Russia’s APT29 Targets Embassies With Ngrok and WinRAR Exploit
2023/11/20 InfoSecurity — ウクライナのセキュリティ研究者たちは、ロシアの大規模な新しいサイバースパイ・キャンペーンを明らかにした。このキャンペーンは、アゼルバイジャンの軍事戦略に関する情報を収集するために設計された可能性があると、彼らは主張している。ウクライナの NDSC (National Security and Defense Council) の新しい報告書によると、この攻撃の背後には APT29 がいたという。同グループは、Cozy Bear/Nobelium などの呼び名でも知られている。
Continue reading “ロシアの APT29:WinRAR の脆弱性 CVE-2023-38831 を悪用したキャンペーンを展開”Palo Alto Reveals New Features in Russian APT Turla’s Kazuar Backdoor
2023/11/01 InfoSecurity — Palo Alto Networks によると、Kazuar バックドアの最新バージョンは、これまで想像されていた以上に狡猾な可能性があるという。Kazuar バックドアとは、ロシアのハッキング・グループ Turla により、2023年7月にウクライナの防衛セクターを標的に使用されたものだと、ウクライナの CERT-UA (Ukrainian Computer Emergency and Response Team) が報告している。Palo Alto Unit 42 の研究者たちは、Kazuarの最新の亜種である .NET バックドアにおいて、これまで文書化されていなかった機能を発見した。
Continue reading “Turla の Kazuar バックドア:新たな機能群を Palo Alto Unit 42 が分析”Gaza Conflict Paves Way for Pro-Hamas Information Operations
2023/10/14 DarkReading — 研究者たちは、イスラエルとハマスの紛争に端を発した、国家による情報工作を警戒しているが、今のところ大きな動きは見られない。しかし、多数のハクティビストやスパイ活動家たちが、この争いに参入すれば、それも一変する可能性がある。
Continue reading “イスラエルとハマス:紛争における情報工作キャンペーンを Mandiant が解説”Hackers use open source Merlin post-exploitation toolkit in attacks
2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト/C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。
Continue reading “オープンソースの Merlin ツールキット:国家組織に対する攻撃に悪用される”Ransomware Attacks Skyrocket in Q2 2023
2023/07/26 InfoSecurity — 2023 Q2 と Q1 の比較において、ランサムウェア攻撃が 74% も急増したことが、最新のレポートで明らかになった。2023 SonicWall Mid-Year Cyber Threat Report では、2023年に入ってからのランサムウェア攻撃件数について、2つの非常に不均衡な現象が観測された。SonicWall Capture Labs の研究者たちは、2023 Q1 に 5,120万件の攻撃を観測しているが、これは 2019 Q4 以降で最小の件数だった。しかし、Q2 にはランサムウェアが復活し、8,890万件の攻撃が確認され、Q1 から 74%の急増となった。
Continue reading “2023 Q1/Q2 比較でランサムウェア攻撃が 74% の急増 – SonicWall”Microsoft: Hackers turn Exchange servers into malware control centers
3023/07/19 BleepingComputer — Microsoft と Ukraine CERT (CERT-UA) は、ロシア政府に支援されたハッキング・グループ Turla による新たな攻撃について警告している。この新たな “DeliveryCheck” マルウェアは、バックドアを用いて防衛産業と Microsoft Exchange サーバを標的としている。Turla (別名 Secret Blizzard/KRYPTON/UAC-0003) とは、ロシア連邦保安庁 (FSB) につながる、高度持続的脅威行為者 (APT) だと考えられている。このサイバー・スパイは、Operation MEDUSA という名の国際的な法執行活動により破壊された、サイバー・スパイ・マルウェア・ボットネット Snake を含め、長年にわたる欧米への攻撃に関与してきた。
Continue reading “Exchange サーバを C2 サーバとして悪用:Turla の DeliveryCheck マルウェアに注意”RomCom Group Targets Ukraine Supporters Ahead of NATO Summit
