Google とサードパーティ Cookie:2024年 Q1 から段階的に削除していく計画

Privacy Sandbox Initiative: Google to Phase Out Third-Party Cookies Starting 2024

2023/05/19 TheHackerNews — Chrome ブラウザにおけるサードパーティ Cookie のサポートを廃止するために、2度も延期されてきた Privacy Sandbox イニシアチブ計画を正式にスタートすると、Google は発表した。そのために、同社は、2024年 Q1 に、世界中の Chrome ユーザーの 1% に対して、サードパーティ Cookie を段階的に削除するつもりだと述べている。

Continue reading “Google とサードパーティ Cookie:2024年 Q1 から段階的に削除していく計画”

中国 – 台湾の緊張関係とサイバー戦争:PlugX マルウェアを仕込んだフィッシング攻撃が激化

Cyber Warfare Escalates Amid China-Taiwan Tensions

2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。

Continue reading “中国 – 台湾の緊張関係とサイバー戦争:PlugX マルウェアを仕込んだフィッシング攻撃が激化”

Microsoft Teams を狙うソーシャル・エンジニアリング:新たな手口が発見された

Social Engineering Risks Found in Microsoft Teams

2023/05/17 InfoSecurity — ソーシャル・エンジニアリングを介して、Microsoft Teams を悪用しようとする、いくつかの新たな手口が、Proofpoint のセキュリティ研究者たちにより発見された。同社が 2023年5月17日に発表したレポートには、「最近のことだが、2022年後半にかけて確認された、Microsoft 365 クラウド・テナントを標的とした 4億5000万以上の悪意のセッションを分析した。この調査結果によると、Microsoft Teams は、最も標的とされた 10 のサインイン・アプリケーションの1つであり、標的とされた組織の 40% 近くで、少なくとも1回の不正ログインが試みられていた」と記されている。

Continue reading “Microsoft Teams を狙うソーシャル・エンジニアリング:新たな手口が発見された”

Azure VM を乗っ取る UNC3944:SIM Swapping と Serial Console 悪用を組み合わせた攻撃

Threat Group UNC3944 Abusing Azure Serial Console for Total VM Takeover

2023/05/17 TheHackerNews — 仮想マシン (VM) 上の Microsoft Azure Serial Console を悪用する脅威アクターが、侵害した環境内にサードパーティ製のリモート管理ツールをインストールしている。Google 傘下の Mandiant は、この金銭的な動機に基づく活動は、UNC3944 (Roasted 0ktapus/Scattered Spider) という名前で追跡している脅威グループによるものだと分析している。

Continue reading “Azure VM を乗っ取る UNC3944:SIM Swapping と Serial Console 悪用を組み合わせた攻撃”

情報スティーラー・ビジネスの活性化:ロシア市場での盗難ログ取引量が 670% 増

Infostealer Malware Surges: Stolen Logs Up 670% on Russian Market

2023/05/16 InfoSecurity — Secureworks Counter Threat Unit (CTU) が明らかにしたのは、ロシアのオンライン市場で、盗まれたログ情報の販売が活性化しており、その増加率は 670%を記録していることである。この最新の調査結果は、”The Growing Threat From Infostealers” というレポートに記載されているものだ。同レポートは、ランサムウェア攻撃などのサイバー犯罪活動を円滑にする上で、きわめて重要な役割を果たす、情報スティーラー市場の繁栄ぶりにフォーカスしている。Secureworks の VP of CTU である Don Smith は、「企業へのアクセスを素早く獲得し、そのアクセスからの収益化を狙うサイバー犯罪者たちが、情報スティーラーに目をつけるのは自然なことだ」とコメントしている。

Continue reading “情報スティーラー・ビジネスの活性化:ロシア市場での盗難ログ取引量が 670% 増”

ZIP/MOV という新たな TLD は危険か? セキュリティ専門家たちの間で議論が沸騰

New ZIP domains spark debate among cybersecurity experts

2023/05/16 BleepingComputer — Google た立ち上げる新たな ZIP/MOV インターネット・ドメインについて、脅威アクターがフィッシング攻撃やマルウェア配信に悪用する可能性があると、サイバー・セキュリティ研究者たちと IT 管理者たちが警告している。Google は5月初めに、Web サイトやEメールのホスティングに使用できる、8つの新しい TLD (Top-Level Domains) を発表した。それらの新しい TLD は、.dad/.esq/.prof/.phd/.nexus/.foo、そして本記事で取り上げる .zip/.mov だ。

