Displaying 1 to 30 of 316

古いOfficeの脆弱性を突くインセプション攻撃がヨーロッパを標的に

インセプション攻撃者の動きは、遅くとも2014年以降活発化しており、これまでにもBlue CoatとSymantecによってドキュメント化されてきました。過去の攻撃では、カスタム マルウェアが多様なプラットフォームに対して使用され、ロシアを中心とする世界各国で幅広い業種が標的となっています。本ブログでは、2018年10月に確認されたヨーロッパを標的とする攻撃について説明します。これらの攻撃はCVE-2017-11882と新しいPowerShellバックドアを使用しており、後者については、PowerShellで作成されたマルウェアと同時に自分の痕跡も消去する特徴に注目して、私たちはPOWERSHOWERと呼んでいます。
  • 0
  • 76

Cobalt Gangが利用する商用マクロビルダーとインフラストラクチャを発見し犯行を裏付ける新たな手法

昨今の熟練した攻撃者は、商用ツールや商用マルウェアをつかい、初回配信の手段もシンプルなものを利用します。その目的は、自身の行動を目立たせず、犯行と結び付けられるリスク(帰属リスク)を容易に回避することです。とくによく見られる手口の1つがSNSや一般的なエクスプロイト(CVE-2017-0199やThreadKitビルダーなど)を悪用したスピアフィッシングメールを目的の組織の従業員に送る方法です。こうした初期段階の感染に成功してはじめて高度なカスタムマルウェア、ツール、侵害環境にもとから存在するツール (PowerShellやCMSTP、Regsvr32など)を利用した攻撃をはじめるのです。
  • 0
  • 101

教師なし機械学習で攻撃キャンペーンに帰属する不正ドメインを早期検出

弊社は、お客様環境を保護し、攻撃の成功を阻止する新しい方法の発見に日々取り組んでいます。最近、そのための新たな調査手法を確立しました。 膨大なドメイン情報のデータセットにたいし、教師なし機械学習を援用する手法です。
  • 0
  • 80

Palo Alto Networks、ガートナーのエンタープライズ・ネットワーク・ファイアウォール部門のマジック・クアドラントで7年連続「リーダー」と評価される

米Palo Alto Networksは、Gartner, Inc.が2018年に発行したエンタープライズ・ネットワーク・ファイアウォール部門のマジック・クアドラントのレポートにて、7年連続で「リーダー」として評価されました。
  • 0
  • 114

正規の更新も可能な、マイニングソフトを配布する偽Flash更新プログラム

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、2018年8月上旬、正規Adobe Flashインストーラーが表示するポップアップ通知を真似た、複数の偽装Flash更新プログラムサンプルを発見しました。
  • 0
  • 152

「Xbash」 ボットネット、ランサムウェア、暗号通貨マイニングをワームで組み合わせた、LinuxとWindowsを標的にするマルウェア

Unit 42リサーチャーは、LinuxおよびMicrosoft Windowsサーバーを標的にした新しいマルウェア ファミリを発見しました。弊社は、このマルウェアをXbashと命名し、これまでランサムウェア攻撃で知られた脅威攻撃者グループであるIronグループの仕業と判断しました。
  • 0
  • 121

複数のエクスプロイトが組み込まれたIoT/LinuxボットネットMirai、GafgytがApache Struts、SonicWallを狙う

Unit 42は、よく知られているIoTボットネットMirai、Gafgytの亜種を新たに発見しました。これは、2016年11月以降の前例のないDistributed Denial of Service (DDoS)攻撃に関わりのあるIoTボットネットです。これらの亜種は、次の2つの理由から注目に値します。(1) 新しいMiraiは、2017年にEquifaxのデータ漏洩を引き起こしたものと同じApache Strutsの脆弱性を標的にしている (2) 新しいGafgytは、SonicWallのサポート期限が切れた旧バージョンのGlobal Management System (GMS)に作用する、新たに発見された脆弱性を標的にしている
  • 0
  • 177

2つのマルウェアファミリNOKKIとDOGCALLのつながり: Reaperグループ、新しいマルウェアを使用してRATを展開

Unit 42は最近、ロシア語およびカンボジア語を話す個人または組織を標的とする、政治的な動機付けを持つルアー(わな)を含む攻撃で使用されたNOKKIマルウェア ファミリを紹介しました。この調査の一環として、Reaperと呼ばれる脅威グループとの興味深いつながりが発見されました。
  • 0
  • 119

