(訳注:2016/9/28、頂きましたフィードバックを元に記事を修正いたしました。) ことの始まりは、あるスパムキャンペーンでした。画像1は、スパム向けに仕掛けた罠に最近引っかかった、疑わしいドキュメントファイルが添付されたメールです。文面の英語がとても稚拙なことに気付くかと思いますが、この稚拙さがメール受信者への警告サインとなります。 画像1:スパムサンプル 添付のファイルは、”.doc”のファイル拡張子を使っていますが、実際はRTF(リッチテキストファイル)ファイル形式で、特別に細工されたRTFファイルによるスタックオーバーフローの脆弱性が含まれています。この脆弱性は、CVE-2010-3333で文書化されており、”pFragments”の形をしたプロパティを扱う際にMicrosoft Word RFTパーサを攻撃するものです。これに対する修正モジュールは5年以上前にパッチされています
Kaspersky Labは、緊張の高まる南シナ海周辺諸国で、「Naikon」と「Hellsing」というAdvanced Persistant Threat(APT)同士の抗争を観測したという。 ロシアのKaspersky Labは2015年4月15日、Advanced Persistant Threat(APT)同士の「争い」が確認されたとする調査結果を公表した。 「これはあくまで、われわれが確認できた初のケースに過ぎない。実際には水面下で他にも同様の抗争が起きており、確認できていないだけという可能性もある」と、Kaspersky Labの調査分析チーム、Global Research and Analysis Team(GReAT)でディレクターを務めるコスティン・ライウ氏は述べている。 南シナ海周辺で繰り広げられるAPT同士の争い 今回、同社の調査チームが観測したAPT同士の争いは
アジアで拡大するRARSTONE攻撃
今回は、アジアで広がっているリモートアクセス攻撃ツール(RAT)「RARSTONE」についてのブログから紹介しよう。トレンドマイクロが注意を呼びかけている。同社は2月にRARSTONEに関するブログ記事を掲載して以来、同RATを用いた攻撃に注意を向けてきたが、インド、マレーシア、シンガポール、ベトナムなど様々な国で電気通信事業、石油・ガス事業、政府機関、メディアなどを狙った攻撃が展開されているのを確認したという。 トレンドマイクロは、関連する攻撃に共通のユーザーエージェント文字列「NOKIAN95/WEB」から、一連の攻撃活動を「Naikon」と名付けている。 これらの攻撃は、標的にした組織にスピアフィッシングを仕掛けることで実行される。フィッシングメールにはアジア太平洋地域の外交協議に関するメッセージが使われる。不正なドキュメントが添付されており、Windowsのコモンコントロールに存在
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Kaspersky Labs Japan(カスペルスキー)は10月3日、Kaspersky Labの調査チームが2011年から観測している日本と韓国を対象にした持続的標的型攻撃(APT攻撃)の1つ「Icefog」について説明会を開催した。Global Research and Analysis Team日本情報セキュリティラボ所長のMichael Molsner(ミヒャエル・モルスナー)氏がIcefogの特徴をデモで紹介し、これまでに見ないパターンのAPT攻撃だと注意をよびかけた。 Icefogという名称は、このAPTキャンペーンで使われるバックドアの名称から来ている。Microsoftなど他ベンダーでは「Fucobha」と呼んでいる。
トレンドマイクロでは、2012年に入り、標的型攻撃、特に、持続的標的型攻撃について、弊社の綿密な調査過程で判明した結果内容を取り上げて、本ブログ上で報告してきました。各企業や組織は、こうした要注意の脅威に対してどのような防衛対策を実施すればいいのか、有効な防衛戦略を構築すればいいのか、今一度再考すべきでしょう。そして、このためには、持続的標的型攻撃の本質を理解することが非常に重要な意味を持つこととなります。今回、持続的標的型攻撃における理解すべき5つの事項を取り上げました。 「標的型メール」がもっとも利用されている侵入手段: 持続的標的型攻撃において、侵入手段としてもっとも利用されているのが不正なファイルが添付された「標的型メール」です。つまり、攻撃者にとっても防御する側にとっても役に立つ最新ツールや技術において、人間の「脆弱性」がいまだもっとも確実な「突破口」となっているのです。前回のブ
4月に修正されたMicrosoft Office/ワードパッドの脆弱性(CVE-2017-0199)は、その後もスピア型攻撃で使われ続けており、新たな攻撃手法も発見されているようだ。 CVE-2017-0199はOLEインターフェイスに存在する脆弱性。攻撃者はOfficeドキュメントにリモートの攻撃用コードを記述したファイルを埋め込み、ターゲットにドキュメントを開かせることで、リモートコンテンツを表示するかどうかの選択にかかわらずリモートからのコード実行が可能となる。 攻撃用にはリモートのHTAファイルを埋め込んだRTFファイルが多く使われているが、トレンドマイクロが入手したサンプル(TROJ_CVE20170199.JVU)では、リモートのWindowsスクリプトコンポーネントファイルを埋め込んだPowerPointスライドショーファイル(.ppsx)が使われている。埋め込みオブジェクト
