Windows zero‑day CVE‑2019‑1132 exploited in targeted attacks | WeLiveSecurity
ESET research discovers a zero-day exploit that takes advantage of a local privilege escalation vulnerability in Windows In June 2019, ESET researchers identified a zero-day exploit being used in a highly targeted attack in Eastern Europe. The exploit abuses a local privilege escalation vulnerability in Microsoft Windows, specifically a NULL pointer dereference in the win32k.sys component. Once th
US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!! - セキュリティコンサルタントの日誌から
先日、US-CERTからサイバー犯罪に利用される公開ツールに関するアナウンスが出されました。 Publicly Available Tools Seen in Cyber Incidents Worldwide | US-CERT ITMediaにも取り上げられていますが、比較的面白い記事だったので勝手に翻訳してみました。(アメリカ合衆国政府機関の著作物はパブリックドメインとして扱われるので翻訳して公開しても問題ないと判断しています。間違っていたら教えてください。) www.itmedia.co.jp 利用に際する注意事項は以下の通りです。 翻訳上の誤りは多々あると思いますが、自己責任でご活用ください。 記事の意図を反映するため、意訳をしているケースが多々ありますし、省略したり追加で言葉を添えている場合があります。 いまいち意図がわからない文章もあったので、その場合は推測で訳をしている場合
攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28) - JPCERTコーディネーションセンター(JPCERT/CC)
前回の分析センターだより では攻撃グループBlackTech[1]が使用していると考えられるマルウエアTSCookie について紹介しました。この攻撃グループはその他にもPLEADと呼ばれるマルウエアを使用することが分かっています。(PLEADは複数のマルウエア種別名(TSCookieを含む)とそのマルウエアを使用した攻撃キャンペーン名として使用されています[2]。ここではPLEADをTSCookieとは異なるマルウエア種別名として使用します。)PLEADにはRATタイプと、ダウンローダタイプ(以降、PLEADダウンローダと記載する)が存在します。RATタイプは複数のコマンドを持ち、命令を受信することによって動作します。(詳しくは、LAC社が公開しているブログ[3]の「攻撃手口3」をご覧ください。)PLEADダウンローダは、TSCookieと同じくモジュールをダウンロードし、メモリ上で実行
中国の「APT10」が最新のTTP(戦術、技術、および手順)を用い、日本企業を標的に
ファイア・アイは今年7月、「APT10」(別名:MenuPass)と思われるグループによる、日本のメディア業界を標的にしたアクティビティを検知・阻止しました。APT10は、ファイア・アイが2009年より追跡している中国のサイバー・スパイ・グループで、これまでも日本の企業・組織を標的としてきました。今回の攻撃キャンペーンでは、UPPERCUTバックドアをインストールする、悪意ある文書を添付したスピアフィッシング・メールが、日本のメディア業界におけるさまざまな企業・団体に送付されました。このバックドアは、コミュニティではANEL の名で知られており、最新バージョンが発表されるまでは、ベータ版またはRC(リリース候補版)の形で提供されていました。本ブログでは、バージョン間の更新内容や差異について分析しています。 攻撃の概要 最初の攻撃ベクトルでは、悪意あるVBAマクロを格納したMicrosoft
Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31) - JPCERT/CC Eyes
JPCERT/CCでは、2017年7月頃から国内の組織に対して、Cobalt Strikeを悪用した攻撃が行われていることを確認しています。Cobalt Strikeは、標的型攻撃を模倣することができる商用製品[1]であり、インシデント対応演習などで利用されますが、攻撃者に悪用されるケースもあります。Cobalt Strikeを悪用する攻撃グループや、Cobalt Strikeの詳細については、株式会社ラック[2]やFireEye[3]、Cybereason[4]が公開している情報に詳しく記載されていますので、そちらをご覧ください。 Cobalt Strikeは、ダウンローダーとなるWord文書などを用いて、本体となるペイロード(Cobalt Strike Beacon)をダウンロードさせることで、メモリ上で実行されます。 Cobalt Strike Beaconはディスク上には保存されな
Advanced Mobile Malware Campaign in India uses Malicious MDM
Summary Cisco Talos has identified a highly targeted campaign against 13 iPhones which appears to be focused on India. The attacker deployed an open-source mobile device management (MDM) system to control enrolled devices. At this time, we don't know how the attacker managed to enroll the targeted devices. Enrollment could be done through physical access to the devices, or most likely by using soc
「BlackTech」によるサイバー諜報活動の足跡を追う | トレンドマイクロ セキュリティブログ
サイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動する攻撃者集団で、日本や香港での活動も確認されています。彼らが利用するコマンド&コントロール(C&C)サーバの Mutex やドメイン名から、BlackTech の目的は標的者が所有する技術の窃取にあると推測されています。 BlackTech が利用する手法などの変化を追跡したところ、別々のサイバー諜報活動だと思われていた、「PLEAD(プリード)」、「Shrouded Crossbow(シュラウディッド・クロスボウ)」、「Waterbear(ウォーターベア)」の間に、ある共通点が浮かび上がってきました。 本記事では、各攻撃キャンペーンの手口を比較し、利用されたツールを解析した結果判明した3つの攻撃キャンペーンが同一の攻撃集団によって実行されたことを示す共通点について解説します。 ■
プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01) | JPCERTコーディネーションセンター(JPCERT/CC)
2018年1月17日頃、文部科学省に偽装した不正なメールが送信されていたことが一部で確認されています[1]。このメールにはURLが記載されており、アクセスするとマルウエアTSCookieがダウンロードされました。(トレンドマイクロ社はこのマルウエアをPLEADと呼んでいます[2]。PLEADは、攻撃キャンペーン名として使われることもあるため、ここではこのマルウエアをTSCookieと記載します。)TSCookieは、2015年頃から確認されており、BlackTech[3]と呼ばれる攻撃グループとの関連が疑われています。JPCERT/CCではこのマルウエアを使用した攻撃グループが、過去に日本の組織をターゲットに標的型攻撃を行っていることを確認しています。 今回は、TSCookieの詳細について紹介します。 TSCookieの概要 図1は、TSCookie実行時の動作の流れを示しています。 図
攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28) - JPCERTコーディネーションセンター(JPCERT/CC)
前回の分析センターだより では攻撃グループBlackTech[1]が使用していると考えられるマルウエアTSCookie について紹介しました。この攻撃グループはその他にもPLEADと呼ばれるマルウエアを使用することが分かっています。(PLEADは複数のマルウエア種別名(TSCookieを含む)とそのマルウエアを使用した攻撃キャンペーン名として使用されています[2]。ここではPLEADをTSCookieとは異なるマルウエア種別名として使用します。)PLEADにはRATタイプと、ダウンローダタイプ(以降、PLEADダウンローダと記載する)が存在します。RATタイプは複数のコマンドを持ち、命令を受信することによって動作します。(詳しくは、LAC社が公開しているブログ[3]の「攻撃手口3」をご覧ください。)PLEADダウンローダは、TSCookieと同じくモジュールをダウンロードし、メモリ上で実行
LinuxとWindowsを狙うマルウエアWellMess(2018-06-28) | JPCERTコーディネーションセンター(JPCERT/CC)
マルウエアの中にはマルチプラットフォームで動作することを意図して作成されたものが存在し、その際に使用されるプログラミング言語として代表的なものがJavaです。たとえば、以前分析センターだよりで紹介したAdwindはJavaで作成されたマルウエアで、Windows以外のOSでも動作します。ご存知の通り、Java以外にもマルチプラットフォームで動作することを想定したプログラミング言語は存在し、Golangもその1つです。Javaで作成されたマルウエアに比べると少ないですが、Golangで作成されたものも確認されています。たとえば、Linuxに感染するマルウエアとして有名なMiraiもコントローラーにはGolangが使用されています。 今回は、JPCERT/CC で確認したマルウエアWellMessについて紹介します。WellMessは、Golangで作成され、クロスコンパイルによってLinux
Certificates stolen from Taiwanese tech‑companies misused in Plead malware campaign | WeLiveSecurity
D-Link and Changing Information Technologies code-signing certificates stolen and abused by highly skilled cyberespionage group focused on East Asia, particularly Taiwan ESET researchers have discovered a new malware campaign misusing stolen digital certificates. We spotted this malware campaign when our systems marked several files as suspicious. Interestingly, the flagged files were digitally si
マーケット情報 | ビットバンクプラス
運営者情報本サイトは、日本最大級暗号資産取引所・販売所「ビットバンク」が運営する、ビットコイン(Bitcoin)、ブロックチェーン、暗号資産(仮想通貨)に関する知識、世界中の最新のトピックス、最先端の技術、プロジェクト、規制、相場など、暗号資産投資のヒントになるお役立ち情報を発信するメディアです。 金融庁のホームページに記載された暗号資産交換業者が取り扱う暗号資産(仮想通貨)は、当該暗号資産交換業者の説明に基づき、 資金決済法上の定義に該当することを確認したものにすぎません。 金融庁・財務局が、これらの暗号資産(仮想通貨)の価値を保証したり、推奨するものではありません。 暗号資産(仮想通貨)は、必ずしも裏付けとなる資産を持つものではありません。暗号資産(仮想通貨)の取引を行う際には、以下の注意点にご留意ください。 <暗号資産(仮想通貨)を利用する際の注意点>暗号資産(仮想通貨)は、日本円や
SynAck targeted ransomware uses the Doppelgänging technique
The Process Doppelgänging technique was first presented in December 2017 at the BlackHat conference. Since the presentation several threat actors have started using this sophisticated technique in an attempt to bypass modern security solutions. In April 2018, we spotted the first ransomware employing this bypass technique – SynAck ransomware. It should be noted that SynAck is not new – it has been
「勇」って名前で損してる
匿名ダイアリーなのに本名で書いてしまってすみません。勇です。 「いさむ」ではなくて「ゆう」なんです。 僕が小学校に通っている時、学校に近所のカナダ人が英語を教えに来ていました。 ぼくは「知らない国に住んでいたなんて!どんな生活してたのかとかどんな国なのか聞いてみたい!仲良くなろう!」と思いました。 まずは自己紹介からだと考え、勇気を振り絞って話しかけました。 「ハーイ!マイネームイズユー!!!」 するとどうでしょう、カナダ人の彼は爆笑しはじめ「ハッハッハー!!!ユーイズユーwwwwwwアイアムユー???wwwww」みたいなことを延々と言いながらしばらく爆笑していて、子供ながらに(なんて名前を付けてくれやがったんだ)と思ったことを覚えています。 でも実際、アフリカ行って現地の少年が必死に日本語使って「ワタシノーナマエワァ……オマエデス。オマエ・ング・ジャナフ……」とか言われたら普通に爆笑する
The Banking Trojan Emotet: Detailed Analysis
Introduction In the summer of 2014, the company Trend Micro announced the detection of a new threat – the banking Trojan Emotet. The description indicated that the malware could steal bank account details by intercepting traffic. We call this modification version 1. In the autumn of that year a new version of Emotet was found. It caught our attention for the following reasons: The developers of
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Roaming Mantis, part III
https://www.lac.co.jp/lacwatch/pdf/20180614_cecreport_vol3.pdf
JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]
Ammyy Admin hit by malware again with World Cup used as camouflage
Malware Analysis – PlugX