Tag: Research

PyPI に colorfool という悪意のパッケージが登場:情報スティーラー/RAT を配布

Experts Identify Fully-Featured Info Stealer and Trojan in Python Package on PyPI

2023/03/02 TheHackerNews — 完全な機能を備えた情報スティラーとリモート・アクセス型トロイの木馬を含む、悪意の Python パッケージが、PyPI (Python Package Index) にアップロードされていたことが判明した。この、colorfool と名付けられたパッケージは、Kroll の Cyber Threat Intelligence Team により発見され、このマルウェア自体は Colour-Blind と呼ばれている。Kroll の研究者である Dave Truman と George Glass は、「Colour-Blind マルウェアは、他から調達したコードから複数の亜種を生成する。つまり、サイバー犯罪の不偏化により、脅威が激化していく可能性を示している」と、The Hacker News と共有したレポートで述べている。

Continue reading “PyPI に colorfool という悪意のパッケージが登場:情報スティーラー/RAT を配布”

Web Browser Security Report 2023:ブラウザのリスクと検証の盲点について詳述する

2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

2023/03/02 TheHackerNews — 今日の企業環境における主要な作業用インターフェースとして、Web ブラウザが重要な役割を担っている。Web ブラウザは、従業員の管理/非管理デバイスで使用され、Web ブサイト/SaaS アプリケーション/社内アプリケーションへのアクセスを実現している。ブラウザ・セキュリティ・ベンダーである LayerX が発表した最新レポートによると、この現実を悪用する攻撃者たちは、数多くのブラウザを標的にし、ユーザー組織におけるリスクが高まっていることが判明した 。

Continue reading “Web Browser Security Report 2023:ブラウザのリスクと検証の盲点について詳述する”

CISA の Decider というツール:観測された脅威の結果と MITRE ATT&CK をマッピング

CISA releases free ‘Decider’ tool to help with MITRE ATT&CK mapping

2023/03/02 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、セキュリティ・アナリストなどの防御側が、MITRE ATT&CK マッピング・レポートを迅速に作成するための、オープンソース・ツール Decider をリリースした。MITRE ATT&CK フレームワークは、サイバー攻撃の観測に基づき、敵対者の戦術や技術を特定/追跡するための標準であり、それに応じて防御側のセキュリティ態勢を調整するためのものだ。共通の基準を持つ組織は、新たに発見/出現した包括的で正確な情報を迅速に共有し、その攻撃を阻止するためのアクションを実施できる。

Continue reading “CISA の Decider というツール:観測された脅威の結果と MITRE ATT&CK をマッピング”

Iron Tiger ハッキング・グループは中国由来の APT27:Linux 版のカスタム・マルウェアを投入

Iron Tiger hackers create Linux version of their custom malware

2023/03/01 BleepingComputer — Iron Tiger こと APT27 ハッキング・グループは、カスタム・リモートアクセス・マルウェア SysUpdate の新しい Linux 版を用意し、企業で使用される広範なサービスを標的にしようとしている。Trend Micro の最新レポートによると、このハッカーは 2022年7月より Linux 版をテストし始めている。そして、2022年10月になると、複数のペイロードが野放し状態で活動し始めまた。

Continue reading “Iron Tiger ハッキング・グループは中国由来の APT27:Linux 版のカスタム・マルウェアを投入”

BlackLotus という UEFI Bootkit マルウェア第1号:Windows 11 の Secure Boot を突破する

BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11

2023/03/01 TheHackerNews — BlackLotus という高ステルス性の UEFI (Unified Extensible Firmware Interface) ブートキットが、Secure Boot 防御を回避するマルウェアとして初めて公になり、サイバー環境における強力な脅威となってきた。スロバキアのサイバーセキュリティ企業 ESET は、「このブートキットは、UEFI セキュアブートを有効にした最新の Windows 11 システム上でも実行可能である」と、The Hacker News と共有したレポートで述べている。

Continue reading “BlackLotus という UEFI Bootkit マルウェア第1号:Windows 11 の Secure Boot を突破する”

GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック

GitHub’s secret scanning alerts now available for all public repos

2023/03/01 BleepingComputer — GitHub が発表したのは、すべての公開リポジトリにおいて、シークレット・スキャン・アラート・サービスが利用できるようになり、公開履歴全体にわたって流出したシークレットを検出できるようになったことだ。このシークレットとは、GitHub のリポジトリに誤って追加された APIキー/アカウントパスワード/認証トークンなどの機密データであり、攻撃者によるセキュリティ侵害や非公開データへのアクセスなどへといたる可能を生じるものだ。

Continue reading “GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック”

Google Cloud Platform のフォレンジック・ログに欠陥:どのような処方箋があるのか?

