Mandiant – IoT OT Security News

Azure VM を乗っ取る UNC3944：SIM Swapping と Serial Console 悪用を組み合わせた攻撃

Threat Group UNC3944 Abusing Azure Serial Console for Total VM Takeover

2023/05/17 TheHackerNews — 仮想マシン (VM) 上の Microsoft Azure Serial Console を悪用する脅威アクターが、侵害した環境内にサードパーティ製のリモート管理ツールをインストールしている。Google 傘下の Mandiant は、この金銭的な動機に基づく活動は、UNC3944 (Roasted 0ktapus／Scattered Spider) という名前で追跡している脅威グループによるものだと分析している。

3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec

North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec

2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織２社と、金融取引に関わる他の企業２社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある２つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。

AuKill マルウェア：悪意のドライバーで EDR を無力化してから攻撃を開始

‘AuKill’ Malware Hunts & Kills EDR Processes

2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。最近の２つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。

Google レッドチーム・ツールの悪用：中国の APT41 による攻撃で発見される

Hackers abuse Google Command and Control red team tool in attacks

2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国／欧州／アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。

3CX VoIP サプライチェーン攻撃：北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用

North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack

2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows／macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。

Windows のゼロデイ脆弱性 CVE-2023-28252：Nokoyawa ランサムウェアが悪用している

Windows zero-day vulnerability exploited in ransomware attacks

2023/04/11 BleepingComputer — Microsoft がパッチを適用した、Windows Common Log File System (CLFS) のゼロデイ脆弱性は、特権昇格や Nokoyawa ランサムウェアのペイロード展開などで、サイバー犯罪者たちに積極的に悪用されているものである。この、Windows のゼロデイ脆弱性 CVE-2023-28252 の悪用が続いていることを踏まえ、CISA も KEV (Known Exploited Vulnerabilities) カタログに追加し、連邦政府民間行政機関 (FCEB) に対して、5月2日までにシステムを保護するよう命じた。

Microsoft 2023-4 月例アップデートは１件のゼロデイと 97件の脆弱性に対応

Microsoft April 2023 Patch Tuesday fixes 1 zero-day, 97 flaws

2023/04/11 BleepingComputer — 今日は、Microsoft の April 2023 Patch Tuesday だ。新たに公表されたセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性１件を含む、合計で 97件の欠陥が修正された。その中でも、７件の脆弱性はリモートコード実行を可能にする Critical に分類され、新たに修正された脆弱性として、最も深刻なものとなっている。

CISA KEV 警告 23/04/07：Veritas Backup の脆弱性 CVE-2021-27877 など５件が追加

CISA orders agencies to patch Backup Exec bugs used by ransomware gang

2023/04/07 BleepingComputer — 2023年4月7日 (金) 日に CISA は、KEV (Known Exploited Vulnerabilities) カタログに５つの脆弱性を追加した。そのうちの３つは Veritas Backup Exec の脆弱性であり、ランサムウェアを展開するために悪用されている。残りの２つは、Samsung の Web ブラウザを標的としたエクスプロイト・チェーンの一部としてゼロデイで悪用された脆弱性と、Microsoft Windows Certificate Dialog における権限昇格の脆弱性だ。

Microsoft／Google／Apple を悩ませたゼロデイ脆弱性： 2022年の統計結果を見てみよう

2022 witnessed a drop in exploited zero-days

2023/03/21 HelpNetSecurity — 2022年に悪用されたゼロデイ脆弱性は 55件であり、2021年の 81件から減少しており、最も狙われたのは Microsoft／Google／Apple の製品だった。この 55件のうち 53件が、脆弱なデバイス上での攻撃者による特権昇格やリモートコード実行につながるものだと、Mandiant の最新レポートは明らかにしている。