2023/07/10 InfoSecurity — NATO 首脳会議が開催される数日前に、ウクライナを支援する組織や個人を狙う標的型サイバー・キャンペーンが、RomCom により開始されたと報じられている。BlackBerry Threat, Research and Intelligence チームは、この巧妙な作戦を発見し、本日の未明に発表されたアドバイザリで説明している。同チームによると、7月4日に RomCom グループがオトリとして使用した、2つの偽装文書を発見したとのことだ。
Continue reading “NATO 首脳会議を標的にした攻撃:RomCom によるマルウェア配布が確認された”Microsoft Outs New Russian APT Linked to Wiper Attacks in Ukraine
2023/06/14 SecurityWeek — Microsoft のセキュリティ研究者たちは、ロシアの General Staff Main Intelligence Directorate (GRU) に関連する新たな APT グループの情報を公表し、この脅威アクターがウクライナの組織へ向けた破壊的なワイパー・マルウェア攻撃に取り組んでいることを警告している。同社の脅威情報チームが発表した新しいレポートでは、このグループは Cadet Blizzard と名付けられ、戦時環境におけるマルウェアの範囲と使用方法を明確にするための、兆候と証拠が記録されている。
Continue reading “Microsoft が警告するロシアの APT:ワイパー攻撃における WhisperGate と Cadet Blizzard の関連性”Arms maker Rheinmetall confirms BlackBasta ransomware attack
2023/05/23 BleepingComputer — ドイツの自動車/兵器メーカーである Rheinmetall AG が公表したのは、BlackBasta ランサムウェア攻撃を受け、民需ビジネスに影響が及んだことだ。 Rheinmetall は、自動車/軍用車/兵器/防空システム/エンジン/各種鉄鋼製品などを製造するドイツのメーカーであり、従業員数は 25,000人以上、$7 billion 以上の年間売上高を有している。
Continue reading “ドイツの兵器メーカー Rheinmetall にランサムウェア攻撃:BlackBasta が犯行を主張”CommonMagic Malware Implants Linked to New CloudWizard Framework
2023/05/19 InfoSecurity — CommonMagic マルウェア・インプラントは、ロシアーウクライナ紛争に関連する未知の APT キャンペーンで採用されており、新しいモジュラー・フレームワークを用いるものだ。そして、関連が疑われる CloudWizard という名のフレームワークが、Kaspersky のセキュリティ研究者により発見され、今日のアドバイザリで説明されている。
Continue reading “CloudWizard という APT フレームワーク:CommonMagic マルウェアと多数の共通点”Cisco warns of critical switch bugs with public exploit code
2023/05/17 BleepingComputer — Cisco は 5月17日に、複数の Small Business Series Switches に影響を及ぼす4つの深刻なリモート・コード実行の脆弱性について、顧客に警告した。これらのセキュリティ脆弱性は、エクスプロイト・コードが公開されており、深刻度は CVSS スコア 9.8 と、ほぼ最大の評価を受けている。この脆弱性の悪用に成功した攻撃者は、侵害したデバイス上で認証を必要とすることなく、root 権限で任意のコードを実行できる。
Continue reading “Cisco Small Business Switches の RCE 脆弱性 CVE-2023-20159 などが FIX:直ちにパッチ適用を!”Kaspersky Analyzes Links Between Russian State-Sponsored APTs
2023/04/25 SecurityWeek — ロシアと連携する ATP (Advanced Persistent Threat) 脅威アクター Tomiris と Turla の両者は、最小限レベルで協調しているようだ。この情報は、ロシアのサイバー・セキュリティ企業 Kaspersky からのものだ。Snake/Venomous Bear/Krypton/Waterbug としても追跡される Turla は、2006 年から ComRAT マルウェアに関与し、ロシア政府との関係があると考えられている。その一方で Tomiris は、比較的に新しいハッキング・グループであり、2021年に詳細が発表され、現在も活動を続けている。同グループは、主に CIS (Commonwealth of Independent States) 諸国の政府や外交機関をターゲットに、情報収集のために活動している。
Continue reading “ロシア国家支援の APT グループ Tomiris/Turla の関連性を掘り下げる – Kaspersky”Google: Ukraine targeted by 60% of Russian phishing attacks in 2023
2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視/妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。
