例のスクリプト荒らし、企業や大学のPCに感染して踏み台にしてたと判明か 完全に犯罪だと話題に 君たちのマシンは大丈夫か? [146219444]
■ このスレッドは過去ログ倉庫に格納されています
0431 番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ bf0d-WYaM)
2023/07/12(水) 13:29:03.08 ID:7BxJkS630
7月10日、スクリプトが攻撃した2つのIPスレのうちホスト名ac.jpとco.jpのレスを調べた2
(A)来いよスクリプト!匿名性なんか捨ててかかってこい greta.5ch.net/test/read.cgi/poverty/1688914767/ 2023/07/10 05:42
(B)【朗報】スクリプト、遂に本気を超えてとんでもない速度で埋め始める greta.5ch.net/test/read.cgi/poverty/1688909898/ 2023/07/10 05:46
133.3.201.92 nat-uge.kuins.kyoto-u.ac.jp 京都大学情報環境機構 (A)179と(B)862
150.59.26.24 graphene.ee.tokushima-u.ac.jp 徳島大学 (A)649
165.93.124.84 dhcp124-84.lab124.tuat.ac.jp 東京農工大学 (B)781
192.244.254.254 emu.kobe-kosen.ac.jp 神戸高専 (B)785
202.251.0.2 2.0.251.202.ctie.co.jp 株式会社建設技術研究所 (A)609
どこかのすごいハッカー組織が日本中にDDoS用の踏み台を作ってるのでは?
https://greta.5ch.net/test/read.cgi/poverty/1689132544/431 >>81
確か不穏当な内容の予告をそのまま引き写して投稿して
ちょっとした騒ぎになったな あれ >>91
警察署で反省文書かされたとか言ってたなw 届出・相談・情報提供
IPAセキュリティセンターでは、経済産業省の告示に基づき、コンピュータウイルス・不正アクセス・脆弱性情報に関する発見・被害の届出や情報提供を受け付けています。
お届けいただいた情報は貴重な資料として、被害の拡大・再発の防止、情報セキュリティ対策の向上に役立てます。
プライバシーに関しては十分な配慮をいたします。届出・情報提供へのご協力をお願いいたします。
https://www.ipa.go.jp/security/todokede/index.html 教育機関ならホスト単位で簡単にアク禁にできそうなもんだよね >>93
ipaは対応遅いから直接言ったほうが良い気がする 大学の回線に繋いでる個人の端末の何かのソフトウェアだよねこれ
それらに共通にインストールされているソフトを見つけたらそれが答え。
ちなみに有名どころのアプリが裏でソフトなDDos掛ける怪しい行動は度々見つかっている。
前例
2023年06月20日
VPNアプリ「Swing VPN」が利用者をひっそりとDDoS攻撃に加担させていたことが判明
gigazine.net/news/20230620-swing-vpn-ddos-botnet/ これBotnetを荒らしが借りてやらかしただろ
ipがあまりにもバラけてる >>1
だから侵入・感染させたコンピュータデバイスをbotnetとして使ってるんだろ
もしくはVPN・プロキシのタダ乗り 京大ならねらーいるだろうし、もう耳に入ってるだろう
端末を特定してタイムスタンプから裏で動いてるマルウェアを公表してほしい
TwitterとかSNSで 踏み台にされたマシン調べればどこからコントロールされてるのか
わかるけどたぶん多段でやってると思う
国立大の場合は外から内に入り込む手段はかなり限られていて
特にグローバルIP割り振られてるものはチェックが厳しいけど
内から外は意外と自由なのでおそらく乗っ取られたマシンが
コントロールしてるマシンに対してVPN的なものを張っているか
FWの目をごまかすためにhttpのふりして定期的に見に行ってるか
こういうのを逆探知する研究やってる学生もいるし、大学を踏み台にしたのは
もしかして犯人の首を自分で絞めちゃったかもね パソコンなら何使えば観れて書けんの?
