Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

GoldenSpy:第3章 – 新たな改良されたアンインストーラ

このブログは、現在、Intelligent Taxソフトウェアによって配信されている新しいバイナリの分析結果を示しています。このバイナリは、動作は最初のGoldenSpyアンインストーラと同じですが、特に、このブログで提供されたYARAルールによる検知を回避するために設計されています。

GoldenSpy:第2章 – アンインストーラ

2020年6月28日、TrustwaveのThreat Fusionチームが、Aisino Intelligent Taxソフトウェアによってダウンロードされている新しいファイルを特定しました。しかし、この時点では、遠隔のコマンドアンドコントロールで被害者に対して何かを実行しているわけではありませんでした。むしろ、この新しいサンプルの任務は、GoldenSpyを削除し、それが存在した痕跡を消すことです。

Golden Tax部門とGoldenSpyマルウェアの出現

Trustwave SpiderLabsは、新しいマルウェアファミリを発見し、GoldenSpyと命名しました。これは、ある中国の銀行が、中国で事業活動を行う企業にインストールするよう求めている税金支払いソフトウェアに組み込まれていました。

強要、幻想、および回避のスパムマスター

2018年、サイバー犯罪者が被害者のコンピュータをハッキングまたはマルウェアに感染させたことを電子メールで被害者に知らせた、6件の詐欺行為が発生しました。あるいは、加害者は、被害者が性的行為を行った、または自分のコンピュータに性的内容の違法なファイルを持っているという個人的な記録の形で証拠を入手しました。その後、詐欺師は、一定期間内に身代金要求が暗号通貨(ビットコイン)で支払われない限り、被害者を公に公開すると脅迫しました。

BEC 攻撃による高度な詐欺

「CEO 詐欺」または「ホエーリング」とも呼ばれる BEC(Business Email Compromise: ビジネス電子 メール侵害)電子メール詐欺は、世界中のあらゆる規模の企業に影響を与える重要な金融サイバ ー脅威になっています。

Firework: ペネトレーション(侵入)テストで Microsoft Workspace を利用する

WCX ファイルを使用すれば、数回のクリックでシステム上に Microsoft Workplace を設定すること ができます。登録プロセスは、NetNTLM ハッシュの形でクレデンシャルを開示することができま す。認証は、古いバージョンの Windows では自動的に行われるか、ユーザーに最新の認証情報 が要求されます。Workplace は、幅広いソーシャルエンジニアリングキャンペーンの一環として、さ らに兵器化される可能性があります。

パスワード保護された Word 文書が HERMES ランサム ウェアを運ぶ

AV による検出の回避は、スパムキャンペーンを実施するマルウェア作成者のルーチン作業の一 部です。これを達成する以前からの効果的な方法は、パスワードで保護されたドキュメントをスパ ムすることです。最近、このようなパスワードで保護された文書がスパムアウトされていることがわ かりました。さらに悪いことに、その中身はランサムウェアでした。

銀行向けマルスパムの再来

FlawedAmmyy RAT に誘導する Microsoft Publisher ファイルを含むいくつかの悪質なスパムメー ルについて先週書きました。キャンペーンのアクター(犯人)は銀行を標的にしていました。

顔認識を用いたソーシャルメディアマッピング: ペネトレー ションテスターとレッドチームのための新しいツール

インテリジェンスの収集は時間がかかるプロセスです。通常、さまざまなソーシャルメディアサイト で人のオンラインプレゼンスを見つけることから始めます。これは比較的簡単な作業ですが、大規 模に行うとなると非常に面倒になります。しかし、これが数百人または数千人というような単位で、 大規模に自動化されて実行されるとすればどうでしょうか?

CVE-2018-2892 - Oracle Solaris におけるカーネルレベル 特権エスカレーション

最近発表した Trustwave アドバイザリー(勧告)で詳述していますが、Trustwave は、Oracle Solaris 10/11 のすべてのバージョンにおいてローカルで悪用可能な問題を発見しました。この問 題はカーネルに存在し、ローカルシステムに Sun StorageTek Availability Suite(AVS)が設定され ている場合、特権を持たないユーザーとしてローカルに悪用されます。

悪意のある SettingContent が PDF で配信される

最近、ファイルタイプ SettingContent が Microsoft Office ドキュメントに埋め込まれた場合に、ど のように悪用されるかという概念実証(PoC)が報告されています。SettingContent は Windows 10 の機能で、さまざまなシステム設定のショートカットとして機能します。この正当な例

Reprise ライセンスマネージャーにおけるパッチ非適用での リモートコード実行

最近のペネトレーション(侵入)テストにおいて、自然に私の目にとまった非標準ポート 5054 で実行される、興味深い RLM と呼ばれる Web アプリケーションに遭遇しました。ちょっとした ことで、私はサーバー上でコードを実行できる重大な脆弱性を特定することができ、最終的に は完全なドメイン侵害につながるものです。

JA3 による暗号化されたネットワークトラフィックの検査

セキュリティ研究者としての私たちの仕事の一部は、悪意のある、または許可されていない活 動を監視するために使用される新しいツールやテクニックに追いついていくことです。強力な 暗号化は、プライバシとアクセス制御を必要とする重要なセキュリティ基盤ですが、もちろん犯 罪者も自分の活動を隠すために暗号化を活用しています。ネットワークについて考えると、セ キュリティのための非常に重要なプライバシーを壊すことなく、悪意のある行為について暗号 化されたトラフィックを監視する方法を考えることは、古くからの課題です。

地下社会の行動規範

"We are all honorable men here, we do not have to give each other assurances as if we were lawyers." ― Mario Puzo, The Godfather In the seedy depths of the dark web you will find an underground subculture brimming...

接続を維持する


購読する

Trustwaveの最新のセキュリティ ニュースやトレンドの情報を受け取る場合は、ご登録してください。

スパムではありません。いつでも登録を解除できます。


トレンドになっているテーマ