サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
大阪万博
unit42.paloaltonetworks.jp
This post is also available in: English (英語) 概要 本稿は、DNS (ドメイン ネーム システム) トンネリングの野生 (in the wild) での新たな応用に関するケース スタディを紹介します。こうした技術の応用範囲は、単なるコマンド & コントロール (C2) や仮想プライベート ネットワーク (VPN) が目的の DNS トンネリングを超えて広がっています。 ときに悪質なアクターは DNS トンネリングを秘密の通信チャンネルとして使うことがあります。これなら従来型のネットワーク ファイアウォールを回避でき、従来の検出手法から C2 トラフィックや漏出データを秘匿できるからです。 ところが私たちは最近、従来の C2 や VPN 以外の用途で DNS トンネリングが使われているキャンペーンを 3 つ検出しました。その用途とはスキャンと追跡で
This post is also available in: English (英語) 概要 2024 年 2 月 16 日、中国の IT セキュリティ サービス会社 i-Soon (別名 Anxun Information Technology) に属する可能性のある社内通信、セールス関連資料、製品マニュアルを含むデータが何者かによって GitHub にアップロードされました。漏えいした資料は、ある営利団体が、中国とつながりのある脅威アクターを支援するサイバー スパイ ツールをどのように開発・サポートしたかを示すもののようです。漏えいデータの初期調査の一環として、Unit 42 は、データ漏えい内の情報と以前の中国とつながりのある持続的標的型攻撃 (APT) キャンペーンとのリンクを発見しました。Unit 42 は、この漏えいが本物であることを高い確度で評価しています。 たとえば、この
APT28, UAC-0001, Fancy Bear, Strontium / Forest Blizzard, Pawn Storm, Sofacy, Sednit CVE-2023-23397: 概要 Fighting Ursa は、ウクライナでの紛争に先立ち、ロシアの情報戦オペレーションを支援するハッキングによってその定評を確立していました。こうした支援には以下の取り組みが含まれています。 オリンピックの反ドーピング調査報道への対抗 英国における GRU による暗殺未遂事件で、化学物質の使用に関する捜査を妨害 米国、フランス、ドイツの民主的選挙プロセスへの影響行使 国際的にはあまり知られていないのが、ロシアのウクライナ侵攻に先立ち今日に至るまで行われている Fighting Ursa の一連のハッキング キャンペーンです。 2022 年 2 月 24 日、ロシアはウクライナへの本格
This post is also available in: English (英語) 概要 Unit 42 のリサーチャーは、Google Workspace (旧 G Suite) のドメイン全体の委任機能にセキュリティ リスクがあることを発見しました。私たちは、Google Cloud Platform (GCP) から Google Workspace ドメイン データにアクセスする、予期せぬ方法を明らかにしました。 必要な権限を持つ GCP の ID があれば、委任されたユーザーに対するアクセス トークンを生成できることがわかりました。クレデンシャル (認証情報) を盗んだ悪意のある内部関係者や外部にいる攻撃者は、このアクセス トークンを使って Google Workspace ユーザーになりすまし、これらのユーザーのデータに対する不正アクセスを許可したり、これらのユーザーに代
This post is also available in: English (英語) 概要 Insidious Taurus (別名 Volt Typhoon) は、米国政府機関と政府の国際的な協力者らにより、中華人民共和国 (PRC) の国家支援型サイバー攻撃者であることが特定されています。このグループは、おそらくは重大な危機ないし米国との紛争発生時に崩壊的ないし破壊的に行うサイバー攻撃に備え、米国の重要インフラの IT ネットワーク内に事前に入り込むことに重点を置いています。2024 年 1 月 31 日の公聴会で、FBI の Christopher Wray 長官は、米国と中国共産党の戦略的競争に関する米国下院特別委員会に対し、Volt Typhoon (Insidious Taurus) は「我々の世代の決定的脅威」と語りました。 米国政府は国際的な政府の同盟国と協力し、同グル
This post is also available in: English (英語) 概要 本稿ではUnit 42のリサーチャーがCobalt Strikeコンポーネントを組み込んだ複数のマルウェアサンプルを検証します。実行上の重要ポイントにおけるプロセスメモリ内の差分から得られたアーティファクトを分析し、これらサンプルを捕捉する方法を解説します。またこれらの脅威が使う回避戦術など、解析上問題となるポイントについても説明します。 Cobalt Strikeはレッドチーム演習用の敵対的シミュレーションフレームワークの1つですが、長年にわたり検出エンジンを悩ませてきた回避型マルウェアの典型的特徴を備えていることから、その人気はレッドチームにとどまらず、脅威アクターの多くが悪意のある目的に利用しています。 ツールキットそのものは実践的セキュリティテストを行いたい信頼すべき団体だけに販売されて
