Telegram – IoT OT Security News

Parallax RAT の標的は暗号通貨企業：洗練されたインジェクション技術で検出を回避

Parallax RAT Targeting Cryptocurrency Firms with Sophisticated Injection Techniques

2023/03/01 TheHackerNews — Parallax RAT と呼ばれるリモート・アクセス型トロイの木馬を配信する新しいキャンペーンにおいて、暗号通貨企業が標的にされている。Uptycs の最新レポートには、「このマルウェアは、インジェクション技術を用いて正規のプロセス内に潜伏し、検出を困難にしている。その注入を成功させた攻撃者は、おそらく通信チャネルとして機能する Windows Notepad を介して、被害者に接触するようになる。

Killnet の Proxy IP リストを公開：ブラックリスト化してロシアからの攻撃に備える

Experts published a list of proxy IPs used by the pro-Russia group Killnet

2023/02/09 SecurityAffairs — 親ロシア派グループ Killnet の運営を妨害し、その攻撃をブロックするために、SecurityScorecard の研究者たちが Killnet のプロキシ IP リストを公開した。彼らは、「ユーザー組織の保護を強化するために、Killnet DDoS ボットのブロックに役立つ、プロキシ IP リストを公開した」と述べている。Killnet は 2022年3月から活動しているグループであり、ウクライナ支援を表明したイタリア／ルーマニア／モルドバ／チェコ／リトアニア／ノルウェー／ラトビアなどの、政府や重要インフラに対して DDoS 攻撃を仕掛け続けている。

Telegram Bot とフィッシング：2022年の悪用は前年比で 800% 増

Telegram Bot Abuse For Phishing Increased By 800% in 2022

2023/01/12 InfoSecurity — Telegram Bot からのフィッシング情報の流出先として悪用が、2021年〜2022年の間に 800% も増加した。この新データは、2023年1月12日に Cofense のセキュリティ研究者たちが、それらに関する最新データをレポートとして発表した。この伸びを調査した結果は、資格情報をフィッシングする際の配信方法として、HTMLの添付ファイルを使用する戦術が、ますます一般的になっていることに関連している。

Dark Pink という APT グループ：APAC の政府／軍事を狙って７件の攻撃を達成

Dark Pink APT Group Targets Governments and Military in APAC Region

2023/01/11 TheHackerNews — アジア太平洋地域における政府機関／軍事組織などが、未知の高度持続的脅威 (APT：Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に７つの攻撃を成功させた」と述べている。

PrivateLoader という PPI サービス：情報窃取型マルウェア RisePro を配布

PrivateLoader PPI Service Found Distributing Info-Stealing RisePro Malware

2022/12/26 TheHackerNews — PrivateLoader として知られる Pay-Per-Install (PPI) マルウェア・ダウンローダー・サービスが、既知の情報搾取マルウェア RisePro の配布に使用されていることが判明した。2022年12月13日に Flashpoint は、Russian Market と呼ばれる不正なサイバー犯罪マーケットにおいて、このマルウェアを用いて流出した複数のログセットを検出し、新たな窃盗グループを発見した。

ロシアの VTB 銀行で史上最大の DDoS：自国の IP アドレスからも攻撃

Russia’s VTB Bank Suffers its Biggest Ever DDoS

2022/12/07 InfoSecurity — ロシア第２位の銀行が、親ウクライナのハクティビストが仕掛けていると思われる、史上最大の DDoS 攻撃と戦っていることを認めた。同行は、システムは正常に稼働しており、顧客データは安全であると強調したが、一時的にアプリや Web サイトが機能停止に陥っていると指摘する Reuters レポートもある。

BlackProxies というプロキシ・サービス：18 万件もの IP アドレスが利用可能

BlackProxies proxy service increasingly popular among hackers

2022/12/02 BleepingComputer — 新しい家庭用プロキシ市場が、ハッカー／サイバー犯罪者／フィッシャー／ダフ屋／詐欺師たちの間で人気を集めており、世界中で 100万のプロキシ IP アドレスへのアクセス権が販売されている。これらのサービスを監視してきた DomainTools のアナリストたちが発見した、新しいプラットフォーム BlackProxies は、この分野で急成長しているサービスの１つであると報告されている。

