XSS Vulnerabilities in Azure Led to Unauthorized Access to User Sessions
2023/06/15 SecurityWeek — Azure Bastion と Azure Container Registry (ACR) に存在する2つの XSS (cross-site scripting) の脆弱性により、ユーザー・セッションへの不正アクセスおよび、データの改ざん、サービスの中断につながる可能性があったと、クラウド・セキュリティ企業 Orca が警告している。この問題は、2023年4月/5月で解決されたが、具体的に言うと、postMessage iframe の欠陥に起因するものであり、攻撃者による iframe タグを介したリモートサーバ内へのエンドポイントの埋め込むみが可能になり、悪意の JavaScript コードを実行できるものだったという。
Continue reading “Azure における XSS の脆弱性:ユーザー・セッションに対する未認証のアクセスが生じていた”Microsoft Outs New Russian APT Linked to Wiper Attacks in Ukraine
2023/06/14 SecurityWeek — Microsoft のセキュリティ研究者たちは、ロシアの General Staff Main Intelligence Directorate (GRU) に関連する新たな APT グループの情報を公表し、この脅威アクターがウクライナの組織へ向けた破壊的なワイパー・マルウェア攻撃に取り組んでいることを警告している。同社の脅威情報チームが発表した新しいレポートでは、このグループは Cadet Blizzard と名付けられ、戦時環境におけるマルウェアの範囲と使用方法を明確にするための、兆候と証拠が記録されている。
Continue reading “Microsoft が警告するロシアの APT:ワイパー攻撃における WhisperGate と Cadet Blizzard の関連性”Adversary-in-the-Middle Attack Campaign Hits Dozens of Global Organizations
2023/06/13 TheHackerNews — AitM (Adversary-in-The-Middle) 技術を用いた広範な BEC (Business Email Compromise) キャンペーンにより、世界の数十の組織が標的にされていることが判明した。Sygnia の研究者たちは、「フィッシングに成功した脅威アクターは、ユーザー組織の従業員アカウントにアクセスし、Office365 の認証をバイパスし、そのアカウントへの永続的なアクセスを得るために AiTM 攻撃を実行している」と The Hacker Newsと共有したレポートで述べている。
Continue reading “AiTM フィッシング攻撃が多発:Office 365 認証をバイパスして BEC へと至る”Microsoft June 2023 Patch Tuesday fixes 78 flaws, 38 RCE bugs
2023/06/13 BleepingComputer — 今日は Microsoft 2023年6月の Patch Tuesday であり、リモート・コード実行の脆弱性 38件を含む、全体で 78件の不具合に対するセキュリティ更新プログラムが提供された。 RCE のバグは 38個修正されたが、Microsoft が Critical だと指摘したものは、サービス拒否攻撃/リモート・コード実行/権限昇格などの、6件の不具合である。
Continue reading “Microsoft 2023-6月 月例アップデートで 78件の脆弱性と 38件の RCE バグに対応”Microsoft’s Azure portal down following new claims of DDoS attacks
2023/06/09 BleepingComputer — Microsoft Azure ポータルが停止しているが、その一方では、Anonymous Sudan と名乗る脅威アクターが、このサイトを DDoS 攻撃のターゲットにしたと主張している。このポータルの URL である https://portal.azure.com にアクセスすると、「現時点で、私たちたのサービスは利用できない。可能な限り早急に、すべてのサービスを復元するために取り組んでいる。時間をおいて再アクセスしてほしい」という内容のメッセージが表示される。なお、モバイル・アプリは、現時点では影響を受けていないようだ。
Continue reading “Microsoft Azure ポータルが DDoS 攻撃でダウン:Anonymous Sudan が攻撃を主張”Microsoft Uncovers Banking AitM Phishing and BEC Attacks Targeting Financial Giants
2023/06/09 TheHackerNews — Microsoft が明らかにしたのは、銀行/金融サービス機関が、新たな多段階 AitM (adversary-in-the-middle) フィッシングおよび BEC (business email compromise) 攻撃の標的になっていることだ。6月8日の報告書で同社は、「この攻撃は、信頼できるベンダーから発生し、複数の組織にまたがる一連の AiTM 攻撃と、それに続くBEC 活動へと移行している」と述べている。このクラスターについて、Microsoft は Storm-1167 という名称で追跡しているが、その攻撃において間接プロキシが使用されていたことを指摘している。
Continue reading “バンキング AitM Phishing/BEC 攻撃の増大:Microsoft が金融機関に発した警告とは?”Researchers published PoC exploit code for actively exploited Windows elevation of privilege issue