Continue reading “ZIP/MOV という新たな TLD は危険か? セキュリティ専門家たちの間で議論が沸騰”

MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec

Stealthy MerDoor malware uncovered after five years of attacks

2023/05/15 BleepingComputer — 南アシア/東南アジアの政府機関/航空機関/通信機関を標的に、Lancefly という新たな APT ハッキング・グループが、カスタム Merdoor バックドア・マルウェアを展開している。今日の Symantec Threat Labs の発表で明らかにされたのは、Lancefly が2018年以降において、スティルス性の高い標的型攻撃で Merdoor バックドアを展開し、企業ネットワーク上での永続性の確立/コマンドの実行/キーロギングを行ってきたことだ。

Continue reading “MerDoor という高スティルス性のマルウェア:5年前からのバックドア展開を確認 – Symantec”

Discord で発生したサプライチェーン攻撃:ユーザーの機密情報が流出した可能性

Discord Breached After Service Agent Targeted

2023/05/15 InfoSecurity — Discord のユーザーに送られた通知は、サードパーティ・カスタマー・サービス・エージェントのサポート・チケット・キューに、脅威アクターが不正アクセスした際に発生したデータ侵害に関するものだ。影響を受けたユーザーに送られたメッセージには、「このインシデントの性質上、あなたの電子メールアドレスおよび、あなたと Discordの 間で交換された顧客サービス・メッセージの内容および添付ファイルが、第三者に公開されている可能性がある」と書かれていることを InfoSecurity は確認している。

Continue reading “Discord で発生したサプライチェーン攻撃:ユーザーの機密情報が流出した可能性”

Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint

How Cybercriminals Adapted to Microsoft Blocking Macros by Default

2023/05/13 DarkReading — Office Macro をデフォルトでブロックすることを、Microsoft が決定してからというもの、脅威アクターたちは進化を余儀なくされ、マルウェア配信のための新たな方法を。かつてない速度で導入している。長期間にわたって脅威アクターたちは、悪意の Microsoft Office マクロを使用して、ターゲットのコンピュータの内部にフックを仕掛けてきた。そのため、2022年に Microsoft は、インターネットからダウンロードされるファイルに対して、デフォルトでマクロをブロックするようになった (不均一ではあっても) 。

Continue reading “Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint”

XWorm マルウェアを配信するフィッシング攻撃が急増中:脆弱性 Follina が悪用されている

XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks

2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk/Tim Peck/Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。

Continue reading “XWorm マルウェアを配信するフィッシング攻撃が急増中:脆弱性 Follina が悪用されている”

Windows のフェイク・アップデートが登場:Aurora 情報スティーラーをプッシュしている

Fake in-browser Windows updates push Aurora info-stealer malware

2023/05/10 BleepingComputer — 先日に発見された不正広告キャンペーンは、ブラウザ内の Windows アップデート・シミュレーションでユーザーを騙し、情報窃取マルウェア Aurora を配信するものだ。Golang で書かれた Aurora は、広範な機能を持ち、アンチウイルス検出率が低い情報シティーラーとして、1年以上も前から各種ハッカー・フォーラムで公開されている。Malwarebytes の研究者たちによると、このマルバーター作戦は、トラフィックの多いアダルト・コンテンツの Web サイト上のポップ・アンダー広告を用いて、そこを訪れた潜在的な被害者を、マルウェア提供場所へとリダイレクトさせるものだという。

Continue reading “Windows のフェイク・アップデートが登場:Aurora 情報スティーラーをプッシュしている”

Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!

New ‘Greatness’ service simplifies Microsoft 365 phishing attacks

2023/05/10 BleepingComputer — Greatness という名の Phishing-as-a-Service (PhaaS) プラットフォームは、Microsoft 365 を使用している組織を、米国/英国/カナダ/オーストラリア/南アフリカでターゲットとしており、活動量を急増させていることが判明した。クラウドベースの Microsoft 365 は、世界中の多くの組織で使用されており、ネットワーク侵害で悪用するデータや認証情報を盗み出すサイバー犯罪者にとって、貴重なターゲットになっている。

Continue reading “Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!”

