公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
This post is also available in: English (英語) 概要 本稿は、悪意のある Cobalt Strike インフラに関する最近の調査結果を Unit 42 のリサーチャーが詳しく解説します。また、悪質な Cobalt Strike サンプルもいくつか共有します。これらのサンプルは、ある公開されたコード リポジトリーにホストされていた単一のプロファイルから生成した Malleable C2 構成プロファイルを使っていました。 Cobalt Strike は商用ソフトウェア フレームワークの 1 つです。このフレームワークを使って、セキュリティ専門家 (レッド チームのメンバーなど) はネットワーク環境に潜む攻撃者をシミュレートすることができます。ただし実世界の攻撃では脅威アクターらがクラック版の Cobalt Strike を使い続けています。Beaco
[2024-04-22 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動
[2024-04-22 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動 This post is also available in: English (英語) 概要 私たちは共有すべき脅威インテリジェンスを新たに入手しだい、本概要を頻繁に更新しています。 [2024-04-19 PDT 更新 / 2024-04-22 JST 更新] 観測されたエクスプロイト試行のレベルとそれらのレベルのが相対的に占める割合に関する情報を追記しました。観測したアクティビティの大半は、失敗した試みと、デバイスが悪用可能かどうかを確認するための試みで構成されていました。 パロアルトネットワークスと Unit 42 は、CVE-2024-3400 に関連するアクティビティを追跡しており、外部のリサーチャー、パー
![[2024-04-22 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動](https://cdn-ak-scissors.b.st-hatena.com/image/square/aed76a4b85450e1d07402d1dc2eb39ae9aeaf1d5/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2024%2F04%2FThreat-brief-r3d2.png)
インサイド・ザ・ラビット・ホール: BunnyLoader 3.0 詳解
By Amanda Tanner, Anthony Galiette and Jerome Tujague March 17, 2024 at 7:47 PM Category: Malware Tags: Advanced URL Filtering, Advanced WildFire, BunnyLoader, Cortex XDR, credential theft, crypto theft, Cybercrime, DNS security, malware-as-a-service, next-generation firewall, Prisma Cloud, WAAS This post is also available in: English (英語) 概要 本稿は、新しくリリースされた BunnyLoader 3.0 と、これまで観測された BunnyLoader
中国のセキュリティ サービス企業 i-Soon のデータが漏えい、既知の中国 APT 攻撃キャンペーンとのリンク見つかる
中国のセキュリティ サービス企業 i-Soon のデータが漏えい、既知の中国 APT 攻撃キャンペーンとのリンク見つかる This post is also available in: English (英語) 概要 2024 年 2 月 16 日、中国の IT セキュリティ サービス会社 i-Soon (別名 Anxun Information Technology) に属する可能性のある社内通信、セールス関連資料、製品マニュアルを含むデータが何者かによって GitHub にアップロードされました。漏えいした資料は、ある営利団体が、中国とつながりのある脅威アクターを支援するサイバー スパイ ツールをどのように開発・サポートしたかを示すもののようです。漏えいデータの初期調査の一環として、Unit 42 は、データ漏えい内の情報と以前の中国とつながりのある持続的標的型攻撃 (APT) キャン
2024 年 Unit 42 インシデント対応レポート: サイバーセキュリティ脅威戦術変化の注目ポイント
By Unit 42 February 20, 2024 at 2:00 PM Category: Reports Tags: Cloud-Delivered Security Services, Cortex XDR, Cortex Xpanse, Cortex XSIAM, incident response, Unit 42 Incident Response Report This post is also available in: English (英語) 概要 弊社は、250 を超える組織、600 を超えるインシデントから集めたインシデント データをもとに、年次調査を行いました。本レポートはセキュリティ侵害をめぐる情勢について Unit 42 の視点を提供するものとなっています。 脅威アクターはスピード、規模、巧妙さ、いずれの面でも勢いを増しています。このため、迅速、包括的、
Fighting Ursa (APT28) の隠密作戦で学ぶ APT 脅威の被害者学
By Unit 42 December 7, 2023 at 11:03 PM Category: Vulnerability Tags: Advanced Threat Prevention, Advanced URL Filtering, APT, APT28, Cortex XDR, CVE-2023-23397, DNS security, Fancy Bear, Fighting Ursa, Microsoft Outlook, Microsoft Vulnerability, next-generation firewall, privilege escalation, Russia, UAC-0001, Ukraine This post is also available in: English (英語) 概要 今年初め、ウクライナのサイバーセキュリティリサーチャーが、Fi
Unit 42、相互に関連の疑われる中東・アフリカ・米国の組織に対する攻撃を観測 利用された新たなツールセットを解説
