Sophos Firewall 4,000台が危険な状況:インターネットに露出するサーバの 6% が未パッチ

Over 4,000 Sophos Firewall devices vulnerable to RCE attacks

2023/01/17 BleepingComputer — インターネットに接続される 4,000 台以上の Sophos Firewall に存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-3236 を狙って、サイバー攻撃が発生する可能性があることが判明した。Sophos Webadmin/Sophos Firewall の User Portal に存在する、このコードインジェクションの脆弱性は 2022年9月に公開され、複数の Sophos Firewall バージョンに対するホットフィックスがリリースされた (正式な修正プログラムは3カ月後の2022年12月に発行)。

Continue reading “Sophos Firewall 4,000台が危険な状況:インターネットに露出するサーバの 6% が未パッチ”

GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布

Hackers Can Abuse Legitimate GitHub Codespaces Feature to Deliver Malware

2023/01/17 TheHackerNews — 脅威アクターたちが、GitHub Codespaces の正規の機能を悪用して、被害者のシステムへマルウェアを配信することが可能であるという、新たな研究の結果が明らかになった。GitHub Codespaces とは、クラウドベースのカスタマイズ可能な開発環境のことである。それを利用するユーザーは、Web ブラウザや Visual Studio Code との統合を介して、指定したコードベースのデバッグ/メンテナンス/変更のコミットを実行できる。また、ポート・フォワーディング機能により、コードスペース内の特定のポートで動作する Web アプリケーションに、ローカルマシンのブラウザから直接にアクセスし、テスト/デバッグを行うことも可能だ。

Continue reading “GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布”

Synology の深刻な脆弱性 CVE-2022-43931 が FIX:CVSS 10 の RCE

Synology fixes multiple critical vulnerabilities in its routers

2023/01/03 SecurityAffairs — 2022年12月に、台湾の NAS メーカーである Synology は、2つの新しい重要アドバイザリを公開した。最初のアドバイザリは、同社が対処した最も重要なものであり、脆弱性 CVE-2022-43931 (CVSS : 10) として追跡されている、境界外書き込みの深刻な問題だ。この脆弱性は、Ver 1.4.3-0534/1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality に存在している。この脆弱性の悪用に成功したリモートの攻撃者は、不特定のベクター経由で任意のコマンドを実行できる。

Continue reading “Synology の深刻な脆弱性 CVE-2022-43931 が FIX:CVSS 10 の RCE”

Google 検索の広告を悪用:マルウェアを正規のソフトウェアに仕込んで配布

Hackers abuse Google Ads to spread malware in legit software

2022/12/28 BleepingComputer — Google Ads のプラットフォームを悪用するマルウェアのオペレーターが、人気のソフトウェア製品を検索している無防備なユーザーに対して、マルウェアをばらまくというケースが増加している。これらのキャンペーンにおいて、なりすましに利用されているのは、Grammarly/MSI Afterburner/Slack/Dashlane/Malwarebytes/Audacity/μTorrent/OBS/Ring/AnyDesk/Libre Office/Teamviewer/Thunderbird/Brave などの製品である。

Continue reading “Google 検索の広告を悪用:マルウェアを正規のソフトウェアに仕込んで配布”

Rust への移行を進める Agenda ランサムウェア:検出と解析を困難にする亜種

Agenda Ransomware Switches to Rust to Attack Critical Infrastructure

2022/12/16 InfoSecurity — Agenda ランサムウェア・グループは、プログラミング言語 Rust で記述した新しいマルウェアにより、複数の企業に侵入している。Trend Micro の研究者たちは、この新たなキャンペーンを発見し、「この脅威アクターは、企業のサーバへの侵入を主張するだけではなく、その窃取したファイルを公開すると脅している」と述べている。

Continue reading “Rust への移行を進める Agenda ランサムウェア:検出と解析を困難にする亜種”

Pwn2Own Toronto 2022:63件のゼロデイが発見され $1M 近い報奨金が支払われた

Researchers Find 63 Zero-Day Bugs at Latest Pwn2Own

2022/12/12 InfoSecurity — 先日の Pwn2Own コンテストの参加者は、さまざまな製品に存在する数多くのゼロデイ脆弱性を発見し、デジタル世界の安全性を高めるために貢献した。このコンテストは、Trend Micro の Zero Day Initiative (ZDI) により運営されており、ベンダーに依存しない世界最大のバグバウンティ・プログラムとなっている。

Continue reading “Pwn2Own Toronto 2022:63件のゼロデイが発見され $1M 近い報奨金が支払われた”

