Attackers used malicious “verified” OAuth apps to infiltrate organizations’ O365 email accounts
2023/01/31 HelpNetSecurity — ”Publisher identity verified” マークを取得したサードパーティ製 OAuth アプリが、英国/アイルランドの組織を標的とする、未知の攻撃者に利用されていることを、Microsoft が明らかにした。この攻撃は、2022年12月初旬に Proofpoint の研究者が発見したものであり、SSO/Zoom になりすました3つの不正なアプリが関与しているという。この手口に騙されたターゲット組織は、一連の不正アプリにより O365 メールアカウントにアクセスされ、組織のクラウド環境への侵入を許してしまった。
Continue reading “OAuth を悪用する偽アプリ攻撃: Office 365 アカウントへの不正アクセスが発生”Insider attacks becoming more frequent, more difficult to detect
2023/01/30 HelpNetSecurity — Gurucul の調査によると、あらゆる種類の組織において、インサイダー脅威は最大の関心事となる。調査対象者のうち、インサイダー脅威のリスクについて、懸念しないという回答者はわずか3%だという。325名以上のサイバー・セキュリティの専門家たちからの回答をもとに、変化する内部脅威への対応に取り組む組織が、直面している最新のトレンドと課題、そして機密データと IT インフラの確実な保護のために、組織が取り組んでいる体制作りなどを、同社は調査している。
Continue reading “インサイダー脅威に関する調査:多発する攻撃と困難な発見への懸念”Hackers Use TrickGate Software to Deploy Emotet, REvil, Other Malware
2023/01/30 InfoSecurity — TrickGate という名の悪意のソフトウェア・サービスは、6年以上にわたり脅威アクターたちに利用され、EDR (Endpoint Detection and Response) 保護ソフトウェアをバイパスしてきたようだ。この Check Point Research (CPR) が発表した調査結果は、今日の未明に InfoSecurity と共有された。最新のアドバイザリによると、Emotet/REvil/Maze などのグループに属する複数の脅威アクターたちが、このサービスを悪用してマルウェアを展開していたことが示唆される。
Continue reading “Emotet/REvil を配信する TrickGate:巧妙な検出回避で6年間も生き続ける”GitHub revokes code signing certificates stolen in repo hack
2023/01/30 BleepingComputer — 未知の攻撃者が GitHub の開発とリリース計画にリポジトリにアクセスし、Desktop/Atom アプリケーションの暗号化されたコード署名証明書を盗み出したとのことだ。GitHub によると、盗み出されてしまったパスワード保護された証明書 (Apple Developer ID 証明書1枚と Windows アプリに使用される Digicert コード・サイニング証明書2枚) が、悪意の目的で使用されたという証拠は、これまでのところ発見されていない。
Continue reading “GitHub から盗まれたコード署名証明書:Desktop/Atom 版が 2月2日に失効”Titan Stealer: A New Golang-Based Information Stealer Malware Emerges
2023/01/30 TheHackerNews — Titan Stealer という名の Golang ベースの新たな情報窃取型マルウェアが、Telegram チャンネルで宣伝されていることが判明した。Uptycs のセキュリティ研究者である Karthickkumar Kathiresan と Shilpesh Trivedi の最新のレポートには、「このスティーラーは、感染した Windows マシンから、ブラウザや暗号ウォレットからのクレデンシャル・データ/FTP クライアントの詳細/スクリーンショット/システム情報/掴んだファイルなどの、さまざまな情報を盗み出す」と記されている。
Continue reading “Titan Stealer という情報スティーラーを発見:Golang ベースで検出を巧みに回避”Gootkit Malware Continues to Evolve with New Components and Obfuscations
2023/01/29 TheHackerNews — マルウェア Gootkit を操る脅威アクターは、そのツールセットを新たなコンポーネントで強化し、難読性の高い感染チェーンを構築している。Google 傘下の Mandiant は、UNC2565 という名称で Gootkit の活動を監視しているが、このグループだけが独占して使用するマルウェアであることを指摘している。Gootkit は、Gootloader とも呼ばれ、検索エンジン最適化 (SEO) ポイズニングと呼ばれる手法により、合意書や契約書などのビジネス関連文書を検索する人々を騙して、危険な Web サイトへと誘導することで拡散していく。
Continue reading “Gootkit は SEO ポイズニング・マルウェア:難読性の高い無差別攻撃”Hive Ransomware Gang Loses Its Honeycomb, Thanks to DoJ
