GroundHog

Ubuntuへの大規模DDoS攻撃後、攻撃代行サービス「Beamed」をCloudflareが保護していたとして批判が広がっている。DDoS対策企業が攻撃基盤を支援している構図だ。 Canonicalは、Ubuntu関連サービスが数日にわたりDDoS攻撃を受け、一部サイトや更新サービス、安全性関連インターフェースが不安定化したことを認めている。攻撃には「Islamic Cyber Resistance in Iraq 313 Team」が関与を主張した。 セキュリティ研究者Mike Taggartは、攻撃者が利用したとされるDDoS代行サービス「Beamed」がCloudflare配下で稼働している点を問題視した。Beamedは、専門知識不要でDDoS攻撃を実行できるボットネット型サービスを提供しているとされる。 Taggartは、重要インフラを狙う攻撃サービスが保護され続けている現状を批判し、Cloudflareの評判悪化が起きなければ状況は変わらないと主張している。Cloudflareは本来、サイト防御や実サーバー秘匿化を担う存在であり、その仕組みが攻撃側にも利用されている点が議論を呼んでいる。 https://t.co/hIeg1iMePT

🔎🇷🇺Inside Russia's elite Bauman University, a secret department trains the GRU's next-gen hackers, saboteurs & spies. Now, 2,000+ leaked docs expose how its graduates feed the units behind Russia's cyberattacks, election interference, and NATO sabotage. https://t.co/5TTRIaWZj7

未修正のExchange脆弱性が長期間悪用されていた。中国系とみられる攻撃集団が政府や防衛関連組織に侵入し、メール窃取や情報収集を行うサイバー諜報活動が明らかになった。 MicrosoftのExchange Serverの既知脆弱性を悪用し、SHADOW-EARTH-053と呼ばれる攻撃グループが活動していた。対象はアジアを中心に少なくとも8カ国に及び、防衛関連企業や政府機関、IT企業、交通分野などが侵害された。欧州ではポーランドも標的に含まれていた。 侵入にはProxyLogonとして知られるCVE-2021-26855やCVE-2021-27065など複数の脆弱性が利用され、未更新環境が狙われた。侵入後はExchange管理機能を悪用してメールボックスを列挙し、独自ツールでデータを外部に持ち出していた。 マルウェアにはShadowPadが使用され、DLLサイドロード技術で正規署名アプリを装って展開された。ペイロードはレジストリから読み込まれ、実行後に痕跡を消すなど隠蔽も行われた。 古い脆弱性であっても未対策環境では依然として有効な侵入口となっており、継続的なパッチ適用と監視の重要性が改めて示された。 https://t.co/zQPd4w6wV8

AIの導入によりサイバー攻撃の構造が激変し、ゼロデイ探索が数分で自動化される時代に入った。高度な専門技術を持たない攻撃者でも大規模侵害を実行可能となり、企業防御の前提が崩れつつある。 近年、AIは単なる支援ツールから実行主体へと進化し、攻撃者はモデルに対象を与えるだけで脆弱性探索から侵入、横展開まで自動化できる。MITREも2025年にATT&CKを拡張し、AI主導攻撃を正式カテゴリとして扱い始めた。従来数週間を要した作業が数時間に短縮されるなど、攻撃速度は人間の対応能力を大きく上回っている。 象徴的事例が中国系とみられるAIスパイ活動「GAMECHANGE」である。約70組織を標的とし、マルウェアは外部LLMに問い合わせてリアルタイムで実行命令を生成する仕組みを採用した。さらにAlibabaのモデルなどを利用し、検知回避や動的変異を実現している。 この変化により防御側は検知中心から封じ込め重視へ転換を迫られている。AI API通信の監視や異常トラフィック分析など、新たな対策が不可欠となっている。 https://t.co/upY1SO6qmC

🚩Silver Fox Targets Russia and India With ABCDoor Malware https://t.co/dW90MxlKme Silver Fox is back with a tax-themed phishing campaign, targeting organizations in India and Russia with ABCDoor, a new Python-based backdoor. The campaign used fake tax audit notices, malicious archives, a modified RustSL loader, ValleyRAT, geofencing, VM checks, and persistence tricks to stay on infected systems. More than 1,600 phishing emails were flagged between early January and early February, with activity seen across industrial, consulting, retail, and transportation sectors. #ThreatIntelligence #SilverFox #Malware #Phishing #CyberSecurity