Netgear Nighthawk の脆弱性が FIX:Pwn2Own 用のエクスプロイトを無効化

Netgear Neutralizes Pwn2Own Exploits With Last-Minute Nighthawk Router Patches

2022/12/06 SecurityWeek — 先週に Netgear がリリースしたホット・フィックスにより、Nighthawk RAX30 (AX2400) ルータの誤設定により、ローカル・ネットワークのサービスへの無制限なアクセスを、リモートの攻撃者に許してしまう脆弱性が対処された。Nighthawk RAX30 の WAN インターフェースが、デフォルトで IPv6 を有効にしているにもかかわらず、IPv4 トラフィックに適用されるアクセス制限が、IPv6 トラフィックに適用されないことに、この脆弱性は起因する。

Continue reading “Netgear Nighthawk の脆弱性が FIX:Pwn2Own 用のエクスプロイトを無効化”

macOS サンドボックス・エスケープの脆弱性 CVE-2022-26696:PoC コードが公開

PoC Code Published for High-Severity macOS Sandbox Escape Vulnerability

2022/11/21 SecurityWeek — あるセキュリティ研究者が、サンドボックス・エスケープによりターミナル内でのコード実行に悪用される可能性のある、macOS の脆弱性の詳細および PoC コードを公開した。この脆弱性 CVE-2022-26696 (CVSS:7.8) は、2021年に発見/報告されたものであり、2022年5月にリリースされた macOS Monterey 12.4 でパッチが提供されている。Apple はアドバイザリで、「この脆弱性は、サンドボックス制限のバイパスを可能にするが、環境のサニタイズを改善することで解決した」と述べている。

Continue reading “macOS サンドボックス・エスケープの脆弱性 CVE-2022-26696:PoC コードが公開”

Cobalt Strike ローダーの新種 Symatic:中国 APT41 と持続性のあるバックドア展開

New hacking group uses custom ‘Symatic’ Cobalt Strike loaders

2022/11/09 BleepingComputer — これまで知られていなかった Earth Longzhi という中国の APT (Advanced Persistent Threat) ハッキング集団が、東アジア/東南アジア/ウクライナの組織を狙っている。この脅威アクターは、2020年から活動しており、カスタム・バージョンの Cobalt Strike ローダーを用いて、被害者のシステムに持続性のあるバックドアを仕込んでいる。Trend Micro の最新レポートによると、Earth Longzhi の TTP は Earth Baku と同様のものであり、この2つのグループは、国家が支援する APT41 の下部組織であると考えられる。

Continue reading “Cobalt Strike ローダーの新種 Symatic:中国 APT41 と持続性のあるバックドア展開”

Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開

Black Basta Ransomware Hackers Infiltrate Networks via Qakbot to Deploy Brute Ratel C4

2022/10/17 TheHackerNews — Black Basta ランサムウェア・ファミリーの背後にいる脅威アクターは、 Qakbotトロイの木馬を用いる最近の攻撃において、第2段階のペイロードとして Brute Ratel C4フレームワークを展開していることが確認された。Trend Micro は、先週に発表した技術分析で、最新の敵対的シミュレーション・ソフトウェア Brute Ratel C4 が、Qakbot 感染を通じて配信される初めてのケースだと述べている。この侵入は、兵器化された ZIP アーカイブ・リンクを含むフィッシング・メールを介して達成され、横方向への移動には Cobalt Strike が使用されている。

Continue reading “Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開”

Microsoft 2022-10 月例アップデートは2件のゼロデイと 84件の脆弱性に対応

Microsoft October 2022 Patch Tuesday fixes zero-day used in attacks, 84 flaws

2022/10/11 BleepingComputer — 今日は Microsoft の October 2022 Patch Tuesday だが、それに伴い、活発に悪用されている Windows の脆弱性などを含む、合計で 84件の不具合が修正された。今日のアップデートで修正された 84件の脆弱性のうち 13件は、最も深刻な Critical に分類され、特権昇格/なりすまし/リモートコード実行などを許すものだ。

Continue reading “Microsoft 2022-10 月例アップデートは2件のゼロデイと 84件の脆弱性に対応”

Microsoft Exchange の新たな別のゼロデイ:悪用により LockBit ランサムウェアを配布?

Microsoft Exchange servers hacked to deploy LockBit ransomware

2022/10/11 BleepingComputer — Microsoft が進めている調査は、Exchange Server の新たなゼロデイ脆弱性がハッキングに悪用され、その後にランサムウェア Lockbit 攻撃の起動に使用されたという報告に対するものだ。2022年7月に発生した、少なくとも1件のインシデントでは、事前に Exchange Server に配置していた WebShell を用いて、侵入に成功した攻撃者が Active Directory 管理者への権限昇格を実行し、約 1.3TB のデータを窃取し、ネットワーク・システムの暗号化を行ったとされている。

Continue reading “Microsoft Exchange の新たな別のゼロデイ:悪用により LockBit ランサムウェアを配布?”