新たなKONNIマルウェアがユーラシア大陸および東南アジアを攻撃

2018年初めに、Unit 42はこれまで報告されていないマルウェア ファミリを利用した一連の攻撃を観測し、このマルウェア ファミリを「NOKKI」と命名しました。問題のマルウェアは、以前に報告されているKONNIという名前のマルウェア ファミリと関係がありますが、慎重な検討の結果、別のマルウェア ファミリ名を与えるに足る十分な相違点があると確信しました。KONNIとの密接な関係を反映させるため、KONNIのNとKを入れ替えて、NOKKIという名前を選択しました。
  • 0
  • 92

Palo Alto Networks Day 2018へのご案内: クラウド中心の世界に向けて

パロアルトネットワークスは、2015年より日本で年次イベント「Palo Alto Networks Day」を行っています。より安全に、安心してこのデジタル時代を生き抜くために必要な、新しいセキュリティへの発想の転換や、具体的な方法について最新情報をお届けしております。 今年もまもなく、Palo Alto Networks Day 2018が開催されます。今年6月に就任した新会長兼最高経営責任者(CEO)のニケシュ・アローラも登壇予定です。現在YouTubeでもご紹介しています。
  • 0
  • 164

Trapsがインターネットで現在も利用されているInternet ExplorerにおけるVBScriptゼロデイ攻撃を防止

パロアルトネットワークスの次世代エンドポイントセキュリティ製品 Traps™ Advanced Endpoint Protection は、何重ものマルウェア対策、エクスプロイト対策で複雑な脅威からお客様環境を保護します。本記事では、現在もインターネット上で利用されているInternet ExplorerにおけるVBScriptゼロデイ攻撃のTrapsで防止しうるポイントについて解説しています。
  • 0
  • 104

Webベースの脅威に関する最新レポート(2018年4~6月版)

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、電子メールのリンク解析「Email Link Analysis (ELINK)」による2018年4月から6月(第2四半期)の統計データを分析しました。
  • 0
  • 214

パロアルトネットワークス、クラウドインフラサービスプロテクション「Evident」を日本市場で提供開始

パロアルトネットワークスは、パブリッククラウドにおける包括的セキュリティとコンプライアンスの確保を実現するクラウドインフラサービスプロテクション「Evident」を、9月3日より日本市場で提供開始します。
  • 0
  • 288

DarkHydrusがPhisheryツールを使用して中東で資格情報を収集

Unit 42は、先週公開したブログで、中東の政府機関を標的とした脅威グループを観測し、 新しくDarkHydrusと命名しました。 弊社の以前の資料で議論した攻撃は、スピアフィッシングを利用し、 RogueRobinと呼ぶPowerShellペイロードを配信していました。 しかし、DarkHydrusは2018年6月に資格情報収集攻撃を実行していたことがわかりました。 また、2017年秋に遡る、同じインフラストラクチャを使用した以前の資格情報収集の試みも判明しており、 現在も継続中のキャンペーンのようです。これらの攻撃は中東の政府機関および教育機関を標的にしていました。
  • 0
  • 138

国家への標的型攻撃とサイバー犯罪を継続するGorgon Groupの詳細

パロアルトネットワークスの脅威インテリジェンスチームUnit 42のリサーチャーは、2017年以来Subaatという攻撃者を追跡してきました。最近、Subaatは標的型攻撃活動を再開したことが判明しました。この攻撃者は、世界の政府機関に標的型攻撃を仕掛ける、個人から構成されるより大きな攻撃グループの一員である可能性があります。攻撃の一部の技術的分析およびパキスタンの攻撃者との特徴的なつながりは、既に指摘されています(360およびTuisec)。今回のブログ記事では、Unit 42のリサーチャーが追跡していた大規模な攻撃者グループとの興味深いつながりについて解説します。弊社はこのグループをGorgon Groupと呼んでいます。
  • 0
  • 256

LockCrypt ランサムウェアの復号

LockCryptはEncryptServer2018という別名でも知られるランサムウェアファミリで、2017年の半ばからインターネット上に出回りはじめて以降依然として活発です。本稿では、本マルウェアの自家製暗号について分析した結果とその解読方法、また25KB程度のごく小さい平文のみで暗号キーを復元する方法について説明します。
  • 0
  • 200

