RomCom Group Targets Ukraine Supporters Ahead of NATO Summit
2023/07/10 InfoSecurity — NATO 首脳会議が開催される数日前に、ウクライナを支援する組織や個人を狙う標的型サイバー・キャンペーンが、RomCom により開始されたと報じられている。BlackBerry Threat, Research and Intelligence チームは、この巧妙な作戦を発見し、本日の未明に発表されたアドバイザリで説明している。同チームによると、7月4日に RomCom グループがオトリとして使用した、2つの偽装文書を発見したとのことだ。
Continue reading “NATO 首脳会議を標的にした攻撃:RomCom によるマルウェア配布が確認された”Chinese Spyware Discovered on Google Play Store
2023/07/07 InfoSecurity — Google Play Store で発見された、ファイル管理ツールを装う2つのスパイウェア・アプリは 、少なくとも合計で 150万回もインストールされたという。サイバーセキュリティ企業 Pradeo が発見した、これらのアプリは同じ開発者によるものであり、同様の悪意のある動作を示し、ユーザーの操作なしで動作する。これらのアプリの主な目的は、ユーザーの機密データを秘密裏に抽出し、中国に拠点を置く悪意のあるサーバーに送信することである。この発見は Google に報告された。
Continue reading “中国由来のスパイウェア:Google Play Store で発見された2つのファイル管理ツールとは?”RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors
2023/07/05 TheHackerNews — RedEnergy と名付けられた高度なランサムウェアの脅威が、ブラジルとフィリピンの公共/電力/石油/ガス/テレコム/機械などの部門を標的として、LinkedIn のページを介した野放し状態での攻撃を行っていることが発見された。Zscaler の研究者である Shatak Jain と Gurkirat Singh は、「このマルウェアは各種のブラウザから情報を盗み出す能力を持ち、機密データの流出を可能にすると同時に、ランサムウェア活動を実行するための、さまざまなモジュールを組み込んでいる」と、最近の分析結果を説明している。研究者たちは、被害者に最大限の損害を与えることを目的として、データ窃盗と暗号化を組み合わせていると指摘している。
Continue reading “RedEnergy という Stealer-as-a-Ransomware:ブラジルとフィリピンのインフラを攻撃している”Neo_Net runs eCrime campaign targeting clients of banks globally
2023/07/04 SecurityAffairs — 先日に vx-underground と SentinelOne が実施した共同調査により、Neo_Net というメキシコの脅威アクターが、世界中の金融機関を標的とした Android マルウェア・キャンペーンを仕掛けていることが明らかになった。この件は、セキュリティ研究者の Pol Thill により報告された。Neo_Net の eCrime キャンペーンは、2021年6月〜2023年4月にスペインとチリの銀行を中心に、世界中の銀行の顧客を標的としていたと報告されている。この脅威アクターは、比較的洗練されていないツールを使用しているが、このキャンペーンが成功した背景には、攻撃インフラを特定のターゲットに合わせて調整する能力があるためだと、専門家は推測している。
Continue reading “世界中の銀行の顧客が標的:メキシコの Neo_Net が eCrime キャンペーンを実施”Evasive Meduza Stealer Targets 19 Password Managers and 76 Crypto Wallets
2023/07/03 TheHackerNews — CaaS (Crimeware-as-a-Service) エコシステムが収益を上げている、新たな兆候が見つかった。ソフトウェア・ソリューションによる検出を回避し、活発に開発が継続されている Windows ベースの Meduza Stealer を、Uptycs のサイバー・セキュリティ研究者たちが発見したという。Uptycs は、「Meduza ステーラーが持つ唯一の目的は、包括的なデータ窃盗である。ユーザーのブラウジング活動を盗み出し、ブラウザに関連する各種のデータを抽出している。重要なログイン認証情報から、貴重な閲覧の履歴を綿密に記録/管理したブックマークにいたるまで、あらゆるデジタル成果物の安全性を脅かしている。暗号ウォレット・エクステンション/パスワード管理機能、2FA 拡張機能でさえも脆弱である」と述べている。
Continue reading “Meduza Stealer という Crimeware-as-a-Service:徹底的な情報窃取で収益を上げている”BlackCat ransomware pushes Cobalt Strike via WinSCP search ads
