PowerShell – IoT OT Security News

Azure VM を乗っ取る UNC3944：SIM Swapping と Serial Console 悪用を組み合わせた攻撃

Threat Group UNC3944 Abusing Azure Serial Console for Total VM Takeover

2023/05/17 TheHackerNews — 仮想マシン (VM) 上の Microsoft Azure Serial Console を悪用する脅威アクターが、侵害した環境内にサードパーティ製のリモート管理ツールをインストールしている。Google 傘下の Mandiant は、この金銭的な動機に基づく活動は、UNC3944 (Roasted 0ktapus／Scattered Spider) という名前で追跡している脅威グループによるものだと分析している。

XWorm マルウェアを配信するフィッシング攻撃が急増中：脆弱性 Follina が悪用されている

XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks

2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk／Tim Peck／Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。

Akira というランサムウェアが登場：すでに 16社を侵害したと主張している

Meet Akira — A new ransomware operation targeting the enterprise

2023/05/07 BleepingComputer — 新たなランサムウェア Akira が、世界中の企業ネットワークに侵入してファイルを暗号化し、徐々に犠牲者のリストを増やし、million-dollar の身代金を要求している。2023年3月に検出された Akira は、すでに 16社の企業に対して攻撃を行ったと主張している。それらの企業には、教育／金融／不動産／製造／コンサルティングなどの、さまざまな業種が含まれている。Akira という名前の、別のランサムウェアが、2017年にリリースされているが、今回のオペレーションとは関連性はないと考えられている。

PaperCut 脆弱性の悪用：新たな PoC エクスプロイトが証明する検出回避の手口

Researchers Uncover New Exploit for PaperCut Vulnerability That Can Bypass Detection

2023/05/04 TheHackerNews — 先日に公開された PaperCut サーバの深刻な欠陥だが、現時点における全ての検出方法を回避しながら悪用する手口を、サイバー・セキュリティ研究者たちが解明している。この脆弱性 CVE-2023-27350 (CVSS：9.8) は、PaperCut MF/NG のインストールに影響を及ぼし、認証されていない攻撃者に対して、SYSTEM 権限での任意のコード実行を許すものである。オーストラリアに本拠を置く PaperCut により、この欠陥は 2023年3月8日にパッチが適用されたが、活発な悪用の兆候が 2023年4月13日に観測されている。

ScarCruft という北朝鮮の APT：感染チェーンに大容量 LNK ファイルを使用 – Check Point

North Korea-linked ScarCruft APT uses large LNK files in infection chains

2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名：APT37／Reaper／Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。

PaperCut MF／NG の脆弱性 CVE-2023-27350：Cl0p ランサムウェアが悪用 – Microsoft 報告

Microsoft: Cl0p Ransomware Exploited PaperCut Vulnerabilities Since April 13

2023/04/27 SecurityWeek — Microsoft の発表によると、FIN11 および TA505 と提携している Cl0p ランサムウェアのオペレーターが、パッチが適用されたばかりの PaperCut の脆弱性を、4月13日から悪用し始めたようだ。問題の脆弱性は、PaperCut MF／NG プリント管理システムに影響を与えるものだ。この脆弱性 CVE-2023-27350 (CVSS：9.8) の悪用に成功した攻撃者は、認証をバイパスしてシステム権限でリモート・コード実行 (RCE) を行うことが可能になる。この脆弱性は、2023年3月にリリースされたバージョン 20.1.7／21.2.11／22.0.9 で修正されているが、それと同時に、PaperCut MF／NG の情報漏えいの脆弱性 CVE-2023-27351 に対応されている。

BumbleBee マルウェア：Google 広告や SEO ポイズニングを介して配布 – Secureworks

Google ads push BumbleBee malware used by ransomware gangs

2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom／Cisco AnyConnect／ChatGPT／Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader の代替として、Conti チームが開発したものだと考えられている。

