Here’s why Twitter sends you to a different site than what you clicked
2024/03/20 BleepingComputer — ソーシャルメディア・プラットフォーム X (旧 Twitter) のユーザーが困惑するのは、外部リンクの取り込んだポストをクリックしても、そこに表示されるものとは全く異なる、予想外の Web サイトに到達するときである。この記事で紹介する Twitter 広告は、あるセキュリティ研究者が発見したものであり、リンク先として forbes.com が表示されているが、実際に誘導されるのは暗号詐欺を宣伝するとされる、Telegram のアカウントである。
Continue reading “X (Twitter) 上で横行する悪意のリダイレクト:プレビューを信用すると騙される?”Chinese APT ‘Earth Krahang’ Compromises 48 Gov’t Orgs on 5 Continents
2024/03/19 DarkReading — これまで正体不明だった、中国のスパイ・グループが特定された。このフループは、標準的な TTP (Tactics/Techniques/Procedures) を用いながらも、23カ国の少なくとも 70組織への侵入に成功したが、そこには政府機関の 48組織も含まれていたという。Earth Krahang は、高レベルの軍事 APT ではないようだ。Trend Micro の研究者たちは新たなレポートの中で、中国共産党 (CCP) が契約した、民間のハッカー雇用オペレーションである、iSoon の一部である可能性を示唆している。
Continue reading “Earth Krahang は中国由来の APT:ありきたりの OSS ツールで 48の政府機関を侵害”Fujitsu Suffered A Malware Attack And Probably A Data Breach
2024/03/18 SecurityAffairs — 3月22日に富士通が発表したのは、マルウェア攻撃を受けた同社が、個人情報や顧客情報を脅威アクターに盗まれた可能性があるというものだ。日本の大手テクノロジー企業である富士通は、社内の複数の業務用コンピュータがマルウェアに感染し、影響を受けたシステムをネットワークから遮断したとしている。このインシデントについて、同社が調査を行ったところ、個人情報や顧客情報を含むファイルが、脅威アクターにより流出した可能性があると判明したという。
Continue reading “富士通で発生したデータ侵害:個人情報や顧客情報が盗まれた可能性”“Gitgub” Malware Campaign Targets Github Users With Risepro Info-Stealer
2024/03/17 SecurityAffairs — RisePro インフォ・スティーラーを配信するように設計され、クラック済みのソフトウェアをホストする、少なくとも 13 の GitHub リポジトリを、G-Data の研究者たちが発見した。専門家たちが気づいたのは、このキャンペーンの運営者が、”gitgub” という名称を用いていたことだ。悪意の GitHub リポジトリに関する Arstechnica の情報を得て、研究者たちは調査を開始した。彼らは、このキャンペーンに関与しているリポジトリを特定するために、脅威ハンティング・ツールを作成した。その結果として判明したのは、すべてのリポジトリが同じダウンロード・リンクにつながるという、新たに作成されたリポジトリの存在である。
Continue reading ““gitgub” というマルウェア・キャンペーン:GitHub ユーザーにRisePro インフォ・スティーラーを配布”Cybereason Uncovers Widespread Exploitation of Apache ActiveMQ Vulnerability
2024/03/14 SecurityOnline — Apache ActiveMQ メッセージング・サービスに存在する深刻な脆弱性 CVE-2023-46604 を狙う危険な攻撃の波について、Cybereason Security Services が警鐘を鳴らしている。この脆弱性を悪用する複数の脅威アクターが、驚くべきスピードで発生しており、その手口は多様であるため、早急な対策が欠かせないと、新たに発表した脅威分析レポートで、Cybereason は指摘している。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604 を悪用する攻撃:多様なペイロードを展開”Hackers exploit Windows SmartScreen flaw to drop DarkGate malware
2024/03/14 BleepingComputer — DarkGate マルウェアによる新たな攻撃の波は、現時点では修正済みの Windows Defender SmartScreen の脆弱性を悪用し、セキュリティ・チェックを回避して、偽のソフトウェア・インストーラーを自動的にインストールするものだ。SmartScreen は Windows のセキュリティ機能であり、ユーザーがインターネットからダウンロードした不審なファイルなどの、実行が試みられる際に警告を表示する。しかし、Windows Defender SmartScreen の脆弱性 CVE-2024-21412 を悪用する、特別に細工されたダウンロード・ファイルにより、これらのセキュリティ警告の回避が可能になる。
