サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
Google I/O
unit42.paloaltonetworks.com
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2) Executive Summary Update April 2: Recent investigations have revealed preliminary steps in the tj-actions and reviewdog compromise that were not known until now. We have pieced together the stages that led to the original compromise, provid
概要 本稿は、クラウド内の仮想マシン (VM) サービスに対する潜在的な攻撃ベクトルを特定・緩和するための戦略について解説します。組織はこの情報を使って、VM サービスに関連する潜在的リスクを理解し、防御メカニズムを強化できます。この調査では、Amazon Web Services (AWS)、Azure、Google Cloud Platform (GCP) という 3 つの主要クラウド サービス プロバイダー (CSP) が提供する VM サービスを中心に取り上げます。 VM はあらゆるクラウド環境で最も利用数の多いリソースの 1 つで、その多さがゆえに、攻撃者らの主要な標的にされています。私たちの研究からは、インターネットに公開されているクラウドホストの 11% には、深刻度が「緊急 (Critical)」または「重要 (High)」と評価される脆弱性があることがわかっています。 V
概要 この脅威概要は日次でモニタリングされ、共有すべき新たなインテリジェンスを入手しだい更新されています。全更新履歴は本稿末に記載されています。この更新履歴では、行われたすべての変更の詳細な説明を提供しています。 パロアルトネットワークスと Unit 42 は、CVE-2024-3400 に関連するアクティビティを追跡しており、外部のリサーチャー、パートナー、お客さまと協力しあい、情報を透明性と迅速性をもって共有いたします。 パロアルトネットワークスの PAN-OS ソフトウェアには、深刻度が「重大 (critical)」のコマンド インジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者が、同ファイアウォール上で、root 権限で任意のコードを実行できるようになります。同脆弱性には CVE-2024-3400 が割り当てられ、CVSS スコアは 10.0 となってい
Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Updated May 20) Executive Summary This threat brief is monitored daily and updated as new intelligence is available for us to share. The full update log is at the end of this post and offers the fullest account of all changes made. Palo Alto Networks and Unit 42 are engaged in tracking activity related to
概要 Unit 42 のリサーチャーは最近、北朝鮮 (朝鮮民主主義人民共和国 DPRK) に紐づく国家支援型脅威アクターが関与した、求職活動を標的とする 2 つの別々のキャンペーンを発見しました。私たちは 1 つめのキャンペーンを「Contagious Interview (感染面接) 」と呼んでいます。このキャンペーンでは、脅威アクターが (多くの場合匿名または曖昧な身元で) 雇用者を装い、面接過程でソフトウェア開発者にマルウェアをインストールするようにしむけます。このマルウェアは、さまざまな種類の窃取の可能性を生み出します。私たちは、Contagious Interview が北朝鮮の国家支援型脅威アクターにより運営されていると、中程度の確度でアトリビュート (帰属) しています。 私たちは、2 つめのキャンペーンを「Wagemole (賃金+スパイ)」と呼んでいます。このキャンペーン
概要 本稿は、DNS (ドメイン ネーム システム) のトンネリング技術が野生で (in the wild) どのような理由と方法で利用されているのかに関する研究をご紹介します。またこの研究結果に基づいて、トンネリング ドメインをツールやキャンペーンに自動的にアトリビュート (帰属) させる弊社のシステムについて取り上げます。 攻撃者は DNS トンネリング技術を採用することで企業ネットワークのセキュリティ ポリシーをバイパスしています。その理由は、ほとんどの企業が DNS トラフィックに対し、比較的寛容なポリシーを実装していることにあります。これまでの調査で、SUNBURST や OilRig などのマルウェア キャンペーンが、コマンド & コントロール (C2) に DNS トンネリング技術を使っていることが明らかになっています。 ただし、攻撃者が DNS トンネリングを野生でどのよう
