APT40 が利用する ScanBox:中国に関連する大規模スパイ・キャンペーンのコア?

China-linked APT40 used ScanBox Framework in a long-running espionage campaign

2022/08/31 SecurityAffairs — Proofpoint の Threat Research Team が、中国とつながりのある脅威アクターが仕組んだ、世界の事業体を標的とするサイバー・スパイ・キャンペーンを発見した。このキャンペーンは、オーストラリア/マレーシア/ヨーロッパの事業体および、南シナ海で活動する組織を対象としていた。そして Proofpoint は、PwC の脅威インテリジェンス研究者たちの協力を得ながら、このキャンペーンを分析した。

Continue reading “APT40 が利用する ScanBox:中国に関連する大規模スパイ・キャンペーンのコア?”

Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る

As Microsoft blocks Office macros, hackers find new attack vectors

2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。

Continue reading “Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る”

Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された

‘Follina’ Vulnerability Exploited to Deliver Qbot, AsyncRAT, Other Malware

2022/06/09 SecurityWeek — 最近になって公開された Windows の脆弱性を Follina (CVE-2022-30190) 悪用する、複数のマルウェアが配信されているが、現時点においても公式パッチが提供されていない状態である。この脆弱性は、Microsoft Support Diagnostic Tool (MSDT) に関連しており、特別に細工されたドキュメントを介した、リモートコード実行に悪用される可能性がある。

Continue reading “Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された”

Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている

Emotet malware now steals credit cards from Google Chrome users

2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。

Continue reading “Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている”

Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている

Windows zero-day exploited in US local govt phishing attacks

2022/06/06 BleepingComputer — 欧州政府および米国の地方自治体が、Windows の深刻なゼロデイ脆弱性 Follina を悪用する、RTF 文書を介したフィッシング・キャンペーンのターゲットになっている。BleepingComputer は、このキャンペーンの標的となった、少なくとも2つの米国の地方自治体を確認している。エンタープライズ・セキュリティ企業 Proofpoint のセキュリティ研究者は、「Proofpoint は、脆弱性 Follina CVE-2022-30190 を悪用しようとする、欧州政府および米国の地方政府を標的とした、国家ぐるみのフィッシング・キャンペーンをブロックした」と明かしている。

Continue reading “Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている”

Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する

New stealthy Nerbian RAT malware spotted in ongoing attacks

2022/05/11 BleepingComputer — Nerbian RAT と呼ばれる、新たなリモート・アクセス型トロイの木馬が発見された。この RAT は、研究者による検出や分析を回避する機能などの、豊富な機能を備えていることが判明している。この新しいマルウェアの亜種は、Golang で書かれているため、クロス・プラットフォームの 64 Bit 脅威となっており、現時点においてはマクロが混入された文書の添付ファイルを使用した、小規模な電子メール配信キャンペーンにより配布されている。この電子メール・キャンペーンは、Proofpoint の研究者たちが発見したものであり、同社は Nerbian に関するレポートも発表している。

Continue reading “Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する”

Bumblebee という新たなマルウェア:TrickBot/BazaLoader 系で最凶か?

Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild

2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。

Continue reading “Bumblebee という新たなマルウェア:TrickBot/BazaLoader 系で最凶か?”

Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?

Emotet Testing New Delivery Ideas After Microsoft Disables VBA Macros by Default

2022/04/25 TheHackerNews — 大量の Emotet ボットネットを振りまく脅威アクターは、大規模な Malspam キャンペーンに取り込むための、新しい攻撃手法を小規模にテストしており、Microsoft が VBA マクロをデフォルトで無効にしたことに対して、素早く反応している可能性が浮上している。ProofPoint は、このグループの新しい活動を、典型的な行動からの逸脱だと指摘している。つまり、マルウェアを配布するための最新のフィッシング・メールは、典型的な大規模メール・キャンペーンと並行して、より選択的かつ限定的な攻撃を行うものだという、新たな視点を提起している。

Continue reading “Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?”