Fortinet のゼロデイ悪用：ハッキングの背景に存在する中国系ハッカー集団とは？

Fortinet zero-day attacks linked to suspected Chinese hackers

2023/03/16 BleepingComputer — Fortinet のゼロデイ脆弱性 CVE-2022-41328 を悪用してマルウェアを展開するという、政府機関に対する一連の攻撃の背景には、中国のハッカー集団の存在があるようだ。先週に Fortinet が開示したように、この脆弱性の悪用に成功した脅威アクターは、パッチ未適用の FortiGate ファイアウォール・デバイス上で、不正なコード／コマンドを実行することで、マルウェア・ペイロードを展開できるとされる。さらに、このマルウェアの分析を進めることで、データの流出／侵害デバイス上でのファイルのダウンロードと書き込み／細工された ICMP パケット受信によるリモートシェルのオープンといった、サイバースパイ活動にも利用可能なことが判明した。

SonicWall SMA を攻撃するカスタム・マルウェア：背後にいるのは中国由来の UNC4540 ？

SonicWall SMA appliance infected by a custom malware allegedly developed by Chinese hackers

2023/03/09 SecurityAffairs — UNC4540 として追跡され中国由来とされている脅威アクターが、SonicWall SMA アプライアンスにカスタム・マルウェアを展開したことを、Mandiant の研究者たちが報告した。このマルウェアは、攻撃者によるユーザー認証情報の窃取を可能にし、ファームウェアのアップグレードによる永続性を実現し、シェルアクセスを提供するとされる。

News Corp への不正侵入：2020〜2022年において中国由来の APT が潜み続けていた

News Corp says state hackers were on its network for two years

2023/02/24 BleepingComputer — マスメディア News Corp の発表によると、2022年に公開された情報漏えいの背後にいる攻撃者は、2020年2月から同社のシステムにアクセスし続けていたとのことだ。この状況が明らかになったのは、データ侵害の影響を受けた従業員にデータ侵害通知書が送られたからである。具体的に言うと、従業員の個人情報や健康情報の一部に不正アクセスが生じていたこと、そして、News Corp の複数の事業で使用されている、メールと文書保存システムにも不正アクセスが生じていたことが判明したのだ。

ウクライナ侵攻におけるロシアのサイバー戦略：この１年の活動を時系列で整理する

Google Report Reveals Russia’s Elaborate Cyber Strategy in Ukraine

2023/02/17 InfoSecurity — ロシアが支援するサイバー攻撃は、2020年と 2022年の比較において、ウクライナを標的としたものは 250％の、NATO 諸国を標的としたものは 300％の増加となった。このデータを提供しているのは、2月16日に公開された Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape という、Google Trust & Safety と Mandiant (現在は Google Cloud の一部) の共同レポートであり、Google Threat Analysis Group (TAG) による調査の結果の１つである。同レポートで Google が明らかにしているのは、サイバー・スペースで決定的な戦時的優位を得ようとする、ロシアの積極的かつ多面的な戦略が、2019年にまでさかのぼる可能性である。

サイバー・セキュリティの意思決定：約８割の企業は攻撃者を把握していないが？

Majority of Firms Make Cybersecurity Decisions Without Attacker Insight

2023/02/13 infoSecurity — ５社中の４社 (79％) の企業が、サイバー・セキュリティに関する意思決定の大半を、自社のインフラを狙う脅威アクターを把握することなく下していることが判明した。このレポートは、Google 傘下の脅威分析会社 Mandiant によるものだ。同社は、「サイバー・セキュリティ意思決定者の 67％が、依然として上級管理職チームはサイバー脅威を過小評価していると回答している。その一方で、意思決定者の 68％は、脅威の状況に対する理解を深める必要があることに同意している」と述べている。

Gootkit は SEO ポイズニング・マルウェア：難読性の高い無差別攻撃

Gootkit Malware Continues to Evolve with New Components and Obfuscations

2023/01/29 TheHackerNews — マルウェア Gootkit を操る脅威アクターは、そのツールセットを新たなコンポーネントで強化し、難読性の高い感染チェーンを構築している。Google 傘下の Mandiant は、UNC2565 という名称で Gootkit の活動を監視しているが、このグループだけが独占して使用するマルウェアであることを指摘している。Gootkit は、Gootloader とも呼ばれ、検索エンジン最適化 (SEO) ポイズニングと呼ばれる手法により、合意書や契約書などのビジネス関連文書を検索する人々を騙して、危険な Web サイトへと誘導することで拡散していく。