フィッシング最前線:18.8% の確率で Microsoft プラットフォーム防御を回避する悪意のメールたち

Email Defenses Under Siege: Phishing Attacks Dramatically Improve

2022/10/08 DarkReading — 今週は、サイバー攻撃者たちが 仕掛ける攻撃が、Microsoft のデフォルト・セキュリティを回避しているというレポートがあり、また、セキュリティ専門家たちは、フィッシングの手口が驚くほど進化していることを明らかにした。 脅威アクターたちが用いるテクニックには、ゼロポイント・フォントの難読化/クラウド・メッセージング・サービスへの混入/ペイロード起動の遅延などがあり、メール・プラットフォーム防御の弱点をついて、フィッシング攻撃を狡猾に行っている。また、被害者の調査/選定の頻度も上がっている。

Continue reading “フィッシング最前線:18.8% の確率で Microsoft プラットフォーム防御を回避する悪意のメールたち”

Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている

Fake Microsoft Exchange ProxyNotShell exploits for sale on GitHub

2022/10/03 BleepingComputer — 詐欺師たちがセキュリティ研究者になりすまし、新たに発見された Microsoft Exchange のゼロデイ脆弱性に対する、偽の PoC エクスプロイト ProxyNotShell を販売しているようだ。先週に、ベトナムのサイバー・セキュリティ企業 GTSC は、Microsoft Exchange の2つの新しいゼロデイ脆弱性を悪用した攻撃を、一部のユーザーが受けていたことを明らかにした。研究者たちは、Trend Micro の Zero Day Initiative と共同で、この脆弱性を Microsoft に対して非公開で報告した。Microsoft は、この脆弱性が攻撃に悪用されていることを確認し、セキュリティ更新プログラムをリリースするスケジュールを早めるとしている。

Continue reading “Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている”

Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出

WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation

2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。

Continue reading “Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出”

CISA KEV 警告 22/09/15:Trend Micro Apex One 脆弱性や Stuxnet 攻撃に対応

CISA orders agencies to patch vulnerability used in Stuxnet attacks

2022/09/16 BleepingComputer — CISA は、KEV (Known Exploited Vulnerabilities) カタログに6件の脆弱性を追加し、連邦政府機関に対し、ベンダーの指示に従って修正するよう求めている。カタログに追加された6件のセキュリティ脆弱性のうち、2022年になって公表されたものは、Trend Micro の自動脅威検知/対応プラットフォーム Apex One に影響を与える脆弱性の1件のみとなる。

Continue reading “CISA KEV 警告 22/09/15:Trend Micro Apex One 脆弱性や Stuxnet 攻撃に対応”

Docker の調査:TeamTNT が仕掛けた不正イメージが 15万回以上もダウンロード

TeamTNT Hits 150K Docker Containers via Malicious Cloud Images

2022/09/14 DarkReading — TeamTNT 脅威グループ・メンバーの明らかな不手際により、不適切なコンフィグレーションで運用されている Docker サーバを、悪用するために用いられていた戦術の一部が暴露された。先日に Trend Micro のセキュリティ研究者たちは、Docker REST API を公開するハニーポットを設置し、広く利用されているクラウド・コンテナ・プラットフォームの脆弱性やミスコンフィグレーションを、一般的な脅威者が悪用する方式を理解しようと試みた。

Continue reading “Docker の調査:TeamTNT が仕掛けた不正イメージが 15万回以上もダウンロード”

Trend Micro 警告:Apex One の RCE 脆弱性 CVE-2022-40139 が悪用されている

Trend Micro warns of actively exploited Apex One RCE vulnerability

2022/09/12 BleepingComputer — 今日、セキュリティ・ソフトウェア会社の Trend Micro は、積極的に悪用される Apex One のセキュリティ脆弱性に対して、早急にパッチを適用するよう顧客に警告を発しまた。Apex One は、悪意のツール/マルウェア/脆弱性に対する脅威の自動検出と対処を、企業に提供するエンドポイント・セキュリティ・プラットフォームである。この脆弱性 CVE-2022-40139 の悪用に成功した攻撃者は、パッチが適用されていないソフトウェアを実行しているシステム上で、任意のコードをリモートから実行することが可能になる。

Continue reading “Trend Micro 警告:Apex One の RCE 脆弱性 CVE-2022-40139 が悪用されている”

Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?

