Tag: TTP

北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査

Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive

2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト/カナダ/マレーシアといった、遠方の国々へと広がっている。

Continue reading “北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査”

2023年 Q1 のサイバー攻撃:グローバルでの件数は 7% の増加 – Check Point 調査

Global Cyber Attacks Rise by 7% in Q1 2023

2023/04/28 InfoSecurity — 2023年 Q1 におけるサイバー攻撃は、昨年同期と比較して全世界で 7% 増加し、調査対象となった各企業は、平均で 1248件/週の攻撃に直面していることが判明した。この数字は、Check Point の最新調査レポートによるものであり、教育/研究の分野が最も多くの攻撃を受け、平均で 2507件/週 (前年比で 15% 増) まで上昇したことも示されている。このレポートには、「攻撃の量は僅かな上昇に留まっているが、正規のツールを武器化する方法を見つけ出したサイバー犯罪者による、洗練された悪意のキャンペーンを目撃している」と記されている。

Continue reading “2023年 Q1 のサイバー攻撃:グローバルでの件数は 7% の増加 – Check Point 調査”

Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee

Minecraft Clones with 35 Million Installs Contained Adware

2023/04/28 InfoSecurity — Google Play からダウンロードした Minecraft 風のモバイル・ゲーム数十本に、秘密のアドウェアが含まれていたことが McAfee の調べで明らかになった。McAfee によると、Block Box Master Diamond/Craft Monster Crazy Sword/Craft Rainbow Mini Builder といったタイトルのゲーム計 38本が発見され、世界中で少なくとも 3500万人のユーザーがインストールしたことを明らかにした。McAfee が検出した問題のアドウェア Android/HiddenAds.BJL とは、ユーザーに知られることなく収益を得るために、バックグラウンドで広告をロードするものだ。

Continue reading “Minecraft クローンに御用心:Google Play から 3500万ダウンロードされたアドウェア – McAfee”

Google Play の 2022年の戦い:ブロックした悪質なアプリは 140万件!

Google Blocked 1.4 Million Bad Apps From Google Play in 2022

2023/04/28 SecurityWeek — Google Play におけるセキュリティ機能の強化により、悪質なアプリケーションの公開が、2022年には 140万件以上もブロックされたとのことだ。強化されたポリシーに加えて、機械学習とアプリ審査プロセスの改善を組み合わせたことで、Google Play のポリシーに違反する悪質なアプリを、自動的にブロックすることができたと、同社は述べている。さらに、Android の保護とポリシーの強化に加えて、開発者への教育が進んだことで、これまでの3年間で 50万件以上のアプリにおいて、不必要な機密権限へのアクセスが遮断されたと Google は付け加えている。

Continue reading “Google Play の 2022年の戦い:ブロックした悪質なアプリは 140万件!”

Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET

Tencent QQ users hacked in mysterious malware attack, says ESET

2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土/香港/マカオ/ナイジェリア/東南アジア/東アジアなどの国々で、さまざまな組織や個人を標的としてきた。

Continue reading “Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET”

TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX:Mirai による悪用も検出

TP-Link Archer WiFi router flaw exploited by Mirai malware

2023/04/25 BleepingComputer — マルウェア・ボットネット Mirai は、TP-Link Archer A21 (AX1800) WiFi ルーターに存在する脆弱性 CVE-2023-1389 を積極的に悪用して、このデバイスを DDoS (分散サービス拒否) の大群に組み込んでいる。2022年12月に開催された Pwn2Own Toronto のハッキング・イベントで、この欠陥の悪用に挑んだ2つのハッキング・チームが、異なる経路 (LAN/WAN インターフェイス・アクセス) を介して、このデバイスへの侵入を成功させた。

Continue reading “TP-Link Archer WiFi の脆弱性 CVE-2023-1389 が FIX:Mirai による悪用も検出”