Hive ランサムウェアがシャットダウン：復活はないのか？犯人たちは何処へ行くのか？

Hive Ransomware Gang Loses Its Honeycomb, Thanks to DoJ

2023/01/27 DarkReading — 連邦政府は、Hive ランサムウェア集団の活動を停止させ、総額 $130 million の身代金要求から被害者たちを救った。しかし、この取り組みが、ランサムウェア全体の状況に、どれほどの打撃を与えるかとなると、現状では判断できないだろう。米国司法省の発表によると、この 2021年6月に出現したグループの活動は、最近の数カ月において活発であり、世界 80数カ国で 1500件以上の被害者を出している。

Turla APT の奇妙な動き：10年前のマルウェア・インフラからバックドアを展開

Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors

2023/01/08 TheHackerNews — ロシアのサイバー・スパイグループ Turla が、10年前のマルウェアの攻撃インフラを利用して、ウクライナのターゲットに、独自の偵察ツールやバックドア・ツールを配布していることが確認された。Google 傘下の Mandiant は、この活動を UNC4210 という未分類のクラスタ名で追跡しており、乗っ取られたサーバを調査したところ、2013年に VirusTotal にアップロードされた ANDROMEDA (別名 Gamarue) というマルウェアの亜種に該当したと述べている。

LastPass のシステムで不正侵入：８月に窃取された情報により顧客データにアクセスか？

Lastpass says hackers accessed customer data in new breach

2022/11/30 BleepingComputer — LastPass の発表によると、2022年8月に発生したセキュリティ・インシデントで窃取した情報を悪用する未知の攻撃者が、同社のクラウド・ストレージに侵入し、顧客データへのアクセスに成功したようだ。 LastPass は、「当社と関連会社である GoTo の両社が現在共有している、サードパーティのクラウド・ストレージ・サービス内における異常な活動を検出した。不正な第三者が、2022年8月のインシデントで入手した情報を悪用して、顧客データの特定の要素にアクセスしたようだ」と述べている。

Microsoft IIS ログを悪用する Cranefly マルウェア：３つの文字列で侵害を完遂

Hackers use Microsoft IIS web server logs to control malware

2022/10/28 BleepingComputer — Microsoft Internet Information Services (IIS) の Web サーバのログを経由して、感染端末のマルウェアを制御するという、これまでにはなかった手法を、ハッキング・グループ Cranefly (UNC3524) が採用しているという。Microsoft IIS は Web サーバであり、Web サイトや Web アプリをホストするために使用されている。また、Microsoft Exchange の Outlook on the Web (OWA) などのソフトウェアでも、管理アプリや Web インターフェイスをホストするために使用されている。

Access-as-a-Service へと進化した Raspberry Robin：Clop ランサムウェアの展開を推進か？

Raspberry Robin Operators Selling Cybercriminals Access to Thousands of Endpoints

2022/10/28 TheHackerNews — Raspberry Robin ワームは Access-as-a-Service へと進化し、IcedID／Bumblebee／TrueBot (Silence)／Clop などの、他のペイロード展開に採用されつつある。Microsoft Security Threat Intelligence Center (MSTIC) は、「このマルウェアは、複雑で相互接続されたマルウェア・エコシステムの一部であり、従来からの USB ドライブ拡散を超えた、多様な感染方式を実現している」と詳述している。Raspberry Robin は、USB ドライブを介して Windows システムに拡散するマルウェアであり、感染させた QNAP ストレージ・サーバを Command and Control に使用することから、サイバー・セキュリティ企業 Red Canary は QNAP Worm とも呼んでいる。

Google が買収した Siemplify／Mandiant：統合によりクラウド・セキュリティを刷新

Google Unifies Recent Acquisitions Under New Cloud Security Offering

2022/10/11 InfoSecurity — Siemplify と Mandiant を買収した Google は、それに続いて Chronicle Security Operations を発表し、同社の全てのクラウド機能をひとつ屋根の下に集めようとしている。2022年10月11日に Google の Cloud Next 部門は、クラウド・ネイティブなソフトウェア・スイートを発表し、「それぞれのサイバー・セキュリティ・チームは、Google のスピード／スケール／インテリジェンスを活用することで、脅威に対する検知／調査／対応を可能にできる」と述べている。

