ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached
2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約3年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア/ヨーロッパ/南米などの、複数の地域の政府機関に影響を及ぼしている。
Continue reading “ProxyLogon/ProxyShell の脆弱性が復活:政府機関の電子メールが侵害される”New Attack Technique Exploits Microsoft Management Console Files
2024/06/25 TheHackerNews — Microsoft Management Console (MMC) を用いる任意のコード実行権を取得して、セキュリティを回避するために、特別に細工された MSC (management saved console ) ファイルを悪用するという、新しい攻撃手法が発見された。2024年6月6日に VirusTotal マルウェア・スキャン・プラットフォームにアップロードされていた、アーティファクト “sccm-updater.msc” を発見した Elastic Security Labs は、この手法を GrimResource と命名した。
Continue reading “Microsoft Management Console の悪用:新たな RCE 攻撃手法が発見された – Elastic”Breaking News: Widespread WordPress Plugin Compromise in Active Supply Chain Attack
2024/06/24 SecurityOnline — 世界で最も人気の CMS である WordPress が、広範なサプライチェーン攻撃に遭遇するという、重大なセキュリティ脅威に直面している。WordPress.org の公式リポジトリで提供されている5種類の人気プラグインが侵害され、数千の Web サイトが危険にさらされる可能性があるという。この、Wordfence Threat Intelligence により発見された侵害は、Social Warfare plugin 注入された悪質なコードから始まっていた。同チームが調査を進めたところ、4種類プラグインにも同じコードが含まれていることが判明し、協調的かつ継続的な攻撃が行われていることが判明した。
Continue reading “WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた”Recent SolarWinds Serv-U Vulnerability Exploited in the Wild
2024/06/21 SecurityWeek — 脅威インテリジェンス企業 GreyNoise の報告によると、先日にパッチが適用された SolarWinds Serv-U の脆弱性に対する初めての悪用事例が観測され、公開済みの PoC エクスプロイト・コードを、脅威アクターたちが活用していることも確認されたという。脆弱性 CVE-2024-28995 は、ディレクトリ・トラバーサルの欠陥であり、その悪用に成功した攻撃者は、ホスト・マシン上の機密ファイルの読み取りが可能になるという。
Continue reading “SolarWinds Serv-U の脆弱性 CVE-2024-28995:PoC の公開後から多様な攻撃が始まる”Decade-Long Cyber Assault on Asian Telecoms Traced to Chinese State Hackers
2024/06/20 SecurityWeek — 長年にわたってアジア某国の通信会社が、中国のスパイ集団に帰属する悪意のツールの標的となっていることが、Symantec のレポートにより判明した。遅くとも 2021年以降から、通信事業者/通信事業者にサービスを提供する企業/大学などを標的とするキャンペーンが発生し、Coolclient/Quickheal/Rainyday などのカスタム・バックドアが使用されてきた。過去においても、このカスタム・バックドアは、中国に支援される既知の脅威アクターたちと関連付けられてきたが、その中には、10年以上も活動しているグループも含まれるという。
Continue reading “アジアの通信事業者への 10年にわたるサイバー攻撃:中国ハッカーの犯行と判明 – Symantec”New Rust-based Fickle Malware Uses PowerShell for UAC Bypass and Data Exfiltration
2024/06/20 TheHackerNews — Fickle Stealer という Rust ベースの新しい情報窃取マルウェアが、複数の攻撃チェーンを介して配信されて、侵害したホストから機密情報を採取している。Fortinet FortiGuard Labs によると、VBA ドロッパー/VBA ダウンローダー/リンク・ダウンローダー、実行型ファイル・ダウンローダーという4種類の配布形態が確認されており、その中には PowerShell スクリプトを使用して、ユーザー・アカウント制御 (UAC:User Account Control) をバイパスし、Fickle Stealer を実行するものもあるという。