ロシア国家支援の APT グループ Tomiris/Turla の関連性を掘り下げる – Kaspersky

Kaspersky Analyzes Links Between Russian State-Sponsored APTs

2023/04/25 SecurityWeek — ロシアと連携する ATP (Advanced Persistent Threat) 脅威アクター Tomiris と Turla の両者は、最小限レベルで協調しているようだ。この情報は、ロシアのサイバー・セキュリティ企業 Kaspersky からのものだ。Snake/Venomous Bear/Krypton/Waterbug としても追跡される Turla は、2006 年から ComRAT マルウェアに関与し、ロシア政府との関係があると考えられている。その一方で Tomiris は、比較的に新しいハッキング・グループであり、2021年に詳細が発表され、現在も活動を続けている。同グループは、主に CIS (Commonwealth of Independent States) 諸国の政府や外交機関をターゲットに、情報収集のために活動している。

Continue reading “ロシア国家支援の APT グループ Tomiris/Turla の関連性を掘り下げる – Kaspersky”

フィッシングの 2022年を総括:AI ツールにより高度化/急増しているキャンペーン – Zscaler

AI tools help attackers develop sophisticated phishing campaigns

2023/04/25 HelpNetSecurity — Zscaler のレポートによると、フィッシング詐欺の手法が洗練され、検知やブロックが困難になっていることで、サイバー犯罪の脅威が増大しているとのことだ。このレポートでは、現代のフィッシング攻撃の大半が、盗まれた認証情報に依存していることも明らかにされている。さらに、最近トレンドとして、中間者攻撃 (AitM) や、InterPlanetary File System (IPFS) の利用増加、ブラックマーケットから調達したフィッシング・キット、ChatGPT などの AI ツールへの依存についても概説している。

Continue reading “フィッシングの 2022年を総括:AI ツールにより高度化/急増しているキャンペーン – Zscaler”

Facebook で新たなフィッシング・キャンペーン:3200件の偽プロフィールを展開 – Group-IB

Scammers Impersonate Meta in Facebook Campaign With 3200 Profiles

2023/04/24 InfoSecurity — Facebook ユーザーを対象として、3,000以上の偽プロフィールを展開している脅威アクターが、新しいフィッシング・スキームを用いて、認証情報を盗み出そうとしていることが判明した。4月24日 (月) に発表したアドバイザリで、Group-IB DRP (Digital Risk Protection) の専門家たちは、「現時点において依然としてアクティブに活動している」と、このキャンペーンについて説明している。Group-IB の Sharef Hlal と Karam Chatra は、「2023年2月〜3月に、このキャンペーンを操るサイバー犯罪者が侵害/作成した、3,200以上の詐欺プロフィールを発見した」と述べている。

Continue reading “Facebook で新たなフィッシング・キャンペーン:3200件の偽プロフィールを展開 – Group-IB”

BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks

Google ads push BumbleBee malware used by ransomware gangs

2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom/Cisco AnyConnect/ChatGPT/Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader  の代替として、Conti チームが開発したものだと考えられている。

Continue reading “BumbleBee マルウェア:Google 広告や SEO ポイズニングを介して配布 – Secureworks”

Kubernetes の RBAC を悪用:暗号マイニングの大規模キャンペーンが始まっている – Aqua

Kubernetes RBAC Exploited in Large-Scale Campaign for Cryptocurrency Mining

2023/04/21 TheHackerNews — この、野放し状態の大規模な攻撃キャンペーンは、Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを走らせていた。クラウド・セキュリティ会社の Aqua は、「攻撃者は、標的である K8s クラスターのリソースを乗っ取り、ハイジャックするために DaemonSets を展開した。この攻撃を RBAC Buster と名付けた同社は、このキャンペーンの背後にいる脅威アクターにより悪用された、60 件の露出した K8s クラスターを発見した」と、The Hacker News と共有したレポートの中で述べている。

Continue reading “Kubernetes の RBAC を悪用:暗号マイニングの大規模キャンペーンが始まっている – Aqua”

3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec

North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec

2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。

Continue reading “3CX サプライチェーン攻撃:北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec”

AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始

‘AuKill’ Malware Hunts & Kills EDR Processes

2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。 最近の2つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。

Continue reading “AuKill マルウェア:悪意のドライバーで EDR を無力化してから攻撃を開始”

WordPress プラグイン Eval PHP:スティルス・バックドアに悪用されている

Attackers use abandoned WordPress plugin to backdoor websites

2023/04/20 BleepingComputer −−− WordPress の正規プラグインである、Eval PHP を悪用する脅威アクターたちはステルス・バックドアを注入することで、Web サイトを侵害している。Eval PHP プラグインとは、サイト管理者が WordPress サイトのページや投稿に PHP コードを埋め込み、ブラウザでページを開いたときにコードを実行できるようにするものだ。このプラグインは、過去 10年間更新されておらず、アバンダンウェアと見なされている。しかし、今も WordPress のプラグイン・リポジトリで入手可能となっている。

Continue reading “WordPress プラグイン Eval PHP:スティルス・バックドアに悪用されている”

ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査

Google: Ukraine targeted by 60% of Russian phishing attacks in 2023

2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視/妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。

Continue reading “ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査”

RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!