2023/06/08 SecurityAffairs — Microsoft Windows の脆弱性 CVE-2023-29336 (CVSS:7.8) は、Win32k コンポーネントに存在する特権昇格の問題である。Win32k.sys は、Windows オペレーティング・システムにおけるシステム・ドライバであり、ユーザーモード・アプリケーションと Windows グラフィカル・サブシステムとの間に、インターフェイスを提供する役割を担っている。
Continue reading “Windows の脆弱性 CVE-2023-29336 に PoC エクスプロイト:マルウェア配信で悪用される?”Easily Exploitable Microsoft Visual Studio Bug Opens Developers to Takeover
2023/06/08 DarkReading — セキュリティ研究者たちが警告しているのは、Microsoft Visual Studio のインストーラに存在するバグにより、悪意のエクステンションを作成するサイバー攻撃者が、正規のソフトウェア・パブリッシャーを装い、アプリケーション開発者に配布する方法が生じる点である。そのような悪意のエクステンションを介して開発環境に侵入し、制御を奪い、コードを汚染させ、価値の高い知的財産を盗むことが可能になるという。
Continue reading “Visual Studio の脆弱性 CVE-2023-28299:Microsoft が言うより悪用は簡単だ”Outlook.com hit by outages as hacktivists claim DDoS attacks
2023/06/06 BleepingComputer — 6月5日に Outlook.com は、何度もダウンした。そして翌日も、一連の障害に見舞われていたが、Anonymous Sudan と名乗るハクティビストが、同サービスに DDoS 攻撃を行ったと主張している。これらの障害により、世界中の Outlook ユーザーに広範な混乱がもたらされ、メールの送受信や、Mobile Outlook アプリの使用に支障をきたした。
Continue reading “Outlook.com を攻撃し続ける DDoS アクター:Anonymous Sudan が犯行を主張”Windows 11 to require SMB signing to prevent NTLM relay attacks
2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名:セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。
Continue reading “Windows 11 の SMB 署名を義務化:NTLM リレー攻撃に対する保護を優先する”Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks
2023/06/01 TheHackerNews — QBot (Qakbot) マルウェアの、高度な回避性と粘着性に関する分析により、その C2 サーバの 25% が、1日しか活動していないことが判明した。Lumen Black Lotus Labs は、「QBot の 50% のサーバーがアクティブなのが、1週間以内であることからして、適応性が高くて動的な C2 インフラが使用されていることが分かる」と、The Hacker News と共有したレポートで指摘している。さらに、セキュリティ研究者である Chris Formosa と Steve Rudd は、「このボットネットは、ホストされた VPS のネットワークに潜むのではなく、住宅用 IP スペースと感染した Web サーバに、そのインフラを隠すための技術を適応させている」と述べている。
Continue reading “QBot マルウェアの延命術:住居用 IP を短期間で切り替える C2 サーバ補充戦略とは?”Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains
2023/05/28 BleepingComputer — File Archivers in the Browser という新たなフィッシング・キットは、ZIP ドメインを悪用し、ブラウザに偽の WinRAR/Windows File Explorer などのウィンドウを表示し、悪意のファイルをユーザーに起動させるように仕向ける。2023年5月初旬に Google は、Web サイトや電子メール・アドレスのホスティングに用いるための、ZIP TLD ドメイン (例:bleepingcomputer.zip) の登録機能を提供し始めた。この種の TLD のリリース以来、セキュリティ・リスクや混乱をもたらす可能性について議論が沸騰していた。
Continue reading “ZIP ドメインは大丈夫? File Archiver In The Browser というフィッシング・トリックで攻略可能”US Navy hit by Chinese hacking campaign, report says
2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府/通信/製造/IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。
Continue reading “米海軍 グアムの IT インフラにハッカーが侵入:China 対 Five Eyes の情報戦が始まる?”Microsoft 365 phishing attacks use encrypted RPMSG messages
2023/05/25 BleepingComputer — 侵害済の Microsoft 365 アカウント経由で送信された、暗号化された RPMSG 添付ファイルを使用して、メールセキュリティ・ゲートウェイによる検出を回避しながら、攻撃者たちは標的型フィッシング攻撃で Microsoft の認証情報を盗み出している。RPMSG (Restricted Permission Message) ファイルとは、Microsoft の Rights Management Services (RMS) を用いて作成された、暗号化電子メール・メッセージの添付ファイルであり、そのアクセスを許可された受信者だけに制限することで、機密情報の保護を強化するものだ。