Continue reading “Fickle Stealer という新たな情報スティーラー:PowerShell を介した UAC バイパスとデータ流出を達成”AWS Under Siege: Attackers Target Vaults, Buckets, and Secrets in Widespread Campaign
2024/06/19 SecurityOnline — Amazon Web Services (AWS) 環境を標的とするキャンペーンは、クラウド・リソースの侵害を目的とした活動の、新たな流れを浮き彫りにしている。この DataDog Security Labs が発見したキャンペーンにおいて、攻撃者が採用する多方面からのアプローチは、Secrets Manager/S3 Bucket からと、これまで未開拓であった S3 Glacier vaults からの、データの抽出と流出に焦点を当てたものとなっている。
Continue reading “AWS 環境を狙うキャンペーン:Secrets Manager/S3 Bucket に加えて Glacier vault も標的に”‘ONNX’ MFA Bypass Targets Microsoft 365 Accounts
2024/06/19 DarkReading — 高度に組織化された PhaaS (phishing-as-a-service operation) が、金融企業の Microsoft 365 アカウントを標的とし、2FA (two-factor authentication) バイパスや QR コードの悪用といった高度な回避技術を活用する、BEC (business email compromise) 攻撃を仕掛けていることが、研究者たちにより明らかになった。 6月18日のブログで EclecticIQ のセキュリティ・アナリストたちは、金融機関を標的とする広範なフィッシング・キャンペーンを、2024年2月の時点で発見したと述べている。標的となった組織には、アメリカ大陸/ヨーロッパ/中東/アフリカ (EMEA) 地域における、銀行/プライベート・ファンディング会社/信用組合のサービス・プロバイダーなどが含まれていたという。
Continue reading “ONNX という PhaaS と QR コード:Microsoft 365 アカウントに BEC 攻撃を展開”UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying
2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。
Continue reading “Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?”Fake Google Chrome errors trick you into running malicious PowerShell scripts
2024/06/17 BleepingComputer — Google Chrome/Microsoft Word/OneDrive のエラーを装い、ユーザーを騙してマルウェアをインストールさせるために、PowerShell の悪質な “修正プログラム” を実行させるという、新たなマルウェア配布キャンペーンが発生している。この新しいキャンペーンは、ClearFake や ClickFix と呼ばれる新しい攻撃クラスターを操る、複数の脅威アクターにより使用されていることが確認されている。また、大量のメールを送信してマルウェアやランサムウェアの感染を引き起こす、スパム配信者 TA571 にも使用されているようだ。
Continue reading “Google Chrome の偽エラー・トリックに要注意:巧みな誘導で悪意の PowerShell を実行”China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices
2024/06/17 TheHackerNews — 中国と密接な関係にあると疑われるサイバー・スパイが、約3年間という長期間にわたり、東アジアの無名の組織に対して攻撃を続けていたことが判明した。この脅威アクターは、F5 BIG-IP のレガシー・アプライアンスを悪用して永続性を確立し、内部 C&C (command-and-control) として使用することで、セキュリティを回避していた。2023年の後半に、この活動に対応したサイバー・セキュリティ企業 Sygnia は、Velvet Ant という名前で追跡した結果として、迅速な機動力と対処策に適応する強力な能力を有すると分析している。
Continue reading “F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia”Microsoft Admits Security Failings Allowed China to Access US Government Emails
2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。
Continue reading “Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言”YetiHunter: Open-source threat hunting tool for Snowflake environments