Continue reading “ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査”HTTP/S DDoS Attacks Soar 487% in Three Years
2023/04/04 InfoSecurity — Netscout によると、HTTP/HTTPS の Web サイトを標的としたアプリケーション層の DDoS (Distributed Denial of Service) 攻撃の量は、Killnet などにより、2019年から2022年にかけて 487% も急増したという。セキュリティ・ベンダーである Netscout の 2022 H2 レポート “DDoS Threat Intelligence Report” は、93カ国と世界のインターネット・トラフィックの 50%以上をカバーする、同社の ATLAS ネットワークが収集したデータを基に作成されたものだ。2019年以降に、Web サイトへの攻撃が最も急増したのは 2022年下半期で、親ロシア・ハクティビストの活動による影響が大きい。
Continue reading “HTTP/S DDoS 攻撃が3年間で 487%急増:ウクライナをめぐるサイバー戦争が激化”CISA warns of Zimbra bug exploited in attacks against NATO countries
2023/04/03 BleepingComputer — CISA が連邦政府機関に要請したのは、NATO 諸国を標的とした攻撃でロシアのハッカーが Eメールを盗むために悪用した、Zimbra Collaboration (ZCS) に存在する XSS (Cross-Site Scripting) の脆弱性の修正である。NATO に加盟する複数の政府のポータルへの攻撃で、Winter Vivern および TA473 として追跡されているロシアのハッキング・グループが、この脆弱性 CVE-2022-27926 を悪用して、当局/政府/軍人/外交官などのメール・ボックスに不正アクセスしていたという。
Continue reading “CISA KEV 警告 23/04/03:Zimbra の脆弱性が NATO 諸国への攻撃で悪用”Trojanized Tor browsers target Russians with crypto-stealing malware
2023/03/28 BleepingComputer — トロイの木馬化した Tor Browser のインストーラーが急増し、ロシアや東欧のユーザーをターゲットにして、感染したユーザーの暗号通貨取引を盗むクリップボード・ハイジャック・マルウェアを仕掛けている。Kaspersky のアナリストたちは、この攻撃は新しくもなく、特に独創的でもないが、依然として効果が高く、世界中の多くのユーザーへの感染が蔓延していると警告している。Kaspersky によると、これらの悪意の Tor インストーラーは世界中の国々をターゲットにしているが、主な標的はロシアと東欧とのことだ。
Continue reading “Tor Browser のトロイの木馬 :ロシア/東欧のユーザーを標的にしている”Hackers use new PowerMagic and CommonMagic malware to steal data
2023/03/21 BleepingComputer — セキュリティ研究者たちが発見したのは、CommonMagic と呼ばれる “かつてない悪意のフレームワーク” と、PowerMagic と呼ばれる新しいバックドアを使用した、先進的な脅威アクターによる攻撃だ。これらのマルウェアは、2021年9月ころから現在まで続くオペレーションで使用され、行政/農業/輸送分野の組織をスパイ目的で狙っている。
Continue reading “PowerMagic/CommonMagic というマルウェア:新たなバックドアと悪意のフレームワーク”Russian Invasion Sparks Global Wiper Malware Surge
2023/02/23 InfoSecurity — セキュリティ・ベンダーの Fortinet によると、ウクライナ戦争により破壊的なマルウェアの新しい波が世界中に押し寄せており、それをサービスとして提供する、サイバー犯罪グループが増えているという。昨年にロシア軍が利用したワイパー・マルウェアだが、昨年にウクライナ国境を越えて急速に拡大し、その活動量は 2022 Q3 と Q4 の比較において 53% 増になると、同社は指摘している。
Continue reading “ワイパー・マルウェアが急増:ウクライナ侵攻により世界中で蔓延し始める”Putin Speech Interrupted by DDoS Attack
2023/02/21 InfoSecurity — Reuters の報道によると、2月21日 (火) のプーチン大統領による演説を放送していた複数の Web サイトがダウンしたが、分散型サービス妨害 (DDoS) 攻撃の疑いがあるという。この演説の間、複数の場所にいたジャーナリストたちは、All-Russia State Television and Radio Broadcasting Company (VGTRK) の Web サイトや、Smotrim のライブ・ストリーミング・プラットフォームにアクセスできない時間帯があったとのことだ。それぞれが表示したエラー・メッセージは、”技術的な作業が行われている” と “単にロードされなかっただけ” というものだった。