Defenders Be Prepared: Cyberattacks Surge Against Linux Amid Cloud Migration

2022/09/06 DarkReading — Linux を実行するシステムの数と、それを攻撃する件数は、Windows に遠く及ばないだろうが、Linux ベースのサーバやテクノロジーに対する脅威アクターたちの関心は、このところ著しく高まってきている。今週に Trend Micro が発表したレポートによると、特にクラウドでの Linux インフラにおいて、ミッションクリティカルなアプリケーションやデータをホストする企業が増加していることが、その背景にあるようだ。Trend Micro は、Linuxシステムを標的とするランサムウェア攻撃が、2022年上半期に 75% 増加 (前年同期比) したことを確認している。

Continue reading “Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?”

Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増

Ransomware attacks on Linux to surge

2022/09/05 HelpNetSecurity — Trend Micro の予測によると、今後の数年間で、Linux サーバーや組み込みシステムを標的にする、ランサムウェア・グループの攻撃が増えるとのことだ。 これらのシステムに対する攻撃は、2022年上半期において、前年比で2桁の増加を記録している。

Continue reading “Trend Micro 調査:2022年上半期の Linux ランサムウェア攻撃は 75% 増”

SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増

Phishing attacks abusing SaaS platforms see a massive 1,100% growth

2022/08/23 BleepingComputer — 脅威アクターたちが、Web サイト・ビルダーやパーソナル・ブランディング・スペースなどの、正規の SaaS (Software-as-a-Service) プラットフォームを悪用して、ログイン情報を盗むための悪質なフィッシング・サイトを作成する手口が増加している。Palo Alto Networks Unit 42 の最新レポートによると、研究者たちは SaaS 悪用の急増を確認しており、同社が収集したデータは、2021年6月〜2022年6月で 1,100% という大幅な増加を示しているという。

Continue reading “SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増”

macOS を狙うマルウェア XCSSET:Python 3 に対応してMonterey を執拗に追尾

XCSSET Malware Updates with Python 3 to Target macOS Monterey Users

2022/08/23 TheHackerNews — macOS マルウェア XCSSET のオペレーターは、そのソースコードを Python 3 にアップグレードすることで、macOS Monterey を侵害するための反復的な改良を行い、ステータスをアップさせている。SentinelOne の研究者である Phil Stokes と Dinesh Devadoss は「このマルウェア作者は、2020年の初期バージョンにおいては偽の Xcode.app に主要な実行ファイルを隠していたが、2021年には偽の Mail.app へと、そして、2022年には偽の Notes.app へと変更している」とレポートで述べている。

Continue reading “macOS を狙うマルウェア XCSSET:Python 3 に対応してMonterey を執拗に追尾”

OCFS でセキュリティ・アラートを正規化:AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

Continue reading “OCFS でセキュリティ・アラートを正規化:AWS と Splunk が Black Hat で発表”

Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ

Gootkit AaaS malware is still active and uses updated tactics

2022/08/02 SecurityAffairs — AaaS (Access-as-a-Service) モデルで動作するマルウェア Gootkit は、侵害されたシステム上に悪意のあるペイロードをドロップする手段として、さまざまな脅威グループに使用されている。Gootkit は、ファイルレス技術を使用して、SunCrypt/REvil (Sodinokibi) /Kronos/Cobalt Strike などの、バンキング・マルウェア/ランサムウェアをドロップすることで知られている。

Continue reading “Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ”

Google Play がドロッパーアプリ群を削除:Octo などのバンキング・マルウェアを配布

Over a Dozen Android Apps on Google Play Store Caught Dropping Banking Malware

2022/07/29 TheHackerNews — Google Play Store における、一見無害なドロッパー・ アプリを利用した悪質なキャンペーンにより、ユーザーの端末がバンキング・マルウェアに感染する被害が発生していた。Trend Micro が DawDropper と総称する 17種類のドロッパー・アプリは、ドキュメント・スキャナー/QR コードリーダー/VPN サービス/コール・レコーダーなどの、生産性/実用性の高いアプリを装っていた。現在は、これらのアプリは全て、Play Storeから削除されている。

Continue reading “Google Play がドロッパーアプリ群を削除:Octo などのバンキング・マルウェアを配布”

LockBit 3.0 と BlackMatter の関係を分析:専門家たちが指摘する類似点とは?

