reading “Microsoft Management Console の悪用:新たな RCE 攻撃手法が発見された – Elastic”

Zyxel NAS の脆弱性 CVE-2024-29973:Mirai ライクなボットネットによる積極的な悪用

Zyxel NAS Devices Under Attack: CVE-2024-29973 Exploitation Attempts by Mirai-Like Botnet

2024/06/23 SecurityOnline — Zyxel NAS デバイスの脆弱性 CVE-2024-29973 (CVSS:9.8) が、積極的に悪用されている状況を、脅威監視プラットフォーム Shadowserver が警告している。この脆弱性の悪用に成功した未認証の攻撃者には、悪意のリモート・コマンドの注入/実行が許されるため、影響を受けるデバイスのセキュリティと完全性が損なわれる可能性が生じている。なお、この脆弱性は、Outpost24 Ghost Labs の Timothy Hjort により発見されたものだ。

Continue reading “Zyxel NAS の脆弱性 CVE-2024-29973:Mirai ライクなボットネットによる積極的な悪用”

アジアの通信事業者への 10年にわたるサイバー攻撃:中国ハッカーの犯行と判明 – Symantec

Decade-Long Cyber Assault on Asian Telecoms Traced to Chinese State Hackers

2024/06/20 SecurityWeek — 長年にわたってアジア某国の通信会社が、中国のスパイ集団に帰属する悪意のツールの標的となっていることが、Symantec のレポートにより判明した。遅くとも 2021年以降から、通信事業者/通信事業者にサービスを提供する企業/大学などを標的とするキャンペーンが発生し、Coolclient/Quickheal/Rainyday などのカスタム・バックドアが使用されてきた。過去においても、このカスタム・バックドアは、中国に支援される既知の脅威アクターたちと関連付けられてきたが、その中には、10年以上も活動しているグループも含まれるという。

Continue reading “アジアの通信事業者への 10年にわたるサイバー攻撃:中国ハッカーの犯行と判明 – Symantec”

Fickle Stealer という新たな情報スティーラー:PowerShell を介した UAC バイパスとデータ流出を達成

New Rust-based Fickle Malware Uses PowerShell for UAC Bypass and Data Exfiltration

2024/06/20 TheHackerNews — Fickle Stealer という Rust ベースの新しい情報窃取マルウェアが、複数の攻撃チェーンを介して配信されて、侵害したホストから機密情報を採取している。Fortinet FortiGuard Labs によると、VBA ドロッパー/VBA ダウンローダー/リンク・ダウンローダー、実行型ファイル・ダウンローダーという4種類の配布形態が確認されており、その中には PowerShell スクリプトを使用して、ユーザー・アカウント制御 (UAC:User Account Control) をバイパスし、Fickle Stealer を実行するものもあるという。

Continue reading “Fickle Stealer という新たな情報スティーラー:PowerShell を介した UAC バイパスとデータ流出を達成”

ONNX という PhaaS と QR コード:Microsoft 365 アカウントに BEC 攻撃を展開

‘ONNX’ MFA Bypass Targets Microsoft 365 Accounts

2024/06/19 DarkReading — 高度に組織化された PhaaS (phishing-as-a-service operation) が、金融企業の Microsoft 365 アカウントを標的とし、2FA (two-factor authentication) バイパスや QR コードの悪用といった高度な回避技術を活用する、BEC (business email compromise) 攻撃を仕掛けていることが、研究者たちにより明らかになった。 6月18日のブログで EclecticIQ のセキュリティ・アナリストたちは、金融機関を標的とする広範なフィッシング・キャンペーンを、2024年2月の時点で発見したと述べている。標的となった組織には、アメリカ大陸/ヨーロッパ/中東/アフリカ (EMEA) 地域における、銀行/プライベート・ファンディング会社/信用組合のサービス・プロバイダーなどが含まれていたという。

Continue reading “ONNX という PhaaS と QR コード:Microsoft 365 アカウントに BEC 攻撃を展開”

Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?

UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying

2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。

Continue reading “Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?”

