TTP – Page 2 – IoT OT Security News

Windows UI Framework を悪用する新たな脅威：EDR ツールを回避する可能性

New Malware Technique Could Exploit Windows UI Framework to Evade EDR Tools

2024/12/11 TheHackerNews — Akamai の研究者が発見した新たなマルウェア手法は、UIA (UI Automation)と呼ばれる Windows のアクセシビリティ・フレームワークを悪用し、EDR (endpoint detection and response) ソリューションに検知されることなく、広範な悪意のアクティビティを可能にするものだ。同社のセキュリティ研究者である Tomer Peled は、「この手法を悪用する攻撃者は、UI Automation を使用するプログラムの実行を、ユーザーに事前に承諾させる必要がある。そうすることで、ステルス・コマンドの実行が可能となり、機密データの収集／フィッシング・サイトへのリダイレクトなどが試行されていく」と、The Hacker News に共有されたレポートで述べている。

テレコムと政府と国民は Salt Typhoon に対抗できるのか？ End-to-End 暗号化通信の必要性

Governments, Telcos Ward Off China’s Hacking Typhoons

2024/12/11 DarkReading — 中国由来の Salt Typhoon グループからの侵害に対して、米国政府と８社の通信会社が、ネットワークの保護に苦戦している。それと並行して、他国における多くの通信会社も、APT の主標的にされている。それに先行するかたちで、2023年には、Salt Typhoonとの重複が疑われる中国由来のグループ Earth Estries が、APAC／中東／北アフリカ（MENA）地域、そして米国の通信会社を侵害している。

ZLoader マルウェアの改良版：DNS トンネリング機能／インタラクティブなシェルを搭載

ZLoader Malware Returns With DNS Tunneling to Stealthily Mask C2 Comms

2024/12/11 TheHackerNews — ZLoader マルウェアの新バージョンが、Zscaler ThreatLabz の研究者たちにより発見された。2024年1月に再登場した ZLoader だが、その後もツールを改良し続け、C2 (command-and-control) 通信に DNS トンネルを使用する方向へと進化している。

AWS のミスコンフィグを狙うハッカーたち：分業化された犯罪シンジケートの存在

Hackers Exploit AWS Misconfigurations in Massive Data Breach

2024/12/10 InfoSecurity — ハッキング・グループ Nemesis／ShinyHunters と関連付けられる大規模なサイバー攻撃は、不適切にコンフィグレーションされた公開 Web サイトの脆弱性を悪用するものであり、顧客情報／インフラの認証情報／独自のソースコードといった、機密データの漏洩につながっている。独立系サイバー・セキュリティ研究者である Noam Rotem と Ran Locar によると、Amazon Web Services (AWS) の IP レンジ内で攻撃者たちは、脆弱なエンドポイントを標的とする大規模なインターネット・スキャンを組織化していたという。

米上院における法案：FCC が通信会社に義務付けるサイバー規則を推測する

Senate bill would require FCC to issue binding cyber rules for telecom firms

2024/12/10 NextGov — 12月10日 (火) に提出された法案が Federal Communications Commission (FCC) に対して指示するのは、最低限のサイバー要件や年次システム・テストを取り込んだ、必須のサイバー・セキュリティ・コンプライアンス・ルールのリストに従うよう、通信事業者に義務付けよというものだ。この法案は、Salt Typhoon と呼ばれる中国のサイバー・スパイ集団による、広範かつ多数の通信事業者と盗聴システムへのハッキングに対応するものである。この問題に関しては、いまもフォレンジック分析が続いているが、依然としてハッカーたちは、一部のネットワークに潜んでいると思われる。

DLL サイドローディングをエミュレート：Eclipse でコンテキスト・ハイジャック

Activation Context Hijacking: “Eclipse” PoC Weaponizes Trusted Processes

2024/12/08 SecurityOnline — BlackArrow のレッドチーム・オペレーターである、Kurosh Dabbagh Escalante が発表したのは、Eclipse という名の PoC ツールである。この Eclipse は、Activation Contexts ハイジャックと呼ばれる手法をエミュレートするものであり、ターゲット・プロセス内での任意の DLL のロード／実行を達成する。Escalante は、このツールを “DLL サイドローディング + DLL プロキシのより柔軟な代替手段” と表現し、信頼されたプロセスに任意のコードを挿入するという点で、幅広い用途があると述べている。

