サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ChatGPT
unit42.paloaltonetworks.com
A vulnerability in the VPN web server of Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code on an affected device. A vulnerability in the VPN web server of Cisco Secure Firewall Adaptive Security Appliance (ASA) Software and Cisco Secure Firewall Threat Defe
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2) Executive Summary Update April 2: Recent investigations have revealed preliminary steps in the tj-actions and reviewdog compromise that were not known until now. We have pieced together the stages that led to the original compromise, provid
概要 本稿は、クラウド内の仮想マシン (VM) サービスに対する潜在的な攻撃ベクトルを特定・緩和するための戦略について解説します。組織はこの情報を使って、VM サービスに関連する潜在的リスクを理解し、防御メカニズムを強化できます。この調査では、Amazon Web Services (AWS)、Azure、Google Cloud Platform (GCP) という 3 つの主要クラウド サービス プロバイダー (CSP) が提供する VM サービスを中心に取り上げます。 VM はあらゆるクラウド環境で最も利用数の多いリソースの 1 つで、その多さがゆえに、攻撃者らの主要な標的にされています。私たちの研究からは、インターネットに公開されているクラウドホストの 11% には、深刻度が「緊急 (Critical)」または「重要 (High)」と評価される脆弱性があることがわかっています。 V
概要 本稿は、DNS (ドメイン ネーム システム) トンネリングの野生 (in the wild) での新たな応用に関するケース スタディを紹介します。こうした技術の応用範囲は、単なるコマンド & コントロール (C2) や仮想プライベート ネットワーク (VPN) が目的の DNS トンネリングを超えて広がっています。 ときに悪質なアクターは DNS トンネリングを秘密の通信チャンネルとして使うことがあります。これなら従来型のネットワーク ファイアウォールを回避でき、従来の検出手法から C2 トラフィックや漏出データを秘匿できるからです。 ところが私たちは最近、従来の C2 や VPN 以外の用途で DNS トンネリングが使われているキャンペーンを 3 つ検出しました。その用途とはスキャンと追跡です。スキャンの場合、攻撃者は DNS トンネリングを使って被害者のネットワーク インフラを
概要 この脅威概要は日次でモニタリングされ、共有すべき新たなインテリジェンスを入手しだい更新されています。全更新履歴は本稿末に記載されています。この更新履歴では、行われたすべての変更の詳細な説明を提供しています。 パロアルトネットワークスと Unit 42 は、CVE-2024-3400 に関連するアクティビティを追跡しており、外部のリサーチャー、パートナー、お客さまと協力しあい、情報を透明性と迅速性をもって共有いたします。 パロアルトネットワークスの PAN-OS ソフトウェアには、深刻度が「重大 (critical)」のコマンド インジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者が、同ファイアウォール上で、root 権限で任意のコードを実行できるようになります。同脆弱性には CVE-2024-3400 が割り当てられ、CVSS スコアは 10.0 となってい
Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Updated May 20) Executive Summary This threat brief is monitored daily and updated as new intelligence is available for us to share. The full update log is at the end of this post and offers the fullest account of all changes made. Palo Alto Networks and Unit 42 are engaged in tracking activity related to