Caffeine という Phishing-as-a-Service：ディフォルト標的は Microsoft 365

Caffeine service lets anyone launch Microsoft 365 phishing attacks

2022/10/10 BleepingComputer — Phishing-as-a-Service (PhaaS) プラットフォームである Caffeine は、脅威アクターによる攻撃を容易にするものであり、誰もが簡単に登録して独自のフィッシング・キャンペーンを開始できるという特徴を持っている。Caffeine は招待／紹介を必要とせず、管理者から承認を Telegram やハッキング・フォーラムで得る必要もない。そのため、この種のプラットフォーム全体の特徴である、面倒さの多くを取り除いている。

Dell ドライバの脆弱性 CVE-2021-21551：北朝鮮のハッカー集団 Lazarus が悪用

Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers

2022/10/01 TheHackerNews — 北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されている。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっている。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙／防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となる。

VMware ESXi を侵害する危険な攻撃：VIB 署名レベルの弱点をつく高度な手法

Dangerous New Attack Technique Compromising VMware ESXi Hypervisors

2022/09/30 DarkReading — ESXi Hypervisors に複数の永続的バックドアをインストールする、厄介な新手法を用いる中国ベースの脅威者を、Mandiant が検出したことを受け、9月29日に VMware は新しい緩和策とガイダンスを、vSphere 仮想化技術の顧客向けに緊急発表した。この、Mandiant が確認した手法は、UNC3886 として追跡されている脅威アクターが、悪意の vSphere Installation Bundles (VIB) を用いて、標的システムにマルウェアを忍び込ませるというものだ。

LastPass のシステムで発生した不正侵入：４日間にわたる不正アクセスが判明

Hackers Had Access to LastPass’s Development Systems for Four Days

2022/09/17 TheHackerNews — パスワード管理ソリューションの LastPass は、2022年8月に発生したセキュリティ・インシデントの詳細を公開し、脅威者が 8月の4日間にわたり、同社のシステムに不正にアクセスしていたことを明らかにした。LastPass の CEO である Karim Toubba は、9月15日に公開されたアップデートで、「観測されたタイムラインを超える脅威者の活動の証拠はない。また、このインシデントにおいて、脅威者が顧客データ／暗号化パスワード保管庫へアクセスした形跡もない」と付け加えている。

PuTTY トロイの木馬版：Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。このキャンペーンにおける斬新な要素は、PuTTY／KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Microsoft 2022-09 月例アップデートは２件のゼロデイと 63件の脆弱性に対応

Microsoft September 2022 Patch Tuesday fixes zero-day used in attacks, 63 flaws

2022/09/13 BleepingComputer — 今日は Microsoft の September 2022 Patch Tuesday であり、活発に悪用されている Windows の脆弱性を含めて、合計で 63件の不具合が修正された。本日のアップデートで修正された 63件の脆弱性のうち 5件は、最も深刻なタイプの脆弱性である、リモートコード実行を許すものであり、Critical に分類されている。

米政府がイランを制裁：MuddyWater と APT34 に対する国家による支援を指摘

US Sanctions Iran Over APT Cyberattack Activity

2022/09/10 DarkReading — 米国連邦政府は、イラン政府が APT (advanced persistent threat) グループを介して組織的に、米国を標的にしてきたサイバー犯罪行為について、制裁に乗り出した。米国財務省外国資産管理局 (OFAC : Department of the Treasury’s Office of Foreign Assets Control) は、イラン情報安全保障省 (MOIS : Ministry of Intelligence and Security) に対して、2007年以降における米国と同盟国に対するサイバー犯罪に関与していると判断／指定した。

