Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた

Infra Used in Cisco Hack Also Targeted Workforce Management Solution

2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。

Continue reading “Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた”

Microsoft Office/Adob​​e PDF ドキュメントの兵器化:Escanor RAT は機能満載

Escanor Malware delivered in Weaponized Microsoft Office Documents

2022/08/22 SecurityAffairs — ロサンゼルスを拠点にして Fortune 500 を保護する、グローバル・サイバー・セキュリティ企業である Resecurity は、新しいRAT (Remote Administration Tool) である Escanor が、ダークウェブや Telegram などで宣伝されていることを確認している。この攻撃者は、Android/PC ベースの RAT に加えて、HVNC (HiddenVNC)/Exploit Builder を提供し、Microsoft Office/Adobe PDF ドキュメントを兵器化することで、悪意のコードを配信している。

Continue reading “Microsoft Office/Adob​​e PDF ドキュメントの兵器化:Escanor RAT は機能満載”

WordPress Plugin の脆弱性:160万のサイトをスキャンするキャンペーンが見つかった

Attackers scan 1.6 million WordPress sites for vulnerable plugin

2022/07/15 BleepingComputer — セキュリティ研究者たちは、160万近い WordPress サイトをスキャンし、認証なしでファイルをアップロードする脆弱なプラグインの存在を探し出そうとする、大規模なキャンペーンを検出した。この攻撃者は、Kaswara Modern WPBakery Page Builderをターゲットにしているが、真の狙いは深刻な脆弱性 CVE-2021-24284 に対するパッチを受ける前に、作者により放棄されたサイトへの攻撃にある。

Continue reading “WordPress Plugin の脆弱性:160万のサイトをスキャンするキャンペーンが見つかった”

PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む

Malicious PyPI package opens backdoors on Windows, Linux, and Macs

2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。

Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”

Linux を侵食する XORDDoS ボットネット:活動量が6ヶ月で 254% の増加

The activity of the Linux XorDdos bot increased by 254% over the last six months

2022/05/20 SecurityAffairs — XORDDoS は XOR.DDoS とも呼ばれる Linux ボットネットであり、2014年に脅威フィールドに登場したものである。ゲームや教育の Web サイト攻撃に利用され、悪意のトラフィックが 150 GB/s に達する大規模な DDoS 攻撃を引き起こしたこともある。XORDDoS は、マルウェア活動の難読化/ルールベース検出メカニズムの回避/ハッシュベースの悪意のファイル検索/永続化メカニズム/アンチフォレンジックなどのテクニックを活用している。Microsoft の専門家は、これまでの6ヶ月の間に、XORDDoS に関連する活動は 254% 増であることを検知している。

Continue reading “Linux を侵食する XORDDoS ボットネット:活動量が6ヶ月で 254% の増加”

BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細

BPFdoor: Stealthy Linux malware bypasses firewalls for remote access

2022/05/12 BleepingComputer — 最近になって発見された BPFdoor (Berkeley Packet Filter) というバックドア・マルウェアは、5年以上も気づかれることなく、こっそりと Linux や Solaris システムを標的にしてきた。BPFdoor は、Linux/Unix のバックドアであり、脅威アクターは Linux シェルにリモートで接続し、侵害したデバイスに対する完全なアクセスを得るようになる。このマルウェアは、ポートを開く必要がなく、ファイアウォールで止めることもできず、Web 上のあらゆる IP アドレスからのコマンドに応答できるため、企業スパイなどの継続的な攻撃にとって最適なツールとなっている。

Continue reading “BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細”

Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する

New stealthy Nerbian RAT malware spotted in ongoing attacks

2022/05/11 BleepingComputer — Nerbian RAT と呼ばれる、新たなリモート・アクセス型トロイの木馬が発見された。この RAT は、研究者による検出や分析を回避する機能などの、豊富な機能を備えていることが判明している。この新しいマルウェアの亜種は、Golang で書かれているため、クロス・プラットフォームの 64 Bit 脅威となっており、現時点においてはマクロが混入された文書の添付ファイルを使用した、小規模な電子メール配信キャンペーンにより配布されている。この電子メール・キャンペーンは、Proofpoint の研究者たちが発見したものであり、同社は Nerbian に関するレポートも発表している。

Continue reading “Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する”

