Ducktail の PHP バージョン:Facebook ビジネス・アカウントの窃取を狙っている

New PHP Version of Ducktail Malware Hijacking Facebook Business Accounts

2022/10/14 TheHackerNews — Zscaler の最新の調査結果によると、Ducktail と呼ばれる情報窃取マルウェアの PHP バージョンが、クラックされた正規のアプリやゲーム用のインストーラーの形で、野放し状態で配布されていることが発覚した。Zscaler ThreatLabz の研究者である Tarun Dewan と Stuti Chaturvedi は、「旧バージョン (.NetCore) と同様に、最新バージョン (PHP) も、保存したブラウザ認証情報/Facebook アカウント情報などの、機密情報の流出を目的としている」と述べている。

Continue reading “Ducktail の PHP バージョン:Facebook ビジネス・アカウントの窃取を狙っている”

Cloudflare の DDoS 2022 Q3 レポート:攻撃の傾向および規模と持続時間

Cloudflare mitigated record DDoS attack against Minecraft server

2022/10/13 BleepingComputer — 最近のことだが、最大級の Minecraft サーバである Wynncraft が、2.5 Tbps の分散型サービス拒否 (DDoS:Distributed Denial-of-Service) 攻撃を受けた。Cloudflare によると、今回の DDoS は約2分間続いたマルチベクトル攻撃であり、UDP/TCPのフラッド・パケットで構成され、サーバを過負荷に陥れることで、数十万人のプレイヤーをシャットアウトしようとするものだったという。

Continue reading “Cloudflare の DDoS 2022 Q3 レポート:攻撃の傾向および規模と持続時間”

Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡

Experts analyzed the evolution of the Emotet supply chain

2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。

Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”

Caffeine という Phishing-as-a-Service:ディフォルト標的は Microsoft 365

Caffeine service lets anyone launch Microsoft 365 phishing attacks

2022/10/10 BleepingComputer — Phishing-as-a-Service (PhaaS) プラットフォームである Caffeine は、脅威アクターによる攻撃を容易にするものであり、誰もが簡単に登録して独自のフィッシング・キャンペーンを開始できるという特徴を持っている。Caffeine は招待/紹介を必要とせず、管理者から承認を Telegram やハッキング・フォーラムで得る必要もない。そのため、この種のプラットフォーム全体の特徴である、面倒さの多くを取り除いている。

Continue reading “Caffeine という Phishing-as-a-Service:ディフォルト標的は Microsoft 365”

IcedID マルウェア運用に変化:複数の配信経路により効果を測定している?

Hackers behind IcedID malware attacks diversify delivery tactics

2022/10/10 BleepingComputer — IcedID マルウェアによるフィッシング・キャンペーンの背後にいる脅威アクターは、さまざまなターゲットに対して、最も効果的な攻撃を仕掛けるために、多種多様な配布方法を利用していると思われる。2022年9月に、Team Cymru の研究者たちは、複数のキャンペーンを観測したが、いずれも微妙に異なる感染経路を辿っており、有効性を評価するための戦術が取られていると考えているようだ。

Continue reading “IcedID マルウェア運用に変化:複数の配信経路により効果を測定している?”

Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた

Toyota discloses data leak after access key exposed on GitHub

2022/10/10 BleepingComputer — トヨタ自動車株式会社は、約5年間にわたり GitHub 上でアクセス・キーが、誤って公開されていたことが判明したことで、顧客の個人情報が流出した可能性があるとして、警告を発している。トヨタ T-Connect は、トヨタ車のオーナーのスマートフォンと、車両のインフォテインメント・システムを連携させ、電話/音楽/ナビ/通知/走行データ/エンジン状態/燃費などの情報を活用するための、公式コネクティビティ・アプリである。

Continue reading “Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた”

BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング

Callback phishing attacks evolve their social engineering tactics

2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬/スパイウェア/ランサムウェアなどの、追加のペイロードがドロップされる。

Continue reading “BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング”