2023/07/01 BleepingComputer — BlackCat ランサムウェア・グループ (別名 ALPHV) は、Windows 用ファイル転送アプリケーション WinSCP の公式 Web サイトを模倣した偽ページに人々を誘い込み、マルウェアを仕込んだインストーラーをプッシュするという、マルバータイズ・キャンペーンを行っている。WinSCP (Windows Secure Copy) とは、SFTP/FTP/S3/SCP クライアントおよび、SSH ファイル転送機能を持つ、人気のフリー・オープンソースのファイル・マネージャでああり、SourceForge だけで毎週 40万もダウンロードされている。
Continue reading “WinSCP の偽サイトへ誘導:Google と Bing での悪意の広告キャンペーンでCobalt Strike を展開”Beware: New ‘RustBucket’ Malware Variant Targeting macOS Users
2023/07/01 TheHackerNews — 研究者たちが発見したのは、永続性を確立し、セキュリティ・ソフトウェアによる検出を回避する機能を備えた、RustBucket と呼ばれる macOS マルウェアの更新バージョンだ。Elastic Security Labs の研究者たちは、6月29日に公開されたレポートで、「macOS システムを標的とするマルウェア・ファミリーである RustBucket の亜種は、Command-and-Control (C2) のための動的ネットワーク・インフラ手法を活用し、これまで観測されていなかった永続化機能が追加されている」と説明している。
Continue reading “macOS ユーザーを狙う RustBucket マルウェア亜種:特異な永続性メカニズムを装備”Cybercriminals Hijacking Vulnerable SSH Servers in New Proxyjacking Campaign
2023/06/30 TheHackerNews — 金銭的な動機を持つ活発なキャンペーンが、脆弱な SSH サーバを標的とし、それらを秘密裏にプロキシ・ネットワークに参加させている。6月29日 (木) のレポートで Akamai の研究者である Allen West は、「SSH をリモートアクセスに活用する攻撃者が、悪質なスクリプトを実行して被害者のサーバを、 Peer2Profit や Honeygain などの P2P プロキシ・ネットワークへと、密かに参加させる活発なキャンペーンである」と述べている。
Continue reading “Proxyjacking という新たなキャンペーン:SSH サーバを Peer2Profit などに参加させて帯域を搾取”ThirdEye Infostealer Poses New Threat to Windows Users
2023/06/28 InfoSecurity — ThirdEye と呼ばれる新たなインフォ・スティーラー犯が、Windows ユーザーを標的にする可能性があるという。Fortinet の Threat Research Division である FortiGuard Labs は、6月27日 (火) に発表された技術文書で、この新しい脅威について説明している。その中で同社は、ThirdEye は侵害したマシンから貴重なシステム情報を抽出するように設計されており、将来のサイバー攻撃に悪用される可能性があると述べている。
Continue reading “ThirdEye というインフォ・スティーラーが登場:継続する改良に注視が必要”New Mockingjay process injection technique evades EDR detection
2023/06/27 BleepingComputer — Mockingjay と名付けられた、新しいプロセス・インジェクションの手法により、脅威たちは EDR (Endpoint Detection and Response) などのセキュリティ製品による検知を回避し、侵害したシステム上で悪意のコードを密かに実行できるという。この手法を発見したのは、サイバー・セキュリティ企業 Security Joes の研究者たちである、具体的に言うと、RWX (Read/Write/Execute) セクションを持つ正規の DLL を利用して、EDR のフックを回避し、リモート・プロセスにコードを注入するものとなる。
Continue reading “Mockingjay という新たなプロセス・インジェクションの手法:既存の EDR 検出を回避していく”Anatsa Android trojan now steals banking info from users in US, UK
2023/06/26 BleepingComputer — 2023年3月以降の新たなモバイル・マルウェア・キャンペーンにより、米国/英国/ドイツ/オーストリア/スイスのオンライン・バンキング利用者に対して、Android バンキング型トロイの木馬 Anatsa が押し付けられている。この悪質な活動を追跡している ThreatFabric のセキュリティ研究者によると、このマルウェアは Google Play ストア経由で配布され、このチャネルだけで既に3万件以上がインストールされているとのことだ。
Continue reading “Anatsa という Android バンキング・トロイの木馬:約 600 の金融アプリを標的としている”Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks
2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。