欧州各政府へ向けた偽メール:ハッキングされたウクライナ軍人のアカウントが使われている

Hacked Ukrainian Military Emails Used in Attacks on European Governments

2022/03/03 SecurityWeek — ヨーロッパ各政府機関の職員が、ウクライナ軍の関係者のメール・アカウントを装った、悪質な偽メールを受け取っていることが判明した。ロシアとウクライナの戦争は、現実世界とサイバー空間の双方で行われており、国家が支援するハッカーとハクティビストの間でも戦いが発生している。また、ネットワークを介した戦いでは、分散型サービス妨害 (DDoS) 攻撃/マルウェア/データ侵害/フェイク情報などの、さまざまな戦術やツールが用いられている。

Continue reading “欧州各政府へ向けた偽メール:ハッキングされたウクライナ軍人のアカウントが使われている”

多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗

MFA adoption pushes phishing actors to reverse-proxy solutions

2022/02/03 BleepingComputer — オンライン・アカウントへの多要素認証 (MFA) の導入が進むにつれて、フィッシング詐欺師たちは悪質な活動を継続するために、より洗練されたソリューション (特にリバースプロキシ・ツール) を利用するようになっている。COVID-19 の大流行は、人々の働き方を大きく変え、自宅での仕事を可能にし、場合によっては望ましいことを証明した。

Continue reading “多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗”

DTPacker はマルウェアのパッカー/ダウンローダーとして機能する厄介な相手

Hackers Using New Malware Packer DTPacker to Avoid Analysis, Detection

2022/01/24 TheHackerNews — DTPacker という名前の、これまで文書化されていなかったマルウェア・パッカーが、Agent Tesla/Ave Maria/AsyncRAT/FormBook などの複数の Remote Access Trojan (RAT) や情報窃取ツールなどを配布し、情報を略奪して後続の攻撃を容易にしていることが確認された。

Continue reading “DTPacker はマルウェアのパッカー/ダウンローダーとして機能する厄介な相手”

再生可能エネルギー産業を標的とする、大規模なサイバー・スパイ・キャンペーン

Cyber espionage campaign targets renewable energy companies

2022/01/17 BleepingComputer — 再生可能エネルギーや産業技術gy連の組織を主たる対象とした、大規模なサイバー・スパイ・キャンペーンが 2019年頃から活動を開始し、世界の 15以上の組織を標的にしていることが判明した。このキャンペーンを発見したのは、Curated Intelligenceトラスト・グループのセキュリティ研究者である William Thomas であり、DNS スキャンやパブリック・サンドボックス・サブミッションといった、OSINT (open-source intelligence) 技術を用いたとのことだ。

Continue reading “再生可能エネルギー産業を標的とする、大規模なサイバー・スパイ・キャンペーン”

OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ

Microsoft, Google OAuth flaws can be abused in phishing attacks

2021/12/09 BleepingComputer — 研究者たちが発見したのは、脆弱な OAuth 2.0 実装に対して URL リダイレクト攻撃を仕掛けるという、これまで知られていなかった一連の手法である。これらの攻撃により、フィッシグ検知やメール・セキュリティの回避が生じると同時に、フィッシング URL が正当であるかのような錯覚により、被害者を増やすことにつながる。Proofpoint が検出したキャンペーンは、Outlook Web Access/PayPal/Microsoft 365/Google Workspace を対象としている。

Continue reading “OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ”

APT グループによる RTF インジェクションは新たなフィッシング手法になるのか?

APT Groups Adopt New Phishing Method. Will Cybercriminals Follow?

2021/12/02 DarkReading — ロシア/中国/インドの APT グループは、今年の Q2〜Q3 において、簡単に実装できる新たなフィッシング手法を採用しており、サイバー犯罪者の間でも広く採用される可能性があると、研究者たちは述べている。Proofpoint の調査チームは、2021年2月〜4月において APT グループの間で、いわゆる RTF (rich text format) テンプレート・インジェクション手法の採用が拡大していることを確認している。

Continue reading “APT グループによる RTF インジェクションは新たなフィッシング手法になるのか?”

DDoS 容疑という脅し文句で BazaLoader マルウェアを配信する手口

Fake DMCA complaints, DDoS threats lead to BazaLoader malware

2021/08/27 BleepingComputer — BazaLoader マルウェアを操るサイバー犯罪者は、Web サイトの所有者を騙して悪意のファイルを開かせるための、新たな手口を編み出した。それは、あなたのサイトが分散型サービス拒否 (DDoS) 攻撃を受けているという偽の通知だ。そのメッセージには、法的な脅しと、Google Driveの フォルダに保存されている、攻撃元の証拠となるファイルが含まれているようだ。

Continue reading “DDoS 容疑という脅し文句で BazaLoader マルウェアを配信する手口”