top of page

エージェント・テスラ、MSエクセルの欠陥を悪用したフィッシング攻撃を継続中

1. Nimベースのマルウェアを配信するためのおとりMicrosoft Word文書


最近のフィッシング・キャンペーンでは、Microsoft Wordの添付ファイルをおとりとして使用し、Nimでプログラムされたバックドアを配信している。セキュリティアナリストは、NimzaLoader、Nimbda、Dark Powerランサムウェアなどの事例を挙げ、攻撃者がNimに移行していることを示しながら、このトレンドの出現を明らかにした。彼らの詳細な分析によると、ネパール政府の通信を装ったWord文書内のマクロを通じてNimマルウェアを誘発するフィッシングチェーンが浮き彫りになった。


一見 「noreply@google.com」からと思われる詐欺の請求書は、24時間以内に指定された番号に電話して料金に異議を唱えるよう受信者に促す。電話をかけた被害者は、カスタマーサポートを装ったサイバー犯罪者につながり、BazarLoaderマルウェアがシステムにインストールされる。

このような脅威に対抗するためには、AIを活用したメールセキュリティソリューションに投資し、異常検知のための行動AIを統合することが推奨される。



2. MS Excelの脆弱性を悪用したハッカーによるAgent Teslaマルウェアの拡散


悪意のある行為者は、フィッシング攻撃を通じてMicrosoft Officeの脆弱性CVE-2017-11882を悪用しており、偽のExcel請求書を使用してAgent Teslaマルウェアを配布しています。これらの偽の電子メールは、ユーザーを騙してExcelファイルを開かせ、OfficeのEquation Editorの脆弱性を有効にし、不正なコード実行につながる可能性があります。この攻撃では、Excel 内で難読化された Visual Basic スクリプトが使用され、JPG 画像内に隠された DLL ファイルがダウンロードされ、その後 RegAsm.exe にインジェクションされ、最終的なペイロードである高度なキーロガーおよび RAT である Agent Tesla が実行されます。


同時に、ハッカーはオラクルのCVE-2020-14883のような古いセキュリティ欠陥を狙い、DarkGateマルウェアを宣伝しています。さらに、フィッシングの手口はInstagramにも及んでおり、欺瞞的な電子メールによってユーザーを詐欺的なウェブページに誘い込み、2要素認証のバックアップコードの取得、アカウント保護のバイパス、アカウントの侵害を狙っています。

セキュリティ研究者は、これらの脅威が進化していることを強調し、組織に対し、定期的なパッチ適用、強固なフィッシング認識トレーニング、高度な脅威対策、多要素認証などの事前対策を講じるよう促しています。



3. ランサムウェア攻撃の急増に伴い、Carbanakバンキングマルウェアが再浮上


悪名高いバンキングマルウェアであるCarbanakは、最近その手口を更新し、多様な攻撃手法と標的を取り込んでいる。FIN7のようなランサムウェア・ギャングと関連しているCarbanakは、侵害されたウェブサイトを使用して、正規のビジネス関連ソフトウェアであるHubSpot、Veeam、Xeroに似せた偽装された悪意のあるインストーラ・ファイルをホストすることでその戦略を拡大しています。


この進化は、ユーザーを欺いてCarbanakの展開を開始させることを目的としています。

このような脅威から身を守るため、組織には、定期的なオフライン・バックアップ、サイバーセキュリティの実践に関する包括的な従業員トレーニング、タイムリーなシステム・アップデート、ネットワーク・セグメンテーション、リアルタイム・スキャンによる信頼性の高いエンドポイント保護など、強固なサイバーセキュリティ対策を実施することが推奨されます。



4. 不正なWordPressプラグインがEコマースサイトをクレジットカード盗難の危険にさらす


脅威ハンターは、Magecartキャンペーンに関与する不正なWordPressプラグインを発見しました。特に、クレジットカード情報をスキミングするために悪意のあるJavaScriptを注入することで、電子商取引ウェブサイトをターゲットにしています。これらの悪質なプラグインは、危殆化した管理者アカウントやプラグインの脆弱性を介してWordPressサイトに侵入し、検出を回避するために自身を複製します。コメントで「WordPress Cache Addons」との関連を偽るなど、欺瞞的な手口で正当性を錯覚させます。


簡単に削除されないように、このマルウェアはコールバック関数の登録を解除したり、隠れた管理者アカウントを作成するなどの手口を用いています。その主な目的は、クレジットカードを盗むマルウェアをチェックアウトページに注入し、ハッカーが管理するドメインにデータを送信することです。別の Magecart キャンペーンでは、WebSocket プロトコルを使用してスキマーコードを挿入するために、偽の「Complete Order(注文完了)」ボタンをオーバーレイしています。このような攻撃を防ぐには、ファイルの整合性チェック、WordPressのプラグインやテーマの更新、定期的な監査を行い、このような悪意のあるインジェクションを防ぐことが推奨されます。



5. CVE-2023-49070: Apache OFBiz に重大な事前認証 RCE の脆弱性


大規模企業で広く利用されているオープンソースの統合基幹業務システム(ERP)である Apache OFBiz に、重大なセキュリティ上の欠陥(CVE-2023-49070)が発見されました。この欠陥は、認証されていない攻撃者が脆弱なアプリケーションに悪意のあるコードを注入することを可能にするため、リモートコード実行(RCE)の重大なリスクをもたらします。この脆弱性を悪用すると、敵がサーバーを完全に制御できるようになり、機密データの漏洩や業務の妨害、さらなる攻撃を仕掛ける可能性があります。


この欠陥の悪用には事前の認証は必要なく、Apache OFBiz 内の非推奨かつ未整備の XML-RPC コンポーネントが原因です。このセキュリティ上の欠陥に対する概念実証(PoC)の悪用コードが公開されています。

このリスクを軽減するためには、セキュリティパッチを直ちに適用することが推奨されます。さらに、組織は、コードインジェクション攻撃を防止し、全体的なサイバーセキュリティ耐性を強化するために、入力検証と出力エンコーディングを含む厳格なセキュリティ対策を実施する必要があります。


閲覧数:0回0件のコメント

最新記事

すべて表示

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる 新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であ

LazarusのハッカーがLog4jの脆弱性経由で新しいRATを展開

1. WordPress、ウェブサイトをRCE攻撃にさらすPOPチェーンの重大な欠陥にパッチを適用 WordPressはバージョン6.4.2をリリースしました。このバージョンでは、重要なリモートコード実行(RCE)の脆弱性が修正されています。この脆弱性は、別の脆弱性と組み合わせると、攻撃者が対象のウェブサイトで任意のPHPコードを実行することを可能にします。この脆弱性は、WordPressコアバー

bottom of page