Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoor
2024/02/12 BleepingComputer — Ivanti Connect Secure/Policy Secure/ZTA Gateway の SSRF (Server-Side Request Forgery) 脆弱性の悪用に成功した攻撃者が、脆弱なデバイス上に新しい DSLog バックドアを展開していることが分かった。この脆弱性 CVE-2024-21893 は、2024年1月31日にアクティブに悪用されるゼロデイとして公開されたものであり、Ivanti からはセキュリティ・アップデートと緩和策が共有されている。
Continue reading “Ivanti の SSRF 脆弱性 CVE-2024-21893:新たな DSLog バックドアの展開に悪用される”AnyDesk Shares More Information on Recent Hack
2024/02/09 SecurityWeek — AnyDesk が共有した情報は、最初に脅威アクターたちが同社のシステムに侵入した時期や、インシデントの影響などの攻撃に関する詳細である。このソフトウェアの開発者によると、侵入は2024年1月中旬に発見され、フォレンジック調査の結果として、システムへの侵入時期は2023年12月下旬であることが判明したという。
Continue reading “AnyDesk におけるインシデント:ハッキングに関する詳細情報が共有された”New variant of Mispadu Stealer is Exploiting CVE-2023-36025 Vulnerability
2024/02/04 SecurityOnline — 悪名高い Mispadu Stealer インフォ・スティーラーは、2019年以降のラテンアメリカ (LATAM) において、主にスペイン語/ポルトガル語圏の被害者を標的としている。最近になって Unit 42 の研究者たちが、Mispadu Stealer の現状/進化に関連する重要な情報を取得し、このマルウェアが悪用する SmartScreen の脆弱性に注目している。
Continue reading “Mispadu Stealer の亜種:Microsoft SmartScreen の CVE-2023-36025 を悪用”FritzFrog Returns with Log4Shell and PwnKit, Spreading Malware Inside Your Network
2024/02/01 TheHackerNews — FritzFrog という P2P ボットネットを背後で操る脅威アクターが、Log4Shell の脆弱性を悪用することで、すでに侵害したネットワーク内で内部的に増殖する、新たな亜種が登場している。Akamai は、「この脆弱性は、可能な限り多くの脆弱な Java アプリケーションをターゲットとする、ブルートフォース攻撃を介して悪用される」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Log4Shell/PwnKit を悪用する FritzFrog:パッチ未適用の内部システムが標的?”Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities
2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN/Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK/CHAINLINE/FRAMESTING/LIGHTWIRE などの、カスタム Web シェルの亜種である。
Continue reading “Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複”CISA Sets 48-hour Deadline for Removal of Insecure Ivanti Products
2024/02/01 SecurityWeek — 米国政府のサイバーセキュリティ機関 CISA は連邦政府機関に対して、Ivanti Connect Secure/Policy Secure の全製品のインスタンスを、48時間以内に切断せよという、前例のない要求を通達している。CISA は、「可能な限り早急に、また、遅くとも 2024年2月2日 (金) の午後11時59分までに、Ivanti Connect Secure/Policy Secure ソリューションの全インスタンスを、政府機関のネットワークから切断せよ」と、新たな緊急指令において圧力を強めている。防御側にとって必要とされるのは、実環境で積極的に悪用されている、少なくとも3件の Ivanti セキュリティ欠陥を軽減することである。
Continue reading “CISA が異例の通達:Ivanti の疑わしいインスタンスを 48時間以内に隔離せよ”CISA: Vendors must secure SOHO routers against Volt Typhoon attacks
