Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供

Genesis IAB Market Brings Polish to the Dark Web

2022/08/08 DarkReading — アンダーグラウンドのサイバー犯罪経済における 、イニシャル・アクセス・ブローカー (IAB initial access brokers) の役割の増大は、老舗の1つである Genesis Marketplace の進化に反映されており、時間の経過とともに洗練されてきたことが窺える。今週の Sophos のレポートでは、招待制として 2017年にスタートしたマーケット・プレイスを介して、認証情報やクッキーからデジタル指紋にいたるまで、他者のデータへの不正アクセスを脅威アクターに提供している、Genesis のビジネスが包括的に取り上げられている。

Continue reading “Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供”

Facebook が摘発した南アジアのサイバー・ギャングたち:騙しのテクニックを分析

Meta Cracks Down on Cyber Espionage Operations in South Asia Abusing Facebook

2022/08/08 TheHackerNews — Facebook の親会社である Meta は、同社の SNS を利用してマルウェアを配布していた、南アジアにおける2つのスパイ活動への対策を講じたことを発表した。1つ目のアクティビティは、ニュージーランド/インド/パキスタン/イギリスの個人を標的とした、ハッキング・グループ Bitter APT (別名 APT-C-08/T-APT-17) により実施されたものだ。Meta は、この活動について、十分な持続性とリソースを持つと表現している。

Continue reading “Facebook が摘発した南アジアのサイバー・ギャングたち:騙しのテクニックを分析”

Classiscam という Scam-as-a-Service:ヨーロッパとシンガポールで稼ぎ続ける

Researchers Uncover Classiscam Scam-as-a-Service Operations in Singapore

2022/08/08 TheHackerNews — Classiscamと呼ばれる巧妙な Scam-as-a-Service が、ヨーロッパでの拡大から1年半以上を経過した後に、シンガポールに潜入している。Group-IB は The Hacker News と共有したレポートの中で、「正当な買い手を装った詐欺師が、出品物から商品を購入するよう売り手に依頼し、支払いデータを盗むことが最終目的である」と述べている。同社は、このオペレーターについて、「上手に組織化された、技術的に高度な詐欺師の犯罪ネットワーク」と呼んでいる。

Continue reading “Classiscam という Scam-as-a-Service:ヨーロッパとシンガポールで稼ぎ続ける”

Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される

Twitter confirms zero-day used to expose data of 5.4 million accounts

2022/08/05 BleepingComputer — Twitter は、最近発生したデータ流出の原因が、現在は修正済みのゼロデイ脆弱性にあったこと、そして、メールアドレス/電話番号をユーザーのアカウントにリンクさせるために悪用されていたことを発表した。BleepingComputer が7月に行った、ある脅威アクターたちへのインタビューで、この脆弱性を悪用に成功した彼らは、 540万人のユーザーアカウントのリストを作成していたことが判明した。

Continue reading “Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される”

VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?

VirusTotal Reveals Most Impersonated Software in Malware Attacks

2022/08/03 TheHackerNews — 信頼関係を悪用してソーシャル・エンジニアリング攻撃の成功率を高める手段として、Skype/Adobe Reader/VLC Player などの正規のアプリケーションを模倣する、脅威アクターが増えている。また、VirusTotal の分析によると、最も偽装されている正規アプリのアイコンは、7-Zip/TeamViewer/CCleaner/Microsoft Edge/Steam/Zoom/WhatsApp などであることが判明している。

Continue reading “VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?”

Chrome/Chromium のブックマーク同期:データ流出の新たな経路になる可能性とは?

Chromium Browsers Allow Data Exfiltration via Bookmark Syncing

2022/08/02 DarkReading — ブックマーク同期機能は、最新のブラウザの標準機能となっている。この機能により、インターネット・ユーザーは、1つのデバイスで行ったブックマークへの変更を、すべてのデバイスで同時に反映させることができる。しかし、この便利なブラウザの機能は、サイバー犯罪者にとっても便利な攻撃経路となることが分かっている。つまり、ブックマークを悪用して、企業環境から大量のデータを吸い上げても、攻撃ツールや悪意のペイロードを忍び込ませても、ほとんど発見される心配がないのだ。

Continue reading “Chrome/Chromium のブックマーク同期:データ流出の新たな経路になる可能性とは?”

Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ

Gootkit AaaS malware is still active and uses updated tactics

2022/08/02 SecurityAffairs — AaaS (Access-as-a-Service) モデルで動作するマルウェア Gootkit は、侵害されたシステム上に悪意のあるペイロードをドロップする手段として、さまざまな脅威グループに使用されている。Gootkit は、ファイルレス技術を使用して、SunCrypt/REvil (Sodinokibi) /Kronos/Cobalt Strike などの、バンキング・マルウェア/ランサムウェアをドロップすることで知られている。

Continue reading “Gootkit は AaaS (Access-as-a-Service):ファイルレス技術でマルウェアをドロップ”

LockBit の新戦術:Windows Defender を悪用して Cobalt Strike をロードする経路を発見

LockBit operator abuses Windows Defender to load Cobalt Strike

2022/07/29 BleepingComputer — ランサムウェア LockBit 3.0 に関連する脅威アクターたちは、Windows Defender のコマンドライン・ツールを悪用して、感染させたシステムに Cobalt Strike Beacon をロードし、セキュリティ・ソフトウェアによる検出を回避していることが明らかになった。Cobalt Strike は、正規のペンテスト・スイートだが、その広範な機能は脅威アクターたちに好まれ、ネットワークでの偵察と横方向の移動をステルスで実行した後に、データを盗んで暗号化するために使用されている。

Continue reading “LockBit の新戦術:Windows Defender を悪用して Cobalt Strike をロードする経路を発見”

Akamai が緩和した東欧企業に対する DDoS 攻撃:14時間で 853.7 Gbps という規模

Akamai blocked largest DDoS in Europe against one of its customers

2022/07/28 BleepingComputer — 7月初めのヨーロッパで、過去最大の分散型サービス妨害 (DDoS) 攻撃が発生し、東欧のある組織が襲われた。サイバー・セキュリティ企業である Akamai の顧客であるターゲットが、過去 30 日間にわたり、数十回の DDoS 攻撃に直面するという絶え間ない攻撃にさらされていのだ。

Continue reading “Akamai が緩和した東欧企業に対する DDoS 攻撃:14時間で 853.7 Gbps という規模”

Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る

As Microsoft blocks Office macros, hackers find new attack vectors

2022/07/28 BleepingComputer — これまでのフィッシングでは、悪意の Office マクロを埋め込んだ添付ファイルでマルウェアを配布していたハッカーたちだが、Microsoft がデフォルトで Office マクロをブロックするようになってから戦術を変更し、ISO/RAR/LNK (Windows ショートカット) などの、新しいファイル・タイプへと添付ファイルを切り替えている。

Continue reading “Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る”

LockBit 3.0 と BlackMatter の関係を分析:専門家たちが指摘する類似点とは?

Experts Find Similarities Between New LockBit 3.0 and BlackMatter Ransomware

2022/07/27 TheHackerNews — サイバー・セキュリティ研究者たちは、ランサムウェア LockBit の最新版と、2021年11月に消えたランサムウェア DarkSide のリブランド版 BlackMatter との類似性を、あらためて指摘している。LockBit 3.0(LockBit Black) と呼ばれる新バージョンは、2022年6月にリリースされ、暗号通貨の支払いオプションとして Zcash を追加し、新しいリークサイトとバウンティプログラムを立ち上げた。

Continue reading “LockBit 3.0 と BlackMatter の関係を分析:専門家たちが指摘する類似点とは?”

Palo Alto Unit 42 の調査:脆弱性が公表された 15分後には悪意のスキャンが始まる

Hackers scan for vulnerabilities within 15 minutes of disclosure

2022/07/26 BleepingComputer — この新しいレポートにより、脅威アクターたちは新しい CVE が公開されてから 15分以内に、脆弱なエンドポイントをスキャンしていることが明らかになった。Palo Alto Unit 42 の 2022 Incident Response Report によると、ハッカーたちは常にソフトウェ・アベンダーの掲示板を監視し、企業ネットワークへのイニシャル・アクセスやリモートコード実行に利用できる、新しい脆弱性の告知を探し求めているようだ。つまり、脅威アクターたちの脆弱性スキャンを開始するスピードが速いため、システム管理者は、脆弱性が悪用される前にバグを修正する必要に迫られることになる。

Continue reading “Palo Alto Unit 42 の調査:脆弱性が公表された 15分後には悪意のスキャンが始まる”

Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

Continue reading “Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心”

QBot による Windows Calculator 悪用:フィッシングを DLL サイドローディングで仕掛ける

QBot phishing uses Windows Calculator sideloading to infect devices

2022/07/24 BleepingComputer — マルウェア QBot のオペレーターたちは、感染させたコンピュータに悪意のペイロードをサイドロードするために、Windows Calculator を悪用している。DLL サイドローディングとは、Windows における Dynamic Link Libraries (DLL) の処理方法を悪用する一般的な攻撃方法である。偽装した DLL をロード・フォルダに配置することで、オペレーティング・システムに読み込ませるという手順で構成されている。

