Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚

New attacks use Windows security bypass zero-day to drop malware

2022/11/19 BleepingComputer — 新たに発見されたフィッシング攻撃は、Windows のゼロデイ脆弱性を利用して、Mark of the Web のセキュリティ警告を表示せずに、マルウェア Qbot をドロップするものだ。Web やメールなどを介して、信頼できないリモートからのファイルがダウンロードされると、Windows は Mark of the Web (MoTW) と呼ばれる特別フラグを、それらのファイルに追加する。

Continue reading “Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚”

Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡

Experts analyzed the evolution of the Emotet supply chain

2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。

Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”

QBot による Windows Calculator 悪用:フィッシングを DLL サイドローディングで仕掛ける

QBot phishing uses Windows Calculator sideloading to infect devices

2022/07/24 BleepingComputer — マルウェア QBot のオペレーターたちは、感染させたコンピュータに悪意のペイロードをサイドロードするために、Windows Calculator を悪用している。DLL サイドローディングとは、Windows における Dynamic Link Libraries (DLL) の処理方法を悪用する一般的な攻撃方法である。偽装した DLL をロード・フォルダに配置することで、オペレーティング・システムに読み込ませるという手順で構成されている。

Continue reading “QBot による Windows Calculator 悪用:フィッシングを DLL サイドローディングで仕掛ける”

Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ

Qbot malware switches to new Windows Installer infection vector

2022/04/11 BleepingComputer — 現在 Qbot ボットネットは、パスワード保護された ZIP アーカイブを添付したフィッシング・メールを介して、マルウェアのペイロードを送信しているが、その中に悪意の MSI Windows Installer パッケージも含まれる。これまでの Qbot オペレーターたちは、悪意のマクロを含む Microsoft Office ドキュメントを、フィッシング・メールにより配信し、標的デバイスにマルウェアをドロップするという手法を用いていたが、新しい戦術が使われたことになる。

Continue reading “Qbot マルウェアの戦術変更:感染ベクターを Macro から Windows Installer へ”

Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?

Emotet botnet comeback orchestrated by Conti ransomware gang

2021/11/19 BleepingComputer — ボットネット Emotet が復活した背景には、ランサムウェア Conti のメンバーに説得された、元オペレーターの存在があるという。Advanced Intelligence (AdvIntel) のセキュリティ研究者たちは、10ヶ月前に法執行機関が Emotet を停止した後に生じた、高品質なイニシャル・アクセス分野での空白が、このプロジェクトの再開を後押ししたと考えている。

Continue reading “Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?”

Emotet が再生/復活:TrickBot を介してインフラを急速に拡大

Emotet malware is back and rebuilding its botnet via TrickBot

2021/11/15 BleepingComputer — スパム・キャンペーンや悪意の添付ファイルを介して広まる Emotet は、これまでに最も拡散したマルウェアだと言われてきた。Emotet は、感染したデバイスを悪用して他のスパム・キャンペーンを行い、QakBot (Qbot)/Trickbot マルウェアなどのペイロードをインストールしていた。これらのペイロードは、その後に、Ryuk/Conti/ProLock/Egregor などのランサムウェアを展開する脅威アクターのための、初期アクセスに使用されてきた。

Continue reading “Emotet が再生/復活:TrickBot を介してインフラを急速に拡大”

フードサービス用品のサプライヤー Edward Don がランサムウェア攻撃に遭ったようだ

Foodservice supplier Edward Don hit by a ransomware attack

2021/06/10 BleepingComputer — フードサービス用品のサプライヤーである Edward Don は、ランサムウェア攻撃を受けたことで、被害の拡大を防ぐためにネットワークの一部をシャットダウンした。Edward Don は、キッチンやバーで用いる食器類などを提供する、最大級のディストリビューターだ。本日のことだが、Edward Don が今週の初めにランサムウェア攻撃を受け、電話システム/ネットワーク/電子メールなどに支障をきたしていることを、BleepingComputer は知ることになった。

Continue reading “フードサービス用品のサプライヤー Edward Don がランサムウェア攻撃に遭ったようだ”