By Mike Harbison and Peter Renals July 5, 2022 at 7:08 PM Category: Threat Advisory/Analysis Tags: APT 29, brute ratel c4, pentest tool, red teaming tool This post is also available in: English (英語) 概要 Unit 42は、既知のAPT攻撃グループ(Advanced Persistent Threat 持続的標的型攻撃)のパターンや戦術に合致する新たな独自マルウェアサンプルを継続的にハントしています。5月19日、こうしたサンプルの1つがVirusTotalにアップロードされ、評価した56のベンダすべてから良性という判定を受けました。検出にまつわる懸念は明らかですが、このサンプルは悪性ペイロード、
By Brad Duncan May 17, 2022 at 6:00 AM Category: Malware Tags: Emotet, Macros, mealybug, Mummy Spider, Phishing, TA542 Emotetは現在の脅威概況でもっともメール配信数の多いマルウェアのファミリの1つです。法執行機関の連携により2021年1月にテイクダウンされたものの、2021年11月にはオペレーションを再開し、それ以来突出した脅威に返り咲いています。 本稿では、Emotetの背景と2021年11月の復活以降の活動を振り返り、復活から2022年1月末までのEmotetオペレーションで観測された変化に関する情報を提供します。本稿で取り上げたサンプルで全体像をつかみつつ、Emotetがいま世界中でどのような脅威となっているのかの理解につながればと思います。 パロアルトネットワ
目次 影響を受けるソフトウェアとバージョン Spring Frameworkの背景 CVE-2022-22965の根本原因分析 クラスローダー悪用の背景 侵害されたサーバー上でのリモートサーバーへのリバースシェル接続確立 SpringShellのエクスプロイト 実際に観測された事例 結論 追加リソース IoC 影響を受けるソフトウェアとバージョン 既存のエクスプロイトの概念実証(PoC)は、以下の条件で動作します。 JDK 9以上 ServletコンテナとしてのApache Tomcat (Spring Bootの実行可能jarとは異なる)従来のWARとしてのパッケージ化 spring-webmvc または spring-webflux との依存関係 Spring Framework バージョン 5.3.0 から 5.3.17, 5.2.0 から 5.2.19, およびそれ以前のバージョン
By Yuval Avrahami March 3, 2022 at 5:09 PM Category: Cloud Tags: containers, CVE-2022-0492, Linux, vulnerabilities This post is also available in: English (英語) 概要 2022年2月4日、Linuxはカーネルにおける新たな特権昇格脆弱性CVE-2022-0492を公表しました。CVE-2022-0492はコンテナの基本構成要素であるLinuxの機能、コントロールグループ(cgroup)における論理バグです。この問題は最近発見されたLinuxの権限昇格脆弱性のなかでもとりわけその単純さできわだつもので、「Linuxカーネルが誤って特権的オペレーションを非特権ユーザーに公開してしまった」という内容になっています。 さいわい、ほとんどのコン
目次 DDoS攻撃によるウクライナ政府機関および銀行機関への影響 HermeticWiperマルウェア Webサイトの改ざん フィッシング・詐欺攻撃の増加 サイバースクワッティングの増加傾向 偽の寄付サイト ウクライナのニュースサイトに対するDoS攻撃 アプリの配布 皆様の安全にむけた弊社の取り組み 増加するサイバー脅威に伴うワイパー、DDoS、Webサイト改ざんなどのサイバー攻撃への対策 脅威インテリジェンス、セキュリティコンサルティングによるUnit 42のサポート 追加のサイバーセキュリティリソース IoC 付録A: Cortex Xpanse: CISAによる悪用が確認されている脆弱性に基づき影響を受けた可能性のある資産を特定する DDoS攻撃によるウクライナ政府機関および銀行機関への影響 2月15日、ウクライナのサイバー警察は、住民が偽のSMSメッセージを多数受信していると報告し