Takedown of GitHub Repositories Disrupts RedLine Malware Operations

2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ/サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。

Continue reading “RedLine の GitHub リポジトリをテイクダウン:C2 サーバの管理画面を破壊した!”

Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?

YouTube Videos Distributing Aurora Stealer Malware via Highly Evasive Loader

2023/04/18 TheHackerNews — サイバー・セキュリティ企業の Morphisec が The Hacker News に共有したのは、情報スティーラー型マルウェア Aurora の配信に使用される in2al5d p3in4er  (invalid printer) という、きわめて検出回避能力の高いローダーの内部構造に関するレポートだ。このレポートで、サイバー・セキュリティ研究者たちは、「in2al5d p3in4er ローダーは、Embarcadero RAD Studio でコンパイルされ、高度なアンチ VM (仮想マシン) 技術を使って、エンドポイント・ワークステーションを標的にしている」と説明している。

Continue reading “Aurora マルウェアを YouTube 動画で配布:in2al5d p3in4er という高度な検出回避ローダーとは?”

ChatGPT などの AI ツールが BEC を助長:いちばん恐ろしい武器は言葉

AI tools like ChatGPT expected to fuel BEC attacks

2023/04/17 HelpNetSecurity — Armorblox の調査によると、過去1年間に観測された全ての BEC 攻撃のうちの 57%が、無防備な従業員に攻撃を仕掛けるための主要な攻撃ベクターとして、言葉に依存していたという。その他の注目すべき傾向は、ベンダーへの侵害と詐欺が、新たな攻撃ベクターとして台頭していることや、セキュリティ・チームが毎週 27時間もの時間を、グレーメールの処理に浪費していることだ。

Continue reading “ChatGPT などの AI ツールが BEC を助長:いちばん恐ろしい武器は言葉”

Google レッドチーム・ツールの悪用:中国の APT41 による攻撃で発見される

Hackers abuse Google Command and Control red team tool in attacks

2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国/欧州/アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。

Continue reading “Google レッドチーム・ツールの悪用:中国の APT41 による攻撃で発見される”

Qbot バンキング・トロイの木馬:PDF アーカイブ内の JScript スクリプト で PowerShell を起動

Qbot Banking Trojan Increasingly Delivered Via Business Emails

2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語/ドイツ語/イタリア語/フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。

Continue reading “Qbot バンキング・トロイの木馬:PDF アーカイブ内の JScript スクリプト で PowerShell を起動”

Goldoson という新しい Android マルウェア:Google Play 上の アプリ 60件に侵入

Android malware infiltrates 60 Google Play apps with 100M installs

2023/04/15 BleepingComputer — Goldoson と命名された新しい Android マルウェアが、合計で1億本もダウンロードされている、60 件の正規アプリを介して Google Play に侵入した。これらのアプリの開発者たちは、サードパーティ・ライブラリの一部として、この悪意のマルウェア・コンポーネントを無意識のうちにアプリに組み込んでいたという。

Continue reading “Goldoson という新しい Android マルウェア:Google Play 上の アプリ 60件に侵入”

Action1 RMM ソフトウェアの悪用:ランサムウェアの永続性を確保している

Hackers start abusing Action1 RMM in ransomware attacks

2023/04/15 BleepingComputer — セキュリティ研究者たちは、サイバー犯罪者が侵害したネットワーク上で、コマンド/スクリプト/バイナリなどを永続的に実行するために、リモート・アクセス・ソフトウェアである Action1 を使用するケースが増えていると警告している。Action1 は RMM (Remote Monitoring and Management) 製品であり、ネットワーク上のエンドポイントをリモートで管理するために、MSP (Managed Service Providers) や企業で使用されている。