Continue reading “Volt Typhoon という中国ハッカー:重要インフラを攻撃する手口が明らかになってきた”Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack
2023/06/26 TheHackerNews — 6月の初めに、日本のある暗号通貨取引所が、JokerSpy と呼ばれる Apple macOS バックドアを展開する新たな攻撃の標的になった。Elastic Security Labs は、JokerSpy に関連する侵害行為を、REF9134 という名前で監視している。同社は、この攻撃により、SeatBelt というオープンソースのユーティリティにインスパイアされた、Swift ベースの列挙ツール Swiftbelt がインストールされたと述べている。先週に JokerSky は、Bitdefender により初めて文書化され、macOS マシンに侵入するために設計された、洗練されたツールキットであると報告されている。
Continue reading “日本の暗号通貨取引所でサイバー攻撃?JokerSpy という macOS バックドアが展開されたらしい”Powerful JavaScript Dropper PindOS Distributes Bumblebee and IcedID Malware
2023/06/23 TheHackerNews — 新種の JavaScript ドロッパーにより、ネクスト・ステージ・ペイロードが配信されていることが確認された。サイバー・セキュリティ企業 Deep Instinct は、この Bumblebee や IcedID にも似ているマルウェアを、User-Agent 内に名前を持つ PindOS として追跡している。Bumblebee と IcedID は、どちらもローダーとしての役割を担い、侵害したホスト上でランサムウェアなどのベクターとして機能する。最近の Proofpoint のレポートでは、IcedID が銀行詐欺の機能を放棄し、マルウェア配信のみに特化していることが強調されている。
Continue reading “PindOS という JavaScript マルウェア・ローダー: Bumblebee/IcedID との関係は?”Mirai botnet targets 22 flaws in D-Link, Zyxel, Netgear devices
2023/06/22 BleepingComputer — Mirai ボットネットの亜種が、D-Link/Arris/Zyxel/TP-Link/Tenda/Netgear/MediaTek などのデバイスを制御し、分散型サービス拒否 (DDoS) 攻撃を実行するために、約 20件の脆弱性を標的にしているという。このマルウェアは、3月14日に始まり 4月と6月に急増している。そして、この2つの進行中のキャンペーンを調査していた、Palo Alto Networks Unit 42 の研究者たちにより発見されている。6月22日に発表されたレポートの中で研究者たちは、このボットネット開発者は、悪用可能な脆弱性に関するコードを追加し続けていると警告している。
Continue reading “D-Link/Zyxel/Netgear デバイス:Mirai ボットネットが 22件の脆弱性を狙っている”Microsoft: Hackers hijack Linux systems using trojanized OpenSSH version
2023/06/22 BleepingComputer — 最近に確認されたクリプト・ジャッキング・キャンペーンの一環として、インターネットに公開された Linux や IoT デバイスが、ブルートフォース攻撃で乗っ取られていると、Microsoft が警告している。標的とするシステムへのアクセスを取得した攻撃者は、トロイの木馬化された OpenSSH パッケージを展開し、侵害されたデバイスをバックドア化し、SSH 認証情報を盗んで永続性を維持する。
Continue reading “OpenSSH のトロイの木馬:Linux ベースの Hiveon OS を乗っ取りクリプト・ジャッキング”Apple addressed actively exploited zero-day flaws in iOS, macOS, and Safari
2023/06/22 SecurityAffairs — Apple は、iOS/iPadOS/macOS/watchOS/Safari で発見された脆弱性のうち、野放し状態で活発に悪用されている脆弱性に対処した。具体的に言うと、先日に公開された Triangulation オペレーションでも悪用されていた、セロデイ脆弱性 CVE-2023-32434/CVE-2023-32435 である。Kaspersky の研究者たちは、Triangulation オペレーションを調査し、iOS デバイスにスパイウェアを配信するために採用された、エクスプロイト・チェーンに関する詳細を発見した。6月の上旬に Kaspersky の研究者たちは、Triangulation という名の長期的なキャンペーンの一環として、ゼロクリックのエクスプロイトで iOS デバイスを標的にする未知の APT グループを発見している。
Continue reading “Apple が iOS/macOS/Safari のゼロデイ脆弱性に対応:ゼロクリックで RCE という強敵”New RDStealer malware steals from drives shared over Remote Desktop