概要 2024 年 2 月 16 日、中国の IT セキュリティ サービス会社 i-Soon (別名 Anxun Information Technology) に属する可能性のある社内通信、セールス関連資料、製品マニュアルを含むデータが何者かによって GitHub にアップロードされました。漏えいした資料は、ある営利団体が、中国とつながりのある脅威アクターを支援するサイバー スパイ ツールをどのように開発・サポートしたかを示すもののようです。漏えいデータの初期調査の一環として、Unit 42 は、データ漏えい内の情報と以前の中国とつながりのある持続的標的型攻撃 (APT) キャンペーンとのリンクを発見しました。Unit 42 は、この漏えいが本物であることを高い確度で評価しています。 たとえば、この漏えいに含まれていたある文書は、i-Soon が Treadstone マルウェア コント
APT28, UAC-0001, Fancy Bear, Strontium / Forest Blizzard, Pawn Storm, Sofacy, Sednit CVE-2023-23397: 概要 Fighting Ursa は、ウクライナでの紛争に先立ち、ロシアの情報戦オペレーションを支援するハッキングによってその定評を確立していました。こうした支援には以下の取り組みが含まれています。 オリンピックの反ドーピング調査報道への対抗 英国における GRU による暗殺未遂事件で、化学物質の使用に関する捜査を妨害 米国、フランス、ドイツの民主的選挙プロセスへの影響行使 国際的にはあまり知られていないのが、ロシアのウクライナ侵攻に先立ち今日に至るまで行われている Fighting Ursa の一連のハッキング キャンペーンです。 2022 年 2 月 24 日、ロシアはウクライナへの本格
概要 Unit 42 のリサーチャーは、Google Workspace (旧 G Suite) のドメイン全体の委任機能にセキュリティ リスクがあることを発見しました。私たちは、Google Cloud Platform (GCP) から Google Workspace ドメイン データにアクセスする、予期せぬ方法を明らかにしました。 必要な権限を持つ GCP の ID があれば、委任されたユーザーに対するアクセス トークンを生成できることがわかりました。クレデンシャル (認証情報) を盗んだ悪意のある内部関係者や外部にいる攻撃者は、このアクセス トークンを使って Google Workspace ユーザーになりすまし、これらのユーザーのデータに対する不正アクセスを許可したり、これらのユーザーに代わって操作を実行できます。 本稿では、Google Workspace のドメイン全体の委
概要 Unit 42 のリサーチャーは最近、北朝鮮 (朝鮮民主主義人民共和国 DPRK) に紐づく国家支援型脅威アクターが関与した、求職活動を標的とする 2 つの別々のキャンペーンを発見しました。私たちは 1 つめのキャンペーンを「Contagious Interview (感染面接) 」と呼んでいます。このキャンペーンでは、脅威アクターが (多くの場合匿名または曖昧な身元で) 雇用者を装い、面接過程でソフトウェア開発者にマルウェアをインストールするようにしむけます。このマルウェアは、さまざまな種類の窃取の可能性を生み出します。私たちは、Contagious Interview が北朝鮮の国家支援型脅威アクターにより運営されていると、中程度の確度でアトリビュート (帰属) しています。 私たちは、2 つめのキャンペーンを「Wagemole (賃金+スパイ)」と呼んでいます。このキャンペーン
概要 本稿は、DNS (ドメイン ネーム システム) のトンネリング技術が野生で (in the wild) どのような理由と方法で利用されているのかに関する研究をご紹介します。またこの研究結果に基づいて、トンネリング ドメインをツールやキャンペーンに自動的にアトリビュート (帰属) させる弊社のシステムについて取り上げます。 攻撃者は DNS トンネリング技術を採用することで企業ネットワークのセキュリティ ポリシーをバイパスしています。その理由は、ほとんどの企業が DNS トラフィックに対し、比較的寛容なポリシーを実装していることにあります。これまでの調査で、SUNBURST や OilRig などのマルウェア キャンペーンが、コマンド & コントロール (C2) に DNS トンネリング技術を使っていることが明らかになっています。 ただし、攻撃者が DNS トンネリングを野生でどのよう
概要 リサーチャーは、脅威アクターが古い概念実証 (PoC) コードを再利用して、新たにリリースされた脆弱性用の偽 PoC をすばやく作成してしまうことを意識しておく必要があります。2023 年 8 月 17 日に Zero Day Initiative は WinRAR のリモート コード実行 (RCE) の脆弱性 (CVE-2023-40477) を公開しました。同団体は、2023 年 6 月 8 日にベンダーへの開示を行っていました。CVE-2023-40477 の公開から 4 日後、ある攻撃者が whalersplonk というエイリアスを使い、偽の PoC スクリプトを GitHub リポジトリにコミットしました。 WinRAR の脆弱性のエクスプロイト用とされたこの偽 PoC は、GeoServer というアプリケーションの SQL インジェクション脆弱性 (CVE-2023-
