Unpatched Office zero-day CVE-2023-36884 actively exploited in targeted attacks
2023/07/12 SecurityAffairs — Microsoft が明らかにしたのは、複数の Windows/Office 製品に存在する、パッチ未適用のゼロデイ脆弱性の悪用である。この脆弱性 CVE-2023-36884 は、悪意の Office 文書を介してリモートでコードを実行するために、国家に支援される脅威アクターやサイバー犯罪者に悪用されている。同社は、Windows/Office 製品に影響を及ぼす、一連のリモート・コード実行の脆弱性に関する報告を調査しており、特別に作成された Office 文書を用いて、この脆弱性を悪用しようとする攻撃を認識しているという。
Continue reading “Microsoft Office ゼロデイ CVE-2023-36884:標的型攻撃で活発に悪用されている”Microsoft July 2023 Patch Tuesday warns of 6 zero-days, 132 flaws
2023/07/11 BleepingComputer — 今日は Microsoft の July 2023 Patch Tuesday であり、積極的に悪用される脆弱性6件と、リモート・コード実行の脆弱性 37件を含む、132件の欠陥に対するセキュリティ更新プログラムが提供された。37件の RCE バグが修正されたが、Microsoft が Critical と評価したのは、そのうちの9件のみである。しかし、それたの RCE の欠陥のうちの1つは、依然としてパッチが適用されておらず、攻撃で積極的に悪用されていると、多くのサイバー・セキュリティ企業が指摘している。
Continue reading “Microsoft 2023-07 月例アップデート:6件のゼロデイと 132件の脆弱性に対応”Microsoft June 2023 Patch Tuesday fixes 78 flaws, 38 RCE bugs
2023/06/13 BleepingComputer — 今日は Microsoft 2023年6月の Patch Tuesday であり、リモート・コード実行の脆弱性 38件を含む、全体で 78件の不具合に対するセキュリティ更新プログラムが提供された。 RCE のバグは 38個修正されたが、Microsoft が Critical だと指摘したものは、サービス拒否攻撃/リモート・コード実行/権限昇格などの、6件の不具合である。
Continue reading “Microsoft 2023-6月 月例アップデートで 78件の脆弱性と 38件の RCE バグに対応”How Cybercriminals Adapted to Microsoft Blocking Macros by Default
2023/05/13 DarkReading — Office Macro をデフォルトでブロックすることを、Microsoft が決定してからというもの、脅威アクターたちは進化を余儀なくされ、マルウェア配信のための新たな方法を。かつてない速度で導入している。長期間にわたって脅威アクターたちは、悪意の Microsoft Office マクロを使用して、ターゲットのコンピュータの内部にフックを仕掛けてきた。そのため、2022年に Microsoft は、インターネットからダウンロードされるファイルに対して、デフォルトでマクロをブロックするようになった (不均一ではあっても) 。
Continue reading “Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint”XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks
2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk/Tim Peck/Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。
Continue reading “XWorm マルウェアを配信するフィッシング攻撃が急増中:脆弱性 Follina が悪用されている”New ‘Greatness’ service simplifies Microsoft 365 phishing attacks
2023/05/10 BleepingComputer — Greatness という名の Phishing-as-a-Service (PhaaS) プラットフォームは、Microsoft 365 を使用している組織を、米国/英国/カナダ/オーストラリア/南アフリカでターゲットとしており、活動量を急増させていることが判明した。クラウドベースの Microsoft 365 は、世界中の多くの組織で使用されており、ネットワーク侵害で悪用するデータや認証情報を盗み出すサイバー犯罪者にとって、貴重なターゲットになっている。
Continue reading “Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!”Microsoft May 2023 Patch Tuesday fixes 3 zero-days, 38 flaws
2023/05/09 BleepingComputer — 今日は Microsoft の May 2023 Patch Tuesday の日だ。このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性3件と、合計で 38件の不具合が修正された。このうち、Critical と評価された6つの脆弱性は、リモート・コード実行にいたる恐れのあるものだ。
Continue reading “Microsoft 2023-5 月例アップデートは3件のゼロデイと 38件の脆弱性に対応”North Korea-linked ScarCruft APT uses large LNK files in infection chains
2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。
