Blue Team Labs Online | Windows Forensics 本調査では、Windows イメージ内に存在する VeraCrypt ボリュームを起点に、クリップボード履歴・ステガノグラフィ・文書解析を通して 隠された情報と事件の全貌を明らかにする。 Q1) What is the full path of t…

はじめに また一年の年末がやってきた。この時期になると、今年一年のセキュリティ対策を振り返る方も多いだろう。 最近、気になる記事をいくつか読み返して、改めて考えさせられることがあった。仲間であるskybreaker氏が継続的に紹介している最新の攻撃手…

フランスに停泊中のイタリア船籍のフェリーのOS？からマルウェアが見つかったとのこと。 事前にイタリア当局からフランスに対して「対象の船のOSがRATに感染している可能性がある」という警告を受け取っていたらしい。 "identified and neutralised an attem…

企業のシステムでの仮想化基盤としてよく使われるESXi。 ESXiのホストに侵入し仮想マシンを一気に暗号化してしまえば、ターゲット企業に多大な影響を簡単に与えるためにランサムウェア攻撃者に狙われやすい。 www.huntress.com ADと連携 ESXiを企業で運用し…

侵入テストでは、多くの場合、非特権ユーザーとして一部のWindowsホストにアクセスするが、アクセス権限が制限されており、ホスト上で管理タスクを実行する手段がないため、ターゲットを完全に制御することができない。そこで、攻撃者にとって横展開や情報の…

modbus経由でアクセスできるシステムへの攻撃事例の話があったので、簡単にmodbusスキャンに関する記録を残しておく。 www.catonetworks.com OT/ICS系の攻撃っていうのは基本的に何かの値を書き換えるだけで、脆弱性の悪用とか高度なことをしなくても良い場…

相手が確認したくなるような画像を見つけたというメッセージを送り、リンク先に誘導する。 Gen Digitalの解説記事より(https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack) ここで、画像を確認するにはアカウント連携をして本…

Kali Linuxの公式リポジトリにAIペンテスト用MCPが追加された 12月12日にKali Linux 2025.4が発表された。 いつも通り色々変更があったようだが、個人的注目は追加されたツールのうちのhexstrike-ai ついにKali Linuxで自動ペネトレーションテストを行うため…

2025年6月30日にsudoの脆弱性「CVE-2025-32463」が公開されました。 概要 Cvss 3 Severity Score：9.3 · Critical CVSS Score / CVSS Vector NVD: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Red Hat: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 影…

microsoftアカウントにログインさせて、取得したOAuth認証コードを入力させる。 攻撃者側では、入力されたOAuth認証コードをAzure CLIとかで使用していると思われる。 microsoftアカウントにログインする画面は本物のmicrosoftログイン画面。 OAuth認証コー…

torrentで配信されていたある映画に字幕ファイルが付属していた。 字幕ファイルは、一見通常の「.srt」のテキストファイルだが、一部マルウェアを実行するためのスクリプトが含まれている。 動画視聴するために、「CD.link」というショートカットを実行する…

macos系で「～をする方法」みたいなのを検索するとchatgptやgrokなどの生成AIの共有リンクが、Googleの広告リンクに出てくるらしい。 そこで、示されているコマンドを実行するとマルウェアをダウンロードして実行してしまう。 広告リンクの表示ドメイン、最…

Lazarus関係者？のインフォスティーラー感染ログから見る攻撃者が利用するWebサービス 一昨日の記事では、Lazarus関係者と思われる者のインフォスティーラーログの話をした。 ここでよくよく考えれば、「trevorgreer9312@gmail[.]com」に関する認証情報が保…

2025年2月22日、大手仮想通貨取引所のBybitから約14億ドルの仮想通貨が盗まれた。 この際に使用されたアドレスから、北朝鮮のLazarusが攻撃に関与していることが示唆された。 そのLazarusの関係者とみられる者の漏洩情報がインフォスティーラーログから確認…

2025年12月5日にFBIが、SNS等から取得された情報を用いた誘拐詐欺について警告を発した。 SNSなどの公開情報で見つかった写真や音声を元にして、メールや電話で連絡を取り、家族を誘拐したので身代金を要求する。 生成AIによるフェイク情報、漏洩や公開され…