OpenVPN／SoftVPN とトロイの木馬：Android ユーザーを狙う Bahamut というハッカー

Hackers modify popular OpenVPN Android app to include spyware

2022/11/24 BleepingComputer — 2017 年以降のサイバー・スパイ活動に関与する脅威アクターたちが、正規のソフトウェア SoftVPN や OpenVPN をトロイの木馬化し、Android 向けの偽 VPN ソフトウェアを作成し、被害者を誘い込んでいることが判明した。研究者たちによると、このキャンペーンは “高度な標的型“ であり、複数のアプリから連絡先／通話データ／デバイスの位置情報／メッセージなどの窃取を目的としているとのことだ。

Ducktail 情報スティーラーが進化：狙いは Facebook Business アカウント

Ducktail information stealer continues to evolve

2022/11/23 SecurityAffairs — 2022年7月下旬に WithSecure (旧 F-Secure Business) の研究者たちが発見したのは、Facebook Business／Ads プラットフォームの組織／個人を標的とする、Ducktail という名の進行中のオペレーションだ。このキャンペーンの主体については、2018年から活動していると見られる、ベトナムの経済的な動機を持つ脅威アクターだと、専門家たちは考えている。この脅威アクターの主目的は、ターゲットの Facebook Business アカウントを乗っ取ることだ。

Aurora とロシア犯罪グループ：Amazon などから 5,000万件以上のパスワードを窃取

34 Russian Cybercrime Groups Stole Over 50 Million Passwords with Stealer Malware

2022/11/23 TheHackerNews — 2022年1月〜7月の間で 34グループものロシア系ギャングが、SaaS (Stealer-as-a-Service) モデルの下で情報窃取型マルウェアを配布し、5,000 万以上のパスワードを盗み出していたことが判明した。シンガポールに拠点を置く Group-IB は、The Hacker Newsと共有したレポートの中で、「盗まれたログと漏洩したカード情報の闇市場価値の総額は、約 $5.8 million と推定される」と述べている。

ウクライナ CERT 対ロシア IAB：新たなデータワイパー・キャンペーンの発見と追跡

Ukrainian CERT Discloses New Data-Wiping Campaign

2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。

ドイツ銀行へのアクセスを IAB が販売：多数の引き合いがあると主張

An initial access broker claims to have hacked Deutsche Bank

2022/11/11 SecurityAffairs — 脅威アクター (0x_dump) は、多国籍投資銀行であるドイツ銀行をハッキングしたと主張し、そのネットワークへのアクセス権をオンラインで販売している。この IAB (Initial Access Broker) は、銀行ネットワークの約21000台のマシンにアクセス可能だと主張しており、その大半は Windows システムだとされる。また、侵害されたマシンは、Symantec EDR ソリューションで保護されていたと主張している。

Robin Banks は Phishing-as-a-Service：機能を充実させて脅威を増大させる

Robin Banks phishing-as-a-service platform continues to evolve

2022/11/07 SecurityAffairs — Phishing-as-a-Service (PhaaS) プラットフォームの Robin Banks は、以前は Cloudflare のプロバイダーによりホストされていたが、7月に通知を受けた同社が、Robin Banks のフィッシング・インフラをサービスから切り離し、現在に至っている。この変化により、Robin Banks の運営には数日の混乱が生じたが、このプラットフォームの管理者により、ロシアの防弾ホスティング・プロバイダー DDoS-Guard への移行などが行われたようだ。