Google Cloud Platform allows data exfiltration without a (forensic) trace

2023/03/01 HelpNetSecurity — Google Cloud Platform (GCP) のストレージ・バケットに保存された企業データを、GCP のストレージ・アクセスログに悪意の活動のフォレンジック・トレースを残すことなく流出させられることが、Mitiga の研究者たちにより明らかにされた。ここで提起された重要な問題は、GCP の基本的なストレージログ (デフォルトでは無効化) が、異なるタイプのアクセスに対して同じディスクリプション/イベント (objects.get) を使用しているという点である。具体的に言うと、ファイルの読み取り/ファイルのダウンロード/外部バケットへのファイルのコピー/サーバへのファイルのコピー、ファイルおよびオブジェクトのメタデータの読み取りといったタイプが挙げられる。

Continue reading “Google Cloud Platform のフォレンジック・ログに欠陥:どのような処方箋があるのか?”

多要素認証 (MFA) バイパス:3種類の侵入ベクターについて解説する

Cyberattackers Double Down on Bypassing MFA

2023/03/01 DarkReading — 企業が従業員や顧客に対して、より強固なセキュリティを企業が求めるにつれて、攻撃者たちは多要素認証 (MFA) の回避を進化させてきた。今週に発表された、サイバー・セキュリティ企業 LastPass におけるデータ漏洩や、2月の初めに発表されたソーシャルメディア・サービス Reddit における侵害のように、この種の侵害発生は、着実に増加している。 

Continue reading “多要素認証 (MFA) バイパス:3種類の侵入ベクターについて解説する”

SaaS 内の資産は混乱している:3rd/4th パーティとの共有状況を定量化する

Public SaaS Assets Are a Major Risk For Medium, Large Firms

2023/03/01 InfoSecurity — 中堅企業の 81% および大手企業の 78% が、Google Drive/Workspace に暗号化ファイルを保存している。また、61% の組織には、会社が所有の資産を個人のメールで共有する従業員がいる。この調査結果は、DoControl の最新レポート Software-as-a-Service (SaaS) Security Threat Landscape から得られたものであり、機密資産の人手による追跡が、これまで想像されていた以上に複雑になる可能性を示唆している。

Continue reading “SaaS 内の資産は混乱している:3rd/4th パーティとの共有状況を定量化する”

モバイル・フィッシング 2022年レポート:BYOD ポリシー緩和につけ込む攻撃者たち

Record Number of Mobile Phishing Attacks in 2022

2023/03/01 InfoSecurity — Lookout によると、2022年においては、過去最大のモバイル・フィッシングが観測され、世界のスマフォ・ユーザーの半数が、四半期ごとにフィッシング攻撃にさらされていたこと判明した。この調査結果は、2023年3月1日に Lookout 発表した Global State of Mobile Phishing Report から得られたものだ。 このレポートによると、モバイル・フィッシングの発生率は、3年前からの上昇傾向を裏付けるものであり、2020年 Q4 以降においては四半期ごとに増加している。ただし、この数字は、個人の携帯電話のみを対象としている。

Continue reading “モバイル・フィッシング 2022年レポート:BYOD ポリシー緩和につけ込む攻撃者たち”

Parallax RAT の標的は暗号通貨企業:洗練されたインジェクション技術で検出を回避

Parallax RAT Targeting Cryptocurrency Firms with Sophisticated Injection Techniques

2023/03/01 TheHackerNews — Parallax RAT と呼ばれるリモート・アクセス型トロイの木馬を配信する新しいキャンペーンにおいて、暗号通貨企業が標的にされている。Uptycs の最新レポートには、「このマルウェアは、インジェクション技術を用いて正規のプロセス内に潜伏し、検出を困難にしている。その注入を成功させた攻撃者は、おそらく通信チャネルとして機能する Windows Notepad を介して、被害者に接触するようになる。

Continue reading “Parallax RAT の標的は暗号通貨企業:洗練されたインジェクション技術で検出を回避”

LastPass のデータ侵害:エンジニアの自宅 PC が企業ストレージへの侵入経路に

LastPass breach: Hacker accessed corporate vault by compromising senior developer’s home PC

2023/02/28 HelpNetSecurity — 2022年8月に発生した LastPass の開発環境への侵害と、その後に発生したバックアップ・ホストのサードパーティ・クラウド・ストレージ・サービスへの不正アクセスに関して、同社から顧客へを通知が改めて行われた。同社の通知には、「脅威アクターたちは、最初のインシデントで盗み出した情報や、サードパーティのデータ漏えいから得た情報に加えて、サードパーティのメディア・ソフトウェア・パッケージの脆弱性などを悪用することで、協調的な第2の攻撃を開始した」と記されている。2つの侵害の影響は壊滅的であり、盗まれた/危険にさらされたデータと、機密情報のリストは広範囲に及んでいる。