Microsoft 2023-5 月例アップデートは3件のゼロデイと 38件の脆弱性に対応

Microsoft May 2023 Patch Tuesday fixes 3 zero-days, 38 flaws

2023/05/09 BleepingComputer — 今日は Microsoft の May 2023 Patch Tuesday の日だ。このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性3件と、合計で 38件の不具合が修正された。このうち、Critical と評価された6つの脆弱性は、リモート・コード実行にいたる恐れのあるものだ。

Continue reading “Microsoft 2023-5 月例アップデートは3件のゼロデイと 38件の脆弱性に対応”

QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染

QR codes used in fake parking tickets, surveys to steal your money

2023/05/08 BleepingComputer — QR コードは便利なものであるため、スーパーボウルの広告や駐車料金の徴収といった、合法的な組織で多く利用されている一方で、この技術を悪用する詐欺師も出現している。シンガポールではタピオカの専門店で QR コード・アンケートに答えた女性が $20,000 を騙し取られ、米国や英国では QR コード付きの偽駐車違反キップの事例が確認されている。

Continue reading “QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染”

Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施

Microsoft enforces number matching to fight MFA fatigue attacks

2023/05/08 BleepingComputer — Microsoft は、MFA 疲労攻撃を防ぐため、Microsoft Authenticator のプッシュ通知において番号照合を実施することにした。この種の、プッシュボミング/MFA プッシュスパム攻撃を実施する脅威アクターたちは、盗み出した認証情報を悪用し、モバイル・プッシュ通知が承認されるまでターゲットに送り続け、企業アカウントにログインしようとする。多くのケースにおいて、標的にされた被害者は、無限に続く警告を止めるために、あるいは、誤って悪意の MFA プッシュ要求に応じ、アカウントへの攻撃者のログインを許してしまう。

Continue reading “Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施”

AI による音声クローン作成:3秒間のデータがあれば詐欺の成功率は 85% というレベル – McAfee

Your voice could be your biggest vulnerability

2023/05/08 HelpNetSecurity — McAfee によると、オンライン音声詐欺の増加に AI 技術が拍車をかけており、人の声を複製するのに必要な音声は、わずか3秒であることが判明している。7カ国の 7,054人を対象に McAfee が調査したところ、成人の 4分の1 が何らかの AI 音声詐欺を経験したことがあり、10人に 1人が個人的に狙われ、15% が知人に起こったと回答している。結果として、被害者の 77% が騙され、金銭を失ったと回答している。McAfee Labs のセキュリティ研究者たちは、AI 音声クローニング技術と、サイバー犯罪者による悪用に関する、徹底的な調査から得た知見と分析を明らかにした。

Continue reading “AI による音声クローン作成:3秒間のデータがあれば詐欺の成功率は 85% というレベル – McAfee”

Kimsuky APT は北朝鮮由来:ReconShark という偵察ツールで標的を狙い続ける

N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks

2023/05/05 TheHackerNews — Kimsuky という名の、北朝鮮の国家に支援される脅威アクターは、進行中のグローバル・キャンペーンの一環として、ReconShark という新たな偵察ツールを使用していることが判明した。 SentinelOne の研究者である Tom Hegel と Aleksandar Milenkoski は、「ReconShark は、スピアフィッシング・メールおよび、文書のダウンロードにつながる OneDrive リンク、そして、悪意のマクロの実行を介して、標的とする個人に対して配信されている」と述べている。

Continue reading “Kimsuky APT は北朝鮮由来:ReconShark という偵察ツールで標的を狙い続ける”

HTML 内に仕込まれたマルウェアの進化:セキュリティ・スキャンを難しくする手口とは

Barracuda Networks Reports Shift in HTML Malware Tactics

2023/05/05 SecurityBoulevard — Barracuda Networks が発表したレポートによると、HTML ファイル内にマルウェアを埋め込むバー犯罪者が、外部サイトへのリンクを介して悪意のペイロードを配信するケースが増えているようだ。このようなアプローチの変化により、一部のセキュリティ・スキャナでは、メールに埋め込まれたマルウェアを検出することが難しくなっている。

Continue reading “HTML 内に仕込まれたマルウェアの進化:セキュリティ・スキャンを難しくする手口とは”

