ランサムウェアの実行犯は「アフィリエイター」だらけ、DXが進むダークウェブの世界
進化する情報窃取マルウェア サイバー攻撃の「サービス化」はいまに始まったことではない。むしろ現在のマルウェアや攻撃の多くは、アンダーグラウンドのSaaSサービスとして何らかのクラウドサービスによって提供されているといってよい。 典型例はランサムウェアである。攻撃者(実行犯)の多くは、RaaS(Ransomware as a Service)インフラを利用する「アフィリエイター」だ。攻撃ツールのサービス化、サブスクリプション化も進んでいる。直近のニュース、リリースから2つの特徴的な事例を紹介する。 最初に紹介するのは、CYFIRMAが6月に発表した「MysticStealer」だ。MysitcStealerは、アンダーグラウンドでリリースされたばかりの新しい情報窃取マルウェア(Infor-Stealer)の一種である。国内外で複数のセキュリティ媒体が記事化しているが、すでに50ものC2サーバ
ウクライナに破壊的マルウェア攻撃を仕掛けたロシアの脅威アクター「カデット・ブリザード」についてMicrosoftが詳細情報を公開
Microsoftが、ロシアから国ぐるみの支援を受けている脅威アクター「カデット・ブリザード(Cadet Blizzard)」の詳細情報を明らかにしました。「カデット・ブリザード」はこれまで「DEV-0586」と呼ばれてきた脅威アクターで、少なくとも2020年から活動しているとみられます。 Cadet Blizzard emerges as a novel and distinct Russian threat actor | Microsoft Security Blog https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/ Ongoing Russian cyberattacks targe
ランサムウェアグループ「Cl0p」が数百社の企業に機密情報を暴露すると恐喝の最後通告、BBCや航空会社なども脅迫され超大型事件に発展し期限切れが迫る
「Cl0p(Clop)」と名乗るハッカーグループによって数百社の企業がランサムウェア攻撃を受け、身代金を要求されていることが明らかになりました。Cl0pが悪用した脆弱(ぜいじゃく)性はすでに特定されており、連邦捜査局(FBI)とアメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)が共同で対策レポートを公開しています。 #StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability | CISA https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a Observed Exploitation of MOVEit Transfer Vulnerability CVE-2023-34362 | Rap
犯罪代行サービスの出現でクラウドの認証を狙う攻撃が急増--プルーフポイント
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本プルーフポイントは5月31日、2022年のサイバー攻撃動向を分析した報告書「2023 State of the Phish」を発表した。2022年後半に出現した新たなサイバー犯罪代行サービスの影響で、クラウドサービスの認証情報を狙う攻撃が急増しているという。 9回目となる同報告書は、世界7カ国のビジネスパーソン7500人と15カ国のITセキュリティ担当者1050人を対象にした調査と、同社のメールセキュリティサービスのユーザー企業から提供された攻撃情報などを分析し、取りまとめている。 同日の記者向け説明会では、マーケティング本部長 チーフエバンジェリストの増田幸美氏が、報告書で対象とした2022年に直近の動向も加味して情勢を解説した。
中国政府系ハッカー集団「ボルト・タイフーン」が重要インフラを標的としたスパイ活動をしているとMicrosoftが警告
中国政府の支援を受けた攻撃グループ「ボルト・タイフーン(Volt Typhoon)」がアメリカの重要インフラを標的とした活動を行っているとして、Microsoftが警告を発しています。 Volt Typhoon targets US critical infrastructure with living-off-the-land techniques | Microsoft Security Blog https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/ Microsoft warns that China hackers attacked U.S. infras