Continue reading “Action1 RMM ソフトウェアの悪用:ランサムウェアの永続性を確保している”

Vice Society ランサムウェア:新しいデータ窃盗ツールに PowerShell を導入

Vice Society ransomware uses new PowerShell data theft tool in attacks

2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。

Continue reading “Vice Society ランサムウェア:新しいデータ窃盗ツールに PowerShell を導入”

LastPass 侵害を再考する:そこから学ぶことがタクサンあるはず

LastPass Breach Reveals Important Lessons

2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。

Continue reading “LastPass 侵害を再考する:そこから学ぶことがタクサンあるはず”

3CX VoIP サプライチェーン攻撃:北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用

North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack

2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows/macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。

Continue reading “3CX VoIP サプライチェーン攻撃:北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用”

PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は?

‘Blatantly Obvious’: Spyware Offered to Cyberattackers via PyPI Python Repository

2023/04/12 DarkReading — 研究者たちは、プログラミング言語 Python のパブリック・リポジトリである PyPI (Python Package Index) で、大胆な方法で情報スティラーを公開しているマルウェア販売者を発見した。このプログラムは、“reverse-shell” という安直な名前が付けられており、Sonatype の研究者たちは、スペインを拠点とする Malware-as-a-Service (MaaS) グループの SylexSquad と関連づけている。リバースシェルとは、ハッカーが遠隔操作でコマンドを実行する際や、標的となるコンピュータからデータを受信するときに用いるプログラムを指す。

Continue reading “PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は?”

Emotet 攻撃が加速:Microsoft OneNote ファイルの不用意な操作は NG

Emotet Climbs March 2023’s Most Wanted Malware List With OneNote Campaign

2023/04/12 InfoSecurity — Emotet マルウェアは、悪意の OneNote ファイルを隠し持つスパムメール・キャンペーンにより、Check Point の Most Wanted Malware List ランキングを駆け上がっている。Emotet は、2月の3位から、3月の2位へと順位を上げている。このキャンペーンは、被害者を誘い、悪意の OneNote ファイルを開かせることで、マルウェアをインストールするものだ。

Continue reading “Emotet 攻撃が加速:Microsoft OneNote ファイルの不用意な操作は NG”

Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラーを配布している

Attackers Hide RedLine Stealer Behind ChatGPT, Google Bard Facebook Ads

2023/04/12 DarkReading — サイバー犯罪者たちは、Facebook のビジネスページやコミュニティページを乗っ取り、ChatGPT や Google Bard などの正規のスポンサーを装い、AI チャットボットの無料ダウンロードを宣伝する広告を展開している。それらの広告に誘導されたユーザーは、AI チャットボットではなく、RedLine Stealer と呼ばれる有名な情報スティーラー・マルウェアをダウンロードしていることが、研究者たちの調査により判明した。RedLine Stealer とは、オンライン・ハッカー・フォーラムを通じて販売されている Malware-as-a-Service (MaaS) プラットフォームだ。Web ブラウザを標的にして、認証情報や支払いカードの詳細などの、様々なユーザー情報を収集する。さらに、次の攻撃にむけて攻撃対象領域を評価するために、システムのインベントリを取得する。

Continue reading “Facebook 上の ChatGPT/Google Bard 偽広告:RedLine スティラーを配布している”

Android アプリ侵害:$20K で機能満載のハッキング・ツールが購入できる時代

Apps for Sale: Cybercriminals Sell Android Hacks for Up to $20K a Pop

2023/04/11 DarkReading — サイバー犯罪者たちは、Google Play ストアのセキュリティを回避する手段を見つけ出し、既存の Android アプリをトロイの木馬化するツールを開発している。それらのツールの最高値は、サイバー犯罪市場で1件あたり $20,000 だという。Kaspersky の研究者たちは、4月10日のブログ記事で、最も人気のあるダークウェブ・フォーラムの9つを幅広く調査した結果を発表した。2019年と2023年の活動を追跡したところ、アプリ開発者アカウントへのアクセス/ボットネット/悪意の Android アプリなどを、時には一度に数千ドルで取引される市場が盛んであることが判明した。

Continue reading “Android アプリ侵害:$20K で機能満載のハッキング・ツールが購入できる時代”