概要 リサーチャーは、脅威アクターが古い概念実証 (PoC) コードを再利用して、新たにリリースされた脆弱性用の偽 PoC をすばやく作成してしまうことを意識しておく必要があります。2023 年 8 月 17 日に Zero Day Initiative は WinRAR のリモート コード実行 (RCE) の脆弱性 (CVE-2023-40477) を公開しました。同団体は、2023 年 6 月 8 日にベンダーへの開示を行っていました。CVE-2023-40477 の公開から 4 日後、ある攻撃者が whalersplonk というエイリアスを使い、偽の PoC スクリプトを GitHub リポジトリにコミットしました。 WinRAR の脆弱性のエクスプロイト用とされたこの偽 PoC は、GeoServer というアプリケーションの SQL インジェクション脆弱性 (CVE-2023-
概要 Playful Taurusは日常的にサイバースパイ活動を行う中国の持続的標的型攻撃グループです。APT15、BackdoorDiplomacy、Vixen Panda、KeChang、NICKELの名前でも知られています。このグループは少なくとも2010年には活動を開始しており、歴史的に北南米、アフリカ、中東の政府機関や外交機関を標的にしてきました。 2021年6月、ESETは同グループがツールキットを更新し、Turianと呼ばれる新たなバックドアを搭載したと報告しました。このバックドアの開発は現在も活発に行われています。私たちはこのツールはもっぱらPlayful Taurusのアクターだけが使用していると評価しています。このケイパビリティの進化につづき、最近私たちは同バックドアの新たな亜種と、新たなコマンド&コントロール(C2)インフラを確認しました。これらのサンプルと悪意のある
2019年1月30日 PST 本脆弱性の悪用シナリオの前提条件に関するコミュニティからのフィードバックを受け、私たちはAuth0と協力してCVE-2022-23529を撤回することを決定しました。 本稿で解説したセキュリティの問題はJsonWebTokenライブラリが安全でない方法で使用された場合には依然として懸念されるものです。そのシナリオでは、すべての前提条件を満たせばこの問題を悪用できる可能性があります。私たちは、その場合のリスクの大元はライブラリ側でなく呼び出し側のコードにあることに同意します。 この問題に対処するためJsonWebTokenのコードには重要なセキュリティチェックが追加されました。 jsonwebtoken 8.5.1以前のバージョンをお使いの場合は最新版の9.0.0にアップデートすることをお勧めします。最新版では同セキュリティ問題を含む問題を修正済みで、より安全な
表1 Kerberosチケット Enc-partにはさまざまなフィールドがありますが、ここでは以下について説明します。 cname: クライアントのプリンシパル識別子の名前部分 認証データ: プリンシパルからの認証データをアプリケーションサービスに渡すために使用。プリンシパルではチケットが代理発行される。この部分には特権属性証明(PAC)が含まれる Kerberos特権属性証明(PAC)とは? Microsoftのドキュメントによると、PACは、認証関連情報を示す構造体であり、認証関連情報はDCで渡されます。PACを認証プロトコルで使用してIDを検証し、認証情報を転送してリソースへのアクセスを制御します。 PAC内のセキュリティ識別子(SID)、相対識別子(RID)といった認証データが、DCに含まれます。 Kerberos委任 Kerberos委任の一般的な使用例は、Webサーバーでデータ
概要 マルウェアの作成者は、マルウェアがサンドボックス内で実行されていることを検出すると、悪意のある動作をしないようにあらゆる手を尽くします。そのような場合、検出が困難な独自のサンドボックスを作成することが、セキュリティ防御担当者にとって最善の対策になることがあります。世の中には多くのサンドボックス アプローチがあり、それぞれに長所と短所があります。本書では、カスタムメイドのアプローチを選択した理由について、さらにその際に対処する必要があった回避の種類とそれらへの対処方法について説明しします。 マルウェアの作成者がサンドボックスを検出する具体的な方法には多くのバリエーションがありますが、全体的なテーマは、環境の特性をチェックして、それが自動システムではなく、ターゲット ホストに見えるかどうかを確認することです。 パロアルトネットワークスのお客様は、高度なWildFireを通じ、本稿で解説す
概要 皆さんはWebサイトを見ているときに、自分が見られているような気がすることはないでしょうか。だとしたら誰が、そのWebサイト、さらにはインターネット全般を通じ、私たちの振る舞いを観察しているのでしょうか。そうした情報の流れを制限したり、せめてその流れを把握しておくことは可能でしょうか。 インターネットはほぼ広告を中心に回っていますので、人びとのオンライン活動の監視から利益を得る企業にとってはユーザーデータが非常に貴重なリソースとなっています。そうして集められた情報が(本当に必要だったものとまではいかないにせよ)よりよいユーザー体験につながることは多いでしょう。ただし、トラッキング行為によるプライバシー侵害への懸念も起きるべくして起きています。 こうした懸念を受け、多数のグループがツールの開発やアプリケーションの改修でユーザープライバシーを保護しようとしてきました。そうした対応のひとつ
