Elastic Security Labsによる主な脅威の研究

Elastic Security Labsは、今後1年間にわたって組織を安全に保つために役立つ、最も差し迫った脅威、傾向、そして推奨事項を明らかにした、 2024 年版Elasticグローバル脅威レポートをリリースしました。

プレースホルダー画像

トピック

Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defensesby Jia Yu Chan, Salim Bitam, Daniel Stepanic, Samir Bousseaden, Cyril François, Seth Goodwin28 October 2024
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Tricks and Treats: GHOSTPULSE’s new pixel-level deceptionby Salim Bitam19 October 2024
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
Elasticで脅威ハンティングを強化by Terrance DeJesus, Mika Ayenson, PhD, Samir Bousseaden, Justin Ibarra18 October 2024
Elasticで脅威ハンティングを強化
溢れるカップ:プリンターからインク以外がこぼれる時by ミカ・アエンソン博士、テレンス・デジェズス、エリック・フォルテ、ルーベン・グルーネワウド2024年9月28日
溢れるカップ:プリンターからインク以外がこぼれる時
Elastic Security LabsをTwitterでフォローニュースレターに登録

セキュリティ調査

すべて表示
溢れるカップ:プリンターからインク以外がこぼれる時

溢れるカップ:プリンターからインク以外がこぼれる時

Elastic Security Labsでは、認証されていない攻撃者がIPPやmDNSを介してシステムを悪用し、Linux、macOS、BSD、ChromeOS、SolarisなどのUNIXベースのシステムでリモートコード実行(RCE)を引き起こすことができる、CUPS印刷システムの脆弱性の検出と軽減戦略について説明しています。

地平線上の嵐:AJCloud IoTエコシステムの内側

地平線上の嵐:AJCloud IoTエコシステムの内側

Wi-Fiカメラは手頃な価格と利便性から人気がありますが、悪用される可能性のあるセキュリティ上の脆弱性があることが多いです。

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。

スマートアプリコントロールを解体

スマートアプリコントロールを解体

この記事では、レピュテーションベースのシステムへのバイパスを調査するためのケーススタディとして、Windows Smart App ControlとSmartScreenについて説明し、それらの弱点をカバーする検出方法を説明します。

マルウェア分析

すべて表示
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses

Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses

Elastic Security Labs breaks down bypass implementations from the infostealer ecosystem’s reaction to Chrome 127's Application-Bound Encryption scheme.

Tricks and Treats: GHOSTPULSE’s new pixel-level deception

Tricks and Treats: GHOSTPULSE’s new pixel-level deception

The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.

ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

REF6138キャンペーンでは、クリプトマイニング、DDoS攻撃、ギャンブル向けのAPIを介したマネーロンダリングが発生した可能性があり、攻撃者が進化を続けるマルウェアとステルス通信チャネルを使用していることが浮き彫りになりました。

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。

キャンペーン

すべて表示
PIKABOT、君に決めた!

PIKABOT、君に決めた!

Elastic Security Labsは、更新バージョンを含む新たなPIKABOTキャンペーンを観測しました。PIKABOTは、悪意のあるアクターが追加のペイロードを配布するために利用する、広く展開されているローダーです。

初期研究がJOKERSPYを暴露する

初期研究がJOKERSPYを暴露する

Pythonのバックドアがある金融機関をターゲットにした、最近発見されたキャンペーン、JOKERSPYについて把握しましょう。この記事では、ネットワーク内のJOKERSPYの偵察、攻撃パターン、識別方法について説明します。

SPECTRALVIPERを誘うElastic

SPECTRALVIPERを誘うElastic

Elastic Security Labsは、ベトナムの国営農業関連企業を標的としたP8LOADER、POWERSEAL、SPECTRALVIPERのマルウェアファミリーを発見しました。REF2754は、REF4322およびAPT32アクティビティグループのマルウェアと動機付けの要素を共有しています。

PHOREALマルウェアの標的は東南アジアの金融セクター

PHOREALマルウェアの標的は東南アジアの金融セクター

Elastic Securityは、東南アジアの金融機関、特にベトナムの金融セクターを標的とするPHOREALマルウェアを発見しました。

グループ&戦術

すべて表示
ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

REF6138キャンペーンでは、クリプトマイニング、DDoS攻撃、ギャンブル向けのAPIを介したマネーロンダリングが発生した可能性があり、攻撃者が進化を続けるマルウェアとステルス通信チャネルを使用していることが浮き彫りになりました。