2024/06/14 HelpNetSecurity — Snowflake 環境における侵害の証拠を照会するために、ユーザー企業が利用できる脅威検出/ハンティング・ツール YetiHunter を、クラウド ID 保護企業の Permiso が作成した。クラウド・ベースのデータ・ストレージと分析の企業である Snowflake が、先日に発表したのは、攻撃者に侵害された認証情報が悪用され、同社の一部顧客のアカウントへの不正アクセスが発生していることだ。
Continue reading “Snowflake 侵害をトリアージ:YetiHunter という OSS ハンティング・ツールが登場”North Korean Hackers Exploit Old Office Flaw to Deploy Keylogger
2024/06/13 SecurityOnline — 北朝鮮の国家支援グループ Kimsuky により、新たなサイバー・スパイ・キャンペーンが実施されていることを、AhnLab Security Emergency response Center (ASEC) が公表した。このグループは、Microsoft Office の数式エディタに存在する、既知の脆弱性 CVE-2017-11882 を悪用して、高度なキーロガーを配信している。
Continue reading “MS Office の古い脆弱性 CVE-2017-11882 を悪用:北朝鮮の Kimsuky がキーロガーを配信”Phishing emails abuse Windows search protocol to push malicious scripts
2024/06/12 BleepingComputer — 新たに発見されたフィッシング・キャンペーンで用いられるのは、Windows 検索プロトコル (search-ms URI) を悪用する HTML 添付ファイルである。そこから、リモート・サーバにホストされているバッチ・ファイルがプッシュされ、最終的にはマルウェアの配信にいたるという。Windows Search プロトコルは URI (Uniform Resource Identifier) であり、アプリケーションが Windows エクスプローラを開き、特定のパラメータを介した検索を可能にするものだ。
Continue reading “Windows の検索プロトコルを悪用するフィッシング:ローカルとリモートの認識を混乱させる”Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw
2024/06/12 TheHackerNews — 先日に公開された Microsoft Windows Error Reporting Service の権限昇格の脆弱性を、Black Basta 由来と思われるランサム・アクターが、ゼロデイとして悪用した可能性があることが、Symantec の最新レポートにより判明した。Windows Error Reporting Service に存在する、権限昇格の脆弱性 CVE-2024-26169 (CVSS:7.8) の悪用に成功した攻撃者は、SYSTEM 権限を得ることが可能になる。なお、この脆弱性に対して Microsoft は、2024年3月の時点でパッチを適用している。
Continue reading “Windows Error Reporting Service の脆弱性 CVE-2024-26169:Black Basta が悪用?”Gitloker attacks abuse GitHub notifications to push malicious oAuth apps
2024/06/10 BleepingComputer — フィッシング攻撃を介して GitHub のセキュリティ/リクルート・チームになりすまし、悪意の OAuth アプリを用いてリポジトリを乗っ取り、侵害したリポジトリを消去すると脅すキャンペーンが現在進行中だという。遅くとも 2024年2月以降において、このキャンペーンで標的とされた数十人の開発者が、侵害された GitHub アカウントを用いて、ランダムなリポジトリの課題や、プルリクエストに追加されたスパム・コメントにタグ付けされた後に、”notifications@github.com” から偽の求人や警告のメールを受け取っているようだ。
Continue reading “GitHub のノーティフィケーションを介したフィッシング:悪意の oAuth アプリ・プッシュには要注意”Malicious VSCode extensions with millions of installs discovered
2024/06/09 BleepingComputer — Visual Studio Code マーケットプレイスの、セキュリティを調査していたイスラエルの研究者グループが、人気の公式テーマである “Dracula Official” のコピーに、実験として悪意のコードを取り込んだトロイの木馬により、100以上の組織を擬似的に感染させることに成功した。さらに、彼らが VSCode マーケットプレイスを調査したところ、数千もの悪意のエクステンションが、数百万もインストールされていることが判明した。
Continue reading “Microsoft VSCode 調査:数百万回もインストールされた悪意のエクステンションを発見!”New York Times source code stolen using exposed GitHub token
2024/06/08 BleepingComputer — The New York Times 内部のソースコードとデータが、同社の GitHub リポジトリから盗まれたのは 2024年1月のことだが、それらが 4chan 掲示板に流出した。New York Times から盗まれた 273GB のデータ含むアーカイブが、匿名のユーザーにより投稿されたの 6月6日 (木) のことであり、最初に発見したのは VX-Underground だった。