Web ブラウザの分離技術を回避：QR コード C2 通信のための PoC ツールとは？

QR codes bypass browser isolation for malicious C2 communication

2024/12/08 BleepingComputer — Mandiant が特定したのは、ブラウザの分離技術を回避し、QR コードを通じて Command and Control (C2) 操作を実現する、新しい方法である。このブラウザの分離技術とは、クラウド環境または仮想マシンでホストされるリモート Web ブラウザを介して、すべてのローカル Web ブラウザ・リクエストをルーティングするセキュリティ技術のことであり、日増しに普及するという状況にある。

金融機関を狙う DroidBot というAndroid RAT：Trojan-as-a-Service へと進化する？

Trojan-as-a-Service Hits Euro Banks, Crypto Exchanges

2024/12/06 DarkReading — DroidBot と呼ばれるパワフルな Android RAT は、キーロギング／モニタリング／送受信データ転送などのスパイウェア機能を介して、銀行／暗号通貨取引所などの公的な組織からデータを盗み出している。その一方で、サイバー・セキュリティア研究者たちが懸念しているのは、完全な MaaS (Malware-as-a-Service) へと、DroidBot RAT が拡大しているように見える点である。

米 FCC の提案：Salt Typhoon 攻撃に対応する盗聴セキュリティの基準

FCC proposes updates to wiretap security standards following Chinese telecom hacks

2024/12/05 NextGov — 12月5日 (木) に FCC (Federal Communications Commission) のトップは、そのチーム・メンバーたちに草案を共有した。FCC の報道発表によると、この草案が採用された場合には、法執行機関からの盗聴要求に対応するシステムへの不正アクセスは、通信会社により直ちに保護されるよう義務付けられることになる。また、FCC の Jessica Rosenworcel 委員長も、別の規則制定案を同僚たちに提案している。この案が承認されると、同委員会から通信会社に対して、セキュリティ態勢に関する年次証明書の提出が義務付けられる。

Shadowserver インタビュー：その立ち位置と脅威／防御に対する認識を説明しよう

How the Shadowserver Foundation helps network defenders with free intelligence feeds

2024/12/05 HelpNetSecurity — Shadowserver Foundation の CEO である Piotr Kijewski が、Help Net Security のインタビューで語ったのは、脆弱性／悪意の活動／新たな脅威を明らかにすることで、インターネット・セキュリティを強化するという、同組織の使命に関する事柄である。Kijewski が説明してくれたのは、サイバー犯罪を追跡／阻止するための自動化された取り組みの詳細であり、また、法執行機関への支援と、開発サービスのグローバルな展開の内容である。

米国の通信キャリア８社が侵害された：中国の Salt Typhoon について FBI がコメント

At least 8 US carriers hit in Chinese telecom hacks, senior official says

2024/12/04 NextGov — 12月4日 (水) の政府高官のコメントは、通信事業者を標的とする中国のサイバー・スパイ活動が広まり、少なくとも米国の通信事業者８社が攻撃を受け、数十カ国でビジネスを展開する他の通信会社も侵害されたというものだ。中国政府が支援する Salt Typhoon が実行したハッキングは、この１～２年間にわたって続いていた可能性があり、この侵害においては、政府や政治とつながりのある個人も標的にされていたという。ホワイトハウスの報道ガイドラインに従い、匿名を条件に記者団に語った同高官は、このように付け加えた。

Rockstar 2FA という Phishing-as-a-Service：Microsoft 365 などを標的に AiTM 攻撃

Phishing-as-a-Service “Rockstar 2FA” Targets Microsoft 365 Users with AiTM Attacks

2024/11/29 TheHackerNews — Microsoft 365 アカウントの認証情報を盗むことを目的とし、Rockstar 2FA と呼ばれる PhaaS (phishing-as-a-service) ツールキットを利用する、悪意のメール・キャンペーンについて、サイバー・セキュリティ研究者たちが警告している。Trustwave の研究者である Diana Solomon と John Kevin Adriano は、「このキャンペーンでは AitM [adversary-in-the-middle] 攻撃が採用され、攻撃者はユーザーの認証情報とセッション Cookie の傍受を達成する。つまり、多要素認証 (MFA) が有効化されているユーザーであっても、脆弱になる可能性がある」と述べている。