Google Chrome の偽エラー・トリックに要注意:巧みな誘導で悪意の PowerShell を実行

Fake Google Chrome errors trick you into running malicious PowerShell scripts

2024/06/17 BleepingComputer — Google Chrome/Microsoft Word/OneDrive のエラーを装い、ユーザーを騙してマルウェアをインストールさせるために、PowerShell の悪質な “修正プログラム” を実行させるという、新たなマルウェア配布キャンペーンが発生している。この新しいキャンペーンは、ClearFake や ClickFix と呼ばれる新しい攻撃クラスターを操る、複数の脅威アクターにより使用されていることが確認されている。また、大量のメールを送信してマルウェアやランサムウェアの感染を引き起こす、スパム配信者 TA571 にも使用されているようだ。

Continue reading “Google Chrome の偽エラー・トリックに要注意:巧みな誘導で悪意の PowerShell を実行”

F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia

China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices

2024/06/17 TheHackerNews — 中国と密接な関係にあると疑われるサイバー・スパイが、約3年間という長期間にわたり、東アジアの無名の組織に対して攻撃を続けていたことが判明した。この脅威アクターは、F5 BIG-IP のレガシー・アプライアンスを悪用して永続性を確立し、内部 C&C (command-and-control) として使用することで、セキュリティを回避していた。2023年の後半に、この活動に対応したサイバー・セキュリティ企業 Sygnia は、Velvet Ant という名前で追跡した結果として、迅速な機動力と対処策に適応する強力な能力を有すると分析している。

Continue reading “F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia”

Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言

Microsoft Admits Security Failings Allowed China to Access US Government Emails

2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。

Continue reading “Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言”

MS Office の古い脆弱性 CVE-2017-11882 を悪用:北朝鮮の Kimsuky がキーロガーを配信

North Korean Hackers Exploit Old Office Flaw to Deploy Keylogger

2024/06/13 SecurityOnline — 北朝鮮の国家支援グループ Kimsuky により、新たなサイバー・スパイ・キャンペーンが実施されていることを、AhnLab Security Emergency response Center (ASEC) が公表した。このグループは、Microsoft Office の数式エディタに存在する、既知の脆弱性 CVE-2017-11882 を悪用して、高度なキーロガーを配信している。

Continue reading “MS Office の古い脆弱性 CVE-2017-11882 を悪用:北朝鮮の Kimsuky がキーロガーを配信”

Truist Bank から盗まれたデータが $1 M で販売されている:Snowflake との関連性は?

Truist Bank confirms breach after stolen data shows up on hacking forum

2024/06/13 BleepingComputer — 米国の大手商業銀行 Truist が認めたのは、2023年10月のサイバー攻撃で同社のシステムが侵害されたことだ。その後に、ハッキング・フォーラムで脅威アクターが、同社のデータの一部を売りに出している。ノースカロライナ州シャーロットに本社を置く Truist Bank は、2019年12月の SunTrust Banks と BB&T (Branch Banking and Trust Company ) の合併により誕生している。

Continue reading “Truist Bank から盗まれたデータが $1 M で販売されている:Snowflake との関連性は?”

FortiOS/FortiProxy の脆弱性 CVE-2022-42475:中国 APT が 20,000台のデバイスに RAT を展開

Chinese hackers breached 20,000 FortiGate systems worldwide

2024/06/11 BleepingComputer — オランダ軍の情報セキュリティ局 (MIVD:Military Intelligence and Security Service) が 6月11日に公開したアラートは、2024年の初頭に公表中国のサイバースパイ・キャンペーンの影響が、これまで考えられていたよりも遥かに大きいと警告するものだ。2024年2月に MIVD は、オランダの情報機関である AIVD (Algemene Inlichtingen- en Veiligheidsdienst) との共同レポートで、この件について情報を公開している。同レポートによると、中国のハッカーは 2022〜2023年の数カ月間にわたり、Fortinet FortiOS/FortiProxy の深刻なリモート・コード実行の脆弱性 CVE-2022-42475 を悪用し、脆弱な Fortigate ネットワーク・セキュリティ・アプライアンスにマルウェアを展開していたという。

Continue reading “FortiOS/FortiProxy の脆弱性 CVE-2022-42475:中国 APT が 20,000台のデバイスに RAT を展開”

Microsoft VSCode 調査:数百万回もインストールされた悪意のエクステンションを発見!