中国政府の支援を受けたサイバー攻撃グループ「カマロドラゴン」がルーターにバックドアを設けネットワーク侵害を行っている
攻撃者が検出を回避しつつ、感染したデバイスを完全に制御して侵害されたネットワークにアクセスできるルーター向けインプラントの存在が、セキュリティ企業Check Pointの調査チーム・Check Point Research(CPR)によって明らかになりました。インプラントを仕掛けているのは、中国政府が支援するAPT(Advanced Persistent Threat:高度持続的脅威)グループ「Camaro Dragon(カマロドラゴン)」であるとみられています。 Check Point Research reveals a malicious firmware implant for TP-Link routers, linked to Chinese APT group - Check Point Blog https://blog.checkpoint.com/security/ch
日本も情報提供した米国のランサムウエア攻撃者の起訴についてまとめてみた - piyolog
2023年5月16日(現地時間)、米国司法省が3種のランサムウエアを用いて米国内の医療機関をはじめとした複数の分野に対して攻撃を行ったとして、ロシア国籍の男を起訴したことを公表しました。また日本の警察庁も捜査協力を行ったことが報じられています。ここでは関連する情報をまとめます。 ランサムウエアの展開に関わっていた男を起訴 ワシントンDC、ニュージャージー州地区より起訴*1 *2されたのはWazawaka、m1x、Boriselcin、Uhodiransomwarというハンドルネームを使用していたロシア国籍の30歳の男で、Lockbit、Babuk、Hiveの3種類のランサムウエアを使用したアフィリエイトとして主に活動に参加していた疑い(Babukは開発も関わっていた疑い)がある。次の表は起訴状に記載されていた被害組織の事例。男はランサムウエアの展開だけでなく、被害組織に対して身代金要求を行
Microsoft、気象用語を使用した脅威アクター新命名法 | スラド IT
Microsoft は 19 日、脅威アクターの新しい命名法とアイコンを発表した (Microsoft Security Blog の記事、 Microsoft Learn の記事、 Ghacks の記事、 Neowin の記事)。 脅威アクターはセキュリティ企業や研究者によりさまざまな名前が付けられているが、Microsoft ではこれまで元素名や火山名、植物名のほか DEV-<4桁の数字> のような名前を使用してきた。新しい命名法では脅威アクターを 5 つの主要なグループ (国家・金銭的動機・攻撃的民間部門・影響操作・発展中) に分け、国家は国別、あとはグループごとに気象用語のファミリーネームが割り当てられる。 ファミリーネームが割り当てられている国家は中国 (Typhoon: 台風)・イラン (Sandstorm: 砂嵐)・レバノン (Rain: 雨)・北朝鮮 (Sleet: みぞれ
RTM Locker:プライベートRaaSプロバイダー
脅威情報 2023.4.19 アンダーグラウンドのインテリジェンスは、N07_4_B07が入手されたものです。 今回もまた、ランサムウェア・アズ・ア・サービス(RaaS)プロバイダーが登場したようです。電子犯罪で知られていた“Read The Manual”(RTM)Lockerの一ギャングが、企業環境をターゲットにランサムウェアを提供し、そのアフィリエイトに厳しいルールセットを強要していることが確認されました。これはまた別のランサムウェア・ギャングなのでしょうか、それともこのギャングとそのLockerには目に見える以上のものがあるのでしょうか。このブログでは、Windowsランサムウェアの実行ファイルを技術的に深く掘り下げるとともに、この攻撃者を調査しています。 エグゼクティブサマリー ”Read The Manual” Lockerギャングは、アフィリエイトを使って被害者の身代金を要求
「LAPSUS$」は「Strawberry Tempest」に──Microsoftの新脅威分名方式
米Microsoftの脅威インテリジェンス対策チームは4月18日(現地時間)、脅威アクターの新しい命名分類法への移行を発表した。従来の化学元素名から気象現象関連の名前に変更する。 脅威アクターとは、マルウェアなどの多様なツールを使って企業や個人にサイバー攻撃を仕掛ける攻撃者を指す。最近の例ではiOSマルウェア「KingsPawn」を開発したイスラエルのQuaDreamなどがある。MicrosoftはQuaDreamを従来の命名方法で「DEV-0196」と名付けたが、新たな名前は「Carmine Tsunami」になる。 命名法を変更するのは、複雑さ、規模、量が増大している脅威を迅速かつ明確に理解できるようにするのが目的という。「顧客やセキュリティ研究者により良いコンテキストを提供し、脅威に優先順位を付けられるように」する。 新分類法では、台風や津波などの気象現象を「family name」