中国由来の Salt Typhoon：大規模なスパイ活動の被害は T-Mobile にも？

T-Mobile Shares More Information on China-Linked Cyberattack

2024/11/28 SecurityWeek — 11月27日 (水) に T-Mobile が発表したのは、中国由来の脅威グループ Salt Typhoon が実行したとみられる、サイバー攻撃に関する追加情報であり、また、攻撃はブロックされているという声明である。今月の初めに明らかになったのは、米国の複数の通信会社を標的とする、Salt Typhoon による大規模なサイバー・スパイ活動に、T-Mobile も巻き込まれていたことだ。

Magento Checkout Pages が標的：動的なクレジットカード・スキマーとは？

Credit Card Skimmer Malware Uncovered: Targeting Magento Checkout Pages

2024/11/28 SecurityOnline — 大手 e コマース・プラットフォームでMagento が、いつものように、巧妙なサイバー犯罪者の攻撃の標的になっている。先日に、Sucuri のセキュリティ・アナリスト Puja Srivastava が報告したのは、Magento で稼働している Web サイトを侵害する、悪意の JavaScript インジェクションに関する情報である。この新しいマルウェアは、チェックアウトページをターゲットにして、支払いに関する情報機密のを、密かに盗み出しているという。

Salt Typhoon の武器庫を探査する：破壊力を静かに維持し続ける秘密は？

Salt Typhoon Builds Out Malware Arsenal With GhostSpider

2024/11/27 DarkReading — 中国由来の脅威アクター Salt Typhoon は、数年前から政府や通信などの重要組織をスパイしてきたが、新しいバックドア・マルウェアである GhostSpider もリリースしている。Salt Typhoon (別名 Earth Estries／FamousSparrow／GhostEmperor／UNC2286) は、中華人民共和国における最も選定的な APT の１つである。そのキャンペーンを、2023 年にまで遡ると、20 を超える組織を侵害してきたことが分かる。それらの標的となった組織には、世界中の最高レベルの組織という傾向があり、何年にもわたって侵害が検出されていないケースもある。最近の標的としては、米国の T-Mobile USA などの通信会社や、北米の ISP などが挙げられる。

ProjectSend の脆弱性 CVE-2024-11680 (CVSS 9.8)：大量の未パッチ・インスタンスと PoC エクスプロイト

CVE-2024-11680 (CVSS 9.8): Critical ProjectSend Vulnerability Actively Exploited, PoC Published

2024/11/27 SecurityOnline — ProjectSend の深刻な脆弱性 CVE-2024-11680 (CVSS：9.8) が、積極的に悪用されていると、VulnCheck がレポートしている。この OSS のファイル共有 Web アプリケーションに対しては、2023年5月の時点でパッチが提供されているが驚くべきことに、ProjectSend インスタンスの 99% がパッチ未適用であり、悪用の危険性が高まっている。

2024 MITRE ATT&CK Evaluations：セキュリティ・リーダーたちが信頼すべき理由は何処に？

Why Cybersecurity Leaders Trust the MITRE ATT&CK Evaluations

2024/11/26 BleepingComputer — 昨今の脅威が荒れ狂う状況において、組織を保護するためのソリューション／ストラテジーについて、十分な情報を得た上で選択すべきというプレッシャーに、セキュリティのリーダーたちは直面している。こうした課題に対処する、サイバー・セキュリティ意思決定者の有用なリソースが、“MITRE Engenuity ATT&CK Evaluations: Enterprise” である。MITRE ATT&CK Evaluations は、他の独立系の機関とは異なる立ち位置から、現実世界の脅威をシミュレートし、それぞれのサイバー・セキュリティ・ベンダーが検知／対応する方法を評価するものである。

PyPI の “aiocpa” は悪意のライブラリ：Telegram Bot で Crypto Keys を盗み出す手口とは？

PyPI Python Library “aiocpa” Found Exfiltrating Crypto Keys via Telegram Bot

2024/11/25 TheHackerNews — Python Package Index (PyPI) リポジトリの管理者が隔離したのは、Telegram 経由で秘密鍵を盗み出すための悪意のコードを埋め込んだ、“aiocpa” パッケージのアップデート版である。この問題のパッケージは、Crypto Pay API の同期／非同期クライアントとして説明されている。2024年9月にリリースされた “aiocpa” パッケージは、現在までに 12,100 回もダウンロードされている。今回の Python ライブラリの隔離により、クライアントにおけるインストールが防止され、メンテナーによる変更もできなくなった。