FireEyeが中国を発信源とする2種類の標的型サイバー攻撃に関する情報を公開した。2つの攻撃に数多くの共通性がみられるという。 セキュリティ企業のFireEyeは9月19日、日本や台湾のごく限られた企業・組織を標的にする2種類のサイバー攻撃の発生を確認したと発表した。同社はいずれも中国から実行されているとみており、対策状況などの確認を呼び掛けている。 それによると、攻撃の1つは同社が「Moafee」と名付けた広東省が拠点をみられるグループと、「DragonOK」と名付けた江蘇省が拠点とみられるグループによって行われているという。Moafeeは東南アジア諸国の国益に関係する政府や企業などを狙ったサイバー攻撃への関与も疑われている。 攻撃ではDragonOKによって作成されたとみられる詐欺メールが日本や台湾のハイテク企業に送り付けられた。日本に着信したメールには、京都大学の卒業者だという履歴
検知回避に長けた標的型攻撃
ロシアのカスペルスキーラボは、ほとんどのウイルス対策製品を回避する興味深い標的型攻撃を見つけたとして、ブログで注意を呼びかけた。スピアフィッシング攻撃の一つで、様々なチベットの政治活動家や人権擁護家を狙う。 この攻撃で送信される電子メールは、件名に中国語で「カシャック(チベット亡命政府の内閣)が中国の不屈の民主活動家、李旺陽(リー・ワンヤン)氏殺害に関して徹底的捜査を開始」と書かれており、「李旺陽」の名前を含む「.doc」ファイルが添付されている。 送られてくる電子メール メッセージ本文には、カシャックが中国の民主化を支援するために、6月初めに自殺と報じられた李旺陽氏の不審死について徹底的な捜査を開始することを決定したとする内容が中国語で書かれている。 添付ファイルの送信先は、チベット人のコミュニティー、活動家、人権擁護家など多数に上る。メールは別のチベット人活動家になりすしまして送信され
9月19日、ファイア・アイは攻撃キャンペーン「オペレーション・クアンタム・エンタングルメント」(量子もつれ効果)と、「APT12」との関連性が疑われる攻撃キャンペーンについて、記者発表会を開催した。日本企業などを標的とするこれら攻撃では、ツールや攻撃手法に多くの共通点が見られ、攻撃者のトレーニングやツール供給を行なう犯罪組織の存在も見え隠れする。 攻撃グループは違うが、根っこは1つ? 標的型攻撃対策ソリューションを提供するファイア・アイは、日本企業を標的としたサイバー攻撃を最近いくつか観測した。 1つは、「オペレーション・クアンタム・エンタングルメント」。江蘇省を作戦拠点にする攻撃グループ「DragonOK」と、広東省を作戦拠点とする「Moafee」によるサイバー攻撃の総称で、物理的に離れた地域にありながらツールや攻撃手法などに多くの共通点があることから、特殊な相関関係を持つ量子で一方を測
The emergence of small groups of cyber-mercenaries available for hire to perform surgical hit and run operations. The world of Advanced Persistent Threats (APTs) is well known. Skilled adversaries compromising high-profile victims and stealthily exfiltrating valuable data over the course of many years. Such teams sometimes count tens or even hundreds of people, going through terabytes or even peta
サイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動する攻撃者集団で、日本や香港での活動も確認されています。彼らが利用するコマンド&コントロール(C&C)サーバの Mutex やドメイン名から、BlackTech の目的は標的者が所有する技術の窃取にあると推測されています。 BlackTech が利用する手法などの変化を追跡したところ、別々のサイバー諜報活動だと思われていた、「PLEAD(プリード)」、「Shrouded Crossbow(シュラウディッド・クロスボウ)」、「Waterbear(ウォーターベア)」の間に、ある共通点が浮かび上がってきました。 本記事では、各攻撃キャンペーンの手口を比較し、利用されたツールを解析した結果判明した3つの攻撃キャンペーンが同一の攻撃集団によって実行されたことを示す共通点について解説します。 ■
コミュニケーションアプリ「LINE」の人気に便乗した標的型サイバー攻撃を確認 | トレンドマイクロ セキュリティブログ
台湾政府関連機関を狙った標的型サイバー攻撃で、標的を欺く手口に人気のコミュニケーションアプリ「LINE」が利用されました。LINE は、無料通話やチャットを提供するアプリで、主に台湾や、日本、インドネシア、米国、メキシコ、コロンビアなどの国々で使用されています。2014年時点で世界中に 4億9千万人の登録者がおり、台湾の LINE のユーザ数も、同年内に 1千7百万人に達したと報じられています。政府関連機関の職員までがコミュニケーション目的でこのアプリを職場で活用していると言われることからも、その人気が伺えます。 ■攻撃の詳細 標的者は、件名に LINE を使用し、”add_line.zip” というファイル名の圧縮ファイル(拡張子ZIP)が添付された標的型メールを受信します。このメールは、政治家の秘書から送信されたものと称して、受信者(台湾政府関連機関の職員)に対し、LINE上の特定グル