Continue reading “QBot による Windows Calculator 悪用:フィッシングを DLL サイドローディングで仕掛ける”

Google Chrome の ゼロデイ脆弱性 CVE-2022-2294:Candiru スパイウェアが悪用

Chrome zero-day used to infect journalists with Candiru spyware

2022/07/21 BleepingComputer — イスラエルのスパイウェア・ベンダー Candiru が、Google Chrome のゼロデイ脆弱性を悪用していたことが判明した。彼らはスパイウェア DevilsTongue を用い、中東のジャーナリストや、彼らと利害関係のある人々に対してスパイ活動を行っていた。このヒープバッファ・オーバーフローの脆弱性 CVE-2022-2294 は、WebRTC に存在するものだ。悪用に成功した攻撃者が、ターゲット・デバイス上でコードを実行する可能性がある。Google は、2022年7月4日に、この脆弱性にゼロデイ・パッチを適用した際に、活発に悪用されていることを明らかにしていたが、それ以上の詳細は提供しなかった。

Continue reading “Google Chrome の ゼロデイ脆弱性 CVE-2022-2294:Candiru スパイウェアが悪用”

Google Calendar に新たなブロック機能:フィッシング防止のために設定

Google Calendar provides new way to block invitation phishing

2022/07/20 BleepingComputer — 今日の Google Workspace チームの発表によると、Google カレンダーの招待状スパムをブロックする新しい方法が、従来からの G Suite Basic および Business ユーザーを含む、すべてのユーザーに対して提供が開始されたようだ。

Continue reading “Google Calendar に新たなブロック機能:フィッシング防止のために設定”

PayPal を装う新たなフィッシング・キット:狡猾な手口で個人情報を抜き取る

PayPal phishing kit added to hacked WordPress sites for full ID theft

2022/07/14 BleepingComputer — PayPal ユーザーを標的とした新たなフィッシング・キットにより、政府発行の身分証明書や写真などの、大量の個人情報を盗み出そうとするアクティビティが発見された。現時点において、4億人以上の個人および企業が、オンライン決済ソリューションとして PayPal を使用している。このキットは、ハッキングした正規の WordPress Web サイトをホストとしているため、ある程度は検出を回避することが可能である。

Continue reading “PayPal を装う新たなフィッシング・キット:狡猾な手口で個人情報を抜き取る”

Honda 車両のロック解除/エンジン始動を可能にする Rolling-PWN 攻撃とは?

Experts demonstrate how to unlock several Honda models via Rolling-PWN attack

2022/07/10 SecurityAffairs — Star-V Lab のセキュリティ研究者 Kevin2600 と Wesley Li のチームが、脆弱性 CVE-2021-46145 に対する Rolling-PWN 攻撃により、Honda 車両のロック解除や発進を可能になることを発見した。研究者たちが、車両の解錠/発進を遠隔操作で可能にする Remote Keyless Entry System (RKE) をテストしたところ、リモートで車両の解錠/施錠ができる Rolling-PWN 攻撃の問題が発見された。専門家たちによると、この問題は、2012年〜2022年に販売された全ての Honda 車に影響するとのことだ。

Continue reading “Honda 車両のロック解除/エンジン始動を可能にする Rolling-PWN 攻撃とは?”

LockBit ランサムウェアの進化:Ngrok 悪用や Neshta 感染などの新たな手法とは?

Evolution of the LockBit Ransomware operation relies on new techniques

2022/07/09 SecurityAffairs — Cybereason の Global Security Operations Center (GSOC) Team は、脅威の状況を調査し、その攻撃を軽減するための推奨事項を提供する、Cybereason Threat Analysis Reports を発表した。ランサムウェア Lockbit の進化に着目する研究者たちは、全く異なる時期に発生した2つの感染について詳述し、そのオペレーションにおける進化の状況を浮き彫りにしている。

Continue reading “LockBit ランサムウェアの進化:Ngrok 悪用や Neshta 感染などの新たな手法とは?”

Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!

Hackers Exploiting Follina Bug to Deploy Rozena Backdoor

2022/07/09 TheHackerNews — 新たに観測されたフィッシング・キャンペーンは、先日に公開された脆弱性 Follina (CVE-2022-30190) を悪用し、これまで文書化されていなかったバックドアを、Windows システム上に配布するものだった。今週に発表したレポートで、Fortinet FortiGuard Labs の 研究者である Cara Lin は、「Rozena は、攻撃者のマシンに戻ってリモートシェル接続を注入することが可能なバックドア・マルウェアだ」と述べている。

Continue reading “Windows の脆弱性 Follina CVE-2022-30190 を悪用する Rozena バックドアに注意!”