Continue reading “Windows SmartScreen の脆弱性を悪用する DarkGate マルウェア:検出回避の戦術を解明”‘Magnet Goblin’ Exploits Ivanti 1-Day Bug in Mere Hours
2024/03/13 DarkReading — 2024年の初めには、Ivanti のエッジ・デバイスに脅威が集中した。そのうちの1つは、PoC 公開の翌日に One-day エクスプロイトを展開するという、きわめて素早い動きを見せつけていた。そして、この数カ月で悪用が明らかになった5つの脆弱性のうち、Ivanti Connect Secure/Policy Secure ゲートウェイのコマンド・インジェクションの脆弱性 CVE-2024-21887 (CVSS:9.1) は、注目に値するものである。
Continue reading “Magnet Goblin というハッカー:Ivanti のワンデイ脆弱性をわずか数時間で悪用”BianLian Threat Actors Exploiting JetBrains TeamCity Flaws in Ransomware Attacks
2024/03/11 TheHackerNews — BianLian ランサムウェアを操る脅威アクターが、JetBrains TeamCity セキュリティ欠陥を悪用して、恐喝のみを目的とした攻撃を行っていることが確認されている。最近の侵入インシデントを調査した GuidePoint Security のレポートによると、このインシデントは、TeamCity サーバーの悪用から始まり、最終的には BianLian の Go バックドアの PowerShell 実装が展開されという。
Continue reading “JetBrains TeamCity の脆弱性 CVE-2024-27198:BianLian ランサムウェア攻撃に悪用されている”Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails
2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。
Continue reading “Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた”China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks
2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。
Continue reading “中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?”CISA Warns of Active Exploitation of Windows Kernel Vulnerability
2024/03/05 SecurityOnline — CISA は、深刻度の高い Windows Kernel の脆弱性 CVE-2024-21338 を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。この脆弱性は、脆弱なシステムへの SYSTEM レベルの特権アクセスを得るため、攻撃者たちにより頻繁に悪用されている。
Continue reading “CISA KEV 警告 24/03/05:Windows Kernel の脆弱性 CVE-2024-21338 を追加”Hackers abuse QEMU to covertly tunnel network traffic in cyberattacks
2024/03/05 BleepingComputer — ある大企業に対するサイバー攻撃を分析したところ、オープンソースのハイパーバイザー・ツールである QEMU が、トンネリング・ツールとして悪用されていることが判明した。QEMU は、コンピュータ上で、他のオペレーティング・システムをゲストとして実行するための、無料のエミュレータ/ハイパーバイザーである。
Continue reading “QEMU がトンネリング・ツールとしてハッカーに悪用されている – Kaspersky 調査”ScreenConnect flaws exploited to drop new ToddleShark malware
2024/03/04 BleepingComputer — 北朝鮮の APT ハッキング・グループである Kimsuky は、ScreenConnect の脆弱性を、特に CVE-2024-1708/CVE-2024-1709 を悪用して、ToddleShark という新しいマルウェアの亜種をターゲットに感染させている。Kimsuky (別名 Thallium/Velvet Chollima) は、北朝鮮の国家支援ハッキング・グループであり、世界中の組織や政府に対するサイバー・スパイ攻撃で知られている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1708/CVE-2024-1709:マルウェアの投下に悪用されている”State-sponsored hackers know enterprise VPN appliances inside out