Continue reading “Microsoft 365 に新たなフィッシング攻撃:暗号化された RPMSG メッセージの悪用を検出”Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs
2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。
Continue reading “Volt Typhoon という中国の APT:グアムの重要インフラへの攻撃を Microsoft が検知”N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware
2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱な バージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。
Continue reading “北朝鮮の Lazarus Group:Microsoft IIS を侵害してスパイウェアを配布している”New PowerExchange malware backdoors Microsoft Exchange servers
2023/05/24 BleepingComputer — PowerExchange という名の新たな PowerShell ベースのマルウェアが、イランの国家支援ハッカー APT34 が関与する攻撃で使用され、オンプレミスの Microsoft Exchange サーバをバックドア化している。この脅威アクターは、アーカイブ化された悪意の実行ファイルを取り込んだ、フィッシングメールを介してメール・サーバに侵入した後に、ユーザー認証情報を窃取するための ExchangeLeech と呼ばれる Web シェルを展開している。なお、ExchangeLeech は、2020年の時点で、Digital14 Incident Response チームにより発見されたものだ。
Continue reading “PowerExchange という新たなマルウェア:Exchange サーバを悪用して C2 通信”Two-Thirds of IT Leaders Say GDPR Has Reduced Consumer Trust
2023/05/22 InfoSecurity — GDPR (General Data Protection Regulation) のあり方により、それぞれの企業に対する消費者の信頼が低下したという、IT リーダーの3分の2 (66%) の捉え方を、Macro 4 の最新調査が示している。2018年5月25日に、GDPR が欧州で施行されてから5年が経過し、個人データ保護の必要性に対する意識が高まった結果が、この調査に現れている。
Continue reading “GDPR は消費者の信頼を低下させた:IT リーダーの 66% が回答 – Macro 4 調査”Malicious Windows kernel drivers used in BlackCat ransomware attacks
2023/05/22 BleepingComputer — ALPHV ランサムウェア・グループ (別名 BlackCat) が、署名された不正な Windows カーネル・ドライバを採用し、攻撃時におけるセキュリティ・ソフトウェアによる検出を回避していることが確認された。Trend Micro が確認した ALPHV のドライバは、昨年末のランサムウェア攻撃が生じた際に、Microsoft/Mandiant/Sophos/SentinelOne などが発見した、POORTRY という名のマルウェアの改良版である。
Continue reading “Windows 環境に潜む悪意のカーネル・ドライバ:BlackCat ランサムウェアの回避策が判明”EU Regulators Hit Meta with Record $1.3 Billion Fine for Data Transfer Violations
2023/05/22 TheHackerNews — Facebook の親会社である Meta は、European Union のデータ保護規制当局から、同地域のユーザーの個人データを米国に転送したとして、過去最高となる $1.3 billion の罰金を科された。EDPB (European Data Protection Board) の拘束力のある決定により、Meta はデータ転送の方式を GDPR に準拠させ、違法に保存/処理されたデータを、6ヶ月以内に削除するよう命じられた。
Continue reading “Facebook の GDPR 違反と $1.3 B の罰金:米国へのデータ転送により最高額に!”Social Engineering Risks Found in Microsoft Teams
2023/05/17 InfoSecurity — ソーシャル・エンジニアリングを介して、Microsoft Teams を悪用しようとする、いくつかの新たな手口が、Proofpoint のセキュリティ研究者たちにより発見された。同社が 2023年5月17日に発表したレポートには、「最近のことだが、2022年後半にかけて確認された、Microsoft 365 クラウド・テナントを標的とした 4億5000万以上の悪意のセッションを分析した。この調査結果によると、Microsoft Teams は、最も標的とされた 10 のサインイン・アプリケーションの1つであり、標的とされた組織の 40% 近くで、少なくとも1回の不正ログインが試みられていた」と記されている。
Continue reading “Microsoft Teams を狙うソーシャル・エンジニアリング:新たな手口が発見された”Malicious Microsoft VSCode extensions steal passwords, open remote shells
2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、3種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報/システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。