Continue reading “ScarCruft という北朝鮮の APT:感染チェーンに大容量 LNK ファイルを使用 – Check Point”Microsoft April 2023 Patch Tuesday fixes 1 zero-day, 97 flaws
2023/04/11 BleepingComputer — 今日は、Microsoft の April 2023 Patch Tuesday だ。新たに公表されたセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性1件を含む、合計で 97件の欠陥が修正された。その中でも、7件の脆弱性はリモートコード実行を可能にする Critical に分類され、新たに修正された脆弱性として、最も深刻なものとなっている。
Continue reading “Microsoft 2023-4 月例アップデートは1件のゼロデイと 97件の脆弱性に対応”Microsoft OneNote Starts Blocking Dangerous File Extensions
2023/04/03 SecurityWeek — Microsoft が発表したのは、危険とされる拡張子を持つエンベッド・ファイルを自動的にブロックする、OneNote ユーザー向けの保護機能の向上である。OneNote は、企業ユーザーがメモ作成やタスク管理のために使用する、Office スイートのコンポーネントであり、マルチ・ユーザー・コラボレーション機能も備えている。その他の Office アプリケーションと同様に、OneNote はマルウェア配信に悪用されてきた。そして、OneNote ドキュメントでは、ユーザーに対する警告を出さずに実行されるファイルを添付できる。
Continue reading “Microsoft OneNote の安全性を確保する:危険なファイル拡張子のブロックが始まる”China’s Nuclear Energy Sector Targeted in Cyberespionage Campaign
2023/03/28 SecurityWeek — サイバースパイ・キャンペーンを展開する南アジアの APT アクターが、中国の原子力エネルギー部門を標的にしていると、Intezer が最新情報として報告している。2021年ころから活動している Bitter という名のグループは、中国/バングラデシュ/パキスタン/サウジアラビアのエネルギーおよび政府組織を標的とすることで知られており、その戦術として、Excel/Microsoft Compiled HTML Help (CHM)/Windows Installer (MSI) ファイルの悪用を特徴としている。
Continue reading “中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する”Microsoft March 2023 Patch Tuesday fixes 2 zero-days, 83 flaws
2023/03/14 BleepingComputer — 今日は Microsoft の March 2023 Patch Tuesday の日であり、このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性2件と、合計で 83件の不具合が修正された。また、Critical と評価された9つの脆弱性は、リモートコード実行/サービス拒否/特権昇格攻撃などにいたる恐れのあるものだ。
Continue reading “Microsoft 2023-3 月例アップデートは2件のゼロデイと 83件の脆弱性に対応”Emotet malware attacks return after three-month break
2023/03/07 BleepingComputer — 2023年03月07日 (火) の朝の時点で、Emotet マルウェアの活性化が観測されている。このマルウェアは、3ヶ月間の休息を経て、再び悪意の電子メールを送信し、そのネットワークを再構築し、世界中のデバイスへの感染を広め始めている。Emotet は、悪意の Word/Excel 添付ファイルを隠し持つ子メールで配布される、悪名高いマルウェアである。それらの文書をユーザーが開いたとき、マクロが有効になっていると、Emotet DLL がダウンロードされ、メモリにロードされる。そして、ロードされた Emotet は静かに待機し、リモートの Command and Control (C2) サーバからの指示を待つ。
Continue reading “Emotet の活動再開を捕捉:2023 大規模キャンーペンのトリックは大容量ファイル?”Proof-of-Concept released for critical Microsoft Word RCE bug
2023/03/06 BleepingComputer — この週末に、Microsoft Word に存在する、深刻なリモート・コード実行の脆弱性 CVE-2023-21716 の PoC エクスプロイトが公開された。この脆弱性の CVSS 値は 9.8 と評価されているが、Microsoft は2月の Patch Tuesday のセキュリティ・アップデートで対処し、いくつかの回避策も提供している。この脆弱性を悪用するために必要な、特権やユーザー操作がないため、つまり、攻撃の複雑性が低いため、上記のような評価となっている。
Continue reading “Microsoft Word の深刻な RCE 脆弱性 CVE-2023-21716:PoC エクスプロイトが公開された”How to prevent Microsoft OneNote files from infecting Windows with malware
2023/03/05 bleepingComputer — 一見何の変哲もない Microsoft OneNote ファイルが、マルウェアの拡散/企業ネットワークへの侵入で悪用される、ハッカーたちの人気のファイル形式になっている。ここでは、OneNote のフィッシング添付ファイルが、Windows に感染するのをブロックする方法を紹介していく。Microsoft OneNote ファイルが、マルウェアをばらまくフィッシング攻撃のツールとして選ばれるようになった背景を、少し説明する必要があるだろう。まずは、ここに至るまでの経緯を説明する。
