空港や機内で正規のSSIDと同じSSIDを配信し、認証情報窃取、不正アクセスを行った男に懲役7年4ヶ月の判決が下った。 なかなかな懲役判決だなぁと思ったら、Wifi攻撃以外にしっかり不正アクセスも多数行っていたことが判明したということだった。 一体どうや…

スマートコントラクトで初期段階のマルウェア(ステージャー？)やC2サーバを指定するマルウェアが確認されている。 スマートコントラクトってブロックチェーン上で使われるアレでしょ？ってくらいの理解。 これをデータ配信、もしくはC2サーバリストとして使…

blenderでは、ファイルを開いたときにpythonスクリプトが自動で起動される設定がある(Auto Run Python Scripts or Pythonスクリプトの自動実行)。おそらくファイルを開いたときに前回までの作業を状況をセットアップしたり、作業しやすいように自動でセット…

Velociraptorといえば、アーティファクト収集、解析が可能なオープンソースのDFIRツール。 これが攻撃者によって勝手にインストールされ、情報収集に使用されている。 VelociraptorサーバをC2サーバとして利用 VelociraptorをインストールさせてC2の一部とし…

「Ask Copilot」って追加されたじゃないですか。 アプリやファイル、フォルダー、設定項目なども検索可能になるとのこと。スゴ～イデスネ これで変なコマンド実行しなくても、重要ファイルの収集ができちゃいますね。 インフォスティーラーの情報収集 これま…

ブラウザプッシュ通知で、つい押してしまうような通知を出してマルウェア実行等に繋げるためのサービス「Matrix Push C2」。 オープンソースツールではなく、ダークウェブで公開されている攻撃サービス。 Blackfogの記事より(https://www.blackfog.com/new-m…

この脆弱性は、マイクロソフトが2025年11月のパッチチューズデーで公開したもので、告知ページはこちらです： https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60710 影響を受けるバージョンは Windows 11 25H2 で、バージョンは 10.0.2620…

ちょっと気になったので、技術的ではない話題にも触れていく。 ダークウェブにおける経験とか資格とか ダークウェブにおける経験といえば、分かりやすいところだとフィッシングとか、ハッキングとか、サイバー攻撃というとことになる。なので、これまでこう…

今月、ハニーポットログを確認できるサービスがスタートした。 DEFUSED TF [”ThreatFlix”]Available 10th Nov 12pm ESTSign up now: https://t.co/GXFaqggV8a pic.twitter.com/jrse8Pyv9k— Defused (@DefusedCyber) 2025年11月9日 ハニーポット対象製品 Defu…

ViewStateといえば、ASP.NET Webフォームでページの状態を保持するためのアレ。 予め必要な情報が手に入っていれば、ViewStateの値を編集してASP.NETランタイムにOSコマンドを実行させることができる。 www.microsoft.com ViewStateコードインジェクションに…

偽のポップアップウインドウを表示させてフィッシング。恥ずかしながら知らなかった。(*ﾉωﾉ) ポップアップウインドウのドメインやURLは本物とものと同じであるため、知らなければ絶対引っかかるレベル。 Push Securityより(https://pushsecurity.com/blog/an…

2025/10/31にダークウェブのハッカーフォーラムで、中国のセキュリティ企業「知道创宇（Knownsec）」の内部情報が公開された。 公開された情報(サンプルデータ)には、他国への攻撃の関与を示すような記録が含まれており、一部の国では政府が注目している。 …

fingerと言えばユーザ情報取得のために使用するイメージ。実際に使ったことは無いし、誰がどんな状況で使ってたのだろうという思いではあるが、Clickfix系で使われているのを確認されたらしい。 ja.wikipedia.org fingerを使ってダウンロードやアップロード …

Krakenランサムウェアグループが使用するランサムウェアには，暗号化を行う端末のベンチマークを行う機能があるとのこと． むやみやたらな暗号化やスピードを求めたことによるリソース枯渇，リソース消費による異常検知によって作業が妨げられるのを防ぐこと…

とあるセキュリティ監視サービスにて，CPUのアクティビティ(使用量？)の急増が不審な動作として検知された．結果的に，これはランサムウェア攻撃に関わる動作であった可能性が高いという結論に至ったとのこと． 確かに，ランサムウェア被害といえば暗号化処…

MAD-CAT [Meow Attack Data Corruption Automation Tool] github.com MAD-CATの実行 接続したデータベースの内容をランダムな文字列に"-MEOW"を付けたデータに変える。データを「MEOW」にする攻撃ツール。 何それ？ 対応データベース githubより、 MAD-CATの…

はじめに 前回の記事で、私は「AWSは別にネット上のADじゃない」と言い切った。 グループに入れても安全じゃない メタデータエンドポイントという抜け道がある リソースベースポリシーで全部台無しになる こういう「罠」にハマらないように、ADの感覚を捨て…

Gootloaderは2020年あたりから確認されているマルウェア。 loaderと名にある通り、友達(マルウェア)を連れてくるマルウェア。 最近はActive Directoryのドメインコントローラ侵害やWindowsのバックドアとなるマルウェアを連れてきて、ランサムウェア被害に繋…

はじめに 「AWSってActive Directoryのクラウド版みたいなもんでしょ?」 オンプレのAD管理に慣れた人なら、そう思うかもしれない。実際、IAMにはユーザーもグループもあるし、権限管理の概念も似ている。 でも実は全然違う。そしてこの「似てるけど違う」が…

FileFix/ClickFixと言えば、人間かbotかどうかをチェックする画面でコマンドをコピペさせて"「Windows+R」にコマンドを貼り付けたら人間かどうかチェックできるよ！"というやつ。 始めはWindowsで流行っていたが、今はWindows/macOS/Linux問わず事例が確認さ…

C2通信とデータ窃取にcurl.exeを多用するのと、COMオブジェクトのハイジャックを行うツールを使用するために「Curly COMrades」と名付けられた攻撃者。 ターゲットの環境でHyper-Vを有効化し、最小限のAlpine Linuxベースの仮想マシン（ディスク容量120MB、…