Continue reading “Microsoft VSCode に悪意のエクステンション:パスワード窃取やリモートシェル確立などが目的”Threat Group UNC3944 Abusing Azure Serial Console for Total VM Takeover
2023/05/17 TheHackerNews — 仮想マシン (VM) 上の Microsoft Azure Serial Console を悪用する脅威アクターが、侵害した環境内にサードパーティ製のリモート管理ツールをインストールしている。Google 傘下の Mandiant は、この金銭的な動機に基づく活動は、UNC3944 (Roasted 0ktapus/Scattered Spider) という名前で追跡している脅威グループによるものだと分析している。
Continue reading “Azure VM を乗っ取る UNC3944:SIM Swapping と Serial Console 悪用を組み合わせた攻撃”New ZIP domains spark debate among cybersecurity experts
2023/05/16 BleepingComputer — Google た立ち上げる新たな ZIP/MOV インターネット・ドメインについて、脅威アクターがフィッシング攻撃やマルウェア配信に悪用する可能性があると、サイバー・セキュリティ研究者たちと IT 管理者たちが警告している。Google は5月初めに、Web サイトやEメールのホスティングに使用できる、8つの新しい TLD (Top-Level Domains) を発表した。それらの新しい TLD は、.dad/.esq/.prof/.phd/.nexus/.foo、そして本記事で取り上げる .zip/.mov だ。
Continue reading “ZIP/MOV という新たな TLD は危険か? セキュリティ専門家たちの間で議論が沸騰”How Cybercriminals Adapted to Microsoft Blocking Macros by Default
2023/05/13 DarkReading — Office Macro をデフォルトでブロックすることを、Microsoft が決定してからというもの、脅威アクターたちは進化を余儀なくされ、マルウェア配信のための新たな方法を。かつてない速度で導入している。長期間にわたって脅威アクターたちは、悪意の Microsoft Office マクロを使用して、ターゲットのコンピュータの内部にフックを仕掛けてきた。そのため、2022年に Microsoft は、インターネットからダウンロードされるファイルに対して、デフォルトでマクロをブロックするようになった (不均一ではあっても) 。
Continue reading “Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint”XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks
2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk/Tim Peck/Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。
Continue reading “XWorm マルウェアを配信するフィッシング攻撃が急増中:脆弱性 Follina が悪用されている”Fake in-browser Windows updates push Aurora info-stealer malware
2023/05/10 BleepingComputer — 先日に発見された不正広告キャンペーンは、ブラウザ内の Windows アップデート・シミュレーションでユーザーを騙し、情報窃取マルウェア Aurora を配信するものだ。Golang で書かれた Aurora は、広範な機能を持ち、アンチウイルス検出率が低い情報シティーラーとして、1年以上も前から各種ハッカー・フォーラムで公開されている。Malwarebytes の研究者たちによると、このマルバーター作戦は、トラフィックの多いアダルト・コンテンツの Web サイト上のポップ・アンダー広告を用いて、そこを訪れた潜在的な被害者を、マルウェア提供場所へとリダイレクトさせるものだという。
Continue reading “Windows のフェイク・アップデートが登場:Aurora 情報スティーラーをプッシュしている”Experts Detail New Zero-Click Windows Vulnerability for NTLM Credential Theft
2023/05/10 TheHackerNews — サイバー・セキュリティ研究者たちは、Windows の MSHTML プラットフォーム上の、すでにパッチが適用されている脆弱性の詳細を共有し、悪用の可能性があることを明らかにした。この脆弱性 CVE-2023-29324 (CVS:6.5) の悪用に成功した攻撃者は、セキュリティ機能の整合性保護をバイパスできると説明されている。この脆弱性は、2023年5月の Patch Tuesday 更新プログラムの一部として、Microsoft により対処されている。
Continue reading “Windows に新たなゼロデイ:Outlook クライアントの強制接続で NTLM 認証情報を盗み出す”New ‘Greatness’ service simplifies Microsoft 365 phishing attacks
2023/05/10 BleepingComputer — Greatness という名の Phishing-as-a-Service (PhaaS) プラットフォームは、Microsoft 365 を使用している組織を、米国/英国/カナダ/オーストラリア/南アフリカでターゲットとしており、活動量を急増させていることが判明した。クラウドベースの Microsoft 365 は、世界中の多くの組織で使用されており、ネットワーク侵害で悪用するデータや認証情報を盗み出すサイバー犯罪者にとって、貴重なターゲットになっている。
