【セキュリティ ニュース】8割超のランサム攻撃がVPNやRDP経由 - 警察庁が注意喚起(1ページ目 / 全1ページ):Security NEXT
警察庁は、ランサムウェアによる被害が引き続き多数発生しているとして注意喚起を行った。特にVPN機器などを経由した攻撃が目立っている。 2023年度の被害調査で有効回答があった115件において、63.4%が脆弱な「VPN」環境が侵入経路だったと指摘。VPN機器における脆弱性や、外部へ流出したアカウント情報が悪用されるなど、脆弱な認証情報が標的になっているとし、あらためて注意を呼びかけた。 一方18.3%は、リモートデスクトップが標的となっている。VPN機器とあわせると81.7%にのぼった。 同庁では、OSなどソフトウェアを最新の状態に保ち、VPN機器についても更新を行うよう注意を喚起。認証情報の適切な管理や、オフラインバックアップの実施など、基本的な対策の徹底を求めた。 またランサムウェアの被害に遭い、データを暗号化された場合は、感染端末をネットワークから隔離して電源を切り、再起動は「厳禁」
UPSTYLE |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
GlobalProtectというファイアウォールプロダクトがあります。 この製品の脆弱性を悪用する攻撃活動の解析の中で確認されたマルウェアに、UPSTYLEがありました。 UPSTYLEとはどのようなものなのでしょうか。 Pythonスクリプト UPSTYLEはPythonで作成されたマルウェアです。 UPSTYLEの自動実行機能 UPSTYLEは「.pth」ファイルとして悪意ある機構を設置します。 もともとは.pthファイルはPythonスクリプトが実行される際に参照させたいパス一覧を書き込めるファイルです。 .pthファイルを配置することでpythonのモジュール検索パスに任意のディレクトリを追加できます。 この本来の用途を実現するために、.pthファイルの内容は、なんらかのPythonスクリプトが実行され、そのなかでなんらかのimport行が動作するたびに実行されることになります。
拡散するAndroxgh0st |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
Androxgh0stは、インフォスティーラー型マルウェアです。 いくつもの切り口で侵害を試みます。 現時点では、次の3つの脆弱性を悪用します。 CVE-2017-9841 これは、PHPUnitの脆弱性です。 この脆弱性を悪用することにより、PHPのコードをリモートから実行することが可能になります。 悪意あるPHPコードをPOSTで送り込み、それをリモートから実行するのです。 この方法で、侵害対象のシステムにバックドアとして利用可能な機構を仕掛けます。 この問題の悪用により、環境のデータベースにアクセスすることも可能にしてしまいます。 CVE-2021-41773 これは、Apache HTTP Serverの脆弱性です。 この脆弱性が存在しているシステムでは、パストラバーサルが可能となってしまい、結果としてリモートでコードを実行することができるようになってしまいます。 CVE-2018
CVE-2023-36884と感染チェーンの解明
要旨 2023年7月11日、マイクロソフトは、アクティブに悪用される複数のRCE脆弱性を修正するパッチをリリースし、Storm-0978として特定された攻撃者がヨーロッパと北米の企業をターゲットに行ったフィッシングキャンペーンを公開しました。このキャンペーンでは、CVE-2023-36884として追跡されているゼロデイ脆弱性(Windowsの検索ファイルにおけるリモートコード実行の脆弱性)が使用されており、ウクライナ世界会議(UWC)に関連する特定の地政学的な誘い文句で細工されたOffice Open eXtensible Markup Language(OOXML)ドキュメントを介して悪用されています。この脆弱性を緩和するための回避策が提案されていましたが、2023年8月8日にMicrosoft Office Defense in Depthの更新プログラムがリリースされ、Windows
ゼロクリック攻撃?なぜそのような攻撃が起こり得るのか? | サイバーセキュリティ情報局
何らアクションせずともシステム侵害や情報窃取が起こり得る――。ゼロクリック攻撃と呼ばれるサイバー攻撃では、メッセージアプリでのメッセージ受信だけで情報漏えいが生じたといった被害も報告されている。この記事では、ゼロクリック攻撃と呼ばれる手法について、どのような対応が求められるのかを解説する。 ゼロクリック攻撃とは ゼロクリック攻撃とは、ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法のことだ。特定のリンクへのクリックや、ファイルの実行といったユーザーのアクションが発生せずとも攻撃が成立する。多くの場合、ユーザーの気づかぬ間に、情報を窃取するスパイウェアなどのマルウェアがインストールされ、被害に至る。 ゼロクリック攻撃の脅威が知れ渡るきっかけとなったのが、スパイウェア「Pegasus」を使ったゼロクリック攻撃だ。このPegasusは、2016年にイスラエルのテクノロジー企
インテル製ドライバーの既知の脆弱性を悪用する犯罪グループ--CrowdStrikeが警鐘