China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets | Mandiant | Google Cloud Blog
China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets Written by: FireEye Threat Intelligence FireEye Intelligence CenterFireEye Threat Intelligence analysts identified a spear phishing campaign carried out in August 2015 targeting Hong Kong-based media organizations. A China-based cyber threat group, which FireEye tracks as an uncategorized adv
2013年下半期の標的型攻撃分析
世界のセキュリティ・ブログから、気になる話題を紹介する。まず最初は、標的型攻撃に関する分析結果。トレンドマイクロが、2013年下半期の標的型攻撃に関する調査結果をブログで発表した。 標的型攻撃はゼロデイ脆弱性を利用することで知られるが、古い脆弱性も頻繁に狙われている。2013年下半期に最も攻撃された脆弱性は「Microsoft Office」に存在する「CVE-2012-0158」だったが、これを修正するパッチは2012年4月にすでに公開されている。 2013年後半に標的型攻撃で頻繁に利用された脆弱性 標的型攻撃の関連インシデントを分析したところ、政府機関の被害が群を抜いて多く、80%を占めた。次いでIT(ハードウエアおよびソフトウエア)、金融サービスが続いた。国別では台湾と日本が最も攻撃を受けた。 標的型攻撃に関係のある既知のマルウエア制御(C&C)サーバーにアクセスしたIPアドレスを監
テンプレートドキュメントを使った標的型攻撃
セキュリティ関連ブログから、新たな攻撃手口などについての話題を紹介する。最初は、テンプレートドキュメントを添付した電子メールを、標的に送信する標的型攻撃。トレンドマイクロが事例をブログで紹介している。 この攻撃はラオスの副首相が死亡した飛行機事故のニュースを利用している。電子メールの件名は「BREAKING: Plane Crash in Laos Kills Top Government Officials(速報:ラオスの飛行機事故で政府高官複数が死亡)」となっており、ニュース記事に見せかけたドキュメントが添付されていた。宛先欄の電子メールアドレスはYahoo!アドレスで隠され、標的となった受信者の電子メールアドレスが分からないようになっていた。トレンドマイクロはこれまでもたびたび、他の標的型攻撃で同様の手口を確認している。 電子メールに添付されていたのは、2つの正当なJPGファイルと1
ソフォス(Sophos)の研究機関SophosLabsは、2017年を通したマルウェアの傾向を分析し、4つの傾向を抽出。2018年に顕在化する可能性の高いトピックとして取り上げ、レポート(PDF)している。同社が占うのはランサムウェアのRaaS化、Androidマルウェアの爆発、Macへの感染、Windowsに対する脅威の4つだ。 ランサムウェアがRaaSにより増加 WannaCryやPetyaの大規模感染は、大きく感染を広げ報道されるなど、2017年に注目されたトピックスとなったが、長期間にわたり拡散するCerberを含め、ランサムウェアの作成がRaaS(Ransomeware as a Service)により誰でも手軽に行える状況に拍車が掛かると分析している。 ランサムウェア作成者は、自らランサムウェアでお金をゆするだけではなく、その作成キットも販売することで利益を増大できることに気づ
脆弱性「CVE-2012-0158」を突く標的型攻撃、世界各地で確認 | トレンドマイクロ セキュリティブログ
トレンドマイクロでは一連の標的型攻撃「作戦活動(キャンペーン)」を仕掛ける攻撃者たちを監視していますが、前回ブロクで報告したように攻撃が引き続き実行されていることを確認しています。Microsoftは、約2週間前の2012年4月10日(米国時間)に「2012年4月のセキュリティ情報(月例)」を公開したばかりですが、攻撃者たちは、こうした絶好の機会を見逃さず、このセキュリティ情報「MS12-027」に言及されている脆弱性「CVE-2012-0158」を利用して標的とするネットワークに巧みに侵入しているようです。 さらに、前回報告した時点よりもキャンペーンによる攻撃対象は世界各国に広がっていることを確認しています。 事例1:台湾 トレンドマイクロは、今週、監視を続けるキャンペーンの 1つに関連する攻撃者が上述の CVE-2012-0158 を利用し始めたことを確認しています。この脆弱性を利用す
FBIとDHSが明らかに--最も悪用された10の脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米政府の2つのサイバーセキュリティ機関が、2016~2019年にかけての4年間に、もっとも頻繁に悪用されたソフトウェアの脆弱性のトップ10を公表している。 このレポートは、米政府の国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁(DHS CISA)と連邦捜査局(FBI)が作成したものだ。レポートでは、公的部門と民間部門の組織に対して、今日もっとも一般的に使用されている攻撃を防ぐために、必要なアップデートを適用するよう求めている。 このレポートで扱われている事例には、国家が支援する攻撃グループ、国家以外のグループ、正体が不明なグループによる攻撃が含まれている。 米政府の当局者は、セキュリティパッチを適用することで、米