Experts Find Similarities Between New LockBit 3.0 and BlackMatter Ransomware

2022/07/27 TheHackerNews — サイバー・セキュリティ研究者たちは、ランサムウェア LockBit の最新版と、2021年11月に消えたランサムウェア DarkSide のリブランド版 BlackMatter との類似性を、あらためて指摘している。LockBit 3.0(LockBit Black) と呼ばれる新バージョンは、2022年6月にリリースされ、暗号通貨の支払いオプションとして Zcash を追加し、新しいリークサイトとバウンティプログラムを立ち上げた。

Continue reading “LockBit 3.0 と BlackMatter の関係を分析:専門家たちが指摘する類似点とは?”

Adobe Acrobat の問題:アンチ・ウィルス製品による PDF ファイル・モニタリングをブロック?

Adobe Acrobat may block antivirus tools from monitoring PDF files

2022/06/21 BleepingComputer — セキュリティ研究者たちは、Adobe Acrobat がアンチウィルス・ソフトウェアをブロックし、PDF ファイルをオープンする際の、セキュリティ的な可視化を拒否していることを発見し、ユーザーにリスクを生じさせることを明らかにした。Adobe の製品は、30 種類のセキュリティ製品のコンポーネントの、プロセスへのロードの有無をチェックしており、また、それらをブロックすることで、悪意のアクティビティ監視を本質的に拒否している。

Continue reading “Adobe Acrobat の問題:アンチ・ウィルス製品による PDF ファイル・モニタリングをブロック?”

Microsoft の定例6月パッチは重要:Follina 以外にも深刻な RCE 情報が満載

Microsoft Patches ‘Follina’ Zero-Day Flaw in Monthly Security Update

2022/06/15 DarkReading — 今日、Microsoft は、6月にスケジュールされたセキュリティ更新プログラムの一環として、Microsoft Support Diagnostic Tool (MSDT) に存在し、広く悪用されているゼロデイ脆弱性 Follina に対するパッチを発行した。このパッチは、同社が製品ポートフォリオ全体の脆弱性に対処するために公開した、合計で 60件のセキュリティ更新プログラムの中で、重要のものとなる。

Continue reading “Microsoft の定例6月パッチは重要:Follina 以外にも深刻な RCE 情報が満載”

Windows 11 KB5014019 の適用により Trend Micro ランサムウェア防御が破壊される

Windows 11 KB5014019 breaks Trend Micro ransomware protection

2022/05/26 BleepingComputer — 今週の Windows 累積更新プログラムのオプション・プレビューでは、Trend Micro のセキュリティ製品の一部との互換性に問題があり、ランサムウェア保護機能などの機能が破壊されることが判明した。Trend Micro は、「当社における複数のエンドポイントおよびサーバープロテクション製品で使用されている UMH コンポーネントは、ランサムウェア保護などの高度な機能を担っている、しかし、Microsoft Windows 11/Windows 2022 オプション・プレビュー・パッチ (KB5014019) を適用して再起動すると、Trend Micro UMH ドライバーが停止するという問題を認識している」と述べている。

Continue reading “Windows 11 KB5014019 の適用により Trend Micro ランサムウェア防御が破壊される”

VMware ESXi を狙う Cheers ランサムウェア:Linux 版に加えて Windows 亜種も登場か?

New ‘Cheers’ Linux ransomware targets VMware ESXi servers

2022/05/25 BleepingComputer — 新たなランサムウェア Cheers が登場し、脆弱性のある VMware ESXi サーバーを標的として活動を開始した。VMware ESXi は、世界中の大企業で一般的に使用されている仮想化プラットフォームであるため、Cheers による暗号化が行われると、その業務に深刻な支障をきたすとされる。

Continue reading “VMware ESXi を狙う Cheers ランサムウェア:Linux 版に加えて Windows 亜種も登場か?”

Pwn2Own Vancouver ハッキングコンテスト:Mozilla 製品群の2つのゼロデイ脆弱性が FIX

Mozilla fixes Firefox, Thunderbird zero-days exploited at Pwn2Own

2022/05/24 BleepingComputer — Pwn2Own Vancouver 2022 ハッキングコンテストで悪用が証明されたゼロデイ脆弱性に対応するために、Mozilla は複数の製品に対してセキュリティ・アップデートを公開した。具体的には、Firefox/Firefox ESR/Firefox for Android/Thunderbird の脆弱なバージョンを実行している、モバイル/デスクトップ端末で悪用に成功した攻撃者に対して、JavaScript コード実行を許してしまうという、2つの深刻な脆弱性が存在する。

Continue reading “Pwn2Own Vancouver ハッキングコンテスト:Mozilla 製品群の2つのゼロデイ脆弱性が FIX”

Trend Micro の DLL ハイジャック脆弱性が FIX:中国の APT による悪用が生じていた?