新たなマルウェアを検出:Windows イベントログにシェルコードを隠す高度なスティルス性

Malware campaign hides a shellcode into Windows event logs

2022/05/07 SecurityAffairs — 2022年2月に Kaspersky の研究者たちは、Windows イベント ログにシェルコードを隠すという、新しいテクニックを用いた悪意のキャンペーンを発見した。このテクニックにより、ファイル無しのトロイの木馬を隠すことが可能となる。また、専門家たちは、Event Tracing (ETW) と Anti-Malware Scan Interface (AMSI) に関連する、Windows ネイティブ API 関数にパッチを当てることで、その Dropper モジュールも検出を避けていたことに気づいた。

Continue reading “新たなマルウェアを検出:Windows イベントログにシェルコードを隠す高度なスティルス性”

ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている

Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware

2022/05/06 TheHackerNews — PrivateLoader という PPI (pay-per-install) マルウェア・サービスが、NetDooka という極めて高度なフレームワークを配布し、攻撃者が感染させたデバイスを完全にコントロールしている状況が発見された。木曜日に Trend Micro は、「このフレームワークは、PPI サービスを通じて配布され、ローダー/ドロッパー/保護ドライバーだけではなく、独自のネットワーク通信プロトコルを実装した、フル機能の RAT (remote access trojan) といった、複数のツールを含んでいる」と、レポートの中で述べている。

Continue reading “ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている”

JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出

EmoCheck now detects new 64-bit versions of Emotet malware

2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書/Windows ショートカット/ISO ファイル/パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの1つである。これらのフィッシング・メールは、返信用チェーンメール/出荷通知/税務書類/会計報告書/ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。

Continue reading “JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出”

ウクライナの IT Army を標的とするトロイの木馬が蔓延している

Malware disguised as security tool targets Ukraine’s IT Army

2022/03/10 BleepingComputer — 新しいマルウェア・キャンペーンが、ウクライナの対ロシア・サイバー戦争を支援する人々の意欲に乗じて、パスワードを盗み出すトロイの木馬に感染させようとしている。先月にウクライナ政府は、ロシア企業に対するサイバー攻撃や DDoS 攻撃を行うために、世界中のボランティアで構成された新たな IT Army の創設を発表した。この取り組みにより、たとえその活動が違法と見なされたとしても、ロシアの組織やサイトを標的にする活動に対して、世界中の多くの人々による支援の輪が広がっている。

Continue reading “ウクライナの IT Army を標的とするトロイの木馬が蔓延している”

Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?

Microsoft Finds FoxBlade Malware Hit Ukraine Hours Before Russian Invasion

2022/03/01 TheHackerNews — 月曜日に Microsoft は、ロシアがミサイル攻撃を開始する数時間前に、ウクライナのデジタル・インフラに向けられた攻撃的で破壊的なサイバー攻撃の、新しいラウンドを検出したと表明した。Microsoft Threat Intelligence Center (MSTIC) によると、この攻撃には FoxBlade と呼ばれる新しいマルウェアが使用されており、発見から3時間以内にマルウェア対策サービス Defender に新しいシグネチャを追加し、この攻撃を検出したとのことだ。

Continue reading “Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?”

中国人ハッカーが台湾に対してサプライチェーン攻撃:主な標的は金融機関

Chinese Hackers Target Taiwan’s Financial Trading Sector with Supply Chain Attack

2022/02/22 TheHackerNews — 中国政府に協力することを目的とする APT (Advanced Persistent Threat) グループが、台湾の金融部門に対する組織的なサプライチェーン攻撃に関連していることが判明した。この攻撃は、2021年11月末に最初に開始されたと言われており、その侵入は APT10 として追跡される、脅威アクターによるものだとされている。この APT 10 は、Stone Panda/MenuPass/Bronze Riverside とも呼ばれ、遅くとも 2009年から活動している。

Continue reading “中国人ハッカーが台湾に対してサプライチェーン攻撃:主な標的は金融機関”

Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中

Several Malware Families Using Pay-Per-Install Service to Expand Their Targets

2022/02/08 TheHackerNews — PrivateLoader と呼ばれる Pay-Per-Install (PPI) 型のマルウェア・サービスを詳細に調査した結果、少なくとも 2021年5月以降で、SmokeLoader/RedLine Stealer/Vidar/Raccoon/GCleaner などのマルウェアの配信において、重要な役割を担っていることが明らかになった。