Continue reading “Microsoft OneNote ファイルによるマルウェア感染:防止のための手順を詳述する”ChromeLoader Malware Poses as Steam, Nintendo Game Mods
2023/02/27 InfoSecurity — Nintendo や Steam のゲーム・クラックや MOD を装うファイルを介して、脅威アクターたちが、ChromeLoader マルウェアを配布していることが判明した。Asec のセキュリティ研究者たちによると、最近になって観測された悪意の活動は、VHD ディスク・イメージ・ファイルに依拠しているとのことだ。同社が木曜日に発表したアドバイザリには、「このプロセスを通じて VHD ファイルがダウンロードされた場合には、悪意の VHD ファイルをゲーム関連のプログラムだと、ユーザーが間違える可能性がある」と説明されている。
Continue reading “ChromeLoader マルウェアが蔓延:Nintendo/Steam のゲーム・クラックを介して配布されている”CISA warns of Windows and iOS bugs exploited as zero-days
2023/02/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃において野放し状態で悪用される脆弱性4件をバグリストに追加した。そのうち2件は、Microsoft 製品に影響するものだ。パッチ未適用の Windows システム上で、Common Log File System Driver やグラフィック・コンポーネントの脆弱性の悪用に成功した攻撃者に対して、リモート実行 (CVE-2023-21823) および特権昇格 (CVE-2023-23376) を許してしまう。
Continue reading “CISA KEV 警告 23/02/14:Windows/Office/iOS の脆弱性を悪用リストに追加”Microsoft February 2023 Patch Tuesday fixes 3 exploited zero-days, 77 flaws
2023/02/14 BleepingComputer — 今日の、Microsoft February 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性3件を含む、合計77件の脆弱性が修正された。そのうちの9件は、脆弱なデバイスでリモート・コード実行を可能にするもので、深刻度 Critical に分類されている。
Continue reading “Microsoft 2023-2 月例アップデートは3件のゼロデイと 77件の脆弱性に対応”GuLoader Malware Using Malicious NSIS Executables to Target E-Commerce Industry
2023/02/06 TheHackerNews — 先月末に、韓国と米国の e-Commerce 業界が、現在進行中の GuLoader マルウェア・キャンペーンの被害を受けていたことを、サイバーセキュリティ企業の Trellix が明らかにした。このマルスパム活動の特徴は、その侵入の手口を、マルウェアを混入した Microsoft Word 文書から、マルウェアをロードするための NSIS 実行ファイルへと移行している点だ。このキャンペーンでは、ドイツ/サウジアラビア/台湾/日本などの国々も対象となっている。
Continue reading “GuLoader の標的は e-Commerce 業界:NSIS ファイルでマルウェアをドロップ”Hackers weaponize Microsoft Visual Studio add-ins to push malware
2023/02/03 BleepingComputer — Microsoft Visual Studio Tools for Office (VSTO) を悪用するハッカーたちが、ターゲット・マシン上で悪意の Office アドインを用いて、持続性を維持しながらコードを実行する攻撃へと移行するだろうと、セキュリティ研究者たちが警告している。このテクニックは、Office 文書に VBA マクロを忍び込ませ、外部ソースからマルウェアを取得させる手法に代わるものだ。Microsoft が Office の VBA/XL4 マクロの実行を、デフォルトでブロックすると発表した以降において、脅威アクターたちがマルウェアを配布する手法は、アーカイブ (.ZIP、.ISO)/ショートカット (.LNK) ファイルに移行している。
Continue reading “Microsoft Visual Studio アドインを悪用するマルウェア:リモート配布を検知”Microsoft plans to kill malware delivery via Excel XLL add-ins
2023/01/23 BleepingComputer — Microsoft が取り組んでいるのは、インターネットからダウンロードされた XLL アドインを、自動的にブロックする機能を追加することで、Microsoft 365 における XLL アドインを保護することである。それにより、この感染経路を悪用するマルウェア増加の傾向に、対処することが可能となる。Microsoft は、「この数カ月で増加しているマルウェア攻撃に対抗するため、インターネットからダウンロードされる XLL アドインを、ブロックするための対策を実施している」と述べている。同社によると、この新機能は 2023年3月から、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの、デスクトップ・ユーザーを対象に一般提供される予定だという。
Continue reading “Microsoft のマルウェア対策:Excel XLL add-in の制限が 2023年3月から始まる”Hackers now use Microsoft OneNote attachments to spread malware