Trend Micro fixes bug Chinese hackers exploited for espionage

2022/05/24 BleepingComputer — Trend Micro が発表した内容は、中国の脅威グループが不正な DLL をサイドロードし、マルウェアを展開するために使用した、Trend Micro Security の DLL ハイジャック脆弱性に対するパッチ適用についてである。5月上旬に Sentinel Labs が明らかにしたように、Windows 上で動作するセキュリティ製品の高権限を悪用する攻撃者は、悪意を持って細工した独自の DLL をメモリ上にロードし、権限昇格とコードの実行を可能にしていたようだ。

Continue reading “Trend Micro の DLL ハイジャック脆弱性が FIX:中国の APT による悪用が生じていた?”

Pwn2Own Vancouver 2022 ハッキング・コンテスト:Windows 11/Telsa Model 3 などが陥落

Windows 11 hacked again at Pwn2Own, Telsa Model 3 also falls

2022/05/20 BleepingComputer — Pwn2Own Vancouver 2022 ハッキング大会の2日目、出場者たちは再び Microsoft Windows 11 をハッキングし、また、Tesla Model 3 のインフォテインメント・システムにゼロデイを適用するデモを実演した。この日にデモを行った一番手は @Synacktiv チームであり、Tesla Model 3 のインフォテインメント・システムをターゲットにしながら、2つのユニークなバグ (Double-Free & OOBW) と、サンドボックス脱出のデモに成功し、$75,000 の報酬を獲得した。

Continue reading “Pwn2Own Vancouver 2022 ハッキング・コンテスト:Windows 11/Telsa Model 3 などが陥落”

ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている

Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware

2022/05/06 TheHackerNews — PrivateLoader という PPI (pay-per-install) マルウェア・サービスが、NetDooka という極めて高度なフレームワークを配布し、攻撃者が感染させたデバイスを完全にコントロールしている状況が発見された。木曜日に Trend Micro は、「このフレームワークは、PPI サービスを通じて配布され、ローダー/ドロッパー/保護ドライバーだけではなく、独自のネットワーク通信プロトコルを実装した、フル機能の RAT (remote access trojan) といった、複数のツールを含んでいる」と、レポートの中で述べている。

Continue reading “ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている”

Pwn2Own Miami 2022 のテーマは ICS:各種の悪用証明に $400,000 の賞金

ICS Exploits Earn Hackers $400,000 at Pwn2Own Miami 2022

2022/04/21 SecurityWeek — Industrial Control Systems (ICS) にフォーカスするハッキング・コンテスト Pwn2Own Miami 2022 が終了し、悪用を証明した出場者たちは総額で $400,000 の賞金を獲得した。この、Trend Micro の Zero Day Initiative (ZDI) が主催するコンテストでは、OPC UA Server/Control Server/Human Machine Interface/Data Gateway の各カテゴリにおいて、11人の出場者が悪用を実演した。

Continue reading “Pwn2Own Miami 2022 のテーマは ICS:各種の悪用証明に $400,000 の賞金”

Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?

Mirai malware now delivered using Spring4Shell exploits

2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。

Continue reading “Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?”

Trend Micro の Apex Central における RCE の脆弱性 CVE-2022-26871 がFIX

Trend Micro fixes actively exploited remote code execution bug

2022/04/01 BleepingComputer — 日本のサイバー・セキュリティ企業である Trend Micro は、製品管理コンソールである Apex Central に存在する、任意のリモート・コード実行を攻撃者に許してしまう、深刻度の高いセキュリティ不具合にパッチを適用した。Apex Central とは、ネットワーク上の展開された Trend Micro 全体の製品およびサービスを、システム・アドミニストレータが管理するための Web ベース・コンソールである。このコンソールを使用すると、事前にスケジュールされたアップデートにより、各種のコンポーネントを展開することが可能になる。

Continue reading “Trend Micro の Apex Central における RCE の脆弱性 CVE-2022-26871 がFIX”

CISA 警告:悪用脆弱性リストに Sophos ファイアウォールを含む8件を追加

CISA orders agencies to patch actively exploited Sophos firewall bug

2022/03/31 BleepingComputer — 木曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対して、Sophos のファイアウォールの深刻なバグを含む、現時点で悪用されている8つの脆弱性に対して、3週間以内にパッチを適用するよう命じた。ほぼ1週間前に Sophos 明らかにしたように、脆弱性 CVE-2022-1040 を悪用する攻撃者は、User Portal または Webadmin インターフェイスを介して認証をバイパスし、リモートで任意のコードを実行できる。

Continue reading “CISA 警告:悪用脆弱性リストに Sophos ファイアウォールを含む8件を追加”

Delta Electronics 電力管理システムに深刻な脆弱性:ICS などにも影響が生じる?