Evil Extractor という攻撃ツール：情報スティーラーでありランサムウェアも含む

Evil Extractor Targets Windows Devices to Steal Sensitive Data

2023/04/21 InfoSecurity — Kodex が “教育用“ として開発した、Evil Extractor という攻撃ツールが、Windows ベースのマシンを標的とした攻撃に悪用されている。2023年4月10日 (木) に公開されたアドバイザリで、「このマルウェアは、3月30日に観測されたフィッシング・キャンペーンで見つかったものであり、アドバイザリに含まれるサンプルまで辿り着いた。このキャンペーンは、正規の Adobe PDF や Dropbox ファイルなどを装うものであり、ロードすると PowerShell を活用した悪意の活動を開始する」と、Fortinet のセキュリティ研究者たちは主張している。

Qbot バンキング・トロイの木馬：PDF アーカイブ内の JScript スクリプトで PowerShell を起動

Qbot Banking Trojan Increasingly Delivered Via Business Emails

2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語／ドイツ語／イタリア語／フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。

Vice Society ランサムウェア：新しいデータ窃盗ツールに PowerShell を導入

Vice Society ransomware uses new PowerShell data theft tool in attacks

2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。

WinRAR／7-Zip アーカイブに仕込まれたトリック：検出を回避して PowerShell などを実行

WinRAR SFX archives can run PowerShell without being detected

2023/04/03 BleepingComputer — 脅威アクターたちは、WinRAR 自己解凍アーカイブを無害なファイルで偽装した上で、悪意の機能を追加することで、ターゲットシステムのセキュリティ・エージェントを起動させることなく、バックドアを仕掛けるようになってきた。WinRAR や 7-Zip などの圧縮ソフトウェアで作成される、自己解凍型アーカイブ (SFX：Self-extracting archives) は、基本的に、アーカイブされたデータと内蔵の解凍スタブ (データを解凍するためのコード) で構成される実行型のファイルである。そして、SFX ファイルには、不正なアクセスを防止するためのパスワードが設定されている。

PowerMagic／CommonMagic というマルウェア：新たなバックドアと悪意のフレームワーク

Hackers use new PowerMagic and CommonMagic malware to steal data

2023/03/21 BleepingComputer — セキュリティ研究者たちが発見したのは、CommonMagic と呼ばれる “かつてない悪意のフレームワーク” と、PowerMagic と呼ばれる新しいバックドアを使用した、先進的な脅威アクターによる攻撃だ。これらのマルウェアは、2021年9月ころから現在まで続くオペレーションで使用され、行政／農業／輸送分野の組織をスパイ目的で狙っている。

.NET 開発者がターゲット：NuGet に展開された悪意のパッケージを追跡

Hackers target .NET developers with malicious NuGet packages

2023/03/20 BleepingComputer — タイポスクワッティングにより複数の正規パッケージになりすました暗号通貨ステーラーが、NuGet リポジトリを通じて配信され、.NET 開発者をターゲットに感染し続けている。この継続的なキャンペーンを発見した、JFrog のセキュリティ研究者 Natan Nehorai と Brian Moussalli によると、そのうちの３つは、この１ヶ月の間に 15万回以上もダウンロードされているとのことだ。この膨大なダウンロード数は、システムを侵害された多数の .NET 開発者を示している可能性もありるが、悪意の NuGet パッケージを正当化するために、攻撃者が人為的に操作した結果なのかもしれない。

FBI／CISA／MS-ISAC の共同勧告：ランサムウェア LockBit 3.0 攻撃について

US Government Warns Organizations of LockBit 3.0 Ransomware Attacks

2023/03/17 SecurityWeek — 今週に、FBI／CISA／MS-ISAC は共同で、ランサムウェア LockBit 3.0 のオペレーションに関するアラートを発表した。LockBit は2020年1月以降において、Ransomware-as-a-Service (RaaS) モデルをベースに活動し、広範囲におよぶ企業や重要インフラ事業体をターゲットに、さまざまな TTP (Tactics, Techniques, and Procedures) を用いてきた。

MFA の限界を知ろう：Active Directory との相性の悪さについて深堀りする

When Partial Protection is Zero Protection: The MFA Blind Spots No One Talks About