Google Docs と Weebly を武器化：新たなフィッシング戦術について分析する

Google Docs and Weebly Weaponized in New Phishing Scheme

2024/11/24 SecurityOnline — EclecticIQ の研究者が発見した、最近のフィッシング・キャンペーンが浮き彫りにするのは、信頼できるプラットフォームやインフラ悪用するために、攻撃者が費やす労力である。通信／金融セクターをターゲットにする金銭目的の脅威アクターたちは、Google Docs を悪用してフィッシング・リンクを配信し、Weebly を悪用して偽のログイン・ページをホストしている。この合法的なプラットフォームの戦略的な組み合わせにより、悪意の計画の擬態性を高める攻撃者は、標準のメール・フィルターとエンドポイント防御を回避していく。

Palo Alto の脆弱性 CVE-2024-0012／9474：技術的な詳細と PoC エクスプロイトの提供

Analysis & PoC Exploits Released for Palo Alto Zero-Days – CVE-2024-0012 and CVE-2024-9474

2024/11/19 SecurityOnline — 最近の大きな話題である、Palo Alto Networks の Next-Generation Firewalls (NGFW) に影響を及ぼす、２件のゼロデイ脆弱性の技術的な詳細が、watchTowr のセキュリティ研究者である Sonny により明らかにされた。この CVE-2024-0012／CVE-2024-9474 については、米国の CISA などのサイバー・セキュリティ機関も注目している。CISA では、この２つの脆弱性を KEV カタログに追加し、連邦政府機関に対しては、12月9日までにパッチを適用するよう指示している。

Helldown ランサムウェアの調査：Zyxel VPN の脆弱性 CVE-2024-42057 を悪用か？

Helldown ransomware exploits Zyxel VPN flaw to breach networks

2024/11/19 BleepingComputer — Helldown という新たなランサムウェア攻撃により、Zyxel ファイアウォールの脆弱性が狙われ、企業ネットワークへの侵入／データの窃取／デバイスの暗号化などが発生しているようだ。フランスのサイバー・セキュリティ企業 Sekoia は、最近の Helldown 攻撃の観察に基づき、中程度の確信を持って報告している。

Fortinet VPN のゼロデイ CVE-N/A を狙う：BrazenBamboo の戦術とは？

Chinese hackers exploit Fortinet VPN zero-day to steal credentials

2024/11/18 BleepingComputer — Fortinet FortiClient Windows VPN クライアントに存在する、ゼロデイ脆弱性を悪用する中国の脅威アクターたちは、”DeepData” というカスタムなポスト・エクスプロイト・ツールキットを用いて認証情報を盗み出している。このゼロデイ脆弱性の悪用に成功した脅威アクターは、VPN デバイスでユーザーが認証された後のメモリから、認証情報のダンプを可能にする。

Google Play 上のアプリに潜むトロイの木馬：200万ダウンロードの可能性が

Researcher Finds Trojanized Apps with 2 Million Downloads on Google Play

2024/11/12 SecurityOnline — Google Play 上の悪意のアプリの危険な動向を、Dr.Web の研究チームが新しいレポートで報告している。このレポートによると、Android.FakeApp ファミリーなどのトロイの木馬化されたアプリを、無意識のうちに 200 万人以上のユーザーが、ダウンロードしていたことが明らかにされている。

Microsoft Visio でフィッシング攻撃：巧妙な手口でセキュリティ対策を回避していく

Microsoft Visio Files Used in Sophisticated Phishing Attacks

2024/11/11 InfoSecurity — Microsoft Visio ファイルを悪用する、二段階のフィッシング攻撃の急増を、セキュリティ研究者たちが確認した。この攻撃が示すのは、フィッシング戦術の高度な進化である。Perception Point により発見された、この新しい攻撃では、ビジネス・ダイアグラムで多用されるファイル・タイプである、Visio の “.vsdx” 形式を介して悪意の URL を偽装し、従来のセキュリティ・スキャンを回避するものだ。

Veeam VBR の脆弱性 CVE-2024-40711：Frag ランサムウェアによる悪用も確認

Critical Veeam RCE bug now used in Frag ransomware attacks

2024/11/08 BleepingComputer — Akira／Fog ランサムウェアによる悪用が確認された、Veeam Backup & Replication (VBR) の重大な脆弱性 CVE-2024-40711 が、Frag ランサムウェアの展開にも悪用されていたことが明らかになった。この脆弱性 CVE-2024-40711 は、信頼されていないデータに対するデシリアライゼーションの欠陥により生じるものだ。この脆弱性の悪用に成功した未認証の

