Windowsのショートカット(.lnk)のリンク先って見たら分かるんじゃんって思ってたけど、実はパッと見で分からくする方法があるんですね。 この画像は特に何もしていない通常状態。 大量の空白とかで埋めたり、.lnkに関わる様々なフラグを設定すると引数表示し…
Windowsメモ帳アプリのリモートコード実行の脆弱性と話題になっていたCVE-2026-20841 Windows Notepad App Remote Code Execution Vulnerability New CVE-2026-20841 PoCとされるものがgithubで公開されている。 githubより(https://github.com/BTtea/CVE-20…
PayPalやApple IDの請求メールを送り、そのメールを見た被害者が攻撃者に連絡を取ってしまうことで、正規のサポートに連絡を取ったかのように騙される。 DMARC検証があれば、攻撃者が所有していないドメインからメールを送った場合に弾かれる。 しかしながら…
以前にもVelociraptorをC2として扱ったランサムウェア攻撃者の話題は扱った。 www.sdsg.moe 最近はランサムウェア、もしくはそれ以外の攻撃事例でもVelociraptorをC2として扱われた事例が増えているように思う。 今回取り上げる2026年2月8日Huntressのレポー…
Symantecの調査により、最近のBlack BastaはランサムウェアにBYOVD機能を含んでいることが確認されたらしい。 www.security.com ランサムウェアを実行するために邪魔なAV系プロセスをキルするのはよくある。BYOVDも組み込んじゃうのは、あんまり聞かない。 …
Ren'Pyというビジュアルノベルエンジンがあるというのを初めて聞きました。恋愛ゲーム(Ren)とPythonをかけたものらしい。かの「ドキドキ文芸部!」もこれで作られたとのこと。 ja.renpy.org Steamとかで配信されているゲームにも使用されていて、オープンソー…
やり方自体は新しいものでは無いが、Clickfixでも使われるようになったんだなぁ。 最近のClickfixは、コマンドを良い感じに分かりにくくするあらゆる方向で頑張っているイメージ。 We discovered the #KongTuke campaign using #DNS TXT records in its #Cli…
メールでパーティーの招待状というものが来て、オンラインの招待状ページとされるURLにアクセスすると招待状と主張される何かがダウンロードされる。 Webページには招待状をクリックして開けてくださいと指示があるが、その招待状とされるものは.msiのインス…
ローカルで動作するAIエージェントとして話題のOpenClaw openclaw.ai ClaudeやOpenAIとかのAPIを使いつつ、コンピュータの操作を全て任せらることができる。なので、メールとかカレンダーの予定管理とか、人によってはソフトウェア開発を全てAIに任せて自分…
昨年末ごろにポーランドの重要インフラや製造業界隈で同時多発したサイバー攻撃に関して、ポーランドのCERTが報告書を公開した。 重要インフラや製造業が標的ということもあって、OT環境機器の攻撃に関しても言及されている。 といっても、OT環境機器ではほ…
Androidマルウェアといえば、巧妙なRATとか、ストーカー系アプリのイメージが強い。 今回は、そういう機能もありつつも勝手にWebページにアクセスして広告をクリックする機能付き。 そして、広告のクリック箇所の識別に軽量な機械学習モデルを使用する。 vms…
以前にAzure系には公式ドメイン悪用は無さそうという話をしたが、Teamsにはフィッシングの起点として利用されるものがあったようだ。 単純な話ではあるが、ゲスト招待やチーム招待でそれっぽく誘ってチャットに誘って金銭を要求するようなもの。 この招待が…
概要 時間との戦いの中で、法執行機関に押収されたノートパソコンを調査し、爆弾脅迫が本物かデマかを特定できますか? Verify the Disk Image. Submit SectorCount and MD5 (7 points) "C:\Users\BTLOTest\Desktop\Investigation Files\Disk Image\Zerry"に…
PaloAlto networksのunit42研究にて、LLMを使用してフィッシングページを動的に生成する攻撃手法が示された。 ざっくりと言えば、JavaScriptでLLM APIを呼び出して、出力結果を現在のページに反映させる。 同じプロンプトでも、LLMの結果は毎回に同じなると…
マルウェアが検知されて止められないように、様々な手法でマルウェア対策ソフトの検知を回避しようとする。 脆弱な仕組みを見つけたり、変更しにくい仕様上の問題を巧みに組み合わせるのも多く聞くだろうが、ここでの話は単純なこと。 ただ、自分を除外設定…
