Elastic Security Labs Threat Commandによる主要な脅威調査
Elastic Security Labsは、メキシコの銀行、フィンテック企業、決済処理業者、暗号通貨取引所の顧客を標的とした、オペレーターが関与する活発な銀行詐欺活動であるREF6045を追跡している。
トピック




検出工学
すべて表示
Elastic InfoSecのエージェント型SOCの内部:アラートトリアージを 30 分から3分未満に短縮
Elasticの情報セキュリティチームは、Elastic Workflows上にAIエージェントを構築し、アナリストがアラートを開く前に、すべてのアラートを調査してケースを組み立てるようにしました。

Azure AD Graphアクティビティログ:取り込みと脅威検出により可視性のギャップを解消
Azure AD Graphアクティビティログは、完全なECS解析機能を備えた状態でElasticsearchに格納されます。すぐに使える検出ルールを使用して、ROADreconおよびAADInternalsの列挙を検出します。

Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出
Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。

コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生
本研究では、Linuxカーネルの権限昇格脆弱性であるCopy FailとDirtyFragを分析します。これらの脆弱性は、微妙なページキャッシュの破損バグを悪用して、root権限への確実なアクセス経路を作り出します。さらに、Elastic Security Labsはこれらの脆弱性に対する検出ロジックを公開する予定です。
マルウェア分析
すべて表示
ClickFixからキャッシュアウトへ:メキシコの銀行詐欺ツールキットの解剖
Elastic Security Labsは、メキシコの銀行、フィンテック企業、決済処理業者、暗号通貨取引所の顧客を標的とした、オペレーターが関与する活発な銀行詐欺活動であるREF6045を追跡している。

移転で失われたもの:CASTLESTEALERを分配する新しいローダーの分析
新しい難読化ローダーが.relocを使用して静的検出を回避する方法を調べてくださいセクションの悪用、5つのアンチVM/言語チェック、およびMBA難読化により、Google広告を介して情報窃盗マルウェアを配信します。

PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造
Elastic Security Labsは、REF6598侵入セットを通じて暗号通貨業界の被害者に拡散された、長期間存続するRATであるPHANTOMPULSEの詳細なリバースエンジニアリング分析を発表します。

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散
REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。
内部
すべて表示
Linuxに夢中:ルートキット検出エンジニアリング
全2回シリーズの第2回となる本稿では、Linuxのルートキット検出技術について、静的検出への依存の限界と、ルートキットの挙動検出の重要性に焦点を当てて解説します。

SYSTEMへのパッチ差分
この調査では、LLM とパッチ比較を活用して、Windows DWM の Use-After-Free の脆弱性について詳細に説明し、低い権限のユーザー権限から SYSTEM へのエスカレーションを実現する信頼性の高いエクスプロイトを実証しています。

不変の幻想:クラウドファイルでカーネルを乗っ取る
脅威の攻撃者は、ある種の脆弱性を悪用してセキュリティ制限を回避し、信頼チェーンを破壊する可能性があります。

FlipSwitch: 新しいシステムコールフック技術
FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。
脅威インテリジェンス
すべて表示
ClickFixからキャッシュアウトへ:メキシコの銀行詐欺ツールキットの解剖
Elastic Security Labsは、メキシコの銀行、フィンテック企業、決済処理業者、暗号通貨取引所の顧客を標的とした、オペレーターが関与する活発な銀行詐欺活動であるREF6045を追跡している。

Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出
Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。

PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造
Elastic Security Labsは、REF6598侵入セットを通じて暗号通貨業界の被害者に拡散された、長期間存続するRATであるPHANTOMPULSEの詳細なリバースエンジニアリング分析を発表します。

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散
REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。
機械学習
すべて表示
新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出
Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。

マルウェアへのセキュリティ保護の迅速な対応を自動化
機械学習モデルの助けを借りて、新しい情報に応じて迅速に更新を行い、それらの保護をユーザーに伝えるプロセスをどのように改善してきたかをご覧ください。

新しいElastic統合によるLiving-off-the-land攻撃の検出
Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。
Elasticを使用したビーコンマルウェアの特定
このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。
生成AI
すべて表示
Elastic InfoSecのエージェント型SOCの内部:アラートトリアージを 30 分から3分未満に短縮
Elasticの情報セキュリティチームは、Elastic Workflows上にAIエージェントを構築し、アナリストがアラートを開く前に、すべてのアラートを調査してケースを組み立てるようにしました。

脆弱性レポートからCVEドラフトまで数分で:ElasticがAIでセキュリティアドバイザリを自動化する方法
Elasticのセキュリティチームが、MITREのCWEおよびCAPECカタログに対してRAGを使用してAIエージェントを構築し、完全なプロンプトとクローラー設定を含む生の脆弱性レポートからCVEアドバイザリを作成した方法。

Elastic Security MCPアプリ:AIツール内でのインタラクティブなセキュリティ操作
Elastic Securityは、AIツールにインタラクティブなユーザーインターフェースを搭載した最初のセキュリティベンダーです。アラートのトリアージ、脅威の特定、攻撃チェーンの関連付け、ケースの開設など、すべてAIとの会話内で行えます。

ElasticのOTelを使用してClaude Code/Coworkを大規模に監視
Elasticの情報セキュリティチームが、Claude CodeとClaude CoworkのネイティブOTelエクスポート機能とElasticのOTel取り込みインフラストラクチャを使用して、監視パイプラインを構築した方法。
ツール
すべて表示
CI/CDパイプラインの悪用:誰も注目していない問題
GitHub Actions、GitLab CI、Azure DevOpsパイプラインにおけるCI/CDの不正利用を検出するために、シグナル抽出とLLM推論を利用した、オープンソースでそのまま導入可能なCIテンプレートをどのように構築したか。

WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター
WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。

STIX的シチュエーション:脅威データのエスケープ
構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。

名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース
この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。