By Tyler Halfpop, Micah Yates, Brad Duncan and Saqib Khanzada February 15, 2022 at 6:00 AM Category: Malware, Unit 42 Tags: Emotet, Macros, Phishing, Windows This post is also available in: English (英語) 概要 Unit 42は感染の広がっているマルウェアファミリEmotetの新たな感染手法を観測しました。この手法は早くも2021年12月21日時点では確認されています。Emotetは攻撃手法を頻繁に変更するばらまき型マルウェアで、今回の手法変更もその例にもれません。 新たな攻撃ではメールでExcelファイルが配信され、その文書に難読化されたExcel4.0マクロが含まれています。マクロが有効化
[2022-12-01更新] ウクライナを標的に活動を強めるロシアGamaredon (別名Primitive Bear)APTグループ This post is also available in: English (英語) 概要 11月以降、ロシアとウクライナの地政学的緊張が急激に高まっています。ロシアは現在ウクライナの東側国境に10万人以上の兵力を集結させていると言われており、これが次は侵攻が来るのではないかという推測につながっています。2022年1月14日、この紛争はサイバー領域にまで波及しており、ウクライナ政府は破壊的マルウェア(WhisperGate)の標的となり、OctoberCMSという別の脆弱性が悪用されて、複数のウクライナ政府のウェブサイトが改ざんされました。これらの事象のアトリビューション(帰属確認)は現在進行中で、ウクライナを標的とした最も活発な既存のAPT(持続的
表2 Log4jのエクスプロイト試行のコールバックURLで見られた上位ドメインとIPアドレス 脆弱なサーバーの発見 私たちが観測したインバウンドのエクスプロイト試行の多くは、エクスプロイト成功を送信者に通知するアウトバウンドリクエストを送信するだけのものでした。これらの試みのすべてがスキャンを目的としていたのか、悪意のあるアクターの偵察活動の一環であったのかは確認できていません。そのなかにはコールバックURLとの最初のやりとりが脆弱なサーバーであることを示すというだけのエクスプロイト試行もあり、その多くは、以下のコールバックURLに見られるような「カナリアトークン」を使用していました。 x[hostname].l4j.2sk9753uabgse6xz75tooe5ix.canarytokens[.]com ただし、アクターがコールバックURLからJavaクラスをロードして実行することにより
By Robert Falcone and Peter Renals December 2, 2021 at 6:00 AM Category: Unit 42 Tags: APT, Godzilla webshell, ServiceDesk Plus, TiltedTemple, Zoho ManageEngine This post is also available in: English (英語) 概要 この2ヶ月間で、持続的に手堅く攻撃を行うあるAPT攻撃グループが、複数の攻撃キャンペーンを展開し、少なくとも13の組織が侵害を受けていました。2021年9月16日、米Cybersecurity and Infrastructure Security Agency(CISA)は、ManageEngine ADSelfService Plusとして知られるセルフサービス型のパスワード
This post is also available in: English (英語) 概要 .com、.net、.xxx、.huなどのトップレベルドメイン(TLD)は、ドメインネームシステム(DNS)の名前付け階層の最上位に位置します。ユーザーがドメイン名(たとえばpaloaltonetworks.com)を取得しようとする場合、通常は、TLDに直接登録するか、1つ下の階層(たとえばgoogle.co.uk)に登録する必要があります。TLDの価格、登録制限、セキュリティ慣行、他のTLDとの字句の類似性(たとえば.cmと.com)などのTLDの特性やポリシーは、犯罪者が活動をしていく上でこれらのTLDに魅力を感じるかどうかに影響します。 1,000個以上あるTLDのうち、「悪意のあるドメイン(悪性ドメイン)」の数別で見て上位25個のTLDが、悪性ドメイン名全体の90%以上を占めています。
This post is also available in: English (英語) 概要 ここ数カ月、ランサムウェアやRaaS(Ransomware-as-a-Service)による攻撃がサイバーセキュリティ業界の話題の中心となっていますが、犯罪者やハッカーは、金銭的な利益を得るために企業やビジネス、個人の電子メールも侵害し続けています。これらの詐欺、つまりビジネスメール詐欺(BEC)と個人用のメールアカウント侵害(EAC)は、日々ユーザーに報告されるサイバー脅威の中でもとくに広くみられるもので、対応コストも非常に高いものになっています。米国連邦捜査局(FBI)は最新の年次レポートで「BECおよびEACは、2020年に米国国内において少なくとも18億6,000万ドルの損失要因となっており、これは2019年に報告された損失との比較で5%の増加である」と報告しています。米国で報告された2