公開していたサービスの開発環境やテスト環境が脆弱でやられたっていうのは分かるが、今回はそうでは無い。 よくセキュリティ学習やセキュリティツールのベンチマークに使用されるOWASP Juice Shop、DVWA、Hackazonといったアプリケーション。 これらがイン…
powerview.pyって良いですよね。 github.com 皆大好きPowerView これのlinux版的なもの ただし、powerview.pyはシェルは必要なく、ldap,ldaps,gc,adwsの接続のみでおk 侵入しなくてもpowerviewと同じようなコマンドが使えるのが良い。 インストール 使用感 …
「Syncappvpublishingserver.vbs」でのコマンド実行自体は目新しいものではない。 ここでは、よくあるコマンド実行の難読化手法を改めて確認していきたい気持ち。 ちなみにClearFakeは以前ちょこっと触れたEtherHidingも使っている。 expel.com ClickFixでみ…
github等から取得したフォルダをvscodeで開き、「フォルダの中身を信頼する」をチェックすることで感染する事例が公開された。 これは、開いたフォルダに含まれる.vscode/tasks.jsonが原因となる。 タスク機能は本来、ビルドとかデプロイとかを自動化する機…
RedLineCyberという脅威アクターが配布するマルウェアは、インフォスティーラーみたいな情報収集無し、RATみたいなリモート操作機能無し、C2サーバの指令を確認したりC2サーバからの指令を待つ機能無し。 その主な機能は、仮想通貨アドレスがクリップボード…
インフォスティーラー「StealC」のWeb管理画面のインフォスティーラーした研究者 CYBERARKの研究者が以前に流出したStealCのWeb管理画面ソースコードを解析していた際に、管理画面の脆弱性を発見したとのこと。 脆弱性の詳細は公開されていないが、Web管理画…
メーカーの実装するGoogle Fast Pairの使い方に脆弱性が発見され、勝手に対応デバイスをペアリングできることが判明した。 なので、勝手にペアリングすれば勝手に音楽流す、勝手に録音するとかをできちゃうらしい。 さらに、攻撃者がデバイスを勝手に自分の…
こんな感じの気持ち(https://aniani.me/danmachi/より) 以前に試したSOAPHound 確かにLDAPじゃなくてADWSで情報収集するので、OPSEC的に良い感じ。だがどうにかもっと網羅性があるものが無いかと、見つけたSOAPy。 ただしSOAPyはデフォルトの網羅的LDAPクエ…
攻撃者はプロンプトの含まれたCopilotリンクを送信し、ターゲットがそのリンクを踏むとMicrosoftアカウントに関する情報が取得される。 これにより、Copilotがアクセス可能なMicrosoftアカウントに関するあらゆる情報が窃取される可能性がある。アカウントに…
元々、Magentoで運用されたECサイトを標的にした攻撃グループのことをMagecartと呼んでいたらしい。 が、最近では一部界隈でECサイトの決済ページを改ざんしてクレジットカード情報を盗む手法をMagecartと言っているらしい。 www.silentpush.com ウェブスキ…
システムに侵入って聞くと、ランサムウェアとか情報漏洩とか対象システムを管理している企業を脅迫するようなものが多い。 この事例は、侵入したシステムを活用して別の金稼ぎに使用したような事例。 何か最近サイバー攻撃に関連して脅迫じゃなくて別のこと…
盗難カード系のインフラストラクチャ分析記事を見かけたので、この機にちょっと語りたいと思いました。 www.team-cymru.com 以下、Team Cymruの記事を上から読みながら補足していく感じで記載している。 Background on Cardingの補足 クレジットカードが盗ま…
出会い系サービスなどを使った恋愛詐欺は、おそらく日本では一般的ロマンス詐欺として知られている。が、国際的には豚殺し(pig butchering)として知られている。 www.sompocybersecurity.com この豚殺し詐欺を行うためのターゲット情報、なりすましプロフィ…
2025年の12月にRapid7がRaccoon Stealer系のルールでマルウェアを検出した。 そこには何故か難読していないdllも一緒にあったので、簡単に静的解析できてしまったとのこと。 これが、サンタさんのプレゼントってことですね。 マルウェア解析結果はRapid7の記…
少しお高いスマホならNFC機能が付いてるので、決済用カードを読み込ませてオンラインで支払いしたり、登録しておいたカードをお店で使える。 何とこのNFC機能をプロキシするマルウェアが売り出されているらしい。 カードが手元に無くともリモートで勝手に決…