2023/03/10 TheHackerNews — 多要素認証 (MFA) は、かなり以前から、標準的なセキュリティ手法になっている。アカウント乗っ取り攻撃の 99% 以上を防ぐという、MFA の性能は広く認められており、MFAの導入は必須だと、セキュリティ・アーキテクトが考えるのも不思議ではない。しかし、あまり知られていないのは、従来からの MFA ソリューションには、固有の適用範囲の制限であるという視点である。RDP 接続やローカル・デスクトップへのログインには対応しているが、たとえば PsExec や Remote PowerShell などの、リモート・コマンド・ライン・アクセス・ツールを保護する機能は備えていない。

Sunlogin／AweSun の脆弱性を悪用して展開：PlugX マルウェア感染が止まらない

Hackers Exploiting Remote Desktop Software Flaws to Deploy PlugX Malware

2023/03/09 TheHackerNews — リモート・デスクトップ・プログラムである、Sunlogin／AweSun のセキュリティ脆弱性を悪用する脅威アクターたちが、マルウェア PlugX を展開していることが判明した。この脆弱性は、侵害したシステム上に各種のペイロードを配信するために悪用され続けていると、AhnLab Security Emergency Response Center (ASEC) は最新の調査結果で述べている。こうして配信されたマルウェアには、Sliver post-exploitation framework／XMRig cryptocurrency miner／Gh0st RAT／Paradise ransomware などが含まれている。そして PlugX は、最近になって配布されるようになったという。

WhiskerSpy という北朝鮮のマルウェア：ウォータリング・ホール攻撃で中国と日本を狙う

New WhiskerSpy malware delivered via trojanized codec installer

2023/02/18 BleepingComputer — セキュリティ研究者たちが発見したのは、北朝鮮に関心を示す個人を標的とする、最近の脅威アクター Earth Kitsune のキャンペーンで使用されている、新しいバックドア WhiskerSpy だ。この脅威アクターは、試行錯誤の末に、北朝鮮の親サイトのビジターからターゲットを選び出すという、ウォータリング・ホール攻撃として知られる手口を採用していた。この新しいオペレーションの存在は、2019年から Earth Kitsune の活動を追跡してきた、サイバーセキュリティ企業の Trend Micro の研究者たちにより、昨年末に発見された。

Sliver マルウェアによる BYOVD 攻撃：Windows にバックドアを作る手順とは？

Hackers backdoor Windows devices in Sliver and BYOVD attacks

2023/02/06 BleepingComputer — Sunlogin の脆弱性を悪用して Sliver ポスト・エクスプロイト・ツールキットを展開し、Windows Bring Your Own Vulnerable Driver (BYOVD) 攻撃を仕掛けることで、セキュリティ・ソフトウェアを無効化するという、新しいハッキング・キャンペーンが観測されている。Sliver とは、Bishop Fox が作成したポスト・エクスプロイト・ツールキットであり、Cobalt Strike の代替手段として、昨年の夏から脅威アクターたちが利用し始めているものだ。その機能としては、ネットワーク監視／コマンド実行、反射型 DLL ロード／セッション生成／プロセス操作などが提供されている。

Microsoft Visual Studio アドインを悪用するマルウェア：リモート配布を検知

Hackers weaponize Microsoft Visual Studio add-ins to push malware

2023/02/03 BleepingComputer — Microsoft Visual Studio Tools for Office (VSTO) を悪用するハッカーたちが、ターゲット・マシン上で悪意の Office アドインを用いて、持続性を維持しながらコードを実行する攻撃へと移行するだろうと、セキュリティ研究者たちが警告している。このテクニックは、Office 文書に VBA マクロを忍び込ませ、外部ソースからマルウェアを取得させる手法に代わるものだ。Microsoft が Office の VBA／XL4 マクロの実行を、デフォルトでブロックすると発表した以降において、脅威アクターたちがマルウェアを配布する手法は、アーカイブ (.ZIP、.ISO)／ショートカット (.LNK) ファイルに移行している。

Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966：活発な悪用と攻撃

Critical ManageEngine RCE bug now exploited to open reverse shells

2023/01/20 BleepingComputer — 複数の Zoho ManageEngine 製品に影響を及ぼす、深刻な RCE (Remote Code Execution) の脆弱性が、攻撃に悪用されている。この脆弱性の悪用コードと詳細な技術分析を、Horizon3 のセキュリティ研究者たちが公開する２日前に、サイバーセキュリティ企業の Rapid7 が最初の悪用の試みを検知していた。Rapid7 は、「我々は、少なくとも 24種類のオンプレミス ManageEngine 製品に影響を与える、未認証のRCE 脆弱性 CVE-2022-47966 の悪用から生じる、さまざまな侵害に対応している。2023年1月17日 (UTC) の時点で、複数の組織にまたがる悪用を観測している」と述べている。

PyPI に悪意の３つのパッケージ：数日で 500件以上のダウンロードにいたる

Malicious ‘Lolip0p’ PyPi packages install info-stealing malware

2023/01/16 BleepingComputer — ある脅威アクターが、PyPI (Python Package Index) リポジトリにアップロードした３つの悪意のパッケージには、開発者たちのシステムに情報窃取マルウェアをドロップするコードが搭載されている。Fortinet が発見した悪意のパッケージは、その全てが 2023年1月7日〜12日の間に、”Lolip0p” という作者によりにアップロードされたものだ。それらの名称は、colorslib／httpslib／libhttps であり、すでに PyPI からは削除されている。

PyPI に悪意のパッケージが登場：CloudFlare Tunnel を悪用するトロイの木馬

Malicious PyPi packages create CloudFlare Tunnels to bypass firewalls

2023/01/07 BleepingComputer — PyPI (Python Package Index) 上の６つの悪意のパッケージが Cloudflare Tunnel を悪用し、リモート・アクセスに対するファイアウォール制限をバイパスしている間に、InfoStealer／RAT (Remote Access Trojan) 機能を備えたマルウェアをインストールしていることが発見された。これらの悪意のパッケージは、ブラウザーに保存されている機密情報の窃取／キーロガーを用いた入力情報の窃取に加えて、シェルコマンドの実行などを試みる。この６つのパッケージを発見したのは、新しいキャンペーンについて PyPI を注視している Phylum Research Team である。

Visual Studio Code Marketplace の侵害は容易：悪意のエクステンションの登録方法とは？

VSCode Marketplace can be abused to host malicious extensions

2023/01/06 BleepingComputer — 悪意の Visual Studio Code エクステンションを、VSCode Marketplace に驚くほど簡単にアップロードできることを、そして、この弱点を脅威アクターたちが、すでに悪用している兆候を、研究者たちは発見した。Visual Studio Code (VSC) とは、Microsoft が公開しているソースコード・エディタであり、世界中のプロフェッショナル・ソフトウェア開発者の約 70%が使用しているものだ。Microsoft は、VSCode Marketplace とという名の、IDE 用のエクステンション・マーケットを運営することで、アプリ機能の拡張や、多様なカスタマイズ・オプションをアドオンとして提供している。

APT と地政学的な背景：2022年に猛威を奮った脅威 Top-5 を分析

2022 Top Five Immediate Threats in Geopolitical Context

2022/12/26 TheHackerNews — 2022年も終わりに近づいているがが、この激動の年に最も懸念された脅威に対するテスト数を見ると、特定の脅威に対する脆弱度について、それぞれのサイバーセキュリティ・チームがチェックした、脅威ベースの視点が得られる。2022年1月1日〜12月1日に、Cymulate Security Posture Management Platform でレジリエンスを検証するために、最も多くテストされた脅威は以下の通りである。

FIN7 ハッキング・グループの正体：Exchange を SQL インジェクションで自動攻撃

FIN7 hackers create auto-attack platform to breach Exchange servers

2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。

Aurora インフォ・スティーラー：サイバー犯罪者の間で採用が増加している

Aurora infostealer malware increasingly adopted by cybergangs

2022/11/21 BleepingComputer — サイバー犯罪者たちが、Go ベースの新たなインフォ・スティーラー Aurora を用いて、ブラウザや暗号通貨アプリからの機密情報の窃取／ディスクからのデータ流出／追加ペイロードのロードなどを行う傾向が強まっている。サイバー・セキュリティ企業の SEKOIA によると、少なくとも７つの著名なサイバー・ギャングたちのアクティビティが目立っており、Aurora だけを単独で使用するケースと、他の情報窃盗マルウェア・ファミリー RedLine／Raccoon と併用するケースが観察されている。