Continue reading “Pay-Per-Install を利用するランサムウェア・ファミリーが標的を拡大中”

Trickbot の巧妙なインジェクション手法:防御側の検出と分析を困難にする

Trickbot Injections Get Harder to Detect & Analyze

2022/01/25 DarkReading — トロイの木馬 Trickbot の作者は、このマルウェアに複数の防御層を追加し、悪意のオペレーションで用いられるインジェクションの、防御側による検出と分析を困難にしている。これらの機能は、マルウェアの配布目的で Trickbot が再利用される前に設計されていたものであり、オンライン・バンキング詐欺を目的とした攻撃を、想定したものと思われる。

Continue reading “Trickbot の巧妙なインジェクション手法:防御側の検出と分析を困難にする”

DTPacker はマルウェアのパッカー/ダウンローダーとして機能する厄介な相手

Hackers Using New Malware Packer DTPacker to Avoid Analysis, Detection

2022/01/24 TheHackerNews — DTPacker という名前の、これまで文書化されていなかったマルウェア・パッカーが、Agent Tesla/Ave Maria/AsyncRAT/FormBook などの複数の Remote Access Trojan (RAT) や情報窃取ツールなどを配布し、情報を略奪して後続の攻撃を容易にしていることが確認された。

Continue reading “DTPacker はマルウェアのパッカー/ダウンローダーとして機能する厄介な相手”

Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増

Linux malware sees 35% growth during 2021

2022/01/15 BleepingComputer — Linux デバイスを標的としたマルウェアの感染件数は、2021年に 35%増加しており、その多くは DDoS 攻撃のための IoT デバイスの取り込みが目標となっている。IoT デバイスは多様な Linux ディストリビューションを実行するが、一般的にパワー不足のスマート・デバイスであり、その機能も特定の範囲に制限されている。しかし、それらのリソースが、大規模なグループにまとめられると、十分に保護されたインフラに対して大規模な DDoS 攻撃を仕掛ける能力を持つことになる。

Continue reading “Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増”

サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

2022/01/13 DarkReading — 最近の攻撃キャンペーンには、パブリック・クラウドのインフラを利用して、コモディティ RAT である Nanocore/Netwire/AsyncRAT の亜種を配信し、ユーザーのデータを標的にするものが見られると、研究者たちが報告している。この、10月に発見された攻撃キャンペーンは、攻撃者が自身でインフラをホストせずに目的を達成するために、クラウド利用を増やしていることが明示されていると、Cisco Talos の研究者たちが報告している。

Continue reading “サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち”

DarkWatchman マルウェアに注意:高スティルス性で Windows Registry に潜む

New stealthy DarkWatchman malware hides in the Windows Registry

2021/12/19 BleepingComputer — DarkWatchman という新しいマルウェアが、サイバー犯罪の世界に出現した。このマルウェアは、C# キーロガーとペアになった、高機能なライトウェイトな JavaScript RAT (Remote Access Trojan) である。Prevailion の研究者のテクニカル・レポートによると、この斬新な RAT は、主にロシアの組織を標的とする、ロシア語を話す脅威アクターにより採用されているとのことだ。

Continue reading “DarkWatchman マルウェアに注意:高スティルス性で Windows Registry に潜む”

TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い

140,000 Reasons Why Emotet is Piggybacking on TrickBot in its Return from the Dead

2021/12/08 TheHackerNews — この高度なトロイの木馬 TrickBot は、2021年初頭にダウンしたボットネット Emotet を復活させる、新たなエントリー・ポイントになりつつある。その TrickBot も解体が試みられたが、それから1年あまりで、149カ国の14万人の被害者に感染したと推定されている。

Continue reading “TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い”

Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?

Emotet now drops Cobalt Strike, fast forwards ransomware attacks

2021/12/07 BleepingComputer — Emotet による Cobalt Strike Beacon の、ダイレクトなインストールが可能となり、また、ネットワークへのアクセスが可能となり、ランサムウェアによる攻撃が可能となるという、懸念が生じている。Emotet は、悪意の Word/Excel のドキュメントを取り込んだ、スパム・メールを介して拡散していくマルウェアである。

Continue reading “Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?”

悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す

Malicious Excel XLL add-ins push RedLine password-stealing malware

2021/12/05 BleepingComputer — Web サイトの問合せフォームやフォーラムにスパムを送り、パスワードなどの情報を盗むマルウェア RedLine をダウンロード/インストールさせる Excel XLL ファイルが、サイバー犯罪者たちにより配布されている。RedLine は情報窃取型のトロイの木馬であり、Web ブラウザに保存されているクッキー/ユーザー名/パスワード/クレジットカードなどの情報のほか、感染したデバイスから FTP 認証情報やファイルを盗み出す。

Continue reading “悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す”

IKEA のシステムがリプライチェーン・メール攻撃の渦中にある

IKEA email systems hit by ongoing cyberattack

2021/11/26 BleepingComputer — IKEA が、サイバー攻撃の渦中にいる。この攻撃では、盗まれた機密情報をもとに、リプライチェーン・メールにより従業員に対して、内部的なフィッシング攻撃が行われている。リプライチェーン型のメール攻撃とは、脅威アクターが企業からの正当なメールを盗み出し、そのメールに対して悪意のドキュメントなどへのリンクを返信して、受信者のデバイスにマルウェアをインストールするものである。

Continue reading “IKEA のシステムがリプライチェーン・メール攻撃の渦中にある”

Linux CronRAT という強敵:2月31日に設定されたタスクで Magecart 攻撃を実行

New Linux CronRAT hides in cron jobs to evade detection in Magecart attacks

2021/11/25 SecurityAffairs — Sansec のセキュリティ研究者たちは、2月31日の Linux Task Scheduling System (cron) に潜む、CronRAT という名で追跡される、新たな Linux リモート・アクセス・トロイの木馬 (RAT) を発見した。この CronRAT という RATは、タスク名にマルウェアを潜ませた後に、圧縮と base64 デコーディングを何度も繰り返し、悪意のコードを構築していく。

Continue reading “Linux CronRAT という強敵:2月31日に設定されたタスクで Magecart 攻撃を実行”

CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害

Experts Detail Malicious Code Dropped Using ManageEngine ADSelfService Exploit

2021/11/08 TheHackerNews — Zoho ManageEngine ADSelfService Plus における、セルフサービス・パスワード管理およびシングル・サインオン (SSO) のソリューションだが、先日にパッチが適用された深刻な脆弱性を悪用され、テクノロジー/防衛/ヘルスケア/エネルギー/教育などの業界の、少なくとも9組織が不正な侵入を許してしまった。

Continue reading “CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害”

FBI 警告:企業の合併/買収などを狙うランサムウェア攻撃が増加している

FBI: Ransomware Attacks Exploit Financial Business Events

2021/11/02 SecurityWeek — 先週に FBI は、ランサムウェアの実行者が、企業の合併/買収や株式評価に関する情報を利用して恐喝攻撃を仕掛けていることについて、業界全体の注意を喚起する通知を発出した。ランサムウェアの実行者が、被害者への攻撃を開始する前に、公開されている情報や重要な未公開データを利用して、広範な調査を行うことは周知のとおりである。

Continue reading “FBI 警告:企業の合併/買収などを狙うランサムウェア攻撃が増加している”

トロイの木馬ソースの新技術:Unicode を悪用して注入した脆弱性を隠してしまう

New ‘Trojan Source’ Technique Lets Hackers Hide Vulnerabilities in Source Code

2021/11/01 TheHackerNews — 脅威アクターたちは、新たな種類の脆弱性を利用して、視覚的に狡猾なマルウェアを注入するかもしれない。これは意味的には問題が検出されないが、ソースコードで定義されたロジックを変更し、数多くの当事者およびサプライチェーンのリスクの扉を、効率よく開いていく。

Continue reading “トロイの木馬ソースの新技術:Unicode を悪用して注入した脆弱性を隠してしまう”

Trickbot マルウェア開発者の逮捕:バンキング・トロイの木馬などの容疑

Trickbot arrest: Russian national extradited to US for alleged role in developing notorious banking trojan

2021/10/29 DailySwig — Trickbot グループのメンバーとして疑われているロシア人が、韓国から米国に送還され、連邦裁判所に初出廷した。Vladimir Dunaev (38歳) は、Trickbot グループのマルウェア開発者として、マルウェアの実行管理、および、ブラウザ改竄プログラムの開発、マルウェアの難読化といった、技術支援を行っていたとされる。

Continue reading “Trickbot マルウェア開発者の逮捕:バンキング・トロイの木馬などの容疑”