システムに侵入って聞くと、ランサムウェアとか情報漏洩とか対象システムを管理している企業を脅迫するようなものが多い。 この事例は、侵入したシステムを活用して別の金稼ぎに使用したような事例。 何か最近サイバー攻撃に関連して脅迫じゃなくて別のこと…

盗難カード系のインフラストラクチャ分析記事を見かけたので、この機にちょっと語りたいと思いました。 www.team-cymru.com 以下、Team Cymruの記事を上から読みながら補足していく感じで記載している。 Background on Cardingの補足 クレジットカードが盗ま…

出会い系サービスなどを使った恋愛詐欺は、おそらく日本では一般的ロマンス詐欺として知られている。が、国際的には豚殺し(pig butchering)として知られている。 www.sompocybersecurity.com この豚殺し詐欺を行うためのターゲット情報、なりすましプロフィ…

2025年の12月にRapid7がRaccoon Stealer系のルールでマルウェアを検出した。 そこには何故か難読していないdllも一緒にあったので、簡単に静的解析できてしまったとのこと。 これが、サンタさんのプレゼントってことですね。 マルウェア解析結果はRapid7の記…

少しお高いスマホならNFC機能が付いてるので、決済用カードを読み込ませてオンラインで支払いしたり、登録しておいたカードをお店で使える。 何とこのNFC機能をプロキシするマルウェアが売り出されているらしい。 カードが手元に無くともリモートで勝手に決…

ActiveDirectoryの情報収集をするならSharpHoundを使って、BloodHound CEにデータを入れるのが良いのは分かってる。 でも、SharpHoundのマルウェア検知をどうしても回避できないし、BloodHound系のLDAPクエリがブロックされてしまうこともある。 そんなとき…

フィッシングに使用されることもあるQRコード。 メールやWebページにQRコード画像があった場合にそれが悪意を持ったものかと解析できるツールは多数ある。 ただし、今回発見されたのはHTMLでレンダリングされたQRコードフィッシング。 単純で、おそらくこれ…

Kimwolf自体は、よく聞くような感染マシンをDDoS攻撃に加担させるマルウェア。 これがレジデンシャルプロキシを提供しているマシンから内部ネットワークをスキャンして、見つかった脆弱なマシンに侵入して感染を広げているとのこと。 krebsonsecurity.com レ…

Google Cloud Application Integrationを使用して、noreply-application-integration@google[.]comというgoogleの正規のドメインからフィッシングメール送信をする手法が増えているとのこと。 New Phishing Wave Exploits Google's Application Integration …

by Alteredsecurity www.alteredsecurity.com コース概要 コース内容例 Lab環境について 自分のスケジュール コース開始 コース内容とHands-Onの取り組み 試験の感じ 試験のちょっと期待と違った点 レポート提出 所感 コース概要 バージョンとかの脆弱性では…

unit42のVVS $tealerに関する記事では、Pyarmorを使用してpythonコードの難読化を行っているという事が記載されていた。 上記のunit42の記事ではPyarmorは難読化解除されているようだが、使用していた暗号化モードだったり、やり方によってはやっぱ解除でき…

既に語りつくされているものだが、個人的にBloodHound CEとBloodHound Legacyの違いに関して簡単に確認した記録。 主にBloodHound上で確認可能なオブジェクト数での比較。 CE用とLegacy用のSharpHoundを実行して、BloodHoundで読み込ませる。ついでに、SOAPH…

Webサイトで読み込みエラーが発生しているようにみせかけて、エラーを解決するためのプログラムをインストールさせる攻撃プラットフォームをパッケージしたものが売っているとのこと。 www.infostealers.com 「ErrTraffic」 jsのスクリプトが埋め込まれたWeb…

Blue Team Labs Online | Windows Forensics 本調査では、Windows イメージ内に存在する VeraCrypt ボリュームを起点に、クリップボード履歴・ステガノグラフィ・文書解析を通して 隠された情報と事件の全貌を明らかにする。 Q1) What is the full path of t…

はじめに また一年の年末がやってきた。この時期になると、今年一年のセキュリティ対策を振り返る方も多いだろう。 最近、気になる記事をいくつか読み返して、改めて考えさせられることがあった。仲間であるskybreaker氏が継続的に紹介している最新の攻撃手…