概要 Insidious Taurus (別名 Volt Typhoon) は、米国政府機関と政府の国際的な協力者らにより、中華人民共和国 (PRC) の国家支援型サイバー攻撃者であることが特定されています。このグループは、おそらくは重大な危機ないし米国との紛争発生時に崩壊的ないし破壊的に行うサイバー攻撃に備え、米国の重要インフラの IT ネットワーク内に事前に入り込むことに重点を置いています。2024 年 1 月 31 日の公聴会で、FBI の Christopher Wray 長官は、米国と中国共産党の戦略的競争に関する米国下院特別委員会に対し、Volt Typhoon (Insidious Taurus) は「我々の世代の決定的脅威」と語りました。 米国政府は国際的な政府の同盟国と協力し、同グループの活動に関する 2 つの合同サイバーセキュリティ勧告 (CSA) を発表しました。最初
概要 Playful Taurusは日常的にサイバースパイ活動を行う中国の持続的標的型攻撃グループです。APT15、BackdoorDiplomacy、Vixen Panda、KeChang、NICKELの名前でも知られています。このグループは少なくとも2010年には活動を開始しており、歴史的に北南米、アフリカ、中東の政府機関や外交機関を標的にしてきました。 2021年6月、ESETは同グループがツールキットを更新し、Turianと呼ばれる新たなバックドアを搭載したと報告しました。このバックドアの開発は現在も活発に行われています。私たちはこのツールはもっぱらPlayful Taurusのアクターだけが使用していると評価しています。このケイパビリティの進化につづき、最近私たちは同バックドアの新たな亜種と、新たなコマンド&コントロール(C2)インフラを確認しました。これらのサンプルと悪意のある
2019年1月30日 PST 本脆弱性の悪用シナリオの前提条件に関するコミュニティからのフィードバックを受け、私たちはAuth0と協力してCVE-2022-23529を撤回することを決定しました。 本稿で解説したセキュリティの問題はJsonWebTokenライブラリが安全でない方法で使用された場合には依然として懸念されるものです。そのシナリオでは、すべての前提条件を満たせばこの問題を悪用できる可能性があります。私たちは、その場合のリスクの大元はライブラリ側でなく呼び出し側のコードにあることに同意します。 この問題に対処するためJsonWebTokenのコードには重要なセキュリティチェックが追加されました。 jsonwebtoken 8.5.1以前のバージョンをお使いの場合は最新版の9.0.0にアップデートすることをお勧めします。最新版では同セキュリティ問題を含む問題を修正済みで、より安全な
表1 Kerberosチケット Enc-partにはさまざまなフィールドがありますが、ここでは以下について説明します。 cname: クライアントのプリンシパル識別子の名前部分 認証データ: プリンシパルからの認証データをアプリケーションサービスに渡すために使用。プリンシパルではチケットが代理発行される。この部分には特権属性証明(PAC)が含まれる Kerberos特権属性証明(PAC)とは? Microsoftのドキュメントによると、PACは、認証関連情報を示す構造体であり、認証関連情報はDCで渡されます。PACを認証プロトコルで使用してIDを検証し、認証情報を転送してリソースへのアクセスを制御します。 PAC内のセキュリティ識別子(SID)、相対識別子(RID)といった認証データが、DCに含まれます。 Kerberos委任 Kerberos委任の一般的な使用例は、Webサーバーでデータ
概要 マルウェアの作成者は、マルウェアがサンドボックス内で実行されていることを検出すると、悪意のある動作をしないようにあらゆる手を尽くします。そのような場合、検出が困難な独自のサンドボックスを作成することが、セキュリティ防御担当者にとって最善の対策になることがあります。世の中には多くのサンドボックス アプローチがあり、それぞれに長所と短所があります。本書では、カスタムメイドのアプローチを選択した理由について、さらにその際に対処する必要があった回避の種類とそれらへの対処方法について説明しします。 マルウェアの作成者がサンドボックスを検出する具体的な方法には多くのバリエーションがありますが、全体的なテーマは、環境の特性をチェックして、それが自動システムではなく、ターゲット ホストに見えるかどうかを確認することです。 パロアルトネットワークスのお客様は、高度なWildFireを通じ、本稿で解説す
概要 本稿ではUnit 42のリサーチャーがCobalt Strikeコンポーネントを組み込んだ複数のマルウェアサンプルを検証します。実行上の重要ポイントにおけるプロセスメモリ内の差分から得られたアーティファクトを分析し、これらサンプルを捕捉する方法を解説します。またこれらの脅威が使う回避戦術など、解析上問題となるポイントについても説明します。 Cobalt Strikeはレッドチーム演習用の敵対的シミュレーションフレームワークの1つですが、長年にわたり検出エンジンを悩ませてきた回避型マルウェアの典型的特徴を備えていることから、その人気はレッドチームにとどまらず、脅威アクターの多くが悪意のある目的に利用しています。 ツールキットそのものは実践的セキュリティテストを行いたい信頼すべき団体だけに販売されているのですが、ソースコードがリークしたことから、そのさまざまなコンポーネントが、ランサムウ