Continue reading “LastPass のデータ侵害:エンジニアの自宅 PC が企業ストレージへの侵入経路に”

EX-22 という悪意のフレームワークが登場:システム侵入後の作業が容易に

New EX-22 Tool Empowers Hackers with Stealthy Ransomware Attacks on Enterprises

2023/02/28 TheHackerNews — EXFILTRATOR-22 (別名 EX-22 ) という、新たな Post-Exploitation フレームワークが野放し状態で発見された。その主目的は、企業ネットワーク内で検知されずに、ランサムウェアを拡散させることにあるという、サイバー・セキュリティ企業の CYFIRMA は最新レポートで、「このツールには、システムに侵入した後の作業を容易にするための、幅広い機能が搭載されている」と述べている。

Continue reading “EX-22 という悪意のフレームワークが登場:システム侵入後の作業が容易に”

SaaS-to-SaaS 接続のリスク:人々の認識よりも遥かに根深い問題とは?

Shocking Findings from the 2023 Third-Party App Access Report

2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織 で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取/更新/作成/削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。

Continue reading “SaaS-to-SaaS 接続のリスク:人々の認識よりも遥かに根深い問題とは?”

米国の国家サイバー戦略が規制を強化:攻撃的な Hack-Back アプローチも容認

US National Cyber Strategy Pushes Regulation, Aggressive Hack-Back Operations

2023/02/27 SecurityWeek — 米国政府は、重要インフラ・ベンダーに対する強制的な規制を承認する一方で、外国の敵対者に対する積極的な Hack-Back アプローチを容認するための、サイバー・セキュリティ戦略文書を発表する予定である。ワシントンで話題になっている、この戦略文書に関する初期の報道によると、国家安全保障における公平な競争条件のために規制を利用する、35 ページに及ぶ国家サイバーセキュリティ戦略の最終詳細を、バイデン政権は熟考しているとのことだ。

Continue reading “米国の国家サイバー戦略が規制を強化:攻撃的な Hack-Back アプローチも容認”

モバイル・バンキングの脅威:この1年で2倍増した偽装アプリの検出件数

Researchers Discover Nearly 200,000 New Mobile Banking Trojan Installers

2023/02/27 InfoSecurity — サイバー・セキュリティの研究者たちは、2022年に新たに196,476件のモバイル・バンキング型トロイの木馬を発見した。これは、2021年の倍以上の数字となる。この調査結果は、先ほど Kaspersky が公開したレポートで明らかにされ、メールで InfoSecurity と共有された。同社は、「モバイル・バンキング型トロイの数の急増は、過去6年間で報告された中で最も激しいものであり、懸念すべき事態である」と述べている。

Continue reading “モバイル・バンキングの脅威:この1年で2倍増した偽装アプリの検出件数”

ChromeLoader マルウェアが蔓延:Nintendo/Steam のゲーム・クラックを介して配布されている

ChromeLoader Malware Poses as Steam, Nintendo Game Mods

2023/02/27 InfoSecurity — Nintendo や Steam のゲーム・クラックや MOD を装うファイルを介して、脅威アクターたちが、ChromeLoader マルウェアを配布していることが判明した。Asec のセキュリティ研究者たちによると、最近になって観測された悪意の活動は、VHD ディスク・イメージ・ファイルに依拠しているとのことだ。同社が木曜日に発表したアドバイザリには、「このプロセスを通じて VHD ファイルがダウンロードされた場合には、悪意の VHD ファイルをゲーム関連のプログラムだと、ユーザーが間違える可能性がある」と説明されている。

Continue reading “ChromeLoader マルウェアが蔓延:Nintendo/Steam のゲーム・クラックを介して配布されている”

PureCrypter のキャンペーンの狙いは政府機関:AgentTesla などのマルウェアを配布

PureCrypter used to deliver AgentTesla to govt organizations

2023/02/27 SecurityAffairs — PureCrypter マルウェア・ローダーを使用し、政府機関を標的としたキャンペーンを展開する未知の脅威アクターを、Menlo Labs の研究者たちが発見した。このキャンペーンは、侵害した NPO のドメインを C2 サーバとして悪用して、Redline Stealer/AgentTesla/Eternity/Blackmoon/Philadelphia Ransomware などのマルウェアを配信し、セカンド・ステージ・ペイロードを展開しようとするものだ。専門家たちが発見したのは、アジア太平洋地域 (APAC) /北米の複数の政府系組織に対する、複数のマルウェア配信の試みである

Continue reading “PureCrypter のキャンペーンの狙いは政府機関:AgentTesla などのマルウェアを配布”