OWASP API Top 10 [+] に注目:Shadow API を狙う 50億のリクエストなどの脅威

Shadow APIs hit with 5 billion malicious requests

2022/10/07 HelpNetSecurity — Cequence Security は、”API Protection Report: Shadow APIs and API Abuse Explode” と題した、2022年上半期のレポートを発表した。調査結果の主なものは、一般的に Shadow API と呼ばれる、未知かつ管理/保護されていない API を対象とした、約50億 (31%) の悪質なトランザクションに関するものであり、この分野における最大の脅威になっているという。

Continue reading “OWASP API Top 10 [+] に注目:Shadow API を狙う 50億のリクエストなどの脅威”

RDP 攻撃が 89% も減少:ESET が分析する5月〜8月のデータとは?

RDP Attacks Decline 89% in Eight Months

2022/10/06 InfoSecurity — ESET の最新データによると、RDP パスワード推測攻撃の検出数は、今年の1月〜4月の 1230億件から、5月〜8月の 130億件へと減少している。セキュリティ・ベンダーである ESET の Threat Report シリーズは、同社製品からのテレメトリーを使用して編集されている。このレポートは、通常、4ヶ月単位で脅威の状況を分析しており、今回のレポートでは5月~8月が対象となっている。

Continue reading “RDP 攻撃が 89% も減少:ESET が分析する5月〜8月のデータとは?”

Microsoft SQL Server に感染する多機能バックドア:Maggie 汚染は既に数百台

Hundreds of Microsoft SQL servers backdoored with new malware

2022/10/05 BleepingComputer — Microsoft SQL Server を標的とする新たなマルウェアが、セキュリティ研究者たちにより発見された。この Maggie と名付けられたバックドアは、すでに世界中の数百台のマシンに感染しているようだ。Maggie は、コマンドの実行やファイルとのやり取りを指示する、SQL クエリにより制御される。その機能の及ぶ範囲には、他の Microsoft SQL Server への管理者ログインの強要や、サーバのネットワーク環境へのブリッジヘッドなどが含まれるという。

Continue reading “Microsoft SQL Server に感染する多機能バックドア:Maggie 汚染は既に数百台”

ランサムウェア・ギャングが好む攻撃ベクター:No.1 は脆弱性の悪用で 52% を占める

Bug Exploitation Now Top Ransomware Access Vector

2022/10/04 InfoSecurity — Secureworks の最新調査によると、過去 12ヶ月間に発生した調査したランサムウェア・インシデントのうち、イニシャル・アクセス経路としてナンバーワンになったのは脆弱性の悪用であり、その比率が 52% に達したことが明らかになった。Secureworks の年次レポートである State of the Threat は、同社の Counter Threat Unit が行った、過去1年間の調査をベースに作成されている。

Continue reading “ランサムウェア・ギャングが好む攻撃ベクター:No.1 は脆弱性の悪用で 52% を占める”

CISA から連邦政府への新指令 BOD 23-01:IT 資産の可視化/脆弱性検出を強化

CISA Directive Improves Asset Visibility, Vulnerability Detection on Federal Networks

2022/10/04 InfoSecurity — CISA は、連邦政府のネットワークにおける、IT 資産の可視性/脆弱性検出を改善するための、新たな拘束的運用指令 (BOD:Binding Operational Directive) を発表した。この新指令 BOD 23-01 は、2023年4月3日に発効され、また、連邦民間行政機関 (FCEB) に対して、IT 資産の発見を7日ごとに自動を行うよう求めるものとなる。BOD 23-01 の文書には、「この課題を達成するために、数多くの方法や技術を用いることが可能だが、最低限でカバーすべき範囲は、それぞれの機関が用いる IPv4 空間全体となる」と記されている。

Continue reading “CISA から連邦政府への新指令 BOD 23-01:IT 資産の可視化/脆弱性検出を強化”

Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する

Bumblebee Malware Loader’s Payloads Significantly Vary by Victim System

2022/10/04 DarkReading — 3月に表面化した、きわめて悪質なマルウェア・ローダー Bumblebee の最新分析により、企業ネットワークの一部としてのシステム向けのペイロードと、スタンドアロン・システム向けのペイロードでは、その種類が大きく異なることが判明した。たとえば、Active Directory サーバを共有しているような、ドメインの一部として認識されたシステムの場合には、Cobalt Strike のような高度なポスト・エクスプロイト・ツールを実行するよう、このマルウェアはプログラムされている。

Continue reading “Bumblebee マルウェア:標的システムに特化したペイロードをロードして攻撃する”

Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出

WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation

2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。

Continue reading “Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出”

Okta 報告:全ログイン試行の 34%を占めるクレデンシャル・スタッフィングの猛攻

Okta: Credential stuffing accounts for 34% of all login attempts

2022/09/21 BleepingComputer — 2022 Q2 にクレデンシャル・スタッフィング攻撃が流行し、そのためのトラフィックが、一般ユーザーからの正当なログイン試行回数を上回る国もあるという。この種の攻撃で悪用されるのは、複数のサイトで同じ認証情報のペア (ログイン名とパスワード) を使用する、パスワード・リサイクルという悪習慣である。

Continue reading “Okta 報告:全ログイン試行の 34%を占めるクレデンシャル・スタッフィングの猛攻”

オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機

Open Source Repository Attacks Soar 700% in Three Years

2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。

Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”

Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている

Emotet Botnet Started Distributing Quantum and BlackCat Ransomware

2022/09/19 TheHackerNews — 2022年の Conti 撤退後の Emotet マルウェアだが、Quantum/BlackCat などのRansomware-as-a-Service  (RaaS) グループにより活用され始めていることが判明した。このマルウェア Emotet は、2014年にバンキング型トロイの木馬として始まった。その後の、度重なるアップデートにより、被害者のマシンに他のペイロードをダウンロードする機能を実装し、攻撃者による遠隔操作に対応するなど、きわめて強力な脅威へと変化している。

Continue reading “Emotet 最新情報:RaaS グループ Quantum/BlackCat などが活用し始めている”

CISA/NSA が Open RAN (Radio Access Network) アーキテクチャの実装ガイダンスを発表

US Agencies Publish Security Guidance on Implementing Open RAN Architecture

2022/09/16 SecurityWeek — CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) が、Open Radio Access Network (RAN) アーキテクチャの実装に関するガイダンスを発表した。このガイダンスは、Open Radio Access Network Security Considerations と題された汎用的な文書であり、現在の知識/推奨/慣行に基づき、さまざまな業界に適用されるはずだ。

Continue reading “CISA/NSA が Open RAN (Radio Access Network) アーキテクチャの実装ガイダンスを発表”

PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY/KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Continue reading “PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布”

WordPress サイト 28万件に影響:WPGateway Plugin の深刻なゼロデイ脆弱性

Over 280,000 WordPress Sites Attacked Using WPGateway Plugin Zero-Day Vulnerability

2022/09/14 TheHackerNews — WordPress プレミアム・プラグイン WPGateway の最新バージョンに存在する、ゼロデイ脆弱性が活発に悪用されており、攻撃に成功した脅威アクターによるサイトの完全な乗っ取りの可能性が生じている。この脆弱性 CVE-2022-3180 (CVSS : 9.8) は、WPGateway プラグインを実行しているサイトに対して、攻撃者を管理者ユーザーとして追加する武器として使われていると、WordPress セキュリティ企業である Wordfence は指摘している。

Continue reading “WordPress サイト 28万件に影響:WPGateway Plugin の深刻なゼロデイ脆弱性”

航空機内の無線 LAN デバイスに致命的なセキュリティ欠陥:Contec Flexlan とは?

