パッと見で不正なショートカットかどうか分からないようにする手法があるらしい「lnk-it-up」

by skybreaker 脅威情報

Windowsのショートカット(.lnk)のリンク先って見たら分かるんじゃんって思ってたけど、実はパッと見で分からくする方法があるんですね。この画像は特に何もしていない通常状態。大量の空白とかで埋めたり、.lnkに関わる様々なフラグを設定すると引数表示し…

#ショートカット #LNKファイル

2026-02-12

CVE-2026-20841って本当にコレ？

by skybreaker 脅威情報

Windowsメモ帳アプリのリモートコード実行の脆弱性と話題になっていたCVE-2026-20841 Windows Notepad App Remote Code Execution Vulnerability New CVE-2026-20841 PoCとされるものがgithubで公開されている。 githubより(https://github.com/BTtea/CVE-20…

2026-02-11

本物のメールを使用してDMARCによる検証を回避することでフィッシングを行う「DKIMリプレイ攻撃」

by skybreaker 脅威情報

PayPalやApple IDの請求メールを送り、そのメールを見た被害者が攻撃者に連絡を取ってしまうことで、正規のサポートに連絡を取ったかのように騙される。 DMARC検証があれば、攻撃者が所有していないドメインからメールを送った場合に弾かれる。しかしながら…

#DKIM #DKIM認証 #DMARC

2026-02-10

攻撃者が扱う正規ツールをC2として使用する事例は「Velociraptor」がトレンド？

by skybreaker 脅威情報

以前にもVelociraptorをC2として扱ったランサムウェア攻撃者の話題は扱った。 www.sdsg.moe 最近はランサムウェア、もしくはそれ以外の攻撃事例でもVelociraptorをC2として扱われた事例が増えているように思う。今回取り上げる2026年2月8日Huntressのレポー…

#VelociRaptor #SolarWinds #Elastic Cloud #VSCode #セキュリティ #Security

2026-02-09

Black BastaはランサムウェアにBYOVDによるEDR回避を導入

情報漏洩 by skybreaker

Symantecの調査により、最近のBlack BastaはランサムウェアにBYOVD機能を含んでいることが確認されたらしい。 www.security.com ランサムウェアを実行するために邪魔なAV系プロセスをキルするのはよくある。BYOVDも組み込んじゃうのは、あんまり聞かない。 …

2026-02-08

ビジュアルノベルエンジン「Ren'Py」をローダとして使用する「RenEngine Loader」

by skybreaker 脅威情報

Ren'Pyというビジュアルノベルエンジンがあるというのを初めて聞きました。恋愛ゲーム(Ren)とPythonをかけたものらしい。かの「ドキドキ文芸部!」もこれで作られたとのこと。 ja.renpy.org Steamとかで配信されているゲームにも使用されていて、オープンソー…

2026-02-06

DNS TXTレコードでコマンドを配信するClickfix

by skybreaker 脅威情報

やり方自体は新しいものでは無いが、Clickfixでも使われるようになったんだなぁ。最近のClickfixは、コマンドを良い感じに分かりにくくするあらゆる方向で頑張っているイメージ。 We discovered the #KongTuke campaign using #DNS TXT records in its #Cli…

Slapdash Safeguards

にわか仕込みのセキュリティ

パッと見で不正なショートカットかどうか分からないようにする手法があるらしい「lnk-it-up」

CVE-2026-20841って本当にコレ？

本物のメールを使用してDMARCによる検証を回避することでフィッシングを行う「DKIMリプレイ攻撃」

攻撃者が扱う正規ツールをC2として使用する事例は「Velociraptor」がトレンド？

Black BastaはランサムウェアにBYOVDによるEDR回避を導入

ビジュアルノベルエンジン「Ren'Py」をローダとして使用する「RenEngine Loader」

DNS TXTレコードでコマンドを配信するClickfix