ざっとlive5ch使ってたけど >>58
こちらは大分大学 情報基盤センターでの報告だけど
大学のシステムやアドレスはこの手の被害が多発してる模様
(再)マルウェア「 Emotet (エモテット)」の感染に関する注意喚起について
2021/1/25 2021/1/26
2019年9月前半より、実在の組織や人物になりすまし返信する形での
ウイルス付きメール(Emotet)の被害が報道されておりましたが、
今般、同様のマルウエア Emotet の感染に繋がるメールの配布が
観測されておりますので再度注意喚起いたします ....
archive.is/lMBKL ← 記事魚拓 まあジャップにこんなこと出来るとは思えないしハッキングした外人がダークウェブで踏み台として売ってるんだろうな スクリプトは前からなのになんでこれまで分かってないの? >>109
DDoSって多くの機器にちょっとだけ加担させる
タイプが多いからね
10年くらい前なら韓国がF5アタックしてきたぞとか
笑いネタになるような攻撃だったがw まず5chでIPスレがあってそこでIP収集してる集団がいるぞって言われてたのに信用されなかった
それからAPIが導入してそんな事しなくても勝手にIP集まるようになった
でもマルウェアならなんで問題にならないんだろうな 検索すると5chのゲーム系板に書き込んでるのが多い まだまだ犯人特定までは時間かかるだろうけど長く続けているとどこかでかならずボロがでてくるから
ゆうちゃん事件みたいな感じでジワジワ犯人に近づいて行ってるな >>115
そもそも5chにアクセスするソフトウェアだからじゃね
感染ではなくてユーザーが自らインストールしてるし
まあ何が言いたいかと言えば5chにアクセスするソフトウェアが
5ch に対するDDoS機能もこっそり搭載してたみたいな話
攻撃先は5chなんだからバレにくい これbotnetで踏み台は脆弱性のあるルーターがハックされてるんじゃないの? APIいらなくなって荒らしやすくなったはずなのにいなくなったもんな
本当のことに思えてくるなあ >>116
ゲーム系の板ってすぐにバトル始まるからね
辺境の実況にあるガンオンスレにまで1回だけだが
グロ埋め立てスクリプトが来たことあるよw >>116
それは俺もいくつか検索掛けてたら気が付いた
スクリプトじゃなくて普通のレスね
なんでなのかはよく分からないが 埋め立てスクリプトが選んでた書き込み内容の出どころは
実は専ブラをインストールした本人の書き込み履歴から選んでるなら
入手は容易だしなあ
PCにインストールされてる専ブラを調べたほうがいいのでは このスクリプトとランサーズを結びつけることは出来んかね? >>124
そういうのって表立ってやるものじゃない、気づいた時は後ろに手がまわってた
そんな感じ こんなん出元の大学に連絡するのも当たり前だし、大規模だったらニュースになってもおかしくないことなのに、何でここの運営はこんなあからさまなもの放置してんだ? アフィ連合が自演用や荒らし用にプライベートで構築したbot網があると考えると納得出来るけどそれは流石に考えすぎか
と思うけどIPを調べると5chに特化し過ぎてる気もする
海外ハッカーが作って売ってるbotnetならこんなに国内IPのバリエーション豊かな回線を用意出来るのかな?