2023/01/21 BleepingComputer — OneNote の添付ファイルをフィッシング・メールに使用する攻撃者たちが、被害者のマシンにリモート・アクセスに対応するマルウェアを感染させ、さらなるマルウェアのインストールや、パスワードの窃取、暗号通貨ウォレット侵害へとエスカレートさせようとしている。長年にわたり攻撃者たちは、電子メールに添付した Word/Excel ファイルに隠したマクロを起動させ、マルウェアをダウンロード/インストールするという方式で、マルウェアを配布してきた。しかし、2022年7月に Microsoft は、Office 文書に含まれるマクロをデフォルトで無効にし、マルウェアの配布に利用できないようにした。
Continue reading “Microsoft OneNote ファイルに要注意:新たなマルウェア配布が始まっている”IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours
2023/01/12 TheHackerNews — 先日に発生した IcedID マルウェア攻撃では、イニシャル・アクセスから 24時間以内に、無名ターゲットの Active Directory ドメインが侵害されていたという。今週に発表されたレポートで Cybereason の研究者たちは、「この脅威アクターは攻撃の最中に、偵察コマンド操作/認証情報窃取/横方向への移動に加えて、侵入したホスト上での Cobalt Strike の実行という手順を踏んでいた」と述べている。IcedID (別名 BokBot) は、2017年にバンキング・トロイの木馬としてスタートした後に、他のマルウェアを支援するドロッパーへと進化し、Emotet/TrickBot/Qakbot/Bumblebee/Raspberry Robin などの仲間に加わった。
Continue reading “IcedID マルウェアの蔓延:侵入から24時間以内に Active Directory ドメインを侵害”Microsoft January 2023 Patch Tuesday fixes 98 flaws, 1 zero-day
2023/01/10 BleepingComputer — 今日の、Microsoft January 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性1件を含む、合計 98件の脆弱性が修正された。2023年最初の Patch Tuesday で修正された 98件の脆弱性のうち 11件は、最も深刻なタイプの脆弱性のひとつであるリモート・コード実行/セキュリティ・バイパス/権限昇格を可能にするものであり、Critical に分類されている。
Continue reading “Microsoft 2023-1 月例アップデートは1件のゼロデイと 98件の脆弱性に対応”APT Hackers Turn to Malicious Excel Add-ins as Initial Intrusion Vector
2022/12/28 TheHackerNews — インターネットからダウンロードされた Office ファイルの Visual Basic for Applications (VBA) マクロについて、Microsoft がデフォルトでのブロックを決定したことで、多くの脅威者が、この数カ月で攻撃方法を変更するようになった。Cisco Talos によると、APT (Advanced Persistent Threat) や各種のマルウェア・ファミリーは、イニシャルの侵入経路として Excel Add-in (.XLL) ファイルを使用する傾向を強めているとのことだ。
Continue reading “Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター”BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection
2022/12/27 TheHackerNews — Lazarus Group のサブクラスタである BlueNoroff だが、Windows の Mark of the Web (MoTW) 保護を回避するための、新しい技術を採用していることが確認されている。今日の Kaspersky レポートによると、光ディスクイメージ (拡張子.ISO) および仮想ハードディスク (拡張子.VHD) ファイル形式を用いる、新たな感染チェーンが追加されているとのことだ。セキュリティ研究者である Seongsu Park は、「BlueNoroff は、ベンチャー・キャピタル企業や銀行を装う、多数の偽ドメインを作成している。2022年9月のテレメトリ測定において、この新しい攻撃手順にフラグが立てられた」と述べている。
Continue reading “BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避”Two Zero-Days Fixed in December Patch Tuesday
2022/12/14 InfoSecurity — 2022年12月の Microsoft Patch Tuesday は、2つのゼロデイを含む 50件ほどの脆弱性に対処したが、そのうちの1つは野放し状態で悪用されているものだ。このうちの一握りの脆弱性は Critical と評価され、また 13件については悪用される可能性が高いと、Microsoft は説明している。したがって、年末にシステム管理者が行うべき作業が、たくさん残っていることになる。
Continue reading “Microsoft の深刻な2つのゼロデイ脆弱性:2022-12 月例アップデートで FIX”Attackers use SVG files to smuggle QBot malware onto Windows systems
2022/12/14 BleepingComputer — QBot マルウェアのフィッシング・キャンペーンは、SVG (Scalable Vector Graphics) ファイルを悪用して Windows 用の不正なインストーラーをローカルに作成する、HTML スマグリングの新たな配布方法を採用している。この攻撃は、JavaScript を含むエンベッド SVG ファイルにより行われ、Base64 エンコードされた QBot マルウェアのインストーラーを再構築し、ターゲットのブラウザを通じて自動的にダウンロードさせるものだ。
