2024年10月以降、JSOCの複数のお客様にてClickFixと呼ばれる手法によるインシデントが発生しています。 標的型攻撃で悪用されている情報があり、サイバー救急センターでも関連するマルウェアを複数確認しています。さらに、ClickFixによる被害が増えていることを示唆する記事も散見されており、セキュリティ担当者にとって看過できない状況です。 この記事では、注意喚起をするとともにClickFixの手口および対策をご紹介します。 ClickFixとは ClickFixは、ソーシャルエンジニアリングの一種で、比較的新しい手法です。ボットやスパムを防ぐために用いられるCAPTCHAや、ブラウザなどの製品のアップデートを装い、ユーザに悪意のあるコンテンツを実行させます。前述の標的型攻撃による悪用以外にも、フィッシングメールや検索サイトなどの一般サイトで表示される不正広告でもClickFixが悪
HomeNewsSecurityNew polyglot malware hits aviation, satellite communication firms A previously undocumented polyglot malware is being deployed in attacks against aviation, satellite communication, and critical transportation organizations in the United Arab Emirates. The malware delivers a backdoor called Sosano, which establishes persistence on the infected devices and allows the attackers to exe
Executive summary: Microsoft Threat Intelligence identified a shift in tactics by Silk Typhoon, a Chinese espionage group, now targeting common IT solutions like remote management tools and cloud applications to gain initial access. While they haven’t been observed directly targeting Microsoft cloud services, they do exploit unpatched applications that allow them to elevate their access in targete
Cisco Talos discovered malicious activities conducted by an unknown attacker since as early as January 2025, predominantly targeting organizations in Japan. The attacker has exploited the vulnerability CVE-2024-4577, a remote code execution (RCE) flaw in the PHP-CGI implementation of PHP on Windows, to gain initial access to victim machines. The attacker utilizes plugins of the publicly availabl
ラックのサイバー救急センターは、2024年3月に中国を拠点とする攻撃者グループ「Winnti Group」による新たな攻撃キャンペーン「RevivalStone」を確認しました。この攻撃キャンペーンは、製造、素材、エネルギー分野の日本企業を標的にしたもので、新しい機能を備えた「Winntiマルウェア」が攻撃に使われていました。 そこで今回は、複数の日本組織を標的としたRevivalStoneキャンペーンの全体像とともに、新しいWinntiマルウェアの機能の詳細を説明します。さらに今後の対応策として、同様の攻撃に対する検知や対策手法を紹介します。 なお、本内容は2024年10月2日から4日に開催されたセキュリティカンファレンス「Virus Bulletin Conference 2024(VB2024)」の「RevivalStone: new puzzle posed by Winnti g
はじめに 「Lazarus」[1]は一つの攻撃グループを指す名称ではなく、実際には多数のサブグループの集合を指しています。もともとは一つのグループ、あるいは(今から見れば)ごく限られた規模の集団による活動を示すものだったところ、その後、活動体の規模が拡大し、複数のユニットに規模が拡大/枝分かれしたのではないかと筆者は推測していますが、この規模拡大に対して、旧来の「Lazarus」という呼称が当てはまらなくなってきたと考えるのが現実的です。 「この攻撃は〇〇(※Lazarusのサブグループ名)ではなくて、××のものだ」といった、Lazarusのサブグループレベルの粒度での特定/アトリビューションの話題を出すと、多くの方が怪訝な顔になるか無表情になりますが、後述のとおり、一見個人の“こだわり”、ややもすると“趣味”に見える考察が国全体の攻撃対処に極めて重要である点を解説したいと思います。 La
今回は、前回に引き続き水飲み場攻撃の事例を紹介します。2回目は、2023年にあるメディア関連のWebサイトが悪用された事例を取り上げます。 攻撃の流れ 図1に水飲み場攻撃の流れを示します。改ざんされたWebサイトにアクセスするとLZHファイルがダウンロードされ、LZHファイル内に含まれるLNKファイルを実行すると、マルウェアに感染します。 図1:攻撃の流れ 改ざんされたWebサイトには、図2のようなJavaScriptが埋め込まれており、Webサイトに特定のアカウントでログイン(Basic認証)しているユーザーに対してマルウェアがダウンロードされる仕組みになっていました。 図2:改ざんされたWebサイトに設置されていた不正なコード(1) マルウェアをダウンロードさせるWebページは図3のように、メンテナンス中であるかのようなメッセージが表示され、自動的にLZHファイルがダウンロードされます
The Nearest Neighbor Attack: How A Russian APT Weaponized Nearby Wi-Fi Networks for Covert Access November 22, 2024 by Sean Koessel, Steven Adair, Tom Lancaster KEY TAKEAWAYS Russian APT GruesomeLarch deployed a new attack technique leveraging Wi-Fi networks in close proximity to the intended target. The threat actor primarily leveraged living-off-the-land techniques. A zero-day privilege escalati
はじめに AsyncRATの解析結果については前回「AsyncRATの解析結果」1にまとめました。 本ブログでは、実際にAsyncRATをWindows端末上で実行し得られた攻撃者の活動を観測・分析した結果を紹介します。 攻撃者の活動を観測するにあたって必要な情報(通信、プロセス、ファイルアクセス等)は2017年にNICTが開発したサイバー攻撃誘引基盤STARDUST2を利用しました。 観測対象であるAsyncRATの詳細情報 分析結果を紹介する前に、観測対象であるAsyncRATについての詳細情報を共有します。 2024年8月8日に日本からVirusTotal3に初めてアップロードされた検体です。 本検体の全体像を図1に示します。
Since August 2023, Microsoft has observed intrusion activity targeting and successfully stealing credentials from multiple Microsoft customers that is enabled by highly evasive password spray attacks. Microsoft has linked the source of these password spray attacks to a network of compromised devices we track as CovertNetwork-1658, also known as xlogin and Quad7 (7777). Microsoft is publishing this
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く