2024/01/31 BleepingComputer — CISA が発した警告は、進行中の攻撃から機器のセキュリティを確保するよう、SOHO (small office/home office) ルーターの製造業者に求めるものだ。展開されている攻撃というのは、特に中国が支援するハッキング・グループ Volt Typhoon (別名:Bronze Silhouette) が、ルーターの乗っ取りを試みているというものだ。CISA/FBI による共同ガイダンスで、両機関がベンダーに求めているのは、設計/開発段階における SOHO ルーターの WMI (Web Management Interface) の脆弱性の解消だ。
Continue reading “CISA/FBI 共同警告:SOHO ルーターへの Volt Typhoon 攻撃の対処を要請”Hackers Exploiting Ivanti VPN Flaws to Deploy KrustyLoader Malware
2024/01/31 TheHackerNews — 最近に公開された Ivanti Connect Secure (ICS) VPN (Virtual Private Network) デバイスの2つのゼロデイ脆弱性が、KrustyLoader というペイロードの配信に悪用されている。KrustyLoader とは、オープンソースの Sliver 攻撃シミュレーション・ツールを投下するために使用される、Rust ベースのツールのことである。悪用が確認されている脆弱性 CVE-2023-46805 (CVSS:8.2)/CVE-2024-21887 (CVSS:9.1) は、認証されていない攻撃者に対して、影響を受けやすいアプライアンス上でのリモート・コード実行を許す可能性があるものだ。
Continue reading “Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887:KrustyLoader マルウェアの配布に悪用”Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines
2024/01/29 TheHackerNews — Python Package Index (PyPI) レポジトリ上で発見されたのは、WhiteSnake Stealer という情報窃取型マルウェアを、Windows システム上に配布する悪意のパッケージである。それらのマルウェアが埋め込まれたパッケージの名前は、nigpal/figflix/terer/seGMM/fbdebug/sGMM/myGens/NewGends/TestLibs111 である。そして、これらのパッケージをアップロードしているのは “WS “という脅威アクターだと、サイバーセキュリティ研究者たちは述べている。
Continue reading “PyPI に新たな悪意のパッケージ: Windows デバイス上に WhiteSnake マルウェアを展開”Cybersecurity Alert: Unseen WIREFIRE Web Shell Variant in ICS VPN Appliances
2024/01/28 SecurityOnline — 先日に QuoIntelligence が発見したのは、Python ベースのインプラントである WIREFIRE という Web シェルの新たな亜種だ。この亜種が発見されたのは、2つのゼロデイ脆弱性 CVE-2024-21887/CVE-2023-46805 を悪用して侵害された、Ivanti Connect Secure (ICS) VPN アプライアンスである。この亜種の登場が浮き彫りにするのは、サイバー・スパイ戦術の大幅な進化であり、また、インターネットに面した VPN デバイスのセキュリティに関する懸念である。
Continue reading “Ivanti VPN アプライアンスで発見:WIREFIRE Web シェル亜種のステルス性とは”Malicious Ads on Google Target Chinese Users with Fake Messaging Apps
2024/01/26 TheHackerNews — Google Ads で展開されている、Telegram などのメッセージング・アプリの不正広告キャンペーンにより、中国語圏のユーザーが狙われているという。1月25日のレポートで Malwarebytes の Jerome Segura は、「この脅威アクターは、Google の広告主アカウントを使用して悪意の広告を作成し、無防備なユーザーを RAT (Remote Administration Trojan) のダウンロード・ページに誘導している。この種の RAT は、攻撃者による被害者マシンの完全なコントロールを達成し、追加のマルウェアをドロップする能力を与える」と述べている。
Continue reading “FakeAPP という不正広告キャンペーン:偽の Google Ads で Line ユーザーも標的に!”Blackwood hackers hijack WPS Office update to install malware
2024/01/25 BleepingComputer — Blackwood という新たな APT (advanced threat actor) が、企業や個人に対するサイバースパイ攻撃のために、NSPX30 と呼ばれる高度なマルウェアを使用していることが判明した。この脅威アクターは、遅くとも 2018年から活動しており、中間者攻撃 (AitM:Adversary-in-the-Middle) に加えて、単純なバックドアに根ざしたコードベースを持つ、インプラントである NSPX30 マルウェアを 2005年から利用している。