2023/01/27 DarkReading — 連邦政府は、Hive ランサムウェア集団の活動を停止させ、総額 $130 million の身代金要求から被害者たちを救った。しかし、この取り組みが、ランサムウェア全体の状況に、どれほどの打撃を与えるかとなると、現状では判断できないだろう。米国司法省の発表によると、この 2021年6月に出現したグループの活動は、最近の数カ月において活発であり、世界 80数カ国で 1500件以上の被害者を出している。
Continue reading “Hive ランサムウェアがシャットダウン:復活はないのか? 犯人たちは何処へ行くのか?”Experts Uncover the Identity of Mastermind Behind Golden Chickens Malware Service
2023/01/27 TheHackerNews — Golden Chickens という Malware-as-a-Service の背後にいる脅威アクターの身元が、現実世界でのオンライン・ペルソナ “badbullzvenom” として活動している人物であると、サイバー・セキュリティ研究者たちが明らかにした。eSentire の Threat Response Unit (TRU) は、16ヶ月に及ぶ調査を経て発表した包括的なレポートの中で、「2人の人物が “badbullzvenom” アカウントを共有されているという、複数の言及を発見した」と述べている。
Continue reading “Golden Chickens という Malware-as-a-Service:背後で操る人物を追跡せよ”Google nukes 50,000 accounts pushing Chinese disinformation
2023/01/26 BleepingComputer — Google の Threat Analysis Group (TAG) は、複数のオンライン・プラットフォームで親中派情報を発信しているグループ Dragonbridge/Spamouflage Dragon に関連する、数万件のアカウントを削除した。 Googleによると、Dragonbridge はバルクでアカウントを販売する業者から、新しい Google アカウントを入手してきたという。場合によっては、以前に金銭的な動機で使用されていたアカウントを再利用し、情報操作のための動画/ブログを投稿することもあるようだ。
Continue reading “Google が Dragonbridge をシャットダウン:中国の偽情報アカウント5万件を削除”Over 4,500 WordPress Sites Hacked to Redirect Visitors to Sketchy Ad Pages
2023/01/25 TheHackerNews — 2017年ころから活動しているとされる、長期的かつ大規模なキャンペーンにより、4,500 件以上の WordPress サイトが感染していることが明らかになった。GoDaddy 系列の Sucuri によると、悪意のドメイン track[.]violetlovelines[.]com にホストされている、難読化された JavaScript の注入により感染が広まり、悪意のサイトへと訪問者たちがリダイレクトされているようだ。urlscan.io のデータによると、2022年12月26日から動きが活発になっているようだ。2022年12月初旬に確認された攻撃では 3,600 件以上のサイトが影響を受け、2022年9月に記録された別の攻撃では、7,000以上のサイトが被害に遭ったとされている。
Continue reading “WordPress サイト 4,500 以上でハッキングが発生:ビジターを悪意の広告ページへ誘導”The Definitive Browser Security Checklist
2023/01/25 TheHackerNews — セキュリティ関係者は、現代の企業環境におけるブラウザの重要な役割と、その管理/保護の再評価が必要であることを認識するようになった。少し前までは、エンドポイント/ネットワーク/クラウドの各ソリューションのパッチワークで Web ベースのリスクに対応していたが、これらのソリューションが提供する部分的な保護では、もはや不十分であることが明らかになった。そのため、多くのセキュリティ・チームが、ブラウザのセキュリティ上の課題に対する答えとして、専用に構築されたブラウザ・セキュリティ・プラットフォームという、新たなカテゴリーに注目するようになってきた。
Continue reading “Web ブラウザのセキュリティ:体系化された5本の柱で分解/整理してみよう”New stealthy Python RAT malware targets Windows in attacks
2023/01/25 BleepingComputer — Python ベースの新しいマルウェアが発見されたが、侵入したシステムを操作するための (RAT:Remote Access Trojan) 機能を備えていることが判明した。脅威分析会社 Securonix の研究者により、PY#RATION と名付けられた新しい RAT は、WebSocket プロトコルを用いて C2 Server と通信し、被害者のホストからデータを流出させるものだ。同社の技術レポートでは、このマルウェアの動作が分析されている。PY#RATION キャンペーンが始まった 2022年8月以降において、複数のバージョンが確認されていることから、この RAT が活発に開発されていると、研究者たちは示唆している。
Continue reading “Python に PY#RATION というマルウェア:WebSocket でスティルス C2 通信”Malicious Prompt Engineering With ChatGPT