Dropbox API を悪用する Worok：PNG に埋め込んだマルウェアでバックドアを展開

Worok Hackers Abuse Dropbox API to Exfiltrate Data via Backdoor Hidden in Images

2022/11/14 TheHackerNews — 最近に発見された Worokと呼ばれるサイバー・スパイ・グループは、無害に見える画像ファイルにマルウェアを隠していることが判明し、脅威アクターによる感染連鎖の重要なリンクになっていることが裏付けられた。チェコのサイバー・セキュリティ企業である Avast は、この PNG ファイルの目的は、情報の窃盗を容易にするペイロードを隠すことだと述べている。同社は、「注目すべきは、Dropbox のリポジトリを使用する被害者のマシンからデータを収集し、最終段階での通信に Dropbox API を使用する攻撃者である」と述べている。

Microsoft Exchange のゼロデイ ProxyNotShell が FIX：2013／2016／2019 に影響

Microsoft fixes ProxyNotShell Exchange zero-days exploited in attacks

2022/11/08 BleepingComputer — Microsoft Exchange に存在し、野放し状態で悪用されている、ProxyNotShell と名付けられた２つのゼロデイ脆弱性に対して、セキュリティ更新プログラムがリリースされた。2022年9月以降において、この２つのセキュリティ欠陥を連鎖させた攻撃者は、侵害したサーバ上に Chinese Chopper Web シェルを展開し、永続性を確保しながら被害者のネットワーク内で横方向へと移動することで、データを窃取してきたと思われる。

GitHub に潜む偽 PoC エクスプロイト：騙されてマルウェアを配信される確率は 10.3%

Thousands of GitHub repositories deliver fake PoC exploits with malware

2022/10/23 BleepingComputer — Leiden Institute of Advanced Computer Science の研究者たちは、様々な脆弱性に対する偽の PoC エクスプロイトを提供する、GitHub 上の数千のリポジトリを発見した。それらのリポジトリには、マルウェアも含まれていたという。GitHub は最大のコード・ホスティング・プラットフォームの１つである。そして、研究者たちが GitHub を用いて PoC エクスプロイトを公開し、セキュリティ・コミュニティが脆弱性の修正を検証することで、脆弱性の影響と範囲を判断できるようにしている。

PowerShell バックドアの新種：Windows Update プロセスに偽装して検出を回避

New PowerShell Backdoor Poses as Part of Windows Update Process

2022/10/19 SecurityWeek — サイバーセキュリティ企業である SafeBreach は、Windows のアップデート・プロセスの一部として自身を偽装し、検出を回避する新たな PowerShell バックドアについて警告を発表した。このバックドアは、洗練された未知の脅威者により操作され、リンクされた Word 文書を通じて配布される。

CISA が RedEye をリリース：C2 ログの可視化や Cobalt Strike 追跡などに対応

CISA releases open-source ‘RedEye’ C2 log visualization tool

2022/10/14 BleepingComputer — 米国の Cybersecurity and Infrastructure Security (CISA) は、Command and Control (C2) アクティビティ可視化し報告するオペレーター向けに、オープンソースの分析ツール RedEye を発表した。この RedEye は、レッドチームとブルーチームの双方に対応し、実用的な意思決定につながるデータを、簡単に測定する方法を提供する。

米政府組織などを装う Word 文書フィッシング：Bitbucket から Cobalt Strike を展開

Government, Union-Themed Lures Used to Deliver Cobalt Strike Payloads

2022/09/29 InfoSecurity — 2022年8月に Cisco Talos の研究者たちは、モジュール化された攻撃手法により Cobalt Strike ビーコンを配信し、後続の攻撃に使用するという、悪質なキャンペーンを発見した。同社は 9月28日に、このキャンペーンについて新たなアドバイザリを発表し、このキャンペーンの背後にいる脅威アクターは、フィッシング・メールを使用していたと述べた。最初の攻撃ベクターとして、悪意の Microsoft Word 文書を添付して、米国の政府組織またはニュージーランドの労働組合に成りすましているという。