BlackBerry 脅威レポート:1位 米国/2位 ブラジル/3位 日本という攻撃頻度が判明

BlackBerry Report Surfaces Increasing Rate of Cyberattacks

2023/05/05 SecurityBoulevard — BlackBerry が発表した脅威インテリジェンス・レポートによると、同社のサイバー・セキュリティ・ソフトウェア/サービスを利用している組織に対して、2022年12月〜2023年2月には1分あたり12件のサイバー攻撃が行われ、そのうち 1.5件は新しいマルウェア・サンプルに基づく攻撃であることが判明した。BlackBerry のレポートでは、これらの攻撃が行われているロケーションの変化についても指摘されている。1位の米国に次いで、2位はブラジル、3位は日本、4位はカナダとなり、シンガポールが初めて Top-10 にランクインしたとのことだ。

Continue reading “BlackBerry 脅威レポート:1位 米国/2位 ブラジル/3位 日本という攻撃頻度が判明”

FluHorse は新たな Android マルウェア:検出を巧みに回避して認証情報などを窃取

New Android Malware ‘FluHorse’ Targeting East Asian Markets with Deceptive Tactics

2023/05/05 TheHackerNews — Flutter ソフトウェア開発フレームワークを悪用した、FluHorse という名の新たな Android マルウェア系統を配布する、電子メール・フィッシング・キャンペーンが、東アジア・マーケットの様々な分野で展開されていることが判明した。Check Point のテクニカル・レポートには、「このマルウェアは、正規のアプリケーションを模倣した、複数の悪意の Android アプリケーションに仕込まれ、その大半が 100万回以上もインストールされている。これらの悪意のあるアプリは、被害者の認証情報と二要素認証 (2FA) コードを盗み出す」と記されている。

Continue reading “FluHorse は新たな Android マルウェア:検出を巧みに回避して認証情報などを窃取”

DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos

Hackers start using double DLL sideloading to evade detection

2023/05/03 BleepingComputer — Dragon Breath/Golden Eye Dog/APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。 これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。

Continue reading “DLL サイドローディングの二重化:追跡が困難なスティルス攻撃を東アジアで検出 – Sophos”

Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明

Facebook disrupts new NodeStealer information-stealing malware

2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta/Gmail/Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。

Continue reading “Facebook を攻撃する NodeStealer は情報窃取マルウェア:セッション・クッキー侵害の容易さを証明”

Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う

Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics

2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。

Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”

hVNC は高スティルス性のマルウェア:ロシアの犯罪グループ Lobshot が API を介して悪用

New ‘Lobshot’ hVNC Malware Used by Russian Cybercriminals

2023/05/01 SecurityWeek — ロシアのサイバー犯罪グループ TA505 が、最近の攻撃で新たな hVNC (Hidden Virtual Network Computing) マルウェアを使用していると、脅威情報会社 Elastic が報告している。この、Lobshot と呼ばれるマルウェアは、不正検知エンジンを回避し、感染させたマシンに対して、攻撃者によるステルス・アクセスを可能にする。その攻撃は、Google 広告や偽サイトのネットワークを悪用して、ユーザーを騙すところから始まる。そして、バックドアを含む正規のインストーラをダウンロードさせる、マルバタイジングにより配布されていく。

Continue reading “hVNC は高スティルス性のマルウェア:ロシアの犯罪グループ Lobshot が API を介して悪用”

Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee

Minecraft Clones with 35 Million Installs Contained Adware

2023/04/28 InfoSecurity — Google Play からダウンロードした Minecraft 風のモバイル・ゲーム数十本に、秘密のアドウェアが含まれていたことが McAfee の調べで明らかになった。McAfee によると、Block Box Master Diamond/Craft Monster Crazy Sword/Craft Rainbow Mini Builder といったタイトルのゲーム計 38本が発見され、世界中で少なくとも 3500万人のユーザーがインストールしたことを明らかにした。McAfee が検出した問題のアドウェア Android/HiddenAds.BJL とは、ユーザーに知られることなく収益を得るために、バックグラウンドで広告をロードするものだ。

Continue reading “Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee”

CryptBot 配布者を Google が訴訟:サイバー犯罪エコシステムに責任を求める

Google Gets Court Order to Take Down CryptBot That Infected Over 670,000 Computers

