【更新】北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAについて

Kasperskyのブログにて、北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAの調査内容が公開されました。 securelist.com 同マルウェアフレームワークは2018年4月に確認されており、ペイロードを取得するローダー、追加モジュールの取得や事項を行うオーケストレータなどが含まれており、Windows版、Linux版、macOS版が存在するとのことです。 本記事では、同フレームワークの概要について、調査記事を参考に記載します。 目次 MATAフレームワークへの感染地域 攻撃者の狙い Lazarusとの関連 Windowsバージョン Lin…

Emotetへの感染を試みる活動が5か月ぶりに確認された件

Twitterなどを中心に話題になり始めていますが、Emotetへの感染を試みる活動が5か月ぶりに確認されました。 セキュリティベンダMalwareBytesからも活動再開について、ブログ記事として公開されています。 blog.malwarebytes.com 5か月前というと、当ブログでは以下の記事が、直近の活動として該当します。 micro-keyword.hatenablog.com micro-keyword.hatenablog.com 2020年2月16日に当ブログで公開した「Wi-Fi経由でEmotetに感染させる攻撃手法について」の情報ソースであるBinary Defenceの…

SIGRed（CVE-2020-1350）WindowsDNSサーバーのRCE脆弱性について

Microsoft Security Response Centerより「Windows DNS サーバの脆弱性情報 CVE-2020-1350 に関する注意喚起」が発行されました。 msrc-blog.microsoft.com 当該脆弱性については、報告元であるCheck Pointより、SIGRedと命名されています。 research.checkpoint.com CVSSにて基本スコア10.0となっている当該脆弱性について、海外のブログやWebニュースでも広く取り上げられていたので、本記事でもまとめてみます。 目次 影響を受ける製品とその影響 脆弱性の対応策 まとめ 影響を受ける製品…

ロシアのサイバー犯罪グループCosmic LynxによるBEC活動の観測について

Eメールセキュリティにおいて強みをもつ、米国のセキュリティベンダーAgariより、ロシアのサイバー犯罪グループCosmic Lynxの活動に関するブログ記事が公開されました。 https://www.agari.com/email-security-blog/cosmic-lynx-russian-bec 本記事では、Agariの見解を踏まえつつ、Cosmic LynxおよびBECの近況についてご紹介します。 目次 BECに関する注意喚起と過去の大きな被害について BEC脅威は拡大傾向 Cosmic Lynxの活動 Cosmic Lynxの手口 まとめ BECに関する注意喚起と過去の大きな被害…

Torを使ったサイバー攻撃の戦術とその対策案

US-CERTより、FBIとの共同寄稿として、Torを使ったサイバー攻撃の戦術およびその対策案についてのアラートが発行されました。 www.us-cert.gov 本記事では、US-CERTの記事を中心として、Torについて、また、最近何かと話題のATT＆CKについてご紹介しつつ、解説していこうと思います。 目次 まずTorについて Torのアクセスはたどれないの？ Torを利用した攻撃の戦術 ATT&CKとは Torを用いた悪意のある活動 Torを利用した攻撃のへの対応策 ExitノードのIPアドレスを用いた検知 Torを用いた通信の特徴を踏まえた検知 具体的な防御策 まとめ まずTorにつ…