Continue reading “プーチン大統領の演説を DDoS で妨害:ウクライナ IT Army の仕業か?”Google Report Reveals Russia’s Elaborate Cyber Strategy in Ukraine
2023/02/17 InfoSecurity — ロシアが支援するサイバー攻撃は、2020年と 2022年の比較において、ウクライナを標的としたものは 250% の、NATO 諸国を標的としたものは 300% の増加となった。このデータを提供しているのは、2月16日に公開された Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape という、Google Trust & Safety と Mandiant (現在は Google Cloud の一部) の共同レポートであり、Google Threat Analysis Group (TAG) による調査の結果の1つである。同レポートで Google が明らかにしているのは、サイバー・スペースで決定的な戦時的優位を得ようとする、ロシアの積極的かつ多面的な戦略が、2019年にまでさかのぼる可能性である。
Continue reading “ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する”Experts published a list of proxy IPs used by the pro-Russia group Killnet
2023/02/09 SecurityAffairs — 親ロシア派グループ Killnet の運営を妨害し、その攻撃をブロックするために、SecurityScorecard の研究者たちが Killnet のプロキシ IP リストを公開した。彼らは、「ユーザー組織の保護を強化するために、Killnet DDoS ボットのブロックに役立つ、プロキシ IP リストを公開した」と述べている。Killnet は 2022年3月から活動しているグループであり、ウクライナ支援を表明したイタリア/ルーマニア/モルドバ/チェコ/リトアニア/ノルウェー/ラトビアなどの、政府や重要インフラに対して DDoS 攻撃を仕掛け続けている。
Continue reading “Killnet の Proxy IP リストを公開:ブラックリスト化してロシアからの攻撃に備える”An unfaithful employee leaked Yandex source code repositories
2023/01/26 SecurityAffairs — 不正な Yandex git ソースへのマグネット・リンクが含まれたアナウンスメントが、BreachForums に公開された。この投稿の背後にいる脅威アクターは、2022年7月に 44.7GB のファイルを入手したと主張しており、すべてのファイルの日付は 2022年2月24日 (ロシアのウクライナ侵攻の日) にまでさかのぼる。脅威アクターの主張は、このソースコード・リポジトリには、アンチ・スパム・ルールを除くソースコードが含まれているというものだ。
Continue reading “Yandex のソースコードが漏洩:元従業員が BreachForums に 44.7GB のファイルを公開”Russia’s largest ISP says 2022 broke all DDoS attack records
2023/01/23 BleepingComputer — ロシア最大の ISP (internet service provider) である Rostelecom によると、同国内の組織を標的とした分散型サービス拒否攻撃 (DDoS) が、2022年に最悪の記録を樹立したという。DDoS 攻撃とは、インターネットに接続された Web サイトやサービスに対して、大量のリクエストを送信することで、新しい接続を受け入れるサーバの能力を枯渇させ、サービスを応答不能にすることを目的としたサイバー攻撃である。ウクライナとロシアの紛争の両側で、それぞれのハクティビストたちが、進行中の戦争に関連する行動や報復として、重要なサービスを妨害するために DDoS 攻撃を使用している。
Continue reading “DDoS 攻撃によるロシア側の被害:最大手 ISP の Rostelecom が語る惨状”Russia’s Ukraine War Drives 62% Slump in Stolen Cards
2023/01/17 InfoSecurity — Recorded Futureによると、2022年初頭に始まったロシアのウクライナ侵攻により、ダークウェブに公開されるペイメントカードの盗難記録が大きく減少したようだ。同社の Insikt Group 部門は、サイバー犯罪の地下組織から得た詳細な脅威情報を分析し、Annual Payment Fraud Report : 2022 をまとめ上げた。それによると、2022年にダークウェブのカードショップに記録されている、正規には存在しないカードは前年比 24% 減の 4560万件に、また、正規に存在するカードは 62%減の 1380万件になると報告されている。
Continue reading “クレジットカード犯罪が 62% 減:ウクライナ戦争に影響されるダークウェブ市場”Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors
2023/01/08 TheHackerNews — ロシアのサイバー・スパイグループ Turla が、10年前のマルウェアの攻撃インフラを利用して、ウクライナのターゲットに、独自の偵察ツールやバックドア・ツールを配布していることが確認された。Google 傘下の Mandiant は、この活動を UNC4210 という未分類のクラスタ名で追跡しており、乗っ取られたサーバを調査したところ、2013年に VirusTotal にアップロードされた ANDROMEDA (別名 Gamarue) というマルウェアの亜種に該当したと述べている。
Continue reading “Turla APT の奇妙な動き:10年前のマルウェア・インフラからバックドアを展開”Geopolitical Tensions Expected to Further Impact Cybersecurity in 2023
2022/12/29 InfoSecurity — 地政学は 2023年においても、組織のサイバー・セキュリティとセキュリティ態勢に影響を与え続けるだろう。2022年2月に、ロシアによるウクライナ侵攻の動きが始まったとき、世界的な紛争がサイバー・セキュリティに与える影響力がクローズアップされた。 それに伴い、ウクライナと西側同盟国が認識したことは、多額のロシア制裁に対する報復として、重要な国家インフラ (CNI : Critical National Infrastructure) へのサイバー攻撃の脅威が生じることだった。しかし、多くのサイバー・セキュリティ専門家が、2023年に向けて考えているのは、地政学的な問題である。
Continue reading “2023年の地政学を占う:国家に支援される脅威アクターは何を仕掛けてくる?”Russia’s VTB Bank Suffers its Biggest Ever DDoS
2022/12/07 InfoSecurity — ロシア第2位の銀行が、親ウクライナのハクティビストが仕掛けていると思われる、史上最大の DDoS 攻撃と戦っていることを認めた。同行は、システムは正常に稼働しており、顧客データは安全であると強調したが、一時的にアプリや Web サイトが機能停止に陥っていると指摘する Reuters レポートもある。
Continue reading “ロシアの VTB 銀行で史上最大の DDoS:自国の IP アドレスからも攻撃”Russian Hackers Use Western Networks to Attack Ukraine
2022/12/06 InfoSecurity — 英国/米国などの組織において、そのネットワークへのアクセスを不正に維持しているロシアン・ハッカーたちが、ウクライナに対して攻撃を仕掛けていることが、Lupovis の最新レポートで明らかにされたな。スコットランドのセキュリティ企業である Lupovis は、ロシアの脅威アクターをおびき寄せるために Web 上にルアーを展開し、その TTP (Tactics, Techniques and Procedures) の研究で成果をあげた。
Continue reading “ロシアン・ハッカーを釣ってみた:ウクライナと NATO への攻撃体制が浮き彫りに”NATO Launches Massive Cyber-Defense Exercise
2022/12/02 InfoSecurity — 今週に NATO は、加盟国間のサイバー耐性強化を目的とする、Cyber Coalition 22 演習を開始した。この軍事同盟には、加盟国26カ国に加え、フィンランド/スウェーデン/ジョージア/アイルランド/スイス/日本/EU から 1000人の防衛担当者が集まり、産業界や学術界からも参加者が集まった。5日間にわたる演習は、電力網や NATO の資産に対するサイバー攻撃といった、現実的な課題を参加者に与え、ネットワークを守り、サイバースペースでの協力能力を強化することを目的にしているとのことだ。
Continue reading “NATO の大規模サイバー演習:Cyber Coalition 22 の開催とウクライナへの意識”Pro-Russian hacktivists take down EU Parliament site in DDoS attack
2022/11/23 BleepingComputer — 親ロシア派のハッカー集団 Killnet の一部である、Anonymous Russia が主張する DDoS 攻撃を受けて、欧州議会の Web サイトがダウンした。欧州議会議長は、このインシデントについて、「この攻撃に対抗するために、議会の IT 専門家がシステムを保護している」と述べている。Director General for Communication/Spokesperson である Jaume Dauch は、Web サイトがダウンした後に、この障害は進行中の DDoS 攻撃によるものだと指摘している。
Continue reading “EU 議会のサイトが DDoS でダウン:親ロシア派の Anonymous Russia が攻撃を主張”Ukrainian CERT Discloses New Data-Wiping Campaign
2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。
Continue reading “ウクライナ CERT 対 ロシア IAB:新たなデータワイパー・キャンペーンの発見と追跡”Nation-State Hacker Attacks on Critical Infrastructure Soar: Microsoft
