Displaying 31 to 60 of 376

Chaferが使用する新しいPythonベースのペイロードMechaFlounder

Unit 42は2016年からChaferの活動を観測していますが、Chaferは遅くとも2015年からは活動していることが分かっています。新しい第2段階のペイロードはPythonベースで、PyInstallerユーティリティを使って実行形式にコンパイルされています。同攻撃者がPythonベースのペイロードを利用する様子を確認したのは、Unit 42 ではこれが初めてです。なおOilRigのClayside VBScriptとコードに重複が見られることは確認していますが、現時点で私たちはChaferとOilRigを別々の脅威攻撃グループとして追跡しています。私たちは、このペイロードを追跡するにあたりMechaFlounderと名付けました。
  • 0
  • 126

Farseer: これまで未確認のマルウェア ファミリが中国で威力を増大

昨年、Unit 42は、新しく発見された、諜報機能を持つAndroidマルウェア ファミリ、HenBoxについて記事を書きました。HenBoxは、Xiaomi製IoTデバイスや中国の家電メーカーのスマート フォンとの対話など、主にウイグル族の人々を標的として、被害端末に対するさまざまな諜報機能を備えています。
  • 0

BITTER: 複数のArtraDownloaderの亜種を使う攻撃、パキスタンが標的に

少なくとも2015年以来、 おそらくは南アジアを拠点としている脅威攻撃グループBITTERは、これまで報告されていないダウンローダの亜種を使用してパキスタンと中国の組織を標的にしています。パロアルトネットワークス脅威インテリジェンス調査チームUnit 42はこのマルウェアファミリを、サンプル内で発見されたPDB文字列に基づいてArtraDownloaderと命名しました。このダウンローダーについては3つの亜種を確認しており、最初期のタイムスタンプは2015年2月のものでした。このダウンローダーが遠隔アクセス用トロイの木馬(RAT)BitterRATを頻回ダウンロードする様子を確認していますが、BitterRATはBITTER脅威攻撃グループの活動に関連しているものです。
  • 0

北朝鮮による攻撃との関与が疑われる新しいマルウェアが、米国の国家安全保障シンクタンクを標的に

2019年2月、Palo Alto Networks脅威インテリジェンス調査チームUnit 42は、2018年11月に送信されたスピアフィッシング電子メールを特定しました。その電子メールには新しいマルウェアが含まれていましたが、このマルウェアが利用するインフラストラクチャは、北朝鮮による攻撃キャンペーンに結びついたプレイブックと同じものでした。
  • 0
  • 124

WINDSHIFT攻撃、中東政府を標的に

Unit 42は、特定のファイル属性とインフラストラクチャの指標をもとに、WINDSHIFT攻撃グループによる活動を特定し、過去の DarkMatter、Objective-Seeによる調査結果と相関させました。この結果得られた中東の政府機関で展開された標的型WINDSHIFT攻撃の詳細を説明します。
  • 0

macOSを対象とした仮想通貨取引所のCookieを窃取するマルウェアの発見

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Macプラットフォームを標的にすることで知られているマルウェア「OSX.DarthMiner」から開発されたと思われる、仮想通貨取引所などに関連したブラウザのCookieを窃取するマルウェアを発見しました。
  • 0
  • 106

OceanLotusの新しいダウンローダーKerrDownの追跡

OceanLotus (別名APT32)は、東南アジア発祥の最も高度な脅威攻撃者の1つであることがわかっている脅威攻撃者グループです。この数年間に複数の攻撃キャンペーンが複数のセキュリティ組織によって報告され、この脅威攻撃者が使用しているツールおよび戦術が記録されました。OceanLotusの標的はグローバルですが、彼らの活動がアクティブなのはほぼアジア太平洋地域内で、ベトナムに関係のある複数の業界、外国政府、活動家、反体制派にわたって民間部門を標的にしています。
  • 0
  • 156

menuPassプレイブックとIOC

2018年12月20日、米国司法省は、2人の中国人をコンピュータハッキング、電信詐欺の謀略、および個人情報窃取の罪で起訴 しました。この2人は、menuPass(別名APT10/Stone Panda/Red Apollo/CVNX/Potassium)として知られるハッキンググループのメンバーであるとされており、起訴状によれば、中国国家安全保障省の要請で違法行為を行ったとされています。起訴状の告発は2014年に開始された Operation Cloud Hopper と呼ばれる長期攻撃キャンペーンに端を発しており、主にMSP(Managed Security Provider)を標的にMSPとクライアントの知的財産を窃取するほか、さらなる攻撃にもネットワークを利用しています。
  • 0
  • 111

バンキング マルウェアRedamanを配信するロシア語のマルスパム

Redamanは2015年に初めて確認されたバンキング マルウェアで、ロシアの金融機関を利用して取引を行う受信者を標的とします。最初はRTMバンキング型トロイの木馬として報告され、2017年に、SymantecやMicrosoftなどのベンダーがこのマルウェアの更新バージョンをRedamanと呼び始めました。2018年9月から12月までの4か月間に、Redamanのさまざまなバージョンが、ロシア語の大量配信キャンペーンで見つかっています。このブログでは、2018年9月から12月までの時点でこのバンキング マルウェアを配信していた悪意のあるスパム(マルスパム)の継続的なキャンペーンから見つかった新たな進化に関する調査結果を紹介します。
  • 0
  • 115