Continue reading “Blackwood という APT:WPS Office などのアップデートから NSPX30 マルウェアを配布”Malicious NPM Packages Exfiltrate Hundreds of Developer SSH Keys via GitHub
2024/01/23 TheHackerNews — npm パッケージ・レジストリで発見された2つの悪意のパッケージは、開発者システムにインストールされた後に、Base64 暗号化された SSH キーを盗み出し、GitHub に保存するものだったと判明した。2024年1月初旬に公開された、warbeast2000 と kodiak2k という名のモジュールは、npm のメンテナンスにより削除されるまでに、それぞれ 412回と 1,281回のダウンロードを記録している。また、最新のダウンロードは 2024年1月21日に行われているという。
Continue reading “NPM に悪意のパッケージ:開発者を騙して盗んだ SSH Key を GitHub に隠して保存”Cybercrime’s Silent Operator: The Unraveling of VexTrio’s Malicious Network Empire
2024/01/23 SecurityWeek — VexTrio は巨大で複雑かつ悪質な TDS (Traffic Direction System) 組織である。トラフィックを VexTrio へと迂回させる 60以上のアフィリエイト・ネットワークを持ち、それと同時に独自の TDS ネットワークも運営している。さまざまな研究者により、その活動の一端が発見/分析されているが、コアとなるネットワークは、ほとんど知られていない。
Continue reading “VexTrio という悪のネットワーク帝国:60 以上のアフィリエイトたちとトラフィックを支配する”The 7777-Botnet Exploit: A New Threat to TP-Link, Xiongmai, and Hikvision
2024/01/18 SecurityOnline — サイバー・セキュリティの領域において、長年にわたり課題となっているのは、洗練されたボットネットへの対処である。侵害されたデバイスで構成されるネットワーク 7777-Botnet は、そのような手ごわい存在の1つであり、世界中のセキュリティ専門家たちの注目を集めている。このボットネットは、2023年10月から話題になり始めており、Microsoft Azure のユーザー認証情報に対するブルートフォース攻撃を介して、米国と欧州の VIP ユーザーを標的としているものだ。また、7777-Botnet は、Scattered Spider や Lazarus といった、悪名高い脅威アクターたちと関連していることでも注目されている。
Continue reading “7777-Botnet による脆弱性の悪用:標的は TP-Link/Xiongmai/Hikvision”A Stealthy Godzilla Webshell: A New Threat Targeting Apache ActiveMQ
2024/01/18 SecurityOnline — Apache ActiveMQ ホストの脆弱性を悪用するサイバー攻撃が、この数週間で急増していることを、Trustwave のサイバー・セキュリティ専門家たちが検知した。これらの攻撃では、Godzilla Webshell と呼ばれる、未知のバイナリ形式に隠されたステルス性の高い Web シェルが発見されている。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604:Godzilla Webshell による侵害を検知”Vendor Email Attacks Surged by 137% in Financial Sector in 2023
2024/01/17 InfoSecurity — 世界の金融サービス業界においては、2023年を通じて VEC (Vendor Email Compromise) 攻撃が 137% 増加したと、Abnormal Security の最新データが示している。 これらの脅威の大部分は、ソーシャル・エンジニアリングによる電子メール攻撃に関連するものであり、毎週平均して 1000 メールボックスあたり 200 件の、高度な攻撃が金融業界では発生しているという。2023年には、特に1月下旬と、9月下旬、12月中旬に攻撃のピークがあった。
Continue reading “金融サービス業界におけるメール詐欺 2023:ベンダーなどを装う攻撃が 137% 増”FBI: Androxgh0st malware botnet steals AWS, Microsoft credentials
2024/01/16 BleepingComputer — Androxgh0st マルウェアを使用する脅威アクターが、クラウド・クレデンシャルの窃取に特化したボットネットを構築し、窃取した情報を介して悪意のペイロードを配信していることを、1月16日に CISA と FBI が警告した。この、2022年に Lacework Labs により発見されたボットネットは、PHPUnit ユニットテスト・フレームワーク/PHP Web フレームワーク/Apache Web サーバなどを使用する Web サイト/サーバをスキャンし、リモートコード実行 (RCE) の脆弱性を検出するものだ。