Google Chrome の偽アップデートに御用心:日韓言語圏から世界へと広がる攻撃範囲

Hacked sites caught spreading malware via fake Chrome updates

2023/04/11 BleepingComputer — いくつかの Web サイトを侵害したハッカーたちが、偽の Google Chrome 自動更新エラーを表示するスクリプトを注入し、それに気づかない訪問者にマルウェアを配布している。このキャンペーンは、2022年11月から行われている。NTT の Security Analyst である Rintaro Koike によると、2023年2月以降に活動を加速させ、日本語/韓国語/スペイン語を話すユーザーを対象にターゲット範囲を拡大している。このマルウェア配布キャンペーンにより、アダルトサイト/ブログ/ニュースサイト/オンラインストアなどの、多数のサイトがハッキングされたことを、BleepingComputer は確認している。

Continue reading “Google Chrome の偽アップデートに御用心:日韓言語圏から世界へと広がる攻撃範囲”

WordPress サイト 100万件を侵害:Balada Injector による大規模マルウェア・キャンペーン

Over 1 Million WordPress Sites Infected by Balada Injector Malware Campaign

2023/04/10 TheHackerNews — Balada Injector というマルウェアを展開する継続的なキャンペーンにより、2017年以降で 100万以上の WordPress サイトが感染したと推定される。GoDaddy の Sucuri によると、WordPressサイトを侵害する、この大規模キャンペーンでは、テーマとプラグインに存在する、ありとあらゆる脆弱性が悪用されているようだ。この攻撃は、数週間に一度のペースで、波状的に展開されると認識されている。

Continue reading “WordPress サイト 100万件を侵害:Balada Injector による大規模マルウェア・キャンペーン”

マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?

The hidden picture of malware attack trends

2023/04/06 HelpNetSecurity — WatchGuard によると、ネットワークで検出されたマルウェアが、2022年 Q4 に減少した。しかし、エンドポイントのランサムウェアは 627% も急増し、フィッシング・キャンペーンに関連するマルウェアは脅威として存続している。WatchGuard Threat Lab の研究者たちが、HTTPS (TLS/SSL) トラフィックを復号化する Firebox を調べ、さらに分析したところ、マルウェアの発生率が高いことが判明した。つまり、マルウェアの活動が、暗号化されたトラフィックに移行したことを示している。

Continue reading “マルウェアの侵入ベクターなどを数値化してみた:2022年 Q3/Q4 で比較すると?”

Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち

Threat Actors Increasingly Use Telegram For Phishing Purposes

2023/04/06 InfoSecurity — フィッシング技法の開発に注目する脅威アクターたちが、アクティビティの自動化や各種のサービス提供において、Telegram を悪用するケースが増えている。このような傾向は、Kaspersky のサイバー・セキュリティ専門家たちの調査/分析によるものである。水曜日のアドバイザリで、Web コンテンツ・アナリストである Olga Svistunova は、「フィッシャーたちは商品を宣伝するために Telegram チャネルを作り、そこでフィッシングについて聴衆を教育し、投票によりサブスクライバーを楽しませている。このようなチャネルへのリンクは、彼らのフィッシング・キットや YouTube/GitHub などを通じて拡散される」と述べている。

Continue reading “Telegram でフィッシング:さまざまな悪意の商品に群がる脅威アクターたち”

STYX というダークウェブが登場:金融詐欺に特化してサイバー犯罪者の支持を集める

STYX Marketplace emerged in Dark Web focused on Financial Fraud

2023/04/05 SecurityAffairs — 2023年の初めに、STYX というマーケットプレイスが立ち上げられた。このプラットフォームは、特に金融犯罪を促進するために設計されており、盗んだ金融データ/クレジットカード情報/偽造文書/マネー・ロンダリング・サービス/被害者の偵察をする “lookups” などの、様々なサービスをサイバー犯罪者たちに提供している。この事例は、サイバー犯罪の流行後の脅威と、それが金融機関とその顧客にもたらす脅威を物語っている。デジタル・バンキングや暗号通貨口座を悪用して、マネー・ロンダリング・サービスを提供する脅威アクターの大幅な増加を、Resecurity の金融犯罪リスクのアナリストたちが観測している。それと、STYX の発見が一致しているのだ。