軍事産業への PowerShell 攻撃：洗練された７段階の実行チェーンとスティルス性

Stealthy hackers target military and weapons contractors in recent attack

2022/09/28 BleepingComputer — セキュリティ研究者たちが発見したのは、F-35 Lightning II 戦闘機部品サプライヤーなどの、兵器製造に携わる複数の軍事関連業者を標的とした新たなキャンペーンである。この高度な標的型攻撃は、従業員にフィッシング・メールを送信することから始まり、検知回避システムを用いた、永続性を確保する感染にいたるまでの、多段階で構成される。このキャンペーンは、安全な C2 インフラと、PowerShell ステージャによる、何重もの難読化という点で際立っている。

PowerPoint のマウスオーバーだけで感染：Graphite マルウェアは VBA 非依存で攻めてくる

Hackers use PowerPoint files for ‘mouseover’ malware delivery

2022/09/26 BleepingComputer — ロシア政府に所属すると思われるハッカーが、Microsoft PowerPoint プレゼンテーションのマウスの動きにより、悪意の PowerShell スクリプトをトリガーする、新しいコード実行テクニックを使用し始めたようだ。悪意のマクロに依存することなく、悪意のコードを実行しペイロードをダウンロードできるため、脅威アクターはより狡猾に攻撃を行うことができる。脅威情報企業 Cluster25 のレポートでは、9月9日の時点で、ロシアの参謀本部主要情報局 (GRU：Main Intelligence Directorate of the Russian General Staff) に帰属する脅威グループ APT28 (通称 Fancy Bear) が、この新しい手法を用いて Graphite マルウェアを配信していると報告されている。

Tailwind CSS／Material Design を模倣：発見された悪意の NPM パッケージとは？

Malicious NPM Package Caught Mimicking Material Tailwind CSS Package

2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。

Uber が主張する機密情報へのアクセスの証拠は無い：しかし無事だという証拠も無い

Uber Claims No Sensitive Data Exposed in Latest Breach… But There’s More to This

2022/09/17 TheHackerNews — Uber が更新した情報だが、木曜日の遅くに発覚した社内コンピューター・システムの侵害により、ユーザーの個人情報が漏えいしたという証拠は無いと述べている。同社は、「我々は、このインシデントが、機密性の高いユーザーデータへのアクセスに関連しているという証拠はないと捉えている。Uber／Uber Eats／Uber Freight／Uber Driver アプリを含む、当社の全サービスは稼働している」と説明している。

Notepad++ Plugin を悪用する脅威アクターたち：侵入後に永続性を確保する可能性

Notepad++ Plugins Allow Attackers to Infiltrate Systems, Achieve Persistence

2022/09/15 InfoSecurity — Notepad++ プラグインの悪用に成功した行為アクターたちが、セキュリティ機構を回避し、被害者のマシン上で永続性を確保する可能性があることを、セキュリティ企業 Cybereason の最新調査結果が示唆している。同社の水曜日のアドバイザリには、「オープンソース・プロジェクトである Notepad++ Plugin Pack を用いて、RastaMouse と名乗るセキュリティ研究者が、永続化メカニズムとして使用できる悪意のプラグインの構築方法を実証した」と記している。

Bumblebee マルウェアはディスクに触れない：高度なスティルス性で侵害し続ける

Bumblebee malware adds post-exploitation tool for stealthy infections

2022/09/08 BleepingComputer — 新たに発見されたマルウェア・ローダー Bumblebee は、PowerSploit フレームワークを用いて、DLL ペイロードをメモリにステルス的に注入するものであり、野放し状態で感染を広げている。Bumblebee は４月に発見され、BazarLoader や TrickBot の背後にいると推測される、Conti シンジケートが組織するフィッシング・キャンペーンに関与している。

