みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

ベンダーレポート

【更新】北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAについて

Kasperskyのブログにて、北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAの調査内容が公開されました。 securelist.com 同マルウェアフレームワークは2018年4月に確認されており、ペイロードを取得するローダー、追加…

SIGRed(CVE-2020-1350)WindowsDNSサーバーのRCE脆弱性について

Microsoft Security Response Centerより「Windows DNS サーバの脆弱性情報 CVE-2020-1350 に関する注意喚起」が発行されました。 msrc-blog.microsoft.com 当該脆弱性については、報告元であるCheck Pointより、SIGRedと命名されています。 research.checkp…

ロシアのサイバー犯罪グループCosmic LynxによるBEC活動の観測について

Eメールセキュリティにおいて強みをもつ、米国のセキュリティベンダーAgariより、ロシアのサイバー犯罪グループCosmic Lynxの活動に関するブログ記事が公開されました。 https://www.agari.com/email-security-blog/cosmic-lynx-russian-bec 本記事では、Aga…

アプリケーションのエラーログを装ったファイルを用いる攻撃手法について

Huntress Labsという米国のセキュリティベンダが公開するブログ記事にて、興味深い攻撃手法が公開されました。 https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4eblog.huntresslabs.com 私自身、当該組織については、良く知らなかったのです…

Windows版Facebook Messengerにてバックドアを実行できる脆弱性について

Reason Cybersecurityが公開するブログにて、「Facebook Messengerデスクトップアプリを使用した永続化手法」という題で、Windows版Facebook Messengerの脆弱性についての情報が公開されました。 blog.reasonsecurity.com このReason Cybersecurityという企…

産業制御システム(ICS)製造企業を狙った標的型攻撃の観測について

カスペルスキーのICS-CERTより複数の国の産業制御システム製造企業を狙った標的型攻撃に関する記事が公開されました。 ics-cert.kaspersky.com カスペルスキーによると2020年5月上旬の時点で、日本、イタリア、ドイツ、イギリスで攻撃が確認されていることが…

OSINT実践~Kaspersky2020年1Q脅威レポートを見て~

現地時間の5月20日(水)、KasperskyのサイバーセキュリティブログSecurelistにて、2020年1Qの統計レポートが公開されました。 securelist.com securelist.com レポート中には、日本での活動が最も活発だった攻撃観測がありました。(なんとなく察しが付く方も…

在宅勤務の増加に伴うRDPの悪用を試みる攻撃の増加

COVID-19の影響で世界中の企業が在宅勤務など、リモートワークを急速に普及させています。 その中でも最も容易な手法として挙げられるのが、Windows製品で主に用いられるRDPです。 ポート番号3389で利用されるRDPですが、急速に利用をし始めた企業や個人が多…

GWに確認されたWordPressの脆弱性と攻撃観測について

みなさんGW、というよりSTAY HOME週間はいかがお過ごしだったでしょうか。 私もおうち時間を過ごしていたんですが、長年見ずにいた「タイタニック」と「ショーシャンクの空に」を見ることができました。 こういった話を見ると、危機管理だったり機転だったり…

GIFを表示しただけなのに~Microsoft Teamsの脆弱性を用いたアカウント乗っ取り~

イスラエル発のセキュリティベンダーCyberArkのブログ記事によると、GIF形式の画像ファイルにかかる脆弱性がMicrosoft Teamsには存在し、アカウント乗っ取りの危険性があることが明らかになりました。 www.cyberark.com COVID-19の影響でWeb会議用アプリを使…

国家が支援するハッキンググループによる標的型攻撃の動向(COVID-19関連)

先日の記事にてCOVID-19をテーマにしたサイバー攻撃を取り上げましたが、これらの攻撃の裏で、国家の後ろ盾があると考えられるハッキンググループによる標的型攻撃に関する観測結果が公開され始めています。 一つは、Googleの脅威分析グループ(TAG)による調…

【2020年5月28日更新】iPhoneやiPadのメール機能にゼロディ脆弱性攻撃が確認されている件

米国のセキュリティベンダーZecOpsよりiPhoneにデフォルトでインストールされているメールアプリの脆弱性に関する記事が公開されました。 blog.zecops.com 本件、すでに標的型攻撃での悪用が確認されていること。 そして、後述の通り、日本のキャリアの重役…

COVID-19をテーマに政府や医療機関を狙ったサイバー攻撃の観測について

PaloAlto社の脅威インテリジェンスチームUnit42の提供するブログにて、新型コロナウィルスCOVID-19をテーマにしたサイバー攻撃に関する観測内容が公開されました。 unit42.paloaltonetworks.com 同記事では、ランサムウェア攻撃と情報窃取マルウェアAgentTes…

Zoomを使っても大丈夫?セキュリティ観点でどんな問題があったのか

昨今の新型コロナウィルスの影響による在宅ワークの推奨を受けて、ビデオ会議ツールの利用が進んできています。 その中でも利便性含め、多くの組織で使われ始めているソフトウェアがZoomです。 ただこのZoom、セキュリティ感度の高い方々からは、そのセキュ…

GoogleDriveを悪用したRaccoonなどへの感染活動が日本に影響

ここ数日のうちにZscalerおよびTrendMicroが情報窃取マルウェアを用いた感染活動に関する記事を公開しました。 www.zscaler.com blog.trendmicro.com いずれの記事でも特徴的なのはGoogleDriveを悪用している点と、日本へ比較的大きな影響を与えている点です…

