PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ

Malicious PyPi packages aim DDoS attacks at Counter-Strike servers

2022/08/15 BleepingComputer — 今週末、ロシアの Counter-Strike 1.6サーバーにDDoS攻撃を仕掛けるタイポスクワッティング攻撃のために、悪意の Python パッケージ 12個が PyPI レポジトリにアップロードされた。Python Package Index (PyPI) とは、オープンソースのソフトウェア・パッケージのリポジトリであり、開発者は自身の Python プロジェクトに、それらのパッケージを簡単に組み込み、最小限の労力で複雑なアプリを構築できる。

Continue reading “PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ”

VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?

VirusTotal Reveals Most Impersonated Software in Malware Attacks

2022/08/03 TheHackerNews — 信頼関係を悪用してソーシャル・エンジニアリング攻撃の成功率を高める手段として、Skype/Adobe Reader/VLC Player などの正規のアプリケーションを模倣する、脅威アクターが増えている。また、VirusTotal の分析によると、最も偽装されている正規アプリのアイコンは、7-Zip/TeamViewer/CCleaner/Microsoft Edge/Steam/Zoom/WhatsApp などであることが判明している。

Continue reading “VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?”

Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?

Less popular, but very effective, Red-Teaming Tool BRc4 used in attacks in the wild

2022/07/06 SecurityAffairs — Palo Alto Networks Unit 42 の研究者は、2022年5月19日 にVirusTotal データベースにアップロードされたことで、大半のアンチウイルス製品が良性と判断していたサンプルに、レッドチーム/敵対攻撃シミュレーションのためのツールである、Brute Ratel C4 (BRc4) に関連するペイロードが含まれていたことを発見した。Cobalt Strike Beacons とは異なり、BRc4 ペイロードは普及していないが、同様の機能を備えている。このツールは、EDR (endpoint detection and response) や AV (antivirus) などによる、セキュリティ検出を回避するように設計されている。VirusTotal 上のベンダー間で検知されなかったことからも、このツールの有効性は明らかだ。

Continue reading “Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?”

PureCrypter マルウエア・ローダー:$59/月で MS Office 初期感染キットも提供

Researchers Detail PureCrypter Loader Cyber Criminals Using to Distribute Malware

2022/06/14 TheHackerNews — サイバー・セキュリティ研究者たちは、PureCrypter と呼ばれるマルウェア・ローダーの、完成度の高い機能と仕組みについて詳細を説明している。このローダーは、サイバー犯罪者たちにより購入され、RAT (remote access trojans (RATs) や、情報スティーラーを配信するために使用されている。Zscaler の Roman Dumont は最新レポートで、「このローダーは、SmartAssembly で難読化された .NET 実行ファイルであり、圧縮/暗号化/難読化を利用してアンチウイルス・ソフトウェア製品による検出を回避する」と述べている。

Continue reading “PureCrypter マルウエア・ローダー:$59/月で MS Office 初期感染キットも提供”

Microsoft Office のゼロデイ脆弱性 Follina:中国の国家支援ハッカーが積極的に悪用

Chinese Hackers Begin Exploiting Latest Microsoft Office Zero-Day Vulnerability

2022/05/31 TheHackerNews — 中国国家に支援される高度持続的脅威 (APT) 脅威アクターが、Microsoft Office の新しいゼロデイ脆弱性を武器にして、侵害したシステムでコード実行を可能にしていることが確認された。エンタープライズ・セキュリティ企業である Proofpoint は、「この TA413 CN APT は、脆弱性 Follina を悪用することで、悪意の URL から ZIP アーカイブを配信し、そこに含まれる Word ドキュメントを攻撃に使用する。いまは、それが野放しの状態である。このキャンペーンは、中央チベット自治政府の Women Empowerments Desk になりすまし、ドメイン tibet-gov.web[.]app を使用している」とツイートで述べている。

Continue reading “Microsoft Office のゼロデイ脆弱性 Follina:中国の国家支援ハッカーが積極的に悪用”

Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が

Microsoft Releases Workarounds for Office Vulnerability Under Active Exploitation

2022/05/30 TheHackerNews — 日本マイクロソフトは、同社の Office で発見されたゼロデイ脆弱性の悪用に成功した攻撃者に、システム上でのコード実行を許してしまう問題への緩和策を発表した。現時点で、この脆弱性 CVE-2022-30190 の CVSS 値は 7.8 と評価されている。Microsoft の Office 2013/2016/2019/2021、および Professional Plus エディションが影響を受けるとされている。

Continue reading “Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が”

Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行

Watch Out! Researchers Spot New Microsoft Office Zero-Day Exploit in the Wild

2022/05/30 TheHackerNews — サイバー・セキュリティ研究者たちは、Microsoft Office のゼロデイ脆弱性の悪用に成功した脅威アクターに、Windows システム上での任意のコード実行を許す可能性があるという注意を呼びかけている。この脆弱性は、nao_sec として知られる独立系のサイバー・セキュリティ研究チームが、ベラルーシの IP アドレスから VirusTotal にアップロードされた Word 文書 [05-2022-0438.doc] を発見したことで明らかになった。

Continue reading “Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行”

ウクライナの研究者の反撃:Conti の最新ソースコードが新たにリークされる

Ukrainian Security Researcher Leaks Newer Conti Ransomware Source Code

2022/03/21 SecurityWeek — ロシアがウクライナ侵攻を開始した直後に、ランサムウェア・グループ Conti はロシアへの攻撃の報復として、ロシアの敵国の重要インフラを攻撃する用意があると声明を発表した。これを受けて、匿名の人物が Conti Leaks という Twitter アカウントを開設し、このランサムウェアから盗んだとされるファイルの公開を開始した。最初のリーク情報は、過去1年間に Conti のメンバー間で交わされたメッセージだった。

Continue reading “ウクライナの研究者の反撃:Conti の最新ソースコードが新たにリークされる”

悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す

Malicious Excel XLL add-ins push RedLine password-stealing malware

2021/12/05 BleepingComputer — Web サイトの問合せフォームやフォーラムにスパムを送り、パスワードなどの情報を盗むマルウェア RedLine をダウンロード/インストールさせる Excel XLL ファイルが、サイバー犯罪者たちにより配布されている。RedLine は情報窃取型のトロイの木馬であり、Web ブラウザに保存されているクッキー/ユーザー名/パスワード/クレジットカードなどの情報のほか、感染したデバイスから FTP 認証情報やファイルを盗み出す。

Continue reading “悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す”

VirusTotal Collections が登場:Indicators of Compromise (IoC) の共有を推進する

VirusTotal Collections allows enhancing the sharing of Indicators of Compromise (IoCs)

2021/12/01 SecurityAffairs — VirusTotal は、脅威研究者がたちが IoC (Indicators of Compromise) を共有するための、新サービス VirusTotal Collections を発表した。このコレクションは、特定の脅威に関連する IoC を含むライ・ブレポートであり、VirusTotal の登録ユーザーであれば利用できる。また、このレポートには、最新の VirusTotal 分析メタ・データが含まれる。

Continue reading “VirusTotal Collections が登場:Indicators of Compromise (IoC) の共有を推進する”

IKEA のシステムがリプライチェーン・メール攻撃の渦中にある

IKEA email systems hit by ongoing cyberattack

2021/11/26 BleepingComputer — IKEA が、サイバー攻撃の渦中にいる。この攻撃では、盗まれた機密情報をもとに、リプライチェーン・メールにより従業員に対して、内部的なフィッシング攻撃が行われている。リプライチェーン型のメール攻撃とは、脅威アクターが企業からの正当なメールを盗み出し、そのメールに対して悪意のドキュメントなどへのリンクを返信して、受信者のデバイスにマルウェアをインストールするものである。

Continue reading “IKEA のシステムがリプライチェーン・メール攻撃の渦中にある”

JavaScript スティルス・マルウェアの新種:Windows PC 侵食する RATDispenser とは?

Stealthy new JavaScript malware infects Windows PCs with RATs

2021/11/24 BleepingComputer -javescript– RATDispenser と名付けられた、ステルス性の高い新しい JavaScript ローダーが、フィッシング攻撃を介して、さまざまなリモート・アクセス・トロイの木馬 (RAT) をデ感染させている。この新しいローダーは、少なくとも8つのマルウェア・ファミリーに対して、配布に関するパートナーシップを確立しており、いずれのケースにおいても情報を盗み出し、ターゲット・デバイスの制御権を脅威アクターに与えることを目的としている。

Continue reading “JavaScript スティルス・マルウェアの新種:Windows PC 侵食する RATDispenser とは?”