Worok というサイバースパイ・グループが登場：アジアの政府機関や著名企業を攻撃

New Worok cyber-espionage group targets governments, high-profile firms

2022/09/06 BleepingComputer — 既存の悪意のツールとカスタム・ツールを組み合わせて、2020年頃からアジアの政府や著名な企業をハッキングしている、新たなサイバースパイ・グループが発見された。最初に発見した ESET セキュリティ研究者たちにより、Worok として名付けられ追跡されている脅威グループは、アフリカと中東も攻撃の標的としている。これまでに Worok は、通信／銀行／海運／エネルギーなどの企業や、軍事／政府／公共部門の事業体に対する攻撃に、関与してきたとされる。

Google Translate アプリを装う Windows マルウェアが登場：１ヶ月の潜伏を経て発症

Windows malware delays coinminer install by a month to evade detection

2022/08/29 BleepingComputer — Google Translate／MP3 Downloader を装う新たな悪意のキャンペーンにより、暗号通貨マイニング・マルウェアが 11ヶ国に配布されていることが判明した。この偽のアプリケーション群は、正規のフリーソフトウェア・サイトを通じて配布されている。そのため、サイトの一般訪問者に対して、また、検索エンジンを介して、悪意のアプリケーションを広められていることになる。

LockBit の新戦術：Windows Defender を悪用して Cobalt Strike をロードする経路を発見

LockBit operator abuses Windows Defender to load Cobalt Strike

2022/07/29 BleepingComputer — ランサムウェア LockBit 3.0 に関連する脅威アクターたちは、Windows Defender のコマンドライン・ツールを悪用して、感染させたシステムに Cobalt Strike Beacon をロードし、セキュリティ・ソフトウェアによる検出を回避していることが明らかになった。Cobalt Strike は、正規のペンテスト・スイートだが、その広範な機能は脅威アクターたちに好まれ、ネットワークでの偵察と横方向の移動をステルスで実行した後に、データを盗んで暗号化するために使用されている。

Microsoft の Office マクロ対策：ブロック後のハッカーたちの動向を統計値で見る

As Microsoft blocks Office macros, hackers find new attack vectors

2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO／RAR／LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。

米国／英国／NZ が PowerShell セキュリティ・ガイダンスを発行：Windows の安全性確保に不可欠

US, UK, New Zealand Issue PowerShell Security Guidance

2022/06/24 SecurityWeek — PowerShell を適切に設定／監視し、不正利用のリスクを排除するための共同ガイダンスが、CISA／NSA (米国)、NCSC-UK (英国) ／NZ NCSC (ニュージーランド) から発表された。Windows のスクリプト言語／コマンドライン・ユーティリティである PowerShell は、反復作業を自動化し、フォレンジックを可能にするものになる。つまりインシデント対応を向上させることで、ユーザー・エクスペリエンスを拡張し、OS の管理を支援することを目的にできる。

NSA が Windows PowerShell 活用を提言：適正な利用により防御側の武器になる！

NSA shares tips on securing Windows devices with PowerShell

2022/06/22 BleepingComputer — 今日、National Security Agency (NSA) とサイバーセキュリティ・パートナー機関はシステム管理者たちに対して、Windows マシン上における悪意のアクティビティ防止／検出に PowerShell の使用を推奨するアドバイザリーを発表した。PowerShell は、サイバー攻撃で頻繁に使用され、主に侵入後の段階で悪用されているが、Microsoft の自動化およびコンフィグレーション・ツールに組み込まれたセキュリティ機能は、防御側のフォレンジック作業やインシデント対応の改善や、反復タスクの自動化にも有効とされる。

Adobe Acrobat の問題：アンチ・ウィルス製品による PDF ファイル・モニタリングをブロック？

Adobe Acrobat may block antivirus tools from monitoring PDF files

2022/06/21 BleepingComputer — セキュリティ研究者たちは、Adobe Acrobat がアンチウィルス・ソフトウェアをブロックし、PDF ファイルをオープンする際の、セキュリティ的な可視化を拒否していることを発見し、ユーザーにリスクを生じさせることを明らかにした。Adobe の製品は、30 種類のセキュリティ製品のコンポーネントの、プロセスへのロードの有無をチェックしており、また、それらをブロックすることで、悪意のアクティビティ監視を本質的に拒否している。