2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード/パッチ適用/工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。
Continue reading “Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”ScreenConnect flaws exploited to deliver all kinds of malware (CVE-2024-1709, CVE-2024-1708)
2024/02/26 HelpNetSecurity — 先日にパッチが適用された、ConnectWise ScreenConnect ソフトウェアの脆弱性 CVE-2024-1709/CVE-2024-1708 が、多くの攻撃者に悪用されており、様々な悪意のペイロードが配信されている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1709/CVE-2024-1708:活発な悪用が確認された”New ScreenConnect RCE flaw exploited in ransomware attacks
2024/02/22 BleepingComputer — ConnectWise ScreenConnect に存在する脆弱性の悪用に成功した攻撃者が、パッチ未適用のサーバに侵入し、侵害したネットワーク上に LockBit ランサムウェアのペイロードを展開している。この 認証バイパスの脆弱性 CVE-2024-1709 (CVSS:10.0) の悪用が始まったのは、ConnectWise がセキュリティ更新プログラムをリリースし、複数のサイバー・セキュリティ企業が PoC エクスプロイトを公開した翌日の、2月20日 (火) からである。さらに ConnectWise は、深刻度の高いパス・トラバーサル脆弱性 CVE-2024-1708 に対しても、パッチを適用している。
Continue reading “ConnectWise ScreenConnect の脆弱性:LockBit ランサムウェアによる攻撃が続いている”APT29’s Espionage Campaign Exploits WinRAR Flaw, Targets Embassies
2024/02/21 SecurityOnline — 悪名高いロシア系サイバースパイ・グループ APT29 が、2023年9月に複数の国々の大使館に対して、巧妙な攻撃を行っていた。この攻撃は、WinRAR の重大な脆弱性 CVE-2023-38831 を悪用して、標的のシステムに足がかりを作るところから始まったと、SecurityCafe が解説している。それにより浮き彫りにされるのは、国家に支援される巧妙かつ継続的な脅威と、絶え間ない警戒の必要性である。
Continue reading “ロシアの APT29:WinRAR の脆弱性 CVE-2023-38831 を悪用して各国の大使館を攻撃”New SSH-Snake malware steals SSH keys to spread across the network
2024/02/21 BleepingComputer — SSH-Snake というオープンソースのネットワーク・マッピングツールを操る脅威アクターが、被害者のインフラ上で密かに秘密鍵を探し出し、横方向へと移動している。Sysdig の Threat Research Team (TRT) が発見した SSH-Snake は、”自己修正型ワーム” と表現されている。このマルウェアは、一般的なスクリプト攻撃に散見されるパターンを回避するという意味で、従来からの SSH ワームとは一線を画している。
Continue reading “SSH-Snake という最新のマルウェア:SSH キーを効果的に窃取してネットワーク全体に拡散”New Malicious PyPI Packages Caught Using Covert Side-Loading Tactics
2024/02/20 TheHackerNews — Python Package Index (PyPI) リポジトリに、2つの悪意のパッケージが存在することが、サイバーセキュリティ研究者たちにより発見/確認された。それらの悪意のパッケージは、DLL サイド・ローディングと呼ばれるテクニックを用いて、セキュリティ・ソフトウェアによる検出を回避し、悪意のコードを実行するものだ。それらのパッケージは NP6HelperHttptest と NP6HelperHttper と名付けられ、削除されるまでに、それぞれが 537回/166回ダウンロードされている。
Continue reading “PyPI に “NP6” を冠した悪意のパッケージ:DLL サイド・ローディングで攻めてくる”iOS Trojan Collects Face and Other Data for Bank Account Hacking
2024/02/19 SecurityWeek — 被害者の銀行口座から現金を盗む際に必要とされる、情報を取得するために設計された新しい iOS トロイの木馬を、中国のサイバー犯罪グループが配布していることを、サイバーセキュリティ企業 Group-IB の研究者たちが発見した。この GoldFactoryとして追跡されているマルウェアは、2023年に発見されたものであり、APAC 地域を標的としていると推測され、現在までにタイやベトナムで攻撃が行われているようだ。