2022/11/07 SecurityWeek — Microsoft の 2022 Digital Defense Report によると、ウクライナとその同盟国を標的としたロシアのサイバー攻撃が主な原因で、主要インフラに対する国民国家のハッカー攻撃が急増しているという。2020年6月〜2021年6月にかけて、Microsoft が観測した国民国家の攻撃のうち、主要インフラを狙ったものは全体の 20%だった。その割合は、2021年7月〜2022年6月の期間には、40%に増加している。
Continue reading “Microsoft の 2022 Digital Defense Report:国家による主要インフラへのハッキングが急増”Cyber Insurance Market Stabilizing as Security Awareness Improves
2022/11/07 InfoSecurity — Risk Strategies の State of the Market 2022 Update によると、サイバー保険市場は、数年にわたる急激な料率上昇を経て、安定し始めているとのことだ。この保険代理店は、適切な条件の下において、2023年には料率の上昇が 10%~25% の範囲に減速する可能性があると予測している。つまり、2022年 Q1〜Q2 には平均で 50% の料率上昇があり、Q3 には 30%-40% に減速しているが、その傾向が続くとしている。
Continue reading “サイバー保険市場の動向:顧客のセキュリティ意識の向上が安定を導く”Japan Joins Key NATO Cyber Agency
2022/11/07 InfoSecurity — 米国の同盟国である日本が、NATO のサイバー防衛協力センター (CCDCOE:Cooperative Cyber Defence Centre) に参加することになった。この動きは、ロシアを怒らせることになりそうだ。安倍晋三元首相は、2018年にエストニアを訪問した際に、日本が同センターへ参加することを表明している。しかし、日本の参加が正式に認められたのは、先週の金曜日だった。時事通信によると、浜田誠一防衛相が記者会見で発表したという。
Continue reading “日本の参加が正式に決定:NATO のサイバー機関 CCDCOE への参加を防衛省が公表”Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities
2022/11/05 TheHackerNews — Microsoft が警告するのは、公表されたゼロデイ脆弱性を国家や犯罪者が利用し、標的の環境を侵害するケースが増加していることだ。Microsoft は、114 ページにも及ぶ Digital Defense Report の中で、「脆弱性の発表から、その脆弱性が商品化されるまでの時間が、明らかに短縮されている」と述べている。したがって、ユーザー組織にとっては、このような脆弱性にタイムリーにパッチを当てることが不可欠であると指摘している。
Continue reading “Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している”Hackers Using Rogue Versions of KeePass and SolarWinds Software to Distribute RomCom RAT
2022/11/03 TheHackerNews — RomCom RAT のオペレーターは、SolarWinds Network Performance Monitor/KeePass Password Manager/PDF Reader Pro などの、不正なバージョンを悪用するかたちでキャンペーンを進化させ続けている。このオペレーションのターゲットを構成するのは、ウクライナや英国などの英語圏の被害者たちである。BlackBerry Threat Research and Intelligence Team は、「ターゲットの地理的条件と、現在の地政学的状況を考慮すると、RomCom RAT の動機が経済的なサイバー犯罪にあるとは考えにくい」と新たな分析で述べている。
Continue reading “RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心”Ukrainian charged for operating Raccoon Stealer malware service
2022/10/25 BleepingComputer — 26歳のウクライナ人 Mark Sokolovsky が、Raccoon Stealer というマルウェア・サービス (MaaS:Malware-as-a-Service) を介した、サイバー犯罪に関与したとして起訴された。Raccoon Stealer とは、MaaS モデルで配布される情報窃取型トロイの木馬であり、脅威アクターは $75/週あるいは $200/月でレンタルできる。利用者は、マルウェアのカスタマイズ/盗み出したデータ (ログとも呼ばれる) の取得/新しいマルウェア・ビルドの作成などを行うための、管理パネルへのアクセスが可能になる。
Continue reading “Raccoon Stealer が解体:ウクライナ人の Malware-as-a-Service 運営者が逮捕/起訴”Ransom Cartel linked to notorious REvil ransomware operation