Vulnerabilities Found in Airplane WiFi Devices, Passengers’ Data Exposed

2022/09/14 InfoSecurity — 航空機内のインターネット接続に使用される無線 LAN デバイスに、2つの深刻な脆弱性が発見された。これらの脆弱性は、Necrum Security Labs の Thomas Knudsen と Samy Younsi が発見したものであり、Contec 社製の Flexlan FX3000/FX2000 シリーズの、無線 LAN デバイスに影響を及ぼすものである。

Continue reading “航空機内の無線 LAN デバイスに致命的なセキュリティ欠陥:Contec Flexlan とは?”

Snyk 2022年 Cloud 調査:企業ユーザーの 80% が痛い目にあっている

Four-Fifths of Firms Hit by Critical Cloud Security Incident

2022/09/14 InfoSecurity — Snyk の最新調査によると、これまでの1年間で約 80% の組織が、なんらかの深刻なクラウド・セキュリティ・インシデントに見舞われており、また、25% の組織は、クラウド・データ侵害に見舞われているのに気づいていない状況にあるとのことだ。Snyk の調査内容は、さまざまな規模や業種の組織に所属する、400人のクラウド・エンジニアとセキュリティ専門家を対象に行われ、その結果として、State of Cloud Security Report が作成された。

Continue reading “Snyk 2022年 Cloud 調査:企業ユーザーの 80% が痛い目にあっている”

マルウェアを解析する:ANY.RUN サンドボックスを用いたハンティングの流れとは?

How to Do Malware Analysis?

2022/09/14 TheHackerNews — Malwarebytes’ Threat Review for 2022 の調査結果によると、2021年には4000万台の Windows ビジネス・コンピュータで脅威が検出された。このような攻撃に対抗し、脅威を回避するためには、マルウェアの解析が欠かせない。今回は、悪意のプログラムの調査の目的と、サンドボックスを使ったマルウェア解析の方法を紹介していく。

Continue reading “マルウェアを解析する:ANY.RUN サンドボックスを用いたハンティングの流れとは?”

中規模リテール 422社の調査:2021年には 77% がランサムウェアの被害に遭った

Over Three-Quarters of Retailers Hit by Ransomware in 2021

2022/09/11 InfoSecurity — Sophos によると、世界の小売業の約 77%が、2021年にランサムウェアの被害に遭い、最も大きな被害を受けた業界にもなっている。セキュリティ・ベンダーである Sophos は、31カ国の中規模 (従業員数 100~5000人) である小売業者の回答者 422人を対象に、レポート The State of Ransomware in Retail 2022 を作成した。この数字は、2020年と比較して 75% という大幅な増加を示しており、全セクターの平均値よりも 11% 高く、小売業は2番目に大きな被害を受けた業界となった。

Continue reading “中規模リテール 422社の調査:2021年には 77% がランサムウェアの被害に遭った”

企業と IT 資産:エンドポイントの 10%以上で保護の欠如が判明

Over 10% of Enterprise IT Assets Found Missing Endpoint Protection

2022/09/08 infosecurity — 企業における IT 資産の 10%以上がエンドポイント保護を欠いており、約5%が企業のパッチ管理ソリューションの非対象であることが判明した。これらの数字は Sevco Security の最新の調査によるもので、同社は State of the Cybersecurity Attack Surface レポートとしてまとめている。

Continue reading “企業と IT 資産:エンドポイントの 10%以上で保護の欠如が判明”

Shopify の脆弱なパスワード・ポリシー:e コマース業界全体としての改善が必要

Shopify Fails to Prevent Known Breached Passwords

2022/09/08 TheHackerNews — 最近のレポートにより、e コマース・プロバイダーである Shopify は、同社の Web サイトの顧客向けセクションで、特に脆弱なパスワード・ポリシーを使用していることが判明した。報告書によると、Shopify は顧客に対して、少なくとも5文字以上で、スペースで開始/終了しないパスワードの使用を要求しているという。

Continue reading “Shopify の脆弱なパスワード・ポリシー:e コマース業界全体としての改善が必要”

Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?

