Hackers Exploit Aviatrix Controller Vulnerability to Deploy Backdoors and Crypto Miners
2025/01/13 TheHackerNews — Aviatrix Controller プラットフォームに影響を及ぼす、深刻なセキュリティ上の脆弱性が、バックドアや暗号通貨マイナーの展開において、悪用されるケースが急増しているという。認証を必要としないリモート・コード実行にいたる可能性を持つ、最も深刻な脆弱性 CVE-2024-50603 (CVSS: 10.0) を武器化する、複数のインシデントに対応中だと、クラウド・セキュリティ企業 Wiz は述べている。
Continue reading “Aviatrix Controller の脆弱性 CVE-2024-50603:PoC の登場と積極的な悪用”GhostStrike: Open-source tool for ethical hacking
2024/10/17 HelpNetSecurity — GhostStrike は、倫理的ハッキングやレッドチームでの運用に特化された、高度なサイバー・セキュリティのための、オープンソース・ツールである。このツールは、Windows システム上での検知をステルス的に回避する hollowing プロセスなどの、最先端の技術を組み込んでおり、ペンテストやセキュリティ評価に役立つものとなっている。
Continue reading “GhostStrike の解説:Sliver C2 の解析から Cobalt Strike などへと対象を拡大”Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities
2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる5つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure/Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用が既に発見/報告されているが、この活度は、その後に続くものである。
Continue reading “Ivanti 製品の脆弱性:中国系のハッカーが新たな TTP を開発している”Hackers Exploiting Ivanti VPN Flaws to Deploy KrustyLoader Malware
2024/01/31 TheHackerNews — 最近に公開された Ivanti Connect Secure (ICS) VPN (Virtual Private Network) デバイスの2つのゼロデイ脆弱性が、KrustyLoader というペイロードの配信に悪用されている。KrustyLoader とは、オープンソースの Sliver 攻撃シミュレーション・ツールを投下するために使用される、Rust ベースのツールのことである。悪用が確認されている脆弱性 CVE-2023-46805 (CVSS:8.2)/CVE-2024-21887 (CVSS:9.1) は、認証されていない攻撃者に対して、影響を受けやすいアプライアンス上でのリモート・コード実行を許す可能性があるものだ。
Continue reading “Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887:KrustyLoader マルウェアの配布に悪用”ShadowSyndicate hackers linked to multiple ransomware ops, 85 servers
2023/09/26 BleepingComputer — 現在、ShadowSyndicate として追跡されている脅威アクターのインフラを、セキュリティ研究者たちが特定した。これまでの1年間で ShadowSyndicate は、7種類のランサムウェア・ファミリーを展開していたようだ。Group-IB のアナリストは、2022年7月以降の侵害において ShadowSyndicate が Quantum/Nokoyawa/BlackCat/ALPHV/Clop/Royal/Cactus/Play などのランサムウェアを使用していたことを、さまざまな確度から断定している。
Continue reading “ShadowSyndicate というハッカー集団:複数のランサムウェアと C2 サーバを巧みに運用”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”Banking Sector Targeted in Open-Source Software Supply Chain Attacks
2023/07/24 TheHackerNews — 銀行業界を初めて標的とする、オープンソース・ソフトウェアのサプライチェーン攻撃が、サイバー・セキュリティの研究者たちにより発見された。Checkmarx は先週に公開したレポートで、「これらの攻撃では、被害者である銀行の Web 資産に悪意の機能を追加することで、特定のコンポーネントを標的にするといった、高度なテクニックが使用されている」と述べている。
Continue reading “バンキング OSS サプライチェーン攻撃:銀行員を装う脅威アクターが悪意の npm パッケージを展開”New Buhti ransomware gang uses leaked Windows, Linux encryptors
2023/05/25 BleepingComputer — Buhti と命名された新しいランサムウェア・オペレーションが、LockBit/Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows/Linux システムを狙っている。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、”double-extortion” として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫している。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されている。
Continue reading “Buhti というランサムウェア:LockBit/Babuk のコードを流用する新たな脅威”Hackers abuse Google Command and Control red team tool in attacks
2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国/欧州/アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。
Continue reading “Google レッドチーム・ツールの悪用:中国の APT41 による攻撃で発見される”Hackers backdoor Windows devices in Sliver and BYOVD attacks
2023/02/06 BleepingComputer — Sunlogin の脆弱性を悪用して Sliver ポスト・エクスプロイト・ツールキットを展開し、Windows Bring Your Own Vulnerable Driver (BYOVD) 攻撃を仕掛けることで、セキュリティ・ソフトウェアを無効化するという、新しいハッキング・キャンペーンが観測されている。Sliver とは、Bishop Fox が作成したポスト・エクスプロイト・ツールキットであり、Cobalt Strike の代替手段として、昨年の夏から脅威アクターたちが利用し始めているものだ。その機能としては、ネットワーク監視/コマンド実行、反射型 DLL ロード/セッション生成/プロセス操作などが提供されている。