2023/06/20 BleepingComputer — RedClouds として追跡されているサイバースパイ/ハッキングのキャンペーンは、カスタム・マルウェア RDStealer を使用し、Remote Desktop 接続を介して共有されたドライブから、データを自動的に盗み出すものだ。この、Bitdefender Labs が発見した悪質なキャンペーンは、2022年以降において東アジアのシステムを標的にしていることが確認されている。このキャンペーンを、特定の脅威アクターによるものと断定はできないが、国家に支援される洗練された APT レベルの技術を持ち、関心の対象は中国と一致しているという。
Continue reading “RDStealer という強力なマルウェアが登場:RDP 侵害に特化した機能で東アジアを狙っている”Android spyware camouflaged as VPN, chat apps on Google Play
2023/06/19 BleepingComputer — Google Play 上の3件の Android アプリが、標的のデバイスから位置情報や連絡先リストなどを収集するに、国家に支援された脅威アクターにより運用されていたことが判明した。それらの悪意の Android アプリを発見した Cyfirma は、「遅くとも 2018年以降において、東南アジアの著名な組織を標的としている、インドのハッキング・グループ APT-C-35 (DoNot) が操作していたと、中程度の信頼性で判断している」と述べている。
Continue reading “Google Play にインド APT 由来のスパイウェア:VPN/Chat アプリを装っていた”New Mystic Stealer Malware Targets 40 Web Browsers and 70 Browser Extensions
2023/06/19 TheHackerNews — Mystic Stealer と呼ばれる新たな情報窃取マルウェアが、約40種類の Web ブラウザと70種類以上の Web ブラウザ・エクステンションから、データを窃取できることが判明した。2023年4月25日に、このマルウェアは、月額 $150 という価格で発売されていたが、そこで採用されるメカニズムは、暗号通貨ウォレット/Steam/Telegram などを標的にするものであり、分析にも抵抗するという。InQuest と Zscaler の研究者たちは、「そのコードは、ポリモーフィック文字列難読化/ハッシュベースのインポート解決/定数のランタイム計算を使用して、高度に難読化されている」と、先週に発表された分析で述べている。
Continue reading “Mystic Stealer という新種のマルウェア:40 の Web ブラウザと 70 のエクステンションが標的”Barracuda ESG zero-day attacks linked to suspected Chinese hackers
2023/06/15 BleepingComputer — Mandiant が UNC4841 として追跡している親中派ハッカー・グループへの疑いが、Barracuda ESG (Email Security Gateway) アプライアンス上の、パッチ適用済みゼロデイ脆弱性を悪用する、データ窃取攻撃と関連していることが判明した。この脅威アクターは、2022年10月10日頃から、Barracuda の添付ファイル・スキャン・モジュールに存在する、ゼロデイ・リモート・コマンド・インジェクション脆弱性 CVE-2023-2868 を悪用し始めた。5月19日に、この欠陥を発見した Barracuda は、脆弱性が悪用されていることを直ちに公表し、CISA は米国連邦政府機関に対して、セキュリティ更新プログラムを適用するよう警告を発した。
Continue reading “Barracuda ESG がデバイス交換を選択:中国 APT が仕掛けた強力なバックドアとは?”Fake Researcher Profiles Spread Malware through GitHub Repositories as PoC Exploits
2023/06/14 TheHackerNews — 不正なサイバー・セキュリティ企業の研究者たちによる、少なくとも6つの GitHub アカウントが、7つの悪意のリポジトリをプッシュしていることが確認された。この7つのリポジトリは、Discord/Google Chrome/Microsoft Exchange Server などの、ゼロデイ脆弱性の概念実証 (PoC) だと見られている。
Continue reading “GitHub リポジトリで発見されたマルウェア拡散の新手口:研究者たちの偽プロファイルを悪用”Adversary-in-the-Middle Attack Campaign Hits Dozens of Global Organizations
2023/06/13 TheHackerNews — AitM (Adversary-in-The-Middle) 技術を用いた広範な BEC (Business Email Compromise) キャンペーンにより、世界の数十の組織が標的にされていることが判明した。Sygnia の研究者たちは、「フィッシングに成功した脅威アクターは、ユーザー組織の従業員アカウントにアクセスし、Office365 の認証をバイパスし、そのアカウントへの永続的なアクセスを得るために AiTM 攻撃を実行している」と The Hacker Newsと共有したレポートで述べている。