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Intel製ドライバーに以前から存在している既知の脆弱性を悪用し、サイバーセキュリティ上の保護策を迂回(うかい)してネットワークに侵入しようとするサイバー犯罪者らがいるという。 こうした攻撃を分析したCrowdStrikeのサイバーセキュリティ研究者らが示唆したところによると、「Windows」システムを標的としたこの攻撃は、同社が「SCATTERED SPIDER」として追跡しているサイバー犯罪者グループの手によるものだという。なお、同グループは「Roasted 0ktapus」や「UNC3944」としても知られている。 SCATTERED SPIDERは金銭を目的とするサイバー犯罪を実行しており、CrowdStrikeの研究者らによ
セキュリティソフトウェアに任意ファイルを削除させることが可能な脆弱性 | スラド セキュリティ
マルウェア検出・削除の仕組みを悪用して非特権ユーザーが任意ファイルを削除可能な脆弱性が複数のセキュリティソフトウェアで見つかり、報告を受けた各社が修正を行ったそうだ (SafeBreachのブログ記事、 Neowin の記事、 Dark Reading の記事、 Black Hat Europe 2022 の告知記事)。 この脆弱性は検出したマルウェアがロックされていて削除されない場合、Windows の再起動後に削除を実行する処理に存在する。攻撃者は一時ディレクトリ内に削除するターゲットファイルと同じ名前のマルウェアファイルを作成し、そのままハンドルを閉じずに待機する。セキュリティソフトウェアがマルウェアを検出し、再起動後の削除を予約したら一時ディレクトリを削除し、同じパスでターゲットファイルが格納されているディレクトリを示すようにディレクトリジャンクションを作成する。あとは Windo
まだ悪用されているInternet Explorer |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
Internet Explorerの脆弱性を悪用した攻撃はかつて多くありました。 いまでは主要なブラウザではなくなってきたこともあり、Internet Explorerの脆弱性を悪用した攻撃の数自体は減少していると考えられます。 しかしまた新たなInternet Explorerの脆弱性を悪用した攻撃が観測されています。 対象の脆弱性はCVE-2022-41128です。 攻撃は次のように進みます。 話題性のある内容とタイトルの記事を用意する 今回は2022年10月29日のハロウィーンのお祝いの際に、韓国ソウルの梨泰院周辺で起こった悲劇的な事件が選択されています。 記事をMicrosoft Wordの文書にする Word文書にリッチテキストファイル(RTF)リモートテンプレートを使用する このように設定することで、WordはRTFファイルをリモートから取得します。 RTFがInternet
ESXi用バックドア |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
ESXiはVMwareの仮想マシンを動作させる環境で通常ハイパーバイザと呼ばれる種類のソフトウェアです。 いろいろなソフトウェアには多くの既知の問題があります。 多くの既知の問題の多くはすでに対策が実施されており、その対策を適用することのできるパッチが提供されています。 しかしその既知の問題に対処した状態にできるかどうかは利用者がその対策を適切に適用しているかどうかに依存します。 ESXiのパッチの提供されている脆弱性の中に、CVE-2019-5544とCVE-2020-3992というものがあります。 CVE-2019-5544は、OpenSLPのヒープの上書きの問題であり結果としてリモートコード実行を成り立たせてしまう問題です。 CVE-2019-5544の対策は2019年に提供されています。 CVE-2020-3992は、OpenSLPのヒープの解放後の利用の問題であり結果としてリモー
イランが支援するハッカー集団がアメリカの政府機関をハッキング、Log4Shellを利用した仮想通貨のマイニングマルウェアを展開している
さまざまなプログラムに使われているJavaのログ出力ライブラリに「Log4Shell(CVE-2021-44228)」という脆弱(ぜいじゃく)性が発覚してから、仮想通貨マイニングやデータ盗難などが多発したり、政府系ハッキンググループがLog4Shellを利用していることをMicrosoftが警告したりと、大きな混乱を生んでいます。アメリカの連邦捜査局(FBI)とアメリカサイバーセキュリティ・社会基盤安全保障庁(CISA)が2022年11月16日に共同で発表した勧告によると、イラン政府から支援を受けたハッカーグループが連邦民間行政機関(FCEB)の組織をハッキングし、暗号解読マルウェア「XMRig」を導入していたことが明らかになりました。 CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Comp
Microsoftの古いドライバーリストのせいで何百万台ものWindows PCが何年もの間マルウェア攻撃にさらされていたことが発覚
MicrosoftはWindowsの更新プログラムにより、デバイス上のブロックリストを更新しています。しかし、Ars Technicaによると、このブロックリストの更新が実際には機能していなかったため、Microsoftは約3年間にわたり悪意のあるドライバからWindows PCを適切に保護できていなかったとのことです。 How a Microsoft blunder opened millions of PCs to potent malware attacks | Ars Technica https://arstechnica.com/information-technology/2022/10/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks/ Microsoft’s out-of-da