🇨🇳 China PLA “Rocket Force & Intelligence Data” Allegedly for Sale A dark web post claims that data linked to multiple Chinese PLA (People’s Liberation Army) units is being offered for sale. 📊 Claim Includes: • PLA Cyberspace Force Technology Research Institute • Rocket Force science & intelligence units • Strategic Support Force research entities • Naval & aerospace military research institutes 🧠 Details: • Seller claims access to “fresh” PLA-related data • Mentions willingness to provide samples to buyers • Targets organizations such as think tanks • Payment requested via XMR (Monero) ⚠️ Assessment: • No technical evidence provided: No dataset preview No schema or file structure Broad and high-profile claims without proof 📊 Status: Unverified ⸻ #CyberSecurity #ThreatIntel #China #PLA #DarkWeb #DDW

分散型SNSのBlueskyが大規模DDoS攻撃を受け、サービス断続的停止が発生した。約24時間にわたり影響が続き、可用性リスクが浮き彫りとなった。 Blueskyによると、攻撃は4月15日夜から開始され、フィードや通知、検索機能などで断続的な障害が発生した。原因は高度なDDoS attackであり、システム負荷を増大させることでサービス提供を妨害した。ただし、現時点でユーザーデータへの不正アクセスの証拠は確認されていない。 犯行声明は313 Teamが出しているが、独立した裏付けはなく誇張の可能性も指摘されている。同グループは中東情勢に関連して活動するハクティビストとされる。Blueskyは攻撃を緩和し長期停止は回避したが、分散型サービスに対する可用性攻撃の脅威が改めて示された。 https://t.co/ROfIbC9Q6p

Silver Fox (also known as CL-STA-0048), a threat group based in China, targeted Japanese based companies with a phishing campaign. With the invoice coming from: • `rakuten[.]co[.]jp` (brand abuse, not IOC) • hxxp://missallanahstarr[.]com/ (UNSAFE LINK: used for initial access) • 137[.]220[.]153[.]175:886 (C2 server) Being tied to multiple other attacks using ValleyRAT, with it's predecessor known as Ghost-rat, initial attribution was tied to Silver Fox through their common TTP's. With `163[.]com` registrant email being a strong indicator of Chinese-origin actor. A contradictory "Kyoto, Saitama" address fabricated to appear Japanese. Along with both the C2 and delivery infrastructure hosted in Hong Kong, consistent with Silver Fox's known infrastructure preference, and a fabricated Japanese WHOIS with contradictory prefectures: missallanahstarr[.]com ├── Resolves → 103[.]115[.]56[.]66 (AS55933 Cloudie Limited, Hong Kong) │ └── hostname: unknown.itsidc[.]com (ITSIDC infrastructure) ├── WHOIS email: lugai665@163[.]com (NetEase — Chinese email provider) ├── WHOIS address: "Kyoto, Saitama, JP" (contradictory prefectures = fabricated) ├── Updated: 2026-04-15 (day before campaign) └── NS: share-dns[.]com / share-dns[.]net Along with the presence of unmodified Chinese-language default strings confirming this is a Chinese-market RAT builder. However, Silver Fox has documented overlaps with Winnti/Wicked Panda (APT41) tooling, but this campaign's tradecraft is more consistent with Silver Fox's commercial fraud operations than Wicked Panda espionage focus. What distinguishes this malware is its geographic kill switch mechanism that queries the Windows Registry for specific applications before execution: •HKCU\Software\Console\ •HKCU\SOFTWARE\IpDates_info The attack exploits a documented vulnerability in Dell/Waves Audio's MaxxAudio software, using `MaxxAudioConrol64.exe` as its entry. With the next startup `MaxxAudioAPOShell64.dll` loads an improper registry key allowing the attacker to insert their own DLL to take over the system. With Windows DLL search order loading the malicious DLL first. To keep itself hidden it uses a custom protocol over TCP to beacon itself to the C2 server (137[.]220[.]153[.]175:886). Along with sleep obfuscation (memory protection cycling), VM/sandbox detection, and AV process termination. This is part of a continued campaign in Asia, with Silver Fox and other Chinese based actors escalating attacks on emails, Telegram, SEO-poisoned websites, etc. #Malware #CyberSecurity #CybersecurityNews #ThreatIntel https://t.co/Prn8ZqArHF