Microsoft Office の VBA マクロ・ブロック:突然のロールバックと大混乱のユーザー

Microsoft rolls back decision to block Office macros by default

2022/07/07 BleepingComputer — 今年の初めに Microsoft は、ダウンロードした Office 文書に含まれる VBA マクロをデフォルトでブロックすると発表したが、この木曜日には、この変更に関する通知を行うまでの間、「フィードバック」に基づきロールバックすると発表した。 また、同社は、この決定の背後にある理由を説明できず、Access/Excel/PowerPoint/Visio/Word において、悪意の Office 文書に埋め込まれた VBA マクロが自動的にブロックされなくなることを、公には顧客に通知していない。

Continue reading “Microsoft Office の VBA マクロ・ブロック:突然のロールバックと大混乱のユーザー”

Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?

Less popular, but very effective, Red-Teaming Tool BRc4 used in attacks in the wild

2022/07/06 SecurityAffairs — Palo Alto Networks Unit 42 の研究者は、2022年5月19日 にVirusTotal データベースにアップロードされたことで、大半のアンチウイルス製品が良性と判断していたサンプルに、レッドチーム/敵対攻撃シミュレーションのためのツールである、Brute Ratel C4 (BRc4) に関連するペイロードが含まれていたことを発見した。Cobalt Strike Beacons とは異なり、BRc4 ペイロードは普及していないが、同様の機能を備えている。このツールは、EDR (endpoint detection and response) や AV (antivirus) などによる、セキュリティ検出を回避するように設計されている。VirusTotal 上のベンダー間で検知されなかったことからも、このツールの有効性は明らかだ。

Continue reading “Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?”

Hive RaaS が Rust にアップグレード:より洗練された暗号化方式が実装されている

Hive Ransomware Upgrades to Rust for More Sophisticated Encryption Method

2022/07/06 TheHackerNews — Ransomware-as-a-Service (RaaS) Hive のオペレーターたちが、Hive の構成を全面的に見直し、記述言語を GoLang から Rust へと移行し、より洗練された暗号化方式を採用し始めた。火曜日のレポートで Microsoft Threat Intelligence Center (MSTIC) は、「Hive は、複数の大規模なアップグレードを伴う最新の亜種で、最も急速に進化するランサムウェア・ファミリーの1つであることも証明しており、絶えず変化するランサムウェアのエコシステムを実証している」と述べている。

Continue reading “Hive RaaS が Rust にアップグレード:より洗練された暗号化方式が実装されている”

NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード

NPM supply-chain attack impacts hundreds of websites and apps

2022/07/05 BleepingComputer — NPM のサプライチェーン攻撃は、2021年12月からたどる必要がある。そのとき、難読化された Javascript コードを含む、数十の悪意の NPMモジュールが用いられ、数百の下流にあるデスクトップ・アプリケーションと Web サイトが危険にさらされた。

Continue reading “NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード”

SOHO Router を標的とする ZuoRAT マルウェア:米国/欧州の 80社をスティルス侵害

SOHO Routers in North America and Europe Targeted With ‘ZuoRAT’ Malware

2022/06/30 SecurityWeek — Lumen Technologies の脅威情報部門である Black Lotus Labs のセキュリティ研究者たちによると、ある SOHO (small office/home office) デバイスを標的とする RAT (remote access trojan) が、2年近く検出されなかった状況にあるという。この ZouRAT と名付けられたマルウェアは、リモートワーカーを標的とする巧妙なキャンペーンの一環として、北米/欧州に存在するデバイスに展開されており、国家に支援された脅威アクターによる犯行の可能性がある。研究者たちは、少なくとも 80 の事業体が影響を受けた可能性があると推定している。

Continue reading “SOHO Router を標的とする ZuoRAT マルウェア:米国/欧州の 80社をスティルス侵害”

MITRE が 2022年版 CWE Top-25 をリリース:NVD と CISA のデータを活用

Mitre shared 2022 CWE Top 25 most dangerous software weaknesses

2022/06/29 SecurityAffairs — MITRE が、2022年版の CWE Top-25 をリリースした。2022年において、最も危険な弱点 Top-25 を集めたリストは、組織が内部インフラを評価し、その攻撃対象領域を特定するのに役立てられる。組織のインフラ内に、これらの脆弱性が存在すると、潜在的に広範な攻撃にさらされる可能性がある。

Continue reading “MITRE が 2022年版 CWE Top-25 をリリース:NVD と CISA のデータを活用”

