Emotet 復活

昨年末から今年の初めにかけて、日本でも被害を受けた企業が発生したEmotet

 

どうやら、最近活動を再開したようです。

Emotet botnet surges back after months of absence

 

 

 

 

手口は変わらず、Spamメールを使って添付ドキュメントを開かせることです。

ドキュメントにはマルウエアが仕込まれているわけではなく、改ざんされたサーバにアクセスさせ、そこから悪意のあるペイロードをダウンロードさせるます。

 

今回の誘い込み用サイトは、新たに作成されています。おおよそWordPressをCMSとしているサイトで、WordPressはよく利用されるツールですので、その分攻撃者の攻撃対象として挙がってきます。

 

まずは、

1.怪しいメールは開かない。開いても添付ファイルは無視!

2.WordPressにてサイトを立ち上げている人は、アクセスログの確認とパッチ適用を日ごろ行うこと。

 (WordPressってプラグインが追随できず、パッチが当てられないこともありますが、、泣)

 

でしょうね。

 

これいい: たわし枕

なかなか自分にフィットする枕ってありません。

出張が多くて、ホテルに宿泊するので、ホテルにあるでっかいフカフカの枕がいいと思っていました。

なので、1世代前の枕は、ホテル型の枕にしていました。

それはそれでよかったのですが、熱がこもって、汗だくになってしまいました。

 

テレビショッピングではなかったのですが、テレビで芸能人が勧めていたので、さっそく購入、試してみました。

 

たわし型枕

ちくちくするから最初はタオルを敷いてというアドバイスがありましたが、無視。

速攻、直敷で寝ました。

私の感じではそこまでチクチクしませんでしたね。

なんといっても、熱が籠らない。前のより快適ですね。とくにこれから夏が暑くなってくるでしょう。

 

 

 

あとは、洗えること。これは、格別ですね。

汗かきの自分としては、枕が臭くなってくることに慣れてきますが、やはりそれはそれで周りに迷惑をかけますし。

これで、毎日洗ってもいいわけで。。

 

ちょっと難点は、寝返りして顔の横がアバタのようになることですかね?www

 

 

 

Thanos ランサムウエアがバージョンアップ

ThanosランサムウエアはRaaS(Ransomeware as a Serrvice)で提供されているマルウエアです。

常に進化していて質の悪いランサムウエアといえるでしょう。

問題としてはアンチウィルスソフトやEDRソフトの検知を回避する技術を身に着けていることです。

以下は、個人的に備忘録としてリンクを載せています。

RIPlaceという新たな回避テクニックを開発していましたが、新たにネットワークモードでのセーフブートをサポートしています。

セーフモードの場合、アンチウィルスソフトなんぞ動きませんからやりたい放題です。PEファイルが実行される前に捕捉することがまずは重要でしょう。次は悪意のある行動の初期段階で見つけること。(このあたりはアンチウィルスソフトベンダーさんがガリガリと作りこむしかないかなと。。)

Analysis of .NET Thanos Ransomware Supporting Safeboot with Networking Mode

 

 

 

 

 

RIPlaceについての解説はこちら

RIPlace: A Simple Evasion Technique That Makes Bypassing AV and Ransomware Protection Possible

 

 

 

 

 

朗報:KingComposerでReflected XXSで見つかった脆弱性が素早く改修される

どこまで早いのが是であるのかという議論はありますが、比較的早めにパッチが提供されたのはよいことだと思います。

ElasticComputeFarmによるPixabayからの画像

KingComposer patches XSS flaw impacting 100,000 WordPress websites

 

 

WordPressは多くのウエブサイトのCMSとしてよく使われています。

また、多くのプラグインが様々ソフトクリエイターから提供されて、さらに使いやすくなっています。

KingComposerもその一つで、簡単にドラッグ&ドロップしながらGUIを作成することができます。

そのAjaxモジュールにReflected XXSの脆弱性がWordfence脅威インテリジェンスによって発見されました。

それを指摘したのが、6月25日

それに回答はなかったのですが、6月29日にはパッチを提供開始しました。

 

早く対応したほうではないでしょうか?

 

このプラグインは10万台以上のWebサイトで稼働しているようです。

記事発表の時点では約62%のユーザはアップデートしたようですが、残りはまだ。。

 

早めにアップデートされることが望まれます。

 

Webサーバを構築していてWordPressやそのプラグインを利用している方は、定期的にアップデート情報を見ておきましょう。

必要あらばすぐにアップデートすることです。

 

 

 

 
 

恐っ! 中国公認税務ソフトウエアにマルウエアが仕込まれている

サイバーセキュリティニュースを日ごろワッチしていますが、ここにきて面白い話題が。。

 

ChickenonlineによるPixabayからの画像

New GoldenHelper malware found in official Chinese tax software

 

 

攻撃者として中国に関連する組織の話は出てきますけどwww 

なかなか中国に関連する話題というのは出てこないものです。

 

中国にはゴールデンタックスシステムという政府公認?承認?のシステム経由でないと中国企業と取引ができないようになっています。

(まぁ、政府は取引をすべて把握できるようになっているといえますね)

 

そのシステムソフトウエアにマルウエアが仕込まれている訳です。

ちょっと前にGoldenSpy

 

 

というバックドアがあったことが発見されていますが、また違うバックドアが仕込まれていることがわかりました。これをGoldenHelperと名付けられています(正確にいうと復活でしょうか)。

 

現在、VAT課税請求ソフトウエアを提供している会社は中国には2つしかありません。AisinoとBaiwangです。GoldenHelperはBaiwang版に仕込まれています。(とは言え、ソフトは同根のようです)

 

中国国外の企業が中国企業と取引する上でこのソフトウエアを使わざるを得ないので、その取引状況は、中国政府以外の別の組織に筒抜けである可能性があるということです。

まぁ、税務当局以外の別の政府組織が仕掛けたという見方もできますが。