Many Critical Flaws Patched in Delta Electronics Energy Management System

2022/03/24 SecurityWeek — 2021年8月に米国の CISA が、DIAEnergie 製品を使用している組織に通知した8件の脆弱性は、研究者である Michael Heinzl 発見したものであり、その中には Critical と評価されるものも含まれる。その当時に Heinzl は SecurityWeek に対して、これらの脆弱性が悪用されると、悲惨な結果を招く恐れがあり、また、ベンダーからパッチが出されていないと述べていた。

Continue reading “Delta Electronics 電力管理システムに深刻な脆弱性:ICS などにも影響が生じる?”

HP の各プリンター・シリーズの脆弱性が FIX:RCE や情報漏えいなどが生じる

Hundreds of HP printer models vulnerable to remote code execution

2022/03/22 BleepingComputer — HP は、同社のプリンタ・シリーズである LaserJet Pro/Pagewide Pro/OfficeJet/Enterprise/Large Format/DeskJet の数百モデルに影響を及ぼす、3つの深刻な脆弱性についてセキュリティ勧告を発表した。1つ目のセキュリティ・アドバイザリは、バッファ・オーバーフローの脆弱性であり、リモートからコードを実行される可能性がある。この問題は、Trend Micro の Zero Day Initiative チームにより報告され、CVE-2022-3942として追跡されている。深刻度を示す CVSS スコアは 8.4 だが、HP は Critical に位置付けている。

Continue reading “HP の各プリンター・シリーズの脆弱性が FIX:RCE や情報漏えいなどが生じる”

Cyclops Blink ボットネット:ロシアから ASUS ルーターを狙っている

New Variant of Russian Cyclops Blink Botnet Targeting ASUS Routers

2022/03/17 TheHackerNews — ASUS ルーターが、Cyclops Blink と呼ばれる新たなボットネットのターゲットとして浮上してきた。このマルウェアは、侵害したネットワークへのリモート・アクセスを取得する足がかりとして、WatchGuard ファイアウォール・アプライアンスを悪用したことが明らかになってから、約1ヶ月後のことである。

Trend Micro が発表した新しいレポートによると、このボットネットの主な目的は、価値の高いターゲットに対するさらなる攻撃のための、インフラを構築することである。ただし、感染した全てのホストについて調べたところ、重要な経済/政治/軍事などの組織は標的にしていないことが判明している。

Continue reading “Cyclops Blink ボットネット:ロシアから ASUS ルーターを狙っている”

Trend Micro の Hybrid Cloud Security に存在する2つの深刻な脆弱性が FIX

Trend Micro fixed 2 flaws in Hybrid Cloud Security products

2022/02/03 SecurityAffairs — Trend Micro は、同社のハイブリッド・クラウド・セキュリティ製品の一部に影響をおよぼす、2つの深刻度の高い脆弱性 (CVE-2022-23119/CVE-2022-23120) を修正するセキュリティ・アップデートを公開した。これらの脆弱性は、ワークロード・セキュリティ・ソリューションである Deep Security と Cloud One に影響するものだ。

Continue reading “Trend Micro の Hybrid Cloud Security に存在する2つの深刻な脆弱性が FIX”

ESET アンチウイルス製品の脆弱性が FIX:Windows SYSTEM への権限昇格

ESET antivirus bug let attackers gain Windows SYSTEM privileges

2022/02/02 BleepingComputer — スロバキアのインターネット・セキュリティ企業である ESET は、Windows 10 および Windows Server 2016 以降を実行するシステム上の複数の製品に影響する、深刻度の高いローカル特権昇格の脆弱性に対応する、セキュリティ修正プログラムを公開した。

Continue reading “ESET アンチウイルス製品の脆弱性が FIX:Windows SYSTEM への権限昇格”

台湾の電子機器メーカー Delta を攻撃した Conti が $15 M の身代金を要求

Taiwanese Apple and Tesla contractor hit by Conti ransomware

2022/01/27 BleepingComputer — 台湾の電子機器メーカーであり、Apple/Tesla/HP/Dell などに電源を提供している Delta Electronics は、金曜日の朝に発見されたサイバー攻撃により、被害を被っていることを公表した。Delta は、スイッチング電源の世界最大のプロバイダーであり、2021年の売上高は $9 billion を超えているという。同社は、2022年1月22日の声明において、今回のインシデントで重要システムは影響を受けず、業務に大きな問題は生じていないと述べている。