VirusTotal 調査:8,000万件のランサムウェアを分析してみた

VirusTotal Releases Ransomware Report Based on Analysis of 80 Million Samples

2021/10/14 TheHackerNews — 2020年から 2021年前半にかけて、イスラエル/中国/韓国/シンガポール/ベトナム/インド/カザフスタン/フィリピン/イラン/英国において、130種類ものランサムウェアが活動していたことが、8,000万件のランサムウェア関連サンプルの包括的な分析により明らかになった。

Continue reading “VirusTotal 調査:8,000万件のランサムウェアを分析してみた”

Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける

A New Jupyter Malware Version is Being Distributed via MSI Installers

2021/09/26 TheHackerNews — Jupyter は、医療機関や教育機関を狙うことで知られる .NET マルウェアであり、ほとんどのエンドポイント・スキャンを無効にすることで知られている。イスラエルの Morphisec は、「9月8日にが発見された新たな配信チェーンは、このマルウェアが継続的に活動していることを示すだけではなく、脅威アクターが効率的で回避可能な攻撃を開発し続けていることも示している。現在、攻撃の規模と範囲を調査している」と述べている。

Continue reading “Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける”

UPS.com の XSS 脆弱性を悪用する狡猾なフィッシング・キャンペーン

Phishing campaign uses UPS.com XSS vuln to distribute malware

221/08/23 BleepingComputer — UPS の名を語る狡猾なフィッシング・キャンペーンは、UPS.com の XSS 脆弱性を利用して、悪質なフェイク請求書を Word 文書でプッシュするというものだ。このフィッシング詐欺は、セキュリティ研究者 Daniel Gallagher が最初に発見したもので、UPS からの電子メールを装い、荷物に例外歴な状況が発生したため、顧客に引き取ってもらう必要があると伝えるものだ。

Continue reading “UPS.com の XSS 脆弱性を悪用する狡猾なフィッシング・キャンペーン”

BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする

Linux version of BlackMatter ransomware targets VMware ESXi servers

2021/08/05 BleepingComputer — BlackMatter ランサムウェアが、ギャングたちの仲間入りをして、VMware ESXi 仮想マシン・プラットフォームを標的にした、Linux 用の暗号化ソフトウエアを開発した。エンタープライズでは、リソース管理やディザスタ・リカバリのために、サーバーを仮想マシンに移行する傾向が強まっている。VMware ESXi は最も一般的な仮想マシンプラット・フォームであるため、企業を標的としたランサムウェアの大半が、この仮想マシンを標的とする暗号化ツールをリリースし始めている。

Continue reading “BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする”

ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている

Russian Federal Agencies Were Attacked With Chinese Webdav-O Virus

2021/08/04 TheHackerNews — 2020年に発生した、ロシアの連邦行政機関に対する一連の標的型攻撃の背後には、中国の国家支援型脅威グループが存在していた可能性がある。シンガポールに本社を置く Group-IB が発表した最新の調査結果によると、その時の侵入で検出された Webdav-O と呼ばれるウイルスについて、BlueTraveller トロイの木馬との間に類似点があると指摘されている。

Continue reading “ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている”

ニューラル・ネットワークに埋め込まれたマルウェアは検出を回避する

Hiding Malware inside a model of a neural network

2021/07/26 SecurityAffairs — 3人の研究者、Zhi Wang と Chaoge Liu と Xiang Cui は、ニューラル・ネットワーク・モデルを介してマルウェアを配信し、ネットワークの性能に影響を与えることなく、また、検出を回避するテクノロジーを発表した。178MB の AlexNet モデルに 36.9MB のマルウェアを、1%以内の精度で埋め込むことに成功し、アンチ・ウイルス・エンジンに対して完全な透過性を持つ、脅威が可能になるという。この専門家たちは、人工知能の大規模な導入に伴い、マルウェアの作者はニューラル・ネットワークの悪用に関心を持つようになると考えている。

Continue reading “ニューラル・ネットワークに埋め込まれたマルウェアは検出を回避する”

アイルランドの医療機関から盗まれたデータと VirusTotal への情報開示命令

VirusTotal ordered to reveal private info of stolen HSE data downloaders

2021/07/01 BleepingComputer — アイルランドの裁判所は、先日のランサムウェア攻撃の際に、公的医療サービスから盗み出した機密データをダウンロード/アップロードしたサブスクライバーの情報を提供するよう、VirusTotal に命じた。この5月に、アイルランドの公的医療システムである HSE は、Conti ランサムウェア攻撃の標的となり、デバイスが暗号化されたことで、その IT システムに大規模な障害を生じた。

Continue reading “アイルランドの医療機関から盗まれたデータと VirusTotal への情報開示命令”

Microsoft Build Engine を悪用する Filelessly なマルウェア拡散の手法とは?

Hackers Using Microsoft Build Engine to Deliver Malware Filelessly

2021/05/14 TheHackerNews — Microsoft Build Engine (MSBuild) を悪用して、リモートアクセス・トロイの木馬や、パスワードを盗み出すためのマルウェアを、標的となる Windows システム上にファイルレスで展開するという脅威が存在する。

Continue reading “Microsoft Build Engine を悪用する Filelessly なマルウェア拡散の手法とは?”