Continue reading “AiTM フィッシング攻撃が多発:Office 365 認証をバイパスして BEC へと至る”Chinese Cyberspies Caught Exploiting VMware ESXi Zero-Day
2023/06/13 SecurityWeek — UNC3886 として追跡されている中国のサイバー・スパイ・グループが、VMware ESXi のゼロデイ脆弱性を悪用して、ゲスト仮想マシンの特権を昇格させることが確認されていると、Mandiant が警告している。 2022年9月に詳細が判明した UNC3886 は、悪意の vSphere Installation Bundles (VIB) を用いて、ESXi ハイパーバイザーにバックドアをインストールし、コマンド実行/ファイル操作/リバースシェルなどの機能を獲得してきた。このグループの悪意のアクティビティは、VMware ESXi Host/vCenter Server/Windows Virtual Machine に影響を与えることになる。
Continue reading “中国のサイバー・スパイ UNC3886:VMware ESXi のゼロデイを悪用して特権を得ている”Over 60,000 Android apps secretly installed adware for past six months
2023/06/06 BleepingComputer — これまでの6ヶ月間において、正規のアプリケーションを装う 60,000 件以上の Android アプリが検出を回避して、モバイル端末にアドウェアをインストールしていたことが判明した。この発見は、ルーマニアのサイバー・セキュリティ企業 Bitdefender によるものだ。先月に同社は、Bitdefender Mobile Security ソフトウェアに追加された異常検知機能を用いて、それらの悪意のアプリを検出したという。
Continue reading “Android アドウェア 60,000 件を発見:Google Play 以外からのインストールは危険だ!”North Korea Makes 50% of Income from Cyber-Attacks: Report
2023/06/05 InfoSecurity — 北朝鮮の政権における外貨収入の約半分は、暗号通貨などを狙ったサイバー攻撃から得られていると、米国の外交官が主張している。核兵器/ミサイルの計画と歩調を合わせるように、2018年以降において、同国からのサイバー攻撃が急増していると、バイデン政権の高官が日本経済新聞に語っている。
Continue reading “北朝鮮とサイバー攻撃:外貨収入の 50% を暗号通貨ハイジャックなどから得ている”Magento, WooCommerce, WordPress, and Shopify Exploited in Web Skimmer Attack
2023/06/05 TheHackerNews — 電子商取引サイトから PII (Personally Identifiable Information) やクレジットカードのデータを盗むことを目的とした、現在進行中の Magecart スタイルの Web スキマー・キャンペーンをサイバー・セキュリティ研究者たちが発見した。これまでの Magecart キャンペーンと異なる点は、乗っ取られたサイトが間に合せの Command and Control (C2) サーバとして機能することで、知らないうちに被害者のサイトが、悪質なコードの配布に悪用されている点である。Akamai は、北米/中南米/欧州などで、さまざまな規模の被害者を確認したと述べている。何千人ものサイト訪問者の、個人情報が不正に収集され売却されるという、危機的な状況に陥る可能性があると指摘している。
Continue reading “Magento/WooCommerce などが標的:商取引サイトを狙う Magecart キャンペーン”Online sellers targeted by new information-stealing malware campaign
2023/06/03 BleepingComputer — Vidar という情報窃取マルウェアを展開し、オンライン販売業者たちを標的とする新たなキャンペーンを介して、認証情報を盗み出す脅威アクターが、これまで以上に有害な攻撃を仕掛けている。この、今週に発見された新しいキャンペーンは、電子メールや Web サイトの問い合わせフォームを悪用して、オンラインストアの管理者に苦情を送りつけるところから始まる。それらの電子メールは、オンライン・ストアの顧客のふりをして、注文が適切に処理されないままに、銀行口座から $550 が差し引かれたと主張する。
Continue reading “Vidar 情報スティーラーの手口を分析:オンライン販売業者たちを狙う悪質キャンペーンとは?”Malicious PyPI Packages Use Compiled Python Code to Bypass Detection
2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”Chinese Phishing Gang “PostalFurious” Expands Campaign
2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール/フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。