メジャープロバイダだけじゃなくてマイナーな所もあってワッチョイがバラける様になってるし
使用に当たってその辺回線細かく選べるとか考え難いし
その辺のアングラ情報はよく知らないけど >>130
>>118
配布されてる5ch専ブラに5chに対するDDoS攻撃が
機能実装されてたらありえる話 踏み台にされてる企業、大学は被害届出してないのかな? Emotet
Emotet(エモテット)は、マルウェア亜種およびサイバー犯罪活動である[4]。
GeodoやMealybugとしても知られるこのマルウェアは、2014年に初めて検出され[5]、2019年には最も流行している脅威の1つとみなされた[6]。
2021年1月にウクライナの拠点差押えをはじめとして一度は壊滅したが、同年11月から再燃し始めた[7]。 Emotetはマルウェアの一種であり、ウクライナを拠点としていると考えられているサイバー犯罪活動です。
Emotet の作成者がこのマルウェアを使用して、感染したコンピュータのボットネットを作成し、
サイバーセキュリティ コミュニティで MaaS (Malware-as) と呼ばれるサービスとしての
インフラストラクチャ (IaaS) モデルでアクセスを販売したことが広く文書化されています。
Emotet は、感染したコンピュータへのアクセスをRyukギャングなどのランサムウェア活動に貸与することで知られています。[8] 5ちゃんねるを潰すためならカネを払える人が
ウクライナのハッカー犯罪者に依頼したって事 アフィリエイトにはこうしたリスクも存在するからな
よって嫌儲スピリットの徹底は完璧に正しい
◎ ランサムウェアの実行犯は「アフィリエイター」だらけ、
DXが進むダークウェブの世界 - 7/12(水) 6:10配信
/ from ビジネス+IT
archive.is/f4UqY - ページ1
archive.is/uOEoj - ページ2
archive.is/nMYUI - ページ3
◇ 進化する情報窃取マルウェア
サイバー攻撃の「サービス化」はいまに始まったことではない。
むしろ現在のマルウェアや攻撃の多くは、アンダーグラウンドの
SaaSサービスとして何らかのクラウドサービスによって
提供されているといってよい。
典型例はランサムウェアである。攻撃者(実行犯)の多くは、
RaaS(Ransomware as a Service)インフラを利用する「アフィリエイター」だ。
攻撃ツールのサービス化、サブスクリプション化も進んでいる。
直近のニュース、リリースから2つの特徴的な事例を紹介する。
最初に紹介するのは、CYFIRMAが6月に発表した「MysticStealer」だ。
MysitcStealerは、アンダーグラウンドでリリースされたばかりの
新しい情報窃取マルウェア(Infor-Stealer)の一種である。
国内外で複数のセキュリティ媒体が記事化しているが、
すでに50ものC2サーバが確認され、本格的な攻撃が始まるのではないかと
関連機関やアナリストが注視している。
サーバ側のマルウェアはPythonで書かれ、クライアント側はC言語で書かれている。
OSに近いシステムコールを活用しメモリ上で実行され、
ハードディスク(ストレージ)に痕跡が残りにくい。
データベースに登録された不正パターンによる検知(シグネチャ系の検知)は
難しく、ルールベース検知でも簡単ではない。CYFIRMAが
C2サーバのIPアドレスを公開しているので、これが1つの足掛かりになるだろう .... >>17
ボットネット貸し出す業者自体は、ルーマニアやエストニアなどにいくらでも業者いるはずだし、なんなら中国やウクライナやロシアにも沢山業者いるから(´・ω・`)
最近の動向は知らんけど、十数年前なら東欧や中国や東南アジアのヤバい連中が全世界のマシンにバックドア仕込んで必要に応じて万台規模のゾンビマシン稼働させてる感じだったよ(´・ω・`) >>20
ぶっちゃけ、旧2ちゃんねる時代から、日本の言論統制や情報統制の要だったし(´・ω・`)
誰が主導権握るかとか、都合悪い話を広めないとかいうので、Twitterなみに今でもここの時事系の板やスレが重要視されてるんじゃないのかな(´・ω・`) >>24
筑波VPNみたいに裏で警察とかがチェック入れてるのバレバレな所を犯罪者が使うかなぁ?(´・ω・`) >>54
日米政府や政財界が絡んでたりしたら笑える… >>146 >>147
山下は自民党と関係ありそうだよね >>121
何日か前に外遊してるのニュースでやってなかったっけ?(´・ω・`) >>147
何か大きめな背景があっでも不思議ではないね
誰か記者さんが河野デジタル相に質問しないかなって 超大規模なbotnet、マルウェアによる荒らしよりもシンプルな回答がある
運営が記録してるIPを、荒らし書き込みに適当に割り当ててる、ログ偽装 やっぱり国家レベルの関与があるんじゃ無いの?