Continue reading “GoldPickaxe は iOS トロイの木馬:APAC のバンキングを狙っている”Anatsa Android Trojan Bypasses Google Play Security, Expands Reach to New Countries
2024/02/19 TheHackerNews — 新たなキャンペーンとして 2023年11月に観測された、Anatsa と呼ばれる Android バンキング型トロイの木馬は、スロバキア/スロベニア/チェコへと活動の範囲を拡大している。ThreatFabric は、「このキャンペーンにおけるドロッパーの一部は、Google Play の強化された検出/保護メカニズムを回避して、Accessibility Service の悪用に成功している」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Anatsa という Android トロイの木馬:Google Play のセキュリティを回避していた”PDF Malware on the Rise, Used to Spread WikiLoader, Ursnif and DarkGate
2024/02/16 InfoSecurity — PDF を通じてWikiLoader/Ursnif/DarkGate などのマルウェアを拡散するサイバー犯罪者たちが検出され、新たな脅威が増加していることが、HP Wolf Security の最新レポートで明らかになった。同社の分析によると、2023年 Q4 と 2013年 Q1 の比較において、PDF の脅威が7%ほど増加している。これまでの PDF は、被害者から認証情報や財務情報を引き出すフィッシングで使用されてきたが、いまはマルウェアの拡散が増大している状況にある。
Continue reading “PDF マルウェアの急増:WikiLoader/Ursnif/DarkGate などが配信される – HP”Abusing The Ubuntu ‘Command-Not-Found’ Utility To Install Malicious Packages
2024/02/14 SecurityAffairs — クラウドセキュリティ企業 Aqua のサイバー・セキュリティ研究者が発見したのは、一般的なユーティリティ “command-not-found”‘” の悪用により、悪意のパッケージの欺瞞的な推奨につながる可能性である。Aqua Nautilus の研究者たちは、「Ubuntu の “command-not-found” パッケージと “snap” パッケージの、リポジトリ間における相互作用に起因する、セキュリティ問題を特定した。”command-not-found” は、アンインストールされたコマンドのインストールを提案する便利なツールとして機能するが、”snap” リポジトリを介した操作により、悪意のパッケージの欺瞞的な推奨につながる」と述べている。
Continue reading “Ubuntu の “Command-Not-Found” ユーティリティの悪用:悪意のパッケージをインストールする可能性”Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoor
2024/02/12 BleepingComputer — Ivanti Connect Secure/Policy Secure/ZTA Gateway の SSRF (Server-Side Request Forgery) 脆弱性の悪用に成功した攻撃者が、脆弱なデバイス上に新しい DSLog バックドアを展開していることが分かった。この脆弱性 CVE-2024-21893 は、2024年1月31日にアクティブに悪用されるゼロデイとして公開されたものであり、Ivanti からはセキュリティ・アップデートと緩和策が共有されている。
Continue reading “Ivanti の SSRF 脆弱性 CVE-2024-21893:新たな DSLog バックドアの展開に悪用される”QR Code ‘Quishing’ Attacks on Execs Surge, Evading Email Security
2024/02/09 DarkReading — QR コードを悪用するEメール攻撃が、2023年 Q4 に急増している。そして、攻撃者たちが特に標的としていたのは、企業の重役や管理職などであることが判明した。QR コードを使ったフィッシング・メールは、”キッシング:Quishing” とも呼ばれており、スパム・フィルターを通過する可能性が高い。そのため、Microsoft 365 や DocuSign のユーザーを狙う悪意のメールが、受信トレイまで到達してしまうのだと、クラウド・メール・セキュリティ企業 Abnormal Security が、2月6日に発表したレポートで述べている。
Continue reading “フィッシング攻撃調査 – 2023 Q4:メール・セキュリティを回避する QR コード攻撃が急増”AnyDesk Shares More Information on Recent Hack