Brave のユーザー保護機能が前進:open in app のブロックで pool-party 攻撃に対抗

Brave browser to block “open in app” prompts, pool-party attacks

2023/02/24 BleepingComputer — プライバシー保護に特化したブラウザ Brave の次期メジャー・バージョンでは、”open in app” のような煩わしいプロンプトがブロックされ、pool-party 攻撃に対する保護の強化が始まる予定だという。この、邪魔な “open in app” ポップアップは、ブラウザのプライバシー保護機能が適用されない空間へと、訪問者を連れて行くことを目的としており、広範なユーザー・データが、アプリの作成者により自由に収集される可能性を生じる。

Continue reading “Brave のユーザー保護機能が前進:open in app のブロックで pool-party 攻撃に対抗”

ランサムウェアと身代金:支払いに応じるケースは 10% に過ぎないが金額は高騰している

Firms Who Pay Ransom Subsidise 10 New Attacks: Report

2023/02/24 InfoSecurity — ランサムウェの被害において、身代金が支払われたケースは 10% に過ぎないが、その対価が新たな攻撃 6件~10件の資金源になっていることが、Trend Micro の調査により判明した。セキュリティ・ベンダーである Trend Micro は、データサイエンスの手法を用いて、検知用テレメトリ/ネットワーク・インフラ/ブロックチェーン取引/アンダーグラウンド・フォーラム/チャットログなどのデータを分析しましたという。

Continue reading “ランサムウェアと身代金:支払いに応じるケースは 10% に過ぎないが金額は高騰している”

S1deload Stealer という情報スティーラーが登場:Facebook/YouTube ユーザーが標的

Hackers Use S1deload Stealer to Target Facebook, YouTube Users

2023/02/23 InfoSecurity — Facebook/YouTube のアカウントを標的とする情報スティーラーを用いた、新たなグローバル・キャンペーンをセキュリティ研究者たちが発見した。Bitdefender が S1iDeload Stealer と命名した新しいスティーラーは、悪意のコンポーネントを実行するために、DLL サイドローディング技術を採用している。

Continue reading “S1deload Stealer という情報スティーラーが登場:Facebook/YouTube ユーザーが標的”

ワイパー・マルウェアが急増:ウクライナ侵攻により世界中で蔓延し始める

Russian Invasion Sparks Global Wiper Malware Surge

2023/02/23 InfoSecurity — セキュリティ・ベンダーの Fortinet によると、ウクライナ戦争により破壊的なマルウェアの新しい波が世界中に押し寄せており、それをサービスとして提供する、サイバー犯罪グループが増えているという。昨年にロシア軍が利用したワイパー・マルウェアだが、昨年にウクライナ国境を越えて急速に拡大し、その活動量は 2022 Q3 と Q4 の比較において 53% 増になると、同社は指摘している。

Continue reading “ワイパー・マルウェアが急増:ウクライナ侵攻により世界中で蔓延し始める”

Docker コンテナ・イメージに取り込まれる脆弱性:4つの混入シナリオとは?

Researchers find hidden vulnerabilities in hundreds of Docker containers

2023/02/23 HelpNetSecurity — Rezilion が明らかにした、数百の Docker コンテナ・イメージに存在する脆弱性は、ほとんどの標準的な脆弱性スキャナや SCA (Software Composition Analysis) ツールでは検出されないものだという。数十億回もダウンロードされた数百の一般的なコンテナ・イメージ内に、深刻度が Critical/High の脆弱性が数多く隠されていることが、この調査により判明した。それらの脆弱性の中には、悪用方法が公表されている有名なものも含まれている。

Continue reading “Docker コンテナ・イメージに取り込まれる脆弱性:4つの混入シナリオとは?”

84% のコードベースに既知のオープンソース脆弱性:開発ライフサイクルに可視性を!

Open Source Flaws Found in 84% of Codebases

2023/02/22 InfoSecurity — 5つのコードベースのうちの4つ以上 (84%) が、少なくとも1つの、既知のオープンソース脆弱性を含んでいるという。この数字は、Synopsys の Open Source Security and Risk Analysis Report (OSSRA) によるもので、昨年と比較して約 4% 増加しているとのことだ。また、この調査レポートが指摘するのは、Edtech 分野でのオープンソースの採用が 163% 増加し、宇宙/航空/自動車/輸送/物流の分野では 97%、製造およびロボットの分野では 74% 増加している点だ。

Continue reading “84% のコードベースに既知のオープンソース脆弱性:開発ライフサイクルに可視性を!”