Continue reading “Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!”Microsoft issues optional fix for Secure Boot zero-day used by malware
2023/05/09 BleepingComputer — Microsoft がリリースしたセキュリティ・アップデートは、Secure Boot のゼロデイ脆弱性に対応するものであり、パッチを適用した Windows システムであっても、BlackLotus UEFI Bootkit による感染を許すものだった。Secure Boot とは、セキュリティ機能のひとつである。Unified Extensible Firmware Interface (UEFI) ファームウェアと Trusted Platform Module (TPM) チップを搭載したコンピュータにおいて、OEM に信頼されていないブートローダーがブロックされ、起動プロセス中にルートキットがロードされないようにするものだ。
Continue reading “Microsoft Secure Boot のゼロデイ CVE-2023-24932:アップデートしてもデフォルトでは無効?”Microsoft May 2023 Patch Tuesday fixes 3 zero-days, 38 flaws
2023/05/09 BleepingComputer — 今日は Microsoft の May 2023 Patch Tuesday の日だ。このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性3件と、合計で 38件の不具合が修正された。このうち、Critical と評価された6つの脆弱性は、リモート・コード実行にいたる恐れのあるものだ。
Continue reading “Microsoft 2023-5 月例アップデートは3件のゼロデイと 38件の脆弱性に対応”Microsoft enforces number matching to fight MFA fatigue attacks
2023/05/08 BleepingComputer — Microsoft は、MFA 疲労攻撃を防ぐため、Microsoft Authenticator のプッシュ通知において番号照合を実施することにした。この種の、プッシュボミング/MFA プッシュスパム攻撃を実施する脅威アクターたちは、盗み出した認証情報を悪用し、モバイル・プッシュ通知が承認されるまでターゲットに送り続け、企業アカウントにログインしようとする。多くのケースにおいて、標的にされた被害者は、無限に続く警告を止めるために、あるいは、誤って悪意の MFA プッシュ要求に応じ、アカウントへの攻撃者のログインを許してしまう。
Continue reading “Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施”Researchers Discover 3 Vulnerabilities in Microsoft Azure API Management Service
2023/05/04 TheHackerNews — Microsoft Azure API Management サービスにおいて、機密情報やバックエンド・サービスへのアクセスを試みる脅威アクターに、悪用される可能性のある3つの新たな脆弱性が公開された。イスラエルのクラウド・セキュリティ企業 Ermetic によると、そこに含まれるのは、2つの SSRF (Server-Side Request Forgery) の欠陥と、API Management 開発者ポータルにおける無制限ファイル・アップロード機能の欠陥である。
Continue reading “Microsoft Azure の API Management の脆弱性が FIX:SSRF などに対応 – Ermetic”Hackers start using double DLL sideloading to evade detection
2023/05/03 BleepingComputer — Dragon Breath/Golden Eye Dog/APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。 これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。
Continue reading “DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos”Google adds passkeys support for passwordless sign-in on all accounts
2023/05/03 BleepingComputer — Google は、すべてのサービスとプラットフォームにおいて、Passkey for Google Accounts のサポートを展開している。それにより、ユーザーはログイン時に、パスワードの入力や、2-Step Verification (2SV) に頼ること無く、Google アカウントにサインインできるようになる。Google の Product Managers である Christiaan Brand と Sriram Karra は、「私たちは、すべての主要なプラットフォームで、Google アカウント全体に対する Passkey のサポートを開始した。これにより、ユーザーは Google サービス全体で Passkey を活用し、パスワード不要のサインイン・エクスペリエンスを実現できるようになった」と述べている。
Continue reading “Google の Passkey:すべてのアカウントで安全なパスワードレス・サインインを実現”North Korea-linked ScarCruft APT uses large LNK files in infection chains
2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。
Continue reading “ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point”Microsoft: Cl0p Ransomware Exploited PaperCut Vulnerabilities Since April 13
