Earth Preta(Mustang Panda)の新たな回避戦術 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Earth Preta(Mustang Panda)の新たな回避戦術

Threat Report

Silobreaker-CyberAlert

Earth Preta(Mustang Panda)の新たな回避戦術

佐々山 Tacos

佐々山 Tacos

2023.03.24

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年3月24日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

Pack it Secretly:Earth Pretaの最新ステルス戦略

Trend Micro Research News Perspectives – Mar 23 2023 12:51

Earth Preta(別名「Mustang Panda」)の活動について過去にもレポートしているトレンドマイクロが、同脅威アクターグループに関する新たなレポートを公開。同社によると、Earth Pretaはセキュリティソリューションを回避するために盛んにTTPを変更したり、機密性の高い文書を抜き取るための独自のツールセットを開発したりしているという。

2022年10月以降、Earth PretaはマルウェアTONEINS、TONESHELL、PUBLOADの配布手法を変更し、Eメールに悪意あるアーカイブやGoogleドライブのリンクを添付するのではなく、別の囮用ドキュメント内にダウンロードリンクを埋め込み、パスワードをアーカイブに含めるようになっている。

また、Earth Pretaは検出回避のため、悪意あるペイロードを正規のファイルに見せかけた偽ファイル内に隠すという手法を取ることが多い。また、特権昇格にはオープンソースのリポジトリからコピーされたコードを再利用する傾向があるという。

Earth Pretaが継続的にTTPを変更し、開発能力を強化し、多様なツールやマルウェアを使用するようになっていることから、トレンドマイクロは同グループが有能で組織化された脅威アクターであると考えている。

このほか、トレンドマイクロのレポートにはEarth Pretaの戦術やマルウェアに関する詳しい解説などが盛り込まれている。

BlackGuardスティーラーが新たな亜種で性能を拡張

AlienVault Blogs – Mar 23 2023 10:00

BlackGuardの新たな亜種がスピアフィッシング攻撃によって感染を広げようとしているのを、AT&T Alien Labsの研究者が発見。同マルウェアは過去のバージョンから進化し、新たな性能を備えるようになっている。

BlackGuardは2021年からTelegramやアンダーグラウンドフォーラムで販売されているマルウェア・アズ・ア・サービスで、多様なアプリケーションやブラウザからユーザーの秘密情報を盗むことができる。そして2022年11月、開発者がTelegram内でBlackGuardのアップデートを発表した。

AT&T Alien Labsの研究者によると、BlackGuardの新たな亜種は以下のような新性能を備えるようになっているという。

・暗号資産ウォレットのハイジャック:感染したマシン上に保存/インストールされた暗号資産ウォレットを盗むだけでなく、クリップボードにコピーされたウォレットのアドレスをハイジャックして脅威アクターのアドレスに置き換えることが可能になっている。

・共有デバイスやリムーバブルデバイスを使った伝播

・プロセスインジェクションによる追加のマルウェアのダウンロードと実行

・マルウェアの大量複製

・システムの再起動に耐えうる持続性

・ドキュメントの密かなC2への送信

このほか、AT&T Alien Labsのレポートでは詳しい分析結果やIoCなどが紹介されている。

2023年3月24日

ハイライト

 

Operation Soft Cell:中国のハッカーらが中東の通信事業者を侵害

The Hacker News – Mar 23 2023 09:29

 

Kimsukyが韓国の専門家らを標的にするため、自身の戦術をアップデート

Cyware – Mar 23 2023 20:18

 

ロシアのハクティビストがおとりインストーラーを介して新たなマルウェアAresLoaderを配布

CSO Magazine – Mar 23 2023 20:43

 

SideCopy APTがインド最高峰の防衛研究機関を狙う

BankInfoSecurity – Mar 24 2023 02:39

 

シスコ(Cisco)、自社製ソフトウェアIOSとIOS XEの深刻な脆弱性数件を修正(CVE-2023-20080、CVE-2023-20072ほか

Security Affairs – Mar 23 2023 18:18

 

Pwn2OwnでMicrosoft Teams、Virtualbox、Teslaのゼロデイが悪用される

Bleeping Computer – Mar 23 2023 23:33

 

Moodle SpellCheckerにおけるパス認証後のRCEの脆弱性(CVE-2021–21809)—  Lab Walkthrough 

Medium Cybersecurity – Mar 23 2023 14:11

 

手ベンダー数社の産業用制御システムに複数の新たな脆弱性が見つかる

CSO Magazine – Mar 23 2023 11:52

 

Pwn2Own Vancouver 2023 1日目:Windows 11とTeslaがハッキングされる

Security Affairs – Mar 23 2023 10:10

 

2014年のYahooでのデータ侵害

Medium Cybersecurity – Mar 23 2023 09:55

 

Dole(ドール)がデータ侵害公表、2月にランサムウェア攻撃受け

Security Affairs – Mar 23 2023 11:41

関連記事:Dole(ドール)にランサムウェア攻撃か、北米の生産がストップ

 

Stuxnetの開発と拡散:タイムライン

Medium Cybersecurity – Mar 24 2023 04:15

 

APTグループBlack Magic、CommonMagicとPowerMagicを用いてウクライナを標的に

Cyware – Mar 23 2023 20:18

 

コスタリカ  — Contiランサムウェアによる攻撃 

Medium Cybersecurity – Mar 23 2023 09:42

 

進のAndroid向けバンキング型トロイの木馬Nexusが450の金銭関連アプリを標的に

Security Affairs – Mar 23 2023 14:30

 

新たなクレジットカード窃取キャンペーンで脅威アクターらがMageCartマルウェアを使用

Heimdal Security Blog – Mar 23 2023 09:40

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (24 March 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