2023/01/25 SecurityWeek — 2022年末に、誰もが OpenAI の ChatGPT を利用できるようになったことで、AI の可能性が良くも悪くも実証された。ChatGPT は、大規模な AI ベースの自然言語生成器であり、LLM (Large Language Model) と呼ばれるものである。そして、プロンプト・エンジニアリングという概念を、一般に知らしめたものでもある。ChatGPT は、2022年11月に OpenAI がリリースしたチャットボットであり、OpenAI の LLM である GPT-3 ファミリーの上に構築されている。
Continue reading “ChatGPT がもたらす変化:Social エンジニアリング から Prompt エンジニアリングへ”Hackers use Golang source code interpreter to evade detection
2023/01/24 BleepingComputer — DragonSpark という名で追跡されている、中国語を話すハッキング・グループは、東アジアの組織に対してスパイ攻撃を行う際に、検出を回避するために Golang ソースコードの解釈を採用していることが確認された。この攻撃は SentinelLabs により追跡されており、DragonSpark は SparkRAT と呼ばれるオープンソース・ツールに採用し、感染させシステムから機密データを盗み、コマンドを実行し、ネットワーク上での横移動などを行うと、研究者たちは報告している。SentinelLabs が観測した侵入経路は、オンラインで公開されている脆弱な MySQL データベース・サーバだった。
Continue reading “DragonSpark という中国の APT:Golang ソースの実行時解釈で検出を回避”FBI: North Korean hackers stole $100 million in Harmony crypto hack
2023/01/24 BleepingComputer — FBI の発表によると、2022年6月に Harmony Horizon から $100 million 相当の Ethereum が盗まれたが、その背後には、北朝鮮の国家的なハッキング・グループ Lazarus と APT38 が存在することが確認されたという。Harmony Horizon は Ethereum のクロス・チェーンブリッジであり、2022年6月に侵害を受け、MultiSigWallet の制御をハッカーが奪ったことで、大量のトークンが犯罪者のアドレスに転送された。
Continue reading “Ethereum $100M 相当が Harmony から消えた:北朝鮮の Lazarus と APT38 の犯行”GoTo Says Hackers Stole Encrypted Backups, MFA Settings
2023/01/24 SecurityWeek — IT マネージメント・ソフトウェアを提供する GoTo は、2022年に発生した LastPass 関連会社に影響を及ぼしたセキュリティ侵害において、暗号化されたバックアップと一部の暗号化キーが、正体不明の脅威アクターに盗まれたと発表した。GoTo の CEO である Paddy Srinivasan は、このセキュリティ侵害が、当初の報告よりもはるかに深刻であることを認めている。具体的に言うと、アカウントのユーザー名および、ソルト化/ハッシュ化されたパスワード、MFA 設定の一部に加えて、一部製品のコンフィグレーション/ライセンス情報が盗まれたようだ。
Continue reading “GoTo で発生したデータ侵害:暗号化されたバックアップや MFA 設定などを窃取”Emotet Malware Makes a Comeback with New Evasion Techniques
2023/01/24 TheHackerNews — マルウェア Emotet は、Bumblebee/IcedID などの危険なマルウェアの感染経路となる一方で、その手口を改良し、レーダーを回避し続けている。2021年初頭に、捜査当局が Emotet のインフラを排除したが、同年末には活動を再開しており、フィッシング・メールを介して配布される、持続的な脅威として存在し続けている。このウイルスは、サイバー犯罪グループ TA542 (別名 Gold Crestwood/Mummy Spider) に帰属するものであり、バンキング型トロイの木馬として 2014年に登場した後に、マルウェア配布者へと進化してきた。
Continue reading “Emotet が新たなバイパス手法で再登場:クレカ窃取と横移動の新モジュールを追加”Threat Actors Turn to Sliver as Open Source Alternative to Popular C2 Frameworks
2023/01/23 TheHackerNews — Cobalt Strike や Metasploit に代わるオープンソースのフレームワークであり、合法的な Command and Control (C2) フレームワークである Sliver が、脅威アクターたちの支持を集めていることが判明した。サイバー・セキュリティ企業である BishopFox が開発した Sliver は、Golang ベースのクロスプラットフォームなポスト・エクスプロイト・フレームワークであり、レッドチームが使用することを想定して設計されている。先週に Cybereason が実施した徹底的な分析により、この Sliver の内部構造が詳細まで明らかにされた。
Continue reading “Sliver は Cobalt Strike の後継:多様な機能を搭載する C2 フレームワーク”Hackers now use Microsoft OneNote attachments to spread malware