2023/04/27 SecurityWeek — Microsoft の発表によると、FIN11 および TA505 と提携している Cl0p ランサムウェアのオペレーターが、パッチが適用されたばかりの PaperCut の脆弱性を、4月13日から悪用し始めたようだ。問題の脆弱性は、PaperCut MF/NG プリント管理システムに影響を与えるものだ。この脆弱性 CVE-2023-27350 (CVSS:9.8) の悪用に成功した攻撃者は、認証をバイパスしてシステム権限でリモート・コード実行 (RCE) を行うことが可能になる。この脆弱性は、2023年3月にリリースされたバージョン 20.1.7/21.2.11/22.0.9 で修正されているが、それと同時に、PaperCut MF/NG の情報漏えいの脆弱性 CVE-2023-27351 に対応されている。
Continue reading “PaperCut MF/NG の脆弱性 CVE-2023-27350:Cl0p ランサムウェアが悪用 – Microsoft 報告”Google Gets Court Order to Take Down CryptBot That Infected Over 670,000 Computers
2023/04/27 TheHackerNews — 4月26日 (水) に Google は、CryptBot と呼ばれる Windows ベースの情報窃取型マルウェアの配信を阻止し、その増殖を減速させるために、米国の裁判所から仮の命令を取得したことを発表した。この取り組みは、マルウェアの犯罪オペレーターだけでなく、その配布により利益を得る者に対して責任を追求する措置でもあると、Google の Mike Trinh と Pierre-Marc Bureau は述べている。
Continue reading “CryptBot 配布者を Google が訴訟:サイバー犯罪エコシステムに責任を求める”AI tools help attackers develop sophisticated phishing campaigns
2023/04/25 HelpNetSecurity — Zscaler のレポートによると、フィッシング詐欺の手法が洗練され、検知やブロックが困難になっていることで、サイバー犯罪の脅威が増大しているとのことだ。このレポートでは、現代のフィッシング攻撃の大半が、盗まれた認証情報に依存していることも明らかにされている。さらに、最近トレンドとして、中間者攻撃 (AitM) や、InterPlanetary File System (IPFS) の利用増加、ブラックマーケットから調達したフィッシング・キット、ChatGPT などの AI ツールへの依存についても概説している。
Continue reading “フィッシングの 2022年を総括:AI ツールにより高度化/急増しているキャンペーン – Zscaler”Microsoft 365 search outage affects Outlook, Teams, and SharePoint
2023/04/24 BleepingComputer — 現在進行中の問題により、Microsoft 365 の一部の顧客が利用している複数のサービスにおいて、検索機能を使用することができないことの調査が行われている。影響を受けるサービスのリストには、Outlook on the Web/Exchange Online/SharePoint Online/Microsoft Teams/Outlook Desktop Client などが含まれるが、これらに限定されるわけではないという。
Continue reading “Microsoft 365 における検索不能の問題:Outlook/Teams/SharePoint などに影響”‘AuKill’ Malware Hunts & Kills EDR Processes
2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。 最近の2つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。
Continue reading “AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始”Microsoft SQL servers hacked to deploy Trigona ransomware
2023/04/19 BleepingComputer — セキュリティが不十分でインターネットには公開されていない、Microsoft SQL (MS-SQL) サーバに侵入した脅威アクターたちが、 Trigona ランサムウェアのペイロードを展開し、全てのファイルを暗号化している。MS-SQL サーバが頻繁に侵害される理由として挙げられるのは、推測しやすいアカウント認証情報を悪用したブルートフォース攻撃や辞書攻撃が成功するためである。サーバへの侵入に成功した脅威アクターは、CLR Shell というマルウェアを展開する。今回の攻撃を発見した韓国のサイバー・セキュリティ企業 AhnLab の研究者たちが、このマルウェアを CLR Shell と命名した。
Continue reading “Microsoft SQL に Trigona ランサムウェア:脆弱なサーバに侵入してペイロードを展開”Takedown of GitHub Repositories Disrupts RedLine Malware Operations
2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ/サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。
Continue reading “RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!”Windows zero-day vulnerability exploited in ransomware attacks