2023/04/27 TheHackerNews — 4月26日 (水) に Google は、CryptBot と呼ばれる Windows ベースの情報窃取型マルウェアの配信を阻止し、その増殖を減速させるために、米国の裁判所から仮の命令を取得したことを発表した。この取り組みは、マルウェアの犯罪オペレーターだけでなく、その配布により利益を得る者に対して責任を追求する措置でもあると、Google の Mike Trinh と Pierre-Marc Bureau は述べている。

Continue reading “CryptBot 配布者を Google が訴訟:サイバー犯罪エコシステムに責任を求める”

Facebook で新たなフィッシング・キャンペーン:3200件の偽プロフィールを展開 – Group-IB

Scammers Impersonate Meta in Facebook Campaign With 3200 Profiles

2023/04/24 InfoSecurity — Facebook ユーザーを対象として、3,000以上の偽プロフィールを展開している脅威アクターが、新しいフィッシング・スキームを用いて、認証情報を盗み出そうとしていることが判明した。4月24日 (月) に発表したアドバイザリで、Group-IB DRP (Digital Risk Protection) の専門家たちは、「現時点において依然としてアクティブに活動している」と、このキャンペーンについて説明している。Group-IB の Sharef Hlal と Karam Chatra は、「2023年2月〜3月に、このキャンペーンを操るサイバー犯罪者が侵害/作成した、3,200以上の詐欺プロフィールを発見した」と述べている。

Continue reading “Facebook で新たなフィッシング・キャンペーン:3200件の偽プロフィールを展開 – Group-IB”

BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks

Google ads push BumbleBee malware used by ransomware gangs

2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom/Cisco AnyConnect/ChatGPT/Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader  の代替として、Conti チームが開発したものだと考えられている。

Continue reading “BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks”

Evil Extractor という攻撃ツール:情報スティーラーでありランサムウェアも含む

Evil Extractor Targets Windows Devices to Steal Sensitive Data

2023/04/21 InfoSecurity — Kodex が “教育用“ として開発した、Evil Extractor という攻撃ツールが、Windows ベースのマシンを標的とした攻撃に悪用されている。2023年4月10日 (木) に公開されたアドバイザリで、「このマルウェアは、3月30日に観測されたフィッシング・キャンペーンで見つかったものであり、アドバイザリに含まれるサンプルまで辿り着いた。このキャンペーンは、正規の Adobe PDF や Dropbox ファイルなどを装うものであり、ロードすると PowerShell を活用した悪意の活動を開始する」と、Fortinet のセキュリティ研究者たちは主張している。

Continue reading “Evil Extractor という攻撃ツール:情報スティーラーでありランサムウェアも含む”

ChatGPT に関連する悪意の URL:不正占拠ドメインが 17,818% 増加

ChatGPT-Related Malicious URLs on the Rise

2023/04/20 InfoSecurity — ChatGPT に関連する、新規登録ドメインとスクワッティング・ドメインの数が、2022年11月〜2023年4月初旬の間に、910%/月のペースで増加したとのことだ。この調査結果は、今日の未明に Palo Alto Networks の Unit 42 が共有したものだが、同じ期間において、DNS Security のログを見ると、ChatGPT に関連する不正占拠ドメインが 17,818% 増加したことにも言及している。

Continue reading “ChatGPT に関連する悪意の URL:不正占拠ドメインが 17,818% 増加”

SimpleHelp というリモート・サポート製品を悪用:イランの MuddyWater の戦術を暴露

MuddyWater Uses SimpleHelp to Target Critical Infrastructure Firms

2023/04/18 InfoSecurity — MuddyWater という、イラン政府に支援される脅威アクターは、被害者のデバイス上で永続性を確立するために、正規の SimpleHelp リモート・サポート・ソフトウェア・ツールを使用していることが確認されている。Group-IB の新たなアドバイザリによると、これらの攻撃の一部として使用されるソフトウェアは、脆弱化されたものではない。その代わりに、この脅威アクターは、公式 Web サイトからツールをダウンロードし、攻撃に使用する方法を発見したようだ。

Continue reading “SimpleHelp というリモート・サポート製品を悪用:イランの MuddyWater の戦術を暴露”

Affinity のフォーラムでデータ侵害が発生:管理者アカウントが侵入経路

Creative Software Maker Affinity Informs Customers of Forum Breach

2023/04/18 SecurityWeek — クリエイティブ・ソフトのメーカーである Affinity でデータ侵害が発生した。同社によると、脅威アクターは管理者のアカウントを侵害し、フォーラムのユーザーデータにアクセスしたとのことだ。不正アクセスを受けた可能性がある情報として挙げられるのは、ユーザー名/評判/参加日/投稿数/Eメール/最後に使用した IP アドレスなどである。