Continue reading “台湾の電子機器メーカー Delta を攻撃した Conti が $15 M の身代金を要求”

LockBit の Linux バージョンは VMware ESXi サーバーを標的にする

Linux version of LockBit ransomware targets VMware ESXi servers

2022/01/26 BleepingComputer — LockBit は最新のランサムウェアであり、Linux の暗号化機能を用いた、VMware ESXi の仮想マシンの暗号化に特化していることが判明している。その一方で、一般的な企業では、コンピュータ・リソースの節約/サーバーの統合/バックアップの容易さなどの理由から、仮想マシンへの移行が進んでいる。そのような状況を受け、これまでの1年間でランサムウェア・ギャングたちは、人気の高い VMware vSphere/ESXi 仮想化プラットフォームを標的とする、Linux エンクリプターを作成するよう、戦術を進化させてきた。

Continue reading “LockBit の Linux バージョンは VMware ESXi サーバーを標的にする”

Emotet の新バージョンは奇抜な IP アドレス形式により検知を回避する

Emotet Now Using Unconventional IP Address Formats to Evade Detection

2022/01/23 TheHackerNews — マルウェア Emotet を用いたソーシャル・エンジニアリング・キャンペーンにおいて、セキュリティ・ソリューションによる検知を逃れるための、従来とは異なる IP アドレス形式が、初めて使用されたことが確認されている。Trend Micro の Threat Analyst である Ian Kenefick は、金曜日に発表したレポートの中で、IP アドレスの 16進数および8進数での表現が使用されており、これらの表現がオペレーティングシステムで処理されると、リモート・サーバーからのリクエストを開始するために、ドット付きの 10進数表現に自動的に変換されると述べている。

Continue reading “Emotet の新バージョンは奇抜な IP アドレス形式により検知を回避する”

Schneider EVlink の脆弱性:リモートから電気自動車用充電ステーションが狙われる

New Flaws Expose EVlink Electric Vehicle Charging Stations to Remote Hacking

2021/12/27 SecurityWeek — Schneider Electric は、同社の電気自動車用充電ステーション EVlink が、リモート攻撃を受ける可能性があるし、複数の新しい脆弱性にパッチを適用した。Schneider は 12月14日にパッチの提供を発表し、顧客に対してパッチ/緩和策を適用 を直ちに行うよう促した。

Continue reading “Schneider EVlink の脆弱性:リモートから電気自動車用充電ステーションが狙われる”

米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害

Experts Discover Backdoor Deployed on the U.S. Federal Agency’s Network

2021/12/20 TheHackerNews — 国際的な権利に関連する米国連邦政府の委員会がバックドアの標的となり、古典的な APT 型の操作による内部ネットワーク侵害が生じたと、研究者たちが報告している。チェコのセキュリティ企業である Avast は、先週に発表したレポートの中で、「この攻撃は、ネットワークを完全に可視化し、システムの完全な制御を可能にした。したがって、対象となるネットワークあるいは、他のネットワークの深部に侵入するための、多段階攻撃の最初のステップとして使用することができた」と述べている。

Continue reading “米国連邦政府の委員会がバックドアの標的:古典的な APT による内部ネットワーク侵害”

Microsoft Exchange を狙うリプライ・チェーン攻撃は止まらずに継続している

Microsoft Exchange servers hacked in internal reply-chain attacks

2021/11/20 BleepingComputer — ProxyShell や ProxyLogon を利用する脅威アクターたちが、Microsoft Exchange サーバーのハッキング/マルウェアの配布/社内の返信用電子メールの侵害/検知の回避などを継続している。悪意の電子メール・キャンペーンを行う場合、脅威アクターたちにとって最も難しいのは、ユーザーが送信者を十分に信頼するように仕向け、不正なリンクや不正プログラムを開くように仕向けることだ。

Continue reading “Microsoft Exchange を狙うリプライ・チェーン攻撃は止まらずに継続している”

Alibaba ECS インスタンスをハイジャックする大勢の暗号マイナーたち

Alibaba ECS instances actively hijacked by cryptomining malware

2021/11/15 BleepingComputer — Alibaba Elastic Computing Service (ECS) インスタンスを乗っ取り、クリプトマイナー・マルウェアをインストールし、サーバー・リソースを利用して利益を得ようとする脅威行為が発生している。Alibaba は、グローバル市場で活躍する中国の大手テクノロジー企業であり、同社のクラウド・サービスは主に東南アジアで利用されている。

Continue reading “Alibaba ECS インスタンスをハイジャックする大勢の暗号マイナーたち”