概要 皆さんはWebサイトを見ているときに、自分が見られているような気がすることはないでしょうか。だとしたら誰が、そのWebサイト、さらにはインターネット全般を通じ、私たちの振る舞いを観察しているのでしょうか。そうした情報の流れを制限したり、せめてその流れを把握しておくことは可能でしょうか。 インターネットはほぼ広告を中心に回っていますので、人びとのオンライン活動の監視から利益を得る企業にとってはユーザーデータが非常に貴重なリソースとなっています。そうして集められた情報が(本当に必要だったものとまではいかないにせよ)よりよいユーザー体験につながることは多いでしょう。ただし、トラッキング行為によるプライバシー侵害への懸念も起きるべくして起きています。 こうした懸念を受け、多数のグループがツールの開発やアプリケーションの改修でユーザープライバシーを保護しようとしてきました。そうした対応のひとつ
概要 サイバー犯罪者はドメイン名を侵害することで、そのドメインの所有者や利用者を直接攻撃したり、フィッシング、マルウェア配布、コマンド&コントロール(C2)オペレーションなどの悪質な活動に利用したりしています。こうしたドメイン名侵害の一形態として「ドメインシャドウイング(domain shadowing)」と呼ばれる侵害があります。ドメインシャドウイングでは、侵害されたドメインの下に攻撃者が悪意のあるサブドメインである「シャドウドメイン(shadowed domain)」をひそかに作成します。これらシャドウドメインは侵害ドメインの通常のオペレーションに影響しないので被害者は気づきにくいですし、サブドメインは目立たないので、サイバー犯罪者に長期間、侵害されたドメインのもつ高いレピュテーション(評判)を利用されてしまうことが少なくありません。 現在は脅威リサーチにもとづいて検知を行うアプローチ
概要 Torプロジェクトは、インターネット上で匿名性を保ちたいユーザーが利用できる、もっとも有名なツールの1つを提供しています。Torは善悪さまざまな用途に利用されていますが、企業ネットワークでのTorトラフィックの許可は、さまざまな悪用やセキュリティリスクの懸念をもたらします。 政治活動家はTorで政府の目を逃れ、意思表明をします。サイバー犯罪者はTorで防御をかいくぐり、法執行機関から身を隠します。TorはSilk Roadのようなダークウェブマーケットプレイスの運営を可能にしたことで有名で、顧客は麻薬、武器、偽造身分証明書など、さまざまな違法商品をそこで調達できました。マルウェアの作者はつね日頃から、サービス妨害(DoS)攻撃、隠密偵察、エクスプロイト、コマンド&コントロール通信、データ漏出にTorを使っています。 Torトラフィックのリスクを懸念する企業にとっては、マルウェアのコマ
概要 毎年数万もの脆弱性が報告されていますが、そのすべてが実際の攻撃で利用されているわけではありません。それには、次のようなさまざまな理由が考えられます。攻撃者が武器化するための概念実証(PoC)を実施できない、対象の脆弱性を利用することが難しすぎる、アクセス可能な脆弱なソフトウェアがインターネット上にない、影響が小さいため攻撃者が単にその脆弱性を悪用する価値がないと見なしたなどです。実際の防御側には、攻撃者が悪用に選ぶ脆弱性および防御を重視すべき場所に関するデータが必要です。 「2022 Unit 42 Network Threat Trends Research Report」(Unit 42 ネットワーク脅威動向調査レポート2022年版)では、パロアルトネットワークスのAdvanced Threat Preventionセキュリティサービスによって次世代ファイアウォールおよびPris
概要 Cobalt Strikeは商用の脅威エミュレーションソフトウェアで、ネットワークに長期的にひそむアクターをエミュレートします。Beaconと呼ばれるこのアクターは外部TeamServerと通信してコマンド&コントロール(C2)トラフィックを模倣します。汎用性が高く、レッドチームの正規ツールとしてよく利用されますが、脅威アクターの実際の攻撃でも広く使用されています。この汎用性の高さはCobalt Strike にそなわる多くの機能に起因しています。たとえばC2サーバーへ送信するメタデータを暗号化・復号するプロセスなどがその例です。 以前のブログ「Cobalt Strike解析&チュートリアル: Cobalt Strikeによるメタデータのエンコードとデコード」では、暗号化されたメタデータがHTTPトランザクション用にエンコードされることを学びました。 Cobalt Strike Be
概要 2022年5月27日、リモートテンプレートを利用する悪意のあるWord文書がms-msdt Office URIプロトコルによりPowerShellを実行する手口の詳細が明らかになってきました。このテクニックを使用すると、攻撃者はローカルのOfficeマクロポリシーをバイパスし、Wordのコンテキスト内でコードを実行することができるようです。その後、Microsoftは保護のガイダンスを公開し、この脆弱性にCVE-2022-30190を割り当てました。 公開された情報が多く、悪用が容易で、エクスプロイトの有効性がきわめて高いことから、この重大な脆弱性についてお客様にご認識いただき、Microsoftによる修正プログラムが公開されるまでのあいだも適切な保護を行う選択肢を持てるよう、本稿にて脅威に関する情報を提供します。 本脆弱性を利用すると呼び出し元アプリケーションと同じ権限でリモート
