Researchers warn of increased malware delivery via fake browser updates
2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。
Continue reading “Chrome/Edge/Firefox の偽アップデート:狡猾な手口で誘う ClearFake マルウェア”EvilProxy uses indeed.com open redirect for Microsoft 365 phishing
2023/10/03 BleepingComputer — 最近になって発覚したフィッシング・キャンペーンは、求人情報サイト Indeed からのオープン・リダイレクトを悪用し、米国を拠点とする組織の主要幹部の、Microsoft 365 アカウントを標的にするものだ。この脅威アクターは、EvilProxy フィッシング・サービスを使用している。EvilProxy により、多要素認証 (MFA) メカニズムをバイパスするための、セッション・クッキーの収集も可能になるという。
Continue reading “EvilProxy は Phishing-as-a-Service:巧妙な手口で Microsoft 365 アカウントを狙う”Cl0p’s MOVEit Campaign Represents a New Era in Cyberattacks
2023/07/06 DarkReading — 6月1日に発見された MOVEit ファイル転送のゼロデイ脆弱性は、6月30日までに少なくとも 160社への侵入に悪用されている。この大規模な恐喝キャンペーンの成功は、ロシア支援のランサムウェア・グループ Cl0p による戦術の進化を象徴している。そして、専門家たちは、ライバルの脅威アクターの注目を集める可能性も高いとしている。MOVEit キャンペーンは、サプライチェーンに対するサイバー攻撃の将来を推測する上で、防衛側の対応方法に関するヒントにもなり得ると、Huntress は指摘している。
Continue reading “Cl0p の MOVEit キャンペーン:160社への侵入は新時代のサイバー攻撃の象徴か?”Over Half of UK Banks Are Exposing Customers to Email Fraud
2023/06/27 InfoSecurity — 英国の大手金融機関の大半において、DMARC の導入が不十分であるため、顧客を電子メール詐欺から守れていないと、セキュリティ専門家たちが警告している。DMARC (Domain-based Message Authentication, Reporting and Conformance) プロトコルとは、メッセージが配信される前に送信者の身元を認証することで、電子メールを介した詐欺やなりすましの防止に有益なものである。
Continue reading “金融機関における DMARC の導入:英国の150行では 47% のみが適切だという調査結果”MFA Bypass Kits Account For One Million Monthly Messages
2023/06/14 InfoSecurity — Proofpoint によると、脅威アクターは 2022年もユーザー防御を回避するための戦術を進化させ続けており、その中でも多要素認証 (MFA) バイパス・キットは、数百万件ものフィッシング・メッセージで利用されていたという。Proofpoint は最新のレポート The Human Factor 2023 で、数年前から市販のツールキットが、サイバー犯罪者たちによるフィッシング活動を推進してきたが、MFA バイパス専用の特殊ツールは、比較的新しい光景であると述べている。
Continue reading “MFA 侵害キットの台頭:月間で 100万件のバイパス・メッセージを記録 – Proofpoint”Social Engineering Risks Found in Microsoft Teams
2023/05/17 InfoSecurity — ソーシャル・エンジニアリングを介して、Microsoft Teams を悪用しようとする、いくつかの新たな手口が、Proofpoint のセキュリティ研究者たちにより発見された。同社が 2023年5月17日に発表したレポートには、「最近のことだが、2022年後半にかけて確認された、Microsoft 365 クラウド・テナントを標的とした 4億5000万以上の悪意のセッションを分析した。この調査結果によると、Microsoft Teams は、最も標的とされた 10 のサインイン・アプリケーションの1つであり、標的とされた組織の 40% 近くで、少なくとも1回の不正ログインが試みられていた」と記されている。
Continue reading “Microsoft Teams を狙うソーシャル・エンジニアリング:新たな手口が発見された”How Cybercriminals Adapted to Microsoft Blocking Macros by Default
2023/05/13 DarkReading — Office Macro をデフォルトでブロックすることを、Microsoft が決定してからというもの、脅威アクターたちは進化を余儀なくされ、マルウェア配信のための新たな方法を。かつてない速度で導入している。長期間にわたって脅威アクターたちは、悪意の Microsoft Office マクロを使用して、ターゲットのコンピュータの内部にフックを仕掛けてきた。そのため、2022年に Microsoft は、インターネットからダウンロードされるファイルに対して、デフォルトでマクロをブロックするようになった (不均一ではあっても) 。