Defenders Be Prepared: Cyberattacks Surge Against Linux Amid Cloud Migration

2022/09/06 DarkReading — Linux を実行するシステムの数と、それを攻撃する件数は、Windows に遠く及ばないだろうが、Linux ベースのサーバやテクノロジーに対する脅威アクターたちの関心は、このところ著しく高まってきている。今週に Trend Micro が発表したレポートによると、特にクラウドでの Linux インフラにおいて、ミッションクリティカルなアプリケーションやデータをホストする企業が増加していることが、その背景にあるようだ。Trend Micro は、Linuxシステムを標的とするランサムウェア攻撃が、2022年上半期に 75% 増加 (前年同期比) したことを確認している。

Continue reading “Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?”

Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増

Ransomware attacks on Linux to surge

2022/09/05 HelpNetSecurity — Trend Micro の予測によると、今後の数年間で、Linux サーバーや組み込みシステムを標的にする、ランサムウェア・グループの攻撃が増えるとのことだ。 これらのシステムに対する攻撃は、2022年上半期において、前年比で2桁の増加を記録している。

Continue reading “Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増”

American Express 顧客を狙うフィッシング・メール:Google Workspace の検出を回避

A new phishing scam targets American Express cardholders

2022/09/04 SecurityAffairs — Armorblox の研究者たちにより、American Express 顧客をターゲットにする新たなフィッシング・キャンペーンが発見された。このフィッシング・メッセージの内容は、カード所有者を騙して、悪意の添付ファイルを開かせようとするものだ。メールの件名は「Important Notification About Your Account」となっており、受信者に開封を促そうとしている。

Continue reading “American Express 顧客を狙うフィッシング・メール:Google Workspace の検出を回避”

SaaS 利用に関する調査:利便性と安全性のギャップを埋める方法はあるのか?

Companies underestimate number of SaaS applications in their environment

2022/09/02 HelpNetSecurity — 米国/英国/欧州の企業における SaaS 利用に焦点を当てた最新調査で、SaaS アプリの利用とセキュリティの間に、顕著な違いがあることが明らかになった。現状として、回答者の大半 (74%) は、利用しているアプリの半分以上が SaaS ベースであると報告している。また、英国の企業の 70%は、今日における SaaS アプリへの支出は、1年前よりも増えていると報告している。

Continue reading “SaaS 利用に関する調査:利便性と安全性のギャップを埋める方法はあるのか?”

NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために

NSA and CISA share tips to secure the software supply chain

2022/09/01 BleepingComputer — 今日、米国の NSA と CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・サプライチェーンを保護するためのチップスを発表した。この指針は、米国の重要インフラと国家安全保障システムに対する脅威に対処する、官民パートナーシップである Enduring Security Framework (ESF) により、ソフトウェア開発者向けの推奨事例集として作成されたものだ。

Continue reading “NSA と CISA のガイダンス:サプライチェーン攻撃から組織を守るために”

APT40 が利用する ScanBox:中国に関連する大規模スパイ・キャンペーンのコア?

China-linked APT40 used ScanBox Framework in a long-running espionage campaign

2022/08/31 SecurityAffairs — Proofpoint の Threat Research Team が、中国とつながりのある脅威アクターが仕組んだ、世界の事業体を標的とするサイバー・スパイ・キャンペーンを発見した。このキャンペーンは、オーストラリア/マレーシア/ヨーロッパの事業体および、南シナ海で活動する組織を対象としていた。そして Proofpoint は、PwC の脅威インテリジェンス研究者たちの協力を得ながら、このキャンペーンを分析した。

Continue reading “APT40 が利用する ScanBox:中国に関連する大規模スパイ・キャンペーンのコア?”