2013年あけましておめでとうございます(遅い...)。今年も思い立ったときにブログ記事を投稿していきたいと思います。 2012年も変わらず脆弱性情報を読んでいたこともあり、2012年に気になった脆弱性をまとめてみます。2011年も同じような日記を書きましたが、リンク集に近いものだったため、今回は気になった点のコメントを添えました。そうしないと書いた本人も忘れるので... はじめに 対象とする脆弱性 この日記で取り上げる脆弱性は、「2012年に修正、または発見、報告(記事化も含む)されたもの」です。自分のつぶやきを基に選んだので、2012年の脆弱性を網羅していません。 脆弱性の分類 今回の日記では、脆弱性を次のように分類して表にまとめました。 ソフトウェア 定例パッチ関連:Microsoft 定例パッチ関連:Adobe Systems 定例パッチ関連:Oracle 組み込みシステム スマー
今回は、まず、大規模なサイバースパイ活動「Red October」の話題から紹介する。Red Octoberは、ロシアのカスペルスキーラボの調査によって明らかになった。「Microsoft Office」に存在する脆弱性(CVE-2009-3129、CVE-2010-3333、CVE-2012-0158)を悪用されることに加え、Java攻撃の手口が使われていたことが判明している。 カスペルスキーラボのブログによると、Java攻撃手口はイスラエルのセキュラートが確認、報告したもの。攻撃者はJavaの「Rhino」スクリプトエンジンに存在する脆弱性(CVE-2011-3544)を突いて対象のネットワークに侵入していたと見られる。Red Octobeも、これと手口の特徴が一致することから、カスペルスキーラボは、被害システムでは古いバージョンのJavaが稼働していたものと見ている。 この手口が使わ
エフセキュアブログ : すべての月がRed October
すべての月がRed October 2013年01月15日21:50 ツイート fsecure_corporation ヘルシンキ発 by:SecResponse おそらくあなたは、これまでに「Red October」についてのニュースを耳にしたことがあるだろう。そして、どの程度憂慮すべきことなのか疑問に思っているのではないか?Red Octoberはデジタル諜報についての、アンチウイルス業界における最新の事例研究の対象となっている(Kaspersky Lab社の投稿はこちら)。 技術的な観点からは、Red Octoberは企業を狙った他の標的型諜報攻撃と非常に似通っている。攻撃者は信頼できるように見せかけた内容のエクスプロイト・ドキュメントを用いている。そのため犠牲者はファイルを開き、感染した機器に悪意のあるペイロードを落とし、感染したシステムから掘り出せる情報をすべて掘り出し始めてし
台湾およびフィリピンを狙う標的型サイバー攻撃を確認。「CVE-2010-3333」と「CVE-2012-0158」を利用してネットワークに侵入 | トレンドマイクロ セキュリティブログ
ホーム » サイバー攻撃 » 台湾およびフィリピンを狙う標的型サイバー攻撃を確認。「CVE-2010-3333」と「CVE-2012-0158」を利用してネットワークに侵入 台湾およびフィリピンを狙う標的型サイバー攻撃を確認。「CVE-2010-3333」と「CVE-2012-0158」を利用してネットワークに侵入 台湾およびフィリピンの主要な政府機関および企業が、アジア太平洋地域で進行中の攻撃キャンペーンの最新の標的となりました。標的とされた国の地域にちなみトレンドマイクロが「Tropic Trooper作戦」と名付けたこの攻撃キャンペーンの背後にいる攻撃グループは、台湾政府の複数の省庁や、重工業、フィリピンの軍事関連機関から機密情報を窃取をすることを目的としていました。 弊社の調査によると、2015年3月から 5月にかけて確認された Tropic Trooper作戦に関
Android Malware Eavesdrops on Users, Uses Google+ as Disguise
Move faster than your adversaries with powerful purpose-built XDR, attack surface risk management, and zero trust capabilities Learn more
Chinese Actors Use ‘3102’ Malware in Attacks on US Government and EU Media
We did not observe the threat actors using this method in this attack; however, it is possible that the threat actors could use the “DownFileS.dll” or “FileManagerS.dll” plugins obtained from the C2 to install plugins that use this loading method. Connection to Watering Hole Attack and Chinese Threat Actors As previously mentioned, the malware author signed the 3102 sample delivered in the attacks