ギフトカードとともに郵送されるUSBによるマルウェア感染活動

米国のソフトウェア会社Trustwave社よりソーシャルエンジニアリング攻撃に関する、興味深い記事が公開されていたのでまとめてみます。 www.trustwave.com 目次 攻撃者から送られてくるギフトカード USBを挿すとどうなるか まとめ 攻撃者から送られてくるギフ…

APT41によるCitrixやCisco、ZOHO製品の脆弱性を悪用した攻撃観測

攻撃グループWinntiグループとの関連性が強いとされるAPT41の攻撃観測について、FireEyeよりブログ記事が公開されました。 www.fireeye.com 2020年になってからの1月20日から3月11日の期間に、Citrix ADCおよびNetScaler GatewayやCisco routers、Zoho Manag…

米国CIA関連のAPT-C-39による中国へのサイバー攻撃について

米国と中国は、米中貿易戦争と呼ばれるほど、貿易面において対立を続けていますが、サイバー攻撃においても例外ではありません。 つい先日の2月中旬にも、Equifaxへのサイバー攻撃の件で、中国の人民解放軍第54研究所のハッカー4名を訴訟しました。 www.bbc.…

WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて

セキュリティベンダーのトレンドマイクロより、ハッカー集団DRBControlに関するレポートが公開されました。 www.trendmicro.com https://documents.trendmicro.com/assets/white_papers/wp-uncovering-DRBcontrol.pdf トレンドマイクロがDRBControlと名付け…

Wi-Fi経由でEmotetに感染させる攻撃手法について

昨年8月ごろからの活動再開以降、Emotetを利用したサイバー攻撃が多数確認されています。 以下はその当時作成した記事になります。 micro-keyword.hatenablog.com つい昨日、セキュリティベンダーのCheckPointが公開したマルウェアレポートでも、2020年1月に…

新型コロナウィルス関連のサイバー攻撃まとめ

不謹慎というべきか、先述した内容や以前紹介した記事の通り、新型コロナウィルスに関連した攻撃が複数観測されています。 これまでにブログで紹介したものを含め、本記事に整理してみました。 目次 Emotetへの感染 フィッシングメール NanocoreRATへの感染 …

新型コロナウィルスに関連で用いられるマルウェアParallaxについて

新型コロナウィルスに関連したサイバー攻撃が次々と観測され始めています。 以前Emotetについても触れましたが、 micro-keyword.hatenablog.com 今回は新たにハッカーフォーラムで流通しつつあるマルウェアParallaxについてご紹介します。 目次 Parallaxの発…

Bitbucketを利用してさまざまなマルウェアを落としてくる攻撃について

Bitbucketを利用した、特徴的な攻撃について、Cybereasonのブログにて公開されました。 www.cybereason.com この攻撃では、「ランサムウェア」、「Stealer」、「コインマイナー」など、さまざまな種類のマルウェアが、Bitbucketを通して、展開されます。 新…

Winntiグループによる香港の大学を狙った標的型攻撃について

2020年1月31日、セキュリティベンダのESET社のブログにて、Winntiグループによる香港の大学を狙った標的型攻撃に関するブログ記事が公開されました。 www.welivesecurity.com 今回の攻撃キャンペーンにおける標的は香港の大学でしたが、当該グループは過去に…

ランサムウェアFTCODEについて~ChromeやFirefoxに保存された認証情報の取得を試みる~

米国のセキュリティベンダZscalerより、ランサムウェアFTCODEに関する観測記事が公開されました。 www.zscaler.com 本ランサムウェアはイタリア語圏のユーザを対象としているものの、その機能が、情報を暗号化するだけでなく、情報窃取も行うものであり、興…

Tiktokが抱える色々な問題について(XSS,CSRF脆弱性など)

Tiktok みなさん一度は耳にしたことがあると思います。 若者に大流行! と言われているくらいなので、使っていない私はもう若者ではないのかも。。。 と今更ながら思っている悲しみ。。。 少し調べてみると、こんな記事が diamond.jp 記事によると、Tiktokは…

経済産業省を装うフィッシング攻撃の観測レポートについて

Thread Intelligence のプラットフォームを提供することで知られているAnomali社より、政府系の調達機関を装い認証情報を窃取しようとする攻撃に関するレポート記事が公開されました。 www.anomali.com 記事中で述べられている調達機関は、買い手と売り手を…

ハッカー集団Tickによる日本のシンクタンクや広告代理店を狙った標的型攻撃について

2019年11月29日にトレンドマイクロのブログにて、ハッカー集団Tickの活動についての記事が公開されました。 https://blog.trendmicro.com/trendlabs-security-intelligence/tag/operation-endtrade/ https://documents.trendmicro.com/assets/pdf/Operation-…

Adobe Flash Playerのアップデートなどを装ったマルウェアサイトによって情報窃取を狙う攻撃について

クラウド型のセキュリティソリューションを提供することで知られているZscalerのThreatLabZによって、攻撃観測に関する、記事が公開されました。 www.zscaler.com 今回の観測では、以下2種類の手法で、RAT(Remote Access Trojan)に感染させる動きが見られた…

ダークウェブ等で公開されたフォーチュン500選出企業の認証情報に関する調査結果について

ImmuniWebより、ダークウェブ上に存在する認証情報についての調査結果が公開されました。 www.immuniweb.com ImmuniWebは、スイスの企業High-Tech Bridgeが、2007年にペネトレーションテストツールとして、公開したものです。 特徴として、AIおよびマシンラ…