Continue reading “Microsoft のマクロ・ブロックに挑む攻撃者たち:何がどう変わったのか? – Proofpoint”New IcedID variants shift from bank fraud to malware delivery
2023/03/27 BleepingComputer — IcedID の新しい亜種は、通常のオンライン・バンキング詐欺の機能を持たない代わりに、侵害したシステムに新たなマルウェアをインストールすることに、重点を置いていることが判明した。Proofpoint によると、これらの新しい亜種は、昨年末から7つのキャンペーンで、3つの異なる脅威アクターにより使用されており、ランサムウェアなどのペイロードの配信に重点を置いていることが確認されている。
Continue reading “IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている”Cybercriminals exploit SVB collapse to steal money and data
2023/03/14 BleepingComputer — 2023年3月10日のシリコンバレー銀行 (SVB) の破綻は、世界の金融システムに波紋を広げているが、ハッカー/詐欺師/フィッシング・キャンペーンにとっては、絶好のチャンスになりつつある。複数のセキュリティ研究者たちが報告しているように、すでに脅威アクターたちは疑わしいドメインを登録してフィッシング・ページを作成し、BEC (Business E-mail Compromise) 攻撃の準備を整えている。これらのキャンペーンの目的は、金銭やアカウントの窃取、マルウェアの展開などにある。
Continue reading “SVB 銀行の破綻を悪用:金銭やデータを盗み出すサイバー犯罪者たち”Parallax RAT Targeting Cryptocurrency Firms with Sophisticated Injection Techniques
2023/03/01 TheHackerNews — Parallax RAT と呼ばれるリモート・アクセス型トロイの木馬を配信する新しいキャンペーンにおいて、暗号通貨企業が標的にされている。Uptycs の最新レポートには、「このマルウェアは、インジェクション技術を用いて正規のプロセス内に潜伏し、検出を困難にしている。その注入を成功させた攻撃者は、おそらく通信チャネルとして機能する Windows Notepad を介して、被害者に接触するようになる。
Continue reading “Parallax RAT の標的は暗号通貨企業:洗練されたインジェクション技術で検出を回避”DocuSign Brand Impersonation Attack Bypasses Security Measures, Targets Over 10,000
2023/01/31 InfoSecurity — DocuSign ブランドに成りすます攻撃が発生し、ネイティブ・クラウドおよびインラインにおけるメール・セキュリティ・ソリューションを回避し、複数の組織の1万人以上のエンドユーザーを標的にしていることが確認された。この発見は、Armorblox のセキュリティ研究者たちによるものであり、電子メールを通じて InfoSecurity と共有されたアドバイザリで、この新しい脅威について説明している。
Continue reading “DocuSign 成りすましのフィッシング攻撃:1万人以上の企業ユーザーが標的”Attackers used malicious “verified” OAuth apps to infiltrate organizations’ O365 email accounts
2023/01/31 HelpNetSecurity — ”Publisher identity verified” マークを取得したサードパーティ製 OAuth アプリが、英国/アイルランドの組織を標的とする、未知の攻撃者に利用されていることを、Microsoft が明らかにした。この攻撃は、2022年12月初旬に Proofpoint の研究者が発見したものであり、SSO/Zoom になりすました3つの不正なアプリが関与しているという。この手口に騙されたターゲット組織は、一連の不正アプリにより O365 メールアカウントにアクセスされ、組織のクラウド環境への侵入を許してしまった。
Continue reading “OAuth を悪用する偽アプリ攻撃: Office 365 アカウントへの不正アクセスが発生”Hunting Insider Threats on the Dark Web
2023/01/24 DarkReading — インサイダーによる脅威は、深刻な問題であり、拡大している問題でもある。最近の Verizon の調査によると、悪意の従業員がインシデントの 20% に関連しており、内部関係者が関与する攻撃は外部関係者によるが攻撃の 10倍ほどになる。 また、ProofPoint のデータによると、パンデミックによるリモートワークでリスクが高まり、過去2年間においてはインサイダーによる攻撃の増加が示されている。
Continue reading “ダークウェブの監視が重要:Verizon DBI が示すインサイダー・リスク軽減のヒントとは?”Over 50 New CVE Numbering Authorities Announced in 2022
2022/12/22 SecurityWeek — 2022年には 50以上の組織が、CVE Numbering Authority (CNA) として追加され、35カ国で合計 260 の CNA が存在することになった。大半の CNA は、自社製品で見つかった脆弱性に対して、CVE 識別子を付与するものだが、一部の CNA はサードパーティ製ソフトウェアに関して、自社の研究者が見つけた不具合に対しても CVE を付与することが可能となる。