This post is also available in: English (英語) 概要 Wiresharkは、ネットワーク内を流れるパケットをキャプチャし、その内容(pcap)を確認するためのツールです。筆者は2018年からさまざまなWiresharkチュートリアルを執筆し、世界中のカンファレンスでワークショップを開き、そこで対面で講師をつとめてきました。これまで筆者が行ったこれらのワークショップは、情報セキュリティ業務にあたる方々がWiresharkを使ってWindowsベースのマルウェア感染トラフィックを確認できるようにすることを目指したものでした。 ただ残念ながら、2020年初頭以降は新型コロナウイルス感染症の拡大による渡航制限で、対面でのワークショップは開催できていません。そこで私たちは、それまで対面で行ってきたワークショップの大半をカバーしたビデオチュートリアルを開発し、
Azurescapeの発見: Azure Container Instances(ACI)におけるクロスアカウントでのコンテナ乗っ取り This post is also available in: English (英語) 概要 Azure Container Instances(ACI)は、AzureのContainer-as-a-Service (CaaS)であり、顧客は基盤となるサーバーを管理することなく、Azure上でコンテナを実行することができます。Unit 42のリサーチャーは最近、このACIの重大なセキュリティ問題を発見し、Microsoftに開示しました。悪意のあるAzureユーザーは、これらの問題を悪用して、他のユーザーのコンテナ上でコードを実行したり、顧客の秘密やプラットフォームにデプロイされたイメージを盗んだり、ACIのインフラを仮想通貨(暗号通貨)のマイニングに悪
This post is also available in: English (英語) 概要 Webベースのコンソールが管理用のソフトウェアやスマートデバイスに広く使われるようになったおかげで、データをインタラクティブに可視化したり、設定をユーザーフレンドリーに行えるようになりました。こうした流れは企業コンピュータシステムの複雑化や家庭用最新IoTデバイス(Internet of Things モノのインターネット)の利用数増加につれて勢いを増しています。こうしたWebアプリケーションはふつう、ファイアウォールで保護された環境の内側やプライベートネットワーク内に設置されていますから、その利用者に対しては高い信頼度が設定される傾向があります。また、それらの製品は利用者がすべて認証済みであることを前提としているので、機微な情報の開示や管理者権限の付与にさいしても、アプリケーションレベルでは強
By Aviv Sasson May 27, 2021 at 10:16 PM Category: Cloud, Unit 42 Tags: cloud, Cryptocurrency, Docker, Docker Daemon This post is also available in: English (英語) 概要 クラウド関連の脅威を評価・監視するという継続的ミッションの一環として、私たちは数種類のハニーポットを導入して定期的に監視しています。本リサーチでは、構成に不備のあるDockerデーモンを模したハニーポットに着目し、2021年3月から4月の間に得られた合計850件の攻撃試行から33種類の異なる攻撃を含むデータを調査します。その75%以上はクリプトジャッキング攻撃で、Kinsingは攻撃合計数が360件と最も多用されたマルウェアでした。本稿ではこれらインスタンスがどのくら
This post is also available in: English (英語) 概要 Unit 42のリサーチャーは2020年10月から2021年2月までインターネット上のセキュアではないKubernetes(k8sとも)クラスタを定期的にスキャンして分析してきました。Kubernetesクラスタの構成上のセキュリティは強化が可能で、また必要でもあります。そのように構成されていない場合、IPやポート、APIを知っていれば誰でも匿名でこれらのクラスタにアクセスできてしまいます。私たちのチームのリサーチャーが特定したセキュアではないKubernetesクラスタは2,100個あり、それらは5,300個のノード、31,340個のCPU、75,270個のポッドで構成されていました。これらセキュアではないクラスタは、Eコマース、金融、ヘルスケアなどのセクタの組織によって運用されており、さまざ
This post is also available in: English (英語) 概要 近年、攻撃者がリモートデスクトッププロトコル(RDP)を悪用してセキュリティの甘いサーバーやエンタープライズネットワークにアクセスするケースが増えています。また2017年以降RDPはランサムウェアを使用するマルウェア攻撃の重要な攻撃ベクトルにもなっています。セキュリティ専門家もRDPの脆弱性を検出して攻撃を防ぐためのシグネチャを作成しており、このプロトコルには多くの注目が向けられています。 RDPはMicrosoftによるプロプラエタリなプロトコルで、ネットワークトラフィックを暗号化するための動作モードをいくつかサポートしています。残念ながら、暗号化されてRDPコンテンツが非表示になるとRDP用シグネチャの作成はむずかしくなりますが、復号用の秘密鍵ファイルを用意したテスト環境があればWiresh