開発ライフサイクルに潜む悪魔: Windows実行ファイルに感染するGoogle Playアプリ

昨年、パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Google Play のアプリに悪意のあるIFramesに感染したものが多く含まれるという件について報告しました。最近、私たちはこれとよく似た事例をGoogle Playで発見しました。ただし今回は、悪意のあるIFramesではなく、悪意のあるMicrosoft Windows 実行ファイルに145個のGoogle Playアプリが感染していることが分かった、という事例です。本稿の発見内容についてはすでにGoogleのセキュリティチームに報告済みで、すべての感染したアプリはGoogle Playから削除されています。
  • 0
  • 170

中東地域の政府を標的とする新しい脅威攻撃者グループ「DarkHydrus」

2018年7月、Unit 42は、中東地域の少なくとも1つの政府機関に対する、新しいファイル タイプを使用した標的型攻撃を分析しました。この攻撃は、弊社が「DarkHydrus」として追跡している、これまでに公開されていない脅威グループによって実行されました。弊社のテレメトリに基づき、明らかになった追加の調査結果によると、2016年初めから、この攻撃者グループが現在の作戦で活動してきたと弊社は確信しています。今回の攻撃は、このグループに関して弊社がこれまで観測した攻撃とは異なり、悪意のあるExcel Webクエリ ファイル(.iqy)を含む、パスワードで保護されたRARアーカイブ ファイルを添付したスピアフィッシング メールを標的の組織に送信します。
  • 0
  • 372

ロシアおよび韓国に対する攻撃で使用されたBisonalマルウェア

5月初めに、Unit 42は、ロシアの少なくとも1つの国防企業と韓国の特定されていない1つの組織に対してBisonalマルウェアの亜種を配信する攻撃キャンペーンを発見しました。これまで公には報告されていませんが、この亜種は少なくとも2014年以降には出回っています。この亜種とこれまでのBisonalマルウェアには主な違いが3つあり、これにはC2通信用の異なる暗号および暗号化や、ネットワーク通信および永続性維持のためのコードの大規模な書き換えが含まれます。これまでに収集されたこの亜種のサンプルは14個だけであり、これが限定的にのみ使用されている可能性を示しています。これらの攻撃を実施した攻撃者は、(偽のPDFアイコンを使用して)PDFファイルに見せかけ、このおとりPDFファイルの内容として、公開されているデータを再利用することにより、標的となった相手にMicrosoft Windowsの実行可能マルウェアを起動させようとしていました。
  • 0
  • 204

OilRig、QUADAGENTを使用してテクノロジ サービス プロバイダと政府機関を標的に

OilRigグループ は引き続き戦略を適応し、新しく開発されたツールでツールセットを強化しています。 OilRigグループ(別名APT34、Helix Kitten)は諜報の動機を持つ攻撃者で、主に中東地域で活動しています。 当社は、2016年中頃にこのグループ を初めて 発見 しましたが、このグループの活動がその時期以前に始まっていた可能性もあります。 このグループは非常にしつこい攻撃者であることを自ら示しており、スロー ダウンする兆候は見えません。 このグループの過去の活動を現在のイベントとともに調査すると、OilRigグループの活動が近い将来さらに加速する可能性が高いことを示しています。
  • 0
  • 133

MiraiとGafgytの新たなIoT/Linuxボットネット攻撃キャンペーン

パロアルトネットワークスの脅威インテリジェンス調査チーム Unit 42は、インターネット上で公開されているMiraiおよびGafgytマルウェア ファミリのソースコードを使った3種類のマルウェア攻撃キャンペーンに属するサンプルをいくつか調査するうち、これまでMiraiの亜種が使用したことのないDDoS手法がいくつかサポートされていることを発見しました。
Palo Alto Networks,
  • 0
  • 850

マルウェアの共闘: EmotetとTrickbotをプッシュするマルスパム

EmotetおよびTrickbotは、Windowsベースのコンピュータを標的とした情報窃取マルウェアです。これらは、バンキング マルウェアとしても有名です。通常これらは、それぞれ別の悪意のあるスパム(マルスパム)キャンペーンを介して配布されます。しかし、当社は今回、単一の感染チェーンで両方のマルウェアを観測しました。このEmotetとTrickbotの組み合わせにより、脆弱なWindowsホストの危険は倍増します。
  • 0
  • 441