Continue reading “New York Times のソースコードが盗まれた:GitHub トークンの悪用からリポジトリ侵害にいたる”Muhstik Malware Exploits Apache RocketMQ Flaw: Thousands at Risk
2024/06/06 SecurityOnline — Apache RocketMQ のインストールを標的とする、Muhstik マルウェアのキャンペーンを、Aqua Nautilus のサイバーセキュリティ研究者たちが発見した。この新たな攻撃の波において、攻撃者は RocketMQ バージョン 5.1.0 以下の脆弱性 CVE-2023-33246 を悪用してリモートでコードを実行し、侵害されたシステムに悪名高い Muhstik マルウェアをダウンロードする。
Continue reading “Apache RocketMQ の脆弱性 CVE-2023-33246:Muhstik マルウェアの配布に悪用されている”Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI
2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている。
Continue reading “PyPI に新たな悪意のパッケージ :Crytic-Compiler を装い Lumma スティーラーを配布”Zerologon Vulnerability Strikes Again: RansomHub Exploits Legacy Flaw
2024/06/05 SecurityOnline — RansomHub と呼ばれる新たなランサムウェアが急速に台頭し、現時点におけるランサムウェア・グループの中で、最も積極的に活動するグループの1つとなっている。Symantec の Threat Hunter チームは、この RansomHub と、従来からの Knight ランサムウェアとの間に強い関連性があることを発見し、Knight のリブランディング/アップデート・バージョンが、RansomHub であると示唆している。
Continue reading “Zerologon の脆弱性 CVE-2020-1472:RansomHub ランサムウェアが狙っている”libaom Video Codec Library Exposed: Critical CVE-2024-5171 Vulnerability with CVSS 10
2024/06/05 SecurityOnline — OSS ビデオコーデック・ライブラリ libaom に、脆弱性 CVE-2024-5171 (CVSS :10)が発見された。このヒープバッファ・オーバーフローの悪用に成功した攻撃者は、影響を受けるシステムへの不正アクセスを引き起こし、リモート・コード実行へといたる可能性を手にする。
Continue reading “libaom Video Codec Library の深刻な脆弱性 CVE-2024-5171 (CVSS 10) が FIX:RCE の恐れ”CVE-2024-3584: Critical Path Traversal Flaw Exposes Qdrant Vector Database to Remote Takeover
2024/06/03 SecurityOnline — ニューラル・ネットワーク・ベースのマッチングや、セマンティック検索アプリケーションで広く使用されている、オープンソースのベンター類似検索エンジン Qdrant に、深刻な脆弱性 CVE-2024-3584 (CVSS:9.8) が発見された。
Continue reading “Qdrant の脆弱性 CVE-2024-3584 (CVSS 9.8) が FIX: PoC エクスプロイトも公開”Microsoft India’s X account hijacked in Roaring Kitty crypto scam
2024/06/03 BleepingComputer — 211,000 以上のフォロワーを持つ Microsoft India の X 公式アカウントが、暗号通貨詐欺グループに乗っ取られた。ハンドルネーム “Roaring Kitty” が装われたが、それは、悪名高いミーム株トレーダーである Keith Gill が使っていたものだ。Microsoft India の X アカウントは、同プラットフォームで公式に認証された組織としてゴールド・バッジを取得しているため、乗っ取り犯の投稿に信憑性が与えられてしまっている。この脅威アクターは、Gill の最近の復活に乗じて、潜在的な被害者を誘い出し、暗号通貨ウォレット流出マルウェアに感染させている。
Continue reading “Microsoft India の X アカウント乗っ取り:暗号通貨詐欺に悪用される”Over 600,000 SOHO Routers Were Destroyed By Chalubo Malware In 72 Hours