攻撃者による、Veeam VBR サーバ上での RCE (remote code execution) 攻撃が可能になることが、セキュリティ研究者 Florian Hauser により発見されている。

Linux のエミュレート環境が標的：“CRON#TRAP” キャンペーンの巧妙な検出回避術とは？

New “CRON#TRAP” Campaign Exploits Emulated Linux Environments to Evade Detection

2024/11/06 SecurityOnline — Securonix 脅威調査チームが検出したのは、”CRON#TRAP” と呼ばれる高度なマルウェア・キャンペーンの存在である。このキャンペーンは、軽量のエミュレートされた Linux 環境内で攻撃を仕掛けるものである。人気のオープンソース仮想化ソフトウェア QEMU などの、正規のツールを悪用する攻撃者は、セキュリティ対策を回避し、正規のソフトウェアを使用しているように見せかけ、悪意のアクティビティの存在を隠し続ける。

VPN／Botnet を組み合わせた脅威：きわめて危険な ORB (Operational Relay Box) とは？

Beyond VPNs and Botnets: Understanding the Danger of ORB Networks

2024/11/05 SecurityOnline — 最近の Team Cymru の S2 研究チームは、サイバーセキュリティ分野で拡大している脅威である、ORB (Operational Relay Box) ネットワークにフォーカスしている。VPN と Botnet のハイブリッドとして定義される ORB ネットワークは、攻撃の難読化における新たなレベルの洗練を示し、それを悪用する脅威アクターたちは、強化された匿名性と回復力で活動を継続している。このレポートは、「ORB ネットワークは、隠蔽／メッシュ／難読化ネットワークであり、回避手法を継続的に改良する脅威アクターたちの間で、その普及の度合いを増している」と指摘している。

OWASP の GenAI セキュリティ・ガイダンス：ディープフェイクの増加を受けて強化

OWASP Beefs Up GenAI Security Guidance Amid Growing Deepfakes

2024/11/05 DarkReading — いまでは、ディープフェイクや GenAI 攻撃は珍しいものではなく、今後においては、そのような攻撃が急増する兆候が見られる。すでに、AI が生成したテキストは、電子メールでは一般的なものとなり、人間が作成した可能性が低い電子メールを検出する方法を、セキュリティ企業は見つけ出そうとしている。mimecast の分析によると、人間が作成した電子メールは、すべての電子メールの約 88％に減少している。LLM が生成する電子メールの割合は、2022年後半の約 7％から、現在の約 12％へと上昇している。

中国のサイバースパイ Volt Typhoon／APT31／APT41：５年間にわたる活動の詳細 – Sophos 調査

Pacific Rim: Sophos Exposes 5 Years of Chinese Cyber Espionage

2024/11/03 SecurityOnline — Sophos X-Ops の最新レポート “Pacific Rim” は、中国を拠点とする脅威グループを追跡し、インド太平洋地域の高価値インフラ／政府機関を、５年間にわたり標的としてきたキャンペーンを明らかにするものだ。これらの活動で用いられる戦術には、特注のマルウェアや、ステルス性の持続的機能だけではなく、高度な運用セキュリティなどがあるという。Sophos は、他のサイバーセキュリティ企業／法執行機関／政府機関との共同調査により、これらの攻撃を、Volt Typhoon／APT31／APT41 (Winnti) などの悪名高い国家支援グループと関連付けている。

Meta の広告を巧みに悪用：SYS01 Infostealer キャンペーンが世界に広がっている

SYS01 Infostealer Campaign Exploits Meta Ads to Target Millions Worldwide

2024/11/02 SecurityOnline — オンライン広告への依存度が高まっている世界において、サイバー犯罪者たちは Meta の広大な広告エコシステムを悪用する機会を手にしている。そのような状況の中で、Bitdefender Labs が公表したレポートは、”SYS01 Infostealer” キャンペーンの詳細を記し、警告を発するものとなっている。このキャンペーンは、侵害した Facebook Business アカウントを悪用して、世界中のプラットフォームへ向けて、悪意の広告を配信する高度なマルバタイジング攻撃である。