Continue reading “PostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている”Malicious Chrome extensions with 75M installs removed from Web Store
2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。
Continue reading “Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが”New Horabot campaign takes over victim’s Gmail, Outlook accounts
2023/06/01 BleepingComputer — Hotabot ボットネット・マルウェアを取り込んだ、未知のキャンペーンが、遅くとも 2020年11月以降において、ラテン・アメリカのスペイン語圏のユーザーを標的とし、バンキングトロイの木馬とスパム・ツールの感染を広めていた。このマルウェアにより、被害者の Outlook/Gmail/Hotmail/Yahoo のメール・アカウントを制御した攻撃者は、受信箱に届くメールデータや 2FA コードを盗み出し、侵害したアカウントからフィッシング・メールを送信していたようだ。この新しい Horabot とういうマルウェアは、Cisco Talos のアナリストたちにより発見され、その背後にいる脅威アクターは、ブラジルに拠点を置いている可能性が高いと報告されている。
Continue reading “Horabot マルウェア:Outlook/Gmail などを狙う多段階のフィッシング・チェーン”Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks
2023/06/01 TheHackerNews — QBot (Qakbot) マルウェアの、高度な回避性と粘着性に関する分析により、その C2 サーバの 25% が、1日しか活動していないことが判明した。Lumen Black Lotus Labs は、「QBot の 50% のサーバーがアクティブなのが、1週間以内であることからして、適応性が高くて動的な C2 インフラが使用されていることが分かる」と、The Hacker News と共有したレポートで指摘している。さらに、セキュリティ研究者である Chris Formosa と Steve Rudd は、「このボットネットは、ホストされた VPS のネットワークに潜むのではなく、住宅用 IP スペースと感染した Web サーバに、そのインフラを隠すための技術を適応させている」と述べている。
Continue reading “QBot マルウェアの延命術:住居用 IP を短期間で切り替える C2 サーバ補充戦略とは?”Russia Blames US Intelligence for iOS Zero-Click Attacks
2023/06/01 SecurityWeek — 2023年6月1日に、ロシアに本拠を置く Kaspersky は、企業ネットワーク内の iOS デバイスに対して、ゼロクリックの iMessage エクスプロイトを仕掛ける APT アクターを発見したと発表した。 同じ日に、ロシアの連邦保安庁 (FSB:Federal Security Service) も、国内の契約者や外国公館が所有する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが進行していることについて、米国の情報機関を非難した。ソ連の KGB を引き継いだ、ロシアのセキュリティ機関 FSB は、NATO 諸国/中国/イスラエル/シリアに赴任する外交官の iPhone が、”米国の諜報機関による偵察オペレーション” により感染したと主張している。
Continue reading “iOS の iMessage を侵害するゼロクリック攻撃:ロシアが米情報機関を非難している”Spyware Found in Google Play Apps With Over 420 Million Downloads
2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集/攻撃者へのファイル送信/クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。
Continue reading “SpinOk というスパイウェア:Google Play アプリに組み込まれ 420M ダウンロード!”RomCom RAT Using Deceptive Web of Rogue Software Sites for Covert Attacks
2023/05/31 TheHackerNews — RomCom RAT の背後にいる脅威アクターたちは、遅くとも 2022年7月以降において、人気ソフトウェアの不正バージョンを宣伝する偽サイトのネットワークを活用して、ターゲットに侵入しているようだ。Trend Micro は、Void Rabisu という名前の悪意のアクティビティを追跡しているが、Unit 42 は Tropical Scorpius と呼び、Mandiant は UNC2596 と呼んでいる。
Continue reading “RomCom RAT と Void Rabisu の関連性:サイバー犯罪と APT 攻撃の境界線は曖昧?”Dark Pink APT Group Expands Tooling and Targets