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。

GrimResource - 初期アクセスと回避のためのMicrosoft管理コンソール

GrimResource - 初期アクセスと回避のためのMicrosoft管理コンソール

Elasticの研究者は、特別に細工されたMSCファイルを介して完全なコード実行を可能にする新しい手法、GrimResourceを発見しました。これは、十分なリソースを持つ攻撃者が、防御を回避するために革新的な初期アクセス方法を好む傾向を浮き彫りにしています。

見えないマイナー:GHOSTENGINEのクリプトマイニング事業を公開

見えないマイナー:GHOSTENGINEのクリプトマイニング事業を公開

Elastic Security Labsは、複数の悪意のあるモジュールを組み込み脆弱なドライバーを利用して、クリプトマイニングの既知のセキュリティソリューション (EDR) を無効にする侵入セットであるREF4578を特定しました。

展望

地平線上の嵐:AJCloud IoTエコシステムの内側

地平線上の嵐:AJCloud IoTエコシステムの内側

Wi-Fiカメラは手頃な価格と利便性から人気がありますが、悪用される可能性のあるセキュリティ上の脆弱性があることが多いです。

カーネルETWこそ最高のETW

カーネルETWこそ最高のETW

この調査は、セキュリティ・バイ・デザイン・ソフトウェアにおけるネイティブ監査ログの重要性に焦点を当て、改ざん防止対策を強化するために、ユーザーモードのフックよりもカーネルレベルのETWロギングの必要性を強調しています。

脆弱なドライバーは忘れよう - 必要なのは管理者だけ

脆弱なドライバーは忘れよう - 必要なのは管理者だけ

BYOVD(Bring Your Own Vulnerable Driver)とは、脅威アクターが既知の脆弱な署名付きドライバをマルウェアと一緒に持ち込んでカーネルにロードし、そのドライバを悪用してカーネル内で他の方法では実行できない何らかのアクションを実行するという、ますます一般的になっている攻撃手法です。高度な脅威アクターによって10年以上にわたって採用されてきたBYOVDは、ランサムウェアやコモディティマルウェアでますます一般的になっています。

生成AI

すべて表示
Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化

Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化

標準化されたフィールド統合と強化された検出機能に重点を置いた、ElasticのLLMセキュリティの最新の進歩をご覧ください。これらの標準を採用することでシステムをどのように保護できるかを学びましょう。

LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ

LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ

大規模言語モデル(LLM)にセキュリティを直接組み込むElasticの取り組みをご紹介します。LLMアプリケーションにおけるOWASPの脆弱性の上位いくつかを検出・軽減し、より安全でセキュアなAI駆動型アプリケーションを確保する当社の戦略をご覧ください。

LLMを活用したElasticによる検出というトレードクラフトの加速

LLMを活用したElasticによる検出というトレードクラフトの加速

Elastic Security Labsが、生成AIの機能をより活用して、検出のエンジニアリングワークフローを加速させることにどのように注力しているのか、詳細をご覧ください。

LLMとESREを使用した類似ユーザーセッションの検索

LLMとESREを使用した類似ユーザーセッションの検索

前回の記事では、GPT-4大規模言語モデル(LLM)を使用して Linuxのユーザーセッションを凝縮する方法について説明しました。同じ実験の文脈で、私たちは類似点が見られるセッションを調べることに時間を費やしました。これらの類似セッションは、後にアナリストが関連する疑わしいアクティビティを特定する際に役立ちます。

ツール

すべて表示
STIX的シチュエーション:脅威データのエスケープ

STIX的シチュエーション:脅威データのエスケープ

構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。

試練の中へ:Detonateはどう動くのか

試練の中へ:Detonateはどう動くのか

サンドボックスの作成、サポート技術、テレメトリ収集など、Detonateシステムの技術的な実装についてご覧ください。

カチッ、カチッ… ドカン!Detonateで保護テストを自動化

カチッ、カチッ… ドカン!Detonateで保護テストを自動化

このプロセスを自動化し、大規模な保護をテストするために、セキュリティ研究エンジニアがElastic Securityソリューションの有効性を自動的に測定するために使用するシステム「Detonate」を構築しました。

ICEDIDの解凍

ICEDIDの解凍

ICEDIDは、カスタムファイル形式とカスタム暗号化スキームを使用してペイロードを圧縮することが知られています。私たちは、解凍プロセスを自動化し、アナリストやコミュニティがICEDIDに対応するのに役立つ一連のツールをリリース予定です。