Windowsプロセスパラメータポイズニングにより、検知されにくいシェルコード・DLLインジェクションが可能に
新たに文書化されたWindowsのプロセスインジェクション手法「Process Parameter Poisoning(P3P^3P3)」は、攻撃者がシェルコードやDLLロードコードをプロセスの通常の起動パラメータ内に仕込む方法を示しています。 この手法は、エンドポイント検知・対応(EDR)製品がリモートプロセスイン
新たに文書化されたWindowsのプロセスインジェクション手法「Process Parameter Poisoning(P3P^3P3)」は、攻撃者がシェルコードやDLLロードコードをプロセスの通常の起動パラメータ内に仕込む方法を示しています。 この手法は、エンドポイント検知・対応(EDR)製品がリモートプロセスイン
この1年で、大規模言語モデル(LLM)は研究者の好奇心の対象から、攻撃的セキュリティにおける実用的なツールへと変貌を遂げました。 最新の実験では、最先端モデルがエンドポイント検出・応答(EDR)製品の解析を高速化し、検出ロジックを抽出して、実用的な回避技術を生成できることが明らかになっています。 この変化は重大な意味
新たなプロセスインジェクション技術が明らかになりました。この手法は、Windowsのグラフィカルサブシステムを悪用し、極めて発見されにくいリモートコード実行を実現するものです。 win32k.sysが管理するカーネルからユーザーへのコールバックディスパッチパスを悪用することで、攻撃者はリモートスレッドの作成など、厳し
新たに文書化されたインジェクション技術は、Windowsグラフィカルサブシステム(win32k.sys)が使用するカーネル・ユーザー間のコールバックディスパッチパスを悪用し、KernelCallbackTableの構造を維持したままリモートコード実行を実現します。 KernelCallbackTableのエントリをシ
複数のベンダー署名済みUEFIアプリケーションに影響を与える、ファームウェアレベルの重大な攻撃ベクターが発見されました。攻撃者はこれを悪用してSecure Boot保護をバイパスし、オペレーティングシステムが読み込まれる前に任意のコードを実行できます。 ESETのMartin Smolarによって発見されたこの脆弱性
脅威アクターは、検出回避を目的として、従来のコンパイル済みマルウェアから正規のスクリプトエンジンへの移行を加速させています。 最近発覚した高度な侵入事例では、攻撃者がセキュアなJavaScript/TypeScriptランタイムであるDenoを使用したモジュール型リモートアクセス型トロイの木馬(RAT)を展開しました
高度なランサムウェアキャンペーンにおいて、攻撃者がMicrosoftのコラボレーションインフラを逆手に取り、コマンド&コントロール(C2)トラフィックをMicrosoft Teamsのリレーサーバー内に隠蔽するという手口が確認されました。野生環境でのマルウェア通信へのTURNリレー技術の悪用が記録されたのは、これが初
GoFlateLoaderは、Lumma、Vidar、StealC、Amatera、Remusをはじめとする複数の情報窃取マルウェア(インフォスティーラー)の主要な配布手段として広く利用されているGolang製ローダーです。 GoFlateLoaderの設計は意図的にシンプルで、コードはメモリ上で動作する単純なマニュ
脅威アクターたちは、マルウェアが高度に洗練されていなくても絶大な効果を発揮できることを証明し続けています。GoFlateLoaderマルウェアは、こうした傾向を端的に示す好例です。 Go言語で書かれたこのシンプルなローダーの目的はただ一つ、悪意あるペイロードをコンピュータのメモリ上で直接デコードして実行することです。
「Khmer Shadow」と名付けられた新たな脅威クラスターが、カンボジア政府機関を標的としたスパイ活動を展開していることが判明しました。 Acronisの脅威調査チーム(TRU)がこれらの攻撃を最近発見しており、国防・軍事情報・公共事業の各分野が集中的に狙われています。 攻撃者は高価値ターゲットへの侵入に際し、巧
すべての記事を読み込みました