以前の記事を改めて見直して実装した話。 www.sdsg.moe 1. スプレッドシートをC2チャネルとして使うとはどういうことか 従来のC2とSaaS C2 従来のC2 SaaS C2 2. アーキテクチャ概要 GRIDTIDE 全体の流れ PoC 全体の流れ 3. GCPプロジェクトとGoogle Sheets A…

SEQRITEの研究者が低レイヤの操作が可能な正規ツールに関するまとめ記事を公開した。 よくよく見ると、全然正規ツールじゃなくてそもそも攻撃ツールだったり、ランサムウェア攻撃者が作ったプログラムなので全く公開されていないものも含まれている。(AIで適…

Hunt.ioの研究者がTheGentlemanランサムウェアグループのIOCを確認していた際に、公開ディレクトリを発見した。 このサーバーには126ファイル（約140MB）が含まれ、ランサムウェア侵入の複数フェーズをカバーする構造化された攻撃ツールキットだった。 hunt.…

Kali Linux 2026.1がリリースされました！ 今年はKali Linuxの前のBackTrackが20周年らしく、BackTrackの最後のバージョンBackTrack5の外観と操作感を踏襲した「BackTrackモード」が追加された。 あとは、いつも通りテーマが追加されたり、Kaliリポジトリに…

アメリカでは、4月15日の税務申告期限が迫っており、その界隈では慌ただしくなっているらしい。 そんな中、税務関連書類を検索する人を騙してRMMをインストールさせて、BYOVDでアンチウイルスをOFFにしてからRMMを通じた遠隔操作や認証情報収集なんてことを…

攻撃で使われたEDR Killerは90種類以上もあると。 その中の54種類はBYOVDベースっていうことなので、EDRにとってやはり脆弱なカーネルドライバが天敵なのはやっぱりって感じ。 7件はスクリプトベースっていう話だが、スクリプトベースで本当に止められる？ E…

攻撃者のツール事情に関して複数挙がっている記事を見つけてしまうと色々考えてしますシリーズ。 OSS/無償ツールと商用ツールとして特定できたものだけ、リストしている。 cloud.google.com OSS / 無償公開ツール ポストエクスプロイト/C2フレームワーク ト…

Code InterpreterでネットワークモードをSandboxにすると外部ネットワークアクセスはできないと説明があったらしい。 しかし、実際に外部のHTTPアクセスを試すとHTTP経由でアクセスは確認できなかったが、DNSリクエストを外部に行っていたことが確認された。…

メールセキュリティ製品やURLチェックサービスは、URLをチェックしてからユーザにアクセスさせるためにhttps://<チェックサービスURL>/?url=<対象のURL>というような形式のURLを作成する。 例えば、https://cloudstorage.exampleへのアクセスURLがメールで送…

InfoGuardの研究者により、Palo Alto Cortex XDRの検知ルールの中にグローバルホワイトリストが発見された。 そのリストから、:\\windows\\ccmcache\\がコマンドラインに含まれていると検査の対象から除外されることが発見された。 :\Windows\ccmcache\を何…

アンチウイルスソフトはzip,7zなどの圧縮ファイルを自動で展開して、中のファイルをスキャンする。 なので、基本的にはパスワードがかかっていなければ勝手に圧縮ファイルの中身もマルウェア検知してくれる。 しかし、圧縮ファイルのメタデータに記載されて…

単純に目を引く名前のEDR Killerだったので気になった。 www.aryaka.com BYOVD（Bring Your Own Vulnerable Driver）で使用されたドライバ BYOVDは脆弱なカーネルドライバを持ち込んで、読み込ませて使う。 そうして、カーネルレベルで操作を行うことでEDRと…

「CL-UNK-1068」の使用ツールセットを見て、何となく思ったことを書き起こしておこうと考えた。 これは、リアルなWebサーバ攻撃事例の覚え書き的なもの。 unit42.paloaltonetworks.com Webshellを使用した侵入 今回注目した記事では、Webshellを管理するよう…

概要 CorunaはCryptoWatersとも呼ばれる国家レベルの攻撃能力を備えたiOS脆弱性エクスプロイトツールキット。5つの完全なエクスプロイトチェーンと合計23のエクスプロイトを含み、iOS 13.0〜17.2.1の全iPhoneデバイスを攻撃対象とし、arm64・arm64eアーキテ…

Varonisの公開した記事では、microsoftのazcopyを使用してAzureのストレージにファイルをアップロードする情報持ち出し手法に関して記載されていた。 www.varonis.com そこで、他にも一般的に使用されるデータコピー/バックアップツールで悪用されているもの…