Xiū gǒu という新たなフィッシング・キット：米／英／豪／日を積極的に標的化

New Xiū gǒu Phishing Kit Hits UK, US, Japan, Australia Across Key Sectors

2024/10/31 HackRead — 英国／米国／スペイン／オーストラリア／日本のユーザーをターゲットにする “Xiū gǒu” フィッシング・キットが、サイバー・セキュリティ研究者たちにより発見された。このキットが標的とするのは、公共／郵便／銀行などの分野であり、正当なサービスを模倣してデータを収集している。Netcraft のサイバー・セキュリティ研究者たちが発見した、”Xiū gǒu” という新たなフィッシング・キットは実際に機能している。このキットは、2024年9月から、英国／米国／スペイン／オーストラリア／日本の無防備なユーザーを、積極的にターゲットにしている。

VOIDMAW というテクノロジー：メモリス・キャナーに対する新たなバイパス手法を提示

VOIDMAW: A New Bypass Technique for Memory Scanners

2024/10/21 SecurityOnline — マルウェア検出技術が進化するにつれ、それらの回避を試みる、攻撃者たちの手法も進化している。そのような手法の１つである VOIDMAW とは、悪意のコードを巧妙に隠蔽してアンチウイルス・ソフトウェアを回避する、革新的なメモリ・スキャン・バイパス技術のことである。VOIDMAW は、マルチスレッド・ペイロードをサポートし、すべての C2 (Command-and-Control) ビーコンと互換性があり、さらに、 .NET 以外のバイナリ・ファイルも実行できるため、攻撃者にとって強力なツールとなる。

F5 BIG-IP の脆弱性 CVE-2024-45844 (CVSS：8.6) が FIX：PoC エクスプロイトも提供

F5 BIG-IP Vulnerability (CVE-2024-45844): Access Control Bypass Risk, PoC Available

2024/10/17 SecurityOnline — ネットワーク・トラフィック管理とセキュリティ・ソリューションを提供する F5 BIG-IP に、深刻な脆弱性の存在が確認された。この脆弱性 CVE-2024-45844 (CVSSv4：8.6) を悪用する認証済みの攻撃者は、アクセス制御制限を回避し、システムに脅威をもたらす可能性を得る。

Google Meet アラートを偽装：ClickFix 攻撃によるマルウェア配信が蔓延

ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS

2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome／Google Meet／Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。

Internet Explorer (IE) の脆弱性 CVE-2024-38178 を悪用：北朝鮮の TA-RedAnt とは？

North Korean Hackers Exploit Zero-Day Flaw (CVE-2024-38178) in “Operation Code on Toast”

2024/10/16 SecurityOnline — Microsoft Internet Explorer (IE) の脆弱性 CVE-2024-38178 が、北朝鮮のハッカーたちにより積極的に悪用されていることが、AhnLab Security Emergency response Center (ASEC) と National Cyber Security Center (NCSC) の共同レポートにより判明した。この攻撃は Operation Code on Toast と呼ばれ、時代遅れの Toast 広告プログラムのユーザーをターゲットにして、マルウェアを配信している。

Zendesk のメール・スプーフィングの脆弱性 CVE-2024-49193 が FIX：長々と放置された理由は？

$50,000 Bounty: Researcher Reveals Critical Zendesk Email Spoofing Flaw (CVE-2024-49193)

2024/10/13 SecurityOnline — Zendesk のメール管理システムに存在する、深刻な脆弱性 CVE-2024-49193 が、セキュリティ研究者の Daniel により発見され、詳細に分析されている。この脆弱性の悪用に成功した攻撃者は、スプーフィング攻撃により、機密情報であるサポート・チケット履歴への、不正アクセスの可能性を得るという。この Daniel の報告に対して、Zendesk は否定していたが、問題の深刻さが明らかになったことで、同社は早急な対策を講じることになった。

AI コール・センターへの侵害が発覚：盗まれたデータの悪用が今後に及ぼす影響は？

Over 10m Conversations Exposed in AI Call Center Hack

2024/10/10 InfoSecurity — 大規模なデータ侵害により、中東の AI 搭載コールセンター・プラットフォームから、1,000 万件を超える会話が漏洩した。サイバー・セキュリティ企業 Resecurity によると、この侵害はプラットフォームの管理ダッシュボードへの不正アクセスに関係しているという。その結果として、消費者／オペレーター／AI エージェント間の、1,020 万件を超えるインタラクションが、攻撃者のより不正に収集されたという。Resecurity は、盗まれたデータが悪用されると、高度な詐欺／フィッシング・スキームなどに加えて、AI を介した悪意のアクティビティにいたる可能性があると警告している。