By Chema Garcia December 3, 2023 at 6:15 PM Category: Malware Tags: .NET Framework, Advanced URL Filtering, Advanced WildFire, Agent Raccoon, backdoor, CL-STA-0002, CL-STA-0043, Cortex XDR, DNS, DNS security, Mimikatz, Mimilite, Ntospy This post is also available in: English (英語) 概要 Unit 42 のリサーチャーは、中東・アフリカ・米国の組織に対する一連の攻撃を観測しました。これらの攻撃は互いに関連しているものと見られます。本稿は、この攻撃過程で使われた一連のツールについて解説し、それにより攻撃者のアクティビテ
求職戦線異状あり: 北朝鮮の国家支援型 APT 脅威アクターの特徴をもつ 2 つの求人・求職ハック キャンペーン
By Unit 42 November 21, 2023 at 6:00 AM Category: Malware Tags: advanced persistent threat, Advanced Threat Prevention, Advanced URL Filtering, Advanced WildFire, APTs, BeaverTail, CL-STA-0420, CL-STA-0421, Cloud-Delivered Security Services, Cortex XDR, DPRK, next-generation firewall, North Korea, Wagemole This post is also available in: English (英語) 概要 Unit 42 のリサーチャーは最近、北朝鮮 (朝鮮民主主義人民共和国 DPRK) に紐
攻撃専用ホストのブロックでは不十分なことが明らかに: Linux に感染する世界規模の XorDDoS 攻撃キャンペーンの詳細分析
By Zhanhao Chen, Chao Lei, Fang Liu, Yang Ji, Qi Deng, Royce Lu and Daiping Liu October 16, 2023 at 11:42 PM Category: Malware Tags: Advanced URL Filtering, Advanced WildFire, Cloud-Delivered Security Services, DNS security, Linux, next-generation firewall, Trojan, XorDDoS This post is also available in: English (英語) 概要 私たちは最近、XorDDoS というトロイの木馬による新たな攻撃キャンペーンを検出しました。そこから詳しく調査したところ、膨大なコマンド & コントロール
Wireshark によるパケット解析講座 3: ホストとユーザーと特定する
表1. 「Windows NT」の行と対応する Microsoft Windows バージョン なぜ表 1 では「Windows NT 10.0」が「Windows 10 または Windows 11」を表すとされているのでしょうか。User-Agent 行の情報を減らす取り組みの一環で、Chrome や Edge、Firefox などの Web ブラウザーの開発者は Windows NT 10.0 の User-Agent 行に含める Windows バージョン番号を固定にしているのです。2023 年以降、Google Chrome ブラウザーの最新バージョンは、User-Agent 行の Windows のあらゆるバージョンを Windows NT 10.0 として報告するようになっています。 この措置は Apple macOS に関してもとられており、現行バージョンの macOS で
Wireshark によるパケット解析講座 2: 脅威インテリジェンス調査に役立つフィルタリング設定
表1. Wireshark の表示フィルター式で使われるブール演算子とその機能 Wireshark の表示フィルター式の適当な例を以下にあげます。 ip.addr eq 10.8.15[.]1 and dns.qry.name.len > 36 http.request && ip.addr == 10.8.15[.]101 http.request || http.response dns.qry.name contains microsoft or icmp Web トラフィックのフィルタリング 前回の Wireshark チュートリアルでは、Web トラフィックに次のフィルターを使いました。 http.request or tls.handshake.type eq 1 「http.request」という式からは HTTP リクエスト内の URL が得られます。そして「tls.han
Unit 42 東南アジア政府を標的とする複数のスパイ活動を発見
By Lior Rochberger, Tom Fakterman and Robert Falcone September 26, 2023 at 11:00 PM Category: Government Tags: Alloy Taurus, APTs, Behavioral Threat Protection, China Chopper, CL-STA-0044, CL-STA-0045, CL-STA-0046, Cobalt Strike, Cortex XDR, Cortex XSIAM, DNS security, GALLIUM, Gelsemium, Mustang Panda, Stately Taurus, threat actors, Threat Protection, web shells, WildFire This post is also availa
WinRAR の CVE-2023-40477 脆弱性のエクスプロイトを謳う偽 PoC (概念実証) が見つかる − PoC 実行で VenomRAT に感染
WinRAR の CVE-2023-40477 脆弱性のエクスプロイトを謳う偽 PoC (概念実証) が見つかる − PoC 実行で VenomRAT に感染 This post is also available in: English (英語) 概要 リサーチャーは、脅威アクターが古い概念実証 (PoC) コードを再利用して、新たにリリースされた脆弱性用の偽 PoC をすばやく作成してしまうことを意識しておく必要があります。2023 年 8 月 17 日に Zero Day Initiative は WinRAR のリモート コード実行 (RCE) の脆弱性 (CVE-2023-40477) を公開しました。同団体は、2023 年 6 月 8 日にベンダーへの開示を行っていました。CVE-2023-40477 の公開から 4 日後、ある攻撃者が whalersplonk というエイリア
沈黙のIoT: 複数のIoTエクスプロイトを悪用する最新Miraiキャンペーンの解剖
By Chao Lei, Zhibin Zhang, Yiheng An and Cecilia Hu June 23, 2023 at 1:46 AM Category: Malware Tags: Advanced Threat Prevention, Advanced URL Filtering, botnet, Cloud-Delivered Security Services, CVE-2019-12725, CVE-2019-17621, CVE-2019-20500, CVE-2021-25296, CVE-2021-46422, CVE-2022-27002, CVE-2022-29303, CVE-2022-30023, CVE-2022-30525, CVE-2022-31499, CVE-2022-36266, CVE-2022-40005, CVE-2022-456