2024/05/31 SecurityAffairs — Chalubo マルウェアが、2023年10月25日〜10月27日の間にわたって、同じ ISP に属する 600,000 台以上の SOHO (small office/home office) ルーターを破壊していたことが、Lumen の Black Lotus Labs の研究により判明した。Black Lotus Labs は、影響を受けた ISP の名前を挙げていない。しかし Bleeping Computer の推測は、同時期に発生した Windstream の障害に、この攻撃が関連しているというものだ。Chalubo (ChaCha-Lua-bot) は Linux マルウェアであり、IoT デバイスに DDoS 攻撃を仕掛けるためのボットネットとして使用されていた状況を、2018年8月下旬に Sophos Labs が検知していた。
Continue reading “Chalubo マルウェア:600,000 台以上の SOHO ルーターを破壊していた – Lumen”Critical WordPress Plugin Flaws Exploited to Inject Malicious Scripts and Backdoors
2024/05/30 SecurityWeek — Fastly からの警告によると、3つの WordPress プラグインの脆弱性が悪用され、悪意のスクリプトやバックドアが Web サイトに注入されている。これらの脆弱性には、認証を必要としない蓄積型クロス・サイト・スクリプティング (XSS) 攻撃の実行で、悪用される可能性があるという。具体的に言うと、攻撃者は新しい WordPress 管理者アカウントを作成し、プラグインやテーマのファイルに PHP バックドアを注入し、感染させたターゲットを監視するための、追跡スクリプトを設定できる。
Continue reading “WordPress プラグインを悪用するキャンペーン:スクリプトやバックドアを Web サイトに注入”New PyPI Malware “Pytoileur” Steals Crypto and Evades Detection
2024/05/29 InfoSecurity — Python Package Index (PyPI) 上に、悪意のパッケージ pytoileur が存在していたことが、サイバーセキュリティ研究者たちにより明らかになった。その、Python で書かれた API 管理ツールと謳うパッケージには、トロイの木馬化された Windows バイナリを、ダウンロードしてインストールするコードが仕込まれていた。それらのバイナリは、監視の機能/永続化の確立/暗号通貨の窃取などを可能にするおのであり、ダウンローダーとして機能するパッケージは、Sonatype の自動マルウェア検出システムにより発見された後に、ただちに削除された。
Continue reading “PyPI の新たな悪意のパッケージ Pytoileur:巧妙な手口で検知を回避”Okta warns of credential stuffing attacks targeting its CORS feature
2024/05/29 BleepingComputer — Okta は、Customer Identity Cloud (CIC) 機能がクレデンシャル・スタッフィング攻撃の標的となり、4月以降において多数の顧客が狙われていると警告している。Okta は ID/Access 管理の大手企業であり、アプリ/Web サイト/デバイスへの安全なアクセスのための、クラウド・ベースのソリューションを提供している。さらに同社は、SSO (single sign-on)/多要素認証 (MFA:multi-factor authentication) /ユニバーサル・ディレクトリ/API アクセス管理/ライフサイクル管理なども提供している。
Continue reading “Okta 警告:CORS 機能を狙ったクレデンシャル・スタッフィング攻撃が展開されている”Over 90 malicious Android apps with 5.5M installs found on Google Play
2024/05/28 BleepingComputer — 90種類以上の悪意の Android アプリが、Google Play から 55,000,000 回以上もインストールされ、マルウェアやアドウェアを配信していることが判明した。バンキング型トロイの木馬 Anatsa (別名:Teabot) は、ヨーロッパ/米国/英国/アジアなどの金融機関の、650 種類以上のアプリケーションを標的としている。このトロイの木馬は、人々のeバンキングの認証情報を盗み出し、不正な取引を実行しようとするものだ。
Continue reading “Google Play の悪意の Android アプリ 90種類:550 万以上もインストールされる”WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites
2024/05/28 TheHackerNews — WordPress の Code Snippet という、あまり知られていないプラグインを悪用して、標的サイトに悪意の PHP コードを挿入することで、クレジットカード情報を窃取するという攻撃が発生している。このキャンペーンは、2024年5月11日に Sucuri により発見されたものであり、ユーザーによるカスタム PHP コードの追加を可能にする、Dessky Snippets という WordPress プラグインを悪用するものだ。なお、このプラグイン は、200 件以上インストールされている。
Continue reading “WordPress Dessky Snippets Plugin:クレジットカード情報の窃取に悪用されている – Sucuri”MITRE December 2023 Attack: Threat Actors Created Rogue VMS To Evade Detection
