Elastic Security Labs Threat Commandによる主要な脅威調査

検出工学

すべて表示
Elastic InfoSecのエージェント型SOCの内部:アラートトリアージを 30 分から3分未満に短縮

Elastic InfoSecのエージェント型SOCの内部:アラートトリアージを 30 分から3分未満に短縮

Elasticの情報セキュリティチームは、Elastic Workflows上にAIエージェントを構築し、アナリストがアラートを開く前に、すべてのアラートを調査してケースを組み立てるようにしました。

Azure AD Graphアクティビティログ:取り込みと脅威検出により可視性のギャップを解消

Azure AD Graphアクティビティログ:取り込みと脅威検出により可視性のギャップを解消

Azure AD Graphアクティビティログは、完全なECS解析機能を備えた状態でElasticsearchに格納されます。すぐに使える検出ルールを使用して、ROADreconおよびAADInternalsの列挙を検出します。

Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出

Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出

Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。

コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生

コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生

本研究では、Linuxカーネルの権限昇格脆弱性であるCopy FailとDirtyFragを分析します。これらの脆弱性は、微妙なページキャッシュの破損バグを悪用して、root権限への確実なアクセス経路を作り出します。さらに、Elastic Security Labsはこれらの脆弱性に対する検出ロジックを公開する予定です。

マルウェア分析

すべて表示
ClickFixからキャッシュアウトへ:メキシコの銀行詐欺ツールキットの解剖

ClickFixからキャッシュアウトへ:メキシコの銀行詐欺ツールキットの解剖

Elastic Security Labsは、メキシコの銀行、フィンテック企業、決済処理業者、暗号通貨取引所の顧客を標的とした、オペレーターが関与する活発な銀行詐欺活動であるREF6045を追跡している。

移転で失われたもの:CASTLESTEALERを分配する新しいローダーの分析

移転で失われたもの:CASTLESTEALERを分配する新しいローダーの分析

新しい難読化ローダーが.relocを使用して静的検出を回避する方法を調べてくださいセクションの悪用、5つのアンチVM/言語チェック、およびMBA難読化により、Google広告を介して情報窃盗マルウェアを配信します。

PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造

PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造

Elastic Security Labsは、REF6598侵入セットを通じて暗号通貨業界の被害者に拡散された、長期間存続するRATであるPHANTOMPULSEの詳細なリバースエンジニアリング分析を発表します。

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。

脅威インテリジェンス

すべて表示
ClickFixからキャッシュアウトへ:メキシコの銀行詐欺ツールキットの解剖

ClickFixからキャッシュアウトへ:メキシコの銀行詐欺ツールキットの解剖

Elastic Security Labsは、メキシコの銀行、フィンテック企業、決済処理業者、暗号通貨取引所の顧客を標的とした、オペレーターが関与する活発な銀行詐欺活動であるREF6045を追跡している。

Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出

Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出

Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。

PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造

PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造

Elastic Security Labsは、REF6598侵入セットを通じて暗号通貨業界の被害者に拡散された、長期間存続するRATであるPHANTOMPULSEの詳細なリバースエンジニアリング分析を発表します。

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。

機械学習

すべて表示
Elastic InfoSecのエージェント型SOCの内部:アラートトリアージを 30 分から3分未満に短縮

Elastic InfoSecのエージェント型SOCの内部:アラートトリアージを 30 分から3分未満に短縮

Elasticの情報セキュリティチームは、Elastic Workflows上にAIエージェントを構築し、アナリストがアラートを開く前に、すべてのアラートを調査してケースを組み立てるようにしました。

脆弱性レポートからCVEドラフトまで数分で:ElasticがAIでセキュリティアドバイザリを自動化する方法

脆弱性レポートからCVEドラフトまで数分で:ElasticがAIでセキュリティアドバイザリを自動化する方法

Elasticのセキュリティチームが、MITREのCWEおよびCAPECカタログに対してRAGを使用してAIエージェントを構築し、完全なプロンプトとクローラー設定を含む生の脆弱性レポートからCVEアドバイザリを作成した方法。

Elastic Security MCPアプリ:AIツール内でのインタラクティブなセキュリティ操作

Elastic Security MCPアプリ:AIツール内でのインタラクティブなセキュリティ操作

Elastic Securityは、AIツールにインタラクティブなユーザーインターフェースを搭載した最初のセキュリティベンダーです。アラートのトリアージ、脅威の特定、攻撃チェーンの関連付け、ケースの開設など、すべてAIとの会話内で行えます。

ElasticのOTelを使用してClaude Code/Coworkを大規模に監視

ElasticのOTelを使用してClaude Code/Coworkを大規模に監視

Elasticの情報セキュリティチームが、Claude CodeとClaude CoworkのネイティブOTelエクスポート機能とElasticのOTel取り込みインフラストラクチャを使用して、監視パイプラインを構築した方法。