酒造会社にランサム攻撃 VPN機器の脆弱性を悪用 商品発送が一時見合わせに
酒造会社の日本盛(兵庫県西宮市)は10月25日、第三者による不正アクセスを受け、社内システムに障害が発生したと明らかにした。社内サーバがランサムウェアに感染していた。個人情報漏えいの有無は不明。 9月18日に、同社が利用しているデータセンターの管理会社から、サーバに不具合があるとの報告を受けた。社内で調査したところサーバがランサムウェアに感染していたことが分かった。 事態を受け、日本盛は9月19日に所轄警察署に被害を申告。20日には個人情報保護委員会に報告し、第三者機関での調査も始めた。 攻撃者は日本盛が導入していたSSL VPN機器の脆弱性を悪用して社内システムに侵入したとみられる。侵入後、ランサムウェアを設置して保存されていたデータを暗号化。社内システムに障害が発生した。 日本盛は障害の影響で、通信販売の商品の発送を一時見合わせた。現在は、問題となったVPNの利用を停止し、情報セキュリ
Zimbraに脆弱性 サイバー攻撃の標的に
Zimbra Collaboration Suiteに複数の脆弱性が確認され、サイバー攻撃の対象になっています。 カスペルスキーのリサーチャーによりますと、未知の持続的標的型攻撃(APT)グループが、Zimbra Collaborationソフトウェア内で見つかったCVE-2022-41352という脆弱性を悪用し続けていることが明らかになりました。うち1つのATPグループが、中央アジアにある脆弱なサーバーを攻撃しています。 CVE-2022-41352とは? この脆弱性は、cpioユティリティを解凍するアーカイブで見つかりました。これはZimbra Collaboration Suiteの一部で、Amavisコンテンツフィルターによって使用されるものです。攻撃者は、Webシェルを用いて悪意のある.tarアーカイブを作成し、脆弱なZimbra Collaborationソフトウェアを実行する
チェック・ポイント、2022年8月に最も活発だったマルウェアを発表 FormBookがEmotetに代わり首位、GuLoaderとJokerが急浮上
チェック・ポイント、2022年8月に最も活発だったマルウェアを発表 FormBookがEmotetに代わり首位、GuLoaderとJokerが急浮上 包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年8月の最新版Global Threat Index(世界脅威インデックス)を発表しました。 今回のインデックスでは今年1月の再登場以来最も流行しているマルウェアとして君臨していたEmotetが首位から陥落し、FormBookがトップとなりました。 国内ランキングでもFormBook
チェック・ポイント、2022年8月に最も活発だったマルウェアを発表 FormBookがEmotetに代わり首位、GuLoaderとJokerが急浮上
チェック・ポイント、2022年8月に最も活発だったマルウェアを発表 FormBookがEmotetに代わり首位、GuLoaderとJokerが急浮上 チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年8月の最新版Global Threat Index(世界脅威インデックス)を発表しました。 今回のインデックスでは今年1月の再登場以来最も流行しているマルウェアとして君臨していたEmotetが首位から陥落し、FormBook
攻撃グループBlackTechによるF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用した攻撃 - JPCERT/CC Eyes
2022年5月頃、JPCERT/CCではF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用して日本の組織に攻撃を行う活動を確認しました。攻撃が行われた組織では、BIG-IP内のデータが漏えいするなどの被害が確認されています。この攻撃は、攻撃グループBlackTechの活動と関連しているものと推測しています。今回は、このBIG-IPの脆弱性を悪用する攻撃活動について紹介します。 BIG-IPの脆弱性を悪用する攻撃コード 以下は、今回の攻撃で使用された攻撃コードの一部です。この攻撃ツールを使用することで、BIG-IP上で任意のコマンドを実行することが可能です。 図1: 確認されたBIG-IPの脆弱性を悪用するコードの一部 この攻撃コード内には、図1のように(図1のグレーアウトした部分)複数の国内のBIG-IPのIPアドレスが記載されており、攻撃のターゲットになっていました。 この攻
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】新手の攻撃手法「OWASSRF」 - 「ProxyNotShell」軽減策をバイパス(1ページ目 / 全2ページ):Security NEXT
Outlookの脆弱性突くマルウェアが横行、米サイバー軍が警戒呼び掛け
2月マルウェアランキング - 今月もCoinhiveが第1位