2024/02/09 SecurityWeek — AnyDesk が共有した情報は、最初に脅威アクターたちが同社のシステムに侵入した時期や、インシデントの影響などの攻撃に関する詳細である。このソフトウェアの開発者によると、侵入は2024年1月中旬に発見され、フォレンジック調査の結果として、システムへの侵入時期は2023年12月下旬であることが判明したという。
Continue reading “AnyDesk におけるインシデント:ハッキングに関する詳細情報が共有された”Malware-as-a-Service Now the Top Threat to Organizations
2024/02/06 InfoSecurity — Darktrace の最新の研究によると、2023年下半期に、組織にとっての最大の脅威となったのは、MaaS (Malware-as-a-Service) 感染だったという。Darktrace の 2023 年の “End of Year Threat Report” では、多くのマルウェアが機能横断的に適応していることが強調されている。そこに含まれるものには、リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojans) のようなマルウェア・ローダーと、情報窃取型マルウェアとの組み合わせも存在する。
Continue reading “MaaS 感染が最大の脅威:2023年下半期のサイバー攻撃 – Darktrace 調査”New variant of Mispadu Stealer is Exploiting CVE-2023-36025 Vulnerability
2024/02/04 SecurityOnline — 悪名高い Mispadu Stealer インフォ・スティーラーは、2019年以降のラテンアメリカ (LATAM) において、主にスペイン語/ポルトガル語圏の被害者を標的としている。最近になって Unit 42 の研究者たちが、Mispadu Stealer の現状/進化に関連する重要な情報を取得し、このマルウェアが悪用する SmartScreen の脆弱性に注目している。
Continue reading “Mispadu Stealer の亜種:Microsoft SmartScreen の CVE-2023-36025 を悪用”Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities
2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN/Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK/CHAINLINE/FRAMESTING/LIGHTWIRE などの、カスタム Web シェルの亜種である。
Continue reading “Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複”CISA Sets 48-hour Deadline for Removal of Insecure Ivanti Products
2024/02/01 SecurityWeek — 米国政府のサイバーセキュリティ機関 CISA は連邦政府機関に対して、Ivanti Connect Secure/Policy Secure の全製品のインスタンスを、48時間以内に切断せよという、前例のない要求を通達している。CISA は、「可能な限り早急に、また、遅くとも 2024年2月2日 (金) の午後11時59分までに、Ivanti Connect Secure/Policy Secure ソリューションの全インスタンスを、政府機関のネットワークから切断せよ」と、新たな緊急指令において圧力を強めている。防御側にとって必要とされるのは、実環境で積極的に悪用されている、少なくとも3件の Ivanti セキュリティ欠陥を軽減することである。
Continue reading “CISA が異例の通達:Ivanti の疑わしいインスタンスを 48時間以内に隔離せよ”CISA: Vendors must secure SOHO routers against Volt Typhoon attacks
2024/01/31 BleepingComputer — CISA が発した警告は、進行中の攻撃から機器のセキュリティを確保するよう、SOHO (small office/home office) ルーターの製造業者に求めるものだ。展開されている攻撃というのは、特に中国が支援するハッキング・グループ Volt Typhoon (別名:Bronze Silhouette) が、ルーターの乗っ取りを試みているというものだ。CISA/FBI による共同ガイダンスで、両機関がベンダーに求めているのは、設計/開発段階における SOHO ルーターの WMI (Web Management Interface) の脆弱性の解消だ。
Continue reading “CISA/FBI 共同警告:SOHO ルーターへの Volt Typhoon 攻撃の対処を要請”Hackers Exploiting Ivanti VPN Flaws to Deploy KrustyLoader Malware
