RomCom Uses SocGholish Fake Update Attacks to Deliver Mythic Agent Malware
2025/11/26 TheHackerNews — RomCom として知られるマルウェア・ファミリーを背後で操る脅威アクターは、SocGholish と呼ばれる JavaScript ローダーを介して Mythic Agent を配信している。Arctic Wolf Labs の研究員 Jacob Faires は 11月25日 (火) のレポートで、「SocGholish による RomCom ペイロードの配信が確認されたのは、今回が初めてのことだ。その標的は、米国の土木工学関連の企業である」と述べている。
Continue reading “SocGholish による RomCom ペイロードの配信を確認:偽のアップデートで騙して Mythic Agent を展開”Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker
2025/03/25 TheHackerNews — Raspberry Robin マルウェアに関連する約 200のユニークな C2 (command-and-control) ドメインが、Silent Push の調査により発見された。Silent Push は、「Raspberry Robin (別名:Roshtyak/Storm-0856) は、複雑で進化し続ける脅威アクターであり、他の犯罪グループに対して初期アクセス・ブローカー (IAB:initial access broker) サービスを提供している。それらのグループの多くは、ロシアとつながりがある」と、 The Hacker News に共有したレポートで述べている。
Continue reading “Raspberry Robin マルウェアの C2 ドメイン 約 200件を特定:ロシアとの関係と EU 経由での拡散”SocGholish Malware Dropped from Hacked Web Pages using Weaponized ZIP Files
2025/02/14 gbhackers — SocGholish マルウェア・フレームワークによる一連のサイバー攻撃では、正規のブラウザ更新を装う悪意の ZIP ファイルを配信するために、すでに侵害された Web サイトが悪用されていることが判明している。
Continue reading “SocGholish マルウェアの脅威:武器化された ZIP を侵害済みの Web サイトからドロップ”Cybercrime’s Silent Operator: The Unraveling of VexTrio’s Malicious Network Empire
2024/01/23 SecurityWeek — VexTrio は巨大で複雑かつ悪質な TDS (Traffic Direction System) 組織である。トラフィックを VexTrio へと迂回させる 60以上のアフィリエイト・ネットワークを持ち、それと同時に独自の TDS ネットワークも運営している。さまざまな研究者により、その活動の一端が発見/分析されているが、コアとなるネットワークは、ほとんど知られていない。
Continue reading “VexTrio という悪のネットワーク帝国:60 以上のアフィリエイトたちとトラフィックを支配する”Researchers warn of increased malware delivery via fake browser updates
2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。
Continue reading “Chrome/Edge/Firefox の偽アップデート:狡猾な手口で誘う ClearFake マルウェア”3 Malware Loaders Detected in 80% of Attacks: Security Firm
2023/08/28 SecurityWeek — サイバー犯罪者たちの間で最も人気のマルウェア・ローダーは、QakBot/SocGholish/Raspberry Robin の3つであり、観測された攻撃の 80% を占めていると、サイバー・セキュリティ企業 ReliaQuest が報告している。2023年1月1日〜7月31日で観測されたインシデントのうち、QakBot 30%/SocGholish 27%/Raspberry Robin 23% を占めるという状況になっている。同社によると、観測されたインシデントの全てが、ネットワークの侵害につながったわけではなく、問題を引き起こす前に検出/停止されたローダーもあるとのことだ。
Continue reading “マルウェア・ローダー Top-3 による寡占化:QakBot/SocGholish/Raspberry Robin”Google Fixes 26 Bugs Amid Fake Update Warning
2023/08/17 InfoSecurity — Google Chrome の最新バージョンをリリースされ、26件の脆弱性が対処されたが、その中の8件は High と評価されている。今回の Chrome 116 におけるアップデートでは、Offline/V8 Engine/Device Trust Connectors/Fullscreen/Network/ANGLE/Skia などの機能がカバーされている。Google の VP of Vulnerability and Threat Research であり、Action1 の共同設立者でもある Mike Walters は、最も脆弱性の1つとして CVE-2023-2312 を取り上げている。この、Offline における use-after-free のバグに対しては、Google から $30,000 バグ報奨金が提供されている。
Continue reading “Google Chrome 116 の最新リリース:8件の High を含む 26件のバグを修正”RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors
2023/07/05 TheHackerNews — RedEnergy と名付けられた高度なランサムウェアの脅威が、ブラジルとフィリピンの公共/電力/石油/ガス/テレコム/機械などの部門を標的として、LinkedIn のページを介した野放し状態での攻撃を行っていることが発見された。Zscaler の研究者である Shatak Jain と Gurkirat Singh は、「このマルウェアは各種のブラウザから情報を盗み出す能力を持ち、機密データの流出を可能にすると同時に、ランサムウェア活動を実行するための、さまざまなモジュールを組み込んでいる」と、最近の分析結果を説明している。研究者たちは、被害者に最大限の損害を与えることを目的として、データ窃盗と暗号化を組み合わせていると指摘している。
Continue reading “RedEnergy という Stealer-as-a-Ransomware:ブラジルとフィリピンのインフラを攻撃している”Raspberry Robin Operators Selling Cybercriminals Access to Thousands of Endpoints
2022/10/28 TheHackerNews — Raspberry Robin ワームは Access-as-a-Service へと進化し、IcedID/Bumblebee/TrueBot (Silence)/Clop などの、他のペイロード展開に採用されつつある。Microsoft Security Threat Intelligence Center (MSTIC) は、「このマルウェアは、複雑で相互接続されたマルウェア・エコシステムの一部であり、従来からの USB ドライブ拡散を超えた、多様な感染方式を実現している」と詳述している。Raspberry Robin は、USB ドライブを介して Windows システムに拡散するマルウェアであり、感染させた QNAP ストレージ・サーバを Command and Control に使用することから、 サイバー・セキュリティ企業 Red Canary は QNAP Worm とも呼んでいる。
Continue reading “Access-as-a-Service へと進化した Raspberry Robin:Clop ランサムウェアの展開を推進か?”Russian Hackers Heavily Using Malicious Traffic Direction System to Distribute Malware
2022/01/19 TheHackerNews — サブスクリプション・ベースの Crimeware-as-a-Service (CaaS) ソリューションと、クラックされた Cobalt Strike のコピーの連携が確立され、脅威アクターによる侵入後の活動を支えるツールとして提供されていると、研究者たちは疑っている。この種のサービスだと言われる Prometheus の存在は、サイバー・セキュリティ企業である Group-IB が、悪意のソフトウェア配布キャンペーンの詳細を開示した 2021年8月に明らかにされた。
Continue reading “Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進”A Wide Range of Cyber Attacks Leveraging Prometheus TDS Malware Service
2021/08/05 TheHackerNews — 複数のサイバー犯罪グループが、MaaS (Malware-as-a-Service) ソリューションを活用して、Campo Loader / Hancitor / IcedID / QBot / Buer Loader / SocGholish などのペイロードを展開する悪意のソフトウェア配布キャンペーンを、ベルギーの個人や米国の政府機関/企業/法人に対して実施している。この Prometheus というサービスは、2020年8月からアンダーグラウンドなプラットフォームで月額250ドルで販売されている。マルウェアが混入された Word や Excel のドキュメントを配布することで、ユーザーをフィッシング・サイトや悪意のサイトに誘導することを目的とした、TDS (Traffic Direction System) であることが、The Hacker News に共有された Group-IB の報告書で明らかになった。
Continue reading “Prometheus TDS という MaaS (Malware-as-a-Service) とトラフィック操作攻撃”
IoT OT Security News 