New Windows Driver Signature bypass allows kernel rootkit installs
2024/10/26 BleepingComputer — Windows カーネル・コンポーネントをダウングレードする攻撃者が、ドライバ署名強制などのセキュリティ機能を回避し、完全にパッチが適用されたシステムに対して、ルートキットを展開できることが判明した。それは、Windows Update プロセスを制御して、完全にパッチが適用された状態へと OS を変更させないことで達成される。つまり、最新の状態のマシンであっても、脆弱で古いソフトウェア・コンポーネントを導入することになる。
Continue reading “Windows Downdate の脆弱性:アップデートの無効化とルートキットのインストールが可能に”Dark Gate Malware Campaign Uses Samba File Shares
2024/07/15 SecurityAffairs — 2024年3月〜4月に展開された、DarkGate マルウェア・キャンペーンに関するレポートを、Palo Alto Networks Unit 42 の研究者たちが公開した。このキャンペーンで用いられた手法は、公開されている SMB ファイル共有から、Microsoft Excel ファイルを介して、悪意のソフトウェア・パッケージをダウンロードさせるというものだった。Unit 42 の研究者たちによると、脅威アクターはマルウェアを配布するために、正規のツールやサービスを巧妙に悪用していたという。
Continue reading “DarkGate マルウェア:Samba と Excel を介して配布されている – Unit 42”Japan warns of attacks linked to North Korean Kimsuky hackers
2024/07/10 BleepingComputer — 北朝鮮の脅威アクターである Kimsuky が、日本の組織を攻撃の標的にしていると、JPCERT/CC (Japan’s Computer Emergency Response Team Coordination Center) が警告している。この Kimsuky は、北朝鮮の APT (advanced persistent threat) グループだと米国政府は位置づけている。同グループは、北朝鮮政府にとって関心のある情報を収集するために、世界中の標的に対して攻撃を行っている。
Continue reading “北朝鮮のハッカー Kimsuky が日本の組織を標的にしている – JPCERT/CC”New QakNote attacks push QBot malware via Microsoft OneNote files
2023/02/07 BleepingComputer — 先週から観測されているのは、QakNote という名の新しい QBot マルウェア・キャンペーンである。同キャンペーンでは、システムにバンキング型トロイの木馬を感染させる手口として、Microsoft OneNote の 悪意の “.one” 添付ファイルが使用されている。Qbot (別名:QakBot) は、かつてはバンキング型トロイの木馬だったが、デバイスへのイニシャル・アクセスを獲得することに特化したマルウェアへと進化している。それにより、感染させたマシンに脅威アクターが追加のマルウェアをロードし、ネットワーク全体でデータ窃取/ランサムウェア展開などの活動を行うことが可能になった。
Continue reading “OneNote ファイル経由で QBot をプッシュ:QakNote というマルウェア・キャンペーンを観測”VSCode Marketplace can be abused to host malicious extensions
2023/01/06 BleepingComputer — 悪意の Visual Studio Code エクステンションを、VSCode Marketplace に驚くほど簡単にアップロードできることを、そして、この弱点を脅威アクターたちが、すでに悪用している兆候を、研究者たちは発見した。Visual Studio Code (VSC) とは、Microsoft が公開しているソースコード・エディタであり、世界中のプロフェッショナル・ソフトウェア開発者の約 70%が使用しているものだ。Microsoft は、VSCode Marketplace とという名の、IDE 用のエクステンション・マーケットを運営することで、アプリ機能の拡張や、多様なカスタマイズ・オプションをアドオンとして提供している。
Continue reading “Visual Studio Code Marketplace の侵害は容易:悪意のエクステンションの登録方法とは?”BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection
2022/12/27 TheHackerNews — Lazarus Group のサブクラスタである BlueNoroff だが、Windows の Mark of the Web (MoTW) 保護を回避するための、新しい技術を採用していることが確認されている。今日の Kaspersky レポートによると、光ディスクイメージ (拡張子.ISO) および仮想ハードディスク (拡張子.VHD) ファイル形式を用いる、新たな感染チェーンが追加されているとのことだ。セキュリティ研究者である Seongsu Park は、「BlueNoroff は、ベンチャー・キャピタル企業や銀行を装う、多数の偽ドメインを作成している。2022年9月のテレメトリ測定において、この新しい攻撃手順にフラグが立てられた」と述べている。
Continue reading “BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避”GuLoader Malware Utilizing New Techniques to Evade Security Software
2022/12/26 TheHackerNews — サイバー・セキュリティ研究者たちは、GuLoader と呼ばれる高度なマルウェア・ダウンローダと、そこで採用されるセキュリティ・ソフトウェア回避のための、各種のテクニックを公開した。CrowdStrike の研究者である Sarang Sonawane と Donato Onofri は、先週に公開された技術レポートで、「新しいシェルコード分析防止技術は、プロセス・メモリ全体をスキャンして、仮想マシン (VM) 関連の文字列を探すことで、研究者や敵対者の環境を妨害しようと試みる」と述べている。
Continue reading “GuLoader という VBScript ダウンローダ:セキュリティを回避してシェルコードを注入”
IoT OT Security News 