闇市場サイト「ジェネシス・マーケット」- 米英当局が押収、悪意のあるバイナリの解析と検出を支援
脅威情報 2023.4.6 Steen Pedersen、Mo Cashman両氏の協力に感謝します。 4月4日と5日、FBI、ユーロポール、オランダ警察を含む17カ国の機関にまたがる法執行タスクフォースが、ジェネシス・マーケット(Genesis Market)として知られる悪名高いブラウザ Cookie 市場を混乱させ、何百人ものユーザーにアプローチしました。収集された情報に基づいて家宅捜索が行われ、ユーザーは逮捕されるか、深刻なノック&トークの会話を求められました。 この世界的な行動は、この種の最大の市場に終止符を打つことを目的としたものです。今朝(4月5日の朝)の時点で、ジェネシス・マーケットのWebアドレスには、以前のケースで見たようにおなじみのテイクダウン スプラッシュスクリーンが表示されています。 図1 テイクダウン通知の画面イメージ 世界的なテイクダウンの取り組みに先立ち、T
新たな北朝鮮のサイバー犯罪グループが発見される 日本も標的
情報収集の優先順位が北朝鮮偵察総局(RGB)の任務と一致している 暗号通貨を窃取し、マネーロンダリングによって自ら活動の資金としており、支援国中央政府の財政的負担をかけることなく活動している 韓国や日本、欧州、米国を中心とした地域が標的とされている。政治やビジネスサービス、製造業、地政学や核政策を扱う教育機関、研究機関、シンクタンクなどが狙われている 2021年の大半にわたっては医療関連の業界が標的とされた。恐らく新型コロナウイルス感染症(COVIDー19)対応を支援するために標的がシフトしたものとみられる 巧妙なソーシャルエンジニアリングを駆使している。個人識別情報(PII)を窃取してアカウントを作成したりドメイン登録をしたりしている他、運用ツールやインフラを購入するためのIDも入手している 窃取した暗号通貨を使ってクリーンな暗号想通貨をマイニングし、資金として利用している 長期にわたっ
ポムポムプリンを名乗るサイバー犯罪フォーラム「BreachForums」の管理者をFBIが逮捕
企業やウェブサイトから盗み出された個人情報の売買に用いられることで知られるサイバー犯罪フォーラム「BreachForums」の管理人で、ニューヨーク州在住の男をFBIが逮捕・起訴しました。男は「Pompompurin(ポムポムプリン)」のハンドルネームを使い、個人情報の売買を行っていました。 Dark Web ‘BreachForums’ Operator Charged With Computer Crime - Bloomberg https://www.bloomberg.com/news/articles/2023-03-17/dark-web-breachforums-operator-charged-with-computer-crime Alleged BreachForums owner Pompompurin arrested on cybercrime charges
北朝鮮のハッカーがクラウドマイニングサービスを利用して盗んだ仮想通貨を洗浄しているという報告
Googleの子会社であるサイバーセキュリティ企業のMandiantが、北朝鮮の新たなハッカーグループ「APT43」についてのレポートを公開しました。APT43は外国の政府機関やシンクタンクなどを標的にハッキングを行っているほか、一般人から盗み出した仮想通貨をロンダリングするため、仮想通貨のクラウドマイニングサービスなどを利用しているとのことです。 APT43-Report.pdf (PDFファイル)https://mandiant.widen.net/s/zvmfw5fnjs/apt43-report North Korean Hackers Use Cloud Mining Services to Launder Dirty Crypto - Decrypt https://decrypt.co/124772/north-korea-korean-hackers-apt43-kimus
Amazonのホームセキュリティ・Ringをハッキングしたとランサムウェアグループが主張