2024/01/31 TheHackerNews — 最近に公開された Ivanti Connect Secure (ICS) VPN (Virtual Private Network) デバイスの2つのゼロデイ脆弱性が、KrustyLoader というペイロードの配信に悪用されている。KrustyLoader とは、オープンソースの Sliver 攻撃シミュレーション・ツールを投下するために使用される、Rust ベースのツールのことである。悪用が確認されている脆弱性 CVE-2023-46805 (CVSS:8.2)/CVE-2024-21887 (CVSS:9.1) は、認証されていない攻撃者に対して、影響を受けやすいアプライアンス上でのリモート・コード実行を許す可能性があるものだ。
Continue reading “Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887:KrustyLoader マルウェアの配布に悪用”Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines
2024/01/29 TheHackerNews — Python Package Index (PyPI) レポジトリ上で発見されたのは、WhiteSnake Stealer という情報窃取型マルウェアを、Windows システム上に配布する悪意のパッケージである。それらのマルウェアが埋め込まれたパッケージの名前は、nigpal/figflix/terer/seGMM/fbdebug/sGMM/myGens/NewGends/TestLibs111 である。そして、これらのパッケージをアップロードしているのは “WS “という脅威アクターだと、サイバーセキュリティ研究者たちは述べている。
Continue reading “PyPI に新たな悪意のパッケージ: Windows デバイス上に WhiteSnake マルウェアを展開”Cybersecurity Alert: Unseen WIREFIRE Web Shell Variant in ICS VPN Appliances
2024/01/28 SecurityOnline — 先日に QuoIntelligence が発見したのは、Python ベースのインプラントである WIREFIRE という Web シェルの新たな亜種だ。この亜種が発見されたのは、2つのゼロデイ脆弱性 CVE-2024-21887/CVE-2023-46805 を悪用して侵害された、Ivanti Connect Secure (ICS) VPN アプライアンスである。この亜種の登場が浮き彫りにするのは、サイバー・スパイ戦術の大幅な進化であり、また、インターネットに面した VPN デバイスのセキュリティに関する懸念である。
Continue reading “Ivanti VPN アプライアンスで発見:WIREFIRE Web シェル亜種のステルス性とは”Malicious Ads on Google Target Chinese Users with Fake Messaging Apps
2024/01/26 TheHackerNews — Google Ads で展開されている、Telegram などのメッセージング・アプリの不正広告キャンペーンにより、中国語圏のユーザーが狙われているという。1月25日のレポートで Malwarebytes の Jerome Segura は、「この脅威アクターは、Google の広告主アカウントを使用して悪意の広告を作成し、無防備なユーザーを RAT (Remote Administration Trojan) のダウンロード・ページに誘導している。この種の RAT は、攻撃者による被害者マシンの完全なコントロールを達成し、追加のマルウェアをドロップする能力を与える」と述べている。
Continue reading “FakeAPP という不正広告キャンペーン:偽の Google Ads で Line ユーザーも標的に!”Microsoft reveals how hackers breached its Exchange Online accounts
2024/01/26 BleepingComputer — 2023年11月に Microsoft 幹部の電子メール・アカウントに侵入した、ロシア政府 Foreign Intelligence Service (SVR) のハッキング・グループが、悪意のキャンペーンの一環として他の組織にも侵入したことが確認された。Midnight Blizzard (別名 Nobelium/APT29) は、ロシアの SVR 傘下のサイバー・スパイ集団と考えられており、主に米国/欧州の政府組織/NGO/ソフトウェア開発者/IT サービス・プロバイダーを標的としている。
Continue reading “Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard:手口の詳細を解説”Blackwood hackers hijack WPS Office update to install malware
2024/01/25 BleepingComputer — Blackwood という新たな APT (advanced threat actor) が、企業や個人に対するサイバースパイ攻撃のために、NSPX30 と呼ばれる高度なマルウェアを使用していることが判明した。この脅威アクターは、遅くとも 2018年から活動しており、中間者攻撃 (AitM:Adversary-in-the-Middle) に加えて、単純なバックドアに根ざしたコードベースを持つ、インプラントである NSPX30 マルウェアを 2005年から利用している。