2023/01/21 BleepingComputer — OneNote の添付ファイルをフィッシング・メールに使用する攻撃者たちが、被害者のマシンにリモート・アクセスに対応するマルウェアを感染させ、さらなるマルウェアのインストールや、パスワードの窃取、暗号通貨ウォレット侵害へとエスカレートさせようとしている。長年にわたり攻撃者たちは、電子メールに添付した Word/Excel ファイルに隠したマクロを起動させ、マルウェアをダウンロード/インストールするという方式で、マルウェアを配布してきた。しかし、2022年7月に Microsoft は、Office 文書に含まれるマクロをデフォルトで無効にし、マルウェアの配布に利用できないようにした。
Continue reading “Microsoft OneNote ファイルに要注意:新たなマルウェア配布が始まっている”Massive ad-fraud op dismantled after hitting millions of iOS devices
2023/01/21 BleepingComputer — iOS を主体として展開された、Vastflux という名の大規模な広告詐欺作戦は、 120社のパブリッシャーから提供される 1,700件以上のアプリを偽装していたが、サイバー・セキュリティ企業 HUMAN の研究者たちにより阻止されたことが明らかになった。このオペレーション名は、広告配信テンプレート VAST と、単一のドメインに関連する大量の IP アドレスや DNS レコードを迅速に変更することで、悪意のあるコードを隠す回避手法 fast flux に由来しているという。HUMAN のレポートによると、ピーク時の Vastflux では 120億以上/日の入札リクエストが生成され、約 1100万台のデバイス (大半が iOS エコシステム) に影響を与えたとされている。
Continue reading “iOS デバイスを汚染するアドウェア Vastflux:ピーク時で 120億/日のリクエスト”Compromised Zendesk Employee Credentials Lead to Breach
2023/01/21 DarkReading — SaaS 版の CRM (Customer Relationship Management) を提供する Zendesk が、2022年10月に脅威アクターによる不正アクセスを受け、顧客情報の漏洩が発生したこと明らかになった。ことの発端は、2023年1月13日に同社から顧客に送られたメールである。インシデントの詳細が記された Zendesk からのメールは、仮想ウォレット・サービスを提供する Coinigy により公開されたものだ。Coinigy は侵害に関する投稿で、「我々の顧客に開示する必要性を感じた」と述べている。
Continue reading “Zendesk で顧客情報の漏洩が発生:従業員を狙った SMS フィッシングに起因”Massive Credential Stuffing Campaign Hits 35,000 PayPal Users
2023/01/20 InfoSecurity — 今週に PayPal が公表したのは、2022年12月に発生したアカウントへの不正アクセスと、米国の数万人の顧客に対して通知が行われたことだ。この不正アクセスは、12月6日〜12月8日に発生し、その後に事態を把握した同社は、脅威となった人物によるアクセスを排除した。PayPal からメイン州司法長官事務所に提出された侵害通知書には、「この間において、不正な第三者が、特定の PayPal ユーザーの個人情報の一部を閲覧し、取得した可能性がある」と記されている。
Continue reading “PayPal ユーザー 35,000 人の個人情報に不正アクセス:クレデンシャル・スタッフィングの可能性大”Chinese hackers used recently patched FortiOS SSL-VPN flaw as a zero-day in October
2023/01/20 SecurityAffairs — 先日にパッチが適用された FortiOS SSL-VPN の脆弱性 CVE-2022-42475 を、中国の脅威アクターと思われる人物が、ゼロデイとして悪用したことを、Mandiant の研究者たちが報告している。この脆弱性は、欧州の政府機関やアフリカの MSP などを標的とする、一連の攻撃で悪用されたと、同社は述べている。この脆弱性は、2022年12月に Fortinet により対処されているが、攻撃自体は 10月の時点で生じていた。専門家たちが集めた証拠によると、中国のサイバースパイ活動の一環であることが示唆されている。
Continue reading “FortiOS SSL-VPN の脆弱性 CVE-2022-42475:中国由来のハッカーが 2022年10月から侵害”Phishers Use Blank Images to Disguise Malicious Attachments
2023/01/20 InfoSecurity — フィッシング詐欺師たちが、従来からのセキュリティ・フィルタを回避するために、透明の画像イメージを使用するという新たな革新的な手法を、セキュリティ研究者たちが発見した。Check Point の事業会社である Avanan が検知した問題の電子メールは、一見すると正規の DocuSign メッセージとして受信されたものだ。メール本文に記載されたリンクは、ユーザーを通常の DocuSign のページへと誘導するものだが、末尾に記載された HTML 添付ファイルは疑わしいものだった。
Continue reading “透明の SVG ファイルにマルウェア:この見えない敵に対処できるのか?”ChatGPT Creates Polymorphic Malware
