Varonisの公開した記事では、microsoftのazcopyを使用してAzureのストレージにファイルをアップロードする情報持ち出し手法に関して記載されていた。 www.varonis.com そこで、他にも一般的に使用されるデータコピー/バックアップツールで悪用されているもの…

サポート詐欺(サポ詐欺)といえば「あなたのPCがウイルスに感染しています！」的な偽メッセージが出てきて、リモートで作業してくれる何者かにお金払っちゃうやつ。 今回はこのサポ詐欺でリモート操作の際に、C2サーバと通信するマルウェアをインストールした…

Group-IBの調査より、Googleの所有ドメインを使用したフィッシング攻撃が確認された。 使用されるドメインは、Google翻訳(Google Translate)に関係する*.translate.goog、Firebaseに関係する*.web.app. *.translate.googをメールやら改ざんサイトやらで送信…

Annexの研究者が悪意のある機能が含まれたChromeブラウザ拡張機能に関する調査内容を公開した。 この拡張機能では、1x1の透明なGIFの読み込みをトリガーとしてC2サーバから取得したペイロードを<img>のonloadで実行する。 静的解析で悪意がある部分を特定できなく…

度々奇抜なC2チャネルが話題に挙がるが、今回攻撃者からのコマンド運ぶのはUSBメモリ。 インターネットに繋がっているPCでUSBメモリにマルウェアを仕込み、攻撃者からのコマンドをUSBに保存。 インターネットに繋がっていないPCでUSB内のコマンドを実行し、…

Google Cloud系のAPIキーで公開前提のものがあり、以前は公開されていても問題無いとされていた。 以前から「本当に公開状態でも問題無いのか」という議論はあったようだ。デフォルトの権限が制限されていないキーであれば、他人がそのキーを使ってMaps API…

シナリオ Exorcise Black Energy 2 from Shadowbrook’s digital infrastructure by reverse-engineering the malware’s code. You must dismantle its hooks, identify its payload, and stop its command-and-control mechanisms to restore peace to the t…