Continue reading “CVE ナンバリング機関が拡大:2022年に追加された 50 の組織とは?”Experts Warn Threat Actors May Abuse Red Team Tool Nighthawk
2022/11/22 InfoSecurity — Nighthawk と名付けられた、新たなレッドチーム・ツールが、脅威アクターにより間もなく悪用される可能性があると、セキュリティ研究者たちが警告している。このツールは、2021年後半に MDSec 社により開発されている。そして、Cobalt Strike や Brute Ratel のように、合法的な使用を目的として商業的に配布される RAT (Remote Access Trojan) として機能する、高度な C2 フレームワークと表現するのが適切だろう。しかし、これまでの2つのツールと同様に、悪意の人々に直ちに利用される可能性があると、Proofpoint は最新レポートの中で警告している。
Continue reading “Nighthawk というレッドチームツール:Cobalt Strike のように悪用される可能性”Notorious Emotet Malware Returns With High-Volume Malspam Campaign
2022/11/21 TheHackerNews — Emotet マルウェアだが、IcedID や Bumblebee などのペイロードをドロップするためにデザインされた、大規模なマルスパム・キャンペーンの一部として、再び勢いを増して戻ってきた。先週に Proofpoint は、「2022 年11月初旬から、1日あたり数十万通の電子メールが送信されている。この、新たなアクティビティは、Emotet が主要なマルウェア群の配信ネットワークとして機能し、完全に復活したことを示唆している」と述べている。標的となる主な国々としては、米国/英国/日本/ドイツ/イタリア/フランス/スペイン/メキシコ/ブラジルなどが挙げられている。
Continue reading “Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ”Emotet botnet starts blasting malware again after 5 month break
2022/11/02 BleepingComputer — マルウェア Emotet のオペレーションだが、サイバー犯罪作戦の活動がほとんど見られなかった約5ヶ月間の休暇を経て、再び悪質な電子メールを送信し始めている。Emotet のフィッシング・キャンペーンは、悪意の Excel/Word 文書を介して、マルウェアを配布し感染させるものだ。それらの文書を開いたユーザーが、マクロを有効にしていると、Emotet DLL がダウンロードされ、メモリに読み込まれる。
Continue reading “Emotet が 11月2日に活動を再開:Microsoft の Protected View を回避する戦術とは?”Osaka Hospital Halts Services After Ransomware Attack
2022/11/01 InfoSecurity — 大阪の主要な病院である大阪急性期総合医療センターが、ランサムウェアのサイバー攻撃により電子カルテ・システムを破壊され、通常の医療サービスを停止している。救急医療は継続して行われているが、同センターの職員は記者団に対し、10月31日未明に病院のシステムに障害が発生し、アクセスできなくなったと語っている。
Continue reading “大阪急性期総合医療センターにランサムウェア攻撃:電子カルテ・システムに障害”Experts analyzed the evolution of the Emotet supply chain
2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。
Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”Bumblebee Malware Loader’s Payloads Significantly Vary by Victim System
2022/10/04 DarkReading — 3月に表面化した、きわめて悪質なマルウェア・ローダー Bumblebee の最新分析により、企業ネットワークの一部としてのシステム向けのペイロードと、スタンドアロン・システム向けのペイロードでは、その種類が大きく異なることが判明した。たとえば、Active Directory サーバを共有しているような、ドメインの一部として認識されたシステムの場合には、Cobalt Strike のような高度なポスト・エクスプロイト・ツールを実行するよう、このマルウェアはプログラムされている。
Continue reading “Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する”China-linked APT40 used ScanBox Framework in a long-running espionage campaign
2022/08/31 SecurityAffairs — Proofpoint の Threat Research Team が、中国とつながりのある脅威アクターが仕組んだ、世界の事業体を標的とするサイバー・スパイ・キャンペーンを発見した。このキャンペーンは、オーストラリア/マレーシア/ヨーロッパの事業体および、南シナ海で活動する組織を対象としていた。そして Proofpoint は、PwC の脅威インテリジェンス研究者たちの協力を得ながら、このキャンペーンを分析した。