悪意あるJavaScriptの傾向: 侵入型仮想通貨マイニングソフトから詐欺サイトまで

パロアルトネットワークスでは、さまざまな手法を使用して、お客様がアクセスしたWebサイト上の、悪意のあるWebページや悪意のあるJavaScriptを検出しています。弊社のセキュリティ クローラーは、シグネチャ一致などの静的なアプローチに加え、Webページ上で検出されたすべてのスクリプトを実行し、それらの動的なふるまいを観察しています。2018年10月19日から2018年11月19日の間、弊社では1日単位のURLフィルタリング カテゴリでは未知と判断されていたURLに挙動分析を適用しました。その後、Alexaトラフィックランクの上位100万個のURLと最近登録されたドメインのフィードをクロールしました。全体として、8,712を超える個別URLから延べ9,104の仮想通貨マイニング スクリプト、4,633を超える個別URLから4,788の悪意あるJavaScriptsを検出しました。これらは、静的解析では検出できなかったものでした。
  • 0
  • 137

DarkHydrusがC2通信にGoogleドライブを使用できる新しいトロイの木馬を配布

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Linuxを使った仮想通貨マイニング マルウェアの新しいサンプルを調査しました。弊社で把握している限り、これはクラウドセキュリティ製品を狙い、削除するという珍しい機能を持つ初めてのマルウェアファミリーです。
  • 0
  • 127

クラウドセキュリティ製品をアンインストールする初めてのマルウェア

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Linuxを使った仮想通貨マイニング マルウェアの新しいサンプルを調査しました。弊社で把握している限り、これはクラウドセキュリティ製品を狙い、削除するという珍しい機能を持つ初めてのマルウェアファミリーです。
  • 0
  • 207

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
  • 0
  • 560

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
  • 0
  • 1583

Webベースの脅威 - 2018年第3四半期:悪意のあるURLおよびドメインが減少

パロアルトネットワークスの脅威インテリジェンスリサーチチームUnit 42は定期的にEメールリンク分析(ELINK)システム を見直しています。収集したデータを調べると、よく見られるWebの脅威を識別するのに役立つパターンと傾向がわかります。このブログは、年間を通じてWebベースの脅威、特に悪質なURL、ドメイン、エクスプロイトキット、およびCVEに関する統計を追跡している一連の記事の第3回(2018年第3四半期)にあたります。
  • 0
  • 62

気象庁装う迷惑メールにおけるSmoke Loaderの分析

11月8日、日本の気象庁は、同庁の警報を装った偽の迷惑メールに関して報道発表を行いました。本ブログでは、Unit 42によるSmoke Loaderと気象庁を装った攻撃に関する分析について解説します。
  • 0
  • 232

Shamoon 3: コーランの詩を含む変更されたオープンソース ワイパー

Unit 42は、今月初めに石油・ガス組織に影響を及ぼしたShamoon 3攻撃の調査を続けてきました。継続調査中、悪名高いDisttrackトロイの木馬を使うインシデントに関連している可能性のある、別のワイパー型トロイの木馬を特定しました。このワイパー型トロイの木馬は、オープンソースSuperDeleteツールに変更を加えた亜種で、そのソース コードは Githubから容易に入手できます。
  • 0
  • 97

パロアルトネットワークス、クラウドセキュリティの促進のためGoogle CloudTMとのパートナーシップを拡大

パロアルトネットワークスは、今後クラウドから提供されるセキュリティサービスがますます増加すると考えています。そして、脅威を防ぐために、機械学習と人工知能 (AI) が、セキュリティの中で大きな役割を占めていくことも明らかです。
  • 0
  • 175

Dear Joohn: Sofacyグループのグローバル キャンペーン

Sofacyグループ(別名Fancy Bear、APT28、STRONTIUM、Pawn Storm、Sednit)は、2018年10月半ばから2018年11月半ばにかけて、世界中の政府機関や民間組織を継続的に攻撃しています。元ソビエト連邦諸国の一部も標的になっていますが、標的の多くはNATO加盟国です。攻撃では、主に弊社が以前に分析したZebrocyツールの亜種が利用されています。
  • 0
  • 70

2018年のサイバー脅威の振り返りと2019年の予測

パロアルトネットワークス脅威インテリジェンスチームUnit 42の調査結果やパロアルトネットワークスのセキュリティソリューションをもとに、国内外のサイバー脅威について振り返りつつ、2019年にはどのようなサイバー脅威に対して注意を払うべきか解説します。
  • 1
  • 2372