Exchange の ProxyLogon と中国支援の APT:Building Automation System を攻撃

China-Backed APT Pwns Building-Automation Systems with ProxyLogon

2022/06/29 DarkReading — これまで未知とされてきた中国語圏の高度持続的脅威 (APT) アクターが、Microsoft Exchange の脆弱性 ProxyLogon を悪用してマルウェア ShadowPad を展開している。その最終目標は、ビルオートメーション・システム (BAS:Building Automation System) を乗っ取り、ネットワークに深く侵入することだと、研究者たちは述べている。

Continue reading “Exchange の ProxyLogon と中国支援の APT:Building Automation System を攻撃”

米国/英国/NZ が PowerShell セキュリティ・ガイダンスを発行:Windows の安全性確保に不可欠

US, UK, New Zealand Issue PowerShell Security Guidance

2022/06/24 SecurityWeek — PowerShell を適切に設定/監視し、不正利用のリスクを排除するための共同ガイダンスが、CISA/NSA (米国)、NCSC-UK (英国) /NZ NCSC (ニュージーランド) から発表された。Windows のスクリプト言語/コマンドライン・ユーティリティである PowerShell は、反復作業を自動化し、フォレンジックを可能にするものになる。つまりインシデント対応を向上させることで、ユーザー・エクスペリエンスを拡張し、OS の管理を支援することを目的にできる。

Continue reading “米国/英国/NZ が PowerShell セキュリティ・ガイダンスを発行:Windows の安全性確保に不可欠”

BlackCat の新手法:情報のリーク先がパブリック・インターネットに切り替わった

Ransomware gang publishes stolen victim data on the public Internet

2022/06/15 HelpNetSecurity — BlackCat (Alphv) ランサムウェア・グループは、被害者の組織から盗み出した従業員や顧客の機密データをクリアネット (パブリック・インターネット) サイトに掲載し、侵入後に沈黙を守る企業に対して支払いを迫るという新しい戦術を試みている。また、以前のランサムウェア・ギャングと同様に、漏洩した情報を用いて被害者である個人とダイレクトに連絡を取り、「オンライン検索が可能な誰もが、対象となる個人情報/財務情報/医療情報などが入手できる」と、通知しているものと思われる。

Continue reading “BlackCat の新手法:情報のリーク先がパブリック・インターネットに切り替わった”

Cloudflare 報告:毎秒 2600万リクエストの HTTPS DDoS 攻撃を緩和した

Cloudflare mitigates record-breaking HTTPS DDoS attack

2022/06/14 BleepingComputer — 今日の発表で、インターネット・インフラ企業である Cloudflare は、これまでに検知された中で最大となる HTTPS DDoS 攻撃である、毎秒 2600万リクエスト (rps) の分散型サービス妨害 (DDoS) 攻撃を緩和したことを明らかにした。この記録的な攻撃は先週に発生し、Cloudflare のフリープランを利用している顧客 (1社のみ) が標的にされたという。

Continue reading “Cloudflare 報告:毎秒 2600万リクエストの HTTPS DDoS 攻撃を緩和した”

Syslogk という Linux Rootkit:リモートから Magic Packet を介してバックドアを制御する

New Syslogk Linux Rootkit Lets Attackers Remotely Command It Using “Magic Packets”

2022/06/14 TheHackerNews — Syslogk という名の新しい Linux カーネル rootkit は、リモートから魔法のネットワーク・トラフィック・パケットを操る敵対者が、悪意のペイロードの隠蔽まで可能にすることが明らかになった。月曜日に Avast のセキュリティ研究者である David Álvarez と Jan Neduchal は、「Syslogk rootkit は Adore-Ng をベースにしているが、新しい機能が組み込まれており、ユーザーモード・アプリケーションとカーネル rootkit の検出を困難にしている」とレポートの中で語っている。

Continue reading “Syslogk という Linux Rootkit:リモートから Magic Packet を介してバックドアを制御する”

Windows の脆弱性 Follina とウクライナ:ロシアのハッカーたちが悪用を始めている

Russian hackers start targeting Ukraine with Follina exploits

2022/06/13 BleepingComputer — ウクライナの Computer Emergency Response Team (CERT) は、ロシアのハッキング・グループ Sandworm が、Microsoft Windows Support Diagnostic Tool (MSDT) に存在するリモートコード実行の脆弱性 Follina (CVE-2022-30190) を、悪用している可能性があると警告している。このセキュリティ問題は、特別に細工された文書を選択する、または、開くことで発生する可能性があり、2022年4月以降において脅威アクターたちが、この問題を攻撃で悪用しているとのことだ。なお、ウクライナ CERT-UA は、この悪意の活動の背後に Sandworm というハッカー集団がいることについて、50% ほどの確率があると評価している。