Continue reading “QBot の新しい戦略:SVG ベクター画像ファイル内にマルウエアを隠し持つ”All You Need to Know About Emotet in 2022
2022/11/26 TheHackerNews — 直近の6ヶ月間において、ほとんど活動していなかった Emotet ボットネットだが、いまは悪質なスパムを配信し始めている。ここでは、この悪名高いマルウェアに対抗するために、知っておくべきことを詳しく説明していく。Emotet は、これまでに作られたトロイの木馬の中で、最も危険な 1 つであることに間違いはない。このマルウェアは、規模と精巧さを増すにつれて、きわめて破壊的なプログラムとなった。スパムメール・キャンペーンにさらされた企業ユーザーから個人ユーザーまで、誰でもが被害者になり得る。
Continue reading “Emotet 2022 を予測する:このマルウェアの歴史から何が見えてくるのか?”Notorious Emotet Malware Returns With High-Volume Malspam Campaign
2022/11/21 TheHackerNews — Emotet マルウェアだが、IcedID や Bumblebee などのペイロードをドロップするためにデザインされた、大規模なマルスパム・キャンペーンの一部として、再び勢いを増して戻ってきた。先週に Proofpoint は、「2022 年11月初旬から、1日あたり数十万通の電子メールが送信されている。この、新たなアクティビティは、Emotet が主要なマルウェア群の配信ネットワークとして機能し、完全に復活したことを示唆している」と述べている。標的となる主な国々としては、米国/英国/日本/ドイツ/イタリア/フランス/スペイン/メキシコ/ブラジルなどが挙げられている。
Continue reading “Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ”Microsoft Patches MotW Zero-Day Exploited for Malware Delivery
2022/11/09 SecurityWeek — Microsoft の最新 Patch Tuesday では、サイバー犯罪者がマルウェアを送り込むために悪用している、Mark-of-The-Web (MoTW) セキュリティ機能の欠陥などを含む、6つのゼロデイ脆弱性が対処された。Windows では、ブラウザからのダウンロード・ファイルや電子メールの添付ファイルといった、信頼できない場所から送られてくるファイルに、MoTW フラグが追加される。そして、MoTW が設定されたファイルを開こうとすると、潜在的なリスクについて警告が表示され、それが Office ファイルの場合には、悪質なコードの実行を防ぐために VBA マクロがブロックされる。
Continue reading “Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能”Microsoft November 2022 Patch Tuesday fixes 6 exploited zero-days, 68 flaws
2022/11/08 BleepingComputer — 今日の、Microsoft November 2022 Patch Tuesday により、Windows 上で活発に悪用されている6件の脆弱性を含む、合計 68件の脆弱性が修正された。今日のアップデートでは、68件の脆弱性が修正されたが、そのうち 11件は、最も深刻なタイプの脆弱性のひとつである権限昇格/成りすまし/リモート・コード実行を可能にするもので、Critical に分類されている。
Continue reading “Microsoft 2022-11 月例アップデートは6件のゼロデイと 68件の脆弱性に対応”Hackers use PowerPoint files for ‘mouseover’ malware delivery
2022/09/26 BleepingComputer — ロシア政府に所属すると思われるハッカーが、Microsoft PowerPoint プレゼンテーションのマウスの動きにより、悪意の PowerShell スクリプトをトリガーする、新しいコード実行テクニックを使用し始めたようだ。悪意のマクロに依存することなく、悪意のコードを実行しペイロードをダウンロードできるため、脅威アクターはより狡猾に攻撃を行うことができる。脅威情報企業 Cluster25 のレポートでは、9月9日の時点で、ロシアの参謀本部主要情報局 (GRU:Main Intelligence Directorate of the Russian General Staff) に帰属する脅威グループ APT28 (通称 Fancy Bear) が、この新しい手法を用いて Graphite マルウェアを配信していると報告されている。
Continue reading “PowerPoint のマウスオーバーだけで感染:Graphite マルウェアは VBA 非依存で攻めてくる”Crooks bypass a Microsoft Office patch for CVE-2021-40444 to spread Formbook malware
2021/12/23 SecurityAffairs — Microsoft Office に存在する脆弱性 CVE-2021-40444 (CVSS 8.8) に関して、サイバー犯罪者たちはパッチを回避する方法を見つけ出した。そして、この脆弱性を悪用し、マルウェア Formbook を配布している。CVE-2021-40444 は、MSHTML ファイル・フォーマットに影響を与える、リモートコード実行の脆弱性である。
Continue reading “Microsoft Office の脆弱性 CVE-2021-40444:パッチ回避とマルウェア投下”
IoT OT Security News 