JAXA のデータ侵害：宇宙および防衛に関する機密データが流出

JAXA Cyberattack: Hackers Breach Accounts of Top Officials, Exposing Sensitive Space and Defense Data

2024/10/09 SecurityOnline — 宇宙航空研究開発機構 (JAXA) が明らかにしたのは、巧妙なサイバー攻撃を受け、山川宏理事長や４人の理事を含む、上級役員のアカウントが乗っ取られたことだ。2023年6月以降に同機関は、４回に及ぶ広範なサイバー攻撃を受けているが、その一部として今回の侵害があると、朝日新聞の英字版は報じている。

DMARK のミスコンフィグ：それを狙う北朝鮮の APT グループ Kimsuky

North Korean APT Group Kimsuky Exploits DMARC Misconfigurations for Sophisticated Phishing Attacks

2024/10/07 SecurityOnline — 長い間にわたって、組織をサイバー攻撃から守る上で、メール・セキュリティは重要な柱となっていた。しかし、最近のレポートでは、DMARC (Domain-based Message Authentication, Reporting & Conformance) などの広く信頼されている保護機能でさえ、ミスコンフィグにより悪用される可能性があることが判明している。Barracuda の Senior Director of Product Management である Sheila Hara は、「北朝鮮の APT グループである Kimsuky が、DMARC のミスコンフィグを悪用して、絞り込まれた標的型のスピアフィッシング攻撃を実行し、世界中の民間部門と公共部門を脅かしている」と強調している。

DNS Tunneling キャンペーン：Palo Alto Unit42 が発見した検出回避と攻撃の方式とは？

DNS Tunneling: The Hidden Threat Exploited by Cyberattackers

2024/10/07 SecurityOnline — サイバー攻撃者が用いる DNS トンネリングという手法は、検出を回避しながら悪意の活動を行い、データを盗み出すための隠された戦術である。Palo Alto Networks の最新レポートでは、従来のセキュリティ対策を回避する DNS トンネリング・テクニック用いる、新たな脅威とキャンペーンが取り上げられている。インターネットの要である DNS は監視されないままに放置されることが多く、攻撃者にとっての主要なターゲットとなっている。この Palo Alto Networks のレポートには、「DNS トンネリングは、DNS プロトコルを悪用して、DNS クエリ／レスポンスのデータをエンコードするため、攻撃者は気付かれることなく、セキュリティ・システムを回避していく」と記されている。

Ruby-SAML／GitLab の脆弱性 CVE-2024-45409 が FIX：認証バイパス PoC が登場

Researchers Detail Ruby-SAML/GitLab Flaw (CVE-2024-45409) Allows SAML Authentication Bypass

2024/10/06 SecurityOnline — GitLab の認証システムに不可欠な、Ruby-SAML／OmniAuth-SAML ライブラリに存在する深刻な脆弱性 CVE-2024-45409 が、ProjectDiscovery の Harsh Jaiswal と Rahul Maini による最近の調査で明らかになった。この脆弱性の悪用に成功した攻撃者は、SAML レスポンス検証の弱点を用いて SAML 認証をバイパスし、不正アクセスを取得する可能性を手にする。

Salt Typhoon という中国由来の脅威アクター：Verizon／AT&T などのブロードバンド・プロバイダーに侵入

China-linked group Salt Typhoon hacked US broadband providers and breached wiretap systems

2024/10/06 SecurityAffairs — Verizon／AT&T／Lumen Technologies などの米国のブロードバンド・プロバイダーに侵入した、中国由来の APT グループ Salt Typhoon (別名 FamousSparrow／GhostEmperor) が、米政府のためのデータ盗聴システムにアクセスした可能性があるという。このニュースを独占的に報じた Wall Street Journal によると、このセキュリティ侵害は、きわめて大きなリスクをもたらすものとなる。それにより、国家安全保障に影響が生じる可能性もあるため、侵害の内容は公表されていないと、WSJ は述べている。専門家たちは、この脅威アクターの目的は情報収集にあると捉えている。

Perfctl という洗練された Linux マルウェアを検出：Polkit の CVE-2021-4043 を悪用？

New Linux Malware ‘Perfctl’ Targets Millions by Mimicking System Files

2024/10/03 HackRead — Linux における 20,000 を超えるミスコンフィグを悪用して、世界中で数百万人を標的にする新たなマルウェアが、Aqua Nautilus のサイバー・セキュリティ研究者たちにより発見された。しばらくの間、このマルウェアは潜伏していたようだが、最近になって Nautilus のハニーポットを攻撃したことで、あらゆる Linux サーバを危険にさらす可能性の脅威として検出され、調査の機会が生まれた。