Npm に大量の悪意のパッケージ:分散型フィッシング・リンクを備えている

Npm Packages Used to Distribute Phishing Links

2023/02/22 InfoSecurity — 複数のユーザー・アカウントから、数時間のうちに 15,000以上のスパム・パッケージを、OSS リポジトリ npm にアップロードするという脅威が確認されている。2023年2月21日に、JavaScript 開発者である Jesse Mitchell は、「npm に対するスパム攻撃を検知した。何万ものパッケージがレジストリに殺到し、トップページを占拠している」と、Twitter に投稿している。続いて、Checkmarx の Cybersecurity Expert である Yehuda Gelb が、さらに調査/分析を行い、その結果についてアドバイザリで述べている。

Continue reading “Npm に大量の悪意のパッケージ:分散型フィッシング・リンクを備えている”

サードパーティのリスク管理という難題:自動化のための 3−Step で捉えてみよう

3 Steps to Automate Your Third-Party Risk Management Program

2023/02/21 TheHackerNews — “サードパーティ・データ漏洩” でググってみると、最近のサードパーティへの攻撃によるデータ漏洩や、サードパーティに保管されていた機密情報の漏洩などの、多数の報告があることが分かる。サードパーティによるデータ漏洩が業界により差別化されないのは、ビジネス・パートナー/請負業者/再販業者/IT ソフトウェア/IT プラットフォーム/サービス・プロバイダーなどの、ほとんど全ての企業が、何らかのベンダーとの関係を持ちながら運営されているためである。Osano のレポートによると、現時点における組織/企業は、平均で 730社のサードパーティとデータを共有しており、デジタル・トランスフォーメーションの加速に伴い、その数は増加の一途をたどっているという。

Continue reading “サードパーティのリスク管理という難題:自動化のための 3−Step で捉えてみよう”

APAC のデータセンターが標的:新たなサイバー攻撃の証拠が発見された

Resecurity warns about cyber-attacks on data center service providers

2023/02/21 SecurityAffairs — カリフォルニアに拠点を置くサイバー・セキュリティ企業の Resecurity は、複数のデータセンターに対して、それらの組織と顧客を標的としたサイバー攻撃に関する警告を。 2021年9月から発してきたことを公表した。同社は最新のレポートで、通知の対象とされた組織は、サプライチェーンの重要な部分として機能しており、国家支援 APT/犯罪者/サイバー・スパイグループなどの格好のターゲットだと述べている。この、Resecurity による通知の詳細は、さらなる分析とリスク軽減のために、影響を受けた当事者および、中国/シンガポール政府の緊急対応チームと共有された。さらに、2022年と 2023年1月にアップデートされた同通知は、発見されたデータセットに Fortune 500 の大企業が多数存在していたことから、米国の法執行機関とも共有された。

Continue reading “APAC のデータセンターが標的:新たなサイバー攻撃の証拠が発見された”

MyloBot ボットネットが全世界に拡大:毎日5万台以上のデバイスを感染させている

MyloBot Botnet Spreading Rapidly Worldwide: Infecting Over 50,000 Devices Daily

2023/02/21 TheHackerNews — MyloBot という高度なボットネットは、数千のシステムを侵害しており、その大半がインド/米国/インドネシア/イランなどに配置されている。 これは BitSight の最新の調査結果によるもので、現時点において、毎日 50,000 以上のユニークな感染システムが確認されているが、2020年の最高値である 250,000 のユニークなホストからは減少しているとのことだ。また、MyloBot のインフラの分析により、BHProxies と呼ばれる住宅用プロキシ・サービスへの接続が見つかり、侵害されたマシンが利用されていたことが判明した。

Continue reading “MyloBot ボットネットが全世界に拡大:毎日5万台以上のデバイスを感染させている”

macOS/iOS で権限昇格の新たなバグ:Pegasus スパイウェアの二の舞はゴメンだ!

New Privilege Escalation Bug Class Found on macOS and iOS

2023/02/21 InfoSecurity — Trellix のサイバー・セキュリティ研究者たちが、macOS/iOS に存在する6つの脆弱性と、新しいバグクラスに関する調査結果を発表した。今日の未明に公開された同社のアドバイザリでは、新しいクラスの権限昇格の脆弱性は、NSO Group のモバイル・マルウェア Pegasus を展開するために macOS/iOS の機能を悪用した、ForcedEntry 攻撃に基づくものだと述べられている。

Continue reading “macOS/iOS で権限昇格の新たなバグ:Pegasus スパイウェアの二の舞はゴメンだ!”

Windows の脆弱性 CVE-2023-21752 の悪用を確認:直ちに パッチ適用を!

Hackers Exploit Privilege Escalation Flaw on Windows Backup Service

2023/02/21 InfoSecurity — Windows の Backup and Restore サービスに存在する、権限昇格の脆弱性 CVE-2023-21752 が、脅威アクターたちに悪用されていることが確認された。CloudSEK の研究者たちは、「この脆弱性の悪用に成功したベーシック・ユーザーは、Windows Backup and Restore サービスから指定したストレージパスを介して、ホスト上で任意のコード実行することでファイルの削除が可能になる。このアクションは、特権を持つユーザーのみが実行できるものだ」と述べている。

Continue reading “Windows の脆弱性 CVE-2023-21752 の悪用を確認:直ちに パッチ適用を!”