Continue reading “APT40 が利用する ScanBox:中国に関連する大規模スパイ・キャンペーンのコア?”As Microsoft blocks Office macros, hackers find new attack vectors
2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。
Continue reading “Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る”‘Follina’ Vulnerability Exploited to Deliver Qbot, AsyncRAT, Other Malware
2022/06/09 SecurityWeek — 最近になって公開された Windows の脆弱性を Follina (CVE-2022-30190) 悪用する、複数のマルウェアが配信されているが、現時点においても公式パッチが提供されていない状態である。この脆弱性は、Microsoft Support Diagnostic Tool (MSDT) に関連しており、特別に細工されたドキュメントを介した、リモートコード実行に悪用される可能性がある。
Continue reading “Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された”Emotet malware now steals credit cards from Google Chrome users
2022/06/08 BleepingComputer — 現状における Emotet ボットネットは、Google Chrome のユーザー・プロファイルに保存されている、クレジット・カード情報を採取するように設計された・クレジット・カード盗用モジュールを被害者に感染させようとしている。このマルウェアは、クレジットカード情報 (氏名/有効期限/カード番号など) を盗み出した後に、通常の Emotet カード・スティーラー・モジュールが使用するものとは別の、Command and Control (C2) サーバーへと情報を送信する。
Continue reading “Emotet の最新情報:Google Chrome に保存されるクレジット・カード情報を盗もうとしている”Windows zero-day exploited in US local govt phishing attacks
2022/06/06 BleepingComputer — 欧州政府および米国の地方自治体が、Windows の深刻なゼロデイ脆弱性 Follina を悪用する、RTF 文書を介したフィッシング・キャンペーンのターゲットになっている。BleepingComputer は、このキャンペーンの標的となった、少なくとも2つの米国の地方自治体を確認している。エンタープライズ・セキュリティ企業 Proofpoint のセキュリティ研究者は、「Proofpoint は、脆弱性 Follina CVE-2022-30190 を悪用しようとする、欧州政府および米国の地方政府を標的とした、国家ぐるみのフィッシング・キャンペーンをブロックした」と明かしている。
Continue reading “Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている”New stealthy Nerbian RAT malware spotted in ongoing attacks
2022/05/11 BleepingComputer — Nerbian RAT と呼ばれる、新たなリモート・アクセス型トロイの木馬が発見された。この RAT は、研究者による検出や分析を回避する機能などの、豊富な機能を備えていることが判明している。この新しいマルウェアの亜種は、Golang で書かれているため、クロス・プラットフォームの 64 Bit 脅威となっており、現時点においてはマクロが混入された文書の添付ファイルを使用した、小規模な電子メール配信キャンペーンにより配布されている。この電子メール・キャンペーンは、Proofpoint の研究者たちが発見したものであり、同社は Nerbian に関するレポートも発表している。
Continue reading “Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する”Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild
2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。
Continue reading “Bumblebee という新たなマルウェア:TrickBot/BazaLoader 系で最凶か?”Emotet Testing New Delivery Ideas After Microsoft Disables VBA Macros by Default
2022/04/25 TheHackerNews — 大量の Emotet ボットネットを振りまく脅威アクターは、大規模な Malspam キャンペーンに取り込むための、新しい攻撃手法を小規模にテストしており、Microsoft が VBA マクロをデフォルトで無効にしたことに対して、素早く反応している可能性が浮上している。ProofPoint は、このグループの新しい活動を、典型的な行動からの逸脱だと指摘している。つまり、マルウェアを配布するための最新のフィッシング・メールは、典型的な大規模メール・キャンペーンと並行して、より選択的かつ限定的な攻撃を行うものだという、新たな視点を提起している。
