脆弱性Ghostcat(Apache Tomcatの脆弱性CVE-2020-1938) の脅威について

Webアプリケーションの開発などでよく用いられるJavaの実行環境ソフトウェアApacheTomcatにおいて、 脆弱性の実証コードが多数確認され、誰でも簡単に実行可能な状態であることが明らかになっています。 記事のタイミングが遅くなってしまいましたが、依然、脅威度は高いと思いますので、公開します。 目次 何が問題なの？ 脆弱性の実証コードが公開されている 脆弱性の該当箇所がデフォルトで有効になっている 影響範囲が広い 脆弱性悪用の例 脆弱性の修正プログラム 【ご参考】専門機関からの注意喚起 何が問題なの？ 脆弱性の実証コードが公開されている ソースコード共有サイトGithub上にすでに多数の…

商用ツールRecoms RATを利用した新型コロナウィルス対策を装うマルウェアについて

CoronaVirusSafetyMeasures_pdf.exeという名前、つまり「コロナウイルス安全対策」という名前のファイルを用いて、標的の端末にRemcos RATとマルウェアペイロードをダウンロードさせようとする攻撃活動が観測されています。 本攻撃の観測は、ヨーロッパのMSSP(Managed Security Service Provider)であるYoroiというベンダーのブログにて公開されました。 blog.yoroi.company 目次 マルウェアの動作 オンラインファイル共有ストレージの利用 Remcos RATの実行 キーボード入力情報の窃取 商用ツールRecoms R…

ランサムウェアDoppelPaymerによるリークサイトの開設

セキュリティ情報サイトBleepingComputerによると、ランサムウェアDoppelPaymerの運営者が、身代金の要求に応えなかった被害者のファイルを公開するための専用サイトの開設を確認したとのことです。 www.bleepingcomputer.com 今回はこの件について、簡単にまとめます。 目次 確認されたリークサイト DoppelPaymerとは 過去に確認された同様の手法 まとめ 確認されたリークサイト 今回確認されたリークサイトはこのようなものです。 DoppelPaymerのオペレーターによると本サイトはテスト段階であるとのことで、BleepingComputerは伝えら…

WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて

セキュリティベンダーのトレンドマイクロより、ハッカー集団DRBControlに関するレポートが公開されました。 www.trendmicro.com https://documents.trendmicro.com/assets/white_papers/wp-uncovering-DRBcontrol.pdf トレンドマイクロがDRBControlと名付けたこのグループは、調査の結果、中華系の標的型攻撃グループとして有名なWinntiおよびAPT27との関連が見られるとのことで、本レポートでは言及されていました。 当該内容に触れつつ、まとめた内容を記載します。 目次 DRBControlの概…

スマートデバイスをBluetooth経由で第三者が操作できてしまう脆弱性SweynToothについて

シンガポール工科デザイン大学（Singapore University of Technology and Design）学者より、Bluetoothを実装するデバイスに影響を及ぼす脆弱性が公開されました。 https://asset-group.github.io/disclosures/sweyntooth/sweyntooth.pdf 併せて、専用のサイトも公開されています。 ASSET Research Group: SweynTooth このレポートでは、Bluetooth Low Energy（BLE）通信を実装するSoC(System on a Chip)における脆弱性について、…

Wi-Fi経由でEmotetに感染させる攻撃手法について

昨年8月ごろからの活動再開以降、Emotetを利用したサイバー攻撃が多数確認されています。 以下はその当時作成した記事になります。 micro-keyword.hatenablog.com つい昨日、セキュリティベンダーのCheckPointが公開したマルウェアレポートでも、2020年1月に最も影響を及ぼしたマルウェアとしてランク付けされています。 blog.checkpoint.com 先日別途作成した記事の通り、最近では新型コロナウィルスと関連付けた検体も確認されています。 micro-keyword.hatenablog.com そんな、Emotetですが、主要なメール経由ではなく、Wi…

新型コロナウィルス関連のサイバー攻撃まとめ

不謹慎というべきか、先述した内容や以前紹介した記事の通り、新型コロナウィルスに関連した攻撃が複数観測されています。 これまでにブログで紹介したものを含め、本記事に整理してみました。 目次 Emotetへの感染 フィッシングメール NanocoreRATへの感染 フィッシングメール 詐欺サイト SMSを使ったマルウェア感染 Emotetへの感染 本件は、以前まとめたものがあるので参照してみてください。 micro-keyword.hatenablog.com Parallaxへの感染 本件もちょうど先ほど書いた記事があるので、ご参考にどうぞ micro-keyword.hatenablog.co…

新型コロナウィルスに関連で用いられるマルウェアParallaxについて

新型コロナウィルスに関連したサイバー攻撃が次々と観測され始めています。 以前Emotetについても触れましたが、 micro-keyword.hatenablog.com 今回は新たにハッカーフォーラムで流通しつつあるマルウェアParallaxについてご紹介します。 目次 Parallaxの発見 ハッカーフォーラム上での売買 Parallaxが提供する機能 スパム経由でのParallax配布 新型コロナウィルス関連を偽装 見積書への偽装 画像共有サイトImgurの画像を用いたステガノグラフィによるもの Parallaxが紐づく攻撃インフラ まとめ Parallaxの発見 マルウェアParall…

Bitbucketを利用してさまざまなマルウェアを落としてくる攻撃について

Bitbucketを利用した、特徴的な攻撃について、Cybereasonのブログにて公開されました。 www.cybereason.com この攻撃では、「ランサムウェア」、「Stealer」、「コインマイナー」など、さまざまな種類のマルウェアが、Bitbucketを通して、展開されます。 新たな攻撃の手法として、特徴的だったので、本記事でまとめてみます。 目次 Bitbucketとは マルウェア配布の流れ それぞれのマルウェアの挙動 Azorult Predator STOPランサムウェア Vidar コインマイナーEvasive まとめ Bitbucketとは ソフトウェア開発を行っている…

Winntiグループによる香港の大学を狙った標的型攻撃について

2020年1月31日、セキュリティベンダのESET社のブログにて、Winntiグループによる香港の大学を狙った標的型攻撃に関するブログ記事が公開されました。 www.welivesecurity.com 今回の攻撃キャンペーンにおける標的は香港の大学でしたが、当該グループは過去に日本の組織を狙った攻撃も行っています。 そのため、過去分も掘り下げつつ、Winntiグループについて、まとめていきます。 目次 香港の大学を対象にした攻撃 Winntiグループの過去の攻撃 日本を含むゲーム業界への攻撃 CCleanerにバックドアを埋め込んで悪用した攻撃 ASUS Live Updateを利用した攻撃…