Shikitega というステルス型 Linux マルウェア：多段階展開で検知を巧みに回避

New Linux malware evades detection using multi-stage deployment

2022/09/06 BleepingComputer — Shikitega という新たなステルス型 Linux マルウェアが、PC や IoT デバイスにペイロードを流し込み、感染させていることが発見された。このマルウェアは、脆弱性を悪用して権限を昇格させ、crontab を介してホスト上で永続性を確立する。そして最終的に、感染させたデバイス上で、暗号通貨マイナーを起動させる。Shikitega は非常にステルス性が高く、静的な署名ベースの検出を不可能にするポリモーフィック・エンコーダを使用して、ウイルス検出を回避する。

Azure を侵害して Microsoft 365 ユーザーを狙う：ロシア APT29 の凄腕ぶり

Russian APT29 hackers abuse Azure services to hack Microsoft 365 users

2022/08/19 BleepingComputer — 国家を後ろ盾とするロシアのサイバースパイ・グループ Cozy Bear は、NATO 諸国の Microsoft 365 アカウントを標的とし、外交政策情報へのアクセスを試みるなど、2022年に入ってから活発に動き回っている。Microsoft 365 は、主にエンタープライズなどで使用されているクラウド・ベースの生産性スイートであり、コラボレーション／コミュニケーション／データストレージ／電子メールなどの、オフィスでの作業などを容易にする。

ロシアの国家支援 APT29 ハッキング・グループ：DropBox／Google を介してマルウェアを配布

Russian Hackers Using DropBox and Google Drive to Drop Malicious Payloads

2022/07/19 TheHackerNews — APT29 として知られるロシアの国家支援されたハッキング・グループが、Google Drive や Dropbox などの正規のクラウド・サービスを利用して、侵害したシステム上に悪意のペイロードを配信するという、新しいフィッシング・キャンペーンを立ち上げていることが判明した。

企業に潜み続ける APT：脆弱な IoT／OT デバイスが理想のターゲットになっている

How APTs Are Achieving Persistence Through IoT, OT, and Network Devices

2022/06/23 DarkReading — IoT 攻撃に関する大半のニュースが、ボットネットやクリプトマイニングといったマルウェアに焦点を当てている。しかし、APT グループ UNC3524 が用いる攻撃手法を見れば分かるように、この種のデバイスは、ターゲットのネットワーク内部から、より有害な攻撃を仕掛けるための理想的な標的になっている。Mandiant のレポートは、「 UNC3524 の手法は、ネットワーク／IoT／OT デバイスの安全性の低さを悪用し、ネットワーク内部で長期的にアクティビティ持続する巧妙なものだ」と述べている。この種の APT (Advanced Persistent Threat) スタイルの攻撃は、近い将来において増加する可能性が高く、そのリスクを理解する必要がある。

Mandiant 対 Lockbit：サイバー・セキュリティ大手に仕掛ける意図は何処に？

Lockbit ransomware gang claims to have hacked cybersecurity giant Mandiant

2022/06/06 SecurityAffairs — 今日、ランサムウェア・ギャング LockBit は、ダークウェブ・リークサイトで公開している被害者リストに、サイバーセキュリティ企業である Mandiant を追加した。Mandiant は、ランサムウェア・ギャングの主張を調査しているが、LockBit は、356841件のファイルを盗み出し、オンラインで流出させる計画だと宣言している。

Evil の新たな戦略：LockBit ランサムウェアの運用により制裁を逃れる？

Evil Corp switches to LockBit ransomware to evade sanctions

2022/06/02 BleepingComputer — 現時点におけるサイバー犯罪グループ Evil Corp は、米国財務省外国資産管理局 (OFAC：Office of Foreign Assets Control) が課す制裁を回避するため、ランサムウェア LockBit を標的ネットワークに展開する方法へと、切り替えていることが明らかになった。2007年から活動している Evil Corp (INDRIK SPIDER／ Dridex) は、Dridex マルウェアを展開した後にランサムウェアをビジネスへと転換した、パイオニアとして知られている。

UNC3524 という新しい APT：バックドアを仕掛けてメールを盗み出す

UNC3524 APT uses IP cameras to deploy backdoors and target Exchange

2022/05/03 SecurityAffairs — Mandiant の研究者たちが、新しい APT グループを発見し、UNC3524 として追跡している。このグループは、企業における事業計画／M&A／大規模商取引などに焦点を当て、それらの企業に所属する従業員の電子メールを標的にしている。この UNC3524 は、ターゲット・システムへのイニシャル・アクセスを獲得すると、Mandiant が QUIETEXIT と名付けた、これまでに検知されたことのないバックドアを展開する。