SVGを弄り倒していたら、iframeで動作するのか気になったとのこと。 実際やってみたらいけたのでクリックジャッキングで、Googleのサービスを悪用した手法を実現でき、Googleから約3000ドルくらいもらったらしい。 lyra.horse Liquid Glassを再現したかった…

Straiker STAR Labsの調査より、AIブラウザが中身を読み取って要約とか行う機能が有効化されているときに、連携サービスの中身自体が要約(削除)されてしまう攻撃が可能である。 ここで示された例は、実際には完全なゼロクリック攻撃というよりか、AIに適当な…

ブラウザに保存された認証情報は簡単にはアクセスできず、Windowsに保存されたキー(DPAPI)で保護されている。 通常、起動中のブラウザによってこの鍵を使うことで、ブラウザに保存された認証情報を読んでいる。 Sryxen Stealerはブラウザをヘッドレス(バック…

AISURUボットネットによる「29.7 Tbps」のDDoS攻撃記録 Cloudflareが2025年第3四半期DDoS攻撃レポートを公開。 blog.cloudflare.com 2025年10月6日、世界中で推定100万～400万台の感染ホストを擁するとされるAISURUボットネットにより、29.7テラビット/秒（T…

あるセキュリティチームが怪しいエンジニアの面接の情報を分析した。1,2,3,4,5,6 コロンビア出身と言っているのにスペイン語が話せなかったり、メキシコで大学出たって言ってるのにスペイン語が話せなかったり、ビデオ面接したら何か動きがぎこちなかったり…

一見ただのUSBケーブルに見えるEvil Crow Cable Windをグサッとさせば、自動で設定しておいたスクリプトが実行されたり、Wifiアクセスポイントが起動してWebGUI経由で操作できたりする。 大体4000円くらいなので、似たような他のツールよりとても安い。 gith…

Android TV搭載の「Superbox」は一度購入すれば、様々な動画ストリーミングサービスを月額料金無しで見放題とのこと！もう煩わしい月額料金を払う必要は無い。低所得者向けの格安ケーブルテレビ！凄すぎる！ って、そんなうまい話なんて無いよね。 実際には…

空港や機内で正規のSSIDと同じSSIDを配信し、認証情報窃取、不正アクセスを行った男に懲役7年4ヶ月の判決が下った。 なかなかな懲役判決だなぁと思ったら、Wifi攻撃以外にしっかり不正アクセスも多数行っていたことが判明したということだった。 一体どうや…

スマートコントラクトで初期段階のマルウェア(ステージャー？)やC2サーバを指定するマルウェアが確認されている。 スマートコントラクトってブロックチェーン上で使われるアレでしょ？ってくらいの理解。 これをデータ配信、もしくはC2サーバリストとして使…

blenderでは、ファイルを開いたときにpythonスクリプトが自動で起動される設定がある(Auto Run Python Scripts or Pythonスクリプトの自動実行)。おそらくファイルを開いたときに前回までの作業を状況をセットアップしたり、作業しやすいように自動でセット…

Velociraptorといえば、アーティファクト収集、解析が可能なオープンソースのDFIRツール。 これが攻撃者によって勝手にインストールされ、情報収集に使用されている。 VelociraptorサーバをC2サーバとして利用 VelociraptorをインストールさせてC2の一部とし…

「Ask Copilot」って追加されたじゃないですか。 アプリやファイル、フォルダー、設定項目なども検索可能になるとのこと。スゴ～イデスネ これで変なコマンド実行しなくても、重要ファイルの収集ができちゃいますね。 インフォスティーラーの情報収集 これま…

ブラウザプッシュ通知で、つい押してしまうような通知を出してマルウェア実行等に繋げるためのサービス「Matrix Push C2」。 オープンソースツールではなく、ダークウェブで公開されている攻撃サービス。 Blackfogの記事より(https://www.blackfog.com/new-m…

この脆弱性は、マイクロソフトが2025年11月のパッチチューズデーで公開したもので、告知ページはこちらです： https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60710 影響を受けるバージョンは Windows 11 25H2 で、バージョンは 10.0.2620…

ちょっと気になったので、技術的ではない話題にも触れていく。 ダークウェブにおける経験とか資格とか ダークウェブにおける経験といえば、分かりやすいところだとフィッシングとか、ハッキングとか、サイバー攻撃というとことになる。なので、これまでこう…