Stealc 情報スティーラーは MaaS へと進化:YouTube 動画をルアーに使用

Researchers Discover Numerous Samples of Information Stealer ‘Stealc’ in the Wild

2023/02/21 TheHackerNews — ダークウェブで宣伝されている Stealc という新しい情報スティーラーが、他の同種のマルウェアの有力な競合相手として頭角を現しているようだ。SEKOIA は 2月20日 (月) のレポートで、「Stealc は、完全な機能を備え、即座に使用できるスティーラーとして脅威アクターに紹介されている。そのテクノロジーは、Vidar/Raccoon/Mars/RedLine などのスティーラーを拠り所にしている」と述べている。

Continue reading “Stealc 情報スティーラーは MaaS へと進化:YouTube 動画をルアーに使用”

WhiskerSpy という北朝鮮のマルウェア:ウォータリング・ホール攻撃で中国と日本を狙う

New WhiskerSpy malware delivered via trojanized codec installer

2023/02/18 BleepingComputer — セキュリティ研究者たちが発見したのは、北朝鮮に関心を示す個人を標的とする、最近の脅威アクター Earth Kitsune のキャンペーンで使用されている、新しいバックドア WhiskerSpy だ。この脅威アクターは、試行錯誤の末に、北朝鮮の親サイトのビジターからターゲットを選び出すという、ウォータリング・ホール攻撃として知られる手口を採用していた。この新しいオペレーションの存在は、2019年から Earth Kitsune の活動を追跡してきた、サイバーセキュリティ企業の Trend Micro の研究者たちにより、昨年末に発見された。

Continue reading “WhiskerSpy という北朝鮮のマルウェア:ウォータリング・ホール攻撃で中国と日本を狙う”

ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する

Google Report Reveals Russia’s Elaborate Cyber Strategy in Ukraine

2023/02/17 InfoSecurity — ロシアが支援するサイバー攻撃は、2020年と 2022年の比較において、ウクライナを標的としたものは 250% の、NATO 諸国を標的としたものは 300% の増加となった。このデータを提供しているのは、2月16日に公開された Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape という、Google Trust & Safety と Mandiant (現在は Google Cloud の一部) の共同レポートであり、Google Threat Analysis Group (TAG) による調査の結果の1つである。同レポートで Google が明らかにしているのは、サイバー・スペースで決定的な戦時的優位を得ようとする、ロシアの積極的かつ多面的な戦略が、2019年にまでさかのぼる可能性である。

Continue reading “ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する”

ChatGPT とセキュリティの関係:ポジティブ? ネガティブ? 判断は時期尚早?

ChatGPT Subs In as Security Analyst, Hallucinates Only Occasionally

2023/02/16 DarkReading — 今週に発表された調査結果によると、人気の Large Language Model (LLM) である ChatGPT は、その AI モデルが特定のアクティビティのために訓練されていなくても、潜在的なセキュリティ・インシデントのトリアージや、コード内のセキュリティ脆弱性を見つける防御者にとって、有益であると示唆される。

Continue reading “ChatGPT とセキュリティの関係:ポジティブ? ネガティブ? 判断は時期尚早?”

PayPal のメール・アカウントを悪用する偽請求書:その見破り方と対処法は?

Hackers Leverage PayPal to Send Malicious Invoices

2023/02/16 InfoSecurity — オンライン決済プラットフォーム PayPal を悪用して、偽の請求書をユーザーに対してダイレクトに送信する、脅威アクターの存在が確認された。この最新のキャンペーンは、Check Point 傘下 Avanan のセキュリティ研究者により発見されたものだが、従来からのキャンペーンとは全く異なるものだとされる。今日のアドバイザリには、「これは、PayPal に成りすます攻撃とは異なるものだ。つまり、PayPal からダイレクトに送られてくる悪質な請求書である」と記されている。

Continue reading “PayPal のメール・アカウントを悪用する偽請求書:その見破り方と対処法は?”

VMware ESXi 攻撃の推移:ESXiArgs ランサムウェアが 500 台以上のホストを侵害

Over 500 ESXiArgs Ransomware infections in one day, but they dropped the day after

2023/02/16 SecurityAffairs — Censys の研究者たちが、「この数日において、新たな ESXiArgs ランサムウェアに 500台強のホストが感染したことが確認された。その大半は、フランス/ドイツ/オランダ/イギリスに存在している。ESXi バージョン 6.5/6.7 がサポート終了を迎えた直後である、2022年10月中旬に配布されたと思われる、きわめて類似した身代金メモを持つ2台のホスト、このインシデントの分析中に発見された」と述べている。

Continue reading “VMware ESXi 攻撃の推移:ESXiArgs ランサムウェアが 500 台以上のホストを侵害”

Havoc という OSS C2 フレームワーク:Microsoft Defender をバイパスする能力とは?