2022/10/18 BleepingComputer — 研究者たちは、新種のランサムウェア Ransom Cartel オペレーションを、暗号化器のコードの類似性に基づき、REvil ギャングと関連付けている。REvil は 2021年前半に頂点に達し、Kaseya MSP サプライチェーン攻撃で数千の企業を危険にさらし、コンピューター・メーカー Acer に $50 million の支払いを要求し、また、リリース前に盗み出したデバイスの設計図を使って Apple を恐喝している。ランサムウェア・ギャング REvil は、法執行機関からの強い圧力を受け、2021年10月に閉鎖された。そして、2022年1月にロシア当局は、このギャングのメンバー8人を逮捕し、金銭の差し押さえ、告訴を発表した。しかし 2021年12月には、REvil マルウェアとコードの類似性を持つ Ransom Cartel が、新しいランサムウェア活動が開始している。
Continue reading “Ransom Cartel という新たな脅威:REvil ランサムウェアとの類似点を列挙”US airports’ sites taken down in DDoS attacks by pro-Russian hackers
2022/10/10 BleepingComputer — 親ロシア派のハッカー集団 KillNet が、米国内の主要空港 Web サイトに対して大規模な分散型サービス妨害 (DDoS) 攻撃を行い、アクセス不能に陥らせたと主張している。この DDoS 攻撃は、これらのサイトをホストするサーバを大量のリクエストで圧迫するものでありし、旅行者が予約しているフライトの最新情報の取得や、空港サービスの予約などが不可能にしている。
Continue reading “親ロシア派ハッカー KillNet の DDoS 攻撃:米国の主要空港 Web サイトが軒並みダウン”Russian Sanctions Instigator Lloyd’s Possibly Hit by Cyber-Attack
2022/10/07 InfoSecurity — 対ロシア制裁の実施をリードするロンドンの保険市場 Lloyd’s of London が、サイバー攻撃を受けた可能性があることが判明した。2022年10月5日 (水) に、Lloyd’s of London は、同社のシステム上で “異常なアクティビティ”を検知し、予防措置として全ての外部接続をオフにしたと公表した。
Continue reading “Lloyd’s 保険にサーバー攻撃:ロシア制裁の推進者に対する報復か?”Russian Hackers Take Aim at Kremlin Targets: Report
2022/10/04 InfoSecurity — ロシアの脅威アクターたちが、ウクライナとの無用な戦争に対する報復として、自国内のターゲットにサイバー攻撃を開始した。Kyiv Post 誌は、プーチン政権打倒を目指すロシアのハッキング組織である、国民共和軍 (NRA:National Republican Army) のメンバーに対して、インタビューを行ったっとしている。その NRA メンバーによると、最初のターゲットはロシアのソフトウェア開発会社であり、政府の顧客と密接に仕事をしているとされている Unisoftware だったという。
Continue reading “NRA という反政府ハッキング組織:ロシア国内の標的にサイバー攻撃を開始”Classified NATO documents sold on darkweb after they were stolen from Portugal
2022/09/08 SecurityAffairs — ポルトガル軍参謀本部機関 (EMGFA : Estado-Maior-General das Forças Armadas) が所有する NATO 機密文書が、ダークウェブ上で売りに出されていたことで、同機関に対するサイバー攻撃が判明した。EMGFA は、ポルトガルの最高軍事機関であり、ポルトガル軍の計画/指揮/統制を担当する組織である。
Continue reading “NATO の機密文書がダークウェブで販売される:流出元はポルトガル政府”Japan Government Websites Hit By Cyber-Attacks, Killnet Suspected
2022/09/07 InfoSecurity — ロシア系のハッカー集団 Killnet が、日本政府の4組織における 20件の Web サイトおよび、日本企業に対する一連のサイバー攻撃の犯行を主張している。松野博一官房長官によると、日本政府 Web サイトにおける問題と、サービス妨害 (DDoS) 攻撃との関連性について調べているとのことだ。また、日本政府のデジタル庁は、水曜日に e-Gov 行政ポータルの一部で、サービスへのログインに問題があったと述べたが、原因は明らかにしていない。
Continue reading “日本政府の Web サイトが攻撃される:犯行を主張する Killnet とは?”Google says former Conti ransomware members now attack Ukraine