2024/05/25 SecurityAffairs — MITRE Corporation は、昨年末に発生した攻撃に関するアップデート情報を公開した。MITRE は、研究/試作ネットワークの1つにセキュリティ侵害があったことを、2024年4月に明らかにしている。同組織のセキュリティ・チームは速やかに調査を開始し、脅威アクターをログアウトさせ、サードパーティの DFIR (Forensics and Incident Response) チームに依頼し、社内の専門家たちと共同で独自の分析を実施した。
Continue reading “MITRE が公表した 2024年1月の攻撃:不正な VMS を用いて検知を回避”Cybercriminals Exploit Cloud Storage For SMS Phishing Scams
2024/05/23 InfoSecurity — Amazon S3/Google Cloud Storage/Backblaze B2/IBM Cloud Object Storage などの、クラウド・ストレージ・サービスを悪用する一連の犯罪キャンペーンを、セキュリティ研究者たちが明らかにした。このキャンペーンは、無名の脅威アクターにより実施されるものであり、ユーザーを悪意の Web サイトへとリダイレクトし、SMS メッセージを用いて情報を盗み出すことを目的としている。
Continue reading “Cloud と SMS でフィッシング:AWS/Google/IBM などのクラウド・ストレージの悪用”Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern
2024/05/23 TheHackerNews — VMware ESXi インフラを標的とするランサムウェア攻撃は、展開されたファイル暗号化マルウェアに関係なく、確立されたパターンに従って実行されている。サイバー・セキュリティ企業 Sygnia のレポートには、「ユーザー組織において、IT インフラの中核的なコンポーネントである仮想化プラットフォームは、ミスコンフィグや脆弱性が生じることが多い。そのため、脅威アクターにとって格好の、きわめて効果的なターゲットになっている」と記されている。
Continue reading “VMware ESXi の脆弱性を悪用したランサムウェア攻撃が深刻化している – Sygnia”CVE-2024-31989: Critical Argo CD Flaw Exposes Kubernetes Clusters to Takeover
2024/05/22 SecurityOnline — Kubernetes 用の GitOps Continuous Delivery ツールとして人気の Argo CD だが、Kubernetes クラスタ制御の掌握を攻撃者に許す可能性のある、深刻なセキュリティ脆弱性 CVE-2024-31989 (CVSS:9.1) を公開した。この欠陥は、セキュリティ対策が不十分な Redis キャッシュの使用に起因しており、機密データへの不正なアクセス/操作の可能性が生じるという。
Continue reading “Argo CD の深刻な脆弱性 CVE-2024-31989 が FIX:Kubernetes クラスタの乗っ取りにいたる?”Critical GitHub Enterprise Server Flaw Allows Authentication Bypass
2024/05/21 TheHackerNews — GitHub Enterprise Server (GHES) に存在する、きわめて深刻な脆弱性を悪用する攻撃者により、認証保護のバイパスが生じる可能性があるとして、GitHub は修正プログラムを配布している。この脆弱性 CVE-2024-4985 (CVSS:10.0) は、事前の認証を必要とせずに、インスタンスへの不正アクセスを許してしまう可能性を持つものだ。
Continue reading “GitHub Enterprise の深刻な脆弱性 CVE-2024-4985 (CVSS:10.0) が FIX:SAML SSO の利用に注意!”Experts Released Poc Exploit Code For Rce In QNAP QTS
2024/05/21 SecurityAffairs — QNAP QTS に存在する 15件の脆弱性が、WatchTowr Labs により発見されたが、その大半は未修正であるという。最も深刻な脆弱性 CVE-2024-27130 は、”share.cgi” の “No_Support_ACL” 関数におけるスタック・オーバーフローの欠陥である。この脆弱性の悪用に成功した未認証の攻撃者は、特定の条件下でリモート・コード実行を可能にする。
Continue reading “QNAP QTS の深刻な脆弱性 CVE-2024-27130:Poc エクスプロイトがリリースされる”Researchers Detail Code Execution Vulnerability in Popular PDF Viewer, PDF.js
2024/05/21 SecurityOnline — Mozilla が管理する JavaScript ベースの PDF ビュワーとして広く利用されている PDF.js に、深刻度の高い脆弱性 CVE-2024-4367 が存在することが発見されている。そして、この CVE-2024-4367 に対する、技術的詳細と PoC エクスプロイト・コードが、Codean Labs のセキュリティ研究者たちにより公開された。この脆弱性の悪用に成功した攻撃者は、悪意の PDF ファイルが開かれた際に、任意の JavaScript コードを実行できる。この欠陥は、Firefox バージョン 126 未満を実行している全 Firefox ユーザーと、プレビュー機能に PDF.js を利用する、数多くの Web/Electron ベース・アプリに影響を及ぼす。