概要 サイバー犯罪者はドメイン名を侵害することで、そのドメインの所有者や利用者を直接攻撃したり、フィッシング、マルウェア配布、コマンド&コントロール(C2)オペレーションなどの悪質な活動に利用したりしています。こうしたドメイン名侵害の一形態として「ドメインシャドウイング(domain shadowing)」と呼ばれる侵害があります。ドメインシャドウイングでは、侵害されたドメインの下に攻撃者が悪意のあるサブドメインである「シャドウドメイン(shadowed domain)」をひそかに作成します。これらシャドウドメインは侵害ドメインの通常のオペレーションに影響しないので被害者は気づきにくいですし、サブドメインは目立たないので、サイバー犯罪者に長期間、侵害されたドメインのもつ高いレピュテーション(評判)を利用されてしまうことが少なくありません。 現在は脅威リサーチにもとづいて検知を行うアプローチ
概要 Torプロジェクトは、インターネット上で匿名性を保ちたいユーザーが利用できる、もっとも有名なツールの1つを提供しています。Torは善悪さまざまな用途に利用されていますが、企業ネットワークでのTorトラフィックの許可は、さまざまな悪用やセキュリティリスクの懸念をもたらします。 政治活動家はTorで政府の目を逃れ、意思表明をします。サイバー犯罪者はTorで防御をかいくぐり、法執行機関から身を隠します。TorはSilk Roadのようなダークウェブマーケットプレイスの運営を可能にしたことで有名で、顧客は麻薬、武器、偽造身分証明書など、さまざまな違法商品をそこで調達できました。マルウェアの作者はつね日頃から、サービス妨害(DoS)攻撃、隠密偵察、エクスプロイト、コマンド&コントロール通信、データ漏出にTorを使っています。 Torトラフィックのリスクを懸念する企業にとっては、マルウェアのコマ
概要 毎年数万もの脆弱性が報告されていますが、そのすべてが実際の攻撃で利用されているわけではありません。それには、次のようなさまざまな理由が考えられます。攻撃者が武器化するための概念実証(PoC)を実施できない、対象の脆弱性を利用することが難しすぎる、アクセス可能な脆弱なソフトウェアがインターネット上にない、影響が小さいため攻撃者が単にその脆弱性を悪用する価値がないと見なしたなどです。実際の防御側には、攻撃者が悪用に選ぶ脆弱性および防御を重視すべき場所に関するデータが必要です。 「2022 Unit 42 Network Threat Trends Research Report」(Unit 42 ネットワーク脅威動向調査レポート2022年版)では、パロアルトネットワークスのAdvanced Threat Preventionセキュリティサービスによって次世代ファイアウォールおよびPris
概要 Cobalt Strikeは商用の脅威エミュレーションソフトウェアで、ネットワークに長期的にひそむアクターをエミュレートします。Beaconと呼ばれるこのアクターは外部TeamServerと通信してコマンド&コントロール(C2)トラフィックを模倣します。汎用性が高く、レッドチームの正規ツールとしてよく利用されますが、脅威アクターの実際の攻撃でも広く使用されています。この汎用性の高さはCobalt Strike にそなわる多くの機能に起因しています。たとえばC2サーバーへ送信するメタデータを暗号化・復号するプロセスなどがその例です。 以前のブログ「Cobalt Strike解析&チュートリアル: Cobalt Strikeによるメタデータのエンコードとデコード」では、暗号化されたメタデータがHTTPトランザクション用にエンコードされることを学びました。 Cobalt Strike Be
概要 2022年5月27日、リモートテンプレートを利用する悪意のあるWord文書がms-msdt Office URIプロトコルによりPowerShellを実行する手口の詳細が明らかになってきました。このテクニックを使用すると、攻撃者はローカルのOfficeマクロポリシーをバイパスし、Wordのコンテキスト内でコードを実行することができるようです。その後、Microsoftは保護のガイダンスを公開し、この脆弱性にCVE-2022-30190を割り当てました。 公開された情報が多く、悪用が容易で、エクスプロイトの有効性がきわめて高いことから、この重大な脆弱性についてお客様にご認識いただき、Microsoftによる修正プログラムが公開されるまでのあいだも適切な保護を行う選択肢を持てるよう、本稿にて脅威に関する情報を提供します。 本脆弱性を利用すると呼び出し元アプリケーションと同じ権限でリモート
This post is also available in: 日本語 (Japanese) Executive Summary Following Log4Shell, AWS released several hot patch solutions that monitor for vulnerable Java applications and Java containers and patch them on the fly. Each solution suits a different environment, covering standalone servers, Kubernetes clusters, Elastic Container Service (ECS) clusters and Fargate. The hot patches aren't exclusiv
