-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
9月26日:ロシア-ウクライナ関連ニュース
ウクライナ当局、ロシア政府配下のハッキンググループに関するレポートを公開
ウクライナ国家特殊通信・情報保護局(SSSCIP)がロシア政府配下のハッキンググループに関するレポート「Russia’s Cyber Tactics H1 2023」を公開。これには、2022年と2023年前半におけるロシアのハッキンググループによるサイバー脅威やサイバー犯罪者の行動の変化などについて分析・調査した結果がまとめられている。
レポートでは、要点として以下の8点が挙げられている。
・ウクライナCERT(CERT UA)が調査やフォレンジックに関与したインシデントの件数が、2022年後半と比べて倍増:昨年後半のインシデント件数は1日あたり平均1.9件だったのに対し、2023年前半は4~5件になったとのこと。
・民間部門と法執行部門が、スパイ活動の標的として優勢:軍事関連APTが、ロシアの戦争犯罪の証拠に関する情報収集などを目的としてウクライナの法執行機関に対するスパイ行為を行うのが観測された。また、民間部門を狙ったサイバー攻撃が増加したが、この背景には、サイバー能力を利用してミサイル攻撃やドローン攻撃などによる効果をモニタリングしようとする意図があったとのこと。
・過去に狙った被害者を再度標的に:過去に侵害されたことのあるウクライナ組織が、ロシアハッカーによって再度狙われるというのが注目に値するトレンドとして挙げられている。
・侵害成功後、30分でデータ抽出:ウクライナが脅威インテリジェンス収集を最適化し、脅威の検知や反応に要する時間を短縮した結果、ロシアアクターがラテラルムーブメントに費やせる時間は限られることとなり、結果として素早くデータを抜き取る戦術が強化されることになった。
・2023年前半の6か月間を通じて、メディア部門は継続的な攻撃に晒された:こうした攻撃の目的は、メディアのリソースやアカウントをコントロールして偽情報キャンペーンや影響力行使キャンペーンに利用できるようにすること。多くの攻撃が、ロシア軍参謀本部情報総局(GRU)関連のグループ「Sandworm」によるものだと考えられている。
・Living Off The Land(環境寄生型)の攻撃が利用されるケースが増加
・オープンソースのメールシステムが標的に:ZimbraやRoundcubeなどのオープンソースメールシステムの脆弱性を狙ったエクスプロイトの開発や配布が盛んに行われた。
・エネルギー部門が引き続き標的に
ウクライナ軍、ドローンマニュアルをルアーとして用いるフィッシングキャンペーンの標的に
The Hacker News – Sep 25, 2023
ウクライナ軍関係者が、無人航空機(ドローン/UAV)のマニュアルをルアーに用いてポストエクスプロイトツール「Merlin」を配布しようとするフィッシングキャンペーンの標的になっているという。このキャンペーンを「STARK#VORTEX」という名のもとで追跡しているセキュリティ企業Securonixが報告した。攻撃チェーンはMicrosoft Compiled HTML Help(CHM)ファイルから始まり、これが開かれるとHTMLページの1つに埋め込まれていた有害なJavaScriptが作動し、PowerShellコードが実行される。これによりリモートサーバーから呼び出される難読化されたペイロードがデコードされると、Merlin Agentが抽出されるという。MerlinはGo言語で書かれたオープンソースのポストエクスプロイトツールキットで、ウクライナの政府組織を狙う攻撃で同ツールが使われるのは今回が初めてだという。CERT-UAは、今回のフィッシングキャンペーンをUAC-0154という脅威アクターによるものだと考えているとのこと。