2014年10月、「Sandworm Team」と呼ばれる集団によって諜報目的のサイバー攻撃キャンペーンが実行され、数多くの報告がなされました。この事例の中心となったのは、サポートライフサイクル中のすべての Microsoft Windows と Windows Server 2008・2012 に影響を与えるゼロデイ脆弱性です。 トレンドマイクロの解析によると、Microsoft Windows および Server の「Object Linking and Embedding(OLE)パッケージマネジャ」に存在する脆弱性を攻撃することにより、攻撃者は遠隔から不正プログラムを実行することができます。第一報では、この脆弱性は複数の機関や産業セクターへの標的型攻撃または標的型サイバー攻撃に利用されたと伝えられました。また、弊社の分析によると、この攻撃は「SCADA(産業制御システム)」のユー
Sophos Labsの首席マルウェア研究者であるGabor Szappanos氏は、数年前からMicrosoft Officeの脆弱性を調べている。 Gobor氏は最新のレポートで、2015年第4四半期にもっとも多く利用されたOfficeエクスプロイトキット4種を調査。悪意あるドキュメントでもっともよく利用されるエクスプロイトは何か調べた。 マルウェアの作者は攻撃の入り口として、ドキュメントの脆弱性に注目している。攻撃者はフィッシングメールを使って加工したOfficeドキュメントを、多数のランダムな受信者(サイバー犯罪者)にばらまくケースが多いものの、よりターゲットを絞り込む、いわゆるAPT攻撃でも行われる。 Officeエクスプロイトマルウェアの作者が突くOfficeの脆弱性は、新しいものではない。もっとも多く利用されているエクスプロイト「CVE-2012-0158」は、3年以上も前か
Microsoft Office等の脆弱性について(MS12-027)(CVE-2012-0158):IPA 独立行政法人 情報処理推進機構
日本マイクロソフト社の Microsoft Office 等にリモートからコード(命令)が実行される脆弱性が存在します。(2664258)(MS12-027) MSCOMCTL.OCX の RCE の脆弱性 - CVE-2012-0158 この脆弱性は、Microsoft Office 等で利用する Windows コモンコントロール の ActiveX の処理に存在します。攻撃者は、細工したウェブサイトを作成し利用者を誘導します。利用者がそのウェブサイトを閲覧した場合、コンピュータを攻撃者により制御される恐れがあります。 この脆弱性を悪用した攻撃が確認されたとの情報があるため、MS12-027 を至急適用してください。 次の Windows 製品が対象です。 Microsoft Office 2003 SP3 Microsoft Office 2003 Web コンポーネント SP3 M
More attacks linked to CVE-2012-0158, the evolution of a threat step by step - Alienvault Labs
Alienvault R&D Labs Portal. Get the latest news from our research. More attacks linked to CVE-2012-0158, the evolution of a threat step by step CVE-2012-0158 vulnerability has been one of the main players in the information security scene during the last weeks. Since it was seen in the wild for the first time, attackers have been using it to break the security of specific targets. We have been tra
この3年間、攻撃者に悪用された脆弱性トップ10が公開
United States Computer Emergency Readiness Team (US-CERT)は5月12日(米国時間)、「Top 10 Routinely Exploited Vulnerabilities|CISA」において、2016年から2019年に悪用された脆弱性について伝えた。US-CERTはCVE-2017-11882、CVE-2017-0199、CVE-2017-5638、CVE-2012-0158 、CVE-2019-0604、CVE-2017-0143、CVE-2018-4878、CVE-2017-8759、CVE-2015-1641、CVE-2018-7600が悪用された脆弱性トップ10と認識しており、その概要をまとめて報告している。 2016年から2019年にかけて悪用された脆弱性に関して、US-CERTがまとめた概要で主な注目点は次のとおり。 Mi
不正DOCファイルで軍需産業を狙う標的型攻撃