CISA KEV 警告 24/10/02：Ivanti EPM の CVE-2024-29824 の登録と PoC の提供

CVE-2024-29824: Critical Vulnerability in Ivanti Endpoint Manager Actively Exploited, PoC Published

2024/10/02 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Windows／macOS／Chrome OS／IoT などの環境の、クライアント・デバイス管理において広く使用されているプラットフォーム Ivanti Endpoint Manager (EPM) で、深刻な脆弱性が積極的に悪用されているとして緊急アラートを発行した。この脆弱性 CVE-2024-29824 (CVSS：9.6) により、Ivanti ソリューションに依存している組織に対して潜在的な脅威をもたらされる。

Vesta Control Panel ハッキング：ブルートフォースで Admin アカウントを侵害する PoC とは？

Vulnerability in Vesta Control Panel Exposes Admin Accounts

2024/10/02 SecurityOnline — Linux サーバの管理で多用される Web ベースのインターフェースである、Vesta Control Panel に深刻な脆弱性が存在することが、Fortbridge の Cloud Application Security Consultant である Adrian Tiron により判明した。この脆弱性の悪用に成功した攻撃者は、Bash の $RANDOM 変数のシード・エントロピー低下を介してで、管理者アカウントの乗っ取りを達成するという。

Visual Studio Code を悪用する攻撃を検出：Remote-Tunnels エクステンションで C2 通信

Stealthy Cyberattack Turns Visual Studio Code into a Remote Access Tool

2024/10/01 SecurityOnline — Visual Studio Code (VSCode) を悪用して、被害者のシステムに不正なリモートアクセスを確立する高度なサイバー攻撃を、Cyble Research and Intelligence Labs (CRIL) が発見した。この攻撃は、一般的な検出メカニズムを回避し、信頼できるソフトウェアを悪用することで、悪意のアクションを実行するという、高度なステルス性を発揮している。

JPCERT/CC：Windows Event Log からランサムウェアの痕跡を探すヒントを提供

JPCERT shares Windows Event Log tips to detect ransomware attacks

2024/09/30 BleepingComputer — Japan Computer Emergency Response Center (JPCERT/CC) が共有したのは、Windows Event Logs のエントリをベースにして、各種のランサムウェア撃を検出するためのヒントであり、それにより、進行中の攻撃がネットワークに拡散する前のタイムリーな検出を目指している。JPCERT/CC によると、この手法はランサムウェア攻撃に対応する際に有益であり、さまざまな可能性の中から攻撃ベクターを特定することで、タイムリーな緩和を支援するという。

Google Play に潜む Necro というトロイの木馬：著名なアプリを感染させてユーザーを狙う

Necro Trojan Infects Google Play Apps With Millions of Downloads

2024/09/23 SecurityWeek — マルウェア対策ベンダーの Kaspersky の報告で判明したのは、公式 Google Play ストアにおいて、合計約1,100 万回もダウンロードされた２つのアプリが、トロイの木馬 Necro に感染していることだ。2019 年の時点でマルチステージ・ローダー Necro は、Google Play で１億回以上ダウンロードされた Phone PDF 作成アプリ CamScanner に感染し、その後に発見されている。

Tor Project がピンチ？ドイツの法執行機関が主張する匿名性剥奪の手法とは？

Tor Project responded to claims that law enforcement can de-anonymize Tor users

2024/09/20 SecurityAffairs — ドイツの法執行機関が主張する、ユーザーの匿名性を剥奪する手法の考案に対して、Tor プロジェクトのメンテナたちが反応している。ドイツのメディアによると、同国の法執行機関は匿名化ネットワークに侵入し、少なくとも１件のケースで犯罪者の正体を暴いたという。このドイツの法執行機関は、独自のサーバを運用することで、数ヶ月にわたり Tor ネットワークを監視してきた。ARD のPanorama と STRG_F が実施した調査では、監視中に収集されたデータは統計的手法を介して処理され、Tor の匿名性を事実上破っていることが明らかになった。

Earth Baxia サイバー・スパイ：GeoServer の CVE-2024-36401 を武器にして APAC を狙う

Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC

2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信／電力／政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。