Continue reading “Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?”Hacked Ukrainian Military Emails Used in Attacks on European Governments
2022/03/03 SecurityWeek — ヨーロッパ各政府機関の職員が、ウクライナ軍の関係者のメール・アカウントを装った、悪質な偽メールを受け取っていることが判明した。ロシアとウクライナの戦争は、現実世界とサイバー空間の双方で行われており、国家が支援するハッカーとハクティビストの間でも戦いが発生している。また、ネットワークを介した戦いでは、分散型サービス妨害 (DDoS) 攻撃/マルウェア/データ侵害/フェイク情報などの、さまざまな戦術やツールが用いられている。
Continue reading “欧州各政府へ向けた偽メール:ハッキングされたウクライナ軍人のアカウントが使われている”MFA adoption pushes phishing actors to reverse-proxy solutions
2022/02/03 BleepingComputer — オンライン・アカウントへの多要素認証 (MFA) の導入が進むにつれて、フィッシング詐欺師たちは悪質な活動を継続するために、より洗練されたソリューション (特にリバースプロキシ・ツール) を利用するようになっている。COVID-19 の大流行は、人々の働き方を大きく変え、自宅での仕事を可能にし、場合によっては望ましいことを証明した。
Continue reading “多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗”Hackers Using New Malware Packer DTPacker to Avoid Analysis, Detection
2022/01/24 TheHackerNews — DTPacker という名前の、これまで文書化されていなかったマルウェア・パッカーが、Agent Tesla/Ave Maria/AsyncRAT/FormBook などの複数の Remote Access Trojan (RAT) や情報窃取ツールなどを配布し、情報を略奪して後続の攻撃を容易にしていることが確認された。
Continue reading “DTPacker はマルウェアのパッカー/ダウンローダーとして機能する厄介な相手”Cyber espionage campaign targets renewable energy companies
2022/01/17 BleepingComputer — 再生可能エネルギーや産業技術gy連の組織を主たる対象とした、大規模なサイバー・スパイ・キャンペーンが 2019年頃から活動を開始し、世界の 15以上の組織を標的にしていることが判明した。このキャンペーンを発見したのは、Curated Intelligenceトラスト・グループのセキュリティ研究者である William Thomas であり、DNS スキャンやパブリック・サンドボックス・サブミッションといった、OSINT (open-source intelligence) 技術を用いたとのことだ。
Continue reading “再生可能エネルギー産業を標的とする、大規模なサイバー・スパイ・キャンペーン”Microsoft, Google OAuth flaws can be abused in phishing attacks
2021/12/09 BleepingComputer — 研究者たちが発見したのは、脆弱な OAuth 2.0 実装に対して URL リダイレクト攻撃を仕掛けるという、これまで知られていなかった一連の手法である。これらの攻撃により、フィッシグ検知やメール・セキュリティの回避が生じると同時に、フィッシング URL が正当であるかのような錯覚により、被害者を増やすことにつながる。Proofpoint が検出したキャンペーンは、Outlook Web Access/PayPal/Microsoft 365/Google Workspace を対象としている。
Continue reading “OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ”APT Groups Adopt New Phishing Method. Will Cybercriminals Follow?
2021/12/02 DarkReading — ロシア/中国/インドの APT グループは、今年の Q2〜Q3 において、簡単に実装できる新たなフィッシング手法を採用しており、サイバー犯罪者の間でも広く採用される可能性があると、研究者たちは述べている。Proofpoint の調査チームは、2021年2月〜4月において APT グループの間で、いわゆる RTF (rich text format) テンプレート・インジェクション手法の採用が拡大していることを確認している。
Continue reading “APT グループによる RTF インジェクションは新たなフィッシング手法になるのか?”Fake DMCA complaints, DDoS threats lead to BazaLoader malware
2021/08/27 BleepingComputer — BazaLoader マルウェアを操るサイバー犯罪者は、Web サイトの所有者を騙して悪意のファイルを開かせるための、新たな手口を編み出した。それは、あなたのサイトが分散型サービス拒否 (DDoS) 攻撃を受けているという偽の通知だ。そのメッセージには、法的な脅しと、Google Driveの フォルダに保存されている、攻撃元の証拠となるファイルが含まれているようだ。
Continue reading “DDoS 容疑という脅し文句で BazaLoader マルウェアを配信する手口”
IoT OT Security News 