フランスに停泊中のイタリア船籍のフェリーのOS？からマルウェアが見つかったとのこと。 事前にイタリア当局からフランスに対して「対象の船のOSがRATに感染している可能性がある」という警告を受け取っていたらしい。 "identified and neutralised an attem…

企業のシステムでの仮想化基盤としてよく使われるESXi。 ESXiのホストに侵入し仮想マシンを一気に暗号化してしまえば、ターゲット企業に多大な影響を簡単に与えるためにランサムウェア攻撃者に狙われやすい。 www.huntress.com ADと連携 ESXiを企業で運用し…

侵入テストでは、多くの場合、非特権ユーザーとして一部のWindowsホストにアクセスするが、アクセス権限が制限されており、ホスト上で管理タスクを実行する手段がないため、ターゲットを完全に制御することができない。そこで、攻撃者にとって横展開や情報の…

modbus経由でアクセスできるシステムへの攻撃事例の話があったので、簡単にmodbusスキャンに関する記録を残しておく。 www.catonetworks.com OT/ICS系の攻撃っていうのは基本的に何かの値を書き換えるだけで、脆弱性の悪用とか高度なことをしなくても良い場…

相手が確認したくなるような画像を見つけたというメッセージを送り、リンク先に誘導する。 Gen Digitalの解説記事より(https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack) ここで、画像を確認するにはアカウント連携をして本…

Kali Linuxの公式リポジトリにAIペンテスト用MCPが追加された 12月12日にKali Linux 2025.4が発表された。 いつも通り色々変更があったようだが、個人的注目は追加されたツールのうちのhexstrike-ai ついにKali Linuxで自動ペネトレーションテストを行うため…

2025年6月30日にsudoの脆弱性「CVE-2025-32463」が公開されました。 概要 Cvss 3 Severity Score：9.3 · Critical CVSS Score / CVSS Vector NVD: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N Red Hat: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 影…

microsoftアカウントにログインさせて、取得したOAuth認証コードを入力させる。 攻撃者側では、入力されたOAuth認証コードをAzure CLIとかで使用していると思われる。 microsoftアカウントにログインする画面は本物のmicrosoftログイン画面。 OAuth認証コー…

torrentで配信されていたある映画に字幕ファイルが付属していた。 字幕ファイルは、一見通常の「.srt」のテキストファイルだが、一部マルウェアを実行するためのスクリプトが含まれている。 動画視聴するために、「CD.link」というショートカットを実行する…

macos系で「～をする方法」みたいなのを検索するとchatgptやgrokなどの生成AIの共有リンクが、Googleの広告リンクに出てくるらしい。 そこで、示されているコマンドを実行するとマルウェアをダウンロードして実行してしまう。 広告リンクの表示ドメイン、最…

Lazarus関係者？のインフォスティーラー感染ログから見る攻撃者が利用するWebサービス 一昨日の記事では、Lazarus関係者と思われる者のインフォスティーラーログの話をした。 ここでよくよく考えれば、「trevorgreer9312@gmail[.]com」に関する認証情報が保…

2025年2月22日、大手仮想通貨取引所のBybitから約14億ドルの仮想通貨が盗まれた。 この際に使用されたアドレスから、北朝鮮のLazarusが攻撃に関与していることが示唆された。 そのLazarusの関係者とみられる者の漏洩情報がインフォスティーラーログから確認…

2025年12月5日にFBIが、SNS等から取得された情報を用いた誘拐詐欺について警告を発した。 SNSなどの公開情報で見つかった写真や音声を元にして、メールや電話で連絡を取り、家族を誘拐したので身代金を要求する。 生成AIによるフェイク情報、漏洩や公開され…

SVGを弄り倒していたら、iframeで動作するのか気になったとのこと。 実際やってみたらいけたのでクリックジャッキングで、Googleのサービスを悪用した手法を実現でき、Googleから約3000ドルくらいもらったらしい。 lyra.horse Liquid Glassを再現したかった…

Straiker STAR Labsの調査より、AIブラウザが中身を読み取って要約とか行う機能が有効化されているときに、連携サービスの中身自体が要約(削除)されてしまう攻撃が可能である。 ここで示された例は、実際には完全なゼロクリック攻撃というよりか、AIに適当な…