2023/01/18 InfoSecurity — CyberArk のサイバー・セキュリティ研究者が、OpenAI の ChatGPT とテキストベースの対話を行い、新たな多形態マルウェア (Polymorphic Malware) を作成したと報告している。先日に同社が InfoSecurity と共有した技術文書によると、ChatGPT を用いて作成されたマルウェアは、「攻撃者による努力や投資を大幅に抑制した上で、簡単にセキュリティ製品を回避し、緩和を面倒なものにする」ことが可能だという。
Continue reading “ChatGPT でマルウェア開発:継続的な変異により捕捉/検出が困難になる”Initial Access Broker Activity Doubles in a Year
2023/01/17 InfoSecurity — セキュリティ研究者たちが明らかにしたのは、IAB (Initial Access Broker) がダークウェブ上で企業アクセスを販売したケースが、2022年と2021年の比較において2倍に増加し、また、ブローカーの数も急増したことである。Group-IB が発見した IAB の販売活動は、2021年7月〜2022年6月の間に 2348件を数え、その被害に遭った被害組織の所在国数も、41%増の 96ヶ国になったという。最も標的になったのは米国企業であり、分野別では製造業 (5.8%) /金融サービス (5.1%) /不動産 (4.6%) /教育 (4.2%) が上位を占めている。
Continue reading “Initial Access Broker の活動量が1年で倍増:Group-IB の IAB 調査”Hackers Can Abuse Legitimate GitHub Codespaces Feature to Deliver Malware
2023/01/17 TheHackerNews — 脅威アクターたちが、GitHub Codespaces の正規の機能を悪用して、被害者のシステムへマルウェアを配信することが可能であるという、新たな研究の結果が明らかになった。GitHub Codespaces とは、クラウドベースのカスタマイズ可能な開発環境のことである。それを利用するユーザーは、Web ブラウザや Visual Studio Code との統合を介して、指定したコードベースのデバッグ/メンテナンス/変更のコミットを実行できる。また、ポート・フォワーディング機能により、コードスペース内の特定のポートで動作する Web アプリケーションに、ローカルマシンのブラウザから直接にアクセスし、テスト/デバッグを行うことも可能だ。
Continue reading “GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布”Datadog rotates RPM signing key exposed in CircleCI hack
2023/01/16 BleepingComputer — クラウド・セキュリティ企業 Datadog の発表によると、先日に発生した CircleCI のセキュリティ侵害により、同社の RPM (Redhat Package Manager) における GPG (Gnu Privacy Guard) 署名キーの1つと、そのパスフレーズが流出したとのことだ。ただし同社は、この署名キーの流出/悪用については、現時点で証拠は見つかっていないと付け加えている。
Continue reading “Datadog が RPM 署名キーを変更:CircleCI ハッキング・インシデントを受けて”Malicious ‘Lolip0p’ PyPi packages install info-stealing malware
2023/01/16 BleepingComputer — ある脅威アクターが、PyPI (Python Package Index) リポジトリにアップロードした3つの悪意のパッケージには、開発者たちのシステムに情報窃取マルウェアをドロップするコードが搭載されている。Fortinet が発見した悪意のパッケージは、その全てが 2023年1月7日〜12日の間に、”Lolip0p” という作者によりにアップロードされたものだ。それらの名称は、colorslib/httpslib/libhttps であり、すでに PyPI からは削除されている。
Continue reading “PyPI に悪意の3つのパッケージ:数日で 500件以上のダウンロードにいたる”Raccoon and Vidar Stealers Spreading via Massive Network of Fake Cracked Software
2023/01/16 TheHackerNews — Raccoon や Vidar などの情報窃取型マルウェアの配布において、250以上のドメインで構成される大規模で弾力性のあるインフラが、2020年初頭から利用されている。サイバー・セキュリティ企業である SEKOIA は、今月の初めに発表した分析で、「偽のソフトウェア・カタログを使用すると、約 100 の Web サイトへとリダイレクトされた後に、GitHub などのファイル共有プラットフォームでホストされている、ペイロードをダウンロードすることになる」と述べている。
Continue reading “Raccoon/Vidar 情報スティーラーが蔓延:AnyDesk/Notepad++/Zoom などをルアーに使う”Google Chrome to let you disable or enable extensions per site
2023/01/14 BleepingComputer — Chrome のエクステンションを、サイト単位で無効/有効化できる新機能を、Google が開発している。Chrome Web ストアでは、数多くのエクステンションが提供されている。しかし、一部のエクステンションには、Web サイトで不具合を引き起こす可能性あり、また、広告ブロッカーのようなエクステンションを許可しないサイトもあるという。