Continue reading “FBI 警告:AWS/ Microsoft などのクラウド・クレデンシャルを狙うAndroxgh0st ボットネット”Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability
2024/01/15 TheHackerNews — WordPress で脆弱な Popup Builder プラグインを使用している数千のサイトが、Balada Injector と呼ばれるマルウェアに感染しているようだ。この、2023年1月に Doctor Web が報告したキャンペーンは、セキュリティ上に欠陥のある WordPress プラグインを武器にして、一連の定期的な攻撃の波を引き起こしている。それらのサイトにバックドアが注入され、偽の技術サポート/宝くじ当選/プッシュ通知などの詐欺ページへと、訪問者たちをリダイレクトしていく。
Continue reading “WordPress の 7,100 サイトを侵害する Balada:Popup Builder の脆弱性 CVE-2023-6000 を武器化”Attackers Target Apache Hadoop And Flink To Deliver Cryptominers
2024/01/15 SecurityAffairs — Apache の Hadoop と Flink を標的とする新たな攻撃が、サイバーセキュリティ企業 Aqua の研究者たちにより発見された。この攻撃は、暗号通貨マイナーの展開を目的とし、Apache の Hadoop/Flink のミスコンフィグレーションを悪用するものだ。一連の攻撃において、とりわけ興味深いのは、脅威アクターたちがマルウェアを隠すためにパッカーやルートキットを使用している点だと、研究者たちは述べている。
Continue reading “Apache Hadoop/Flink のミスコンフィグ:クリプトマイナーの配信に悪用されている”Ivanti Connect Secure zero-days now under mass exploitation
2024/01/15 BleepingComputer — Ivanti の Connect Secure VPN および Policy Secure Network Access Control (NAC) アプライアンスに影響を及ぼす、2つのゼロデイ脆弱性が大規模なレベルで悪用されている。脅威インテリジェンス企業 Volexity が発見した、このゼロデイ脆弱性は 2023年12月以降の攻撃で悪用されてきた。そして、2024年1月11日からは複数の脅威グループが、CVE-2023-46805 (認証バイパス) および CVE-2024-21887 (コマンド・インジェクション) 脆弱性を連鎖させ、広範な攻撃を行っている。
Continue reading “Ivanti Connect Secure の2つの脆弱性:複数の脅威アクターにより攻撃がエスカレート”Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion
2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。
Continue reading “Phemedrone スティーラー:Windows の脆弱性 CVE-2023-36025 を悪用している”“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers
2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。
Continue reading “PyPI に潜む Blank Grabber マルウェア:Python 開発者たちを狙い続ける”Ivanti Connect Secure zero-days exploited to deploy custom malware
2024/01/12 BleepingComputer — 今週に公開された Ivanti Connect Secure の2つのゼロデイ脆弱性だが、スパイ行為を目的とした複数のカスタム・マルウェア・ファミリーの展開において、2023年12月初旬から悪用されていたことが判明した。これらの脆弱性 CVE-2023-46805/CVE-2024-21887 の悪用に成功した攻撃者は、認証をバイパスして、脆弱なシステム上で任意のコマンド注入を可能にしていた。ただし Ivanti は、少数の顧客が標的にされていたに過ぎないと述べている。
Continue reading “Ivanti Connect Secure のゼロデイ脆弱性:カスタム・マルウェアのデプロイを観測”New Research: Tackling .NET Malware With Harmony Library
2024/01/08 InfoSecurity — 2024年1月8日に、セキュリティ研究者たちが発表したのは、Harmony ライブラリを使用して .NET マルウェアに対抗するための、戦略的洞察に関するレポートだ。マルウェア研究者/アナリスト/リバース・エンジニアたちにとって、コードの特定の部分の機能を操作する能力は、分析プロセスで有意義な結果を得るために不可欠なものだ。
Continue reading “Harmony ライブラリを使用した .NET マルウェア対抗策が公開 – Check Point 調査”‘everything’ blocks devs from removing their own npm packages