悪質なプログラムを埋め込んだDOCファイルを使って軍需産業を狙う標的型攻撃が見つかった。8月初頭、英ソフォスがブログで注意を呼びかけた。 このマルウエア攻撃は、ソフォスが2年前に阻止した不正PDFファイルを使った攻撃と本質的によく似ているという。PDFファイルは原子力潜水艦から発射されるトライデントD-5ミサイルに関する資料を装い、ある軍事関連の契約業者に向けて送られた。 今回の攻撃も同じ契約業者に対して行われた。「Details.doc」という名前のファイルが電子メールに添付され、以下のような内容のメッセージとともに送信された。 「拝啓。貴社にいくつか質問があり、連絡を差し上げます。詳細については添付のドキュメントをご覧下さい。お返事をお待ちしております。敬具」 電子メールのメッセージ 電子メールは「YAHOO.COM.TW」というアドレスが送信者であるように見せかけているが、ヘッダーを
RTFファイルの解析 | 岸辺の旅
RTF形式のマルウェアを見つけたので解析しました。 概要をご紹介します。 なお、対象ファイルはドロッパーとして動作しました。 ドロップされた実行可能ファイルの解析は行ってません。 参考URL:The curious case of a CVE-2012-0158 exploit https://securelist.com/analysis/37158/the-curious-case-of-a-cve-2012-0158-exploit/ 【対象ファイル】 ファイル名:malware.doc File Size:289,341バイト ファイルの種類:RTF(Rich Text Format) MD5:d7f87b22c4312e029d0c24c515c68542 SHA1:d0cb458e52a0a656d5fe8a506380fbb2acbea35b SHA-256:038351ee
The Chronicles of the Hellsing APT: the Empire Strikes Back
https://www.youtube.com/watch?v=gvAUfp4iDw4 Introduction One of the most active APT groups in Asia, and especially around the South China Sea area is “Naikon”. Naikon plays a key part in our story, but the focus of this report is on another threat actor entirely; one who came to our attention when they hit back at a Naikon attack. Naikon is known for its custom backdoor, called RARSTONE, which our
PKPLUG: Chinese Cyber Espionage Group Attacking Southeast Asia
PKPLUG: Chinese Cyber Espionage Group Attacking Southeast Asia This post is also available in: 日本語 (Japanese) Executive Summary For three years, Unit 42 has tracked a set of cyber espionage attack campaigns across Asia, which used a mix of publicly available and custom malware. Unit 42 created the moniker “PKPLUG” for the threat actor group, or groups, behind these and other documented attacks ref
アジア圏で確認された標的型攻撃、RAT「RARSTONE」を利用 | トレンドマイクロ セキュリティブログ
トレンドマイクロは、2013年2月下旬、「Remote Access Tool(RAT)」である「RARSTONE」について本ブログで報告しました。このRARSTONE は、同RATより古くから知られている「PlugX」と類似した特徴をいくつか備えています。そして、同年4月、ソーシャルエンジニアリングの手口として「ボストン・マラソン同時爆破事件」に便乗した標的型攻撃において、このRATが利用されていました。 こうした攻撃を確認した以降、トレンドマイクロでは、RARSTONE を利用する他の攻撃に注視していました。そして、今回、アジア各国に渡る標的型攻撃に利用されていることを確認。電気通信事業、石油・ガス事業、政府機関、メディアなどといった複数の産業が狙われていました。また、標的となった組織は、インドやマレーシア、シンガポール、ベトナムなどさまざまな国を拠点としています。弊社では、この標的型
拡大 ASEAN 国防相会議(ADMM プラス)は、ASEAN 加盟国とオーストラリア、中国、インド、日本、韓国、ニュージーランド、ロシア、米国の計 18 カ国が参加して 4 月に開催されました。 その ADMM プラスの進捗に関心を持つ人を無作為に狙ったリッチテキスト形式(.rtf)の悪質なファイルをシマンテックは確認しています。 この RTF ファイルは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)を悪用し、正常な MS Word 文書を投下してバックドアを開きます。正常な MS Word 文書を以下に示します。 この文書には、各国の国防に関係する人物の電話番号、FAX 番号、電子メールアドレスが多数掲載されています。これらの連絡先情報の虚実は確認できませんでしたが、電話番号のい