Continue reading “Chrome エクステンションに新機能:サイトごとの ON/OFF に取り組み始めた”CircleCI, LastPass, Okta, and Slack: Cyberattackers Pivot to Target Core Enterprise Tools
2023/01/14 DarkReading — 開発パイプライン・サービスを提供する CircleCI が、1月上旬にセキュリティ侵害について警告し、同社のプラットフォーム上に保存/管理されている、パスワードや SSH キーなどの機密情報などを、直ちに変更するようユーザー企業に呼びかけている。CircleCI は、DevOps サービスへの攻撃から生じる、侵害範囲の特定/ソフトウェア改ざんの抑制/開発機密の侵害の特定などに躍起になっていた。具体的に言うと、認証トークンのローテーション/コンフィグレーションの変更/他のプロバイダーとの連携によるキーの失効/インシデント調査などを、同社は進めてきた。
Continue reading “CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ”NortonLifeLock warns that hackers breached Password Manager accounts
2023/01/13 BleepingComputer — Gen Digital (旧 Symantec Corporation、NortonLifeLock) が顧客に送付したデータ侵害通知は、ハッカーによるクレデンシャル・スタッフィング攻撃で、Norton Password Manager アカウントの侵害に成功したことを知らせるものだ。バーモント州司法長官事務所に提出された書簡のサンプルによると、この攻撃の原因は、同社への侵入ではなく、他のプラットフォームでのアカウント侵害によるものとのことだ。
Continue reading “NortonLifeLock の Password Manager アカウントに侵害が発生:PW の使い回しが原因?”Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar
2023/01/13 TheHackerNews — StrRAT/Ratty などのリモート・アクセス型トロイの木馬は、ポリグロット と悪意の Java アーカイブ (JAR) ファイルの組み合わせで配布されており、検知を回避する新しい方法を、脅威アクターが継続的に発見していることを、改めて浮き彫りにしている。Deep Instinct のセキュリティ研究者 Simon Kenin のレポートには、「攻撃者たちは、JAR ファイル形式を適切に検証できないセキュリティ・ソリューションを混乱させるために、ポリグロット手法を使用している」と述べている。
Continue reading “StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される”Russian Hackers Try to Bypass ChatGPT’s Restrictions For Malicious Purposes
2023/01/13 InfoSecurity — ロシアのサイバー犯罪者たちが、OpenAI の API 制限をバイパスして ChatGPT チャットボット にアクセスし、不正なアクションを試みる様子が、ダークウェブ・フォーラムで確認されている。ある脅威アクターたちは、OpenAI の無料アカウント制限を回避するために、アップグレード・ユーザーとして支払いに盗んだカードを使用する方法を議論していた。また、OpenAI の地理的なコントロールを回避する方法についてブログを投稿した者や、半合法的なオンライン SMS サービスを使って ChatGPT に登録するチュートリアルを作成した者もいる。
Continue reading “ChatGPT の悪用が始まる:人工知能の倫理をバイパスするロシアのハッカーたち”Telegram Bot Abuse For Phishing Increased By 800% in 2022
2023/01/12 InfoSecurity — Telegram Bot からのフィッシング情報の流出先として悪用が、2021年〜2022年の間に 800% も増加した。この新データは、2023年1月12日に Cofense のセキュリティ研究者たちが、それらに関する最新データをレポートとして発表した。この伸びを調査した結果は、資格情報をフィッシングする際の配信方法として、HTMLの添付ファイルを使用する戦術が、ますます一般的になっていることに関連している。
Continue reading “Telegram Bot とフィッシング:2022年の悪用は前年比で 800% 増”Microsoft: Cuba ransomware hacking Exchange servers via OWASSRF flaw
2023/01/12 BleepingComputer — Microsoft によると、Cuba ランサムウェア/ギャングも、Exchange サーバに存在する深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用して、Play ランサムウェア攻撃と同様に侵害を繰り返しているようだ。 先日には、この脆弱性 CVE-2022-41080 を悪用する Play ランサムウェアが、 OWASSRF ゼロデイと呼ばれる攻撃により、ProxyNotShell URL リライト緩和策をバイパスした後に、Rackspace ネットワーク上のパッチ未適用の Microsoft Exchange サーバを侵害している。
Continue reading “Cuba ランサムウェアも Exchange 侵害に参戦:Microsoft が警告する OWASSRF 欠陥とは?”Dark Pink APT Group Targets Governments and Military in APAC Region