テクノロジーメディアのMotherboardが、Amazon傘下のホームセキュリティ企業・Ringのシステムをランサムウェアグループがハッキングしたと報じています。報道によると、このランサムウェアグループはRingのシステムにハッキングして窃取したデータを漏えいすると脅迫しているそうですが、Ringは「自社のシステムが侵害されたという証拠はないものの、サードパーティーベンダーがランサムウェアによる攻撃を受けた」と声明を出しているそうです。 Ransomware Group Claims Hack of Amazon's Ring https://www.vice.com/en/article/qjvd9q/ransomware-group-claims-hack-of-amazons-ring Ring reportedly hit by ransomware attack — what
マカフィー、RaaSであるSodinokibi、別名REvilを分析:エピソード1
エピソード 1:コードが示すもの マカフィーのAdvanced Threat Research Team(ATR)は、2019年4月末に広がったSodinokibi(別名REvil)と呼ばれる新しいランサムウェアファミリーを観察しました。それと同じ時期に、GandCrabランサムウェアの運用者が活動を終了すると発表しました。単なる偶然でしょうか? それとも何か裏があるのでしょうか? この一連のブログでは、SodinokibiとGandCrabとの関係についての最新の分析を、McAfee ATRの詳細かつ広範な研究から独自に得た新しい洞察を用いて提供します。 エピソード 1 コードが示すもの エピソード 2 オールスターズ エピソード 3 金の流れを追え エピソード 4 漸増 連載の1回目では、広範なマルウェアと感染後の分析を共有し、新たに追加されたブラックリスト掲載のスクリプト言語と、So
LockBit Green |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
LockBitの更新版がまた出ているようです。 他のマルウェアも開発活動が活発なものは多数ありますが、LockBitも開発が活発なマルウェアの一つです。 これまでもなんども更新されてきています。 LockBit(オリジナル) 2019年から観測されています。 暗号化手法は独自のものを使用していました。 LockBit 2.0(通称LockBit Red) 2021年から観測されています。 LockBit 3.0(通称LockBit Black) 2022年から観測されています。 暗号化手法はBlackMatter由来のものに変化しました。 通称LockBit Green 2023年から観測されています。 暗号化手法はConti由来のものに状態に変化しました。 次々とその実装内容を変化させてきています。 単に実装方式の変更という意味もあるのかもしれませんが、別の意味もあるのかもしれません。
医療研究/エネルギー産業へのサイバー攻撃に「Lazarus」が関与--ウィズセキュアが調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ企業のWithSecureは、最近観測された欧州、北米、南アジアの医療研究やエネルギー産業へのサイバー攻撃キャンペーンについて、北朝鮮の支援を受けているとされる「Lazarus Group」によるものとの調査結果を発表した。 Lazarus Groupは、北朝鮮の朝鮮人民軍偵察総局の一部であると考えられる高度かつ持続的な脅威(APT)グループ。WithSecureは、同社セキュリティプラットフォーム「WithSecure Elements」で保護されている企業でランサムウェアの疑いのある攻撃が検知されたことをきっかけに、Lazarus Groupの最新攻撃キャンペーンを観測したという。 調査の結果、このキャンペーンはランサム
ランサムウェア/攻撃グループの変遷と繋がり (Rev.2) | 技術者ブログ | 三井物産セキュアディレクション株式会社
本図は世界で確認されてきた主なランサムウェア攻撃グループ(※1)のうち、「リブランド」を軸とした複合的視点による組織間の繋がりを図示したものである(※2)。 本Rev.2は、2022年5月に公開し好評を頂いたRev. 1から、日々移り変わる様々な観点の関連情報を多数追加し大きくアップデートした更新版となる。現在までに確認されてきたランサムウェア攻撃グループに関するあらゆる繋がりを可能な限り盛り込んだ。 本図から、ランサムウェア攻撃グループの多くがお互いに何からの関連性を持ち活動している背景が浮かび上がる。CONTIやBABUKをはじめソースコードの流出やグループの解散/テイクダウンなどの影響が他の新種出現へ顕著に繋がる流れが見て取れる。一方、NIGHT SKYなどのように、周辺グループとの繋がりから特定国に帰属する攻撃者像が浮き上がってくるケースもある。全体を通して見え隠れするアフィリエイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脅威情報ニュースレター(2023 年 4 月 13 日):次々に閉鎖に追い込まれるダーク Web フォーラム - Cisco Japan Blog