[2024-02-15 JST 更新] 脅威に関する情報: Volt Typhoon (Unit 42追跡名 Insidious Taurus)に帰属する重要インフラへの攻撃
By Unit 42 February 14, 2024 at 2:30 PM Category: Threat Briefs and Assessments Tags: BRONZE SILHOUETTE, China, Cloud-Delivered Security Services, Cortex XDR, Cortex XSIAM, Cortex XSOAR, Dev-0391, Insidious Taurus, next-generation firewall, Prisma Access, Prisma Cloud, threat prevention, UNC3236, Vanguard Panda, Volt Typhoon This post is also available in: English (英語) 概要 Insidious Taurus (別名 Volt
![[2024-02-15 JST 更新] 脅威に関する情報: Volt Typhoon (Unit 42追跡名 Insidious Taurus)に帰属する重要インフラへの攻撃](https://cdn-ak-scissors.b.st-hatena.com/image/square/b2665416c39584009e722617ca5e84d9e6767e43/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2023%2F05%2FThreat-brief-r3d3.png)
新興ランサムウェア「Trigona」: 被害組織は製造、金融、建設、農業、マーケティング、ハイテクなどに広がる
This post is also available in: English (英語) 概要 Trigonaランサムウェアは、セキュリティ リサーチャーが2022年10月下旬に初めて発見した比較的新しい系統です。VirusTotalから入手したTrigonaランサムウェアのバイナリーや身代金要求メモ、Unit 42のインシデント対応からの情報を分析した結果、Trigonaは2022年の12月に非常にアクティブで、侵害された可能性のある組織が少なくとも15団体存在していたと判断されます。侵害された組織の業種は、製造、金融、建設、農業、マーケティング、ハイテクなどです。 Unit 42のリサーチャーは、2023年1月に2つ、2023年2月に2つ、新たなTrigonaの身代金要求メモを確認しました。Trigonaの身代金要求メモは特徴的で、通常のテキストファイルは使いません。HTMLアプリケー
IoTデバイスを狙うMiraiの亜種「V3G4」
By Chao Lei, Zhibin Zhang, Cecilia Hu and Aveek Das February 15, 2023 at 6:00 AM Category: Malware, Vulnerability Tags: Advanced URL Filtering, botnet, Cloud-Delivered Security Services, IoT Vulnerability, Mirai variant, next-generation firewall, threat prevention, V3G4, WildFire This post is also available in: English (英語) 内容に関する警告 以下の内容には脅威アクターによる人種的中傷の使用が含まれています。Unit 42はいかなる場合もこれを容認しないため、ここに内容に
USBデバイスに潜む―中国のPlugXマルウェアは今も現役
By Mike Harbison and Jen Miller-Osborn January 29, 2023 at 9:51 PM Category: Malware Tags: Black Basta ransomware, brute ratel c4, Cortex XDR, GootLoader, incident response, PlugX, WildFire This post is also available in: English (英語) 概要 最近、Unit 42のインシデントレスポンスチームがBlack Bastaによる侵害に対応したところ、被害者のマシンからGootLoader マルウェア、Brute Ratel C4レッドチームツール、古いPlugX マルウェアサンプルなど、複数のツールとマルウェアサンプルが発見されました。なかでも私たちの注目を引いたのが
Realtek SDKの脆弱性攻撃 IoTサプライチェーンの脅威を浮き彫りに(CVE-2021-35394)
By Yiheng An, Chao Lei, Adam Robbie, Aveek Das, Zhibin Zhang and Shehroze Farooqi January 24, 2023 at 6:00 AM Category: Vulnerability Tags: Advanced URL Filtering, botnet, Cloud-Delivered Security Services, CVE-2021-35394, DNS security, exploit in the wild, IoT Security, IoT Vulnerability, network security trends, next-generation firewall, supply chain This post is also available in: English (英語)
中国の持続的標的型攻撃グループPlayful Taurusによるイランでの活動
By Unit 42 January 18, 2023 at 11:19 PM Category: Government Tags: Advanced URL Filtering, APT, backdoor, China, Compromise, Cortex XDR, DNS security, Iran, Playful Taurus, Turian, WildFire This post is also available in: English (英語) 概要 Playful Taurusは日常的にサイバースパイ活動を行う中国の持続的標的型攻撃グループです。APT15、BackdoorDiplomacy、Vixen Panda、KeChang、NICKELの名前でも知られています。このグループは少なくとも2010年には活動を開始しており、歴史的に北南米、アフリカ、中東の政府機関や
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
