Auth0 が JsonWebToken の脆弱性を FIX:22,000 以上プロジェクトに影響か?

Auth0 fixes RCE flaw in JsonWebToken library used by 22,000 projects

2023/01/09 BleepingComputer — Auth0 が修正したリモートコード実行の脆弱性は、22,000 以上プロジェクトで使用され、NPM からは毎月 3600 万回以上もダウンロードされている、人気のオープンソース・ライブラリ JsonWebToken に存在するものだ。このライブラリは、Microsoft/Twilio/Salesforce/Intuit/Box/IBM/Docusign/Slack/SAP などのオープンソース・プロジェクトでも使用されている。

Continue reading “Auth0 が JsonWebToken の脆弱性を FIX:22,000 以上プロジェクトに影響か?”

Automated Libra という脅威:GitHub CAPTCHA のバイパスで 20,000 アカウントを作成

Hackers use CAPTCHA bypass to make 20K GitHub accounts in a month

2023/01/05 BleepingComputer — Automated Libra と呼ばれる南アフリカの脅威アクターは、クラウド・プラットフォームのリソースを悪用した、暗号通貨マイニングから利益を得る手法を進化させている。Palo Alto Networks Unit 42 によると、この脅威アクターは、新しい CAPTCHA 解決システムをマイニングに用いて、CPU リソースを積極的に悪用している。また、Feejacking と Play and Run を組み合わせて、クラウド・リソースを無料で乱用しているとのことだ。

Continue reading “Automated Libra という脅威:GitHub CAPTCHA のバイパスで 20,000 アカウントを作成”

RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心

Hackers Using Rogue Versions of KeePass and SolarWinds Software to Distribute RomCom RAT

2022/11/03 TheHackerNews — RomCom RAT のオペレーターは、SolarWinds Network Performance Monitor/KeePass Password Manager/PDF Reader Pro などの、不正なバージョンを悪用するかたちでキャンペーンを進化させ続けている。このオペレーションのターゲットを構成するのは、ウクライナや英国などの英語圏の被害者たちである。BlackBerry Threat Research and Intelligence Team は、「ターゲットの地理的条件と、現在の地政学的状況を考慮すると、RomCom RAT の動機が経済的なサイバー犯罪にあるとは考えにくい」と新たな分析で述べている。

Continue reading “RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心”

Ransom Cartel という新たな脅威:REvil ランサムウェアとの類似点を列挙

Ransom Cartel linked to notorious REvil ransomware operation

2022/10/18 BleepingComputer — 研究者たちは、新種のランサムウェア Ransom Cartel オペレーションを、暗号化器のコードの類似性に基づき、REvil ギャングと関連付けている。REvil は 2021年前半に頂点に達し、Kaseya MSP サプライチェーン攻撃で数千の企業を危険にさらし、コンピューター・メーカー Acer に $50 million の支払いを要求し、また、リリース前に盗み出したデバイスの設計図を使って Apple を恐喝している。ランサムウェア・ギャング REvil は、法執行機関からの強い圧力を受け、2021年10月に閉鎖された。そして、2022年1月にロシア当局は、このギャングのメンバー8人を逮捕し、金銭の差し押さえ、告訴を発表した。しかし 2021年12月には、REvil マルウェアとコードの類似性を持つ Ransom Cartel が、新しいランサムウェア活動が開始している。

Continue reading “Ransom Cartel という新たな脅威:REvil ランサムウェアとの類似点を列挙”

VMware/Microsoft 警告:アドウェアからランサムローダーへと進化する ChromeLoader

VMware, Microsoft warn of widespread Chromeloader malware attacks

2022/09/19 BleepingComputer — VMware と Microsoft の警告は、現在進行中で蔓延している ChromeLoader マルウェア・キャンペーンにより、悪意のブラウザ・エクステンションや、node-WebKit マルウェアが、場合によってはランサムウェアまでがドロップされるという、かなり危険な脅威が迫っているというものだ。ChromeLoader の感染は 2022 Q1 に急増しており、Red Canary の研究者たちは、マーケティングのアフィリエイトや広告詐欺に利用される、ブラウザ・ハイジャッカーの危険性について警鐘を鳴らしていた。

Continue reading “VMware/Microsoft 警告:アドウェアからランサムローダーへと進化する ChromeLoader”

D-Link を狙う Moobot ボットネットは Mirai 亜種:新旧の脆弱性を取り混ぜて攻撃

Moobot botnet is coming for your unpatched D-Link router

2022/09/06 BleepingComputer — MooBot として知られる Mirai 亜種のマルウェア・ボットネットが、8月初旬から始まった新たな攻撃に再登場し、新旧のエクスプロイトを取り混ぜて、脆弱な D-Link ルーターをターゲットにしている。2021年12月に Fortinet のアナリストが発見した MooBot は、Hikvision カメラの脆弱性を標的にして急速に拡散し、多数のデバイスを DDoS (分散型サービス拒否) に陥らせてきた。

Continue reading “D-Link を狙う Moobot ボットネットは Mirai 亜種:新旧の脆弱性を取り混ぜて攻撃”

SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増

Phishing attacks abusing SaaS platforms see a massive 1,100% growth

2022/08/23 BleepingComputer — 脅威アクターたちが、Web サイト・ビルダーやパーソナル・ブランディング・スペースなどの、正規の SaaS (Software-as-a-Service) プラットフォームを悪用して、ログイン情報を盗むための悪質なフィッシング・サイトを作成する手口が増加している。Palo Alto Networks Unit 42 の最新レポートによると、研究者たちは SaaS 悪用の急増を確認しており、同社が収集したデータは、2021年6月〜2022年6月で 1,100% という大幅な増加を示しているという。

Continue reading “SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増”

Palo Alto Unit 42 の調査:脆弱性が公表された 15分後には悪意のスキャンが始まる

Hackers scan for vulnerabilities within 15 minutes of disclosure

2022/07/26 BleepingComputer — この新しいレポートにより、脅威アクターたちは新しい CVE が公開されてから 15分以内に、脆弱なエンドポイントをスキャンしていることが明らかになった。Palo Alto Unit 42 の 2022 Incident Response Report によると、ハッカーたちは常にソフトウェ・アベンダーの掲示板を監視し、企業ネットワークへのイニシャル・アクセスやリモートコード実行に利用できる、新しい脆弱性の告知を探し求めているようだ。つまり、脅威アクターたちの脆弱性スキャンを開始するスピードが速いため、システム管理者は、脆弱性が悪用される前にバグを修正する必要に迫られることになる。

Continue reading “Palo Alto Unit 42 の調査:脆弱性が公表された 15分後には悪意のスキャンが始まる”

Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?

Less popular, but very effective, Red-Teaming Tool BRc4 used in attacks in the wild

2022/07/06 SecurityAffairs — Palo Alto Networks Unit 42 の研究者は、2022年5月19日 にVirusTotal データベースにアップロードされたことで、大半のアンチウイルス製品が良性と判断していたサンプルに、レッドチーム/敵対攻撃シミュレーションのためのツールである、Brute Ratel C4 (BRc4) に関連するペイロードが含まれていたことを発見した。Cobalt Strike Beacons とは異なり、BRc4 ペイロードは普及していないが、同様の機能を備えている。このツールは、EDR (endpoint detection and response) や AV (antivirus) などによる、セキュリティ検出を回避するように設計されている。VirusTotal 上のベンダー間で検知されなかったことからも、このツールの有効性は明らかだ。

Continue reading “Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?”

Linux Kernel cgroups に存在するコンテナ・エスケープの脆弱性 CVE-2022-0492 が FIX

CVE-2022-0492 flaw in Linux Kernel cgroups feature allows container escape

2022/03/06 SecurityAffairs — Linux カーネルの脆弱性 CVE-2022-0492 (CVSS: 7.0) にパッチが適用されたが、この脆弱性の悪用に成功した攻撃者には、コンテナをエスケープし、コンテナ・ホスト上で任意のコマンドを実行する可能性が生じる。この問題は、cgroups (control groups) と呼ばれるプロセスの集合体に関するリソース使用量 (CPU/メモリ/ディスクI/O/ネットワーク) を算出/分離/制限するための、Linux カーネルの機能に影響をおよぼす特権昇格の欠陥である。

Continue reading “Linux Kernel cgroups に存在するコンテナ・エスケープの脆弱性 CVE-2022-0492 が FIX”

医療用輸液ポンプのセキュリティ:古いデバイスの古い脆弱性が危険な状況に

Infusion Pumps Impacted by Years-Old Critical Vulnerabilities: Report

2022/03/03 SecurityWeek — Palo Alto Networks の Unit 42 の研究者たちによると、約10万台以上の医療用輸液ポンプが、3年ほど前に公開された深刻な脆弱性の影響を受けていることが判明した。医療機関や病院のネットワーク上に存在する、20万台以上の輸液ポンプをスキャンした結果、これらのネットワーク接続機器の 75% が既知の脆弱性の影響を受け、サイバー攻撃の可能性にさらされていることが判明した。

Continue reading “医療用輸液ポンプのセキュリティ:古いデバイスの古い脆弱性が危険な状況に”

米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術

Defense contractors hit by stealthy SockDetour Windows backdoor

2022/02/24 BleepingComputer — 米国の防衛関連企業のシステムで見つかった、SockDetour と名付けられた新しいカスタム・マルウェアは、侵害したネットワークへのアクセスを維持するための、バックアップ・バックドアとして使用されている。この悪意のペイロードは Unit 42 のセキュリティ研究者により発見され、2019年7月頃からワイルドに使用されていることから、その運営者は長い間バックドアを潜伏させていたと考えられる。

Continue reading “米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術”