API Token が脅かすソフトウェアの完全性：数千件が Web 上で公開されている

Thousands of Publicly Exposed API Tokens Could Threaten Software Integrity

2022/10/21 InfoSecurity — 機密情報／データ／プライベート・ネットワークなどへのアクセスを脅威アクターに許し、ソフトウェアの完全性を脅かしてしまう数千のアクティブな API Token が、Web 上で公開されていることが発見された。この結果は、JFrog のセキュリティ研究者たちが、同社のセキュリティ・ソリューションの新機能をテストしている際に発見されたものだ。

Ducktail の PHP バージョン：Facebook ビジネス・アカウントの窃取を狙っている

New PHP Version of Ducktail Malware Hijacking Facebook Business Accounts

2022/10/14 TheHackerNews — Zscaler の最新の調査結果によると、Ducktail と呼ばれる情報窃取マルウェアの PHP バージョンが、クラックされた正規のアプリやゲーム用のインストーラーの形で、野放し状態で配布されていることが発覚した。Zscaler ThreatLabz の研究者である Tarun Dewan と Stuti Chaturvedi は、「旧バージョン (.NetCore) と同様に、最新バージョン (PHP) も、保存したブラウザ認証情報／Facebook アカウント情報などの、機密情報の流出を目的としている」と述べている。

RatMilad という新種の Android スパイウェア：VPN などを装い企業ユーザーを狙う

Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices

2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN／電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集／流出させるコマンドを、受信／実行する機能を持つ高度なスパイウェアとして機能するとのことだ。

Brute Ratel ポスト・エクスプロイト・キットのクラック版：残念なことに蔓延の兆し

Hackers now sharing cracked Brute Ratel post-exploitation kit online

2022/09/28 BleepingComputer — Brute Ratel のポスト・エクスプロイト・ツールキットがクラックされ、ロシア語圏と英語圏のハッキング・コミュニティで無料で共有されている。Brute Ratel C4 (BRC4) を知らない人のために説明すると、これは Mandiant と CrowdStrike の元レッドチーマーである、Chetan Nayak が作成したポスト・エクスプロイト・ツールキットのことである。

Microsoft SQL Server をハッキング：TargetCompany ランサムウェアの狙いはどこに？

Microsoft SQL servers hacked in TargetCompany ransomware attacks

2022/09/24 BleepingComputer — 脆弱な Microsoft SQL Server が、FARGO ランサムウェアの新たな攻撃の標的になっていると、セキュリティ研究者たちが警告している。MS-SQL Server は、インターネット・サービスやアプリのデータを保持するデータベース管理システムであり、これらを停止させると、ビジネスに大きな支障をきたすことになる。BleepingComputer は、2月に Cobalt Strike ビーコンを投下する同様の攻撃について、7月には脆弱な MS-SQL Server をハイジャックしてプロキシサービスの帯域を奪取する攻撃について、報告をしている。最近の攻撃の波は、より破滅的なものであり、データベースの所有者を脅迫して、手っ取り早く利益を得ることを目的としている。

Microsoft Office／Adobe PDF ドキュメントの兵器化：Escanor RAT は機能満載

Escanor Malware delivered in Weaponized Microsoft Office Documents

2022/08/22 SecurityAffairs — ロサンゼルスを拠点にして Fortune 500 を保護する、グローバル・サイバー・セキュリティ企業である Resecurity は、新しいRAT (Remote Administration Tool) である Escanor が、ダークウェブや Telegram などで宣伝されていることを確認している。この攻撃者は、Android／PC ベースの RAT に加えて、HVNC (HiddenVNC)／Exploit Builder を提供し、Microsoft Office／Adobe PDF ドキュメントを兵器化することで、悪意のコードを配信している。

Classiscam という Scam-as-a-Service：ヨーロッパとシンガポールで稼ぎ続ける

Researchers Uncover Classiscam Scam-as-a-Service Operations in Singapore

2022/08/08 TheHackerNews — Classiscamと呼ばれる巧妙な Scam-as-a-Service が、ヨーロッパでの拡大から1年半以上を経過した後に、シンガポールに潜入している。Group-IB は The Hacker News と共有したレポートの中で、「正当な買い手を装った詐欺師が、出品物から商品を購入するよう売り手に依頼し、支払いデータを盗むことが最終目的である」と述べている。同社は、このオペレーターについて、「上手に組織化された、技術的に高度な詐欺師の犯罪ネットワーク」と呼んでいる。

Facebook ページ担当者に迫る乗っ取りの脅威：LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

メッセージング・アプリの選び方：利便性と安全性をビジネス目線で考察する

Which Third-Party Messenger App Is Best for Secure Business?