2023/01/11 TheHackerNews — アジア太平洋地域における政府機関/軍事組織などが、未知の高度持続的脅威 (APT:Advanced Persistent Threat) アクターの標的にされていることが、最新の調査により明らかになった。シンガポールに本社を置く Group-IB は、The Hacker News と共有したレポートの中で、「Dark Pinkと命名された進行中のキャンペーンを追跡しており、同グループは 2022年6月〜12月の間に7つの攻撃を成功させた」と述べている。
Continue reading “Dark Pink という APT グループ:APAC の政府/軍事を狙って7件の攻撃を達成”Over 1,300 fake AnyDesk sites push Vidar info-stealing malware
2023/01/10 BleepingComputer — AnyDesk の公式サイトを装う 1,300以上のドメインを用いて、情報スティーラー・マルウェア Vidar を仕込んだ Dropbox フォルダーへと、すべてのターゲットをリダイレクトさせる、大規模なキャンペーンが進行中だ。AnyDesk は、Windows/Linux/mac OS向けの、リモート・デスクトップ・アプリであり、セキュアなリモート接続/システム管理のために、世界中で数百万人が使用している。この人気から、AnyDesk は、マルウェア配布キャンペーンで頻繁に悪用されている。たとえば、2022年10月に、AnyDesk のフィッシング・サイトを利用する Mitsu Stealer のオペレーターが、新しいマルウェアをプッシュしていることを Cyble が報告している。
Continue reading “AnyDesk に大量の偽サイト:Vidar マルウェアを配布する 1,300 以上のドメイン”Kinsing Cryptojacking Hits Kubernetes Clusters via Misconfigured PostgreSQL
2023/01/09 TheHackerNews — Kinsing クリプト・ジャッキングを操る脅威アクターは、Kubernetes 環境へのイニシャル・アクセスを得るために、露出した PostgreSQL サーバのミスコンフィグレーションを悪用しているという。Microsoft Defender for Cloud のセキュリティ研究者である Sunders Bruskin は、先週のレポートで、「2番目のイニシャル・アクセス・ベクターの手法には、脆弱なイメージの悪用も含まれる」と述べている。
Continue reading “Kinsing による Kubernetes 攻撃:PostgreSQL のミスコンフィグを狙っている”Global Cyber-Attack Volume Surges 38% in 2022
2023/01/09 InfoSecurity — Check Point によると、昨年に記録されたサイバー攻撃の件数は、2021年との比較において 38% 増とのことだ。前年同期比で最大の増加率 74% を記録した、医療機関への攻撃が急増したことや、小規模で機敏なハッキング集団の活動が主な原因であると、同社は述べている。全体として、2022年 Q4 に攻撃は過去最高を記録し、1組織あたりの週間平均攻撃回数は 1168回となった。週平均の数値が最も高かったのは、教育分野の組織 2314件/政府と軍 1661件/ヘルスケア 1463件である。
Continue reading “2022 サイバー攻撃調査:件数はグローバルで前年比 38% 増で Q4 は過去最大”Fake Pokemon NFT game installer lets hackers hijack your PC
2023/01/08 BleepingComputer — 巧妙に作られたポケモン NFT カードゲーム Web サイトを用いる脅威アクターたちは、NetSupportリモートアクセス・ツールを配布することで、被害者のデバイスを制御している。この Web サイト “pokemon-go[.]io” は、本稿の執筆時点ではオンラインであり、ポケモンのフランチャイズに基づく新しい NFT カードゲームを提供し、戦略的な楽しさと NFT 投資の利益を提供すると、ユーザーに対して主張している。
Continue reading “Pokemon NFT ゲームカード:偽の Web サイトとトロイの木馬に御用心”Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors
2023/01/08 TheHackerNews — ロシアのサイバー・スパイグループ Turla が、10年前のマルウェアの攻撃インフラを利用して、ウクライナのターゲットに、独自の偵察ツールやバックドア・ツールを配布していることが確認された。Google 傘下の Mandiant は、この活動を UNC4210 という未分類のクラスタ名で追跡しており、乗っ取られたサーバを調査したところ、2013年に VirusTotal にアップロードされた ANDROMEDA (別名 Gamarue) というマルウェアの亜種に該当したと述べている。
Continue reading “Turla APT の奇妙な動き:10年前のマルウェア・インフラからバックドアを展開”IcedID malware campaign targets Zoom users
2023/01/07 SecurityAffairs — 先日に Cyble の研究者たちは、人気のビデオ/オンライン会議プラットフォーム Zoom のユーザーをターゲットにして、IcedID マルウェアを配信するフィッシング・キャンペーンを発見した。IcedID バンキング型トロイの木馬は、2017年に初めて登場し、Gozi/Zeus/Dridex などのオンライン・バンキング・マルウェアと同様の機能を有している。