Continue reading “STYX というダークウェブが登場:金融詐欺に特化してサイバー犯罪者の支持を集める”

Veritas Backup の3つの脆弱性:ALPHV/BlackCat ランサムウェアの標的になっている

ALPHV/BlackCat ransomware affiliate targets Veritas Backup solution bugs

2023/04/04 SecurityAffairs — ALPHV/BlackCat ランサムウェア・ギャングのアフィリエイトである UNC4466 が、Veritas Backup の3つの脆弱性を悪用して、ターゲットのネットワークへのイニシャル・アクセスを取得していることが確認された。この UNC4466 は、他の ALPHV のアフィリエイトとは異なり、ターゲットの環境へのイニシャル・アクセスにおいて、盗み出した認証情報に依存していない。2022年10月22日に、Mandiant の研究者たちは、このアフィリエイトが Veritas の脆弱性をターゲットにしていることを初めて観測した。

Continue reading “Veritas Backup の3つの脆弱性:ALPHV/BlackCat ランサムウェアの標的になっている”

Rorschach というランサムウェア:Palo Alto Cortex XDR の DLL を装い拡散している

New “Rorschach” Ransomware Spread Via Commercial Product

2023/04/04 InfoSecurity — 商用セキュリティ製品である Palo Alto Cortex XDR Dump Service Tool を悪用する脅威アクターたちが、新しくユニークなランサムウェア株を展開させている。この Rorschach (ロールシャッハ) と名付けられたマルウェアは、Check Point Research (CPR) および Check Point Incident Response Team (CPIRT) により発見され、今日の未明のアドバイザリで取り上げられた。

Continue reading “Rorschach というランサムウェア:Palo Alto Cortex XDR の DLL を装い拡散している”

Rilide マルウェアは Chromium を狙う:偽物の Google Drive エクステンションに要注意

New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency

2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視/スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。

Continue reading “Rilide マルウェアは Chromium を狙う:偽物の Google Drive エクステンションに要注意”

3CX VoIP にサプライチェーン攻撃:Win/Mac アプリがトロイの木馬化され暗号通貨が狙われる

Cryptocurrency companies backdoored in 3CX supply chain attack

2023/04/03 BleepingComputer — 3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられた。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているという。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows/macOS のデスクトップ・アプリを、トロイの木馬化させてしまった。

Continue reading “3CX VoIP にサプライチェーン攻撃:Win/Mac アプリがトロイの木馬化され暗号通貨が狙われる”

Microsoft Azure SFX の深刻な脆弱性:Super FabriXss と命名された CVE-2023-23383

Researchers Detail Severe “Super FabriXss” Vulnerability in Microsoft Azure SFX

2023/03/30 TheHackerNews — Azure Service Fabric Explorer (SFX) に存在する、未認証のリモートコード実行につながる脆弱性の詳細が明らかになったが、すでにパッチが適用されたという。この脆弱性 CVE-2023-23383 (CVSS:8.2) は、2022年10月に Microsoft が修正した 脆弱性 FabriXss (CVE-2022-35829 CVSS:6.2) にちなんで、Super FabriXss という名前が ORCA Security により付けられた。

Continue reading “Microsoft Azure SFX の深刻な脆弱性:Super FabriXss と命名された CVE-2023-23383”

従業員の 70% 以上に問題あり:個人のデバイスに仕事用のパスワードを保持

Over 70% of Employees Keep Work Passwords on Personal Devices

2023/03/30 InfoSecurity — 従業員の5人に4人 (71%) が、個人のスマフォに仕事用の機密パスワードを保存し、66% が個人用のテキスト・アプリを仕事に使用している。このデータは、SlashNext の最新の Mobile BYOD Security Report によるものであり、プライベート・メッセージング・アプリを介したフィッシング攻撃について、セキュリティ・リーダーの 95% が懸念を強めていることも示されている。SlashNext の CEO である Patrick Harr は、「職場において個人のモバイル・デバイスが広く使われるようになり、機密情報のセキュリティを雇用主が確保することが、ますます難しくなっている」と述べている。

Continue reading “従業員の 70% 以上に問題あり:個人のデバイスに仕事用のパスワードを保持”