ロシアのハッキング・グループ Gamaredon:標的はウクライナの西側政府組織

Russian Gamaredon Hackers Targeted ‘Western Government Entity’ in Ukraine

2022/02/04 TheHackerNews — 先月に、ロシアのハッキング・グループ Gamaredon は、ウクライナで活動する欧米政府機関への侵入を試みましたが、それは両国間の緊張が続く中でのことだった。Palo Alto Networks 脅威インテリジェンス・チーム Unit 42 は、2月3日に公開した新しいレポートの中で、「このフィッシング攻撃は 1月19日に行われたと述べ、別のフィッシングやマルウェアをサポートするために使用されている、彼らのインフラの3つの大規模なクラスターをマッピングした 」と付け加えている。

Continue reading “ロシアのハッキング・グループ Gamaredon:標的はウクライナの西側政府組織”

Hikvision の脆弱性 CVE-2021-36260:Mirai ベースの Moobot ボットネットが狙っている

Moobot botnet spreads by exploiting CVE-2021-36260 flaw in Hikvision products

2021/12/09 SecurityAffairs — Mirai_based Moobot ボットネットは、Hikvision の Web サーバーに存在する、コマンド・インジェクションの脆弱性 CVE-2021-36260 を悪用して、急速に広まっている。Moobot は、2021年2月に Palo Alto Unit 42 の研究者たちにより発見されたものだが、最近の攻撃ではマルウェアの機能が強化されていることが判明している。

Continue reading “Hikvision の脆弱性 CVE-2021-36260:Mirai ベースの Moobot ボットネットが狙っている”

CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害

Experts Detail Malicious Code Dropped Using ManageEngine ADSelfService Exploit

2021/11/08 TheHackerNews — Zoho ManageEngine ADSelfService Plus における、セルフサービス・パスワード管理およびシングル・サインオン (SSO) のソリューションだが、先日にパッチが適用された深刻な脆弱性を悪用され、テクノロジー/防衛/ヘルスケア/エネルギー/教育などの業界の、少なくとも9組織が不正な侵入を許してしまった。

Continue reading “CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害”

QNAP NAS と OpenSSL 脆弱性:現時点では対応中とのこと

QNAP works on patches for OpenSSL bugs impacting its NAS devices

2021/08/30 BleepingComputer — 先週のこと、NAS メーカーの QNAP は、OpenSSL によるパッチが適用されたリモートコード実行 (RCE) およびサービス拒否 (DoS) の脆弱性に対処するため、セキュリティ・アップデートの調査と作業を行っている。脆弱性 CVE-2021-3711 CVE-2021-3712 は、QTS / QuTS hero / QuTScloud / HBS 3 Hybrid Backup Sync を実行する QNAP NAS デバイスに影響する。

Continue reading “QNAP NAS と OpenSSL 脆弱性:現時点では対応中とのこと”

LockBit ランサムウェアが復活:セキュリティ・ベンダーたちが警鐘を鳴らす

Security Vendors Sound the Alarm on LockBit Ransomware’s Return

2021/08/19 DarkReading — 2019年に登場した Ransomware-as-a-Service (RaaS) である LockBit の運営者が再登場し、マルウェアの改良版を発表するとともに、ダークウェブや標的となる組織内からアフィリエイトを募るという、不吉で積極的なキャンペーンを展開している。

Continue reading “LockBit ランサムウェアが復活:セキュリティ・ベンダーたちが警鐘を鳴らす”

QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは?

eCh0raix ransomware now targets both QNAP and Synology NAS devices

2021/08/10 BleepingComputer — 新たに発見された eCh0raix ランサムウェアの亜種は、QNAP と Synology の NAS デバイスを暗号化するための機能を追加している。このランサムウェア (QNAPCrypt とも呼ばれる) は、2016年6月に初めて表面化したものであり、BleepingComputer フォーラムのトピックで、被害者による攻撃の報告がなされてきた。このランサムウェアは、QNAP NAS デバイスに波状攻撃を仕掛けてきたが、その中でも大規模だったのは、2019年6月と 2020年6月の攻撃である。

Continue reading “QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは?”

中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む

Chinese Hackers Implant PlugX Variant on Compromised MS Exchange Servers

2021/07/28 TheHackerNews — 今年の3月に明らかになった、Microsoft Exchange Server の欠陥を悪用する中国のサイバー犯罪組織が、これまで文書化されていなかったリモート・アクセス・トロイの木馬 (RAT) の亜種を、東南アジア諸国の侵入したシステムに埋め込んでいる。Palo Alto Networks の脅威インテリジェンス・チームである Unit 42 は、今回の侵入を PKPLUG (別名:Mustang Panda / HoneyMyte) という名の脅威アクターによるものとし、侵入されたサーバーの1つに配信された、Thor と呼ばれるモジュール型 PlugX マルウェアの新バージョンを確認したと述べている。

Continue reading “中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む”

新たなランサムウェア Prometheus は REvil と連携している?

New Ransomware Group Claiming Connection to REvil Gang Surfaces

2021/06/10 DarkReading — 今年の初めから、約30の組織に影響を与えたと主張する新しいランサムウェア・グループは、Ransomware-as-a-Service が犯罪組織の新たな活動を、いかに迅速に拡大するかを示す最新の事例である。Prometheus と呼ばれるグループが、今年の 2月に登場している。

Continue reading “新たなランサムウェア Prometheus は REvil と連携している?”