Microsoft 2022-06 月例アップデートは１件のゼロデイと 55件の脆弱性に対応

Microsoft June 2022 Patch Tuesday fixes 1 zero-day, 55 flaws

2020/06/14 BleepingComputer — 今日は、Microsoft の June 2022 Patch Tuesday の日だ。今月は、Windows MSDT のゼロデイ脆弱性 Follina や Intel MMIO の新しい不具合などの、合計で 55件の脆弱性が修正された。今日のアップデートで修正された 55件の脆弱性のうち、３件はリモート・コード実行を可能にするため深刻度は Critical に分類され、残りは Important に分類されている。なお、今週初めに公開された、Microsoft Edge の Chromium アップデート５件は含まれていない。

Windows のゼロデイ脆弱性 Follina CVE-2022-30190：Qbot のフィッシング攻撃が始まった

Qbot malware now uses Windows MSDT zero-day in phishing attacks

2022/06/07 BleepingComputer — Windows の深刻なゼロデイ脆弱性 Follina だが、現在進行中のフィッシング攻撃において、受信者を Qbot マルウェアに感染させるために悪用されている。月曜日に Proofpoint は、米国と欧州の政府機関を標的としたフィッシングで、このゼロデイ脆弱性が使用されていることを、初めて報告した。また先週には、中国のハッキング・グループ TA413 が、チベット人居住区を標的とした攻撃で、この脆弱性を悪用していることも明らかにされている。

Windows のゼロデイ脆弱性 Follina：フィッシング攻撃で積極的に悪用されている

Windows zero-day exploited in US local govt phishing attacks

2022/06/06 BleepingComputer — 欧州政府および米国の地方自治体が、Windows の深刻なゼロデイ脆弱性 Follina を悪用する、RTF 文書を介したフィッシング・キャンペーンのターゲットになっている。BleepingComputer は、このキャンペーンの標的となった、少なくとも２つの米国の地方自治体を確認している。エンタープライズ・セキュリティ企業 Proofpoint のセキュリティ研究者は、「Proofpoint は、脆弱性 Follina CVE-2022-30190 を悪用しようとする、欧州政府および米国の地方政府を標的とした、国家ぐるみのフィッシング・キャンペーンをブロックした」と明かしている。

Microsoft Office のゼロデイ脆弱性 Follina：中国の国家支援ハッカーが積極的に悪用

Chinese Hackers Begin Exploiting Latest Microsoft Office Zero-Day Vulnerability

2022/05/31 TheHackerNews — 中国国家に支援される高度持続的脅威 (APT) 脅威アクターが、Microsoft Office の新しいゼロデイ脆弱性を武器にして、侵害したシステムでコード実行を可能にしていることが確認された。エンタープライズ・セキュリティ企業である Proofpoint は、「この TA413 CN APT は、脆弱性 Follina を悪用することで、悪意の URL から ZIP アーカイブを配信し、そこに含まれる Word ドキュメントを攻撃に使用する。いまは、それが野放しの状態である。このキャンペーンは、中央チベット自治政府の Women Empowerments Desk になりすまし、ドメイン tibet-gov.web[.]app を使用している」とツイートで述べている。

Microsoft Office の脆弱性 Follina に緩和策：ベンダーと研究者の見解に相違が

Microsoft Releases Workarounds for Office Vulnerability Under Active Exploitation

2022/05/30 TheHackerNews — 日本マイクロソフトは、同社の Office で発見されたゼロデイ脆弱性の悪用に成功した攻撃者に、システム上でのコード実行を許してしまう問題への緩和策を発表した。現時点で、この脆弱性 CVE-2022-30190 の CVSS 値は 7.8 と評価されている。Microsoft の Office 2013／2016／2019／2021、および Professional Plus エディションが影響を受けるとされている。