This post is also available in: 日本語 (Japanese) Executive Summary Recently, two vulnerabilities were announced within the Spring Framework, an open-source framework for building enterprise Java applications. On March 29, 2022, the Spring Cloud Expression Resource Access Vulnerability tracked in CVE-2022-22963 was patched with the release of Spring Cloud Function 3.1.7 and 3.2.3. Two days later on M
概要 最近、WebSVN(Subversionリポジトリ閲覧用のオープンソースWebアプリケーション)に影響を与えるコマンドインジェクション脆弱性が公開され、この脆弱性を利用したエクスプロイトが実際に確認されています。この「緊急」のコマンドインジェクション脆弱性は2021年5月に発見されて修正が行われました。PoC(概念実証)が公開されると、その週(2021年6月26日)のうちに攻撃者はこの脆弱性を悪用してDDoSマルウェア「Mirai」の亜種を展開しました。WebSVNをお使いの方は、最新のソフトウェアバージョンにアップグレードすることを強く推奨します。 パロアルトネットワークスの次世代ファイアウォールは、CVE-2021-32305の悪用からお客様を保護し、Cortex XDRはMiraiの亜種を検出して感染を防ぎます。 CVE-2021-32305の根本原因と修正プログラムの解析 ソ
概要 Unit 42のリサーチャーはSynologyのネットワーク対応ストレージ(NAS)とQuality Network Appliance Provider(QNAP)のNASデバイスを標的とするeCh0raixランサムウェアの新たな亜種を発見しました。攻撃者は攻撃にCVE-2021-28799を利用し、QNAPデバイスに新たなランサムウェア亜種eCh0raixを配信します。eCh0raixは、これまでQNAPとSynology NASデバイスを別々のキャンペーンで標的にしてきたランサムウェアとして知られていますが、この新しい亜種はQNAPとSynology の両方のNASデバイスを標的にするために機能を組み合わせていました。このことから「小規模オフィスやホームオフィス (SOHO) でよく使われるデバイスを狙ってツール最適化にむけた継続的投資を行っているランサムウェア開発者」の存在が
概要 最近MicrosoftがMicrosoft Exchange Serverの4つのゼロデイ脆弱性に関するセキュリティ更新プログラムを公開しました。中国政府の支援を受け、国外に向けて活動を行っていると思われる ハッカー集団HAFNIUMが、そうした脆弱性を突いて盛んに攻撃を仕掛け、被害をもたらしているからです。本稿ではそれらの攻撃でドロップされていることが確認されたバックドアChina Chopper Webシェルの概要を説明したいと思います。また、攻撃自体により生成されたメタデータなどのインシデント由来のアーティファクトについても分析していきます。それにより、それらの攻撃の特性と手法について情報を収集し、詳しく把握することができます。 パロアルトネットワークスがどのようにしてこれらの脅威からお客様を保護するのかについては、脅威の評価: Microsoft Exchange Serve
概要 2021年3月2日、VolexityがMicrosoft Exchange Serverの4つの脆弱性、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065について悪用が活発に見られると報告しました。 これらの脆弱性が悪用された場合、攻撃者は、Microsoft Exchange Serverにアクセスし、被害環境への長期アクセスを容易にする追加ツールをインストールできるようになります。これらゼロデイ脆弱性を利用する脅威アクターは複数存在するとした報告もあることから、ポストエクスプロイトアクティビティは脅威アクターの目的しだいで変わってくる可能性があります。 これらの脆弱性は、次のバージョンのMicrosoft Exchange Serverに影響します。 Microsoft Exchange 2013 Microso
This post is also available in: 日本語 (Japanese) Executive Summary This tutorial is designed for security professionals who investigate suspicious network activity and review packet captures (pcaps). Familiarity with Wireshark is necessary to understand this tutorial, which focuses on Wireshark version 3.x. Emotet is an information-stealer first reported in 2014 as banking malware. It has since evol