クラウドの調査:38% のユーザーがデータ流出に気付けないという現状

1 in 3 organizations don’t know if their public cloud data was exfiltrated

2022/08/31 HelpNetSecurity — Laminar が発表したのは、2022年7月の AWS re:Inforce と、2022年8月の Black Hat で実施した “2022 Security Professional Insight Survey” の調査結果である。この調査により、データ漏洩のリスクを低減するためにセキュリテ・ィチームが積極的に取り組みたいと考える、組織における防御のギャップが明らかになった。この調査には、リーダー職とライン職の両方から、合計415名のセキュリティ専門家が参加した。

Continue reading “クラウドの調査:38% のユーザーがデータ流出に気付けないという現状”

Lloyd’s 保険が新たな免責条項を採用:国家支援サイバー攻撃を補償から除外

Cyber-Insurance Firms Limit Payouts, Risk Obsolescence

2022/08/29 DarkReading — 主要な保険会社が、国家が支援する脅威アクターによる、壊滅的なサイバー攻撃に対する免責条項を採用した。そのため、各企業にとって、サイバー保険料の再評価を行う必要性が生じている。セキュリティとリスクの専門家たちは、「これにより、企業がサイバー保険で相殺できるリスクは制限され、保険に加入するメリットがなくなる可能性がある」と、 Dark Reading に語った。

Continue reading “Lloyd’s 保険が新たな免責条項を採用:国家支援サイバー攻撃を補償から除外”

ETHERLED エアギャップ攻撃:ネットワークボードの LED 点滅から機密情報を抽出

ETHERLED: Air-gapped systems leak data via network card LEDs

2022/08/23 BleepingComputer — イスラエルの研究者である Mordechai Guri は、ネットワークカード上のLEDインジケータを使用して、エアギャップ・システムからデータを取得する新しい方法を発見した。この、 ETHERLED と名付けられた方法は、点滅するライトをモールス信号にして、攻撃者が解読できるようにするものだ。

Continue reading “ETHERLED エアギャップ攻撃:ネットワークボードの LED 点滅から機密情報を抽出”

SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増

Phishing attacks abusing SaaS platforms see a massive 1,100% growth

2022/08/23 BleepingComputer — 脅威アクターたちが、Web サイト・ビルダーやパーソナル・ブランディング・スペースなどの、正規の SaaS (Software-as-a-Service) プラットフォームを悪用して、ログイン情報を盗むための悪質なフィッシング・サイトを作成する手口が増加している。Palo Alto Networks Unit 42 の最新レポートによると、研究者たちは SaaS 悪用の急増を確認しており、同社が収集したデータは、2021年6月〜2022年6月で 1,100% という大幅な増加を示しているという。

Continue reading “SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増”

Winnti ハッキング・グループの戦略:Cobalt Strike を 154 分割して検出を回避

Winnti hackers split Cobalt Strike into 154 pieces to evade detection

2022/08/18 BleepingComputer — 中国の Winnti は、APT41 または Wicked Spider とも呼ばれるハッキング・グループであり、昨年の成果として、少なくとも 80の組織を標的にし、少なくとも 13の組織のネットワーク侵入に成功した。このハッキング・グループの活動を追跡してきた、Group-IB の研究者たちによると、2021年は Wintti が最も激しく動いた1年であったという。

Continue reading “Winnti ハッキング・グループの戦略:Cobalt Strike を 154 分割して検出を回避”

ゼロトラスト戦略の急速な拡大:地域と分野での取り組みをデータで参照

The factors driving today’s accelerated zero trust adoption

2022/08/18 HelpNetSecurity — Okta の 2022 State of Zero Trust Security Report により、ビジネスにおける重要かつ必須の事項はバズワードからゼロトラストへと、急速に変化していることが判明した。現時点において 97% の企業が、ゼロトラスト・イニシアチブを実施しているか、あるいは、今後の 12~18カ月以内に実施するとしており、2018年の 16% から上昇し、過去4年間で 500%以上の増加となっている。

Continue reading “ゼロトラスト戦略の急速な拡大:地域と分野での取り組みをデータで参照”