In the past, we’ve seen targeted attacks against Tibetan and Uyghur activists on Windows and Mac OS X platforms. We’ve documented several interesting attacks (A Gift for Dalai Lamas Birthday and Cyber Attacks Against Uyghur Mac OS X Users Intensify) which used ZIP files as well as DOC, XLS and PDF documents rigged with exploits. Several days ago, the e-mail account of a high-profile Tibetan activi
Over the last few months we have seen a series of very similar targeted attacks being blocked in our Linux Mail Security Product. In each case the documents used were RTF and the exploit was CVE-2012-0158 (MSCOMCTL.OCX RCE Vulnerability). The attacks seem to be from the same group and most appear to be sent from Australia or Republic of Korea. The sender IP addresses vary but many are sent via mai
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =========> Download Link inpage 2012 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = InPage 2012.exe - 13 MB. DOWNLOAD. Posted 17th February 2014 by Malik ShErAz AhMaD. Labels: INPAGE 2012. PC SOFTWARE. Here you can download latest pc software. You can download latest version of idm,msof
"CVE-2012-0158:エクスプロイト多産の解剖学(CVE-2012-0158:Anatomy of a prolific exploit)"(PDF) CVE-2012-0158は、過去10年間最も悪用例の多い「Microsoft Office」のバグだ。常に改造されていることが、その寿命の長さの理由の一つだろう。とSophosのオフィシャルブログは、長きにわたり使われ続けているこの脆弱性を詳細にレポートしている。 ブログによると2012年に発見されて以来、Microsoft WordやExcelを乗っ取ろうとする攻撃者は、好んでこの脆弱性を使い、これらのプログラムに悪意あるコードを実行させている。2015年第4四半期の段階で、CVE-2012-0158はOfficeドキュメントを狙った攻撃の48%に使われているのだという。 最新のリサーチでSophosLabsのGraham Ch
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
私がどのようにしてキーロガーをクラックし、最終的に第三者の受信トレイに行きついたか | POSTD
「よろしい、ならばAPT戦争だ」――Kaspersky Labが観測
日韓狙ったAPT攻撃「Icefog」に注意--急襲後、痕跡消して数日で立ち去る
「持続的標的型攻撃」に関する知っておくべき5つのこと | トレンドマイクロ セキュリティブログ
4月に修正済みのMicrosoft Officeの脆弱性を狙った攻撃が続く | スラド セキュリティ
日本を狙うサイバー攻撃で注意喚起、不審なメールや対策状況の確認を
ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明
The Icefog APT: A Tale of Cloak and Three Daggers
「BlackTech」によるサイバー諜報活動の足跡を追う | トレンドマイクロ セキュリティブログ
2017年の4つの傾向から2018年のマルウェア予測 - SophosLabs
2012年に気になった脆弱性をまとめてみる - 思い立ったら書く日記
大規模サイバースパイ活動「Red October」、Java脆弱性も悪用
New APT Attack Shows Technical Advance in Exploit Development
標的型サイバー攻撃に見られる新旧の脆弱性 | トレンドマイクロ セキュリティブログ
マルウェア作者がMicrosoft Officeの古いエクスプロイトを使う理由--Sophos
Endpoint Protection - Symantec Enterprise
Android Trojan Found in Targeted Attack
Military Hardware and Men-s Health
inpage 2012 - ywymohisasy’s blog
「CVE-2012-0158」を利用したOfficeドキュメントの悪用が続く - Sophosがホワイトペーパー公開