ゼロデイ脆弱性調査 2021：悪用の件数は前年比で２倍以上に！

Zero-Day Exploit Use Exploded in 2021

2022/04/22 DarkReading — 2021年の脅威アクターたちは、これまでと比べて数多くのゼロデイ脆弱性を悪用しているが、その大半で Microsoft／Google／Apple のソフトウェアが対象にされている。これまでと同様に、国家に支援された APT (advanced persistent threat) アクターたちが、これらのゼロデイ脆弱性を最も活発に悪用している。また、ランサムウェア運営者などの、金銭的な動機のあるグループもゼロデイ攻撃を急増させ、攻撃者の３人に１人を占めている。

サイバー攻撃の初期感染：脆弱性悪用とサプライチェーン侵害が 50% 以上を占める

More Than Half of Initial Infections in Cyberattacks Come Via Exploits, Supply Chain Compromises

2022/04/20 DarkReading — Mandiant が実施した Incident Response (IR) 調査の最新レポートによると、攻撃者が被害者のネットワーク上で検知されずにいる日数は４年連続で減少し、2020年の 24日間から 2021年の 21日間へと短縮していることが明らかになった。この、Mandiant の IR 事例によると、最も危険な攻撃を素早く見つけるための検知能力は高まり、ランサムウェアは平均５日以内に検知され、ランサムウェア以外の攻撃は 2020年の45日間から 2021年の36日間へと短縮され、アクティブな状態を維持しているとのことだ。

米国政府機関の警告：ICS／SCADA を標的とする危険なマルウェアが活動し始めた

U.S. Warns of APT Hackers Targeting ICS/SCADA Systems with Specialized Malware

2022/04/13 TheHackerNews — 4月22日に米国政府は、Industrial Control Systems (ICS) や Supervisory Control And Data Acquisition (SCADA) への不正なアクセスを維持するために、国家的な驚異アクターたちが特殊なマルウェアを展開していると警告を発した。複数の米国機関はアドバイザリで「APT 行為者たちは、ICS/SCADA デバイス標的とするカスタムメイドのツールを開発している。このツールにより、彼らは OT ネットワークへのイニシャル・アクセスを確立した後に、影響を受けるデバイスをスキャン／侵害／制御できるようになる」と述べている。

FIN7 ギャングの戦略：運輸／保険／防衛をターゲットにサプライチェーン攻撃？

FIN7 Hackers Leveraging Password Reuse and Software Supply Chain Attacks

2022/04/05 TheHackerNews — この FIN7 と名付けられたサイバー犯罪グループは、当初からのアクセス・ベクターを多様化させ、ソフトウェア・サプライチェーン侵害や、盗まれた認証情報の利用などを取り入れていることが、新しい調査により明らかになった。インシデント・レスポンス会社である Mandiant は月曜日のレポートで、「複数の組織における FIN7 による活動のあとに続く、データ盗難／ランサムウェア展開／技術的重複から、長年に渡り FIN7 の行為者は、様々なランサムウェア・オペレーションと関連していたことが示唆される」と述べている。

Qihoo 360 の主張：中国からデータを盗み出すハッカーの背後に米 NSA がいる

Qihoo 360 says US NSA is behind hacking group that has stolen Chinese data

2022/03/23 SCMP — 米国の制裁対象となっている、中国のサイバー・セキュリティ企業の主張は、米国政府の支援を受けたハッカー集団が、10年以上にわたって中国を攻撃しているというものだ。中国の起業家 Zhou Hongyi が設立した Qihoo 360 は、APT-C-40 と呼ばれるハッキンググループが米国政府と提携しており、過去10年にわたり中国の大手企業／政府／研究機関／インフラをひそかに攻撃していると、最近の報告書で述べている。