Emotetは現在の脅威概況でもっともメール配信数の多いマルウェアのファミリの1つです。法執行機関の連携により2021年1月にテイクダウンされたものの、2021年11月にはオペレーションを再開し、それ以来突出した脅威に返り咲いています。 本稿では、Emotetの背景と2021年11月の復活以降の活動を振り返り、復活から2022年1月末までのEmotetオペレーションで観測された変化に関する情報を提供します。本稿で取り上げたサンプルで全体像をつかみつつ、Emotetがいま世界中でどのような脅威となっているのかの理解につながればと思います。 パロアルトネットワークスのお客様は、WildFireと脅威防御のサブスクリプションを有効化した次世代ファイアウォール と Cortex XDRによってEmotetから保護されています。 目次 Emotetの背景 ビジュアルタイムライン 2021年11月のE
Executive Summary Following Log4Shell, AWS released several hot patch solutions that monitor for vulnerable Java applications and Java containers and patch them on the fly. Each solution suits a different environment, covering standalone servers, Kubernetes clusters, Elastic Container Service (ECS) clusters and Fargate. The hot patches aren't exclusive to AWS environments and can be installed onto
表2 Spring Core Remote Code Execution Vulnerabilityシグネチャをトリガーした接続元IP上位15 Spring Core Remote Code Execution Vulnerabilityのシグネチャをトリガーした31,953個のパケットキャプチャを解析し、エクスプロイトに成功した場合にサーバーに保存されるWebシェルのファイル名とWebシェルのコンテンツとを特定しました。多くの場合、Webシェルのファイル名には .jspという拡張子が与えられていました。これによりインストールしたWebシェルが有効に機能するようになります。ただし多くのケースではファイル名にはWebシェルには対応しない拡張子、たとえば .jsや.txtといった拡張子が与えられていました。これらはおそらく脆弱なサーバーの発見のためにファイルアップロード成功可否を示す目的で使用
Executive Summary Recently, two vulnerabilities were announced within the Spring Framework, an open-source framework for building enterprise Java applications. On March 29, 2022, the Spring Cloud Expression Resource Access Vulnerability tracked in CVE-2022-22963 was patched with the release of Spring Cloud Function 3.1.7 and 3.2.3. Two days later on March 31, 2022, Spring released version 5.3.18 a
概要 2022年2月4日、Linuxはカーネルにおける新たな特権昇格脆弱性CVE-2022-0492を公表しました。CVE-2022-0492はコンテナの基本構成要素であるLinuxの機能、コントロールグループ(cgroup)における論理バグです。この問題は最近発見されたLinuxの権限昇格脆弱性のなかでもとりわけその単純さできわだつもので、「Linuxカーネルが誤って特権的オペレーションを非特権ユーザーに公開してしまった」という内容になっています。 さいわい、ほとんどのコンテナ環境のデフォルトのセキュリティハードニングはコンテナエスケープ防止には十分なものです。AppArmor、SELinux、Seccompのいずれかを有効にして動作しているコンテナは保護されます。とはいえ、ベストプラクティスのハードニングを行わずにコンテナを実行していたり、特権を追加付与して実行したりしている場合はリス
次のページ
このページを最初にブックマークしてみませんか?
『Unit 42 - Latest Cyber Security Research | Palo Alto Networks』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