2024/01/04 BleepingComputer — 年末年始の連休中に、npm パッケージのレジストリは 3,000以上のパッケージで溢れかえった。この、”everything” をダウンロードするように命名されたパッケージは、すべての npm パッケージを徐々に取り込む。それらは、コンピュータ上の npmjs.com レジストリに公開されものであり、ストレージが不足する可能性がある。 しかし、このような問題は、氷山の一角にすぎない。つまり、誰が “everything をインストールするのかという疑問は、このパッケージが持っている、もっと大きな副作用を無視している。
Continue reading “npm で発生した “依存性地獄”:パッケージ削除を禁止する最悪の連鎖が発生”Hacked Mandiant X Account Abused for Cryptocurrency Theft
2024/01/04 SecurityWeek — 2024年1月3日に、Mandiant の X (旧 Twitter) アカウントがハッキングされ、暗号通貨詐欺を目的とした Web サイトへと、ユーザーを誘い込むために悪用されていたことが判明した。Google Cloud の一部である Mandiant のアカウントは、”Phantom” により改名され、プロフィール画像と説明文が変更されており、正規の暗号通貨ウォレットである Phantom Wallet と関連があるかのように改ざんされていた。
Continue reading “Mandiant の X (旧 Twitter) アカウント乗っ取りが発生:Phantom 暗号通貨詐欺に悪用”Python’s New Threat: Malicious PyPI Packages Targeting Linux Devices
2024/01/03 SecurityOnline — 先日に Python コミュニティで、Linux デバイス上に CoinMinerを 展開する、3つの悪意の PyPI (Python Package Index) パッケージが発見された。これらのパッケージ modularseven-1.0/driftme-1.0/catme-1.0 は、FortiGuard の AI 駆動型 OSS マルウェア検出システムにより発見されたものであり、オープンソースのエコシステムを標的とする、攻撃の洗練度の大幅なエスカレーションを示唆している。
Continue reading “PyPI に新たな悪意のパッケージ: Linux デバイス上で CoinMinerを 展開”29 malware families target 1,800 banking apps worldwide
2024/01/02 HelpNetSecurity — 指先で金融という欲求を満たすモバイル・バンキングは、すべての年齢層でオンライン・バンキングを上回っていると、Zimperium が述べている。しかし、このモバイルの急増により、金融詐欺が劇的に増加している。この 2023年の調査では、61 カ国の 1,800 のバンキング・アプリを、29 件のマルウェア・ファミリーが標的にしていたことが明らかになった。これに対し、2022年の報告書では、600 のバンキング・アプリを標的とする、10 件のマルウェア・ファミリーが発見されていた。
Continue reading “モバイル・バンキング:29 種類のトロイの木馬が 1,800 のアプリを狙っている”Google Groups is ending support for Usenet to combat spam
2024/01/02 BleepingComputer — Google が先日に公式に発表したのは、Google Groups プラットフォームにおける、 Usenet グループのサポート終了だ。このサポートの終了は、2024年2月22日に実施され、それ以降においてユーザーは、Google Groups で新しい Usenet コンテンツの投稿/購読/閲覧ができなくなる。ただし、2月22日以前に投稿された、過去の Usenet コンテンツは、引き続き Google Groups で閲覧/検索できるという。
Continue reading “Google Groups が Usenet のサポート終了を発表:蔓延するスパム対策のため”New Variant of DLL Search Order Hijacking Bypasses Windows 10 and 11 Protections
2024/01/01 TheHackerNews — DLL (Dynamic Link Library) の検索順序をハイジャックする、新しい亜種に関する情報が、セキュリティ研究者たちにより公開された。この手口を悪用する脅威アクターたちは、Microsoft Windows 10/11 を実行するシステム上でセキュリティをバイパスし、コード実行を可能にする。サイバーセキュリティ企業 Security Joes は、「信頼できる WinSxS フォルダに一般的に取り込まれる実行可能ファイルを、古典的な DLL 検索順序のハイジャック手法で悪用する」と、The Hacker News に共有した最新レポートで説明している。
Continue reading “DLL ハイジャックに WinSxS 悪用の新たな手法:Windows 10/11 保護をバイパス”New Version Of Meduza Stealer Released In Dark Web