Malicious VSCode extensions with millions of installs discovered

2024/06/09 BleepingComputer — Visual Studio Code マーケットプレイスの、セキュリティを調査していたイスラエルの研究者グループが、人気の公式テーマである “Dracula Official” のコピーに、実験として悪意のコードを取り込んだトロイの木馬により、100以上の組織を擬似的に感染させることに成功した。さらに、彼らが VSCode マーケットプレイスを調査したところ、数千もの悪意のエクステンションが、数百万もインストールされていることが判明した。

Continue reading “Microsoft VSCode 調査:数百万回もインストールされた悪意のエクステンションを発見!”

Apache RocketMQ の脆弱性 CVE-2023-33246:Muhstik マルウェアの配布に悪用されている

Muhstik Malware Exploits Apache RocketMQ Flaw: Thousands at Risk

2024/06/06 SecurityOnline — Apache RocketMQ のインストールを標的とする、Muhstik マルウェアのキャンペーンを、Aqua Nautilus のサイバーセキュリティ研究者たちが発見した。この新たな攻撃の波において、攻撃者は RocketMQ バージョン 5.1.0 以下の脆弱性 CVE-2023-33246 を悪用してリモートでコードを実行し、侵害されたシステムに悪名高い Muhstik マルウェアをダウンロードする。

Continue reading “Apache RocketMQ の脆弱性 CVE-2023-33246:Muhstik マルウェアの配布に悪用されている”

PyPI に新たな悪意のパッケージ :Crytic-Compiler を装い Lumma スティーラーを配布

Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI

2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている

Continue reading “PyPI に新たな悪意のパッケージ :Crytic-Compiler を装い Lumma スティーラーを配布”

Chalubo マルウェア:600,000 台以上の SOHO ルーターを破壊していた – Lumen

Over 600,000 SOHO Routers Were Destroyed By Chalubo Malware In 72 Hours

2024/05/31 SecurityAffairs — Chalubo マルウェアが、2023年10月25日〜10月27日の間にわたって、同じ ISP に属する 600,000 台以上の SOHO (small office/home office) ルーターを破壊していたことが、Lumen の Black Lotus Labs の研究により判明した。Black Lotus Labs は、影響を受けた ISP の名前を挙げていない。しかし Bleeping Computer の推測は、同時期に発生した Windstream の障害に、この攻撃が関連しているというものだ。Chalubo (ChaCha-Lua-bot) は Linux マルウェアであり、IoT デバイスに DDoS 攻撃を仕掛けるためのボットネットとして使用されていた状況を、2018年8月下旬に Sophos Labs が検知していた。

Continue reading “Chalubo マルウェア:600,000 台以上の SOHO ルーターを破壊していた – Lumen”

WordPress プラグインを悪用するキャンペーン:スクリプトやバックドアを Web サイトに注入

Critical WordPress Plugin Flaws Exploited to Inject Malicious Scripts and Backdoors

2024/05/30 SecurityWeek — Fastly からの警告によると、3つの WordPress プラグインの脆弱性が悪用され、悪意のスクリプトやバックドアが Web サイトに注入されている。これらの脆弱性には、認証を必要としない蓄積型クロス・サイト・スクリプティング (XSS) 攻撃の実行で、悪用される可能性があるという。具体的に言うと、攻撃者は新しい WordPress 管理者アカウントを作成し、プラグインやテーマのファイルに PHP バックドアを注入し、感染させたターゲットを監視するための、追跡スクリプトを設定できる。

Continue reading “WordPress プラグインを悪用するキャンペーン:スクリプトやバックドアを Web サイトに注入”

WordPress Dessky Snippets Plugin:クレジットカード情報の窃取に悪用されている – Sucuri

WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites

2024/05/28 TheHackerNews — WordPress の Code Snippet という、あまり知られていないプラグインを悪用して、標的サイトに悪意の PHP コードを挿入することで、クレジットカード情報を窃取するという攻撃が発生している。このキャンペーンは、2024年5月11日に Sucuri により発見されたものであり、ユーザーによるカスタム PHP コードの追加を可能にする、Dessky Snippets という WordPress プラグインを悪用するものだ。なお、このプラグイン は、200 件以上インストールされている。

Continue reading “WordPress Dessky Snippets Plugin:クレジットカード情報の窃取に悪用されている – Sucuri”