Continue reading “Windows の脆弱性 Follina とウクライナ:ロシアのハッカーたちが悪用を始めている”

PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取

PyPI package ‘keep’ mistakenly included a password stealer

2022/06/12 BleepingComputer — PyPI パッケージである keep/pyanxdns/api-res-py の一部のバージョンには、悪意の request との依存関係が存在するため、バックドアが含まれることが判明した。たとえば、keep プロジェクトの大半のバージョンでは、HTTP リクエストを行うために正規の Python モジュール requests を使用しているが、keep v.1.2 にはマルウェアである request (s なし) が含まれている。BleepingComputer は、これが単なる誤植なのか自作自演なのか、それとも、メンテナ・アカウントの乗っ取りによるものなのかを確認するため、それぞれのパッケージの作者に問い合わせた。

Continue reading “PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取”

Symbiote マルウエアの詳細:金融業界の Linux-Based システムに脅威をもたらす?

Symbiote Malware Poses Stealthy, Linux-Based Threat to Financial Industry

2022/06/11 DarkReading — ステルス性の高い Symbiote という Linux 上の脅威が、ラテン・アメリカの金融機関を標的としている。それにより、すべてのファイル/プロセス/ネットワークのアーティファクトがマルウェアにより隠され、ライブ・フォレンジックによる検出が事実上不可能な状態に陥っている。BlackBerry Research のブログ記事によると、このマルウェアは 2021年11月に露見している。Symbiote が、他の Linux マルウェアと異なる点は、単独で実行可能なファイルを使用して被害を与えるのではなく、実行中のプロセスに感染させるというアプローチにある。

Continue reading “Symbiote マルウエアの詳細:金融業界の Linux-Based システムに脅威をもたらす?”

Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する

DogWalk Vulnerability Detection: New Path Traversal Flaw in Microsoft Windows

2022/06/09 SOCPrime — DogWalk と呼ばれる、Microsoft Support Diagnostic Tool (MSDT) のゼロデイ脆弱性が、積極的に悪用されているリモートコード実行の脆弱性 Follina CVE-2022-30190 の直後に発生した。MSDT に影響を与える、深刻なセキュリティ問題である Follina のときと同様に、Microsoft のトラブル・シューターは、この脆弱性が最初に注目されたときに見過ごしており、この文章を書いている時点では、この脆弱性に CVE は割り当てられていない。

Continue reading “Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する”

Meeting Owl Pro の脆弱性 CVE-2022-31460 が FIX:悪用が始まり CISA も対応を表明

Threat Actors Start Exploiting Meeting Owl Pro Vulnerability Days After Disclosure

2022/06/09 SecurityWeek — 今週の初めから、Owl Labs はビデオ会議デバイスに生じた深刻な脆弱性に対処しているが、すでに脅威アクターたちは悪用し始めている。この脆弱性 CVE-2022-31460 (CVSS 7.4) が、脆弱な Owl デバイスに対して悪用されると、自身が接続している Wi-Fi ネットワーク内の、不正なアクセスポイントにされる可能性が生じる。

Continue reading “Meeting Owl Pro の脆弱性 CVE-2022-31460 が FIX:悪用が始まり CISA も対応を表明”

Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された

‘Follina’ Vulnerability Exploited to Deliver Qbot, AsyncRAT, Other Malware

2022/06/09 SecurityWeek — 最近になって公開された Windows の脆弱性を Follina (CVE-2022-30190) 悪用する、複数のマルウェアが配信されているが、現時点においても公式パッチが提供されていない状態である。この脆弱性は、Microsoft Support Diagnostic Tool (MSDT) に関連しており、特別に細工されたドキュメントを介した、リモートコード実行に悪用される可能性がある。

Continue reading “Windows の脆弱性 Follina:Qbot/AsyncRAT などによる悪用が観測された”

米政府とキプロス警察:SSNDOB という個人情報ブラック・マーケットを押収

US dismantled and seized SSNDOB cybercrime marketplace

2022/06/08 SecurityAffairs — 米国司法省は、米国内の個人が所有する氏名/生年月日/社会保障番号などの個人情報を、不正に提供する一連の Web サイト SSNDOB Marketplace を差し押さえたと発表した。当局によると、SSNDOB Marketplace は、米国内の約 2400万人分の個人情報を掲載し、$19 million USD の利益を計上しているとのことだ。この国際作戦は、FBI/DoJ/Internal Revenue Service と、キプロス警察により実施された。

Continue reading “米政府とキプロス警察:SSNDOB という個人情報ブラック・マーケットを押収”

NSA/CISA/FBI 勧告:中国の国家支援ハッカーたちが Telecom/NSP を狙っている

U.S. Agencies Warn About Chinese Hackers Targeting Telecoms and Network Service Providers