Continue reading “Affinity のフォーラムでデータ侵害が発生:管理者アカウントが侵入経路”

ChatGPT などの AI ツールが BEC を助長:いちばん恐ろしい武器は言葉

AI tools like ChatGPT expected to fuel BEC attacks

2023/04/17 HelpNetSecurity — Armorblox の調査によると、過去1年間に観測された全ての BEC 攻撃のうちの 57%が、無防備な従業員に攻撃を仕掛けるための主要な攻撃ベクターとして、言葉に依存していたという。その他の注目すべき傾向は、ベンダーへの侵害と詐欺が、新たな攻撃ベクターとして台頭していることや、セキュリティ・チームが毎週 27時間もの時間を、グレーメールの処理に浪費していることだ。

Continue reading “ChatGPT などの AI ツールが BEC を助長:いちばん恐ろしい武器は言葉”

Qbot バンキング・トロイの木馬:PDF アーカイブ内の JScript スクリプト で PowerShell を起動

Qbot Banking Trojan Increasingly Delivered Via Business Emails

2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語/ドイツ語/イタリア語/フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。

Continue reading “Qbot バンキング・トロイの木馬:PDF アーカイブ内の JScript スクリプト で PowerShell を起動”

Emotet 攻撃が加速:Microsoft OneNote ファイルの不用意な操作は NG

Emotet Climbs March 2023’s Most Wanted Malware List With OneNote Campaign

2023/04/12 InfoSecurity — Emotet マルウェアは、悪意の OneNote ファイルを隠し持つスパムメール・キャンペーンにより、Check Point の Most Wanted Malware List ランキングを駆け上がっている。Emotet は、2月の3位から、3月の2位へと順位を上げている。このキャンペーンは、被害者を誘い、悪意の OneNote ファイルを開かせることで、マルウェアをインストールするものだ。

Continue reading “Emotet 攻撃が加速:Microsoft OneNote ファイルの不用意な操作は NG”

Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラーを配布している

Attackers Hide RedLine Stealer Behind ChatGPT, Google Bard Facebook Ads

2023/04/12 DarkReading — サイバー犯罪者たちは、Facebook のビジネスページやコミュニティページを乗っ取り、ChatGPT や Google Bard などの正規のスポンサーを装い、AI チャットボットの無料ダウンロードを宣伝する広告を展開している。それらの広告に誘導されたユーザーは、AI チャットボットではなく、RedLine Stealer と呼ばれる有名な情報スティーラー・マルウェアをダウンロードしていることが、研究者たちの調査により判明した。RedLine Stealer とは、オンライン・ハッカー・フォーラムを通じて販売されている Malware-as-a-Service (MaaS) プラットフォームだ。Web ブラウザを標的にして、認証情報や支払いカードの詳細などの、様々なユーザー情報を収集する。さらに、次の攻撃にむけて攻撃対象領域を評価するために、システムのインベントリを取得する。

Continue reading “Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラーを配布している”

Google Chrome の偽アップデートに御用心:日韓言語圏から世界へと広がる攻撃範囲

Hacked sites caught spreading malware via fake Chrome updates

2023/04/11 BleepingComputer — いくつかの Web サイトを侵害したハッカーたちが、偽の Google Chrome 自動更新エラーを表示するスクリプトを注入し、それに気づかない訪問者にマルウェアを配布している。このキャンペーンは、2022年11月から行われている。NTT の Security Analyst である Rintaro Koike によると、2023年2月以降に活動を加速させ、日本語/韓国語/スペイン語を話すユーザーを対象にターゲット範囲を拡大している。このマルウェア配布キャンペーンにより、アダルトサイト/ブログ/ニュースサイト/オンラインストアなどの、多数のサイトがハッキングされたことを、BleepingComputer は確認している。

Continue reading “Google Chrome の偽アップデートに御用心:日韓言語圏から世界へと広がる攻撃範囲”