2022/09/07 BleepingComputer — Google によると、サイバー犯罪組織 Conti の元メンバーの一部が、現在 UAC-0098 として追跡されている脅威グループに参加し、ウクライナの組織やヨーロッパの非政府組織 (NGO) を標的にしているという。UAC-0098 は、イニシャル・アクセス・ブローカーであり、企業ネットワーク内の侵害済みシステムへの、バンキング型トロイの木馬 IcedID を用いるアクセスを、ランサムウェア・グループに提供することで知られている。
Continue reading “Google TAG 警告:Conti ランサムウェアの元メンバーがウクライナを攻撃している”Anonymous hacked Yandex taxi causing a massive traffic jam in Moscow
2022/09/04 SecurityAffairs — 今週に Anonymous は、ロシア最大のタクシーサービスである Yandex Taxi アプリをハッキングし、それを用いてモスクワ市内で大渋滞を引き起こしたと発表した。この脅威アクターにより、すべてのタクシーが特定の住所に送り込まれたのだ。この渋滞は、2022年9月1日にロシアの中心部で発生し、数十台のタクシーがモスクワの大通りのである Kutuzovsky Prospekt の住所に送り込まれたという。
Continue reading “Anonymous が Yandex Taxi をハッキング:偽の配車依頼でモスクワは大渋滞”NATO Investigates Dark Web Leak of Data Stolen From Missile Vendor
2022/08/29 DarkReading — NATO が調査している事案として、ヨーロッパのミサイル・システム会社から盗まれたとされるデータ漏洩の事件がある。NATO のレポートによると、この事件の背後にいるハッカーは、窃取したデータをダークウェブで売り出しているという。漏洩したデータには、現在のロシアとの戦争でウクライナが使用している兵器の設計図が含まれている。
Continue reading “NATO 調査:ダークウェブで販売される MBDA ミサイルの機密情報とは?”Russian Use of Cyberweapons in Ukraine and the Growing Threat to the West
2022/08/19 SecurityWeek — その始まりは AcidRain だった。AcidRain は、イタリアの Viasat のサーバーを標的とした攻撃のことであり、ウクライナからヨーロッパ全域において、同社における多数のモデムと、インターネット通信を管理するサーバを狙ったものだった。この攻撃は、ロシアによるウクライナ侵攻のタイミングに合わせて実施され、ロシアからウクライナへ向けたサイバー戦争のテンポを劇的に速めることになった。AcidRain を用いる、戦術的な論拠は明白である。ウクライナの通信機能を低下させることで、ロシア軍は戦況を有利に展開できるからだ。
Continue reading “ロシアによるサイバー攻撃:ウクライナから NATO へと標的が拡大する可能性は?”Russian hackers target Ukraine with default Word template hijacker
2022/08/15 BleepingComputer — ウクライナへのサイバー攻撃を監視している脅威アナリストたちが、ロシアの国家支援ハッキング・グループ Gamaredon について、紛争で荒廃した同国を激しく攻撃し続けていると報告している。Gamaredon (別名:Armageddon/Shuckworm) は、ロシアのハッカー集団であり、ロシアの連邦保安局 (FSB:Federal Security Service) の第18情報セキュリティ・センターの一部と考えられている。
Continue reading “Word テンプレートの悪用:ウクライナを狙うハッカー集団 Gamaredon の新しい手口”Killnet claims to have breached Lockheed Martin
2022/08/13 SecurityAffairs — モスクワ・タイムズは、航空宇宙/防衛大手である Lockheed Martin を襲った最近の DDoS 攻撃について、親ロシア派のハッカーグループ Killnet が犯行声明を出していると報じた。さらに、Killnet は、Lockheed Martin の従業員から盗み出したデータを公開すると脅迫しているという。
Continue reading “Lockheed Martin への不正侵入を主張:Killnet は親ロシアのハッカー・グループ”Ukraine takes down 1,000,000 bots used for disinformation
2022/08/03 BleepingComputer — ウクライナのサイバー警察 (SSU) は、SNS でフェイク・ニュースを拡散するために使用されていた、100万個のボットによる大規模なボットファームを停止させた。このボットファームの目的は、ウクライナ国家の公式情報を信用させず、同国の社会的/政治的状況を不安定にし、内戦を引き起こすことだった。ボットが拡散していたメッセージは、ロシアのプロパガンダに沿ったものであることから、そのオペレーターはロシアの特殊部隊のメンバーであると考えられている。
Continue reading “ウクライナのサイバー警察:フェイクニュース拡散に使われた 100万個のボットを停止”
IoT OT Security News 
You must be logged in to post a comment.