中国 APT41 動きを捕捉：米国州政府のネットワークをゼロデイ脆弱性で狙っている

U.S. State Governments Targeted by Chinese Hackers via Zero-Day in Agriculture Tool

2022/03/08 SecurityWeek — 中国政府に支援されていると思われる脅威グループが、ゼロデイ脆弱性などを悪用し、米国の州政府のネットワークに侵入していたことが明らかになった。サイバー・セキュリティの調査企業である Mandiant は、2021年5月に米国州政府のネットワークへの攻撃を調査するよう要請され、このキャンペーンに気づいたと、火曜日に公開したブログ記事で述べている。

ウクライナ軍部を狙うフィッシング・キャンペーン：ベラルーシ当局によるものと判明

Ukraine links phishing targeting military to Belarusian hackers

20222/02/25 BleepingComputer — 今日、ウクライナの Computer Emergency Response Team of Ukraine (CERT-UA) は、ウクライナ軍関係者の個人用電子メールアカウントを標的とした、スピアフィッシング・キャンペーンについて警告を発した。これらの攻撃で漏洩したアカウントは、その後も、被害者のアドレス帳の連絡先へ向けて、さらなるフィッシング・メッセージを送信するために使用される。

Conti ランサムウェア：ロシア政府のウクライナ侵攻を全面的に支持すると表明

Conti ransomware group announces support of Russia, threatens retaliatory attacks

2022/02/25 CyberScoop — ロシア情報機関とのつながりを疑われ、医療機関などの多数の標的を攻撃することで知られる、悪名高いランサムウェア Conti は、金曜日に「ロシア政府を全面的に支持することを公式に発表する」という警告を掲載した。

CISA が編纂するリスト：サイバー・セキュリティのための無償ツール／サービス

CISA compiles list of free cybersecurity tools and services

2022/02/19 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃からの防御を強化し、組織のセキュリティ能力を高めるための、無料のサイバー・セキュリティ・サービス／ツールのリストを公開した。このリストは、包括的なものではなく、また、変化にも対応できるものだが、サイバー・セキュリティ・プログラムのための、基本的なセキュリティ対策と組み合わせることで、企業のサイバー・セキュリティ・リスク管理を成熟させることを目的としている。

Wall Street Journal にサイバー攻撃が発生：中国への疑惑と米国への反発

Wall Street Journal is hit by cyberattack that security expert links to China

2022/02/05 SCMP — Wall Street Journal 紙が、外国政府による「持続的」なサイバー攻撃を受けたと、金曜日に同紙の親会社である NewsCorp が発表した。このデータ窃取攻撃を調査するために雇われたサイバー・セキュリティ会社は、ハッカーが中国のスパイである可能性が高いと述べている。

ロシア当局の REvil 逮捕を受けて：ハッカーたちはダークウェブで何を囁く？

Dark Web Chatter: What Other Russian Hackers Are Saying About the REvil Arrests

2022/01/21 SecurityWeek — 2022年1月14日に実施された、ロシア連邦保安庁 (FSB) によるランサムウェア REvil の破壊は、世界を驚かせた。それまで、ロシアを攻撃しないハッカーは、ロシアにいても安全だという不文律があった。FSB の発表によると、今回の破壊は米国当局からの要請に応えたものだという。それは、サイバー犯罪者に対する国際協力の新時代の幕開けなのか、それとも、ロシア外交の一例に過ぎないのか。判断を下すのは時間だが、それまでの間、我々は推測するしかない。

ウクライナ政府の 15 の Web サイトが一斉に攻撃されオフラインに追い込まれた

Multiple Ukrainian government websites hacked and defaced

2022/01/14 BleepingComputer — ウクライナにおける公的機関の Web サイトのうち、少なくとも 15 の Web サイトが不正アクセスを受け、改ざんされ、その後にオフラインに追い込まれた。その中には、外務省／農業省／教育科学省／安全保障・防衛省／閣僚内閣のオンライン・ポータルなどが含まれている。改ざんされたメッセージは、ウクライナ語／ロシア語／ポーランド語で書かれており、サイトの訪問者に対して、公共のネットワークにアップロードされている、すべての市民データが漏洩していることを警告していた。