Continue reading “Zoom ユーザーを狙う IcedID マルウェア:精巧な偽 Web ページによるフィッシングに御用心”Rackspace: Ransomware Attack Bypassed ProxyNotShell Mitigations
2023/01/05 DarkReading — マネージド・クラウド・ホスティングを提供する Rackspace Technology は、12月2日に発生した大規模なランサムウェア攻撃により、中小企業の顧客数千社のメール・サービスに障害が発生したことを発表した。その要因は、Microsoft Exchange Server におけるサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2022-41080 を悪用するゼロデイ攻撃にあるという。
Continue reading “Microsoft と Rackspace:Exchange の ProxyNotShell 緩和策回避を巡って衝突?”SpyNote Strikes Again: Android Spyware Targeting Financial Institutions
2023/01/05 TheHackerNews — 2022年10月以降において、SpyNoteと呼ばれる Android マルウェアの新バージョンが、金融機関を標的にしている。ThreatFabric は The Hacker News と共有したレポートの中で、「このスパイウェアが増加した背景には、開発者がソースコードを公開したことにある。つまり、他の脅威アクターによるスパイウェアの開発/ 配布が容易になり、銀行機関をターゲットにするケースが増えている」と述べている。このマルウェアが装う有名な金融機関には、Deutsche Bank/HSBC U.K./Kotak Mahindra Bank/Nubank などがある。
Continue reading “SpyNote のオープン化:金融機関を標的とする Android スパイウェアが進化”Over 60,000 Exchange servers vulnerable to ProxyNotShell attacks
2023/01/03 BleepingComputer — オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の1つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明した。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明した。
Continue reading “Exchange Server の脆弱性 ProxyNotShell:60,000 台以上のサーバがパッチ未適用”WordPress Security Alert: New Linux Malware Exploiting Over Two Dozen CMS Flaws
2022/01/02 TheHackerNews — WordPressサイトを標的とする未知の Linuxマルウェアが、20数種類のプラグイン/テーマの欠陥を悪用して、脆弱なシステムを侵害していることが判明した。ロシアのセキュリティ・ベンダーである Doctor Web は、「もし、対象となる WordPress サイトが、重要な修正を行っていない場合や、古いバージョンのアドオンを使用している場合には、標的となる Web ページに悪意の JavaScript が注入される恐れがある。その結果として、攻撃されたページの任意の領域をユーザーがクリックすると、他のサイトにリダイレクトされる」と、先週のレポートで説明している。
Continue reading “WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用”Google Home speakers allowed hackers to snoop on conversations
2022/12/29 BleepingComputer — Google Home Smart Speaker のバグにより、リモートからの操作が可能なバックドア・アカウントのインストールや、マイクフィードへのアクセスする盗聴が可能であることが判明した。2021年に、この問題を発見した研究者は Google に報告し、$107,500 の報奨金を受け取っている。今週の初めに、この研究者が公開したのは、発見された技術的な詳細と、悪用の方法を示す攻撃シナリオである。
Continue reading “Google Home Speaker の欠陥が FIX:リモートから会話が盗聴される可能性”APT Hackers Turn to Malicious Excel Add-ins as Initial Intrusion Vector
2022/12/28 TheHackerNews — インターネットからダウンロードされた Office ファイルの Visual Basic for Applications (VBA) マクロについて、Microsoft がデフォルトでのブロックを決定したことで、多くの脅威者が、この数カ月で攻撃方法を変更するようになった。Cisco Talos によると、APT (Advanced Persistent Threat) や各種のマルウェア・ファミリーは、イニシャルの侵入経路として Excel Add-in (.XLL) ファイルを使用する傾向を強めているとのことだ。
Continue reading “Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター”
IoT OT Security News 
You must be logged in to post a comment.