2023/05/31 InfoSecurity — 著名な APT グループ Dark Pink によるキャンペーンの範囲は、当初に考えられていたよりも広く、その新たな被害者は、ベルギーにおける1件を含む、全体で5件に達していることを、研究者たちは確認している。中国との関連が指摘されている Dark Pink は、主に東南アジア諸国をターゲットに活動していると、これまでは考えられてきた。しかし、Group-IB が確認したところによると、被害者はタイやブルネイだけではなく、ベルギーにも広がっているとのことだ。
Continue reading “Dark Pink がツールを拡充しターゲットを拡大:ベルギーへの攻撃も成功させている”New GobRAT Remote Access Trojan Targeting Linux Routers in Japan
2023/05/29 TheHackerNews — 日本国内において、Linux ルーターが、新たな Golang RAT である GobRAT の標的になっている。今日の JPCERT Coordination Center (JPCERT/CC) の報告によると、「この攻撃者は、最初に WebUI が公開されているルーターを狙い、脆弱性を悪用するスクリプトを実行し、最終的に GobRAT に感染させている」と述べている。
Continue reading “GobRAT という Golang ベースの RAT:日本国内の Linux ルーターを侵害 – JPCERT/CC”US Navy hit by Chinese hacking campaign, report says
2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府/通信/製造/IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。
Continue reading “米海軍 グアムの IT インフラにハッカーが侵入:China 対 Five Eyes の情報戦が始まる?”QBot malware abuses Windows WordPad EXE to infect devices
2023/05/27 BleepingComputer — マルウェア QBot による最近の活動だが、Windows 10 の WordPad プログラムの DLLハイジャック欠陥を悪用してコンピュータに感染し、正規のプログラムを用いることでセキュリティ・ソフトによる検出を回避し始めているようだ。DLL とは、複数のプログラムで同時に使用できる機能を取り込んだライブラリ・ファイルのことである。したがって、アプリケーションを起動すると、必要な DLL が読み込まれることになる。
Continue reading “QBot の新たなオペレーション:WordPad を悪用する DLL ハイジャックの手口とは?”Microsoft 365 phishing attacks use encrypted RPMSG messages
2023/05/25 BleepingComputer — 侵害済の Microsoft 365 アカウント経由で送信された、暗号化された RPMSG 添付ファイルを使用して、メールセキュリティ・ゲートウェイによる検出を回避しながら、攻撃者たちは標的型フィッシング攻撃で Microsoft の認証情報を盗み出している。RPMSG (Restricted Permission Message) ファイルとは、Microsoft の Rights Management Services (RMS) を用いて作成された、暗号化電子メール・メッセージの添付ファイルであり、そのアクセスを許可された受信者だけに制限することで、機密情報の保護を強化するものだ。
Continue reading “Microsoft 365 に新たなフィッシング攻撃:暗号化された RPMSG メッセージの悪用を検出”Legion Malware Upgraded to Target SSH Servers and AWS Credentials
2023/05/24 TheHackerNews — コモディティ・マルウェアの一種である Legion がアップデートされ、DynamoDB/CloudWatch に関連する AWS (Amazon Web Services) の認証情報や、SSH サーバを侵害する機能などが追加された。Cado Labs の研究者である Matt Muir は、「最新のアップデートでは、Laravel の Web アプリからの AWS 固有の認証情報の窃取や、SSH サーバの侵害やなどの、新しい機能が追加されており、攻撃範囲の拡大が示されている」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Legion マルウェアがアップデート:AWS の認証情報や SSH サーバを標的に追加”N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware
2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱な バージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。
Continue reading “北朝鮮の Lazarus Group:Microsoft IIS を侵害してスパイウェアを配布している”New PowerExchange malware backdoors Microsoft Exchange servers