IAMFinder: Open Source Tool to Identify Information Leaked from AWS IAM Reconnaissance Executive Summary In a recent blog, “Information Leakage in AWS Resource-Based Policy APIs,” Unit 42 researchers disclosed a class of Amazon Web Services (AWS) APIs that can be abused to find existing users and Identity and Access Management (IAM) roles in arbitrary accounts. The root cause of the issue is that
概要 クラウドコンピューティングの発展に伴いコンテナ人気はますます高まっており、コンテナ実装方法のソリューションやアイデアが新たに導入されはじめています。そうした新しいアイデアの1つがrootlessコンテナです。 rootlessコンテナはコンテナの新しい概念で、編成のさいroot権限を必要としません。権限のないユーザーがコンテナを作成する上での技術的課題を克服するために多くのソリューションが提案されており、その中には開発中のものもあればすでに本番環境に対応しているものもあります。ただし(主にセキュリティ上のメリットはあるものの)rootlessコンテナはまだその形成期にあると言えるでしょう。 本稿では、Unit 42のリサーチャーである筆者Aviv Sassonが、rootlessコンテナの内部をレビューし、つづいてrootlessネットワーク接続機能の主要コンポーネントの1つ(Sli
概要 QakbotはQbotという名前でも知られる情報窃取を行うマルウェアです。長年にわたり活発に利用され、非常に特徴的なトラフィックパターンがあります。今回のWiresharkチュートリアルでは、最近のQakbot感染トラフィックのパケットキャプチャ(pcap)を確認していくことにしましょう。セキュリティ専門家がQakbotによる感染を検出・調査するには、同マルウェアによる感染トラフィックパターンを理解することが重要です。 注意: 本チュートリアルは、Wiresharkに関する基本的知識があることを前提としています。また、以前の チュートリアルで設定したカスタマイズ済みの列表示を使います。またこの回で解説したWiresharkディスプレイフィルタもすでに実装されているものとしています。 本チュートリアルで説明する内容は次のとおりです。 Qakbotの配布方法 マルスパム内のリンクからの最
概要 ここ数年、コンテナの人気はますます高まっています。数年前にこのことを認識したMicrosoftは、Microsoft Windows向けコンテナ ソリューションを提供するためにDockerと提携しました。 その間、Linuxのコンテナで検出された重大な脆弱性の数から判断して、Windowsコンテナにも多少の脆弱性が存在することが考えられます。しかし、Linuxと違って、Windowsはオープンソースではなく、特にコンテナ機能に関するドキュメントはほとんど存在しないので、そのような脆弱性を見つけるのははるかに困難です。現在、Windowsのコンテナ機能の内部実装に関する情報はほとんどありません。Microsoftのコンテナの実装について理解を深めるには、カーネルのリバース エンジニアリングを行う必要がありました。 その結果、ジョブ オブジェクトがLinuxのコントロール グループ(cg
This 1-hour virtual summit is your VIP pass to the future of security innovation, packed with exclusive insights, live demos and stories from pros who are already conquering the toughest threats with Cortex®. Get insights from world-class Unit 42® experts that help you anticipate and shut down threats before they strike. Hear transformation stories from SecOps leaders who’ve achieved breakthrough
次のページ
このページを最初にブックマークしてみませんか?
『Unit 42 - Latest Cyber Security Research | Palo Alto Networks』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