2023/04/11 BleepingComputer — Microsoft がパッチを適用した、Windows Common Log File System (CLFS) のゼロデイ脆弱性は、特権昇格や Nokoyawa ランサムウェアのペイロード展開などで、サイバー犯罪者たちに積極的に悪用されているものである。この、Windows のゼロデイ脆弱性 CVE-2023-28252 の悪用が続いていることを踏まえ、CISA も KEV (Known Exploited Vulnerabilities) カタログに追加し、連邦政府民間行政機関 (FCEB) に対して、5月2日までにシステムを保護するよう命じた。
Continue reading “Windows のゼロデイ脆弱性 CVE-2023-28252:Nokoyawa ランサムウェアが悪用している”Microsoft Azure Users Warned of Potential Shared Key Authorization Abuse
2023/04/11 SecurityWeek — Azure Active Directory (Azure AD) の認証情報と同様に、Microsoft Azure Storage アカウントで利用できる認証方法には Shared Key があり、Azure のデフォルト・インフラの一部になっている。この Shared Key は、Azure AD と比較してセキュリティが劣るため、きめ細かいアクセスが必要な場合には、アクセスキーによるストレージ認証は非推奨とされている (組織がリスクにさらされる可能性があるため)。今回、Orca が発見した攻撃シナリオは、こうしたリスクを証明するものであり、Shared Key による認証を無効化する必要性を、セキュリティ・ベストプラクティスとして強調するものである。
Continue reading “Microsoft Azure ユーザーへの警告:侵害された Shared Key 認証がもたらす甚大な被害とは?”Microsoft April 2023 Patch Tuesday fixes 1 zero-day, 97 flaws
2023/04/11 BleepingComputer — 今日は、Microsoft の April 2023 Patch Tuesday だ。新たに公表されたセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性1件を含む、合計で 97件の欠陥が修正された。その中でも、7件の脆弱性はリモートコード実行を可能にする Critical に分類され、新たに修正された脆弱性として、最も深刻なものとなっている。
Continue reading “Microsoft 2023-4 月例アップデートは1件のゼロデイと 97件の脆弱性に対応”Microsoft delays Exchange Online CARs deprecation until 2024
2023/04/08 BleepingComputer — 今日に Microsoft は、Exchange Online における Client Access Rules (CAR) の非推奨化を1年延期し、2024年9月までにすると発表した。Microsoft 365 の管理者は、優先値/例外/アクション/条件などで構成される CAR を利用して、Exchange Online へのクライアント・アクセスを、様々な要素でフィルタリングしてきた。これらの要素には、クライアントの IP アドレスや認証タイプ/接続を確立するために使用する、プロトコル/アプリケーション/サービスなどが含まれる。これらは一度コンフィグレーションが行われると、組織内の Exchange Online リソースへのアクセス制御に役立つ。
Continue reading “Microsoft Exchange Online に計画変更:Azure AD CA への移行は 2024年まで延期”CISA orders agencies to patch Backup Exec bugs used by ransomware gang
2023/04/07 BleepingComputer — 2023年4月7日 (金) 日に CISA は、KEV (Known Exploited Vulnerabilities) カタログに5つの脆弱性を追加した。そのうちの3つは Veritas Backup Exec の脆弱性であり、ランサムウェアを展開するために悪用されている。残りの2つは、Samsung の Web ブラウザを標的としたエクスプロイト・チェーンの一部としてゼロデイで悪用された脆弱性と、Microsoft Windows Certificate Dialog における権限昇格の脆弱性だ。
Continue reading “CISA KEV 警告 23/04/07:Veritas Backup の脆弱性 CVE-2021-27877 など5件が追加”GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements
2023/04/06 InfoQ — GitHub が発表した SBOM エクスポートは、セキュリティ・コンプライアンスのワークフローやツールの一部として、使用されることを意図したものである。この新機能により、NTIA に準拠した SBOM を、容易にエクスポートできるようになったと GitHub は述べている。手動または自動化されたプロセスなどの各種の方法により、ユーザーは SBOM をエクスポートできる。手動で SBOM を生成するには、リポジトリ内の依存関係グラフにアクセスし、新たに提供された Export SBOM ボタンをクリックする。それにより、SPDX 形式の、マシン・リーダブルの SBOM が作成される。
Continue reading “GitHub が SBOM エクスポートをサポート:ソフトウェア要件への対応を容易にする”The hidden picture of malware attack trends
2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。
Continue reading “マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?”
IoT OT Security News 
You must be logged in to post a comment.