サポート詐欺(サポ詐欺)といえば「あなたのPCがウイルスに感染しています！」的な偽メッセージが出てきて、リモートで作業してくれる何者かにお金払っちゃうやつ。 今回はこのサポ詐欺でリモート操作の際に、C2サーバと通信するマルウェアをインストールした…

Group-IBの調査より、Googleの所有ドメインを使用したフィッシング攻撃が確認された。 使用されるドメインは、Google翻訳(Google Translate)に関係する*.translate.goog、Firebaseに関係する*.web.app. *.translate.googをメールやら改ざんサイトやらで送信…

Annexの研究者が悪意のある機能が含まれたChromeブラウザ拡張機能に関する調査内容を公開した。 この拡張機能では、1x1の透明なGIFの読み込みをトリガーとしてC2サーバから取得したペイロードを<img>のonloadで実行する。 静的解析で悪意がある部分を特定できなく…

度々奇抜なC2チャネルが話題に挙がるが、今回攻撃者からのコマンド運ぶのはUSBメモリ。 インターネットに繋がっているPCでUSBメモリにマルウェアを仕込み、攻撃者からのコマンドをUSBに保存。 インターネットに繋がっていないPCでUSB内のコマンドを実行し、…

Google Cloud系のAPIキーで公開前提のものがあり、以前は公開されていても問題無いとされていた。 以前から「本当に公開状態でも問題無いのか」という議論はあったようだ。デフォルトの権限が制限されていないキーであれば、他人がそのキーを使ってMaps API…

XDR系製品には、何かしら異常が確認された端末に対してリモートで任意のコマンドが実行できるようなライブレスポンスと言われる類の機能がある。 CrowdStrike FalconのReal Time Response、SentinelOneのFull Remote Shell、 Microsoft Defender for Endpoin…

正直、Googleスプレッドシートをマルウェアへの命令や実行結果取得に使うのは、正規サービスの悪用の中ではネタ枠だと思っていた。 githubでGoogleスプレッドシートをC2として使うツールは公開されているので、どこかでは使われているんだろうなぁとは認識し…

新しいアカウントのパスワード考えるのめんどくさいなぁ。 そうだAIに良いパスワード作ってもらおう！ というのはダメかもしれない。 例えば「パスワードを生成して」と頼むと、アルファベット大文字、小文字、数字、特殊文字を含む16文字を生成し、一見する…

Check Point Research(CPR)は、動作をAIに委ねるマルウェアの検証を公開した。 AIを使って多言語のフィッシングメール、スキルが無くても高度な攻撃ツールの作成といったものが、AIを使用した攻撃という多くのイメージだと思われる。 しかし、徐々にAIをマル…

Trellixより報告されたマイニングマルウェアは、よくあるマイニングマルウェアとは異なる特徴がいくつもあった。 間違いなくリゼロ好きな攻撃者が作ったと思われるオプション、BYOVD、USBメモリ等での感染拡大機能。 高度だったり、アニオタだったり情報量沢…

Kasperskyが確認した事例では、改ざんされたlibandroid_runtime.soをZygoteプロセスに読み込ませている。これにより、Zygoteがアプリケーション起動ごとにそのプロセスにマルウェア機能をインジェクションする。 こうなると、起動したアプリは全てマルウェア…

2026/01/28にクリアウェブに広く知れ渡ったRaaSとされるグループ。 まだ活動開始から間もないと思われるが、200社以上の侵害を主張していた。 とんでもなく暴れまわっている凄いグループなのか？ と思いきや公開後に漏洩されたファイルがダウンロードできず…

日本のサービスだと無いが、海外のサービスだと偶にみられる「AIで要約ボタン(Summarize with AI)」 Microsoftの関連記事より(https://www.microsoft.com/en-us/security/blog/2026/02/10/ai-recommendation-poisoning/) 「AIで要約ボタン」を押すことでAIに…

Windowsのショートカット(.lnk)のリンク先って見たら分かるんじゃんって思ってたけど、実はパッと見で分からくする方法があるんですね。 この画像は特に何もしていない通常状態。 大量の空白とかで埋めたり、.lnkに関わる様々なフラグを設定すると引数表示し…

Windowsメモ帳アプリのリモートコード実行の脆弱性と話題になっていたCVE-2026-20841 Windows Notepad App Remote Code Execution Vulnerability New CVE-2026-20841 PoCとされるものがgithubで公開されている。 githubより(https://github.com/BTtea/CVE-20…