AlienFox というツールキットが登場:ミスコンフィグ・スキャナーでクラウドの機密情報を狙う

New AlienFox toolkit steals credentials for 18 cloud services

2023/03/30 BleepingComputer — AlienFox と呼ばれる新しいツールキットを利用する脅威アクターたちが、サーバのミスコンフィグレーションをスキャンし、クラウドベースのメールサービスの認証情報や機密情報を窃取していることが判明した。このツールキットがサイバー犯罪者たちに販売される、Telegram のプライベート・チャネルは、マルウェア開発者とハッカーが取引する際の、一般的な手段となっている。 SentinelLabs の研究者たちによると、AlienFox はモジュール式のツールセットであり、Laravel/Drupal/Joomla/Magento/Opencart/Prestashop/WordPress などのオンライン・ホスティング・フレームワークの、一般的なサービスにおけるミスコンフィグレーションをターゲットにしているという。

Continue reading “AlienFox というツールキットが登場:ミスコンフィグ・スキャナーでクラウドの機密情報を狙う”

Microsoft Cloud の脆弱性:Bing 検索のハイジャック/Office 365 でデータ流出の可能性

Microsoft Cloud Vulnerability Led to Bing Search Hijacking, Exposure of Office 365 Data

2023/03/30 SecurityWeek — サイバー・セキュリティ企業の Wiz によると、Azure Active Directory (AAD) のミスコンフィグレーションにより、アプリケーションが不正アクセスにさらされ、Bing.com が乗っ取られる可能性もあったという。Microsoft AAD は、クラウドベースの IAM (Identity and Access Management) サービスであり、一般的には Azure App Services/Azure Functions アプリケーションの認証メカニズムとして使用される。このサービスは、マルチテナントを含む各種のアカウント・アクセスをサポートしており、適切な制限がない限り、任意の Azure テナントに属するユーザーが、自分自身の OAuth トークンを発行できるようになっている。

Continue reading “Microsoft Cloud の脆弱性:Bing 検索のハイジャック/Office 365 でデータ流出の可能性”

フィッシングの HTTPS 化:悪意のサイトの 49% が ブラウザに南京錠マークを表示

Volume of HTTPS Phishing Sites Surges 56% Annually

2023/03/30 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、HTTPS を使用するフィッシング・サイトの急増である。つまり、ブラウザに南京錠のマークが表示されている Web サイトであっても、要注意だと警告しているのだ。この調査結果は、9,500 万台ものエンドポイント/センサー/サードパーティのデータベースから収集した情報を、Open Text Cybersecurity が取りまとめた “2023 Global Threat Report” によるものだ。同レポートによると、HTTPS を使用していたフィッシング・サイトの割合は前年比で 56%近くも増加し、全体に占める割合は 2021年の32%から 2022年の 49%以上へと跳ね上がっている。

Continue reading “フィッシングの HTTPS 化:悪意のサイトの 49% が ブラウザに南京錠マークを表示”

Google TAG 警告:複数の Zero-Day/N-Day エクスプロイトを用いるキャンペーンについて

Google TAG shares details about exploit chains used to install commercial spyware

2023/03/29 SecurityAffairs — Android/iOS/Chrome に対して複数のゼロデイ・エクスプロイトを悪用する、2つのキャンペーンの詳細を、Google Threat Analysis Group (TAG) が公開した。専門家たちは、どちらのキャンペーンも、限定的で高度な標的型であったと述べている。攻撃の背後にいる脅威アクターは、エクスプロイトに Zero-Day と N-Day の両方を使用していたという。これらのエクスプロイト・チェーンは、ターゲットのデバイスに商用スパイウェアや悪意のアプリをインストールするために使用されていたようだ。

Continue reading “Google TAG 警告:複数の Zero-Day/N-Day エクスプロイトを用いるキャンペーンについて”

API セキュリティの調査:この6ヶ月の攻撃件数が 400% も増加している!

