Trickbotを起点にCobaltStrikeを活用した潜入活動を行う攻撃手法について

米国のセキュリティベンダーSentinelOneより、Trickbotのオペレータの攻撃手法に関する興味深い記事が公開されていましたので、ご紹介します。 labs.sentinelone.com 最初の章でご紹介しますが、Emotet→Trickbot→Ryukの流れでの感染拡大は、昨年末の日本でも広く確認されました。 今回のパターンでは、Trickbotに感染した後の話が書かれていますが、今回の記事で紹介されたanyrun上の検体をVirusTotalで確認した時の検知名がEmotetになっていることからも、おそらく、昨年の活動で用いられた検体である可能性が高いです。 https://app…

アプリケーションのエラーログを装ったファイルを用いる攻撃手法について

Huntress Labsという米国のセキュリティベンダが公開するブログ記事にて、興味深い攻撃手法が公開されました。 https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4eblog.huntresslabs.com 私自身、当該組織については、良く知らなかったのですが、先日のRSA Conference 2020でも出展されていたようです。 https://www.rsaconference.com/usa/us-2020/expo-and-sponsors/huntress-labswww.rsaconference.c…

Windows版Facebook Messengerにてバックドアを実行できる脆弱性について

Reason Cybersecurityが公開するブログにて、「Facebook Messengerデスクトップアプリを使用した永続化手法」という題で、Windows版Facebook Messengerの脆弱性についての情報が公開されました。 blog.reasonsecurity.com このReason Cybersecurityという企業は、創業者でありCTOのAndrewが、2004年にWindowsに買収されのちのWindows Defender開発に寄与したとされる、GIANT Company Softwareの共同創業者ということで知られているようです。 www.reasons…

ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性

ホンダは6月9日、社内システムで起きた障害の発生により、メール、ファイルサーバ、業務システムに接続できない状況であることを明らかにしています。 www.asahi.com www3.nhk.or.jp xtech.nikkei.com www.itmedia.co.jp 障害は6月8日の午前中から発生しており、当初は国内工場の端末から検査システムなどへのアクセスもできない状況だったとのことです。 その影響により、国内工場での出荷が一時できなくなり、8日の午後になるまで国内の3工場すべてで出荷を停止していたとのことです。 その後、6月9日午前の段階で、検査システムなどへの国内工場からのアクセスに…

<続編>テレワークへの影響調査を眺めていろいろ考えてみた

今回の記事もサイバーセキュリティはほとんど関係ないので悪しからず。 今回の記事も前回の続きになります。 micro-keyword.hatenablog.com ※本記事は、パーソル総合研究所「新型コロナウイルス対策によるテレワークへの影響に関する緊急調査」を参考に執筆しています。 rc.persol-group.co.jp https://rc.persol-group.co.jp/research/activity/files/telework.pdf 目次 3蜜回避のための取り組みについて 企業ごとの差異 テレワークを実施しない理由 テレワークの課題とは まとめ 3蜜回避のための取り組み…

テレワークへの影響調査を深読みしてみた

今回の記事はサイバーセキュリティにほとんど関係ないです！あしからず。 少し前の記事にはなってしまうのですが、2020年4月17日にパーソル研究所が公開したテレワークに関する調査結果がとても興味深かったので、個人的にまとめてみました。 セキュリティ関係ないので記事にするかどうかは悩んだのですが、せっかくなので公開しようと思った次第です。 そして、書いていくうちに、ボリュームが大きくなってしまったので、今回は、昨今米国の事件で話題になっている格差とも絡めつつまとめていきます。 ※本記事は、パーソル総合研究所「新型コロナウイルス対策によるテレワークへの影響に関する緊急調査」を参考に執筆しています。 …