2022/06/08 TheHackerNews — 米国のサイバーセキュリティ/情報機関は、少なくとも 2020年以降において、中国を拠点とする国家に支援されたサイバー行為者が、公共/民間組織のネットワークの脆弱性を悪用して侵害していると警告している。この広範な侵入キャンペーンでは、Small Office/Home Office (SOHO) ルーターやネットワーク接続ストレージ (NAS) デバイスなどの、すでに公表されているセキュリティ上の欠陥を悪用し、被害者のネットワークへの深いアクセスを獲得することを目的としている。

Continue reading “NSA/CISA/FBI 勧告:中国の国家支援ハッカーたちが Telecom/NSP を狙っている”

ウクライナの不安定化を狙うロシア:サイバー空間での戦いに “Z” は失敗している

Russia is ‘failing’ in its mission to destabilize Ukraine’s networks after a series of thwarted cyber-attacks

2022/06/02 DailySwig — ウクライナのサイバー耐性を揺るがすという任務に、ロシアは失敗している。言い換えるなら、ウクライナは、同国は圧制者からのサイバー攻撃をうまく阻止し続けている。これは、今週に開催された WithSecure の Sphere Conference で得られた教訓であり、同社の CRO である Mikko Hyppönen は、「プーチン政権は、ほぼ失敗している」と出席者に伝えた。

Continue reading “ウクライナの不安定化を狙うロシア:サイバー空間での戦いに “Z” は失敗している”

Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない

Conti ransomware targeted Intel firmware for stealthy attacks

2022/06/02 BleepingComputer — Conti ランサムウェアから流出したチャットを分析した研究者たちは、ロシアのサイバー犯罪グループ内のチームが、ファームウェアのハッキングを積極的に行ってきたことを発見した。このサイバー犯罪シンジケートのメンバーたちが交わしたメッセージによると、Conti の開発者は、Intel の Management Engine (ME) を活用してフラッシュを上書きし、System Management Mode (SMM) を実行させる PoC コードを作成していたことが判明した。

Continue reading “Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない”

Clipminer マルウエアが野放し状態:トランザクション・ハイジャックにより $1.7 M が盗まれた

Clipminer malware gang stole $1.7M by hijacking crypto payments

2022/06/02 BleepingComputer — 脅威アナリストたちが、Clipminer という名の暗号通貨マイニング・マルウェアの大規模キャンペーン発見し、トランザクション・ハイジャックを行うオペレーターたちが、少なくとも $1.7 million の利益を得ていることが明らかになった。Broadcom 傘下 Symantec の研究者たちによると、Clipminer は KryptoCibule マルウェアをベースにしているとのことだ。どちらのトロイの木馬も、ウォレットを盗み出し、トランザクションをハイジャックし、感染させたマシンで暗号通貨を採掘することに重点を置いている。

Continue reading “Clipminer マルウエアが野放し状態:トランザクション・ハイジャックにより $1.7 M が盗まれた”

FluBot がテイクダウン:FedEx/DHL 追跡アプリを装うマルウェアを確認しよう

FluBot Android Spyware Taken Dwn in Global Law Enforcement Operation

2022/06/01 TheHackerNews — 今回の国際的な法執行活動に参加した 11カ国により、FluBot と呼ばれるモバイル・マルウェアの脅威は取り除かれた。欧州警察機構 (Europol) は「この Android マルウェアは、SMS を介して積極的に拡散され、世界中の感染したスマートフォンから、パスワードやオンライン・バンキングの詳細などの、機密情報が盗み出された」と声明で述べている。この複雑な捜査には、オーストラリア/ベルギー/フィンランド/ハンガリー/アイルランド/ルーマニア/スペイン/スウェーデン/スイス/オランダ/米国などの各当局が関与している。

Continue reading “FluBot がテイクダウン:FedEx/DHL 追跡アプリを装うマルウェアを確認しよう”

R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明

Researchers Devise Attack Using IoT and IT to Deliver Ransomware Against OT

2022/06/01 SecurityWeek — ランサムウェアとは、恐喝の一種である。その唯一の目的は、被害者から金銭を引き出すことだ。産業界が身代金要求の回避に成功すると、攻撃者はもう一つのレベルの強要を、すなわちデータ恐喝を追加するという、二重の強要を作り出した。防御側が二重の恐喝を上手くわすようになると、攻撃者は再び進化を遂げるだろう。最も明白な道は、IT だけでなく OT (Operational Technology も攻撃することだろう。OT に対する攻撃の実現は困難だが、その効果を緩和することも同様に困難である。サイバー恐喝の進化は、OT に対する攻撃を、単なる可能性には留まらせない。

Continue reading “R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明”

Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?