産業用位置情報システム RTLS に深刻な脆弱性:Black Hat で中間者攻撃が証明される

RTLS systems vulnerable to MiTM attacks, location manipulation

2022/08/16 BleepingComputer — セキュリティ研究者たちが、UWB (Ultra-Wideband) の RTLS (Real-Time Locating Systems) に影響を与える複数の脆弱性を発見した。この脆弱性の悪用に成功した脅威アクターは、中間者攻撃を行い、タグの地理位置データを操作できるという。 RTLS 技術の用途は、産業環境/公共交通機関/ヘルスケア/スマートシティなどに広がっている。その主な役割は、追跡タグ/信号受信アンカー/中央処理システムを使用した、ジオ・フェンシング・ゾーンの定義により、安全を支援することにある。

Continue reading “産業用位置情報システム RTLS に深刻な脆弱性:Black Hat で中間者攻撃が証明される”

研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?

Researchers Debut Fresh RCE Vector for Common Google API Tool

2022/08/10 DarkReading — Google SLO Generator の脆弱なバージョンを悪用し、リモートコードの実行 (RCE) を容易にするという、新たな攻撃ベクターが発見された。この脆弱性の悪用に成功した攻撃者は、システムにアクセスし、あたかもネットワーク内の信頼できるソースから来たかのように、悪意のコードを展開できるという。

Continue reading “研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?”

プロトコル運用の調査:FTP 公開 36%/LDAP 露出 41%/SSH 露出 64% ・・・

36% of orgs expose insecure FTP protocol to the internet, and some still use Telnet

2022/08/10 HelpNetSecurity — ExtraHop Benchmarking Cyber Risk and Readiness レポートでは、SMB/SSH/Telnet などの安全ではないプロトコルや、きわめて機密性の高いプロトコルを、かなりの割合の組織が、インターネットに公開していることが明らかにされていいる。意図的であれ偶発的であれ、こうした公開は、サイバー攻撃者にネットワークへの容易な侵入口を提供し、あらゆる組織の攻撃対象領域を拡大することになる。

Continue reading “プロトコル運用の調査:FTP 公開 36%/LDAP 露出 41%/SSH 露出 64% ・・・”

米CISA/豪ACSC の発表:2021年 マルウェアの Top-10 や詳細などが明らかに!

US, Australian Cybersecurity Agencies Publish List of 2021’s Top Malware

2022/08/08 SecurityWeek — 米国の CISA とオーストラリアの ACSC が、2021年のマルウェア上位を詳述する共同アドバイザリーを発表した。CISA と ACSC によると、ランサムウェア/ルートキット/スパイウェア/トロイの木馬/ウイルス/ワームを監視してきた結果として、2021年はトロイの木馬が優勢であり、Agent Tesla/AZORult/Formbook/GootLoader/LokiBot/MouseIsland/NanoCore/Qakbot/Rems/TrickBot/Ursnif が上位を占めたとのことだ。

Continue reading “米CISA/豪ACSC の発表:2021年 マルウェアの Top-10 や詳細などが明らかに!”

Microsoft のメール認証情報を狙うフィッシング・キット:MFA 回避機能を持つ?

Microsoft accounts targeted with new MFA-bypassing phishing kit

2022/08/03 BleepingComputer — Microsoft の電子メールサービスの認証情報を狙う、新たな大規模フィッシング・キャンペーンにおいて、カスタム・プロキシ・ベースのフィッシング・キットを用いられ、多要素認証 (MFA) を回避していることが判明した。このキャンペーンの目的は、エンタープライズ・アカウントに侵入して BEC (Business Email Compromise) 攻撃を行い、偽造書類を用いて支配下の銀行口座へと支払いを実行させることだと研究者たちは捉えている。

Continue reading “Microsoft のメール認証情報を狙うフィッシング・キット:MFA 回避機能を持つ?”

VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?

VirusTotal Reveals Most Impersonated Software in Malware Attacks

2022/08/03 TheHackerNews — 信頼関係を悪用してソーシャル・エンジニアリング攻撃の成功率を高める手段として、Skype/Adobe Reader/VLC Player などの正規のアプリケーションを模倣する、脅威アクターが増えている。また、VirusTotal の分析によると、最も偽装されている正規アプリのアイコンは、7-Zip/TeamViewer/CCleaner/Microsoft Edge/Steam/Zoom/WhatsApp などであることが判明している。

Continue reading “VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?”