Continue reading “PDF.js の深刻な RCE 脆弱性 CVE-2024-4367:PoC エクスプロイトが提供”Log4j Campaign Exploited to Deploy XMRig Cryptominer
2023/05/17 SecurityOnline — 大規模かつ継続的な悪名高い Log4j キャンペーンの活動を、Uptycs Threat Research Team が発見した。当初はハニーポット・コレクション内で検出されたが、このダイナミックなキャンペーンの複雑さを解明するために、Uptycs が詳細な分析を直ちに開始した。
Continue reading “Log4j の大規模かつ継続的なキャンペーン:XMRig などの多様なマルウェアを配信”Threat Actors Abuse GitHub to Distribute Multiple Information Stealers
2024/05/15 SecurityWeek — 5月13日 (火) に脅威インテリジェンス企業 Recorded Future は、正規の GitHub プロフィールを悪用して情報窃取マルウェアを配布する、悪質なキャンペーンに対して警鐘を鳴らした。このキャンペーンの一環として、Commonwealth of Independent States (CIS) で活動するロシア語圏の脅威アクターたちが、1Password/Bartender 5/Pixelmator Proなどの正規アプリケーションを装いながら、Atomic macOS Stealer (AMOS)/Vidar/Lumma/Octo などのマルウェアを配布している。
Continue reading “GitHub とマルウェア群:共通のインフラから AMOS/Vidar/Lumma/Octo などで侵害”Ebury Botnet Malware Compromises 400,000 Linux Servers Over Past 14 Years
2024/05/15 TheHackerNews — Eburyと呼ばれるボットネット・マルウェアは、2009年以降において 40万台の Linux サーバを危険にさらしており、そのうち10万台以上が、2023年の時点でも危険な状況にあると推定されている。この調査結果は、スロバキアのサイバーセキュリティ企業 ESET によるものである。同社は、このマルウェアについて、金銭的な利益を目的とした最も高度なサーバ・サイド・マルウェア・キャンペーンの1つだとしている。
Continue reading “Ebury ボットネットの脅威:14年をかけて 40万台の Linux サーバを侵害”CVE-2023-52424: New WiFi Flaw Leaves All Devices Vulnerable to ‘SSID Confusion’ Attacks
2024/05/14 SecurityOnline — 先日に発見された WiFi スタンダードにおける脆弱性により、攻撃者がユーザーを欺き、安全ではないネットワークに接続させるという、深刻なセキュリティ・リスクが明らかになった。脆弱性 CVE-2023-52424 を悪用する、SSID Confusion Attack と名付けられた攻撃手法は、セキュリティ研究者である Mathy Vanhoef と Top10VPN が共同で発見したものだ。この発見は、ソウルで開催される WiSec ’24 カンファレンスで発表される予定である。
Continue reading “IEEE 802.11 の脆弱性 CVE-2023-52424:SSID Confusion Attack が成立する?”Microsoft fixes Windows zero-day exploited in QakBot malware attacks
2024/05/14 BleepingComputer — Microsoft が修正したゼロデイ脆弱性は、影響を受ける Windows システム上で、 QakBot などのマルウェア・ペイロードを配信する攻撃で、悪用される可能性のあるものだ。この特権昇格の脆弱性 CVE-2024-30051 は、DWM (Desktop Window Manager) コア・ライブラリのヒープバッファ・オーバーフローが起因するものであり、悪用に成功した攻撃者に、SYSTEM 権限の取得を許すものである。
Continue reading “Microsoft が FIX した脆弱性 CVE-2024-30051:QakBot のマルウェア配信で悪用”Botnet sent millions of emails in LockBit Black ransomware campaign
2024/05/13 BleepingComputer — 2024年4月以降において、大規模な LockBit Black ランサムウェア・キャンペーンを実施するために、Phorpiex ボットネットを介して数百万通のフィッシング・メールが送信されているという。5月10日 (金) に、ニュージャージー州の Cybersecurity and Communications Integration Cell (NJCCIC) が警告したように、この攻撃者が使用しているのは、起動すると受信者のシステムを暗号化する LockBit Black ペイロードを展開するための、実行ファイルを取り込んだ ZIP 添付ファイルである。