Continue reading “Blackwood という APT:WPS Office などのアップデートから NSPX30 マルウェアを配布”Malicious NPM Packages Exfiltrate Hundreds of Developer SSH Keys via GitHub
2024/01/23 TheHackerNews — npm パッケージ・レジストリで発見された2つの悪意のパッケージは、開発者システムにインストールされた後に、Base64 暗号化された SSH キーを盗み出し、GitHub に保存するものだったと判明した。2024年1月初旬に公開された、warbeast2000 と kodiak2k という名のモジュールは、npm のメンテナンスにより削除されるまでに、それぞれ 412回と 1,281回のダウンロードを記録している。また、最新のダウンロードは 2024年1月21日に行われているという。
Continue reading “NPM に悪意のパッケージ:開発者を騙して盗んだ SSH Key を GitHub に隠して保存”Cybercrime’s Silent Operator: The Unraveling of VexTrio’s Malicious Network Empire
2024/01/23 SecurityWeek — VexTrio は巨大で複雑かつ悪質な TDS (Traffic Direction System) 組織である。トラフィックを VexTrio へと迂回させる 60以上のアフィリエイト・ネットワークを持ち、それと同時に独自の TDS ネットワークも運営している。さまざまな研究者により、その活動の一端が発見/分析されているが、コアとなるネットワークは、ほとんど知られていない。
Continue reading “VexTrio という悪のネットワーク帝国:60 以上のアフィリエイトたちとトラフィックを支配する”Russia-Linked Midnight Blizzard Apt Hacked Microsoft Corporate Emails
2024/01/20 SecurityAffairs — Microsoft の警告は、同社の企業メール・アカウントの一部が、ロシア由来のサイバー・スパイ集団 Midnight Blizzard に侵害されたというものであり、法執行機関と関連規制当局への通知も完了しているという。Midnight Blizzard グループ (別名 APT29/Cozy Bear/Nobelium/BlueBravo/The Dukes) は APT28 と連携するかたちで、民主党全国委員会へのハッキングや、2016年の米国大統領選挙への攻撃に関与していたという。このグループは、Microsoft を含む 18,000 以上の顧客組織を襲った、2020年の SolarWinds サプライチェーン攻撃でも知られている。
Continue reading “Microsoft の報告:ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された”The 7777-Botnet Exploit: A New Threat to TP-Link, Xiongmai, and Hikvision
2024/01/18 SecurityOnline — サイバー・セキュリティの領域において、長年にわたり課題となっているのは、洗練されたボットネットへの対処である。侵害されたデバイスで構成されるネットワーク 7777-Botnet は、そのような手ごわい存在の1つであり、世界中のセキュリティ専門家たちの注目を集めている。このボットネットは、2023年10月から話題になり始めており、Microsoft Azure のユーザー認証情報に対するブルートフォース攻撃を介して、米国と欧州の VIP ユーザーを標的としているものだ。また、7777-Botnet は、Scattered Spider や Lazarus といった、悪名高い脅威アクターたちと関連していることでも注目されている。
Continue reading “7777-Botnet による脆弱性の悪用:標的は TP-Link/Xiongmai/Hikvision”Vendor Email Attacks Surged by 137% in Financial Sector in 2023
2024/01/17 InfoSecurity — 世界の金融サービス業界においては、2023年を通じて VEC (Vendor Email Compromise) 攻撃が 137% 増加したと、Abnormal Security の最新データが示している。 これらの脅威の大部分は、ソーシャル・エンジニアリングによる電子メール攻撃に関連するものであり、毎週平均して 1000 メールボックスあたり 200 件の、高度な攻撃が金融業界では発生しているという。2023年には、特に1月下旬と、9月下旬、12月中旬に攻撃のピークがあった。
Continue reading “金融サービス業界におけるメール詐欺 2023:ベンダーなどを装う攻撃が 137% 増”Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability
2024/01/15 TheHackerNews — WordPress で脆弱な Popup Builder プラグインを使用している数千のサイトが、Balada Injector と呼ばれるマルウェアに感染しているようだ。この、2023年1月に Doctor Web が報告したキャンペーンは、セキュリティ上に欠陥のある WordPress プラグインを武器にして、一連の定期的な攻撃の波を引き起こしている。それらのサイトにバックドアが注入され、偽の技術サポート/宝くじ当選/プッシュ通知などの詐欺ページへと、訪問者たちをリダイレクトしていく。
Continue reading “WordPress の 7,100 サイトを侵害する Balada:Popup Builder の脆弱性 CVE-2023-6000 を武器化”Attackers Target Apache Hadoop And Flink To Deliver Cryptominers
2024/01/15 SecurityAffairs — Apache の Hadoop と Flink を標的とする新たな攻撃が、サイバーセキュリティ企業 Aqua の研究者たちにより発見された。この攻撃は、暗号通貨マイナーの展開を目的とし、Apache の Hadoop/Flink のミスコンフィグレーションを悪用するものだ。一連の攻撃において、とりわけ興味深いのは、脅威アクターたちがマルウェアを隠すためにパッカーやルートキットを使用している点だと、研究者たちは述べている。
Continue reading “Apache Hadoop/Flink のミスコンフィグ:クリプトマイナーの配信に悪用されている”Ivanti Connect Secure zero-days now under mass exploitation
2024/01/15 BleepingComputer — Ivanti の Connect Secure VPN および Policy Secure Network Access Control (NAC) アプライアンスに影響を及ぼす、2つのゼロデイ脆弱性が大規模なレベルで悪用されている。脅威インテリジェンス企業 Volexity が発見した、このゼロデイ脆弱性は 2023年12月以降の攻撃で悪用されてきた。そして、2024年1月11日からは複数の脅威グループが、CVE-2023-46805 (認証バイパス) および CVE-2024-21887 (コマンド・インジェクション) 脆弱性を連鎖させ、広範な攻撃を行っている。
Continue reading “Ivanti Connect Secure の2つの脆弱性:複数の脅威アクターにより攻撃がエスカレート”Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion
2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。
Continue reading “Phemedrone スティーラー:Windows の脆弱性 CVE-2023-36025 を悪用している”“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers
2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。
Continue reading “PyPI に潜む Blank Grabber マルウェア:Python 開発者たちを狙い続ける”Ivanti Connect Secure zero-days exploited to deploy custom malware
2024/01/12 BleepingComputer — 今週に公開された Ivanti Connect Secure の2つのゼロデイ脆弱性だが、スパイ行為を目的とした複数のカスタム・マルウェア・ファミリーの展開において、2023年12月初旬から悪用されていたことが判明した。これらの脆弱性 CVE-2023-46805/CVE-2024-21887 の悪用に成功した攻撃者は、認証をバイパスして、脆弱なシステム上で任意のコマンド注入を可能にしていた。ただし Ivanti は、少数の顧客が標的にされていたに過ぎないと述べている。
Continue reading “Ivanti Connect Secure のゼロデイ脆弱性:カスタム・マルウェアのデプロイを観測”Hacked Mandiant X Account Abused for Cryptocurrency Theft
2024/01/04 SecurityWeek — 2024年1月3日に、Mandiant の X (旧 Twitter) アカウントがハッキングされ、暗号通貨詐欺を目的とした Web サイトへと、ユーザーを誘い込むために悪用されていたことが判明した。Google Cloud の一部である Mandiant のアカウントは、”Phantom” により改名され、プロフィール画像と説明文が変更されており、正規の暗号通貨ウォレットである Phantom Wallet と関連があるかのように改ざんされていた。
Continue reading “Mandiant の X (旧 Twitter) アカウント乗っ取りが発生:Phantom 暗号通貨詐欺に悪用”
IoT OT Security News 
You must be logged in to post a comment.