国家レベルなら法律を盾に一気に規制や強制捜査も出来るけどやってるのは世論操作による情報戦だよな
我々の預かり知らない所で行われてる戦いの巻き添えを食ってるようなもん >>153
これも考えられるんだよなぁ
かなり前にスクリプトがIPスレ踏んだときIPが同じプロバイダでほぼ連続してたのにワッチョイが違ったことあったんだよな
運営による偽装改竄以外考え難い
元運営かなんかがワッチョイ偽装のための特殊コマンド仕込んでたとかは考えられるけど jane自体がウイルスだったとしたらすげえ恐ろしい事じゃね
偽計業務妨害でしょっぴかれるレベル >>153
なんか前に浪人の脆弱性突いてキーを無限生成してるとか、スレ立てまくってる時は掲示板の脆弱性突いてるって話あったな
それなら適当に表示されるワッチョイとIP弄ってるってのも頷ける 普通に威力業務妨害だし、告訴状出せば調べるんじゃないか? >>153
実質運営側だし俺もこれの方が自然だと思うんだけどなあ
それだとjaneは純粋なゴミアプリだったってことになるが janeはソフトウェア板の有識者達が旧バージョンを5chで使えるように対応をしてくれてるけど
その人達は不審な挙動はないって言ってる スレ主が当たり前のように30レスくらい埋めるスクリプト流してるけど同じ仕組みを悪用してるだけじゃね?
みんな当然のことと思いながら流してるよな >>163
じゃあAPIサーバーになんか仕込んでんじゃね >>155
大学の人間が能動的に書いてる可能性は否定できんし、逆に5chが威力業務妨害で被害届出せば捜査可能だろうけど >>153
それも考えにくいと思う
埋め立ての中にリトアニアで取得された変なIPセグメントが結構使われてたし
103.190.59.0/24とか 固定IPが踏み台だったら必死にでも乗りそうだからまあ違うのかもな
そっから何かかまされてるとかなら別だろうが
まあスクリプトは規制すり抜けてたしapiの仕様を悪用した山下側が荒らしてそうなのは変わらないが 書き込みしやすくなったらグロ荒らし見なくなったのはなんでなんですかね〜? >>170
5ch通信形式においてAPI使用しなくなったからスプリクトを修正しないといけないじゃないですかー >>168
ボットネット屋か荒らし代行業者じゃないの?
リトアニアって如何にもな所だし 昨日pcのジェーンをアンイストールした
これで安心だよね? >>173
Jane Styleがマルウェアだのなんだのの話?
クソ山下のソフトウェアなんかさっさと捨てるべきなのは確かだが
スクリプトとは何の関係も無いぞ 素人の妄想もいいとこ 荒し業者「スプリクト」
talk管理人「スプリクト」
………🤔 >>116
あれは単に人口多くてIPありの板だからってだけな気もする よくアフィリンク貼ってるだけのスクリプトなのか人力なのか分からんやつおるけど実はあれが感染源だったりしてな 最近美人化が進んでたのにな・・・
嫌儲にも画像を貼ってくるやついたよね 大学生がJane入れたPCを大学の回線に繋いだとかじゃないの? そんなことはないと思うんだよな
まともなフリしたスパイウェアが紛れ込んでるんじゃないか そもそもフシアナで表示されてる物が正確な保証がないからな
一番怪しいやつがAPIで接続先切り替えれるほど弄れる権限持ってたんだから
送信内容書き換えたりリファラ無茶苦茶にするくらいなんてことないだろ >>139
まあウクライナのハッカー達なら今頃バフムトかザポリージャで大地の肥やしになってるやろ? 案外国ぐるみで戦費稼いでたりしてw 一般のVPN参加者とかじゃないの
知らずに出口になってたとか ■ このスレッドは過去ログ倉庫に格納されています