New Windows Search zero-day added to Microsoft protocol nightmare

2022/06/01 BleepingComputer — Windows Search で見つかった新たなゼロデイ脆弱性は、Word 文書を起動するだけで、リモートにホストされているマルウェア実行ファイルを取り込んだかたちで、検索ウィンドウを自動的に開いてしまうとされる。このセキュリティ上の問題は、Windows が search-ms と呼ばれる URI プロトコル・ハンドラをサポートしているため、アプリケーションと HTML リンクを組み合わたせた、悪意の検索にも利用されてしまう。

Continue reading “Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?”

YODA という WordPress 検査ツール:24,000 のサイトで 47,000 の悪意の Plugin を検出

YODA Tool Found ~47,000 Malicious WordPress Plugins Installed in Over 24,000 Sites

2022/06/01 TheHackerNews — 24,931 の Web サイトで、47,337 もの不正な Plugin が発見され た。そのうちの 3,685 の Plugin は正規のマーケットプレイスで販売され、攻撃者たちは $41,500 もの不正な収益を手にしている。ジョージア工科大学の研究者グループが実施した、8年間にわたる調査によると、この結果は、不正な WordPress Plugin を検出し、その起源を追跡することを目的とした、YODA と呼ばれる新しいツールから得られたものとなる。

Continue reading “YODA という WordPress 検査ツール:24,000 のサイトで 47,000 の悪意の Plugin を検出”

XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す

New XLoader botnet uses probability theory to hide its servers

2022/05/31 BleepingComputer — 脅威アナリストたちが明らかにしたのは、ボットネット・マルウェア XLoader の新バージョンでは、確率論を用いた Command and Control (C2) サーバー隠蔽機能が実装され、マルウェアの対策が困難になるという点である。それにより、マルウェアの運営者は、特定された IP アドレスのブロックによりノードを失うというリスクを負うことなく、同じインフラを使い続けることが可能となり、また、追跡/特定のリスクも低減されるという。

Continue reading “XLoader ボットネットの最新技術:確率論を用いて C2 サーバーの所在を隠す”

ChromeLoader ブラウザ・ハイジャックの恐怖:PowerShell と ISO の悪用について深堀りする

ChromeLoader Malware Hijacks Browsers With ISO Files

2022/05/28 DarkReading — 今週に発表された2つのアドバイザリによると、ChromeLoader と呼ばれるブラウザ・ハイジャック・マルウェアは、その活動を盛んにし、運用も巧妙になってきているようであり、ビジネス・ユーザーにとって大きな脅威となっている。ChromeLoader は、オートメーションとコンフィグレーションを管理するフレームワーク PowerShell を悪用し、ブラウザに自身を注入し、悪意の拡張機能を追加するという洗練されたマルウェアである。今日における企業の環境は、柔軟な労働環境と多様なエンドポイントを持ち、SaaS への依存度を高めているため、この種の脅威は攻撃対象領域を大幅に拡大させる。

Continue reading “ChromeLoader ブラウザ・ハイジャックの恐怖:PowerShell と ISO の悪用について深堀りする”

MITRE の ATT&CK Framework:悪意の行動を分類する TTP の重要性とは?

MITRE ATT&CK Framework Explained: Why it Matters

2022/05/27 SecurityBoulevard — サイバー脅威は、より頻繁に、より密かに、より巧妙になっていることが、周知の事実になっている。さらに、IP アドレス/ドメイン/ファイルハッシュなどのマーカーを用いた IoC (indicator of compromise) 探索で、脅威を検出するという従来からリアクティブなアプローチは、急速に時代遅れになりつつある。攻撃者は容易に、それらのマーカーを変更して検出を回避するため、侵害が達成された後に、初めて脅威が検出されることも少なくはない。

Continue reading “MITRE の ATT&CK Framework:悪意の行動を分類する TTP の重要性とは?”

VMware ESXi を狙う Cheers ランサムウェア:Linux 版に加えて Windows 亜種も登場か?

New ‘Cheers’ Linux ransomware targets VMware ESXi servers

2022/05/25 BleepingComputer — 新たなランサムウェア Cheers が登場し、脆弱性のある VMware ESXi サーバーを標的として活動を開始した。VMware ESXi は、世界中の大企業で一般的に使用されている仮想化プラットフォームであるため、Cheers による暗号化が行われると、その業務に深刻な支障をきたすとされる。

Continue reading “VMware ESXi を狙う Cheers ランサムウェア:Linux 版に加えて Windows 亜種も登場か?”