Twitter API キーをリークする 3,200 のモバイル・アプリ:研究者が推奨する対策とは?

Researchers Discover Nearly 3,200 Mobile Apps Leaking Twitter API Keys

2022/08/01 TheHackerNews — 研究者たちが発見した 3,207件のアプリ・リストだが、そのうちのいくつかは、Twitterアカウントに不正にアクセスするために利用できるものだという。シンガポールのサイバー・セキュリティ企業 CloudSEK は、The Hacker News と独占的に共有したレポートの中で、正規の Consumer Key と Consumer Secret の情報が流出したことで、乗っ取りが可能になると述べている。

Continue reading “Twitter API キーをリークする 3,200 のモバイル・アプリ:研究者が推奨する対策とは?”

フィッシングの分析:最も多く偽装されたブランドは1位 Microsoft/2位 Facebook

The most impersonated brand in phishing attacks? Microsoft

2022/08/01 HelpNetSecurity — Vade が発表したレポート Phishers’ Favorites Top 25, H1 2022 によると、フィッシング攻撃におけるブランド偽装 Top-25 の、1位は Microsoft、2位は Facebook であり、以下 フCrédit Agricole、WhatsApp、Orange などがランクインしている。

Continue reading “フィッシングの分析:最も多く偽装されたブランドは1位 Microsoft/2位 Facebook”

セキュリティ意識調査:予算の大部分が無駄になっていると 70% 以上の企業が回答

Only 25% of organizations consider their biggest threat to be from inside the business

2022/07/28 HelpNetSecurity — Gurucul によると、73.48% の組織が、自由に使えるセキュリティ・ ツールが過剰に提供されているにも関わらず、脅威を修正できずにおり、サイバー・セキュリティ予算の大部分を無駄にしていると感じている。

Continue reading “セキュリティ意識調査:予算の大部分が無駄になっていると 70% 以上の企業が回答”

IBM 調査:データ侵害が生み出す1件あたりのコストが史上最高の $4.35 M に達する

The global average cost of a data breach reaches an all-time high of $4.35 million

2022/07/27 HelpNetSecurity — IBM Security がリリースした 2022 Cost of a Data Breach Report より、これまで以上にコストが高く、影響が大きいデータ侵害が発生し、調査対象組織におけるデータ侵害の平均コストは、過去最高の $4.35 million であることが判明した。

Continue reading “IBM 調査:データ侵害が生み出す1件あたりのコストが史上最高の $4.35 M に達する”

LockBit 3.0 と BlackMatter の関係を分析:専門家たちが指摘する類似点とは?

Experts Find Similarities Between New LockBit 3.0 and BlackMatter Ransomware

2022/07/27 TheHackerNews — サイバー・セキュリティ研究者たちは、ランサムウェア LockBit の最新版と、2021年11月に消えたランサムウェア DarkSide のリブランド版 BlackMatter との類似性を、あらためて指摘している。LockBit 3.0(LockBit Black) と呼ばれる新バージョンは、2022年6月にリリースされ、暗号通貨の支払いオプションとして Zcash を追加し、新しいリークサイトとバウンティプログラムを立ち上げた。

Continue reading “LockBit 3.0 と BlackMatter の関係を分析:専門家たちが指摘する類似点とは?”

DDoS トレンド 2022:ウクライナから世界へと広がる規模と頻度

DDoS Attack Trends in 2022: Ultrashort, Powerful, Multivector Attacks

2022/07/27 BleepingComputer — 2022年に入ってからというもの、ヨーロッパをはじめとする世界の政治情勢は劇的に悪化した。それにより、DDoS 攻撃の性質/強度/地理的条件に影響が生じ、政治的な目的のために積極的に利用されるようになった。

Continue reading “DDoS トレンド 2022:ウクライナから世界へと広がる規模と頻度”