023/12/29 SecurityAffairs — クリスマス・イブの夜に Resecurity の HUNTER 部隊は、透視型パスワード・スティーラーである Meduza の作者が、新バージョン 2.2 をリリースしたことを発見した。重要かつ主要な変更点には、より多くのソフトウェア・クライアント (ブラウザ/ウォレット・ベース) のサポートに加えて、アップグレードされたクレジットカード (CC) グラバーがある。そして、各種プラットフォーム上でパスワード・ストレージ・ダンプし、認証情報とトークンを抽出するための高度なメカニズムである。これら機能を総合する Meduza は、サイバー犯罪者による ATO (account takeover)/オンライン・バンキング情報窃取/金融詐欺において、Azorult/Redline/Racoon/Vidar Stealer の強力なライバルになるだろう。
Continue reading “Meduza Stealer の新バージョン:106種類のブラウザと 107 種類の暗号通貨ウォレットに対応”Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts
2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。
Continue reading “OAuth エンドポイント MultiLogin:Google 認証クッキー復元の PoC もリリース”Microsoft Disables MSIX App Installer Protocol Widely Used in Malware Attacks
2023/12/29 TheHackerNews — 12月28日 (木) に Microsoft が発表したのは、ms-appinstaller プロトコル・ハンドラを悪用し、複数の脅威アクターがマルウェアを配布したことで、ms-appinstaller プロトコル・ハンドラを、デフォルトで再無効化するというものだ。Microsoft の Threat Intelligence Team は、「現時点の ms-appinstaller プロトコル・ハンドラの実装を、脅威アクターたちが悪用し、ランサムウェアの配布につながる可能性のあるマルウェアの、アクセス・ベクターとしていることが確認された」と述べている。
Continue reading “MSIX App Installer Protocol がデフォルトで OFF:マルウエア配布の武器にされている”CVE-2023-47565 Flaw in QNAP NVR Devices Exploited in the Wild
2023/12/27 SecurityOnline — QNAP の VioStor Network Video Recorder (NVR) 機器に存在する深刻な脆弱性を、先日に Akamai の Security Intelligence Response Team (SIRT) が発見した。洗練された監視ソリューションが増加するデジタル社会の中で、刻々と差し迫るサイバー・セキュリティのリスクを、この積極的に悪用されている脆弱性が再認識させている。
Continue reading “CISA KEV 警告 23/12/21:QNAP NVR の CVE-2023-47565 の積極的な悪用”Experts Analyzed Attacks Against Poorly Managed Linux SSH Servers
2023/12/27 SecurityAffairs — AhnLab セキュリティ緊急対応センター (ASEC:AhnLab Security Emergency Response Center) の研究者たちが警告しているのは、管理の不十分な Linux SSH サーバが、DDoS ボットや CoinMiners のインストールを目的とした、攻撃の標的になっていることだ。
Continue reading “Linux SSH サーバに対する攻撃の調査:脆弱なパスワードがブルートフォースの標的に!”Google Chrome adds background scans for compromised passwords
2023/12/24 BleepingComputer — Google Chrome の Safety Check 機能は、Web ブラウザに保存されたパスワードの漏洩の有無をチェックために、バックグラウンドで動作するという。また、危険と判断されたエクステンション (Chrome Web ストアから削除されたもの) を使用している場合には、デスクトップ・ユーザーに警告を発する。Chrome の最新バージョンを使用していて、セーフ・ブラウジングが有効化されている場合には、Google のブラック・リストにある Web サイトをブロックする。
Continue reading “Google Chrome 安全性が向上:脆弱なパスワードなどを教えてくれる”Chameleon Android Malware Can Bypass Biometric Security
2023/12/22 SecurityWeek — Chameleon という Android バンキング型トロイの木馬のは、新しいバイパス機能を備えており、その標的地域を拡大していると、オンライン詐欺検出会社 ThreatFabric が報告している。この、2023年初頭から活動しているマルウェアは、オーストラリアとポーランドのモバイル・バンキング・アプリケーションを標的化するところから始まり、その後にはイギリスとイタリアにまで、その侵害の範囲を広げている。