Hackers start using Havoc post-exploitation framework in attacks

2023/02/15 BleepingComputer — Cobalt Strike や Brute Ratel などの有料オプションに代わるものとして、Havoc という新しいオープンソースの Command and Control (C2) フレームワークへと脅威アクターが乗り換えていることを、セキュリティ研究者たちは確認している。クロス・プラットフォームに対応する Havoc は、スリープの難読化/リターン・アドレス・スタックのスプーフィング/間接的なシステムコールを用いて、最新の Windows 11 と Microsoft Defender をバイパスしていく。

Continue reading “Havoc という OSS C2 フレームワーク:Microsoft Defender をバイパスする能力とは?”

LockBit 対 Royal Mail:身代金交渉に関する生々しい会話がリークされた

LockBit and Royal Mail Ransomware Negotiation Leaked

2023/02/15 InfoSecurity — 2023年1月に発生した、LockBit による Royal Mail へのランサムウェア攻撃において、同社から盗まれたデータを安全に返還するためには、£65.7m ($79.85m) が必要だと要求する、両者間での会話のログが公開された。このインシデントは発生してから数時間後に、LockBit グループが犯行声明を出し、数日間にわたり Royal Mail の業務に支障が生じたと報道された。そして昨日には、Royal Mail の交渉担当者との会話を、このハッキング集団が流出させたが、ITPro によると、この会話は約3週間にも及んでいるそうだ。

Continue reading “LockBit 対 Royal Mail:身代金交渉に関する生々しい会話がリークされた”

GitHub CoPilot への評価:AI モデルのトレーニングに開発者を利用して良いのか?

GitHub Copilot update stops AI model from revealing secrets

2023/02/15 BleepingComputer — GitHub の発表は、Visual Studio 上でソースコードや関数のレコメンドをリアルタイムに生成する、プログラミング・アシスタント Copilot の AI モデルを更新し、より安全で強力になったというものだ。今週からユーザーに展開される新しい AI モデルは、より質の高い提案を短時間で提供し、受け入れ率を高めることで、ソフトウェア開発者の効率をさらに向上させるという。

Continue reading “GitHub CoPilot への評価:AI モデルのトレーニングに開発者を利用して良いのか?”

Beep というスティルス・マルウェア:未完成だが検知回避のフルセットを備える

New stealthy ‘Beep’ malware focuses heavily on evading detection

2023/02/14 BleepingComputer — 先週に、Beep という新しいステルス・マルウェアが発見されたが、セキュリティ・ソフトウェアによる分析/検出を回避するための、数多くの機能を備えていることが明らかになった。ファイル・スキャンと悪意のコンテンツの検出のためのオンライン・プラットフォームである VirusTotal に、このマルウェアのサンプルが次々とアップロードされた後に、Minerva のアナリストが特定することになった。現時点の Beep は開発中であり、いくつかの重要な機能が欠けているが、脅威アクターたちは侵害したデバイスに、さらなるペイロードをダウンロードしてリモートで実行している。

Continue reading “Beep というスティルス・マルウェア:未完成だが検知回避のフルセットを備える”

QBot/Lokibot/AgentTesla が Top-3 という調査結果:2023年1月のマルウェア・レポート

Lokibot, AgentTesla Grow in January 2023’s Most Wanted Malware List

2023/02/14 InfoSecurity — Check Point が、2023年1月の Global Threat Index レポートを発表しが、2023年1月の Most Wanted Malware リストにおいて、AgentTesla が 2022年12月の9位から3位に返り咲いたことが明らかになった。また、インフォ・スティーラー Lokibot は、Top-10 圏外から2位へと大きく伸びている。さらに、ブランド・ジャッキングの増加により Top-10 リストに復帰した、インフォ・スティーラー Vidar は、RDP ソフトウェア AnyDesk に関連する偽ドメイン拡散が確認されている。

Continue reading “QBot/Lokibot/AgentTesla が Top-3 という調査結果:2023年1月のマルウェア・レポート”

Swiss Army knife は多機能マルウェア:キルチェーンを支援しながら増加の傾向

Malware that can do anything and everything is on the rise

2023/02/14 HelpnetSecurity — セキュリティ・ソフトウェアによる検出を回避しながら、サイバー・キルチェーン全体で悪質な行為を行う多目的マルウェア Swiss Army knife の増加が、Picus Security の調査により判明した。この、同社による調査結果は、プロプライエタリ/オープンソースの脅威情報サービスや、セキュリティベンダー、マルウェア・サンドボックス、データベース、研究者などから収集した、55万以上の実世界のマルウェア・サンプルを分析して得られたものだ。

Continue reading “Swiss Army knife は多機能マルウェア:キルチェーンを支援しながら増加の傾向”