WordPress サイト 100万件を侵害:Balada Injector による大規模マルウェア・キャンペーン

Over 1 Million WordPress Sites Infected by Balada Injector Malware Campaign

2023/04/10 TheHackerNews — Balada Injector というマルウェアを展開する継続的なキャンペーンにより、2017年以降で 100万以上の WordPress サイトが感染したと推定される。GoDaddy の Sucuri によると、WordPressサイトを侵害する、この大規模キャンペーンでは、テーマとプラグインに存在する、ありとあらゆる脆弱性が悪用されているようだ。この攻撃は、数週間に一度のペースで、波状的に展開されると認識されている。

Continue reading “WordPress サイト 100万件を侵害:Balada Injector による大規模マルウェア・キャンペーン”

サイバー攻撃に悪用される ChatGPT:防御側も LLM を活用すべき

Bad Actors Will Use Large Language Models — but Defenders Can, Too

2023/04/07 DarkReading — 各種の AI がヘッドラインを席巻しているが、その中でも ChatGPT は最新のトピックであり、その斬新さに誰もが心を奪われている。しかし、 LLM (Large Language Models) が兵器化される方法などについては、誰も触れていない。インターネットは信じられないほど巨大で複雑になり、数多くの機密情報が露呈されるようになった。10年前には1つの Web サイトしか持たなかった企業が、今日では数十の Web サイトを持ち、未知の資産や子会社を抱えている。それらを悪用する攻撃者が、ネットワーク/システムへの侵入や知的財産の流出を活性化している。

Continue reading “サイバー攻撃に悪用される ChatGPT:防御側も LLM を活用すべき”

マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?

The hidden picture of malware attack trends

2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。

Continue reading “マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?”

Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち

Threat Actors Increasingly Use Telegram For Phishing Purposes

2023/04/06 InfoSecurity — フィッシング技法の開発に注目する脅威アクターたちが、アクティビティの自動化や各種のサービス提供において、Telegram を悪用するケースが増えている。このような傾向は、Kaspersky のサイバー・セキュリティ専門家たちの調査/分析によるものである。水曜日のアドバイザリで、Web コンテンツ・アナリストである Olga Svistunova は、「フィッシャーたちは商品を宣伝するために Telegram チャネルを作り、そこでフィッシングについて聴衆を教育し、投票によりサブスクライバーを楽しませている。このようなチャネルへのリンクは、彼らのフィッシング・キットや YouTube/GitHub などを通じて拡散される」と述べている。

Continue reading “Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち”

STYX というダークウェブが登場:金融詐欺に特化してサイバー犯罪者の支持を集める

STYX Marketplace emerged in Dark Web focused on Financial Fraud

2023/04/05 SecurityAffairs — 2023年の初めに、STYX というマーケットプレイスが立ち上げられた。このプラットフォームは、特に金融犯罪を促進するために設計されており、盗んだ金融データ/クレジットカード情報/偽造文書/マネー・ロンダリング・サービス/被害者の偵察をする “lookups” などの、様々なサービスをサイバー犯罪者たちに提供している。この事例は、サイバー犯罪の流行後の脅威と、それが金融機関とその顧客にもたらす脅威を物語っている。デジタル・バンキングや暗号通貨口座を悪用して、マネー・ロンダリング・サービスを提供する脅威アクターの大幅な増加を、Resecurity の金融犯罪リスクのアナリストたちが観測している。それと、STYX の発見が一致しているのだ。

Continue reading “STYX というダークウェブが登場:金融詐欺に特化してサイバー犯罪者の支持を集める”

CISA KEV 警告 23/04/03:Zimbra の脆弱性が NATO 諸国への攻撃で悪用

CISA warns of Zimbra bug exploited in attacks against NATO countries

2023/04/03 BleepingComputer — CISA が連邦政府機関に要請したのは、NATO 諸国を標的とした攻撃でロシアのハッカーが Eメールを盗むために悪用した、Zimbra Collaboration (ZCS) に存在する XSS (Cross-Site Scripting) の脆弱性の修正である。NATO に加盟する複数の政府のポータルへの攻撃で、Winter Vivern および TA473 として追跡されているロシアのハッキング・グループが、この脆弱性 CVE-2022-27926 を悪用して、当局/政府/軍人/外交官などのメール・ボックスに不正アクセスしていたという。

Continue reading “CISA KEV 警告 23/04/03:Zimbra の脆弱性が NATO 諸国への攻撃で悪用”