This post is also available in: English (英語) 概要 非常に順応性が高く、高度に洗練された、10,000バイトを超えるマシンコード。それがパロアルトネットワークス脅威インテリジェンスリサーチチーム Unit 42のリサーチャーがこのファイルの「熊(Bear)」のコード分析中に遭遇したものです。そのコードの動作と機能は、早ければ2009年にはアクティブだったWaterBearマルウェアファミリのそれと強く相関しています。Trend Micro、TeamT5による分析で、WaterBearは多面的なステージ2インプラントであり、ファイル転送、シェルアクセス、画面キャプチャそのほか多様な機能があることが明らかになりました。本マルウェアはサイバースパイグループBlackTechと関連付けられています。BlackTechは脅威リサーチコミュニティの多くが中国
This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 Emotetは情報窃取型のマルウェア (インフォスティーラ) で、バンキングマルウェアとして2014年に最初に報告されました。それ以来、ドロッパなどの機能を追加して進化をかさね、Gootkit、IcedID、Qakbot、Trickbotなど、ほかのマルウェアファミリを配布するようになってきています。 今回のパケット解析講座では、E
This post is also available in: English (英語) 概要 時折、世界中の何十億台ものデバイスを危険にさらす、新たなDomain Name System (ドメイン ネーム システム - DNS)の脆弱性が発見されています。一般に、DNSの脆弱性は重大です。自分の銀行口座のWebサイトを閲覧したときに、DNSリゾルバが銀行のWebサイトのIPアドレスを返す代わりに、攻撃者のWebサイトのアドレスを返すことを想像してみてください。攻撃者のWebサイトは、銀行のWebサイトとそっくりです。それだけではなく、URLバーにも間違いは見当たりません。ブラウザが、銀行のWebサイトであると本当に認識しているためです。これが、DNSキャッシュポイズニングの一例です。 このブログでは、DNSについて説明するほか、過去の脆弱性から最近発見された高度なものまで、DNSキャッ
This post is also available in: English (英語) 概要 クリプトジャッキング(簡単に言えば悪意のある暗号通貨マイニング)は、マルウェアの作成者がその活動から金銭的利益を得るためによく使用する方法です。マルウェアによる攻撃者は、基本的に標準的なマイニングプロトコルと手法を使用していますが、標的のマシンをよりスマートにハッキングする方法を探求し、見つけ出す傾向があります。最近、パロアルトネットワークスの脅威インテリジェントチームUnit 42が、新手のLinuxベースの暗号通貨マイニングボットネットを発見しました。これは、異議申し立て中のPostgreSQLのリモートコード実行(RCE)の脆弱性を悪用し、データベースサーバーを侵害してクリプトジャッキングします。弊社は、この暗号通貨マイニングボットネットに、その配信チャネルとマイニング動作に因んで「PGM
This post is also available in: English (英語) 概要 SolarWindsのOrionソフトウェアに対するサプライチェーン攻撃の背後にいるアクターは、高度な技術的洗練やオペレーションセキュリティへの配慮にくわえ、およそ18,000人のSolarWindsの顧客への潜在的侵害における斬新なテクニックの組み合わせを示してきました。もとの情報源からの公開内容でも示されているように、この攻撃者は、より正当な永続化方法を得た後は、最初のバックドアを削除することが観測されています。 トロイの木馬化されたOrionアーティファクトの分析で .NET .dll app_web_logoimagehandler.ashx.b6031896.dll は SUPERNOVA と呼ばれていましたが、そのオペレーションの詳細はほとんど公開されていません。 注意: SUPER
This post is also available in: English (英語) 最終更新: 2021-01-18 17:43 JST (英語版の 2021-01-15 16:45 PST の内容までを反映) 概要 12月13日の日曜日、FireEyeは、同社がUNC2452と呼ぶ未知のアクターによる侵害とデータ漏えいに関連する情報を公開しました。Unit 42では同攻撃グループをSolarStormと呼び、これに関連する活動を追跡し、観測されたテクニック、IoC、行動方針を含むATOMをUnit 42 ATOM Viewerに公開しました。FireEyeによると、SolarStormは、SolarWindsのOrionプラットフォームのトロイの木馬化された更新ファイルにより構成されるサプライチェーン攻撃によって、世界中の組織を侵害しています。 FireEyeのブログ「Highly
次のページ
このページを最初にブックマークしてみませんか?
『Unit 42 - 最新サイバーセキュリティ リサーチ | Palo Alto Networks』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