石油・ガス企業を標的とするShamoon 3

12月10日、Disttrackマルウェアの新しい亜種がVirusTotalに提出されました。VirusTotalでは、弊社が以前にこことこことここで公開した2016年と2017年のShamoon 2攻撃で使用されたDisttrackマルウェアを含め、かなりの量のコードが共有されています。
  • 0
  • 247

パロアルトネットワークス、公共機関のクラウドセキュリティ導入を促進するプログラムを開始

パロアルトネットワークスは、公共機関を対象に、仮想化次世代ファイアウォール「VM-Series」を導入いただきやすい特別価格でご提供するプログラムを開始します。
  • 0
  • 241

パロアルトネットワークス、米政府のFedRAMPを含めた国際セキュリティ基準の認証取得について

サイバーセキュリティの世界的リーダーであるパロアルトネットワークスは、「Security Operating Platform」にて、クラウドセキュリティ提供の一貫として、この1年でアメリカ政府のクラウド調達のセキュリティ基準FedRAMPの「Ready」ステータスをはじめとした国際的なセキュリティ基準の認証を取得しました。
  • 0
  • 195

「Fractured Block (破損ブロック)」キャンペーン: CARROTBATを使用して、東南アジアを標的にしたマルウェアを配信

Unit 42は、これまでに報告されていないカスタマイズされたドロッパを活用したキャンペーンを明らかにしました。このドロッパは、主に韓国および北朝鮮地域に関係したルアー(わな)を配信するために使用されます。これらのルアーは、さまざまな仮想通貨、仮想通貨交換所、政治情勢などの、一連の話題を扱っています。このドロッパ内に発見されたさまざまな情報から、Unit 42はこのマルウェア ファミリをCARROTBATと呼んできました。
  • 0
  • 108

新しいワインを古いボトルで: Falloutエクスプロイト キットを使用したFindMyNameキャンペーンで新たなAzorultの亜種を発見

早くも2016年には観測されていたAzorultは、トロイの木馬ファミリであり、スパム キャンペーンを介して、またはRIGエクスプロイト キット キャンペーンの2次ペイロードとして、悪意のあるマクロベースの文書で配信されてきました。2018年10月20日、弊社は、新しいAzorultの亜種が、Falloutエクスプロイト キットを使用した新たな継続中のキャンペーンで、1次ペイロードとして使用されたことを確認しました。弊社は、このキャンペーンを「FindMyName」と命名しました。最後のエクスプロイト ページがすべてfindmyname[.]pwというドメインに行き着くためです。このような新しいAzorultサンプルの亜種は、アンチウイルス製品を回避するため、APIフラッディングや制御フローの平坦化など、高度な難読化技法を使用します。また、Azorultはさらなる進化を遂げており、弊社が捕捉したサンプルは、以前のバージョンよりも多くのブラウザ、アプリケーション、仮想通貨ウォレットの機密情報の窃取をサポートしていることがわかりました。
  • 0
  • 201

Sofacyによる世界的な攻撃が継続、新たに「Cannon」トロイの木馬を観測

2018年10月後半および11月初め、パロアルトネットワークス脅威インテリジェンスリ調査チームUnit 42が傍受した一連の文書は、悪意のあるマクロを含むテンプレートをリモートからロードする技法で兵器化されていました。 この種類の文書が兵器化されること自体はとくに珍しくありませんが、モジュールを自由に組み換えて使えるという性質上、自動分析システムによるマルウェア判定がより困難になります。この技法の特徴は、実行時にC2サーバーが使用可能でない場合、悪意のあるコードを取得することができず、配信された文書の大半が無害と判定されることです。
  • 0
  • 166

テスト、兵器化、配信までのOilRigの作戦実行スピードを分析

攻撃者の作戦がどのようなスピードで展開されていくかを攻撃ライフサイクルの初期段階で考察するにはかなりの困難がともないます。偵察・兵器化のような攻撃の初期段階では、標的に直接働きかける配信段階と比べると、リサーチャーが分析に使えるデータがまだあまりないからです。 しかしながら、BONDUPDATERを配信した中東の政府機関に対する2018年8月の攻撃を継続調査するなかで、Unit 42リサーチャーは、OilRigによるテスト段階の活動を観測することができました。またこのテスト段階の活動が、続く攻撃で使用された兵器化済み配信文書の作成につながったことを確信するにいたりました。
  • 0
  • 105

皆さまとコミュニケーションする場、Palo Alto Networks Day

インセプション攻撃者の動きは、遅くとも2014年以降活発化しており、これまでにもBlue CoatとSymantecによってドキュメント化されてきました。過去の攻撃では、カスタム マルウェアが多様なプラットフォームに対して使用され、ロシアを中心とする世界各国で幅広い業種が標的となっています。本ブログでは、2018年10月に確認されたヨーロッパを標的とする攻撃について説明します。これらの攻撃はCVE-2017-11882と新しいPowerShellバックドアを使用しており、後者については、PowerShellで作成されたマルウェアと同時に自分の痕跡も消去する特徴に注目して、私たちはPOWERSHOWERと呼んでいます。
  • 0
  • 136
Displaying 31 to 60 of 376