RANCOR: PLAINTEEおよびDDKONGマルウェア ファミリを使用した東南アジアにおける標的型攻撃

2017年から2018年にかけて、Unit 42は、KHRATトロイの木馬に関する弊社の調査研究を基にして、 特に東南アジアを重点的に狙った一連の標的型攻撃を追跡および観測してきました。 その証拠に基づくと、これらの攻撃は、前に未知のマルウェア ファミリを使用した攻撃者と 同じ一団によって実行されたと思われます。また、これらの攻撃は、 使用したマルウェアの配布および選択した標的において極めて絞り込まれた標的型攻撃のようです。 このような要因から、Unit 42は、これらの攻撃を実施した攻撃者は、 諜報目的でキャンペーンを実施していると確信しています。
  • 0
  • 165

NIS指令とGDPRの施行で何がおきるのか

5月25日、ついにGDPR(一般データ保護規則)が施行されました。同月、NIS指令(ネットワーク・情報システムのセキュリティに関する指令全体)をうけた国内法制化も動き始めました。変化はこれに留まらず、EUには更なるサイバーセキュリティ関連法制定の波が押し寄せています。
  • 0
  • 612

Tick攻撃グループ、 セキュアUSB ドライブを兵器化し、インターネットから隔離された重要システムを標的に

概要 「Tick」 は、主に日本と韓国を標的にしているサイバースパイ攻撃グループで、Minzen、Datper、Nioupale (別名 Daserf)、HomamDownloaderなどのカスタムマルウェアを使って攻撃キャンペーンをしかけることで知られています。パロアルトネットワークスの脅威インテリジェンス調査チーム Unit 42 はこれ以前に、2017年7月にも同グループについて報告したことがあります。
  • 0
  • 413

フィッシング攻撃に関する総括: 2018年1月~3月

要約 フィッシングは、依然として、サイバー攻撃の最も危険な脅威ベクトル(手段、経路)の1つです。エクスプロイト キットは、全体として減少傾向にありますが、「ランサムウェアから暗号通貨マイニングと情報盗難へ ― エクスプロイトキットRig EKの変遷」の記事で示したように、フィッシング自体は減っていません。直近でUnit 42は、フィッシング攻撃およびフィッシングURLについて調査を行いました。このブログでは、2018年の第1四半期、1月から3月にかけてのフィッシングの結果を、特にHTTPSフィッシングURLに重点を置いて、統計的に示します。
  • 0
  • 352

最もマイニングされた仮想通貨は?攻撃者が稼いだ額は?―仮想通貨マイニングマルウェアの最新動向

パロアルトネットワークスの脅威インテリジェンスチームUnit 42では、この数か月というもの、仮想通貨マイナー(仮想通貨を採掘するプログラム)の新しい脅威やキャンペーンを調査する機会が非常に多くなっていました。そのうち、この増加の理由が偶然によるものか、あるいはより大きな傾向を組んだ結果なのかという疑問を持ち始めました。そこで、パロアルトネットワークスのWildFireクラウド脅威解析サービスを活用し、これまでに特定された仮想通貨マイニングマルウェアの数を調べた結果、そうしたマルウェアの特定頻度が急激に高まっていることが判明しました。
  • 0
  • 786

Sofacyグループの並列攻撃

Sofacyグループは、依然としてグローバルな脅威として存在しています。Unit 42およびその他の機関は、2018年上半期に、この脅威グループが特に北米とヨーロッパの政府機関、外交機関、およびその他の戦略的組織を中心として、いかにして世界中の複数の組織を引き続き標的にしているかを示しました。
  • 0
  • 239

SquirtDanger: 熟練したマルウェア作成者TheBottleが放ったスイス アーミーナイフ マルウェア

新たなマルウェア ファミリまたはキャンペーンを見つけて調査する作業は、衣服のほつれた糸を辿っていくようなものです。 糸をゆっくりと引くと網目がほどけていくように、真相が徐々に解明されるのです。 今回はSquirtDangerという新たなマルウェア ファミリの調査から開始しました。このマルウェアの攻撃では、 DLLファイル「SquirtDanger.dll」が使用されるからです。このマルウェア ファミリは、 ハンドル名「TheBottle」で知られるロシア人のマルウェア作成者によるものであることを示す強力な証拠があります。 いくつかのリードを辿っていくことで、TheBottleが背後にいることが明らかになりました。 この投稿では、TheBottleの活動と、彼が作成した最新のマルウェア ファミリがどのように特定されたかを詳細に説明していきます。
  • 0
  • 344
Displaying 1 to 30 of 316