PyPI に 451 個のタイポスクワッティング・パッケージ:Chrome エクステンションを侵害

451 PyPI packages install Chrome extensions to steal crypto

2023/02/13 BleepingComputer — 暗号ウォレットや Web サイトを介した暗号通貨取引をハイジャックするために、450 個以上の悪意の PyPI Python パッケージが、悪意のブラウザ・エクステンションをインストールしていることが確認されている。2022年11月の時点で、わずか 27個の悪意の PyPI パッケージから始まったキャンペーンだが、この数ヶ月で大きく拡大している。

Continue reading “PyPI に 451 個のタイポスクワッティング・パッケージ:Chrome エクステンションを侵害”

サイバー・セキュリティの意思決定:約8割の企業は攻撃者を把握していないが?

Majority of Firms Make Cybersecurity Decisions Without Attacker Insight

2023/02/13 infoSecurity — 5社中の4社 (79%) の企業が、サイバー・セキュリティに関する意思決定の大半を、自社のインフラを狙う脅威アクターを把握することなく下していることが判明した。このレポートは、Google 傘下の脅威分析会社 Mandiant によるものだ。同社は、「サイバー・セキュリティ意思決定者の 67%が、依然として上級管理職チームはサイバー脅威を過小評価していると回答している。その一方で、意思決定者の 68% は、脅威の状況に対する理解を深める必要があることに同意している」と述べている。

Continue reading “サイバー・セキュリティの意思決定:約8割の企業は攻撃者を把握していないが?”

Cloudflare が HTTP DDoS 攻撃を阻止:過去最大級の 71M RPS という規模だった

Cloudflare blocks record-breaking 71 million RPS DDoS attack

2023/02/13 BleepingComputer — 今週末に発生した過去最大規模の DDoS 攻撃を、Cloudflare が阻止した。同社は、顧客を狙った超大規模な DDoS 攻撃を、数十回にわたって検知/緩和したという。Cloudflare の Omer Yoachimik/Julien Desgats/Alex Forster は、「大半の攻撃のピークは、毎秒 50M〜70M RPS (requests per second) で、最大のものは 71M RPS を超えた。これは、2022年6月に報告された 46M RPS という前回の記録を 35%以上も上回る、過去最大の HTTP DDoS 攻撃だった」と語っている。

Continue reading “Cloudflare が HTTP DDoS 攻撃を阻止:過去最大級の 71M RPS という規模だった”

PyPI パッケージに潜む W4SP Stealer:あらゆる機密情報を盗み取る

Devs targeted by W4SP Stealer malware in malicious PyPi packages

2023/02/12 BleepingComputer — Python Package Index (PyPI) 上で発見された5つの悪意のパッケージは、無防備な開発者からパスワード/Discord 認証クッキー/暗号通貨ウォレットを盗み出すものだ。PyPI とは、プログラミング言語 Python で作成されたパッケージのためのソフトウェア・リポジトリであり、約 20万個のパッケージをホストしている。そのため、開発者は各種のプロジェクト要件を満たす、既存のパッケージを見つけることが可能となり、時間と労力を節約できる。

Continue reading “PyPI パッケージに潜む W4SP Stealer:あらゆる機密情報を盗み取る”

MagicWeb という AD FS 狙いのマルウェア:ロシアの国家支援ハッカー Nobelium が開発

MagicWeb Mystery Highlights Nobelium Attacker’s Sophistication

2023/02/11 DarkReading — ロシアに関連する Nobelium グループが開発した、Active Directory Federated Services (AD FS) に対する高度な認証バイパス・マルウェアを、Microsoft が検出した。 この、Microsoft が MagicWeb と呼ぶ Nobelium のマルウェアは、ユーザーの AD FS サーバにバックドアを埋め込み、特別に細工した証明書を使用して通常の認証プロセスを迂回させるものだ。Microsoft のインシデント対応担当者は、認証フローのデータを収集し、攻撃者が使用した認証証明書をキャプチャし、バックドアコードをリバース・エンジニアリングした。

Continue reading “MagicWeb という AD FS 狙いのマルウェア:ロシアの国家支援ハッカー Nobelium が開発”

エンドポイント・セキュリティは容易:残された問題はツール統合における混乱

Endpoint security getting easier, but most organizations lack tool consolidation

2023/02/10 HelpNetSecurity — Syxsense によると、IT とセキュリティのチームは、管理機能とセキュリティ機能の統合を進めているという。その背景にある目的は、エンドユーザーに対する新しいアプリケーションの適切な提供/コンプライアンスの改善/エンドポイント・セキュリティと管理チームの連携によるサイバー攻撃の低減などの達成である。

Continue reading “エンドポイント・セキュリティは容易:残された問題はツール統合における混乱”