Continue reading “Chameleon という Android マルウエア:バイオメトリック・プロンプトをバイパス”Fake VPN Chrome extensions force-installed 1.5 million times
2023/12/22 BleepingComputer — VPN (Virtual Private Networks) を装う悪意の Chrome エクステンションが、150万回もダウンロードされていることが判明した。この悪意のエクステンションは、ブラウザ・ハイジャッカー/キャッシュバック・ハックツール/データ・スティーラーとしての、3つの機能を有しているという。この悪質なエクステンションを発見した ReasonLabs によると、それらのエクステンションは、Grand Theft Auto/Assassins Creed/The Sims 4 などの、人気ビデオゲームの海賊版に隠されたインストーラーを介して、多数のサイトから拡散しているという。
Continue reading “悪意の VPN Chrome エクステンション:すでに 150万回インストールされている”Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft
2023/12/22 TheHackerNews — 不正な WordPress プラグインを使用して偽の管理者アカウントを作成し、悪意の JavaScript コードを注入して、クレジットカード情報を窃取するキャンペーンが発見された。このスキミング行為は、eコマース・サイトを標的とした Magecart キャンペーンの一環である。Sucuri のセキュリティ研究者である Ben Martin は、「このプラグインには、他の多くの悪意の WordPress プラグインと同様に、ファイルの先頭に正規のものを装うための、いくつかの偽情報が含まれている。今回の場合は、このプラグインが “WordPress Cache Addons” であると主張するコメントが含まれていた」と述べている。
Continue reading “Magecart キャンペーンの現状:不正な WordPress プラグインでカード情報を窃取”Unsung GitHub Features Anchor Novel Hacker C2 Infrastructure
2023/12/19 DarkReading — ある GitHub アカウントが、このサイトの2つのユニークな機能を悪用して、ステージ2のマルウェアをホストしていることを、研究者たちが発見した。この、パブリックなサービスが、不正行為の拠点としてハッカーに再利用されることが、最近になって増えてきている。ハッカーたちは、コード・リポジトリやファイル共有サービスにマルウェアを格納し、メッセージング・アプリから Command and Control (C2) を実行することに加えて、SaaS (Software-as-a-Service) プラットフォームを悪用することで、想像もつかないような手口で悪事を働くことがある。
Continue reading “GitHub の gists/commits 機能:マルウェアのホストに悪用されている”Info Stealers And How To Protect Against Them
2023/12/18 SecurityAffairs — インフォ・スティーラーとは、その名の通り、その他のマルウェアと同様に企業や個人のユーザーを麻痺させる可能性があるものだ。この種のマルウェアを、どのように防御すればよいのだろうか。インフォ・スティーラーは、情報窃盗とも呼ばれ、被害者のコンピュータやネットワークから機密情報や個人情報を密かに収集するように設計された、悪意のマルウェアの一種である。それらのマルウェアは、ログイン情報/財務情報/個人情報などの貴重なデータを盗むことを目的として作成されている。
Continue reading “インフォ・スティーラーが台頭した 2023年:一般的なマルウェアとの違いは?”Over 100K hacking forums accounts exposed by info-stealing malware
2023/08/14 BleepingComputer — 研究者たちが発見した 120,000 の感染したシステムには、サイバー犯罪フォーラムにおける認証情報が含めているという。研究者たちによると、これらのコンピュータの多くはハッカーのものだという。データを分析したところ、ハッキング・フォーラムへのログインに使用されるパスワードは、政府組織で用いられている一般的な Web サイトのパスワードよりも強力であることが判明した。
Continue reading “ハッキング・フォーラムの認証情報 10万件が流出:インフォ・スティーラーが活躍する別の世界”#BHUSA: Only 22% of Firms Have Mature Threat Intelligence Programs
2023/08/10 InfoSecurity — サイバーセキュリティ・ソリューション・プロバイダー OPSWAT の、最新レポートが発表された。このレポートによると、脅威インテリジェンス・プログラムが十分な企業は 22%に過ぎないという。8月9日にラスベガスで開催された Black Hat USA で、この調査結果が同社から発表された。マルウェアの検出と対応を専門とする、従業員 50人以上の組織の IT専門家 300人以上を対象に、この初調査は実施されたという。