2022/04/07 SecurityIntelligence — 2021年10月のこと、世界中で Facebook／Instagram／WhatsApp／Messenger が最大で６時間にわたり停止し、数十億人がメッセージ・サービスを受けられなくなった。Facebook のエンジニアたちが問題解決に奔走する間、ユーザーは他のアプリに移行してつながりを維持した。Telegram の創設者である Pavel Durov によると、この停止の後に、7000万人のユーザーが増加したという。

ロシアの人々に情報を届ける：Cloudflare が説明するブロック回避の状況

Russians bypass website blocks to access Western news sources

2022/04/04 BleepingComputer — Cloudflare は、ウクライナ情勢に関する正確な情報を得るために、ロシアの人々が欧米のニュースソースを利用するという傾向が強まっている兆候を捉えている。今日、Cloudflare が発表した新しいブログ記事では、ロシアのネット・ユーザーが英国／米国／フランスのニュースサイトにアクセスするために、ブロッキング回避ツールを積極的に採用していることを示す、統計的な証拠が提示されている。

ロンドン市警の声明：Lapsus$ のメンバーとされる少年たちを逮捕／起訴した

UK charges two teenagers linked to the Lapsus$ hacking group

2022/04/02 BleepingComputer — 恐喝組織である Lapsus$ に協力した容疑で起訴された、英国の２人のティーンエイジャーが、金曜日の午前中に Highbury Corner Magistrates Court 法廷に出廷し、保釈された。ロンドン市警のMichael O’Sullivan 刑事の声明によると、16歳と 17歳の少年は、ハッキング・グループに関する国際的な捜査の結果、起訴されたとのことだ。

Lapsus$ の犯行声明：IT 企業 Globant のデータ 70GB を流出させた

LAPSUS$ Claims to Have Breached IT Firm Globant; Leaks 70GB of Data

2022/03/30 TheHackerNews — データ強奪組織である Lapsus$ は、１週間の休暇後に Telegram で復帰を発表し、ソフトウェア・サービス企業の Globant のデータだと主張するものを流出させた。このグループは、54,000人のメンバーを有する Telegram チャンネルに、「我々は正式に休暇から戻ってきた」と書き込み、Globant の DevOps インフラに属するとされる、抽出されたデータと認証情報の画像を掲載した。

ロシアの防衛産業 Rostec：ウクライナ IT Army の DDoS 攻撃で Web サイトがダウン

Russian defense firm Rostec shuts down website after DDoS attack

2022/03/11 BleepingComputer — 航空／宇宙／防衛コングロマリットであり、ロシアの国営企業でもある Rostec が、サイバー攻撃を受け、Web サイトがダウンしたと発表した。Rostec によると、ロシアがウクライナに侵攻した２月下旬以降、同社の Web サイトは常に包囲されている状態だという。同社は、すぐに Web サイトはオンラインに戻ったが、この攻撃はウクライナの過激派によるものだと主張している。

ウクライナの IT Army を標的とするトロイの木馬が蔓延している

Malware disguised as security tool targets Ukraine’s IT Army

2022/03/10 BleepingComputer — 新しいマルウェア・キャンペーンが、ウクライナの対ロシア・サイバー戦争を支援する人々の意欲に乗じて、パスワードを盗み出すトロイの木馬に感染させようとしている。先月にウクライナ政府は、ロシア企業に対するサイバー攻撃や DDoS 攻撃を行うために、世界中のボランティアで構成された新たな IT Army の創設を発表した。この取り組みにより、たとえその活動が違法と見なされたとしても、ロシアの組織やサイトを標的にする活動に対して、世界中の多くの人々による支援の輪が広がっている。