2023/05/24 BleepingComputer — PowerExchange という名の新たな PowerShell ベースのマルウェアが、イランの国家支援ハッカー APT34 が関与する攻撃で使用され、オンプレミスの Microsoft Exchange サーバをバックドア化している。この脅威アクターは、アーカイブ化された悪意の実行ファイルを取り込んだ、フィッシングメールを介してメール・サーバに侵入した後に、ユーザー認証情報を窃取するための ExchangeLeech と呼ばれる Web シェルを展開している。なお、ExchangeLeech は、2020年の時点で、Digital14 Incident Response チームにより発見されたものだ。
Continue reading “PowerExchange という新たなマルウェア:Exchange サーバを悪用して C2 通信”ESET: Android App ‘iRecorder – Screen Recorder’ Trojanized with AhRat
2023/05/23 InfoSecurity — デジタルの世界では、今日には便利なものが、明日には有害になることがある。残念ながら、それが iRecorder – Screen Recorder で起こってしまった。50,000 万件以上のインストール数を誇る、この画面録画用 Android アプリは、2021年9月に正規のアプリとして発売されたものだ。しかし、いまの iRecorder には、AhMyth をベースにした、新たな Android RAT (Remote Access Trojan) が仕込まれている。このオープンソースのリモート管理ツールにより、Android デバイスからのデータ・アクセスに使用できることが、サイバーセキュリティ・ベンダーである ESET により、2023年5月23日に判明した。
Continue reading “iRecorder – Screen Recorder はトロイの木馬:Google Play の正規アプリがマルウェア化”CommonMagic Malware Implants Linked to New CloudWizard Framework
2023/05/19 InfoSecurity — CommonMagic マルウェア・インプラントは、ロシアーウクライナ紛争に関連する未知の APT キャンペーンで採用されており、新しいモジュラー・フレームワークを用いるものだ。そして、関連が疑われる CloudWizard という名のフレームワークが、Kaspersky のセキュリティ研究者により発見され、今日のアドバイザリで説明されている。
Continue reading “CloudWizard という APT フレームワーク:CommonMagic マルウェアと多数の共通点”Once Again, Malware Discovered Hidden in npm
2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ/レジストリに存在する、“nodejs-encrypt-agent” という名前の2つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。
Continue reading “npm で発見された悪意のライブラリ:正規パッケージを装う TurkoRat マルウェア”Cyber Warfare Escalates Amid China-Taiwan Tensions
2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。
Continue reading “中国 – 台湾の緊張関係とサイバー戦争:PlugX マルウェアを仕込んだフィッシング攻撃が激化”Malicious Microsoft VSCode extensions steal passwords, open remote shells
2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、3種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報/システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。
Continue reading “Microsoft VSCode に悪意のエクステンション:パスワード窃取やリモートシェル確立などが目的”Threat Group UNC3944 Abusing Azure Serial Console for Total VM Takeover
2023/05/17 TheHackerNews — 仮想マシン (VM) 上の Microsoft Azure Serial Console を悪用する脅威アクターが、侵害した環境内にサードパーティ製のリモート管理ツールをインストールしている。Google 傘下の Mandiant は、この金銭的な動機に基づく活動は、UNC3944 (Roasted 0ktapus/Scattered Spider) という名前で追跡している脅威グループによるものだと分析している。
Continue reading “Azure VM を乗っ取る UNC3944:SIM Swapping と Serial Console 悪用を組み合わせた攻撃”
IoT OT Security News 
You must be logged in to post a comment.