Check Point VPN の脆弱性 CVE-2024-24919:企業ネットワークへの不正アクセスで悪用

Hackers target Check Point VPNs to breach enterprise networks

2024/05/27 BleepingComputer — Check Point のRemote Access VPN デバイスを標的とする、エンタープライズ・ネットワークへの侵害キャンペーンが進行中であることが、同社が 5月27日に公開だけしたアドバイザリで明らかになった。このリモート・アクセス機能は、Check Point の全てのネットワーク・ファイアウォールに組み込まれている。この機能の設定により、VPN クライアントを介して企業ネットワークにアクセスする Client-to-Site VPN として、また、Web ベースでアクセスする SSL VPN ポータルとしての利用が可能となる。

Continue reading “Check Point VPN の脆弱性 CVE-2024-24919:企業ネットワークへの不正アクセスで悪用”

MITRE が公表した 2024年1月の攻撃:不正な VMS を用いて検知を回避

MITRE December 2023 Attack: Threat Actors Created Rogue VMS To Evade Detection

2024/05/25 SecurityAffairs — MITRE Corporation は、昨年末に発生した攻撃に関するアップデート情報を公開した。MITRE は、研究/試作ネットワークの1つにセキュリティ侵害があったことを、2024年4月に明らかにしている。同組織のセキュリティ・チームは速やかに調査を開始し、脅威アクターをログアウトさせ、サードパーティの DFIR (Forensics and Incident Response) チームに依頼し、社内の専門家たちと共同で独自の分析を実施した。

Continue reading “MITRE が公表した 2024年1月の攻撃:不正な VMS を用いて検知を回避”

VMware ESXi の脆弱性を悪用したランサムウェア攻撃が深刻化している – Sygnia

Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern

2024/05/23 TheHackerNews — VMware ESXi インフラを標的とするランサムウェア攻撃は、展開されたファイル暗号化マルウェアに関係なく、確立されたパターンに従って実行されている。サイバー・セキュリティ企業 Sygnia のレポートには、「ユーザー組織において、IT インフラの中核的なコンポーネントである仮想化プラットフォームは、ミスコンフィグや脆弱性が生じることが多い。そのため、脅威アクターにとって格好の、きわめて効果的なターゲットになっている」と記されている。

Continue reading “VMware ESXi の脆弱性を悪用したランサムウェア攻撃が深刻化している – Sygnia”

Log4j の大規模かつ継続的なキャンペーン:XMRig などの多様なマルウェアを配信

Log4j Campaign Exploited to Deploy XMRig Cryptominer

2023/05/17 SecurityOnline — 大規模かつ継続的な悪名高い Log4j キャンペーンの活動を、Uptycs Threat Research Team が発見した。当初はハニーポット・コレクション内で検出されたが、このダイナミックなキャンペーンの複雑さを解明するために、Uptycs が詳細な分析を直ちに開始した。

Continue reading “Log4j の大規模かつ継続的なキャンペーン:XMRig などの多様なマルウェアを配信”

GitHub とマルウェア群:共通のインフラから AMOS/Vidar/Lumma/Octo などで侵害

Threat Actors Abuse GitHub to Distribute Multiple Information Stealers

2024/05/15 SecurityWeek — 5月13日 (火) に脅威インテリジェンス企業 Recorded Future は、正規の GitHub プロフィールを悪用して情報窃取マルウェアを配布する、悪質なキャンペーンに対して警鐘を鳴らした。このキャンペーンの一環として、Commonwealth of Independent States (CIS) で活動するロシア語圏の脅威アクターたちが、1Password/Bartender 5/Pixelmator Proなどの正規アプリケーションを装いながら、Atomic macOS Stealer (AMOS)/Vidar/Lumma/Octo などのマルウェアを配布している。

Continue reading “GitHub とマルウェア群:共通のインフラから AMOS/Vidar/Lumma/Octo などで侵害”

Black Basta の戦術:ソーシャル・エンジニアリングで Windows Quick Assist を侵害

Windows Quick Assist abused in Black Basta ransomware attacks

2024/05/15 BleepingComputer — 金銭的な動機に基づくサイバー犯罪者たちが、ソーシャル・エンジニアリング攻撃で Windows Quick Assist 機能を悪用し、被害者のネットワーク上に Black Basta ランサムウェアのペイロードを展開している。Microsoft は、遅くとも 2024年4月中旬から、このキャンペーンを調査している。同社の観察によると、脅威グループ (Storm-1811) は、さまざまな電子メール配信サービスにアドレスを登録した後に、標的に対する大量の電子メール配信を行うことで攻撃を開始する。