Continue reading “Sliver マルウェアによる BYOVD 攻撃:Windows にバックドアを作る手順とは?”Threat Actors Turn to Sliver as Open Source Alternative to Popular C2 Frameworks
2023/01/23 TheHackerNews — Cobalt Strike や Metasploit に代わるオープンソースのフレームワークであり、合法的な Command and Control (C2) フレームワークである Sliver が、脅威アクターたちの支持を集めていることが判明した。サイバー・セキュリティ企業である BishopFox が開発した Sliver は、Golang ベースのクロスプラットフォームなポスト・エクスプロイト・フレームワークであり、レッドチームが使用することを想定して設計されている。先週に Cybereason が実施した徹底的な分析により、この Sliver の内部構造が詳細まで明らかにされた。
Continue reading “Sliver は Cobalt Strike の後継:多様な機能を搭載する C2 フレームワーク”2022 Top Five Immediate Threats in Geopolitical Context
2022/12/26 TheHackerNews — 2022年も終わりに近づいているがが、この激動の年に最も懸念された脅威に対するテスト数を見ると、特定の脅威に対する脆弱度について、それぞれのサイバーセキュリティ・チームがチェックした、脅威ベースの視点が得られる。2022年1月1日〜12月1日に、Cymulate Security Posture Management Platform でレジリエンスを検証するために、最も多くテストされた脅威は以下の通りである。
Continue reading “APT と地政学的な背景:2022年に猛威を奮った脅威 Top-5 を分析”Experts Warn Threat Actors May Abuse Red Team Tool Nighthawk
2022/11/22 InfoSecurity — Nighthawk と名付けられた、新たなレッドチーム・ツールが、脅威アクターにより間もなく悪用される可能性があると、セキュリティ研究者たちが警告している。このツールは、2021年後半に MDSec 社により開発されている。そして、Cobalt Strike や Brute Ratel のように、合法的な使用を目的として商業的に配布される RAT (Remote Access Trojan) として機能する、高度な C2 フレームワークと表現するのが適切だろう。しかし、これまでの2つのツールと同様に、悪意の人々に直ちに利用される可能性があると、Proofpoint は最新レポートの中で警告している。
Continue reading “Nighthawk というレッドチームツール:Cobalt Strike のように悪用される可能性”Hackers adopt Sliver toolkit as a Cobalt Strike alternative
2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット/動作/コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。
Continue reading “Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?”Chinese DriftingCloud APT exploited Sophos Firewall Zero-Day before it was fixed
2022/06/17 SecurityAffairs — Volexity の研究者たちは、Sophos Firewall のゼロデイ脆弱性 が中国の脅威アクターにより悪用され、ターゲットとされた企業のクラウド・ホスト Web サーバが侵害されていたことを発見した。この脆弱性 CVE-2022-1040 は、Sophos が修正する数週間前に中国の攻撃者に悪用され、ターゲットのシステムに Web シェルがドロップされていた。2022年3月25日に Sophos は、Sophos Firewall のユーザー・ポータル/Webadmin エリアに存在する、この認証バイパスの脆弱性を修正したと発表している。なお、脆弱性 CVE-2022-1040 (CVSS:9.8) は、Sophos Firewall 18.5 MR3 (18.5.3) 以前のバージョンに影響を及ぼす。
Continue reading “Sophos Firewall のゼロデイ脆弱性 CVE-2022-1040:中国の DriftingCloud APT が修正前に悪用”Cybercriminals Using New Malware Loader ‘Bumblebee’ in the Wild
2022/04/28 TheHackerNews — これまでマルウェア・キャンペーンにおいて、サイバー犯罪者たちが BazaLoader と IcedID を配信してきたことは確認されているが、現在では Bumblebee という、活発に開発されている新しいローダーに移行したと言われている。エンタープライズ・セキュリティ企業である Proofpoint が The Hacker News と共有したレポートには、「Bumblebee が脅威の現場に現れたタイミングや、複数のサイバー犯罪グループにより使用されていることから、BazaLoader の直接の代替品ではないにしても、他のマルウェアを好んでいた脅威アクターたちが好んで使用する、新しい多機能ツールが登場したと思われる」と記されている。
Continue reading “Bumblebee という新たなマルウェア:TrickBot/BazaLoader 系で最凶か?”Google Cloud offers good news and bad news on Log4Shell, other issues
2022/02/15 CyberScoop — Google Cloud では、Log4Shell バグを持つ脆弱なシステムに対して、1日あたり 40万回のスキャンが行われていると、同社は火曜日に発表した。Google Cloud の CISO である Phil Venables は CyberScoop に対して、「当社の不定期レポート Threat Horizons の調査結果では、スキャンは継続的に行われており、脆弱なインスタンスを1つでもオープンにしておくと発見される。IT セキュリティ担当者は常に注意を払う必要がある」と述べている。
Continue reading “Google Cloud と Log4Shell:ピーク時のスキャン数は 40万件/日”Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild
2021/05/08 TheHackerNews — 英国と米国の情報機関が、5月7日に共同で発表した勧告によると、ロシアの Foreign Intelligence Service (SVR) と密接に関連するサイバー工作員たちは、これまでに公開された脆弱性に対応するかたちで、その戦術を変更しているようだ。
Continue reading “ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?”
IoT OT Security News 