Continue reading “LockBit Black の大規模キャンペーン:Phorpiex ボットネットから大量のフィッシング・メール”Security Vulnerability: Researcher Finds FIDO2 Open to Session Hijacking
2024/05/12 SecurityOnline — パスワードレスのスタンダードとも言える FIDO2 は、フィッシングや中間者 (MiTM) 攻撃からの保護のために設計された認証規格であるが、Silverfort のセキュリティ研究者である Dor Segal の新たな研究により、深刻な脆弱性が存在することが明らかになった。FIDO2 のセキュリティ機能は強力だが、認証セッションは依然として、MiTM 攻撃により乗っ取られる可能性があり、機密性の高いユーザー・データを暴露し、アカウントを危険にさらす、可能性が潜むことが示唆される。
Continue reading “FIDO2 が及ばない領域:MiTM 攻撃による認証セッション窃取は防げない”Mirai Botnet Exploits Ivanti Vulnerabilities (CVE-2023-46805 & CVE-2024-21887)
2024/05/07 SecurityOnline — Ivanti Connect Secure (ICS) および Ivanti Policy Secure Gateway を標的とする攻撃の、きわめて危険なエスカレーションを、Juniper Threat Labs のセキュリティ研究者たちが発見した。この2つの脆弱性 CVE-2023-46805 (認証バイパス)/CVE-2024-21887 (リモートコード実行) を武器化する攻撃者たちは、悪名高い Mirai ボットネット・マルウェアを拡散している。この強力な組み合わせは、広範なネットワークにおける侵害と混乱への扉を開く。
Continue reading “Mirai ボットネットが Ivanti を悪用:脆弱性 CVE-2023-46805/21887 の連鎖に要注意”MITRE Attributes The Recent Attack To China-Linked UNC5221
2024/05/07 SecurityAffairs — MITRE が共有したのは、先日の攻撃に関連する攻撃者/マルウェア/タイムラインなどの、ハッキングの詳細情報である。2024年4月に MITRE は、同社の研究/試作ネットワークの1つに、セキュリティ侵害があったことを公表した。同組織のセキュリティ・チームは直ちに調査を開始し、脅威行アクターをログアウトさせ、サードパーティのフォレンジック・インシデント対応チームと社内の専門家を協力させ、独自の分析を実施した。
Continue reading “MITRE への侵害:中国由来の APT UNC5221 の侵害の手法とマルウェアを分析する”#RSAC: Log4J Still Among Top Exploited Vulnerabilities, Cato Finds
2024/05/07 InfoSecurity — Log4J の脆弱性 CVE-2021-44228 だが、発見から3年が経過した現在においても、最も悪用されるエクスプロイトの1つであることが、クラウド・セキュリティ・プロバイダーである Cato Networks の観測から判明している。Cato Cyber Threat Research Labs (CTRL) は、RSA Conference 2024 の会期中の 5月6日に、SASE Threat Report for Q1 2024 レポートを発表した。
Continue reading “Log4J の脆弱性 CVE-2021-44228:依然として悪用トラフィックは最大級 – Cato”Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft
2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的/効果的であるということに気づき始めている。独自のインフラを構築/維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。
Continue reading “Microsoft Graph API :C2 インフラ構築のための悪用が増加している”CVE-2024-33530: Jitsi Meet Flaw Leaks Meeting Passwords, Exposing Calls to Intruders
2024/05/02 SecurityOnline — 人気の OSS ビデオ会議プラットフォーム Jitsi Meet に、深刻な脆弱性が存在することが、Insinuator のセキュリティ研究者である Florian Port により発見された。この脆弱性 CVE-2024-33530 の悪用に成功した攻撃者は、権限なしで会議のパスワードを取得し、セキュリティを回避してプライベートな会議への参加が可能になる。
Continue reading “Jitsi Meet の脆弱性 CVE-2024-33530 が FIX:攻撃者に通話が傍受されるおそれ”
IoT OT Security News 
You must be logged in to post a comment.