Attacks Targeting APIs Increased By 400% in Last Six Months

2023/03/29 InfoSecurity — API (Application Programming Interfaces) を標的とした攻撃が、この6ヶ月間で 400% も増加している。この調査結果は、Salt Security の最新レポートからのものであり、これらの攻撃における 80%が、認証された API で生じているという。このレポート ”State of API Security Q1 Report 2023″ は、400人のセキュリティ専門家と API 開発者を対象とした、調査の回答から作成されたものだ。この1年間の特筆すべき数値として、回答者の 94%がプロダクション環境での API でセキュリティ問題を経験し、17% が API 関連の侵害を経験したことも示されている。このような問題が生じたことで、API セキュリティが経営陣で議論されたと、48% が回答している。

Continue reading “API セキュリティの調査:この6ヶ月の攻撃件数が 400% も増加している!”

Tor Browser のトロイの木馬 :ロシア/東欧のユーザーを標的にしている

Trojanized Tor browsers target Russians with crypto-stealing malware

2023/03/28 BleepingComputer — トロイの木馬化した Tor Browser のインストーラーが急増し、ロシアや東欧のユーザーをターゲットにして、感染したユーザーの暗号通貨取引を盗むクリップボード・ハイジャック・マルウェアを仕掛けている。Kaspersky のアナリストたちは、この攻撃は新しくもなく、特に独創的でもないが、依然として効果が高く、世界中の多くのユーザーへの感染が蔓延していると警告している。Kaspersky によると、これらの悪意の Tor インストーラーは世界中の国々をターゲットにしているが、主な標的はロシアと東欧とのことだ。

Continue reading “Tor Browser のトロイの木馬 :ロシア/東欧のユーザーを標的にしている”

中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する

China’s Nuclear Energy Sector Targeted in Cyberespionage Campaign 

2023/03/28 SecurityWeek — サイバースパイ・キャンペーンを展開する南アジアの APT アクターが、中国の原子力エネルギー部門を標的にしていると、Intezer が最新情報として報告している。2021年ころから活動している Bitter という名のグループは、中国/バングラデシュ/パキスタン/サウジアラビアのエネルギーおよび政府組織を標的とすることで知られており、その戦術として、Excel/Microsoft Compiled HTML Help (CHM)/Windows Installer (MSI) ファイルの悪用を特徴としている。

Continue reading “中国の原子力エネルギー部門が標的:APT アクター Bitter は南アジアから攻撃する”

IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている

New IcedID variants shift from bank fraud to malware delivery

2023/03/27 BleepingComputer — IcedID の新しい亜種は、通常のオンライン・バンキング詐欺の機能を持たない代わりに、侵害したシステムに新たなマルウェアをインストールすることに、重点を置いていることが判明した。Proofpoint によると、これらの新しい亜種は、昨年末から7つのキャンペーンで、3つの異なる脅威アクターにより使用されており、ランサムウェアなどのペイロードの配信に重点を置いていることが確認されている。

Continue reading “IcedID の新たな亜種:バンキング詐欺からマルウェア配信へとシフトしている”

MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取

New MacStealer macOS malware steals passwords from iCloud Keychain

2023/03/27 BleepingComputer — Mac ユーザーを標的とする、MacStealer とう名の新たな情報スティーラー・マルウェアが、iCloud KeyChain や Web ブラウザに保存されている認証情報や暗号通貨ウォレットなどの、機密ファイルなどを窃取しているようだ。この MacStealer は、Malware-as-a-Service (MaaS) として配布されており、開発者はプレメイドのビルドを $100 で販売し、購入者はキャンペーンでマルウェアを拡散している。Uptycs 脅威研究チームが発見した MacStealer は、macOS Catalina 10.15 〜 Ventura 13.2 の環境で動作するという。

Continue reading “MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取”

Outlook の脆弱性 CVE-2023-23397 の悪用:Microsoft のガイダンスで攻撃に対抗

Microsoft shares guidance for investigating attacks exploiting CVE-2023-23397

2023/03/26 SecurityAffairs — 先日にパッチが適用された Outlook の脆弱性 CVE-2023-23397 について、Microsoft が悪用と攻撃に関するガイダンスを公開した。Microsoft Outlook における成りすましの脆弱性から生じる、この問題は認証バイパスへとつながるものだ。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステムに対して特別に細工した電子メールを送信することで、ユーザーの Net-NTLMv2 ハッシュに、未認証でアクセスできる。

Continue reading “Outlook の脆弱性 CVE-2023-23397 の悪用:Microsoft のガイダンスで攻撃に対抗”