Continue reading “Black Basta の戦術:ソーシャル・エンジニアリングで Windows Quick Assist を侵害”

Ebury ボットネットの脅威:14年をかけて 40万台の Linux サーバを侵害

Ebury Botnet Malware Compromises 400,000 Linux Servers Over Past 14 Years

2024/05/15 TheHackerNews — Eburyと呼ばれるボットネット・マルウェアは、2009年以降において 40万台の Linux サーバを危険にさらしており、そのうち10万台以上が、2023年の時点でも危険な状況にあると推定されている。この調査結果は、スロバキアのサイバーセキュリティ企業 ESET によるものである。同社は、このマルウェアについて、金銭的な利益を目的とした最も高度なサーバ・サイド・マルウェア・キャンペーンの1つだとしている。

Continue reading “Ebury ボットネットの脅威:14年をかけて 40万台の Linux サーバを侵害”

Microsoft が FIX した脆弱性 CVE-2024-30051:QakBot のマルウェア配信で悪用

Microsoft fixes Windows zero-day exploited in QakBot malware attacks

2024/05/14 BleepingComputer — Microsoft が修正したゼロデイ脆弱性は、影響を受ける Windows システム上で、 QakBot などのマルウェア・ペイロードを配信する攻撃で、悪用される可能性のあるものだ。この特権昇格の脆弱性 CVE-2024-30051 は、DWM (Desktop Window Manager) コア・ライブラリのヒープバッファ・オーバーフローが起因するものであり、悪用に成功した攻撃者に、SYSTEM 権限の取得を許すものである。

Continue reading “Microsoft が FIX した脆弱性 CVE-2024-30051:QakBot のマルウェア配信で悪用”

LockBit Black の大規模キャンペーン:Phorpiex ボットネットから大量のフィッシング・メール

Botnet sent millions of emails in LockBit Black ransomware campaign

2024/05/13 BleepingComputer — 2024年4月以降において、大規模な LockBit Black ランサムウェア・キャンペーンを実施するために、Phorpiex ボットネットを介して数百万通のフィッシング・メールが送信されているという。5月10日 (金) に、ニュージャージー州の Cybersecurity and Communications Integration Cell (NJCCIC) が警告したように、この攻撃者が使用しているのは、起動すると受信者のシステムを暗号化する LockBit Black ペイロードを展開するための、実行ファイルを取り込んだ ZIP 添付ファイルである。

Continue reading “LockBit Black の大規模キャンペーン:Phorpiex ボットネットから大量のフィッシング・メール”

Dell API への侵害:4900万人分の顧客情報が容易に流出してしまった

Dell API abused to steal 49 million customer records in data breach

2024/05/10 BleepingComputer — 先日に発生した Dell におけるデータ流出の背後にいる脅威アクターは、自身で作った偽の会社からアクセスした Partner Portal API を介して、4900万人分の顧客情報をスクレイピングしたことを明らかにした。昨日に BleepingComputer が報じたのは、データ侵害により個人データが盗まれたことを警告する通知を、Dell が顧客に送り始めたことだ。このインシデントで流出したデータには、保証情報/サービスタグ/顧客名/設置場所/顧客番号/注文番号などが含まれていたという。

Continue reading “Dell API への侵害:4900万人分の顧客情報が容易に流出してしまった”

Mobile Banking マルウェアが 32% の急増:サイバー犯罪者にとって金銭は魅力的 – Kaspersky

Mobile Banking Malware Surges 32%

2023/05/09 InfoSecurity — Kaspersky 最新年次レポート “Financial Threats Report for 2023” のデータによると、世界のモバイル・バンキング向けマルウェアは、2022年と比べて 32% も増加している。この、5月6日に発表されたレポートが指摘するのは、Android ユーザーを狙う攻撃が急増し、アフガニスタン/トルクメニスタン/タジキスタンでは、バンキング型トロイの木馬に遭遇する割合が最も高くなっている点だ。特筆すべきは、モバイル・バンキングを狙うマルウェア攻撃ではトルコがトップであり、約3%のユーザーが感染しているという。

Continue reading “Mobile Banking マルウェアが 32% の急増:サイバー犯罪者にとって金銭は魅力的 – Kaspersky”