ウクライナ戦でのオンラン・バトル：最前線に押し出された SNS の役割とは？

The Online Battle In Ukraine

2022/03/02 CyberSecurityIntelligence — 多くの人々のポケットに入ったスマフォのカメラから、ロシアによるウクライナ侵攻の様子が世界に流れ出している。デジタル時代の新たな最前線であるインターネットを導入された、ヨーロッパで初めて経験する武力紛争である。オンラインでの戦いが双方でエスカレートし、米国のテクノロジー企業はロシアからのコンテンツのブロックについて混乱している。たとえば、オンライン検閲や、偽情報の拡散を考える一方で、ミサイル攻撃に直面しているウクライナのインターネットユーザーのことも考える必要がある。

ウクライナ当局の発表：IT Army によりロシア主要 Web サイトがダウン

Ukraine says its ‘IT Army’ has taken down key Russian sites

2022/02/28 BleepingComputer — ウクライナのサイバー警察は、ロシアの主要 Web サイトや国営オンライン・ポータルなどがオフラインになり、現在も公然としたサイバー戦争が行われていると主張している。同警察サイトでの発表によると、セキュリティ専門家がボランティアと協力して、ロシアとベラルーシの Web リソースを攻撃したとのことだ。この３カ国は、大規模な武力紛争に巻き込まれているが、それ以前からサイバー戦争の存在は顕在化していた。

サイバー犯罪フォーラム Joker’s Stash が閉鎖：金融データの闇市場が大きく変化している

After Joker’s Stash shutdown, the market for stolen financial data looks a lot different

2021/12/20 CyberScoop — サイバー犯罪フォーラム Joker’s Stash が閉鎖されたことで、ダークウェブ上で取引される盗難ペイメントカード情報の市場全体に、持続性のある打撃が与えていると、研究者たちは指摘している。サイバー・セキュリティ企業である Group-IB によると、2020年半ばから2021年半ばにかけて、カーディング市場の規模は前年比で $1.9 billion から $1.4 billion に減少した。

デジタル・ウォレットの人気が高まれば犯罪もついてくる

Threats Grow as Digital Wallets Gain Popularity

2021/09/01 SecurityBoulevard — 今回のパンデミックと、ユーザーの個人的な好みが重なり合い、デジタル決済アプリやデジタル・ウォレットが急速に台頭し、その勢いはクレジット・カードや現金と競い合うまでに至っている。セキュリティ分析ソフトウェアのスペシャリストである Cognyte のレポートによると、Google Pay / Samsung Pay / Apple Pay などのデジタル・ウォレットの人気が高まるにつれて、脅威アクターたちの大きなターゲットになったようだ。

DarkRadiation ランサムウェアは Linux と Docker インスタンスに感染していく？

Wormable DarkRadiation Ransomware Targets Linux and Docker Instances

2021/06/22 TheHackerNews — このランサムウェアは、すべてが Bash で実装されており、Linux や Docker クラウド・コンテナを標的とし、メッセージング・サービス Telegram を command-and-control (C2) 通信に利用している。Trend Micro の研究者たちは、先週に発表したレポートの中で、「このランサムウェアは、Bash スクリプトで書かれており、Red Hat/CentOS および Debian の Linux ディストリビューションをターゲットにしている。

ポーランドの政府と要人が正体不明のサーバー攻撃に遭っている

Poland institutions and individuals targeted by an unprecedented series of cyber attacks

2021/06/16 SecurityAffairs — ポーランド議会は、同国の組織や個人を襲った前例のないサイバー攻撃について、非公開の審議を行っている。政府報道官の Piotr Mulle が予想していた通り、Mateusz Morawiecki 首相は、攻撃に関連する秘密文書を提示して、攻撃の詳細を説明しなければならなかった。