Microsoft OneNote の安全性を確保する:危険なファイル拡張子のブロックが始まる

Microsoft OneNote Starts Blocking Dangerous File Extensions

2023/04/03 SecurityWeek — Microsoft が発表したのは、危険とされる拡張子を持つエンベッド・ファイルを自動的にブロックする、OneNote ユーザー向けの保護機能の向上である。OneNote は、企業ユーザーがメモ作成やタスク管理のために使用する、Office スイートのコンポーネントであり、マルチ・ユーザー・コラボレーション機能も備えている。その他の Office アプリケーションと同様に、OneNote はマルウェア配信に悪用されてきた。そして、OneNote ドキュメントでは、ユーザーに対する警告を出さずに実行されるファイルを添付できる。

Continue reading “Microsoft OneNote の安全性を確保する:危険なファイル拡張子のブロックが始まる”

フィッシングの HTTPS 化:悪意のサイトの 49% が ブラウザに南京錠マークを表示

Volume of HTTPS Phishing Sites Surges 56% Annually

2023/03/30 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、HTTPS を使用するフィッシング・サイトの急増である。つまり、ブラウザに南京錠のマークが表示されている Web サイトであっても、要注意だと警告しているのだ。この調査結果は、9,500 万台ものエンドポイント/センサー/サードパーティのデータベースから収集した情報を、Open Text Cybersecurity が取りまとめた “2023 Global Threat Report” によるものだ。同レポートによると、HTTPS を使用していたフィッシング・サイトの割合は前年比で 56%近くも増加し、全体に占める割合は 2021年の32%から 2022年の 49%以上へと跳ね上がっている。

Continue reading “フィッシングの HTTPS 化:悪意のサイトの 49% が ブラウザに南京錠マークを表示”

ChatGPT に対するユーロポールの評価:近い将来に起こり得る問題の可能性

Europol details ChatGPT’s potential for criminal abuse

2023/03/28 HelpNetSecurity — ChatGPT に対する社会の関心が高まる中、この問題に真剣に取り組んでいる Europol Innovation Lab は、さまざまな部門の専門家が参加する、一連のワークショップを実施した。これらのワークショップは、ChatGPT のような LLM (Large Language Models) が犯罪者に悪用される可能性や、捜査官の日常業務を支援する可能性の、調査を目的としている。

Continue reading “ChatGPT に対するユーロポールの評価:近い将来に起こり得る問題の可能性”

中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する

China’s Nuclear Energy Sector Targeted in Cyberespionage Campaign 

2023/03/28 SecurityWeek — サイバースパイ・キャンペーンを展開する南アジアの APT アクターが、中国の原子力エネルギー部門を標的にしていると、Intezer が最新情報として報告している。2021年ころから活動している Bitter という名のグループは、中国/バングラデシュ/パキスタン/サウジアラビアのエネルギーおよび政府組織を標的とすることで知られており、その戦術として、Excel/Microsoft Compiled HTML Help (CHM)/Windows Installer (MSI) ファイルの悪用を特徴としている。

Continue reading “中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する”

IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている

New IcedID variants shift from bank fraud to malware delivery

2023/03/27 BleepingComputer — IcedID の新しい亜種は、通常のオンライン・バンキング詐欺の機能を持たない代わりに、侵害したシステムに新たなマルウェアをインストールすることに、重点を置いていることが判明した。Proofpoint によると、これらの新しい亜種は、昨年末から7つのキャンペーンで、3つの異なる脅威アクターにより使用されており、ランサムウェアなどのペイロードの配信に重点を置いていることが確認されている。

Continue reading “IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている”

MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取

New MacStealer macOS malware steals passwords from iCloud Keychain

2023/03/27 BleepingComputer — Mac ユーザーを標的とする、MacStealer とう名の新たな情報スティーラー・マルウェアが、iCloud KeyChain や Web ブラウザに保存されている認証情報や暗号通貨ウォレットなどの、機密ファイルなどを窃取しているようだ。この MacStealer は、Malware-as-a-Service (MaaS) として配布されており、開発者はプレメイドのビルドを $100 で販売し、購入者はキャンペーンでマルウェアを拡散している。Uptycs 脅威研究チームが発見した MacStealer は、macOS Catalina 10.15 〜 Ventura 13.2 の環境で動作するという。

Continue reading “MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取”