Continue reading “十分な脅威インテリジェンス・プログラムを導入している企業は僅か 22% – OPSWAT 調査”New Statc Stealer Malware Emerges: Your Sensitive Data at Risk
2023/08/10 TheHackerNews — Statc Stealer と呼ばれる新種の情報マルウェアが、Microsoft Windows が動作するデバイスに感染し、機密性の高い個人情報や決済情報を窃取していることが判明した。Zscaler Threat Labz の研究者である Shivam Sharma と Amandeep Kumar は、今週に発表されたテクニカル・レポートで、「Statc Stealer は様々な窃取機能を備えた、深刻な脅威だ。同ツールは、ログインデータ/クッキー/Web データ/プリファレンスなど、さまざまな Web ブラウザから機密情報を盗むことができる。さらに、暗号通貨のウォレット/認証情報/パスワード/Telegram のようなメッセージング・アプリのデータさえも盗み出すことができる」と延べている。
Continue reading “新たなマルウェア Statc Stealer が出現: 機密データが危険にさらされる”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”EvilProxy used in massive cloud account takeover scheme
2023/08/09 SecurityAffairs — Microsoft 365 アカウントの窃取を狙う EvilProxy が、100以上の組織へ向けて 12万通のフィッシング・メールを送信していることが確認された。それにより、クラウド・アカウントの侵害が、過去5ヶ月間に急増していることを、Proofpoint が発見した。攻撃の大半は、高位の幹部を標的としていた。研究者たちは、このキャンペーンは全世界の 100以上の組織/150万人の従業員を対象としていると推定している。被害者の約 39% はCレベルのエグゼクティブであり、そのうち 17% は最高財務責任者 (CFO) であり、9% は最高経営責任者 (CEO) だったという。
Continue reading “EvilProxy という PhaaS:大規模なクラウド・アカウント乗っ取りに利用されている”43 Android apps in Google Play with 2.5M installs loaded ads when a phone screen was off
2023/08/08 SecurityAffairs −−− 先日に McAfee の Mobile Research Team の研究者たちが、Google Play で発見したのは、携帯電話の画面がオフのときであっても、広告を読み込む 43 種類の Android アプリであり、そのインストール総数は 250万に達するという。
Continue reading “Google Play の 43種類の Android アプリ:画面 OFF 時に広告を読み込んで稼いでいる”Microsoft Office update breaks actively exploited RCE attack chain
2023/08/08 BleepingComputer — Microsoft は 8月8日に、CVE-2023-36884 として追跡されている RCE 脆弱性の悪用を防ぐ、Microsoft Office のアップデートをリリースした。このアップデートは、7月に公開された CVE-2023-36884 を修正するものだ。その当時、Microsoft はパッチを適用せずに、緩和のためのアドバイスを提供していた。当初、この脆弱性は、Microsoft Office の RCE (Remote Code Execution) として報告されていたが、さらなる検証の結果、Windows Search の RCE として分類された。
Continue reading “Microsoft Office/Windows Search の RCE 脆弱性 CVE-2023-36884 が FIX”Google explains how Android malware slips onto Google Play Store
2023/08/04 BleepingComputer — Google Play ストアの審査プロセスやセキュリティ制御を回避して、Android 端末にマルウェアを送り込むために脅威アクターたちが用いる、バージョニングと呼ばれる一般的な手口が存在することを、Google Cloud のセキュリティ・チームは認めた。この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して、悪意のペイロードを導入するものである。また、DCL (Dynamic Code Loading) という方法で、脅威アクターの制御下にあるサーバから。悪意のあるコードをロードする方式もある。DCL は、アプリストアの静的解析チェックを回避することで、ネイティブ/Dalvik/JavaScript のコードとして、ペイロードを Android デバイス上に展開するものである。
Continue reading “Google Play Store にマルウェアが出回る理由:G 先生の言い訳を聞かせてもらおう”
IoT OT Security News 
You must be logged in to post a comment.